L_2008218PT.01012901.xml

13.8.2008

Jornal Oficial da União Europeia

L 218/129

DECISÃO 2008/633/JAI DO CONSELHO

de 23 de Junho de 2008

relativa ao acesso para consulta ao Sistema de Informação sobre Vistos (VIS) por parte das autoridades designadas dos Estados-Membros e por parte da Europol para efeitos de prevenção, detecção e investigação de infracções terroristas e outras infracções penais graves

O CONSELHO DA UNIÃO EUROPEIA,

Tendo em conta o Tratado da União Europeia, nomeadamente a alínea b) do n.o 1 do artigo 30.o e a alínea c) do n.o 2 do artigo 34.o,

Tendo em conta a proposta da Comissão,

Tendo em conta o parecer do Parlamento Europeu,

Considerando o seguinte:

(1)

A Decisão 2004/512/CE do Conselho, de 8 de Junho de 2004, que estabelece o Sistema de Informação sobre Vistos (VIS) (1), criou o VIS, um sistema de intercâmbio de dados sobre vistos entre Estados-Membros. A criação do VIS representa uma das iniciativas fundamentais das políticas da União Europeia destinadas a criar um espaço de liberdade, de segurança e de justiça. O VIS deverá ter por objectivo melhorar a aplicação da política comum de vistos e contribuir para reforçar a segurança interna e a luta contra o terrorismo em condições claramente definidas e controladas.

(2)

Na sua reunião de 7 de Março de 2005, o Conselho aprovou conclusões segundo as quais «a fim de realizar plenamente o objectivo de contribuir para a melhoria da segurança interna e a luta contra o terrorismo», deverá ser garantido o acesso ao VIS por parte das autoridades dos Estados-Membros responsáveis pela segurança interna, «no âmbito do exercício das suas competências, no domínio da prevenção e detecção das infracções penais e das investigações nessa matéria, nomeadamente no que se refere aos actos e ameaças terroristas», «na estrita observância das regras relativas à protecção dos dados de carácter pessoal».

(3)

Em matéria de luta contra o terrorismo e outras infracções graves, é essencial que os serviços competentes disponham das mais completas e actualizadas informações nos seus respectivos domínios. Os serviços nacionais competentes dos Estados-Membros necessitam de informações para poderem desempenhar as suas funções. As informações incluídas no VIS podem ser necessárias para efeitos de prevenção e luta contra o terrorismo e as formas graves de criminalidade, devendo, por conseguinte, estar disponíveis, sob reserva das condições estabelecidas na presente decisão, para poderem ser consultadas pelas autoridades designadas.

(4)

Além disso, o Conselho Europeu declarou que a Europol desempenha um papel primordial na cooperação entre as autoridades dos Estados-Membros responsáveis pelas investigações sobre actividades criminosas transfronteiriças, contribuindo para a prevenção, análise e investigação da criminalidade à escala da União Europeia. Consequentemente, a Europol devia também ter acesso aos dados VIS, no âmbito da sua missão e em conformidade com a Convenção de 26 de Julho de 1995, que cria um Serviço Europeu de Polícia. (2)

(5)

A presente decisão vem completar o Regulamento (CE) n.o 767/2008 do Parlamento Europeu e do Conselho, de 9 de Julho de 2008, relativo ao Sistema de Informação sobre Vistos (VIS) e ao intercâmbio de dados entre os Estados-Membros em matéria de vistos de curta duração («Regulamento VIS») (3), na medida em que prevê uma base jurídica ao abrigo do título VI do Tratado da União Europeia, autorizando as autoridades designadas e a Europol a terem acesso ao VIS.

(6)

É necessário designar as autoridades competentes dos Estados-Membros, bem como os pontos centrais por onde é feito o acesso e manter uma lista das unidades operacionais no interior das autoridades designadas que são autorizadas a ter acesso ao VIS para os fins específicos de prevenção, detecção e investigação de infracções terroristas e de outras infracções penais graves, enumeradas na Decisão-Quadro 2002/584/JAI do Conselho, de 13 de Junho de 2002, relativa ao mandado de detenção europeu e aos processos de entrega entre os Estados-Membros (4). É fundamental garantir que o pessoal devidamente habilitado com direito de acesso ao VIS seja restringido àqueles com «necessidade de ter conhecimento» e que esteja correctamente informado acerca das regras em matéria de segurança e de protecção de dados.

(7)

Os pedidos de acesso ao VIS deverão ser apresentados aos pontos centrais de acesso pelas unidades operacionais no interior das autoridades designadas. Estes pontos centrais de acesso tratarão os pedidos ao VIS na sequência de uma verificação do cumprimento de todas as condições de acesso. Em casos excepcionais de urgência, os pontos de acesso central deverão tratar imediatamente o pedido e só posteriormente proceder à verificação.

