|
|
EXPLANATORY MEMORANDUM
|
EXPOSIÇÃO DE MOTIVOS
|
|
1.
CONTEXT OF THE PROPOSAL
|
1.
CONTEXTO DA PROPOSTA
|
|
This explanatory memorandum further details
the approach for the new legal framework for the protection of personal data in
the EU as presented in Communication COM (2012) 9 final. The legal framework
consists of two legislative proposals:
|
A presente exposição de motivos apresenta mais
em pormenor o novo quadro jurídico proposto para a proteção dos dados pessoais
na União Europeia como consta da Comunicação COM (2012) 9 final. Este novo
quadro jurídico consiste em duas propostas legislativas:
|
|
–
a proposal for a Regulation of the European
Parliament and of the Council on the protection of individuals with regard to
the processing of personal data and on the free movement of such data (General
Data Protection Regulation), and
|
–
uma proposta de regulamento do Parlamento Europeu e
do Conselho relativo à proteção das pessoas singulares no que diz respeito ao
tratamento de dados pessoais e à livre circulação desses dados (regulamento geral
de proteção de dados), e
|
|
–
a proposal for a Directive of the European
Parliament and of the Council on the protection of individuals with regard to
the processing of personal data by competent authorities for the purposes of
prevention, investigation, detection or prosecution of criminal offences or the
execution of criminal penalties, and the free movement of such data.
|
–
uma proposta de diretiva do Parlamento Europeu e do
Conselho relativa à proteção das pessoas singulares no que diz respeito ao
tratamento de dados pessoais pelas autoridades competentes para efeitos de
prevenção, investigação, deteção e repressão de infrações penais ou de execução
de sanções penais, e à livre circulação desses dados.
|
|
This explanatory memorandum concerns the
latter legislative proposal.
|
A presente exposição de motivos diz respeito à
segunda proposta legislativa.
|
|
The centrepiece of existing EU legislation
on personal data protection, Directive 95/46/EC[1], was
adopted in 1995 with two objectives in mind: to protect the fundamental right
to data protection and to guarantee the free flow of personal data between
Member States. It was complemented by several instruments providing specific
data protection rules in the area of police and judicial co-operation in
criminal matters[2] (ex-third pillar), including Framework Decision 2008/977/JHA[3].
|
O instrumento principal da atual legislação da
UE em matéria de proteção de dados pessoais, a Diretiva 95/46/CE[1], foi adotada em 1995 com dois objetivos em vista: proteger o direito
fundamental à proteção de dados e assegurar a livre circulação de dados
pessoais entre os Estados-Membros. Foi completada por vários instrumentos
contendo regras específicas de proteção dos dados pessoais no âmbito da
cooperação policial e judiciária em matéria penal[2] (antigo
terceiro pilar), nomeadamente a Decisão-Quadro 2008/977/JAI[3].
|
|
The European Council invited the Commission to evaluate the
functioning of EU instruments on data protection and to present, where
necessary, further legislative and non-legislative initiatives[4]. In its resolution on the Stockholm Programme, the European
Parliament[5] welcomed a comprehensive data protection scheme in the EU and among
others called for the revision of the Framework Decision. The Commission
stressed in its Action Plan implementing the Stockholm Programme[6] the need to ensure that the fundamental right to personal data
protection is consistently applied in the context of all EU policies. The
Action Plan underlined that “in a global
society characterised by rapid technological change where information exchange
knows no borders, it is particularly important that privacy must be preserved.
The Union must ensure that the fundamental right to data protection is
consistently applied. We need to strengthen the EU’s stance in protecting the
personal data of the individual in the context of all EU policies, including
law enforcement and crime prevention as well as in our international relations.”
|
O Conselho Europeu convidou a Comissão a avaliar o
funcionamento dos instrumentos da UE relativos à proteção de dados e a
apresentar, se necessário, iniciativas adicionais, legislativas e não
legislativas[4]. Na sua resolução sobre o Programa de Estocolmo, o Parlamento Europeu[5] acolheu favoravelmente a proposta de um regime global de proteção de
dados na União e, designadamente, solicitou a revisão da decisão-quadro. No seu
Plano de Ação de aplicação do Programa de Estocolmo[6], a
Comissão insistiu sobre a necessidade de assegurar uma aplicação coerente do
direito fundamental à proteção de dados pessoais no contexto de todas as
políticas da União. O Plano de Ação sublinhou que «numa sociedade
globalizada, caracterizada por uma evolução tecnológica rápida em que o
intercâmbio de informações não conhece fronteiras, é particularmente importante
respeitar a esfera privada dos cidadãos. A União
deve assegurar que o direito fundamental à proteção de dados é aplicado de
forma sistemática. É necessário reforçar a posição da UE em matéria de proteção
dos dados pessoais no contexto de todas as políticas da União Europeia,
incluindo nos domínios da aplicação da lei e da prevenção da criminalidade, bem
como nas nossas relações internacionais».
|
|
In its Communication on “A comprehensive approach on personal data protection in the European
Union”[7], the Commission concluded that the
EU needs a more comprehensive and coherent policy on the fundamental right to
personal data protection.
|
Na sua Comunicação intitulada «Uma abordagem
global da proteção de dados pessoais na União Europeia»[7], a
Comissão concluiu que a UE carece de uma política mais ampla e coerente
relativa ao direito fundamental à proteção dos dados pessoais.
|
|
Framework Decision 2008/977/JHA has a
limited scope of application, since it only applies to cross-border data
processing and not to processing activities by the police and judiciary
authorities at purely national level. This is liable to create difficulties for
police and other competent authorities in the areas of judicial co-operation in
criminal matters and police co-operation. They are not always able to easily
distinguish between purely domestic and cross-border processing or to foresee
whether certain personal data may become the object of a cross-border exchange
at a later stage(see Section 2 below). Moreover, because of its nature and
content, the Framework Decision leaves a large room for manoeuvre to Member
States' national laws in implementing its provisions. Additionally, it does not
contain any mechanism or advisory group similar to the Article 29 Working Party
supporting common interpretation of its provisions, nor foresees any
implementing powers for the Commission to ensure a common approach in its
implementation.
|
A Decisão-Quadro 2008/977/JAI tem um âmbito de
aplicação limitado, uma vez que apenas se aplica ao tratamento transfronteiriço
de dados, excluindo as atividades de tratamento realizadas pelas autoridades
policiais e judiciárias a nível meramente nacional. Este fator é suscetível de
criar dificuldades às autoridades policiais e a outras autoridades competentes
no domínio da cooperação judiciária em matéria penal e da cooperação policial.
Estas autoridades nem sempre conseguem distinguir facilmente o tratamento
meramente nacional do tratamento transfronteiriço, nem prever se determinados
dados pessoais poderão vir a ser objeto de um intercâmbio transfronteiriço numa
fase ulterior (ver ponto 2 infra). Além disso, por força da sua natureza e
conteúdo, a decisão-quadro deixa uma ampla margem de manobra aos
Estados-Membros na transposição das suas disposições para o direito nacional.
Por outro lado, a decisão-quadro não prevê qualquer mecanismo ou grupo
consultivo análogo ao Grupo de Trabalho do artigo 29.º, que dê apoio a uma interpretação
comum das suas disposições, nem qualquer competência de execução a favor da Comissão
para assegurar uma abordagem comum na sua execução.
|
|
Article 16 (1) of the Treaty on the
Functioning of the European Union (TFEU) establishes the principle that
everyone has the right to the protection of personal data. Moreover, with
Article 16 (2) TFEU, the Lisbon Treaty introduces a specific legal basis for
the adoption of rules on the protection of personal data that also applies to judicial
co-operation in criminal matters and police co-operation. Article 8 of the
Charter of Fundamental Rights
of the EU enshrines protection of personal data as a
fundamental right. Article 16 TFEU requires the legislator to lay down rules
relating to the protection of individuals with regard to the processing of
personal data also in the areas of judicial co-operation in criminal matters
and police co-operation, covering both cross-border and domestic processing of
personal data. This will allow protecting the fundamental rights and freedoms
of natural persons and in particular their right to the protection of personal
data, ensuring at the same time the exchange of personal data for the purposes
of prevention, investigation, detection or prosecution of criminal offences or
the execution of criminal penalties. This will contribute to facilitating the co-operation
in the fight against crime in Europe.
|
O artigo 16.º, n.º 1, do Tratado sobre o
Funcionamento da União Europeia (TFUE), estabelece o princípio de que todas as
pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito.
Além disso, com o artigo 16.º, n.° 2, do TFUE, o Tratado de Lisboa introduziu
uma base jurídica específica para a adoção de regras em matéria de proteção de
dados pessoais, que se aplica igualmente à cooperação judiciária em matéria
penal e à cooperação policial. O artigo 8.º da Carta dos Direitos Fundamentais
da UE consagra a proteção de dados pessoais como um direito fundamental. O
artigo 16.º do TFUE exige que o legislador estabeleça regras relativas à
proteção das pessoas singulares no que respeita ao tratamento de dados pessoais
também nos domínios da cooperação judiciária em matéria penal e da cooperação
policial, abrangendo o tratamento de dados pessoais quer a nível
transfronteiriço quer a nível nacional. Isto permitirá proteger os direitos e
as liberdades fundamentais das pessoas singulares e, em especial, o seu direito
à proteção de dados pessoais, garantindo simultaneamente o intercâmbio de dados
pessoais para efeitos de prevenção, investigação, deteção e repressão de
infrações penais ou de execução de sanções penais, o que contribuirá para
facilitar a cooperação a nível da luta contra a criminalidade na Europa.
|
|
Due to the specific nature of the field of
police and judicial co-operation in criminal matters it was acknowledged in
Declaration 21[8] that specific rules on the protection of personal data and the free
movement of such data in the fields of judicial co-operation in criminal
matters and police co-operation based on Article 16 TFEU may prove necessary.
|
Devido
à natureza específica do domínio da cooperação policial e judiciária em matéria
penal, foi reconhecido na Declaração 21[8], anexada ao TFUE, que poderão ser
necessárias disposições específicas sobre a proteção de dados pessoais e sobre a
livre circulação desses dados, nos domínios da cooperação judiciária em matéria
penal e da cooperação policial, com base no artigo 16.º do TFUE.
|
|
2.
RESULTS OF CONSULTATIONS WITH THE INTERESTED PARTIES
AND IMPACT ASSESSMENTS
|
2.
RESULTADOS DAS CONSULTAS DAS PARTES INTERESSADAS E DA AVALIAÇÃO DE
IMPACTO
|
|
This initiative is the result of extensive
consultations with all major stakeholders on a review of the existing legal
framework for the protection of personal data, which included two phases of
public consultation:
|
A presente iniciativa é o resultado de
consultas exaustivas a todas as principais partes interessadas sobre a
oportunidade de rever o quadro jurídico atual da proteção de dados pessoais,
que incluiu duas fases de consulta pública:
|
|
–
From 9 July to 31 December 2009, the Consultation
on the legal framework for the fundamental right to the protection of personal
data. The Commission received 168 responses, 127 from individuals, business
organisations and associations and 12 from public authorities. The
non-confidential contributions can be consulted on the Commission’s website[9].
|
–
De 9 de julho a 31 de dezembro de 2009, a «consulta
sobre o quadro jurídico aplicável ao direito fundamental à proteção dos dados
pessoais». A Comissão recebeu 168 respostas, 127
das quais de pessoas singulares, de organizações e de associações, e 12 de autoridades
públicas. Os contributos não confidenciais podem ser consultados no sítio web
da Comissão[9].
|
|
–
From 4 November 2010 to 15 January 2011, the Consultation
on the Commission's comprehensive approach on personal data protection in the
European Union. The Commission received 305 responses, of which 54 from
citizens, 31 from public authorities and 220 from private organisations, in
particular business associations and non-governmental organisations. The
non-confidential contributions can be consulted on the Commission’s website[10].
|
–
De 4 de novembro de 2010 a 15 de janeiro de 2011, a
«consulta sobre a abordagem global da Comissão em matéria de proteção de dados
pessoais na União Europeia». A Comissão recebeu 305
respostas, 54 das quais provenientes de cidadãos, 31 de autoridades públicas e
220 de organizações privadas, nomeadamente associações empresariais e
organizações não governamentais. Os contributos não confidenciais poderão ser
consultados no sítio web da Comissão[10].
|
|
Whereas those consultations focused largely
on the review of Directive 95/46/EC, targeted consultations were conducted with
law enforcement stakeholders; in particular, a workshop was organised on 29
June 2010 with Member States' authorities on the application of data protection
rules to public authorities, including in the area of police co-operation and
judicial co-operation in criminal matters. Furthermore, on 2 February 2011, the
Commission convened a workshop with Member States' authorities to discuss the
implementation of Framework Decision 2008/977/JHA and, more generally, data
protection issues in the area of police co-operation and judicial co-operation
in criminal matters.
|
Uma vez que essas consultas incidiram
essencialmente sobre a revisão da Diretiva 95/46/CE, foram organizadas
consultas dirigidas especialmente aos responsáveis pela aplicação lei; em
particular, foi realizada uma sessão de trabalho em 29 de junho de 2010, com as
autoridades dos Estados-Membros sobre a aplicação das regras de proteção de
dados pessoais às entidades públicas, incluindo no domínio da cooperação policial
e judiciária em matéria penal. Além disso, em 2 de
fevereiro de 2011, a Comissão reuniu autoridades dos Estados-Membros numa
sessão de trabalho com vista a debater a execução da Decisão-Quadro
2008/977/JAI e, mais em geral, questões de proteção de dados no domínio da
cooperação policial e judiciária em matéria penal.
|
|
EU citizens were consulted through a
Eurobarometer survey held in November-December 2010[11]. A
number of studies were also launched.[12] The
“Article 29 Working Party”[13] provided several opinions and useful input to the Commission[14]. The European Data Protection Supervisor also issued a
comprehensive opinion on the issues raised in the Commission's November 2010
Communication.[15]
|
Os cidadãos da União foram
consultados através de um inquérito do Eurobarómetro realizado entre novembro e
dezembro de 2010[11]. Foi igualmente lançado um conjunto de estudos[12]. O Grupo
de Trabalho do artigo 29.º[13] emitiu vários pareceres e contributos úteis dirigidos à Comissão[14]. A Autoridade Europeia para a Proteção de Dados emitiu também um
parecer exaustivo relativo às questões suscitadas na Comunicação da Comissão de
novembro de 2010[15].
|
|
The European Parliament approved by its
resolution of 6 July 2011 a report that supported the Commission’s approach to
reforming the data protection framework.[16] The
Council of the European Union adopted conclusions on 24 February 2011 in which
it broadly supports the Commission's intention to reform the data protection
framework and agrees with many elements of the Commission's approach. The
European Economic and Social Committee likewise supported the Commission's
general thrust to ensure a more consistent application of EU data protection
rules across all Member States and an appropriate revision of the Directive
95/46/EC.[17]
|
O Parlamento Europeu aprovou, através da sua
resolução de 6 de julho de 2011, um relatório que apoiava a abordagem da
Comissão quanto à reforma do quadro legislativo de proteção de dados[16]. O Conselho da União Europeia adotou, em 24 de fevereiro de 2011,
conclusões que apoiam em grande medida a intenção da Comissão de reformar o
quadro da proteção de dados e aprova muitos dos elementos da sua abordagem. O Comité Económico e Social Europeu declarou-se igualmente
favorável a uma revisão adequada da Diretiva 95/46/CE[17], apoiando o objetivo geral da Comissão no sentido
de assegurar uma aplicação mais coerente das regras europeias de proteção de
dados em todos os Estados‑Membros.
|
|
In line with its “Better Regulation”
policy, the Commission conducted an impact assessment of policy alternatives[18]. The impact assessment was based on the three policy objectives of
improving the internal market dimension of data protection, making the exercise
of data protection rights by individuals more effective and creating a
comprehensive and coherent framework covering all areas of Union competence,
including police co-operation and judicial co-operation in criminal matters. As
regards this latter objective in particular, two policy options were assessed:
a first one basically extending the scope of data protection rules in this area
and addressing the gaps and other issues raised by the Framework Decision, and
a second more far-reaching one with very prescriptive and stringent rules,
which would also entail the immediate amendment of all other "former third
pillar" instruments. A third "minimalistic" option based largely
on interpretative Communications and policy support measures, such as funding
programmes and technical tools, with minimum legislative intervention, was not
considered appropriate to address the issues identified in this area in
relation to data protection.
|
Em consonância com a sua
política «Legislar melhor», a Comissão realizou uma avaliação de impacto das
diferentes opções estratégicas[18]. A avaliação de impacto baseou-se nos três
objetivos de melhorar a dimensão «mercado interno» da proteção de dados, tornar
o exercício do direito à proteção de dados pelas pessoas singulares mais eficaz
e criar um quadro global e coerente que abranja todos os domínios de
competência da União, incluindo a cooperação policial e judiciária em matéria
penal. No que diz respeito ao último objetivo em especial, foram examinadas
duas opções: a primeira opção consistia em alargar simplesmente o alcance das regras
de proteção de dados a esse domínio e colmatar as lacunas e outras questões
suscitadas pela decisão-quadro, enquanto a segunda opção, mais completa,
consistia em adotar regras muito normativas e estritas que implicariam, aliás,
a alteração imediata de todos os instrumentos abrangidos pelo «antigo terceiro
pilar». Uma terceira opção, «minimalista», baseada em grande medida em
comunicações interpretativas e medidas de apoio, tais como programas de
financiamento e ferramentas técnicas, com uma intervenção legislativa mínima,
não foi considerada adequada para resolver os problemas registados neste
domínio em relação à proteção de dados.
|
|
According to the Commission's established
methodology, each policy option was assessed, with the help of an inter-service
steering group, against its effectiveness to achieve the policy objectives, its
economic impact on stakeholders (including on the budget of the EU
institutions), its social impact and effect on fundamental rights.
Environmental impacts were not observed.
|
Em conformidade com a
metodologia estabelecida pela Comissão, cada opção foi avaliada, com a ajuda de
um grupo diretor interserviços, quanto à sua eficácia para atingir os objetivos
fixados, ao impacto económico sobre as partes interessadas (incluindo sobre o
orçamento das instituições da UE), bem como ao impacto e efeitos sobre os
direitos fundamentais. Não foi avaliado o impacto ambiental.
|
|
The analysis of the overall impact led to
the development of the preferred policy option which is incorporated in the
present proposal. According to the assessment, its implementation will lead to
further strengthening data protection in this policy area in particular by
including domestic data processing, thereby also enhancing legal certainty for competent
authorities in the areas of judicial co-operation in criminal matters and police
co-operation.
|
Essa análise do impacto
global permitiu desenvolver a opção preferida que é parte integrante da
presente proposta. Segundo a avaliação de impacto, a aplicação dessa opção deve
permitir reforçar a proteção dos dados neste domínio, nomeadamente através da
inclusão do tratamento de dados nacional, bem como aumentar a segurança
jurídica para as autoridades competentes nos domínios da cooperação judiciária
em matéria penal e da cooperação policial.
|
|
The Impact Assessment Board (IAB) delivered
an opinion on the draft impact assessment on 9 September 2011. Following the
IAB’s opinion, in particular the following changes were made to the impact
assessment:
|
O comité das avaliações de impacto emitiu um
parecer relativo ao projeto de avaliação de impacto em 9 de setembro de 2011, na sequência do qual foram introduzidas as seguintes
alterações:
|
|
–
The objectives of the current legal framework
(to what extent they were achieved and to what extent they were not), as well
as the objectives of the envisaged reform, were clarified;
|
–
foram clarificados os objetivos do quadro jurídico
atual (em que medida foram ou não atingidos), bem como os objetivos da reforma
prevista;
|
|
–
More evidence and additional
explanations/clarifications were added to the problems' definition section.
|
–
foram acrescentados elementos factuais e
explicações/esclarecimentos adicionais na secção sobre a definição dos
problemas.
|
|
The Commission also prepared an
Implementation Report related to Framework Decision 2008/977/JHA, based on its
Article 29(2), which is to be adopted as part of the present data protection
package[19]. The findings of the report, based on input from Member States,
also fed into the preparation of the Impact Assessment.
|
A Comissão preparou também um relatório sobre
a execução da Decisão-Quadro 2008/977/JAI, com base no artigo 29.º, n.º 2, que
deve ser adotado no quadro do presente pacote de medidas sobre a proteção de
dados[19]. As conclusões desse relatório, que tiveram por base os contributos
dos Estados-Membros, foram igualmente integradas na preparação da avaliação de
impacto.
|
|
3.
LEGAL ELEMENTS OF THE PROPOSAL
3.1.
Legal Basis
|
3.
ELEMENTOS JURÍDICOS DA PROPOSTA
3.1.
Base jurídica
|
|
The proposal is based on Article 16(2)
TFEU, which is a new, specific legal basis introduced by the Lisbon Treaty for
the adoption of rules relating to the protection of individuals with regard to
the processing of personal data by Union institutions, bodies, offices and
agencies, and by the Member States when carrying out activities which fall
within the scope of Union law, and the rules relating to the free movement of
such data.
|
A presente proposta baseia-se no artigo 16.º,
.° 2, do TFUE, que constitui a nova base jurídica específica, introduzida pelo
Tratado de Lisboa, para a adoção de regras em matéria de proteção das pessoas singulares no que diz respeito ao tratamento de
dados pessoais pelas instituições, órgãos, organismos e agências da União, bem
como pelos Estados-Membros no exercício de atividades abrangidas pelo âmbito de
aplicação do direito da União, e de regras relativas à livre circulação desses
dados.
|
|
The proposal aims to ensure a consistent
and high level of data protection in this field, thereby enhancing mutual trust
between police and judicial authorities of different Member States and
facilitating the free flow of data and co-operation between police and judicial
authorities.
|
A proposta visa assegurar um nível coerente e
elevado de proteção de dados neste domínio, favorecendo deste modo a confiança
mútua entre as autoridades policiais e judiciárias dos diferentes
Estados-Membros e facilitando a livre circulação dos dados e a cooperação entre
as referidas autoridades.
|
|
3.2.
Subsidiarity and proportionality
|
3.2.
