A Lei n.º 21/2019, publicada em Diário da República a 25 de fevereiro de 2019 vem transpor a Diretiva (UE) 2016/681 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, que Regula a transferência, pelas transportadoras aéreas, dos dados dos registos de identificação dos passageiros, bem como o tratamento desses dados. Procede assim, à terceira alteração à Lei n.º 53/2008, de 29 de agosto, que aprova a Lei de Segurança Interna.
A presente lei regula a transferência, pelas transportadoras aéreas, dos dados dos registos de identificação dos passageiros (dados PNR) dos voos provenientes de um Estado-Membro da União Europeia ou de um país terceiro ou com destino a um Estado-Membro da União Europeia ou a um país terceiro, bem como o tratamento desses dados, nomeadamente a sua recolha, utilização e conservação, e o respetivo intercâmbio com os Estados-Membros da União Europeia. Os dados PNR recolhidos nos termos da presente lei só podem ser tratados para fins de prevenção, deteção, investigação e repressão das infrações terroristas e da criminalidade grave.
Com a transposição da Diretiva 2016/681, é criado o Gabinete de Informações de Passageiros (GIP), como unidade nacional de informações de passageiros, no Ponto Único de Contacto para a Cooperação Policial Internacional (PUC -CPI), à qual tem como competência, garantir a ligação às unidades de informações de passageiros dos restantes Estados-Membros, assegurando que o intercâmbio de dados PNR, assim como o resultado do seu tratamento, se efetua através do PUC-CPI.
Relativamente ao período de conservação dos dados PNR, fornecidos pelas transportadoras aéreas ao GIP, são conservados na base de dados por um prazo de cinco anos contados a partir da sua transferência, sendo anonimizados assim que decorrido um prazo de seis meses após a sua transferência.
Ao tratamento de dados pessoais nos termos da presente lei aplica-se o disposto no regime jurídico relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública. Contudo, é garantida a aplicação do Regulamento Geral sobre a Proteção de Dados (RGPD), quanto ao tratamento de dados pessoais pelas transportadoras aéreas, especialmente no que se refere às suas obrigações de tomarem as medidas técnicas e organizativas adequadas para proteger a segurança e confidencialidade dos dados pessoais. Ficando expressamente proibido o tratamento de dados PNR que revelem a raça ou origem étnica da pessoa, as suas opiniões políticas, religião ou convicções filosóficas, filiação sindical, saúde, vida ou orientação sexual.
No mais, estabelece a presente lei que o responsável pelo tratamento de dados PNR será o Coordenador do GIP, como também será nomeado um Encarregado de Proteção de Dados. Relativamente à aplicação de coimas, por violação das obrigações impostas às transportadoras aéreas, estabelece como valor mínimo 20.000 € e valor máximo de 100.000 €, cabendo a fiscalização da aplicação da presente lei à CNPD.