(8)

Para efeitos de protecção dos dados pessoais e, em especial, para excluir o acesso sistemático, o tratamento dos dados VIS deverá processar-se numa base casuística. Considera-se um caso específico designadamente quando o acesso para consulta está associado a um acontecimento específico ou a um perigo associado a uma infracção penal grave ou ainda a determinada(s) pessoa(s) em relação às quais existam motivos sérios para crer que poderá(ão) cometer (ou ter cometido) uma infracção terrorista ou uma infracção penal grave ou que tenham uma relação significativa com essa(s) pessoa(s). As autoridades designadas e a Europol apenas poderão procurar dados no VIS se existirem motivos razoáveis para considerar que essa consulta permitirá obter informações que contribuirão significativamente para a prevenção, detecção ou investigação de infracções graves.

(9)

Quando a proposta de decisão-quadro do Conselho relativa à protecção dos dados pessoais tratados no âmbito da cooperação policial e judiciária em matéria penal tiver entrado em vigor, será aplicável aos dados pessoais tratados em conformidade com a presente decisão. Contudo, enquanto não forem aplicáveis as regras estabelecidas nessa decisão-quadro e a título de complemento, será necessário prever disposições adequadas de modo a garantir a necessária protecção dos dados. Cada Estado-Membro deverá garantir um nível adequado de protecção de dados na sua legislação nacional que corresponda, pelo menos, ao da Convenção do Conselho da Europa, de 28 de Janeiro de 1981, para a Protecção das Pessoas relativamente ao Tratamento Automatizado de Dados de Carácter Pessoal e à jurisprudência na matéria em conformidade com o artigo 8.o da Convenção para a Protecção dos Direitos do Homem e das Liberdades Fundamentais e, para os Estados-Membros que a ratificaram, o respectivo Protocolo Adicional de 8 de Novembro de 2001, devendo igualmente ter em conta a Recomendação R (87) 15 do Comité dos Ministros do Conselho da Europa de 17 de Setembro de 1987, relativa à utilização de dados pessoais pela polícia.

(10)	Para assegurar um controlo efectivo da aplicação da presente decisão, é necessário proceder a uma avaliação periódica.

(11)

Atendendo a que os objectivos da presente decisão, a saber, a definição de obrigações e condições de acesso para consulta dos dados VIS por parte das autoridades designadas dos Estados-Membros e por parte da Europol, não podem ser suficientemente realizados pelos Estados-Membros e podem, pois, devido à dimensão e efeitos da acção, ser melhor alcançados ao nível da União Europeia, o Conselho pode tomar medidas em conformidade com o princípio da subsidiariedade a que se refere o artigo 2.o do Tratado da União Europeia e definido no artigo 5.o do Tratado que institui a Comunidade Europeia. Em conformidade com o princípio da proporcionalidade consagrado neste último artigo, a presente decisão não excede o necessário para atingir aqueles objectivos.

(12)

Em conformidade com o artigo 47.o do Tratado da União Europeia, a presente decisão não afecta as competências da Comunidade Europeia, especialmente as previstas no Regulamento (CE) n.o 767/2008 e na Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (5).

(13)

A presente decisão constitui um desenvolvimento das disposições do acervo de Schengen em que o Reino Unido não participa, nos termos da Decisão 2000/365/CE do Conselho, de 29 de Maio de 2000, sobre o pedido do Reino Unido da Grã-Bretanha e da Irlanda do Norte para participar em algumas das disposições do acervo de Schengen (6), pelo que o Reino Unido não participa na sua aprovação e não fica a ela vinculado, nem sujeito à sua aplicação.

(14)

A presente decisão constitui um desenvolvimento das disposições do acervo de Schengen em que a Irlanda não participa, nos termos da Decisão 2002/192/CE do Conselho, de 28 de Fevereiro de 2002, sobre o pedido da Irlanda para participar em algumas disposições do acervo de Schengen (7), pelo que a Irlanda não participa na sua aprovação e não fica a ela vinculada, nem sujeita à sua aplicação.

(15)

Todavia, de acordo com a Decisão-Quadro 2006/960/JAI do Conselho, de 18 de Dezembro de 2006, relativa à simplificação do intercâmbio de dados e informações entre as autoridades de aplicação da lei dos Estados-Membros da União Europeia (8), as informações constantes do VIS podem ser facultadas ao Reino Unido e à Irlanda pelas autoridades competentes dos Estados-Membros cujas autoridades designadas têm acesso ao VIS em conformidade com a presente decisão. As informações constantes dos registos nacionais de vistos do Reino Unido e da Irlanda podem ser facultadas às autoridades responsáveis pela aplicação da lei dos outros Estados-Membros. Qualquer forma de acesso directo ao VIS por parte das autoridades centrais do Reino Unido e da Irlanda exige, na situação actual da sua participação no acervo de Schengen, um acordo entre a Comunidade e estes Estados-Membros, eventualmente completado por outras regras que determinem as condições e modalidades desse acesso.

