|
16.12.2021 |
PT |
Jornal Oficial da União Europeia |
L 450/149 |
DECISÃO (UE) 2021/2243 DA COMISSÃO
de 15 de dezembro de 2021
que estabelece regras internas relativas à comunicação de informações aos titulares de dados e à limitação de alguns dos seus direitos no contexto do tratamento de dados pessoais para efeitos da segurança dos sistemas de informação e de comunicação da Comissão
A COMISSÃO EUROPEIA,
Tendo em conta o Tratado sobre o Funcionamento da União Europeia, nomeadamente o artigo 249.o, n.o 1,
Considerando o seguinte:
|
(1) |
No desempenho das suas funções, a Comissão é obrigada a respeitar os direitos das pessoas singulares no que se refere ao tratamento de dados pessoais reconhecidos no artigo 8.o, n.o 1, da Carta dos Direitos Fundamentais da União Europeia e no artigo 16.o, n.o 1, do Tratado sobre o Funcionamento da União Europeia. É igualmente obrigada a respeitar os direitos previstos no Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho (1). Ao mesmo tempo, a Comissão deve gerir os incidentes de segurança informática em conformidade com as regras estabelecidas no artigo 15.o da Decisão (UE, Euratom) 2017/46 (2). |
|
(2) |
A fim de garantir a segurança informática, ou seja, a preservação da confidencialidade, integridade e disponibilidade dos sistemas de comunicação e de informação e dos conjuntos de dados que tratam, no que diz respeito às pessoas, bens e informações, a Comissão, nomeadamente através da Direção-Geral da Informática, tomou as medidas previstas na Decisão (UE, Euratom) 2017/46 e na Decisão C(2017) 8841 final (3). Essas medidas incluem a monitorização dos riscos de segurança informática e das medidas aplicadas neste domínio, o pedido aos proprietários de sistemas no sentido de adotarem medidas específicas de segurança informática que atenuem os riscos para os sistemas de comunicação e de informação da Comissão e a gestão dos incidentes de segurança informática. |
|
(3) |
A Direção-Geral da Informática executa operações e presta serviços de segurança informática à Comissão e necessita de tratar várias categorias de dados pessoais a fim de:
|
|
(4) |
Os incidentes de segurança informática suscetíveis de comprometer a segurança dos sistemas de informação e de comunicação da Comissão podem ocorrer em qualquer operação de tratamento efetuada pela Comissão, podendo envolver qualquer categoria de dados pessoais por ela tratados. |
|
(5) |
Em determinadas circunstâncias, poderá ser necessário conciliar os direitos dos titulares de dados ao abrigo do Regulamento (UE) 2018/1725 com a necessidade de a Comissão exercer eficazmente as suas funções destinadas a garantir a segurança das pessoas, bens e informações na Comissão, ao abrigo da Decisão (UE, Euratom) 2017/46, no pleno respeito dos direitos e liberdades fundamentais dos outros titulares de dados. Para o efeito, o artigo 25.o, n.o 1, do Regulamento (UE) 2018/1725 autoriza a Comissão a limitar a aplicação dos artigos 14.o a 17.o, 19.o, 20.o e 35.o desse regulamento, bem como a aplicação do princípio da transparência previsto no artigo 4.o, n.o 1, alínea a), na medida em que as respetivas disposições correspondam aos direitos e obrigações previstos nos artigos 14.o a 17.o, 19.o e 20.o do referido regulamento. |
|
(6) |
A presente decisão deve aplicar-se a todas as operações de tratamento realizadas pela Comissão enquanto responsável pelo tratamento de dados no exercício das suas funções destinadas a garantir a segurança informática das pessoas, bens e informações na Comissão nos termos da Decisão (UE, Euratom) 2017/46. Por conseguinte, deve abranger os titulares das categorias de dados pessoais cobertos por todas essas operações de tratamento, ou seja, as pessoas que interagem com qualquer um dos sistemas de informação e de comunicação da Comissão. |