Subsidiariedade e proporcionalidade
|
|
According to the principle of subsidiarity
(Article 5(3) TEU), action at Union level shall be taken only if and in so far
as the objectives envisaged cannot be achieved sufficiently by Member States,
but can rather, by reason of the scale or effects of the proposed action, be
better achieved by the Union. In the light of the problems outlined above, the
analysis of subsidiarity indicates the necessity of EU-level action in the
areas of police and criminal justice on the following grounds:
|
Segundo o princípio da subsidiariedade (artigo
5.º, n.º 3, do TUE), devem ser adotadas medidas a nível da União apenas se e na
medida em que os objetivos previstos não possam ser suficientemente alcançados
pelos Estados-Membros, podendo, contudo, ser mais bem alcançados a nível da
União devido à dimensão ou aos efeitos da ação proposta. Atendendo aos problemas acima mencionados, a análise da
subsidiariedade indica a necessidade de uma ação a nível da UE nos domínios
policial e da justiça penal pelas seguintes razões:
|
|
–
The right to the protection of personal data,
enshrined in Article 8 of the Charter of Fundamental Rights and in Article 16(1)
TFEU, requires the same level of data protection throughout the Union. It
requires the same level of protection for data exchanged and data processed at
domestic level.
|
–
o direito à proteção de dados pessoais, consagrado
no artigo 8.º da Carta dos Direitos Fundamentais, e no artigo 16.°, n.° 1, do
TFUE, exige o mesmo nível de proteção dos dados no conjunto da União. Requer o
mesmo nível de proteção para os dados trocados e tratados a nível nacional;
|
|
–
There is a growing need for law enforcement
authorities in Member States to process and exchange at rapidly increasing
rates for the purposes of preventing and combating transnational crime and
terrorism. In this context, clear and consistent rules on data protection at EU
level will help fostering co-operation between such authorities.
|
–
torna-se cada vez mais necessário que as
autoridades de aplicação da lei nos Estados‑Membros possam tratar e
trocar os dados mais rapidamente, a fim de prevenir e lutar contra a
criminalidade transnacional e o terrorismo. Neste contexto, regras claras e
coerentes em matéria de proteção de dados a nível da UE contribuirão para
desenvolver a cooperação entre as referidas autoridades;
|
|
–
In addition, there are practical challenges to
enforcing data protection legislation and a need for co-operation between
Member States and their authorities, which need to be organised at EU level to
ensure unity of application of Union law. In certain situations, the EU is best
placed to ensure effectively and consistently the same level of protection for
individuals when their personal data are transferred to third countries.
|
–
além disso, existem
desafios práticos que se colocam à correta aplicação da legislação sobre a
proteção de dados e a necessidade de cooperação entre os Estados-Membros e as
suas autoridades competentes, que deve ser organizada a nível da UE de forma a
assegurar a uniformidade de aplicação do direito da União. Em certas situações,
a UE está também melhor posicionada para assegurar, de forma eficaz e coerente,
o mesmo nível de proteção às pessoas singulares quando os seus dados pessoais
são transferidos para países terceiros;
|
|
–
Member States cannot alone reduce the problems
in the current situation, particularly those due to the fragmentation in
national legislations. Thus, there is a specific need to establish a harmonised
and coherent framework allowing for a smooth transfer of personal data across
borders within the EU while ensuring effective protection for all individuals
across the EU.
|
–
os Estados-Membros não podem, por si só, reduzir os
problemas na situação atual, particularmente os que se devem à fragmentação das
legislações nacionais. Assim, existe uma necessidade
especial de criação de um quadro harmonizado e coerente que permita uma
transferência fácil dos dados pessoais para além das fronteiras nacionais a
nível da UE, assegurando simultaneamente a proteção efetiva de todas as pessoas
singulares no conjunto da União;
|
|
–
The proposed EU legislative action is likely to
be more effective than similar actions at the level of Member States because of
the nature and scale of the problems, which are not confined to the level of
one or several Member States.
|
–
as ações legislativas propostas a nível da UE têm
melhores probabilidades de serem eficazes do que ações similares dos
Estados-Membros devido à natureza e à dimensão dos problemas, que não se
restringem a um ou vários Estados-Membros.
|
|
The principle of proportionality requires
that any intervention is targeted and does not go beyond what is necessary to
achieve the objectives. This principle has guided the preparation of this
proposal, from the identification and evaluation of alternative policy options
to the drafting of the legislative proposal.
|
O princípio da proporcionalidade exige que
qualquer intervenção seja específica e não exceda o necessário para alcançar os
objetivos definidos. Este princípio orientou a preparação da presente proposta
legislativa, desde a identificação e a avaliação das diferentes opções até à
sua redação.
|
|
A Directive is therefore the best
instrument to ensure harmonisation at EU level in this area while at the same
time leaving the necessary flexibility to Member States when implementing the
principles, the rules and their exemptions at national level. Given the
complexity of the current national rules for the protection of personal data
processed in the area of police co-operation and judicial co-operation in
criminal matters, and the objective of comprehensive harmonisation of these
rules by way of this Directive, the Commission will need to request Member
States to provide explanatory documents explaining the relationship between the
components of the Directive and the corresponding parts of national
transposition instruments in order to be able to carry out its task of
overseeing the transposition of this Directive.
|
Uma diretiva é, portanto, o instrumento mais
adequado para assegurar uma harmonização a nível da UE neste domínio, deixando
aos Estados-Membros a flexibilidade necessária na execução dessas regras e
princípios, bem como das suas derrogações a nível nacional. Tendo em conta a
complexidade das regras nacionais atuais relativas à proteção de dados pessoais
tratados no domínio da cooperação policial e da cooperação judiciária em
matéria penal, bem como do objetivo de harmonização global dessas regras por
via de uma diretiva, a Comissão solicitará aos Estados-Membros que lhe forneçam
os documentos explicativos sobre a relação entre os elementos da diretiva e as
partes correspondentes dos instrumentos nacionais de transposição, a fim de
poder cumprir a missão de que está investida de acompanhamento da transposição
da presente diretiva.
|
|
3.3.
Summary of fundamental rights issues
|
3.3.
Resumo dos aspetos relativos aos direitos
fundamentais
|
|
The right to protection of personal data is
established by Article 8 of the Charter on Fundamental Rights of the EU and
Article 16 TFEU as well in Article 8 of the ECHR. As underlined by the Court of
Justice of the EU[20], the right to the protection of personal data is not an absolute
right, but must be considered in relation to its function in society[21]. Data protection is closely linked to respect for private and
family life protected by Article 7 of the Charter. This is reflected in Article
1(1) of Directive 95/46/EC, which provides that Member States shall protect
fundamental rights and freedoms of natural persons and in particular their
right to privacy with respect of the processing of personal data.
|
O direito à proteção dos dados pessoais está
consagrado no artigo 8.º da Carta dos Direitos Fundamentais da UE e no artigo
16.º do TFUE, bem como no artigo 8.º da Convenção Europeia dos Direitos do
Homem (CEDH). Conforme sublinhado pelo Tribunal de
Justiça da UE[20], o direito à proteção dos dados pessoais não é absoluto, mas deve ser
considerado em relação à sua função na sociedade[21]. A
proteção de dados está profundamente relacionada com o respeito pela vida
privada e familiar, protegido pelo artigo 7.º da Carta. Tal encontra-se
refletido no artigo 1.º, n.º 1, da Diretiva 95/46/CE, que prevê que os Estados-Membros
devem assegurar os direitos e liberdades fundamentais das pessoas singulares e,
em especial, o direito à privacidade no que diz respeito ao tratamento de dados
pessoais.
|
|
Other potentially affected fundamental
rights enshrined in the Charter are the prohibition of any discrimination
amongst others on grounds such as race, ethnic origin, genetic features,
religion or belief, political opinion or any other opinion, disability or
sexual orientation (Article 21); the rights of the child (Article 24) and the right
to an effective remedy before a tribunal and a fair trial (Article
47).
|
Os outros direitos fundamentais consagrados na
Carta suscetíveis de serem afetados são, entre outros, a proibição de
discriminação em razão da raça, origem étnica, características genéticas,
religião ou convicções, opiniões políticas ou outras, deficiência ou orientação
sexual (artigo 21.º), os direitos da criança (artigo 24.º) e o direito à ação e
a um tribunal imparcial (artigo 47.º).
|
|
3.4.
Detailed explanation of the proposal
3.4.1.
CHAPTER I – GENERAL PROVISIONS
|
3.4.
Explicação pormenorizada da proposta
3.4.1.
CAPÍTULO I – DISPOSIÇÕES GERAIS
|
|
Article 1 defines the subject matter of the
Directive, i.e. rules relating to processing of personal data for the purposes
of prevention, investigation, detection or prosecution of criminal offences or
the execution of criminal offences, and sets out the Directive's two-fold
objective, i.e. to protect the fundamental rights and freedoms of natural
persons and in particular their right to the protection of personal data while
guaranteeing a high level of public safety, and to ensure the exchange of
personal data between competent authorities within the Union.
|
O artigo 1.º define o objeto da diretiva, ou
seja, o estabelecimento de regras relativas ao tratamento de dados pessoais
para efeitos de prevenção, investigação, deteção e repressão de infrações
penais ou de execução de sanções penais, e enuncia os dois objetivos da diretiva,
ou seja, proteger os direitos e as liberdades fundamentais das pessoas
singulares e, em especial, os seus direitos à proteção dos dados pessoais,
assegurando simultaneamente um elevado nível de segurança pública, bem como
assegurar o intercâmbio de dados pessoais entre as autoridades competentes a nível
da União.
|
|
Article 2 defines the scope of application
of the Directive. The scope of the Directive is not limited to cross-border
data processing but applies to all processing activities carried out by
'competent authorities' (as defined in Article 3(14)) for the purposes of the
Directive. The Directive applies neither to processing in the course of an
activity which falls outside the scope of Union law, nor to processing by Union
institutions, bodies, offices and agencies, which is subject to Regulation (EC)
No 45/2001 and other specific legislation.
|
O artigo 2.º define o
âmbito de aplicação da diretiva, que não está limitado ao tratamento de dados
transfronteiriço, mas que se aplica ao conjunto das atividades de tratamento efetuadas
pelas «autoridades competentes» (definidas no artigo 3.º, n.º 14) para efeitos
da diretiva. A diretiva não se aplica ao tratamento no contexto de uma
atividade não abrangida pelo âmbito de aplicação do direito da União, nem ao
tratamento de dados pelas instituições, órgãos, organismos, e agências da União
Europeia, abrangido pelo Regulamento (CE) n.° 45/2001 e outra legislação
específica.
|
|
Article 3 contains definitions of terms
used in the Directive. While some definitions are taken over from Directive
95/46/EC and Framework Decision 2008/977/JHA, others are modified, complemented
with additional or newly introduced elements. New definitions are those of
‘personal data breach’, ‘genetic data’ and ‘biometric data’, ‘competent
authorities’ (based on Article 87 TFEU and Article 2(h) of Framework Decision
2008/977/JHA) and, of a 'child’, based on the UN Convention on the Rights of
the Child[22].
|
O artigo 3.º define os
termos utilizados na diretiva. Embora algumas definições tenham sido
transpostas da Diretiva 95/46/CE e da Decisão-Quadro 2008/977/JAI, outras foram
alteradas ou completadas por elementos suplementares, ou são novas. As novas
definições são a «violação de dados pessoais», «dados genéticos» e «dados
biométricos», «autoridades competentes» [esta última definição tem por base o
artigo 87.º do TFUE e o artigo 2.º, alínea h), da Decisão-Quadro 2008/977/JAI]
e «criança», definição baseada na Convenção das Nações Unidas sobre os Direitos
da Criança[22].
|
|
3.4.2.
CHAPTER II – PRINCIPLES
|
3.4.2.
CAPÍTULO II – PRINCÍPIOS
|
|
Article 4 sets out the principles relating
to processing of personal data reflecting Article 6 of Directive 95/46/EC and
Article 3 of Framework Decision 2008/977/JHA, while adjusting them to the
particular context of this Directive.
|
O artigo 4.º enuncia os princípios que regulam
o tratamento de dados pessoais, refletindo o artigo 6.º da Diretiva 95/46/CE e
o artigo 3.º da Decisão-Quadro 2008/977/JAI, adaptando estes princípios ao
contexto particular da presente diretiva.
|
|
Article 5 requires the distinction, as far
as possible; between personal data of different categories of data subjects. This
is a new provision, included neither in Directive 95/46/EC nor in Framework
Decision 2008/977/JHA, but which had been proposed by the Commission in its original
proposal for the Framework Decision[23]. It is
inspired by the Council of Europe's Recommendation No R (87)15. Similar rules
already exist for Europol[24] and Eurojust[25].
|
O artigo 5.º exige que os
Estados-Membros estabeleçam na medida do possível, uma distinção entre dados
pessoais de diferentes categorias de titulares de dados. Trata-se de uma
disposição nova, que não consta da Diretiva 95/46/CE nem da Decisão-Quadro
2008/977/JAI, mas que a Comissão tinha inserido na sua proposta inicial de
decisão-quadro[23]. Inspira-se na Recomendação n.° R (87)15 do Conselho da Europa. Já existem regras semelhantes para a Europol[24] e a Eurojust[25].
|
|
Article 6 on different degrees of accuracy
and reliability reflects principle 3.2 of Council of Europe Recommendation No R
(87)15. Similar rules, as also included in the Commission's proposal for the
Framework Decision, exist for Europol[26].
|
O artigo 6.º, relativo aos diferentes níveis
de exatidão e de fiabilidade dos dados pessoais, reflete o princípio 3.2 da
Recomendação n.º R (87)15 do Conselho da Europa. Existem
regras semelhantes para a Europol[26], igualmente incluídas na proposta da Comissão da decisão‑quadro.
|
|
Article 7 sets out the grounds for lawful
processing, when necessary for the performance of a task carried out by a
competent authority based on national law, to comply with a legal obligation to
which the data controller is subject, in order to protect the vital interests
of the data subject or another person or to prevent an immediate and serious
threat to public security. The other grounds for lawful processing in Article 7
of Directive 95/46/EC are not appropriate for the processing in the area of
police and criminal justice.
|
O artigo 7.º enuncia os motivos que
fundamentam o tratamento lícito quando necessário para a execução de uma missão
por uma autoridade competente ao abrigo do direito nacional, para o respeito de
uma obrigação legal à qual esteja sujeito o responsável pelo tratamento, para assegurar
os interesses vitais do titular de dados ou de um terceiro, ou para evitar uma
ameaça grave e imediata para a segurança pública. Os outros motivos que fundamentam o tratamento lícito, referidos no artigo 7.º da Diretiva
95/46/CE, não são pertinentes para efeitos do tratamento de dados em matéria
policial e penal.
|
|
Article 8 sets out a general prohibition of
processing special categories of personal data and the exceptions from this
general rule, building on Article 8 of Directive 95/46/EC and adding genetic
data, following ECtHR case law[27].
|
O artigo 8.º estabelece a
proibição geral de tratamento de categorias especiais de dados pessoais e as
exceções a esta regra geral, com base no artigo 8.º da Diretiva 95/46/CE,
acrescentando os dados genéticos, em conformidade com a jurisprudência do
Tribunal de Europeu dos Direitos do Homem (TEDH)[27].
|
|
Article 9 establishes a prohibition of
measures based solely on automated processing of personal data if not
authorised by law providing appropriate safeguards, in line with Article 7 of
Framework Decision 2008/977/JHA.
|
O artigo 9.º estabelece uma proibição de medidas
exclusivamente baseadas no tratamento automatizado de dados pessoais, salvo se
estiver autorizado por lei que preveja as garantias adequadas, na aceção do
artigo 7.º da Decisão-Quadro 2008/977/JAI.
|
|
3.4.3.
CHAPTER III - RIGHTS OF THE DATA SUBJECT
|
3.4.3.
CAPÍTULO III - DIREITOS DO TITULAR DOS DADOS
|
|
Article 10 introduces the obligation for
Member States to ensure easily accessible and understandable information,
inspired in particular by principle 10 of the Madrid Resolution on international
standards on the protection of personal data and privacy[28], and to
oblige controllers to provide procedures and mechanisms for facilitating the
exercise of the data subject's rights. This includes the requirement that the
exercise of the rights shall be in principle free of charge.
|
O artigo 10.º introduz a obrigação de os
Estados-Membros assegurarem informações de fácil acesso e compreensão, que se
inspira especialmente no princípio 10 da Resolução de Madrid sobre as regras
internacionais em matéria de proteção de dados pessoais e da vida privada[28], e imporem aos responsáveis pelo tratamento de dados que prevejam procedimentos
e mecanismos que facilitem o exercício dos direitos pelos titulares de dados. Tal inclui a obrigação de prever o exercício, em princípio
gratuito, desses direitos.
|
|
Article 11 specifies the obligation for
Member States to ensure the information towards the data subject. These
obligations are building on Articles 10 and 11 of Directive 95/46/EC, without
separate articles differentiating whether the information is collected from the
data subject or not, and enlarging the information to be provided. It lays down
exemptions from the obligation to inform, when such exemptions are
proportionate and necessary in a democratic society for the exercise of the
tasks of competent authorities (inspired by Article 13 of Directive 95/46/EC
and Article 17 Framework Decision 2008/977/JHA).
|
O artigo 11.º enuncia a
obrigação que incumbe aos Estados-Membros de assegurar a informação do titular
de dados. Estas obrigações têm por base os artigos 10.º e 11.º da Diretiva
95/46/CE, sem artigos separados que especifiquem se as informações são ou não
recolhidas junto do titular de dados, alargando assim as informações a
fornecer. Este artigo prevê igualmente exceções à obrigação de informações sempre
que estas são necessárias e proporcionadas numa sociedade democrática para o exercício
das funções das autoridades competentes (com base no artigo 13.º da Diretiva
95/46/CE e no artigo 17.º da Decisão‑Quadro 2008/977/JAI).
|
|
Article 12 provides the obligation for
Member States to ensure the data subject's right of access to their personal
data. It follows Article 12(a) of Directive 95/46/EC, adding new elements for
the information of the data subjects (on the storage period, their rights to
rectification, erasure, or restriction and to lodge a complaint).
|
O artigo 12.° prevê
a obrigação de os Estados-Membros assegurarem o direito de acesso aos dados
pessoais do titular desses dados. Retoma o disposto no artigo 12.º, alínea a),
da Diretiva 95/46/CE, e acrescenta novos elementos, tais como a obrigação de
informar os titulares dos dados (sobre o período de conservação, o direito de
retificação, de apagamento ou de solicitar a limitação do tratamento, bem como
de apresentar uma queixa).
|
|
Article 13 provides that Member States may
adopt legislative measures restricting the right of access if required by the specific
nature of data processing in the areas of police and criminal justice, and on
the information of the data subject on a restriction of access, following
Article 17(2) and (3) of Framework Decision 2008/977/JHA.
|
O artigo 13.º prevê,
inspirado no artigo 17.º, n.os 2 e
3, da Decisão-Quadro 2008/977/JAI, que os Estados-Membros podem adotar medidas
legislativas que restrinjam o direito de acesso se a natureza específica do
tratamento de dados nos domínios policial e judiciário assim o exigirem, bem
como informar o titular de dados sobre a limitação de acesso.
|
|
Article 14 introduces the rule that in
cases where direct access is restricted, the data subject must be informed on the
possibility of indirect access via the supervisory authority, which should
exercise the right on their behalf and must inform the data subject on the
outcome of its verifications.
|
O artigo 14.º introduz a
regra segundo a qual, nos casos em que o acesso direto seja limitado, o titular
dos dados deve ser informado sobre a possibilidade de acesso indireto por
intermédio da autoridade de controlo, que deve exercer esse direito por conta
da referida pessoa e tem a obrigação de a informar sobre o resultado das suas
verificações.
|
|
Article 15 on the right to rectification
follows Article 12(b) of Directive 95/46/EC, and, as regards the obligations in
case of a refusal, Article 18(1) of Framework Decision 2008/977/JHA.
|
O artigo 15.º sobre o
direito de retificação, retoma o disposto no artigo 12.º, alínea b), da
Diretiva 95/46/CE e, no que diz respeito às obrigações impostas em caso de
recusa, o disposto no artigo 18.º, n.º 1, da Decisão-Quadro 2008/977/JAI.
|
|
Article 16 on the right to erasure follows
Article 12(b) of Directive 95/46, and, as regards the obligations in case of a
refusal, Article 18(1) of Framework Decision 2008/977/JHA. It integrates also
the right to have the processing marked in certain cases, replacing the
ambiguous terminology "blocking", used by Article 12(b) of Directive
95/46/EC and Article 18(1) of Framework Decision 2008/977/JHA.
|
O artigo 16.º sobre o
direito de apagamento, retoma o disposto no artigo 12.º, alínea b), da Diretiva
95/46/CE, e, no que diz respeito às obrigações impostas em caso de recusa, o
disposto no artigo 18.º, n.º 1, da Decisão-Quadro 2008/977/JAI. Integra
igualmente o direito à marcação dos dados em determinados casos, evitando o
termo ambíguo «bloqueio», utilizado no artigo 12.º, alínea b), da Diretiva
95/46/CE e no artigo 18.º, n.º 1, da Decisão-Quadro 2008/977/JAI.
|
|
Article 17 on the rectification, erasure
and restriction of processing in judicial proceedings provides clarification
based on Article 4(4) of Framework Decision 2008/977/JHA.
|
O artigo 17.º sobre a retificação, o
apagamento e a limitação do tratamento em processos judiciais, fornece uma
clarificação com base no artigo 4.º, n.º 4, da Decisão-Quadro 2008/977/JAI.
|
|
3.4.4.
CHAPTER IV - CONTROLLER AND PROCESSOR
3.4.4.1.
SECTION 1 GENERAL OBLIGATIONS
|
3.4.4.
CAPÍTULO IV – RESPONSÁVEL PELO TRATAMENTO E
SUBCONTRATANTE
3.4.4.1.
SECÇÃO 1 OBRIGAÇÕES GERAIS
|
|
Article 18 describes the responsibility of
the controller to comply with this Directive and to ensure compliance,
including the adoption of policies and mechanisms for ensuring compliance.
|
O artigo 18.º descreve as obrigações que
incumbem ao responsável pelo tratamento para se conformar com a presente
diretiva e assegurar a sua observância, incluindo através da adoção de regras
internas e mecanismos para esse efeito.
|
|
Article 19 sets out that the Member States
must ensure the compliance of the controller with the obligations arising from
the principles of data protection by design and by default.
|
O artigo 19.º estabelece
que os Estados-Membros devem assegurar que o responsável pelo tratamento
respeite as obrigações decorrentes dos princípios de proteção de dados desde a
conceção e de proteção de dados por defeito.
|
|
Article 20 on joint controllers clarifies
the status of joint controllers as regards their internal relationship.
|
O artigo 20.º relativo aos
responsáveis conjuntos pelo tratamento, clarifica o estatuto destes últimos no
que diz respeito às suas relações internas.
|
|
Article 21 clarifies the position and
obligation of processors, following partly Article 17(2) of Directive 95/46/EC,
and adding new elements, including that a processor that processes data beyond
the controller's instructions is to be considered a co-controller.
|
O artigo 21.º clarifica a
função e as obrigações dos subcontratantes, retomando parcialmente o artigo
17.º, n.º 2, da Diretiva 95/46/CE, e acrescentando novos elementos,
designadamente o facto de um subcontratante que efetue o tratamento de dados de
uma forma diferente da prevista nas instruções do responsável pelo tratamento
dever ser considerado corresponsável pelo tratamento.
|
|
Article 22 on processing under the
authority of the controller and processor follows Article 16 of Directive 95/46/EC.
|
O artigo 22.º sobre o
tratamento efetuado sob a autoridade do responsável pelo tratamento ou do
subcontratante, retoma o disposto no artigo 16.º da Diretiva 95/46/CE.
|
|
Article 23 introduces the obligation for
controllers and processors to maintain documentation of all processing systems
and procedures under their responsibility.
|
O artigo 23.º introduz a
obrigação para os responsáveis pelo tratamento e subcontratantes de manterem documentação
relativa a todos os sistemas e procedimentos de tratamento sob a sua responsabilidade.
|
|
Article 24 concerns the keeping of records,
in line with Article 10(1) of Framework Decision 2008/977, whilst providing further
clarifications.
|
O artigo 24.º diz respeito
à conservação de registos, em linha com o artigo 10.º, n.º 1, da Decisão-Quadro
2008/977, fornecendo, no entanto, clarificações adicionais.
|
|
Article 25 clarifies the obligations of the
controller and the processor regarding co-operation with the supervisory
authority.
|
O artigo 25.º clarifica as
obrigações que incumbem ao responsável pelo tratamento e ao subcontratante
relativamente à cooperação com a autoridade de controlo.
|
|
Article 26 concerns the cases where
consultation with the supervisory authority is mandatory prior to the
processing, based on Article 23 of Framework Decision 2008/977/JHA.
|
O artigo 26.º, inspirado
no artigo 23.º da Decisão-Quadro 2008/977/JAI, visa os casos em que é
obrigatória a consulta da autoridade de controlo previamente ao tratamento.
|
|
3.4.4.2.
