CONCLUSÕES DO ADVOGADO‑GERAL
PHILIPPE LÉGER
apresentadas em 22 de Novembro de 2005 1(1)
Índice
I – Antecedentes do litígio
II – Quadro jurídico de ambos os processos
A – O Tratado UE
B – O Tratado que institui a Comunidade Europeia
C – O direito europeu sobre a protecção de dados pessoais
III – As decisões impugnadas
A – A decisão de adequação
B – A decisão do Conselho
IV – Fundamentos invocados pelo Parlamento nos dois processos
V – Quanto ao recurso que visa a anulação da decisão de adequação (processo C‑318/04)
A – Quanto ao fundamento segundo o qual a Comissão cometeu um excesso de poder ao adoptar a decisão de adequação
1. Argumentos das partes
2. Apreciação
B – Quanto aos fundamentos relativos à violação dos direitos fundamentais e à violação do princípio da proporcionalidade
VI – Quanto ao recurso que visa a anulação da decisão do Conselho (processo C‑317/04)
A – Quanto ao fundamento relativo à escolha incorrecta do artigo 95.° CE como base jurídica da decisão do Conselho
1. Argumentos das partes
2. Apreciação
B – Quanto ao fundamento relativo à violação do artigo 300.°, n.° 3, segundo parágrafo, CE, devido a uma alteração da Directiva 95/46
1. Argumentos das partes
2. Apreciação
C – Quanto aos fundamentos relativos à violação do direito à protecção dos dados pessoais e à violação do princípio da proporcionalidade
1. Argumentos das partes
2. Apreciação
a) Quanto à existência de uma ingerência na vida privada
b) Quanto à justificação da ingerência na vida privada
i) A ingerência está prevista na lei?
ii) A ingerência prossegue um objectivo legítimo?
iii) A ingerência é necessária numa sociedade democrática para atingir tal fim?
D – Quanto ao fundamento relativo à insuficiente fundamentação da decisão do Conselho
E – Quanto ao fundamento relativo à violação do princípio da cooperação leal previsto no artigo 10.° CE
VII – Quanto às despesas
VIII – Conclusão
Processo C‑317/04
Parlamento Europeu
contra
Conselho da União Europeia
«Protecção das pessoas singulares relativamente ao tratamento de dados pessoais – Recurso de anulação – Decisão 2004/496/CE do Conselho – Acordo entre a Comunidade Europeia e os Estados Unidos da América sobre o tratamento e a transferência de dados PNR (‘Passenger Name Records’)»
Processo C‑318/04
Parlamento Europeu
contra
Comissão das Comunidades Europeias
«Recurso de anulação – Decisão 2004/535/CE da Comissão, sobre o nível de protecção adequado dos dados pessoais contidos nos Passenger Name Records transferidos para o Bureau of Customs and Border Protection dos Estados Unidos – Directiva 95/46/CE»
1. O Parlamento Europeu interpôs no Tribunal de Justiça dois recursos de anulação ao abrigo do artigo 230.° CE. No processo Parlamento/Conselho (C‑317/04), o recurso visa obter a anulação da Decisão do Conselho, de 17 de Maio de 2004, relativa à celebração de um acordo entre a Comunidade Europeia e os Estados Unidos da América sobre o tratamento e a transferência de dados contidos nos registos de identificação dos passageiros (PNR) por parte das transportadoras aéreas para o Serviço das Alfândegas e Protecção das Fronteiras do Departamento de Segurança Interna dos Estados Unidos (2). No processo Parlamento/Comissão (C‑318/04), o Parlamento pede a anulação da decisão da Comissão, de 14 de Maio de 2004, sobre o nível de protecção adequado dos dados pessoais contidos nos Passenger Name Records [registos de identificação dos passageiros] transferidos para o Bureau of Customs and Border Protection [Serviço das Alfândegas e Protecção das Fronteiras] dos Estados Unidos (3).
2. Estes dois processos levam o Tribunal de Justiça a pronunciar‑se sobre a problemática relativa à protecção dos dados pessoais dos passageiros aéreos, uma vez que, para justificar a sua transferência e o seu tratamento num país terceiro, neste caso os Estados Unidos (4), são invocados imperativos do domínio penal relativos à segurança pública, tais como a prevenção e a luta contra o terrorismo e outros crimes graves.
3. Estes dois processos têm origem numa série de acontecimentos que há que expor desde já. Pormenorizarei depois o quadro jurídico em que os processos se inscrevem.
I – Antecedentes do litígio
4. Após os ataques terroristas de 11 de Setembro de 2001, os Estados Unidos adoptaram uma legislação que dispõe que as transportadoras aéreas que assegurem ligações com destino ou partida no território dos Estados Unidos ou que por ele passem são obrigadas a fornecer às autoridades aduaneiras americanas um acesso electrónico aos dados contidos nos seus sistemas automáticos de reserva e de controlo das partidas, denominados «Passenger Name Records» (a seguir «PNR») (5). Reconhecendo a legitimidade dos interesses de segurança em questão, a Comissão das Comunidades Europeias informou as autoridades dos Estados Unidos, no mês de Junho de 2002, de que estas disposições podiam entrar em conflito com a legislação comunitária e com a dos Estados‑Membros em matéria de protecção de dados pessoais, bem como com certas disposições do Regulamento sobre a utilização dos sistemas informatizados de reserva (SIR) (6). As autoridades dos Estados Unidos adiaram a entrada em vigor das novas disposições, mas recusaram abdicar da imposição de sanções às companhias aéreas que não se adaptassem às referidas disposições após 5 de Março de 2003. Desde então, várias grandes companhias aéreas estabelecidas nos Estados‑Membros facultaram às autoridades americanas o acesso aos seus PNR.
5. A Comissão encetou com as autoridades americanas negociações que deram origem à elaboração de um documento que continha compromissos por parte do CBP, com vista à adopção, pela Comissão, de uma decisão, relativa à constatação da adequação do nível de protecção dos dados pessoais oferecido pelos Estados Unidos, com base no artigo 25.°, n.° 6, da Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (7).
6. Em 13 de Junho de 2003, o chamado grupo «artigo 29.°» sobre a protecção de dados (8) emitiu um parecer em que exprimiu dúvidas quanto ao nível de protecção assegurado por esses compromissos relativamente aos tratamentos de dados previstos (9). Reiterou as suas dúvidas noutro parecer, este de 29 de Janeiro de 2004 (10).
7. Em 1 de Março de 2004, a Comissão apresentou ao Parlamento o projecto da decisão de adequação, acompanhado do projecto da declaração de compromisso do CBP.
8. Em 17 de Março de 2004, a Comissão transmitiu ao Parlamento, na perspectiva da consulta deste nos termos do artigo 300.°, n.° 3, primeiro parágrafo, CE, uma proposta de decisão do Conselho da União Europeia relativa à celebração de um acordo entre a Comunidade e os Estados Unidos. Por carta de 25 de Março de 2004, o Conselho, invocando o processo de urgência previsto no artigo 112.° do Regimento do Parlamento (que passou a artigo 134.°), solicitou a emissão do parecer do Parlamento sobre esta proposta até 22 de Abril de 2004, o mais tardar. Na sua carta, o Conselho salienta que «[a] luta contra o terrorismo, que justifica as medidas propostas, é uma prioridade essencial da União Europeia. As transportadoras aéreas e os passageiros encontram‑se actualmente numa situação de incerteza que deve ser resolvida urgentemente. Além disso, é essencial proteger os interesses financeiros das partes envolvidas».
9. Em 31 de Março de 2004, em aplicação do artigo 8.° da decisão do Conselho, de 28 de Junho de 1999, que fixa as regras de exercício das competências de execução atribuídas à Comissão (11), o Parlamento adoptou uma resolução que exprime algumas reservas de ordem jurídica quanto a esta abordagem. O Parlamento considerou, em especial, que o projecto de decisão de adequação excedia as competências atribuídas à Comissão pelo artigo 25.° da Directiva 95/46. Apelou à celebração de um acordo internacional adequado, respeitando os direitos fundamentais, e pediu à Comissão que lhe apresentasse um novo projecto de decisão. Além disso, reservou‑se o direito de pedir ao Tribunal de Justiça que fiscalizasse a legalidade do acordo internacional em questão e, em especial, a sua compatibilidade com a protecção do direito ao respeito da vida privada.
10. Em 21 de Abril de 2004, o Parlamento aprovou, a pedido do seu presidente, uma recomendação da comissão dos assuntos jurídicos e do mercado interno no sentido de pedir ao Tribunal de Justiça um parecer sobre a compatibilidade do acordo em causa com o Tratado, nos termos do artigo 300.°, n.° 6, CE, processo esse a que foi dado início no mesmo dia. O Parlamento decidiu também, na mesma data, devolver à comissão o relatório sobre a proposta de decisão do Conselho, rejeitando assim implicitamente, nesta fase, o pedido de urgência do Conselho de 25 de Março de 2004.
11. Em 28 de Abril de 2004, o Conselho, baseando‑se no artigo 300.°, n.° 3, primeiro parágrafo, CE, enviou uma carta ao Parlamento pedindo‑lhe para emitir o seu parecer sobre a celebração do acordo antes de 5 de Maio de 2004. Para justificar a urgência, o Conselho retomou os fundamentos invocados na sua carta de 25 de Março de 2004 (12).
12. Em 30 de Abril de 2004, o secretário do Tribunal de Justiça informou o Parlamento de que o Tribunal tinha fixado o prazo de 4 de Junho de 2004 para a apresentação das observações dos Estados‑Membros, do Conselho e da Comissão no pedido de parecer 1/04.
13. Em 4 de Maio de 2004, o Parlamento rejeitou o pedido de urgência que o Conselho lhe tinha apresentado em 28 de Abril (13). Dois dias depois, o presidente do Parlamento dirigiu‑se ao Conselho e à Comissão pedindo‑lhes para não darem seguimento aos seus projectos enquanto o Tribunal de Justiça não proferisse o parecer pedido em 21 de Abril de 2004.
14. Em 14 de Maio de 2004, a Comissão adoptou a decisão sobre o nível de protecção adequado dos dados pessoais contidos nos registos dos passageiros aéreos transferidos para o CBP, em conformidade com o artigo 25.°, n.° 6, da Directiva 95/46.
15. Em 17 de Maio de 2004, o Conselho adoptou a decisão relativa à celebração de um acordo entre a Comunidade e os Estados Unidos sobre o tratamento e a transferência de dados PNR por parte das transportadoras aéreas para o CBP.
16. Por carta de 9 de Julho de 2004, o Parlamento informou o Tribunal de Justiça de que retirava o seu pedido de parecer 1/04 (14). Posteriormente, decidiu dar seguimento contencioso aos diferendos que o opunham ao Conselho e à Comissão.
II – Quadro jurídico de ambos os processos
A – O Tratado UE
17. Nos termos do artigo 6.° UE:
«1. A União assenta nos princípios da liberdade, da democracia, do respeito pelos direitos do Homem e pelas liberdades fundamentais, bem como do Estado de direito, princípios que são comuns aos Estados‑Membros.
2. A União respeitará os direitos fundamentais tal como os garante a Convenção Europeia de Salvaguarda dos Direitos do Homem e das Liberdades Fundamentais, assinada em Roma em 4 de Novembro de 1950, e tal como resultam das tradições constitucionais comuns aos Estados‑Membros, enquanto princípios gerais do direito comunitário.
[…]»
B – O Tratado que institui a Comunidade Europeia
18. O artigo 95.°, n.° 1, CE dispõe:
«Em derrogação do artigo 94.° e salvo disposição em contrário do presente Tratado, aplicam‑se as disposições seguintes à realização dos objectivos enunciados no artigo 14.° O Conselho, deliberando de acordo com o procedimento previsto no artigo 251.°, e após consulta do Comité Económico e Social, adopta as medidas relativas à aproximação das disposições legislativas, regulamentares e administrativas dos Estados‑Membros, que tenham por objecto o estabelecimento e o funcionamento do mercado interno».
19. No que respeita ao processo de celebração de acordos internacionais pela Comunidade, o artigo 300.°, n.° 2, primeiro parágrafo, CE, prevê, no seu primeiro período, que «[s]em prejuízo das competências reconhecidas à Comissão nesta matéria, a assinatura [...] bem como a celebração dos acordos, são decididas pelo Conselho, deliberando por maioria qualificada, sob proposta da Comissão».
20. O artigo 300.°, n.° 3, CE tem a seguinte redacção:
«O Conselho celebra os acordos após consulta do Parlamento Europeu, excepto nos casos previstos no n.° 3 do artigo 133.°, inclusivamente quando o acordo seja relativo a um domínio para o qual se exija o procedimento previsto no artigo 251.° ou no artigo 252.° para a adopção de normas internas. O Parlamento Europeu dará o seu parecer num prazo que o Conselho pode fixar em função da urgência da questão. Na falta de parecer nesse prazo, o Conselho pode deliberar.
Em derrogação do disposto no parágrafo anterior, serão celebrados após parecer favorável do Parlamento Europeu os acordos a que se refere o artigo 310.°, bem como os demais acordos que criem um quadro institucional específico mediante a organização de processos de cooperação, os acordos com consequências orçamentais significativas para a Comunidade e os acordos que impliquem a alteração de um acto adoptado segundo o procedimento previsto no artigo 251.°
O Conselho e o Parlamento Europeu podem, em caso de urgência, fixar um prazo para o parecer favorável.»
C – O direito europeu sobre a protecção de dados pessoais
21. O artigo 8.° da Convenção para a Protecção dos Direitos do Homem e das Liberdades Fundamentais (a seguir «CEDH») dispõe:
«1. Qualquer pessoa tem direito ao respeito da sua vida privada e familiar, do seu domicílio e da sua correspondência.
2. Não pode haver ingerência da autoridade pública no exercício deste direito senão quando esta ingerência estiver prevista na lei e constituir uma providência que, numa sociedade democrática, seja necessária para a segurança nacional, para a segurança pública, para o bem‑estar económico do país, a defesa da ordem e a prevenção das infracções penais, a protecção da saúde ou da moral, ou a protecção dos direitos e das liberdades de terceiros.»
22. O direito europeu sobre a protecção de dados foi concebido, inicialmente, no âmbito do Conselho da Europa. A Convenção para a Protecção das Pessoas relativamente ao Tratamento Automatizado de Dados de Carácter Pessoal foi assim aberta à assinatura dos Estados‑Membros do Conselho da Europa, em Estrasburgo, em 28 de Janeiro de 1981 (15). O seu objectivo é garantir, no território de cada Parte contratante, a todas as pessoas singulares, seja qual for a sua nacionalidade ou residência, o respeito pelos seus direitos e liberdades fundamentais, e especialmente pelo seu direito à vida privada, face ao tratamento automatizado dos dados de carácter pessoal que lhes digam respeito.
23. No que toca à União Europeia, além do seu artigo 7.°, relativo ao respeito pela vida privada e familiar, o artigo 8.° da Carta dos Direitos Fundamentais da União Europeia (16) é especificamente dedicado à protecção dos dados pessoais. Tem a seguinte redacção:
«1. Todas as pessoas têm direito à protecção dos dados de carácter pessoal que lhes digam respeito.
2. Esses dados devem ser objecto de um tratamento leal, para fins específicos e com o consentimento da pessoa interessada ou com outro fundamento legítimo previsto por lei. Todas as pessoas têm o direito de aceder aos dados coligidos que lhes digam respeito e de obter a respectiva rectificação.
3. O cumprimento destas regras fica sujeito a fiscalização por parte de uma autoridade independente.»
24. No que toca ao direito comunitário primário, o artigo 286.° CE prevê, no seu n.° 1, que, «[a] partir de 1 de Janeiro de 1999, os actos comunitários relativos à protecção das pessoas singulares em matéria de tratamento de dados de carácter pessoal e de livre circulação desses dados serão aplicáveis às instituições e órgãos instituídos pelo presente Tratado, ou com base nele» (17).
25. Em direito comunitário derivado, a norma base nesta matéria é a Directiva 95/46 (18). A sua conexão com os textos do Conselho da Europa resulta explicitamente dos décimo e décimo primeiro considerandos da referida directiva. O décimo considerando indica, com efeito, que «o objectivo das legislações nacionais relativas ao tratamento de dados pessoais é assegurar o respeito dos direitos e liberdades fundamentais, nomeadamente do direito à vida privada, reconhecido não só no artigo 8.° da [CEDH] como nos princípios gerais do direito comunitário; […] por este motivo, a aproximação das referidas legislações não deve fazer diminuir a protecção que asseguram, devendo, pelo contrário, ter por objectivo garantir um elevado nível de protecção na Comunidade». Além disso, o décimo primeiro considerando da Directiva 95/46 indica que «os princípios da protecção dos direitos e liberdades das pessoas, nomeadamente do direito à vida privada, contidos na presente directiva, precisam e ampliam os princípios contidos na Convenção [n.° 108]».
26. Adoptada com base no artigo 100.°‑A do Tratado CE (que passou, após alteração, a artigo 95.° CE), a Directiva 95/46 tem origem na ideia expressa no seu terceiro considerando, segundo a qual «o estabelecimento e o funcionamento do mercado interno […] exigem não só que os dados pessoais possam circular livremente de um Estado‑Membro para outro, mas igualmente, que sejam protegidos os direitos fundamentais das pessoas». Mais precisamente, o legislador comunitário partiu da constatação de que «as diferenças entre os Estados‑Membros quanto ao nível de protecção dos direitos e liberdades das pessoas, nomeadamente do direito à vida privada, no domínio do tratamento de dados pessoais, podem impedir a transmissão desses dados do território de um Estado‑Membro para o de outro Estado‑Membro» (19), o que pode, nomeadamente, ter como efeito obstar ao exercício de actividades à escala comunitária e falsear a concorrência. O legislador comunitário considerou também que «para eliminar os obstáculos à circulação de dados pessoais, o nível de protecção dos direitos e liberdades das pessoas no que diz respeito ao tratamento destes dados deve ser equivalente em todos os Estados‑Membros» (20). Esta abordagem deve ter como resultado que, «devido à protecção equivalente resultante da aproximação das legislações nacionais, os Estados‑Membros deixarão de poder levantar obstáculos à livre circulação entre si de dados pessoais por razões de protecção dos direitos e liberdades das pessoas, nomeadamente do direito à vida privada» (21).
