de 26 de Julho
Através do Decreto-Lei 86/2000, de 12 de Maio, foi estabelecido o enquadramento legal da base de dados de emissão dos passaportes (BADEP). A respectiva gestão foi cometida ao Serviço de Estrangeiros e Fronteiras, do Ministério da Administração Interna, não só pela sua vocação em razão da matéria, no controlo das entradas e saídas de território nacional, como também pela sua qualificação de centro informático de grande dimensão, que tem vindo a reforçar-se.O Regulamento (CE) n.º 2252/2004, do Conselho, de 13 de Dezembro, veio entretanto definir o novo quadro aplicável aos dispositivos de segurança e dados biométricos dos passaportes e documentos de viagem emitidos pelos Estados membros (Jornal Oficial, n.º L 385, de 29 de Dezembro de 2004).
A Decisão C(2005)409, da Comissão, de 28 de Fevereiro, regulou seguidamente os dispositivos e requisitos de segurança complementares, incluindo normas de prevenção reforçadas contra o risco de contrafacção e de falsificação, e precisou as especificações técnicas relativas ao suporte de armazenamento de dados biométricos e à sua segurança, incluindo a prevenção contra o acesso não autorizado. Fixou ainda os requisitos aplicáveis em matéria de qualidade e normas comuns no que diz respeito à imagem facial e às impressões digitais.
O novo quadro jurídico comunitário implica uma actualização da base tecnológica de apoio às operações a praticar para a recolha e o tratamento de dados.
Nos termos do regulamento, directamente aplicável na ordem interna, os dados em causa só podem ser utilizados para verificar a autenticidade do passaporte e a identidade do titular, através de dispositivos comparáveis e directamente disponíveis nos casos em que a lei exija que sejam apresentados os passaportes ou outros documentos de viagem.
Por outro lado, quanto aos dados pessoais a tratar no contexto dos passaportes e dos documentos de viagem, é aplicável a Directiva n.º 95/46/CE, do Parlamento Europeu e do Conselho, de 24 de Outubro, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, devendo garantir-se que nenhuma outra informação seja inserida no passaporte, com excepção dos casos previstos no regulamento ou no seu anexo ou se tais dados constarem do documento de viagem em causa.
São, em consonância, plenamente aplicáveis as exigências plasmadas na Lei 67/98, de 26 de Outubro, em matéria de protecção de dados pessoais, atinentes à transparência do tratamento, do respeito pela reserva de vida privada e dos direitos, liberdades e garantias do cidadão, como assinalou a Comissão Nacional de Protecção de Dados (CNPD) no parecer que emitiu no decurso do processo de preparação do diploma. As recomendações e observações produzidas pela CNPD tiveram projecção adequada no articulado. Manteve-se a previsão, já constante da legislação em vigor, de que o procedimento de concessão de passaporte inclua a consulta ao Sistema de Informação do Serviço de Estrangeiros e Fronteiras (SISEF), «para verificação da existência de medidas cautelares pendentes». De facto, o Serviço de Estrangeiros e Fronteiras dispõe das competências em relação a cidadãos nacionais previstas na legislação agora revista, e o seu sistema de informação, apesar da designação abreviada, reflecte e deve continuar a reflectir essas responsabilidades.
Assim, de harmonia com o disposto no diploma que regula a concessão e emissão do novo passaporte electrónico português (PEP), importa rever o Decreto-Lei 86/2004, completando o enquadramento do sistema de informação necessário para operacionalizar o novo sistema de recolha de dados e de emissão centralizada do passaporte.
Foi ouvida, nos termos legalmente estipulados, a CNPD, cujas recomendações foram acolhidas nos moldes já sintetizados.
Foi promovida a audição à Assembleia Legislativa Regional da Madeira.
Foi ouvida a Assembleia Legislativa Regional dos Açores.