SECTION 2 DATA SECURITY
|
3.4.4.2.
SECÇÃO 2 SEGURANÇA DOS DADOS
|
|
Article 27 on the security of processing is
based on the current Article 17(1) of Directive 95/46 on the security of
processing, and Article 22 of Framework Decision 2008/977/JHA, extending the
related obligations to processors, irrespective of their contract with the
controller.
|
O artigo 27.º sobre a segurança do tratamento,
é baseado no atual artigo 17.º, n.º 1, da Diretiva 95/46/CE, relativo à
segurança do tratamento, e no artigo 22.º da Decisão-Quadro 2008/977/JAI,
alargando aos subcontratantes as obrigações daí decorrentes, independentemente
do contrato que celebraram com o responsável pelo tratamento.
|
|
Articles 28 and 29 introduce an obligation
to notify personal data breaches, inspired by the personal data breach
notification in Article 4(3) of the e-Privacy Directive 2002/58/EC, clarifying
and separating the obligations to notify the supervisory authority (Article 28)
and to communicate, in qualified circumstances, to the data subject (Article 29).
Article 29 also provides for exemptions by referring to Article 11(4).
|
Os artigos 28.º e 29.º
introduzem uma obrigação de notificação das violações de dados pessoais, inspirada
na notificação das violações de dados pessoais prevista no artigo 4.º, n.º 3,
da Diretiva 2002/58/CE (relativa à privacidade e às comunicações eletrónicas),
clarificando e distinguindo, por um lado, a obrigação de notificação à autoridade
de controlo (artigo 28.º) e, por outro, a obrigação de informação, em
determinadas circunstâncias, do titular dos dados (artigo 29.º). O artigo 29.º
prevê igualmente derrogações com base nos motivos enumerados no artigo 11.º,
n.º 4.
|
|
3.4.4.3.
SECTION 3 DATA PROTECTION OFFICER
|
3.4.4.3.
SECÇÃO 3 DELEGADO PARA A PROTEÇÃO DE DADOS
|
|
Article 30 introduces an obligation for the
controller to appoint a mandatory data protection officer who should fulfil the
tasks listed in Article 32. Where several competent authorities are acting
under the supervision of a central authority, functioning as controller, at
least this central authority should designate such a data protection officer. Article
18(2) of Directive 95/46/EC provided the possibility for Member States to
introduce such requirement as a surrogate to the general notification
requirement of that Directive.
|
O artigo 30.º introduz a obrigação, que incumbe
ao responsável pelo tratamento, de designar um delegado para a proteção de
dados encarregado das atribuições enumeradas no artigo 32.º. Sempre que várias autoridades competentes atuem sob o
controlo de uma autoridade central, que funciona como responsável pelo
tratamento, deve incumbir pelo menos esta autoridade central designar o
referido delegado. O artigo 18.º, n.º 2, da Diretiva 95/46/CE, prevê a
possibilidade de os Estados-Membros introduzirem esse requisito em vez da
obrigação de notificação geral imposta pela referida diretiva.
|
|
Article 31 sets out the standing of the
data protection officer.
|
O artigo 31.º define a
função do delegado para a proteção de dados.
|
|
Article 32 provides the tasks of the data
protection officer.
|
O artigo 32.º prevê as atribuições
do delegado para a proteção de dados.
|
|
3.4.5.
CHAPTER V - TRANSFER OF PERSONAL DATA TO THIRD
COUNTRIES OR INTERNATIONAL ORGANISATIONS
|
3.4.5.
CAPÍTULO V – TRANSFERÊNCIA DE DADOS PESSOAIS PARA
PAÍSES TERCEIROS OU ORGANIZAÇÕES INTERNACIONAIS
|
|
Article 33 sets out the general principles
for data transfers to third countries or international organisations in the
area of police co-operation and judicial co-operation in criminal matters, including
onward transfers. It clarifies that transfers to third countries may take place
only if the transfer is necessary for the prevention, investigation, detection
or prosecution of criminal offences or the execution of criminal penalties..
|
O artigo 33.º enuncia os princípios gerais aplicáveis
às transferências de dados para países terceiros ou organizações internacionais
no domínio da cooperação policial e da cooperação judiciária em matéria penal,
incluindo as transferências ulteriores. Clarifica que
as transferências para países terceiros só podem ocorrer se forem necessárias
para a prevenção, investigação, deteção e repressão de infrações penais ou a
execução de sanções penais.
|
|
Article 34 lays down that transfers to a
third country may take place in relation to which the Commission has adopted an
adequacy decision under Regulation …./../201X or specifically in the area of
police co-operation and judicial co-operation in criminal matters, or, in the
absence of such decisions, where appropriate safeguards are in place. As long
as adequacy decisions do not exist, the Directive ensures that transfers can
continue to take place on the basis of appropriate safeguards and derogations. It
furthermore sets out the criteria for the Commission’s assessment of an
adequate or not adequate level of protection, and expressly includes the rule
of law, judicial redress and independent supervision. The article also provides
for the possibility for the Commission to assess the level of protection
afforded by a territory or a processing sector within a third country. It
introduces that a general adequacy decision adopted, following the procedures
under Article 38 of the General Data Protection Regulation, shall be applicable
within the scope of this Directive. Alternatively an adequacy decision can be adopted
by the Commission exclusively for the purposes of this Directive.
|
O artigo 34.º autoriza as transferências para
países terceiros em relação aos quais a Comissão tiver adotado uma decisão sobre
o nível de proteção adequado por força do Regulamento .../.../201X, ou
decorrentes especificamente do domínio da cooperação policial e da cooperação
judiciária em matéria penal ou, na falta de tal decisão, se existirem as
garantias adequadas. Enquanto não tiver sido adotada uma decisão que declare o nível
de proteção adequado, a diretiva garante que as
transferências possam prosseguir com base em garantias adequadas e derrogações.
Estabelece, além disso, os critérios de avaliação, por parte da Comissão, de um
nível adequado ou inadequado de proteção, e inclui expressamente o primado do
estado de direito, o direito de recurso judicial e um controlo independente. O
artigo prevê igualmente a possibilidade de a Comissão avaliar o nível de
proteção assegurado por um território ou um setor de tratamento num país
terceiro. Estabelece que uma decisão geral relativa ao nível de proteção
adequado, adotada segundo os procedimentos previstos no artigo 38.º do regulamento
geral de proteção de dados, é aplicável nos limites da presente diretiva. Pode
ser igualmente adotada pela Comissão uma decisão sobre o nível de proteção
adequado para efeitos exclusivos da presente diretiva.
|
|
Article 35 defines the appropriate
safeguards needed prior to international transfers, in the absence of a
Commission adequacy decision. These safeguards may be adduced by a legally
binding instrument such as an international agreement. Alternatively, the data
controller may on the basis of an assessment of the circumstances surrounding
the transfer conclude that they exist.
|
O artigo 35.º define as garantias adequadas que,
na a falta de uma decisão da Comissão sobre o nível de proteção adequado, são
exigidas antes de qualquer transferência internacional. Essas garantias podem ser apresentadas através de um instrumento
juridicamente vinculativo, como um acordo internacional. O responsável pelo
tratamento pode igualmente, com base numa avaliação das circunstâncias
inerentes à transferência, concluir pela existência de tais garantias.
|
|
Article 36 spells out the derogations for
data transfer based on Article 26 of Directive 95/46/EC and Article 13 of
Framework Decision 2008/977/JHA.
|
O artigo 36.º define as derrogações autorizadas
para a transferência de dados, com base no artigo 26.º da Diretiva 95/46/CE e
no artigo 13.º da Decisão-Quadro 2008/977/JAI.
|
|
Article 37 obliges Member States to provide
that the controller informs the recipient of any processing restrictions and
takes all reasonable steps to ensure that these restrictions are met by
recipients of the personal data in the third country or international
organisation.
|
O artigo 37.º obriga os
Estados-Membros a preverem que o responsável pelo tratamento informe o
destinatário de quaisquer restrições de tratamento e tome todas as medidas
razoáveis para assegurar o cumprimento dessas restrições pelos destinatários de
dados pessoais no país terceiro ou na organização internacional.
|
|
Article 38 explicitly provides for
international co-operation mechanisms for the protection of personal data
between the Commission and the supervisory authorities of third countries, in
particular those considered offering an adequate level of protection, taking
into account the OECD’s Recommendation on Cross-border Co-operation in the
Enforcement of Laws Protecting Privacy of 12 June 2007.
|
O artigo 38.º prevê
expressamente a elaboração de mecanismos de cooperação internacionais no
domínio da proteção de dados pessoais entre a Comissão e as autoridades de
controlo dos países terceiros, nomeadamente os que se considera oferecerem um
nível de proteção adequado, tendo em conta a Recomendação da OCDE, relativa à
cooperação transfronteiriça na aplicação de legislações de proteção da
privacidade, de 12 de junho de 2007.
|
|
CHAPTER VI - NATIONAL SUPERVISORY
AUTHORITIES
|
CAPÍTULO VI – AUTORIDADES NACIONAIS DE
CONTROLO
|
|
3.4.5.1.
SECTION 1 INDEPENDENT STATUS
|
3.4.5.1.
SECÇÃO 1 ESTATUTO INDEPENDENTE
|
|
Article 39 obliges Member States to
establish supervisory authorities, following Article 28(1) of Directive
95/46/EC and Article 25 Framework Decision 2008/977/JHA, enlarging the mission
of these authorities to contribute to the consistent application of the Directive
throughout the Union, which may be the supervisory authority established under the
General Data Protection Regulation.
|
O artigo 39.º obriga os Estados-Membros a
criarem autoridades de controlo, nos termos do artigo 28.º, n.º 1, da Diretiva
95/46/CE, e do artigo 25.º da Decisão-Quadro 2008/977/JAI, e alargarem a missão
dessas autoridades a fim de contribuírem para a aplicação coerente da diretiva
no conjunto da União, que poderá ser a autoridade de controlo criada por força
do regulamento geral de proteção de dados.
|
|
Article 40 clarifies the conditions for the
independence of supervisory authorities, implementing case law of the Court of
Justice of the EU[29], inspired also by Article 44 of Regulation (EC) No 45/2001[30].
|
O artigo 40.º clarifica as
condições que garantem a independência das autoridades de controlo, em
aplicação da jurisprudência do Tribunal de Justiça da UE[29], e
inspirando-se igualmente no artigo 44.º do Regulamento (CE) n.º 45/2001[30].
|
|
Article 41 provides general conditions for
the members of the supervisory authority, implementing the relevant case law[31], inspired also by Article 42(2)-(6) of Regulation (EC) 45/2001.
|
O artigo 41.º prevê as condições gerais para
os membros das autoridades de controlo, em aplicação da jurisprudência
relevante[31], baseando-se também no artigo 42.º, n.os 2 a 6, do Regulamento
(CE) 45/2001.
|
|
Article 42 sets out rules on the
establishment of the supervisory authority, including on conditions for its
members, to be provided by the Member States by law.
|
O artigo 42.º define as regras relativas à
criação da autoridade de controlo, incluindo as aplicáveis aos seus membros,
que os Estados-Membros devem estabelecer por via legislativa.
|
|
Article 43 on professional secrecy of the
members and staff of the supervisory authority follows Article 28(7) of
Directive 95/46/EC and Article 25(4) Framework Decision 2008/977/JHA.
|
O artigo 43.º sobre o
sigilo profissional dos membros e do pessoal da autoridade de controlo, retoma
as disposições do artigo 28.º, n.º 7, da Diretiva 95/46/CE, e do artigo 25.º,
n.º 4, da Decisão-Quadro 2008/977/JAI.
|
|
3.4.5.2.
SECTION 2 DUTIES AND POWERS
|
3.4.5.2.
SECÇÃO 2 FUNÇÕES E PODERES
|
|
Article 44 sets out the competence of the
supervisory authorities, based on Article 28(6) of Directive 95/46/EC and
Article 25(1) Framework Decision 2008/977/JHA. Courts, when acting in their judicial
authority, are exempted from the monitoring by the supervisory authority, but
not from the application of the substantive rules on data protection.
|
O artigo 44.º, baseado no artigo 28.º, n.º 6,
da Diretiva 95/46/CE, e no artigo 25.º, n.º 1, da Decisão-Quadro 2008/977/JAI,
define a competência das autoridades de controlo. Os
tribunais, quando atuam na qualidade de poder judiciário, são dispensados da
fiscalização pelas autoridades de controlo, mas não de aplicarem as regras
materiais relativas à proteção de dados.
|
|
Article 45 provides the obligation of
Member States to provide for the duties of the supervisory authority, including
hearing and investigating complaints and promoting the awareness of the public
on risk, rules, safeguards and rights. A particular duty of the supervisory
authorities in the context of this Directive is, where direct access is refused
or restricted, to exercise the right of access on behalf of data subjects and
to check the lawfulness of the data processing.
|
O artigo 45.º prevê a
obrigação de os Estados-Membros definirem as funções da autoridade de controlo,
que consistem nomeadamente em receber e examinar queixas, bem como promover a
sensibilização do público sobre os riscos, regras, garantias e direitos
existentes. Uma função própria às autoridades de controlo no contexto da
presente diretiva consiste, sempre que o acesso direto aos dados seja recusado
ou limitado, em exercer o direito de acesso por conta dos titulares de dados e em
verificar a licitude do tratamento desses dados.
|
|
Article 46 provides the powers of the
supervisory authority, based on Article 28(3) of Directive 95/46/EC, Article
25(2) and (3) of Framework Decision 2008/977/JHA.Article 47 obliges the
supervisory authorities to draw up annual activity reports, based on Article
28(5) of Directive 95/46/EC.
|
O artigo 46.º, baseado no
artigo 28.º, n.º 3, da Diretiva 95/46/CE, e no artigo 25.º, n.os 2 e 3 da Decisão-Quadro 2008/977/JAI, enuncia os
poderes da autoridade de controlo. O artigo 47.º estabelece a obrigação para as
autoridades de controlo de elaborarem relatórios de atividades anuais, com base
no artigo 28.º, n.º 5, da Diretiva 95/46/CE.
|
|
3.4.6.
CHAPTER VII – CO-OPERATION
|
3.4.6.
CAPÍTULO VII – COOPERAÇÃO
|
|
Article 48 introduces rules on mandatory
mutual assistance whereas Article 28 (6)2 of Directive 95/46/EC provided simply
a general obligation to co-operate, without specifying further.
|
O artigo 48.º introduz regras em matéria de
assistência mútua obrigatória, enquanto o artigo 28.º, n.º 6, segundo
parágrafo, da Diretiva 95/46/CE, previa uma mera obrigação geral de cooperação,
sem outra especificação.
|
|
Article 49 provides that the European Data
Protection Advisory Board, established by the General Data Protection
Regulation, exercises its tasks also in relation to processing activities within
the scope of this Directive. In order to provide complementary support, the
Commission will seek the advice of representatives of authorities competent for
the prevention, investigation, detection and prosecution of criminal penalties
of the Member States, as well as representatives of Europol and Eurojust, by
means of an expert group on the law-enforcement related aspects of data
protection.
|
O artigo 49.º prevê que o
Comité Europeu para a Proteção de Dados, criado pelo regulamento geral de
proteção de dados, exerce as suas atribuições também no contexto dos
tratamentos abrangidos pelo âmbito de aplicação da presente diretiva. Tendo em
vista um apoio suplementar, a Comissão solicitará o parecer dos representantes
das autoridades dos Estados‑Membros competentes em matéria de prevenção,
investigação, deteção e repressão de infrações penais, bem como dos
representantes da Europol e da Eurojust, através de um grupo de peritos, sobre
os aspetos relacionados com a aplicação da lei no domínio da proteção de dados.
|
|
3.4.7.
CHAPTER VIII - REMEDIES, LIABILITY AND SANCTIONS
|
3.4.7.
CAPÍTULO VIII – VIAS DE RECURSO, RESPONSABILIDADE E
SANÇÕES
|
|
Article 50 provides the right of any data
subject to lodge a complaint with a supervisory authority, based on Article
28(4) of Directive 95/46/EC, and relates to any infringement of the Directive
in relation to the complainant. It also specifies the bodies, organisations or
associations which may lodge a complaint on behalf of the data subject and also
in case of a personal data breach independently of a data subject's complaint.
|
O artigo 50.º prevê o direito de qualquer
titular de dados apresentar uma queixa a uma autoridade de controlo, com base
no artigo 28.º, n.º 4, da Diretiva 95/46/CE, e visa qualquer infração à
diretiva relacionada com o queixoso. Especifica
também os organismos, organizações ou associações que podem apresentar uma
queixa em nome do titular dos dados ou, em caso de violação de dados pessoais,
independentemente da eventual queixa apresentada por um titular de dados.
|
|
Article 51 concerns the right to a judicial
remedy against a supervisory authority. It builds on the general provision of
Article 28(3) of Directive 95/46/EC and provides specifically that the data
subject may launch a court action for obliging the supervisory authority to act
on a complaint.
|
O artigo 51.º diz respeito
ao direito ao recurso aos tribunais contra uma autoridade de controlo. Tem por
base a disposição geral do artigo 28.º, n.º 3, da Diretiva 95/46/CE, e prevê
especificamente que o titular dos dados pode intentar uma ação em tribunal a
fim de obrigar a autoridade de controlo a dar seguimento a uma queixa.
|
|
Article 52 concerns the right to a judicial
remedy against a controller or processor, based on Article 22 of Directive
95/46/EC and Article 20 of Framework Decision 2008/977/JHA.
|
O artigo 52.º refere-se ao
direito a ação judicial contra um responsável pelo tratamento ou
subcontratante, com base no artigo 22.º da Diretiva 95/46/CE e no artigo 20.º
da Decisão‑Quadro 2008/977/JAI.
|
|
Article 53 introduces common rules for
court proceedings, including the rights of bodies, organisations or
associations to represent data subjects before the courts, and the right of
supervisory authorities to engage in legal proceedings. The obligation of
Member States to ensure rapid court actions is inspired by Article 18(1) of the
e-Commerce Directive 2000/31/EC[32].
|
O artigo 53.º introduz
regras comuns para os procedimentos judiciais, incluindo o direito conferido a
organismos, organizações ou associações de representar os titulares de dados
nos tribunais, e o direito de as autoridades de controlo intervirem em
processos judiciais. A obrigação que incumbe aos Estados-Membros de assegurarem
processos judiciais rápidos é inspirada no artigo 18.º, n.º 1, da Diretiva
2000/31/CE relativa ao comércio eletrónico[32].
|
|
Article 54 obliges Member States to provide
for the right to compensation. It builds on Article 23 of Directive 95/46/EC
and Article 19(1) of Framework Decision 2008/977/JHA, extends this right on
damages caused by processors and clarifies the liability of co-controllers and
co-processors.
|
O artigo 54.º obriga os Estados-Membros a preverem
um direito de indemnização. Tem por base o artigo
23.º da Diretiva 95/46/CE, e o artigo 19.º, n.º 1, da Decisão-Quadro
2008/977/JAI, alargando esse direito aos danos causados pelos subcontratantes e
clarificando a responsabilidade dos responsáveis conjuntos pelo tratamento e
dos subcontratantes que asseguram conjuntamente o tratamento.
|
|
Article 55 obliges Member States to lay
down rules on penalties, to sanction infringements of the Directive, and to
ensure their implementation.
|
O artigo 55.º obriga os
Estados-Membros a estabelecer regras sobre sanções, a sancionar infrações à
diretiva e a assegurar a sua aplicação.
|
|
3.4.8.
CHAPTER IX – DELEGATED ACTS AND IMPLEMENTING
ACTS
|
3.4.8.
CAPÍTULO IX - ATOS DELEGADOS E ATOS DE EXECUÇÃO
|
|
Article 56 contains standard provisions for
the exercise of delegations in line with Article 290 TFEU. This allows the
legislator to delegate to the Commission the power to adopt non-legislative
acts of general application to supplement or amend certain non-essential
elements of a legislative act (quasi-legislative acts).
|
O artigo 56.º contém as disposições-tipo
aplicáveis ao exercício da delegação, nos termos do artigo 290.º do TFUE. Este
último permite ao legislador delegar na Comissão o
poder de adotar atos não legislativos de aplicação geral para completar ou
alterar determinados elementos não essenciais de um ato legislativo (atos
quase-legislativos).
|
|
Article 57 contains the provision for the
Committee procedure needed for conferring implementing powers on the Commission
in cases where, in accordance with Article 291 TFEU, uniform conditions for
implementing legally binding acts of the Union are needed. The examination
procedure applies.
|
O artigo 57.º contém a disposição relativa ao procedimento de comité necessário para
conferir competências de execução à Comissão nos casos em que, em conformidade
com o artigo 291.º do TFUE, são necessárias condições uniformes para a execução
de atos juridicamente vinculativos da União. Aplica-se
o procedimento de exame.
|
|
3.4.9.
CHAPTER X – FINAL PROVISIONS
|
3.4.9.
