Regulamento geral de proteção de dados
REGULAMENTO nº. Portaria n.º 679, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados)
(em 31 de outubro de 2018, o ato era relativo à Decisão 174/2018)
(em 25 de maio de 2018, ver referências de aplicação da Decisão 743/16-maio-2018) (em 06 de outubro de 2016, o ato foi relacionado à Portaria 1629/14-set-2016)
(em 05 de maio de 2016, o ato foi relacionado à Portaria 680/27-abr-2016)
(Texto com relevância para o EEE)
O PARLAMENTO EUROPEU E O CONSELHO DA UNIÃO EUROPEIA,
Tendo em conta o Tratado sobre o Funcionamento da União Europeia, nomeadamente o artigo 16.º,
considerando a proposta da Comissão Europeia,
após a apresentação do projeto de ato legislativo aos parlamentos nacionais,
tendo em conta o parecer do Comité Económico e Social Europeu (1),
(1) JO C 229 de 31.7.2012, p. 90.
tendo em conta o parecer do Comité das Regiões (2),
(2) JO C 391 de 18.12.2012, p. 127.
decidir de acordo com o processo legislativo ordinário (3),
(3) A posição do Parlamento Europeu de 12 de março de 2014 (ainda não publicada no Jornal Oficial) e a posição do Conselho em primeira leitura de 8 de abril de 2016 (ainda não publicada no Jornal Oficial). A posição do Parlamento Europeu de 14 de abril de 2016.
enquanto:
(1) A proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais é um direito fundamental. O artigo 8.º, n.º 1, da Carta dos Direitos Fundamentais da União Europeia («a Carta») e o artigo 16.º, n.º 1, do Tratado sobre o Funcionamento da União Europeia (TFUE) preveem o direito de qualquer pessoa à protecção de dados pessoais que lhe digam respeito.
(2) Os princípios e regras relativos à protecção das pessoas singulares no que diz respeito ao tratamento dos seus dados pessoais deverão, independentemente da cidadania ou do local de residência das pessoas singulares, respeitar os seus direitos e liberdades fundamentais, em particular o direito à protecção dados pessoais. Este regulamento procura contribuir para a realização de um espaço de liberdade, segurança e justiça e de uma união económica, para o progresso económico e social, para a consolidação e convergência das economias no mercado interno e para o bem-estar das pessoas singulares. . (3) A Diretiva 95/46/CE do Parlamento Europeu e do Conselho (4) visa harmonizar o nível de proteção dos direitos e liberdades fundamentais das pessoas singulares no que diz respeito às atividades de tratamento e garantir a livre circulação de dados pessoais entre estados membros. (4) Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO L 281 de 23.11.1995). , pág. 31).
(4) O tratamento de dados pessoais deverá estar ao serviço dos cidadãos. O direito à protecção dos dados pessoais não é um direito absoluto; deve ser tido em conta em relação à função que desempenha na sociedade e equilibrado com outros direitos fundamentais, de acordo com o princípio da proporcionalidade. O presente regulamento respeita todos os direitos e liberdades fundamentais e princípios reconhecidos na Carta tal como consagrados nos Tratados, em particular o respeito pela vida privada e familiar, pela residência e pelas comunicações, a protecção dos dados pessoais, a liberdade de pensamento, de consciência e de religião, a liberdade de expressão e informação, a liberdade de exercer uma atividade comercial, o direito a um recurso efetivo e a um julgamento justo, bem como à diversidade cultural, religiosa e linguística.
(5) A integração económica e social resultante do funcionamento do mercado interno conduziu a um aumento substancial dos fluxos transfronteiriços de dados pessoais. O intercâmbio de dados pessoais entre intervenientes públicos e privados, incluindo indivíduos, associações e empresas, intensificou-se em toda a União. De acordo com o direito da União, as autoridades nacionais dos Estados-Membros são chamadas a cooperar e a trocar dados pessoais, a fim de poderem cumprir as suas funções ou desempenhar tarefas em nome de uma autoridade de outro Estado-Membro.
(6) A rápida evolução tecnológica e a globalização geraram novos desafios para a proteção dos dados pessoais. O âmbito da recolha e intercâmbio de dados pessoais aumentou significativamente. A tecnologia permite que tanto as empresas privadas como as autoridades públicas utilizem dados pessoais a um nível sem precedentes nas suas atividades. Cada vez mais, pessoas físicas tornam públicas informações pessoais em todo o mundo. A tecnologia transformou a economia e a vida social e deverá facilitar ainda mais a livre circulação de dados pessoais na União e a transferência para países terceiros e organizações internacionais, garantindo, ao mesmo tempo, um elevado nível de proteção dos dados pessoais.
(7) Esta evolução exige um quadro sólido e mais coerente em termos de protecção de dados na União, acompanhado de uma aplicação rigorosa das regras, tendo em conta a importância de criar um clima de confiança que permita à economia digital desenvolver-se em o mercado interno. Os indivíduos devem ter controlo sobre os seus dados pessoais e a segurança jurídica e prática dos indivíduos, dos operadores económicos e das autoridades públicas deve ser reforçada.
(8) Se o presente regulamento prever especificações ou restrições das suas regras pelo direito interno, os Estados-Membros poderão, na medida em que tal seja necessário para a coerência e para garantir a compreensão das disposições nacionais pelas pessoas a quem se aplicam, para incorporar elementos deste regulamento na sua legislação interna.
(9) Os objectivos e princípios da Directiva 95/46/CE permanecem sólidos, mas isso não impediu a fragmentação da forma como a protecção de dados é implementada na União, a insegurança jurídica ou a percepção generalizada do público de que existem riscos significativos para o protecção das pessoas singulares, especialmente em relação à actividade em linha. As diferenças entre os níveis de proteção dos direitos e liberdades das pessoas singulares, em particular o direito à proteção dos dados pessoais, no que diz respeito ao tratamento de dados pessoais nos Estados-Membros podem impedir a livre circulação de dados pessoais em toda a União . Estas diferenças podem, portanto, constituir um obstáculo ao exercício das atividades económicas a nível da União, podem distorcer a concorrência e podem impedir as autoridades de cumprirem as suas responsabilidades nos termos do direito da União. Esta diferença entre os níveis de protecção é causada pela existência de algumas diferenças quanto à transposição e aplicação da Directiva 95/46/CE.
(10) A fim de assegurar um nível consistente e elevado de proteção das pessoas singulares e de eliminar os obstáculos à circulação de dados pessoais na União, o nível de proteção dos direitos e liberdades das pessoas singulares no que diz respeito ao tratamento desses dados dados, deveria ser equivalente em todos os Estados-Membros. A aplicação coerente e homogénea das regras relativas à proteção dos direitos e liberdades fundamentais das pessoas singulares no que diz respeito ao tratamento de dados pessoais deverá ser assegurada em toda a União. No que diz respeito ao tratamento de dados pessoais para cumprir uma obrigação legal, para cumprir uma tarefa que sirva um interesse público ou que resulte do exercício da autoridade pública de que o operador está investido, os Estados-Membros deverão ser autorizados a manter ou introduzir disposições de direito interno para clarificar ainda mais a aplicação das regras deste regulamento. Em conjunto com a legislação geral e horizontal de protecção de dados, que implementa a Directiva 95/46/CE, os Estados-Membros têm várias leis sectoriais específicas em áreas que requerem disposições mais precisas. Este regulamento também dá aos Estados-Membros uma margem de manobra na especificação das suas regras, nomeadamente no que diz respeito ao tratamento de categorias especiais de dados pessoais ("dados sensíveis"). Neste sentido, este regulamento não exclui a legislação dos Estados-membros que estabeleça as circunstâncias relacionadas com situações específicas de tratamento, incluindo estabelecer com maior precisão as condições em que o tratamento de dados pessoais é legal.
(11) A proteção eficaz dos dados pessoais em toda a União exige não só a consolidação e o estabelecimento detalhado dos direitos dos titulares dos dados e das obrigações daqueles que tratam e decidem sobre o tratamento de dados pessoais, mas também poderes equivalentes para
monitorar e garantir o cumprimento das regras de proteção de dados pessoais e sanções equivalentes para crimes nos Estados membros.
(12) O artigo 16.º, n.º 2, do TFUE mandata o Parlamento Europeu e o Conselho para estabelecerem as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais, bem como as regras relativas à livre circulação desses dados.
(13) A fim de garantir um nível uniforme de proteção às pessoas singulares em toda a União e de evitar discrepâncias que impeçam a livre circulação de dados no mercado interno, é necessário um regulamento que proporcione segurança jurídica e transparência aos operadores económicos, incluindo microempresas e pequenas e médias empresas, bem como oferecer às pessoas singulares em todos os Estados-Membros o mesmo nível de direitos, obrigações e responsabilidades legalmente aplicáveis aos operadores e às suas pessoas autorizadas, a fim de garantir uma monitorização coerente dos dados processamento de natureza pessoal, sanções equivalentes em todos os estados membros, bem como a cooperação eficaz das autoridades de supervisão dos diferentes estados membros. Para o bom funcionamento do mercado interno, é necessário que a livre circulação de dados pessoais na União não seja restringida ou proibida por razões relacionadas com a proteção das pessoas singulares em termos de tratamento de dados pessoais. A fim de ter em conta a situação específica das microempresas e das pequenas e médias empresas, este regulamento inclui uma derrogação para organizações com menos de 250 trabalhadores em termos de manutenção de registos. Além disso, as instituições e os órgãos da União e os Estados-Membros e as suas autoridades de supervisão são incentivados a ter em conta as necessidades específicas das microempresas e das pequenas e médias empresas na aplicação do presente regulamento. A noção de microempresas e pequenas e médias empresas deverá basear-se no artigo 2.o do anexo da Recomendação 2003/361/CE da Comissão (1). (1) Recomendação 2003/361/CE da Comissão, de 6 de maio de 2003, sobre a definição de microempresas e pequenas e médias empresas [C(2003) 1422] (JO L 124 de 20.5.2003, p. 36).
(14) A proteção conferida pelo presente regulamento deverá abranger as pessoas singulares, independentemente da sua nacionalidade ou local de residência, no que diz respeito ao tratamento dos seus dados pessoais. O presente regulamento não se aplica ao tratamento de dados pessoais relativos a pessoas colectivas e, em particular, a empresas com personalidade jurídica, incluindo o nome e tipo de pessoa colectiva e os dados de contacto da pessoa colectiva.
(15) A fim de evitar a ocorrência de um risco importante de evasão, a proteção das pessoas singulares deverá ser tecnologicamente neutra e não depender das tecnologias utilizadas. A proteção das pessoas singulares deverá aplicar-se ao tratamento de dados pessoais por meios automatizados, bem como ao tratamento manual, se os dados pessoais estiverem contidos ou se destinarem a estar contidos num sistema de registo. Os ficheiros ou conjuntos de ficheiros, bem como as suas capas, que não estejam estruturados de acordo com critérios específicos não deverão ser abrangidos pelo âmbito de aplicação do presente regulamento.
(16) O presente regulamento não se aplica a questões de proteção dos direitos e liberdades fundamentais ou à livre circulação de dados pessoais relacionados com atividades que não sejam abrangidas pelo âmbito de aplicação do direito da União, por exemplo, atividades de segurança nacional. Este regulamento não se aplica ao tratamento de dados pessoais pelos Estados membros quando realizam atividades relacionadas com a política externa e a segurança comum da União. (17) Regulamento (CE) n.º. O Regulamento 45/2001 do Parlamento Europeu e do Conselho (2) aplica-se ao tratamento de dados pessoais pelas instituições, órgãos, organismos e agências da União. Regulamento (CE) nº. O Regulamento n.º 45/2001 e outros atos jurídicos da União aplicáveis a esse tratamento de dados pessoais deverão ser adaptados aos princípios e regras estabelecidos no presente regulamento e aplicados em conformidade com o presente regulamento. A fim de garantir um quadro sólido e coerente em termos de proteção de dados na União, após a adoção deste regulamento, o Regulamento (CE) n.º. 45/2001 as adaptações necessárias, para que possam ser aplicadas em conjunto com este regulamento.
(2) Regulamento (CE) n.º 45/2001 do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e órgãos comunitários e à livre circulação desses dados (JO L 8 de 12.1.2001 , pág. 1).
(18) O presente regulamento não se aplica ao tratamento de dados pessoais por uma pessoa singular no âmbito de uma atividade exclusivamente pessoal ou doméstica e que, portanto, não esteja relacionada com uma atividade profissional ou comercial. As atividades pessoais ou domésticas podem incluir a correspondência e a lista de endereços ou atividades nas redes sociais e atividades online realizadas no contexto dessas atividades. No entanto, este regulamento aplica-se aos operadores ou pessoas autorizadas pelos operadores que fornecem os meios de tratamento de dados pessoais para essas atividades pessoais ou domésticas.
(19) A proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou processo criminal de crimes ou execução de penas, incluindo a proteção contra ameaças à segurança pública e a sua prevenção , bem como a livre circulação destes dados, é objeto de ato jurídico específico da União. Por conseguinte, o presente regulamento não deverá aplicar-se a atividades de tratamento para estes fins. No entanto, os dados pessoais tratados pelas autoridades públicas ao abrigo do presente regulamento, quando utilizados para estes fins, deverão ser regulamentados por um ato jurídico mais específico da União, nomeadamente a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho (1). Os Estados-Membros podem confiar às autoridades competentes, na aceção da Diretiva (UE) 2016/680, tarefas que não sejam necessariamente executadas para efeitos de prevenção, investigação, deteção ou repressão de crimes ou de execução de sanções, incluindo a proteção contra ameaças à segurança pública e impedi-los, de modo que o tratamento de dados pessoais para outros fins, na medida em que seja abrangido pelo âmbito de aplicação do direito da União, seja abrangido pelo âmbito de aplicação do presente regulamento.
(1) Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, deteção, investigação ou ação penal crimes ou a sua execução de penas e relativamente à livre circulação destes dados e à revogação da Decisão-Quadro 2008/977/JAI do Conselho (ver página 89 do presente Jornal Oficial).
No que diz respeito ao tratamento de dados pessoais por estas autoridades competentes para fins abrangidos pelo âmbito de aplicação do presente regulamento, os Estados-Membros deverão poder manter ou introduzir disposições mais detalhadas para adaptar a aplicação das regras do presente regulamento. Estas disposições poderão estabelecer com mais precisão requisitos específicos para o tratamento de dados pessoais pelas respetivas autoridades competentes para esses outros fins, tendo em conta a estrutura constitucional, organizativa e administrativa do Estado-Membro em questão. Quando o tratamento de dados pessoais por organismos privados for objecto do presente regulamento, este deverá prever a possibilidade de os Estados-Membros, sob certas condições, imporem por lei restrições a certas obrigações e direitos, se tais restrições constituírem uma medida necessária e proporcional. medida em uma sociedade democrática com a finalidade de garantir interesses específicos importantes, entre os quais estão a segurança pública e a prevenção, investigação, detecção e repressão de crimes ou a execução de punições, incluindo a proteção contra ameaças à segurança pública e sua prevenção. Isto é relevante, por exemplo, na luta contra o branqueamento de capitais ou nas atividades dos laboratórios forenses.
(20) Embora o presente regulamento se aplique, nomeadamente, às atividades dos tribunais e de outras autoridades judiciais, o direito da União ou dos Estados-Membros poderá especificar as operações de tratamento e os procedimentos relativos ao tratamento de dados pessoais pelos tribunais e outras autoridades judiciais. . O tratamento de dados pessoais não deverá ser da competência das autoridades de controlo caso os tribunais exerçam os seus poderes judiciais, a fim de garantir a independência do sistema judicial no cumprimento das suas funções judiciais, incluindo na tomada de decisões. A supervisão de tais operações de tratamento de dados deverá poder ser confiada a órgãos específicos do sistema judicial do Estado-Membro, que deverão, nomeadamente, garantir o cumprimento das regras previstas no presente regulamento, sensibilizar os membros do sistema judicial para as obrigações que abrangidos por este regulamento e para lidar com reclamações relacionadas com tais operações de tratamento de dados.
(21) O presente regulamento não afeta a aplicação da Diretiva 2000/31/CE do Parlamento Europeu e do Conselho (2), em particular as regras relativas à responsabilidade dos prestadores de serviços intermediários previstas nos artigos 12.º a 15.º do referido diretiva. A respetiva diretiva visa contribuir para o bom funcionamento do mercado interno, assegurando a livre circulação dos serviços da sociedade da informação entre os Estados-membros.
(2) Diretiva 2000/31/CE do Parlamento Europeu e do Conselho, de 8 de junho de 2000, relativa a certos aspectos jurídicos dos serviços da sociedade da informação, especialmente do comércio eletrónico, no mercado interno (diretiva sobre o comércio eletrónico) (JO L 178 de 17.7.2000). 1, pág.
(22) Qualquer tratamento de dados pessoais no âmbito das atividades de um escritório de um operador ou de uma pessoa autorizada pelo operador na União deverá ser realizado em conformidade com o presente regulamento, independentemente de o próprio tratamento ocorrer dentro da União ou não. . A sede implica o exercício efetivo e real de uma atividade no âmbito de acordos estáveis. A forma jurídica de tais acordos, através de uma sucursal ou de uma filial com personalidade jurídica, não é o fator determinante a este respeito.
(23) A fim de garantir que as pessoas singulares não sejam privadas da protecção a que têm direito ao abrigo do presente regulamento, o tratamento dos dados pessoais das pessoas em causa que se encontram no território da União por um operador ou por uma pessoa autorizada por quem não o faz e está sediado na União deverá ficar sujeito ao presente regulamento se as atividades de tratamento estiverem relacionadas com o fornecimento de bens ou serviços a esses titulares de dados, independentemente de estarem ou não relacionadas com um pagamento. A fim de determinar se esse operador ou pessoa autorizada pelo operador oferece bens ou serviços a titulares de dados localizados no território da União, deverá determinar se se afigura que o operador ou a pessoa autorizada pelo operador pretende prestar serviços aos titulares dos dados de um ou mais estados membros da União. Dado que o simples facto de existir acesso a um sítio Web do operador, da pessoa autorizada pelo operador ou de um intermediário na União, de estar disponível um endereço de correio electrónico e outros dados de contacto ou de uma língua geralmente utilizada no país terceiro onde o operador tem a sua sede é insuficiente para confirmar tal intenção, factores como a utilização de uma língua ou moeda geralmente utilizada num ou mais Estados-Membros com a possibilidade de encomendar bens e serviços nessa língua ou a menção de alguns clientes ou utilizadores que se encontram no território da União pode levar à conclusão de que o operador pretende oferecer bens ou serviços a pessoas visadas na União.
(24) O tratamento dos dados pessoais das pessoas em causa que se encontram no território da União por um operador ou por uma pessoa por ele autorizada que não esteja sediada na União deverá também estar sujeito ao presente regulamento se estiver relacionado com o monitorização do comportamento dessas pessoas visadas, na medida em que esse comportamento se manifeste no território da União. A fim de determinar se uma atividade de tratamento pode ser considerada como “monitorização comportamental” dos titulares dos dados, deverá determinar-se se as pessoas singulares são rastreadas na Internet, incluindo a possível utilização posterior de técnicas de tratamento de dados pessoais que consistem na criação de um perfil de uma pessoa física, especialmente para tomar decisões sobre ela ou para analisar ou fazer previsões sobre suas preferências, comportamentos e atitudes pessoais.
(25) Se o direito de um Estado-Membro for aplicável ao abrigo do direito internacional público, o presente regulamento deverá também aplicar-se a um operador que não esteja estabelecido na União, mas, por exemplo, numa missão diplomática ou num posto consular de um Estado-Membro . (26) Os princípios da protecção de dados deverão aplicar-se a qualquer informação relativa a uma pessoa singular identificada ou identificável. Os dados pessoais que tenham sido objeto de pseudonimização, que possam ser atribuídos a uma pessoa singular através da utilização de informação adicional, deverão ser considerados informações relativas a uma pessoa singular identificável. A fim de determinar se uma pessoa singular é identificável, todos os meios, como a individualização, que o responsável pelo tratamento ou outra pessoa seja razoavelmente suscetível de utilizar para efeitos de identificação deverão ser tidos em conta, direta ou indiretamente, da respetiva pessoa singular. . A fim de determinar se é razoavelmente provável que sejam utilizados meios de identificação da pessoa singular, deverá considerar-se a
tendo em conta todos os fatores objetivos, como os custos e o intervalo de tempo necessário para a identificação, tendo em conta tanto a tecnologia disponível no momento do processamento como o desenvolvimento tecnológico. Os princípios da proteção de dados não deverão, por conseguinte, aplicar-se a informações anónimas, ou seja, a informações que não estejam relacionadas com uma pessoa singular identificada ou identificável, ou a dados pessoais que sejam anonimizados de modo que a pessoa em causa não seja ou deixe de ser identificável. Portanto, este regulamento não se aplica ao processamento de tais informações anônimas, inclusive se forem utilizadas para fins estatísticos ou de pesquisa. (27) O presente regulamento não se aplica aos dados pessoais relativos a pessoas falecidas. Os Estados-Membros podem estabelecer regras relativas ao tratamento de dados pessoais relativos a pessoas falecidas.
(28) A aplicação da pseudonimização dos dados pessoais pode reduzir os riscos para as pessoas em causa e pode ajudar os operadores e as pessoas por eles habilitadas a cumprir as suas obrigações em matéria de proteção de dados. A introdução explícita do conceito de "pseudonimização" no presente regulamento não se destina a impedir outras possíveis medidas de protecção de dados.
(29) A fim de criar incentivos à aplicação da pseudonimização no tratamento de dados pessoais, deverão ser possíveis medidas de pseudonimização, permitindo simultaneamente uma análise geral, dentro do mesmo operador, quando este tiver tomado as medidas técnicas e organizativas necessárias para garantir que o presente regulamento é implementada no que diz respeito ao respetivo tratamento de dados e que as informações adicionais para a atribuição de dados pessoais a um titular de dados específico são mantidas separadamente. O operador que trata dados pessoais deve indicar as pessoas autorizadas dentro do mesmo operador (30) As pessoas singulares podem ser associadas a identificadores online fornecidos pelos seus dispositivos, aplicações, ferramentas e protocolos, tais como endereços IP, identificadores de cookies ou outros identificadores, tais como. etiquetas de identificação por radiofrequência. Podem deixar vestígios que, especialmente quando combinados com identificadores únicos e outras informações recebidas pelos servidores, podem ser utilizados para criar perfis de pessoas singulares e identificá-las.
(31) Autoridades públicas a quem os dados pessoais são divulgados em conformidade com uma obrigação legal, a fim de exercerem a sua função oficial, tais como autoridades fiscais e aduaneiras, unidades de investigação financeira, autoridades administrativas independentes ou autoridades do mercado financeiro responsáveis pela regulação e supervisão do mercados de valores mobiliários, não deverão ser considerados destinatários se receberem dados pessoais necessários à realização de uma determinada investigação de interesse geral, nos termos do direito da União ou dos Estados-Membros. Os pedidos de divulgação enviados pelas autoridades públicas devem ser sempre apresentados por escrito, motivados e ocasionais e não devem referir-se a um sistema de registo na sua totalidade ou conduzir à interligação de sistemas de registo. O tratamento de dados pessoais pelas respetivas autoridades públicas deverá cumprir as regras de proteção de dados aplicáveis de acordo com as finalidades do tratamento.
(32) O consentimento deve ser concedido através de uma ação inequívoca que constitua uma manifestação livremente expressa, específica, consciente e clara do consentimento do titular dos dados para o tratamento dos seus dados pessoais, tal como uma declaração feita por escrito, inclusive em formato eletrónico ou verbal . Isto pode incluir assinalar uma caixa quando a pessoa visita um sítio web, escolher parâmetros técnicos para serviços da sociedade da informação ou qualquer outra declaração ou ação que indique claramente, neste contexto, a aceitação, por parte do titular dos dados, do tratamento proposto dos seus dados pessoais. Portanto, a ausência de resposta, as caixas pré-marcadas ou a ausência de ação não devem constituir consentimento. O consentimento deve abranger todas as atividades de tratamento realizadas para a mesma finalidade ou para os mesmos fins. Se o tratamento de dados for efetuado para diversas finalidades, deverá ser dado consentimento para todas as finalidades de tratamento. Caso o consentimento do titular dos dados deva ser concedido na sequência de um pedido enviado por via eletrónica, esse pedido deve ser claro e conciso e não perturbar desnecessariamente a utilização do serviço para o qual o consentimento é concedido.
(33) Muitas vezes não é possível, no momento da recolha de dados pessoais, identificar completamente a finalidade do tratamento de dados para fins de investigação científica. Por esta razão, as pessoas em causa
deverão ser autorizados a expressar o seu consentimento em determinadas áreas da investigação científica, quando forem respeitadas normas éticas reconhecidas para a investigação científica. Os titulares dos dados deverão ter a possibilidade de expressar o seu consentimento apenas para determinados domínios de investigação ou partes de projetos de investigação, na medida permitida pela finalidade pretendida.
(34) Os dados genéticos deverão ser definidos como dados pessoais relativos às características genéticas herdadas ou adquiridas de uma pessoa singular, resultantes de uma análise de uma amostra de material biológico da pessoa singular em questão, em especial uma análise cromossómica, de uma análise de ácido desoxirribonucléico (DNA) ou ácido ribonucléico (RNA) ou de uma análise de qualquer outro elemento que permita obter informações equivalentes.
(35) Os dados pessoais de saúde devem incluir todos os dados relacionados com a saúde do titular dos dados que divulguem informações sobre a saúde física ou mental passada, presente ou futura do titular dos dados. Incluem informações sobre a pessoa singular recolhidas no âmbito da sua inscrição em serviços de assistência médica ou no âmbito da prestação dos respetivos serviços à pessoa singular em causa, conforme mencionado na Diretiva 2011/24/UE do Parlamento Europeu e do Conselho (1); um número, um símbolo ou um sinal distintivo atribuído a uma pessoa singular para a sua identificação singular para fins médicos; informações resultantes de testes ou exames de uma parte do corpo ou de uma substância corporal, incluindo dados genéticos e amostras de material biológico; bem como qualquer informação relativa, por exemplo, a uma doença, deficiência, risco de doença, historial médico, tratamento clínico ou condição fisiológica ou biomédica da pessoa em causa, independentemente da sua origem, como um médico ou outro pessoal médico, um hospital , um dispositivo médico ou um teste de diagnóstico in vitro.
(1) Diretiva 2011/24/UE do Parlamento Europeu e do Conselho, de 9 de março de 2011, relativa à aplicação dos direitos dos pacientes em matéria de cuidados médicos transfronteiriços (JO L 88 de 4.4.2011, p. 45). (36) A sede principal de um operador na União deverá ser o local onde está localizada a sua administração central na União, a menos que as decisões relativas às finalidades e aos meios de tratamento dos dados pessoais sejam tomadas noutra sede do operador na União. Neste caso, este último deverá ser considerado como estabelecimento principal. A sede principal de um operador na União deverá ser determinada de acordo com critérios objetivos e deverá envolver o exercício efetivo e real de atividades de gestão que determinem as principais decisões relativas às finalidades e aos meios de tratamento no âmbito de acordos estáveis. Este critério não deverá depender do tratamento de dados pessoais nesse local. A presença e utilização de meios técnicos e tecnologias de tratamento de dados pessoais ou atividades de tratamento não constituem sede e, portanto, não são critério determinante neste sentido. A sede principal da pessoa habilitada pelo operador deverá ser o local onde está localizada a sua administração central na União ou, se não tiver uma administração central na União, o local onde são realizadas as principais atividades de tratamento na União . Nos casos que envolvam tanto o operador como a pessoa por ele autorizada, a principal autoridade de controlo competente deverá continuar a ser a autoridade de controlo do Estado-Membro em que o operador tem o seu estabelecimento principal, mas a autoridade de controlo da pessoa autorizada pelo operador deverá ser considerada uma autoridade de controlo específica e essa autoridade de controlo deverá participar no procedimento de cooperação previsto no presente regulamento. Em qualquer caso, as autoridades de supervisão do Estado-Membro ou dos Estados-Membros onde a pessoa autorizada pelo operador tem um ou mais escritórios não deverão ser consideradas como as autoridades de supervisão em causa se o projeto de decisão se referir apenas ao operador. Se o tratamento for realizado por um grupo de empresas, a sede principal da empresa que exerce o controlo deve ser considerada como a sede principal do grupo de empresas, a menos que as finalidades e os meios do tratamento sejam estabelecidos por outra empresa.
(37) Um grupo de empresas deverá incluir uma empresa que exerça o controlo e as empresas por ela controladas, dentro do qual a empresa que exerce o controlo deverá ser a empresa que possa exercer uma influência dominante sobre as outras empresas, por exemplo em virtude da propriedade, de da participação financeira ou das regras que a regulam ou da competência para implementar regras relativas à protecção de dados pessoais. Uma empresa que
controla o tratamento de dados pessoais nas suas empresas afiliadas deverá ser considerada, juntamente com estas, como um “grupo de empresas”.
(38) As crianças necessitam de uma proteção específica dos seus dados pessoais, uma vez que podem estar menos conscientes dos riscos, das consequências, das garantias em questão e dos seus direitos relativamente ao tratamento de dados pessoais. Esta proteção específica deverá aplicar-se, em particular, à utilização de dados pessoais de crianças para fins de marketing ou para criar perfis de personalidade ou de utilizador e à recolha de dados pessoais de crianças quando utilizam serviços oferecidos diretamente a crianças. O consentimento do titular da responsabilidade parental não deverá ser necessário no contexto dos serviços de prevenção ou de aconselhamento oferecidos diretamente às crianças.
(39) Qualquer tratamento de dados pessoais deverá ser legal e leal. Deverá ser transparente para as pessoas singulares que os dados pessoais que lhes dizem respeito são recolhidos, utilizados, consultados ou tratados de outra forma e em que medida os dados pessoais são ou serão tratados. O princípio da transparência prevê que quaisquer informações e comunicações relacionadas com o tratamento dos respetivos dados pessoais sejam facilmente acessíveis e de fácil compreensão e que seja utilizada uma linguagem simples e clara. Este princípio refere-se, nomeadamente, à informação dos titulares dos dados sobre a identidade do operador e às finalidades do tratamento, bem como à prestação de informações adicionais, a fim de garantir um tratamento leal e transparente no que diz respeito às pessoas singulares em causa e o seu direito de que lhes sejam confirmados e comunicados os dados pessoais que lhes digam respeito e que sejam tratados. Os indivíduos devem ser informados sobre os riscos, regras, garantias e direitos relativos ao tratamento de dados pessoais e sobre como exercer os seus direitos em relação ao tratamento. Em particular, as finalidades específicas para as quais os dados pessoais são tratados deverão ser explícitas e legítimas e ser determinadas no momento da recolha dos respetivos dados. Os dados pessoais devem ser adequados, relevantes e limitados ao necessário para as finalidades para as quais são tratados. Isto exige, em particular, garantir que o período durante o qual os dados pessoais são armazenados seja estritamente limitado ao mínimo. Os dados pessoais só deverão ser tratados se a finalidade do tratamento não puder ser razoavelmente alcançada por outros meios. Para garantir que os dados pessoais não são conservados por mais tempo do que o necessário, o operador deverá estabelecer prazos para a eliminação ou revisão periódica. Todas as medidas razoáveis devem ser tomadas para garantir que os dados pessoais imprecisos sejam retificados ou excluídos. Os dados pessoais devem ser tratados de forma a garantir adequadamente a sua segurança e confidencialidade, nomeadamente para efeitos de impedir o acesso não autorizado aos mesmos ou a utilização não autorizada dos dados pessoais e dos equipamentos utilizados para o tratamento.
(40) Para que o tratamento de dados pessoais seja legal, deverá ser realizado com base no consentimento da pessoa em causa ou com base noutro motivo legítimo, previsto na lei, quer no presente regulamento quer noutro ato de direito da União ou de direito interno, conforme previsto no presente regulamento, incluindo a necessidade de cumprir as obrigações jurídicas a que o operador está sujeito ou a necessidade de executar um contrato em que o titular dos dados seja parte ou de passar por as etapas anteriores à celebração de um contrato, a pedido do titular dos dados.
(41) Sempre que o presente regulamento se refira a uma base jurídica ou a uma medida legislativa, tal não exige necessariamente um ato legislativo adotado por um parlamento, sem prejuízo dos requisitos decorrentes da ordem constitucional do Estado-Membro em questão. Contudo, essa base jurídica ou tal medida legislativa deverá ser clara e precisa e a sua aplicação deverá ser previsível para as pessoas por ela abrangidas, em conformidade com a jurisprudência do Tribunal de Justiça da União Europeia ("Tribunal de Justiça ") e o Tribunal Europeu dos Direitos Humanos.
(42) Se o tratamento se basear no consentimento do titular dos dados, o operador deverá ser capaz de demonstrar que o titular dos dados deu o seu consentimento para a operação de tratamento. Em particular, no contexto de uma declaração escrita relativa a outra questão, as salvaguardas devem garantir que o titular dos dados tem conhecimento de que deu o seu consentimento e em que medida o fez. De acordo com a Directiva 93/13/CEE do Conselho (1), deverá ser fornecida uma declaração de consentimento previamente formulada pelo operador, de forma inteligível.
e de fácil acesso, utilizando linguagem clara e simples, não devendo esta declaração conter cláusulas abusivas. Para que a concessão do consentimento seja do conhecimento da causa, o interessado deverá ter conhecimento, pelo menos, da identidade do operador e das finalidades do tratamento a que se destinam os dados pessoais. O consentimento não deve ser considerado dado livremente se a pessoa em causa não tiver realmente liberdade de escolha ou não estiver em posição de recusar ou retirar o consentimento sem ser prejudicada.
(1) Diretiva 93/13/CEE do Conselho, de 5 de abril de 1993, relativa às cláusulas abusivas nos contratos celebrados com os consumidores (JO L 95 de 21.4.1993, p. 29).
(43) A fim de garantir que foi concedido livremente, o consentimento não deverá constituir uma base jurídica válida para o tratamento de dados pessoais no caso específico em que exista um desequilíbrio evidente entre o titular dos dados e o operador, especialmente no caso de em que o operador é uma autoridade pública, o que torna improvável dar consentimento livremente em todas as circunstâncias relacionadas com essa situação específica. Considera-se que o consentimento não é concedido gratuitamente se não permitir a concessão de consentimento separado para as diversas operações de tratamento de dados pessoais, embora tal seja adequado no caso concreto, ou se a execução de um contrato, incluindo a prestação de um serviço, está condicionado ao consentimento, apesar de o consentimento em causa não ser necessário para a execução do contrato.
(44) O tratamento deverá ser considerado legal se for necessário no âmbito de um contrato ou para a celebração de um contrato.
(45) Se o tratamento for realizado em conformidade com uma obrigação legal do operador ou se o tratamento for necessário para o desempenho de uma tarefa que sirva um interesse público ou faça parte do exercício da autoridade pública, o tratamento deverá ter um base no direito da União ou no direito interno. Este regulamento não exige a existência de uma lei específica para cada tratamento individual. Uma única lei pode ser suficiente como base para várias operações de tratamento realizadas em conformidade com uma obrigação legal do operador ou se o tratamento for necessário para o desempenho de uma tarefa que sirva um interesse público ou faça parte do exercício de autoridade pública . Além disso, a finalidade do tratamento deve ser estabelecida no direito da União ou no direito interno. Além disso, o respetivo direito poderá especificar as condições gerais deste regulamento que regulam a legalidade do tratamento de dados pessoais, determinar as especificações para a determinação do operador, o tipo de dados pessoais que são objeto de tratamento, as pessoas interessadas, as entidades a quem os dados pessoais poderão ser divulgados, as limitações dependendo da finalidade, do prazo de conservação e outras medidas para garantir um tratamento legal e leal. Deverá também ser estabelecido no direito da União ou no direito nacional se o operador que executa uma tarefa que serve um interesse público ou que faz parte do exercício da autoridade pública deve ser uma autoridade pública ou outra pessoa singular ou colectiva de direito público ou, quando razões de interesse público o justifiquem, inclusive para fins médicos, como a saúde pública e a proteção social, bem como a gestão de serviços de assistência médica, de direito privado, como uma associação profissional.
(46) O tratamento de dados pessoais também deverá ser considerado legal se for necessário para garantir a proteção de um interesse essencial para a vida da pessoa em causa ou para a vida de outra pessoa singular. O tratamento de dados pessoais com base nos interesses vitais de outra pessoa singular só deverá ser realizado se o tratamento não puder obviamente basear-se noutra base jurídica. Alguns tipos de tratamento podem servir tanto razões importantes de interesse público como interesses vitais do titular dos dados, por exemplo se o tratamento for necessário para fins humanitários, nomeadamente para monitorizar uma epidemia e a sua propagação ou em situações de emergência humanitárias, especialmente em situações de desastres naturais ou provocados pelo homem.
(47) Os interesses legítimos de um operador, incluindo os de um operador a quem possam ser divulgados dados pessoais ou de terceiros, podem constituir uma base jurídica para o tratamento, desde que os interesses ou direitos e liberdades fundamentais da pessoa não prevalecer direcionado, tomando
tendo em conta as expectativas razoáveis dos titulares dos dados com base na sua relação com o operador. Este interesse legítimo pode existir, por exemplo, quando existe uma relação relevante e adequada entre o titular dos dados e o operador, como quando o titular dos dados é cliente do operador ou está ao seu serviço. Em qualquer caso, a existência de um interesse legítimo exigiria uma avaliação cuidadosa, que estabeleceria inclusive se um titular de dados pode razoavelmente prever, no momento e no contexto da recolha de dados pessoais, a possibilidade de tratamento para este fim. Os interesses e direitos fundamentais do titular dos dados podem prevalecer, em particular em relação ao interesse do responsável pelo tratamento dos dados, quando os dados pessoais são tratados em circunstâncias em que os titulares dos dados não esperam razoavelmente tratamento posterior. Uma vez que o legislador deve fornecer a base jurídica para o tratamento de dados pessoais pelas autoridades públicas, a respetiva base jurídica não deverá aplicar-se ao tratamento pelas autoridades públicas no desempenho das suas funções. O tratamento de dados pessoais estritamente necessários para efeitos de prevenção de fraudes constitui também um interesse legítimo do operador de dados em causa. O tratamento de dados pessoais destinado a marketing direto pode ser considerado realizado por interesse legítimo.
(48) Os operadores que fazem parte de um grupo de empresas ou de instituições afiliadas a um organismo central podem ter um interesse legítimo em transmitir dados pessoais dentro do grupo de empresas para fins administrativos internos, incluindo para efeitos de tratamento de dados pessoais de clientes ou funcionários. Os princípios gerais da transferência de dados pessoais, dentro de um grupo de empresas, para uma empresa localizada num país terceiro permanecem inalterados.
(49) O tratamento de dados pessoais na medida estritamente necessária e proporcional para garantir a segurança das redes e da informação, nomeadamente a capacidade de uma rede ou de um sistema de informação enfrentar, com um determinado nível de confiança, eventos ou ações acidentais ilegais ou maliciosas que comprometam a disponibilidade, autenticidade, integridade e confidencialidade dos dados pessoais armazenados ou transmitidos, bem como a segurança dos serviços relacionados oferecidos por essas redes e sistemas, ou acessível através deles, pelas autoridades públicas, pelas equipas de intervenção em caso de emergências informáticas, pelas equipas de intervenção em caso de incidentes que afectem a segurança informática, pelos fornecedores de redes e serviços de comunicações electrónicas, bem como pelos fornecedores de serviços e tecnologias de segurança, constitui um interesse legítimo do operador de dados em questão. Isto poderá incluir, por exemplo, a prevenção do acesso não autorizado às redes de comunicações eletrónicas e a difusão de códigos maliciosos e a cessação dos ataques de «negação de serviço», bem como a prevenção de danos nos computadores e nos sistemas de comunicações eletrónicas.
(50) O tratamento de dados pessoais para fins diferentes daqueles para os quais os dados pessoais foram inicialmente recolhidos só deverá ser permitido quando o tratamento for compatível com os respetivos fins para os quais os dados pessoais foram inicialmente recolhidos. Neste caso, não é necessária uma base jurídica distinta daquela com base na qual foi permitida a recolha de dados pessoais. Se o tratamento for necessário para o desempenho de uma tarefa que sirva um interesse público ou que resulte do exercício da autoridade pública de que o operador está investido, o direito da União ou o direito interno podem estabelecer e especificar as tarefas e finalidades para as quais o tratamento posterior deve ser considerado compatível e legal. O tratamento subsequente para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos deverá ser considerado como representando operações de tratamento legal compatíveis. A base jurídica prevista no direito da União ou no direito interno para o tratamento de dados pessoais também pode constituir uma base jurídica para o tratamento posterior. Para determinar se a finalidade do tratamento posterior é compatível com a finalidade para a qual os dados pessoais foram inicialmente recolhidos, o operador, depois de cumpridos todos os requisitos relativos à legalidade do tratamento inicial, deverá ter em conta, entre outros aspectos, qualquer ligação entre essas finalidades e as finalidades de tratamento posterior pretendidas, o contexto em que os dados pessoais foram recolhidos, em particular as expectativas razoáveis dos titulares dos dados, com base na sua relação com o operador, relativamente à utilização posterior dos dados, a natureza dos dados pessoais, das consequências do processamento posterior
esperado das pessoas em causa, bem como a existência das garantias correspondentes tanto nas operações de tratamento iniciais como nas operações de tratamento subsequentes previstas.
Se o titular dos dados tiver dado o seu consentimento ou se o tratamento se basear no direito da União ou no direito interno, o que constitui uma medida necessária e proporcionada numa sociedade democrática para proteger, em particular, objetivos importantes de interesse público geral, o operador deverá ter a possibilidade continuar a tratar dados pessoais, independentemente da compatibilidade das finalidades. Em qualquer caso, deverá ser garantida a aplicação dos princípios estabelecidos pelo presente regulamento e, em particular, a informação do titular dos dados sobre essas outras finalidades e os seus direitos, incluindo o direito de oposição. A indicação de possíveis crimes ou ameaças à segurança pública por parte do operador e a transmissão a uma autoridade competente de dados pessoais relevantes em casos individuais ou em vários casos relacionados com o mesmo crime ou com as mesmas ameaças à segurança pública devem ser consideradas como no interesse legítimo prosseguido pelo operador. No entanto, essa transmissão no interesse legítimo do operador ou o posterior tratamento de dados pessoais deverá ser proibida se o tratamento não for compatível com uma obrigação de confidencialidade legal, profissional ou outra.