27. O artigo 1.° da Directiva 95/46, intitulado «Objecto da directiva», coloca em prática esta abordagem nos termos seguintes:
«1. Os Estados‑Membros assegurarão, em conformidade com a presente directiva, a protecção das liberdades e dos direitos fundamentais das pessoas singulares, nomeadamente do direito à vida privada, no que diz respeito ao tratamento de dados pessoais.
2. Os Estados‑Membros não podem restringir ou proibir a livre circulação de dados pessoais entre Estados‑Membros por razões relativas à protecção assegurada por força do n.° 1.»
28. O artigo 2.° da referida directiva define, nomeadamente, as noções de «dados pessoais», de «tratamento de dados pessoais» e de «responsável pelo tratamento».
29. Assim, nos termos do artigo 2.°, alínea a), da Directiva 95/46, constituem dados pessoais «qualquer informação relativa a uma pessoa singular identificada ou identificável […]; é considerado identificável todo aquele que possa ser identificado, directa ou indirectamente, nomeadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social».
30. Um tratamento de tais dados abrange, segundo o artigo 2.°, alínea b), da referida directiva, «qualquer operação ou conjunto de operações efectuadas sobre dados pessoais, com ou sem meios automatizados, tais como a recolha, registo, organização, conservação, adaptação ou alteração, recuperação, consulta, utilização, comunicação por transmissão, difusão ou qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, apagamento ou destruição».
31. O artigo 2.°, alínea d), da Directiva 95/46 define o responsável pelo tratamento como sendo «a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais […]».
32. Quanto ao âmbito de aplicação material da Directiva 95/46, o artigo 3.°, n.° 1, dispõe que esta «[se aplica] ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos num ficheiro ou a ele destinado».
33. O artigo 3.°, n.° 2, da referida directiva permite conhecer um dos limites do seu âmbito de aplicação material, na medida em que dispõe que:
«A presente directiva não se aplica ao tratamento de dados pessoais:
– efectuado no exercício de actividades não sujeitas à aplicação do direito comunitário, tais como as previstas nos títulos V e VI do Tratado da União Europeia, e, em qualquer caso, ao tratamento de dados que tenha como objecto a segurança pública, a defesa, a segurança do Estado (incluindo o bem‑estar económico do Estado quando esse tratamento disser respeito a questões de segurança do Estado), e as actividades do Estado no domínio do direito penal,
[…]»
34. O capítulo II da Directiva 95/46 é dedicado às «[c]ondições gerais de licitude do tratamento de dados pessoais». Neste capítulo, a secção I respeita aos «[p]rincípios relativos à qualidade dos dados». O artigo 6.° desta directiva enumera estes princípios, de lealdade, de licitude, de finalidade, de proporcionalidade e de exactidão dos tratamentos de dados pessoais. A sua redacção é a seguinte:
«1. Os Estados‑Membros devem estabelecer que os dados pessoais serão:
a) Objecto de um tratamento leal e lícito;
b) Recolhidos para finalidades determinadas, explícitas e legítimas, e que não serão posteriormente tratados de forma incompatível com essas finalidades […];
c) Adequados, pertinentes e não excessivos relativamente às finalidades para que são recolhidos e para que são tratados posteriormente;
d) Exactos e, se necessário, actualizados […];
e) Conservados de forma a permitir a identificação das pessoas em causa apenas durante o período necessário para a prossecução das finalidades para que foram recolhidos ou para que são tratados posteriormente […].
2. Incumbe ao responsável pelo tratamento assegurar a observância do disposto no n.° 1.»
35. A secção II do capítulo II da referida directiva é, por sua vez, dedicada aos «[p]rincípios relativos à legitimidade do tratamento de dados». O artigo 7.°, que constitui esta secção, tem a seguinte redacção:
«Os Estados‑Membros estabelecerão que o tratamento de dados pessoais só poderá ser efectuado se:
a) A pessoa em causa tiver dado de forma inequívoca o seu consentimento
ou
b) O tratamento for necessário para a execução de um contrato no qual a pessoa em causa é parte ou de diligências prévias à formação do contrato decididas a pedido da pessoa em causa
ou
c) O tratamento for necessário para cumprir uma obrigação legal à qual o responsável pelo tratamento esteja sujeito
[…]»
36. No que respeita aos dados pessoais qualificados como «sensíveis», o artigo 8.°, n.° 1, enuncia o princípio da proibição do seu tratamento. Dispõe, com efeito, que «[o]s Estados‑Membros proibirão o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical, bem como o tratamento de dados relativos à saúde e à vida sexual.» Este princípio de proibição comporta, todavia, várias excepções, cujo conteúdo e regime são pormenorizados nos números seguintes do mesmo artigo.
37. Nos termos do artigo 13.°, n.° 1, da Directiva 95/46, intitulado «Derrogações e restrições»:
«Os Estados‑Membros podem tomar medidas legislativas destinadas a restringir o alcance das obrigações e direitos referidos no n.° 1 do artigo 6.°, no artigo 10.°, no n.° 1 do artigo 11.° e nos artigos 12.° e 21.°, sempre que tal restrição constitua uma medida necessária à protecção:
a) Da segurança do Estado;
b) Da defesa;
c) Da segurança pública;
d) Da prevenção, investigação, detecção e repressão de infracções penais e de violações da deontologia das profissões regulamentadas;
e) De um interesse económico ou financeiro importante de um Estado‑Membro ou da União Europeia, incluindo nos domínios monetário, orçamental ou fiscal;
f) De missões de controlo, de inspecção ou de regulamentação associadas, ainda que ocasionalmente, ao exercício da autoridade pública, nos casos referidos nas alíneas c), d) e e);
g) De pessoa em causa ou dos direitos e liberdades de outrem.»
38. O legislador comunitário pretendeu também que o regime de protecção assim estabelecido não fosse colocado em questão quando os dados pessoais saíssem do território comunitário. Verificou‑se, com efeito, que a dimensão internacional dos fluxos de informações (22) tornaria insuficiente, ou mesmo inútil, a existência de uma regulamentação cuja eficácia abrangesse apenas este território. O legislador comunitário optou, portanto, por um sistema que exige, para permitir uma transferência de dados pessoais para um país terceiro, que tal país lhes assegure um «nível de protecção adequado».
39. O legislador comunitário estabelece assim a regra segundo a qual «sempre que um país terceiro não ofereça um nível de protecção adequado, a transferência de dados pessoais para esse país deve ser proibida» (23).
40. Nesta perspectiva, o artigo 25.° da Directiva 95/46 estabelece os princípios a que estão sujeitas as transferências de dados pessoais para países terceiros:
«1. Os Estados‑Membros estabelecerão que a transferência para um país terceiro de dados pessoais objecto de tratamento, ou que se destinem a ser objecto de tratamento após a sua transferência, só pode realizar‑se se, sob reserva da observância das disposições nacionais adoptadas nos termos das outras disposições da presente directiva, o país terceiro em questão assegurar um nível de protecção adequado.
2. A adequação do nível de protecção oferecido por um país terceiro será apreciada em função de todas as circunstâncias que rodeiem a transferência ou o conjunto de transferências de dados; em especial, serão tidas em consideração a natureza dos dados, a finalidade e a duração do tratamento ou tratamentos projectados, os países de origem e de destino final, as regras de direito, gerais ou sectoriais, em vigor no país terceiro em causa, bem como as regras profissionais e as medidas de segurança que são respeitadas nesse país.
3. Os Estados‑Membros e a Comissão informar‑se‑ão mutuamente dos casos em que consideram que um país terceiro não assegura um nível de protecção adequado na acepção do n.° 2.
4. Sempre que a Comissão verificar, nos termos do procedimento previsto no n.° 2 do artigo 31.°, que um país terceiro não assegura um nível de protecção adequado na acepção do n.° 2 do presente artigo, os Estados‑Membros tomarão as medidas necessárias para impedir qualquer transferência de dados de natureza idêntica para o país terceiro em causa.
5. Em momento oportuno, a Comissão encetará negociações com vista a obviar à situação resultante da constatação feita em aplicação do n.° 4.
6. A Comissão pode constatar, nos termos do procedimento previsto no n.° 2 do artigo 31.°, que um país terceiro assegura um nível de protecção adequado na acepção do n.° 2 do presente artigo em virtude da sua legislação interna ou dos seus compromissos internacionais, subscritos nomeadamente na sequência das negociações referidas no n.° 5, com vista à protecção do direito à vida privada e das liberdades e direitos fundamentais das pessoas.
Os Estados‑Membros tomarão as medidas necessárias para dar cumprimento à decisão da Comissão.»
41. Por fim, há que indicar que, no âmbito do título VI do Tratado UE, que é relativo à cooperação policial e judiciária em matéria penal, a protecção de dados pessoais é regida por diferentes instrumentos específicos. Trata‑se, nomeadamente, de instrumentos que instituem sistemas de informação comuns a nível europeu, tais como a Convenção de aplicação do Acordo de Schengen (24) que contém disposições específicas sobre a protecção dos dados no âmbito do sistema de informação Schengen (SIS) (25); a Convenção elaborada com base no artigo K.3 do Tratado da União Europeia que cria um Serviço Europeu de Polícia (26); a decisão do Conselho relativa à criação da Eurojust (27) e as disposições do regulamento interno da Eurojust relativas ao tratamento e à protecção de dados pessoais (28); a Convenção elaborada com base no artigo K.3 do Tratado da União Europeia, sobre a utilização da informática no domínio aduaneiro, que contém disposições relativas à protecção dos dados pessoais aplicáveis ao sistema de informação aduaneira (29), e a Convenção relativa ao auxílio judiciário mútuo em matéria penal entre os Estados‑Membros da União Europeia (30).
42. Em 4 de Outubro de 2005, a Comissão apresentou uma proposta de decisão‑quadro do Conselho relativa à protecção dos dados pessoais tratados no âmbito da cooperação policial e judiciária em matéria penal (31).
III – As decisões impugnadas
43. Examinarei as duas decisões impugnadas segundo a ordem cronológica da sua adopção.
A – A decisão de adequação
44. A decisão de adequação foi adoptada pela Comissão com base no artigo 25.°, n.° 6, da Directiva 95/46, o qual, recorde‑se, lhe confere poderes para constatar que um país terceiro assegura um nível de protecção adequado dos dados pessoais (32). Tal como se indica no segundo considerando desta decisão, «[n]esse caso, podem ser transferidos dados pessoais a partir dos Estados‑Membros sem serem necessárias garantias adicionais».
45. No décimo primeiro considerando da referida decisão, a Comissão indica que «[o] tratamento, pelo CBP, de dados pessoais contidos nos PNR de passageiros aéreos transferidos para esta entidade é regido pelos termos da declaração de compromisso do Bureau of Customs and Border Protection (CBP) do Department of Homeland Security de 11 de Maio de 2004 e na legislação nacional norte‑americana, tal como indicado na declaração». A Comissão constata também, no décimo quarto considerando da mesma decisão, que «[a]s normas pelas quais o CBP se rege para tratar os dados dos PNR dos passageiros com base na legislação norte‑americana e na declaração de compromisso abrangem os princípios básicos necessários a um nível adequado de protecção das pessoas singulares».
46. Consequentemente, o artigo 1.° da decisão de adequação dispõe:
«Para efeitos do n.° 2 do artigo 25.° da Directiva 95/46/CE, considera‑se que [o CBP] assegura um nível adequado de protecção dos dados dos PNR transferidos a partir da Comunidade no que diz respeito a voos com destino a ou provenientes dos Estados Unidos, em conformidade com a declaração de compromisso que figura no anexo I».
47. Além disso, o artigo 3.° da decisão de adequação prevê que a transferência de dados para o CBP pode ser suspensa por iniciativa das autoridades competentes dos Estados‑Membros nas seguintes condições:
«1. Sem prejuízo dos poderes das autoridades competentes dos Estados‑Membros no que se refere à adopção de medidas para garantir o respeito das disposições nacionais adoptadas por força de outras disposições para além das previstas no artigo 25.° da Directiva 95/46/CE, as referidas autoridades podem exercer os poderes de que dispõem para suspender a transferência de dados para o CBP, a fim de proteger as pessoas no que respeita ao tratamento dos seus dados pessoais, sempre que:
a) A autoridade norte‑americana competente verificar que o CBP desrespeita as normas de protecção aplicáveis; ou
b) Seja altamente provável que as normas de protecção constantes do anexo I não estão a ser cumpridas, existam motivos suficientes para crer que o CBP não toma ou não tomará as decisões adequadas na altura devida para resolver o caso em questão, a continuação da transferência dos dados implique o risco iminente de causar graves prejuízos às pessoas em causa e as autoridades competentes dos Estados‑Membros tenham envidado esforços razoáveis, dadas as circunstâncias, para facultar ao CBP informação e oportunidade para responder.
2. A suspensão cessará assim que o respeito das normas de protecção estiver assegurado e a autoridade competente do Estado‑Membro em questão seja disso informada.»
48. Os Estados‑Membros devem informar a Comissão da adopção de medidas ao abrigo do artigo 3.° da decisão de adequação. Além disso, por força do artigo 4.°, n.° 2, desta decisão, os Estados‑Membros e a Comissão devem manter‑se mutuamente informados de qualquer alteração nas normas de protecção e dos casos em que tais normas se afigurem insuficientemente respeitadas. O artigo 4.°, n.° 3, da decisão de adequação dispõe que, na sequência dessa troca de informações, «[s]e a informação recolhida nos termos do artigo 3.° e dos n.os 1 e 2 do presente artigo demonstrar que os princípios básicos necessários a um nível adequado de protecção das pessoas singulares não estão a ser respeitados, ou que os organismos responsáveis por assegurar o cumprimento das normas de protecção pelo CBP não desempenham eficazmente as suas funções, o CBP deverá ser informado e, se necessário, o procedimento referido no n.° 2 do artigo 31.° da Directiva 95/46/CE será aplicado, com vista a revogar ou suspender a presente decisão».
49. Por outro lado, o artigo 5.° da decisão de adequação estabelece a regra segundo a qual a sua aplicação será objecto de uma avaliação, e dispõe que «quaisquer conclusões pertinentes serão comunicadas ao comité criado pelo artigo 31.° da Directiva 95/46/CE».
50. Além disso, o artigo 7.° da decisão de adequação indica que esta «expira três anos e seis meses após a data da sua notificação, a menos que seja prorrogada nos termos do procedimento estabelecido no n.° 2 do artigo 31.° da Directiva 95/46/CE».
51. É junta em anexo à referida decisão a declaração de compromisso do CBP, que explicita, na sua introdução, que tem por objecto o «apoio da intenção» da Comissão no sentido de reconhecer a existência de um nível de protecção adequado dos dados transferidos para o CBP. Segundo os seus termos, esta declaração, que comporta um total de 48 números, «não cria nem confere qualquer direito ou benefício a qualquer pessoa ou parte, quer privada quer pública» (33).
52. Indicarei resumidamente, ao longo dos desenvolvimentos que farei, o conteúdo dos compromissos pertinentes para a resolução do litígio.
53. Por fim, a decisão de adequação contém um anexo «A» que enumera as 34 rubricas dos dados PNR pedidos pelo CBP às companhias aéreas (34).
54. Esta decisão da Comissão é completada pela decisão do Conselho de celebrar um acordo internacional entre a Comunidade Europeia e os Estados Unidos.
B – A decisão do Conselho
55. A decisão do Conselho foi adoptada com base no artigo 95.°, conjugado com o artigo 300.°, n.° 2, primeiro parágrafo, primeiro período, CE.
56. O seu primeiro considerando indica que «[e]m 23 de Fevereiro de 2004, o Conselho autorizou a Comissão a negociar, em nome da Comunidade, um acordo com os Estados Unidos da América sobre o tratamento e a transferência de dados [PNR] por parte das transportadoras aéreas para o [CBP]» (35). O segundo considerando desta decisão refere, por seu lado, que «[o] Parlamento Europeu não deu parecer dentro do prazo que, nos termos do primeiro parágrafo do n.° 3 do artigo 300.° do Tratado, foi fixado pelo Conselho, havendo necessidade urgente de remediar a situação de incerteza em que se encontravam as transportadoras aéreas e os passageiros, e de proteger os interesses financeiros das pessoas em causa».
57. Nos termos do artigo 1.° da decisão do Conselho, o acordo é aprovado em nome da Comunidade. Além disso, o artigo 2.° da referida decisão autoriza o presidente do Conselho a designar as pessoas habilitadas a assinar o Acordo em nome da Comunidade.
58. O texto do acordo é anexo à decisão do Conselho. O artigo 7.° do referido acordo prevê a sua entrada em vigor na data da sua assinatura. Nos termos deste artigo, o acordo, tendo sido assinado em Washington em 28 de Maio de 2004, entrou em vigor nesse mesmo dia (36).
59. No preâmbulo do acordo, a Comunidade e os Estados Unidos reconhecem «a importância de respeitar os direitos e as liberdades fundamentais, nomeadamente o direito à privacidade, e de conciliar o respeito desses valores com a prevenção e a luta contra o terrorismo e a criminalidade que lhe está associada e outros crimes graves de carácter transnacional, nomeadamente a criminalidade organizada».
60. Os textos seguintes são referidos no preâmbulo do acordo: a Directiva 95/46, nomeadamente o seu artigo 7.°, alínea c), os compromissos assumidos pelo CBP e a decisão de adequação (37).
61. As Partes contratantes observam também que «as transportadoras aéreas estabelecidas no território dos Estados Membros da Comunidade Europeia e que dispõem de sistemas de controlo de reservas/partidas deverão tomar medidas para transmitir os dados PNR ao CBP logo que tal seja tecnicamente possível e permitir entretanto às autoridades norte americanas o acesso directo a esses dados, em conformidade com o disposto no presente Acordo» (38).
62. O ponto 1 do acordo prevê, assim, que «[o] CBP pode aceder electronicamente aos dados PNR provenientes dos sistemas de controlo de reservas/partidas […] das transportadoras aéreas estabelecidas no território dos Estados Membros da Comunidade Europeia, em estrita conformidade com a decisão [(39)], enquanto esta for aplicável e só enquanto não for introduzido um sistema satisfatório que permita a transmissão dos dados em causa por parte das transportadoras aéreas».