CAPÍTULO X - DISPOSIÇÕES FINAIS
|
|
Article 58 repeals Framework Decision
2008/977/JHA.
|
O artigo 58.º revoga a Decisão-Quadro
2008/977/JAI.
|
|
Article 59 sets out that specific
provisions with regard to the processing of personal data by competent authorities
for the purposes of prevention, investigation,
detection or prosecution of criminal offences or the execution of criminal
penalties in Union acts, regulating the processing of
personal data or the access to information systems within the scope of the
Directive, and adopted prior to the adoption of this Directive, remain
unaffected.
|
O artigo 59.º estabelece que as disposições
específicas no que respeita ao tratamento de dados pessoais pelas autoridades
competentes para efeitos de prevenção, investigação,
deteção e repressão de infrações penais ou de execução de sanções penais, que
figuram nos atos da União que regulam o tratamento de
dados pessoais ou o acesso aos sistemas de informação abrangidos pelo âmbito de
aplicação da diretiva, e foram adotados antes da adoção da presente diretiva,
não serão afetados.
|
|
Article 60 clarifies the relationship of
this Directive with previously concluded international agreements by Member
States in the field of judicial co-operation in criminal matters and police
co-operation.
|
O artigo 60.º clarifica a
relação da presente diretiva com acordos internacionais concluídos anteriormente
pelos Estados-Membros no domínio da cooperação judiciária em matéria penal e da
cooperação policial.
|
|
Article 61 provides for the obligation of
the Commission to evaluate and report on the implementation of the Directive,
in order to assess the need to align the previously adopted specific provisions
referred to in Article 59 with this Directive.
|
O artigo 61.º estabelece a obrigação de a
Comissão avaliar e redigir um relatório sobre a execução da diretiva, a fim de
apreciar a necessidade de a harmonizar com disposições específicas anteriormente
adotadas, enunciadas no artigo 59.º da presente diretiva.
|
|
Article 62 sets out the obligation of the
Member States to transpose the Directive in their national law and notify to
the Commission the provisions adopted pursuant to the Directive.
|
O artigo 62.º estabelece a
obrigação de os Estados-Membros transporem a diretiva para o seu direito
nacional e notificarem à Comissão as disposições adotadas por força da
diretiva.
|
|
Article 63 determines the date of the entry
into force of the Directive.
|
O artigo 63.º fixa a data
de entrada em vigor da diretiva.
|
|
Article 64 lays down the addressees of this
Directive.
|
O artigo 64.º estabelece os destinatários da
presente diretiva.
|
|
4. BUDGETARY IMPLICATIONS
|
4. INCIDÊNCIA ORÇAMENTAL
|
|
The legislative financial statement
accompanying the proposal for the General Data Protection Regulation covers the
budgetary impacts for the Regulation and this Directive.
|
A ficha financeira legislativa que acompanha a
proposta de regulamento geral de proteção de dados cobre as incidências
orçamentais do regulamento e da presente diretiva.
|
|
2012/0010 (COD)
|
2012/0010 (COD)
|
|
Proposal for a
|
Proposta de
|
|
DIRECTIVE OF THE EUROPEAN PARLIAMENT
AND OF THE COUNCIL
|
DIRETIVA DO PARLAMENTO EUROPEU E DO
CONSELHO
|
|
on the protection of individuals with
regard to the processing of personal data by competent authorities for the
purposes of prevention, investigation, detection or prosecution of criminal
offences or the execution of criminal penalties, and the free movement of such
data
|
relativa à proteção das pessoas singulares no
que diz respeito ao tratamento de dados pessoais pelas autoridades competentes
para efeitos de prevenção, investigação, deteção e repressão de infrações
penais ou de execução de sanções penais, e à livre circulação desses dados
|
|
THE EUROPEAN PARLIAMENT AND THE
COUNCIL OF THE EUROPEAN EUROPEAN UNION,
|
O PARLAMENTO EUROPEU E O CONSELHO DA
UNIÃO EUROPEIA,
|
|
Having regard to the Treaty on the
Functioning of the European Union, and in particular Article 16(2) thereof,
|
Tendo em conta o Tratado sobre o Funcionamento
da União Europeia, nomeadamente o artigo 16.º, n.º 2,
|
|
Having regard to the proposal from the
European Commission,
|
Tendo em conta a proposta da Comissão
Europeia,
|
|
After transmission of the draft legislative
act to the national Parliaments,
|
Após transmissão do projeto de ato legislativo
aos parlamentos nacionais,
|
|
After consulting the European Data
Protection Supervisor[33],
|
Após consulta da Autoridade Europeia para a
Proteção de Dados[33],
|
|
Acting in accordance with the ordinary
legislative procedure,
|
Deliberando de acordo com o processo
legislativo ordinário,
|
|
Whereas:
|
Considerando o seguinte:
|
|
(1)
The protection of natural persons in relation to
the processing of personal data is fundamental right. Article 8(1) of the
Charter of Fundamental Rights of the European Union and Article 16(1) of the
Treaty of the Functioning of the European Union lay down that everyone has the
right to the protection of personal data concerning him or her.
|
(1)
A proteção das pessoas singulares relativamente ao
tratamento de dados pessoais é um direito fundamental. O artigo 8.º, n.º 1, da
Carta dos Direitos Fundamentais da União Europeia e o artigo 16.º, n.º 1, do
Tratado sobre o Funcionamento da União Europeia estabelecem que todas as
pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam
respeito.
|
|
(2)
The processing of personal data is designed to
serve man; the principles and rules on the protection of individuals with
regard to the processing of their personal data should, whatever the
nationality or residence of natural persons, respect their fundamental rights
and freedoms, notably their right to the protection of personal data. It should
contribute to the accomplishment of an area of freedom, security and justice.
|
(2)
O tratamento dos dados pessoais é concebido para
servir as pessoas; os princípios e as regras em matéria de proteção das pessoas
singulares no que respeita ao tratamento dos seus dados pessoais devem
respeitar, independentemente da nacionalidade ou do local de residência dessas
pessoas, os seus direitos e liberdades fundamentais, particularmente o direito
à proteção dos dados pessoais. O tratamento dos dados deve
contribuir para a realização de um espaço de liberdade, segurança e justiça.
|
|
(3)
Rapid technological developments and
globalisation have brought new challenges for the protection of personal data.
The scale of data collection and sharing has increased spectacularly.
Technology allows competent authorities to make use of personal data on an
unprecedented scale in order to pursue their activities.
|
(3)
A rápida evolução tecnológica e a globalização
criaram novos desafios em matéria de proteção de dados pessoais. A partilha e a
recolha de dados registaram um espetacular aumento. As
novas tecnologias permitem às autoridades competentes utilizar dados pessoais
numa escala sem precedentes no exercício das suas atividades.
|
|
(4)
This requires facilitating the free flow of data
between competent authorities within the Union and the transfer to third
countries and international organisations, while ensuring a high level of
protection of personal data. These developments require building a strong and
more coherent data protection framework in the Union, backed by strong
enforcement.
|
(4)
Esta evolução exige uma maior
facilidade na livre circulação de dados entre as autoridades competentes a
nível da União e na sua transferência para países terceiros e organizações
internacionais, assegurando paralelamente um elevado nível de proteção dos
dados pessoais. Este contexto obriga ao estabelecimento na União de um
quadro de proteção de dados sólido e mais coerente, apoiado por uma aplicação
rigorosa das regras.
|
|
(5)
Directive 95/46/EC of the European Parliament
and of the Council of 24 October 1995 on the protection of individuals with
regard to the processing of personal data and on the free movement of such data[34] applies to all personal data
processing activities in Member States in both the public and the private
sectors. However, it does not apply to the processing of personal data 'in the
course of an activity which falls outside the scope of Community law', such as
activities in the areas of judicial co-operation in criminal matters and police
co-operation.
|
(5)
A Diretiva 95/46/CE do Parlamento Europeu e do
Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares
no que diz respeito ao tratamento de dados pessoais e à livre circulação desses
dados[34],
é aplicável a todas as atividades de tratamento de dados pessoais realizadas
nos Estados-Membros, nos setores público e privado. Não se aplica, porém, ao
tratamento de dados pessoais «no exercício de atividades não sujeitas à
aplicação do direito comunitário», como as atividades realizadas nos domínios
da cooperação judiciária em matéria penal e da cooperação policial.
|
|
(6)
Council Framework Decision 2008/977/JHA of 27
November 2008 on the protection of personal data processed in the framework of
police and judicial co-operation in criminal matters[35] applies in the areas of
judicial co-operation in criminal matters and police co-operation. The scope of
application of this Framework Decision is limited to the processing of personal
data transmitted or made available between Member States.
|
(6)
A Decisão-Quadro 2008/977/JAI do Conselho, de
27 de novembro de 2008, relativa à proteção dos dados pessoais tratados no
âmbito da cooperação policial e judiciária em matéria penal[35], é aplicável no domínio da
cooperação judiciária em matéria penal e da cooperação policial. O seu âmbito de aplicação limita-se ao tratamento de dados
pessoais transmitidos ou disponibilizados entre os Estados‑Membros.
|
|
(7)
Ensuring a consistent and high level of
protection of the personal data of individuals and facilitating the exchange of
personal data between competent authorities of Members States is crucial in
order to ensure effective judicial co-operation in criminal matters and police
cooperation. To that aim, the level of protection of the rights and freedoms of
individuals with regard to the processing of personal data by competent
authorities for the purposes of prevention, investigation, detection or
prosecution of criminal offences or the execution of criminal penalties must be
equivalent in all Member States. Effective protection of personal data
throughout the Union requires strengthening the rights of data subjects and the
obligations of those who process personal data, but also equivalent powers for
monitoring and ensuring compliance with the rules for the protection of
personal data in the Member States.
|
(7)
É crucial assegurar um nível elevado e coerente de
proteção dos dados pessoais das pessoas singulares e facilitar o intercâmbio de
dados pessoais entre as autoridades competentes dos Estados-Membros, a fim de assegurar
a eficácia da cooperação judiciária em matéria penal e da cooperação policial. Para tal, o nível de proteção dos direitos e liberdades das
pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas
autoridades competentes para efeitos de prevenção, investigação, deteção e
repressão de infrações penais ou de execução de sanções penais, tem de ser
equivalente em todos os Estados-Membros. A proteção efetiva dos dados pessoais
na União exige não só reforçar os direitos dos titulares de dados e as
obrigações dos responsáveis pelo tratamento de dados pessoais, mas também
poderes equivalentes para controlar e assegurar a conformidade com as regras de
proteção dos dados pessoais nos Estados-Membros.
|
|
(8)
Article 16(2) of the Treaty on the Functioning
of the European Union provides that the European Parliament and the Council should
lay down the rules relating to the protection of individuals with regard to the
processing of personal data and the rules relating to the free movement of
personal data.
|
(8)
O artigo 16.º, n.º 2, do Tratado sobre o
Funcionamento da União Europeia prevê que o Parlamento Europeu e o Conselho
estabeleçam as regras relativas à proteção das pessoas singulares no que diz
respeito ao tratamento de dados pessoais, bem como as regras relativas à livre
circulação desses dados.
|
|
(9)
On that basis, Regulation EU …../2012 of the
European Parliament and of the Council on the protection of individuals with
regard to the processing of personal data and on the free movement of such data
(General Data Protection Regulation) lays down general rules to protect of
individuals in relation to the processing of personal data and to ensure the
free movement of personal data within the Union.
|
(9)
Com base nessa orientação, o Regulamento UE
…../2012 do Parlamento Europeu e do Conselho, relativo à proteção das pessoas
singulares no que diz respeito ao tratamento de dados pessoais e à livre
circulação desses dados (regulamento geral de proteção de dados), estabelece
regras gerais visando proteger as pessoas singulares relativamente ao
tratamento de dados pessoais e assegurar a livre circulação de dados pessoais
na União.
|
|
(10)
In Declaration 21 on the protection of personal
data in the fields of judicial co-operation in criminal matters and police co-operation,
annexed to the final act of the intergovernmental conference which adopted the
Treaty of Lisbon, the Conference acknowledged that specific rules on the
protection of personal data and the free movement of such data in the fields of
judicial co-operation in criminal matters and police co-operation based on
Article 16 of the Treaty on the Functioning of the European Union may prove
necessary because of the specific nature of these fields.
|
(10)
Na Declaração 21 sobre a proteção de dados pessoais
no domínio da cooperação judiciária em matéria penal e da cooperação policial,
anexada à ata final da Conferência Intergovernamental que adotou o Tratado de
Lisboa, a Conferência reconheceu que, atendendo à especificidade dos domínios
em causa, poderão ser necessárias disposições específicas sobre proteção de
dados pessoais e a livre circulação desses dados, nos domínios da cooperação
judiciária em matéria penal e da cooperação policial, com base no artigo 16.º
do Tratado sobre o Funcionamento da União Europeia.
|
|
(11)
Therefore a distinct Directive should meet the
specific nature of these fields and lay down the rules relating to the
protection of individuals with regard to the processing of personal data by
competent authorities for the purposes of prevention, investigation, detection
or prosecution of criminal offences or the execution of criminal penalties.
|
(11)
Por conseguinte, uma diretiva distinta deve
permitir responder à natureza específica destes domínios e estabelecer as
regras relativas à proteção das pessoas singulares no que diz respeito ao
tratamento de dados pessoais pelas autoridades competentes para efeitos de
prevenção, investigação, deteção e repressão de infrações penais ou de execução
de sanções penais.
|
|
(12)
In order to ensure the same level of protection
for individuals through legally enforceable rights throughout the Union and to
prevent divergences hampering the exchange of personal data between competent
authorities, the Directive should provide harmonised rules for the protection
and the free movement of personal data in the areas of judicial co-operation in
criminal matters and police co-operation.
|
(12)
A fim de assegurar o mesmo nível de proteção para
as pessoas singulares através de direitos juridicamente protegidos no conjunto
da União e evitar que as divergências constituam um obstáculo ao intercâmbio de
dados pessoais entre as autoridades competentes, a diretiva prevê regras
harmonizadas para a proteção e a livre circulação de dados pessoais nos domínios
da cooperação judiciária em matéria penal e da cooperação policial.
|
|
(13)
This Directive allows the principle of public
access to official documents to be taken into account when applying the
provisions set out in this Directive.
|
(13)
A presente diretiva permite tomar em consideração o
princípio do direito de acesso público aos documentos oficiais aquando da
aplicação das suas disposições.
|
|
(14)
The protection afforded by this Directive should
concern natural persons, whatever their nationality or place of residence, in
relation to the processing of personal data.
|
(14)
A proteção conferida pela presente diretiva diz
respeito a pessoas singulares, independentemente da sua nacionalidade ou lugar
de residência, relativamente ao tratamento de dados pessoais.
|
|
(15)
The protection of individuals should be
technological neutral and not depend on the techniques used; otherwise this
would create a serious risk of circumvention. The protection of individuals
should apply to processing of personal data by automated means, as well as to
manual processing if the data are contained or are intended to be contained in
a filing system. Files or sets of files as well as their cover pages, which are
not structured according to specific criteria, should not fall within the scope
of this Directive. This Directive should not apply to the processing of
personal data in the course of an activity which falls outside the scope of
Union law, in particular concerning national security, or to data processed by
the Union institutions, bodies, offices and agencies, such as Europol or
Eurojust.
|
(15)
A proteção das pessoas singulares deve ser neutra em
termos tecnológicos e independente das técnicas utilizadas, sob a pena de criar
um sério risco de ser contornada. Deve aplicar-se ao tratamento de dados
pessoais por meios automatizados e manuais se os
dados estiverem contidos ou forem destinados a serem conservados num sistema de
ficheiros. As pastas ou conjuntos de pastas, bem como as suas capas, que não
estejam estruturadas de acordo com critérios específicos, não se incluem no
âmbito de aplicação da presente diretiva. A presente diretiva não se aplica ao
tratamento de dados pessoais efetuado no exercício de atividades não sujeitas à
aplicação do direito da União, nomeadamente as relativas à segurança nacional,
nem aos dados tratados pelas instituições, organismos, serviços e agências da
União, designadamente a Europol ou a Eurojust.
|
|
(16)
The principles of protection should apply to any
information concerning an identified or identifiable natural person. To
determine whether a natural person is identifiable, account should be taken of all
the means likely reasonably to be used either by the controller or by any other
person to identify the individual. The principles of data protection should not
apply to data rendered anonymous in such a way that the data subject is no
longer identifiable.
|
(16)
Os princípios da proteção de dados devem aplicar-se
a qualquer informação relativa a uma pessoa singular identificada ou
identificável. Para determinar se uma pessoa é
identificável, importa considerar o conjunto dos meios suscetíveis de serem
razoavelmente utilizados, quer pelo responsável pelo tratamento dos dados quer
por qualquer outra pessoa, para identificar a referida pessoa. Os princípios da
proteção de dados não se aplicam a dados tornados de tal forma anónimos que o
titular dos dados já não possa ser identificado.
|
|
(17)
Personal data relating to health should include
in particular all data pertaining to the health status of a data subject,
information about the registration of the individual for the provision of
health services; information about payments or eligibility for healthcare with
respect to the individual; a number, symbol or particular assigned to an
individual to uniquely identify the individual for health purposes; any
information about the individual collected in the course of the provision of
health services to the individual; information derived from the testing or
examination of a body part or bodily substance, including biological samples;
identification of a person as provider of healthcare to the individual; or any
information on, for example; a disease, disability, disease risk, medical
history, clinical treatment, or the actual physiological or biomedical state of
the data subject independent of its source, e.g. from a physician or other
health professional, a hospital, a medical device, or an in vitro diagnostic
test.
|
(17)
Os dados pessoais relativos à saúde devem incluir,
em especial, todos os dados relativos ao estado de saúde de um titular de dados,
informações sobre a inscrição da pessoa singular para a prestação de serviços
de saúde, informações sobre pagamentos ou elegibilidade para cuidados de saúde;
um número, símbolo ou sinal particular atribuído a uma pessoa singular para a
identificar de forma inequívoca para fins de cuidados de saúde; quaisquer
informações sobre a pessoa recolhidas no decurso de uma prestação de serviços
de saúde; informações obtidas a partir de testes ou exames de uma parte do
corpo ou de uma substância corporal, incluindo amostras biológicas;
identificação de uma pessoa enquanto prestador de cuidados de saúde ao doente;
ou quaisquer informações sobre, por exemplo, uma doença, deficiência, risco de
doença, historial clínico, tratamento clínico ou estado físico ou biomédico
atual do titular de dados, independentemente da sua fonte, por exemplo, um
médico ou outro profissional de saúde, um hospital, um aparelho médico ou um
teste de diagnóstico in vitro.
|
|
(18)
Any processing of personal data must be fair and
lawful in relation to the individuals concerned. In particular, the specific
purposes for which the data are processed should be explicit.
|
(18)
Qualquer tratamento de dados pessoais deve ser
efetuado de forma lícita, leal e transparente para com as pessoas em causa. Em
especial, as finalidades específicas do tratamento
devem ser explícitas.
|
|
(19)
For the prevention, investigation and
prosecution of criminal offences, it is necessary for competent authorities to
retain and process personal data, collected in the context of the prevention,
investigation, detection or prosecution of specific criminal offences beyond
that context to develop an understanding of criminal phenomena and trends, to
gather intelligence about organised criminal networks, and to make links
between different offences detected.
|
(19)
Para efeitos de prevenção, investigação e repressão
de infrações penais, é necessário que as autoridades competentes conservem e
tratem os dados pessoais, recolhidos no contexto da prevenção, investigação,
deteção e repressão de infrações penais específicas, e para além desse
contexto, a fim de obter uma melhor compreensão dos fenómenos criminais e das
tendências que os caracterizam, recolher informação específica sobre as redes
criminosas organizadas e estabelecer ligações entre as diferentes infrações
detetadas.
|
|
(20)
Personal data should not be processed for
purposes incompatible with the purpose for which it was collected. Personal
data should be adequate, relevant and not excessive for the purposes for which
the personal data are processed. Every reasonable step should be taken to
ensure that personal data which are inaccurate should be rectified or erased.
|
(20)
Os dados pessoais não devem ser tratados para fins
incompatíveis com a finalidade para a qual foram recolhidos. Os dados pessoais tratados devem ser adequados, pertinentes
e não excessivos para as finalidades do tratamento. Devem ser adotadas todas as
medidas razoáveis para assegurar que os dados pessoais inexatos são retificados
ou apagados.
|
|
(21)
The principle of accuracy of data should be
applied taking account of the nature and purpose of the processing concerned.
In particular in judicial proceedings, statements containing personal data are
based on the subjective perception of individuals and are in some cases not
always verifiable. Consequently, the requirement of accuracy should not
appertain to the accuracy of a statement but merely to the fact that a specific
statement has been made.
|
(21)
É conveniente aplicar o princípio da exatidão dos
dados tendo em conta a natureza e a finalidade do tratamento em causa. Em
especial no caso de processos judiciais, as declarações que contêm dados
pessoais são baseadas em perceções pessoais subjetivas e nem sempre são
verificáveis. Este princípio não deve, portanto aplicar-se à exatidão da
própria declaração, mas simplesmente ao facto de tal declaração ter sido feita.
|
|
(22)
In the interpretation and application of the
general principles relating to personal data processing by competent
authorities for the purposes of prevention,
investigation, detection or prosecution of criminal offences or the execution
of criminal penalties, account should be taken of the
specificities of the sector, including the specific objectives pursued.
|
(22)
Na interpretação e aplicação dos princípios gerais
relacionados com o tratamento de dados pessoais pelas autoridades competentes
para efeitos de prevenção, investigação, deteção e
repressão de infrações penais, ou de execução de sanções penais, deve atender-se às especificidades do setor, incluindo os objetivos
específicos prosseguidos.
|
|
(23)
It is inherent to the processing of personal data
in the areas of judicial co-operation in criminal matters and police
co-operation that personal data relating to different categories of data
subjects are processed. Therefore a clear distinction should as far as possible
be made between personal data of different categories of data subjects such as suspects,
persons convicted of a criminal offence, victims and third parties, such as
witnesses, persons possessing relevant information or contacts and associates
of suspects and convicted criminals.
|
(23)
O tratamento de dados pessoais nos domínios da
cooperação judiciária em matéria penal e da cooperação policial implica
necessariamente o tratamento de dados pessoais relativos a categorias
diferentes de titulares de dados. Importa, portanto, estabelecer uma distinção
o mais clara possível entre dados pessoais de diferentes
categorias de titulares de dados, tais como suspeitos, pessoas condenadas por
um crime, vítimas e terceiros, designadamente testemunhas, pessoas que detenham
informações ou contactos úteis, e os cúmplices de pessoas suspeitas ou condenadas.
|
|
(24)
As far as possible personal data should be
distinguished according to the degree of their accuracy and reliability. Facts
should be distinguished from personal assessments, in order to ensure both the
protection of individuals and the quality and reliability of the information
processed by the competent authorities.
|
(24)
Na medida do possível, os dados pessoais devem ser
distinguidos em função do seu grau de precisão e de fiabilidade. Os factos devem ser distinguidos de apreciações pessoais, a
fim de assegurar simultaneamente a proteção das pessoas singulares e a
qualidade e a fiabilidade da informação tratada pelas autoridades competentes.
|
|
(25)
In order to be lawful, the processing of
personal data should be necessary for compliance with a legal obligation to
which the controller is subject, for the performance of a task carried out in
the public interest by a competent authority based on law or in order to
protect the vital interests of the data subject or of another person, or for
the prevention of an immediate and serious threat to public security.
|
(25)
Para ser lícito, o tratamento de dados pessoais tem
de ser necessário para o respeito de uma obrigação legal à qual o responsável
pelo tratamento esteja sujeito, bem como para a execução de uma missão de
interesse público por uma autoridade competente prevista na lei, ou para a proteção
dos interesses vitais do titular dos dados ou de outra pessoa, ou para a
prevenção de uma ameaça grave e imediata para a segurança pública.
|
|
(26)
Personal data which are, by their nature,
particularly sensitive in relation to fundamental rights or privacy, including
genetic data, deserve specific protection. Such data should not be processed,
unless processing is specifically authorised by a law which provides for
suitable measures to safeguard the data subject's legitimate interests; or
processing is necessary to protect the vital interests of the data subject or
of another person; or the processing
relates to data which are manifestly made public by the data subject.
|
(26)
Os dados pessoais que sejam, devido à sua natureza,
especialmente sensíveis do ponto de vista dos direitos fundamentais ou da
privacidade, designadamente os dados genéticos, merecem proteção específica. Estes dados não devem ser objeto de tratamento, salvo se
essa operação for especificamente autorizada por uma lei que preveja medidas
adequadas de proteção dos interesses legítimos do titular dos dados, ou se for
necessário para proteger os interesses vitais do titular dos dados ou de outra
pessoa, ou se estiver relacionado
com dados que tenham sido manifestamente tornados públicos pelo titular dos dados.
|
|
(27)
Every natural person should have the right not
to be subject to a measure which is based solely on automated processing if it produces
an adverse legal effect for that person, unless authorised by law and subject
to suitable measures to safeguard the data subject’s legitimate interests.
|
(27)
Qualquer pessoa singular deve ter o direito a não
estar sujeita a uma medida baseada exclusivamente no tratamento automatizado,
se este produzir efeitos negativos na esfera jurídica dessa pessoa, salvo se
autorizada por lei e subordinada a medidas adequadas que garantam os interesses
legítimos do titular de dados.
|
|
(28)
In order to exercise their rights, any
information to the data subject should be easily accessible and easy to
understand, including the use of clear and plain language.
|
(28)
A fim de permitir aos titulares de dados exercer os
seus direitos, quaisquer informações que lhe sejam dirigidas devem ser de fácil
acesso e compreensão e, nomeadamente, formuladas em termos claros e simples.
|
|
(29)
Modalities should be provided for facilitating
the data subject’s exercise of their rights under this Directive, including
mechanisms to request, free of charge, in particular access to data,
rectification and erasure. The controller should be obliged to respond to
requests of the data subject without undue delay.
|
(29)
Devem ser previstas modalidades para facilitar o
exercício pelo titular de dados dos direitos conferidos pela presente diretiva,
incluindo mecanismos para solicitar, a título gratuito, em especial o acesso
aos dados, a sua retificação e apagamento. O
responsável pelo tratamento deve ser obrigado a responder aos pedidos do
titular de dados sem demora injustificada.
|
|
(30)
The principle of fair processing requires that
the data subjects should be informed in particular of the existence of the
processing operation and its purposes, how long the data will be stored, on the
existence of the right of access, rectification or erasure and on the right to
lodge a complaint. Where the data are collected from the data subject, the data
subject should also be informed whether they are obliged to provide the data
and of the consequences, in cases they do not provide such data.
|
(30)
Os princípios de tratamento leal e transparente
exigem que o titular dos dados seja informado, em especial, da existência da
operação de tratamento de dados e das suas finalidades, do período de
conservação dos dados, da existência do direito de acesso, retificação ou apagamento,
bem como do seu direito de apresentar uma queixa. Sempre
que os dados forem recolhidos junto do titular dos dados, este deve ser também
informado da obrigatoriedade de fornecer esses dados e das respetivas
consequências, caso não os faculte.
|
|
(31)
The information in relation to the processing of
personal data relating to the data subject should be given to them at the time
of collection, or, where the data are not obtained from the data subject, at
the time of the recording or within a reasonable period after the collection
having regard to the specific circumstances in which the data are processed.
|
(31)
As informações sobre o tratamento de dados pessoais
devem ser fornecidas ao titular dos dados no momento da sua recolha ou, se a
recolha não foi obtida junto da pessoa em causa, no momento do seu registo ou
num prazo razoável após a sua recolha, dependendo das circunstâncias do caso.
|
|
(32)
Any person should have the right of access to
data which has been collected concerning them, and to exercise this right
easily, in order to be aware of and verify the lawfulness of the processing.
