Capitolul ii - SCHIMBUL DE DATE CU CARACTER PERSONAL ŞI PROTECŢIA DATELOR - Acordul 2167/05-mar-2025 ÎNTRE UNIUNEA EUROPEANĂ ŞI REPUBLICA FEDERATIVĂ A BRAZILIEI PRIVIND COOPERAREA CU AGENŢIA UNIUNII EUROPENE PENTRU COOPERARE ÎN MATERIE DE APLICARE A LEGII (EUROPOL) ŞI POLIŢIA FEDERALĂ A BRAZILIEI, PRECUM ŞI PRIN INTERMEDIUL ACESTORA
Acte UE
Jurnalul Oficial seria L
În vigoare Versiune de la: 29 Septembrie 2025
CAPITOLUL II:SCHIMBUL DE DATE CU CARACTER PERSONAL ŞI PROTECŢIA DATELOR
Art. 3: Scopurile prelucrării datelor cu caracter personal
(1)Datele cu caracter personal solicitate şi primite în temeiul prezentului acord se prelucrează numai în scopul prevenirii, depistării, cercetării sau urmăririi penale a infracţiunilor sau al executării sancţiunilor penale, în limitele articolului 4 alineatul (5) şi ale mandatelor autorităţilor competente.
(2)Autorităţile competente indică în mod clar, cel târziu în momentul transferării datelor cu caracter personal, scopul specific sau scopurile specifice pentru care sunt transferate datele. În ceea ce priveşte transferurile către Europol, scopul sau scopurile unui astfel de transfer trebuie precizate în conformitate cu scopul specific sau scopurile specifice al(e) prelucrării prevăzut(e) în Regulamentul privind Europol. Părţile contractante pot decide de comun acord ca datele cu caracter personal transferate să poată fi prelucrate într-un scop suplimentar, compatibil şi specific, care trebuie specificat în momentul unui astfel de acord comun şi care intră sub incidenţa alineatului (1).
Art. 4: Principii generale privind protecţia datelor
(1)Fiecare parte contractantă prevede că datele cu caracter personal partajate în temeiul prezentului acord:
a)se prelucrează în mod corect şi legal, în concordanţă cu cerinţele de transparenţă prevăzute la articolul 29 alineatul (1), şi numai în scopul sau scopurile în care au fost transferate în conformitate cu articolul 3;
b)sunt adecvate, relevante şi limitate la ceea ce este necesar în raport cu scopul sau scopurile în care sunt prelucrate;
c)sunt corecte şi actualizate; fiecare parte contractantă prevede că autorităţile sale competente iau toate măsurile rezonabile pentru a se asigura că datele cu caracter personal care sunt incorecte, având în vedere scopurile pentru care sunt prelucrate, sunt rectificate sau şterse fără întârzieri nejustificate;
d)sunt păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depăşeşte perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele cu caracter personal;
e)se prelucrează într-un mod care asigură o securitate adecvată a datelor cu caracter personal.
(2)Autoritatea competentă care efectuează transferul poate indica, la momentul transferării datelor cu caracter personal, orice restricţie privind accesul la acestea sau privind modul în care urmează să fie utilizate acestea, în termeni generali sau specifici, inclusiv în ceea ce priveşte transferul ulterior, ştergerea sau distrugerea acestora după o anumită perioadă de timp, sau privind prelucrarea ulterioară a acestora. Atunci când necesitatea unor astfel de restricţii devine evidentă după ce informaţiile au fost puse la dispoziţie, autoritatea competentă care efectuează transferul informează în consecinţă autoritatea destinatară.
(3)Fiecare parte contractantă se asigură că autoritatea competentă destinatară respectă orice restricţie privind accesul sau utilizarea ulterioară a datelor cu caracter personal indicate de autoritatea competentă care efectuează transferul, astfel cum se descrie la alineatul (2).
(4)Fiecare parte contractantă prevede că autorităţile sale competente pun în aplicare măsuri tehnice şi organizatorice adecvate, astfel încât să poată demonstra că prelucrarea va respecta prezentul acord şi că drepturile persoanelor vizate în cauză sunt protejate.