63. Em complemento dos poderes assim conferidos aos CBP de aceder directamente aos dados PNR, o ponto 2 do acordo impõe às transportadoras aéreas que efectuam voos internacionais de passageiros com destino ou proveniência dos Estados Unidos que procedam ao tratamento dos dados PNR armazenados nos respectivos sistemas informatizados de reserva «nos termos exigidos pelo CBP em aplicação da legislação dos Estados Unidos, em estrita conformidade com a decisão [(40)], durante todo o período de vigência da mesma».
64. Por outro lado, precisa‑se no ponto 3 do acordo que o CBP «toma nota» da decisão de adequação e «declara que cumpre os Compromissos juntos à decisão». Além disso, o ponto 4 do referido acordo prevê que «[o] CBP procederá ao tratamento dos dados PNR recebidos e actuará em relação aos titulares desses dados em conformidade com as leis e disposições constitucionais dos Estados Unidos, sem discriminação ilícita, nomeadamente com base na nacionalidade e no país de residência».
65. Acresce que o CBP e a Comissão Europeia se comprometem a efectuar periodicamente uma revisão conjunta da aplicação do acordo (41). Este prevê também que «[c]aso seja introduzido na União Europeia um sistema de identificação dos passageiros aéreos que obrigue as transportadoras aéreas a facultar às autoridades o acesso aos dados PNR dos passageiros cujo itinerário inclua um voo com destino ou partida da União Europeia, o DHS [Department of Homeland Security] promoverá activamente, na medida do possível e no estrito respeito do princípio de reciprocidade, a cooperação das companhias aéreas sob a sua jurisdição» (42).
66. Além de prever que o acordo entra em vigor na data da sua assinatura, o ponto 7 precisa ainda que qualquer das Partes o pode denunciar a qualquer momento. Nesse caso, o acordo deixa de ser aplicável 90 dias após a data da notificação da denúncia à outra Parte. Prevê‑se, por outro lado, no mesmo ponto que o acordo pode ser alterado a qualquer momento por mútuo acordo consignado por escrito.
67. Por fim, o ponto 8 do acordo dispõe que «[o] presente Acordo não tem por objecto derrogar ou alterar a legislação das Partes, nem confere qualquer direito ou vantagem a qualquer pessoa ou entidade, pública ou privada».
IV – Fundamentos invocados pelo Parlamento nos dois processos
68. No processo C‑317/04, o Parlamento invoca seis fundamentos de anulação da decisão do Conselho:
– a escolha incorrecta do artigo 95.° CE como base jurídica;
– a violação do artigo 300.°, n.° 3, segundo parágrafo, CE, devido a uma alteração da Directiva 95/46;
– a violação do direito à protecção dos dados pessoais;
– a violação do princípio da proporcionalidade;
– a fundamentação insuficiente da decisão em litígio;
– a violação do princípio da cooperação leal previsto no artigo 10.° CE.
69. O Reino Unido da Grã‑Bretanha e da Irlanda do Norte, bem como a Comissão, foram admitidos a intervir em apoio da posição do Conselho (43). Por outro lado, a Autoridade Europeia para a protecção de dados (a seguir «AEPD») foi admitida a intervir em apoio da posição do Parlamento (44).
70. No processo C‑318/04, o Parlamento invoca quatro fundamentos de anulação da decisão de adequação:
– o excesso de poder;
– a violação dos princípios essenciais da Directiva 95/46;
– a violação dos direitos fundamentais;
– a violação do princípio da proporcionalidade.
71. O Reino Unido foi admitido a intervir em apoio da posição da Comissão (45). Além disso, a AEPD foi admitida a intervir em apoio da posição do Parlamento (46).
72. Analisarei os dois recursos segundo a ordem pela qual as decisões impugnadas foram adoptadas. Examinarei, portanto, em primeiro lugar, o recurso que visa a anulação da decisão de adequação (processo C‑318/04) e depois, em segundo lugar, o que visa a anulação da decisão do Conselho (processo C‑317/04).
V – Quanto ao recurso que visa a anulação da decisão de adequação (processo C‑318/04)
A – Quanto ao fundamento segundo o qual a Comissão cometeu um excesso de poder ao adoptar a decisão de adequação
1. Argumentos das partes
73. Em apoio deste fundamento, o Parlamento sustenta, em primeiro lugar, que a decisão de adequação, na medida em que visa atingir um objectivo do âmbito da segurança pública e do direito penal, viola a Directiva 95/46, pois respeita a uma área excluída do âmbito de aplicação material da referida directiva. Esta exclusão está expressamente prevista no artigo 3.°, n.° 2, primeiro travessão, da Directiva 95/46 e não se presta a nenhuma interpretação que possa reduzir o seu alcance. O facto de os dados pessoais terem sido recolhidos no âmbito do exercício de uma actividade económica, a saber, a venda de um bilhete de avião que confere o direito a uma prestação de serviços, não pode justificar a aplicação da referida directiva, nomeadamente do seu artigo 25.°, numa área excluída do seu âmbito de aplicação.
74. Em segundo lugar, o Parlamento alega que o CBP não é um país terceiro na acepção do artigo 25.° da Directiva 95/46. Ora, este artigo prevê, no seu n.° 6, que uma decisão da Comissão que constate um nível adequado de protecção de dados pessoais deve dizer respeito a um «país terceiro», ou seja, um Estado ou uma entidade equiparada, e não uma unidade ou componente administrativa que faça parte do poder executivo de um Estado.
75. Em terceiro lugar, o Parlamento considera que a adopção pela Comissão da decisão de adequação constitui um excesso de poder, na medida em que a declaração de compromisso a ela anexa permite expressamente a transmissão, pelo CBP, de dados PNR a outras autoridades governamentais americanas ou estrangeiras.
76. Em quarto lugar, o Parlamento entende que a decisão de adequação implica certas restrições e derrogações aos princípios constantes da Directiva 95/46, ao passo que o seu artigo 13.° reserva tal poder apenas aos Estados‑Membros. Assim, ao adoptar a decisão de adequação, a Comissão substituiu‑se aos Estados‑Membros e violou, deste modo, o artigo 13.° da referida directiva. Através de um acto de aplicação da Directiva 95/46, a Comissão arrogou‑se competências estritamente reservadas aos Estados‑Membros.
77. Em quinto lugar, o Parlamento desenvolve o argumento segundo o qual a disponibilização dos dados efectuada através do sistema «pull» (extracção) não constitui uma «transferência» na acepção do artigo 25.° da Directiva 95/46, não podendo, portanto, ser admitida.
78. Por último, tendo em conta a interdependência entre a decisão de adequação e o acordo, a referida decisão devia, na opinião do Parlamento, ser considerada uma medida não adequada à imposição das transferências de dados PNR.
79. Ao contrário do Parlamento, a AEPD considera que o facto de dar acesso aos dados a uma pessoa ou a uma instituição de um país terceiro pode ser considerado constitutivo de uma transferência e que, como tal, o artigo 25.° da Directiva 95/46 é aplicável. A AEPD considera, com efeito, que limitar o conceito a uma transferência operada pelo emissor permitiria defraudar as condições estabelecidas por este artigo e lesaria, assim, a protecção dos dados nele prevista.
80. A Comissão, apoiada pelo Reino Unido, entende que as actividades das transportadoras aéreas entram no âmbito de aplicação do direito comunitário e que, consequentemente, a Directiva 95/46 é inteiramente aplicável. O regime estabelecido no âmbito da transferência de dados PNR não tem por objecto as actividades de um Estado‑Membro, ou de autoridades públicas, que não sejam abrangidas pelo âmbito de aplicação do direito comunitário.
81. Além disso, a Comissão observa que o acordo foi assinado em nome dos Estados Unidos e não em nome de um serviço governamental. No que respeita às transferências posteriores dos dados PNR por parte do CBP, a Comissão considera que a protecção dos dados pessoais não é incompatível com a autorização de tais transferências, desde que estas estejam sujeitas às restrições adequadas e necessárias.
82. Por fim, a Comissão observa que o artigo 13.° da Directiva 95/46 não é pertinente para o caso em apreço e que a «transferência», na acepção do artigo 25.° desta directiva, consiste em as transportadoras aéreas colocarem activamente os dados PNR à disposição do CBP. O sistema examinado constitui pois, efectivamente, uma transferência de dados na acepção da Directiva 95/46.
2. Apreciação
83. Através do primeiro fundamento, o Parlamento sustenta que a decisão de adequação constitui uma violação da Directiva 95/46, em especial dos seus artigos 3.°, n.° 2, 13.° e 25.° Alega, nomeadamente, que esta decisão não podia fundar‑se validamente no acto de base que tal directiva constitui.
84. Tal como já referi, a Directiva 95/46 tem como objectivo, com vista ao estabelecimento e ao funcionamento do mercado interno, eliminar os obstáculos à livre circulação de dados pessoais, tornando equivalentes, nos Estados‑Membros, os níveis de protecção dos direitos e liberdades das pessoas relativamente ao tratamento desses dados.
85. O legislador comunitário pretendeu também que o regime de protecção assim estabelecido são seja posto em perigo quando os dados pessoais saiam do território comunitário. Optou, portanto, por um sistema que exige, para admitir a efectuação de uma transferência de dados pessoais para um país terceiro, que tal país assegure a esses dados um nível de protecção adequado. A Directiva 95/46 contém, assim, o princípio segundo o qual, quando um país terceiro não ofereça um nível de protecção adequado, a transferência de dados pessoais para esse país deve ser proibida.
86. O artigo 25.° da referida directiva impõe aos Estados‑Membros e à Comissão uma série de obrigações que visam controlar as transferências de dados pessoais para países terceiros, tendo em conta o nível de protecção concedido a tais dados em cada um desses países. Prevê também o método e os critérios que permitem considerar que um país terceiro assegura um nível de protecção adequado dos dados pessoais que para ele sejam transferidos.
87. O Tribunal de Justiça qualificou o regime relativo à transferência de dados pessoais para países terceiros como um «regime especial, com regras específicas, que visa assegurar o controlo, pelos Estados‑Membros, das transferências de dados de carácter pessoal para países terceiros». Precisou também que se trata de «um regime complementar ao regime geral instituído pelo capítulo II da referida directiva, relativo à licitude do tratamento de dados de carácter pessoal» (47).
88. A especificidade das normas que regem a transferência de dados pessoais para países terceiro explica‑se, em grande parte, pelo papel crucial desempenhado pela noção de protecção adequada. Para delimitar o alcance desta noção, há que a distinguir claramente da noção de protecção equivalente que, por seu lado, exige que o país terceiro reconheça e aplique efectivamente todos os princípios contidos na Directiva 95/46.
89. A noção de protecção adequada significa que o país terceiro deve poder assegurar uma protecção adaptada, segundo um modelo que seja julgado aceitável em termos de grau de protecção dos dados pessoais. Um sistema deste tipo, assente no carácter adequado da protecção assegurada por um país terceiro, deixa uma ampla margem de apreciação aos Estados‑Membros e à Comissão na sua avaliação das garantias estabelecidas no país de destino dos dados. Esta apreciação é orientada pelo artigo 25.°, n.° 2, da Directiva 95/46, que enumera alguns dos factores que podem ser tomados em consideração para efeitos desta avaliação (48). Nesta perspectiva, a regra estabelecida pelo legislador comunitário é a de que «[a] adequação do nível de protecção oferecido por um país terceiro será apreciada em função de todas as circunstâncias que rodeiem a transferência ou o conjunto de transferências de dados».
90. Como o Tribunal de Justiça já declarou, a Directiva 95/46 não define a noção de «transferência para um país terceiro» (49). Não explicita, nomeadamente, se a noção cobre apenas o acto pelo qual um responsável pelo tratamento transmite activamente dados pessoais para um país terceiro, ou se abrange ainda os casos em que uma entidade de um país terceiro é autorizada a aceder a dados situados num Estado‑Membro. Esta directiva é, portanto, omissa quanto à questão de saber qual o método pelo qual pode ser feita uma transferência de dados para um país terceiro.
91. Ao contrário do Parlamento, considero que, no caso em apreço, o acesso aos dados PNR de que o CBP beneficia se integra na noção de «transferência para um país terceiro». Com efeito, o que é determinante para caracterizar tal transferência é, na minha opinião, a circulação dos dados de um Estado‑Membro para um país terceiro, no caso em apreço os Estados Unidos (50). Pouco importa, a este respeito, que a transferência seja feita pelo emissor ou pelo receptor. Com efeito, tal como a AEPD precisa, se o alcance do artigo 25.° da Directiva 95/46 se limitasse às transferências realizadas pelo emissor, seria fácil defraudar as condições estabelecidas por este artigo.
92. Dito isto, há todavia que insistir no facto de o capítulo IV da referida directiva, em que se insere o artigo 25.°, não se destinar a reger todas as transferências de dados pessoais para países terceiros, independentemente da sua natureza. Abrange apenas, nos termos do artigo 25.°, n.° 1, a transferência de dados pessoais «objecto de tratamento, ou que se destinem a ser objecto de tratamento após a sua transferência».
93. Recorde‑se, a este respeito, que, nos termos do artigo 2.°, alínea b), da Directiva 95/46, constitui um tratamento de dados pessoais «qualquer operação ou conjunto de operações efectuadas sobre dados pessoais […] tais como a recolha, registo […] consulta, utilização, comunicação por transmissão, difusão ou qualquer outra forma de colocação à disposição […]» (51).
94. Independentemente da sua especificidade, que assenta em grande parte, como já se viu, na noção de adequação, o regime relativo à transferência de dados pessoais para países terceiros está sujeito ao respeito das regras relativas ao âmbito de aplicação da Directiva 95/46 em que se insere (52).
95. Além disso, para que seja abrangida pelas disposições do artigo 25.° da Directiva 95/46, uma transferência para um país terceiro deve respeitar a dados pessoais cujo tratamento, quer seja efectuado na Comunidade quer esteja apenas previsto no país terceiro, se inclua no âmbito de aplicação da referida directiva. É só neste caso que uma decisão de adequação pode validamente constituir um acto de execução da Directiva 95/46.
96. Recorde‑se, a este respeito que, do ponto de vista do âmbito material, a directiva não se aplica a todos os tratamentos de dados pessoais susceptíveis de se inserirem numa das categorias de operações previstas no seu artigo 2.°, alínea b). Com efeito, o artigo 3.°, n.° 2, primeiro travessão, da Directiva 95/46 dispõe que esta não se aplica ao tratamento de dados pessoais que seja «efectuado no exercício de actividades não sujeitas à aplicação do direito comunitário, tais como as previstas nos títulos V e VI do Tratado da União Europeia, e, em qualquer caso, ao tratamento de dados que tenha como objecto a segurança pública, a defesa, a segurança do Estado (incluindo o bem‑estar económico do Estado quando esse tratamento disser respeito a questões de segurança do Estado), e as actividades do Estado no domínio do direito penal» (53).
97. Ora, na minha opinião, a consulta, a utilização pelo CBP e a colocação à disposição deste último dos dados dos passageiros aéreos provenientes dos sistemas de reserva das transportadoras aéreas situadas no território dos Estados‑Membros constituem tratamentos de dados pessoais que têm como objecto a segurança pública, e que respeitam a actividades do Estado no domínio do direito penal. Estes tratamentos estão, por conseguinte, excluídos do âmbito de aplicação material da Directiva 95/46.
98. Os termos utilizados na decisão de adequação demonstram o objecto dos tratamentos a que são submetidos os dados pessoais dos passageiros aéreos. Assim, depois de indicar que as regras de transferência para o CBP dos dados pessoais contidos nos PNR dos passageiros aéreos se baseiam num diploma aprovado pelos Estados Unidos em Novembro de 2001 e nos regulamentos de execução adoptados pelo CBP nos termos desse diploma (54), a Comissão precisa que um dos objectos da legislação americana é «a melhoria da segurança» (55). Indica‑se também que «[a] Comunidade Europeia está plenamente empenhada em apoiar a luta dos Estados Unidos contra o terrorismo, dentro dos limites impostos pelo direito comunitário» (56).
99. Além disso, o décimo quinto considerando da decisão de adequação dispõe que «os dados dos PNR serão utilizados estritamente para impedir e combater o terrorismo e crimes conexos; outros crimes graves, incluindo o crime organizado, que são, por natureza, transnacionais; e a fuga a mandados judiciais ou à detenção pelos crimes atrás descritos».
100. A Directiva 95/46, nomeadamente o seu artigo 25.°, n.° 6, não pode, na minha opinião, constituir uma base adequada para a adopção pela Comissão de um acto de execução como uma decisão relativa à adequação do nível de protecção de dados pessoais objecto de tratamentos que são expressamente excluídos do seu âmbito de aplicação. A autorização, com base em tal directiva, da transferência de tais dados equivaleria, com efeito, a alargar indirectamente o seu âmbito de aplicação.
101. Ora, há que ter presente que a Directiva 95/46, adoptada com base no artigo 100.°‑A do Tratado CE, define princípios de protecção que devem ser aplicados aos tratamentos de dados pessoais quando as actividades do responsável pelo tratamento sejam abrangidas pelo âmbito de aplicação do direito comunitário, mas que, precisamente devido à escolha da sua base jurídica, não pode reger actividades do Estado, tais como as que respeitam à segurança pública ou prosseguem fins repressivos, que não são abrangidas pelo âmbito de aplicação do direito comunitário (57).
102. É certo que o tratamento constituído pela recolha e registo de dados de passageiros aéreos por parte das companhias aéreas tem, em geral, um fim comercial, na medida em que está directamente associado ao decorrer do voo assegurado pela transportadora aérea. É também correcto considerar que os dados PNR são inicialmente recolhidos pelas companhias aéreas no âmbito de uma actividade que é abrangida pelo direito comunitário, a saber, a venda de um bilhete de avião que confere o direito a uma prestação de serviços. O tratamento dos dados que é tomado em conta na decisão de adequação é, porém, de natureza completamente diferente, na medida em que abrange uma fase posterior à recolha inicial dos dados. Com efeito, respeita, como já se viu, à consulta, à utilização por parte do CBP e à colocação à disposição deste último dos dados dos passageiros aéreos provenientes dos sistemas de reserva das transportadoras aéreas situadas no território dos Estados‑Membros.