(51) Os dados pessoais que são, pela sua própria natureza, particularmente sensíveis em termos de direitos e liberdades fundamentais requerem proteção específica, porque o contexto do seu tratamento pode gerar riscos consideráveis para os direitos e liberdades fundamentais. Estes dados pessoais deverão incluir dados pessoais que revelem a origem racial ou étnica, não implicando a utilização do termo "origem racial" neste regulamento uma aceitação pela União de teorias que procurem estabelecer a existência de raças humanas separadas. O tratamento de fotografias não deverá ser sistematicamente considerado como o tratamento de categorias especiais de dados pessoais, uma vez que as fotografias só são abrangidas pela definição de dados biométricos nos casos em que são tratadas por meios técnicos específicos que permitem a identificação ou autenticação única de uma pessoa singular. . Esses dados pessoais não deverão ser tratados, a menos que o tratamento seja permitido nos casos específicos previstos no presente regulamento, tendo em conta que a legislação dos Estados-Membros pode prever disposições específicas em matéria de protecção de dados, a fim de adaptar a aplicação das regras de presente regulamento para cumprir uma obrigação legal ou para cumprir uma tarefa que sirva um interesse público ou que resulte do exercício da autoridade pública de que o operador está investido. Para além dos requisitos específicos para esse tratamento, deverão aplicar-se os princípios gerais e outras regras previstas no presente regulamento, especialmente no que diz respeito às condições do tratamento legal. Deverão ser explicitamente previstas isenções à proibição geral de tratamento destas categorias especiais de dados pessoais, nomeadamente quando o titular dos dados der o seu consentimento explícito ou no que diz respeito a necessidades específicas, especialmente quando o tratamento for realizado no âmbito de atividades legítimas por determinados associações ou fundações que tenham por finalidade permitir o exercício das liberdades fundamentais.
(52) A derrogação à proibição relativa ao tratamento de categorias especiais de dados pessoais deverá também ser permitida se o direito da União ou o direito nacional assim o prever, e deverá ser sujeita a garantias adequadas, para que os dados pessoais e outros direitos fundamentais sejam protegidos, quando tal se justifique por razões de interesse público, especialmente no caso do tratamento de dados pessoais no domínio da legislação laboral, da protecção social, incluindo pensões, bem como para efeitos de segurança, vigilância e alerta sanitário, para a prevenção ou controlo de doenças transmissíveis e outras ameaças graves à saúde. Esta derrogação pode ser concedida para fins médicos, incluindo a saúde pública e a gestão de serviços de assistência médica, especialmente para garantir a qualidade e a relação custo-eficácia dos procedimentos utilizados para resolver pedidos de prestações e serviços no âmbito do sistema de seguro de saúde, ou para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos. Além disso, o tratamento desses dados pessoais deverá ser permitido, através de uma derrogação, quando for necessário para estabelecer, exercer ou defender um direito em tribunal, independentemente de ter lugar num
processo perante um tribunal ou no âmbito de um procedimento administrativo ou extrajudicial.
(53) As categorias especiais de dados pessoais que exigem um nível de protecção mais elevado só deverão ser tratadas para fins relacionados com a saúde quando for necessário atingir esses fins em benefício dos indivíduos e da sociedade em geral, especialmente no contexto da gestão do serviços e sistemas de saúde ou de assistência social, incluindo o tratamento destes dados pelas autoridades de gestão e pelas autoridades centrais nacionais no domínio da saúde para efeitos de controlo de qualidade, fornecimento de informações de gestão e supervisão geral dos serviços de saúde ou sociais sistema de assistência médica a nível nacional e local, bem como no contexto da garantia da continuidade da assistência médica ou social e da assistência médica transfronteiriça ou para fins de segurança, vigilância e alerta sanitário ou para fins de arquivo de interesse público, para fins científicos ou para fins de investigação histórica ou para fins estatísticos baseados no direito da União ou no direito interno, que devem prosseguir um objetivo de interesse público, bem como no caso de estudos realizados de interesse público no domínio da saúde pública. Por conseguinte, o presente regulamento deverá prever condições harmonizadas para o tratamento de categorias especiais de dados pessoais de saúde, tendo em conta necessidades específicas, em especial quando o tratamento desses dados for efectuado para determinados fins relacionados com a saúde por pessoas sujeitas a uma obrigação legal obrigação de guardar sigilo profissional. O direito da União ou o direito nacional deverão prever medidas específicas e adequadas para proteger os direitos fundamentais e os dados pessoais das pessoas singulares. Os Estados-Membros deverão poder manter ou introduzir condições adicionais, incluindo restrições, relativamente ao tratamento de dados genéticos, dados biométricos ou dados de saúde. No entanto, isto não deverá impedir a livre circulação de dados pessoais na União quando estas condições se aplicarem ao tratamento transfronteiriço desses dados.
(54) O tratamento de categorias especiais de dados pessoais pode ser necessário por razões de interesse público nos domínios da saúde pública, sem o consentimento da pessoa em causa. Esse tratamento deverá ser condicionado por medidas adequadas e específicas destinadas a proteger os direitos e liberdades das pessoas singulares. Neste contexto, o conceito de “saúde pública” deve ser interpretado tal como definido no Regulamento (CE) n.º. 1338/2008 do Parlamento Europeu e do Conselho (1), nomeadamente todos os elementos relacionados com a saúde e nomeadamente o estado de saúde, incluindo a morbilidade ou a incapacidade, os factores determinantes que afectam o estado de saúde, as necessidades em no domínio da assistência médica, os recursos atribuídos à assistência médica, à prestação de assistência médica e à garantia do acesso universal à mesma, bem como às despesas e fontes de financiamento no domínio da saúde e às causas de mortalidade. Este tratamento de dados de saúde por razões de interesse público não deverá conduzir ao tratamento desses dados para outros fins por terceiros, como empregadores ou companhias de seguros e bancos.
(1) Regulamento (CE) n.º 1338/2008 do Parlamento Europeu e do Conselho, de 16 de dezembro de 2008, relativo às estatísticas comunitárias relativas à saúde pública, bem como à saúde e segurança no trabalho (JO L 354 de 31.12.2008, p. 70).
(55) Além disso, o tratamento de dados pessoais pelas autoridades públicas, a fim de atingir os objetivos previstos no direito constitucional ou no direito internacional público, de associações religiosas oficialmente reconhecidas é realizado por razões de interesse público.
(56) Se, durante as atividades eleitorais, o funcionamento do sistema democrático exigir, num Estado-Membro, que os partidos políticos recolham dados pessoais relativos às opiniões políticas dos indivíduos, o tratamento desses dados pode ser permitido por razões de interesse público, desde que sejam fornecidas as garantias adequadas.
(57) Se os dados pessoais tratados por um operador não lhe permitirem identificar uma pessoa singular, o operador de dados não deverá ser obrigado a obter informações adicionais para identificar a pessoa em causa, com o único objectivo de cumprir qualquer um dos as disposições deste regulamento. No entanto, o operador não deve recusar receber as informações adicionais fornecidas pelo titular dos dados para apoiar o exercício dos seus direitos. A identificação deverá incluir a identificação digital de um titular de dados, por exemplo através de mecanismos de
autenticação, como as mesmas credenciais utilizadas pelo titular dos dados para acessar os serviços online oferecidos pelo operador de dados.
(58) O princípio da transparência exige que qualquer informação dirigida ao público ou à pessoa em causa seja concisa, facilmente acessível e fácil de compreender e que seja utilizada uma linguagem simples e clara, bem como a visualização, se for caso disso. Estas informações poderão ser fornecidas em formato eletrónico, por exemplo quando dirigidas ao público, através de um sítio Web. Isto é especialmente importante em situações em que, devido à multiplicidade de intervenientes e à complexidade, do ponto de vista tecnológico, da prática, é difícil para o titular dos dados saber e compreender se os dados pessoais que lhe dizem respeito são recolhidos, por quem e com que finalidade, como no caso da publicidade online. Dado que as crianças necessitam de proteção específica, qualquer informação e qualquer comunicação, se o tratamento se destinar a uma criança, deve ser expressa em linguagem simples e clara, para que a criança possa facilmente compreendê-la.
(59) Deverão ser previstas modalidades para facilitar o exercício, pelo titular dos dados, dos direitos que lhe são conferidos pelo presente regulamento, incluindo os mecanismos através dos quais pode solicitar e, se necessário, obter, nomeadamente gratuitamente, acesso a informações pessoais dados, bem como a sua retificação ou eliminação, e o exercício do direito de oposição. O operador deverá também disponibilizar formas de apresentação de pedidos por via eletrónica, especialmente se os dados pessoais forem tratados por meios eletrónicos. O operador deverá ter a obrigação de responder aos pedidos das pessoas em causa sem demora injustificada e no prazo máximo de um mês e, caso não pretenda dar cumprimento a esses pedidos, de fundamentar essa recusa (60. ) De acordo com os princípios do tratamento leal e de forma transparente, o titular dos dados é informado sobre a existência de uma operação de tratamento e as suas finalidades. O operador deve fornecer ao titular dos dados todas as informações adicionais necessárias para garantir um tratamento leal e transparente, tendo em conta as circunstâncias específicas e o contexto em que os dados pessoais são tratados. Além disso, o titular dos dados deverá ser informado sobre a criação de perfis, bem como as suas consequências. Quando forem recolhidos dados pessoais do titular dos dados, este também deverá ser informado se tem a obrigação de fornecer dados pessoais e quais as consequências em caso de recusa. Estas informações podem ser fornecidas em combinação com ícones normalizados para fornecer, de forma facilmente visível, inteligível e claramente legível, uma visão geral significativa do tratamento pretendido. Se os ícones forem apresentados em formato eletrônico, eles deverão poder ser lidos automaticamente.
(61) As informações relacionadas com o tratamento de dados pessoais relativos ao titular dos dados deverão ser-lhe fornecidas no momento da recolha junto do titular dos dados ou, se os dados pessoais forem obtidos de outra fonte, dentro de um prazo razoável, dependendo do circunstâncias do caso. Se os dados pessoais puderem ser legitimamente divulgados a outro destinatário, o titular dos dados deverá ser informado quando os dados pessoais forem divulgados pela primeira vez ao destinatário. Caso o operador pretenda tratar os dados pessoais para uma finalidade diferente daquela para a qual foram recolhidos, o operador deverá fornecer ao titular dos dados, antes desse tratamento posterior, informações relativas à respetiva finalidade secundária e outras informações necessárias. Se a origem dos dados pessoais não puder ser comunicada ao titular dos dados devido à utilização de fontes diferentes, deverão ser fornecidas informações gerais. (62) No entanto, não é necessário impor a obrigação de fornecer informações se o titular dos dados já dispuser das informações, se o registo ou a divulgação de dados pessoais estiver expressamente previsto na lei ou se as informações fornecidas à pessoa em causa se revelarem impossível ou envolveria esforços desproporcionais. Este último poderá ser o caso, especialmente quando o tratamento é realizado para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos. A este respeito, deverão ser tidos em conta o número de titulares dos dados, a idade dos dados e quaisquer garantias adequadas adotadas.
(63) O titular dos dados deverá ter o direito de acesso aos dados pessoais recolhidos que lhe digam respeito e deverá exercer esse direito facilmente e em intervalos de tempo razoáveis, a fim de ser informado sobre o tratamento e verificar a sua legalidade. Isto inclui o direito dos titulares dos dados de terem acesso aos seus dados de saúde, por exemplo, dados dos seus registos
registros médicos contendo informações como diagnósticos, resultados de exames, avaliações dos médicos assistentes e qualquer tratamento ou intervenção realizada. Qualquer titular de dados deverá, portanto, ter o direito de conhecer e ser informado, nomeadamente, sobre as finalidades para as quais os dados são tratados, se possível, o período durante o qual os dados pessoais são tratados, os destinatários dos dados pessoais, a lógica do tratamento automático tratamento de dados pessoais e, pelo menos se for baseado na criação de perfis, as consequências desse tratamento. Se tal for possível, o responsável pelo tratamento dos dados deverá ser capaz de fornecer acesso remoto a um sistema seguro, que dê ao titular dos dados acesso direto aos seus dados pessoais. Este direito não deve afetar os direitos ou liberdades de terceiros, incluindo segredos comerciais ou propriedade intelectual e, em particular, direitos de autor que garantem a proteção de programas de software. No entanto, as considerações acima não devem resultar na recusa de fornecer todas as informações ao titular dos dados. Quando o operador tratar um grande volume de informações relativas ao titular dos dados, o operador deverá poder solicitar que, antes de as informações serem fornecidas, o titular dos dados especifique as informações ou as atividades de tratamento a que se refere o seu pedido. (64) O operador deverá tomar todas as medidas razoáveis para verificar a identidade de um titular de dados que solicite acesso aos dados, em especial no contexto de serviços em linha e de identificadores em linha. Um operador não deve conservar dados pessoais com o único propósito de poder responder a potenciais pedidos.
(65) O titular dos dados deve ter o direito à retificação dos dados pessoais que lhe digam respeito e o «direito a ser esquecido», se a conservação desses dados violar o presente regulamento ou o direito da União ou o direito interno sob o qual o operador se enquadra. Em particular, os titulares dos dados devem ter o direito de que os seus dados pessoais sejam eliminados e deixem de ser tratados, se os dados pessoais já não forem necessários para os fins para os quais foram recolhidos ou tratados, se os titulares dos dados tiverem retirado o seu consentimento para tratamento ou no caso de se oporem ao tratamento dos seus dados pessoais ou no caso de o tratamento dos seus dados pessoais não cumprir o presente regulamento. Este direito é particularmente relevante se o titular dos dados deu o seu consentimento quando era criança e não tinha plena consciência dos riscos envolvidos no tratamento, e posteriormente pretende remover esses dados pessoais, especialmente da Internet. A pessoa em causa deverá ter a oportunidade de exercer este direito apesar de já não ser criança. No entanto, a conservação continuada de dados pessoais deverá ser legal se for necessária para exercer o direito à liberdade de expressão e informação, para cumprir uma obrigação legal, para cumprir uma tarefa que sirva um interesse público ou que resulte do exercício do autoridade pública de que o operador está investido, por razões de interesse público no domínio da saúde pública, para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos ou de apuração, exercer ou defender um direito em tribunal.
(66) A fim de reforçar o "direito a ser esquecido" no ambiente em linha, o direito ao apagamento deverá ser alargado de modo a que um operador que tenha tornado públicos dados pessoais tenha a obrigação de informar os operadores que tratam esses dados pessoais. excluir quaisquer links para os respectivos dados ou cópias ou reproduções dos mesmos. Para o efeito, o operador em causa deverá tomar medidas razoáveis, tendo em conta a tecnologia disponível e os meios à sua disposição, incluindo medidas técnicas, para informar os operadores que tratam os dados pessoais sobre o pedido do titular dos dados.
(67) Os métodos de restrição do tratamento de dados pessoais poderão incluir, entre outros, a transferência temporária de dados pessoais seleccionados para outro sistema de tratamento, ou o cancelamento do acesso dos utilizadores aos dados seleccionados ou a remoção temporária de dados publicados por um site. No que diz respeito aos sistemas automatizados de registo de dados, a restrição do tratamento deverá, em princípio, ser assegurada por meios técnicos, de modo a que os dados pessoais não sejam sujeitos a operações de tratamento posteriores e não possam ser alterados. O facto de o tratamento de dados pessoais ser restrito deve ser claramente indicado no sistema.
(68) A fim de aumentar ainda mais o controlo sobre os seus próprios dados, o titular dos dados deverá, caso os dados pessoais sejam tratados por meios automáticos, poder receber os dados pessoais que lhe digam respeito e que tenha fornecido a um operador, em num formato estruturado, actualmente utilizado, processado automaticamente e interoperável e poder transmiti-los a outro operador. Os operadores de dados devem ser incentivados a desenvolver formatos interoperáveis que permitam a portabilidade dos dados. Este direito deverá aplicar-se se o titular dos dados tiver fornecido os dados pessoais com base no seu próprio consentimento ou se o tratamento dos dados for necessário para a execução de um contrato. Este direito não deverá aplicar-se se o tratamento se basear noutra base jurídica que não o consentimento ou o contrato. Pela sua própria natureza, este direito não deve ser exercido contra operadores que tratem dados pessoais no exercício das suas funções públicas. Não deverá aplicar-se, nomeadamente, se o tratamento de dados pessoais for necessário para cumprir uma obrigação jurídica a que o operador esteja sujeito ou no caso do desempenho de uma tarefa que sirva um interesse público ou resulte do exercício de uma autoridade pública da qual o operador está investido. O direito do titular dos dados de transmitir ou receber dados pessoais que lhe digam respeito não deverá criar para os operadores a obrigação de adotar ou manter sistemas de tratamento que sejam tecnicamente compatíveis. Se, num determinado conjunto de dados pessoais, estiverem envolvidos vários titulares de dados, o direito de receber dados pessoais não deverá afetar os direitos e liberdades de outros titulares de dados, nos termos do presente regulamento. Além disso, este direito não deverá afetar o direito do titular dos dados de obter a eliminação dos dados pessoais e as limitações desse direito, conforme previsto no presente regulamento, e não deverá, em particular, envolver a eliminação desses dados pessoais, dados pessoais relacionados com o titular dos dados por si fornecidos para a execução de um contrato, na medida e enquanto os respetivos dados forem necessários à execução do contrato. O titular dos dados deverá ter o direito de que os dados pessoais sejam transmitidos diretamente de um operador para outro, se tal for tecnicamente viável.
(69) Nos casos em que os dados pessoais possam ser tratados legalmente porque o tratamento é necessário para o desempenho de uma tarefa que serve um interesse público ou que resulta do exercício da autoridade pública da qual o operador está investido ou com base nos interesses legítimos de de um operador ou de um terceiro, o titular dos dados deverá ainda ter o direito de se opor ao tratamento de quaisquer dados pessoais relacionados com a sua situação específica. Deverá ser da responsabilidade do operador demonstrar que os seus interesses legítimos e imperiosos prevalecem sobre os interesses ou direitos e liberdades fundamentais do titular dos dados.
(70) Se os dados pessoais forem tratados para fins de marketing direto, o titular dos dados deverá ter o direito de se opor a esse tratamento, incluindo a criação de perfis, na medida em que esteja relacionado com marketing direto, independentemente de o tratamento em questão ser o inicial ou posterior, a qualquer momento e gratuitamente. Este direito deve ser explicitamente levado ao conhecimento do titular dos dados e apresentado de forma clara e separada de qualquer outra informação.
(71) O titular dos dados deverá ter o direito de não ficar sujeito a uma decisão, que pode incluir uma medida que avalie aspectos pessoais relativos ao titular dos dados, que se baseie exclusivamente em
tratamento automático e que produza efeitos jurídicos que digam respeito ao titular dos dados ou que o afetem de forma semelhante de forma significativa, como a recusa automática de um pedido de crédito online ou práticas de recrutamento eletrónico, sem intervenção humana. Esse tratamento inclui a "criação de perfis", que consiste em qualquer forma de tratamento automático de dados pessoais
avaliando os aspectos pessoais relacionados com uma pessoa singular, especialmente para analisar ou prever determinados aspectos relativos ao desempenho no local de trabalho da pessoa em causa, à situação económica, ao estado de saúde, às preferências ou interesses pessoais, à fiabilidade ou ao comportamento,
a localização ou os movimentos, quando produzam efeitos jurídicos que digam respeito ao interessado ou que o afetem de forma semelhante de forma significativa. No entanto, a tomada de decisões com base nesse tratamento, incluindo a definição de perfis, deverá ser permitida quando for expressamente autorizada pelo direito da União ou pelo direito nacional aplicável ao operador, inclusive para efeitos
o monitoramento e prevenção de fraude e evasão fiscal, realizados de acordo com a regulamentação,
as normas e recomendações das instituições da União ou dos organismos nacionais de supervisão, e para garantir a segurança e fiabilidade de um serviço oferecido pelo operador ou caso seja
necessário para a celebração ou execução de um contrato entre o titular dos dados e um operador ou se o titular dos dados tiver dado explicitamente o seu consentimento. Em qualquer caso, esse tratamento deverá estar sujeito a garantias adequadas, que deverão incluir uma informação específica do titular dos dados e o seu direito de obter intervenção humana, de
expressar o ponto de vista, receber uma explicação sobre a decisão tomada após tal avaliação,
bem como o direito de recorrer da decisão. Tal medida não deve referir-se a uma criança.
Garantir um tratamento leal e transparente relativamente ao titular dos dados, tendo em
dadas as circunstâncias específicas e o contexto em que os dados pessoais são tratados, o operador deverá utilizar procedimentos matemáticos ou estatísticos adequados para a criação de perfis, implementar medidas técnicas e organizacionais adequadas para garantir, em particular, que os factores que levam a imprecisões dos dados de um indivíduo natureza são corrigidos e que o risco de erros é
reduzido ao mínimo, bem como para proteger os dados pessoais de uma forma que tenha em conta os perigos potenciais para os interesses e direitos do titular dos dados e para evitar, entre outras coisas, efeitos discriminatórios contra pessoas com base na raça ou etnia origem, opiniões política, religião
ou crenças, filiação sindical, características genéticas, estado de saúde ou orientação sexual ou processamento que leve a medidas que tenham tais efeitos. A tomada de decisões automatizada e a definição de perfis com base em categorias especiais de dados pessoais devem ser permitidas
apenas sob condições específicas.
(em 23 de maio de 2018, parágrafo (71
) corrigido pelo ponto 1. da Correção de 23 de maio de 2018 )
(72) A criação de perfis está sujeita às regras deste regulamento que regulam o tratamento de dados pessoais, tais como as bases jurídicas do tratamento ou os princípios da proteção de dados. O Comité Europeu para a Proteção de Dados criado pelo presente regulamento («o Comité») deverá poder emitir orientações neste contexto.
(73) O direito da União ou o direito interno podem impor restrições relativas a princípios específicos, ao direito à informação, ao direito de acesso aos dados pessoais e à sua retificação ou apagamento, ao direito à portabilidade dos dados, ao direito à oposição, às decisões baseadas em à criação de perfis, bem como à comunicação de uma violação da segurança dos dados pessoais ao titular dos dados e a certas obrigações conexas dos operadores, na medida em que tal seja necessário e proporcionado numa sociedade democrática, a fim de garantir a segurança pública é garantida, incluindo a protecção da vida humana, especialmente em resposta a catástrofes naturais ou provocadas pelo homem, a prevenção, investigação e repressão de crimes ou a execução de sentenças, incluindo a protecção contra ameaças à segurança pública ou contra violações éticas no caso de profissões regulamentadas e sua prevenção, outros objetivos importantes de interesse público geral da União ou de um Estado-Membro, em especial um interesse económico ou financeiro importante da União ou de um Estado-Membro, a manutenção de registos públicos por razões de interesse público geral , o tratamento subsequente de dados pessoais arquivados para transmitir informações específicas relacionadas com o comportamento político durante os regimes dos antigos estados totalitários, a proteção do titular dos dados ou os direitos e liberdades de terceiros, incluindo a proteção social, a saúde pública e fins humanitários. Estas restrições deverão cumprir os requisitos previstos na Carta e na Convenção Europeia para a Protecção dos Direitos Humanos e das Liberdades Fundamentais.
(74) A responsabilidade e a obrigação do operador deverão ser estabelecidas relativamente a qualquer tratamento de dados pessoais realizado por ele ou em seu nome. Em particular, o operador deverá ser obrigado a implementar medidas adequadas e eficazes e ser capaz de demonstrar a conformidade das atividades de tratamento com o presente regulamento, incluindo a eficácia das medidas. Estas medidas deverão ter em conta a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como o risco para os direitos e liberdades das pessoas singulares.
(75) O risco para os direitos e liberdades das pessoas físicas, apresentando diferentes graus de probabilidade de materialização e gravidade, pode ser resultado de um tratamento de dados pessoais que possa gerar danos de natureza física, material ou moral, especialmente em casos em que: o processamento pode levar à discriminação, roubo de identidade ou fraude, perda financeira, comprometimento
reputação, perda de confidencialidade de dados pessoais protegidos pelo segredo profissional, reversão não autorizada de pseudonimização ou qualquer outra desvantagem significativa de natureza económica ou social; os titulares dos dados podem ser privados dos seus direitos e liberdades ou impedidos de exercer controlo sobre os seus dados pessoais; os dados pessoais tratados são dados que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical; são tratados dados genéticos, dados de saúde ou dados sobre a vida sexual ou condenações e infrações penais ou medidas de segurança conexas; são avaliados aspectos de natureza pessoal, nomeadamente a análise ou previsão de aspectos relativos ao desempenho no trabalho, à situação económica, ao estado de saúde, às preferências ou interesses pessoais, à fiabilidade ou ao comportamento, à localização ou às deslocações, para a criação ou utilização de perfis pessoais ; são tratados dados pessoais de pessoas vulneráveis, especialmente crianças; ou o tratamento envolve um grande volume de dados pessoais e afeta um grande número de titulares de dados.
(76) A probabilidade de materialização e a gravidade do risco para os direitos e liberdades do titular dos dados deverão ser determinadas em função da natureza, do âmbito, do contexto e das finalidades do tratamento dos dados pessoais. O risco deve ser avaliado com base numa avaliação objetiva que permita determinar se as operações de tratamento de dados apresentam um risco ou um risco elevado. (77) Orientações para a implementação de medidas adequadas e para a demonstração do cumprimento por parte do operador ou da pessoa autorizada pelo operador, especialmente no que diz respeito à identificação do risco relacionado com o processamento, sua avaliação do ponto de vista da origem, natureza , a probabilidade de materialização e a gravidade, bem como a identificação de boas práticas para atenuar o risco, poderão ser fornecidas, nomeadamente, através de códigos de conduta aprovados, certificações aprovadas, orientações de comités ou através de indicações fornecidas por um responsável pela proteção de dados. O Comité também pode emitir orientações sobre operações de tratamento que sejam consideradas pouco suscetíveis de representar um risco elevado para os direitos e liberdades das pessoas singulares e indicar as medidas que podem revelar-se suficientes em tais casos para fazer face a esse risco.
(78) A proteção dos direitos e liberdades das pessoas singulares no que diz respeito ao tratamento de dados pessoais exige a adoção de medidas técnicas e organizativas adequadas para garantir o cumprimento dos requisitos do presente regulamento. Para poder demonstrar o cumprimento deste regulamento, o operador deverá adotar políticas internas e implementar medidas que respeitem nomeadamente o princípio da proteção de dados desde o momento da concepção e o da proteção implícita de dados. Tais medidas poderiam consistir, entre outras, na minimização do tratamento de dados pessoais, na pseudonimização desses dados o mais rapidamente possível, na transparência relativamente às funções e no tratamento de dados pessoais, capacitando o titular dos dados para monitorizar o tratamento de dados, permitindo ao operador criar elementos de segurança e melhorá-los. Ao desenvolver, conceber, selecionar e utilizar aplicações, serviços e produtos que dependam do tratamento de dados pessoais ou que tratem dados pessoais para cumprir a sua função, os fabricantes desses produtos e os fornecedores desses serviços e aplicações deverão ser incentivados a ter em conta ter em conta o direito à protecção de dados no momento do desenvolvimento e concepção de tais produtos, serviços e aplicações e, tendo em conta o actual estágio de desenvolvimento, garantir que os operadores e pessoas autorizadas pelos operadores sejam capazes de cumprir as suas obrigações em relação à proteção de dados. O princípio da protecção de dados desde o momento da concepção e o da protecção implícita de dados também deverão ser tidos em conta no contexto dos concursos públicos.
(79) A proteção dos direitos e liberdades dos titulares dos dados, bem como a responsabilidade e a responsabilidade dos operadores e das pessoas autorizadas pelo operador, nomeadamente em termos de monitorização pelas autoridades de controlo e das medidas por elas adotadas, exige uma atribuição clara de responsabilidades nos termos do presente regulamento, incluindo se um operador estabelecer as finalidades e os meios de tratamento em conjunto com outros operadores ou se uma operação de tratamento for realizada em nome de um operador.
(80) Quando um operador ou uma pessoa autorizada pelo operador que não esteja estabelecida na União processa dados pessoais de titulares de dados localizados no território da União, e
as suas atividades de tratamento estão relacionadas com o fornecimento de bens ou serviços a esses titulares de dados na União, independentemente de o titular dos dados solicitar ou não um pagamento, ou com a monitorização do comportamento dos titulares dos dados, se este ocorrer na União , o operador ou a pessoa por ele autorizada deverá nomear um representante, a menos que o tratamento seja de natureza ocasional, não inclua o tratamento em grande escala de categorias especiais de dados pessoais, nem o tratamento de dados relacionados com condenações penais e infrações , e é pouco provável que gere um risco para os direitos e liberdades das pessoas singulares, tendo em conta a natureza, o contexto, o âmbito e as finalidades do tratamento, bem como o caso em que o operador seja uma autoridade pública ou um organismo público. O representante deverá atuar em nome do operador ou da pessoa por ele autorizada, podendo ser contactado por qualquer autoridade de controlo. O representante deverá ser explicitamente designado, através de um mandato escrito do operador ou da pessoa autorizada pelo operador, para agir em seu nome no que diz respeito às suas obrigações ao abrigo do presente regulamento. A nomeação de tal representante não afeta a responsabilidade ou obrigação do operador ou da pessoa autorizada pelo operador nos termos deste regulamento. Esse representante deverá desempenhar as suas funções de acordo com o mandato recebido do operador ou da pessoa por ele autorizada, nomeadamente cooperando com as autoridades de supervisão competentes relativamente a quaisquer medidas tomadas para garantir o cumprimento do presente regulamento. O representante designado deverá estar sujeito a procedimentos que garantam o cumprimento da lei em caso de incumprimento deste regulamento por parte do operador ou da pessoa autorizada pelo operador.
(81) A fim de garantir o cumprimento dos requisitos impostos pelo presente regulamento relativamente ao tratamento que deve ser realizado em nome do operador pela pessoa autorizada pelo operador, ao atribuir atividades de tratamento a uma pessoa autorizada pelo operador, esta última só devem recorrer a pessoas autorizadas que ofereçam garantias suficientes, especialmente em termos de conhecimentos especializados, fiabilidade e recursos, para implementar medidas técnicas e organizacionais que cumpram os requisitos impostos pelo presente regulamento, incluindo para a segurança do processamento. A adesão da pessoa autorizada pelo operador a um código de conduta aprovado ou a um mecanismo de certificação aprovado pode ser utilizada como elemento para demonstrar o cumprimento das obrigações do operador. A realização do tratamento por uma pessoa autorizada por um operador deverá ser regulada por um contrato ou outro tipo de ato jurídico, baseado no direito da União ou no direito interno, que crie obrigações para a pessoa autorizada pelo operador em relação ao operador e que estabelece o objeto e a duração do tratamento, a natureza e as finalidades do tratamento, o tipo de dados pessoais e as categorias de pessoas em causa, e deve ter em conta as tarefas e responsabilidades específicas da pessoa autorizada pelo operador no contexto do tratamento a realizar, bem como o risco para os direitos e liberdades da pessoa em causa. O operador e a pessoa por ele autorizada podem optar por utilizar um contrato individual ou cláusulas contratuais-tipo que sejam adotadas diretamente pela Comissão ou por uma autoridade de controlo, em conformidade com o mecanismo de coerência, e posteriormente adotadas pela Comissão. Após a conclusão do tratamento por conta do operador, a pessoa autorizada pelo operador deverá devolver ou eliminar, consoante a opção do operador, os dados pessoais, a menos que exista uma exigência de armazenamento de dados pessoais nos termos da legislação da União ou da legislação interna que estabeleça obrigações da pessoa autorizada pelo operador.
(82) A fim de demonstrar a conformidade com o presente regulamento, o operador ou a pessoa por ele autorizada deverá manter registos das atividades de tratamento sob a sua responsabilidade. Cada operador e cada pessoa por ele autorizada deverá ter a obrigação de cooperar com a autoridade de controlo e de lhe disponibilizar, mediante pedido, esses registos, para que possam ser utilizados para efeitos de monitorização das respetivas operações de tratamento. (83) A fim de manter a segurança e prevenir o tratamento que viole o presente regulamento, o operador ou a pessoa por ele autorizada deverá avaliar os riscos inerentes ao tratamento e implementar medidas para atenuar esses riscos, como a encriptação. Essas medidas deverão garantir um nível adequado de segurança, incluindo a confidencialidade, tendo em conta o estado actual de desenvolvimento e os custos de implementação em relação aos riscos e à natureza dos dados com
caráter pessoal cuja proteção deve ser assegurada. Ao avaliar o risco para a segurança dos dados pessoais, deverá ser dada atenção aos riscos colocados pelo processamento de dados, tais como destruição, perda, alteração, divulgação não autorizada ou acesso não autorizado a dados pessoais transmitidos, armazenados ou processados de outra forma, acidental ou ilegalmente, o que pode acarretar, principalmente, danos físicos, materiais ou morais.
(84) A fim de promover o cumprimento das disposições do presente regulamento nos casos em que as operações de tratamento sejam suscetíveis de gerar um elevado risco para os direitos e liberdades das pessoas singulares, o operador deverá ser responsável pela realização de uma avaliação de impacto na proteção de dados, que estima, nomeadamente, a origem, natureza, especificidade e gravidade deste risco. O resultado da avaliação deverá ser tido em conta na determinação das medidas adequadas a tomar para demonstrar que o tratamento de dados pessoais está em conformidade com o presente regulamento. Se uma avaliação do impacto na proteção de dados mostrar que as operações de tratamento envolvem um risco elevado, que o operador não pode mitigar com medidas adequadas em termos de tecnologia disponível e custos de implementação, deverá ser realizada uma consulta com a autoridade de supervisão de proteção de dados antes do tratamento. .
(85) Se não for resolvido a tempo e de forma adequada, uma violação da segurança dos dados pessoais pode causar danos físicos, materiais ou morais às pessoas singulares, tais como a perda de controlo sobre os seus dados pessoais ou a limitação dos seus direitos, discriminação, roubo de identidade ou fraude, perda financeira, reversão não autorizada de pseudonimização, comprometimento reputacional, perda de confidencialidade de dados pessoais protegidos pelo sigilo profissional ou qualquer outra desvantagem significativa de natureza económica ou social para a pessoa singular em causa. Assim, assim que tiver conhecimento da ocorrência de uma violação da segurança dos dados pessoais, o operador deverá notificar essa violação à autoridade de controlo, sem demora injustificada e, se possível, o mais tardar 72 horas após tomar conhecimento da sua existência, a menos que o operador consiga demonstrar, em conformidade com o princípio da responsabilidade, que a violação da segurança dos dados pessoais não é suscetível de gerar um risco para os direitos e liberdades das pessoas singulares. Quando a notificação não puder ser feita no prazo de 72 horas, deverá incluir os motivos do atraso, podendo a informação ser prestada de forma gradual, sem maiores demoras.
(86) O operador deverá comunicar ao titular dos dados uma violação da segurança dos dados pessoais, sem demora injustificada, quando a violação for susceptível de gerar um elevado risco para os direitos e liberdades da pessoa singular, para lhe permitir tomar a iniciativa precauções necessárias. A comunicação deve descrever a natureza da violação da segurança dos dados pessoais e incluir recomendações para a pessoa singular em questão, a fim de mitigar quaisquer efeitos negativos. As comunicações aos titulares dos dados devem ser realizadas o mais rapidamente possível e em estreita cooperação com a autoridade de controlo, respeitando as orientações fornecidas por esta ou por outras autoridades competentes, tais como as autoridades responsáveis pela aplicação da lei. Por exemplo, a necessidade de mitigar um risco imediato de danos exigiria uma comunicação imediata aos titulares dos dados, enquanto a necessidade de implementar medidas adequadas contra novas violações da segurança dos dados pessoais ou violações semelhantes da segurança dos dados pessoais poderia justificar um prazo mais longo para a comunicação. (87) Deverá determinar-se se foram implementadas todas as medidas organizacionais e de proteção tecnológica adequadas, a fim de determinar imediatamente se ocorreu uma violação da segurança dos dados pessoais e de informar prontamente a autoridade de controlo e a pessoa visada. O facto de a notificação ter sido feita sem demora injustificada deverá ser estabelecido tendo em conta, em especial, a natureza e a gravidade da violação da segurança dos dados pessoais, bem como as suas consequências e efeitos negativos para o titular dos dados. Esta notificação pode implicar uma intervenção da autoridade de controlo, de acordo com as atribuições e competências especificadas no presente regulamento.
(88) Ao estabelecer regras pormenorizadas relativas ao formato e aos procedimentos aplicáveis à notificação relativa a violações da segurança dos dados pessoais, deverá ser dada a devida atenção às circunstâncias em que a violação ocorreu, incluindo a determinação se a protecção dos dados pessoais
pessoal foi ou não assegurada por medidas técnicas de proteção adequadas, que limitariam efetivamente a probabilidade de fraude de identidade ou outras formas de utilização abusiva. Além disso, essas regras e procedimentos deverão ter em conta os interesses legítimos das autoridades responsáveis pela aplicação da lei nos casos em que a divulgação antecipada possa complicar desnecessariamente a investigação das circunstâncias em que ocorreu uma violação de dados pessoais.
(89) A Diretiva 95/46/CE previa uma obrigação geral de notificação do tratamento de dados pessoais às autoridades de controlo. Embora a respetiva obrigação gere encargos administrativos e financeiros, nem sempre contribuiu para a melhoria da proteção dos dados pessoais. Por conseguinte, essas obrigações gerais de notificação indiferenciada deverão ser revogadas e substituídas por procedimentos e mecanismos eficazes que se concentrem, em vez disso, nos tipos de operações de tratamento suscetíveis de gerar um elevado risco para os direitos e liberdades das pessoas singulares, pela sua própria natureza, pelo seu âmbito, por seu contexto e por seus objetivos. Esses tipos de operações de tratamento podem ser aquelas que pressupõem, nomeadamente, a utilização de novas tecnologias ou que representam um novo tipo de operações, para as quais não tenha sido previamente realizada pelo operador uma avaliação de impacto na proteção de dados ou que se tornem necessárias na data período de tempo decorrido desde o processamento inicial.
(90) Nesses casos, o operador deverá realizar, antes do tratamento, uma avaliação do impacto na proteção de dados, a fim de avaliar o grau específico de probabilidade de materialização do risco elevado e a sua gravidade, tendo em conta a natureza, o âmbito , o contexto e as finalidades do tratamento, bem como as fontes de risco. A respetiva avaliação de impacto deverá incluir, nomeadamente, as medidas, garantias e mecanismos considerados para mitigar o respetivo risco, garantir a proteção dos dados pessoais e demonstrar o cumprimento do presente regulamento.
(91) Isto deverá aplicar-se, em particular, a operações de tratamento em grande escala, que visam tratar um volume considerável de dados pessoais a nível regional, nacional ou supranacional, que podem afectar um grande número de pessoas visadas e que são susceptíveis de afectar geram um risco elevado, por exemplo, devido à sua sensibilidade, se, de acordo com o nível de conhecimento tecnológico alcançado, uma nova tecnologia for utilizada em larga escala, bem como outras operações de tratamento que gerem um elevado risco para os direitos e liberdades dos titulares dos dados, especialmente se as respetivas operações limitarem a capacidade dos titulares dos dados de exercerem os seus direitos. Deve também ser realizada uma avaliação do impacto na protecção de dados nas situações em que os dados pessoais são tratados para efeitos de tomada de decisões que visam determinadas pessoas singulares, na sequência de uma avaliação sistemática e abrangente dos aspectos pessoais relativos a pessoas singulares, com base na criação de perfis para os respetivos dados, ou na sequência do tratamento de categorias especiais de dados pessoais, dados biométricos ou dados relativos a condenações e infrações penais ou medidas de segurança conexas. Uma avaliação do impacto na protecção de dados é igualmente necessária para a monitorização em grande escala de áreas acessíveis ao público, especialmente no caso da utilização de dispositivos optoelectrónicos ou para quaisquer outras operações em que a autoridade de controlo competente considere que o tratamento é provável gerar um elevado risco para os direitos e liberdades dos titulares dos dados, nomeadamente porque impedem os titulares dos dados de exercer um direito ou de utilizar um serviço ou contrato, ou porque são realizados de forma sistemática e em grande escala. O tratamento de dados pessoais não deve ser considerado em grande escala se o tratamento se referir a dados pessoais de pacientes ou clientes por um determinado médico, outro profissional de saúde ou advogado. Nestes casos, uma avaliação de impacto sobre a proteção de dados não deverá ser obrigatória.
(92) Em algumas circunstâncias, poderá ser razoável e economicamente útil que uma avaliação de impacto sobre a protecção de dados tenha uma perspectiva mais ampla do que a de um único projecto, por exemplo, quando as autoridades ou organismos públicos pretendem estabelecer uma aplicação comum ou uma plataforma de tratamento ou no caso de vários operadores pretendem introduzir uma aplicação comum ou um ambiente de processamento comum num setor ou segmento industrial ou para uma atividade horizontal utilizada em grande escala.
(93) No contexto da adoção da legislação nacional na qual se baseia o cumprimento das atribuições da autoridade pública ou do organismo público e que regula a operação ou série de operações de tratamento em questão, os Estados-Membros podem considerar necessário realizar essa avaliação antes de realizar as atividades de processamento.
(94) Se uma avaliação de impacto sobre a protecção de dados demonstrar que o tratamento geraria, na ausência de garantias, medidas de segurança e mecanismos de mitigação de riscos, um risco elevado para os direitos e liberdades das pessoas singulares, e o operador considerar que o risco não não puder ser mitigado por meios razoáveis em termos de tecnologias disponíveis e custos de implementação, a autoridade supervisora deverá ser consultada antes de iniciar atividades de processamento. É provável que um risco tão elevado seja gerado por certos tipos de tratamento, bem como pela extensão e frequência do tratamento, que também pode levar a danos ou afetar os direitos e liberdades das pessoas singulares. A autoridade de controlo deverá responder ao pedido de consulta dentro de um determinado prazo. No entanto, a falta de reação da autoridade de controlo no respetivo prazo não deverá afetar qualquer intervenção da autoridade de controlo no cumprimento das suas atribuições e competências previstas no presente regulamento, incluindo o poder de proibir operações de tratamento. No âmbito deste processo de consulta, poderá ser transmitido à autoridade de controlo o resultado de uma avaliação de impacto na proteção de dados realizada relativamente ao tratamento em causa, nomeadamente as medidas previstas para mitigar o risco para os direitos e liberdades das pessoas singulares.
(95) A pessoa autorizada pelo operador deverá ajudá-lo, se necessário e mediante pedido, a garantir o cumprimento das obrigações decorrentes da realização de avaliações de impacto na proteção de dados e da consulta prévia à autoridade de controlo.
(96) Durante a elaboração de uma medida legislativa ou regulamentar que preveja o tratamento de dados pessoais, deverá também ocorrer uma consulta à autoridade de controlo, para garantir a conformidade do tratamento considerado com este regulamento e, em especial, para mitigar o risco a que a pessoa em causa está exposta.