Assim:
Nos termos da alínea a) do n.º 1 do artigo 198.º da Constituição, o Governo decreta o seguinte:
Artigo 1.º
Alteração do Decreto-Lei 86/2000, de 12 de Maio
1 - São alterados os artigos 1.º a 8.º e 13.º do Decreto-Lei 86/2000, de 12 de Maio, que passam a ter a seguinte redacção:
«Artigo 1.º
Finalidade do sistema
O sistema de informação do passaporte electrónico português, doravante designado SIPEP, tem por finalidade registar, armazenar, tratar, manter actualizada, validar e disponibilizar a informação associada ao processo de concessão dos passaportes, nas suas diferentes categorias, bem como accionar o respectivo processo de personalização, de harmonia com o disposto no diploma que regula a concessão e emissão do novo passaporte electrónico português.
Artigo 2.º
Do procedimento de recolha de dados
1 - Mediante a apresentação do bilhete de identidade pelo requerente, é efectuada consulta à base de dados de identificação civil e à base de dados de contumazes para verificação da existência de medidas de contumácia.2 - Comprovada a inexistência de impedimento e confirmados pelo requerente os seus dados pessoais, é obtida a sua assinatura e são recolhidos os respectivos dados biométricos.
3 - A entidade responsável pela concessão valida a inexistência de medidas cautelares, mediante consulta à correspondente base de dados, procedendo ao registo dos dados biográficos e biométricos do requerente no SIPEP.
4 - A exactidão do registo dos dados biográficos e dos dados biométricos é confirmada pelo requerente, que pode solicitar a entrega da imagem dos dados registados.
Artigo 3.º
[...]
1 - ...........................................................................2 - Sem prejuízo do disposto nos n.os 3 e 4, os dados pessoais constantes do SIPEP são recolhidos e actualizados a partir dos seus titulares ou através de consulta à base de dados de identificação civil, exceptuando o número do passaporte, atribuído automaticamente.
3 - ...........................................................................
4 - ...........................................................................
5 - ...........................................................................
6 - A consulta e confirmação dos dados para posterior recolha obedece ao disposto na Lei 67/98, de 26 de Outubro.
Artigo 4.º
[...]
1 - O SIPEP obedece às seguintes características:a) Centralização do registo dos dados pessoais, biográficos e biométricos;
b) Descentralização da recolha da informação (dados e imagens), que é efectuada nos centros responsáveis pela concessão;
c) Centralização da personalização do passaporte (emissão/impressão).
2 - Para garantir a eficiência e eficácia da recolha de informação, o SIPEP interage para efeitos de mera consulta e recolha nos termos legalmente permitidos com os seguintes sistemas de informação:
a) Sistema de Informação do Serviço de Estrangeiros e Fronteiras (SISEF), para verificação da existência de medidas cautelares pendentes;
b) ............................................................................
c) ............................................................................
d) ............................................................................
Artigo 5.º
[...]
1 - Só podem ser comunicados aos órgãos de polícia criminal e autoridades judiciárias, para efeitos de investigação ou de instrução criminal, dados registados no SIPEP em condições que respeitem o disposto no n.º 3 do artigo 4.º do Regulamento (CE) n.º 2252/2004, do Conselho, de 13 de Dezembro, e quando os dados não possam ou não devam ser obtidos das pessoas a que respeitem e as entidades em causa não tenham acesso à base de dados.2 - ...........................................................................
3 - A comunicação deve ser recusada quando o pedido não se apresentar devidamente fundamentado.
Artigo 6.º
[...]
1 - ...........................................................................2 - O SEF/MAI, enquanto entidade responsável pelo SIPEP, deve comunicar às entidades processadoras dos dados, autorizadas nos termos do presente decreto-lei, os protocolos celebrados, a fim de a consulta por linha de transmissão poder ser efectuada nos termos e condições deles constantes.
3 - Não é permitida qualquer forma de interconexão dos dados existentes no sistema de informação do passaporte electrónico português, salvo nos termos previstos em legislação especial.
Artigo 7.º
[...]
1 - As entidades autorizadas a aceder directamente ao SIPEP adoptam as medidas administrativas e técnicas necessárias a garantir que a informação não possa ser obtida indevidamente nem usada para fim diferente do permitido.2 - As pesquisas ou tentativas de pesquisas directas da concessão e emissão de passaporte ficam registadas informaticamente, por um período não inferior a cinco anos, devendo o seu registo ser objecto de controlo pelo responsável, sem prejuízo do acesso adequado dos diversos serviços competentes aos registos originados nesses serviços.
3 - (Revogado.)