(16)

Em relação à Islândia e à Noruega, a presente decisão, com excepção do artigo 7.o, constitui um desenvolvimento das disposições do acervo de Schengen, na acepção do Acordo celebrado pelo Conselho da União Europeia e a República da Islândia e o Reino da Noruega relativo à associação destes dois Estados à execução, à aplicação e ao desenvolvimento do acervo de Schengen (9), que se insere no domínio a que se refere o ponto B do artigo 1.o da Decisão 1999/437/CE do Conselho (10), relativa a determinadas regras de aplicação do referido Acordo.

(17)

Em relação à Suíça, a presente decisão, com excepção do artigo 7.o, constitui um desenvolvimento das disposições do acervo de Schengen, na acepção do Acordo assinado pela União Europeia, a Comunidade Europeia e a Confederação Suíça relativo à associação da Confederação Suíça à execução, à aplicação e ao desenvolvimento do acervo de Schengen, que se insere no domínio a que se refere o ponto B do artigo 1.o da Decisão 1999/437/CE, conjugado com o n.o 1 do artigo 4.o da Decisão 2004/849/CE do Conselho (11).

(18)	A presente decisão, com excepção do artigo 6.o, constitui um acto baseado no acervo de Schengen ou de algum modo com ele relacionado, na acepção do n.o 2 do artigo 3.o do Acto de Adesão de 2003 e do n.o 2 do artigo 4.o do Acto de Adesão de 2005.

(19)	A presente decisão respeita os direitos fundamentais e observa os princípios consagrados, nomeadamente, na Carta dos Direitos Fundamentais da União Europeia,

DECIDE:

Artigo 1.o

Objecto e âmbito de aplicação

A presente decisão estabelece as condições em que as autoridades designadas dos Estados-Membros e o Serviço Europeu de Polícia (Europol) podem ter acesso para consulta ao Sistema de Informação sobre Vistos (VIS) para efeitos de prevenção, detecção e investigação de infracções terroristas e outras infracções penais graves.

Artigo 2.o

Definições

1. Para efeitos da presente decisão, entende-se por:

a)	«Sistema de Informação sobre Vistos (VIS)», o Sistema de Informação sobre Vistos, tal como estabelecido na Decisão 2004/512/CE do Conselho;

b)	«Europol», o Serviço Europeu de Polícia, tal como criado pela Convenção de 26 de Julho de 1995, que cria um Serviço Europeu de Polícia («Convenção Europol»);

c)	«Infracções terroristas», as infracções definidas pela legislação nacional que correspondem ou são equivalentes às infracções previstas nos artigos 1.o a 4.o da Decisão-Quadro 2002/475/JAI do Conselho, de 13 de Junho de 2002, relativa à luta contra o terrorismo (12);

d)	«Infracções penais graves», as infracções que correspondem ou são equivalentes às enumeradas no n.o 2 do artigo 2.o da Decisão-Quadro 2002/584/JAI;

e)	«Autoridades designadas», as autoridades dos Estados-Membros responsáveis pela prevenção, detecção ou investigação de infracções terroristas ou outras infracções penais graves e designadas pelos Estados-Membros, nos termos do artigo 3.o

2. São igualmente aplicáveis as definições constantes do Regulamento (CE) n.o 767/2008.

Artigo 3.o

Autoridades designadas e pontos centrais de acesso

1. Os Estados-Membros designam as autoridades referidas na alínea e) do n.o 1 do artigo 2.o que podem aceder directamente ao VIS nos termos da presente decisão.

2. Cada Estado-Membro mantém uma lista das autoridades designadas. Até 2 de Dezembro de 2008, cada Estado-Membro deve notificar, mediante declaração, à Comissão e ao Secretariado-Geral do Conselho, as suas autoridades designadas, podendo em qualquer ocasião modificar essa declaração ou substituí-la por outra.

3. Cada Estado-Membro designa o(s) ponto(s) central(is) por onde é feito o acesso. Os Estados-Membros podem designar mais de um ponto central de acesso para reflectir a sua estrutura organizativa e administrativa no cumprimento dos respectivos requisitos constitucionais ou legais. Até 2 de Dezembro de 2008, cada Estado-Membro deve notificar, mediante declaração, à Comissão e ao Secretariado-Geral do Conselho, o(s) seu(s) ponto(s) central(is) de acesso, podendo em qualquer ocasião modificar essa declaração ou substituí-la por outra.