103. Na realidade, a decisão de adequação não visa um tratamento de dados necessário para a realização de uma prestação de serviços, antes sendo considerado necessário para salvaguardar a segurança pública e para fins repressivos. É essa, com efeito, a finalidade da transferência e do tratamento de que os dados PNR são objecto. Consequentemente, o facto de os dados pessoais terem sido recolhidos aquando do exercício de uma actividade económica não pode, na minha opinião, justificar a aplicação da Directiva 95/46, e nomeadamente do seu artigo 25.°, num domínio excluído do seu âmbito de aplicação.
104. Estes elementos bastam, na minha opinião, para considerar que, tal como o Parlamento entende, a Comissão não tinha poderes, nos termos do artigo 25.° da Directiva 95/46, para adoptar uma decisão relativa à adequação do nível de protecção de dados pessoais transferidos no quadro e na perspectiva de um tratamento expressamente excluído do âmbito de aplicação da referida directiva (58).
105. Esta decisão de adequação constitui, portanto, uma violação do acto de base constituído pela Directiva 95/46, nomeadamente do seu artigo 25.°, que não é a base apropriada. Por esta razão, entendo que deve ser anulada.
106. Além disso, na medida em que considero que a decisão de adequação escapa ao âmbito de aplicação da Directiva 95/46, não me parece pertinente analisar esta decisão, como o Parlamento pretende no seu segundo fundamento, à luz dos princípios essenciais contidos na referida directiva (59). Considero, portanto, que não há que examinar este segundo fundamento.
107. Quanto aos terceiro e quarto fundamentos do presente recurso, que apenas serão considerados a título subsidiário, não podem, na minha opinião, ser objecto de uma análise separada, uma vez que a constatação de uma eventual violação dos direitos fundamentais pela decisão de adequação implica necessariamente uma avaliação do respeito por este acto do princípio da proporcionalidade, à luz do objectivo que prossegue. Proponho, portanto, ao Tribunal de Justiça que examine conjuntamente estes terceiro e quarto fundamentos.
B – Quanto aos fundamentos relativos à violação dos direitos fundamentais e à violação do princípio da proporcionalidade
108. O Parlamento sustenta que a decisão de adequação não respeita o direito à protecção dos dados pessoais, tal como é garantido pelo artigo 8.° da CEDH. Mais precisamente, à luz das condições impostas por este artigo, entende que tal decisão constitui uma ingerência na vida privada que não pode considerar‑se prevista na lei, uma vez que se trata de uma medida que não é inteligível nem previsível. Além disso, o Parlamento considera que esta medida não é proporcionada ao objectivo que prossegue, tendo em conta, nomeadamente, o número excessivo de rubricas dos PNR pedidas e o período excessivamente longo de conservação dos dados.
109. No recurso interposto no processo C‑317/04, que visa a anulação da decisão do Conselho, o Parlamento invoca também estes dois fundamentos e desenvolve em seu apoio argumentos que com eles coincidem em grande medida. Entendo que estes fundamentos invocados perante o Tribunal de Justiça nos dois processos devem ser objecto de um exame unificado, que me parece adequado efectuar no âmbito dos desenvolvimentos dedicados ao processo C‑317/04.
110. Resulta, com efeito, da argumentação desenvolvida pelas partes nos seus articulados que é impossível apreender separadamente, à luz do direito ao respeito da vida privada, as componentes do regime relativo ao tratamento dos dados PNR por parte do CBP (60), que é constituído pelo acordo, tal como foi aprovado pela decisão do Conselho, pela decisão de adequação e pelos compromissos do CBP anexos à referida decisão da Comissão. As partes remetem, aliás, várias vezes, para um ou outro destes actos, para sustentarem as suas posições.
111. A interdependência entre estas três componentes do regime PNR resulta expressamente do próprios termos do acordo. Com efeito, tanto os compromissos do CBP como a decisão de adequação são referidos no preâmbulo do acordo. Seguidamente, o ponto 1 deste acordo precisa que o CBP pode aceder aos dados PNR «em estrita conformidade com a decisão [de adequação] enquanto esta for aplicável […]». De igual modo, se, nos termos do ponto 2 do referido acordo, as transportadoras aéreas aí indicadas devem proceder ao tratamento dos dados PNR «nos termos exigidos pelo CBP em aplicação da legislação dos Estados Unidos», é ainda «em estrita conformidade com a decisão [de adequação] durante todo o período de vigência da mesma» que isso sucede. Por fim, o ponto 3 do acordo dispõe que «[o] CBP toma nota da decisão [de adequação] e declara que cumpre os Compromissos juntos à decisão».
112. Resulta destes elementos que o direito de acesso aos dados PNR conferido pelo acordo ao CBP, bem como a obrigação de tratamento de tais dados que incumbe às transportadoras aéreas indicadas no referido acordo. estão sujeitos à aplicação estrita e efectiva da decisão de adequação.
113. A interdependência entre as três componentes do regime PNR, tal como o facto de os fundamentos assentes na violação dos direitos fundamentais e no princípio da proporcionalidade serem invocados pelo Parlamento nos dois processos perante o Tribunal de Justiça, levam‑me a entender estes fundamentos no sentido de visarem a declaração pelo Tribunal de Justiça da incompatibilidade do regime PNR, nas suas três componentes, com o direito pelo respeito da vida privada assegurado no artigo 8.° da CEDH. Na minha opinião, seria, com efeito, artificial examinar a decisão de adequação sem ter em conta o acordo, que faz recair certas obrigações sobre as companhias aéreas e, inversamente, examinar este acordo sem tomar com consideração os outros textos aplicáveis, a que este instrumento se refere expressamente.
114. Tendo em conta o facto de o sistema ser composto de vários elementos indissociáveis, a análise não deve ser artificialmente separada.
115. A ingerência na vida privada é, nesta perspectiva, constituída pelo conjunto formado pelo acordo, tal como foi aprovado pela decisão do Conselho, pela decisão de adequação e pelos compromissos do CBP. Para examinar se esta ingerência está prevista na lei, prossegue um objectivo legítimo e é necessária numa sociedade democrática, é preciso ter também em conta, no seu conjunto, o mecanismo «a três velocidades» assim instituído, tal como faz o Parlamento nas suas duas petições. Para obter uma visão global do PNR, procederei a este exame no âmbito do recurso que visa a anulação da decisão do Conselho.
VI – Quanto ao recurso que visa a anulação da decisão do Conselho (processo C‑317/04)
A – Quanto ao fundamento relativo à escolha incorrecta do artigo 95.° CE como base jurídica da decisão do Conselho
1. Argumentos das partes
116. O Parlamento Europeu alega que o artigo 95.° CE não é a base jurídica adequada da decisão do Conselho. Com efeito, na sua opinião, esta decisão não tem por objecto nem como conteúdo o estabelecimento e o funcionamento do mercado interno. A decisão do Conselho tem antes como objectivo legalizar o tratamento dos dados pessoais imposto pela legislação americana às companhias aéreas estabelecidas no território da Comunidade. Esta decisão não especifica a medida em que esta legalização das transferências dos dados para um país terceiro contribui para o estabelecimento ou o funcionamento do mercado interno.
117. Segundo o Parlamento, o conteúdo da decisão do Conselho também não justifica o recurso ao artigo 95.° CE como base jurídica. Esta decisão consiste no estabelecimento do direito de acesso do CBP ao sistema de reservas das companhias aéreas no território da Comunidade, com vista à realização de voos entre os Estados Unidos e os Estados‑Membros, em conformidade com a legislação americana, no sentido de prevenir e lutar contra o terrorismo. Ora, a realização destes objectivos não é abrangida pelo âmbito do artigo 95.° CE.
118. Por fim, o Parlamento acrescenta que o artigo 95.° CE não é susceptível de servir de base à competência da Comunidade para celebrar o acordo em questão, na medida em que este visa tratamentos de dados efectuados com fins de segurança pública e que são, portanto, excluídos do âmbito de aplicação da Directiva 95/46, baseada no referido artigo do Tratado.
119. O Conselho considera, pelo contrário, que a sua decisão se baseia correctamente no artigo 95.° CE. Na sua opinião, este artigo pode servir de base a medidas que visem assegurar que as condições de concorrência no mercado interno não serão falseadas. Sustenta, a este respeito, que o acordo visa eliminar qualquer distorção de concorrência entre as companhias aéreas dos Estados‑Membros e entre estas e as companhias dos países terceiros, que se possa verificar, em resultado das exigências americanas, por razões relativas à protecção dos direitos e liberdades das pessoas. As condições de concorrência entre as companhias dos Estados‑Membros que asseguram um serviço de transporte internacional de passageiros com destino ou partida nos Estados Unidos poderiam ser falseadas se só algumas delas fornecessem às autoridades americanas acesso às suas bases de dados.
120. Nesta ordem de ideias, o Conselho salienta, por um lado, que as companhias aéreas que não respeitassem as exigências americanas poderiam ficar sujeitas à imposição de coimas pelas autoridades americanas, sofrer atrasos nos seus voos e perder passageiros em benefício de outras companhias aéreas que tivessem celebrado acordos com os Estados Unidos. Por outro lado, alguns Estados‑Membros poderiam aplicar sanções às companhias aéreas que transferissem os dados pessoais em questão, ao passo que outros Estados‑Membros não agiriam necessariamente da mesma maneira.
121. Nestas condições, e na falta de uma regulamentação comum relativa ao acesso pelas autoridades americanas aos dados PNR, o Conselho considera que haveria o risco de as condições de concorrência serem falseadas e de se lesar gravemente a unidade do mercado interno. Era portanto necessário, na sua opinião, estabelecer condições harmonizadas que regessem o acesso pelas autoridades americanas a tais dados, salvaguardando simultaneamente as exigências comunitárias no que toca ao respeito dos direitos fundamentais. Trata‑se da imposição a todas as companhias em questão de obrigações harmonizadas e do aspecto externo do estabelecimento e do funcionamento do mercado interno.
122. Por fim, o Conselho observa que o acordo foi celebrado depois da decisão de adequação, adoptada nos termos do artigo 25.°, n.° 6, da Directiva 95/46. Na sua opinião, era, portanto, normal e correcto fundar a decisão de celebração do acordo na mesma base jurídica que a da referida directiva, a saber, o artigo 95.° CE.
123. Nas suas alegações de interveniente, a Comissão salienta que as disposições do preâmbulo do acordo demonstram que, para os Estados Unidos, o objectivo principal é a luta contra o terrorismo, ao passo que para a Comunidade o objectivo principal é a manutenção dos elementos principais da sua legislação sobre a protecção dos dados pessoais.
124. A Comissão observa que, ao criticar a escolha do artigo 95.° CE como base jurídica da decisão do Conselho, o Parlamento não apresenta alternativas credíveis. Segundo a Comissão, este artigo é a base jurídica «natural» da decisão do Conselho, na medida em que a dimensão externa da protecção dos dados pessoais deve basear‑se no artigo do Tratado que serve de base à medida interna que constitui a Directiva 95/46, tanto mais que este aspecto externo está explicitamente previsto nos artigos 25.° e 26.° da referida directiva. Acresce que, tendo em conta os laços estreitos e a interdependência entre o acordo, a decisão de adequação e os compromissos do CBP, se deve entender que o artigo 95.° CE é a base jurídica apropriada. De qualquer modo, a Comissão sustenta que o Conselho tinha poderes para celebrar o acordo com base neste artigo, uma vez que a Directiva 95/46 teria sido afectada, na acepção da jurisprudência AETR (61), se os Estados‑Membros tivessem, separada ou conjuntamente, celebrado tal acordo fora do quadro comunitário.
125. Por fim, a Comissão alega que o tratamento inicial dos dados em questão por parte das companhias aéreas é efectuado com um objectivo comercial. Assim, a sua utilização pelas autoridades americanas não lhes permite subtrair‑se à incidência da Directiva 95/46.
2. Apreciação
126. Através do seu primeiro fundamento, o Parlamento convida o Tribunal de Justiça a averiguar se o artigo 95.° CE constitui a base jurídica apropriada para a decisão do Conselho relativa à celebração pela Comunidade de um acordo internacional como o que está em causa no caso em apreço. Para responder a esta questão, há que aplicar a jurisprudência constante do Tribunal de Justiça segundo a qual a escolha da base jurídica de um acto comunitário deve assentar em elementos objectivos susceptíveis de fiscalização jurisdicional, entre os quais se encontram, nomeadamente, a finalidade e o conteúdo do acto (62). Com efeito, «no quadro do sistema de competências da Comunidade, a escolha do fundamento jurídico de um acto não pode depender somente da convicção de uma instituição quanto ao fim prosseguido […]» (63).
127. Recorde‑se que o Tribunal de Justiça declarou que «a escolha do fundamento jurídico adequado reveste uma importância de natureza constitucional. Com efeito, dado que a Comunidade apenas dispõe de competências de atribuição, deve associar [o acordo internacional em questão] a uma disposição do Tratado que a habilite a aprovar esse acto». Segundo o Tribunal de Justiça, «[o] recurso a uma base jurídica errada é, assim, susceptível de invalidar o próprio acto de celebração e, portanto, de viciar o consentimento da Comunidade para se vincular pelo acordo que subscreveu» (64).
128. Em conformidade com o método de análise aplicado pelo Tribunal de Justiça, examinarei, portanto, se o objectivo e o conteúdo do acordo permitiam ao Conselho adoptar, com base no artigo 95.° CE, uma decisão que tinha por objecto, nos termos do seu artigo 1.°, a aprovação do referido acordo em nome da Comunidade.
129. No que respeita ao objectivo do acordo, resulta expressamente do primeiro parágrafo do seu preâmbulo que o acordo prossegue dois objectivos, a saber, por um lado, a prevenção e a luta contra o terrorismo e a criminalidade que lhe está associada e outros crimes graves de carácter transnacional, nomeadamente a criminalidade organizada (65), e, por outro, o respeito dos direitos e das liberdades fundamentais, nomeadamente do direito à privacidade.
130. A prossecução do objectivo da luta contra o terrorismo e outros crimes graves é atestada pela referência, no segundo parágrafo do preâmbulo do acordo, às leis e regulamentações norte americanas adoptadas na sequência dos atentados terroristas de 11 de Setembro de 2001, que exigem que todas as transportadoras aéreas que efectuam voos internacionais de passageiros com destino ou proveniência dos Estados Unidos facultem ao CBP um acesso electrónico aos dados PNR compilados e armazenados nos respectivos sistemas informatizados de controlo de reservas e de partidas.
131. Quanto ao objectivo referente ao respeito dos direitos fundamentais, nomeadamente do direito à privacidade, surge através da referência à Directiva 95/46. Trata‑se, deste modo, de garantir a protecção dos dados pessoais das pessoas transportadas.
132. É esta garantia que se pretende obter tanto no âmbito dos compromissos assumidos pelo CBP em 11 de Maio de 2004, cuja futura publicação no Federal Register é referida no quarto parágrafo do preâmbulo do acordo, como no da decisão de adequação, à qual se faz referência no quinto parágrafo do mesmo preâmbulo.
133. Estes dois objectivos devem, nos termos do primeiro parágrafo do preâmbulo do acordo, ser prosseguidos simultaneamente. O acordo, celebrado entre a Comunidade e os Estados Unidos, pretende, portanto, conciliar estes dois objectivos, ou seja, assenta na ideia de que a luta contra o terrorismo e outros crimes graves deve ser conduzida com respeito pelos direitos fundamentais, nomeadamente pelo direito à privacidade e, mais especificamente, pelo direito à protecção dos dados pessoais.
134. O conteúdo do acordo confirma esta análise. Com efeito, o seu ponto 1 prevê que o CBP pode aceder, electronicamente, aos dados PNR provenientes dos sistemas de controlo de reservas das transportadoras aéreas situadas no território dos Estados‑Membros «em estrita conformidade» com a decisão de adequação «enquanto esta for aplicável». Retiro daqui a conclusão de que o meio de luta contra o terrorismo e outros crimes graves que o acesso aos dados PNR dos passageiros aéreos constitui só é autorizado pelo acordo na medida em que se reconhece que tais dados gozam, nos Estados Unidos, de um nível de protecção adequado. O conteúdo desta disposição do acordo traduz, assim, a prossecução simultânea dos objectivos da luta contra o terrorismo e outros crimes graves e da protecção dos dados pessoais.
135. Igual constatação se impõe quanto ao exame do ponto 2 do acordo, que obriga as transportadoras aéreas que efectuem voos internacionais de passageiros com destino ou proveniência dos Estados Unidos a proceder ao tratamento dos dados PNR armazenados nos respectivos sistemas informatizados de reserva «nos termos exigidos pelo CBP em aplicação da legislação dos Estados Unidos, em estrita conformidade com a decisão [de adequação], durante todo o período de vigência da mesma». Também aqui a obrigação que passa a recair sobre as transportadoras aéreas com um objectivo de luta contra o terrorismo e outros crimes graves está estreitamente associada a uma protecção adequada dos dados pessoais dos passageiros aéreos.
136. Outras disposições do acordo traduzem os objectivos de luta contra o terrorismo e outros crimes graves e de protecção dos dados pessoais dos passageiros aéreos.
137. Assim, no que toca, especificamente, ao objectivo da protecção dos dados pessoais destes passageiros, indica‑se no ponto 3 do acordo que «[o] CBP toma nota da decisão [de adequação] e declara que cumpre os Compromissos juntos à decisão».
138. Além disso, o ponto 6 do acordo prevê a hipótese de a União Europeia introduzir, por sua vez, um sistema de identificação dos passageiros aéreos que obrigue as transportadoras aéreas a facultar às autoridades competentes o acesso aos dados PNR dos passageiros cujo itinerário inclua um voo com destino ou partida da União Europeia. No caso de vir a aplicar tal medida, o acordo prevê que o Department of Homeland Security «promoverá activamente, na medida do possível e no estrito respeito do princípio de reciprocidade, a cooperação das companhias aéreas sob a sua jurisdição». Trata‑se de uma disposição que traduz, mais uma vez, o objectivo da luta contra o terrorismo e outros crimes graves.