Artigo 8.º
[...]
1 - Podem ainda aceder à informação recolhida quanto à concessão e emissão de passaporte os descendentes, ascendentes, o cônjuge ou unido de facto, tutor ou curador do titular da informação ou, em caso de falecimento deste, os presumíveis herdeiros, desde que mostrem interesse legítimo e não haja risco de intromissão na vida privada do titular do passaporte.2 - Mediante solicitação fundamentada, pode a CNPD autorizar o acesso à informação recolhida no SIPEP, desde que se mostre comprovado o fim a que se destina, não haja risco de intromissão na vida privada do titular e a informação não seja utilizada para fins incompatíveis com os que determinam a sua recolha.
Artigo 13.º
[...]
1 - Os formulários dos requerimentos de concessão de passaporte temporário são conservados em suporte informático que ofereça condições de segurança, após o que se procede à destruição do suporte documental no prazo máximo de 15 dias.2 - ..........................................................................» 2 - A epígrafe do capítulo I passa a ter a seguinte redacção «Sistema de informação do passaporte electrónico português.»
Artigo 2.º
Norma revogatória
É revogado o n.º 3 do artigo 7.º do Decreto-Lei 86/2000, de 12 de Maio.
Artigo 3.º
Republicação
É republicado, em anexo, que é parte integrante do presente decreto-lei, o Decreto-Lei 86/2000, de 12 de Maio, com a redacção actual, sendo substituídas as referências a «BADEP» por «SIPEP».Visto e aprovado em Conselho de Ministros de 25 de Maio de 2006. - José Sócrates Carvalho Pinto de Sousa - António Luís Santos Costa - Diogo Pinto de Freitas do Amaral - Alberto Bernardes Costa.
Promulgado em 21 de Julho de 2006.
Publique-se.O Presidente da República, ANÍBAL CAVACO SILVA.
Referendado em 24 de Julho de 2006.
O Primeiro-Ministro, José Sócrates Carvalho Pinto de Sousa.
ANEXO
Decreto-Lei 86/2000, de 12 de Maio
(a que se refere o artigo 3.º)
CAPÍTULO I
Sistema de informação do passaporte electrónico português
Artigo 1.º
Finalidade do sistema
O sistema de informação do passaporte electrónico português, doravante designado por SIPEP, tem por finalidade registar, armazenar, tratar, manter actualizada, validar e disponibilizar a informação associada ao processo de concessão dos passaportes, nas suas diferentes categorias, bem como accionar o respectivo processo de personalização, de harmonia com o disposto no diploma que regula a concessão e emissão do novo passaporte electrónico português.
Artigo 2.º
Do procedimento de recolha de dados
1 - Mediante a apresentação do bilhete de identidade pelo requerente, é efectuada consulta à base de dados de identificação civil e à base de dados de contumazes para verificação da existência de medidas de contumácia.2 - Comprovada a inexistência de impedimento e confirmados pelo requerente os seus dados pessoais, é obtida a sua assinatura e são recolhidos os respectivos dados biométricos.
3 - A entidade responsável pela concessão valida a inexistência de medidas cautelares, mediante consulta à correspondente base de dados, procedendo ao registo dos dados biográficos e biométricos do requerente no SIPEP.
4 - A exactidão do registo dos dados biográficos e dos dados biométricos é confirmada pelo requerente, que pode solicitar a entrega da imagem dos dados registados.
Artigo 3.º
Modo de recolha e actualização
1 - Os dados devem ser exactos, pertinentes, actuais e não exceder a finalidade da sua recolha, devendo ser seleccionados antes do seu registo informático.2 - Sem prejuízo do disposto nos n.os 3 e 4, os dados pessoais constantes do SIPEP são recolhidos e actualizados a partir dos seus titulares ou através de consulta à base de dados de identificação civil, exceptuando o número do passaporte, atribuído automaticamente.
3 - A perda da nacionalidade portuguesa é recolhida da comunicação da Conservatória dos Registos Centrais.
4 - As condições de impedimento à concessão do passaporte são recolhidas das decisões judiciais com sentenças de contumácia transitadas em julgado, comunicadas pelas entidades jurisdicionais ou através do acesso, para mera consulta da informação, à base de dados de registo de contumazes, nos termos legalmente previstos.