4. A Comissão publica as declarações referidas nos n.os 2 e 3 no Jornal Oficial da União Europeia.

5. A nível nacional, cada Estado-Membro mantém uma lista das unidades operacionais que integram as autoridades designadas e que são autorizadas a aceder ao VIS através do(s) ponto(s) central(is) de acesso.

6. Apenas o pessoal devidamente habilitado das unidades operacionais, bem como do(s) ponto(s) central(is) de acesso, está autorizado a aceder ao VIS nos termos do artigo 4.o

Artigo 4.o

Procedimento para acesso ao VIS

1. Caso estejam preenchidas as condições enunciadas no artigo 5.o, as unidades operacionais referidas no n.o 5 do artigo 3.o apresentam um pedido fundamentado, por escrito ou por via electrónica, aos pontos centrais de acesso referidos no n.o 3 do artigo 3.o para aceder ao VIS. Após a recepção de um pedido de acesso, o(s) ponto(s) central(is) de acesso deve(m) verificar se estão preenchidas as condições de acesso referidas no artigo 5.o. Se todas as condições de acesso estiverem preenchidas, o pessoal devidamente autorizado do(s) ponto(s) central(is) de acesso deve tratar os pedidos. Os dados VIS disponibilizados devem ser transmitidos às unidades operacionais referidas no n.o 5 do artigo 3.o por forma a não comprometer a segurança dos dados.

2. Em casos excepcionais de urgência, o(s) ponto(s) de acesso central(is) pode(m) receber pedidos por escrito, por via electrónica ou verbais,. Nesses casos, o(s) ponto(s) central(is) de acesso deve(m) tratar imediatamente o pedido e só verificar depois se todas as condições do artigo 5.o se encontram preenchidas, incluindo a existência de um caso excepcional de urgência. A verificação a posteriori deve ser efectuada sem demora indevida, uma vez o pedido tratado.

Artigo 5.o

Condições de acesso aos dados VIS por parte das autoridades designadas dos Estados-Membros

1. O acesso ao VIS para consulta por parte das autoridades designadas é efectuado dentro dos limites das suas competências e se estiverem preenchidas as seguintes condições:

a)	O acesso para consulta deve ser necessário para efeitos de prevenção, detecção ou investigação de infracções terroristas ou outras infracções penais graves;

b)	O acesso para consulta deve ser necessário no caso específico;

c)	Existem motivos razoáveis para considerar que a consulta dos dados do VIS contribuirá significativamente para a prevenção, detecção ou investigação de qualquer das infracções em questão.

2. A consulta do VIS é limitada à busca com qualquer um dos seguintes dados VIS constantes do pedido de visto:

a)	Apelido, apelido de nascimento [anterior(es) apelido(s)]; nome(s) próprio(s); sexo; data, local e país de nascimento;

b)	Nacionalidade actual e nacionalidade de nascimento;

c)	Tipo e número do documento de viagem, autoridade que o emitiu e datas de emissão e de termo de validade;

d)	Destino principal e duração prevista da estada;

e)	Objectivo da viagem;

f)	Datas previstas de chegada e de partida;

g)	Fronteira prevista da primeira entrada ou itinerário de trânsito;

h)	Residência;

i)	Impressões digitais;

j)	Tipo de visto e número da vinheta autocolante;

k)	Dados da pessoa que envia um convite e/ou é responsável pelos meios de subsistência do requerente durante a sua estada.

3. A consulta do VIS, em caso de resposta positiva, dá acesso a todos os dados enumerados no n.o 2, bem como:

a)	A quaisquer outros dados extraídos do formulário de pedido;

b)	A fotografias;

b)	Aos dados introduzidos relativos a qualquer visto emitido, recusado, anulado, revogado ou prorrogado.

Artigo 6.o

Condições de acesso aos dados VIS por parte das autoridades designadas de um Estado-Membro em relação aos quais o Regulamento (CE) n.o 767/2008 ainda não produz efeitos

1. O acesso ao VIS para consulta por parte das autoridades designadas de um Estado-Membro em relação ao qual o Regulamento (CE) n.o 767/2008 ainda não produz efeitos, é efectuado dentro dos limites das suas competências e

a)	Nas mesmas condições que as referidas no n.o 1 do artigo 5.o; e

b)	Mediante pedido devidamente fundamentado, por escrito ou por via electrónica, à autoridade designada do Estado-Membro ao qual o Regulamento (CE) n.o 767/2008 é aplicável; essa autoridade deve solicitar seguidamente ao(s) ponto(s) central(is) nacional(is) de acesso que consulte(m) o VIS.