(97) Se o tratamento for efectuado por uma autoridade pública, com excepção dos tribunais ou autoridades judiciais independentes quando actuam no exercício da sua capacidade judicial, se, no sector privado, o tratamento for efectuado por um operador cuja actividade principal consista em operações de tratamento que exijam um controlo regular e sistemático das pessoas em causa em grande escala, ou se a actividade principal do operador ou da pessoa autorizada pelo operador consistir no tratamento em grande escala de categorias especiais de dados pessoais e de dados relativos a crimes condenações e infrações, uma pessoa que tenha conhecimento especializado da legislação e das práticas relativas à proteção de dados deverá auxiliar o operador ou a pessoa por ele autorizada a monitorar o cumprimento interno deste regulamento. No setor privado, as atividades principais de um operador referem-se às suas atividades principais e não ao tratamento de dados pessoais como atividades acessórias. O nível necessário de conhecimentos especializados deverá ser estabelecido, nomeadamente, em função das operações de tratamento de dados realizadas e do nível de proteção exigido para os dados pessoais tratados pelo operador ou pela pessoa autorizada pelo operador. Estes responsáveis pela proteção de dados, independentemente de serem ou não funcionários do operador, deverão poder desempenhar as suas funções e tarefas de forma independente.
(98) As associações ou outros organismos que representem categorias de operadores ou pessoas autorizadas pelos operadores deverão ser incentivados a desenvolver códigos de conduta, dentro dos limites do presente regulamento, de modo a facilitar a aplicação eficaz do presente regulamento, tendo em conta as características específicas dos a transformação efectuada em determinados sectores e as necessidades específicas das microempresas e das pequenas e médias empresas. Em particular, esses códigos de conduta poderiam ajustar as obrigações dos operadores e das pessoas autorizadas pelos operadores, tendo em conta o risco relacionado com o tratamento que poderá ser gerado para os direitos e liberdades das pessoas singulares.
(99) Quando elaboram um código de conduta ou quando modificam ou ampliam esse código, as associações e outros organismos que representam categorias de operadores ou pessoas autorizadas pelo
os operadores devem consultar as partes interessadas relevantes, incluindo os titulares dos dados, se possível, e ter em conta as contribuições apresentadas e as opiniões expressas nessas consultas. (100) A fim de melhorar a transparência e a conformidade com o presente regulamento, deverá ser incentivada a criação de mecanismos de certificação, bem como de selos e marcas de proteção de dados, permitindo que os titulares dos dados avaliem rapidamente o nível de proteção de dados relacionados com produtos e serviços relevantes.
(101) Os fluxos de dados pessoais de e para países localizados fora da União e organizações internacionais são necessários para o desenvolvimento do comércio internacional e da cooperação internacional. O crescimento destes fluxos tem gerado novos desafios e preocupações relativamente à proteção de dados pessoais. Contudo, se os dados pessoais forem transferidos da União para operadores, pessoas autorizadas pelos operadores ou outros destinatários de países terceiros ou organizações internacionais, o nível de proteção das pessoas singulares assegurado na União pelo presente regulamento não deverá ser reduzido, incluindo em casos de transferências subsequentes de dados pessoais do país terceiro ou organização internacional para operadores, pessoas autorizadas por operadores do mesmo ou de outro país terceiro ou organização internacional. Em qualquer caso, as transferências para países terceiros e organizações internacionais só podem ser realizadas em plena conformidade com este regulamento. Uma transferência só poderá ocorrer se, sujeito ao cumprimento das demais disposições deste regulamento, o operador ou a pessoa por ele autorizada cumprir as condições estipuladas pelas disposições deste regulamento relativas à transferência de dados pessoais para terceiros países ou organizações internacionais .
(102) O presente regulamento não afeta os acordos internacionais celebrados entre a União e países terceiros para regular a transferência de dados pessoais, incluindo garantias adequadas para as pessoas em causa. Os Estados-Membros podem celebrar acordos internacionais que envolvam a transferência de dados pessoais para países terceiros ou organizações internacionais, desde que tais acordos não afetem o presente regulamento ou outras disposições do direito da União e incluam um nível adequado de proteção dos direitos fundamentais das pessoas em causa.
(103) A Comissão pode decidir, com efeitos em toda a União, que um país terceiro, um território ou um determinado setor de um país terceiro ou de uma organização internacional oferece um nível adequado de proteção de dados, garantindo assim a segurança jurídica e a uniformidade na União. em relação ao país terceiro ou organização internacional que se considera proporcionar esse nível de proteção. Nestes casos, as transferências de dados pessoais para o respetivo país terceiro ou organização internacional podem ocorrer sem necessidade de obtenção de autorizações adicionais. Além disso, a Comissão pode decidir, após enviar uma notificação e uma justificação completa ao país terceiro ou à organização internacional, cancelar tal decisão.
(104) De acordo com os valores fundamentais em que se baseia a União, em particular a protecção dos direitos humanos, a Comissão deverá, na sua avaliação do país terceiro ou de um território ou sector específico de um país terceiro, ter em conta conta como respeita o Estado de direito, o acesso à justiça, bem como as normas e padrões internacionais de direitos humanos e a sua legislação geral e setorial, incluindo a legislação de segurança pública, defesa e segurança nacional, bem como a ordem pública e o direito penal. A tomada de decisão sobre a adequação do nível de protecção para um território ou sector específico num país terceiro deverá ter em conta critérios claros e objectivos, tais como as actividades de tratamento específicas e o âmbito das normas jurídicas aplicáveis e da legislação em vigor no respectivo país terceiro. O país terceiro deverá oferecer garantias que assegurem um nível de proteção adequado, essencialmente equivalente ao fornecido na União, especialmente quando os dados pessoais são tratados num ou mais setores específicos. Em particular, o país terceiro deverá assegurar uma supervisão eficaz e independente da proteção de dados e fornecer mecanismos de cooperação com as autoridades de proteção de dados dos Estados-Membros, e os titulares dos dados deverão beneficiar de direitos efetivos e oponíveis e de vias de recurso eficazes, administrativa e judicialmente.
(105) Além dos compromissos internacionais assumidos pelo país terceiro ou pela organização internacional, a Comissão deverá ter em conta as obrigações decorrentes da participação do país terceiro ou da organização internacional em sistemas multilaterais ou regionais, em especial no que diz respeito à protecção de dados. com
caráter pessoal, bem como o cumprimento de tais obrigações. Em particular, deverá ser tida em conta a adesão do país terceiro à Convenção do Conselho da Europa, de 28 de janeiro de 1981, para a proteção das pessoas singulares contra o tratamento automatizado de dados pessoais e ao protocolo adicional. A Comissão deverá consultar o Comité ao avaliar o nível de proteção em países terceiros ou organizações internacionais.
(106) A Comissão deverá monitorizar a aplicação das decisões relativas ao nível de proteção num país terceiro ou num território ou num setor específico num país terceiro ou numa organização internacional e monitorizar a aplicação das decisões adotadas nos termos do artigo 25.º, n.º 6. ) ou do artigo 26.º, n.º 4, da Diretiva 95/46/CE. Nas suas decisões relativas à adequação do nível de proteção, a Comissão deverá prever um mecanismo de revisão periódica do seu funcionamento. Esta revisão periódica deverá ser realizada em consulta com o país terceiro ou organização internacional em causa e deverá ter em conta todos os desenvolvimentos relevantes no país terceiro ou organização internacional. Para efeitos de monitorização e realização de revisões periódicas, a Comissão deverá ter em conta os pareceres e conclusões do Parlamento Europeu e do Conselho, bem como de outros órgãos e fontes relevantes. A Comissão deverá avaliar, num prazo razoável, o funcionamento das decisões anteriores e comunicar todas as conclusões relevantes ao comité, na aceção do Regulamento (UE) n.º 182. 2011/1 do Parlamento Europeu e do Conselho (XNUMX), tal como estabelecido no presente regulamento, do Parlamento Europeu e do Conselho.
(1) Regulamento (UE) n.º Decreto-Lei n.º 182/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os princípios gerais relativos aos mecanismos de controlo pelos Estados-Membros do exercício dos poderes de execução pela Comissão (JO L 55 de 28.2.2011, p. 13). ).
(107) A Comissão pode reconhecer o facto de um país terceiro, um território ou um setor específico de um país terceiro ou de uma organização internacional já não garantir um nível adequado de proteção de dados. Consequentemente, a transferência de dados pessoais para o país terceiro ou organização internacional em causa deverá ser proibida, a menos que os requisitos estabelecidos no presente regulamento relativos às transferências sejam cumpridos sob garantias adequadas, incluindo regras corporativas obrigatórias e derrogações a situações específicas. Neste caso, deverão ser previstas consultas entre a Comissão e esses países terceiros ou organizações internacionais. A Comissão deverá, em tempo útil, informar o país terceiro ou a organização internacional sobre estas razões e iniciar consultas com ele para remediar a situação.
(108) Na ausência de uma decisão sobre a adequação do nível de protecção, o operador ou a pessoa por ele autorizada deverá tomar medidas para compensar a falta de protecção de dados num país terceiro através de garantias adequadas para os dados assunto. Essas salvaguardas adequadas podem consistir na utilização de regras corporativas obrigatórias, cláusulas-tipo de proteção de dados adotadas pela Comissão, cláusulas-tipo de proteção de dados adotadas por uma autoridade de controlo ou cláusulas contratuais autorizadas por uma autoridade de controlo. Essas garantias deverão assegurar o cumprimento dos requisitos de protecção de dados e dos direitos dos titulares dos dados correspondentes ao tratamento na União, incluindo a disponibilidade de direitos opostos dos titulares dos dados e vias de recurso eficazes, incluindo o direito de acesso a vias de recurso efectivas por via administrativa ou judicial e a direito de solicitar compensação, na União ou num país terceiro. Estas deverão referir-se, em particular, à observância dos princípios gerais relativos ao tratamento de dados pessoais: o princípio da protecção de dados desde o momento da concepção e o princípio da protecção implícita de dados. As transferências também podem ser realizadas por autoridades ou organismos públicos com autoridades ou organismos públicos de países terceiros ou com organizações internacionais com poderes e funções correspondentes, inclusive com base em disposições que prevejam direitos oponíveis e efetivos para as pessoas em causa, que devem ser introduzidas nos acordos administrativos, como um memorando de entendimento. A autorização da autoridade de supervisão competente deverá ser obtida quando forem oferecidas garantias ao abrigo de acordos administrativos não juridicamente vinculativos.
(109) A possibilidade de o operador ou a pessoa por ele autorizada utilizar cláusulas-tipo em matéria de protecção de dados, adoptadas pela Comissão ou por uma autoridade de controlo, não deverá impedir os operadores ou as pessoas por eles autorizadas de incluírem a norma cláusulas sobre o assunto
de proteção de dados num contrato mais amplo, como um contrato entre a pessoa autorizada pelo operador e outra pessoa autorizada pelo operador, nem acrescentar outras cláusulas ou garantias adicionais, desde que não contrariem, direta ou indiretamente, o contrato cláusulas normas adoptadas pela Comissão ou por uma autoridade de controlo ou não prejudique os direitos ou liberdades fundamentais das pessoas em causa. Os operadores e as pessoas por eles autorizadas deverão ser incentivados a oferecer garantias adicionais através de compromissos contratuais que complementem as cláusulas-tipo de proteção.
(110) Um grupo de empresas ou um grupo de empresas envolvidas numa actividade económica comum deverá poder utilizar as regras corporativas obrigatórias aprovadas para as suas transferências internacionais da União para organizações pertencentes ao mesmo grupo de empresas ou grupo de empresas envolvidas numa atividade económica comum, desde que essas regras corporativas incluam todos os princípios essenciais e direitos oponíveis, a fim de garantir salvaguardas adequadas para transferências ou categorias de transferências de dados pessoais.
(111) Deverá ser prevista a possibilidade de realizar transferências em determinadas circunstâncias, sempre que o titular dos dados tenha dado o seu consentimento explícito, sempre que a transferência seja ocasional e necessária no âmbito de um contrato ou de uma acção judicial, independentemente de se tratar do no âmbito de um processo judicial ou no âmbito de um procedimento administrativo ou extrajudicial, inclusive no âmbito dos procedimentos submetidos às entidades reguladoras. Além disso, deverá prever-se a possibilidade de realizar transferências se razões importantes de interesse público estabelecidas pelo direito da União ou pelo direito interno assim o exigirem, ou se a transferência for efectuada a partir de um registo estabelecido por lei e destinado a ser consultado pelo público ou por pessoas que tenham um interesse legítimo. Neste último caso, tal transferência não deverá envolver a totalidade dos dados pessoais ou todas as categorias de dados contidos no registo e, quando o registo se destinar a ser consultado por pessoas que tenham um interesse legítimo, a transferência deverá ser efectuada apenas a pedido das respetivas pessoas ou se estas forem os destinatários, tendo plenamente em conta os interesses e direitos fundamentais da pessoa em causa.
(112) Estas isenções deverão aplicar-se, em particular, às transferências de dados solicitadas e necessárias por razões importantes de interesse público, por exemplo no caso do intercâmbio internacional de dados entre autoridades da concorrência, administrações fiscais ou aduaneiras, entre autoridades de supervisão financeiras, entre as autoridades competentes serviços em termos de segurança social ou saúde pública, por exemplo no caso de detecção de pontos de contacto para doenças contagiosas ou para a redução e/ou eliminação da dopagem no desporto. Uma transferência de dados pessoais também deverá ser considerada lícita se for necessária para proteger um interesse que seja essencial para os interesses vitais do titular dos dados ou de outra pessoa, incluindo a integridade física ou a vida da mesma, caso a pessoa em causa não tem capacidade para dar o seu consentimento. Na ausência de uma decisão sobre a adequação do nível de proteção, o direito da União ou o direito interno podem, por razões importantes de interesse público, estabelecer expressamente limites à transferência de categorias específicas de dados para um país terceiro ou uma organização internacional. Os Estados-Membros deverão notificar a Comissão destas disposições. Qualquer transferência para uma organização humanitária internacional de dados pessoais de um titular de dados que seja física ou legalmente incapaz de dar consentimento, a fim de cumprir uma tarefa decorrente das Convenções de Genebra ou para cumprir o direito humanitário internacional aplicável em conflitos armados, pode ser considerada necessária por uma razão importante de interesse público ou porque é do interesse vital da pessoa em causa.
(113) As transferências que possam ser consideradas não repetitivas e que se refiram apenas a um número limitado de titulares de dados também poderão ser realizadas para atingir os interesses legítimos prosseguidos pelo operador, quando esses interesses não prevaleçam ou os direitos e liberdades do titular dos dados e quando o operador tiver avaliado todas as circunstâncias relacionadas com a transferência de dados. O operador deverá prestar especial atenção à natureza dos dados pessoais, à finalidade e à duração da operação ou operações de tratamento propostas, bem como à situação no país de origem, no país terceiro e no país de destino final, e deverá fornecer informações adequadas garantias para a proteção dos direitos e liberdades fundamentais das pessoas singulares naquilo que
relativamente ao tratamento dos seus dados pessoais. Essas transferências só deverão ser possíveis em casos residuais em que nenhuma das outras razões para a transferência possa ser aplicada. No que diz respeito aos fins de investigação científica ou histórica ou para fins estatísticos, deverão ser tidas em conta as expectativas legítimas da sociedade relativamente ao aumento do nível de conhecimento. O operador deve informar a autoridade de controlo e o titular dos dados sobre a transferência.
(114) Em qualquer caso, quando a Comissão não tiver tomado uma decisão sobre o nível adequado de protecção de dados num país terceiro, o operador ou a pessoa por ele autorizada deverá utilizar soluções que ofereçam aos titulares dos dados direitos oponíveis e efectivos em relação ao tratamento dos seus dados na União após a transferência desses dados, para que as pessoas em causa continuem a beneficiar dos direitos e garantias fundamentais.
(115) Alguns países terceiros adotaram leis, regulamentos e outros atos jurídicos cujo objetivo é regular diretamente as atividades de tratamento de dados de pessoas singulares e coletivas sob a jurisdição dos Estados-Membros. Isto pode incluir ordens judiciais ou decisões de autoridades administrativas de países terceiros que exijam que um operador ou uma pessoa autorizada pelo operador transfira ou divulgue dados pessoais e que não se baseie num acordo internacional, como um tratado de assistência jurídica mútua, em vigor entre o país terceiro requerente e a União ou um Estado-Membro. A aplicação extraterritorial destas leis, regulamentos e outros atos jurídicos pode violar o direito internacional e impedir a proteção das pessoas singulares garantida na União pelo presente regulamento. As transferências só deverão ser permitidas se estiverem preenchidas as condições estipuladas pelo presente regulamento para uma transferência para países terceiros. Este poderá ser o caso, nomeadamente, quando a divulgação for necessária por uma razão importante de interesse público reconhecida no direito da União ou no direito interno aplicável ao operador.
(116) O fluxo transfronteiriço de dados pessoais fora da União pode expor a um risco acrescido a capacidade das pessoas singulares exercerem os seus direitos de proteção de dados, em especial para garantir a sua proteção contra a utilização ou divulgação ilegal dessas informações. Ao mesmo tempo, as autoridades de supervisão podem descobrir que não são capazes de lidar com reclamações ou realizar investigações sobre as atividades realizadas fora das suas fronteiras. Os seus esforços para cooperar num contexto transfronteiriço também podem ser dificultados pela insuficiência de poderes preventivos ou correctivos, pelo carácter heterogéneo dos regimes jurídicos e pela existência de obstáculos práticos, tais como restrições de recursos. Por conseguinte, é necessário promover uma cooperação mais estreita entre as autoridades de controlo da proteção de dados, a fim de poderem trocar informações e realizar investigações em conjunto com os seus homólogos internacionais. A fim de desenvolver mecanismos de cooperação internacional para facilitar e prestar assistência internacional mútua para garantir a aplicação da legislação no domínio da protecção de dados pessoais, a Comissão e as autoridades de controlo deverão trocar informações e cooperar em actividades relacionadas com o exercício das suas competências com as autoridades competentes. autoridades de países terceiros, com base na reciprocidade e em conformidade com o presente regulamento.
(117) A criação nos Estados-Membros de autoridades de controlo, habilitadas a desempenhar as suas funções e a exercer os seus poderes com total independência, é um elemento essencial da proteção das pessoas singulares no que diz respeito ao tratamento dos seus dados pessoais. Os Estados-Membros deverão poder criar diversas autoridades de supervisão, de modo a refletir a sua estrutura constitucional, organizacional e administrativa.
(118) A independência das autoridades de supervisão não deverá significar que as autoridades de supervisão não possam estar sujeitas a mecanismos de controlo ou monitorização relativamente às suas despesas ou a um controlo jurisdicional.
(119) Se um Estado-Membro criar várias autoridades de supervisão, deverá estabelecer por lei mecanismos para assegurar a participação efetiva das respetivas autoridades de supervisão no mecanismo para garantir a coerência. O respetivo Estado-Membro deverá, em particular, designar a autoridade de supervisão que cumpra a função de ponto de contacto único para a participação efetiva dessas autoridades no mecanismo, a fim de assegurar uma cooperação rápida e harmoniosa com outras autoridades de supervisão, com o comissão e com a Comissão.
(120) Cada autoridade de supervisão deverá beneficiar dos recursos financeiros e humanos, das instalações e das infraestruturas necessárias ao desempenho eficaz das suas funções, incluindo as relacionadas com a assistência mútua e a cooperação com outras autoridades de supervisão em toda a União. Cada autoridade de supervisão deverá ter um orçamento público anual separado, que pode fazer parte do orçamento geral do Estado ou do orçamento nacional.
(121) As condições gerais aplicáveis ao membro ou membros da autoridade de controlo deverão ser estabelecidas por lei em cada Estado-Membro e deverão, em particular, prever que os respetivos membros sejam nomeados através de um procedimento transparente pelo parlamento, pelo governo ou pelo chefe de Estado do Estado-Membro com base numa proposta do governo, de um membro do governo, do parlamento ou de uma câmara do parlamento, ou de um órgão independente habilitado pela lei nacional. Para assegurar a independência da autoridade de supervisão, o seu membro ou membros devem agir com integridade, não praticar atos incompatíveis com as suas funções e, durante o mandato, não devem exercer atividades incompatíveis, remuneradas ou não. A autoridade de supervisão deverá ter pessoal próprio, escolhido pela autoridade de supervisão ou por um órgão independente criado ao abrigo da legislação nacional, que deverá estar subordinado exclusivamente ao membro ou membros da autoridade de supervisão.
(122) Cada autoridade de controlo deverá ter, no território do Estado-Membro a que pertence, a atribuição de exercer os poderes e cumprir as tarefas que lhe são atribuídas nos termos do presente regulamento.
Isto deverá incluir, em particular, o tratamento no contexto das atividades de uma sede do operador ou da pessoa autorizada pelo operador no território do seu próprio Estado-Membro, o tratamento de dados pessoais realizado por autoridades públicas ou organismos privados que atuem no interesse público, o tratamento que afete pessoas singulares titulares de dados do seu território ou o tratamento efetuado por um operador ou por uma pessoa autorizada pelo operador que não esteja sediada na União, se disser respeito a titulares de dados que tenham residência no seu território. Isto deverá incluir o tratamento das reclamações apresentadas por um titular de dados, a realização de investigações sobre a aplicação do presente regulamento e a promoção da informação pública sobre os riscos, regras, garantias e direitos no domínio do tratamento de dados pessoais.
(123) As autoridades de controlo deverão monitorizar a aplicação das disposições do presente regulamento e contribuir para a sua aplicação coerente em toda a União, a fim de garantir a proteção das pessoas singulares em termos do tratamento dos seus dados pessoais e de facilitar a livre circulação de dados pessoais no mercado interno. Neste sentido, as autoridades de supervisão deverão cooperar entre si, bem como com a Comissão, sem necessidade de qualquer acordo entre os Estados-Membros quanto à concessão de assistência mútua ou quanto à referida cooperação.
(124) Se o tratamento de dados pessoais ocorrer no âmbito das atividades de um escritório de um operador ou de uma pessoa autorizada pelo operador na União, e o operador ou a pessoa autorizada pelo operador tiver escritórios em vários Estados-Membros, ou no caso de em que o tratamento que ocorre no contexto das atividades de um único escritório de um operador ou de uma pessoa autorizada pelo operador na União afeta ou é suscetível de afetar significativamente os titulares dos dados de vários Estados-Membros, a autoridade de controlo do principal o escritório do operador ou da pessoa autorizada pelo operador ou da sede exclusiva do operador ou da pessoa autorizada pelo operador deverá atuar como autoridade principal. Deverá cooperar com as outras autoridades interessadas, porque o operador ou a pessoa autorizada pelo operador tem um escritório no território do seu Estado-Membro, porque as pessoas em causa que têm residência no seu território são significativamente afetadas ou porque foram apresentadas uma reclamação. Além disso, se um titular de dados que não resida no respetivo Estado-Membro tiver apresentado uma reclamação, a autoridade de controlo à qual a reclamação foi apresentada também deverá ser uma autoridade de controlo competente. No âmbito da sua missão de emitir orientações sobre qualquer questão relacionada com a aplicação do presente regulamento, o Comité deverá poder emitir orientações sobre, em particular, os critérios a ter em conta para determinar se
o tratamento em questão afeta significativamente titulares de dados de vários Estados-Membros e no que diz respeito ao conteúdo de uma objeção relevante e motivada.
(125) A autoridade principal deverá ter o poder de adotar decisões vinculativas relativas às medidas de aplicação dos poderes que lhe são conferidos nos termos do presente regulamento. Na sua qualidade de autoridade principal, a autoridade de supervisão deverá envolver e coordenar estreitamente as atividades das autoridades de supervisão envolvidas no processo de tomada de decisão. Nos casos em que a decisão seja a rejeição parcial ou total da reclamação do interessado, tal decisão deverá ser adotada pela autoridade de controlo à qual a reclamação foi apresentada. (126) A decisão deverá ser acordada conjuntamente pela autoridade de controlo principal e pelas autoridades de controlo em causa e deverá dizer respeito ao escritório principal ou ao escritório único do operador ou à pessoa autorizada pelo operador e ser vinculativa para o operador e para a pessoa autorizada pelo operador. o operador. O operador ou a pessoa por ele autorizada deverá tomar as medidas necessárias para garantir o cumprimento do presente regulamento e a implementação da decisão notificada pela principal autoridade de controlo da sede do operador ou pela pessoa autorizada pelo operador no que diz respeito ao actividades de transformação na União.
(127) Cada autoridade de controlo que não atue como autoridade de controlo principal deverá ter competência para lidar com casos locais, sempre que o operador ou a pessoa por ele autorizada tenha escritórios em vários Estados-Membros, mas o objeto do respetivo tratamento diga respeito a apenas o tratamento realizado num único Estado-Membro e envolvendo apenas titulares de dados desse único Estado-Membro, por exemplo, se o objeto for o tratamento de dados pessoais de trabalhadores no contexto específico relacionado com a força de trabalho de um estado membro. Nesses casos, a autoridade de controlo deverá informar sem demora a autoridade de controlo principal sobre o assunto. Depois de ser informada, a autoridade de controlo principal deverá decidir se trata ela própria do caso ao abrigo da disposição relativa à cooperação entre a autoridade de controlo principal e outras autoridades de controlo interessadas (o "mecanismo de balcão único"), ou se a autoridade de controlo que a informou disso ela deveria lidar com o caso em nível local. Ao decidir se deve tratar o caso, a autoridade de controlo principal deverá ter em conta se existe um estabelecimento do operador ou da pessoa autorizada pelo operador no Estado-Membro da autoridade de controlo notificadora, a fim de garantir o cumprimento efectivo de um decisões relativas ao operador ou à pessoa autorizada pelo operador. Se a autoridade de controlo principal decidir tratar o caso, a autoridade de controlo que o informou deverá ter a oportunidade de apresentar um projecto de decisão, que a autoridade de controlo principal deverá ter em conta ao máximo a medida quando preparar o seu projecto de decisão dentro do respectivo mecanismo de balcão único.
(128) As regras relativas à autoridade de controlo principal e ao mecanismo de janela única não deverão aplicar-se se o tratamento for realizado por autoridades públicas ou organismos privados no interesse público. Nesses casos, a única autoridade de controlo competente para exercer os poderes que lhe são atribuídos nos termos do presente regulamento deverá ser a autoridade de controlo do Estado-Membro em que a autoridade pública ou organismo privado tem a sua sede.
(129) A fim de assegurar a coerência do acompanhamento e da aplicação do presente regulamento em toda a União, as autoridades de supervisão deverão ter as mesmas tarefas e poderes efetivos em cada Estado-Membro, incluindo poderes de investigação, poderes corretivos e sanções, bem como poderes de autorização poderes e aconselhamento, especialmente no caso de reclamações apresentadas por pessoas singulares, bem como, sem prejuízo das competências das autoridades de persecução penal com base na legislação interna, levar ao conhecimento das autoridades judiciárias os casos de violação do presente regulamento e envolver-se em processos judiciais. Estes poderes deverão também incluir o poder de impor uma limitação temporária ou definitiva, incluindo uma proibição, ao tratamento. Os Estados-Membros podem estabelecer outros deveres relacionados com a proteção de dados pessoais ao abrigo do presente regulamento. Os poderes das autoridades de supervisão deverão ser exercidos de acordo com as garantias processuais adequadas previstas no direito da União e no direito interno, de forma imparcial, equitativa e num prazo razoável. Em particular, cada medida deverá ser adequada, necessária e proporcionada, a fim de
assegurar o cumprimento do disposto no presente regulamento, tendo em conta as circunstâncias de cada caso individual, respeitar o direito de qualquer pessoa a ser ouvida antes de tomar qualquer medida individual que possa afetá-la e evitar custos desnecessários e inconvenientes excessivos para as pessoas interessadas. Os poderes de investigação relativos ao acesso às instalações deverão ser exercidos em conformidade com os requisitos específicos do direito processual nacional, tais como a obrigação de obter autorização judicial prévia. Cada medida juridicamente vinculativa tomada pela autoridade de controlo deve ser apresentada por escrito, ser clara e inequívoca, indicar a autoridade de controlo que emitiu a medida, a data de emissão da medida, ostentar a assinatura do chefe ou de um membro da autoridade de controlo autorizado por ele, para indicar as razões pelas quais a medida foi tomada e para se referir ao direito a um recurso efetivo. Isto não deverá excluir requisitos adicionais ao abrigo do direito processual nacional. A adoção de tais decisões juridicamente vinculativas implica que possa surgir um controlo jurisdicional no Estado-Membro da autoridade de controlo que adotou a decisão.
(130) Se a autoridade de controlo à qual a reclamação foi apresentada não for a principal autoridade de controlo, a principal autoridade de controlo deverá cooperar estreitamente com a autoridade de controlo à qual a reclamação foi apresentada, em conformidade com as disposições sobre cooperação e coerência previstas no presente regulamento. Nesses casos, a autoridade de controlo principal deverá, ao tomar medidas destinadas a produzir efeitos jurídicos, incluindo a aplicação de multas administrativas, ter em conta, tanto quanto possível, o parecer da autoridade de controlo à qual a reclamação foi apresentada e que deverá manter a sua competência para realizar qualquer investigação no território do seu próprio Estado-Membro, em colaboração com a principal autoridade de controlo.
(131) Nos casos em que outra autoridade de controlo deva atuar como principal autoridade de controlo das atividades de tratamento do operador ou da pessoa autorizada pelo operador, mas o objeto concreto de uma reclamação ou a possível violação diz respeito apenas às atividades de tratamento do operador ou a pessoa autorizada pelo operador no Estado-Membro onde a reclamação foi apresentada ou a possível violação foi detectada, e o assunto não afecta substancialmente ou não é susceptível de afectar substancialmente as pessoas interessadas de outros Estados-Membros, a autoridade de controlo que recebeu uma reclamação ou detetado ou de outra forma informado sobre situações de possíveis violações do presente regulamento deverá tentar encontrar uma solução amigável com o operador e, caso tal não seja possível, exercer todos os poderes. Isto deverá incluir atividades de tratamento específicas realizadas no território do Estado-Membro da autoridade de controlo ou no que diz respeito a titulares de dados do território desse Estado-Membro, atividades de tratamento que ocorram no contexto de uma oferta de bens ou serviços especificamente destinados para pessoas visadas no território do Estado-Membro da autoridade de controlo ou atividades de tratamento que devem ser avaliadas tendo em conta as obrigações legais relevantes ao abrigo do direito interno.
(132) As atividades de sensibilização organizadas para o público pelas autoridades de supervisão deverão incluir medidas específicas dirigidas aos operadores e às pessoas autorizadas pelos operadores, incluindo micro, pequenas e médias empresas, bem como às pessoas singulares, em especial no contexto educativo.
(133) As autoridades de supervisão deverão prestar-se assistência mútua no cumprimento das suas funções, a fim de garantir a coerência da aplicação do presente regulamento no mercado interno. Uma autoridade supervisora que solicite assistência mútua poderá adotar uma medida provisória se não receber uma resposta a um pedido de assistência mútua no prazo de um mês após o recebimento do pedido pela outra autoridade supervisora.
(134) Cada autoridade de supervisão deverá participar, conforme adequado, em operações conjuntas entre autoridades de supervisão. A autoridade de controlo à qual o pedido foi dirigido deverá ter a obrigação de responder ao pedido dentro de um determinado prazo.
(135) A fim de assegurar a aplicação coerente do presente regulamento em toda a União, deverá ser criado um mecanismo para garantir a coerência no âmbito do qual as autoridades de supervisão
cooperar. Este mecanismo deverá aplicar-se, em particular, se uma autoridade de controlo pretender adotar uma medida destinada a produzir efeitos jurídicos no que diz respeito a operações de tratamento que afetem substancialmente um número significativo de titulares de dados de mais de um Estado-Membro. O mecanismo deverá também aplicar-se se uma autoridade de supervisão em causa ou a Comissão solicitar que o respetivo aspecto seja tratado no âmbito do mecanismo de coerência. Este mecanismo não deverá afetar as medidas que a Comissão pode adotar no exercício dos seus poderes ao abrigo dos tratados.
(136) Ao aplicar o mecanismo para garantir a coerência, o comité deverá, dentro de um determinado prazo, emitir um parecer se a maioria dos seus membros assim o decidir ou se qualquer autoridade de controlo em causa ou a Comissão o solicitarem. O comité deverá também ter poderes para adotar decisões juridicamente vinculativas em caso de litígio entre autoridades de supervisão. Para o efeito, deverá emitir, em princípio, por maioria de dois terços dos seus membros, decisões juridicamente vinculativas, em casos bem definidos, caso existam opiniões divergentes entre as autoridades de supervisão, especialmente no âmbito do mecanismo de cooperação entre a principal autoridade de controlo e as autoridades de controlo interessadas sobre o mérito do caso, em particular a existência ou não de violação do presente regulamento. (137) É possível que exista uma necessidade urgente de agir para garantir a proteção dos direitos e liberdades das pessoas em causa, especialmente se existir o perigo de o exercício de um direito de uma pessoa em causa ser consideravelmente prejudicado. Portanto, uma autoridade de supervisão deverá poder adotar medidas provisórias no seu território, devidamente justificadas, tendo um prazo de validade determinado que não deverá exceder três meses.
(138) A aplicação de tal mecanismo deverá constituir uma condição para a legalidade de uma medida destinada a produzir efeitos jurídicos, tomada por uma autoridade de controlo, nos casos em que a sua aplicação seja obrigatória. Noutros casos com relevância transfronteiriça, o mecanismo de cooperação entre a principal autoridade de supervisão e as autoridades de supervisão visadas deverá ser implementado, e as autoridades de supervisão visadas poderão prestar assistência mútua e conduzir operações conjuntas numa base bilateral ou multilateral, sem necessidade de assistência mútua. acionar o mecanismo para garantir a coerência.
(139) A fim de promover a aplicação coerente do presente regulamento, o comité deverá ser criado como um órgão independente da União. Para cumprir os seus objectivos, o comité deverá ter personalidade jurídica. A comissão deverá ser representada pelo seu presidente. Deverá substituir o Grupo de Trabalho para a protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais, criado pela Directiva 95/46/CE. Deve ser composto pelos chefes das autoridades de controlo de cada Estado-Membro e pela Autoridade Europeia para a Proteção de Dados ou pelos seus representantes. A Comissão deverá participar nas atividades do comité sem direito de voto e a Autoridade Europeia para a Proteção de Dados deverá ter direitos de voto especiais. O Comité deverá contribuir para a aplicação coerente do presente regulamento em toda a União, nomeadamente prestando aconselhamento à Comissão, especialmente no que diz respeito ao nível de proteção em países terceiros e nas organizações internacionais, e promovendo a cooperação das autoridades de supervisão em toda a União. A comissão deverá agir de forma independente no desempenho das suas funções. (140) O comité deverá ser assistido por um secretariado assegurado pela Autoridade Europeia para a Proteção de Dados. O pessoal da Autoridade Europeia para a Proteção de Dados envolvido no desempenho das tarefas atribuídas ao comité ao abrigo do presente regulamento deverá desempenhar as suas funções exclusivamente de acordo com as instruções do presidente do comité e reportar-lhe perante ele.
(141) Qualquer titular de dados deverá ter o direito de apresentar uma reclamação a uma única autoridade de controlo, em especial no Estado-Membro onde tem a sua residência habitual, bem como o direito a um recurso efetivo, em conformidade com o artigo 47.º da Carta, se o titular dos dados considerar que os seus direitos ao abrigo do presente regulamento são violados ou se a autoridade de controlo não reagir a uma reclamação, rejeitar ou recusar uma reclamação, no todo ou em parte, ou não agir quando tal ação for necessária para garantir a proteção de os direitos da pessoa em causa. A investigação após uma denúncia deverá ser realizada, sob controle judicial, na medida do necessário, dependendo do caso. A autoridade de supervisão deverá informar
ao interessado sobre a evolução e resolução da reclamação num prazo razoável. Caso o caso exija uma investigação mais aprofundada ou coordenação com outra autoridade de controlo, deverão ser fornecidas informações intermédias ao titular dos dados. Para facilitar a apresentação de reclamações, cada autoridade de controlo deverá tomar medidas como a disponibilização de um formulário de apresentação de reclamações, que também poderá ser preenchido em formato eletrónico, sem excluir outros meios de comunicação.
(142) Se o titular dos dados considerar que os seus direitos ao abrigo do presente regulamento são violados, deverá ter o direito de mandatar um organismo, organização ou associação sem fins lucrativos, criado em conformidade com a legislação interna, cujos (cujos) objectivos estatutários sejam interesse público e que exerça a sua atividade no domínio da garantia da proteção de dados pessoais, de apresentar reclamação em seu nome a uma autoridade de controlo, de exercer o direito de recurso em seu nome junto dos interessados ou, em no caso previsto no direito interno, exercer o direito de receber uma indemnização em nome das pessoas em causa. Um Estado-Membro pode estabelecer que esse organismo, organização ou associação tenha o direito de apresentar uma reclamação nesse Estado-Membro, independentemente do mandato conferido pelo titular dos dados, e tenha direito a um recurso efetivo se tiver motivos para considerar que os direitos de um titular de dados foram violados como resultado de um processamento de dados pessoais que viola este regulamento. O órgão, organização ou associação em causa não pode reclamar indemnização em nome de um titular de dados, independentemente do mandato conferido pelo titular dos dados. (143) Qualquer pessoa singular ou coletiva tem o direito de interpor um recurso de anulação das decisões do comité junto do Tribunal de Justiça, nas condições previstas no artigo 263.º do TFUE. Enquanto destinatárias destas decisões, as autoridades de controlo em causa que pretendam impugná-las devem interpor recurso das respetivas decisões no prazo de dois meses a contar da data da sua notificação, nos termos do artigo 263.º do TFUE. Caso as decisões da comissão visem direta e individualmente um operador, pessoa autorizada pelo operador ou o reclamante, este pode interpor recurso de anulação das respetivas decisões no prazo de dois meses a contar da sua publicação no sítio da comissão, nos termos do artigo 263.º do o TFUE. Sem prejuízo deste direito conferido pelo artigo 263.º do TFUE, qualquer pessoa singular ou coletiva deverá ter direito a um recurso judicial efetivo perante o tribunal nacional competente contra uma decisão de uma autoridade de controlo que produza efeitos jurídicos sobre essa pessoa. Tal decisão refere-se, nomeadamente, ao exercício de poderes de investigação, corretivos e de autorização por parte da autoridade de controlo ou à recusa ou rejeição de reclamações. No entanto, o direito a um recurso judicial efetivo não inclui medidas das autoridades de supervisão que não sejam juridicamente vinculativas, tais como pareceres emitidos pela autoridade de supervisão ou conselhos por ela prestados. As ações contra uma autoridade de controlo deverão ser intentadas nos tribunais do Estado-Membro em que a autoridade de controlo está estabelecida e deverão ser conduzidas em conformidade com o direito processual desse Estado-Membro. Esses tribunais devem exercer sua jurisdição judicial plena, que deve incluir o poder de examinar todas as questões de fato ou de direito relevantes para a disputa em análise.
Se uma reclamação tiver sido rejeitada ou recusada por uma autoridade de controlo, o reclamante pode intentar uma ação nos tribunais do mesmo Estado-Membro. No âmbito dos recursos judiciais relativos à aplicação do presente regulamento, os tribunais nacionais que considerem necessária uma decisão sobre a matéria em causa para lhes permitir tomar uma decisão podem ou, no caso previsto no artigo 267.º do TFUE, devem solicitar que o Tribunal de Justiça emita uma decisão preliminar sobre a interpretação do direito da União, incluindo o presente regulamento. Além disso, se uma decisão de uma autoridade de controlo que executa uma decisão do comité for contestada perante um tribunal nacional e a validade da decisão do comité estiver em causa, esse tribunal nacional não tem o poder de declarar a decisão do comité nula e sem efeito, mas deve submeter a questão da validade ao Tribunal de Justiça, em conformidade com o artigo 267.º do TFUE, tal como interpretado pelo Tribunal de Justiça, sempre que o tribunal nacional considere a decisão nula e sem efeito. Contudo, um tribunal nacional não pode submeter uma questão relativa à validade da decisão da comissão a pedido de uma pessoa
pessoas singulares ou coletivas que tiveram a oportunidade de interpor recurso de anulação dessa decisão, especialmente se esta fosse direta e individualmente afetada pela decisão em causa, mas não o fizeram no prazo previsto no artigo 263.o do TFUE.
(144) Quando um tribunal a quem foi instaurado um processo contra uma decisão de uma autoridade de controlo tiver motivos para acreditar que foi instaurado um processo perante um tribunal competente noutro Estado-Membro relativamente ao mesmo tratamento, como o mesmo objecto de tratamento, pelo mesmo operador ou a mesma pessoa autorizada pelo operador, ou pela mesma causa, o respectivo tribunal deverá contactar o segundo tribunal para confirmar a existência de tais procedimentos relacionados. Se estes processos relacionados estiverem pendentes num tribunal de outro Estado-Membro, qualquer tribunal, exceto aquele originalmente referido, pode suspender o seu processo ou, a pedido de uma das partes, declinar inicialmente a competência a favor do referido tribunal, desde que que este último tem competência para resolver os processos em causa e que a lei que lhe é aplicada lhe permite consolidar esses processos conexos. Os processos são considerados relacionados quando estão tão intimamente relacionados entre si que é oportuno implementá-los e julgá-los ao mesmo tempo, a fim de evitar o risco de pronunciar decisões inconciliáveis no caso de julgá-los separadamente.
(145) No que diz respeito às ações intentadas contra um operador ou uma pessoa autorizada pelo operador, o requerente deverá ter a possibilidade de intentar a ação perante os tribunais dos Estados-Membros onde o operador ou a pessoa autorizada pelo operador tenha sede ou em que a pessoa em causa tem a sua residência, a menos que o operador seja uma autoridade pública de um Estado-Membro que atue no exercício dos seus poderes públicos.
(146) O operador ou a pessoa por ele autorizada deverá pagar uma indemnização por quaisquer danos que uma pessoa possa sofrer em resultado de um tratamento que viole o presente regulamento. O operador ou a pessoa por ele autorizada deverá ficar isento de responsabilidade se provar que não é de forma alguma responsável pelos danos. O conceito de dano deve ser interpretado em sentido lato, na perspetiva da jurisprudência do Tribunal de Justiça, de uma forma que reflita plenamente os objetivos do presente regulamento. Esta disposição não afeta qualquer pedido de indemnização resultante da violação de outras regras do direito da União ou do direito interno. Um tratamento que viole o presente regulamento inclui também o tratamento que viole os atos delegados e de execução adotados em conformidade com o presente regulamento e a legislação nacional que especifica as regras do presente regulamento. As pessoas em causa deverão receber uma indemnização plena e efectiva pelos danos sofridos. Se os operadores ou as pessoas autorizadas pelos operadores estiverem envolvidos no mesmo tratamento, cada operador ou cada pessoa autorizada pelo operador deverá ser considerado responsável pela totalidade dos danos. No entanto, quando os procedimentos legais que lhes dizem respeito estiverem interligados, nos termos do direito interno, a indemnização pode ser distribuída de acordo com a responsabilidade de cada operador ou de cada pessoa por ele autorizada, desde que a indemnização integral e efectiva do interessado seja garantiu quem sofreu o dano. Qualquer operador ou pessoa autorizada pelo operador que tenha pago uma indemnização integral pode posteriormente intentar uma ação de regresso contra outros operadores ou pessoas autorizadas pelos operadores envolvidos no mesmo tratamento.