5 - Os dados pessoais são registados e visualizados pelos funcionários e agentes dos serviços emitentes para tanto credenciados.
6 - A consulta e confirmação dos dados para posterior recolha obedece ao disposto na Lei 67/98, de 26 de Outubro.
CAPÍTULO II
Interconexão, comunicação, consulta e acesso aos dados
Artigo 4.º
Características e interconexão
1 - O SIPEP obedece às seguintes características:a) Centralização do registo dos dados pessoais, biográficos e biométricos;
b) Descentralização da recolha da informação (dados e imagens), que é efectuada nos centros responsáveis pela concessão;
c) Centralização da personalização do passaporte (emissão/impressão).
2 - Para garantir a eficiência e eficácia da recolha de informação, o SIPEP interage para efeitos de mera consulta e recolha nos termos legalmente permitidos com os seguintes sistemas de informação:
a) Sistema de Informação do Serviço de Estrangeiros e Fronteiras (SISEF), para verificação da existência de medidas cautelares pendentes;
b) Parte nacional do Sistema de Informação Schengen (NSIS), para apuramento da existência de eventuais indicações negativas à concessão do passaporte;
c) Base de dados de identificação civil, para confirmação dos elementos de identificação do requerente do passaporte;
d) Base de dados de registo de contumazes.
Artigo 5.º
Comunicação dos dados
1 - Só podem ser comunicados aos órgãos de polícia criminal e autoridades judiciárias, para efeitos de investigação ou de instrução criminal, dados registados no SIPEP em condições que respeitem o disposto no n.º 3 do artigo 4.º do Regulamento (CE) n.º 2252/2004, do Conselho, de 13 de Dezembro, e quando os dados não possam ou não devam ser obtidos das pessoas a que respeitem e as entidades em causa não tenham acesso à base de dados.2 - A comunicação referida no número anterior depende de solicitação fundamentada de magistrado ou de autoridade policial.
3 - A comunicação deve ser recusada quando o pedido não se apresentar devidamente fundamentado.
Artigo 6.º
Consulta em linha
1 - A consulta através de linha de transmissão de dados pode ser autorizada, garantido o respeito pelas normas de segurança da informação e a disponibilidade técnica, às entidades referidas no artigo anterior, mediante protocolo celebrado com o Serviço de Estrangeiros e Fronteiras, do Ministério da Administração Interna (SEF/MAI), precedido de parecer da Comissão Nacional de Protecção de Dados (CNPD).2 - O SEF/MAI, enquanto entidade responsável pelo SIPEP, deve comunicar às entidades processadoras dos dados, autorizadas nos termos do presente decreto-lei, os protocolos celebrados, a fim de a consulta por linha de transmissão poder ser efectuada nos termos e condições deles constantes.
3 - Não é permitida qualquer forma de interconexão dos dados existentes no sistema de informação do passaporte electrónico português, salvo nos termos previstos em legislação especial.
Artigo 7.º
Acesso directo à informação
1 - As entidades autorizadas a aceder directamente ao SIPEP adoptam as medidas administrativas e técnicas necessárias a garantir que a informação não possa ser obtida indevidamente nem usada para fim diferente do permitido.2 - As pesquisas ou tentativas de pesquisas directas da concessão e emissão de passaporte ficam registadas informaticamente, por um período não inferior a cinco anos, devendo o seu registo ser objecto de controlo pelo responsável, sem prejuízo do acesso adequado dos diversos serviços competentes aos registos originados nesses serviços.
Artigo 8.º
Acesso de terceiros
1 - Podem ainda aceder à informação recolhida quanto à concessão e emissão de passaporte os descendentes, ascendentes, o cônjuge ou unido de facto, tutor ou curador do titular da informação ou, em caso de falecimento deste, os presumíveis herdeiros, desde que mostrem interesse legítimo e não haja risco de intromissão na vida privada do titular do passaporte.2 - Mediante solicitação fundamentada, pode a CNPD autorizar o acesso à informação recolhida no SIPEP, desde que se mostre comprovado o fim a que se destina, não haja risco de intromissão na vida privada do titular e a informação não seja utilizada para fins incompatíveis com os que determinam a sua recolha.