(5)Fiecare parte contractantă se asigură că autorităţile sale competente nu transferă date cu caracter personal care au fost obţinute în urma unei încălcări vădite a drepturilor omului recunoscute de normele de drept internaţional obligatorii pentru părţile contractante. Fiecare parte contractantă se asigură că datele cu caracter personal primite nu sunt utilizate pentru a cere, a pronunţa sau a executa o pedeapsă cu moartea sau orice formă de tortură sau alte tratamente sau pedepse crude, inumane sau degradante.
(6)Fiecare parte contractantă se asigură că se păstrează o evidenţă a tuturor transferurilor de date cu caracter personal efectuate în temeiul prezentului acord şi a scopului sau a scopurilor transferurilor respective.
Art. 5: Categoriile speciale de date cu caracter personal şi diferitele categorii de persoane vizate
(1)Transferul şi prelucrarea ulterioară a datelor cu caracter personal referitoare la victime ale unei infracţiuni, martori sau alte persoane care pot furniza informaţii privind infracţiuni sau referitoare la persoane cu vârsta mai mică de 18 ani sunt interzise, cu excepţia cazului în care un astfel de transfer este strict necesar şi proporţional în cazuri individuale pentru prevenirea sau combaterea săvârşirii unei infracţiuni.
(2)Transferul şi prelucrarea ulterioară a datelor cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, convingerile religioase sau filozofice sau apartenenţa la un sindicat, date genetice, date biometrice în scopul identificării unice a unei persoane fizice sau date privind sănătatea ori date privind viaţa sexuală sau orientarea sexuală a unei persoane fizice sunt permise numai dacă sunt strict necesare şi proporţionale în cazuri individuale pentru prevenirea sau combaterea săvârşirii unei infracţiuni şi dacă datele respective, cu excepţia datelor biometrice, completează alte date cu caracter personal.
(3)Părţile contractante se asigură că prelucrarea datelor cu caracter personal în temeiul alineatelor (1) şi (2) de la prezentul articol face obiectul unor garanţii adecvate împotriva riscurilor specifice implicate, inclusiv al unor restricţii privind accesul, al unor măsuri privind securitatea datelor în sensul articolului 19 şi al unor limitări privind transferurile ulterioare în temeiul articolului 7.
Art. 6: Prelucrarea automată a datelor cu caracter personal
Deciziile bazate exclusiv pe prelucrarea automată a datelor cu caracter personal partajate, inclusiv pe crearea de profiluri, care pot avea consecinţe juridice negative pentru persoana vizată sau o pot afecta în mod semnificativ, sunt interzise, cu excepţia cazului în care acestea sunt autorizate prin lege pentru prevenirea sau combaterea săvârşirii unei infracţiuni şi cu garanţii adecvate pentru drepturile şi libertăţile persoanei vizate, inclusiv cel puţin dreptul de a obţine intervenţia umană.
Art. 7: Transferul ulterior al datelor cu caracter personal primite
(1)Brazilia se asigură că autorităţile sale competente transferă datele cu caracter personal primite în temeiul prezentului acord către alte autorităţi din Brazilia numai dacă:
a)Europol şi-a dat în prealabil autorizaţia explicită;
b)scopul sau scopurile transferului ulterior este (sunt) acelaşi (aceleaşi) cu scopul sau scopurile iniţial(e) al(e) transferului efectuat de Europol; şi
c)transferul ulterior este supus aceloraşi condiţii şi garanţii ca cele aplicabile transferului iniţial.
Fără a aduce atingere articolului 4 alineatul (2), cerinţa prevăzută la primul paragraf litera (a) de la prezentul alineat nu este nevoie să fie îndeplinită atunci când autoritatea de primire este ea însăşi o autoritate competentă a Braziliei.
(2)Uniunea se asigură că Europol transferă datele cu caracter personal primite în temeiul prezentului acord altor autorităţi din Uniune decât cele enumerate în anexa III numai dacă:
a)Brazilia şi-a dat în prealabil autorizaţia explicită;
b)scopul sau scopurile transferului ulterior este (sunt) acelaşi (aceleaşi) cu scopul sau scopurile iniţial(e) al(e) transferului efectuat de Brazilia; şi
c)transferul ulterior este supus aceloraşi condiţii şi garanţii ca cele aplicabile transferului iniţial.