(147) Caso o presente regulamento contenha regras específicas relativas à competência judicial, especialmente no que diz respeito a recursos judiciais, incluindo ações de indemnização, contra um operador ou uma pessoa autorizada pelo operador, as regras gerais relativas à competência judicial, como as do Regulamento (UE ) não. 1215/2012 do Parlamento Europeu e do Conselho (1) não deverá afetar a aplicação de tais regras específicas.
(1) Regulamento (UE) n.º Regulamento n.º 1215/2012 do Parlamento Europeu e do Conselho, de 12 de dezembro de 2012, relativo à competência judicial, ao reconhecimento e à execução de decisões em matéria civil e comercial (JO L 351 de 20.12.2012, p. 1).
(148) A fim de reforçar o cumprimento da aplicação das regras previstas no presente regulamento, deverão ser impostas sanções, incluindo multas administrativas, por qualquer violação do presente regulamento, além ou em vez das medidas adequadas impostas pela autoridade de controlo ao abrigo este regulamento. No caso de uma infração menor ou no caso de a multa susceptível de ser aplicada
constitui um encargo desproporcional para uma pessoa singular, pode ser emitida uma advertência em vez de uma multa. No entanto, deverá ser dada a devida atenção à natureza, à gravidade e à duração da violação, à natureza intencional da violação, às medidas tomadas para mitigar os danos causados, ao grau de responsabilidade ou a quaisquer violações anteriores relevantes, à forma como a violação foi levado ao conhecimento da autoridade de controlo, o cumprimento das medidas adotadas contra o operador ou pessoa por ele autorizada, a adesão a um código de conduta e qualquer outro fator agravante ou atenuante. A imposição de sanções, incluindo multas administrativas, deverá estar sujeita a garantias processuais adequadas, em conformidade com os princípios gerais do direito da União e da Carta, incluindo uma proteção judicial efetiva e um julgamento justo.
(149) Os Estados-Membros deverão poder estabelecer regras relativas a sanções penais para violações do presente regulamento, incluindo para violações do direito interno adotado com base e dentro dos limites do presente regulamento. As respetivas sanções penais poderão também permitir a privação dos lucros obtidos com a violação deste regulamento. Contudo, a imposição de sanções penais por violações de tais regras de direito interno e de sanções administrativas não deverá conduzir à violação do princípio ne bis in idem, tal como interpretado pelo Tribunal de Justiça.
(150) A fim de consolidar e harmonizar as sanções administrativas em caso de violação do presente regulamento, cada autoridade de controlo deverá ter poderes para impor multas administrativas. Este regulamento deverá indicar as infrações, o limite máximo e os critérios para fixação das respectivas multas administrativas, que deverão ser estabelecidos pela autoridade de fiscalização competente em cada caso individual, tendo em conta todas as circunstâncias relevantes da situação específica, tendo em conta a devida consideração, em especial, a natureza, a gravidade e a duração da violação, bem como as suas consequências e as medidas tomadas para garantir o cumprimento das obrigações decorrentes do presente regulamento e para prevenir ou mitigar as consequências da violação. Caso sejam impostas coimas administrativas a uma empresa, esta deverá ser entendida como uma empresa nos termos dos artigos 101.º e 102.º do TFUE para estes efeitos. Se forem impostas multas administrativas a pessoas que não sejam empresas, a autoridade de supervisão deverá ter em conta o nível geral de rendimentos do respetivo Estado-Membro, bem como a situação económica da pessoa, ao estimar o montante adequado da multa. O mecanismo de consistência também pode ser utilizado para promover a aplicação consistente de multas administrativas. A competência para determinar se e em que medida as autoridades públicas devem ser sujeitas a multas administrativas deverá caber aos Estados-Membros. A aplicação de multa administrativa ou o envio de advertência não prejudica a aplicação de outras competências das autoridades de controlo ou de outras sanções previstas no presente regulamento. (151) Os sistemas jurídicos da Dinamarca e da Estónia não permitem multas administrativas conforme previsto no presente regulamento. As regras relativas às multas administrativas podem ser aplicadas de modo que, na Dinamarca, a multa seja imposta pelos tribunais nacionais competentes como uma sanção penal, e na Estónia a multa seja imposta pela autoridade de controlo num procedimento extracontratual, desde que tal aplicação do regras nos respetivos Estados-Membros tenham um efeito equivalente ao das multas administrativas impostas pelas autoridades de supervisão. Por conseguinte, os tribunais nacionais competentes deverão ter em conta a recomendação da autoridade de controlo que iniciou a multa. Em qualquer caso, as multas impostas deverão ser eficazes, proporcionadas e dissuasivas. (152) Caso o presente regulamento não harmonize as sanções administrativas ou noutros casos, sempre que necessário, por exemplo em caso de infrações graves ao presente regulamento, os Estados-Membros deverão implementar um sistema que preveja sanções eficazes, proporcionais e dissuasivas. A natureza dessas sanções, sejam elas penais ou administrativas, deve ser determinada pela legislação nacional.
(153) A legislação dos Estados-Membros deverá estabelecer um equilíbrio entre as regras que regem a liberdade de expressão e de informação, incluindo a expressão jornalística, académica, artística e/ou literária, e o direito à proteção dos dados pessoais ao abrigo do presente regulamento. O tratamento de dados pessoais exclusivamente para fins jornalísticos ou para efeitos de expressão académica, artística ou literária deverá estar sujeito a isenções ou exceções de
determinadas disposições do presente regulamento, caso seja necessário estabelecer um equilíbrio entre o direito à proteção dos dados pessoais e o direito à liberdade de expressão e informação, conforme previsto no artigo 11.º da Carta. Isto deverá aplicar-se especialmente ao tratamento de dados pessoais no domínio audiovisual, bem como em arquivos de notícias e bibliotecas de jornais. Por conseguinte, os Estados-Membros devem adoptar medidas legislativas que prevejam as excepções e derrogações necessárias, a fim de assegurar o equilíbrio entre estes direitos fundamentais. Os Estados-Membros deverão adoptar essas excepções e derrogações no que diz respeito aos princípios gerais, aos direitos dos titulares dos dados, ao operador e à pessoa por ele autorizada, à transferência de dados pessoais para países terceiros ou organizações internacionais, às autoridades de controlo independentes, à cooperação e à coerência , bem como relativamente a situações específicas de tratamento de dados. Se estas excepções ou isenções diferirem de um Estado-Membro para outro, deverá aplicar-se a lei do Estado-Membro sob o qual o operador se enquadra. Para ter em conta a importância do direito à liberdade de expressão em todas as sociedades democráticas, é necessário que as noções relacionadas com esta liberdade, como o jornalismo, sejam interpretadas num sentido amplo.
(154) O presente regulamento permite ter em conta o princípio do acesso público aos documentos oficiais na aplicação do presente regulamento. O acesso público a documentos oficiais pode ser considerado de interesse público. Os dados pessoais provenientes de documentos na posse de uma autoridade pública ou de um organismo público deverão poder ser divulgados por essa autoridade ou por esse organismo se o direito da União ou o direito interno ao qual a autoridade pública ou o organismo público se enquadra o previr. O direito da União e o direito nacional deverão assegurar um equilíbrio entre o acesso público aos documentos oficiais e a reutilização de informações do sector público, por um lado, e o direito à protecção dos dados pessoais, por outro, e poderão, por conseguinte, proporcionar as necessárias equilíbrio com o direito à protecção dos dados pessoais ao abrigo do presente regulamento. A referência às autoridades e organismos públicos deverá, neste contexto, incluir todas as autoridades ou outros organismos regulamentados pela legislação nacional em matéria de acesso público a documentos. A Diretiva 2003/98/CE do Parlamento Europeu e do Conselho (1) mantém intacto e não afeta de forma alguma o nível de proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais em conformidade com o direito da União e o direito interno e, em particular, não altera os direitos e obrigações previstos neste regulamento. Em particular, a directiva acima referida não se aplica a documentos cujo acesso seja excluído ou restringido ao abrigo de regimes de acesso por motivos relacionados com a protecção de dados pessoais, nem a partes de documentos acessíveis ao abrigo desses regimes que contenham dados pessoais cuja reutilização tenha sido estabelecida por lei como sendo incompatível com a lei relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais.
(1) Diretiva 2003/98/CE do Parlamento Europeu e do Conselho, de 17 de novembro de 2003, relativa à reutilização de informações do setor público (JO L 345 de 31.12.2003, p. 90).
(155) A legislação interna ou os acordos colectivos, incluindo os "acordos de trabalho", podem prever regras específicas para regular o tratamento de dados pessoais dos trabalhadores no contexto do emprego, especialmente as condições em que os dados pessoais no contexto do emprego num local de trabalho podem ser processado com base no consentimento do trabalhador, para efeitos de recrutamento, cumprimento dos termos do contrato de trabalho, incluindo o cumprimento de obrigações estabelecidas na lei ou em convenções colectivas, gestão, planear e organizar o trabalho, a igualdade e a diversidade no local de trabalho, garantindo a saúde e a segurança no local de trabalho, bem como para efeitos de exercício e usufruto, individual ou colectivo, dos direitos e benefícios relacionados com o emprego, bem como para efeitos de de cessação de relações laborais.
(156) O tratamento de dados pessoais para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos deverá estar sujeito a garantias adequadas dos direitos e liberdades da pessoa em causa ao abrigo do presente regulamento. As respetivas garantias deverão assegurar que foram estabelecidas as medidas técnicas e organizativas necessárias para garantir, em particular, o princípio da minimização dos dados. O tratamento posterior de dados pessoais para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos é efectuado quando o operador tiver avaliado a viabilidade do cumprimento
atingir estes objetivos através do tratamento de dados pessoais que não permitem ou já não permitem a identificação das pessoas em causa, desde que existam garantias adequadas (como a pseudonimização dos dados pessoais). Os Estados-Membros deverão fornecer garantias adequadas para o tratamento de dados pessoais para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos. Os Estados-Membros deverão ser autorizados a fornecer, em determinadas condições e sob reserva de garantias adequadas aos titulares dos dados, esclarecimentos e isenções relativamente aos pedidos de informação e ao direito à rectificação, ao direito ao apagamento, ao direito a ser esquecido, ao direito à restrição do tratamento , o direito à portabilidade dos dados, bem como o direito de oposição no caso de tratamento de dados pessoais para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos. As condições e garantias em causa poderão gerar procedimentos específicos para que os titulares dos dados exerçam os respetivos direitos, se tal for adequado no contexto das finalidades visadas pelo tratamento específico, bem como medidas técnicas e organizativas destinadas a minimizar o tratamento de dados pessoais. , de acordo com os princípios da proporcionalidade e da necessidade. O tratamento de dados pessoais para fins científicos deverá também cumprir outra legislação relevante, como a relativa aos ensaios clínicos.
(157) Ao combinar informações provenientes de registos, os investigadores podem obter novos conhecimentos valiosos sobre doenças generalizadas, como as doenças cardiovasculares, o cancro e a depressão. Com base nos registros, os resultados da pesquisa podem ser fortalecidos, pois são baseados em uma população maior. Nas ciências sociais, a investigação baseada em registos permite aos investigadores obter informações essenciais sobre a correlação a longo prazo de uma série de condições sociais, como o desemprego ou a educação, com outras condições de vida. Os resultados da investigação obtidos com base nos registos proporcionam conhecimentos sólidos e de elevada qualidade, que podem constituir a base para o desenvolvimento e implementação de políticas baseadas no conhecimento e que podem melhorar a qualidade de vida de um certo número de pessoas, a eficiência da gestão social serviços. A fim de facilitar a investigação científica, os dados pessoais podem ser tratados para fins de investigação científica, sujeitos às condições e garantias correspondentes estabelecidas no direito da União ou no direito interno.
(158) Se os dados pessoais forem tratados para fins de arquivo, o presente regulamento deverá também aplicar-se a esse tratamento, tendo em conta o facto de que o presente regulamento não deverá aplicar-se a pessoas falecidas. As autoridades públicas ou os organismos públicos ou privados que detenham registos de interesse público deverão, ao abrigo do direito da União ou do direito nacional, ter a obrigação legal de adquirir, conservar, avaliar, preparar, descrever, comunicar, promover, divulgar e garantir o acesso a registos de valor duradouro de interesse público geral. Os Estados-Membros deverão também poder prever o tratamento posterior de dados pessoais para fins de arquivo, por exemplo, para fornecer informações específicas sobre o comportamento político durante antigos regimes estatais totalitários, genocídios, crimes contra a humanidade, especialmente o holocausto, ou crimes de guerra.
(159) Se os dados pessoais forem tratados para fins de investigação científica, o presente regulamento deverá também aplicar-se a esse tratamento. Para efeitos do presente regulamento, o tratamento de dados pessoais para fins de investigação científica deverá ser interpretado num sentido lato, incluindo, por exemplo, atividades de desenvolvimento tecnológico e de demonstração, investigação fundamental, investigação aplicada e investigação financiada por fontes privadas. Além disso, deverá ser tido em conta o objetivo da União de criar um Espaço Europeu da Investigação, tal como mencionado no artigo 179.º, n.º 1, do TFUE. Os objetivos da investigação científica devem também incluir estudos realizados de interesse público no domínio da saúde pública. A fim de cumprir as características específicas do tratamento de dados pessoais para fins de investigação científica, deverão aplicar-se condições específicas, nomeadamente no que diz respeito à publicação ou divulgação de outra forma de dados pessoais no contexto dos fins de investigação científica. Se o resultado da investigação científica, especialmente no contexto da saúde, constituir motivo para medidas adicionais no interesse da pessoa em causa, as regras gerais do presente regulamento deverão ser aplicadas tendo estas medidas em mente.
(160) Se os dados pessoais forem tratados para fins de investigação histórica, o presente regulamento deverá também aplicar-se a esse tratamento. Isto deverá também incluir a investigação histórica e a investigação para fins genealógicos, tendo em conta que o presente regulamento não deverá aplicar-se a pessoas falecidas.
(161) A fim de conceder consentimento para participar em atividades de investigação científica no âmbito de ensaios clínicos, as disposições relevantes do Regulamento (UE) n.º. 536/2014 do Parlamento Europeu e do Conselho (1).
(1) Regulamento (UE) nº. Despacho n.º 536/2014 do Parlamento Europeu e do Conselho, de 16 de abril de 2014, relativo aos ensaios clínicos intervencionistas com medicamentos de uso humano e que revoga a Diretiva 2001/20/CE (JO L 158 de 27.5.2014, p. 1).
(162) Se os dados pessoais forem tratados para fins estatísticos, o presente regulamento deverá aplicar-se a esse tratamento. O direito da União ou o direito nacional deverão, dentro dos limites do presente regulamento, determinar o conteúdo estatístico, o controlo de acesso, as especificações para o tratamento de dados pessoais para fins estatísticos e as medidas adequadas para proteger os direitos e liberdades dos titulares dos dados e para garantir a confidencialidade. de dados estatísticos. Esses resultados estatísticos podem ser usados posteriormente para diversos fins, inclusive para fins de pesquisa científica. Por finalidades estatísticas entende-se qualquer operação de recolha e tratamento de dados pessoais necessária à realização de inquéritos estatísticos ou à produção de resultados estatísticos. Para efeitos estatísticos, pressupõem que o resultado do tratamento para fins estatísticos não constitui dados pessoais, mas sim dados agregados e que esse resultado ou dados pessoais não são utilizados para apoiar medidas ou decisões relativas a uma determinada pessoa singular.
(163) As informações confidenciais que as autoridades estatísticas a nível da União e a nível nacional recolhem para elaborar estatísticas oficiais europeias e nacionais deverão ser protegidas. As estatísticas europeias deverão ser concebidas, desenvolvidas e divulgadas de acordo com os princípios estatísticos estabelecidos no artigo 338.º, n.º 2, do TFUE, enquanto as estatísticas nacionais deverão também estar em conformidade com o direito interno. Regulamento (CE) nº. O Regulamento 223/2009 do Parlamento Europeu e do Conselho (2) fornece especificações adicionais relativas à confidencialidade dos dados estatísticos para as estatísticas europeias.
(2) Regulamento (CE) n.º 223/2009 do Parlamento Europeu e do Conselho, de 11 de março de 2009, relativo às estatísticas europeias e que revoga o Regulamento (CE, Euratom) n.º. 1101/2008 do Parlamento Europeu e do Conselho relativo à transmissão de dados estatísticos confidenciais ao Serviço de Estatística das Comunidades Europeias, do Regulamento (CE) n.º. Regulamento 322/97 do Conselho relativo às estatísticas comunitárias e Decisão 89/382/CEE, Euratom do Conselho que cria o Comité dos Programas Estatísticos das Comunidades Europeias (JO L 87 de 31.3.2009, p. 164).
(164) No que diz respeito aos poderes das autoridades de controlo para obter do operador ou da pessoa autorizada pelo operador o acesso aos dados pessoais e o acesso aos seus edifícios, os Estados-Membros podem adotar, através de legislação e dentro dos limites estabelecidos pelo presente regulamento, regras específicas para a proteção do sigilo profissional ou outras obrigações equivalentes, na medida em que tal seja necessário para assegurar um equilíbrio entre o direito à proteção dos dados pessoais e a obrigação de preservar o sigilo profissional. Isto não afeta as obrigações existentes dos Estados-Membros de adotarem regras relativas ao sigilo profissional nas situações exigidas pelo direito da União.
(165) O presente regulamento respeita e não afeta o estatuto de que gozam, com base no direito constitucional existente, as igrejas e associações ou comunidades religiosas nos Estados-Membros, tal como reconhecido no artigo 17.º do TFUE.
(166) A fim de cumprir os objetivos do presente regulamento, nomeadamente proteger os direitos e liberdades fundamentais das pessoas singulares e, em particular, o seu direito à proteção dos dados pessoais, e garantir a livre circulação de dados pessoais no território da União, o poder de adotar atos nos termos do artigo 290.º do TFUE deverá ser delegado na Comissão. Em particular, deverão ser adotados atos delegados no que diz respeito aos critérios e requisitos aplicáveis aos mecanismos de certificação, às informações a apresentar através de pictogramas normalizados e aos procedimentos para fornecer esses pictogramas. É particularmente importante que, dentro
nas suas atividades preparatórias, a Comissão organizará consultas adequadas, inclusive a nível de peritos. Ao preparar e redigir atos delegados, a Comissão deverá assegurar a transmissão simultânea, atempada e adequada dos documentos relevantes ao Parlamento Europeu e ao Conselho.
(167) A fim de assegurar condições uniformes para a aplicação do presente regulamento, a Comissão deverá ser investida de poderes de execução nas situações estabelecidas pelo presente regulamento. As respetivas competências deverão ser exercidas nos termos do Regulamento (UE) n.º. 182/2011. Neste contexto, a Comissão deverá considerar medidas específicas para as microempresas e para as pequenas e médias empresas.
(168) O procedimento de exame deverá ser utilizado para a adoção de atos de execução relativos a: cláusulas contratuais-tipo entre operadores e pessoas autorizadas pelos operadores, bem como entre pessoas autorizadas pelos operadores; códigos de conduta; normas técnicas e mecanismos de certificação; O nível adequado de proteção oferecido por um país terceiro, um território ou um determinado setor de processamento nesse país terceiro, ou por uma organização internacional; cláusulas padrão de proteção de dados; formatos e procedimentos para troca eletrônica de informações entre operadores, pessoas autorizadas pelos operadores e autoridades de supervisão para regras corporativas obrigatórias; assistência mútua; bem como as modalidades de troca eletrónica de informações entre as autoridades de supervisão, bem como entre as autoridades de supervisão e o comité.
(169) A Comissão deverá adotar atos de execução imediatamente aplicáveis sempre que os elementos de prova disponíveis demonstrem que um país terceiro, um território ou um determinado setor de transformação desse país terceiro, ou uma organização internacional, não garante um nível de proteção adequado, bem como para razões imperativas de urgência.
(170) Dado que o objectivo do presente regulamento, nomeadamente garantir um nível equivalente de protecção das pessoas singulares e a livre circulação de dados pessoais em toda a União, não pode ser satisfatoriamente alcançado pelos Estados-Membros, mas, tendo em conta o âmbito ou os efeitos da acção, pode ser melhor alcançado a nível da União, pode adoptar medidas em conformidade com o princípio da subsidiariedade, tal como definido no artigo 5.º do Tratado da União Europeia («Tratado UE»). De acordo com o princípio da proporcionalidade, definido no respetivo artigo, o presente regulamento não excede o necessário para atingir os objetivos declarados.
(171) A Diretiva 95/46/CE deverá ser revogada pelo presente regulamento. O tratamento em curso à data de aplicação do presente regulamento deverá ser colocado em conformidade com o presente regulamento no prazo de dois anos a contar da data de entrada em vigor do presente regulamento. Se o tratamento se basear no consentimento ao abrigo da Directiva 95/46/CE, não é necessário que o titular dos dados volte a dar o seu consentimento se a forma como o consentimento foi dado estiver de acordo com as condições deste regulamento, para que o O operador está autorizado a continuar esse tratamento após a data de aplicação do presente regulamento. As decisões adotadas pela Comissão e as autorizações das autoridades de supervisão emitidas com base na Diretiva 95/46/CE permanecem em vigor até serem alteradas, substituídas ou revogadas.
(172) A Autoridade Europeia para a Proteção de Dados foi consultada em conformidade com o artigo 28.º, n.º 2, do Regulamento (CE) n.º. 45/2001 e emitiu parecer em 7 de março de 2012 (1).
(1) JO C 192 de 30.6.2012, p. 7.
(173) O presente regulamento deverá aplicar-se a todos os aspectos relacionados com a protecção dos direitos e liberdades fundamentais relacionados com o tratamento de dados pessoais, que não estão sujeitos a obrigações específicas com o mesmo objectivo que o estabelecido na Directiva 2002/58/CE do Parlamento Europeu e do Conselho (2), incluindo as obrigações relativas ao operador e os direitos das pessoas singulares. A fim de clarificar a relação entre o presente regulamento e a Diretiva 2002/58/CE, esta diretiva deverá ser alterada em conformidade. Após a adopção do presente regulamento, a Directiva 2002/58/CE deverá ser revista, em especial para garantir a coerência com o presente regulamento,
(2) Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da confidencialidade no setor das comunicações públicas (Diretiva relativa à confidencialidade e às comunicações eletrónicas) (JO L 201, 31.7.2002, pág. 37).
ACEITE ESTES REGULAMENTOS:
--****-
CAPÍTULO I: Disposições gerais
Art. 1: Objeto e objetivos
(1) O presente regulamento estabelece as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais, bem como as regras relativas à livre circulação de dados pessoais.
(2) O presente regulamento garante a proteção dos direitos e liberdades fundamentais das pessoas singulares e, em particular, do seu direito à proteção dos dados pessoais.
(3) A livre circulação de dados pessoais na União não pode ser restringida ou proibida por motivos relacionados com a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais.
Art. 2: Escopo material
(1) O presente regulamento aplica-se ao tratamento de dados pessoais, realizado no todo ou em parte por meios automatizados, bem como ao tratamento por meios diferentes dos automatizados de dados pessoais que façam parte de um sistema de registo de dados ou que se destinem fazer parte de um sistema de registro de dados.
(2) Este regulamento não se aplica ao tratamento de dados pessoais:
a) no âmbito de uma atividade que não seja abrangida pelo direito da União;
b) pelos Estados-Membros no exercício de atividades abrangidas pelo Capítulo 2 do Título V do Tratado UE;
c) por pessoa singular em actividade exclusivamente pessoal ou doméstica;
d) pelas autoridades competentes para efeitos de prevenção, investigação, detecção ou repressão de crimes, ou aplicação de sanções penais, incluindo protecção contra ameaças à segurança pública e sua prevenção.
(3) Para o tratamento de dados pessoais pelas instituições, órgãos, organismos e agências da União, o Regulamento (CE) n.º. 45/2001. Regulamento (CE) nº. O Regulamento n.º 45/2001 e demais atos jurídicos da União aplicáveis a esse tratamento de dados pessoais são adaptados aos princípios e regras deste regulamento nos termos do artigo 98.º.
(4) O presente regulamento não afecta a aplicação da Directiva 2000/31/CE, em particular as regras relativas à responsabilidade dos prestadores de serviços intermediários, previstas nos artigos 12.º a 15.º da referida directiva.
Art. 3: Âmbito territorial
(1) O presente regulamento aplica-se ao tratamento de dados pessoais no âmbito das atividades de um escritório de um operador ou de uma pessoa autorizada pelo operador no território da União, independentemente de o tratamento ocorrer no território da União ou não. .
(2) O presente regulamento aplica-se ao tratamento de dados pessoais de titulares de dados localizados na União por um operador ou por uma pessoa autorizada pelo operador que não esteja estabelecida na União, quando as atividades de tratamento estiverem relacionadas com:
a) Oferecer bens ou serviços a essas pessoas em causa na União, independentemente de o pagamento ser ou não solicitado pela pessoa em causa; ou
b) monitorizar o seu comportamento caso este se manifeste na União.
(3) O presente regulamento aplica-se ao tratamento de dados pessoais por um operador que não esteja estabelecido na União, mas num local onde o direito interno é aplicado com base no direito internacional público.
Art. 4: Definições
Para efeitos do presente regulamento:
1.“dados pessoais” significa qualquer informação relativa a uma pessoa singular identificada ou identificável (“titular dos dados”); uma pessoa singular identificável é uma pessoa que pode ser
identificado, direta ou indiretamente, nomeadamente por referência a um elemento de identificação, como um nome, um número de identificação, dados de localização, um identificador online, ou a um ou mais elementos específicos, a sua própria identidade física, fisiológica, genética, psicológica, económico, cultural ou social; 2. “Tratamento” significa qualquer operação ou conjunto de operações realizadas sobre dados pessoais ou conjuntos de dados pessoais, com ou sem recurso a meios automatizados, tais como recolha, registo, organização, estruturação, armazenamento, adaptação ou modificação, extracção, consulta , utilização, divulgação por transmissão, difusão ou disponibilização de qualquer outra forma, alinhamento ou combinação, restrição, eliminação ou destruição 3. “restrição de tratamento” significa a marcação de dados pessoais armazenados com o objetivo de limitar o seu tratamento futuro;
4. "criação de perfil", qualquer forma de tratamento automático de dados pessoais que consiste na utilização de dados pessoais para avaliar determinados aspectos pessoais relativos a uma pessoa singular, em particular para analisar ou prever aspectos do desempenho no trabalho, situação económica , saúde, preferências pessoais, interesses, fiabilidade, comportamento, local onde se encontra a respetiva pessoa singular ou os seus movimentos;
5. «Pseudonimização», o tratamento de dados pessoais de tal forma que já não possam ser atribuídos a uma pessoa específica em causa sem utilizar informações adicionais, desde que essas informações adicionais sejam armazenadas separadamente e estejam sujeitas a determinadas medidas técnicas e organizacionais para assegurar que os respetivos dados pessoais não são cedidos a uma pessoa singular identificada ou identificável;
6. «Sistema de registo de dados», qualquer conjunto estruturado de dados pessoais acessíveis de acordo com critérios específicos, sejam eles centralizados, descentralizados ou distribuídos de acordo com critérios funcionais ou geográficos;
7. “Operador” significa a pessoa singular ou colectiva, autoridade pública, agência ou outro organismo que, isoladamente ou em conjunto com outros, estabelece as finalidades e os meios de tratamento de dados pessoais; quando as finalidades e os meios de tratamento forem estabelecidos pelo direito da União ou pelo direito interno, o operador ou os critérios específicos para a sua designação podem ser previstos no direito da União ou no direito interno;
8. «Pessoa autorizada pelo operador», a pessoa singular ou colectiva, autoridade pública, agência ou outro organismo que trata dados pessoais em nome do operador; 9. “Destinatário” significa a pessoa singular ou colectiva, autoridade pública, agência ou outro organismo a quem (a quem) os dados pessoais são divulgados, independentemente de se tratar de um terceiro ou não. No entanto, as autoridades públicas a quem os dados pessoais possam ser comunicados no âmbito de uma determinada investigação, em conformidade com o direito da União ou o direito interno, não são consideradas destinatárias; o tratamento destes dados pelas respetivas autoridades públicas obedece às regras de proteção de dados aplicáveis, de acordo com as finalidades do tratamento;
10. "Terceiro", uma pessoa singular ou colectiva, autoridade pública, agência ou organismo que não seja o titular dos dados, o operador, a pessoa autorizada pelo operador e as pessoas que, sob a autoridade directa do operador ou da pessoa autorizada pelo operador, estão autorizados a tratar dados pessoais;
11. Entende-se por “consentimento” do titular dos dados qualquer manifestação de vontade livre, específica, informada e inequívoca do titular dos dados, pela qual aceita, através de declaração ou ação inequívoca, que os dados pessoais que lhe digam respeito sejam objeto de tratamento. ; 12. «Violação de segurança de dados pessoais», uma violação de segurança que conduz, acidental ou ilegalmente, à destruição, perda, modificação ou divulgação não autorizada de dados pessoais transmitidos, armazenados ou tratados de outra forma, ou ao acesso não autorizado aos mesmos;
13. «Dados genéticos», os dados pessoais relativos às características genéticas herdadas ou adquiridas de uma pessoa singular, que fornecem informações únicas sobre a fisiologia ou a saúde da pessoa em causa e que resultam, nomeadamente, da análise de uma amostra de material biológico material coletado pela pessoa em questão;
14. «Dados biométricos», dados pessoais resultantes de técnicas de tratamento específicas relacionadas com as características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitem ou confirmam a identificação única dessa pessoa, tais como imagens faciais ou dados dactiloscópicos;
15. «Dados de saúde», dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de assistência médica, que divulguem informações sobre o seu estado de saúde;
16. «Sede» significa:
a) No caso de um operador com sede em pelo menos dois Estados-Membros, o local onde se situa a sua administração central na União, a menos que as decisões relativas às finalidades e aos meios de tratamento dos dados pessoais sejam tomadas numa outra sede da União operador na União, sede que tem competência para ordenar a execução destas decisões, sendo neste caso considerada sede principal a sede que tomou as respetivas decisões;
b) No caso de uma pessoa autorizada pelo operador com sede em pelo menos dois Estados-Membros, o local onde a sua administração central está localizada na União, ou, se a pessoa autorizada pelo operador não tiver uma administração central na União, na União, a sede da União da pessoa autorizada pelo operador onde ocorrem as principais atividades de tratamento, no contexto das atividades de um escritório da pessoa autorizada pelo operador, na medida em que esteja sujeito a restrições específicas obrigações decorrentes do presente regulamento;
17. "Representante", uma pessoa singular ou coletiva estabelecida na União, designada por escrito pelo operador ou pela pessoa autorizada pelo operador nos termos do artigo 27.º, que representa o operador ou a pessoa autorizada no que diz respeito às respetivas obrigações ao abrigo do presente regulamentos;
18. “Empresa”, a pessoa singular ou colectiva que exerce uma actividade económica, independentemente da sua forma jurídica, incluindo sociedades de pessoas ou associações que exerçam regularmente uma actividade económica;
19. «Grupo de empresas», uma empresa que exerce controlo e as empresas por ela controladas;
20. "regras corporativas obrigatórias" significam as políticas de proteção de dados pessoais que devem ser respeitadas por um operador ou pessoa autorizada pelo operador estabelecido no território de um estado membro, no que diz respeito a transferências ou conjuntos de transferências de dados com caráter pessoal para um operador ou pessoa autorizada pelo operador em um ou mais países terceiros dentro de um grupo de empresas ou de um grupo de empresas envolvidas numa atividade económica comum;
21. «Autoridade de supervisão», uma autoridade pública independente criada por um Estado-Membro nos termos do artigo 51.º;
22. «Autoridade de controlo visada», uma autoridade de controlo que é alvo do tratamento de dados pessoais porque:
a) O operador ou a pessoa por ele autorizada esteja estabelecido no território do Estado-Membro da respetiva autoridade de controlo;
(b) os titulares dos dados residentes no Estado-Membro onde está localizada a respetiva autoridade de controlo são significativamente afetados ou são suscetíveis de ser significativamente afetados pelo tratamento; ou
(c) tenha sido apresentada reclamação à respetiva autoridade de controlo;
23. «Tratamento transfronteiriço»:
a) O tratamento de dados pessoais que ocorre no contexto das atividades dos escritórios em vários Estados-Membros de um operador ou de uma pessoa autorizada pelo operador no território da União, se o operador ou a pessoa autorizada pelo operador o operador tem escritórios em pelo menos dois Estados-Membros; ou
(b) O tratamento de dados pessoais que ocorre no contexto das atividades de um único escritório de um operador ou de uma pessoa autorizada pelo operador no território da União, mas que afeta em
significativamente ou seja suscetível de afetar significativamente titulares de dados de pelo menos dois Estados-Membros;
24. "Objecção relevante e fundamentada" significa uma oposição a um projecto de decisão, a fim de estabelecer se existe uma violação do presente regulamento ou se as medidas previstas em relação ao operador ou à pessoa por ele autorizada cumprem o presente regulamento, o que demonstra claramente a importância dos riscos apresentados pelo projeto de decisão no que diz respeito aos direitos e liberdades fundamentais das pessoas em causa e, se for o caso, à livre circulação de dados pessoais na União;
25. «Serviços da sociedade da informação» significa um serviço tal como definido no artigo 1.º
parágrafo (1) letra (b) da Diretiva 2015/1535/CE do Parlamento Europeu e do Conselho (1);
(1) Diretiva (UE) 2015/1535 do Parlamento Europeu e do Conselho, de 9 de setembro de 2015, relativa ao procedimento de prestação de informações no domínio das regulamentações e regras técnicas relativas aos serviços da sociedade da informação (JO L 241 de 17.9.2015, p. .
(a partir de 23 de maio de 2018, Art. 4, ponto 25. do Capítulo I retificado pelo ponto 2. da Correção de 23 de maio de 2018)
26. "Organização internacional" significa uma organização e seus órgãos subordinados regulados pelo direito internacional público ou qualquer outro organismo estabelecido por um acordo celebrado entre dois ou mais países ou com base em tal acordo.
CAPÍTULO II: Princípios
Art. 5: Princípios relacionados ao processamento de dados pessoais
(1) Os dados pessoais são:
a) tratados de forma legal, leal e transparente para o titular dos dados (“legalidade, equidade e transparência”);
b) recolhidos para finalidades determinadas, explícitas e legítimas e não sejam posteriormente tratados de forma incompatível com essas finalidades; o tratamento posterior para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos não é considerado incompatível com as finalidades iniciais, nos termos do artigo 89.º, n.º 1 («limitações relacionadas com a finalidade»);
c) adequados, relevantes e limitados ao necessário em relação às finalidades para as quais são tratados (“minimização dos dados”);
d) exatos e, se necessário, atualizados; devem ser tomadas todas as medidas necessárias para garantir que os dados pessoais inexatos, tendo em conta as finalidades para que são tratados, sejam eliminados ou retificados sem demora (“exatidão”);
e) conservados de forma que permita a identificação das pessoas em causa por um período que não exceda o período necessário ao cumprimento das finalidades para as quais os dados são tratados; os dados pessoais podem ser conservados por períodos mais longos, na medida em que sejam tratados exclusivamente para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, nos termos do artigo 89.º, n.º 1, sujeitos à implementação das medidas técnicas e organizativas adequadas previstas no presente regulamento, a fim de garantir os direitos e liberdades do titular dos dados (“limitações relacionadas com o armazenamento”);
f) processados de forma a garantir a segurança adequada dos dados pessoais, incluindo a proteção contra processamento não autorizado ou ilegal e contra perda, destruição ou dano acidental, mediante a adoção de medidas técnicas ou organizacionais adequadas (“integridade e confidencialidade”).
(2) O operador é responsável pelo cumprimento do parágrafo (1) e pode demonstrar esse cumprimento ("responsabilidade").
Art. 6: Legalidade do processamento
(1) O processamento só é legal se e na medida em que pelo menos uma das seguintes condições se aplique:
a) o titular tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas;
b) o tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte ou para tomar medidas a pedido do titular dos dados antes da celebração de um contrato;
c) o tratamento for necessário para cumprir uma obrigação legal que incumbe ao operador;
d) o tratamento for necessário para proteger interesses vitais do titular dos dados ou de outra pessoa singular;
e) o tratamento for necessário ao cumprimento de uma tarefa que sirva o interesse público ou que resulte do exercício da autoridade pública de que o operador está investido;
f) o tratamento for necessário para efeitos dos interesses legítimos prosseguidos pelo operador ou por terceiro, salvo se prevalecerem os interesses ou direitos e liberdades fundamentais do titular dos dados, que exijam a protecção dos dados pessoais, especialmente quando o titular dos dados for uma criança.
A alínea f) do primeiro parágrafo não se aplica no caso de tratamento realizado por autoridades públicas no cumprimento das suas funções.
(2) Os Estados-Membros podem manter ou introduzir disposições mais específicas para adaptar a aplicação das regras do presente regulamento relativas ao processamento, a fim de cumprir as alíneas (c) e (e) do parágrafo (1), definindo requisitos específicos mais precisos relativos ao processamento e outras medidas para garantir o tratamento legal e leal, inclusive para outras situações específicas de tratamento, conforme previsto no capítulo IX.
(3) A base para o processamento referido no parágrafo (1) letras (c) e (e) deve ser fornecida em: a) Direito da União; ou
b) a legislação interna aplicável ao operador.
A finalidade do tratamento é estabelecida com base na respectiva base jurídica ou, no que se refere ao tratamento referido no parágrafo (1) letra (e), é necessário para o desempenho de uma tarefa realizada no interesse público ou dentro exercício de função pública atribuída ao operador. A respetiva base legal poderá conter disposições específicas relativas à adaptação da aplicação das regras deste regulamento, entre outras: as condições gerais que regulam a legalidade do tratamento pelo operador; os tipos de dados que são objeto de tratamento; as pessoas envolvidas; as entidades a quem os dados poderão ser divulgados e a finalidade para a qual os respetivos dados pessoais poderão ser divulgados; limitações de propósito; períodos de armazenamento; e operações e procedimentos de processamento, incluindo medidas para garantir um processamento legal e justo, como aqueles para outras situações específicas de processamento, conforme previsto no Capítulo IX. O direito da União ou o direito interno prossegue um objetivo de interesse público e é proporcional ao objetivo legítimo prosseguido.
(4) Se o tratamento para uma finalidade diferente daquela para a qual os dados pessoais foram recolhidos não se basear no consentimento do titular dos dados ou no direito da União ou no direito interno, o que constitui uma medida necessária e proporcionada numa sociedade democrática para para proteger os objetivos referidos no artigo 23.º, n.º 1, o operador, para determinar se o tratamento para outra finalidade é compatível com a finalidade para a qual os dados pessoais foram inicialmente recolhidos, tem em conta, entre outros:
a) qualquer ligação entre as finalidades para as quais os dados pessoais foram recolhidos e as finalidades do tratamento posterior pretendido;
b) o contexto em que os dados pessoais foram recolhidos, especialmente no que diz respeito à relação entre os titulares dos dados e o operador;
c) a natureza dos dados pessoais, especialmente no caso de tratamento de categorias especiais de dados pessoais, nos termos do artigo 9.º, ou no caso de tratamento de dados pessoais relativos a condenações penais e infrações, nos termos do artigo 10.º;
d) as possíveis consequências para os titulares dos dados do tratamento posterior esperado;
e) a existência de garantias adequadas, que podem incluir encriptação ou pseudonimização.
Art. 7: Condições relativas ao consentimento
(1) Se o tratamento se basear no consentimento, o operador deve ser capaz de demonstrar que o titular dos dados deu o seu consentimento para o tratamento dos seus dados pessoais.
(2) Se o consentimento do interessado for dado no contexto de uma declaração escrita que também se refira a outros aspectos, o pedido de consentimento deve ser apresentado de forma que o diferencie claramente dos demais aspectos, de forma compreensível e facilmente acessível, através de um
linguagem clara e simples. Qualquer parte dessa declaração que constitua uma violação deste regulamento não é obrigatória.
(3) A pessoa em causa tem o direito de retirar o seu consentimento a qualquer momento. A retirada do consentimento não afeta a legalidade do tratamento realizado com base no consentimento antes da sua retirada. Antes de dar o consentimento, o titular dos dados é informado sobre isso. Retirar o consentimento é tão simples quanto dá-lo.
(4) Ao avaliar se o consentimento é dado livremente, tem-se em conta, tanto quanto possível, o facto de, entre outras coisas, a execução de um contrato, incluindo a prestação de um serviço, estar condicionada ou não pelo consentimento relativo ao tratamento de dados pessoais que não sejam necessários à execução do presente contrato.
Art. 8: Condições aplicáveis ao consentimento das crianças em relação aos serviços da sociedade da informação
(1) Se o artigo 6.º, n.º 1, alínea a), for aplicável, no que diz respeito à prestação de serviços da sociedade da informação diretamente a uma criança, o tratamento dos dados pessoais de uma criança é legal se a criança tiver pelo menos 16 anos de idade. Se a criança tiver menos de 16 anos, o respetivo tratamento só é legal se e na medida em que o respetivo consentimento seja concedido ou autorizado pelo titular da responsabilidade parental sobre a criança.
Os Estados-Membros podem prever por lei uma idade inferior para estes efeitos, desde que a idade inferior não seja inferior a 13 anos.
(2) O operador envida todos os esforços razoáveis para verificar nesses casos se o titular da responsabilidade parental concedeu ou autorizou o consentimento, tendo em conta as tecnologias disponíveis.
(3) O parágrafo (1) não afeta o direito geral dos contratos aplicável nos Estados-Membros, tais como as regras relativas à validade, celebração ou efeitos de um contrato em relação a uma criança.
Art. 9: Tratamento de categorias especiais de dados pessoais
(1) O tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, a confissão religiosa ou convicções filosóficas ou a filiação sindical e o tratamento de dados genéticos, dados biométricos para identificação única de uma pessoa singular, dados relativos à saúde ou dados relativos a a vida sexual ou orientação sexual de uma pessoa física.