|
(7) |
Os dados pessoais são armazenados num ambiente eletrónico seguro para impedir o acesso ilegal por parte de pessoas externas à Comissão. Consoante o tipo de dados pessoais em causa, são aplicáveis diferentes períodos de conservação de dados às várias operações de tratamento. A conservação de ficheiros na Comissão é regulada pela lista comum de conservação de dossiês da Comissão [SEC(2019) 900], um documento normativo sob a forma de um calendário no qual são fixados os períodos de conservação para os diferentes tipos de ficheiros da Comissão, a fim de limitar a conservação de dados ao necessário. |
|
(8) |
A Comissão pode ter de limitar a aplicação dos direitos dos titulares de dados a fim de salvaguardar a sua segurança interna, nos termos do artigo 25.o, n.o 1, alínea d), do Regulamento (UE) 2018/1725 (ou seja, preservar a confidencialidade, a integridade e a disponibilidade dos seus sistemas de comunicação e de informação e dos conjuntos de dados que tratam, assim como dos seus bens e informações). Em especial, a Comissão poderá ter de o fazer quando:
|
|
(9) |
Para efeitos do tratamento dos incidentes de segurança informática, tal como referido no artigo 15.o da Decisão (UE, Euratom) 2017/46, a Direção-Geral da Informática pode trocar informações com a equipa da Direção-Geral dos Recursos Humanos e da Segurança encarregada da resposta a ciberataques. |
|
(10) |
A fim de dar cumprimento aos artigos 14.o, 15.o e 16.o do Regulamento (UE) 2018/1725, a Comissão deve informar todas as pessoas das atividades que envolvam o tratamento dos seus dados pessoais e que afetem os seus direitos. Deve fazê-lo de forma transparente e coerente mediante a publicação de uma comunicação sobre a proteção de dados no seu sítio Web. Se for caso disso, deve aplicar garantias adicionais para informar individualmente os titulares dos dados num formato adequado. |
|
(11) |
O cumprimento dos artigos 14.o, 15.o e 16.o do Regulamento (UE) 2018/1725 poderá revelar a existência de medidas, vulnerabilidades ou incidentes de segurança informática nos termos do artigo 15.o da Decisão (UE, Euratom) 2017/46. Revelar essas medidas, vulnerabilidades e incidentes de segurança informática aumenta o risco de utilizadores ou intervenientes mal-intencionados contornarem a medida de segurança informática revelada, abusarem da vulnerabilidade revelada e comprometerem uma análise em curso sobre incidentes de segurança informática, uma vez que poderão manipular os elementos de forma acidental ou intencional. Tal poderá prejudicar seriamente a capacidade da Comissão para garantir a sua segurança informática e, em especial, para tratar eficazmente os incidentes de segurança informática no futuro. |
|
(12) |
Nos termos do artigo 25.o, n.o 1, alínea h), do Regulamento (UE) 2018/1725, a Comissão está igualmente autorizada a limitar a aplicação dos direitos dos titulares dos dados para proteger os direitos e liberdades de outras pessoas relacionados com incidentes de segurança informática suscetíveis de comprometer as operações de segurança informática. |
|
(13) |
A Comissão pode ter de limitar a comunicação de informações aos titulares dos dados e a aplicação de outros direitos dos titulares dos dados no que diz respeito aos dados pessoais recebidos de países terceiros ou de organizações internacionais, a fim de cumprir o seu dever de cooperação com esses países ou organizações. Tal faz parte do dever da Comissão de salvaguardar objetivos importantes de interesse público geral da União, tal como referido no artigo 25.o, n.o 1, alínea c), do Regulamento (UE) 2018/1725. Contudo, em determinadas circunstâncias, o interesse dos direitos fundamentais do titular dos dados pode prevalecer sobre o interesse da cooperação internacional. |