2. O Estado-Membro em relação ao qual o Regulamento (CE) n.o 767/2008 ainda não produza efeitos disponibiliza as suas informações sobre vistos aos Estados-Membros aos quais é aplicável esse regulamento, mediante pedido devidamente fundamentado, por escrito ou por via electrónica, nas condições estabelecidas no n.o 1 do artigo 5.o

3. Aplicam-se mutatis mutandis os n.os 1 e 3 a 6 do artigo 8.o, o n.o 1 do artigo 9.o, os n.os 1 e 3 do artigo 10.o, o artigo 12.o, os n.os 1 e 3 do artigo 13.o

Artigo 7.o

Condições de acesso aos dados VIS por parte da Europol

1. O acesso ao VIS para efeitos de consulta por parte da Europol é efectuado dentro dos limites do seu mandato e:

a)	Quando necessário para o desempenho das suas atribuições, em conformidade com o ponto 2) do n.o 1 do artigo 3.o da Convenção Europol e para efeitos de trabalhos de análise específicos, tal como referido no artigo 10.o da Convenção Europol; ou

Quando necessário para o desempenho das suas atribuições, em conformidade com o ponto 2) do n.o 1 do artigo 3.o da Convenção Europol e para efeitos de trabalhos de análise de carácter geral e de tipo estratégico, tal como referido no artigo 10.o da Convenção Europol, desde que, antes desse tratamento, os dados VIS sejam apresentados de forma anónima pela Europol e conservados de modo a que deixe de ser possível identificar as pessoas em causa.

2. Os n.os 2 e 3 do artigo 5.o são aplicáveis mutatis mutandis.

3. Para efeitos da presente decisão, a Europol nomeia uma unidade especializada, composta por funcionários devidamente habilitados para actuarem como ponto central de acesso encarregado de consultar o VIS.

4. O tratamento das informações recolhidas pela Europol, na sequência do seu acesso ao VIS, fica sujeito à autorização do Estado-Membro que introduziu esses dados no sistema. Essa autorização é obtida através da unidade nacional Europol desse Estado-Membro.

Artigo 8.o

Protecção dos dados pessoais

1. O tratamento de dados pessoais consultados ao abrigo da presente decisão está sujeito às regras a seguir indicadas e à legislação nacional do Estado-Membro que procede à consulta. No que se refere ao tratamento de dados pessoais consultados ao abrigo da presente decisão, cada Estado-Membro assegura um nível adequado de protecção na sua legislação nacional que corresponda, pelo menos, ao da Convenção do Conselho da Europa, de 28 de Janeiro de 1981, para a Protecção das Pessoas relativamente ao Tratamento Automatizado de Dados de Carácter Pessoal e, para os Estados-Membros que o ratificaram, o respectivo Protocolo Adicional de 8 de Novembro de 2001, devendo igualmente ter em conta a Recomendação R (87) 15 do Comité dos Ministros do Conselho da Europa, de 17 de Setembro de 1987, relativa à utilização de dados pessoais pela polícia.

2. O tratamento dos dados pessoais pela Europol nos termos da presente decisão deve ser efectuado em conformidade a Convenção Europol e com as respectivas disposições de aplicação e controlado pela Autoridade de Controlo Comum independente, criada pelo artigo 24.o dessa convenção.

3. Os dados pessoais obtidos por consulta do VIS ao abrigo da presente decisão só podem ser tratados para efeitos de prevenção, detecção, investigação e procedimento penal de infracções terroristas e outras infracções penais graves.

4. Os dados pessoais obtidos por consulta do VIS ao abrigo da presente decisão não devem ser transferidos para países terceiros ou organizações internacionais, nem ser a estes disponibilizados. Todavia, em casos excepcionais de urgência, esses dados podem ser transferidos para países terceiros ou organizações internacionais ou ser-lhes disponibilizados, exclusivamente para finalidades da prevenção e detecção de infracções terroristas e de outras infracções penais graves e nas condições definidas no n.o 1 do artigo 5.o da presente decisão, sob reserva de autorização do Estado-Membro que introduziu esses dados no VIS e em conformidade com a legislação nacional do Estado-Membro que disponibilizou ou transferiu os dados. Em conformidade com a legislação nacional, os Estados-Membros asseguram que sejam mantidos registos dessas transferências e devem facultá-los às autoridades nacionais de protecção de dados a pedido. A transferência de dados pelo Estados-Membros que introduziu os dados no VIS nos termos do Regulamento (CE) n.o 767/2008 rege-se pela legislação nacional desse Estado-Membro.

5. A instância ou instâncias competentes que, em conformidade com a legislação nacional, são responsáveis pelo tratamento dos dados pessoais efectuado pelas autoridades designadas nos termos da presente decisão, verificarão a legalidade das operações de tratamento de dados pessoais efectuadas ao abrigo da presente decisão. Os Estados-Membros asseguram que estes organismos disponham dos meios necessários para exercer as atribuições que lhe são confiadas pela presente decisão.