Fără a aduce atingere articolului 4 alineatul (2), cerinţa prevăzută la primul paragraf litera (a) de la prezentul alineat nu este nevoie să fie îndeplinită atunci când autoritatea de primire este unul dintre organismele sau autorităţile enumerate în anexa III.
(3)Brazilia se asigură că transferurile ulterioare de date cu caracter personal primite de autorităţile sale competente în temeiul prezentului acord către autorităţile unei ţări terţe sau către o organizaţie internaţională sunt interzise, cu excepţia cazului în care sunt îndeplinite următoarele condiţii:
a)Europol şi-a dat în prealabil autorizaţia explicită;
b)scopul sau scopurile transferului ulterior este (sunt) acelaşi (aceleaşi) cu scopul sau scopurile iniţial(e) al(e) transferului efectuat de Europol; şi
c)transferul ulterior este supus aceloraşi condiţii şi garanţii ca cele aplicabile transferului iniţial.
(4)Europol poate autoriza în temeiul alineatului (3) litera (a) un transfer ulterior către autoritatea unei ţări terţe sau către o organizaţie internaţională numai dacă şi în măsura în care există o decizie privind caracterul adecvat al nivelului de protecţie, un acord internaţional care oferă garanţii adecvate în ceea ce priveşte protecţia dreptului la viaţă privată şi a drepturilor şi libertăţilor fundamentale ale persoanelor, un acord de cooperare sau orice alt temei juridic pentru transferurile de date cu caracter personal în sensul Regulamentului privind Europol care reglementează transferul ulterior.
(5)Uniunea se asigură că transferurile ulterioare de date cu caracter personal primite de Europol în temeiul prezentului acord către autorităţile unor ţări terţe sau către o organizaţie internaţională sunt interzise, cu excepţia cazului în care sunt îndeplinite următoarele condiţii:
a)Brazilia şi-a dat în prealabil autorizaţia explicită;
b)scopul sau scopurile transferului ulterior este (sunt) acelaşi (aceleaşi) cu scopul iniţial al transferului efectuat de Brazilia; şi
c)transferul ulterior este supus aceloraşi condiţii şi garanţii ca cele aplicabile transferului iniţial.
(6)În aplicarea prezentului articol, transferurile ulterioare ale categoriilor speciale de date cu caracter personal menţionate la articolul 5 sunt permise numai dacă astfel de transferuri ulterioare sunt strict necesare şi proporţionale în cazuri individuale referitoare la infracţiuni.
Art. 8: Dreptul de acces
(1)Părţile contractante se asigură că persoana vizată are dreptul să obţină, la intervale rezonabile, informaţii din care să reiasă dacă datele cu caracter personal care o privesc sunt prelucrate în temeiul prezentului acord şi, într-un astfel de caz, are acces cel puţin la următoarele informaţii:
a)confirmarea faptului că se prelucrează sau nu se prelucrează date care o privesc;
b)informaţii cel puţin cu privire la scopul sau scopurile prelucrării, categoriile de date vizate şi, în cazurile aplicabile, destinatarii sau categoriile de destinatari cărora le sunt divulgate datele;
c)existenţa dreptului de a solicita autorităţii competente rectificarea ori ştergerea datelor cu caracter personal sau restricţionarea prelucrării datelor cu caracter personal referitoare la persoana vizată;
d)indicarea temeiului juridic al prelucrării;
e)pe ce perioadă se prevede să fie stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
f)comunicarea într-o formă inteligibilă a datelor cu caracter personal care fac obiectul prelucrării şi a oricăror informaţii disponibile cu privire la sursele acestora.
(2)În cazurile în care este exercitat dreptul de acces în temeiul alineatului (1), partea contractantă care efectuează transferul este consultată în scris, consultarea fiind facultativă, înainte de luarea unei decizii finale cu privire la cererea de acces.