|
(14) |
Por conseguinte, a Comissão identificou os motivos enumerados no artigo 25.o, n.o 1, alíneas c), d) e h), do Regulamento (UE) 2018/1725 como motivos para as limitações que poderá ser necessário impor às operações de tratamento de dados realizadas pela Direção-Geral da Informática relacionadas com a execução de operações e a prestação de serviços de segurança informática à Comissão. |
|
(15) |
Qualquer limitação imposta com base na presente decisão deve ser necessária e proporcionada, tendo em conta os riscos para os direitos e liberdades dos titulares dos dados. |
|
(16) |
A Comissão deve tratar todas as limitações de forma transparente e registar todas as limitações impostas no sistema de registo correspondente. |
|
(17) |
Ao abrigo do artigo 25.o, n.o 8, do Regulamento (UE) 2018/1725, os responsáveis pelo tratamento podem adiar, omitir ou recusar comunicar informações ao titular de dados com base nos motivos que levaram à imposição de uma limitação, desde que essas informações possam comprometer, de algum modo, o efeito da limitação. Tal aplica-se, em especial, às limitações das obrigações previstas nos artigos 16.o e 35.o do Regulamento (UE) 2018/1725. A Comissão deve reexaminar com regularidade as limitações impostas, a fim de assegurar que os direitos do titular dos dados de ser informado em conformidade com os artigos 16.o e 35.o do Regulamento (UE) 2018/1725 sejam limitados apenas enquanto tais limitações forem necessárias para permitir à Comissão garantir a sua segurança informática e, em particular, gerir os incidentes de segurança informática. |
|
(18) |
Se a Comissão limitar a aplicação dos direitos de titulares dos dados que não os referidos nos artigos 16.o e 35.o do Regulamento (UE) 2018/1725, o responsável pelo tratamento deve avaliar caso a caso se a comunicação da limitação comprometeria a sua finalidade. |
|
(19) |
O encarregado da proteção de dados da Comissão deve proceder a uma análise independente das limitações impostas, com vista a assegurar o cumprimento da presente decisão. |
|
(20) |
A fim de permitir à Comissão limitar imediatamente a aplicação de determinados direitos e obrigações em conformidade com o artigo 25.o do Regulamento (UE) 2018/1725, a presente decisão deve entrar em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia. |
|
(21) |
A Autoridade Europeia para a Proteção de Dados emitiu um parecer em 16 de setembro de 2021, |
ADOTOU A PRESENTE DECISÃO:
Artigo 1.o
Objeto e âmbito de aplicação
1. A presente decisão estabelece as regras que a Comissão deve seguir para informar os titulares de dados do tratamento dos seus dados pessoais em conformidade com os artigos 14.o, 15.o e 16.o do Regulamento (UE) 2018/1725 no âmbito do desempenho das suas funções nos termos da Decisão (UE, Euratom) 2017/46.
Estabelece igualmente as condições em que a Comissão pode limitar a aplicação dos artigos 4.o, 14.o a 17.o, 19.o, 20.o e 35.o do Regulamento (UE) 2018/1725, em conformidade com o artigo 25.o, n.o 1, alíneas c), d) e h), desse regulamento, no âmbito do desempenho das suas funções nos termos da Decisão (UE, Euratom) 2017/46.
2. A presente decisão aplica-se ao tratamento de dados pessoais, por parte ou em nome da Comissão, para efeitos ou relacionado com as atividades levadas a cabo para garantir a segurança das pessoas, bens e informações na Comissão nos termos da Decisão (UE, Euratom) 2017/46.
Artigo 2.o
Exceções e limitações aplicáveis
1. Sempre que a Comissão exercer as suas funções relativamente aos direitos dos titulares de dados ao abrigo do Regulamento (UE) 2018/1725, deve analisar se é aplicável alguma das exceções previstas nesse regulamento.