Every data subject should therefore have the right to know about and obtain
communication in particular of the purposes for which the data are processed,
for what period, which recipients receive the data, including in third
countries Data subjects should be allowed to receive a copy of their personal data
which are being processed.
|
(32)
Qualquer pessoa deve ter o direito de acesso aos
dados recolhidos sobre si e de exercer facilmente este direito, a fim de conhecer
e verificar a licitude do tratamento. Por conseguinte, cada titular de dados deve ter o direito de conhecer e ser informado,
em especial, das finalidades a que se destinam os dados tratados, da duração da
sua conservação, bem como da identidade dos destinatários, incluindo em países
terceiros. Os titulares de dados devem poder obter uma cópia dos seus
dados pessoais objeto de tratamento.
|
|
(33)
Member States should be allowed to adopt
legislative measures delaying, restricting or omitting the information of data
subjects or the access to their personal data to the extent that and as long as
such partial or complete restriction constitutes a necessary and proportionate
measure in a democratic society with due regard for the legitimate interests of
the person concerned, to avoid obstructing official or legal inquiries,
investigations or procedures, to avoid prejudicing the prevention, detection,
investigation and prosecution of criminal offences or for the execution of
criminal penalties, to protect public security or national security, or, to
protect the data subject or the rights and freedoms of others.
|
(33)
Os Estados-Membros devem ser autorizados a adotar
medidas legislativas visando atrasar ou limitar a informação dos titulares de
dados ou o acesso aos dados pessoais que lhes digam respeito, ou a não fornecer
essas informações ou esse acesso, desde que tal limitação, parcial ou total,
represente uma medida necessária e proporcional numa sociedade democrática,
tendo devidamente em conta os interesses legítimos do titular de dados, a fim
de evitar que tal constitua um obstáculo para os inquéritos, investigações e
procedimentos oficiais ou legais, para evitar prejudicar a prevenção,
investigação, deteção e repressão de infrações penais ou a execução de sanções
penais, para proteger a segurança pública ou a segurança nacional ou proteger o
titular de dados ou os direitos e as liberdades de terceiros.
|
|
(34)
Any refusal or restriction of access should be
set out in writing to the data subject including the factual or legal reasons
on which the decision is based.
|
(34)
Qualquer recusa ou restrição do acesso deve ser
comunicada por escrito ao titular dos dados, indicando simultaneamente os
motivos factuais ou jurídicos que fundamentam a decisão adotada.
|
|
(35)
Where Member States have adopted legislative
measures restricting wholly or partly the right to access, the data subject should
have the right to request that the competent national supervisory authority
checks the lawfulness of the processing. The data subject should be informed of
this right. When access is exercised by the supervisory authority on behalf of
the data subject, the data subject should be informed by the supervisory
authority at least that all necessary verifications by the supervisory
authority have taken place and of the result as regards to the lawfulness of
the processing in question.
|
(35)
Sempre que os Estados-Membros tiverem adotado
medidas legislativas para limitar total ou parcialmente o direito de acesso, o
titular de dados deve ter o direito de solicitar à autoridade nacional de
controlo competente que verifique a licitude do tratamento. O titular de dados deve ser informado desse direito. Quando o direito de
acesso for exercido pela autoridade de controlo em nome do titular de dados, a
autoridade de controlo deve pelo menos informar o interessado de que foram
realizadas todas as verificações necessárias e do resultado relativamente à
licitude do tratamento em questão.
|
|
(36)
Any person should have the right to have inaccurate
personal data concerning them rectified and the right of erasure where the
processing of such data is not in compliance with the main principles laid down
in this Directive. Where the personal data are processed in the course of a criminal
investigation and proceedings,, rectification, the rights of information,
access, erasure and restriction of processing may be carried out in accordance
with national rules on judicial proceedings.
|
(36)
Qualquer pessoa deve ter o direito a que os dados
que lhe digam respeito sejam retificados e o «direito a ser esquecido», quando
o tratamento não for conforme com os princípios gerais enunciados na presente
diretiva. Sempre que os dados pessoais forem tratados
no âmbito de uma investigação criminal ou de um processo penal, o direito à
informação, o direito de acesso, de retificação e de apagamento, bem como o
direito de limitação do tratamento, podem ser exercidos em conformidade com as
regras nacionais aplicáveis aos processos judiciais.
|
|
(37)
Comprehensive responsibility and liability of
the controller for any processing of personal data carried out by the
controller or on the controller's behalf should be established. In particular,
the controller should ensure the compliance of processing operations with the
rules adopted pursuant to this Directive.
|
(37)
Deve ser definida uma responsabilidade global do
responsável pelo tratamento por qualquer tratamento de dados pessoais que ele
próprio realize ou que seja realizado por sua conta. Em especial, o responsável
pelo tratamento deve assegurar a conformidade das operações de tratamento de
dados com o disposto na presente diretiva.
|
|
(38)
The protection of the rights and freedoms of
data subjects with regard to the processing of personal data requires that
appropriate technical and organisational measures be taken to ensure that the
requirements of the Directive are met. In order to ensure compliance with the
provisions adopted pursuant to this Directive, the controller should adopt
policies and implement appropriate measures, which meet in particular the
principles of data protection by design and data protection by default.
|
(38)
A proteção dos direitos e liberdades dos titulares
de dados relativamente ao tratamento dos seus dados pessoais exige a adotada de
medidas técnicas e organizativas adequadas, a fim de assegurar o cumprimento
dos requisitos da presente diretiva. A fim de
assegurar a conformidade com a presente diretiva, o responsável pelo tratamento
deve adotar regras internas e aplicar medidas apropriadas conformes, em
especial, com os princípios de proteção de dados desde a conceção e de proteção
de dados por defeito.
|
|
(39)
The protection of the rights and freedoms of
data subjects as well as the responsibility and liability of controllers and
processors requires a clear attribution of the responsibilities under this
Directive, including where a controller determines the purposes, conditions and
means of the processing jointly with other controllers or where a processing
operation is carried out on behalf of a controller.
|
(39)
A proteção dos direitos e liberdades dos titulares
de dados, bem como a responsabilidade dos responsáveis pelo tratamento e dos
subcontratantes, exige uma clara repartição das responsabilidades nos termos da
presente diretiva, nomeadamente quando o responsável pelo tratamento determina
as finalidades, as condições e os meios do tratamento conjuntamente com outros
responsáveis, ou quando uma operação de tratamento de dados é efetuada por
conta de um responsável pelo tratamento.
|
|
(40)
Processing activities should be documented by
the controller or processor, in order to monitor compliance with this
Directive. Each controller and processor should be obliged to co-operate with
the supervisory authority and make this documentation available upon request,
so that it might serve for monitoring processing operations. .
|
(40)
A fim de comprovar a observância da presente
diretiva, o responsável pelo tratamento ou o subcontratante deve documentar
cada operação de tratamento de dados. Cada
responsável pelo tratamento e subcontratante deve ser obrigado a cooperar com a
autoridade de controlo e a disponibilizar essa documentação, quando tal lhe for
solicitado, para que possa servir ao controlo dessas operações de tratamento.
|
|
(41)
In order to ensure effective protection of the
rights and freedoms of data subjects by way of preventive actions, the
controller or processor should consult with the supervisory authority in
certain cases prior to the processing.
|
(41)
A fim de assegurar a proteção efetiva dos direitos
e liberdades dos titulares de dados através de ações preventivas, o responsável
pelo tratamento ou o subcontratante deve, em determinados casos, consultar a
autoridade de controlo previamente à operação de tratamento.
|
|
(42)
A personal data breach may, if not addressed in
an adequate and timely manner, result in harm, including reputational damage to
the individual concerned. Therefore, as soon as the controller becomes aware
that such a breach has occurred, it should notify the breach to the competent
national authority. The individuals whose personal data or privacy could be
adversely affected by the breach should be notified without undue delay in
order to allow them to take the necessary precautions. A breach should be
considered as adversely affecting the personal data or privacy of an individual
where it could result in, for example, identity theft or fraud, physical harm,
significant humiliation or damage to reputation in connection with the
processing of personal data.
|
(42)
A violação de dados pessoais pode, se não forem adotadas
medidas adequadas e oportunas, causar danos, nomeadamente à reputação da pessoa
singular em causa. Assim, logo que o responsável pelo tratamento tenha
conhecimento da ocorrência de uma violação, deve comunicá-la à autoridade
nacional competente. As pessoas singulares cujos
dados pessoais possam ter sido afetados negativamente por tal violação, devem
ser avisadas sem demora injustificada, para que possam adotar as precauções
necessárias. Deve considerar-se que uma violação afeta negativamente os dados
pessoais ou a privacidade de um titular de dados sempre que daí possa resultar,
por exemplo, roubo ou usurpação de identidade, danos físicos, humilhações ou
danos significativos contra a reputação, consecutivos ao tratamento de dados
pessoais.
|
|
(43)
In setting detailed rules concerning the format
and procedures applicable to the notification of personal data breaches, due
consideration should be given to the circumstances of the breach, including
whether or not personal data had been protected by appropriate technical
protection measures, effectively limiting the likelihood of misuse. Moreover,
such rules and procedures should take into account the legitimate interests of
competent authorities in cases where early disclosure could unnecessarily
hamper the investigation of the circumstances of a breach.
|
(43)
Ao estabelecer regras pormenorizadas relativamente
ao formato e aos procedimentos aplicáveis à notificação das violações de dados
pessoais, deve ter-se devidamente em conta as circunstâncias da violação,
nomeadamente a existência ou não de proteção dos dados pessoais através de
medidas técnicas de proteção adequadas para reduzir eficazmente a probabilidade
de utilização abusiva. Além disso, tais regras e procedimentos devem ter em
conta os legítimos interesses das autoridades de aplicação da lei nos casos em
que uma divulgação precoce de informações possa dificultar desnecessariamente a
investigação das circunstâncias de uma violação.
|
|
(44)
The controller or the processor should designate
a person who would assist the controller or processor to monitor compliance
with the provisions adopted pursuant to this Directive. A data protection
officer may be appointed jointly by several entities of the competent authority.
The data protection officers must be in a position to perform their duties and
tasks independently and effectively.
|
(44)
O responsável pelo tratamento, ou o subcontratante,
deve designar uma pessoa para o ajudar a controlar a conformidade das
disposições adotadas por força da presente diretiva. Um
delegado para a proteção de dados pode ser designado conjuntamente por diversas
entidades da autoridade competente. Os delegados para a proteção de dados devem
estar em condições de desempenhar as suas funções e atribuições de forma
efetiva e com total independência.
|
|
(45)
Member States should ensure that a transfer to a
third country only takes place if it is necessary for the prevention,
investigation, detection or prosecution of criminal offences or the execution
of criminal penalties, and the controller in the third country or international
organisation is an authority competent within the meaning of this Directive. A
transfer may take place in cases where the Commission has decided that the
third country or international organisation in question ensures an adequate
level or protection, or when appropriate safeguards have been adduced.
|
(45)
Os Estados-Membros devem assegurar que uma
transferência para um país terceiro só possa ser realizada se for necessária
para efeitos de prevenção, investigação, deteção e repressão de infrações
penais ou para a execução de sanções penais, e se o responsável pelo tratamento
no país terceiro ou na organização internacional for uma autoridade competente
na aceção da presente diretiva. Uma transferência
pode realizar-se nos casos em que a Comissão tiver decidido que o país
terceiro, ou a organização internacional em questão, garante um nível de
proteção adequado, ou se tiverem sido apresentadas garantias adequadas.
|
|
(46)
The Commission may decide with effect for the
entire Union that certain third countries, or a territory or a processing
sector within a third country, or an international organisation, offer an
adequate level of data protection, thus providing legal certainty and
uniformity throughout the Union as regards the third countries or international
organisations which are considered to provide such level of protection. In
these cases, transfers of personal data to these countries may take place without
needing to obtain any further authorisation.
|
(46)
A Comissão pode decidir, com efeitos no conjunto da
União, que determinados países terceiros, um território ou um setor de
tratamento de dados de um país terceiro, ou uma organização internacional, asseguram
um nível de proteção de dados adequado, garantindo assim a segurança jurídica e
a uniformidade a nível da União relativamente a países terceiros ou
organizações internacionais que sejam consideradas aptas a assegurar tal nível
de proteção. Nestes casos, podem realizar-se
transferências de dados pessoais para esses países sem que para tal seja
necessário qualquer outra autorização.
|
|
(47)
In line with the fundamental values on which the
Union is founded, in particular the protection of human rights, the Commission
should take into account how the rule of law, access to justice, as well as international
human rights norms and standards, in that third country are respected.
|
(47)
Em consonância com os valores fundamentais sobre os
quais assenta a União, particularmente a proteção dos direitos humanos, a
Comissão deve ter em consideração em que medida esse país respeita o primado do
Estado de direito, garante o acesso à justiça e observa as regras e normas
internacionais no domínio dos direitos humanos.
|
|
(48)
The Commission should equally be able to
recognise that a third country, or a territory or a processing sector within a
third country, or an international organisation, does not offer an adequate
level of data protection. Consequently the transfer of personal data to that
third country should be prohibited except when they are based on an
international agreement, appropriate safeguards or a derogation. Provision
should be made for procedures for consultations between the Commission and such
third countries or international organisations. However, such a Commission
decision shall be without prejudice to the possibility to undertake transfers
on the basis of appropriate safeguards or on the basis of a derogation laid
down in the Directive.
|
(48)
A Comissão deve igualmente poder reconhecer que um
país terceiro, ou um território ou um setor de tratamento de um país terceiro,
ou uma organização internacional, não assegura um nível de proteção adequado de
dados. Se for esse no caso, deve ser proibida a
transferência de dados pessoais para esse país terceiro, salvo se tiver por
base um acordo internacional, garantias adequadas ou uma derrogação. É
conveniente prever procedimentos de consulta entre a Comissão e o país terceiro
ou a organização internacional. Todavia, tal decisão da Comissão não prejudica
a possibilidade de realizar transferências com base em garantias adequadas ou
numa derrogação prevista na diretiva.
|
|
(49)
Transfers not based on such an adequacy decision
should only be allowed where appropriate safeguards have been adduced in a
legally binding instrument, which ensure the protection of the personal data or
where the controller or processor has assessed all the circumstances
surrounding the data transfer operation or the set of data transfer operations
and, based on this assessment, considers that appropriate safeguards with
respect to the protection of personal data exist. In cases where no grounds for
allowing a transfer exist, derogations should be allowed if necessary in order
to protect the vital interests of the data subject or another person, or to
safeguard legitimate interests of the data subject where the law of the Member
State transferring the personal data so provides, or where it is essential for
the prevention of an immediate and serious threat to the public security of a
Member State or a third country, or in individual cases for the purposes of
prevention, investigation, detection or prosecution of criminal offences or the
execution of criminal penalties, or in individual cases for the establishment,
exercise or defence of legal claims.
|
(49)
As transferências que não se basearem numa decisão sobre
o nível adequado da proteção só devem ser autorizadas se forem apresentadas
garantias apropriadas num instrumento juridicamente vinculativo que garanta a
proteção dos dados pessoais, ou se o responsável pelo tratamento ou o
subcontratante tiver avaliado todas as circunstâncias inerentes à transferência
de dados ou ao conjunto de operações de transferências de dados e, com base nessa
avaliação, considerar existirem garantias adequadas relativamente à proteção de
dados pessoais. Caso não existam fundamentos para a
autorização de transferência, devem ser permitidas derrogações se forem necessárias
para proteger os interesses vitais do titular de dados ou de um terceiro, ou
para assegurar os interesses legítimos dessa pessoa, desde que a legislação do
Estado-Membro que efetua a transferência dos dados assim o preveja, ou se for
essencial para a prevenção de uma ameaça imediata e grave para a segurança
pública de um Estado-Membro ou de um país terceiro ou, em certos casos, para
efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de
execução de sanções penais, ou em casos especiais, tendo em vista a declaração,
o exercício ou a defesa de um direito num processo judicial.
|
|
(50)
When personal data moves across borders it may put
at increased risk the ability of individuals to exercise data protection rights
to protect themselves from the unlawful use or disclosure of that data. At the
same time, supervisory authorities may find that they are unable to pursue
complaints or conduct investigations relating to the activities outside their
borders. Their efforts to work together in the cross-border context may also be
hampered by insufficient preventative or remedial powers, inconsistent legal
regimes. Therefore, there is a need to promote closer co-operation among data
protection supervisory authorities to help them exchange information with their
foreign counterparts.
|
(50)
Sempre que os dados pessoais atravessam fronteiras
há um risco acrescido de que as pessoas singulares não possam exercer o seu
direito à proteção de dados, nomeadamente para se proteger da utilização
ilícita ou da divulgação dessas informações. Paralelamente,
as autoridades de controlo podem ser incapazes de apreciar as queixas ou
conduzir investigações relacionadas com atividades exercidas fora das suas
fronteiras. Os seus esforços para colaborar no contexto transfronteiriço podem
ser também restringidos por competências insuficientes ou regimes jurídicos
incoerentes. Por conseguinte, é necessário promover uma cooperação mais
estreita entre as autoridades de controlo da proteção de dados a fim de que
possam efetuar o intercâmbio de informações e realizar investigações com as
suas homólogas internacionais.
|
|
(51)
The establishment of supervisory authorities in
Member States, exercising their functions with complete independence, is an
essential component of the protection of individuals with regard to the
processing of their personal data. The supervisory authorities should monitor
the application of the provisions pursuant to this Directive and contribute to
its consistent application throughout the Union, in order to protect natural
persons in relation to the processing of their personal data. For that purpose,
the supervisory authorities should co-operate with each other and the
Commission.
|
(51)
A criação de autoridades de controlo nos
Estados-Membros, que exerçam as suas funções com total independência, constitui
um elemento essencial da proteção das pessoas singulares no que respeita ao
tratamento dos seus dados pessoais. As autoridades de controlo devem supervisionar
a aplicação das disposições da presente diretiva e contribuir para a sua
aplicação coerente no conjunto da União, a fim de proteger as pessoas
singulares relativamente ao tratamento dos seus dados pessoais. Para esse efeito, as autoridades de controlo devem cooperar
entre si e com a Comissão.
|
|
(52)
Member States may entrust a supervisory
authority already established in Member States under Regulation (EU)…./2012 with
the responsibility for the tasks to be performed by the national supervisory
authorities to be established under this Directive.
|
(52)
Os Estados Membros podem confiar a uma autoridade
de controlo já criada nos Estados-Membros nos termos do Regulamento (UE)
.../2012 a responsabilidade pelas funções a desempenhar pelas autoridades
nacionais de controlo a instituir por força da presente diretiva.
|
|
(53)
Member States should be allowed to establish
more than one supervisory authority to reflect their constitutional,
organisational and administrative structure. Each supervisory authority should
be provided with adequate financial and human resources, premises and
infrastructure, which are necessary for the effective performance of their
tasks, including for the tasks related to mutual assistance and co-operation
with other supervisory authorities throughout the Union.
|
(53)
Deve ser permitido aos Estados-Membros criarem
várias autoridades de controlo de modo a refletir a sua estrutura
constitucional, organizacional e administrativa. É conveniente que cada
autoridade de controlo disponha dos recursos
financeiros e humanos adequados, bem como de instalações e infraestruturas,
necessários a um exercício eficaz das suas funções, incluindo as relacionadas
com a assistência e a cooperação mútuas com outras autoridades de controlo a
nível da União.
|
|
(54)
The general conditions for the members of the
supervisory authority should be laid down by law in each Member State and should
in particular provide that those members should be either appointed by the
parliament or the government of the Member State, and include rules on the
personal qualification of the members and the position of those members.
|
(54)
As condições gerais aplicáveis aos membros da
autoridade de controlo devem ser definidas por lei em cada Estado-Membro e
devem prever, em especial, que esses membros são nomeados pelo parlamento ou
pelo governo nacional, e incluir disposições sobre a qualificação e as funções
desses membros.
|
|
(55)
While this Directive applies also to the
activities of national courts, the competence of the supervisory authorities
should not cover the processing of personal data when they are acting in their
judicial capacity, in order to safeguard the independence of judges in the
performance of their judicial tasks. However, this exemption should be limited
to genuine judicial activities in court cases and not apply to other activities
where judges might be involved in accordance with national law.
|
(55)
Embora a presente diretiva se aplique também às
atividades dos tribunais nacionais, a competência das autoridades de controlo
não abrange o tratamento de dados pessoais quando os tribunais atuam no âmbito
dessas funções, a fim de assegurar a independência dos juízes no exercício das
suas funções jurisdicionais. Todavia, esta exceção
deve ser estritamente limitada às atividades meramente judiciais relativas a
processos em tribunal e não ser aplicável a outras atividades a que os juízes
possam estar associados por força do direito nacional.
|
|
(56)
In order to ensure consistent monitoring and
enforcement of this Directive throughout the Union, the supervisory authorities
should have the same duties and effective powers in each Member State,
including powers of investigation, legally binding intervention, decisions and
sanctions, particularly in cases of complaints from individuals, and to engage
in legal proceedings.