6. As instâncias referidas no n.o 5 asseguram que, pelo menos de quatro em quatro anos, se proceda a uma auditoria ao tratamento de dados pessoais efectuado ao abrigo da presente decisão, em conformidade com normas internacionais de auditoria, caso se justifique.

7. Os Estados-Membros e a Europol devem permitir que a instância ou instâncias competentes referidas nos n.os 2 e 5 obtenham as informações necessárias para poderem desempenhar as suas atribuições em conformidade com o presente artigo.

8. Antes de ser autorizado a proceder ao tratamento dos dados do VIS, o pessoal das autoridades que tenham direito de acesso ao VIS deve receber uma formação adequada sobre as regras em matéria de segurança e protecção de dados e ser informado de todas as infracções penais e sanções aplicáveis.

Artigo 9.o

Segurança dos dados

1. O Estado-Membro responsável assegura a segurança dos dados durante a transmissão para as autoridades designadas e quando estas os recebam.

2. Cada Estado-Membro adopta as medidas de segurança necessárias no que respeita aos dados extraídos do VIS nos termos da presente decisão e conservados subsequentemente nomeadamente a fim de:

a)	Proteger fisicamente os dados, nomeadamente através da elaboração de planos de emergência para proteger as infra-estruturas críticas;

b)	Impedir o acesso de pessoas não autorizadas às instalações nacionais em que o Estado-Membro conserva dados (controlo à entrada das instalações);

c)	Impedir que suportes de dados possam ser lidos, copiados, alterados ou retirados sem autorização (controlo dos suportes de dados);

d)	Impedir a inspecção, a alteração ou o apagamento não autorizados de dados pessoais conservados (controlo dado arquivamento de dados);

e)	Impedir o tratamento não autorizado de dados do VIS (controlo do tratamento de dados);

f)	Assegurar que as pessoas autorizadas a aceder ao VIS só tenham acesso aos dados abrangidos pela sua autorização de acesso, através de identidades de utilizador pessoais e únicas e modos de acesso confidenciais (controlo do acesso aos dados);

Assegurar que todas as autoridades com direito de acesso ao VIS criem perfis que descrevam as funções e responsabilidades das pessoas autorizadas a ter acesso e pesquisar os dados, e que coloquem esses perfis à disposição das autoridades nacionais de controlo a que se refere o n.o 6 do artigo 8.o, sem demora e a pedido destas (perfis do pessoal);

h)	Assegurar a possibilidade de verificar e determinar a que entidades podem ser transmitidos os dados pessoais por meio de equipamento de comunicação de dados (controlo da comunicação);

i)	Assegurar a possibilidade de verificar e determinar quais os dados que foram extraídos do VIS, em que momento, por quem e com que finalidade (controlo do registo de dados);

j)	Impedir a leitura e a cópia não autorizadas dos dados pessoais durante a sua transmissão a partir do VIS, designadamente por meio de técnicas de cifragem adequadas (controlo do transporte);

k)	Fiscalizar a eficácia das medidas de segurança referidas no presente número e tomar as medidas organizativas necessárias relacionadas com o controlo interno, a fim de assegurar o cumprimento do disposto na presente decisão (auditoria interna).

Artigo 10.o

Responsabilidade

1. Qualquer pessoa ou qualquer Estado-Membro que tenha sofrido um dano em virtude de um tratamento ilícito ou de qualquer acto incompatível com a presente decisão tem direito a ser indemnizado pelo dano sofrido pelo Estado-Membro responsável. Esse Estado-Membro é, total ou parcialmente, isento dessa responsabilidade se provar que o evento que deu origem ao dano não lhe é imputável.

2. Se o incumprimento por um Estado-Membro das obrigações que lhe incumbem por força da presente decisão causar danos ao VIS, esse Estado-Membro é considerado responsável pelos danos, a menos que outro Estado-Membro não tenha tomado medidas razoáveis para prevenir os danos ou para minimizar o seu impacto.

3. Os pedidos de indemnização a um Estado-Membro pelos danos referidos nos n.os 1 e 2 são regidos pelo direito interno do Estado-Membro requerido.

Artigo 11.o

Autocontrolo

Os Estados-Membros asseguram que cada autoridade com direito de acesso aos dados do VIS toma as medidas necessárias para cumprir o disposto na presente decisão e coopere, se necessário, com o organismo ou organismos nacionais referidos no n.o 5 do artigo 8.o

Artigo 12.o

Sanções

Os Estados-Membros tomam as medidas necessárias a fim de assegurar que a utilização dos dados do VIS contrária ao disposto na presente decisão seja passível de sanções, incluindo de sanções administrativas e/ou penais, que sejam efectivas, proporcionadas e dissuasivas.