2. Sob reserva do disposto nos artigos 3.o a 7.° da presente decisão, sempre que o exercício dos direitos e obrigações previstos nos artigos 14.o a 17.°, 19.°, 20.° e 35.° do Regulamento (UE) 2018/1725 em relação aos dados pessoais tratados pela Comissão puder comprometer a finalidade da prestação de serviços e da execução de operações de segurança informática, nomeadamente revelando os instrumentos, vulnerabilidades e métodos de investigação da Comissão, ou afetar negativamente os direitos e liberdades e a segurança de outros titulares de dados, em especial no que diz respeito ao tratamento de dados pessoais a fim de:
|
— |
comunicar alertas e avisos relativos a eventos e incidentes de segurança informática; |
|
— |
responder a eventos e incidentes de segurança informática e contê-los; |
|
— |
facilitar os instrumentos e as operações através de auditorias da segurança, avaliações da segurança e gestão das vulnerabilidades; |
|
— |
aumentar a sensibilização do pessoal da Comissão para a cibersegurança; |
|
— |
monitorizar, detetar e prevenir a ocorrência de eventos e incidentes de segurança informática; |
|
— |
reexaminar as contas dos utilizadores privilegiados, |
a Comissão pode limitar a aplicação:
|
a) |
dos artigos 14.o a 17.o, 19.o, 20.o e 35.o do Regulamento (UE) 2018/1725; |
|
b) |
do princípio da transparência estabelecido no artigo 4.o, n.o 1, alínea a), do Regulamento (UE) 2018/1725, na medida em que as suas disposições correspondam aos direitos e obrigações previstos nos artigos 14.o a 17.o, 19.o e 20.o do Regulamento (UE) 2018/1725. |
A Comissão pode fazê-lo em conformidade com o artigo 25.o, n.o 1, alíneas c), d) e h), do Regulamento (UE) 2018/1725.
3. Sem prejuízo do disposto nos artigos 3.o a 7.o, a Comissão pode limitar os direitos e obrigações referidos no n.o 2 do presente artigo:
|
a) |
quando o exercício desses direitos e o cumprimento dessas obrigações relativamente aos dados pessoais obtidos junto de outra instituição, órgão ou organismo da União possam ser limitados por essa outra instituição, órgão ou organismo da União com base nos atos jurídicos referidos no artigo 25.o do Regulamento (UE) 2018/1725, ou nos termos do capítulo IX do mesmo regulamento, em conformidade com o Regulamento (UE) 2016/794 do Parlamento Europeu e do Conselho (4) ou com o Regulamento (UE) 2017/1939 do Conselho (5); |
|
b) |
quando o exercício desses direitos e o cumprimento dessas obrigações relativamente aos dados pessoais obtidos junto da autoridade competente de um Estado-Membro possam ser limitados pelas autoridades competentes desse Estado-Membro com base nas medidas legislativas referidas no artigo 23.o do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (6) ou nas medidas nacionais de transposição do artigo 13.o, n.o 3, do artigo 15.o, n.o 3, ou do artigo 16.o, n.o 3, da Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho (7); |
|
c) |
quando o exercício desses direitos e o cumprimento dessas obrigações possam comprometer a cooperação da Comissão com países terceiros ou organizações internacionais em matéria de ameaças comuns à cibersegurança. |
Antes de impor limitações nas circunstâncias referidas no primeiro parágrafo, alíneas a) e b), a Comissão deve consultar as instituições, órgãos ou organismos da União competentes ou as autoridades dos Estados-Membros sobre os eventuais motivos da imposição dessas limitações, bem como sobre a necessidade e a proporcionalidade das mesmas, a menos que tal possa comprometer as atividades da Comissão e que seja claro para a Comissão que a imposição de uma limitação está prevista num dos atos referidos nessas alíneas ou que essa consulta poderia comprometer a finalidade das suas atividades ao abrigo da Decisão (UE, Euratom) 2017/46.
A alínea c) do primeiro parágrafo não é aplicável quando os interesses ou direitos e liberdades fundamentais do titular dos dados prevaleçam sobre o interesse da Comissão em cooperar com países terceiros ou com organizações internacionais.
4. Os n.os 1, 2 e 3 não prejudicam a aplicação de outras decisões da Comissão que estabeleçam regras internas que regulem a comunicação de informações aos titulares de dados e a limitação da aplicação de determinados direitos ao abrigo do artigo 25.o do Regulamento (UE) 2018/1725.
5. Qualquer limitação dos direitos e obrigações a que se refere o n.o 2 deve ser necessária e proporcional aos riscos para os direitos e liberdades dos titulares dos dados.