|
(56)
A fim de assegurar o controlo e a aplicação
coerentes da presente diretiva no conjunto da União, as autoridades de controlo
devem ter, em cada Estado-Membro, os mesmos deveres e poderes efetivos,
incluindo os poderes de investigação, de intervenção juridicamente vinculativa,
de deliberação e de sanção, particularmente em caso de queixas apresentadas por
pessoas singulares, bem como o poder de intervir em processos judiciais.
|
|
(57)
Each supervisory authority should hear
complaints lodged by any data subject and should investigate the matter. The
investigation following a complaint should be carried out, subject to judicial
review, to the extent that is appropriate in the specific case. The supervisory
authority should inform the data subject of the progress and the outcome of the
complaint within a reasonable period. If the case requires further
investigation or coordination with another supervisory authority, intermediate
information should be given to the data subject.
|
(57)
Cada autoridade de controlo deve receber as queixas
apresentadas por qualquer titular de dados e investigar a matéria. A investigação decorrente de uma queixa deve ser realizada,
embora sujeita a revisão judicial, na medida adequada ao caso específico. A
autoridade de controlo deve informar a pessoa em causa da evolução e do
resultado da queixa num prazo razoável. Se o caso exigir uma investigação mais
aprofundada ou a coordenação com outra autoridade de controlo, devem ser
fornecidas informações intercalares ao titular dos dados.
|
|
(58)
The supervisory authorities should assist one
another in performing their duties and provide mutual assistance, so as to
ensure the consistent application and enforcement of the provisions adopted
pursuant to this Directive.
|
(58)
As autoridades de controlo devem prestar-se
mutuamente assistência no desempenho das suas funções, por forma a assegurar a
execução e aplicação coerentes das disposições adotadas em conformidade com a
presente diretiva.
|
|
(59)
The European Data Protection Board established
by Regulation (EU)…./2012 should contribute to the consistent application of
this Directive throughout the Union, including advising the Commission and
promoting the co-operation of the supervisory authorities throughout the Union.
|
(59)
O Comité Europeu para a
Proteção de Dados, instituído pelo Regulamento (UE)
.../2012, deve contribuir para a aplicação coerente
da presente diretiva no conjunto da União, nomeadamente no aconselhamento da
Comissão e na promoção da cooperação das autoridades de controlo na União.
|
|
(60)
Every data subject should have the right to
lodge a complaint with a supervisory authority in any Member State and have the
right to a judicial remedy if they consider that their rights under this
Directive are infringed or where the supervisory authority does not act on a
complaint or does not act where such action is necessary to protect the rights
of the data subject.
|
(60)
Qualquer titular de dados deve ter o direito de
apresentar uma queixa à autoridade de controlo em qualquer Estado-Membro e
dispor do direito de recurso aos tribunais se considerar que os direitos que
lhe confere a presente diretiva não são respeitados, se a autoridade de
controlo não responder à queixa, ou não agir conforme necessário para proteger
os direitos da pessoa em causa.
|
|
(61)
Any body, organisation or association which aims
to protects the rights and interests of data subjects in relation to the
protection of their data and is constituted according to the law of a Member
State should have the right to lodge a complaint or exercise the right to a
judicial remedy on behalf of data subjects if duly mandated by them, or to
lodge, independently of a data subject's complaint, its own complaint where it
considers that a personal data breach has occurred.
|
(61)
Qualquer organismo, organização ou associação que
vise proteger os direitos e interesses dos titulares de dados no que respeita à
proteção dos dados que lhe digam respeito, e seja constituído(a) ao abrigo do
direito de um Estado-Membro, deve ter o direito de apresentar aos tribunais queixa
junto de uma autoridade de controlo ou de exercer o direito de recurso aos
tribunais em nome das pessoas em causa, mediante mandato nesse sentido, ou de
apresentar, independentemente da queixa apresentada pela pessoa em causa, uma
queixa em seu próprio nome, sempre que considere ter ocorrido uma violação de
dados pessoais.
|
|
(62)
Each natural or legal person should have the
right to a judicial remedy against decisions of a supervisory authority
concerning them. Proceedings against a supervisory authority should be brought
before the courts of the Member State where the supervisory authority is
established.
|
(62)
Qualquer pessoa, singular ou coletiva, deve ter o
direito de ação judicial contra as decisões que lhes digam respeito emitidas
por uma autoridade de controlo. As ações contra uma autoridade de controlo
devem ser intentadas nos tribunais do Estado‑Membro no território do qual
se encontra estabelecida a autoridade de controlo.
|
|
(63)
Member States should ensure that court actions,
in order to be effective, allow the rapid adoption of measures to remedy or
prevent an infringement of this Directive.
|
(63)
Os Estados-Membros devem assegurar que as ações
judiciais, para serem eficazes, permitam a adoção rápida de medidas visando a
reparação ou a prevenção de uma violação prevista na presente diretiva.
|
|
(64)
Any damage which a person may suffer as a result
of unlawful processing should be compensated by the controller or processor,
who may be exempted from liability if they prove that they are not responsible
for the damage, in particular where they establish fault on the part of the
data subject or in case of force majeure.
|
(64)
Qualquer dano de que uma pessoa possa ser vítima em
resultado de um tratamento ilícito deve ser ressarcido pelo responsável pelo
tratamento, ou pelo subcontratante, que no entanto pode ser exonerado da sua
responsabilidade se provar que o facto causador do dano não lhe é imputável,
nomeadamente se provar que o dano é imputável à pessoa em causa ou em caso de
força maior.
|
|
(65)
Penalties should be imposed on any natural or
legal person, whether governed by private or public law, that fails to comply
with this Directive. Member States should ensure that the penalties are
effective, proportionate and dissuasive and must take all measures to implement
the penalties.
|
(65)
Devem ser aplicadas sanções a qualquer pessoa
singular ou coletiva, regida pelo direito privado ou público, que não respeite
o disposto na presente diretiva. Os Estados-Membros
devem assegurar que as sanções sejam efetivas, proporcionadas e dissuasivas, e
tomar todas as medidas necessárias à sua aplicação.
|
|
(66)
In order to fulfil the objectives of this
Directive, namely to protect the fundamental rights and freedoms of natural
persons and in particular their right to the protection of personal data and to
ensure the free exchange of personal data by competent authorities within the
Union, the power to adopt acts in accordance with Article 290 of the Treaty on
the Functioning of the European Union should be delegated to the Commission. In
particular, delegated acts should be adopted in respect of notifications of a
personal data breach to the supervisory authority. It is of particular
importance that the Commission carry out appropriate consultations during its
preparatory work, including at expert level. The Commission, when preparing and
drawing-up delegated acts, should ensure a simultaneous, timely and appropriate
transmission of relevant documents to the European Parliament and Council.
|
(66)
Por forma a cumprir os objetivos da presente
diretiva, nomeadamente proteger os direitos e liberdades fundamentais das
pessoas singulares e, em especial, o seu direito à proteção dos dados pessoais,
e assegurar a livre circulação desses dados pelas autoridades competentes na
União, o poder de adotar atos em conformidade com o artigo 290.º do Tratado
sobre o Funcionamento da União Europeia deve ser delegado à Comissão. Em
especial, devem ser adotados atos delegados em
relação à notificação de violações de dados pessoais à autoridade controlo. É
especialmente importante que a Comissão proceda a consultas adequadas ao longo
dos seus trabalhos preparatórios, incluindo a nível de peritos. A Comissão,
aquando da preparação e elaboração dos atos delegados, deve assegurar uma
transmissão simultânea, em tempo útil e em devida forma, dos documentos
relevantes ao Parlamento Europeu e ao Conselho.
|
|
(67)
In order to ensure uniform conditions for the
implementation of this Directive as regards documentation by controllers and
processors, security of processing, notably in relation to encryption
standards, notification of a personal data breach to the supervisory authority,
and the adequate level of protection afforded by a third country or a territory
or a processing sector within that third country or an international
organisation, implementing powers should be conferred on the Commission. Those
powers should be exercised in
accordance with Regulation (EU) No 182/2011 of the European Parliament and of
the Council of 16 February 2011 laying down the rules and general principles
concerning mechanisms for control by the Member States of the Commission's
exercise of implementing powers[36].
|
(67)
Por forma a assegurar condições uniformes para a
execução da presente diretiva no que respeita à documentação mantida pelos
responsáveis pelo tratamento e subcontratantes, à segurança do tratamento,
designadamente em relação às normas de codificação, à notificação de uma
violação de dados pessoais à autoridade de controlo, e ao nível de proteção
adequado assegurado por um país terceiro, um território ou um setor dentro
desse país terceiro, ou uma organização internacional, devem ser conferidas
competências de execução à Comissão. Essas competências devem ser exercidas em
conformidade com o Regulamento (UE) n.º 182/2011 do Parlamento Europeu e do
Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os princípios
gerais relativos aos mecanismos de controlo pelos Estados-Membros do exercício
das competências de execução pela Comissão[36].
|
|
(68)
The examination procedure should be used for the
adoption of measures as regards documentation by controllers and processors,
security of processing, notification of a personal data breach to the
supervisory authority, and the adequate level of protection afforded by a third
country or a territory or a processing sector within that third country or an
international organisation, given that those acts are of general scope.
|
(68)
O procedimento de exame deve ser utilizado para a
adoção de medidas relativas à documentação mantida pelos responsáveis pelo
tratamento e subcontratantes, à segurança do tratamento, à notificação de uma
violação de dados pessoais à autoridade de controlo, e ao nível de proteção
adequado garantido por um país terceiro, um território ou um setor dentro desse
país terceiro, ou uma organização internacional, uma vez que esses atos são de
âmbito geral.
|
|
(69)
The Commission should adopt immediately
applicable implementing acts where, in duly justified cases relating to a third
country or a territory or a processing sector within that third country or an
international organisation which does not ensure an adequate level of
protection, imperative grounds of urgency so require.
|
(69)
A Comissão deve adotar atos de execução imediatamente
aplicáveis quando, em casos devidamente fundamentados relacionados com um país
terceiro, um território ou um setor de tratamento de dados nesse país terceiro,
ou uma organização internacional, que não assegure um nível de proteção
adequado, imperativos urgentes assim o exijam.
|
|
(70)
Since the objectives of this Directive, namely
to protect the fundamental rights and freedoms of natural persons and in
particular their right to the protection of personal data and to ensure the
free exchange of personal data by competent authorities within the Union,
cannot be sufficiently achieved by the Member States and can therefore, by
reason of the scale or effects of the action, be better achieved at Union
level, the Union may adopt measures, in accordance with the principle of
subsidiarity as set out in Article 5 of the Treaty on European Union. In
accordance with the principle of proportionality as set out in that Article,
this Directive does not go beyond what is necessary in order to achieve that
objective
|
(70)
Dado que os objetivos da presente diretiva, nomeadamente
proteger os direitos e liberdades fundamentais das pessoas singulares e, em
especial, o seu direito à proteção de dados pessoais, e assegurar o livre
intercâmbio desses dados pelas autoridades competentes na União Europeia, não
podem ser suficientemente realizados pelos Estados-Membros e podem pois, em
razão da dimensão e dos efeitos da ação, ser melhor realizados a nível da
União, esta última pode tomar medidas, em conformidade com o princípio da
subsidiariedade consagrado no artigo 5.º do Tratado da União Europeia. Em
conformidade com o princípio da proporcionalidade consagrado no mesmo artigo, a
presente diretiva não excede o necessário para atingir esse objetivo.
|
|
(71)
Framework Decision 2008/977/JHA should be
repealed by this Directive.
|
(71)
A Decisão-Quadro 2008/977/JAI é revogada pela
presente diretiva.
|
|
(72)
Specific provisions with regard to the
processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal
offences or the execution of criminal penalties in acts
of the Union which were adopted prior to the date of the adoption of this
Directive, regulating the processing of personal data between Member States or
the access of designated authorities of Member States to information systems
established pursuant to the Treaties, should remain unaffected. The Commission should
evaluate the situation with regard to the relation between this Directive and
the acts adopted prior to the date of adoption of this Directive regulating the
processing of personal data between Member States or the access of designated
authorities of Member States to information systems established pursuant to the
Treaties, in order to assess the need for alignment of these specific
provisions with this Directive.
|
(72)
As disposições específicas no que respeita ao
tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção, repressão de infrações penais ou de
execução de sanções penais, mencionadas nos atos da União
adotados antes da data de adoção da presente diretiva, que regulem o tratamento
de dados pessoais entre Estados-Membros ou o acesso das autoridades designadas
dos Estados-Membros aos sistemas de informação criados nos termos de Tratados,
mantêm-se inalteradas. A Comissão deverá examinar a
situação quanto à relação entre a presente diretiva e os atos adotados anteriormente
à adoção da presente diretiva que regulem o tratamento de dados pessoais entre
Estados-Membros ou o acesso de autoridades designadas dos Estados-Membros a
sistemas de informação criados por força dos Tratados, a fim de avaliar a
necessidade de harmonização dessas disposições específicas com a presente
diretiva.
|
|
(73)
In order to ensure a comprehensive and coherent protection
of personal data in the Union, international agreements concluded by Member
States prior to the entry force of this Directive should be amended in line
with this Directive.
|
(73)
A fim de assegurar uma proteção global e coerente
dos dados pessoais na União, os acordos internacionais celebrados pelos
Estados-Membros anteriormente à entrada em vigor da presente diretiva devem ser
alterados em conformidade com a presente diretiva.
|
|
(74)
This Directive is without prejudice to the rules
on combating the sexual abuse and sexual exploitation of children and child
pornography as laid down in Directive 2011/92/EU of the European Parliament and
of the Council of 13 December 2011.[37]
|
(74)
A presente diretiva não prejudica as disposições
relativas à luta contra o abuso sexual e a exploração sexual de crianças, bem
como a pornografia infantil, previstas na Diretiva 2011/92/UE do Parlamento
Europeu e do Conselho de 13 de dezembro de 2011[37].
|
|
(75)
In accordance with Article 6a of the Protocol on
the position of the United Kingdom and Ireland in respect of the area of
freedom, security and justice, as annexed to the Treaty on European Union and
to the Treaty on the Functioning of the European Union, the United Kingdom and
Ireland shall not be bound by the rules laid down in this Directive where the
United Kingdom and Ireland are not bound by the rules governing the forms of
judicial co-operation in criminal matters or police co-operation which require
compliance with the provisions laid down on the basis of Article 16 of the
Treaty on the Functioning of the European Union.
|
(75)
Nos termos do artigo 6.º-A do Protocolo relativo à
posição do Reino Unido e da Irlanda em relação ao espaço de liberdade,
segurança e justiça, anexo ao Tratado da União Europeia e ao Tratado sobre o
Funcionamento da União Europeia, o Reino Unido e a Irlanda não ficam vinculados
pelas regras estabelecidas na presente diretiva sempre que o Reino Unido e a
Irlanda não estejam vinculados por regras que regulem formas de cooperação
judiciária em matéria penal ou de cooperação policial no âmbito das quais devam
ser observadas as disposições definidas com base no artigo 16.º do Tratado
sobre o Funcionamento da União Europeia.
|
|
(76)
In accordance with Articles 2 and 2a of the
Protocol on the position of Denmark, as annexed to the Treaty on European Union
and to the Treaty on the Functioning of the European Union, Denmark is not
bound by this Directive or subject to its application. Given that this
Directive builds upon the Schengen acquis, under Title V of Part Three of the
Treaty on the Functioning of the European Union, Denmark shall, in accordance
with Article 4 of that Protocol, decide within six months after adoption of
this Directive whether it will implement it in its national law.
|
(76)
Nos termos dos artigos 2.º e 2.º-A do Protocolo
relativo à posição da Dinamarca, anexo ao Tratado da União Europeia e ao
Tratado sobre o Funcionamento da União Europeia, a Dinamarca não fica vinculada
nem sujeita à aplicação da pela presente diretiva. Uma vez que da presente
diretiva desenvolve o acervo de Schengen, por força
do disposto no Título V, Parte III, do Tratado sobre o Funcionamento da União
Europeia, a Dinamarca decidirá, nos termos do artigo 4.º do referido Protocolo,
no prazo de seis meses a contar da data de adoção da presente diretiva, se
procederá à transposição da diretiva para o seu direito nacional.
|
|
(77)
As regards Iceland and Norway, this Directive
constitutes a development of provisions of the Schengen acquis, as provided for
by the Agreement concluded by the Council of the European Union and the
Republic of Iceland and the Kingdom of Norway concerning the association of
those two States with the implementation, application and development of the
Schengen acquis[38].
|
(77)
No que diz respeito à Islândia e à Noruega, a
presente diretiva constitui um desenvolvimento das disposições do acervo de
Schengen, na aceção do Acordo celebrado entre o Conselho da União Europeia e a
República da Islândia e o Reino da Noruega, relativo à associação desses
Estados à execução, à aplicação e ao desenvolvimento do acervo de Schengen[38].
|
|
(78)
As regards Switzerland, this Directive
constitutes a development of provisions of the Schengen acquis, as provided for
by the Agreement between the European Union, the European Community and the
Swiss Confederation concerning the association of the Swiss Confederation with
the implementation, application and development of the Schengen acquis[39].
|
(78)
No que diz respeito à Suíça, a presente diretiva
constitui um desenvolvimento das disposições do acervo de Schengen, na aceção
do Acordo entre a União Europeia, a Comunidade Europeia e a Confederação Suíça
relativo à associação da Confederação Suíça à execução, à aplicação e ao
desenvolvimento do acervo de Schengen[39].
|
|
(79)
As regards Liechtenstein, this Directive
constitutes a development of provisions of the Schengen acquis, as provided for
by the Protocol between the European Union, the European Community, the Swiss
Confederation and the Principality of Liechtenstein on the accession of the
Principality of Liechtenstein to the Agreement between the European Union, the
European Community and the Swiss Confederation on the Swiss Confederation’s
association with the implementation, application and development of the
Schengen acquis[40].
|
(79)
No que diz respeito ao Liechtenstein, o presente
regulamento constitui um desenvolvimento das disposições do acervo de Schengen,
na aceção do Protocolo entre a União Europeia, a Comunidade Europeia, a
Confederação Suíça e o Principado do Liechtenstein relativo à adesão do
Principado do Liechtenstein ao Acordo entre a União Europeia, a Comunidade
Europeia e a Confederação Suíça relativo à associação da Confederação Suíça à
execução, aplicação e ao desenvolvimento do acervo de Schengen[40].
|
|
(80)
This Directive respects the fundamental rights
and observes the principles recognised in the Charter of Fundamental Rights of
the European Union as enshrined in the Treaty, notably the right to respect for
private and family life, the right to the protection of personal data, the right
to an effective remedy and to a fair trial. Limitations placed on these rights
are in accordance with Article 52(1) of the Charter as they are necessary to meet
objectives of general interest recognised by the Union or the need to protect
the rights and freedoms of others.
|
(80)
A presente diretiva respeita os direitos
fundamentais e observa os princípios reconhecidos na Carta dos Direitos
Fundamentais da União Europeia, consagrados pelo Tratado, nomeadamente o
direito ao respeito da vida privada e familiar, o direito à proteção dos dados
pessoais, o direito à ação e a um tribunal imparcial. As
restrições introduzidas a estes direitos são conformes com o artigo 52.º, n.º
1, da Carta, uma vez que são necessários para cumprir os objetivos de interesse
geral reconhecidos pela União Europeia ou satisfazer a necessidade de proteger
os direitos e as liberdades de outrem.
|
|
(81)
In accordance with the Joint Political
Declaration of Member States and the Commission on explanatory documents of 28
September 2011, Member States have undertaken to accompany, in justified cases,
the notification of their transposition measures with one or more documents
explaining the relationship between the components of a directive and the
corresponding parts of national transposition instruments. With regard to this
Directive, the legislator considers the transmission of such documents to be
justified.
|
(81)
Em conformidade com a Declaração Política Conjunta
dos Estados-Membros e da Comissão sobre os documentos explicativos, de 28 de
setembro de 2011, os Estados‑Membros assumiram o compromisso de fazer
acompanhar, nos casos em que tal se justifique, a notificação das suas medidas
de transposição de um ou mais documentos explicando a relação entre os
componentes da diretiva e as partes correspondentes dos instrumentos de
transposição nacional. Em relação à presente diretiva, o legislador considera
que a transmissão desses documentos se justifica.
|
|
(82)
This Directive should not preclude Member States
from implementing the exercise of the rights of data subjects on information, access,
rectification, erasure and restriction of their personal data processed in the
course of criminal proceedings, and their possible restrictions thereto, in
national rules on criminal procedure.
|
(82)
A presente diretiva não obsta a que os
Estados-Membros possam aplicar disposições respeitantes ao exercício dos
direitos dos titulares de dados em matéria de informação, acesso, retificação,
apagamento e limitação do tratamento dos seus dados pessoais no âmbito de procedimentos
penais, bem como eventuais restrições desses direitos, na legislação processual
penal nacional,
|
|
HAVE ADOPTED THIS DIRECTIVE:
|
ADOTARAM A PRESENTE DIRETIVA:
|
|
CHAPTER I
|
CAPÍTULO I
|
|
GENERAL PROVISIONS
|
DISPOSIÇÕES GERAIS
|
|
Article 1
Subject matter and objectives
|
Artigo 1.º
Objeto e objetivos
|
|
1. This Directive lays down
the rules relating to the protection of individuals with regard to the
processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal
offences or the execution of criminal penalties.
|
1. A presente diretiva estabelece
as regras relativas à proteção das pessoas quanto ao tratamento de dados
pessoais pelas autoridades competentes para efeitos de prevenção,
investigação, deteção, repressão de infrações penais ou de execução de sanções
penais.
|
|
2. In accordance with this Directive,
Member States shall:
|
2. Em conformidade com a
presente diretiva, os Estados-Membros devem assegurar:
|
|
(a) protect the fundamental rights and
freedoms of natural persons and in particular their right to the protection of
personal data; and
|
(a) A proteção dos direitos e das liberdades
fundamentais das pessoas singulares e, em especial, o seu direito à proteção
dos dados pessoais; e
|
|
(b) ensure that the exchange of personal
data by competent authorities within the Union is neither restricted nor
prohibited for reasons connected with the protection of individuals with regard
to the processing of personal data.
|
(b) Que o intercâmbio de dados pessoais pelas
autoridades competentes da União não seja restringido nem proibido por razões relacionadas
com a proteção das pessoas singulares no que respeita ao tratamento de dados
pessoais.
|
|
Article 2
Scope
|
Artigo 2.º
Âmbito de aplicação
|
|
1. This Directive applies to the
processing of personal data by competent authorities for the purposes referred
to in Article 1(1).
|
1. A presente diretiva aplica-se
ao tratamento de dados pessoais pelas autoridades competentes para os efeitos
referidos no artigo 1.º, n.º 1.
|
|
2. This Directive applies to
the processing of personal data wholly or partly by automated means, and to the
processing other than by automated means of personal data which form part of a
filing system or are intended to form part of a filing system.
|
2. A
presente diretiva aplica-se ao tratamento de dados pessoais por meios total ou
parcialmente automatizados, bem como ao tratamento por meios não automatizados
de dados pessoais contidos num ficheiro ou a ele destinados.