(3)Părţile contractante pot prevedea ca furnizarea de informaţii ca răspuns la orice solicitare formulată în temeiul alineatului (1) să fie amânată, refuzată sau restricţionată dacă şi atât timp cât amânarea, refuzul sau restricţia constituie o măsură necesară şi proporţională, ţinând seama de drepturile fundamentale şi de interesele persoanei vizate, pentru:
a)a se asigura că nu vor fi puse în pericol eventuale investigaţii şi activităţi de urmărire penală;
b)a proteja drepturile şi libertăţile părţilor terţe; sau
c)a proteja securitatea naţională şi ordinea publică sau a preveni criminalitatea.
(4)Părţile contractante se asigură că autoritatea competentă care a primit solicitarea informează în scris persoana vizată cu privire la orice amânare, refuz sau restricţionare a accesului şi cu privire la motivele amânării, refuzului sau restricţionării accesului în cauză. Aceste motive pot fi omise dacă şi atât timp cât acest lucru ar submina scopul amânării, al refuzului sau al restricţionării menţionate la alineatul (3). Autoritatea competentă informează persoana vizată cu privire la posibilitatea de a depune o plângere la autorităţile de supraveghere relevante şi cu privire la alte căi de atac administrative şi judiciare disponibile prevăzute în cadrele juridice ale părţilor contractante.
Art. 9: Dreptul la rectificare, ştergere şi restricţionare
(1)Părţile contractante se asigură că persoana vizată are dreptul ca datele cu caracter personal inexacte care au fost transferate în temeiul prezentului acord să fie rectificate de către autorităţile competente. Ţinând seama de scopul sau scopurile prelucrării, acest lucru include dreptul de a solicita ca datele cu caracter personal incomplete care au fost transferate în temeiul prezentului acord să fie completate.
(2)Rectificarea include ştergerea datelor cu caracter personal care nu mai sunt necesare în scopul sau scopurile pentru care sunt prelucrate.
(3)Părţile contractante pot prevedea mai degrabă restricţionarea prelucrării decât ştergerea datelor cu caracter personal în cazul în care există motive rezonabile să se creadă că o astfel de ştergere ar putea afecta interesele legitime ale persoanei vizate.
(4)Autorităţile competente se informează reciproc cu privire la măsurile luate în temeiul alineatelor (1), (2) şi (3). Autoritatea competentă destinatară rectifică, şterge sau restricţionează prelucrarea în conformitate cu măsurile luate de autoritatea competentă care efectuează transferul.
(5)Părţile contractante prevăd că autoritatea competentă care a primit cererea trebuie să informeze în scris persoana vizată, fără întârzieri nejustificate şi, în orice caz, în termen de trei luni de la primirea unei cereri în conformitate cu alineatul (1) sau (2), că datele referitoare la persoana vizată au fost rectificate sau şterse ori că prelucrarea lor a fost restricţionată.
(6)Părţile contractante prevăd că autoritatea competentă care a primit cererea trebuie să informeze în scris persoana vizată, fără întârzieri nejustificate şi, în orice caz, în termen de trei luni de la primirea unei cereri cu privire la orice refuz de rectificare, ştergere sau restricţionare a prelucrării, cu privire la motivele unui astfel de refuz şi cu privire la posibilitatea de a depune o plângere la autorităţile de supraveghere relevante şi la alte căi de atac administrative şi judiciare disponibile prevăzute în cadrele juridice ale părţilor contractante.
Art. 10: Notificarea autorităţilor vizate în cazul încălcării securităţii datelor cu caracter personal
(1)Părţile contractante se asigură că, în cazul unei încălcări a securităţii datelor cu caracter personal care afectează datele cu caracter personal transferate în temeiul prezentului acord, autorităţile competente relevante îşi notifică reciproc acest lucru şi informează şi autoritatea lor de supraveghere cu privire la încălcarea securităţii datelor cu caracter personal fără întârziere şi iau măsuri pentru a atenua eventualele efecte negative ale acesteia.