139. Há que precisar a este respeito, em resposta a certos argumentos avançados pela Comissão, que me parece difícil sustentar que o objectivo da luta contra o terrorismo e outros crimes graves é prosseguido unilateral e exclusivamente pelos Estados Unidos, tendo a Comunidade apenas o objectivo de proteger os dados pessoais dos passageiros aéreos (66). Parece‑me, na realidade, que o acordo tem simultaneamente, do ponto de vista de cada uma das Partes contratantes, como finalidade e conteúdo a conciliação do objectivo da luta contra o terrorismo e outros crimes graves com o da protecção dos dados pessoais dos passageiros aéreos. O acordo institui assim uma cooperação entre as Partes contratantes que, simultaneamente, se destina, precisamente, a atingir este duplo objectivo.
140. À luz da finalidade e do conteúdo do acordo, assim descritos, entendo que o artigo 95.° CE não constitui uma base jurídica apropriada para a decisão do Conselho.
141. Há que recordar, a este respeito, que o artigo 95.°, n.° 1, CE, visa a adopção pelo Conselho de medidas relativas à aproximação das disposições legislativas, regulamentares e administrativas dos Estados‑Membros, que tenham por objecto o estabelecimento e o funcionamento do mercado interno.
142. A competência atribuída à Comunidade por este artigo do Tratado é de carácter horizontal, ou seja, não se limita a uma área particular. Assim, a extensão da competência comunitária é definida «com base num critério funcional, estendendo‑se de maneira horizontal ao conjunto das medidas destinadas à realização do ‘mercado interno’» (67).
143. Além disso, resulta da jurisprudência do Tribunal de Justiça que as medidas previstas no artigo 95.°, n.° 1, CE se destinam a melhorar as condições do estabelecimento e do funcionamento do mercado interno e devem ter efectivamente esse objecto, contribuindo para a eliminação de entraves à livre circulação de mercadorias e à livre prestação de serviços bem como para a supressão de distorções de concorrência (68). Resulta também dessa jurisprudência que, se o recurso ao artigo 95.° CE como base jurídica é possível a fim de evitar o aparecimento de obstáculos futuros às trocas comerciais resultantes da evolução heterogénea das legislações nacionais, o aparecimento de tais obstáculos deve ser verosímil e a medida em causa deve destinar‑se à sua prevenção (69).
144. Tal como já referi, o Conselho sustenta que a sua decisão foi validamente adoptada com base no artigo 95.° CE, na medida em que, ao eliminar qualquer distorção da concorrência entre as companhias aéreas dos Estados‑Membros e as dos países terceiros, o acordo com os Estados Unidos contribuiu para evitar um grave prejuízo à unidade do mercado interno.
145. Há que observar, é certo, que o segundo considerando da decisão do Conselho se refere à «necessidade urgente de remediar a situação de incerteza em que se encontravam as transportadoras aéreas e os passageiros, e de proteger os interesses financeiros das pessoas em causa». Esta frase poderia ser entendida no sentido de aludir às sanções que poderiam ser aplicadas pelas autoridades americanas competentes às companhias aéreas que se recusassem a dar acesso aos dados PNR dos seus passageiros, sanções essas que poderiam ter consequências financeiras para as referidas companhias. Poder‑se‑ia admitir que, em tal hipótese, estas sanções com implicações financeiras desfavoráveis para determinadas companhias pudessem dar origem a distorções da concorrência entre todas as companhias aéreas estabelecidas no território dos Estados‑Membros.
146. Por outro lado, pode também admitir‑se que uma diferente atitude por parte dos Estados‑Membros, uns proibindo as companhias aéreas estabelecidas no seu território, sob pena de sanções, de autorizarem a transferência de dados PNR dos seus passageiros e outros não agindo desse modo, seja susceptível de produzir efeitos, ainda que indirectos, sobre o funcionamento do mercado interno, devido às eventuais distorções da concorrência que poderiam surgir entre as companhias aéreas.
147. Há que constatar, porém, que tal objectivo de evitar distorções da concorrência, na medida em que seja efectivamente prosseguido pelo Conselho, apresenta um carácter acessório relativamente aos dois objectivos principais de luta contra o terrorismo e outros crimes graves e de protecção dos dados pessoais dos passageiros, os quais, como já se viu, são expressamente referidos e efectivamente postos em prática nas disposições do acordo.
148. O objectivo que visa evitar as distorções da concorrência, quer seja, como afirma o Conselho, entre as companhias aéreas dos Estados‑Membros ou entre estas e as companhias de países terceiros, não consta explicitamente, por seu lado, de nenhuma das disposições do acordo. É de carácter implícito e, portanto, necessariamente acessório relativamente aos outros dois.
149. Ora, há que recordar que, tal como o Tribunal de Justiça já declarou, «o simples facto de um acto poder ter incidência sobre o estabelecimento e funcionamento do mercado interno não basta para justificar o recurso àquela disposição para sua base jurídica» (70).
150. Mais que tudo, resulta de uma jurisprudência constante do Tribunal de Justiça que se a análise de um acto comunitário demonstrar que este prossegue várias finalidades ou que tem várias componentes e se uma delas for identificável como principal ou preponderante, enquanto a outra é apenas acessória, o acto em questão deve ser fundamentado numa única base jurídica, a saber, a exigida pela finalidade ou componente principal ou preponderante (71). É só a título excepcional, quando se provar que o acto prossegue simultaneamente vários objectivos que se encontram ligados de forma indissociável, sem que um seja secundário e indirecto em relação ao outro, que esse acto deverá ser fundamentado nas diferentes bases jurídicas correspondentes (72). Não é isso que se passa, na minha opinião, no caso em apreço.
151. Observe‑se ainda que, mesmo que se entenda que o acordo prossegue os três objectivos de forma indissociável, a opção do Conselho de basear juridicamente a sua decisão apenas no artigo 95.° CE deve, por força desta jurisprudência, ser julgada inadequada.
152. Resulta, com efeito, da leitura integral do segundo considerando da decisão do Conselho que a «necessidade urgente» que este alegou tem como objectivo principal esclarecer que foi fixado um prazo ao Parlamento para a emissão do seu parecer, em conformidade com o artigo 300.°, n.° 3, primeiro parágrafo, CE, o qual prevê que, no âmbito do procedimento de celebração de acordos, «[o] Parlamento Europeu dará o seu parecer num prazo que o Conselho pode fixar em função da urgência da questão». Este artigo dispõe também que, «[n]a falta de parecer nesse prazo, o Conselho pode deliberar». Foi o que se passou no procedimento seguido com vista à adopção da decisão do Conselho.
153. Por outras palavras, se «a necessidade urgente de remediar a situação de incerteza em que se encontravam as transportadoras aéreas e os passageiros, e de proteger os interesses financeiros das pessoas em causa» pôde efectivamente ser tomada em consideração no procedimento destinado a estabelecer o regime dos dados PNR, parece‑me que esta tomada em consideração preencheu uma função que se situa mais no âmbito do procedimento seguido do que na definição da finalidade e do conteúdo do acordo.
154. Quanto ao argumento do Conselho e da Comissão segundo o qual um acto relativo à dimensão externa da protecção de dados pessoais devia assentar numa base jurídica idêntica à da medida interna que constitui a Directiva 95/46, há que observar que o Tribunal de Justiça já declarou que o facto de uma determinada disposição do Tratado ter sido escolhida como base jurídica para a adopção de actos internos não é suficiente para demonstrar que esta mesma base deve ser igualmente utilizada para a aprovação de um acordo internacional com um objectivo semelhante (73). Além disso, já se demonstrou que o acordo não tem como finalidade principal nem como conteúdo melhorar as condições de funcionamento do mercado interno, ao passo que a Directiva 95/46, adoptada nos termos do artigo 95.° CE, «visa garantir a livre circulação entre Estados‑Membros dos dados pessoais através da harmonização das regras nacionais que protegem as pessoas singulares relativamente ao tratamento de tais dados» (74).
155. Tendo em conta os elementos precedentes, considero que o exame da finalidade e do conteúdo do acordo demonstra que o artigo 95.° CE não é a base jurídica apropriada da decisão do Conselho.
156. Por conseguinte, proponho ao Tribunal de Justiça que julgue procedente o primeiro fundamento invocado pelo Parlamento. Daí decorre que a decisão do Conselho deve ser anulada devido à escolha incorrecta da sua base jurídica.
157. É certo que seria interessante, nesta fase, levantar a questão de saber qual deveria ser a base jurídica apropriada de tal decisão. Há que observar, todavia, que esta questão delicada não foi colocada ao Tribunal de Justiça no âmbito do presente processo. Farei, portanto, apenas algumas observações sobre este problema e, de um modo mais geral, sobre a natureza do regime PNR, tal como foi negociado com os Estados Unidos.
158. Antes de mais, e contrariamente a uma ideia defendida pelo Conselho, a circunstância de o regime PNR não ter sido estabelecido no âmbito das disposições do Tratado UE não é, na minha opinião, susceptível de demonstrar a validade jurídica da abordagem adoptada pelo Conselho e pela Comissão.
159. Seguidamente, de modo mais geral, entendo que um acto que prevê a consulta e a utilização de dados pessoais por uma entidade que tem por função garantir a segurança interna de um Estado, bem como a colocação desses dados à disposição de tal entidade, equivale a um acto de cooperação entre autoridades públicas (75).
160. Além disso, o facto de impor a uma pessoa colectiva a realização de tal tratamento de dados e de a obrigar a proceder a uma transferência de tais dados não me parece substancialmente afastada de uma troca directa de dados entre autoridades públicas (76). É a transmissão obrigatória de dados para fins de segurança e de repressão que é relevante, e não as suas modalidades específicas de uma ou outra situação. O presente processo respeita, na realidade, a uma nova problemática, que é relativa à utilização de dados comerciais com fins repressivos (77).
161. Por fim, há que observar que o Tribunal de Justiça declarou que «a luta contra o terrorismo internacional […] não pode estar ligada a nenhum dos objectivos explicitamente atribuídos à Comunidade pelos artigos 2.° CE e 3.° CE» (78).
162. Tendo em conta o facto de a análise que fiz do primeiro fundamento me ter levado ao propor ao Tribunal de Justiça que anule a decisão do Conselho, com fundamento na escolha incorrecta da sua base jurídica, é apenas a título subsidiário que examinarei os outros fundamentos invocados pelo Parlamento no presente recurso.
B – Quanto ao fundamento relativo à violação do artigo 300.°, n.° 3, segundo parágrafo, CE, devido a uma alteração da Directiva 95/46
1. Argumentos das partes
163. Através deste segundo fundamento, o Parlamento sustenta que o acordo entre a Comunidade e os Estados Unidos só podia ser aprovado em nome da Comunidade respeitando o procedimento previsto no artigo 300.°, n.° 3, segundo parágrafo, CE. Este artigo prevê, com efeito, que «serão celebrados após parecer favorável do Parlamento Europeu […] os acordos que impliquem a alteração de um acto adoptado segundo o procedimento previsto no artigo 251.°». Ora, segundo esta instituição, o acordo em questão implica uma alteração da Directiva 95/46, que foi adoptada segundo o procedimento previsto no artigo 251.° CE.
164. Na opinião do Parlamento, os compromissos que as autoridades americanas aceitaram aplicar em conformidade com o acordo ficam aquém das condições de tratamento dos dados impostas pela Directiva 95/46. Como tal, o acordo produziria o efeito de derrogar certos princípios essenciais da referida directiva e de tornar lícitos tratamentos de dados que não são por ela autorizados. Neste sentido, o acordo altera a Directiva 95/46. Em especial, o Parlamento identifica as seguintes alterações.
165. Em primeiro lugar, o acordo visa a prevenção e a luta contra o terrorismo e outros crimes graves, ao passo que o artigo 3.°, n.° 2, primeiro travessão da Directiva 95/46 exclui do seu âmbito de aplicação as transferências de dados para autoridades públicas de um Estado terceiro por razões associadas à segurança pública desse Estado. O Parlamento observa que os Estados‑Membros previram para esse efeito disposições específicas na Convenção Europol e que se pode considerar, portanto, que existe neste domínio uma complementaridade entre os dois instrumentos, que assentam em bases jurídicas diferentes.
166. Em segundo lugar, a possibilidade concedida às autoridades americanas competentes de acederem directamente aos dados pessoais no interior do território da Comunidade (sistema «pull») constitui também uma alteração da Directiva 95/46. Com efeito, os artigos 25.° e 26.° desta não contêm qualquer disposição que permita que um país terceiro tenha o direito de aceder directamente a estes dados.
167. Em terceiro lugar este acordo, referindo‑se aos compromissos, autoriza o CBP, discricionariamente e numa base casuística, a transmitir dados PNR a autoridades governamentais de repressão ou de luta contra o terrorismo estrangeiras. Esta discrição que é dada às autoridades americanas viola a Directiva 95/46, nomeadamente o seu artigo 25.°, n.° 1, nos termos do qual «a transferência para um país terceiro de dados pessoais […] só pode realizar‑se se […] o país terceiro em questão assegurar um nível de protecção adequado». O Parlamento considera, com efeito, que o sistema de protecção estabelecido na referida directiva seria frustrado se o país terceiro objecto de uma decisão de adequação positiva fosse, seguidamente, livre de transferir os dados pessoais para países que não foram objecto de qualquer avaliação por parte da Comissão.
168. Em quarto lugar, o acordo contém uma alteração da Directiva 95/46 na medida em que o CBP, mesmo que decidisse não utilizar os dados pessoais «sensíveis», está juridicamente autorizado a proceder à sua recolha, o que já constitui um tratamento na acepção do artigo 2.°, alínea b), desta directiva.
169. Em quinto lugar, o Parlamento considera que o acordo altera a referida directiva na medida em que o recurso jurisdicional em caso de violação dos direitos assegurados a todas as pessoas pelas disposições nacionais aplicáveis ao tratamento em questão, tal como se prevê no artigo 22.° da Directiva 95/46, não é devidamente assegurado. Nomeadamente, uma pessoa afectada pela transferência dos seus dados PNR não dispõe de qualquer recurso jurisdicional, por exemplo em caso de dados incorrectos que lhe digam respeito ou de utilização de dados sensíveis, ou ainda de transmissão dos dados para outra autoridade.
170. Em sexto e último lugar, o Parlamento salienta o carácter excessivo do período de conservação dos dados PNR transferidos para o CBP, o que constitui uma alteração da Directiva 95/46, mais especificamente do seu artigo 6.°, n.° 1, alínea e), que prevê a conservação dos dados apenas durante o período «necessário para a prossecução das finalidades para que foram recolhidos ou para que são tratados posteriormente».
171. A AEPD apoia as conclusões do Parlamento no sentido em que, na sua opinião, o acordo tem incidência sobre a Directiva 95/46. Entende que o acordo só podia ser celebrado sob a fiscalização democrática do Parlamento, na medida em que afecta o nível de harmonização das legislações nacionais, tal como é previsto nesta directiva, e até o respeito dos direitos fundamentais. Na sua opinião, a lesão causada ao nível de protecção dos dados pessoais previsto pela referida directiva resulta, nomeadamente, do facto de, tanto no sistema «pull» como no sistema «push», as transportadoras aéreas serem obrigadas a agir em violação da directiva, em especial do seu artigo 6.°, n.° 1, alíneas b) e c). Na medida em que esta lesão do nível de protecção dos dados implica uma alteração da Directiva 95/46, a AEPD considera que as garantias processuais previstas no artigo 300.°, n.° 3, segundo parágrafo, CE não foram respeitadas. Além disso, considera que as «garantias materiais» também não são respeitadas, em especial porque os compromissos do CBP são de carácter não vinculativo.
172. Pelo contrário, o Conselho, apoiado pela Comissão, considera que o acordo não implica uma alteração da Directiva 95/46. Para sustentar esta tese, cita o ponto 8 do referido acordo, nos termos do qual este «não tem por objecto derrogar ou alterar a legislação das Partes». Sustenta também que esta directiva confere à Comissão um amplo poder discricionário para apreciar a adequação da protecção assegurada por um país terceiro. A este respeito, o Conselho entende que a questão de saber se a Comissão ultrapassou os limites da sua margem de apreciação constitui o objecto do recurso de anulação da decisão de adequação no processo C‑318/04.
173. O Conselho recorda também que, na sua opinião, as razões (segurança, luta contra o terrorismo ou outras) que levaram o CBP a exigir a transmissão dos dados PNR não constituem, na perspectiva da Comunidade, nem o objectivo nem o conteúdo do acordo. Além disso, a Directiva 95/46 permite que, no âmbito de aplicação do mercado interno, os dados pessoais possam ser utilizados para fins legítimos, tais como a protecção da segurança de um Estado.
174. De qualquer modo, na opinião do Conselho, mesmo admitindo que a Comunidade não tivesse competência para celebrar o acordo, daí não decorreria necessariamente que o Parlamento tivesse que dar o seu parecer favorável, por o acordo, alegadamente, alterar a Directiva 95/46. Com efeito, o Conselho salienta que o parecer favorável do Parlamento não poderia, em caso algum, ter como efeito o alargamento das competências da Comunidade.
175. Quanto à possibilidade de o CBP aceder directamente aos dados PNR (sistema «pull» actualmente aplicável, enquanto se aguarda que seja posto em prática um sistema «push»), o Conselho admite que, se a Directiva 95/46 não refere explicitamente tal possibilidade, também não a proíbe. Na perspectiva da Comunidade, são as condições de acesso aos dados que são importantes.
176. A Comissão acrescenta a esta argumentação que, independentemente da finalidade da utilização dos dados pessoais por parte do CBP, não deixa de ser verdade que estes dados são e continuam a ser, para as transportadoras aéreas na Comunidade, dados comerciais abrangidos pelo âmbito da Directiva 95/46 que devem, por conseguinte, ser protegidos e tratados em conformidade com a mesma.
2. Apreciação
177. Em matéria de celebração de acordos internacionais pela Comunidade, a consulta do Parlamento constitui o procedimento de direito comum, fora da área da política comercial comum. Esta consulta do Parlamento surge nos termos do artigo 300.°, n.° 3, primeiro parágrafo, CE, inclusivamente nos casos em que o acordo respeite a um domínio para o qual se exija o procedimento de co‑decisão previsto no artigo 251.° para a adopção de normas internas.