Artigo 9.º
Informação para fins de investigação ou estatística
Para além dos casos previstos nos artigos anteriores, a informação pode ser comunicada, para fins de investigação científica e estatística, desde que não sejam identificáveis os indivíduos a que respeita e sejam observadas as disposições legais aplicáveis nesta matéria.
Artigo 10.º
Direito à informação e acesso aos dados
1 - Qualquer indivíduo tem o direito de conhecer o conteúdo do registo ou registos que lhe respeitem.
2 - Sem prejuízo das condições que sejam fixadas nos termos das alíneas g) e h) do n.º 1 do artigo 23.º da Lei 67/98, de 26 de Outubro, a reprodução exacta dos registos a que se refere o número anterior, com a indicação do significado de quaisquer códigos ou abreviaturas deles constantes, é fornecida a solicitação do respectivo titular.
Artigo 11.º
Correcções de eventuais inexactidões
Qualquer indivíduo tem o direito de exigir a correcção de eventuais inexactidões, a supressão de dados indevidamente registados e o complemento das omissões, nos termos previstos na alínea d) do n.º 1 do artigo 11.º e na alínea h) do n.º 1 do artigo 23.º da Lei 67/98, de 26 de Outubro.
CAPÍTULO III
Conservação dos dados e documentos
Conservação dos dados pessoais
1 - Os dados pessoais são conservados no SIPEP até 10 anos após a última emissão do passaporte do seu titular.2 - Os dados pessoais podem ser conservados em ficheiro histórico durante 20 anos após a data da última emissão de passaportes.
Artigo 13.º
Conservação de documentos
1 - Os formulários dos requerimentos de concessão de passaporte temporário são conservados em suporte informático que ofereça condições de segurança, após o que se procede à destruição do suporte documental no prazo máximo de 15 dias.2 - Quaisquer outros documentos e registos inerentes ao funcionamento dos serviços que não contenham decisão de eficácia permanente podem ser destruídos decorrido um ano.
CAPÍTULO IV
Segurança da base de dados
Artigo 14.º
Segurança da informação
1 - Ao SIPEP devem ser conferidas as garantias de segurança necessárias a impedir a consulta, a modificação, a supressão, o adicionamento, a destruição ou a comunicação de dados por forma não consentida pelo presente diploma.2 - Será garantido o controlo, tendo em vista a segurança da informação:
a) Dos suportes de dados e respectivo transporte, a fim de impedir que possam ser lidos, copiados, alterados ou eliminados por qualquer pessoa ou por forma não autorizada;
b) Da inserção de dados, a fim de impedir a introdução, bem como qualquer tomada de conhecimento, alteração ou eliminação não autorizada, de dados pessoais;
c) Dos sistemas de tratamento automatizado de dados, para impedir que possam ser utilizados por pessoas não autorizadas, através de instalações de transmissão de dados;
d) Do acesso aos dados, para que as pessoas autorizadas só possam ter acesso aos dados que interessam ao exercício das suas atribuições legais;
e) Da transmissão dos dados, para garantir que a sua utilização seja limitada às entidades autorizadas;
f) Da introdução de dados pessoais nos sistemas de tratamento automatizado, de forma a verificar-se que dados foram introduzidos, quando e por quem.
Artigo 15.º
Entidade responsável pelo SIPEP
1 - O responsável do SIPEP, nos termos e para os efeitos previstos na alínea a) do n.º 1 do artigo 30.º da Lei 67/98, de 26 de Outubro, é o SEF/MAI, representado pelo seu director.2 - Cabe à entidade referida no número anterior a responsabilidade de assegurar o direito de informação e de acesso aos dados pelos respectivos titulares e a correcção de inexactidões, bem como de velar para que a consulta ou comunicação da informação respeite as condições previstas na lei.
Artigo 16.º
Sigilo
1 - A comunicação ou a revelação dos dados pessoais registados no SIPEP só pode ser efectuada nos termos previstos no presente diploma.2 - As pessoas que no exercício das suas funções tenham conhecimento dos dados pessoais registados no SIPEP ficam obrigadas a sigilo profissional, nos termos do artigo 17.º da Lei 67/98, de 26 de Outubro.