(2)Notificarea trebuie cel puţin:
a)să descrie caracterul încălcării securităţii datelor cu caracter personal, inclusiv, atunci când este posibil, categoriile şi numărul persoanelor vizate în cauză, precum şi categoriile şi numărul înregistrărilor de date cu caracter personal în cauză;
b)să descrie consecinţele probabile ale încălcării securităţii datelor cu caracter personal;
c)să descrie măsurile luate sau propuse spre a fi luate de autoritatea competentă pentru a remedia problema încălcării securităţii datelor cu caracter personal, inclusiv măsurile luate pentru atenuarea eventualelor sale efecte negative.
(3)În măsura în care nu este posibil să se furnizeze toate informaţiile solicitate în acelaşi timp, acestea pot fi furnizate etapizat. Informaţiile restante se furnizează fără întârzieri nejustificate.
(4)Părţile contractante se asigură că autorităţile lor competente documentează orice încălcare a securităţii datelor cu caracter personal care afectează datele cu caracter personal transferate în temeiul prezentului acord, inclusiv faptele legate de încălcarea securităţii datelor cu caracter personal, efectele acesteia şi măsurile de remediere luate, permiţând astfel autorităţii lor de supraveghere să verifice respectarea cerinţelor legale aplicabile.
Art. 11: Informarea persoanei vizate cu privire la încălcarea securităţii datelor cu caracter personal
(1)În cazul în care este probabil ca o încălcare a securităţii datelor cu caracter personal de tipul celei menţionate la articolul 10 să aibă efecte negative grave asupra drepturilor şi libertăţilor persoanei vizate, părţile contractante prevăd ca autorităţile lor competente să îi comunice persoanei vizate, fără întârzieri nejustificate, faptul că a avut loc o încălcare a securităţii datelor sale cu caracter personal.
(2)Printre informaţiile care trebuie comunicate persoanei vizate, în temeiul alineatului (1), se numără, dacă este posibil, natura încălcării securităţii datelor cu caracter personal, măsurile recomandate de atenuare a eventualelor efecte negative ale încălcării securităţii datelor cu caracter personal şi numele şi datele punctului de contact unde pot fi obţinute informaţii suplimentare.
(3)Nu este necesar să i se comunice persoanei vizate informaţii în temeiul alineatului (1) în cazul în care:
a)datele cu caracter personal vizate de încălcare au făcut obiectul unor măsuri tehnologice de protecţie adecvate datorită cărora datele sunt neinteligibile pentru orice persoană care nu este autorizată să aibă acces la datele respective;
b)s-au luat măsuri ulterioare prin care se asigură faptul că nu mai este probabil ca drepturile şi libertăţile persoanei vizate să fie afectate grav; sau
c)informarea persoanei vizate în temeiul alineatului (1) ar implica eforturi disproporţionate, în special din cauza numărului de cazuri implicate; într-o astfel de situaţie se efectuează în schimb o informare publică sau se ia o măsură similară prin care persoana vizată este informată într-un mod la fel de eficace.
(4)Informarea persoanei vizate în temeiul alineatului (1) poate fi amânată, restricţionată sau omisă în cazul în care o astfel de informare ar putea:
a)să obstrucţioneze cercetările, investigaţiile sau procedurile oficiale ori judiciare;
b)să aducă atingere prevenirii, depistării, cercetării şi urmăririi penale a infracţiunilor sau executării sancţiunilor penale, ordinii publice sau securităţii naţionale;
c)să afecteze drepturile şi libertăţile părţilor terţe;
în cazul în care acest lucru constituie o măsură necesară şi proporţională, ţinând seama în mod corespunzător de interesele legitime ale persoanei vizate în cauză.
Art. 12: Stocarea, reexaminarea, corectarea şi ştergerea datelor cu caracter personal
(1)Părţile contractante prevăd stabilirea de termene adecvate pentru stocarea datelor cu caracter personal primite în temeiul prezentului acord sau pentru o reexaminare periodică a necesităţii de stocare a datelor cu caracter personal, astfel încât datele cu caracter personal să fie stocate numai atât timp cât este necesar pentru scopul sau scopurile în care sunt transferate.