(2) O parágrafo (1) não se aplica nas seguintes situações:
a) o titular dos dados tiver dado o seu consentimento explícito para o tratamento desses dados pessoais para uma ou mais finalidades específicas, a menos que o direito da União ou o direito interno estipule que a proibição prevista no parágrafo (1) não pode ser levantada com o consentimento da pessoa em causa ;
b) o tratamento for necessário para efeitos de cumprimento de obrigações e exercício de direitos específicos do operador ou do titular dos dados no domínio do emprego e da segurança social e da proteção social, na medida em que tal seja autorizado pelo direito da União ou pelo direito interno ou um acordo coletivo de trabalho celebrado ao abrigo do direito interno que forneça garantias adequadas aos direitos e interesses fundamentais da pessoa em causa;
c) o tratamento for necessário para proteger interesses vitais do titular dos dados ou de outra pessoa singular, quando o titular dos dados estiver física ou legalmente impossibilitado de dar o seu consentimento;
d) o tratamento seja realizado no âmbito das suas atividades legítimas e com garantias adequadas por uma fundação, associação ou qualquer outra organização sem fins lucrativos com especificidades políticas, filosóficas, religiosas ou sindicais, desde que o seu tratamento se refira apenas aos seus membros ou a aos antigos membros do respetivo órgão ou a pessoas com quem este mantenha contactos permanentes no âmbito das suas finalidades e que os dados pessoais não sejam comunicados a terceiros sem o consentimento dos interessados; e) o tratamento se refere a dados pessoais que sejam publicamente divulgados pelo interessado;
f) o tratamento for necessário para a declaração, exercício ou defesa de um direito em tribunal ou sempre que os tribunais atuem no exercício da sua função jurisdicional;
g) o tratamento for necessário por razões de grande interesse público, com base no direito da União ou no direito interno, que seja proporcional ao objetivo prosseguido, respeite a essência do direito à proteção de dados e preveja medidas adequadas e específicas para proteger os direitos fundamentais e interesses do titular dos dados;
h) o tratamento for necessário para fins relacionados com a medicina preventiva ou do trabalho, a avaliação da capacidade de trabalho do trabalhador, o estabelecimento de um diagnóstico médico, a prestação de assistência médica ou social ou tratamento médico ou a gestão de sistemas e serviços de saúde ou de assistência social, baseada no direito da União ou no direito interno ou num contrato celebrado com um pessoal médico e sujeita ao cumprimento das condições e garantias previstas no n.º 3;
i) o tratamento for necessário por razões de interesse público no domínio da saúde pública, como a proteção contra ameaças transfronteiriças graves para a saúde ou a garantia de elevados padrões de qualidade e de segurança dos cuidados médicos e dos medicamentos ou dispositivos médicos, com base no direito da União ou do direito interno, que prevê medidas adequadas e específicas para proteger os direitos e liberdades da pessoa em causa, especialmente o sigilo profissional; ou j) o tratamento for necessário para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, nos termos do artigo 89.º, n.º 1, com base no direito da União ou no direito interno, que seja proporcional ao objetivo seguida, respeita a essência do direito à proteção de dados e prevê medidas adequadas e específicas para proteger os direitos e interesses fundamentais do titular dos dados.
(3) Os dados pessoais referidos no n.º 1 podem ser tratados para os fins referidos na alínea h) do n.º 2 se os respetivos dados forem tratados por profissional sujeito à obrigação de sigilo profissional ou sob a responsabilidade, ao abrigo do direito da União ou do direito interno ou ao abrigo das regras estabelecidas pelos organismos nacionais competentes ou por outra pessoa também sujeita a uma obrigação de confidencialidade ao abrigo do direito da União ou do direito interno ou ao abrigo das regras estabelecidas pelos organismos nacionais competentes.
(4) Os Estados-Membros podem manter ou introduzir condições adicionais, incluindo restrições, relativamente ao tratamento de dados genéticos, dados biométricos ou dados de saúde.
Art. 10: Tratamento de dados pessoais relacionados a condenações criminais e crimes
O tratamento de dados pessoais relativos a condenações e infrações penais ou a medidas de segurança conexas, nos termos do artigo 6.º, n.º 1, é realizado apenas sob o controlo de uma autoridade estatal ou quando o tratamento é autorizado pelo direito da União ou pelo direito nacional que prevê garantias adequadas dos direitos e liberdades das pessoas em causa. Qualquer registo abrangente de condenações penais é mantido apenas sob o controlo de uma autoridade estatal.
Art. 11: Processamento que não requer identificação
(1) Se as finalidades para as quais um operador trata dados pessoais não exigirem ou já não exigirem a identificação de um titular de dados pelo operador, o operador não tem a obrigação de manter, obter ou processar informações adicionais para identificar o titular dos dados com o único propósito de cumprir este regulamento.
(2) Se, nos casos mencionados no parágrafo (1) deste artigo, o operador puder demonstrar que não é capaz de identificar a pessoa em causa, o operador informa a pessoa em causa desse facto, se possível. Nestes casos, não se aplicam os artigos 15.º a 20.º, salvo se o titular dos dados, para exercer os direitos que lhe são conferidos pelos respetivos artigos, fornecer informações adicionais que permitam a sua identificação.
CAPÍTULO III: Direitos do titular dos dados
Seção 1: Transparência e modalidades
Art. 12: Transparência de informações, comunicações e formas de exercício dos direitos do titular dos dados
(1) O operador toma as medidas adequadas para fornecer ao titular dos dados quaisquer informações referidas nos artigos 13.º e 14.º e quaisquer comunicações baseadas nos artigos 15.º a 22.º e 34.º relacionadas com o tratamento, de forma concisa, transparente, compreensível e de fácil acesso, utilizando uma linguagem clara e simples, nomeadamente
para qualquer informação dirigida especificamente a uma criança. A informação é prestada por escrito ou por outros meios, incluindo, quando apropriado, em formato eletrónico. A pedido do titular dos dados, a informação pode ser prestada verbalmente, desde que a identidade do titular dos dados seja comprovada por outros meios.
(2) O operador facilita o exercício dos direitos do titular dos dados nos termos dos artigos 15 a 22. Nos casos referidos no n.º 11 do artigo 2.º, o operador não recusa atender ao pedido do titular dos dados para exercer os seus direitos nos termos dos artigos 15.º a 22.º, a menos que o operador demonstre que não consegue identificar o titular dos dados. .
(3) O operador fornece ao titular dos dados informações sobre as ações tomadas na sequência de um pedido baseado nos artigos 15.º a 22.º, sem demora injustificada e, em qualquer caso, o mais tardar um mês após a receção do pedido. Este prazo pode ser prorrogado por dois meses quando necessário, tendo em conta a complexidade e o número de pedidos. A operadora informa o interessado sobre tal prorrogação, no prazo de um mês após a recepção do pedido, apresentando as razões do atraso. Se o titular dos dados submeter um pedido em formato eletrónico, a informação é prestada em formato eletrónico sempre que possível, a menos que o titular dos dados solicite outro formato. (4) Se não tomar medidas relativamente ao pedido do interessado, o operador informa o interessado, sem demora e no prazo máximo de um mês a contar da recepção do pedido, sobre as razões pelas quais não toma medidas e sobre o possibilidade de apresentar reclamação a uma autoridade de controlo e de interpor recurso judicial.
(5) As informações fornecidas nos termos dos artigos 13.º e 14.º e qualquer comunicação e quaisquer medidas tomadas nos termos dos artigos 15.º a 22.º e 34.º são fornecidas gratuitamente. Se os pedidos de um titular de dados forem manifestamente infundados ou excessivos, nomeadamente devido ao seu carácter repetitivo, o operador pode:
a) cobrar uma taxa razoável, tendo em conta os custos administrativos para fornecer as informações ou comunicações ou para tomar as medidas solicitadas;
b) ou recusar-se a atender ao pedido.
Nestes casos, cabe ao operador provar o carácter manifestamente infundado ou excessivo do pedido.
(6) Sem prejuízo do artigo 11.º, se tiver dúvidas razoáveis sobre a identidade da pessoa singular que apresenta o pedido mencionado nos artigos 15.º a 21.º, o operador pode solicitar o fornecimento de informações adicionais necessárias para confirmar a identidade da pessoa em causa. (7) As informações a fornecer aos titulares dos dados nos termos dos artigos 13.º e 14.º podem ser fornecidas em combinação com ícones normalizados para fornecer, de forma facilmente visível, inteligível e claramente legível, uma visão geral significativa do tratamento pretendido. Se os ícones forem apresentados em formato eletrônico, eles deverão poder ser lidos automaticamente. (8) A comissão fica habilitada a adotar atos delegados nos termos do artigo 92.º, a fim de determinar as informações a apresentar pelos pictogramas e os procedimentos para fornecer pictogramas normalizados.
Seção 2: Informações e acesso a dados pessoais
Art. 13: Informações a serem fornecidas caso sejam coletados dados pessoais do titular dos dados.
(1) Se dele forem recolhidos dados pessoais relativos a um titular de dados, o operador, no momento da obtenção desses dados pessoais, fornece ao titular dos dados todas as seguintes informações:
a) a identidade e os dados de contacto do operador e, se for o caso, do seu representante;
b) os dados de contacto do responsável pela proteção de dados, conforme o caso;
c) as finalidades para as quais os dados pessoais são tratados, bem como a base legal do tratamento; d) se o tratamento for realizado nos termos do artigo 6.º, n.º 1, alínea f), os interesses legítimos prosseguidos pelo operador ou por um terceiro;
e) destinatários ou categorias de destinatários de dados pessoais;
f) se aplicável, a intenção do operador de transferir dados pessoais para um país terceiro ou uma organização internacional e a existência ou ausência de uma decisão da Comissão relativa à adequação
ou, no caso das transferências referidas nos artigos 46.º ou 47.º ou no n.º 49, segundo parágrafo, do artigo 1.º, uma referência às garantias adequadas ou apropriadas e aos meios de obtenção de uma cópia das mesmas, se tiverem sido colocadas em disposição.
(2) Além das informações mencionadas no parágrafo (1), quando os dados pessoais são obtidos, o operador fornece ao titular dos dados as seguintes informações adicionais necessárias para garantir um processamento justo e transparente:
a) o período durante o qual os dados pessoais serão armazenados ou, caso tal não seja possível, os critérios utilizados para estabelecer esse período;
b) a existência do direito de solicitar ao operador, relativamente aos dados pessoais relativos ao titular dos dados, o acesso aos mesmos, a sua retificação ou apagamento ou a restrição do tratamento ou o direito de oposição ao tratamento, bem como o direito de portabilidade de dados; c) quando o tratamento se basear no artigo 6.º, n.º 1, letra (a), ou no artigo 9.º, n.º 2, letra (a), a existência do direito de retirar o consentimento a qualquer momento, sem afetar a legalidade do tratamento realizado com base no consentimento antes da sua retirada;
d) o direito de apresentar uma reclamação perante uma autoridade de supervisão;
e) se o fornecimento de dados pessoais representa uma obrigação legal ou contratual ou uma obrigação necessária à celebração de um contrato, bem como se o titular dos dados é obrigado a fornecer esses dados pessoais e quais as possíveis consequências do incumprimento esta obrigação;
f) a existência de um processo automatizado de tomada de decisão incluindo a criação de perfis, a que se referem os números 22 e 1 do artigo 4.º, bem como, pelo menos nos respetivos casos, informações pertinentes sobre a lógica utilizada e sobre a importância e as consequências esperadas de tal tratamento para a pessoa em causa.
(3) Se o operador pretender tratar posteriormente os dados pessoais para uma finalidade diferente daquela para a qual foram recolhidos, o operador deve fornecer ao titular dos dados, antes desse tratamento posterior, informações relativas à respetiva finalidade secundária e quaisquer informações adicionais relevante, de acordo com o parágrafo (2).
(4) Os parágrafos (1), (2) e (3) não se aplicam se e na medida em que a pessoa em questão já possua as respectivas informações.
Art. 14: Informações a serem fornecidas caso os dados pessoais não tenham sido obtidos do titular dos dados.
(1) Se os dados pessoais não foram obtidos do titular dos dados, o operador fornece ao titular dos dados as seguintes informações:
a) a identidade e os dados de contacto do operador e, se for o caso, do seu representante;
b) os dados de contacto do responsável pela proteção de dados, conforme o caso;
c) as finalidades para as quais os dados pessoais são tratados, bem como a base legal do tratamento; d) as categorias de dados pessoais em causa;
e) destinatários ou categorias de destinatários de dados pessoais, conforme o caso;
f) se for caso disso, a intenção do operador de transferir dados pessoais para um destinatário de um país terceiro ou de uma organização internacional e a existência ou ausência de uma decisão da Comissão quanto à adequação ou, no caso das transferências referidas no no artigo 46.º ou 47.º ou no artigo 49.º, n.º 1, segundo parágrafo, uma referência às garantias adequadas ou apropriadas e aos meios de obtenção de uma cópia das mesmas, caso tenham sido disponibilizadas.
(2) Além das informações mencionadas no parágrafo (1), o operador fornece ao titular dos dados as seguintes informações necessárias para garantir um processamento justo e transparente em relação ao titular dos dados:
a) o período durante o qual os dados pessoais serão armazenados ou, caso tal não seja possível, os critérios utilizados para estabelecer esse período;
b) se o tratamento for realizado nos termos do artigo 6.º, n.º 1, alínea f), os interesses legítimos prosseguidos pelo operador ou por um terceiro;
c) a existência do direito de solicitar ao operador, relativamente aos dados pessoais relativos ao titular dos dados, o acesso aos mesmos, a sua rectificação ou apagamento ou a limitação do tratamento e o direito de oposição ao tratamento, bem como o direito de portabilidade de dados; d) quando o tratamento se basear no artigo 6.º, n.º 1, letra (a), ou no artigo 9.º, n.º 2, letra (a), a existência do direito de retirar o consentimento a qualquer momento, sem afetar a legalidade do tratamento realizado com base no consentimento antes da sua retirada;
e) o direito de apresentar uma reclamação perante uma autoridade de supervisão;
f) a origem dos dados pessoais e, se for o caso, se provêm de fontes publicamente disponíveis;
g) a existência de um processo automatizado de tomada de decisão incluindo a criação de perfis, a que se referem os números 22 e 1 do artigo 4.º, bem como, pelo menos nos respetivos casos, informações relevantes sobre a lógica utilizada e sobre a importância e as consequências esperadas de tal tratamento para a pessoa em causa.
(3) O operador fornece as informações mencionadas nos parágrafos (1) e (2):
a) num prazo razoável após a obtenção dos dados pessoais, mas não superior a um mês, tendo em conta as circunstâncias específicas em que os dados pessoais são tratados; b) se os dados pessoais se destinarem a ser utilizados para comunicação com o titular dos dados, o mais tardar no momento da primeira comunicação ao respetivo titular dos dados; ou
c) se se destinar a divulgar dados pessoais a outro destinatário, o mais tardar na data em que os mesmos sejam divulgados pela primeira vez.
(4) Se o operador pretender tratar posteriormente os dados pessoais para uma finalidade diferente daquela para a qual foram obtidos, o operador deve fornecer ao titular dos dados, antes desse tratamento posterior, informações relativas à respetiva finalidade secundária e quaisquer informações adicionais relevante, de acordo com o parágrafo (2).
(5) Os parágrafos (1) a (4) não se aplicam se e na medida em que:
a) o interessado já possui a informação;
b) o fornecimento desta informação se revele impossível ou envolva esforços desproporcionados, especialmente no caso de tratamento para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, observadas as condições e garantias previstas para no n.º 89 do artigo 1.º, ou na medida em que a obrigação referida no n.º 1 deste artigo seja susceptível de impossibilitar ou afectar gravemente a concretização dos objectivos do respectivo tratamento. Nesses casos, o operador toma medidas adequadas para proteger os direitos, as liberdades e os interesses legítimos do titular dos dados, incluindo a disponibilização de informações ao público;
c) a obtenção ou divulgação de dados esteja expressamente prevista no direito da União ou no direito interno a que o operador se enquadra e que preveja medidas adequadas para proteger os legítimos interesses do titular dos dados; ou
d) se os dados pessoais tiverem de permanecer confidenciais com base numa obrigação legal de sigilo profissional regulamentada pelo direito da União ou pelo direito interno, incluindo uma obrigação legal de manter sigilo.
Art. 15: Direito de acesso do titular dos dados
(1) O titular dos dados tem o direito de obter do operador a confirmação se estão ou não a ser tratados dados pessoais que lhe digam respeito e, em caso afirmativo, o acesso aos respetivos dados e às seguintes informações:
a) as finalidades do tratamento;
b) as categorias de dados pessoais em questão;
c) destinatários ou categorias de destinatários a quem foram ou serão divulgados dados pessoais, especialmente destinatários de países terceiros ou organizações internacionais;
d) sempre que possível, o período durante o qual se prevê que os dados pessoais sejam conservados ou, caso tal não seja possível, os critérios utilizados para estabelecer esse período; e) a existência do direito de solicitar ao operador a retificação ou o apagamento dos dados pessoais ou a restrição do tratamento dos dados pessoais relativos ao interessado ou o direito de oposição ao tratamento;
f) o direito de apresentar uma reclamação perante uma autoridade de supervisão;
g) se os dados pessoais não forem recolhidos junto do titular dos dados, qualquer informação disponível sobre a sua origem;
h) a existência de um processo automatizado de tomada de decisão incluindo a criação de perfis, a que se referem os números 22 e 1 do artigo 4.º, bem como, pelo menos nos respectivos casos, informação pertinente sobre a lógica utilizada e sobre a importância e as consequências esperadas de tal tratamento para a pessoa em causa.
(2) Se os dados pessoais forem transferidos para um país terceiro ou para uma organização internacional, o titular dos dados tem o direito de ser informado sobre as garantias adequadas nos termos do artigo 46.º relativamente à transferência.
(3) O operador fornece uma cópia dos dados pessoais que são objeto de tratamento. Para quaisquer outras cópias solicitadas pelo titular dos dados, o operador poderá cobrar uma taxa razoável, baseada nos custos administrativos. Se o titular dos dados submeter o pedido em formato eletrónico e a menos que o titular dos dados solicite outro formato, a informação é prestada num formato eletrónico atualmente utilizado.
(4) O direito de obter uma cópia referido no parágrafo (3) não afeta os direitos e liberdades de terceiros.
Seção 3: Retificação e Exclusão
Art. 16: O direito de retificação
O titular dos dados tem o direito de obter do operador, sem demora injustificada, a retificação dos dados pessoais inexatos que lhe digam respeito. Tendo em conta as finalidades para as quais os dados foram tratados, o titular dos dados tem o direito de obter o preenchimento dos dados pessoais que se encontrem incompletos, inclusive mediante apresentação de declaração adicional.
Arte. 17: Direito ao apagamento dos dados (“direito ao esquecimento”)
(1) O titular dos dados tem o direito de obter do operador o apagamento dos dados pessoais que lhe digam respeito, sem demora injustificada, e o operador tem a obrigação de apagar os dados pessoais sem demora injustificada se se aplicar um dos seguintes motivos: a ) os dados pessoais já não são necessários para cumprir as finalidades para as quais foram recolhidos ou tratados;
b) o titular dos dados retire o consentimento com base no qual o tratamento é realizado, nos termos do artigo 6.º, n.º 1, alínea a), ou do artigo 9.º, n.º 2, alínea a), e não exista outra base jurídica para o processamento;
c) o titular dos dados se opõe ao processamento nos termos do artigo 21, parágrafo (1) e não há razões legítimas para prevalecer em relação ao processamento ou o titular dos dados se opõe ao processamento nos termos do artigo 21, parágrafo (2);
d) os dados pessoais foram processados ilegalmente;
e) os dados pessoais devem ser apagados para cumprir uma obrigação legal que incumbe ao operador com base no direito da União ou no direito interno ao abrigo do qual o operador se encontra; f) os dados pessoais foram recolhidos no âmbito da prestação de serviços da sociedade da informação a que se refere o artigo 8.º, n.º 1.
(2) Se o operador tiver tornado públicos os dados pessoais e for obrigado, nos termos do parágrafo (1), a excluí-los, o operador, tendo em conta a tecnologia disponível e o custo de implementação, toma medidas razoáveis, incluindo medidas técnicas, para informar os operadores que tratam dados pessoais que o titular dos dados solicitou a eliminação por estes operadores de quaisquer links para os respetivos dados ou de quaisquer cópias ou reproduções desses dados pessoais.
(3) Os parágrafos (1) e (2) não se aplicam na medida em que o processamento seja necessário:
a) pelo exercício do direito à liberdade de expressão e informação;
b) para o cumprimento de uma obrigação legal que preveja o tratamento com base no direito da União ou no direito interno aplicável ao operador ou para o cumprimento de uma tarefa executada no interesse
publicamente ou no exercício de autoridade oficial de que o operador esteja investido;
c) por razões de interesse público no domínio da saúde pública, nos termos do artigo 9.º, n.º 2
letras (h) e (i) e com o Artigo 9 parágrafo (3);
d) para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, nos termos do artigo 89.º, parágrafo (1), na medida em que o direito mencionado no parágrafo (1) possa torná-lo impossível ou afetar seriamente a realização dos objetivos de processamento
respectivamente; ou
e) para apuração, exercício ou defesa de direito em juízo. (a partir de 23 de maio de 2018, Art. 17, parágrafo (3) do Capítulo III, Seção 3, alterado pelo ponto 3 da Emenda de 23 de maio
2018)
Art. 18: O direito de restringir o processamento
(1) O titular dos dados tem o direito de obter do operador a restrição do tratamento se se aplicar um dos seguintes casos:
a) o interessado conteste a veracidade dos dados, por um período que permita ao operador verificar a veracidade dos dados;
b) o tratamento for ilegal e o titular dos dados se opuser ao apagamento dos dados pessoais, solicitando antes a restrição da sua utilização;
c) o operador já não precisar dos dados pessoais para efeitos de tratamento, mas o titular dos dados os solicitar para apuração, exercício ou defesa de um direito em tribunal; ou
d) O titular dos dados se opôs ao tratamento nos termos do artigo 21.º, n.º 1, durante o período de tempo em que se verifica se os direitos legítimos do operador prevalecem sobre os do titular dos dados.
(2) Se o processamento tiver sido restringido nos termos do parágrafo (1), esses dados pessoais poderão, com exceção do armazenamento, ser processados apenas com o consentimento do titular dos dados ou para estabelecer, exercer ou defender um direito em tribunal ou para o protecção dos direitos de outra pessoa singular ou colectiva ou por razões de importante interesse público da União ou de um Estado-Membro.
(3) Um titular de dados que tenha obtido restrição de processamento nos termos do parágrafo (1) é informado pelo operador antes de levantar a restrição de processamento.
Art. 19: Obrigação de notificação sobre retificação ou exclusão de dados pessoais ou restrição de processamento
O operador comunica a cada destinatário a quem tenham sido divulgados dados pessoais qualquer retificação ou eliminação de dados pessoais ou restrição do tratamento efetuada nos termos do artigo 16.º, do artigo 17.º, n.º 1, e do artigo 18.º, salvo se tal se revelar impossível ou exigir medidas desproporcionadas. esforços. O operador informa o titular dos dados sobre os respetivos destinatários, caso o titular dos dados o solicite.
Art. 20: O direito à portabilidade dos dados
(1) O titular dos dados tem o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido ao operador num formato estruturado, de uso comum e de leitura automática e tem o direito de transmitir esses dados a outro operador, sem obstáculos do operador a quem foram fornecidos os dados pessoais, caso:
a) o processamento é baseado no consentimento nos termos do Artigo 6 parágrafo (1) letra (a) ou Artigo 9 parágrafo (2) letra (a) ou em um contrato nos termos do Artigo 6 parágrafo (1) letra (b); e b) o tratamento for realizado por meios automáticos.
(2) Ao exercer o direito à portabilidade de dados nos termos do parágrafo (1), o titular dos dados tem o direito de que os dados pessoais sejam transmitidos diretamente de um operador para outro, sempre que tal seja tecnicamente viável.
(3) O exercício do direito mencionado no parágrafo (1) deste artigo não afeta o artigo 17. Este direito não se aplica ao processamento necessário para cumprir uma tarefa realizada no interesse público ou no exercício de uma autoridade oficial com qual o operador está investido.
(4) O direito mencionado no parágrafo (1) não afeta os direitos e liberdades de terceiros.
Seção 4: O direito de oposição e o processo automatizado de tomada de decisão individual
Art. 21: O direito de oposição
(1) A qualquer momento, o titular dos dados tem o direito de se opor, por motivos relacionados com a situação particular em que se encontra, ao tratamento nos termos do artigo 6.º, n.º 1, alínea (e) ou (f), de dados pessoais. dados
pessoal que lhe diz respeito, incluindo a criação de perfis com base nessas disposições. O operador deixa de tratar dados pessoais, a menos que demonstre que tem razões legítimas e imperiosas que justificam o tratamento e que prevalecem sobre os interesses, direitos e liberdades do titular dos dados ou que a finalidade é estabelecer, exercer ou defender um direito em
exemplo.
(a data
23 de maio de 2018 Art. 21, par. (1) do capítulo III, secção 4 retificado pelo ponto 4. da retificação de 23 de maio de 2018)
(2) Quando o tratamento de dados pessoais se destinar a marketing direto, o titular dos dados tem o direito de se opor, a qualquer momento, ao tratamento dos dados pessoais que lhe digam respeito para esse fim, incluindo a criação de perfis, na medida em que esteja relacionado ao respectivo marketing direto.
(3) Se o titular dos dados se opuser ao tratamento para efeitos de marketing direto, os dados pessoais deixarão de ser tratados para este fim.
(4) O mais tardar no momento da primeira comunicação com o titular dos dados, o direito mencionado nos parágrafos (1) e (2) é explicitamente levado ao conhecimento do titular dos dados e é apresentado de forma clara e separada de qualquer outra informação .
(5) No contexto da utilização dos serviços da sociedade da informação e apesar da Directiva 2002/58/CE, o titular dos dados pode exercer o seu direito de oposição através de meios automáticos que utilizem especificações técnicas.
(6) Se os dados pessoais forem tratados para fins de investigação científica ou histórica ou para fins estatísticos nos termos do artigo 89.º, n.º 1, o titular dos dados, por motivos relacionados com a sua situação particular, tem o direito de se opor ao tratamento dos dados pessoais. que lhe digam respeito, a menos que o tratamento seja necessário para o desempenho de uma tarefa por razões de interesse público.
Art. 22: O processo automatizado de tomada de decisão individual, incluindo a criação de perfis
(1) O titular dos dados tem o direito de não ficar sujeito a uma decisão baseada exclusivamente no tratamento automatizado, incluindo a criação de perfis, que produza efeitos jurídicos que digam respeito ao titular dos dados ou que o afecte de forma semelhante de forma significativa.
(2) O parágrafo (1) não se aplica se a decisão:
a) for necessária para a celebração ou execução de um contrato entre o titular dos dados e um operador de dados;
b) seja autorizado pelo direito da União ou pelo direito interno aplicável ao operador e que também preveja medidas adequadas para proteger os direitos, liberdades e interesses legítimos da pessoa em causa; ou
c) se baseie no consentimento explícito da pessoa em causa.
(3) Nos casos referidos no parágrafo (2) letras (a) e (c), o operador de dados implementa medidas adequadas para proteger os direitos, liberdades e interesses legítimos do titular dos dados, pelo menos o seu direito de obter intervenção humana por parte do operador, expressar o seu ponto de vista e recorrer da decisão.
(4) As decisões referidas no n.º (2) não se baseiam nas categorias especiais de dados pessoais referidas no artigo 9.º, n.º 1, a menos que se aplique o artigo 9.º, n.º 2, alínea (a) ou (g)) e em que foram instituídas medidas adequadas para proteger os direitos, liberdades e interesses legítimos do titular dos dados.
Seção 5: Restrições
Art. 23: Restrições
(1) O direito da União ou o direito interno aplicável ao operador de dados ou à pessoa autorizada pelo operador pode restringir através de uma medida legislativa o âmbito das obrigações e direitos previstos nos artigos 12.º a 22.º e 34.º, bem como no artigo 5.º na medida em que as suas disposições correspondam aos direitos e obrigações previstos nos artigos 12.º a 22.º, quando tal
A restrição respeita a essência dos direitos e liberdades fundamentais e é uma medida necessária e proporcionada numa sociedade democrática, para garantir:
a) segurança nacional;
b) defesa;
c) segurança pública;
d) a prevenção, investigação, detecção ou repressão criminal de crimes ou a execução de sanções penais, incluindo a protecção contra ameaças à segurança pública e sua prevenção; e) outros objectivos importantes de interesse público geral da União ou de um Estado-Membro, em particular um importante interesse económico ou financeiro da União ou de um Estado-Membro, incluindo nos domínios monetário, orçamental e fiscal e no domínio da actividade pública saúde e segurança social;
f) proteger a independência judicial e os processos judiciais;
g) prevenção, investigação, detecção e repressão de violações éticas no caso de profissões regulamentadas;
h) a função de fiscalização, fiscalização ou regulação relacionada, ainda que pontualmente, ao exercício de autoridade pública nos casos mencionados nas letras (a)-(e) e (g);
i) proteção da pessoa em causa ou dos direitos e liberdades de terceiros; (j) execução de ações de direito civil.
(2) Em particular, qualquer medida legislativa referida no parágrafo (1) contém disposições específicas, pelo menos, se aplicável, relativas:
a) as finalidades do tratamento ou categorias de tratamento;
b) categorias de dados pessoais;
c) o âmbito das restrições introduzidas;
d) garantias para evitar abusos ou acesso ou transferência ilegal;
e) menção do operador ou categorias de operadores;
f) prazos de armazenamento e garantias aplicáveis considerando a natureza, o alcance e as finalidades do tratamento ou das categorias de tratamento;
g) os riscos para os direitos e liberdades das pessoas em causa; e
h) o direito das pessoas em causa de serem informadas sobre a restrição, a menos que isso possa afetar a finalidade da restrição.
CAPÍTULO IV: Do operador e da pessoa autorizada pelo operador
Seção 1: Obrigações gerais
Art. 24: Responsabilidade do operador
(1) Tendo em conta a natureza, âmbito, contexto e finalidades do tratamento, bem como os riscos com diferentes graus de probabilidade e gravidade para os direitos e liberdades das pessoas singulares, o operador implementa medidas técnicas e organizacionais adequadas para garantir e ser para demonstrar que o processamento é realizado de acordo com este regulamento. As respetivas medidas são revistas e atualizadas se necessário.
(2) Quando forem proporcionais em relação às operações de tratamento, as medidas mencionadas no parágrafo (1) incluem a implementação pelo operador de políticas adequadas de proteção de dados. (3) A adesão a códigos de conduta aprovados, referidos no artigo 40.º, ou a um mecanismo de certificação aprovado, referido no artigo 42.º, pode ser utilizada como elemento para demonstrar o cumprimento das obrigações por parte do operador.
Art. 25: Garantir a proteção de dados desde o momento da concepção e por defeito (1) Considerando o estado atual da tecnologia, os custos de implementação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos com diferentes graus de probabilidade. e gravidade para os direitos e liberdades das pessoas singulares que o tratamento apresenta, o operador, tanto no momento de estabelecer os meios de tratamento como no momento do próprio tratamento, implementa medidas técnicas e organizacionais adequadas, como a pseudonimização, que são pretende implementar eficazmente os princípios de proteção de dados, como a minimização de dados, e integrar as garantias necessárias no tratamento, para cumprir os requisitos deste regulamento e proteger os direitos dos titulares dos dados.
(2) O operador implementa medidas técnicas e organizacionais adequadas para garantir que, por defeito, apenas sejam tratados os dados pessoais necessários para cada finalidade específica de tratamento. Esta obrigação aplica-se ao volume de dados recolhidos, ao grau do seu tratamento, ao seu período de conservação e à sua acessibilidade. Em particular, tais medidas garantem que, por defeito, os dados pessoais não possam ser acedidos, sem a intervenção da pessoa, por um número ilimitado de pessoas.
(3) Um mecanismo de certificação aprovado nos termos do artigo 42.º pode ser utilizado como elemento para demonstrar o cumprimento dos requisitos previstos nos parágrafos (1) e (2) deste artigo.
Art. 26: Operadores associados
(1) Se dois ou mais operadores estabelecerem conjuntamente as finalidades e os meios de tratamento, são operadores associados. Estabelecem de forma transparente as responsabilidades de todos no cumprimento das obrigações que lhes incumbem por força do presente regulamento, nomeadamente no que diz respeito ao exercício dos direitos dos titulares dos dados e das obrigações de todos de fornecer as informações previstas nos artigos 13.º e 14.º, mediante através de acordo entre eles, exceto no caso e na medida em que as responsabilidades dos operadores estejam estabelecidas no direito da União ou no direito interno que lhes seja aplicável. O acordo pode designar um ponto de contacto para as pessoas em causa.
(2) O acordo referido no n.º 1 reflete adequadamente as respetivas funções e relações dos operadores associados face às pessoas em causa. A essência deste acordo é divulgada à pessoa em questão.
(3) Independentemente das cláusulas do acordo referidas no n.º 1, o titular dos dados pode exercer os direitos que lhe são conferidos pelo presente regulamento em relação a cada um dos operadores.
Art. 27: Representantes de operadores ou pessoas autorizadas por operadores que não tenham sede na União
(1) Se for aplicável o artigo 3.º, n.º 2, o operador ou a pessoa por ele autorizada designa por escrito um representante na União.
(2) A obrigação prevista no parágrafo (1) deste artigo não se aplica:
a) tratamento que tenha caráter ocasional, que não inclua, em grande escala, o tratamento de categorias especiais de dados, conforme previsto no artigo 9.º, n.º 1, ou o tratamento de dados pessoais relacionados com condenações penais e infrações mencionado no artigo 10.º e que não é suscetível de gerar um risco para os direitos e liberdades dos indivíduos, tendo em conta a natureza, o contexto, o âmbito e as finalidades do tratamento; ou
b) uma autoridade ou órgão público.
(3) O representante está sediado num dos Estados-Membros onde estão localizados os titulares dos dados cujos dados pessoais são tratados no âmbito do fornecimento de bens e serviços ou cujo comportamento é monitorizado.
(4) O representante recebe do operador ou da pessoa autorizada pelo operador um mandato pelo qual as autoridades de supervisão e as pessoas interessadas, em particular, podem dirigir-se ao representante, além do operador ou da pessoa autorizada pelo operador ou em vez disso deles, em relação a todas as questões relacionadas ao processamento, a fim de garantir o cumprimento deste regulamento.
(5) A nomeação de um representante pelo operador ou pela pessoa autorizada pelo operador não afeta as ações judiciais que possam ser movidas contra o operador ou a pessoa autorizada pelo próprio operador.
Art. 28: A pessoa autorizada pelo operador
(1) Se o tratamento for realizado por conta de um operador, o operador recorre apenas a pessoas autorizadas que ofereçam garantias suficientes para a implementação de medidas técnicas e organizacionais adequadas, para que o tratamento cumpra os requisitos estipulados neste regulamento e para garantir a proteção dos direitos da pessoa em causa.
(2) A pessoa autorizada pelo operador não recruta outra pessoa autorizada pelo operador sem primeiro receber uma autorização escrita, específica ou geral, do operador. No caso de uma autorização geral escrita, a pessoa autorizada pelo operador informa o operador sobre tudo
alterações antecipadas relativas à adição ou substituição de outras pessoas autorizadas pelo operador, dando assim ao operador a oportunidade de se opor a essas alterações.
(3) O tratamento por uma pessoa autorizada por um operador é regulado por um contrato ou outro ato jurídico baseado no direito da União ou no direito interno que seja vinculativo para a pessoa autorizada pelo operador em relação ao operador e que estabeleça o objeto e a duração do tratamento, a natureza e a finalidade do tratamento, o tipo de dados pessoais e as categorias de pessoas envolvidas e as obrigações e direitos do operador. O respetivo contrato ou ato jurídico prevê, nomeadamente, que a pessoa autorizada pelo operador:
a) processar dados pessoais apenas com base em instruções documentadas do operador, inclusive no que diz respeito a transferências de dados pessoais para um país terceiro ou uma organização internacional, a menos que esta obrigação caiba à pessoa autorizada nos termos do direito da União ou do direito interno que aplica-se a ele; neste caso, notificar esta obrigação legal ao operador antes do processamento, salvo se a respetiva lei proibir tal notificação por motivos importantes relacionados com o interesse público;
b) é assegurado que as pessoas autorizadas a tratar dados pessoais se comprometeram a respeitar a confidencialidade ou têm uma obrigação legal de confidencialidade adequada;
c) adotar todas as medidas necessárias nos termos do artigo 32;
d) cumprir as condições mencionadas nos parágrafos (2) e (4) relativamente à contratação de outra pessoa autorizada pela operadora;
e) tendo em conta a natureza do tratamento, oferece assistência ao operador através de medidas técnicas e organizativas adequadas, na medida do possível, para o cumprimento da obrigação do operador de responder aos pedidos relativos ao exercício pelo titular dos dados de os direitos previstos no Capítulo III; f) ajudar o operador a garantir o cumprimento das obrigações previstas nos artigos 32.º a 36.º, tendo em conta a natureza do tratamento e a informação à disposição da pessoa autorizada pelo operador;
g) à escolha do operador, eliminar ou devolver ao operador todos os dados pessoais após a cessação da prestação de serviços relacionados com o tratamento e eliminar as cópias existentes, salvo se a legislação da União ou o direito interno exigir o armazenamento de dados pessoais;
h) fornece ao operador todas as informações necessárias à demonstração do cumprimento das obrigações previstas neste artigo, permite as auditorias, incluindo inspeções, realizadas pelo operador ou outro auditor autorizado e contribui para as mesmas.
No que diz respeito à letra (h) do primeiro parágrafo, a pessoa autorizada pelo operador informa imediatamente o operador se, na sua opinião, uma instrução viola este regulamento ou outras disposições do direito interno ou da União relativas à proteção de dados.
(4) No caso de uma pessoa autorizada por um operador recrutar outra pessoa autorizada para realizar atividades de processamento específicas em nome do operador, as mesmas obrigações de proteção de dados estipuladas no contrato ou outro ato jurídico celebrado entre o operador e a pessoa autorizada pelo operador, conforme previsto no n.º 3), cabem à segunda pessoa autorizada, através de um contrato ou de outro ato jurídico, baseado no direito da União ou no direito interno, nomeadamente a prestação de garantias suficientes para a implementação de medidas adequadas medidas técnicas e organizacionais, para que o tratamento cumpra os requisitos deste regulamento. No caso de esta segunda pessoa autorizada não cumprir as suas obrigações em matéria de proteção de dados, a pessoa inicialmente autorizada permanece totalmente responsável perante o operador no que diz respeito ao cumprimento das obrigações desta segunda pessoa autorizada.
(5) A adesão da pessoa autorizada pelo operador a um código de conduta aprovado, referido no artigo 40.º, ou a um mecanismo de certificação aprovado, referido no artigo 42.º, pode ser utilizada como elemento para demonstrar a existência de garantias referidas nos parágrafos (1) e (4) deste artigo.
(6) Sem prejuízo de contrato individual celebrado entre o operador e a pessoa por ele autorizada, o contrato ou outro acto jurídico referido nos n.os 3 e 4 do presente artigo pode basear-se, no todo ou em parte , nas cláusulas contratuais padrão mencionadas nos parágrafos (7) e (8) deste artigo, inclusive quando fizerem parte de certificação concedida ao operador ou à pessoa por ele autorizada nos termos dos artigos 42 e 43.
(7) A Comissão poderá fornecer cláusulas contratuais padrão para os aspectos mencionados nos parágrafos (3) e (4) deste artigo e de acordo com o procedimento de exame mencionado no artigo 93, parágrafo (2).
(8) Uma autoridade de supervisão pode adotar cláusulas contratuais padrão para os aspectos mencionados nos parágrafos (3) e (4) deste artigo e de acordo com o mecanismo para garantir a consistência mencionado no artigo 63.
(9) O contrato ou outro ato jurídico mencionado nos parágrafos (3) e (4) deverá ser formulado por escrito, inclusive em formato eletrônico.
(10) Sem prejuízo dos artigos 82.º, 83.º e 84.º, se uma pessoa autorizada pelo operador violar o presente regulamento, ao estabelecer as finalidades e os meios de tratamento dos dados pessoais, a pessoa autorizada pelo operador é considerada operadora relativamente ao respetivo processamento.
Art. 29: Realização da atividade de processamento sob a autoridade do operador ou da pessoa autorizada pelo operador
A pessoa autorizada pelo operador e qualquer pessoa que atue sob a autoridade do operador ou a pessoa autorizada pelo operador que tenha acesso aos dados pessoais não os trata, exceto a pedido do operador, a menos que o direito da União ou o direito interno o obrigue a faça isso.
Art. 30: Registros de atividades de processamento
(1) Cada operador e, se for o caso, o seu representante mantêm um registo das atividades de tratamento realizadas sob a sua responsabilidade. O registro inclui todas as seguintes informações:
a) o nome e dados de contacto do operador e, se for o caso, do operador associado, do representante do operador e do responsável pela proteção de dados;
b) as finalidades do tratamento;
c) uma descrição das categorias de pessoas em causa e das categorias de dados pessoais; d) as categorias de destinatários a quem os dados pessoais foram ou serão divulgados, incluindo destinatários de países terceiros ou organizações internacionais;
e) se aplicável, transferências de dados pessoais para um país terceiro ou uma organização internacional, incluindo a identificação do respetivo país terceiro ou organização internacional e, no caso das transferências referidas no artigo 49.º, n.º 1, segundo parágrafo, a documentação que comprova a existência de garantias adequadas;
f) sempre que possível, os prazos previstos para a eliminação das diferentes categorias de dados; g) sempre que possível, uma descrição geral das medidas de segurança técnicas e organizacionais referidas no artigo 32.º, n.º 1.
(2) Cada pessoa autorizada pelo operador e, conforme o caso, o representante da pessoa autorizada pelo operador mantém um registro de todas as categorias de atividades de processamento realizadas em nome de
o operador, que incluem:
a) o nome e dados de contato da pessoa ou pessoas autorizadas pelo operador e de cada operador em cujo nome essa pessoa (essas pessoas) atue, bem como, se for o caso, de
o representante do operador ou o representante da pessoa autorizada pelo operador, e de
o responsável pela proteção de dados;
b) as categorias de atividades de tratamento realizadas em nome de cada operador;
c) se aplicável, transferências de dados pessoais para um país terceiro ou uma organização
internacional, incluindo a identificação do respectivo país terceiro ou organização internacional e, no caso das transferências previstas no artigo 49, parágrafo (1), segundo parágrafo, a documentação que comprove
a existência de garantias adequadas;
d) sempre que possível, uma descrição geral das medidas de segurança técnicas e organizacionais
mencionado no n.º 32 do artigo 1.º.
(a partir de 23 de maio de 2018, Art. 30, parágrafo (2) de c
capítulo IV, secção 1 retificada pelo ponto 5. da retificação de 23 de maio- (3) Os registos referidos nos números (1) e (2) são formulados por escrito, incluindo em formato eletrónico.
2018)
(4) O operador ou a pessoa por ele autorizada, bem como, conforme o caso, o representante do operador ou a pessoa por ele autorizada disponibilizam os registos à autoridade de controlo, a seu pedido.
(5) As obrigações mencionadas nos parágrafos 1 e 2 não se aplicam a uma empresa ou organização com menos de 250 empregados, a menos que o tratamento que efectue seja susceptível de gerar um risco para os direitos e liberdades das pessoas em causa, o tratamento não não seja ocasional ou o tratamento inclua categorias especiais de dados, conforme estabelecido no artigo 9.º, n.º 1, ou dados pessoais relativos a condenações penais e infrações, conforme estabelecido no artigo 10.º.
