No rescaldo dos atentados terroristas de 11 de Setembro de 2001, os Estados Unidos adoptaram a Lei de Segurança da Aviação e dos Transportes (Aviation and Transportation Security Act) de 2001, a qual exige às transportadoras aéreas que operam voos para os Estados Unidos, a partir dos Estados Unidos ou passando pelo seu território que forneçam aos serviços aduaneiros deste país acesso electrónico aos dados contidos nos seus sistemas automatizados de reserva e controlo das partidas, conhecidos como registo nominal do passageiro (Passenger Name Records - PNR).
Esta exigência não é compatível com a legislação da Comunidade e dos Estados-Membros em matéria de protecção dos dados, nem com determinadas disposições do regulamento comunitário relativo aos sistemas informatizados de reserva (1).
A Comissão tratou desta questão com os Estados Unidos, em diversas ocasiões, desde a publicação das regras de aplicação que, após um adiamento, entraram em vigor em 5 de Fevereiro de 2003. Contudo, em resultado das diligências da Comissão, os serviços aduaneiros dos Estados Unidos concordaram em abandonar a imposição de sanções às companhias aéreas que não cumprissem a exigência até 5 de Março de 2003. Essas sanções incluem multas pesadas e mesmo a suspensão dos direitos de aterragem.
Para conciliar os requisitos dos Estados Unidos com os da legislação em matéria de protecção dos dados na União, realizou-se, em 17 e 18 de Fevereiro de 2003, uma reunião entre altos funcionários da Comissão e dos serviços aduaneiros dos Estados Unidos. Em resultado dessas conversações, as duas partes emitiram uma declaração comum (2) que determina as medidas necessárias para chegar a uma solução mutuamente satisfatória que possa dar segurança jurídica a todos os interessados. Em particular, ambas as partes concordaram em trabalhar em conjunto para chegar a um acordo bilateral, ao abrigo do qual a Comissão, em resposta às informações e aos compromissos dados pelos Estados Unidos acerca da forma como os dados transferidos serão tratados e protegidos nos Estados Unidos, poderá tomar uma decisão nos termos do n.º 6 do artigo 25.º da directiva de protecção dos dados (3), sobre a adequação do nível de protecção assegurado pelos Estados Unidos. No seguimento da adopção de uma decisão deste tipo, os Estados-Membros devem tomar as medidas necessárias para a cumprirem.
A declaração comum inclui ainda, em anexo, os compromissos dos serviços aduaneiros norte-americanos no que diz respeito ao modo como serão tratados os dados pessoais a que tiverem acesso. Esses compromissos têm efeito de aplicação imediata.
Note-se que a Comissão não fez qualquer acordo com os Estados Unidos. O direito comunitário dá à Comissão poderes para investigar se um país terceiro dispõe de um nível de protecção dos dados adequado. A Comissão comprometeu-se a trabalhar em conjunto com as autoridades americanas para tomar uma decisão nesse sentido, mas a decisão dependerá, evidentemente, de um exame atento da informação e dos compromissos a assumir por parte dos Estados Unidos.
(1) - Regulamento (CE) n.º 323/1999 do Conselho, de 8 de Fevereiro de 1999, que altera o Regulamento (CEE) n.º 2299/89 relativo a um código de conduta para os sistemas informatizados de reserva (SIR), JO L 40 de 13.2.1999. (2) - Disponível no site da Comissão, em: http://www.europa.eu.int/comm/external_relations/us/intro/pnr.htm (3) - Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, JO L 281 de 23.11.1995.