Artigo 13.o

Conservação de dados VIS nos ficheiros nacionais

1. Os dados extraídos do VIS podem ser conservados nos ficheiros nacionais apenas quando tal seja necessário num caso individual, em conformidade com as finalidades enunciadas na presente decisão e nos termos das disposições jurídicas aplicáveis, designadamente em matéria de protecção de dados, não podendo exceder o tempo necessário para esse caso individual.

2. O n.o 1 não prejudica as normas da legislação nacional dos Estados-Membros que regem o registo pelas suas autoridades designadas nos seus ficheiros nacionais dos dados que esses Estados-Membros tiverem introduzido no VIS nos termos do Regulamento (CE) n.o 767/2008.

3. Qualquer utilização de dados não conforme com os n.os 1 a 2 é considerada abusiva nos termos do direito interno de cada Estado-Membro.

Artigo 14.o

Direito de acesso, de rectificação e de apagamento

1. O direito de qualquer pessoa aceder aos dados que lhe dizem respeito extraídos do VIS ao abrigo da presente decisão, deve ser exercido em conformidade com a lei do Estado-Membro no qual invoca esse direito.

2. Se a lei nacional assim o estabelecer, compete à autoridade nacional de controlo decidir se as informações podem ser comunicadas e em que condições.

3. O Estado-Membro que não tiver inserido os dados no VIS nos termos do Regulamento (CE) n.o 767/2008 só pode comunicar informações relativas a estes dados se previamente tiver dado ao Estado-Membro que introduziu os dados oportunidade de tomar posição.

4. As informações não são comunicadas ao interessado se tal for indispensável para a execução de uma tarefa lícita relacionada com os dados ou para a protecção dos direitos e liberdades de terceiros.

5. Qualquer pessoa tem direito a que sejam rectificados os dados inexactos que lhe digam respeito ou apagados os dados ilegalmente conservados que lhe digam respeito. Se as autoridades designadas receberem um pedido nesse sentido ou se tiverem elementos que indiquem que os dados tratados no VIS são incorrectos devem informar imediatamente a autoridade responsável pelos vistos do Estado-Membro que introduziu os dados no VIS, a qual deve verificar os dados em causa e, se necessário, proceder imediatamente à sua rectificação ou apagamento nos termos do artigo 21.o do Regulamento (CE) n.o 767/2008.

6. A pessoa em causa deve ser informada o mais rapidamente possível e, em todo o caso, no prazo máximo de 60 dias a contar da data em que tiver apresentado o pedido de acesso, ou em prazo mais curto se a lei nacional assim o previr.

7. A pessoa em causa deve ser informada do seguimento dado ao exercício dos seus direitos de rectificação e de apagamento o mais rapidamente possível e, em todo o caso, no prazo máximo de três meses a contar da data em que tiver apresentado o pedido de rectificação ou apagamento, ou em prazo mais curto se a lei nacional assim o previr.

8. Em cada Estado-Membro, qualquer pessoa tem o direito de propor uma acção ou apresentar uma reclamação junto das autoridades ou tribunais competentes desse Estado-Membro que lhe recusou o direito de acesso ou o direito de rectificação ou apagamento dos dados que lhe dizem respeito, previsto no presente artigo.

Artigo 15.o

Custos

Cada Estado-Membro e a Europol criam e mantêm, a expensas próprias, a infra-estrutura técnica necessária para a aplicação da presente decisão e suportam os custos decorrentes do acesso ao VIS para efeitos da presente decisão.

Artigo 16.o

Conservação de registos

1. Cada Estado-Membro e a Europol asseguram que todas as operações de tratamento de dados, resultantes da consulta do VIS ao abrigo da presente decisão, fiquem registadas, a fim de se verificar a admissibilidade da consulta e a legalidade do tratamento de dados, proceder ao autocontrolo e assegurar o bom funcionamento do sistema, a integridade e segurança dos dados.

Estes registos devem indicar:

a)	A finalidade exacta do acesso para consulta, referida na alínea a) do n.o 1 do artigo 5.o, designadamente a infracção terrorista ou outra infracção penal grave em questão, e para a Europol, a finalidade exacta do acesso para consulta referida no n.o 1 do artigo 7.o;

b)	A referência do ficheiro nacional;

c)	A data e a hora de acesso;

d)	Se for caso disso, que foi utilizado o procedimento referido no n.o 2 do artigo 4.o;

e)	Os critérios de busca utilizados para a consulta;

f)	O tipo de dados consultados;

g)	De acordo com as regras nacionais ou as regras da Convenção Europol, a identificação do funcionário que efectuou a consulta, bem como a do funcionário que ordenou a consulta ou transmissão.