Art. 31: Cooperação com a autoridade supervisora
O operador e a pessoa por ele autorizada e, se for o caso, o seu representante cooperam, em
pedido, com a autoridade de controlo no cumprimento das suas tarefas.
(em 23 de maio de 2018, Art. 31 do Capítulo IV, Seção 1 alterado pelo ponto 7. da Re
retificação de 23 de maio de 2018)
Seção 2: Segurança de dados pessoais
Art. 32: Segurança do processamento
(1) Tendo em conta o atual estágio de desenvolvimento, os custos de implementação e a natureza, âmbito, contexto e finalidades do tratamento, bem como o risco com vários graus de probabilidade e gravidade para os direitos e liberdades das pessoas singulares, o operador e a pessoa por ela autorizada implemente medidas técnicas e organizacionais adequadas para garantir um nível de segurança correspondente a esse risco, incluindo entre outras, conforme o caso:
a) pseudonimização e criptografia de dados pessoais;
b) a capacidade de garantir a confidencialidade, integridade, disponibilidade e resistência contínua dos sistemas e serviços de processamento;
c) a capacidade de restaurar a disponibilidade dos dados pessoais e o acesso aos mesmos em tempo hábil em caso de incidente físico ou técnico;
d) um processo de testes periódicos, avaliação e avaliação da eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento.
(2) Na avaliação do nível adequado de segurança, são tidos em conta, nomeadamente, os riscos apresentados pelo tratamento, gerados nomeadamente, de forma acidental ou ilegal, pela destruição, perda, modificação, divulgação não autorizada ou acesso não autorizado aos dados pessoais transmitidos. , armazenados ou processados de outra forma.
(3) A adesão a um código de conduta aprovado, referido no Artigo 40, ou a um mecanismo de certificação aprovado, referido no Artigo 42, pode ser usada como um elemento para demonstrar o cumprimento dos requisitos estipulados no parágrafo (1) do este artigo.
(4) O operador e a pessoa por ele autorizada tomam medidas para garantir que qualquer pessoa física que atue sob a autoridade do operador ou a pessoa autorizada pelo operador e que tenha acesso aos dados pessoais só os processe a pedido do operador , exceto no caso em que esta obrigação lhe caiba por força do direito da União ou do direito interno.
Art. 33: Notificação da autoridade supervisora em caso de violação da segurança dos dados pessoais
(1) Se houver violação da segurança dos dados pessoais, o operador notificará
transmiti-lo às autoridades de controlo competentes nos termos do artigo 55.º, sem demora injustificada e, se possível, no prazo máximo de 72 horas a contar da data em que tomou conhecimento do facto, a menos que seja improvável que gere um risco para os direitos e liberdades
pessoas físicas. Se a notificação à autoridade de controlo não ocorrer dentro do prazo
de 72 horas, acompanhado de uma explicação fundamentada do atraso.
(em 23 de maio de 2018 Art. 33, parágrafo (1) do capítulo IV, seção 2 alterado pelo ponto
8. da correção de 23 de maio-
2018)
(2) A pessoa autorizada pelo operador notifica o operador sem demora injustificada após tomar conhecimento de uma violação da segurança dos dados pessoais.
(3) A notificação referida no parágrafo (1) pelo menos:
a) descrever a natureza da violação da segurança dos dados pessoais, incluindo, sempre que possível, as categorias e o número aproximado de pessoas afetadas, bem como as categorias e o número aproximado de registos de dados pessoais em questão;
b) comunicar o nome e dados de contacto do responsável pela proteção de dados ou outro ponto de contacto onde possam ser obtidas mais informações;
c) descrever as prováveis consequências da violação da segurança dos dados pessoais;
d) descrever as medidas tomadas ou propostas a serem tomadas pelo operador para sanar o problema da violação da segurança dos dados pessoais, incluindo, se for o caso, as medidas para mitigar seus possíveis efeitos negativos.
(4) Quando e na medida em que não seja possível fornecer a informação ao mesmo tempo, esta pode ser prestada em várias fases, sem atrasos injustificados.
(5) O operador mantém documentos relacionados com todos os casos de violação da segurança dos dados pessoais, que incluem uma descrição da situação factual em que ocorreu a violação da segurança dos dados pessoais, os seus efeitos e as medidas corretivas tomadas. Esta documentação permite à autoridade de controlo verificar o cumprimento deste artigo.
Art. 34: Informar o interessado sobre a violação da segurança dos dados pessoais
(1) Se a violação da segurança dos dados pessoais for suscetível de gerar um risco elevado para os direitos e liberdades das pessoas singulares, o operador deve informar o titular dos dados, sem demora injustificada, sobre essa violação.
(2) A informação enviada ao titular dos dados prevista no parágrafo (1) deste artigo inclui uma descrição em linguagem clara e simples da natureza da violação da segurança dos dados pessoais, bem como, pelo menos, as informações e medidas mencionadas no artigo 33 parágrafo (3) letras (b), (c) e (d).
(3) Não é necessário informar o titular dos dados referido no parágrafo (1) se alguma das seguintes condições for satisfeita:
a) o operador implementou medidas de proteção técnicas e organizacionais adequadas, e essas medidas foram aplicadas no caso de dados pessoais afetados pela violação da segurança dos dados pessoais, em particular medidas para garantir que os dados pessoais se tornem ininteligíveis para qualquer pessoa que não seja autorizado a acessá-los, como criptografia;
b) o operador tomou medidas adicionais para garantir que o elevado risco para os direitos e liberdades das pessoas em causa referido no n.º 1 já não é suscetível de se materializar;
c) exigiria um esforço desproporcional. Nesta situação, em vez disso, é realizada uma informação pública ou é tomada uma medida semelhante através da qual as pessoas em causa são informadas de forma igualmente eficaz.
(4) Se o operador ainda não tiver comunicado a violação da segurança dos dados pessoais ao titular dos dados, a autoridade de controlo, depois de ter em conta a probabilidade de a violação da segurança dos dados pessoais gerar um risco elevado, pode solicitar-lhe que o faça ou pode decidir que qualquer uma das condições mencionadas no parágrafo (3) é atendida.
Secção 3: Avaliação de impacto na proteção de dados e consulta prévia
Art. 35: Avaliação do impacto na proteção de dados
(1) Tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento, se um tipo de tratamento, especialmente aquele baseado na utilização de novas tecnologias, for suscetível de gerar um elevado risco para os direitos e liberdades das pessoas singulares, o operador realiza, antes do tratamento, uma avaliação do impacto das operações de tratamento fornecidas na proteção dos dados pessoais. Uma única avaliação pode abordar um conjunto de operações de tratamento semelhantes que apresentam riscos elevados semelhantes.
(2) Ao realizar uma avaliação do impacto na proteção de dados, o operador solicita o parecer do responsável pela proteção de dados, caso este tenha sido nomeado.
(3) A avaliação do impacto na proteção de dados referida no parágrafo (1) é necessária especialmente no caso de:
a) uma avaliação sistemática e abrangente dos aspectos pessoais relativos às pessoas singulares, que se baseie no tratamento automatizado, incluindo a criação de perfis, e que esteja na base de decisões que produzam efeitos jurídicos relativamente à pessoa singular ou que a afectem de forma de forma semelhante em medida significativa;
b) Tratamento em grande escala de categorias especiais de dados, a que se refere o artigo 9.º, n.º 1, ou de dados pessoais relativos a condenações penais e infrações, a que se refere o artigo 10.º; ou
c) monitoramento sistemático em larga escala de uma área acessível ao público.
(4) A autoridade de controlo elabora e publica uma lista dos tipos de operações de tratamento que estão sujeitas à obrigação de realizar uma avaliação de impacto na proteção de dados, nos termos do n.º 1. A autoridade de controlo comunica estas listas ao comité referido no artigo 68.º.
(5) A autoridade de controlo também pode estabelecer e disponibilizar ao público uma lista dos tipos de operações de tratamento para as quais não é necessária uma avaliação do impacto na proteção de dados. A autoridade supervisora comunica essas listas ao comitê.
(6) Antes de adotar as listas referidas nos parágrafos (4) e (5), a autoridade supervisora competente deve aplicar o mecanismo para garantir a consistência referido no Artigo 63, no caso de essas listas ativas envolvidas no processamento que envolvem o fornecimento de bens ou a prestação de serviços às pessoas em causa ou a monitorização do seu comportamento em vários Estados-Membros ou que possam afetar substancialmente a livre circulação de dados pessoais na União. (7) A avaliação contém pelo menos:
a) uma descrição sistemática das operações de tratamento previstas e das finalidades do tratamento, incluindo, se for o caso, o interesse legítimo prosseguido pelo operador;
b) uma avaliação da necessidade e proporcionalidade das operações de tratamento em relação a essas finalidades; c) uma avaliação dos riscos para os direitos e liberdades das pessoas em causa referidas no parágrafo (1); e d) as medidas previstas para fazer face aos riscos, incluindo garantias, medidas de segurança e mecanismos concebidos para garantir a protecção dos dados pessoais e demonstrar o cumprimento das disposições do presente regulamento, tendo em conta os direitos e interesses legítimos dos titulares dos dados e outros pessoas interessadas.
(8) Ao avaliar o impacto das operações de tratamento realizadas pelos operadores ou pelas pessoas autorizadas pelos operadores relevantes, o respeito pelos respectivos operadores ou pessoas autorizadas dos códigos de conduta aprovados referidos no artigo 40, em particular com um tendo em vista avaliações de impacto sobre a proteção de dados.
(9) O operador solicita, se for caso disso, o consentimento das pessoas interessadas ou dos seus representantes relativamente ao tratamento prestado, sem prejuízo da proteção dos interesses comerciais ou públicos ou da segurança das operações de tratamento.
(10) Quando o tratamento nos termos do artigo 6.º, n.º 1, alínea (c) ou (e), tiver uma base jurídica na legislação da União ou de um Estado-Membro sob o qual o operador se enquadra, e essa lei regular o tratamento específico operação ou conjunto de operações específicas em questão e já foi realizada uma avaliação do impacto na proteção de dados no âmbito de uma avaliação de impacto geral no contexto da adoção da respetiva base jurídica, parágrafos (1) a (7) não se aplicam, a menos que os Estados-Membros considerem que é necessário realizar tal avaliação antes de realizar as atividades de tratamento.
(11) Sempre que necessário, o operador realiza uma análise para avaliar se o tratamento ocorre de acordo com a avaliação de impacto na proteção de dados, pelo menos quando há uma alteração no risco representado pelas operações de tratamento.
Art. 36: Consulta prévia
(1) O operador consulta a autoridade de controlo antes do tratamento quando a avaliação do impacto na proteção de dados prevista no artigo 35.º indicar que o tratamento geraria um risco elevado na ausência de medidas tomadas pelo operador para mitigar o risco.
(2) Quando considerar que o tratamento fornecido mencionado no parágrafo (1) violaria este regulamento, especialmente quando o risco não tiver sido identificado ou mitigado em medida suficiente
ao operador, a autoridade de controlo aconselha por escrito o operador e, se for o caso, a pessoa por ele autorizada, no prazo máximo de oito semanas a contar da recepção do pedido de consulta, podendo exercer qualquer um dos poderes mencionados no artigo 58. Este prazo poderá ser prorrogado por seis semanas, tendo em conta a complexidade do processamento prestado. A autoridade de controlo informa o operador e, se for o caso, a pessoa autorizada pelo operador, no prazo de um mês após a recepção do pedido, sobre qualquer prorrogação, apresentando as razões do atraso. Estes prazos podem ser suspensos até que a autoridade de controlo obtenha as informações que solicitou para efeitos da consulta.
(3) Ao consultar a autoridade supervisora nos termos do parágrafo (1), o operador fornece-lhe:
a) se aplicável, as respetivas responsabilidades do operador, dos operadores associados e das pessoas autorizadas pelo operador envolvidas em atividades de tratamento, especialmente no âmbito de um grupo de empresas;
b) as finalidades e meios do tratamento pretendido;
c) as medidas e garantias previstas para a proteção dos direitos e liberdades das pessoas interessadas, nos termos do presente regulamento;
d) se aplicável, os dados de contacto do responsável pela proteção de dados;
e) a avaliação do impacto na proteção de dados prevista no artigo 35.º; e
f) quaisquer outras informações solicitadas pela autoridade de supervisão.
(4) Os Estados-Membros consultam a autoridade de controlo no processo de preparação de uma proposta de medida legislativa a adotar por um parlamento nacional ou de uma medida regulamentar baseada nessa medida legislativa, que se refere ao tratamento. (5) Não obstante o parágrafo (1), a legislação nacional pode exigir que os operadores consultem a autoridade supervisora e obtenham autorização prévia desta em conexão com o processamento por um operador, a fim de cumprir uma tarefa exercida por ele no interesse público, incluindo processamento relacionado com a proteção social e a saúde pública.
Seção 4: Diretor de Proteção de Dados
Art. 37: Designação do responsável pela proteção de dados
(1) O operador e a pessoa por ele autorizada nomeiam um responsável pela proteção de dados sempre que:
a) o tratamento for realizado por autoridade ou órgão público, com exceção dos tribunais que atuem no exercício da sua função jurisdicional;
b) as atividades principais do operador ou da pessoa por ele autorizada consistam em operações de tratamento que, pela sua natureza, âmbito e/ou finalidades, exijam um acompanhamento periódico e sistemático das pessoas interessadas em grande escala; ou
c) as atividades principais do operador ou da pessoa autorizada pelo operador consistem em
tratamento em grande escala de categorias especiais de dados nos termos do artigo 9.º ou de dados com
caráter pessoal relacionado a condenações criminais e crimes, mencionados no artigo 10.
(a partir de 23 de maio de 2018, Art. 37, parágrafo (1), letra C. do capítulo IV, seção 4 alterada pelo ponto 9. da Retificação de 23-
maio-2018)
(2) Um grupo de empresas pode nomear um único responsável pela proteção de dados, desde que o responsável pela proteção de dados seja facilmente acessível a partir de cada empresa.
(3) Se o operador ou a pessoa por ele autorizada for uma autoridade pública ou um organismo público, pode ser nomeado um único responsável pela proteção de dados para várias dessas autoridades ou organismos, tendo em conta a sua estrutura organizacional e dimensão. (4) Nos casos diferentes dos mencionados no n.º 1, o operador ou a pessoa autorizada pelo operador ou as associações e outros organismos que representam categorias de operadores ou pessoas autorizadas pelos operadores podem designar ou, sempre que o direito da União ou o direito interno exige este trabalho, designa um responsável pela proteção de dados. O responsável pela proteção de dados pode atuar em favor dessas associações e de outros organismos que representem os operadores ou pessoas autorizadas pelos operadores.
(5) O encarregado da proteção de dados é nomeado com base nas qualificações profissionais e, em particular, nos conhecimentos especializados da legislação e das práticas no domínio da proteção de dados, bem como com base na capacidade para desempenhar as tarefas previstas. no artigo 39.
(6) O responsável pela protecção de dados pode ser um membro do pessoal do operador ou a pessoa autorizada pelo operador ou pode exercer as suas funções com base num contrato de serviços. (7) O operador ou a pessoa por ele autorizada publica os dados de contacto do responsável pela proteção de dados e comunica-os às autoridades de controlo.
Art. 38: Função do responsável pela proteção de dados
(1) O operador e a pessoa por ele autorizada garantem que o responsável pela proteção de dados seja envolvido de forma adequada e oportuna em todos os aspectos relacionados com a proteção de dados pessoais.
(2) O operador e a pessoa por ele autorizada apoiam o encarregado da proteção de dados no cumprimento das tarefas referidas no artigo 39.º, dotando-o dos recursos necessários à execução dessas tarefas, bem como no acesso aos dados pessoais e às operações de tratamento, e por manter sua especialidade de conhecimento.
(3) O operador e a pessoa por ele autorizada garantem que o responsável pela proteção de dados não recebe quaisquer instruções relativas ao desempenho destas tarefas. Ele não é demitido ou sancionado pelo operador ou pela pessoa autorizada pelo operador a cumprir as suas funções. O responsável pela proteção de dados é diretamente responsável perante o mais alto nível de gestão do operador ou da pessoa autorizada pelo operador.
(4) Os titulares dos dados podem contactar o encarregado da proteção de dados sobre todos os assuntos relacionados com o tratamento dos seus dados e o exercício dos seus direitos ao abrigo do presente regulamento. (5) O responsável pela proteção de dados tem a obrigação de respeitar o sigilo ou a confidencialidade no desempenho das suas funções, de acordo com o direito da União ou o direito interno. (6) O responsável pela proteção de dados pode desempenhar outras funções e responsabilidades. O operador ou a pessoa por ele autorizada garante que nenhuma destas tarefas e deveres gera conflito de interesses.
Art. 39: Deveres do responsável pela proteção de dados
(1) O responsável pela proteção de dados tem pelo menos as seguintes funções:
a) informar e aconselhar o operador, ou a pessoa autorizada pelo operador, bem como os funcionários que lidam com o tratamento sobre as suas obrigações nos termos do presente regulamento e outras disposições do direito da União ou do direito interno em matéria de proteção de dados; b) monitorizar o cumprimento do presente regulamento, de outras disposições do direito da União ou do direito interno relativas à proteção de dados e das políticas do operador ou da pessoa autorizada pelo operador em matéria de proteção de dados pessoais, incluindo a atribuição de responsabilidades e ações de sensibilização e treinamento do pessoal envolvido nas operações de processamento, bem como nas auditorias relacionadas;
c) a prestação de aconselhamento, mediante pedido, relativamente à avaliação do impacto na protecção de dados e à monitorização do seu funcionamento, nos termos do artigo 35.º;
d) cooperação com a autoridade supervisora;
e) assumir a função de ponto de contacto da autoridade de controlo relativamente às questões relacionadas com o tratamento, incluindo a consulta prévia referida no artigo 36.º, bem como, se necessário, a consulta sobre qualquer outro assunto.
(2) No cumprimento das suas funções, o responsável pela proteção de dados tem em conta o risco associado às operações de tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento.
Seção 5: Códigos de Conduta e Certificação
Art. 40: Códigos de conduta
(1) Os Estados-Membros, as autoridades de controlo, o Comité e a Comissão incentivam o desenvolvimento de códigos de conduta destinados a contribuir para a correta aplicação do presente regulamento, tendo em conta as características específicas dos vários setores de transformação e as necessidades específicas dos microempresas e pequenas empresas e médias empresas.
(2) As associações e outros organismos que representem categorias de operadores ou pessoas autorizadas pelos operadores podem elaborar códigos de conduta ou modificar ou ampliar os existentes, a fim de especificar a forma de aplicação do presente regulamento, nomeadamente no que diz respeito:
a) processamento justo e transparente;
b) os interesses legítimos prosseguidos pelos operadores em contextos específicos; c) coleta de dados pessoais;
d) pseudonimização de dados pessoais;
e) informar o público e os interessados;
f) exercer os direitos dos interessados;
g) informar e proteger as crianças e a forma como deve ser obtido o consentimento dos titulares da responsabilidade parental sobre as crianças;
h) as medidas e procedimentos mencionados nos artigos 24.º e 25.º e as medidas para garantir a segurança do processamento, mencionadas no artigo 32.º;
i) notificar as autoridades de controlo sobre violações da segurança dos dados pessoais e informar as pessoas afetadas sobre essas violações;
j) a transferência de dados pessoais para países terceiros ou organizações internacionais; ou
k) procedimentos extrajudiciais e outros procedimentos de resolução de litígios para resolver litígios entre operadores e titulares de dados relativos ao tratamento, sem prejuízo dos direitos dos titulares dos dados, nos termos dos artigos 77.º e 79.º.
(3) Os códigos de conduta aprovados nos termos do parágrafo (5) deste artigo e que tenham validade geral nos termos do parágrafo (9) deste artigo poderão aderir não apenas aos operadores ou pessoas autorizadas pelos operadores sujeitos a este regulamento , mas também operadores ou pessoas autorizadas por operadores que não estão sujeitos ao presente regulamento nos termos do artigo 3.º, a fim de fornecer garantias adequadas no âmbito das transferências de dados pessoais para países terceiros ou organizações internacionais nas condições referidas no artigo 46.º, parágrafo (2) letra (e). Estes operadores ou pessoas por eles autorizadas assumem compromissos vinculativos e executáveis, através de instrumentos contratuais ou outros instrumentos juridicamente vinculativos, de forma a aplicarem as respetivas garantias adequadas, nomeadamente no que diz respeito aos direitos das pessoas interessadas.
(4) O código de conduta previsto no parágrafo (2) deste artigo inclui mecanismos que permitem ao órgão referido no artigo 41, parágrafo (1) realizar o monitoramento obrigatório do cumprimento de suas disposições por parte de operadores ou pessoas autorizadas por operadores que se comprometam a aplicá-lo, sem prejuízo dos deveres e competências das autoridades de supervisão competentes nos termos do artigo 55.º ou 56.º.
(5) As associações e outros órgãos mencionados no parágrafo (2) deste artigo que pretendam preparar um código de conduta ou modificar ou ampliar um código existente deverão submeter o projeto de código, modificação ou extensão à autoridade supervisora competente em nos termos do artigo 55.º. A autoridade de controlo emite parecer sobre o cumprimento do presente regulamento do projecto de código, alteração ou extensão e aprova-o se verificar que o mesmo oferece garantias suficientes e adequadas.
(6) Se o projeto de código, alteração ou extensão for aprovado em conformidade com o parágrafo (5), e o código de conduta em questão não estiver relacionado com atividades de tratamento em vários Estados-Membros, a autoridade de controlo também registará e publicará o código.
(7) Se um projeto de código de conduta, alteração ou extensão estiver relacionado com atividades de tratamento em vários Estados-Membros, antes da aprovação, a autoridade supervisora competente nos termos do artigo 55.º deve transmiti-lo, através do procedimento referido no artigo 63.º, ao comité, que emita parecer sobre o cumprimento deste regulamento do respectivo projecto, ou, na situação referida no n.º 3 deste artigo, ofereça garantias adequadas.
(8) Se o parecer referido no parágrafo (7) confirmar a conformidade com este regulamento do projecto de código, alteração ou extensão ou se, na situação referida no parágrafo (3), oferecer garantias adequadas, a comissão transmite o parecer da Comissão.
(9) A Comissão pode adotar atos de execução para decidir que o código de conduta, alteração ou extensão aprovado que lhe foi apresentado nos termos do n.º 8 do presente artigo tem validade geral na União. Os respetivos atos de execução são adotados pelo procedimento de exame previsto no artigo 93.º, n.º 2.
(10) A comissão garante publicidade adequada para os códigos aprovados que foram decididos para terem validade geral de acordo com o parágrafo (9).
(11) O Comité agrupa todos os códigos de conduta, modificações e extensões aprovados num registo e disponibiliza-os ao público através dos meios apropriados.
Art. 41: Monitoramento dos códigos de conduta aprovados
(1) Sem prejuízo dos deveres e poderes da autoridade de supervisão competente nos termos dos artigos 57.º e 58.º, a monitorização do cumprimento de um código de conduta nos termos do artigo 40.º pode ser realizada por um órgão que tenha um nível adequado de especialização em relativamente ao objecto do código e que esteja credenciado para o efeito pela autoridade de controlo competente.
(2) Um organismo referido no parágrafo (1) pode ser acreditado para monitorizar o cumprimento de um código de conduta se:
a) demonstrou às autoridades fiscalizadoras competentes, de forma satisfatória, sua independência e expertise em relação ao objeto do código;
b) instituiu procedimentos que lhe permitem avaliar a elegibilidade dos operadores e das pessoas autorizadas pelos operadores para aplicar o código, monitorizar o seu cumprimento das disposições do código e rever periodicamente o seu funcionamento;
c) instituiu procedimentos e estruturas para tratar reclamações relativas a violações do código ou sobre como o código foi ou está sendo implementado por um operador ou pessoa autorizada pelo operador, bem como para garantir a transparência desses procedimentos e estruturas para as pessoas interessados e para o público; e
d) demonstrou às autoridades de supervisão competentes, de forma satisfatória, que as suas funções e atribuições não geram conflitos de interesses.
(3) A autoridade supervisora competente submete ao comitê o projeto de requisitos para o credenciamento de um organismo referido no parágrafo (1) deste artigo, de acordo com o mecanismo
para assegurar a consistência a que se refere o artigo 63.º.
(a partir de 23 de maio de 2018, Art. 41, parágrafo (3) do capítulo IV, seção
nea 5 corrigida pelo ponto 10. da Correcção de 23-Mai-
2018)
(4) Sem prejuízo das atribuições e competências da autoridade de supervisão competente e do disposto no Capítulo VIII, o órgão referido no parágrafo (1) deste artigo toma as medidas adequadas, sujeitas a garantias adequadas, em caso de violação do código por um operador ou por uma pessoa autorizada pelo operador, inclusive suspendendo ou excluindo esse operador ou essa pessoa do código. O organismo em causa informa a autoridade de controlo competente sobre estas medidas e as razões que as determinaram.
(5) A autoridade supervisora competente revoga a acreditação de um organismo referido no parágrafo
(1) caso os requisitos de acreditação ou as medidas tomadas pelo organismo deixem de ser cumpridos
em questão viola este regulamento.
(a partir de 23 de maio de 2018, Art. 41, parágrafo (5) de c
capítulo IV, secção 5 rectificado pelo ponto 11. da Rectificação de 23 de Maio-
2018)
(6) Este artigo não se aplica ao tratamento realizado por autoridades e órgãos públicos.
Art. 42: Certificação
(1) Os Estados-Membros, as autoridades de controlo, o Comité e a Comissão incentivam, especialmente a nível da União, o estabelecimento de mecanismos de certificação no domínio da protecção de dados, bem como de selos e marcas neste domínio, que permitam demonstrar o facto de as operações de tratamento realizadas pelos operadores e pelas pessoas autorizadas pelos operadores cumprirem o presente regulamento. São tidas em conta as necessidades específicas das microempresas e das pequenas e médias empresas. (2) Os mecanismos, selos ou marcas de certificação de proteção de dados aprovados nos termos do parágrafo (5) deste artigo são estabelecidos não apenas para serem respeitados pelos operadores ou pelas pessoas autorizadas pelos operadores sujeitos a este regulamento, mas também para demonstrar a existência de garantias adequadas oferecidas pelos operadores ou pelas pessoas autorizadas pela
operadores que não estejam sujeitos ao presente regulamento, nos termos do artigo 3.º, no âmbito de transferências de dados pessoais para países terceiros ou organizações internacionais nas condições referidas no artigo 46.º, n.º 2, alínea f). Estes operadores ou pessoas por eles autorizadas assumem compromissos vinculativos e executáveis, através de instrumentos contratuais ou outros instrumentos juridicamente vinculativos, de forma a aplicarem as respetivas garantias adequadas, nomeadamente no que diz respeito aos direitos das pessoas interessadas.
(3) A certificação é voluntária e está disponível através de um processo transparente.
(4) A certificação de acordo com este artigo não reduz a responsabilidade do operador ou da pessoa por ele autorizada a cumprir este regulamento e não afeta os deveres e poderes das autoridades de supervisão competentes nos termos do artigo 55 ou 56. (5) Os organismos de certificação referidos no artigo 43.º ou a autoridade de supervisão competente emitem uma certificação ao abrigo deste artigo, com base nos critérios aprovados pela respetiva autoridade de supervisão competente nos termos do artigo 58.º, parágrafo (3), ou pela comissão nos termos do artigo 63.º. os critérios são aprovados pelo comité, o que pode conduzir a uma certificação comum, nomeadamente o selo europeu de proteção de dados.
(6) O operador ou a pessoa por ele autorizada que submete as suas actividades de tratamento ao mecanismo de certificação oferece ao organismo de certificação referido no artigo 43.º ou, se for o caso, às autoridades de controlo competentes, todas as informações necessárias para a realização o procedimento de certificação, bem como o acesso ao respetivo processamento das atividades.
(7) A certificação é emitida para um operador ou pessoa autorizada pelo operador para um período
o período máximo de três anos e pode ser renovado nas mesmas condições, desde que os critérios pertinentes ainda sejam atendidos. A certificação é retirada, consoante o caso, pelos organismos de certificação referidos no artigo 43.º ou pela autoridade de controlo competente, caso deixe de ser
os critérios para certificação são atendidos.
(a partir de 23 de maio de 2018, Art. 42, parágrafo (7) do cap.
IV, secção 5 rectificada pelo ponto 12. da Rectificação de 23 de Maio
2018)
(8) O Comité agrupa todos os mecanismos de certificação e selos e marcas de proteção de dados num registo e disponibiliza-os ao público por qualquer meio adequado.
Art. 43: Organismos de certificação
(1) Sem prejuízo das atribuições e competências da autoridade de controlo competente, previstas nos artigos 57.º e 58.º, os organismos de certificação que possuam um nível de competência adequado no domínio da protecção de dados, após informarem a autoridade de controlo para lhe permitirem exercer as competências previstas no artigo 58.º, n.º 2, alínea h), emitir e renovar a certificação. Os Estados-Membros devem assegurar que estes organismos de certificação sejam acreditados por uma ou ambas as seguintes entidades:
a) A autoridade de controlo competente nos termos do artigo 55.º ou 56.º;
b) o organismo nacional de acreditação designado nos termos do Regulamento (CE) nº. 765/2008 do Parlamento Europeu e do Conselho (1) em conformidade com a norma EN-ISO/IEC 17065/2012 e com os requisitos adicionais estabelecidos pela autoridade de controlo competente nos termos do artigo 55.o ou 56.o.
(1) Regulamento (CE) n.º Decreto-Lei n.º 765/2008 do Parlamento Europeu e do Conselho, de 9 de julho de 2008, que estabelece os requisitos de acreditação e fiscalização do mercado relativos à comercialização de produtos e revoga o Regulamento (CEE) nº. 339/93 (JO L 218 de 13.8.2008, p. 30).
(2) Um organismo de certificação referido no parágrafo (1) é acreditado de acordo com esse parágrafo apenas se:
a) demonstrou às autoridades fiscalizadoras competentes, de forma satisfatória, sua independência e expertise em relação ao objeto da certificação;
b) Comprometer-se a cumprir os critérios referidos no n.º 42 do artigo 5.º e aprovados pela autoridade de controlo competente nos termos dos artigos 55.º ou 56.º, ou pela comissão nos termos do artigo 63.º;
c) instituiu procedimentos para emissão, revisão periódica e retirada de certificações, selos e marcas no domínio da protecção de dados;
d) instituiu procedimentos e estruturas para tratamento de reclamações relativas a violações da certificação ou à forma como a certificação foi ou é implementada por um operador ou pessoa autorizada pelo operador, bem como para garantir a transparência desses procedimentos e estruturas para as pessoas interessadas e para o público; e
e) demonstrou às autoridades de supervisão competentes, de forma satisfatória, que as suas funções e atribuições não geram conflitos de interesses.
(3) A acreditação dos organismos de certificação referidos nos parágrafos (1) e (2) deste artigo é efectuada com base nos requisitos aprovados pela autoridade de controlo competente nos termos do artigo 55 ou 56, ou pela comissão nos termos do artigo 63. No caso de credenciamento em
nos termos do parágrafo (1) letra (b) deste artigo, estes requisitos complementam os previstos no Regulamento (CE) nº. 765/2008 e as normas técnicas que descrevem os métodos e procedimentos dos órgãos
Para certificar.
(no dia 23
i-2018 Art. 43, par. (3) do capítulo IV, secção 5 rectificado pelo ponto 13. da Rectificação de 23 de Maio-
2018)
(4) Os organismos de certificação referidos no parágrafo (1) são responsáveis por realizar uma avaliação adequada para certificar ou retirar esta certificação, sem afetar a responsabilidade do operador ou da pessoa autorizada pelo operador para cumprir este regulamento. A acreditação é emitida pelo período máximo de cinco anos, podendo ser renovada nas mesmas condições, desde que o organismo certificador cumpra os requisitos estipulados neste artigo.
(5) Os organismos de certificação referidos no parágrafo (1) transmitem às autoridades de supervisão competentes as razões para conceder ou retirar a certificação solicitada.
(6) Os requisitos mencionados no parágrafo (3) deste artigo e os critérios mencionados no artigo 42, parágrafo (5) são publicados pela autoridade de supervisão de forma facilmente acessível. autoridade
de supervisão também transmitem esses requisitos e critérios ao comitê.
(em 23 de maio de 2018 Art. 43, parágrafo (6) do capítulo IV, seção 5 alterado pelo ponto 1
4. da correção de 23 de maio-
2018)
(7) Sem prejuízo do disposto no Capítulo VIII, a autoridade supervisora competente ou o organismo nacional de acreditação revoga a acreditação concedida a um organismo de certificação nos termos do parágrafo (1) deste artigo se as condições para acreditação não forem ou deixarem de ser atendidas ou as medidas tomadas pelo organismo de acreditação violam este regulamento.
(8) A Comissão fica habilitada a adotar atos delegados nos termos do artigo 92.º, a fim de especificar os requisitos que devem ser tidos em conta para os mecanismos de certificação da proteção de dados, referidos no artigo 42.º, n.º 1.
(9) A Comissão pode adotar atos de execução para estabelecer normas técnicas para mecanismos de certificação, selos e marcas no domínio da proteção de dados, bem como mecanismos para promover e reconhecer esses mecanismos de certificação, selos e marcas. Os respetivos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 93.º, n.º 2.
CAPÍTULO V: Transferências de dados pessoais para países terceiros ou organizações internacionais
Art. 44: O princípio geral das transferências
Quaisquer dados pessoais que sejam objeto de tratamento ou que devam ser tratados após terem sido transferidos para um país terceiro ou para uma organização internacional só podem ser transferidos se, observadas as demais disposições do presente regulamento, as condições estabelecidas neste capítulo forem cumpridas pelo operador e pela pessoa autorizada pelo operador, inclusive no que diz respeito a transferências subsequentes de dados pessoais do país terceiro ou da organização internacional para outro país terceiro ou para outra organização internacional. Todas as disposições do presente capítulo são aplicadas para garantir que o nível de proteção das pessoas singulares garantido pelo presente regulamento não seja prejudicado.
Art. 45: Transferências baseadas em decisão sobre a adequação do nível de proteção
(1) A transferência de dados pessoais para um país terceiro ou uma organização internacional pode ser efectuada quando a Comissão decidir que o país terceiro, um território ou um ou mais sectores específicos
proveniente desse país terceiro ou organização internacional em questão garante um nível de proteção adequado. As transferências efetuadas nestas condições não carecem de autorizações especiais.
(2) Ao avaliar a adequação do nível de proteção, a Comissão tem em conta, em especial, os seguintes elementos:
a) o Estado de direito, o respeito pelos direitos humanos e pelas liberdades fundamentais, a legislação pertinente, tanto geral como sectorial, nomeadamente em matéria de segurança pública, defesa, segurança nacional e direito penal, bem como o acesso das autoridades públicas aos dados pessoais, bem como a implementação desta legislação, regras de proteção de dados, regras profissionais e medidas de segurança, incluindo as regras relativas à transferência subsequente de dados pessoais para outro país terceiro ou organização internacional, que são respeitadas no respetivo país terceiro ou organização internacional, respetivamente, a jurisprudência, bem como a existência de direitos efetivos e oponíveis dos titulares dos dados e de reparações administrativas e judiciais efetivas para os titulares dos dados cujos dados pessoais são transferidos;
b) a existência e o funcionamento eficiente de uma ou mais autoridades de supervisão independentes no país terceiro ou sob cuja jurisdição uma organização internacional está, com responsabilidade por garantir e fazer cumprir as regras de proteção de dados, incluindo poderes adequados para garantir a conformidade com o pedido, por prestar assistência e aconselhamento às pessoas interessadas no exercício dos seus direitos e na cooperação com as autoridades de supervisão dos Estados-Membros; e
c) Os compromissos internacionais aos quais o país terceiro ou organização internacional em causa tenha aderido ou outras obrigações decorrentes de convenções ou instrumentos juridicamente vinculativos, bem como da sua participação em sistemas multilaterais ou regionais, especialmente no domínio da proteção de dados pessoais.
(3) A Comissão, após avaliar a adequação do nível de proteção, pode decidir, através de um ato de execução, que um país terceiro, um território ou um ou mais setores específicos de um país terceiro ou de uma organização internacional garantam um nível adequado de proteção proteção na acepção do parágrafo (2) deste artigo. O ato de execução prevê um mecanismo de revisão periódica, pelo menos uma vez de quatro em quatro anos, que tem em conta todos os desenvolvimentos relevantes no país terceiro ou na organização internacional. O ato de execução menciona a aplicação geográfica e setorial e, consoante o caso, identifica a autoridade ou autoridades de controlo referidas na alínea b) do n.º 2 deste artigo. O ato de execução é adotado pelo procedimento de exame a que se refere o artigo 93.º, n.º 2.
(4) A Comissão monitoriza continuamente os desenvolvimentos em países terceiros e a nível de organizações internacionais que possam afectar o funcionamento das decisões adoptadas nos termos do parágrafo (3) deste artigo e das decisões adoptadas nos termos do artigo 25, parágrafo (6) do Diretiva 95/46/ O QUÊ.
(5) Se as informações disponíveis revelarem, especialmente após a revisão referida no parágrafo (3) do presente artigo, que um país terceiro, um território ou um setor específico desse país terceiro ou uma organização internacional já não garante um nível de protecção adequada na acepção do n.º 2 do presente artigo, a Comissão, se necessário, revoga, altera ou suspende, por meio de um acto de execução, a decisão referida no n.º 3 do presente artigo sem efeitos retroactivos. Os respetivos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 93.º, n.º 2.
Por razões imperativas de urgência, a Comissão adota atos de execução imediatamente aplicáveis, em conformidade com o procedimento referido no artigo 93.º, n.º 3.
(6) A comissão inicia consultas com o país terceiro ou a organização internacional, a fim de remediar a situação que esteve na base da decisão tomada em conformidade com o parágrafo (5).
(7) Uma decisão tomada nos termos do parágrafo (5) deste artigo não afeta as transferências de dados pessoais para o país terceiro, um território ou um ou mais setores específicos desse país terceiro ou para a organização internacional em questão, de acordo com os artigos 46-49. (8) A Comissão publica no Jornal Oficial da União Europeia e no seu sítio Web uma lista de países terceiros, territórios e setores especificados num país terceiro e em organizações internacionais, nos casos em que decidiu que o nível de proteção adequado é segurado ou não está mais segurado.
(9) As decisões adotadas pela Comissão nos termos do artigo 25.º, n.º 6, da Diretiva 95/46/CE permanecem em vigor até serem alteradas, substituídas ou revogadas por uma decisão da Comissão adotada nos termos dos n.ºs (3) ou (5). deste artigo.
Art. 46: Transferências baseadas em garantias adequadas
(1) Na ausência de uma decisão baseada no artigo 45, parágrafo (3), o operador ou a pessoa autorizada pelo operador só poderá transferir dados pessoais para um país terceiro ou uma organização internacional se o operador ou a pessoa autorizada pelo operador ofereceu garantias adequadas e com a condição de que existam direitos oponíveis e recursos eficazes para as pessoas envolvidas.
(2) As garantias adequadas referidas no n.º 1 podem ser prestadas sem necessidade de qualquer autorização específica de uma autoridade de supervisão, através de:
a) um instrumento juridicamente vinculativo e executório entre autoridades ou organismos públicos;
b) regras societárias obrigatórias nos termos do artigo 47;
c) Cláusulas-tipo de proteção de dados adotadas pela Comissão em conformidade com o procedimento de exame referido no artigo 93.º, n.º 2;
d) Cláusulas-tipo de proteção de dados adotadas por uma autoridade de controlo e aprovadas pela Comissão em conformidade com o procedimento de exame referido no artigo 93.º, n.º 2;
e) um código de conduta aprovado nos termos do artigo 40.º, acompanhado de um compromisso vinculativo e executório do operador ou da pessoa autorizada pelo operador no país terceiro de aplicar garantias adequadas, nomeadamente no que diz respeito aos direitos das pessoas em causa; ou
f) um mecanismo de certificação aprovado nos termos do artigo 42.º, acompanhado de um compromisso vinculativo e executório do operador ou da pessoa autorizada pelo operador no país terceiro de aplicar garantias adequadas, nomeadamente no que diz respeito aos direitos dos titulares dos dados.
(3) Sujeito à autorização da autoridade de supervisão competente, as garantias adequadas referidas no n.º 1 também podem ser prestadas, nomeadamente, por:
a) cláusulas contratuais entre o operador ou a pessoa autorizada pelo operador e o operador, a pessoa autorizada pelo operador ou o destinatário dos dados pessoais do país terceiro ou da organização internacional; ou
b) disposições a incluir nos acordos administrativos entre as autoridades ou organismos públicos, que incluam direitos oponíveis e efetivos para as pessoas em causa.
(4) A autoridade de supervisão aplicará o mecanismo de garantia da consistência a que se refere o artigo 63.º, nos casos referidos no n.º 3 deste artigo.
(5) As autorizações concedidas por um Estado-Membro ou por uma autoridade de controlo nos termos do artigo 26.º, n.º 2, da Directiva 95/46/CE são válidas até à data em que sejam modificadas, substituídas ou revogadas, se necessário, pelo respectivo autoridade supervisora. As decisões adoptadas pela Comissão nos termos do n.º 26 do artigo 4.º da Directiva 95/46/CE permanecerão em vigor até serem alteradas, substituídas ou revogadas, se necessário, por uma decisão da Comissão adoptada nos termos do n.º 2 do presente artigo.
Art. 47: Regras corporativas obrigatórias
(1) De acordo com o mecanismo de garantia de consistência previsto no artigo 63.º, a autoridade de supervisão competente aprova regras societárias obrigatórias, desde que:
a) Ser juridicamente vinculativo e aplicável a cada membro interessado do grupo de empresas ou do grupo de empresas envolvidas numa actividade económica comum, incluindo os seus trabalhadores, bem como ser implementado pelos membros em questão;
b) conceder, expressamente, direitos oponíveis aos interessados no que diz respeito ao tratamento dos seus dados pessoais; e
c) cumprir os requisitos estipulados no parágrafo (2).