|
|
3. This Directive shall not
apply to the processing of personal data:
|
3. A
presente diretiva não se aplica ao tratamento de dados pessoais:
|
|
(a) in the course of an activity which
falls outside the scope of Union law, in particular concerning national
security;
|
(a) Efetuado no exercício de atividades não
sujeitas à aplicação do direito da União, nomeadamente no que se refere à
segurança nacional;
|
|
(b) by the Union institutions, bodies,
offices and agencies.
|
(b) Efetuado pelas instituições, organismos, serviços
e agências da União.
|
|
Article 3
Definitions
|
Artigo 3.º
Definições
|
|
For the purposes of this Directive:
|
Para efeitos da presente diretiva, entende-se
por:
|
|
(1)
'data subject' means an identified natural
person or a natural person who can be identified, directly or indirectly, by
means reasonably likely to be used by the controller or by any other natural or
legal person, in particular by reference to an identification number, location
data, online identifiers or to one or more factors specific to the physical,
physiological, genetic, mental, economic, cultural or social identity of that
person;
|
(1)
«Titular de dados», uma pessoa singular
identificada ou identificável, direta ou indiretamente, por meios com razoável
probabilidade de serem utilizados pelo responsável pelo tratamento ou por
qualquer outra pessoa singular ou coletiva, nomeadamente por referência a um
número de identificação, a dados de localização, a um identificador em linha ou
a um ou mais elementos específicos próprios à sua identidade física, fisiológica,
genética, psíquica, económica, cultural ou social;
|
|
(2)
'personal data' means any information relating
to a data subject;
|
(2)
«Dados pessoais», qualquer informação relativa a um
titular de dados;
|
|
(3)
'processing' means any operation or set of
operations which is performed upon personal data or sets of personal data,
whether or not by automated means, such as collection, recording, organization,
structuring, storage, adaptation or alteration, retrieval, consultation, use,
disclosure by transmission, dissemination or otherwise making available,
alignment or combination, restriction, erasure or destruction;
|
(3)
«Tratamento de dados pessoais»,
qualquer operação ou conjunto de operações efetuadas sobre dados pessoais, com
ou sem meios automatizados, tais como a recolha, o registo, a organização, a
estruturação, a conservação, a adaptação ou a alteração, a recuperação, a
consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra
forma de disponibilização, a comparação ou interconexão, o apagamento ou a
destruição;
|
|
(4)
'restriction of processing' means the marking of
stored personal data with the aim of limiting their processing in the future;
|
(4)
«Limitação do tratamento», a
inserção de uma marca nos dados pessoais conservados com o objetivo de limitar
o seu tratamento no futuro;
|
|
(5)
'filing system' means any structured set of
personal data which are accessible according to specific criteria, whether
centralized, decentralized or dispersed on a functional or geographical basis;
|
(5)
«Ficheiro», qualquer conjunto
estruturado de dados pessoais, acessível segundo critérios específicos, quer
seja centralizado, descentralizado ou repartido de modo funcional ou
geográfico;
|
|
(6)
'controller' means the competent public authority which alone or jointly with
others determines the purposes, conditions and means of the processing of
personal data; where the purposes, conditions and means of processing are
determined by Union law or Member State law, the controller or the specific
criteria for his nomination may be designated by Union law or by Member State
law;
|
(6)
«Responsável pelo
tratamento», a autoridade pública competente que, por si
ou em conjunto, determina as finalidades, as condições e os meios de tratamento
de dados pessoais; sempre que as finalidades, as condições e os meios de
tratamento sejam determinados pelo direito da União ou pela legislação dos
Estados Membros, o responsável pelo tratamento ou os critérios específicos
aplicáveis à sua nomeação podem ser indicados pelo direito da União ou pela
legislação de um Estado-Membro;
|
|
(7)
'processor' means a natural or legal person, public authority, agency or any
other body which processes personal data on behalf of the controller;
|
(7)
«Subcontratante», a pessoa singular ou coletiva, a autoridade pública, serviço ou
qualquer outro organismo que trata dados pessoais por conta do responsável pelo
tratamento;
|
|
(8)
'recipient' means a natural or legal person,
public authority, agency or any other body to which the personal data are
disclosed;
|
(8)
«Destinatário», a pessoa singular ou coletiva, a autoridade pública, o serviço ou qualquer outro organismo
que receba comunicações de dados pessoais;
|
|
(9)
'personal data breach' means a breach of security leading to the accidental or unlawful
destruction, loss, alteration, unauthorised disclosure of, or access to,
personal data transmitted, stored or otherwise processed;
|
(9)
«Violação de dados
pessoais», uma violação da segurança que provoca, de modo
acidental ou ilícito, a destruição, a perda, a alteração, a divulgação, ou o
acesso, não autorizados, de dados pessoais transmitidos, conservados ou
tratados de outro modo;
|
|
(10)
'genetic data' means all data, of whatever type,
concerning the characteristics of an individual which are inherited or acquired
during early prenatal development;
|
(10)
«Dados genéticos», todos os
dados, independentemente do tipo, relacionados com as características de uma
pessoa singular que são hereditárias ou adquiridas numa fase precoce do seu
desenvolvimento pré-natal;
|
|
(11)
'biometric data' means any data relating to the
physical, physiological or behavioural characteristics of an individual which
allow their unique identification, such as facial images, or dactyloscopic
data;
|
(11)
«Dados biométricos», quaisquer
dados relativos às características físicas, fisiológicas ou comportamentais de
uma pessoa singular que permitam a sua identificação única, nomeadamente
imagens faciais ou dados dactiloscópicos;
|
|
(12)
‘data concerning health’ means any information
which relates to the physical or mental health of an individual, or to the
provision of health services to the individual;
|
(12)
«Dados relativos à saúde», quaisquer
informações relacionadas com a saúde física ou psíquica de uma pessoa singular,
ou com a prestação de serviços de saúde a essa pessoa;
|
|
(13)
'child' means any person below the age of 18
years;
|
(13)
«Criança», qualquer pessoa com menos de 18 anos;
|
|
(14)
'competent authorities’ means any public authority
competent for the prevention, investigation, detection
or prosecution of criminal offences or the execution of criminal penalties;
|
(14)
«Autoridades competentes», qualquer autoridade
pública competente para efeitos de prevenção, investigação,
deteção e repressão de infrações penais, ou de execução de sanções penais;
|
|
(15)
'supervisory authority' means a public authority
which is established by a Member State in accordance with Article 39.
|
(15)
«Autoridade de controlo», a autoridade pública
instituída por um Estado-Membro nos termos do artigo 39.º.
|
|
CHAPTER II
|
CAPÍTULO II
|
|
PRINCIPLES
|
PRINCÍPIOS
|
|
Article 4
Principles relating to personal data processing
|
Artigo 4.º
Princípios relativos ao tratamento de dados pessoais
|
|
Member States shall provide that personal
data must be:
|
Os Estados-Membros devem prever que os dados
pessoais serão:
|
|
(a) processed fairly and lawfully;
|
(a) Objeto de um tratamento leal e lícito;
|
|
(b) collected for specified, explicit and
legitimate purposes and not further processed in a way incompatible with those
purposes;
|
(b) Recolhidos para finalidades
determinadas, explícitas e legítimas e não ser posteriormente tratados de forma
incompatível com essas finalidades;
|
|
(c) adequate, relevant, and not excessive in relation to the purposes for
which they are processed;
|
(c) Adequados,
pertinentes e limitados ao mínimo necessário relativamente às
finalidades para que são tratados;
|
|
(d) accurate and, where necessary, kept up
to date; every reasonable step must be taken to ensure that personal data that
are inaccurate, having regard to the purposes for which they are processed, are
erased or rectified without delay;
|
(d) Exatos e, se necessário, atualizados; devem ser adotadas todas as medidas razoáveis para que os
dados inexatos, tendo em conta as finalidades para que são tratados, sejam
apagados ou retificados sem demora;
|
|
(e) kept in a form which permits
identification of data subjects for no longer than it is necessary for the
purposes for which the personal data are processed;
|
(e) Conservados de forma a permitir a
identificação dos titulares de dados apenas durante o período necessário para a prossecução das
finalidades para que são tratados;
|
|
(f) processed under the responsibility and liability of the controller,
who shall ensure compliance with the provisions adopted pursuant to this
Directive.
|
(f) Tratados sob a autoridade e responsabilidade do responsável pelo tratamento, que
deve assegurar a conformidade com as disposições adotadas por força da presente
diretiva.
|
|
.
|
Artigo 5.º
Distinção entre diferentes categorias de titulares de
dados
|
|
Article 5
Distinction between different categories of data subjects
|
1. Os Estados-Membros devem
prever que o responsável pelo tratamento estabeleça, na medida do possível, uma
distinção clara entre os dados pessoais de diferentes categorias de titulares
de dados, tais como:
|
|
1. Member States shall provide
that, as far as possible, the controller makes a clear distinction between
personal data of different categories of data subjects, such as:
|
(a) Pessoas relativamente às quais existam
motivos fundados para crer que cometeram ou vão cometer uma infração penal;
|
|
(a) persons with regard to whom there are
serious grounds for believing that they have committed or are about to commit a
criminal offence;
|
(b) Pessoas
condenadas por uma infração penal;
|
|
(b) persons convicted of a criminal
offence;
|
(c) Vítimas de uma infração penal ou pessoas
relativamente às quais certos factos levam a crer que podem vir a ser vítimas
de uma infração penal;
|
|
(c) victims of a criminal offence, or
persons with regard to whom certain facts give reasons for believing that he or
she could be the victim of a criminal offence;
|
(d) Terceiros envolvidos numa infração penal,
designadamente pessoas suscetíveis de serem chamadas a testemunhar em
investigações penais relacionadas com a infrações penais, ou em processos
penais subsequentes, ou uma pessoa que possa fornecer informações sobre
infrações penais, ou um contacto ou associado de uma das pessoas mencionadas
nas alíneas a) e b); e
|
|
(d) third parties to the criminal offence,
such as persons who might be called on to testify in investigations in
connection with criminal offences or subsequent criminal proceedings, or a
person who can provide information on criminal offences, or a contact or
associate to one of the persons mentioned in (a) and (b); and
|
(e) Pessoas não abrangidas por qualquer das
categorias acima referidas.
|
|
(e) persons who do not fall within any of
the categories referred to above.
|
Artigo 6.º
Níveis diferentes de exatidão e de fiabilidade de dados
pessoais
|
|
Article 6
Different degrees of accuracy and reliability of personal data
|
1. Os Estados-Membros devem assegurar
que seja estabelecida uma distinção, na medida do possível, entre as diferentes
categorias de dados pessoais objeto de tratamento, em função do seu nível de
precisão e de fiabilidade.
|
|
1. Member States shall ensure that,
as far as possible, the different categories of personal data undergoing
processing are distinguished in accordance with their degree of accuracy and
reliability.
|
2. Os
Estados-Membros devem assegurar que os dados pessoais baseados em factos sejam,
na medida do possível, distinguidos dos dados pessoais baseados em apreciações
pessoais.
|
|
2. Member States shall ensure that, as
far as possible, personal data based on facts are distinguished from personal
data based on personal assessments.
|
Artigo 7.º
Licitude do tratamento
|
|
Article 7
Lawfulness of processing
|
Os Estados-Membros devem prever que o
tratamento de dados pessoais só é lícito se e na medida em que for necessário
para:
|
|
Member States shall provide that the
processing of personal data is lawful only if and to the extent that processing
is necessary:
|
(a)
O exercício de uma função pela autoridade
competente, por força da legislação, tendo em vista as finalidades enunciadas
no artigo 1.º, n.º 1; ou
|
|
(a)
for the performance of a task carried out by a
competent authority, based on law for the purposes set out in Article 1(1); or
|
(b)
O respeito de uma obrigação jurídica a que o
responsável pelo tratamento esteja sujeito; ou
|
|
(b)
for compliance with a legal obligation to which
the controller is subject; or
|
(c)
A proteção dos interesses vitais do titular de
dados ou de um terceiro; ou
|
|
(c)
in order to protect the vital interests of the
data subject or of another person; or
|
(d)
A prevenção de uma ameaça grave e imediata para a segurança
pública.
|
|
(d)
for the prevention of an immediate and serious
threat to public security.
|
Artigo 8.º
Tratamento de categorias especiais de dados pessoais
|
|
Article 8
Processing of special categories of personal data
|
1. Os Estados-Membros devem
proibir o tratamento de dados pessoais que revelem a origem racial ou étnica,
as opiniões políticas, as convicções religiosas ou filosóficas, a filiação
sindical, bem como o tratamento de dados genéticos ou dados relativos à saúde
ou à situação médica ou à orientação sexual.
|
|
1. Member States shall
prohibit the processing of personal data revealing race or ethnic origin,
political opinions, religion or beliefs, trade-union membership, of genetic
data or of data concerning health or sex life.
|
2. O n.º 1 não se aplica sempre
que:
|
|
2. Paragraph 1 shall not
apply where:
|
(a) O tratamento for autorizado por uma legislação
que preveja garantias adequadas; ou
|
|
(a) the processing is authorised by a law providing
appropriate safeguards; or
|
(b) O tratamento
for necessário para a proteção dos interesses vitais do titular de dados ou de
um terceiro; ou
|
|
(b) the processing is necessary to protect
the vital interests of the data subject or of another
person; or
|
(c) O tratamento estiver
relacionado com dados manifestamente tornados públicos pelo
seu titular.
|
|
(c) the processing relates to data which
are manifestly made public by the data subject.
|
Artigo 9.º
Medidas baseadas na definição de
perfis e no tratamento automatizado
|
|
Article 9
Measures based on profiling and automated processing
|
1. Os Estados-Membros devem
prever a proibição de medidas que produzam efeitos adversos na esfera jurídica
do titular de dados ou que o afetem de modo significativo e que se baseiem
unicamente no tratamento automatizado de dados pessoais destinado a avaliar
determinados aspetos próprios dessa pessoa, salvo se forem autorizadas por uma
lei que preveja igualmente medidas destinadas a assegurar os interesses
legítimos do titular de dados.
|
|
1. Member States shall
provide that measures which produce an adverse legal effect for the data
subject or significantly affect them and which are based solely on automated
processing of personal data intended to evaluate certain personal aspects
relating to the data subject shall be prohibited unless authorised by a law
which also lays down measures to safeguard the data subject’s legitimate
interests.
|
2. O tratamento
automatizado dos dados pessoais destinado a avaliar determinados aspetos
pessoais próprios ao titular de dados não se deve basear exclusivamente nas
categorias especiais de dados pessoais referidas no artigo 8.º.
|
|
2. Automated processing of
personal data intended to evaluate certain personal aspects relating to the
data subject shall not be based solely on special categories of personal data
referred to in Article 8.
|
CAPÍTULO III
|
|
CHAPTER III
|
DIREITOS DO TITULAR
DOS DADOS
|
|
RIGHTS OF THE
DATA SUBJECT
|
Artigo 10.º
Modalidades de exercício dos direitos do titular dos
dados
|
|
Article 10
Modalities for exercising the rights of the data
subject
|
1. Os Estados-Membros devem
prever que o responsável pelo tratamento adote todas as medidas razoáveis a fim
de aplicar regras internas transparentes e facilmente acessíveis no que diz
respeito ao tratamento de dados pessoais, tendo em vista o exercício dos
direitos pelos titulares de dados.
|
|
1. Member States shall provide
that the controller takes all reasonable steps to have transparent and easily
accessible policies with regard to the processing of personal data and for the
exercise of the data subjects' rights.
|
2. Os Estados-Membros devem
prever que o responsável pelo tratamento faculte todas as informações e
comunicações relativas ao tratamento de dados pessoais ao titular de dados de
uma forma inteligível e numa linguagem clara e simples.
|
|
2. Member States shall provide
that any information and any communication relating to the processing of
personal data are to be provided by the controller to the data subject in an
intelligible form, using clear and plain language.
|
3. Os
Estados-Membros devem prever que o responsável pelo tratamento adote todas as
medidas razoáveis para estabelecer os procedimentos de informação referidos no
artigo 11.º e os procedimentos para o exercício dos direitos pelos titulares de
dados referidos nos artigos 12.º a 17.º.
|
|
3. Member States shall
provide that the controller takes all reasonable steps to establish procedures
for providing the information referred to in Article 11 and for the exercise of
the rights of data subjects referred to in Articles 12 to 17.
|
4. Os
Estados-Membros devem prever que o responsável pelo tratamento informe, sem demora injustificada, o titular de dados do seguimento
dado ao seu pedido.
|
|
4. Member States shall
provide that the controller informs the data subject about the follow-up given
to their request without undue delay.
|
5. Os
Estados-Membros devem prever que as informações e eventuais medidas adotadas pelo
responsável pelo tratamento na sequência de um pedido previsto nos n.os 3 e 4 sejam gratuitas. Sempre que os pedidos sejam abusivos, particularmente
devido ao seu caráter repetitivo, ou à dimensão ou volume do pedido, o
responsável pelo tratamento pode exigir o pagamento de uma taxa pela prestação
de informações ou adoção da medida solicitada, ou pode abster-se de a adotar.
Neste caso, incumbe ao responsável pelo tratamento provar o caráter abusivo do
pedido.
|
|
5. Member States shall
provide that the information and any action taken by the controller following a
request referred to in paragraphs 3 and 4 are free of charge. Where requests
are vexatious, in particular because of their repetitive character, or the size
or volume of the request, the controller may charge a fee for providing the
information or taking the action requested, or the controller may not take the
action requested. In that case, the controller shall bear the burden of proving
the vexatious character of the request.
|
Artigo 11.º
Informação do titular dos dados
|
|
Article 11
Information to the data subject
|
1. Sempre que os dados pessoais
de uma pessoa forem recolhidos, os Estados-Membros devem assegurar que o
responsável pelo tratamento adote todas as medidas adequadas para fornecer ao
titular dos dados pelo menos as seguintes informações:
|
|
1. Where personal data
relating to a data subject are collected, Member States shall ensure that the
controller takes all appropriate measures to provide the data subject with at
least the following information:
|
(a) Identidade e contactos do responsável
pelo tratamento e do delegado para a proteção de dados;
|
|
(a) the identity and the contact details
of the controller and of the data protection officer;
|
(b) Finalidades do
tratamento a que os dados pessoais se destinam;
|
|
(b) the purposes of the processing for
which the personal data are intended;
|
(c) Período de
conservação dos dados pessoais;
|
|
(c) the period for which the personal data
will be stored;
|
(d) Existência
do direito de solicitar ao responsável pelo
tratamento o acesso aos dados pessoais que lhe digam respeito, e a sua
retificação ou apagamento, ou a limitação do seu tratamento;
|
|
(d) the existence of the right to request
from the controller access to and rectification, erasure or restriction of
processing of the personal data concerning the data subject;
|
(e) Direito de apresentar
uma queixa à autoridade de controlo referida no artigo 39.º, e de obter os
contactos desta autoridade;
|
|
(e) the right to lodge a complaint to the
supervisory authority referred to in Article 39 and its contact details;
|
(f) Destinatários ou
categorias de destinatários dos dados pessoais, incluindo nos países terceiros
ou a nível das organizações internacionais;
|
|
(f) the recipients or categories of
recipients of the personal data, including in third countries or international
organisations;
|
(g) Quaisquer outras informações, na medida
em que sejam necessárias para assegurar à pessoa em causa um tratamento leal,
tendo em conta as circunstâncias específicas em que os dados pessoais são tratados.
|
|
(g) any further information in so far as
such further information is necessary to guarantee fair processing in respect
of the data subject, having regard to the specific circumstances in which the
personal data are processed.
|
2. Sempre que os dados pessoais
tiverem sido recolhidos junto do titular de dados, o responsável pelo
tratamento deve informá-lo, para além da informação referida no n.º 1, do
caráter obrigatório ou facultativo de fornecer os dados pessoais, bem como das
eventuais consequências de não fornecer esses dados.
|
|
2. Where the personal data
are collected from the data subject, the controller shall inform the data
subject, in addition to the information referred to in paragraph 1, whether the
provision of personal data is obligatory or voluntary, as well as the possible
consequences of failure to provide such data.
|
3. O responsável pelo tratamento
deve comunicar as informações referidas no n.º 1:
|
|
3. The controller shall
provide the information referred to in paragraph 1:
|
(a) No momento da recolha dos dados pessoais
junto do titular de dados; ou
|
|
(a) at the
time when the personal data are obtained from the data subject, or
|
(b) Sempre que os dados
não forem recolhidos junto do titular de dados, no momento do seu registo ou num prazo razoável após a
recolha dos dados, tendo em conta as circunstâncias específicas em que os dados
foram tratados.
|
|
(b) where the personal data are not
collected from the data subject, at the time of the recording or within a reasonable
period after the collection having regard to the specific circumstances in
which the data are processed.
|
4. Os Estados-Membros podem
adotar medidas legislativas prevendo o adiamento, a limitação da prestação das
informações, ou a sua não prestação, aos titulares de dados na medida e
enquanto tal limitação, parcial ou total, constitua uma medida necessária e
proporcionada numa sociedade democrática, tendo devidamente em conta os
interesses legítimos do titular de dados:
|
|
4. Member States may adopt
legislative measures delaying, restricting or omitting the provision of the
information to the data subject to the extent that, and as long as, such
partial or complete restriction constitutes a necessary and proportionate
measure in a democratic society with due regard for the legitimate interests of
the person concerned:
|
(a)
Para evitar que constituam um entrave a
inquéritos, investigações, ou procedimentos oficiais ou judiciais;
|
|
(a)
to avoid obstructing official or legal
inquiries, investigations or procedures ;
|
(b)
Para evitar prejudicar a prevenção, deteção,
investigação, repressão de infrações penais ou a execução de sanções penais;
|
|
(b)
to avoid prejudicing the prevention, detection,
investigation and prosecution of criminal offences or for the execution of
criminal penalties;
|
(c)
Para proteger a segurança pública;
|
|
(c)
to protect public security;
|
(d)
Para proteger a segurança nacional;
|
|
(d)
to protect national security;
|
(e)
Para proteger os direitos e as liberdades de outrem.
|
|
(e)
to protect the rights and freedoms of others.
|
5. Os
Estados-Membros podem determinar categorias de tratamento de dados suscetíveis
de serem objeto, na sua integralidade em parte, das derrogações previstas no
n.º 4.
|
|
5. Member States may
determine categories of data processing which may wholly or partly fall under
the exemptions of paragraph 4.
|
Artigo 12.º
Direito de acesso do titular dos dados
|
|
Article 12
Right of access for the data subject
|
1. Os Estados-Membros devem
prever o direito de o titular de dados poder obter do responsável pelo
tratamento a confirmação de que os dados pessoais que lhe digam respeito são ou
não objeto de tratamento. Sempre que esses dados
pessoais forem objeto de tratamento, o responsável pelo tratamento deve
fornecer as seguintes informações:
|
|
1. Member States shall provide
for the right of the data subject to obtain from the controller confirmation as
to whether or not personal data relating to them are being processed. Where
such personal data are being processed, the controller shall provide the
following information:
|
(a) Finalidades do tratamento;
|
|
(a) the purposes of the processing;
|
(b) Categorias de dados pessoais envolvidos;
|
|
(b) the categories of personal data
concerned;
|
(c) Destinatários ou
categorias de destinatários a quem os dados pessoais foram divulgados, em
especial quando os destinatários estão estabelecidos em países terceiros;
|
|
(c) the recipients or categories of
recipients to whom the personal data have been disclosed, in particular the recipients
in third countries;
|
(d) Período de
conservação dos dados pessoais;
|
|
(d) the period for which the personal data
will be stored;
|
(e) A existência do direito de solicitar à
autoridade de controlo a retificação, o apagamento ou a limitação do tratamento
dos dados pessoais do titular de dados;
|
|
(e) the existence of the right to request
from the controller rectification, erasure or restriction of processing of
personal data concerning the data subject;
|
(f) O direito de
apresentar uma queixa à autoridade de controlo e de obter os contactos desta
autoridade;
|
|
(f) the right to lodge a complaint to the
supervisory authority and the contact details of the supervisory authority;
|
(g) Comunicação
dos dados pessoais em fase de tratamento e quaisquer
informações disponíveis sobre a origem desses dados.
|
|
(g) communication of the personal data
undergoing processing and of any available information as to their source.
|
2. Os Estados-Membros devem
prever o direito do titular de dados de obter do responsável pelo tratamento uma
cópia dos dados pessoais em fase de tratamento.
|
|
2. Member States shall
provide for the right of the data subject to obtain from the controller a copy
of the personal data undergoing processing.
|
Artigo 13.º
Limitações do direito de acesso
|
|
Article 13
Limitations to the right of access
|
1.