(2)În orice caz, necesitatea continuării stocării datelor cu caracter personal este reexaminată în termen de cel mult trei ani de la transferul datelor cu caracter personal şi, în cazul în care nu se ia nicio decizie justificată şi documentată cu privire la continuarea stocării datelor cu caracter personal, datele cu caracter personal sunt şterse automat după trei ani.
(3)Atunci când o autoritate competentă are motive să creadă că datele cu caracter personal transferate anterior de aceasta sunt incorecte, inexacte sau neactualizate sau nu ar fi trebuit să fie transferate, aceasta informează autoritatea competentă destinatară, care corectează sau şterge datele respective şi transmite o notificare în acest sens autorităţii competente care le-a transferat.
(4)Atunci când o autoritate competentă are motive să creadă că datele cu caracter personal primite anterior sunt incorecte, inexacte sau neactualizate sau nu ar fi trebuit să fie transferate, aceasta informează autoritatea competentă care le-a transferat, care îşi exprimă poziţia cu privire la această chestiune. Atunci când autoritatea competentă care le-a transferat concluzionează că datele cu caracter personal sunt incorecte, inexacte sau neactualizate sau nu ar fi trebuit să fie transferate, aceasta informează autoritatea competentă destinatară, care corectează sau şterge datele respective şi transmite o notificare în acest sens autorităţii competente care le-a transferat.
Art. 13: Ţinerea evidenţei şi documentarea
(1)Părţile contractante prevăd ţinerea evidenţei sau documentarea privind colectarea, modificarea, accesarea, divulgarea (inclusiv transferurile ulterioare), combinarea şi ştergerea datelor cu caracter personal.
(2)Evidenţele sau documentele, astfel cum sunt menţionate la alineatul (1), se pun la dispoziţia autorităţii de supraveghere relevante, la cerere, în scopul verificării legalităţii prelucrării datelor, al automonitorizării şi al asigurării unei integrităţi şi securităţi corespunzătoare a datelor.
Art. 14: Autoritatea de supraveghere
(1)Fiecare parte contractantă se asigură că există o autoritate publică responsabilă cu protecţia datelor (autoritate de supraveghere) care să supravegheze în mod independent aspectele ce afectează dreptul persoanelor la viaţă privată, inclusiv normele interne relevante în temeiul prezentului acord, în vederea protejării drepturilor şi libertăţilor fundamentale ale persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal. Părţile contractante se informează reciproc cu privire la autoritatea pe care fiecare dintre ele o desemnează drept autoritate de supraveghere.
(2)Părţile contractante se asigură că fiecare autoritate de supraveghere:
a)acţionează în mod complet independent în îndeplinirea sarcinilor sale şi în exercitarea competenţelor sale; acţionează fără influenţe externe şi nu solicită şi nici nu acceptă instrucţiuni; membrii săi au un mandat sigur, inclusiv garanţii împotriva demiterii arbitrare;
b)dispune de resursele umane, tehnice şi financiare, de sediul şi de infrastructura necesare pentru îndeplinirea cu eficacitate a sarcinilor sale şi pentru exercitarea eficace a competenţelor sale;
c)dispune de competenţe efective de investigare şi de intervenţie pentru a monitoriza organismele pe care le supraveghează şi pentru a iniţia acţiuni în justiţie;
d)are competenţa de a soluţiona plângerile persoanelor fizice cu privire la utilizarea datelor lor cu caracter personal de către autorităţile competente aflate sub supravegherea sa.
Art. 15: Căi de atac administrative şi judiciare
(1)Persoanele vizate au dreptul la căi de atac administrative şi judiciare eficace în cazul încălcării drepturilor şi garanţiilor recunoscute în prezentul acord, care rezultă din prelucrarea datelor lor cu caracter personal. Părţile contractante se informează reciproc cu privire la legislaţia internă pe care fiecare dintre ele o consideră a fi cea care prevede drepturile garantate în temeiul prezentului articol.
(2)Dreptul la căi de atac administrative şi judiciare eficace, astfel cum se menţionează la alineatul (1), include dreptul la despăgubiri pentru orice prejudiciu cauzat persoanei vizate.