(2) As regras corporativas obrigatórias mencionadas no parágrafo (1) especificam pelo menos:
a) a estrutura e os dados de contacto do grupo de empresas ou do grupo de empresas envolvidas numa atividade económica comum e de cada um dos seus membros;
b) as transferências de dados ou o conjunto de transferências, incluindo as categorias de dados pessoais, o tipo de tratamento e as finalidades do tratamento, os tipos de titulares de dados afetados e a identificação do país terceiro ou países terceiros em causa;
c) seu caráter jurídico obrigatório, interna e externamente;
d) aplicação de princípios gerais em matéria de protecção de dados, nomeadamente limitação da finalidade, minimização de dados, períodos de conservação limitados, qualidade dos dados, protecção de dados desde o momento da concepção e protecção implícita, base jurídica para o tratamento, tratamento de categorias especiais de dados pessoais , medidas para garantir a segurança dos dados, bem como requisitos relativos a transferências posteriores para órgãos que não estejam sujeitos a regras societárias obrigatórias;
e) os direitos dos titulares dos dados relativamente ao tratamento e aos meios de exercício desses direitos, incluindo o direito de não ficar sujeito a decisões baseadas exclusivamente no tratamento automatizado, incluindo a criação de perfis, nos termos do artigo 22.º, o direito de apresentar uma reclamação reclamação perante a autoridade de supervisão competente e perante os tribunais competentes dos Estados-Membros, nos termos do artigo 79.º, bem como o direito de obter reparações e, se for o caso, compensação pela violação das regras corporativas obrigatórias;
f) a aceitação pelo operador ou pela pessoa autorizada pelo operador, que esteja sediada no território de um Estado membro, da responsabilidade por qualquer violação das regras corporativas obrigatórias por qualquer membro, no caso de não estar sediado no União; o operador ou a pessoa por ele autorizada fica isento desta responsabilidade, total ou parcialmente, apenas se provar que o respetivo associado não foi responsável pelo facto causador do dano;
g) a forma como as informações relativas às regras societárias obrigatórias, em especial quanto às disposições mencionadas nas letras (d), (e) e (f) deste parágrafo, são fornecidas aos interessados, além das informações mencionadas no artigos 13 e 14;
h) as tarefas de qualquer responsável pela proteção de dados designado nos termos do artigo 37.º ou de qualquer outra pessoa ou entidade encarregada de fiscalizar o cumprimento das regras corporativas obrigatórias dentro do grupo de empresas ou do grupo de empresas envolvidas numa atividade económica comum, atividades de formação e gestão de reclamações;
i) procedimentos de formulação de reclamações;
j) os mecanismos existentes no grupo de empresas ou no grupo de empresas envolvidas numa atividade económica comum, destinados a assegurar o cumprimento das regras societárias obrigatórias. Estes mecanismos incluem auditorias de proteção de dados e métodos para garantir ações corretivas destinadas a proteger os direitos do titular dos dados. Os resultados destas verificações devem ser comunicados à pessoa ou entidade referida na alínea h) e ao conselho de administração da sociedade que exerce controlo sobre o grupo de sociedades ou o grupo de sociedades envolvidas numa actividade económica comum e devem ser feitos à disposição da autoridade de supervisão competente, mediante solicitação;
k) os mecanismos de reporte e registo das alterações introduzidas nas regras e de reporte dessas alterações à autoridade de controlo;
l) O mecanismo de cooperação com a autoridade de supervisão, a fim de assegurar o cumprimento das regras por qualquer membro do grupo de empresas ou do grupo de empresas envolvido numa actividade económica comum, nomeadamente colocando à disposição da autoridade de supervisão os resultados de verificações relativas às medidas mencionadas na alínea j);
m) mecanismos de comunicação à autoridade de supervisão competente de quaisquer requisitos legais impostos a um membro do grupo de empresas ou do grupo de empresas envolvidas numa actividade económica comum num país terceiro que possam ter um efeito adverso considerável nas garantias prestadas por as regras corporativistas obrigatórias; e
n) formação adequada no domínio da proteção de dados para o pessoal que tenha acesso permanente ou periódico a dados pessoais.
(3) A Comissão pode especificar o formato e os procedimentos para o intercâmbio de informações entre operadores, pessoas autorizadas pelos operadores e autoridades de supervisão para regras corporativas
obrigatória no sentido deste artigo. Os respetivos atos de execução são adotados pelo procedimento de exame previsto no artigo 93.º, n.º 2.
Art. 48: Transferências ou divulgações de informações não autorizadas pela legislação da União
Qualquer decisão de um órgão jurisdicional e qualquer decisão de uma autoridade administrativa de um país terceiro que exija que um operador ou a pessoa por ele autorizada transfira ou divulgue dados pessoais só poderá ser reconhecida ou executada de qualquer forma se se basear num princípio internacional acordo, como um tratado de auxílio judiciário mútuo em vigor entre o país terceiro requerente e a União ou um Estado-Membro, sem prejuízo de outros motivos de transferência ao abrigo do presente capítulo.
Art. 49: Isenções para situações específicas
(1) Na ausência de uma decisão sobre a adequação do nível de proteção nos termos do artigo 45.º, n.º 3, ou de salvaguardas adequadas nos termos do artigo 46.º, incluindo regras corporativas obrigatórias, uma transferência ou um conjunto de transferências de dados com transferência pessoal para um país terceiro ou uma organização internacional só pode ocorrer sob uma das seguintes condições: a) a pessoa em causa tiver manifestado explicitamente o seu acordo relativamente à transferência proposta, depois de ter sido informada dos possíveis riscos que tais transferências podem envolver para a pessoa em questão pessoa por falta de decisão sobre a adequação do nível de proteção e garantias adequadas;
b) a transferência for necessária para a execução de um contrato entre o titular dos dados e o operador ou para a aplicação de medidas pré-contratuais adotadas a pedido do titular dos dados;
c) a transferência seja necessária à celebração de um contrato ou à execução de um contrato celebrado no interesse do interessado entre o operador e outra pessoa singular ou colectiva;
d) a transferência for necessária por motivos importantes de interesse público;
e) a transferência for necessária para a constituição, exercício ou defesa de um direito em juízo;
f) a transferência for necessária para proteger interesses vitais do titular dos dados ou de outras pessoas, quando o titular dos dados não possua capacidade física ou jurídica para manifestar o seu consentimento; g) a transferência for efectuada a partir de um registo que, nos termos do direito da União ou do direito interno, tem por objectivo fornecer informações ao público e que pode ser consultado pelo público em geral ou por qualquer pessoa que possa provar um interesse legítimo, mas apenas na medida em que estejam preenchidas as condições relativas à consulta previstas pelo direito da União ou pelo direito interno nesse caso específico. Se uma transferência não puder basear-se numa disposição prevista no artigo 45.º ou 46.º, incluindo disposições sobre regras societárias obrigatórias, e nenhuma das derrogações para situações específicas previstas no primeiro parágrafo deste número for aplicável, uma transferência para um país terceiro ou uma organização internacional só pode ocorrer se a transferência não for repetitiva, se referir apenas a um número limitado de titulares de dados, for necessária para efeitos de realização dos principais interesses legítimos prosseguidos pelo operador sobre os quais os interesses ou direitos não prevaleçam e as liberdades do titular dos dados e do operador avaliou todas as circunstâncias relacionadas com a transferência de dados e, com base nesta avaliação, apresentou garantias adequadas relativamente à protecção dos dados pessoais. O operador informa a autoridade de controlo sobre a transferência. O operador, além de fornecer as informações referidas nos artigos 13.º e 14.º, informa o interessado sobre a transferência e os principais interesses legítimos que prossegue.
(2) A transferência nos termos do parágrafo (1), primeiro parágrafo, letra (g) não envolve todos os dados pessoais ou todas as categorias de dados pessoais incluídas no registro. Quando o registo se destine a ser consultado por pessoas que tenham um interesse legítimo, a transferência só é efectuada a pedido das respectivas pessoas ou se estas forem os destinatários. (3) O parágrafo (1), as letras (a), (b) e (c) do primeiro parágrafo e o segundo parágrafo não se aplicam no caso de atividades realizadas por autoridades públicas no exercício de seus poderes públicos.
(4) O interesse público previsto no n.º 1, primeiro parágrafo, alínea d), é reconhecido no direito da União ou no direito do Estado-Membro sob o qual o operador se enquadra.
(5) Na ausência de uma decisão relativa à adequação do nível de proteção, o direito da União ou o direito interno podem, por considerações importantes de interesse público, estabelecer expressamente limites
sobre a transferência de categorias específicas de dados pessoais para um país terceiro ou uma organização internacional. Os Estados-Membros notificarão estas disposições à Comissão.
(6) O operador ou a pessoa por ele autorizada regista a avaliação, bem como as devidas garantias previstas no segundo parágrafo do n.º 1 deste artigo, nos registos referidos no artigo 30.
Art. 50: Cooperação internacional no domínio da protecção de dados pessoais
No que diz respeito aos países terceiros e às organizações internacionais, a Comissão e as autoridades de supervisão tomam medidas adequadas para:
(a) o desenvolvimento de mecanismos de cooperação internacional para facilitar a garantia da aplicação eficaz da legislação em matéria de proteção de dados pessoais;
(b) concessão de assistência internacional mútua para garantir a aplicação da legislação no domínio da protecção de dados pessoais, nomeadamente através de notificação, transferência de reclamações, assistência em investigações e troca de informações, sob reserva de garantias adequadas para a protecção de dados pessoais e outros direitos e liberdades fundamentais;
(c) o envolvimento das partes interessadas relevantes nas discussões e atividades destinadas a intensificar a cooperação internacional no domínio da aplicação da legislação relativa à proteção de dados pessoais; (d) Promover o intercâmbio mútuo e a documentação relativa à legislação e às práticas relativas à proteção de dados pessoais, inclusive no que diz respeito a conflitos jurisdicionais com países terceiros.
CAPÍTULO VI: Autoridades de supervisão independentes
Seção 1: status independente
Art. 51: A autoridade supervisora
(1) Cada Estado-Membro garante que uma ou mais autoridades públicas independentes sejam responsáveis pelo controlo da aplicação do presente regulamento, a fim de proteger os direitos e liberdades fundamentais das pessoas singulares em termos de tratamento e a fim de facilitar a livre circulação de dados pessoais dados dentro da União (a "autoridade de controlo"). (2) Cada autoridade de controlo contribui para a aplicação coerente do presente regulamento em toda a União. Para este efeito, as autoridades de supervisão cooperam entre si e com a Comissão, em conformidade com o Capítulo VII.
(3) Se num Estado-Membro estiverem estabelecidas várias autoridades de supervisão, designa a autoridade de supervisão que representa as respetivas autoridades no comité e estabelece um mecanismo para garantir o cumprimento pelas outras autoridades das regras relativas ao mecanismo para garantir a consistência prevista para no artigo 63.
(4) Cada Estado membro notificará a Comissão das disposições legais que adotar nos termos deste capítulo até 25 de maio de 2018 e, sem demora, qualquer alteração subsequente que fizer a essas disposições.
Artigo 52: Independência
(1) Cada autoridade de controlo beneficia de total independência no desempenho das suas funções e no exercício dos seus poderes nos termos do presente regulamento.
(2) O membro ou membros de cada autoridade de supervisão, no cumprimento das suas funções e no exercício dos seus poderes nos termos do presente regulamento, permanecem independentes de qualquer influência externa direta ou indireta e não solicitam nem aceitam instruções de terceiros.
(3) O membro ou membros de cada autoridade de controlo abstêm-se de praticar atos incompatíveis com as suas atribuições e, durante o mandato, não exercem atividades incompatíveis, remuneradas ou não.
(4) Cada Estado-Membro assegura que cada autoridade de controlo beneficia de recursos humanos, técnicos e financeiros, de uma sede e das infra-estruturas necessárias ao cumprimento das tarefas e ao exercício efectivo dos seus poderes, incluindo os que serão aplicados no contexto da assistência mútua. , cooperação e participação dentro do comitê.
(5) Cada Estado-Membro assegura que cada autoridade de controlo selecione o seu próprio pessoal e tenha o seu próprio pessoal sob a gestão exclusiva do membro ou membros da respetiva autoridade de controlo.
(6) Cada Estado-Membro garante que cada autoridade de supervisão está sujeita a um controlo financeiro que não afeta a sua independência e que dispõe de orçamentos anuais públicos separados, que podem fazer parte do orçamento geral do Estado ou do orçamento nacional.
Art. 53: Condições gerais aplicáveis aos membros da autoridade de supervisão
(1) Os Estados-Membros asseguram que cada membro da sua autoridade de supervisão seja nomeado através de um procedimento transparente:
– pelo parlamento;
- pelo governo;
- pelo chefe de Estado; ou
- por um órgão independente com poderes para proceder a nomeações ao abrigo do direito interno.
(2) Cada membro em causa possui as qualificações, experiência e competências necessárias, especialmente no domínio da proteção de dados pessoais, para poder cumprir as suas funções e exercer as suas competências.
(3) As funções de um membro cessam em caso de termo do mandato, em caso de renúncia ou reforma ex officio, nos termos da legislação nacional aplicável.
(4) Um membro só pode ser destituído em caso de falta grave ou se deixar de preencher as condições necessárias ao desempenho das suas funções.
Art. 54: Regras relativas ao estabelecimento da autoridade de supervisão
(1) Cada Estado-Membro prevê, através de legislação, o seguinte:
a) a criação de cada autoridade de supervisão;
b) as qualificações e condições de elegibilidade necessárias para ser nomeado membro de cada autoridade de controlo;
c) as regras e procedimentos de nomeação do membro ou membros de cada autoridade de supervisão;
d) o mandato do membro ou membros de cada autoridade de controlo, de pelo menos quatro anos, salvo a primeira nomeação após 24 de maio de 2016, parte da qual poderá ser por um período inferior se tal for necessário para proteger a autoridade da autoridade. independência da supervisão através de um procedimento de nomeação escalonado;
e) se e quantas vezes o mandato do membro ou membros de cada autoridade de controlo é elegível para renovação;
f) as condições que regulam as obrigações do membro ou membros e do pessoal de cada autoridade de controlo, as proibições relativas às ações, profissões e benefícios com eles incompatíveis durante o mandato e após a sua cessação, bem como as regras que regulam a cessação do mandato. o contrato de trabalho.
(2) O membro ou membros e pessoal de cada autoridade de controlo têm a obrigação, em conformidade com o direito da União ou o direito interno, de respeitar, tanto durante o mandato como após a sua cessação, o sigilo profissional no que diz respeito às informações confidenciais de que tenham tido conhecimento. no cumprimento das suas funções ou no exercício dos seus poderes. Durante o seu mandato, esta obrigação de guardar sigilo profissional aplica-se, em particular, às denúncias por pessoas singulares de violações do presente regulamento.
Secção 2: Qualificações, tarefas e competências
Art. 55: Competência
(1) Cada autoridade de controlo tem competência para desempenhar as tarefas e exercer os poderes que lhe são conferidos nos termos do presente regulamento no território do Estado membro a que pertence.
(2) Se o processamento for realizado por autoridades públicas ou organismos privados agindo com base no Artigo 6, parágrafo (1), letra (c) ou (e), a autoridade supervisora do estado
respectivo membro tem a competência. Nestes casos, o artigo 56.º não se aplica.
(a partir de 23 de maio de 2018, Art. 55, parágrafo (2) do Capítulo VI, Seção 2, alterado pelo ponto 15 da Emenda de 23 de maio de 2018)
(3) As autoridades de supervisão não são competentes para supervisionar as operações de tratamento dos tribunais que atuam no exercício da sua função judicial.
Art. 56: Competência da autoridade supervisora principal
(1) Sem prejuízo do artigo 55.º, a autoridade de controlo da sede principal ou do escritório único do operador ou a pessoa autorizada pelo operador é competente para actuar como principal autoridade de controlo do tratamento transfronteiriço efectuado pelo respectivo operador ou a respectiva pessoa autorizada no caso, de acordo com o procedimento previsto no artigo 60.º.
(2) Em derrogação do parágrafo (1), cada autoridade de supervisão é competente para tratar uma reclamação que lhe seja apresentada ou uma possível violação deste regulamento, se o seu objecto se referir apenas a um escritório localizado no estado ou membro ou afeta significativamente as pessoas visadas apenas no seu estado membro.
(3) Nos casos mencionados no parágrafo (2) deste artigo, a autoridade de supervisão informa sem demora a autoridade de supervisão principal sobre este assunto. No prazo de três semanas a contar do momento da informação, a autoridade de controlo principal decide se trata ou não o respetivo caso de acordo com o procedimento previsto no artigo 60.º, tendo em conta a existência ou não de sede do operador ou da pessoa autorizado pelo operador no território do Estado-Membro cuja autoridade de controlo o informou.
(4) Caso a autoridade de controlo principal decida tratar o caso, será aplicado o procedimento previsto no artigo 60.º. A autoridade de controlo que informou a autoridade de controlo principal pode submeter a esta última um projeto de decisão. A autoridade de controlo principal tem em conta, na medida do possível, o respetivo projeto na elaboração do projeto de decisão previsto no n.º 60 do artigo 3.º.
(5) Se a autoridade de controlo principal decidir não tratar do caso, a autoridade de controlo que informou a autoridade de controlo principal trata o caso de acordo com os artigos 61.º e 62.º.
(6) A principal autoridade de controlo é o único interlocutor do operador ou da pessoa autorizada pelo operador relativamente ao tratamento transfronteiriço realizado pelo respetivo operador ou pela respetiva pessoa autorizada pelo operador.
Art. 57: Tarefas
(1) Sem prejuízo de outras atribuições estabelecidas no presente regulamento, cada autoridade de controlo, no seu território:
a) acompanhar e zelar pela aplicação deste regulamento;
b) promove ações de sensibilização e compreensão do público sobre os riscos, regras, garantias e direitos em matéria de tratamento. É dada especial atenção às atividades dirigidas especificamente às crianças;
c) presta aconselhamento, em conformidade com o direito interno, ao parlamento nacional, ao governo e a outras instituições e órgãos sobre medidas legislativas e administrativas relacionadas com a proteção dos direitos e liberdades das pessoas singulares no que diz respeito ao tratamento;
d) promove ações de sensibilização dos operadores e das pessoas por eles habilitadas para as suas obrigações nos termos do presente regulamento;
e) mediante solicitação, fornece informações a qualquer pessoa interessada em conexão com o exercício dos seus direitos de acordo com o presente regulamento e, se necessário, coopera com as autoridades de supervisão de outros Estados membros para esse fim;
f) tratar as reclamações apresentadas por um titular de dados, um organismo, uma organização ou uma associação, em conformidade com o artigo 80.º, e investigar na medida adequada o objeto da reclamação e informar o reclamante sobre o progresso e o resultado da investigação, dentro de um prazo prazo razoável, especialmente se for necessário realizar uma investigação mais aprofundada ou coordenar com outra autoridade supervisora;
g) coopera, inclusive através da troca de informações, com outras autoridades de supervisão e presta assistência mútua para garantir a consistência da aplicação e do cumprimento do presente regulamento;
h) realiza investigações relativas à aplicação deste regulamento, inclusive com base em informações recebidas de outra autoridade fiscalizadora ou de outra autoridade pública;
i) acompanha os desenvolvimentos relevantes, na medida em que tenham impacto na proteção dos dados pessoais, especialmente a evolução das tecnologias de informação e comunicação e das práticas comerciais;
j) adotar cláusulas contratuais padrão mencionadas no artigo 28, parágrafo 8º, e artigo 46, parágrafo 2º, letra (d);
k) Elaborar e manter atualizada uma lista relativa à exigência relativa à avaliação do impacto na proteção de dados, nos termos do artigo 35.º, n.º 4;
l) oferece aconselhamento sobre as operações de tratamento referidas no artigo 36.º, n.º 2; m) incentiva o desenvolvimento de códigos de conduta nos termos do artigo 40.º, n.º 1, dá o seu parecer sobre os mesmos e aprova aqueles que oferecem garantias suficientes, nos termos do artigo 40.º, n.º 5;
n) incentiva o estabelecimento de mecanismos de certificação, bem como de selos e marcas no domínio da proteção de dados, nos termos do artigo 42.º, n.º 1, e aprova os critérios de certificação nos termos do artigo 42.º, n.º 5;
o) quando aplicável, proceder à revisão periódica das certificações concedidas, nos termos do artigo 42.º, n.º 7;
p) elabora e publica os requisitos de acreditação de um órgão de monitoramento de código de conduta
nos termos do artigo 41.º e de um organismo de certificação nos termos do artigo 43.º;
(em 23 de maio de 2018 Art. 57, parágrafo (1), letra P. do capítulo VI, seção 2 retificado pelo ponto 16. da Retificação de 23-
maio-2018)
q) coordena o procedimento de acreditação de um organismo de monitorização do código de conduta, em conformidade com o artigo 41.º, e de um organismo de certificação, em conformidade com o artigo 43.º; r) autoriza as cláusulas e disposições contratuais referidas no n.º 46 do artigo 3.º;
s) aprovar as regras societárias obrigatórias nos termos do artigo 47;
t) contribui com as atividades do comitê;
u) manter registos internos atualizados sobre as violações do presente regulamento e as medidas tomadas, nomeadamente os avisos emitidos e as sanções impostas nos termos do n.º 58 do artigo 2.º; e v) executa quaisquer outras tarefas relacionadas com a proteção de dados pessoais.
(2) Cada autoridade de supervisão facilita a apresentação das reclamações referidas no parágrafo (1) letra (f) através de medidas como a disponibilização de um formulário de apresentação de reclamações que pode ser preenchido inclusive em formato eletrónico, sem excluir outros meios de comunicação. (3) O cumprimento das atribuições de cada autoridade de controlo é gratuito para o titular dos dados e, se for o caso, para o responsável pela proteção de dados.
(4) Se os pedidos forem manifestamente infundados ou excessivos, especialmente devido ao seu carácter repetitivo, a autoridade de controlo poderá cobrar uma taxa razoável, baseada em custos administrativos, ou poderá recusar-se a processá-los. O ónus de demonstrar a natureza manifestamente infundada ou excessiva do pedido cabe à autoridade de controlo.
Art. 58: Poderes
(1) Cada autoridade de controlo dispõe dos seguintes poderes de investigação:
a) instruir o operador e a pessoa por ele autorizada e, se for o caso, o representante do operador ou a pessoa por ele autorizada a prestar quaisquer informações que a autoridade de controlo solicite para o desempenho das suas funções;
b) realizar investigações sob a forma de auditorias de proteção de dados;
c) proceder à revisão das certificações concedidas nos termos do n.º 42 do artigo 7.º;
d) notificar o operador ou pessoa por ele autorizada sobre a suposta violação deste regulamento;
e) obter, do operador e da pessoa por ele autorizada, acesso a todos os dados pessoais e a todas as informações necessárias ao desempenho das suas tarefas;
f) obter acesso a qualquer uma das instalações do operador e da pessoa por ele autorizada, incluindo qualquer equipamento e meio de processamento de dados, em conformidade com o direito da União ou o direito processual interno.
(2) Cada autoridade de controlo dispõe dos seguintes poderes corretivos:
a) alertar um operador ou pessoa por ele autorizada sobre a possibilidade de as operações de tratamento prestadas violarem o disposto neste regulamento;
b) emitir avisos dirigidos a um operador ou a uma pessoa autorizada pelo operador no caso
em que as operações de tratamento violaram o disposto neste regulamento;
(em 23 de maio de 2018 Art. 58, parágrafo (2), letra B. do capítulo VI, seção 2 retificado pelo ponto 17. da Retificação de 23-
maio-2018)
c) instruir o operador ou a pessoa por ele autorizada a cumprir os pedidos do interessado para o exercício dos seus direitos ao abrigo do presente regulamento;
d) instruir o operador ou a pessoa por ele autorizada a garantir a conformidade das operações de tratamento com o disposto neste regulamento, especificando, se for o caso, o método e o prazo para tal;
e) obrigar o operador a informar o interessado sobre uma violação da protecção de dados pessoais;
f) impor uma limitação temporária ou definitiva, incluindo a proibição de processamento;
g) ordenar a retificação ou eliminação dos dados pessoais ou a restrição do tratamento, nos termos dos artigos 16.º, 17.º e 18.º, bem como a notificação dessas ações aos destinatários a quem os dados pessoais foram divulgados, nos termos do artigo 17.º parágrafo (2º) e com o artigo 19; h) retirar uma certificação ou obrigar o organismo de certificação a retirar uma certificação emitida nos termos dos artigos 42.º e 43.º ou obrigar o organismo de certificação a não emitir uma certificação se os requisitos de certificação não forem ou deixarem de ser cumpridos;
i) impor multas administrativas nos termos do artigo 83.º, em complemento ou em substituição das medidas mencionadas neste número, dependendo das circunstâncias de cada caso;
j) ordenar a suspensão dos fluxos de dados para um destinatário de um país terceiro ou para uma organização internacional.
(3) Cada autoridade de controlo dispõe dos seguintes poderes de autorização e aconselhamento: a) aconselhar o operador de acordo com o procedimento de consulta prévia referido no artigo 36.º;
b) emitir pareceres, por sua própria iniciativa ou a pedido, ao parlamento nacional, ao governo do Estado membro ou, nos termos da legislação interna, a outras instituições e órgãos, bem como ao público, sobre qualquer aspecto relacionado à proteção de dados pessoais;
c) autorizar o tratamento referido no artigo 36.º, n.º 5, se a legislação do Estado membro prever tal autorização prévia;
d) emitir parecer e aprovar projetos de códigos de conduta, nos termos do n.º 40 do artigo 5.º;
e) credenciar os organismos certificadores nos termos do artigo 43.º;
f) emitir certificações e aprovar critérios de certificação nos termos do n.º 42 do artigo 5.º; g) adotar as cláusulas-tipo de proteção de dados referidas no artigo 28.º, n.º 8, e no artigo 46.º, n.º 2, alínea d);
h) autorizar as cláusulas contratuais referidas na alínea a) do n.º 46 do artigo 3.º;
i) autorizar os acordos administrativos referidos na alínea b) do n.º 46 do artigo 3.º; e
j) aprovar regras societárias obrigatórias nos termos do artigo 47.
(4) O exercício dos poderes conferidos à autoridade de supervisão nos termos deste artigo está sujeito a garantias adequadas, incluindo recursos judiciais efetivos e processos justos, previstos no direito da União e no direito interno, de acordo com a Carta.
(5) Cada Estado-Membro prevê, através de legislação, o facto de a sua autoridade de controlo ter competência para levar às autoridades judiciais casos de violação do presente regulamento e,
consoante o caso, iniciar ou de outra forma envolver-se em processos judiciais, a fim de garantir a aplicação das disposições do presente regulamento.
(6) Cada Estado-Membro pode prever na sua lei ou facto que a sua autoridade de supervisão tenha poderes adicionais, além dos mencionados nos parágrafos (1), (2) e (3). O exercício destas competências não prejudica o funcionamento eficiente do Capítulo VII.
Art. 59: Relatórios de atividades
Cada autoridade de controlo elabora um relatório anual sobre as suas atividades, que pode incluir uma lista dos tipos de infrações notificadas e dos tipos de medidas tomadas em conformidade com o artigo 58.º, n.º 2. Os relatórios são apresentados ao parlamento nacional, ao governo e a outras autoridades designadas pela legislação nacional. São disponibilizados ao público, à Comissão e ao comité.
CAPÍTULO VII: Cooperação e coerência
Seção 1: Cooperação
Art. 60: Cooperação entre a principal autoridade de supervisão e as outras autoridades de supervisão interessadas
(1) A principal autoridade de supervisão coopera com as outras autoridades de supervisão interessadas, nos termos deste artigo, na tentativa de chegar a um consenso. A principal autoridade de supervisão e as autoridades de supervisão em causa comunicam entre si todas as informações relevantes. (2) A principal autoridade de supervisão pode, a qualquer momento, solicitar a outras autoridades de supervisão interessadas que prestem assistência mútua nos termos do artigo 61.º e pode realizar operações conjuntas nos termos do artigo 62.º, em particular com vista à realização de investigações ou ao acompanhamento da implementação de um medidas relacionadas com um operador ou pessoa autorizada pelo operador, estabelecida noutro Estado-Membro.
(3) A principal autoridade de supervisão comunica sem demora as informações relevantes sobre esta matéria às outras autoridades de supervisão interessadas. A principal autoridade de supervisão transmite sem demora um projeto de decisão às outras autoridades de supervisão interessadas, a fim de obter o seu parecer, e tem devidamente em conta os seus pareceres.
(4) Se qualquer uma das outras autoridades de supervisão interessadas manifestar, no prazo de quatro semanas após ter sido consultada nos termos do parágrafo (3) deste artigo, uma objeção relevante e fundamentada ao projeto de decisão, a autoridade de supervisão, o órgão principal, se o fizer não cumprir a objeção relevante e fundamentada ou considerar que a objeção não é relevante ou fundamentada, deve notificar o mecanismo de garantia de coerência a que se refere o artigo 63.º.
(5) Se pretender dar cumprimento à objeção relevante e fundamentada, a principal autoridade de supervisão enviará um projeto de decisão revisto às outras autoridades de supervisão interessadas, a fim de obter o seu parecer. Este projeto de decisão revisto está sujeito ao procedimento referido no n.º 4 durante um período de duas semanas.
(6) No caso de nenhuma das outras autoridades de supervisão em causa ter levantado objecções ao projecto de decisão apresentado pela principal autoridade de supervisão no prazo referido nos parágrafos (4) e (5), considera-se que a principal autoridade de supervisão e as autoridades de supervisão interessadas concordam com o respetivo projeto de decisão, que se torna vinculativo para elas.
(7) A autoridade supervisora principal adota a decisão e uma notificação ao escritório principal ou ao escritório único do operador ou à pessoa autorizada pelo operador, conforme o caso, e informa as outras autoridades supervisoras interessadas e o comitê sobre o decisão em questão, incluindo um resumo dos elementos e razões relevantes. A autoridade de controlo à qual a reclamação foi apresentada informa o reclamante sobre a decisão.
(8) Em derrogação do n.º 7, se uma reclamação for recusada ou rejeitada, a autoridade de controlo à qual a reclamação foi apresentada adota a decisão, notifica o reclamante e informa o operador sobre isso.
(9) Se a autoridade de controlo principal e as autoridades de controlo em causa concordarem em recusar ou rejeitar determinadas partes de uma reclamação e em prosseguir com outras partes da respetiva reclamação, é adotada uma decisão separada para cada uma destas partes. A principal autoridade de supervisão adota a decisão para a parte interessada nas ações relacionadas com o operador, uma notificação à sede
sede principal ou única do operador ou da pessoa autorizada pelo operador no território do Estado-Membro em questão e informa o reclamante sobre isso, enquanto a autoridade de supervisão do reclamante adota a decisão para a parte interessada com a recusa ou rejeição de a respectiva reclamação, notificar o reclamante e informar o operador ou a pessoa por ele autorizada sobre o facto.
(10) Após a notificação da decisão da autoridade supervisora principal nos termos dos parágrafos (7) e (9), o operador ou a pessoa autorizada pelo operador toma as medidas necessárias para garantir que as atividades de processamento estejam em conformidade com a decisão em todas as suas instalações na União. O operador ou a pessoa por ele autorizada notifica as medidas tomadas para dar cumprimento à decisão da autoridade de controlo principal, que informa as restantes autoridades de controlo interessadas.
(11) Se, em circunstâncias excepcionais, uma autoridade de controlo em causa tiver motivos para considerar que existe uma necessidade urgente de agir para proteger os interesses das pessoas em causa, será aplicado o procedimento de emergência previsto no artigo 66.º.
(12) A autoridade de controlo principal e as outras autoridades de controlo em causa trocam entre si as informações solicitadas ao abrigo do presente artigo, por via eletrónica, através de um formulário normalizado.
Art. 61: Assistência mútua
(1) As autoridades de supervisão devem fornecer-se mutuamente informações e assistência relevantes para implementar o presente regulamento de forma coerente e estabelecer medidas de cooperação eficazes entre elas. A assistência mútua refere-se, em particular, a pedidos de informação e medidas de vigilância, tais como pedidos de autorizações e consultas prévias, inspeções e investigações.
(2) Cada autoridade de controlo toma todas as medidas adequadas necessárias para responder a um pedido de outra autoridade de controlo, sem demora injustificada e, o mais tardar, no prazo de um mês a contar da data de recepção do pedido. Estas medidas podem incluir, nomeadamente, a transmissão de informações relevantes sobre a condução de uma investigação.
(3) Os pedidos de assistência incluem todas as informações necessárias, incluindo a finalidade do pedido e as razões que lhe estão subjacentes. A informação objeto da troca é utilizada apenas para o fim para o qual foi solicitada.
(4) A autoridade de controlo requerida não pode recusar satisfazer o pedido, a menos que:
a) não tem competência quanto ao objeto do pedido ou às medidas que é solicitado a executar; ou
b) o cumprimento do pedido violaria o presente regulamento ou o direito da União ou o direito interno ao qual se enquadra a autoridade de controlo que recebeu o pedido.
(5) A autoridade de controlo à qual o pedido foi dirigido informa a autoridade de controlo que enviou o pedido sobre os resultados ou, se for o caso, sobre os progressos realizados ou as medidas tomadas para responder ao pedido. A autoridade de controlo requerida deve fundamentar cada recusa de cumprimento do pedido nos termos do n.º 4.
(6) Regra geral, as autoridades de controlo requeridas fornecem as informações solicitadas por outras autoridades de controlo por via eletrónica, através de um formulário normalizado.
(7) As autoridades de supervisão requeridas não cobram qualquer taxa pelas ações por elas tomadas com base num pedido de assistência mútua. As autoridades de supervisão podem acordar algumas regras relativas à remuneração mútua no caso de despesas específicas resultantes da concessão de assistência mútua em situações excepcionais.
(8) Se uma autoridade supervisora não fornecer as informações referidas no parágrafo (5) deste artigo no prazo de um mês após o recebimento da solicitação de outra autoridade supervisora, esta última poderá adotar uma medida provisória no território do seu próprio Estado membro, em conformidade com o artigo 55.º, n.º 1. Neste caso, considera-se que a necessidade urgente de agir nos termos do artigo 66.º, n.º 1, está satisfeita e exige uma decisão vinculativa urgente do comité, em conformidade com o artigo 66.º, n.º 2.
(9) A comissão, através de um ato de execução, poderá especificar a forma e os procedimentos para a assistência mútua mencionada neste artigo, bem como os métodos de troca de informações eletronicamente entre as autoridades de supervisão e entre as autoridades de supervisão e o comitê, em especial
o formulário padrão mencionado no parágrafo (6) deste artigo. Os respetivos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 93.º, n.º 2.
Art. 62: Operações conjuntas das autoridades de supervisão
(1) Conforme o caso, as autoridades de supervisão realizam operações conjuntas, incluindo investigações conjuntas e medidas conjuntas de aplicação da lei, nas quais estão envolvidos membros ou pessoal das autoridades de supervisão de outros Estados-Membros.
(2) Se o operador ou a pessoa autorizada pelo operador tiver escritórios em vários Estados-Membros ou se um número significativo de titulares de dados de vários Estados-Membros for susceptível de ser significativamente afectado pelas operações de tratamento, uma autoridade de supervisão de cada um dos respectivos membros os estados têm o direito de participar em operações conjuntas. A autoridade de supervisão competente nos termos do artigo 56.º, n.ºs 1 ou 4, convida as autoridades de supervisão de cada um desses Estados-Membros a participar nessas operações conjuntas e responde sem demora ao pedido de uma autoridade de supervisão para participar .
(3) Uma autoridade de controlo pode, em conformidade com o direito interno e com o acordo da autoridade de controlo do Estado-Membro de origem, conceder poderes, incluindo poderes de investigação, a membros ou funcionários da autoridade de controlo do Estado-Membro de origem envolvidos em operações conjuntas ou, na medida em que a legislação do Estado-Membro da autoridade de controlo do Estado-Membro receptor o permita, pode autorizar os membros ou o pessoal da autoridade de controlo do Estado-Membro de origem a exercer os seus poderes de investigação em conformidade com o a lei desse Estado-Membro das autoridades seguintes. Esses poderes de investigação só podem ser exercidos sob a coordenação e na presença de membros ou pessoal da autoridade de controlo do Estado-Membro de acolhimento. Os membros ou pessoal da autoridade de controlo no Estado-Membro de origem estão sujeitos ao direito interno ao qual se enquadra a autoridade de controlo no Estado-Membro destinatário.
(4) Se, em conformidade com o n.º 1, o pessoal de uma autoridade de controlo do Estado-Membro de origem exercer a sua actividade noutro Estado-Membro, o Estado-Membro receptor assume a responsabilidade pelas acções do respectivo pessoal, incluindo a responsabilidade por quaisquer danos causados pelos respetivos funcionários no decurso das suas operações, de acordo com a legislação do Estado membro em cujo território realizam as suas operações.
(5) O Estado-Membro em cujo território ocorreram os danos deverá reparar esses danos nas condições aplicáveis aos danos causados pelo seu próprio pessoal. O Estado-Membro de origem da autoridade de controlo cujo pessoal causou danos a uma pessoa no território de outro Estado-Membro reembolsa esse outro Estado-Membro todos os montantes que pagou aos titulares em seu nome.
(6) Sem prejuízo do exercício dos seus direitos perante terceiros e com exceção do parágrafo (5), cada Estado membro abstém-se, no caso previsto no parágrafo (1), de reclamar de outro Estado membro o reembolso da indemnização pelos danos mencionados no parágrafo (4).
§ 7º Caso seja planejada uma operação conjunta e uma autoridade fiscalizadora não cumpra, no prazo de um mês, a obrigação prevista na segunda frase do parágrafo (2) deste artigo, as demais autoridades supervisoras poderão adotar uma medida provisória no território do Estado membro dessa autoridade, nos termos do artigo 55.º. Neste caso, a necessidade urgente de agir nos termos do artigo 66.º, n.º 1, considera-se satisfeita e requer uma notificação urgente ou uma decisão vinculativa urgente por parte do comité, nos termos do artigo 66.º, n.º 2.
Seção 2: Garantia de consistência
Art. 63: O mecanismo para garantir a coerência
A fim de contribuir para a aplicação coerente do presente regulamento em toda a União, as autoridades de supervisão cooperarão entre si e, se for o caso, com a Comissão através do mecanismo para garantir a coerência, conforme previsto na presente secção.
Art. 64: O parecer da comissão
(1) A comissão emite parecer sempre que uma autoridade de controlo competente pretende adotar alguma das medidas abaixo. Para o efeito, a autoridade de controlo competente comunica o projeto de decisão à comissão, quando:
a) visa adotar uma lista de operações de tratamento que estão sujeitas à obrigação de realização de uma avaliação de impacto na proteção de dados, nos termos do artigo 35.º, n.º 4;
b) nos termos do n.º 40 do artigo 7.º, refere-se ao cumprimento do presente regulamento de um projeto de código de conduta ou de uma modificação ou extensão de um código de conduta;
c) visa aprovar os requisitos para a acreditação de um organismo nos termos do artigo 41.º
parágrafo (3), de um organismo de certificação de acordo com o artigo 43, parágrafo (3) ou os critérios
da certificação referida no n.º 42 do artigo 5.º;
(a partir de 23 de maio de 2018, Art. 64, parágrafo (1), letra C. do capítulo
VII, secção 2 retificado pelo ponto 18. da Retificação de
23 de maio de 2018)
d) visa determinar as cláusulas-tipo de proteção de dados referidas no artigo 46.º, n.º 2, alínea d), ou no artigo 28.º, n.º 8;
e) visa autorizar as cláusulas contratuais mencionadas no artigo 46, parágrafo 3, letra (a); ou f) refere-se à aprovação de regras societárias obrigatórias na acepção do artigo 47.
(2) Qualquer autoridade de supervisão, o presidente do comité ou a Comissão podem solicitar que qualquer assunto de aplicação geral ou que produza efeitos em mais de um Estado membro seja examinado pelo comité para obter um parecer, especialmente se uma autoridade de a supervisão competente não cumpre as obrigações relativas à assistência mútua, nos termos do artigo 61.º, ou às operações conjuntas, nos termos do artigo 62.º.
(3) Nos casos referidos nos números (1) e (2), a comissão emite parecer sobre o assunto que lhe é apresentado, desde que ainda não tenha sido emitido parecer sobre o mesmo assunto. O respetivo parecer é adotado no prazo de oito semanas por maioria simples dos membros da comissão. Este prazo pode ser prorrogado por seis semanas, tendo em conta a complexidade do assunto. No que diz respeito ao projeto de decisão referido no n.º 1, enviado aos membros da comissão nos termos do n.º 5, considera-se que um membro que não tenha levantado objeções num prazo razoável indicado pelo presidente concorda com o projeto de decisão.
(4) As autoridades de supervisão e a Comissão comunicam por via electrónica ao comité, sem demora injustificada, através de um formulário normalizado, quaisquer informações relevantes, incluindo, se for o caso, um resumo dos factos, o projecto de decisão, as razões que levam necessário adotar tais medidas, bem como os pareceres de outras autoridades de supervisão interessadas.
(5) O presidente do comitê informa eletronicamente, sem demora injustificada:
a) aos membros do comité e à Comissão relativamente a qualquer informação relevante que lhes seja comunicada, através de um formulário normalizado. O secretariado da comissão fornece traduções de informações relevantes, quando necessário; e
b) a autoridade de supervisão mencionada, conforme o caso, nos parágrafos (1) e (2), e a Comissão relativamente ao parecer e publica-o.
(6) A autoridade supervisora competente referida no parágrafo (1) não adota o seu projeto
decisão referida no parágrafo (1) dentro do prazo referido no parágrafo (3).
(em 23 de maio de 2018 Art. 64, parágrafo (6) do Capítulo VII, Seção 2 alterado por
(7) A autoridade de supervisão competente referida no parágrafo (1) leva plenamente em conta o parecer
item 19. da Retificação de 23 de maio
2018)
comissão e comunicar por via electrónica ao presidente da comissão, no prazo de duas semanas a contar da recepção do parecer, se pretende manter ou alterar o seu projecto de decisão e, se necessário,
apresentar o projecto de decisão alterado, através de um formulário normalizado.
(em 23 de maio de 2018 Art. 64, parágrafo (7) do Capítulo VII, Seção 2 alterado por
(8) Se a autoridade de controlo competente a que se refere o n.º 1) informar o presidente da comissão, no prazo referido no n.º 7 deste artigo, que pretende não dar seguimento ao parecer da comissão, no todo ou em parte, apresentando as razões relevantes, o artigo aplica-se
item 19. da Retificação de 23 de maio
2018)
65 parágrafo (1).
(a partir de 23 de maio de 2018, Art. 64, parágrafo (8) do Capítulo VII, Seção 2, alterado pelo ponto 19 da Emenda de 23 de maio de 2018)
Art. 65: Resolução de controvérsias pela comissão
(1) A fim de assegurar a aplicação correta e coerente do presente regulamento em casos individuais, a comissão adota uma decisão vinculativa nos seguintes casos:
a) quando, num dos casos mencionados no artigo 60.º, n.º 4, uma autoridade de controlo em causa tiver formulado uma objeção relevante e fundamentada a um projeto de decisão da autoridade
A principal autoridade de supervisão e a principal autoridade de supervisão não responderam à objeção ou rejeitaram essa objeção por não ser relevante ou motivada. A decisão vinculativa refere-se a todas as questões abrangidas pela objecção relevante e fundamentada, em particular à questão de saber se este regulamento foi
violado;
(a data
23-mai-2018 Art. 65, par. (1), letra A. do capítulo VII, seção 2 retificada pelo ponto 20. da Retificação de 23 de maio de 2018)
b) caso existam opiniões divergentes sobre qual das autoridades de supervisão em causa detém a competência para o cargo principal;
c) se uma autoridade de supervisão competente não solicitar o parecer do comité nos casos referidos no artigo 64.º, n.º 1, ou não tiver em conta o parecer do comité emitido nos termos do artigo 64.º. autoridade em causa ou a Comissão pode comunicar o assunto ao comité.