6. Antes da imposição das limitações, deve ser realizado um teste de necessidade e de proporcionalidade, caso a caso, e as limitações devem cingir-se ao estritamente necessário para alcançar a finalidade pretendida.
Artigo 3.o
Comunicação de informações aos titulares de dados
1. A Comissão deve publicar no seu sítio Web um aviso sobre a proteção de dados informando todos os titulares de dados das suas atividades que envolvem o tratamento dos seus dados pessoais para efeitos do desempenho das suas funções nos termos da Decisão (UE, Euratom) 2017/46, incluindo uma descrição das categorias de dados pessoais em causa. Sempre que seja possível fazê-lo sem comprometer a segurança informática, a Comissão deve assegurar que os titulares dos dados sejam informados individualmente, num formato adequado.
2. Se limitar, total ou parcialmente, a comunicação de informações a titulares de dados cujos dados trata para efeitos do desempenho das suas funções nos termos da Decisão (UE, Euratom) 2017/46, a Comissão deve registar os motivos dessa limitação, em conformidade com o artigo 6.o da presente decisão.
Artigo 4.o
Direito de acesso do titular dos dados, direito ao apagamento dos dados e direito à limitação do tratamento dos dados
1. Se limitar, total ou parcialmente, o direito de acesso aos dados pessoais pelos respetivos titulares, o direito ao apagamento dos dados ou o direito à limitação do tratamento dos dados a que se referem os artigos 17.o, 19.o e 20.o do Regulamento (UE) 2018/1725, a Comissão deve informar o titular dos dados em causa, na sua resposta ao pedido de acesso, apagamento ou limitação do tratamento:
|
a) |
sobre a limitação imposta e os principais motivos dessa limitação; |
|
b) |
sobre a forma de apresentar uma reclamação à Autoridade Europeia para a Proteção de Dados ou de intentar uma ação junto do Tribunal de Justiça da União Europeia. |
2. A Comissão pode adiar, omitir ou recusar a comunicação de informações sobre os motivos da limitação referida no n.o 1 quando esta possa comprometer a finalidade da limitação.
3. A Comissão deve registar os motivos da limitação em conformidade com o artigo 6.o da presente decisão.
4. Sempre que o direito de acesso for limitado, total ou parcialmente, o titular dos dados pode exercer o seu direito de acesso contactando a Autoridade Europeia para a Proteção de Dados, em conformidade com o artigo 25.o, n.os 6, 7 e 8, do Regulamento (UE) 2018/1725.
Artigo 5.o
Comunicação de violações de dados pessoais aos titulares dos dados
Sempre que a Comissão limitar a comunicação ao titular de dados de uma violação dos seus dados pessoais, conforme referido no artigo 35.o do Regulamento (UE) 2018/1725, deve registar os motivos dessa limitação em conformidade com o artigo 6.o da presente decisão. A Comissão deve comunicar o registo à Autoridade Europeia para a Proteção de Dados no momento da notificação da violação de dados pessoais.
Artigo 6.o
Registo das limitações
1. A Comissão deve registar os motivos de qualquer limitação imposta nos termos da presente decisão, incluindo uma referência ao(s) fundamento(s) jurídico(s) da limitação e uma avaliação da sua necessidade e proporcionalidade, tendo em conta os elementos pertinentes estabelecidos no artigo 25.o, n.o 2, do Regulamento (UE) 2018/1725.
2. O registo deve indicar de que modo o exercício de um determinado direito pelo titular dos dados poderia comprometer a finalidade da execução de operações e da prestação de serviços de segurança informática à Comissão em conformidade com a Decisão (UE) 2017/46, ou das limitações impostas nos termos do artigo 2.o, n.os 2 ou 3, da presente decisão, ou afetar negativamente os direitos e liberdades de outros titulares de dados.
3. A Comissão deve conservar esses registos e quaisquer documentos que contenham os elementos de facto e de direito pertinentes. Estes elementos devem ser disponibilizados à Autoridade Europeia para a Proteção de Dados, mediante pedido.
Artigo 7.o
Duração das limitações
1. As limitações referidas nos artigos 3.o, 4.o e 5.o mantêm-se aplicáveis enquanto os motivos que as justificam permanecerem válidos.