178. Em derrogação deste procedimento de direito comum, o artigo 300.°, n.° 3, segundo parágrafo, CE, impõe o parecer favorável do Parlamento em quatro casos, entre os quais, quanto ao que está em causa no caso em apreço, o de o acordo implicar «a alteração de um acto adoptado segundo o procedimento previsto no artigo 251.°». Trata‑se aqui de assegurar ao Parlamento, como co‑legislador, uma fiscalização de uma eventual alteração, por um acordo internacional, de um acto por ele adoptado.
179. A Directiva 95/46 foi adoptada nos termos do procedimento de co‑decisão. O Parlamento sustenta, portanto, que, uma vez que o acordo implica uma alteração da referida directiva, a decisão do Conselho relativa à aprovação desse acordo em nome da Comunidade exigia o seu parecer favorável para ser adoptada em conformidade com as normas previstas no Tratado.
180. Para apreciar o mérito deste fundamento, há que observar, antes de mais, que, na minha opinião, pouco importa que o acordo precise, nos termos do seu ponto 8, que «não tem por objecto derrogar ou alterar a legislação das Partes». O que é importante, com efeito, para determinar a aplicabilidade do artigo 300.°, n.° 3, segundo parágrafo, CE, é verificar se o acordo internacional implica uma alteração do acto comunitário interno, ou seja, se tem como efeito a alteração de tal acto, independentemente do facto de não ser esse o seu objecto.
181. Dito isto, parece que o Tribunal de Justiça ainda não se pronunciou sobre o sentido a dar à expressão, relativamente vaga, de «alteração de um acto adoptado segundo o procedimento previsto no artigo 251.°» (79). Alguns autores interrogaram‑se a este respeito sobre a questão de saber se a expressão «alteração» significa «uma alteração que contrarie o texto» do acto interno ou se «qualquer alteração, mesmo no sentido do texto» do acto interno, é suficiente para exigir o respeito do procedimento do parecer favorável (80).
182. A expressão utilizada no artigo 300.°, n.° 3, segundo parágrafo, CE, leva também a que se levante a questão de saber se, para que seja exigido o parecer favorável, o âmbito de aplicação do acordo projectado deve coincidir, pelo menos em parte, com o do acto interno adoptado, ou se basta o simples facto de um acto interno ter intervindo na base jurídica utilizada para a celebração do referido acordo (81).
183. De um modo geral, entendo que, para que haja uma «alteração» por um acordo internacional de um acto comunitário interno adoptado segundo o procedimento de co‑decisão, uma das condições é a de que o âmbito de aplicação do acordo coincida com o do acto interno. Neste caso, com efeito, uma alteração do acto interno pelo acordo internacional é susceptível de se verificar, quer na medida em que o acordo comporta uma disposição contrária a uma das disposições do acto interno, quer porque o acordo acrescenta algo ao conteúdo do acto interno, mesmo que não haja contrariedade directa.
184. No caso em apreço, parece‑me que o acordo não pôde alterar o conteúdo da Directiva 95/46.
185. A minha opinião assenta, em primeiro lugar, no facto de, tal como resulta da análise que fiz do primeiro fundamento, o acordo ter como objectivo principal a luta contra o terrorismo e outros crimes graves assegurando, simultaneamente, uma protecção dos dados pessoais dos passageiros aéreos. Pelo contrário, a Directiva 95/46 visa assegurar a livre circulação entre os Estados‑Membros dos dados pessoais, através da harmonização das disposições nacionais que protegem as pessoas singulares quanto ao tratamento de tais dados. Os dois actos têm, portanto, dois objectivos bem distintos, apesar de ambos respeitarem ao domínio da protecção dos dados pessoais (82).
186. Em segundo lugar, e em harmonia com a constatação de que os seus objectivos são distintos, verifica‑se que o acordo e a Directiva 95/46 têm âmbitos de aplicação diferentes. Com efeito, enquanto o acordo se aplica a tratamentos de dados pessoais realizados no exercício de actividades relativas à segurança interna dos Estados Unidos e simultaneamente, e mais precisamente, a actividades relativas à luta contra o terrorismo e outros crimes graves, há que recordar que o artigo 3.°, n.° 2, primeiro travessão, da referida directiva exclui expressamente do seu âmbito de aplicação o tratamento de dados pessoais que seja «efectuado no exercício de actividades não sujeitas à aplicação do direito comunitário, tais como as previstas nos títulos V e VI do Tratado da União Europeia, e, em qualquer caso, ao tratamento de dados que tenha como objecto a segurança pública, a defesa, a segurança do Estado (incluindo o bem‑estar económico do Estado quando esse tratamento disser respeito a questões de segurança do Estado), e as actividades do Estado no domínio do direito penal» (83).
187. Tendo em conta o facto de, no caso em apreço, os dois actos apresentarem objectivos e âmbitos de aplicação diferentes, não vejo de que modo o conteúdo de um deles seria susceptível de alterar o do outro. Na verdade, o acordo respeita ao tratamento de dados pessoais cuja cobertura pelo sistema de protecção estabelecido pela Directiva 95/46 foi claramente excluída pelo legislador comunitário. Esta abordagem adoptada pelo legislador comunitário é, aliás, coerente com a escolha da base jurídica da referida directiva, a saber, o artigo 95.° CE.
188. Não me parece que esta análise possa ser refutada pelo argumento da Comissão segundo o qual, independentemente do objectivo da utilização dos dados pessoais pelo CBP, estes não deixam todavia de ser e de continuar a ser, para as transportadoras aéreas na Comunidade, dados comerciais abrangidos pelo âmbito da Directiva 95/46, que devem ser protegidos e tratados em conformidade com a mesma.
189. Recorde‑se, a este respeito, que, se é certo que o tratamento constituído pela recolha e registo dos dados dos passageiros aéreos, por parte das companhias aéreas, tem, geralmente, uma finalidade comercial, na medida em que está directamente associado ao decorrer do voo assegurado pela transportadora aérea, o tratamento dos dados regido pelo acordo tem, todavia, uma natureza completamente diferente, na medida em que, por um lado, abrange uma fase posterior à recolha dos dados e, por outro, prossegue uma finalidade de segurança.
190. À luz de todas estas considerações, entendo que o segundo fundamento invocado pelo Parlamento não é procedente, não devendo ser acolhido.
191. Pelas mesmas razões que as invocadas no âmbito do exame que fiz do processo C‑318/04 (84), passo agora a examinar conjuntamente os terceiro e quarto fundamentos invocados pelo Parlamento, a saber, a violação do direito à protecção de dados pessoais e a violação do princípio da proporcionalidade.
192. Recorde‑se também que, tendo em conta a interdependência entre o acordo, tal como aprovado pela decisão do Conselho, a decisão de adequação e os compromissos do CBP anexos à referida decisão da Comissão, é todo o regime PNR que, na minha opinião, deve ser analisado à luz destes fundamentos (85).
C – Quanto aos fundamentos relativos à violação do direito à protecção dos dados pessoais e à violação do princípio da proporcionalidade
1. Argumentos das partes
193. O Parlamento sustenta que o regime PNR viola o direito à protecção dos dados pessoais, tal como é reconhecido por, nomeadamente, o artigo 8.° da CEDH.
194. Na sua opinião, ao prever que o CBP pode aceder electronicamente aos dados PNR provenientes dos sistemas de reserva das transportadoras aéreas situadas no território dos Estados‑Membros, e ao estipular que essas transportadoras, quando assegurem um serviço de transporte internacional de passageiros com destino ou partida nos Estados Unidos, tratarão os dados PNR em questão em conformidade com o exigido pelo CBP nos termos da legislação americana, o acordo é relativo a um tratamento de dados pessoais que constitui uma ingerência na vida privada, na acepção do artigo 8.° da CEDH. A decisão de adequação também não respeita este artigo.
195. O Parlamento precisa que, para que o artigo 8.° da CEDH não seja violado, tal ingerência deve estar prevista na lei, prosseguir um objectivo legítimo e ser necessária numa sociedade democrática para atingir esse objectivo. Considera que o acordo e a decisão de adequação não reúnem estas condições.
196. No que respeita, em primeiro lugar, à condição de a ingerência dever estar prevista na lei, o Parlamento observa que nem o acordo nem a decisão de adequação cumprem os requisitos de acessibilidade e de previsibilidade da lei que a jurisprudência do Tribunal Europeu dos Direitos do Homem exige. Por um lado, quanto ao requisito da acessibilidade da lei, o Parlamento considera que, ao remeterem de modo geral e impreciso para a legislação americana aplicável, o acordo e a decisão de adequação não contêm em si mesmos os direitos e obrigações que competem aos passageiros e às companhias aéreas europeias. Ora, o imperativo da segurança jurídica exige que um acto comunitário que crie obrigações jurídicas permita aos interessados conhecer com exactidão o alcance das obrigações que o mesmo lhes impõe (86). Além disso, ao contrário do que é exigido pelo requisito de acessibilidade da lei, as leis americanas aplicáveis não estão disponíveis em todas as línguas oficiais da Comunidade. O Parlamento constata também a incorrecção, no preâmbulo do acordo, da referência e da data de adopção da decisão de adequação. Por outro lado, o requisito da previsibilidade da lei não está satisfeito, uma vez que o acordo e a decisão de adequação não contêm com precisão suficiente os direitos e obrigações das companhias aéreas e dos cidadãos estabelecidos na Comunidade. Por outro lado, os passageiros recebem apenas uma informação geral, o que é contrário à obrigação de informação, tal como prevista nos artigos 10.° e 11.° da Directiva 95/46 e 8.°, alínea a), da Convenção n.° 108. Por fim, o acordo e os compromissos do CBP contêm uma série de imprecisões incompatíveis com o artigo 8.° da CEDH.
197. No que respeita, em segundo lugar, à condição segundo a qual, por força do artigo 8.°, n.° 2, da CEDH, a ingerência no direito ao respeito da vida privada deve prosseguir um objectivo legítimo, o Parlamento admite que está preenchida. Recorda, nesta matéria, o apoio que em várias ocasiões manifestou ao Conselho na luta contra o terrorismo.
198. Em terceiro lugar, no que toca à condição segundo a qual a ingerência deve constituir uma providência que, numa sociedade democrática, seja necessária para a segurança nacional, para a segurança pública, para o bem‑estar económico do país, a defesa da ordem e a prevenção das infracções penais, a protecção da saúde ou da moral, ou a protecção dos direitos e das liberdades de terceiros, o Parlamento considera que não está preenchida pelas seguintes razões:
– resulta do n.° 3 dos compromissos do CBP que o tratamento dos dados não é limitado apenas ao objectivo da luta contra o terrorismo, tendo também como finalidade a prevenção e a luta contra outros crimes graves, incluindo a criminalidade organizada e a fuga a mandados judiciais ou à detenção pelos crimes atrás descritos. Na medida em que o tratamento dos dados ultrapassa a luta contra o terrorismo, não é necessário para a realização do objectivo legítimo prosseguido;
– o acordo prevê a transferência de um número excessivo de dados (34), não respeitando, assim, o princípio da proporcionalidade. Na perspectiva do respeito de um nível adequado de protecção dos dados pessoais, 19 destes 34 dados parecem aceitáveis. O Parlamento considera que existe uma «discrepância considerável» entre o número de dados previsto por instrumentos jurídicos comparáveis, aplicáveis ao nível da União Europeia, e o exigido por força do acordo (87). Por outro lado, algumas das rubricas dos PNR solicitadas podem conter dados sensíveis;
– os dados são conservados pelas autoridades americanas durante demasiado tempo, tendo em conta o objectivo prosseguido. Resulta, com efeito, dos compromissos do CBP que, na sequência do acesso em linha aos dados, aberto durante sete dias, por parte dos funcionários autorizados do CBP, todos os dados são conservados durante um período de três anos e meio e, seguidamente, os dados que tenham sido consultados manualmente durante o referido período serão transferidos pelo CBP para um ficheiro de registos apagados, sob a forma de dados em bruto, onde serão conservados durante um período de oito anos antes de serem destruídos. A comparação com os sistemas de informação instituídos, por exemplo, no âmbito da Convenção de aplicação do Acordo de Schengen, da Convenção Europol e da Decisão Eurojust, que prevêem um período de conservação de um a três anos, demonstra o carácter excessivo da duração indicada nos compromissos;
– o acordo não prevê qualquer fiscalização jurisdicional quanto ao tratamento dos dados pelas autoridades americanas. Além disso, na medida em que o acordo e os compromissos não criam direitos para as pessoas cujos dados pessoais são tratados, o Parlamento não vê de que modo poderiam essas pessoas invocá‑los perante os órgãos jurisdicionais americanos;
– o acordo permite a transferência de dados para outras autoridades públicas, ultrapassando assim o que é necessário para combater o terrorismo.
199. A AEPD defende a tese de que o tratamento de seis categorias de dados constitui manifestamente uma violação do direito à vida privada (88). Esta violação resulta também da possibilidade de compor perfis pessoais a partir destes dados. A AEPD secunda os argumentos do Parlamento no sentido de demonstrar que a ingerência não é justificada à luz do artigo 8.°, n.° 2, da CEDH. Considera também que o nível de protecção oferecido pelo CBP não é adequado, na acepção do artigo 25.° da Directiva 95/46, nomeadamente porque o artigo 8.° da CEDH não é respeitado.
200. O Conselho e a Comissão consideram, pelo contrário, que o regime PNR respeita as condições estabelecidas no artigo 8.°, n.° 2, da CEDH, como interpretadas pelo Tribunal Europeu dos Direitos do Homem.
201. No que respeita, em primeiro lugar, à condição de que a ingerência deve estar prevista na lei, o Conselho considera que para satisfazer o requisito da acessibilidade da lei não é necessário que o próprio texto do acordo contenha todas as disposições que possam eventualmente afectar as pessoas em questão. Não é ilícito prever no acordo uma remissão para a decisão de adequação e para os compromissos do CBP que constam do anexo a esta decisão, na medida em que todos estes textos foram publicados no Jornal Oficial da União Europeia. Por outro lado, este não se destina à publicação das leis de países terceiros. Quanto à referência incorrecta à decisão de adequação que consta do preâmbulo do acordo, o Conselho indica que tomará as medidas necessárias para que seja publicada uma rectificação no Jornal Oficial e considera que estes erros de natureza técnica não afectam a acessibilidade dos actos em questão, nos termos da jurisprudência do Tribunal Europeu dos Direitos do Homem. Quanto à condição relativa à previsibilidade da lei, o Conselho considera que o facto de os compromissos do CBP, bem como as leis e exigências constitucionais americanas, não terem sido reproduzidos na íntegra no próprio acordo não constitui uma violação deste requisito. Além disso, os compromissos do CBP, redigidos com precisão suficiente, permitem às pessoas em questão que por ele rejam a sua conduta.
202. Em segundo lugar, no que respeita à condição segundo a qual a ingerência deve prosseguir um objectivo legítimo, o Conselho observa que a luta contra outros crimes graves, que não o terrorismo, se insere em várias das categorias de interesses legítimos referidas no artigo 8.°, n.° 2, da CEDH (nomeadamente a segurança pública, a defesa da ordem e a prevenção das infracções penais). Como tal, o acordo e os compromissos do CBP prosseguem um objectivo legítimo também na medida em que visam esses crimes graves.
203. O Conselho considera, em terceiro lugar, que a ingerência é proporcionada à finalidade pretendida. Mais precisamente, alega que as categorias de dados PNR exigidas pelo CBP são úteis para efeitos de prevenção de actos terroristas ou de criminalidade organizada, bem como para o esclarecimento dos inquéritos que se seguem aos atentados, facilitando a tarefa de identificação das pessoas associadas a grupos terroristas ou à criminalidade organizada. Quanto ao número de dados PNR a transferir, a comparação com os sistemas de informação instituídos no seio da União Europeia não é pertinente uma vez que, além do facto de estes sistemas terem um finalidade e um conteúdo diferentes dos do regime PNR, a necessidade de traçar o perfil de potenciais terroristas exige o acesso a um número superior de dados. No que respeita às três rubricas dos dados PNR que, segundo o Parlamento, poderiam conter dados sensíveis (89), o Conselho observa que o acesso do CBP a estas três rubricas foi estritamente limitado por força do n.° 5 dos compromissos assumidos pelo CBP (90). Além disso, nos termos dos compromissos nos 9, 10 e 11, fica de qualquer modo excluído que o CBP possa utilizar dados sensíveis (91). Quanto ao período de conservação dos dados PNR, o Conselho considera que, tendo em conta o facto de os inquéritos subsequentes aos atentados durarem por vezes vários anos, um período normal de conservação estabelecido em três anos e meio, salvo em casos específicos em que tal período pode ser mais extenso, constitui uma solução equilibrada. Além disso, não há razões para considerar que falta um sistema de fiscalização independente. Por fim, a transferência dos dados para outras autoridades públicas é acompanhada de garantias suficientes; em especial, o CBP só pode transferir dados para outras autoridades públicas casuisticamente, e apenas para o efeito de prevenir ou combater o terrorismo ou outros crimes graves.
204. Na opinião da Comissão, não há dúvida de que o conjunto formado pelo acordo, pela decisão de adequação e pelos compromissos do CBP permite que se verifique alguma ingerência na vida privada, de gravidade variável consoante os dados transmitidos. Esta ingerência está prevista na lei, ou seja, o referido conjunto prossegue um objectivo legítimo, a saber, a conciliação de um conflito entre a lei americana em matéria de segurança pública e as normas comunitárias relativas à protecção dos dados pessoais, e é necessária numa sociedade democrática para atingir esse fim.
205. O Reino Unido considera que, no âmbito da análise de uma eventual violação do direito à protecção dos dados pessoais, a decisão do Conselho, o acordo, a decisão de adequação e os compromissos do CBP devem ser examinados conjuntamente, uma vez que constituem instrumentos jurídicos estreitamente associados. Considera também que são a acessibilidade e a previsibilidade do direito comunitário aplicável que devem ser examinadas, e não as das leis que se aplicam no território dos Estados Unidos. Conjugando o acordo, a decisão de adequação e os compromissos do CBP, o direito comunitário contém, na opinião do Reino Unido, uma exposição clara e completa da posição jurídica de todas as partes afectadas. Além disso, não partilha da opinião de que os compromissos do CBP são, por natureza, unilaterais e podem ser impunemente alterados ou revogados pelas autoridades americanas.