2. Os registos que contenham dados pessoais só podem ser utilizados para verificar a legalidade do tratamento dos dados no âmbito da legislação sobre protecção de dados, bem como para garantir a segurança dos mesmos. No âmbito do acompanhamento e da avaliação previstos no artigo 17.o, só podem ser utilizados os registos que não contenham dados de carácter pessoal.

3. Estes registos devem ser protegidos por medidas adequadas contra o acesso não autorizado e os abusos e devem ser apagados decorrido um período de um ano após o termo do período de conservação referido no n.o 1 do artigo 23.o do Regulamento (CE) n.o 767/2008, salvo se forem necessários para os procedimentos de controlo previstos no n.o 2 do presente artigo que já tenham tido início.

Artigo 17.o

Acompanhamento e avaliação

1. A autoridade de gestão referida no Regulamento (CE) n.o 767/2008 assegura que sejam criados sistemas para acompanhar o funcionamento do VIS, nos termos da presente decisão, relativamente aos objectivos fixados, em termos de resultados, custo-eficácia, segurança e qualidade do serviço.

2. Para efeitos de manutenção técnica, a autoridade de gestão tem acesso às informações necessárias respeitantes às operações de tratamento efectuadas no VIS.

3. Dois anos após a entrada em funcionamento do VIS e, posteriormente, de dois em dois anos, a autoridade de gestão apresenta um relatório ao Parlamento Europeu, ao Conselho e à Comissão sobre o funcionamento técnico do VIS nos termos da presente decisão. Esse relatório deve incluir informações sobre o desempenho do VIS, em função de indicadores quantitativos previamente definidos pela Comissão, e em especial sobre a necessidade e a utilização feita do n.o 2 do artigo 4.o

4. Três anos após a entrada em funcionamento do VIS e, posteriormente, de quatro em quatro anos, a Comissão apresenta uma avaliação global do VIS nos termos da presente decisão. Essa avaliação deve incluir uma análise dos resultados obtidos relativamente aos objectivos fixados e uma avaliação sobre se os princípios de base da presente decisão continuam a ser válidos, a aplicação da presente decisão em relação ao VIS, a segurança do VIS, bem como as implicações para o funcionamento futuro. A Comissão transmite os relatórios de avaliação ao Parlamento Europeu e ao Conselho.

5. Os Estados-Membros e a Europol devem fornecer à autoridade de gestão e à Comissão as informações necessárias para a elaboração dos relatórios referidos nos n.os 3 e 4. Estas informações não devem prejudicar os métodos de trabalho, nem incluir informações que identifiquem fontes ou membros do pessoal ou desvendem investigações das autoridades designadas.

6. A autoridade de gestão deve fornecer à Comissão as informações necessárias para a realização da avaliação global a que se refere o n.o 4.

7. Durante o período transitório que decorre antes de a autoridade de gestão assumir as suas responsabilidades, a Comissão é responsável pela elaboração e apresentação dos relatórios referidos no n.o 3.

Artigo 18.o

Entrada em vigor e data de aplicação

1. A presente decisão entra em vigor vinte dias após o da sua publicação no Jornal Oficial da União Europeia.

2. A presente decisão produz efeitos a partir de uma data a determinar pelo Conselho quando a Comissão tiver informado o Conselho de que o Regulamento (CE) n.o 767/2008 entrou em vigor e é plenamente aplicável.

O Secretariado-Geral do Conselho publica essa data no Jornal Oficial da União Europeia.

Feito no Luxemburgo, em 23 de Junho de 2008.

Pelo Conselho

O Presidente

I. JARC

(1) JO L 213 de 15.6.2004, p. 5.

(2) JO C 316 de 27.11.1995, p. 2. Convenção com a última redacção que lhe foi dada pelo Protocolo que altera essa convenção (JO C 2 de 6.1.2004, p. 3).

(3) Ver página 60 do presente Jornal Oficial.

(4) JO L 190 de 18.7.2002, p. 1.

(5) JO L 281 de 23.11.1995, p. 31. Directiva alterada pelo Regulamento (CE) n.o 1882/2003 (JO L 284 de 31.10.2003, p. 1).

(6) JO L 131 de 1.6.2000, p. 43.

(7) JO L 64 de 7.3.2002, p. 20.

(8) JO L 386 de 18.12.2006, p. 89.

(9) JO L 176 de 10.7.1999, p. 31.

(10) JO L 176 de 10.7.1999, p. 36.

(11) Decisão 2004/859/CE do Conselho, de 25 de Outubro de 2004, respeitante à assinatura, em nome da União Europeia, e à aplicação provisória de certas disposições do Acordo entre a União Europeia, a Comunidade Europeia e a Confederação Suíça relativo à associação da Confederação Suíça à execução, à aplicação e ao desenvolvimento do acervo de Schengen (JO L 368 de 15.12.2004, p. 26).

(12) JO L 164 de 22.6.2002, p. 3.