2. Quando os motivos de uma limitação a que se referem os artigos 3.o, 4.o e 5.o deixarem de ser válidos, a Comissão deve:
|
a) |
levantar a limitação; |
|
b) |
informar o titular dos dados dos principais motivos da limitação; |
|
c) |
informar o titular dos dados do procedimento para apresentar, em qualquer momento, uma reclamação à Autoridade Europeia para a Proteção de Dados ou intentar uma ação judicial junto do Tribunal de Justiça da União Europeia. |
Artigo 8.o
Garantias e períodos de conservação
1. A Comissão deve reexaminar a imposição das limitações referidas nos artigos 3.o, 4.o e 5.o seis meses após a sua adoção e aquando do encerramento da operação de segurança informática concreta. Posteriormente, deve reexaminar e monitorizar anualmente a necessidade de manter qualquer limitação.
O reexame deve incluir uma avaliação da necessidade e da proporcionalidade da limitação, tendo em conta os elementos pertinentes enunciados no artigo 25.o, n.o 2, do Regulamento (UE) 2018/1725.
2. A Comissão adotou medidas técnicas e organizativas destinadas a evitar, de modo acidental ou ilícito, a destruição, perda, alteração, divulgação ou acesso não autorizado a dados pessoais que tenham sido transmitidos, armazenados ou sujeitos a qualquer outro tipo de tratamento, como a gestão dos direitos de acesso, a política de salvaguarda e qualquer outra medida em conformidade com a Decisão (UE/Euratom) 2017/46.
3. A Comissão deve registar os períodos de conservação aplicáveis em conformidade com a sua lista comum de conservação de dossiês, informando os titulares dos dados dos períodos de conservação pertinentes para essas atividades de tratamento no seu anúncio sobre a proteção de dados.
Artigo 9.o
Reexame pelo responsável pela proteção de dados da Comissão
1. O responsável pela proteção de dados da Comissão deve ser informado, sem demora injustificada, sempre que os direitos dos titulares de dados forem limitados em conformidade com a presente decisão. Mediante pedido, deve ser concedido ao responsável pela proteção de dados acesso ao registo e a quaisquer documentos que contenham elementos de facto e de direito pertinentes.
2. O responsável pela proteção de dados pode solicitar um reexame das limitações e deve ser informado do resultado do mesmo.
3. A Comissão deve documentar a participação do responsável pela proteção de dados sempre que os direitos dos titulares dos dados forem limitados em conformidade com a presente decisão.
Artigo 10.o
Entrada em vigor
A presente decisão entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.
Feito em Bruxelas, em 15 de dezembro de 2021.
Pela Comissão
A Presidente
Ursula VON DER LEYEN
(1) Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE (JO L 295 de 21.11.2018, p. 39).
(2) Decisão (UE, Euratom) 2017/46 da Comissão, de 10 de janeiro de 2017, relativa à segurança dos sistemas de comunicação e de informação na Comissão Europeia (JO L 6 de 11.1.2017, p. 40).
(3) Decisão C(2017) 8841 da Comissão, de 13 de dezembro de 2017, que estabelece as normas de execução dos artigos 3.o, 5.°, 7.°, 8.°, 9.°, 10.°, 11.°, 12.°, 14.° e 15.° da Decisão 2017/46 da Comissão relativa à segurança dos sistemas de comunicação e de informação na Comissão.
(4) Regulamento (UE) 2016/794 do Parlamento Europeu e do Conselho, de 11 de maio de 2016, que cria a Agência da União Europeia para a Cooperação Policial (Europol) e que substitui e revoga as Decisões 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI e 2009/968/JAI do Conselho (JO L 135 de 24.5.2016, p. 53).
(5) Regulamento (UE) 2017/1939 do Conselho, de 12 de outubro de 2017, que dá execução a uma cooperação reforçada para a instituição da Procuradoria Europeia (JO L 283 de 31.10.2017, p. 1).
(6) Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1).
(7) Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI do Conselho (JO L 119 de 4.5.2016, p. 89).