206. Quanto à necessidade da ingerência, o Reino Unido salienta, antes de mais, que a luta contra outros crimes graves é claramente indicada como um objectivo do acordo e representa uma finalidade de ordem pública tão legítima como a luta contra o terrorismo. Seguidamente, o Reino Unido considera que a gama dos dados que podem ser transferidos, o período da sua conservação e a possibilidade da sua transferência para outras autoridades correspondem e são proporcionais a esses objectivos, tendo em conta, em especial, as numerosas garantias incluídas nos compromissos e na decisão de adequação, no sentido de limitar o risco gerado para a vida privada dos passageiros. Por fim, explicita que, na sua opinião, o critério da proporcionalidade deve ser aplicado, tanto nos termos da jurisprudência do Tribunal de Justiça como da do Tribunal Europeu dos Direitos do Homem, à luz da natureza e da importância dos objectivos em questão.
2. Apreciação
207. Através destes fundamentos, o Parlamento sustenta que a decisão do Conselho, bem como a decisão de adequação, violam o direito à protecção dos dados pessoais, tal como é garantido, nomeadamente, no artigo 8.° da CEDH.
208. Segundo jurisprudência constante, os direitos fundamentais fazem parte integrante dos princípios gerais de direito cujo respeito o Tribunal de Justiça garante (92). Para este efeito, o Tribunal de Justiça inspira‑se nas tradições constitucionais comuns aos Estados‑Membros, bem como nas indicações fornecidas pelos instrumentos internacionais relativos à protecção dos direitos do homem em que os Estados‑Membros colaboraram ou a que aderiram. Considera que a CEDH reveste, a este respeito, «um significado particular» (93). Não podem, portanto, ser admitidas na Comunidade medidas incompatíveis com o respeito dos direitos do homem reconhecidos e garantidos desta forma (94). Estes princípios foram retomados no artigo 6.°, n.° 2, UE.
209. No seguimento desta jurisprudência, o Tribunal de Justiça foi levado a incorporar na legalidade comunitária o direito ao respeito da vida privada (95). O direito à protecção dos dados pessoais constitui um dos aspectos do direito ao respeito da vida privada, sendo, portanto, protegido pelo artigo 8.° da CEDH, inclusivamente na ordem jurídica comunitária, através dos princípios gerais de direito.
210. Examinarei a questão de saber se o regime PNR constitui uma violação do direito ao respeito da vida privada seguindo o método de análise que decorre da redacção do artigo 8.° da CEDH. Assim, depois de verificar se o referido regime constitui uma ingerência na vida privada dos passageiros aéreos, determinarei se essa ingerência é devidamente justificada.
a) Quanto à existência de uma ingerência na vida privada
211. Na minha opinião, a existência de uma ingerência na vida privada decorrente do conjunto formado pela decisão do Conselho que aprova o acordo, pela decisão de adequação e pelos compromissos do CBP não suscita qualquer dúvida. Parece‑me manifesto, com efeito, que a consulta, a utilização por parte do CBP e a colocação à disposição deste dos dados dos passageiros aéreos provenientes dos sistemas de reserva das transportadoras aéreas situadas no território dos Estados‑Membros constituem uma intromissão na vida privada destes passageiros por parte de autoridades públicas.
212. Há também que precisar que me parece demonstrada a ingerência na vida privada dos passageiros aéreos, apesar de algumas rubricas dos dados PNR, tomadas isoladamente, poderem ser analisadas no sentido de não violarem individualmente a vida privada dos passageiros em questão. Parece‑me necessário, com efeito, considerar globalmente a lista das rubricas dos dados PNR pedidos pelo CBP, na medida em que o cruzamento destes dados é susceptível de permitir a constituição de perfis pessoais.
213. Uma ingerência na vida privada viola o direito ao respeito da vida privada, salvo se for devidamente justificada.
b) Quanto à justificação da ingerência na vida privada
214. Para que seja admissível, a ingerência na vida privada está sujeita à verificação de três condições: deve estar prevista na lei, visar um objectivo legítimo e apresentar um carácter de necessidade numa sociedade democrática.
i) A ingerência está prevista na lei?
215. Segundo jurisprudência constante do Tribunal Europeu dos Direitos do Homem, esta condição implica que a medida impugnada tenha uma base legal e diga ainda respeito à qualidade da lei em questão (96). O exame da qualidade da lei implica que esta seja acessível aos cidadãos, precisa e previsível nas suas consequências. Tal pressupõe que defina com suficiente precisão as condições e as modalidades da limitação do direito garantido, para permitir ao cidadão reger a sua conduta e beneficiar de protecção adequada contra a arbitrariedade (97).
216. O Parlamento alega que a medida que prevê a ingerência não é acessível nem previsível nas suas consequências. Não partilho desta opinião.
217. Pelo contrário, considero que a leitura da decisão do Conselho e do acordo a ela anexo, bem como a da decisão de adequação, que contém em anexo os compromissos do CBP, permitem às pessoas em questão, a saber, as companhias aéreas e os passageiros aéreos, ser informadas de forma suficientemente precisa para poderem reger a sua conduta.
218. Note‑se, a este respeito, o carácter relativamente pormenorizado dos 48 números da declaração de compromisso do CBP, que fornecem precisões quanto ao quadro jurídico aplicável. Além disso, a decisão de adequação contém no seu preâmbulo as referências da lei americana pertinente e dos regulamentos de execução adoptados pelo CBP ao abrigo dessa lei (98). Parece‑me, portanto, que seria excessivo exigir que as disposições legislativas e regulamentares americanas aplicáveis fossem objecto de publicação integral no Jornal Oficial da União Europeia. Além de este, como o Conselho observa, não se destinar à publicação de leis de países terceiros, considero que a declaração de compromisso do CBP, que foi publicada no Jornal Oficial, contém as informações essenciais sobre o procedimento de utilização dos dados pelo CBP e sobre as garantias que acompanham tal procedimento.
219. Em conformidade com o imperativo da segurança jurídica, as companhias aéreas visadas pelo regime PNR são informadas das obrigações que lhes incumbem por força do acordo, e os passageiros aéreos são informados dos seus direitos, nomeadamente quanto ao acesso aos dados e à sua rectificação (99).
220. É certo que, tendo em conta a interdependência entre os elementos que compõem o regime PNR, é de lamentar que o preâmbulo do acordo contenha erros quanto à referência e à data da decisão de adequação. Estes erros, com efeito, complicam a tarefa de um cidadão europeu que pretenda informar‑se sobre o conteúdo do regime negociado com os Estados Unidos. Na minha opinião, porém, não dificultam excessivamente tal pesquisa, na medida em que a decisão de adequação foi publicada no Jornal Oficial e que os instrumentos de pesquisa, nomeadamente informáticos, permitem que seja facilmente encontrada. Além disso, o Conselho comprometeu‑se a fazer publicar uma rectificação no Jornal Oficial, o que efectivamente fez (100).
221. À luz destas considerações, entendo que deve considera‑se que a ingerência na vida privada dos passageiros aéreos em causa está «prevista na lei», na acepção do artigo 8.°, n.° 2, da CEDH.
ii) A ingerência prossegue um objectivo legítimo?
222. À luz das diferentes finalidades referidas no artigo 8.°, n.° 2, da CEDH, entendo que a ingerência na vida privada que está em causa no presente processo prossegue um objectivo legítimo. É esse o caso, nomeadamente, no que respeita à luta contra o terrorismo.
223. Tal como o Conselho, entendo que a luta contra outros crimes graves, diferentes do terrorismo (101), se insere também em várias das categorias de interesses legítimos mencionadas no artigo 8.°, n.° 2, da CEDH, tais como a segurança nacional, a segurança pública, a defesa da ordem ou a prevenção das infracções penais. Como tal, considero que o regime PNR prossegue um objectivo legítimo também na medida em que visa esses outros crimes graves.
224. Cabe agora verificar a proporcionalidade da ingerência, levantando a questão de saber se é necessária numa sociedade democrática com vista à prevenção e à luta contra o terrorismo e outros crimes graves.
iii) A ingerência é necessária numa sociedade democrática para atingir tal fim?
225. Antes de proceder à verificação precisa do respeito desta condição de proporcionalidade, passo a apresentar algumas observações preliminares quanto ao alcance da fiscalização a exercer pelo Tribunal de Justiça.
226. Segundo o Tribunal Europeu dos Direitos do Homem, o adjectivo «necessário», na acepção do artigo 8.°, n.° 2, da CEDH, implica que esteja em causa «uma necessidade social imperiosa» e que a medida tomada seja «proporcionada ao objectivo legítimo que se pretende alcançar» (102). Além disso, «as autoridades nacionais gozam de uma margem de apreciação cujo alcance depende não só da finalidade, mas igualmente da própria natureza da ingerência» (103).
227. No âmbito da fiscalização da margem de apreciação dos Estados, o Tribunal Europeu dos Direitos do Homem verifica tradicionalmente se os fundamentos invocados para justificar as ingerências são pertinentes e suficientes, e depois se a ingerência é proporcional ao objectivo legítimo prosseguido, verificando então se foi alcançado um equilíbrio entre o interesse geral e os interesses do indivíduo (104). Com base nesta jurisprudência, pôde assim observar‑se que «[o] princípio da proporcionalidade, que traduz uma exigência de adequação entre um objectivo legítimo e os meios utilizados para o atingir, situa‑se, portanto, no cerne da fiscalização da margem nacional de apreciação» (105).
228. A fiscalização da proporcionalidade efectuada pelo Tribunal Europeu dos Direitos do Homem varia em função de parâmetros tais como a natureza do direito e das actividades em questão, o objectivo da ingerência, e a eventual presença de um denominador comum aos sistemas jurídicos dos Estados.
229. No que respeita à natureza do direito e das actividades em questão, quando se trate de um direito estreitamente associado à esfera da intimidade do indivíduo, como o direito à confidencialidade dos dados pessoais relativos à saúde (106), o Tribunal Europeu dos Direitos do Homem parece considerar que a margem de apreciação do Estado é reduzida e que a sua fiscalização jurisdicional deve ser mais estrita (107).
230. Porém, quando o objectivo da ingerência consiste na preservação da segurança nacional (108) ou na luta contra o terrorismo (109), o Tribunal Europeu dos Direitos do Homem tende a reconhecer aos Estados uma margem de apreciação muito ampla.
231. Tendo em conta a natureza e a importância do objectivo da luta contra o terrorismo, que se afigura preponderante no âmbito do regime PNR, e tomando em consideração o contexto politicamente sensível em que decorreram as negociações entre a Comunidade e os Estados Unidos, entendo que, no caso em apreço, o Tribunal de Justiça deve considerar que o Conselho e a Comissão dispunham de uma grande margem de apreciação no que se refere à negociação com as autoridades americanas do conteúdo do regime PNR. Daqui decorre que, para respeitar esta grande margem de apreciação, a fiscalização exercida pelo Tribunal de Justiça quanto à necessidade da ingerência deve, na minha opinião, limitar‑se a averiguar se houve um erro manifesto de apreciação por partes destas duas instituições (110). Ao exercer esta fiscalização restrita, o Tribunal de Justiça evitará assim o risco de se substituir às autoridades políticas comunitárias na apreciação da natureza dos meios mais adequados e oportunos para lutar contra o terrorismo e outros crimes graves.
232. Para estabelecer a extensão da fiscalização que decidir exercer, o Tribunal de Justiça poderia apoiar‑se não só na jurisprudência do Tribunal Europeu dos Direitos do Homem como também na sua própria jurisprudência, segundo a qual considera que quando uma instituição comunitária dispõe de um amplo poder de apreciação num determinado domínio, «[…] só o carácter manifestamente inadequado de uma medida adoptada nesse domínio, em relação ao objectivo que a instituição competente pretende prosseguir, pode afectar a legalidade de tal medida» (111). Esta limitação da fiscalização da proporcionalidade «impõe‑se particularmente» se «o Conselho for levado a efectuar arbitragens entre interesses divergentes e a fazer opções no âmbito das decisões políticas que se prendem com as suas responsabilidades» (112). A limitação da fiscalização pode também justificar‑se pela circunstância de, numa determinada área de actuação, uma instituição comunitária ser levada a efectuar apreciações complexas (113).
233. Parece‑me que esta jurisprudência e as razões que lhe estão subjacentes devem ser aplicadas ao caso em apreço na medida em que, no âmbito da elaboração do regime PNR, o Conselho e a Comissão se encontraram perante escolhas políticas entre diferentes interesses difíceis de conciliar e perante apreciações complexas (114). Tal solução seria conforme ao princípio da separação dos poderes que obriga o Tribunal de Justiça a respeitar as responsabilidades políticas que competem aos órgãos legislativos e administrativos comunitários e, por conseguinte, a não se substituir a estes últimos nas escolhas políticas que têm que efectuar.
234. Há agora que verificar precisamente se, ao adoptarem os diferentes elementos que constituem o regime PNR, o Conselho e a Comissão ultrapassaram manifestamente os limites que se impunham à sua margem de apreciação, à luz do direito ao respeito da vida privada e, mais especialmente, do direito à protecção dos dados pessoais dos passageiros aéreos, tendo em conta o objectivo legítimo prosseguido.
235. No âmbito deste exame, o conteúdo da declaração de compromisso do CBP reveste uma importância particular na medida em que contém em pormenor as garantias que acompanham o regime PNR. Observe‑se, a este respeito que, na minha opinião, seria incorrecto considerar que a referida declaração não tem qualquer efeito obrigatório e contém compromissos que podem ser livremente alterados ou revogados pelas autoridades americanas.
236. Com efeito, a declaração de compromisso que, recorde‑se, está anexa à decisão de adequação, constitui uma das componentes do regime PNR e, como tal, o seu desrespeito levaria à paralisação de todo o regime. Sublinhe‑se, a este respeito, que os pontos 1 e 2 do acordo subordinam a obrigação de tratamento dos dados PNR que recai sobre as transportadoras aéreas à aplicação estrita da decisão de adequação, só sendo tal obrigação válida «enquanto esta for aplicável». Além disso, nos termos do ponto 3 do acordo, o CBP «declara que cumpre os Compromissos juntos à decisão». Por fim, os artigos 3.°, 4.° e 5.° da decisão de adequação definem as medidas a tomar em caso de desrespeito das normas de protecção contidas na declaração de compromisso. Entre estas medidas, prevê‑se que as autoridades competentes dos Estados‑Membros poderão suspender a transferência de dados para o CBP e que, em caso de desrespeito dos princípios essenciais necessários para assegurar um nível de protecção adequado das pessoas afectadas, a decisão de adequação poderá ser suspensa ou anulada, tendo como efeito a inaplicabilidade dos pontos 1 e 2 do acordo.
237. Para que o Tribunal de Justiça declare que a ingerência na vida privada destes passageiros não respeita o princípio da proporcionalidade, o Parlamento invoca, em primeiro lugar, o carácter excessivo do número de dados pedido pelo CBP às companhias aéreas. Além disso, considera que algumas das rubricas dos PNR pedidos podem conter dados sensíveis.
238. Entendo que, ao estabelecer a lista das 34 rubricas de dados pessoais anexa à decisão de adequação, a Comissão não aceitou uma medida manifestamente inadequada para atingir o objectivo da luta contra o terrorismo e outros crimes graves. Com efeito, por um lado, há que salientar a importância da actividade de recolha de informações na luta antiterrorista, podendo a obtenção de informações adequadas permitir aos serviços de segurança de uma Estado evitar um eventual ataque terrorista. Nesta perspectiva, a necessidade de traçar o perfil de potenciais terroristas pode exigir o acesso a um número elevado de dados. Por outro lado, a circunstância de outros instrumentos relativos à troca de informações adoptados no seio da União Europeia preverem a transmissão de um número inferior de dados não basta para demonstrar o carácter excessivo do número de dados requeridos no instrumento específico de luta antiterrorista que constitui o regime PNR (115).
239. Além disso, se é certo, como o Parlamento observa, que três das rubricas dos dados requeridos são susceptíveis de conter dados sensíveis (116), há que observar, por um lado, que o acesso do CBP a estas três rubricas foi estritamente limitado nos termos do n.° 5 da declaração de compromisso, por outro lado que, por força dos n.os 9 a 11 da referida declaração, fica excluído que o CBP possa utilizar dados sensíveis e, por fim, que o CBP criou um sistema de filtragem dos referidos dados, em conformidade com os compromissos que assumiu (117).
240. Em segundo lugar, o Parlamento considera que os dados PNR dos passageiros aéreos são conservados pelas autoridades americanas durante demasiado tempo, tendo em conta o objectivo prosseguido.
241. A duração da conservação destes dados é referida no n.° 15 da declaração de compromisso que prevê, essencialmente, o acesso em linha aos referidos dados por parte dos utilizadores autorizados do CBP durante um período inicial de sete dias. Após este período, a consulta dos dados por parte de um número limitado de funcionários autorizados é possível durante um período de três anos e seis meses. Por fim, decorrido este segundo período, os dados que não tenham sido consultados manualmente durante esse lapso de tempo serão destruídos, ao passo que os dados que tenham sido consultados manualmente durante o período de três anos e seis meses serão transferidos pelo CBP para um ficheiro de registos apagados, no qual permanecerão por um período de oito anos antes de serem destruídos (118).
242. Resulta desta disposições que a duração normal de conservação dos dados dos PNR é de três anos e seis meses, excepto quanto aos que tenham sido consultados manualmente durante este período. Entendo que esta duração não é manifestamente excessiva tendo em conta, nomeadamente, o facto de, como o Conselho refere, as investigações na sequência de atentados terroristas ou de outros crimes graves durarem por vezes vários anos. Além disso, se é, em princípio, desejável que os dados pessoais sejam conservados durante um período curto, há, no caso em apreço, que ponderar a duração da armazenagem dos dados PNR com a utilidade que revestem, não só para efeitos de prevenção do terrorismo como mais amplamente para efeitos de repressão.
243. À luz destas considerações, não me parece que o regime de armazenagem dos dados previsto no n.° 15 da declaração de compromisso constitua uma violação manifesta do direito ao respeito da vida privada.
244. Em terceiro lugar, o Parlamento critica o regime PNR por não prever uma fiscalização jurisdicional quanto ao tratamento dos dados pessoais por parte das autoridades americanas.