(2) A decisão referida no parágrafo (1) será adotada no prazo de um mês a partir da apresentação do assunto, por maioria de dois terços dos membros do comitê. Este prazo pode ser prorrogado por um mês, tendo em conta a complexidade do assunto. A decisão referida no n.º 1 é motivada e dirigida à autoridade de controlo principal e a todas as autoridades de controlo interessadas, sendo vinculativa para estas.
(3) Se o comité não tiver conseguido adoptar uma decisão nos termos mencionados no parágrafo (2), adoptará a sua decisão no prazo de duas semanas a contar da data de expiração do segundo mês mencionado no parágrafo (2), por maioria simples dos seus membros. Caso os membros da comissão tenham opiniões divergentes em proporções iguais, a decisão é adotada pelo voto do presidente. (4) As autoridades de supervisão em causa não adotam uma decisão sobre a matéria apresentada à comissão nos termos do parágrafo (1) nos termos mencionados nos parágrafos (2) e (3).
(5) O presidente do comité notificará, sem demora injustificada, a decisão referida no parágrafo (1) às autoridades de supervisão em causa. O Comité informa a Comissão sobre isto. A decisão é publicada no site da comissão, sem demora, após notificação pela autoridade de controlo da decisão final referida no n.º 6.
(6) A autoridade supervisora principal ou, se aplicável, a autoridade supervisora à qual a reclamação foi apresentada adotará sua decisão final com base na decisão referida no parágrafo (1) deste artigo, sem demora injustificada e no prazo máximo de um mês a contar da notificação da sua decisão pela comissão. A autoridade de controlo principal ou, se for o caso, a autoridade de controlo a quem foi apresentada a reclamação informa a comissão sobre a data em que a sua decisão final é notificada ao operador ou à pessoa autorizada pelo operador e, respetivamente, ao interessado. A decisão final das autoridades de supervisão em causa é adotada de acordo com as condições estipuladas nos números 60, 7 e 8 do artigo 9.º. A decisão final refere-se à decisão a que se refere o parágrafo (1) deste artigo e estabelece que a decisão a que se refere esse parágrafo será publicada no site do comitê, nos termos do parágrafo (5). A decisão a que se refere o n.º 1 deste artigo acompanha a decisão final.
Art. 66: Procedimento de emergência
(1) Em circunstâncias excepcionais, quando uma autoridade de controlo em causa considerar que existe uma necessidade urgente de agir para proteger os direitos e liberdades das pessoas em causa, pode, em derrogação do mecanismo para garantir a coerência referido no artigos 63, 64 e 65 ou do procedimento a que se refere o artigo 60, adotar imediatamente medidas provisórias destinadas a produzir efeitos jurídicos em seu próprio território, com prazo de validade determinado, não superior a três meses. A autoridade de supervisão comunica sem demora estas medidas e as razões da sua adoção às outras autoridades de supervisão interessadas, ao comité e à Comissão.
(2) Se uma autoridade de supervisão tiver adotado uma medida nos termos do parágrafo (1) e considerar que é necessário adotar urgentemente medidas definitivas, poderá solicitar um parecer urgente ou uma decisão vinculativa urgente do comité, indicando as razões deste pedido. .
(3) Qualquer autoridade de supervisão pode solicitar ao comité um parecer urgente ou uma decisão vinculativa urgente, conforme o caso, se uma autoridade de supervisão competente não tiver tomado uma medida adequada numa situação em que exista uma necessidade urgente de agir para proteger os direitos e liberdades das pessoas em causa, indicando as razões para solicitar tal parecer ou tal decisão, incluindo a necessidade urgente de agir.
(4) Em derrogação do Artigo 64, parágrafo (3) e do Artigo 65, parágrafo (2), uma notificação urgente ou uma decisão vinculativa urgente referida nos parágrafos (2) e (3) deste artigo é adotada dentro duas semanas com maioria simples dos membros do comitê.
Art. 67: Troca de informações
A Comissão pode adotar atos de execução de âmbito geral para definir as modalidades de intercâmbio eletrónico de informações entre as autoridades de supervisão, bem como entre as autoridades de supervisão e o comité, em particular o formulário normalizado referido no artigo 64.º. adoptada em conformidade com o procedimento de exame referido no n.º 93 do artigo 2.º.
Seção 3: Conselho Europeu de Proteção de Dados
Art. 68: Comitê Europeu de Proteção de Dados
(1) O Comité Europeu para a Proteção de Dados (o "Comité") é criado como um órgão da União e tem personalidade jurídica.
(2) A comissão é representada pelo seu presidente.
(3) O Comité é composto pelo chefe de uma autoridade de controlo de cada Estado-Membro e pela Autoridade Europeia para a Proteção de Dados ou pelos seus respetivos representantes.
(4) Se num Estado-Membro várias autoridades de supervisão forem responsáveis pelo controlo da aplicação das disposições adotadas ao abrigo do presente regulamento, é nomeado um representante comum nos termos da legislação interna do respetivo Estado-Membro.
(5) A comissão tem o direito de participar nas atividades e reuniões da comissão sem ter direito de voto. A comissão nomeia um representante. O presidente do comité comunica as atividades do comité à Comissão. (6) Nos casos a que se refere o artigo 65.º, a Autoridade Europeia para a Proteção de Dados tem direito de voto apenas nas decisões que digam respeito aos princípios e regras aplicáveis às instituições, órgãos, organismos e agências da União que correspondam em substância a os do presente regulamento.
Artigo 69: Independência
(1) A comissão atua com independência no cumprimento das suas tarefas ou no exercício dos seus poderes nos termos dos artigos 70.º e 71.º.
(2) Sem prejuízo dos pedidos da Comissão referidos nos parágrafos 70 e 1 do artigo 2.º, o comité, no desempenho das suas funções ou no exercício dos seus poderes, não solicitará nem aceitará
instruções de qualquer parte externa.
(em 23 de maio de 2018, Art. 69, parágrafo (2) do
capítulo VII, secção 3 corrigida pelo ponto 21. da Correcção de 23 de maio
2018)
Art. 70: Tarefas do comitê
(1) O comité assegura a aplicação coerente do presente regulamento. Para o efeito, por sua própria iniciativa ou, consoante o caso, a pedido da Comissão, o comité tem, nomeadamente, as seguintes funções:
a) Acompanhar e assegurar a correta aplicação do presente regulamento, nos casos previstos nos artigos 64.º e 65.º, sem prejuízo das atribuições das autoridades nacionais de supervisão;
b) aconselhar a Comissão sobre qualquer aspecto relacionado com a protecção de dados pessoais na União, incluindo qualquer proposta de alteração do presente regulamento;
c) aconselhar a Comissão sobre o formato e os procedimentos para a troca de informações entre operadores, pessoas autorizadas pelos operadores e autoridades de supervisão para regras corporativas obrigatórias;
d) emitir orientações, recomendações e boas práticas relativas aos procedimentos de eliminação de ligações a dados pessoais, suas cópias ou reproduções disponíveis nos serviços de comunicações acessíveis ao público, conforme mencionado no n.º 17 do artigo 2.º;
e) examinar, por sua própria iniciativa, a pedido de um dos seus membros ou a pedido da Comissão, qualquer questão relacionada com a aplicação do presente regulamento e emitir orientações, recomendações e melhores práticas para incentivar a aplicação consistente do presente regulamento. este regulamento;
f) emitir diretrizes, recomendações e melhores práticas de acordo com este parágrafo, letra (e), a fim de detalhar os critérios e condições para decisões baseadas na criação de perfis referidos no Artigo 22, parágrafo (2);
g) emitir diretrizes, recomendações e melhores práticas de acordo com a letra (e) deste parágrafo para a determinação de violações de segurança de dados pessoais e a determinação de atrasos injustificados referidos no Artigo 33 parágrafos (1) e (2), bem como quanto a circunstâncias especiais em que um operador ou pessoa por ele autorizada tenha a obrigação de notificar a violação da segurança dos dados pessoais;
h) emitir diretrizes, recomendações e boas práticas de acordo com a letra (e) deste parágrafo sobre as circunstâncias em que uma violação da segurança dos dados pessoais é suscetível de gerar um alto risco para os direitos e liberdades das pessoas físicas, mencionadas no artigo 34 parágrafo (1);
i) emitir diretrizes, recomendações e melhores práticas de acordo com a letra (e) deste parágrafo, a fim de detalhar os critérios e requisitos aplicáveis às transferências de dados pessoais com base nas regras corporativas obrigatórias que devem ser respeitadas pelos operadores e aquelas que devem ser respeitados pelas pessoas autorizadas pelos operadores, bem como quanto aos requisitos adicionais necessários para garantir a proteção dos dados pessoais dos titulares dos dados referidos no artigo 47.º;
j) emitir diretrizes, recomendações e melhores práticas de acordo com a letra (e) deste parágrafo, a fim de detalhar os critérios e requisitos para as transferências de dados pessoais referidas no Artigo 49, parágrafo (1);
k) Desenvolver orientações para as autoridades de supervisão, relativamente à aplicação das medidas referidas nos números 58, 1 e 2 do artigo 3.º e estabelecer multas administrativas nos termos do artigo 83.º;
l 22. de Correção de
23 de maio de 2018)
m) emitir diretrizes, recomendações e boas práticas de acordo com a letra (e) deste parágrafo, a fim de estabelecer procedimentos comuns de denúncia por pessoas físicas de violações deste regulamento, de acordo com o Artigo 54 parágrafo (2);
n) incentivar o desenvolvimento de códigos de conduta e o estabelecimento de mecanismos de certificação, bem como de selos e marcas no domínio da proteção de dados, nos termos dos artigos 40.º e 42.º;
l) rever a aplicação prática de orientações, recomendações e boas práticas; (em 23 de maio de 2018 Art. 70, parágrafo (1), letra L. do capítulo VII, seção 3 alterada pelo ponto
o) aprovar os critérios de certificação nos termos do artigo 42, parágrafo (5) e manter um registro público de
mecanismos de certificação e selos e marcas de proteção de dados, nos termos do artigo 42.º, n.º 8, e operadores certificados ou pessoas autorizadas pelos operadores
certificados, estabelecidos (estabelecidos) em países terceiros, nos termos do artigo 42.º, n.º 7;
(em 23 de maio de 2018 Art. 70, parágrafo (1), letra O. do capítulo VII, seção 3 retificado por p
unctul 23. de Retificação de
23 de maio de 2018)
p) aprovar os requisitos mencionados no parágrafo 43 do artigo 3, para credenciar os órgãos de
certificação a que se refere o artigo 43.º;
(a partir de 23 de maio de 2018, Art. 70, parágrafo (1), lit
ra P. do capítulo VII, seção 3 retificado pelo ponto 24. da retificação do
23 de maio de 2018)
q) submeter à Comissão parecer sobre os requisitos de certificação referidos no n.º 43 do artigo 8.º; r) submeter à Comissão parecer sobre os pictogramas referidos no n.º 12 do artigo 7.º;
s) apresentar à Comissão um parecer para avaliar a adequação do nível de proteção num país terceiro ou numa organização internacional, incluindo para determinar se se trata de um país terceiro, de um território ou de um ou mais setores específicos desse país terceiro, ou uma organização internacional já não garante um nível de proteção adequado. Para este efeito, a Comissão coloca à disposição do comité todos os
a documentação necessária, incluindo a correspondência realizada com as autoridades públicas do país terceiro, relativa a esse país terceiro, a esse território ou a esse setor, ou com a organização internacional;
t) Emitir pareceres sobre os projetos de decisão das autoridades de supervisão de acordo com o mecanismo de garantia de coerência referido no n.º 64 do artigo 1.º relativamente às matérias apresentadas nos termos do n.º 64 do artigo 2.º e emitir decisões vinculativas nos termos do artigo 65.º 66, inclusive nos casos mencionados no artigo XNUMX;
u) promover a cooperação e o intercâmbio bilateral e multilateral eficiente de informações e melhores práticas entre autoridades de supervisão;
v) promover programas conjuntos de formação e facilitar o intercâmbio de pessoal entre autoridades de supervisão, bem como, se for o caso, com autoridades de supervisão de países terceiros ou organizações internacionais;
w) promover o intercâmbio de conhecimentos e documentos relativos à legislação e práticas de proteção de dados com autoridades supervisoras de proteção de dados em todo o mundo;
x) emitir pareceres sobre os códigos de conduta desenvolvidos a nível da União nos termos do artigo 40.º, n.º 9; e
y) manter um registo eletrónico acessível ao público com as decisões tomadas pelas autoridades de supervisão e pelos tribunais relativamente às matérias tratadas no âmbito do mecanismo de garantia da coerência.
(2) Se a Comissão consultar o comité, poderá indicar um prazo, tendo em conta a natureza urgente do assunto.
(3) O comité transmite os seus pareceres, orientações, recomendações e boas práticas à Comissão e ao comité referido no artigo 93.º e torna-os públicos.
(4) Se necessário, o comité consulta as partes interessadas e oferece-lhes a oportunidade de apresentarem observações num prazo razoável. Sem prejuízo do disposto no artigo 76.º, a comissão publica os resultados do procedimento de consulta.
Art. 71: Relatórios
(1) O Comité elabora um relatório anual sobre a proteção das pessoas singulares no que diz respeito ao tratamento na União e, se for caso disso, em países terceiros e organizações internacionais. O relatório é disponibilizado ao público e enviado ao Parlamento Europeu, ao Conselho e à Comissão.
(2) O relatório anual inclui uma análise da aplicação prática das orientações, recomendações e boas práticas referidas no artigo 70.º, n.º 1, alínea l), bem como das decisões obrigatórias referidas no artigo 65.º.
Art. 72: Procedimento
(1) O Comité adota as decisões por maioria simples dos seus membros, salvo disposição em contrário do presente regulamento.
(2) O comité adota o seu próprio regulamento interno com uma maioria de dois terços dos seus membros e organiza os seus próprios mecanismos de funcionamento.
Art. 73: O Presidente
(1) A comissão elege entre os seus membros um presidente e dois vice-presidentes, por maioria simples. (2) O mandato do presidente e dos vice-presidentes é de cinco anos e só pode ser renovado uma vez.
Art. 74: Deveres do presidente
(1) O Presidente tem as seguintes atribuições:
a) convocar as reuniões das comissões e estabelecer a ordem do dia;
b) Notificar as decisões adotadas pela comissão, nos termos do artigo 65.º, às principais autoridades de supervisão e às autoridades de supervisão competentes;
c) zelar pelo cumprimento atempado das atribuições da comissão, especialmente no que diz respeito ao mecanismo de garantia da coerência a que se refere o artigo 63.º.
(2) O Comitê estabelece em seu regulamento e procedimento a distribuição de atribuições entre o presidente e os vice-presidentes.
Art. 75: A Secretaria
(1) O comité dispõe de um secretariado assegurado pela Autoridade Europeia para a Proteção de Dados.
(2) O secretariado desempenha as suas funções exclusivamente com base nas instruções do presidente da comissão.
(3) O pessoal da Autoridade Europeia para a Proteção de Dados envolvido no desempenho das tarefas atribuídas ao comité ao abrigo do presente regulamento é objeto de linhas hierárquicas separadas em relação ao pessoal envolvido no desempenho das tarefas atribuídas à Autoridade Europeia para a Proteção de Dados. Autoridade. (4) Se for caso disso, o comité e a Autoridade Europeia para a Protecção de Dados elaboram e publicam um memorando de entendimento para a implementação deste artigo, que estabelecerá as condições de cooperação e se aplicará ao pessoal da Autoridade Europeia para a Protecção de Dados envolvido no cumprimento as tarefas atribuídas ao comité ao abrigo do presente regulamento. (5) O secretariado fornece apoio analítico, administrativo e logístico ao comité.
(6) O Secretariado é particularmente responsável pelo seguinte:
a) a gestão corrente das atividades do comitê;
b) comunicação entre os membros do comitê, seu presidente e a Comissão;
c) comunicação com outras instituições e público;
d) a utilização de meios eletrônicos para comunicação interna e externa;
e) tradução de informações relevantes;
f) preparar e acompanhar as ações após as reuniões do comitê;
g) preparar, redigir e publicar pareceres, decisões relativas à resolução de litígios entre autoridades de supervisão e outros textos aprovados pela comissão.
Art. 76: Confidencialidade
(1) As discussões no seio da comissão são confidenciais se a comissão considerar que tal é necessário de acordo com o regulamento ou procedimento.
(2) O acesso aos documentos apresentados aos membros do comité, peritos e representantes de terceiros é regulado pelo Regulamento (CE) n.º. 1049/2001 do Parlamento Europeu e do Conselho (1).
(1) Regulamento (CE) nº. Despacho n.º 1049/2001 do Parlamento Europeu e do Conselho, de 30 de maio de 2001, relativo ao acesso do público aos documentos do Parlamento Europeu, do Conselho e da Comissão (JO L 145 de 31.5.2001, p. 43).
CAPÍTULO VIII: Recursos, responsabilidades e sanções
Art. 77: O direito de apresentar uma reclamação a uma autoridade supervisora
(1) Sem prejuízo de quaisquer outras vias de recurso administrativo ou judicial, qualquer titular de dados tem o direito de apresentar reclamação junto de uma autoridade de controlo, nomeadamente no Estado-Membro em que tem a sua residência habitual, onde se situa o seu estabelecimento. de trabalho ou onde ocorreu a alegada violação, se considerar que o tratamento dos dados pessoais que lhe dizem respeito viola o presente regulamento.
(2) A autoridade de controlo à qual a reclamação foi apresentada informa o reclamante sobre o andamento e o resultado da reclamação, incluindo a possibilidade de interpor recurso judicial nos termos do artigo 78.º.
Art. 78: O direito a um recurso judicial efetivo contra uma autoridade de supervisão
(1) Sem prejuízo de quaisquer outras vias de recurso administrativo ou extrajudicial, qualquer pessoa singular ou coletiva tem o direito de exercer um recurso judicial efetivo contra uma decisão juridicamente vinculativa de uma autoridade de supervisão que lhe diga respeito.
(2) Sem prejuízo de quaisquer outros recursos administrativos ou extrajudiciais, cada titular dos dados tem o direito de exercer um recurso judicial efetivo se a autoridade de controlo competente nos termos dos artigos 55.º e 56.º não tratar a reclamação ou não informar o pessoa em causa no prazo de três meses sobre o progresso ou a resolução da reclamação apresentada nos termos do artigo 77.º.
(3) As ações intentadas contra uma autoridade de controlo são intentadas nos tribunais do Estado-Membro em que a autoridade de controlo está estabelecida.
(4) Se os recursos forem interpostos contra uma decisão de uma autoridade de controlo precedida de parecer ou de uma decisão da comissão no âmbito do mecanismo de garantia da coerência, a autoridade de controlo transmite o respetivo parecer ou decisão ao tribunal.
Art. 79: Direito a recurso judicial efetivo contra um operador ou pessoa autorizada pelo operador
(1) Sem prejuízo de qualquer recurso administrativo ou extrajudicial disponível, incluindo o direito de apresentar uma reclamação a uma autoridade de controlo nos termos do artigo 77.º, cada titular de dados terá o direito de exercer um recurso judicial efetivo se considerar que os direitos Os benefícios deste regulamento foram violados como resultado do processamento de seus dados pessoais sem cumprir este regulamento.
(2) As ações intentadas contra um operador ou pessoa autorizada pelo operador são apresentadas nos tribunais do Estado-Membro onde o operador ou pessoa autorizada pelo operador tem a sua sede. Alternativamente, tal ação pode ser intentada nos tribunais do Estado-Membro onde a pessoa em causa tem a sua residência habitual, a menos que o operador ou a pessoa por ele autorizada seja uma autoridade pública de um Estado-Membro que atue no exercício das suas funções. poderes públicos.
Art. 80: Representação dos interessados
(1) O interessado tem o direito de mandatar um organismo, organização ou associação sem fins lucrativos, devidamente constituído de acordo com o direito interno, cujos objectivos estatutários sejam de interesse público, que exerça a sua actividade no domínio da protecção dos direitos e liberdades dos titulares dos dados relativamente à protecção dos seus dados pessoais, de apresentar a reclamação em seu nome, de exercer em seu nome os direitos mencionados nos artigos 77.º, 78.º e 79.º, bem como de exercer o direito de receber a indemnização mencionada nos o artigo 82 em nome do interessado, se tal estiver previsto na legislação interna.
(2) Os Estados membros poderão estabelecer que qualquer órgão, organização ou associação referido no parágrafo (1) deste artigo, independente do mandato de uma pessoa em questão, tenha o direito de apresentar uma reclamação no respectivo Estado membro ao órgão de supervisão autoridade competente nos termos do artigo 77.º e para exercer os direitos referidos nos artigos 78.º e 79.º, se considerar que os direitos de uma pessoa em causa nos termos do presente regulamento foram violados como resultado do tratamento.
Art. 81: Suspensão do processo
(1) Se um tribunal competente de um Estado-Membro tiver informação de que uma ação com o mesmo objeto está pendente num tribunal de outro Estado-Membro relativamente às atividades de tratamento do mesmo operador ou da mesma pessoa autorizada pelo operador, os respetivos contactos judiciais o tribunal do outro Estado-Membro para confirmar a existência de tais ações.
(2) Quando uma acção com o mesmo objecto estiver pendente num tribunal de outro Estado-Membro relativamente às actividades de tratamento do mesmo operador ou da mesma pessoa autorizada pelo operador, qualquer outro tribunal competente que não o tribunal inicialmente notificado pode suspender a acção. pendente com ela.
(3) Se tal acção for julgada no primeiro tribunal, qualquer tribunal remetido posteriormente pode também, a pedido de uma das partes, declinar a sua competência, desde que a referida acção seja da competência do primeiro tribunal remetido e que a lei que lhe é aplicável permite a conexão de ações.
Art. 82: Direito à indemnização e responsabilidade
(1) Qualquer pessoa que tenha sofrido danos materiais ou morais em consequência da violação deste regulamento tem o direito de obter uma indemnização do operador ou da pessoa por ele autorizada pelos danos sofridos.
(2) Qualquer operador envolvido nas operações de processamento é responsável pelos danos causados pelas suas operações de processamento que violem este regulamento. A pessoa autorizada pelo operador é responsável pelos danos causados pelo tratamento apenas se não tiver cumprido as obrigações deste regulamento que cabem especificamente às pessoas autorizadas pelo operador ou agiu fora ou em contradição com as instruções legais do operador .
(3) O operador ou a pessoa por ele autorizada fica exonerado de responsabilidade nos termos do parágrafo (2) se provar que não é de forma alguma responsável pelo evento que causou o dano.
(4) Se vários operadores ou várias pessoas autorizadas pelo operador, ou um operador e uma pessoa autorizada pelo operador estiverem envolvidos (envolvidos) na mesma operação de tratamento e responderem, nos termos dos parágrafos (2) e (3), por qualquer danos causados pelo processamento, cada operador ou pessoa autorizada pelo operador é responsável (responsável) por todos os danos para garantir a compensação efetiva da pessoa em causa.
(5) Caso um operador ou uma pessoa autorizada pelo operador tenha pago, de acordo com o parágrafo (4), integralmente as indenizações pelos danos causados, o respectivo operador ou a respectiva pessoa autorizada pelo operador tem o direito solicitar aos outros operadores ou às outras pessoas autorizadas pelo operador envolvidas na mesma operação de tratamento a recuperação da parte da indemnização que corresponde à sua parte de responsabilidade pelo dano, de acordo com as condições estabelecidas no parágrafo (2).
(6) As ações para o exercício do direito à recuperação das indemnizações pagas são submetidas aos tribunais competentes com base na lei do Estado membro referida no artigo 79.º, n.º 2.
Art. 83: Condições gerais para aplicação de multas administrativas
(1) Cada autoridade de supervisão garante que a imposição de multas administrativas de acordo com este artigo pelas violações deste regulamento referidas nos parágrafos (4), (5) e (6) é, em cada caso, eficaz, proporcional e dissuasiva .
(2) Dependendo das circunstâncias de cada caso individual, serão impostas multas administrativas em adição ou em substituição às medidas mencionadas no Artigo 58, parágrafo (2), letras (a)-(h) e (j). Quando for tomada a decisão sobre a aplicação de uma multa administrativa e a decisão sobre o valor da multa administrativa em cada caso individual, é dada a devida atenção aos seguintes aspectos:
a) a natureza, a gravidade e a duração da violação, tendo em conta a natureza, o âmbito ou a finalidade do tratamento em causa, bem como o número de titulares dos dados afetados e o nível dos danos por eles sofridos;
b) se a violação tiver sido cometida intencionalmente ou por negligência;
c) quaisquer ações tomadas pelo operador ou pela pessoa por ele autorizada para reduzir os danos sofridos pela pessoa em causa;
d) O grau de responsabilidade do operador ou da pessoa por ele autorizada, tendo em conta as medidas técnicas e organizativas por si implementadas nos termos dos artigos 25.º e 32.º; e) quaisquer violações relevantes anteriores cometidas pelo operador ou pessoa autorizada pelo operador;
f) o grau de cooperação com a autoridade supervisora para remediar a violação e mitigar os possíveis efeitos negativos da violação;
g) as categorias de dados pessoais afetados pela violação;
h) a forma como a violação foi levada ao conhecimento da autoridade de controlo, especialmente se e em que medida o operador ou a pessoa por ele autorizada notificou a violação;
i) se as medidas referidas no n.º 58 do artigo 2.º tiverem sido previamente ordenadas contra o operador ou pessoa por ele autorizada no caso relativamente ao mesmo objecto, o cumprimento dessas medidas;
j) adesão aos códigos de conduta aprovados, nos termos do artigo 40.º, ou aos mecanismos de certificação aprovados, nos termos do artigo 42.º; e
k) qualquer outro fator agravante ou atenuante aplicável às circunstâncias do caso, tais como benefícios financeiros adquiridos ou perdas evitadas direta ou indiretamente em decorrência da infração.
(3) Se um operador ou pessoa autorizada pelo operador violar intencionalmente ou por negligência, para a mesma operação de processamento ou para operações de processamento relacionadas, diversas disposições deste regulamento, o valor total da multa administrativa não pode exceder o valor previsto para o violação mais grave.
(4) Por violação das seguintes disposições, de acordo com o parágrafo (2), multas administrativas de até 10 euros ou, no caso de uma empresa, até 000% do valor do
total anual da actividade mundial correspondente ao exercício anterior, tendo em conta o valor mais elevado:
a) as obrigações do operador e da pessoa por ele autorizada nos termos dos artigos 8.º, 11.º, 25.º a 39.º, 42.º e 43.º;
b) as obrigações do organismo de certificação nos termos dos artigos 42 e 43;
c) As obrigações do organismo de monitorização nos termos do artigo 41.º, n.º 4.
(5) Por violações das seguintes disposições, de acordo com o parágrafo (2), multas administrativas de até 20 euros ou, no caso de uma empresa, até 000% do volume de negócios anual total mundial correspondente ao exercício financeiro anterior são aplicados, tendo em conta o valor mais elevado:
a) os princípios básicos do tratamento, incluindo as condições relativas ao consentimento, nos termos dos artigos 5.º, 6.º, 7.º e 9.º;
b) os direitos das pessoas envolvidas, de acordo com os artigos 12 a 22;
c) transferências de dados pessoais para um destinatário de um país terceiro ou de uma organização internacional, nos termos dos artigos 44.º a 49.º;
d) quaisquer obrigações decorrentes da legislação nacional adoptada ao abrigo do Capítulo IX;
e) O incumprimento de uma ordem ou de limitação temporária ou definitiva do tratamento, ou de suspensão dos fluxos de dados, emitida pela autoridade de controlo nos termos do n.º 58 do artigo 2.º, ou a não concessão de acesso, em violação do disposto no n.º 58 do artigo 1.º XNUMX).
(6) Pela violação de ordem emitida pela autoridade de controlo nos termos do n.º 58 do artigo 2.º, aplicam-se multas administrativas até 2 euros, nos termos do n.º 20 deste artigo, ou, no caso de uma empresa, até 000% do total do volume de negócios anual mundial correspondente ao exercício anterior, tendo em conta o valor mais elevado. (000) Sem prejuízo dos poderes corretivos das autoridades de supervisão referidos no artigo 4, parágrafo (7), cada Estado-Membro pode estabelecer regras para estabelecer se e em que medida podem ser impostas multas administrativas às autoridades públicas e aos organismos públicos estabelecidos no respectivo estado membro.
(8) O exercício pela autoridade de controlo dos seus poderes ao abrigo do presente artigo ocorre na condição da existência de garantias processuais adequadas, em conformidade com o direito da União e o direito interno, incluindo recursos judiciais efetivos e o direito a um julgamento justo.
(9) Caso o ordenamento jurídico do Estado-Membro não preveja multas administrativas, este artigo pode ser aplicado para que a multa seja iniciada pela autoridade de controlo competente e imposta pelos tribunais nacionais competentes, garantindo, ao mesmo tempo, a facto de estes recursos serem eficazes e terem efeito equivalente ao das coimas administrativas aplicadas pelas autoridades de controlo. Em qualquer caso, as coimas aplicadas devem ser eficazes, proporcionadas e dissuasivas. Os respectivos Estados membros informarão a Comissão das disposições de direito interno que adotarem em conformidade com este parágrafo até 25 de maio de 2018, bem como, sem demora, de qualquer ato legislativo modificativo ou de qualquer alteração posterior do mesmo.
Art. 84: Sanções
(em 29 de dezembro de 2017, o Art. 84 do Capítulo VIII era relativo ao Regulamento 2226/30 de novembro de 2017)
(1) Os Estados-Membros estabelecerão as regras relativas a outras sanções aplicáveis em caso de infração ao presente regulamento, em especial no caso de infrações que não estejam sujeitas a coimas administrativas nos termos do artigo 83.º, e tomarão todas as medidas necessárias para garantir a sua aplicação. As respetivas sanções são eficazes, proporcionais e dissuasivas.
(2) Cada Estado membro informa a Comissão sobre as disposições de direito interno que adota nos termos do parágrafo (1) até 25 de maio de 2018, bem como, sem demora, sobre qualquer modificação posterior das mesmas.
CAPÍTULO IX: Disposições relativas a situações específicas de tratamento
Art. 85: Tratamento e liberdade de expressão e informação
(1) Através do direito interno, os Estados-Membros asseguram um equilíbrio entre o direito à protecção dos dados pessoais ao abrigo do presente regulamento e o direito à liberdade de expressão e
de informação, incluindo o tratamento para fins jornalísticos ou para fins de expressão académica, artística ou literária.
(2) Para o tratamento efectuado para fins jornalísticos ou para efeitos de expressão académica, artística ou literária, os Estados-Membros prevêem isenções ou derrogações ao disposto no capítulo II (princípios), no capítulo III (direitos do titular dos dados ), do capítulo IV (o operador e da pessoa por ele autorizada), do capítulo V (transferência de dados pessoais para países terceiros ou organizações internacionais), do capítulo VI (autoridades de controlo independentes), do capítulo VII (cooperação e coerência) e do capítulo IX (situações específicas de tratamento de dados) se forem necessários para garantir o equilíbrio entre o direito à proteção dos dados pessoais e a liberdade de expressão e informação.
(3) Cada Estado-Membro informa a Comissão sobre as disposições de direito interno que adotou nos termos do parágrafo (2), bem como, sem demora, sobre qualquer ato legislativo que altere ou qualquer alteração posterior do mesmo.
Art. 86: Processamento e acesso público a documentos oficiais
Os dados pessoais constantes de documentos oficiais na posse de uma autoridade pública ou de um organismo público ou privado para o desempenho de uma missão que sirva o interesse público podem ser divulgados por essa autoridade ou organismo em conformidade com o direito da União ou com o direito interno ao abrigo do qual a autoridade ou o órgão, a fim de estabelecer um equilíbrio entre o acesso do público aos documentos oficiais e o direito à proteção dos dados pessoais nos termos deste regulamento.
Art. 87: Processamento de um número de identificação nacional
Os Estados-Membros podem especificar mais pormenorizadamente as condições específicas para o tratamento de um número de identificação nacional ou de qualquer outro identificador de aplicabilidade geral. Neste caso, o número de identificação nacional ou qualquer outro identificador com aplicabilidade geral é utilizado apenas com base em garantias adequadas dos direitos e liberdades da pessoa em causa ao abrigo do presente regulamento.
Rt. 88: Processamento no contexto do emprego
(1) Por lei ou através de acordos colectivos, os Estados-Membros podem estabelecer regras mais detalhadas para garantir a protecção dos direitos e liberdades relativos ao tratamento de dados pessoais dos trabalhadores no contexto do emprego, especialmente para efeitos de recrutamento, do cumprimento de as cláusulas do contrato de trabalho, incluindo o cumprimento das obrigações estabelecidas na lei ou nas convenções colectivas, de gestão, planeamento e organização do trabalho, de igualdade e diversidade no local de trabalho, de garantia da saúde e segurança no local de trabalho, de protecção bens do empregador ou do cliente, bem como para efeitos de exercício e usufruto, individual ou colectivo, de direitos e benefícios relacionados com o emprego, bem como para cessação de relações laborais.
(2) Estas regras incluem medidas adequadas e específicas para garantir a dignidade humana, os interesses legítimos e os direitos fundamentais das pessoas em causa, especialmente no que diz respeito à transparência do tratamento, à transferência de dados pessoais dentro de um grupo de empresas ou de um grupo de empresas envolvidas numa actividade económica comum e sistemas de monitorização no local de trabalho.
(3) Cada Estado membro informa a Comissão sobre as disposições de direito interno que adota nos termos do parágrafo (1) até 25 de maio de 2018, bem como, sem demora, sobre qualquer modificação posterior das mesmas.
Art. 89: Garantias e dispensas de tratamento para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos.
(1) O tratamento para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos ocorre sob condição da existência de garantias adequadas, nos termos do presente regulamento, dos direitos e liberdades das pessoas em causa. As respetivas garantias asseguram que foram estabelecidas as medidas técnicas e organizativas necessárias para garantir, nomeadamente, o cumprimento do princípio da minimização de dados. Estas medidas podem incluir a pseudonimização, desde que desta forma sejam cumpridas as respetivas finalidades. Quando as respetivas finalidades possam ser cumpridas através de um tratamento posterior que não permita ou já não permita a identificação das pessoas em causa, as respetivas finalidades são cumpridas desta forma.
(2) No caso de os dados pessoais serem tratados para fins de investigação científica ou histórica ou para fins estatísticos, o direito da União ou o direito interno podem prever isenções dos direitos mencionados nos artigos 15.º, 16.º, 18.º e 21.º, nas condições e garantias previstas no parágrafo (1) deste artigo, na medida em que os respectivos direitos sejam de natureza a impossibilitar ou afetar gravemente a consecução dos objetivos específicos, sendo as respectivas derrogações necessárias ao cumprimento desses objetivos.
(3) Se os dados pessoais forem tratados para fins de arquivo de interesse público, o direito da União ou o direito interno podem prever isenções dos direitos mencionados nos artigos 15.º, 16.º, 18.º, 19.º, 20.º e 21.º, sujeitas às condições e garantias fornecidas. no parágrafo (1) deste artigo, na medida em que os respectivos direitos sejam de natureza a impossibilitar ou afetar gravemente a consecução dos objetivos específicos, e as respectivas derrogações sejam necessárias para o cumprimento desses objetivos.
(4) Se o tratamento mencionado nos parágrafos (2) e (3) servir simultaneamente outra finalidade, as derrogações aplicam-se apenas ao tratamento para os fins mencionados nos respetivos parágrafos.
Art. 90: Obrigações de confidencialidade
(1) Os Estados-Membros podem adotar regras específicas para estabelecer os poderes das autoridades de supervisão, previstos no artigo 58.º, n.º 1, alíneas e) e (f), em relação aos operadores ou pessoas autorizadas por operadores que, nos termos do direito da União ou do direito interno ou ao abrigo das regras estabelecidas pelos órgãos nacionais competentes, têm a obrigação de guardar sigilo profissional ou outras obrigações equivalentes de confidencialidade, se tal for necessário e proporcionado para estabelecer um equilíbrio entre o direito à protecção dos dados pessoais pessoais e a obrigação de manter a confidencialidade. As respetivas regras aplicam-se apenas no que diz respeito aos dados pessoais que o operador ou a pessoa por ele autorizada recebeu em resultado ou no contexto de uma atividade que se enquadre nesta obrigação de confidencialidade. (2) Cada Estado membro notificará a Comissão das regras adotadas nos termos do parágrafo (1) até 25 de maio de 2018, bem como, sem demora, qualquer modificação subsequente das mesmas.
Art. 91: Normas existentes no domínio da protecção de dados para igrejas e associações religiosas
(1) Se, num Estado-Membro, as igrejas e associações ou comunidades religiosas aplicarem, à data de entrada em vigor do presente regulamento, um conjunto abrangente de regras para a protecção das pessoas singulares no que diz respeito ao tratamento, essas regras podem continuar a aplicar-se. aplicáveis, desde que estejam alinhados com este regulamento.
(2) As igrejas e associações religiosas que apliquem um conjunto abrangente de regras de acordo com o parágrafo (1) deste artigo estão sujeitas à supervisão de uma autoridade supervisora independente que possa ser especificada, desde que cumpram as condições estabelecidas no Capítulo VI do este regulamento.
CAPÍTULO X: Atos delegados e atos de execução
Art. 92: Exercício de delegação
(1) A competência para adotar atos delegados é conferida à Comissão nas condições previstas neste artigo.
(2) A delegação de poderes prevista no artigo 12.º, n.º 8, e no artigo 43.º, n.º 8, é conferida à Comissão por tempo indeterminado a partir de 24 de maio de 2016.
(3) A delegação de poderes referida no artigo 12.º, n.º 8, e no artigo 43.º, n.º 8, pode ser revogada a qualquer momento pelo Parlamento Europeu ou pelo Conselho. A decisão de revogação põe fim à delegação de poderes especificada na respetiva decisão. A decisão entra em vigor no dia seguinte ao da sua publicação no Jornal Oficial da União Europeia ou em data posterior mencionada na decisão. A decisão não afeta a validade dos atos delegados já em vigor.
(4) Assim que adotar um ato delegado, a Comissão notificará simultaneamente o Parlamento Europeu e o Conselho.
(5) Um ato delegado adotado nos termos do artigo 12.º, n.º 8, e do artigo 43.º, n.º 8, só entra em vigor se nem o Parlamento Europeu nem o Conselho tiverem levantado objeções no prazo de três meses a contar da sua notificação ao Parlamento Europeu e ao Conselho. Conselho, ou em
se, antes do termo do respetivo mandato, o Parlamento Europeu e o Conselho tiverem informado a Comissão de que não levantarão objeções. O respetivo mandato é prorrogado por três meses por iniciativa do Parlamento Europeu ou do Conselho.
Art. 93: Procedimento de comitê
(1) A comissão é assistida por um comité. O respetivo comité é um comité na aceção do Regulamento (UE) n.º. 182/2011.
(2) Se for feita referência a este número, o artigo 5.º do Regulamento (UE) n.º. 182/2011.
(3) Se for feita referência a este número, o artigo 8.º do Regulamento (UE) n.º. 182/2011 em conjugação com o artigo 5.º desse regulamento.
CAPÍTULO XI: Disposições finais
Art. 94: Revogação da Diretiva 95/46/CE
(1) A Decisão 95/46/CE é revogada com efeitos a partir de 25 de maio de 2018.
(2) As referências à directiva revogada são interpretadas como referências ao presente regulamento. As referências ao Grupo de Trabalho para a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais estabelecido pelo artigo 29.º da Diretiva 95/46/CE são interpretadas como referências ao Comité Europeu de Proteção de Dados criado pelo presente regulamento.
Art. 95: Relação com a Diretiva 2002/58/EC
O presente regulamento não impõe obrigações adicionais às pessoas singulares ou colectivas no que diz respeito ao tratamento no âmbito da prestação de serviços de comunicações electrónicas destinados ao público nas redes de comunicações públicas da União, no que diz respeito aos aspectos para os quais têm obrigações específicas perante o mesmo objectivo pretendido na Directiva 2002/58/CE.
Art. 96: Relação com acordos previamente celebrados
Os acordos internacionais que envolvam a transferência de dados pessoais para países terceiros ou organizações internacionais, que tenham sido celebrados pelos Estados membros antes de 24 de maio de 2016 e que estejam em conformidade com o direito da União aplicável antes dessa data, permanecem em vigor até serem modificados, substituídos ou revogado.
Art. 97: Relatórios da Comissão
(1) Até 25 de maio de 2020 e, posteriormente, de quatro em quatro anos, a Comissão apresenta ao Parlamento Europeu e ao Conselho um relatório sobre a avaliação e revisão do presente regulamento. Os relatórios são tornados públicos.
(2) No contexto das avaliações e revisões referidas no n.º 1, a Comissão examina, em particular, a aplicação e o funcionamento de:
a) capítulo V relativo à transferência de dados pessoais para países terceiros ou organizações internacionais, tendo em conta, nomeadamente, as decisões adotadas nos termos do artigo 45.º, n.º 3, do presente regulamento e as decisões adotadas nos termos do artigo 25.º, n.º 6, da Diretiva 95/46/CE;
b) capítulo VII sobre cooperação e coerência.
(3) Para efeitos do n.º 1, a Comissão pode solicitar informações aos Estados-Membros e às autoridades de supervisão.
(4) Ao realizar as avaliações e revisões referidas nos n.ºs 1 e 2, a Comissão tem em conta as posições e conclusões do Parlamento Europeu, do Conselho, bem como de outros órgãos ou fontes relevantes.
(5) A Comissão apresenta, se necessário, propostas adequadas para alterar o presente regulamento, tendo especialmente em conta a evolução no domínio da tecnologia da informação e tendo em conta os progressos da sociedade da informação.
Art. 98: Revisão de outros atos jurídicos da União em matéria de proteção de dados
Se necessário, a Comissão apresenta propostas legislativas para alterar outros atos jurídicos da União relativos à proteção de dados pessoais, a fim de garantir uma proteção uniforme e consistente das pessoas singulares em termos de tratamento. Isto diz respeito, em particular, às regras relativas à proteção das pessoas singulares em termos de tratamento pelas instituições, órgãos, organismos e agências da União, bem como às regras relativas à livre circulação destes dados.
Art. 99: Entrada em vigor e aplicação
(1) O presente regulamento entra em vigor no vigésimo dia a contar da data da sua publicação no Jornal Oficial da União Europeia.
(2) Este regulamento é aplicável a partir de 25 de maio de 2018.
Este regulamento é obrigatório em todos os seus elementos e aplica-se diretamente em todos os Estados-Membros.
--****-
Feito em Bruxelas, em 27 de abril de 2016.
JA HENNIS-PLASSCHAERT
Publicado no Diário Oficial número 119L de 4 de maio de 2016
Pelo Parlamento Europeu, o Presidente
M SCHULZ
Pelo Conselho o Presidente