245. Observe‑se que tanto a Convenção n.° 108 como a Directiva 95/46 prevêem a existência de um recurso jurisdicional em caso de violação das disposições de direito nacional que apliquem as normas contidas nesses dois instrumentos jurídicos (119).
246. À luz do artigo 8.°, n.° 2, da CEDH, entendo que as normas definidas nos n.os 36 e seguintes da declaração de compromisso, que prevêem uma série de garantias em termos de informação, de acesso aos dados e de vias de recurso para os passageiros aéreos em causa, permitem evitar eventuais abusos. O conjunto destas garantias levam‑me a considerar que, tendo em conta a ampla margem de apreciação que, na minha opinião, deve ser reconhecida ao Conselho e à Comissão no caso em apreço, a ingerência na vida privada dos passageiros aéreos é proporcionada ao objectivo legítimo prosseguido pelo regime PNR.
247. Mais precisamente, há que observar que, além das informações de ordem geral que o CBP se comprometeu a fornecer aos passageiros aéreos (120), o n.° 37 da declaração de compromisso prevê que as pessoas em questão possam, em conformidade com a lei sobre a liberdade da informação (121), obter cópia das informações dos PNR que lhes digam respeito e constem da base de dados do CBP (122).
248. É certo que o n.° 38 da declaração de compromisso prevê a faculdade de o CBP, «[e]m certas circunstâncias excepcionais» recusar ou adiar a divulgação da totalidade ou de parte de um ficheiro PNR, por exemplo quando tal divulgação «é de molde a obstruir um processo de execução» ou «se forem divulgadas técnicas e procedimentos das investigações judiciais». Todavia, além do facto de esta faculdade que o CBP pode utilizar estar delimitada pela lei, há que observar que, nos termos do mesmo número da declaração de compromisso, o FOIA prevê que «qualquer requerente pode contestar, por meio de recurso administrativo ou judicial, a decisão do CBP de não comunicar informações» (123).
249. Além disso, no que respeita aos pedidos de rectificação de dados PNR contidos na base de dados do CBP e às queixas dos particulares quanto ao tratamento pelo CBP dos seus dados PNR, o n.° 40 da declaração de compromisso precisa que devem ser enviados para o «Assistant Commissioner» do CBP (124).
250. Quando uma queixa não possa ser decidida pelo CBP, deve ser enviada para o «Chief Privacy Officer [director responsável pela protecção da vida privada junto do Ministério da Segurança Interna]» (125).
251. Por outro lado, nos termos do n.° 42 da declaração de compromisso, prevê‑se que «o Privacy Office do DHS [Serviço da protecção da vida privada do Ministério da Segurança Interna] examinará com urgência as queixas que lhe sejam remetidas pelas APD [autoridades responsáveis pela protecção dos dados] dos Estados‑Membros da União Europeia em nome de um residente da UE, desde que este residente tenha autorizado essas autoridades a agir em seu nome e considere que a sua queixa em matéria de protecção dos dados dos PNR não foi adequadamente tratada pelo CBP (em conformidade com os n.os 37 a 41 da presente declaração de compromisso) ou pelo Privacy Office do DHS».
252. O n.° 42 prevê também, por um lado, que o referido serviço «comunicará as suas conclusões e aconselhará a(s) APD(s) quanto às medidas tomadas, se for esse o caso» e, por outro lado, que o Chief Privacy Officer «fará referência, no seu relatório ao Congresso norte‑americano, a informações quanto ao número, ao teor e à resolução das queixas relativas ao processamento dos dados de carácter pessoal como os dos PNR» (126).
253. O Parlamento salienta, com razão, que o Chief Privacy Officer não é um órgão jurisdicional. Há que observar, todavia, que se trata de um órgão administrativo dotado de um certo grau de independência relativamente ao Ministério da Segurança Interna e cujas decisões são vinculativas (127).
254. Como tal, a possibilidade de os passageiros aéreos apresentarem queixas junto do Chief Privacy Officer e a de beneficiarem de um recurso jurisdicional no âmbito do FOIA constituem garantias importantes à luz do seu direito ao respeito da vida privada. Tendo em conta estas garantias, considero que o Conselho e a Comissão não ultrapassaram os limites que se impunham à sua margem de apreciação no âmbito da adopção do regime PNR.
255. Por fim o Parlamento considera que o regime PNR ultrapassa o que é necessário para combater o terrorismo e outros crimes graves, na medida em que permite a transferência de dados dos passageiros aéreos para outras autoridades públicas. Na sua opinião, o CBP dispõe de um poder discricionário para transmitir dados dos PNR a outras autoridades públicas, incluindo autoridades governamentais estrangeiras, o que, na sua opinião, é incompatível com o artigo 8.°, n.° 2, da CEDH.
256. Não partilho desta opinião. Com efeito, também aqui as garantias que acompanham a transmissão de dados PNR a outras autoridades governamentais permitem, na minha opinião, considerar que a ingerência na vida privada dos passageiros aéreos é proporcionada ao objectivo prosseguido pelo regime PNR.
257. Embora a declaração de compromisso reconheça ao CBP um poder de apreciação importante, há que observar que tal poder é delimitado. Assim, nos termos do n.° 29 da declaração de compromisso, a transmissão de dados PNR a outras autoridades governamentais «de luta contra o terrorismo», «incluindo estrangeiras», só pode ser feita «numa base casuística» e apenas, em princípio, «para efeitos de prevenção ou combate às infracções mencionadas no n.° 3». O CBP deve, nos termos do n.° 30 da referida declaração, verificar se a razão invocada para a divulgação dos dados a outra autoridade é conforme a estes objectivos.
258. É certo que os n.os 34 e 35 da declaração de compromisso procedem a um alargamento das referidas finalidades, na medida em que têm como efeito permitir, respectivamente, por um lado, a utilização ou a divulgação de dados PNR às autoridades governamentais competentes «quando tal divulgação for essencial para a protecção dos interesses vitais do titular dos dados ou de outras pessoas, nomeadamente no caso de riscos sanitários graves» e, por outro, a utilização ou a divulgação de dados PNR «no âmbito de um processo penal ou ao abrigo de outras exigências previstas por lei».
259. Porém, além do facto de estas finalidades estarem em grande medida associadas ao objectivo legítimo prosseguido pelo regime PNR, há que observar que a declaração de compromisso contém um certo número de garantias. Assim, por exemplo, o seu n.° 31 prevê que, «[a] fim de regular a divulgação de dados dos PNR que podem ser transmitidos às outras autoridades designadas, o CBP é considerado o ‘proprietário’ dos dados e essas autoridades designadas ficam sujeitas, em virtude das condições expressas de divulgação» a várias obrigações. Entres estas obrigações que recaem sobre as autoridades destinatárias dos dados, constam, nomeadamente, a de «velar pela eliminação sistemática dos dados dos PNR recebidos, no respeito dos procedimentos de conservação de registos da autoridade designada» e a de «obter uma autorização expressa do CBP para qualquer divulgação posterior».
260. Além disso, o n.° 32 da declaração de compromisso precisa que «[q]ualquer divulgação de dados dos PNR pelo CBP é efectuada na condição de o organismo destinatário tratar os dados em questão como informações confidenciais de carácter comercial e sensíveis, ou como informações confidenciais de carácter pessoal para os passageiros […] que há que considerar como protegidas da divulgação, nos termos da lei FOIA […]». Além disso, indica‑se no mesmo número que «o organismo destinatário será informado de que qualquer divulgação ulterior das informações em causa não é permitida sem a prévia autorização expressa do CBP», não autorizando este, além disso, «qualquer transferência subsequente de dados dos PNR para objectivos diferentes dos previstos nos n.os 29, 34 ou 35». Por fim, o n.° 33 da declaração de compromisso dispõe que «[o]s membros do pessoal das autoridades designadas que divulguem dados dos PNR sem autorização adequada são passíveis de sanções penais».
261. Tomando em consideração todas estas garantias, entendo que há que excluir que o Conselho e a Comissão tenham ultrapassado os limites da ampla margem de apreciação que, na minha opinião, lhes deve ser reconhecida para efeitos de luta contra o terrorismo e outros crimes graves.
262. Daqui resulta que os fundamentos assentes na violação do direito à protecção dos dados pessoais e na violação do princípio da proporcionalidade não são procedentes, não devendo, portanto, ser acolhidos.
D – Quanto ao fundamento relativo à insuficiente fundamentação da decisão do Conselho
263. O Parlamento alega que a decisão do Conselho não respeita o requisito de fundamentação que resulta do artigo 253.° CE. Critica‑a, em especial, por não conter qualquer fundamentação que explique se, e em que medida, este acto tem por objecto o funcionamento do mercado interno.
264. Pelo contrário, o Conselho, apoiado pelo Reino Unido e pela Comissão, considera que a fundamentação da sua decisão respeita os requisitos estabelecidos pelo Tribunal de Justiça.
265. Na minha opinião, a fundamentação da decisão do Conselho, embora sucinta, é suficiente.
266. Segundo jurisprudência constante, a fundamentação exigida pelo artigo 253.° CE «deve ser adaptada à natureza do acto em causa e deixar transparecer, de forma clara e inequívoca, a argumentação da instituição, autora do acto, por forma a permitir aos interessados conhecer as razões da medida adoptada e ao Tribunal exercer o seu controlo». Resulta, além disso, desta jurisprudência, que «não é exigido que a fundamentação especifique todos os elementos de facto e de direito pertinentes, na medida em que a questão de saber se a fundamentação de um acto satisfaz as exigências [do artigo 253.° CE] deve ser apreciada à luz não somente do seu teor literal, mas também do seu contexto e do conjunto das normas jurídicas que regem a matéria em causa» (128).
267. No que respeita à natureza do acto, há que recordar que se trata de uma decisão cujo objecto principal é aprovar, em nome da Comunidade, o acordo ente esta e os Estados Unidos. A referida decisão contém, a este respeito, as precisões necessárias quanto ao procedimento seguido, a saber, uma adopção pelo Conselho em conformidade com o procedimento estabelecido no artigo 300.°, n.° 2, primeiro parágrafo, CE, bem como a indicação de que o Parlamento não emitiu o seu parecer no prazo que lhe tinha sido fixado pelo Conselho nos termos do artigo 300.°, n.° 3, primeiro parágrafo, CE. Observe‑se, ainda, que a decisão do Conselho refere no seu preâmbulo o artigo 95.° CE.
268. Além disso, tendo em conta a particular natureza da referida decisão, que dificilmente se pode isolar completamente do acordo internacional a que diz respeito, a verificação da suficiência da fundamentação deve, na minha opinião, integrar também o preâmbulo do próprio acordo. A este respeito, a leitura conjugada da decisão do Conselho e do preâmbulo do acordo permitem ao Tribunal de Justiça, como é demonstrado pelo exame dos fundamentos anteriores, exercer a sua fiscalização, nomeadamente quanto à adequação da base jurídica escolhida.
269. Consequentemente, considero que o fundamento assente na fundamentação insuficiente da decisão do Conselho não é procedente, não devendo, portanto, ser acolhido.
E – Quanto ao fundamento relativo à violação do princípio da cooperação leal previsto no artigo 10.° CE
270. Através deste fundamento, o Parlamento sustenta que, mesmo que o artigo 300.°, n.° 3, primeiro parágrafo, CE permita ao Conselho fixar‑lhe um prazo, em função da urgência, para emitir o seu parecer, e que o procedimento de pedido de parecer prévio do Tribunal de Justiça, previsto no artigo 300.°, n.° 6, CE, não tenha força suspensiva, o Conselho violou, no âmbito do procedimento de adopção do acordo, o dever de cooperação leal que lhe é imposto pelo artigo 10.° CE.
271. O Conselho, apoiado pela Comissão e pelo Reino Unido, considera, por seu lado, que não violou o princípio da cooperação leal ao celebrar o acordo apesar de o Parlamento ter apresentado ao Tribunal de Justiça um pedido de parecer nos termos do artigo 300.°, n.° 6, CE.
272. O artigo 10.° CE impõe aos Estados‑Membros um dever de cooperação leal face às instituições comunitárias, mas não consagra expressamente o princípio da cooperação leal entre as referidas instituições. O Tribunal de Justiça considerou, porém, que no âmbito do diálogo interinstitucional em que nomeadamente assenta o processo de consulta, prevalecem deveres recíprocos de cooperação leal iguais aos que regem as relações entre os Estados‑Membros e as instituições comunitárias» (129).
273. Resulta da matéria de facto do caso em apreço que, em 17 de Março de 2004, a Comissão transmitiu ao Parlamento a proposta de decisão do Conselho e que, por carta de 25 de Março de 2004, o Conselho pediu ao Parlamento para emitir o seu parecer sobre esta proposta, o mais tardar em 22 de Abril de 2004. Na sua carta, o Conselho salienta que «[a] luta contra o terrorismo, que justifica as medidas propostas, é uma prioridade essencial da União Europeia. As transportadoras aéreas e os passageiros encontram‑se actualmente numa situação de incerteza que deve ser resolvida urgentemente. Além disso, é essencial proteger os interesses financeiros das partes envolvidas».
274. Em 21 de Abril de 2004, o Parlamento decidiu, nos termos do artigo 300.°, n.° 6, CE, obter o parecer do Tribunal de Justiça sobre a compatibilidade do acordo previsto com as disposições do Tratado.
275. Em 28 de Abril de 2004, o Conselho, baseando‑se no artigo 300.°, n.° 3, primeiro parágrafo, CE, enviou uma carta ao Parlamento pedindo‑lhe para emitir o seu parecer sobre a celebração do acordo até 5 de Maio de 2004. Para justificar a urgência, o Conselho reiterou as razões invocadas na sua carta de 25 der Março de 2004.
276. Este pedido de urgência foi recusado pelo Parlamento, cujo presidente pediu, aliás, ao Conselho e à Comissão para não darem seguimento aos seus projectos enquanto o Tribunal de Justiça não proferisse o parecer pedido em 21 de Abril de 2004. O Conselho adoptou, todavia, a decisão impugnada em 17 de Maio de 2004.
277. Não me parece que o Conselho tenha violado a sua obrigação de cooperação leal face ao Parlamento ao adoptar esta decisão de aprovação do acordo em nome da Comunidade antes da conclusão do processo de pedido de parecer ao Tribunal de Justiça, apresentado pelo Parlamento nos termos do artigo 300.°, n.° 6, CE.
278. Com efeito, e como, aliás, o próprio Parlamento reconhece, a apresentação de tal pedido de parecer ao Tribunal de Justiça não tem força suspensiva. Não impede, portanto, o Conselho de tomar a decisão de aprovar o acordo enquanto estiver pendente o referido processo, mesmo que o período que decorre entre a apresentação do pedido de parecer ao Tribunal de Justiça e a decisão que aprova o acordo seja, como no caso em apreço, relativamente curto.
279. Há que indicar, a este respeito, que a inexistência de força suspensivo de um pedido de parecer ao Tribunal de Justiça, apresentado nos termos do artigo 300.°, n.° 6, CE, se pode deduzir tanto da redacção deste artigo, que não prevê tal carácter suspensivo, como da jurisprudência do Tribunal de Justiça. Com efeito, no seu parecer 3/94 (130), este declarou que tal pedido de parecer ficava sem objecto, não tendo o Tribunal de Justiça que lhe dar resposta, se o acordo a que diz respeito, que era um acordo previsto no momento da apresentação do pedido ao Tribunal de Justiça, tivesse entretanto sido celebrado. Precisou também, por um lado, que o procedimento do artigo 300.°, n.° 6, CE «visa, em primeiro lugar […] prevenir as dificuldades que poderiam resultar da incompatibilidade com o Tratado de acordos internacionais que vinculem a Comunidade, e não proteger interesses ou direitos do Estado‑Membro ou da instituição comunitária autor do pedido de parecer» (131) e, por outro, que, «[d]e qualquer modo, o Estado ou a instituição comunitária autor do pedido de parecer pode interpor recurso de anulação da decisão do Conselho de celebrar o acordo […]» (132).
280. Por outro lado, resulta tanto dos elementos dos autos como do segundo considerando da decisão do Conselho que este fundamentou suficientemente a urgência que invocou para obter o parecer do Parlamento num prazo curto, em conformidade com o artigo 300.°, n.° 3, primeiro parágrafo, CE. Observe‑se, por fim, que este último artigo prevê expressamente que, «[n]a falta de parecer nesse prazo, o Conselho pode deliberar».
281. Tendo em conta todos estes elementos, considero que o fundamento relativo à violação pelo Conselho do seu dever de cooperação leal não é procedente e não deve, portanto, ser acolhido.
VII – Quanto às despesas
282. No processo C‑318/04, a procedência do recurso interposto pelo Parlamento implica que a Comissão seja condenada nas despesas, em conformidade com as disposições do artigo 69.°, n.° 2, do Regulamento de Processo do Tribunal de Justiça. Além disso, em aplicação do artigo 69.°, n.° 4, do mesmo regulamento, os intervenientes, a saber, o Reino Unido e a AEPD, suportarão as suas próprias despesas.
283. No processo C‑317/04, a procedência do recurso interposto pelo Parlamento implica que o Conselho seja condenado nas despesas, em conformidade com o disposto no artigo 69.°, n.° 2, do Regulamento de Processo do Tribunal de Justiça. Além disso, em aplicação do artigo 69.°, n.° 4, do mesmo regulamento, os intervenientes, a saber, o Reino Unido, a Comissão e a AEPD, suportarão as suas próprias despesas.
VIII – Conclusão
284. À luz de todas as considerações anteriores, proponho ao Tribunal de Justiça que:
– no âmbito do processo C‑318/04, anule a decisão 2004/535/CE da Comissão, de 14 de Maio de 2004, sobre o nível de protecção adequado dos dados pessoais contidos nos Passenger Name Records transferidos para o Bureau of Customs and Border Protection dos Estados Unidos;
– no âmbito do processo C‑317/04, anule a decisão 2004/496/CE do Conselho, de 17 de Maio de 2004, relativa à celebração de um acordo entre a Comunidade Europeia e os Estados Unidos da América sobre o tratamento e a transferência de dados contidos nos registos de identificação dos passageiros (PNR) por parte das transportadoras aéreas para o Serviço das Alfândegas e Protecção das Fronteiras do Departamento de Segurança Interna dos Estados Unidos.