Os Estados-Membros podem adotar medidas
legislativas para limitar, total ou parcialmente, o direito de acesso do
titular de dados, na medida em que tal limitação total ou parcial constitua uma
medida necessária e proporcionada numa sociedade democrática, tendo devidamente
em conta os interesses legítimos do titular de dados:
|
|
1.
Member States may adopt legislative measures
restricting, wholly or partly, the data subject's right of access to the extent
that such partial or complete restriction constitutes a necessary and
proportionate measure in a democratic society with due regard for the
legitimate interests of the person concerned:
|
(a)
Para evitar que constituam um entrave a inquéritos,
investigações, ou procedimentos oficiais ou judiciais;
|
|
(a)
to avoid obstructing official or legal
inquiries, investigations or procedures;
|
(b)
Para evitar prejudicar a prevenção, deteção,
investigação, repressão de infrações penais ou a execução de sanções penais;
|
|
(b)
to avoid prejudicing the prevention, detection,
investigation and prosecution of criminal offences or the execution of criminal
penalties;
|
(c)
Para proteger a segurança pública;
|
|
(c)
to protect public security;
|
(d)
Para proteger a segurança nacional;
|
|
(d)
to protect national security;
|
(e)
Para proteger os direitos e as liberdades de outrem.
|
|
(e)
to protect the rights and freedoms of others.
|
2.
Os Estados-Membros podem, por via legislativa,
determinar categorias de tratamento de dados suscetíveis de ser objeto, no todo
ou em parte, das derrogações previstas no n.º 1.
|
|
2.
Member States may determine by law categories of
data processing which may wholly or partly fall under the exemptions of paragraph
1.
|
3.
Nos casos previstos nos n.os 1 e 2, os Estados-Membros devem prever que em caso
de recusa ou de limitação do acesso aos dados, o responsável pelo tratamento
informe o titular de dados, por escrito, dos motivos da recusa e das
possibilidades de apresentar uma queixa à autoridade de controlo e de intentar
uma ação judicial. Os motivos de facto ou de direito em que se baseia a decisão
podem ser omitidos sempre que a sua comunicação seja suscetível de prejudicar
um dos objetivos enunciados no n.º 1.
|
|
3.
In cases referred to in paragraphs 1 and 2, Member
States shall provide that the controller informs the data subject in writing on
any refusal or restriction of access, on the reasons for the refusal and on the
possibilities of lodging a complaint to the supervisory authority and seeking a
judicial remedy. The information on factual or legal reasons on which the
decision is based may be omitted where the provision of such information would
undermine a purpose under paragraph 1.
|
4.
Os Estados-Membros devem
assegurar que o responsável pelo tratamento documente os fundamentos para não
comunicar os motivos de facto ou de direito em que baseou a decisão.
|
|
4.
Member States shall ensure that the controller
documents the grounds for omitting the communication of the factual or legal
reasons on which the decision is based.
|
Artigo 14.º
Modalidades de exercício do direito de acesso
|
|
Article 14
Modalities for exercising the right of access
|
1. Os Estados-Membros devem
prever o direito de o titular de dados solicitar à autoridade de controlo, em
especial nos casos referidos no artigo 13.º, a verificação da licitude do
tratamento.
|
|
1. Member States shall
provide for the right of the data subject to request, in particular in cases referred
to in Article 13, that the supervisory authority checks the lawfulness of the
processing.
|
2. O Estado-Membro deve prever
que o responsável pelo tratamento informe o titular de dados do seu direito de
solicitar a intervenção da autoridade de controlo por força do n.º 1.
|
|
2. Member State shall provide
that the controller informs the data subject of the right to request the intervention
of the supervisory authority pursuant to paragraph 1.
|
3. Sempre
que o direito a que se refere o n.º 1 for exercido, a autoridade de controlo
deve informar o titular de dados, pelo menos, de que foram realizadas todas as
verificações necessárias que incumbem à referida autoridade e do resultado
quanto à licitude do tratamento em causa.
|
|
3. When the right referred to
in paragraph 1 is exercised, the supervisory authority shall inform the data
subject at least that all necessary verifications by the supervisory authority
have taken place, and of the result as regards the lawfulness of the processing
in question.
|
Artigo 15.º
Direito de retificação
|
|
Article 15
Right to rectification
|
1. Os Estados-Membros devem prever
o direito de o titular de dados obter do responsável pelo tratamento a
retificação dos dados pessoais inexatos que lhe digam respeito. O titular de
dados tem o direito de obter, nomeadamente através de
uma declaração retificativa, que os seus dados pessoais incompletos sejam
completados.
|
|
1. Member States shall provide
for the right of the data subject to obtain from the controller the
rectification of personal data relating to them which are inaccurate. The data
subject shall have the right to obtain completion of incomplete personal data,
in particular by way of a corrective statement.
|
2. Os
Estados-Membros devem prever que, em caso de recusa de ratificação dos dados, o
responsável pelo tratamento informe o titular de dados, por escrito, dos
motivos da recusa e das possibilidades de apresentar uma queixa à autoridade de
controlo e de intentar uma ação judicial.
|
|
2. Member States shall
provide that the controller informs the data subject in writing on any refusal
of rectification, on the reasons for the refusal and on the possibilities of
lodging a complaint to the supervisory authority and seeking a judicial remedy.
|
Artigo 16.º
Direito de apagamento
|
|
Article 16
Right to erasure
|
1.
Os Estados-Membros devem prever o direito de o titular
de dados obter do responsável pelo tratamento o apagamento dos dados pessoais
que lhe digam respeito sempre que o tratamento não seja conforme com as
disposições adotadas nos termos do artigo 4.º, alínea a) a e), e dos artigos
7.º e 8.º, da presente diretiva.
|
|
1.
Member States shall provide for the right of the
data subject to obtain from the controller the erasure of personal data
relating to them where the processing does not comply with the provisions
adopted pursuant to Articles 4 (a) to (e), 7 and 8 of this Directive.
|
2.
O responsável pelo tratamento deve efetuar esse
apagamento sem demora.
|
|
2.
The controller shall carry out the erasure
without delay.
|
3.
Em vez de proceder ao apagamento,
o responsável pelo tratamento deve marcar os dados pessoais sempre que:
|
|
3.
Instead of erasure, the controller shall mark
the personal data where:
|
(a)
A sua exatidão for contestada pelo titular dos
dados, durante um período que permita ao responsável pelo tratamento verificar
a exatidão dos dados;
|
|
(a)
their accuracy is contested by the data subject,
for a period enabling the controller to verify the accuracy of the data;
|
(b)
Os dados pessoais devam ser conservados para
efeitos de prova;
|
|
(b)
the personal data have to be maintained for
purposes of proof;
|
(c)
O titular dos dados se opuser
ao seu apagamento e solicitar, em contrapartida, a limitação da sua utilização;
|
|
(c)
the data subject opposes their erasure and requests
the restriction of their use instead.
|
4.
Os Estados-Membros devem prever que o responsável
pelo tratamento informe o titular de dados, por escrito, de qualquer recusa de
apagamento ou de marcação dos dados tratados, dos motivos de recusa e das
possibilidades de apresentar uma queixa à autoridade de controlo e de intentar
uma ação judicial.
|
|
4.
Member States shall provide that the controller
informs the data subject in writing of any refusal of erasure or marking of the
processing, the reasons for the refusal and the possibilities of lodging a
complaint to the supervisory authority and seeking a judicial remedy.
|
Artigo 17.º
Direitos do titular dos dados no âmbito de investigações
e ações penais
|
|
Article 17
Rights of the data subject in criminal investigations and proceedings
|
Os Estados-Membros podem prever, sempre que
dados pessoais constem de uma decisão ou de um registo criminal objeto de
tratamento no âmbito de uma investigação ou ação penal, que os direitos de
informação, acesso, retificação, apagamento e limitação do tratamento,
previstos nos artigos 11.º a 16.º, sejam exercidos em conformidade com as
regras processuais penais nacionais.
|
|
Member States may provide that the rights
of information, access, rectification, erasure and restriction of processing
referred to in Articles 11 to 16 are carried out in accordance with national
rules on judicial proceedings where the personal data are contained in a
judicial decision or record processed in the course of criminal investigations
and proceedings.
|
CAPÍTULO IV
RESPONSÁVEL
PELO TRATAMENTO E SUBCONTRATANTE
|
|
CHAPTER IV
CONTROLLER AND PROCESSOR
|
SECÇÃO
1
OBRIGAÇÕES
GERAIS
|
|
SECTION
1
GENERAL OBLIGATIONS
|
Artigo 18.º
Obrigações do responsável pelo tratamento
|
|
Article 18
Responsibility of the controller
|
1. Os Estados-Membros devem
prever que o responsável pelo tratamento adote regras internas e execute as
medidas adequadas para assegurar que o tratamento dos dados pessoais é
realizado no respeito das disposições adotadas em conformidade com a presente
diretiva.
|
|
1. Member States shall
provide that the controller adopts policies and implements appropriate measures
to ensure that the processing of personal data is performed in compliance with the
provisions adopted pursuant to this Directive.
|
2. As
medidas referidas no n.º 1 devem incluir, nomeadamente:
|
|
2. The measures referred to
in paragraph 1 shall in particular include:
|
(a) Conservar a documentação, nos termos do
artigo 23.º;
|
|
(a) keeping the documentation referred to
in Article 23;
|
(b) Respeitar a obrigação de consulta prévia,
nos termos do artigo 26.º;
|
|
(b) complying with the requirements for
prior consultation pursuant to Article 26;
|
(c) Aplicar os requisitos de segurança
previstos no artigo 27.º;
|
|
(c) implementing the data security
requirements laid down in Article 27;
|
(d) Designar um delegado para a proteção de
dados, nos termos do artigo 30.º.
|
|
(d) designating a data protection officer
pursuant to Article 30.
|
3. O responsável pelo tratamento deve aplicar mecanismos de
verificação da eficácia das medidas referidas no n.º 1. Sob reserva da sua proporcionalidade, essa verificação deve ser
realizada por auditores independentes internos ou externos.
|
|
3. The controller shall implement mechanisms to ensure the verification
of the effectiveness of the measures referred to in paragraph 1 of this Article. If proportionate, this verification shall be carried
out by independent internal or external auditors.
|
Artigo 19.º
Proteção de dados desde a
conceção e por defeito
|
|
Article 19
Data protection by design and by default
|
1. Os Estados-Membros devem
prever que, tendo em conta as técnicas mais recentes e os custos associados à
sua aplicação, o responsável pelo tratamento aplique as medidas e procedimentos
técnicos e organizativos adequados, a fim de que o tratamento respeite as
disposições adotadas em conformidade com a presente diretiva e garanta a
proteção dos direitos do titular de dados.
|
|
1. Member States shall
provide that, having regard to the state of the
art and the cost of implementation, the controller shall implement
appropriate technical and organisational measures and procedures in such a way
that the processing will meet the requirements of provisions adopted pursuant
to this Directive and ensure the protection of the rights of the data subject.
|
2. O
responsável pelo tratamento deve aplicar mecanismos que garantam, por defeito,
que apenas são tratados os dados pessoais necessários para as finalidades do
tratamento.
|
|
2. The controller shall
implement mechanisms for ensuring that, by default, only those personal data
which are necessary for the purposes of the processing are processed.
|
Artigo 20.º
Responsáveis conjuntos pelo
tratamento
|
|
Article 20
Joint controllers
|
Os Estados-Membros devem prever, sempre que um
responsável pelo tratamento definir, em conjunto com outros, as finalidades, as
condições e os meios do tratamento de dados pessoais, os responsáveis conjuntos
pelo tratamento devem definir, por acordo, as respetivas obrigações, a fim de
respeitarem as disposições adotadas em conformidade com a presente diretiva,
nomeadamente no que diz respeito aos procedimentos e mecanismos que regulam o
exercício de direitos do titular de dados.
|
|
Member States shall provide that where a
controller determines the purposes, conditions and means of the processing of
personal data jointly with others, the joint controllers must determine the
respective responsibilities for compliance with the provisions adopted pursuant
to this Directive, in particular as regards the procedures and mechanisms for
exercising the rights of the data subject, by means of an arrangement between
them.
|
Artigo 21.º
Subcontratante
|
|
Article 21
Processor
|
1.
Os Estados-Membros devem prever que o responsável
pelo tratamento, em caso de tratamento por sua conta, escolha um subcontratante
que apresente garantias suficientes de execução das medidas e procedimentos
técnicos e organizativos apropriados, de forma a que esse tratamento respeite
as disposições adotadas em conformidade com a presente diretiva e garanta a
proteção dos direitos do titular de dados.
|
|
1.
Member States shall provide that where a
processing operation is carried out on behalf of a controller, the controller
must choose a processor providing sufficient guarantees to implement
appropriate technical and organisational measures and procedures in such a way
that the processing will meet the requirements of the provisions adopted
pursuant to this Directive and ensure the protection of the rights of the data
subject.
|
2.
Os Estados-Membros devem prever que a realização de
operações de tratamento por um subcontratante sejam reguladas por um ato
jurídico que vincule o subcontratante ao responsável pelo tratamento e que
preveja, nomeadamente, que o subcontratante atue apenas mediante instruções do
responsável pelo tratamento, em especial quando a transferência de dados
pessoais utilizados for proibida.
|
|
2.
Member States shall provide that the carrying
out of processing by a processor must be governed by a legal act binding the
processor to the controller and stipulating in particular that the processor
shall act only on instructions from the controller, in particular, where the
transfer of the personal data used is prohibited.
|
3.
Se um subcontratante proceder ao tratamento de
dados pessoais de forma diferente da que foi definida nas instruções do
responsável pelo tratamento, o subcontratante é considerado responsável pelo
tratamento em relação ao referido tratamento, ficando sujeito às disposições
aplicáveis aos responsáveis conjuntos pelo tratamento previstas no artigo 20.º.
|
|
3.
If a processor processes personal data other
than as instructed by the controller, the processor shall be considered to be a
controller in respect of that processing and shall be subject to the rules on
joint controllers laid down in Article 20.
|
Artigo 22.º
Tratamento sob a autoridade do responsável pelo
tratamento e do subcontratante
|
|
Article 22
Processing under the authority of the controller and processor
|
Os Estados-Membros devem prever que o subcontratante,
bem como qualquer pessoa, agindo sob a autoridade do responsável pelo
tratamento ou do subcontratante, que tenha acesso a dados pessoais, só pode efetuar
o seu tratamento mediante instruções do responsável pelo tratamento ou se exigido
pela legislação da União ou de um Estado-Membro.
|
|
Member States shall provide that the
processor and any person acting under the authority of the controller or of the
processor, who has access to personal data, may only process them on
instructions from the controller or where required by Union or Member State
law.
|
Artigo 23.º
Documentação
|
|
Article 23
Documentation
|
1. Os Estados-Membros devem
prever que cada responsável pelo tratamento e cada subcontratante, mantenha a
documentação de todos os sistemas e procedimentos de tratamento sob a sua
responsabilidade.
|
|
1. Member States shall
provide that each controller and processor maintains documentation of all
processing systems and procedures under their responsibility.
|
2. Essa documentação
deve consistir, pelo menos, nas seguintes informações:
|
|
2. The documentation shall
contain at least the following information:
|
(a) Nome e contactos do responsável pelo
tratamento, ou de qualquer responsável conjunto pelo tratamento ou
subcontratante;
|
|
(a) the name and contact details of the
controller, or any joint controller or processor;
|
(b) Finalidades do
tratamento;
|
|
(b) the purposes of the processing;
|
(c) Destinatários ou
categorias de destinatários dos dados pessoais;
|
|
(c) the recipients or categories of
recipients of the personal data;
|
(d) Transferências de
dados para um país terceiro ou uma organização internacional, incluindo o nome
desse país terceiro ou dessa organização internacional.
|
|
(d) transfers of data to a third country
or an international organisation, including the identification of that third
country or international organisation.
|
3. O responsável pelo tratamento
e o subcontratante devem disponibilizar a documentação existente à autoridade
de controlo, quando por esta solicitado.
|
|
3. The controller and the
processor shall make the documentation available, on request, to the
supervisory authority.
|
Artigo 24.º
Conservação de registos das operações de tratamento
|
|
Article 24
Keeping of records
|
1. Os Estados-Membros devem
assegurar que são conservados registos de, pelo menos, as seguintes operações:
recolha, alteração, consulta, comunicação, interconexão ou apagamento. Os registos das operações de consulta e de comunicação
indicarão, em especial, a finalidade, a data e hora dessas operações e, na
medida do possível, a identificação da pessoa que consultou ou comunicou dados
pessoais.
|
|
1. Member States shall ensure
that records are kept of at least the following processing operations:
collection, alteration, consultation, disclosure, combination or erasure. The
records of consultation and disclosure shall show in particular the purpose,
date and time of such operations and as far as possible the identification of the
person who consulted or disclosed personal data.
|
2. Os registos só podem ser
utilizados para efeitos de verificação da licitude do tratamento de dados, de
autocontrolo e de garantia da integridade e segurança dos dados.
|
|
2. The records shall be used solely
for the purposes of verification of the lawfulness of the data processing, self-monitoring
and for ensuring data integrity and data security.
|
Artigo 25.º
Cooperação com a autoridade de controlo
|
|
Article 25
Cooperation with the supervisory authority
|
1. Os
Estados-Membros devem prever que o responsável
pelo tratamento e o subcontratante cooperem, mediante pedido, com a
autoridade de controlo no exercício das suas funções, comunicando nomeadamente
todas as informações de que esta necessite para esse efeito.
|
|
1. Member
States shall provide that the controller
and the processor shall co-operate, on request, with the supervisory authority in
the performance of its duties, in particular by providing all information necessary
for the supervisory authority to perform its duties.
|
2. Sempre que autoridade de controlo exerça os poderes que lhe
são conferidos por força do artigo 46.º, alíneas a) e b), o responsável pelo
tratamento e o subcontratante devem responder à autoridade de controlo
num prazo razoável a fixar por esta última. A
resposta deve incluir uma descrição das medidas adotadas e dos resultados
obtidos, tendo em conta as observações formuladas pela autoridade de controlo.
|
|
2. In
response to the supervisory authority's exercise of its powers under points (a)and
(b) of Article 46, the controller and the
processor shall reply to the supervisory authority within a reasonable period.
The reply shall include a description of the measures taken and the results
achieved, in response to the remarks of the supervisory authority.
|
Artigo 26.º
Consulta prévia da autoridade de controlo
|
|
Article 26
Prior consultation of the supervisory authority
|
1.
Os Estados-Membros devem assegurar que o
responsável pelo tratamento ou o subcontratante consulta a autoridade de
controlo antes de proceder ao tratamento de dados pessoais que farão parte de
um novo ficheiro a criar, sempre que:
|
|
1.
Member States shall ensure that the controller
or the processor consults the supervisory authority prior to the processing of
personal data which will form part of a new filing system to be created where:
|
(a) O tratamento visar categorias especiais
de dados referidas no artigo 8.º;
|
|
(a) special categories of data referred to
in Article 8 are to be processed;
|
(b) Devido à utilização, em especial, de
novos mecanismos, tecnologias ou procedimentos, o tipo de tratamento apresente
riscos específicos para os direitos e liberdades fundamentais e, em particular,
para a proteção de dados pessoais do seu titular.
|
|
(b) the type of processing, in particular
using new technologies, mechanisms or procedures, holds otherwise specific
risks for the fundamental rights and freedoms, and in particular the protection
of personal data, of data subjects.
|
2.
Os Estados-Membros podem prever que a autoridade de
controlo estabeleça uma lista das operações de tratamento de dados sujeitas a
consulta prévia nos termos do n.º 1.
|
|
2.
Member States may provide that the supervisory
authority establishes a list of the processing operations which are subject to
prior consultation pursuant to paragraph 1.
|
SECÇÃO
2
SEGURANÇA DOS
DADOS
|
|
SECTION
2
data SECURITY
|
Artigo 27.º
Segurança do tratamento
|
|
Article 27
Security of processing
|
1. Os
Estados-Membros devem prever que o responsável pelo tratamento e o
subcontratante apliquem as medidas técnicas e organizativas necessárias para assegurar
um nível de segurança adaptado aos riscos que o tratamento representa e à
natureza dos dados pessoais a proteger, atendendo às técnicas mais recentes e
aos custos resultantes da sua aplicação.
|
|
1. Member
States shall provide that the controller and the processor implements appropriate
technical and organisational measures to ensure a level of security appropriate
to the risks represented by the processing and the nature of the data to be
protected, having regard to the state of the art and the cost of their
implementation.
|
2. No
que respeita ao tratamento automatizado de dados, cada Estado-Membro deve
prever que o responsável pelo tratamento ou o subcontratante, na sequência de
uma avaliação de riscos, aplique medidas destinadas a:
|
|
2. In
respect of automated data processing, each Member State shall provide that the
controller or processor, following an evaluation of the risks, implements
measures designed to:
|
(a)
Impedir o acesso de pessoas não autorizadas ao
equipamento utilizado para o tratamento de dados pessoais (controlo de acesso
ao equipamento);
|
|
(a)
deny unauthorised persons access to
data-processing equipment used for processing personal data (equipment access
control);
|
(b)
Impedir que os suportes de dados possam ser lidos,
copiados, alterados ou retirados sem autorização (controlo dos suportes de
dados);
|
|
(b)
prevent the unauthorised reading, copying,
modification or removal of data media (data media control);
|
(c)
Impedir a introdução não autorizada de dados, bem
como qualquer inspeção, alteração ou apagamento não autorizados de dados
pessoais registados (controlo da conservação);
|
|
(c)
prevent the unauthorised input of data and the
unauthorised inspection, modification or deletion of stored personal data
(storage control);
|
(d)
Impedir que os sistemas de tratamento automatizado
de dados sejam utilizados por pessoas não autorizadas por meio de equipamentos
de transmissão de dados (controlo dos utilizadores);
|
|
(d)
prevent the use of automated data-processing
systems by unauthorised persons using data communication equipment (user
control);
|
(e)
Assegurar que as pessoas autorizadas a utilizar o
sistema de tratamento automatizado de dados apenas tenham acesso aos dados
abrangidos pela sua autorização de acesso (controlo de acesso aos dados);
|
|
(e)
ensure that persons authorised to use an
automated data-processing system only have access to the data covered by their
access authorisation (data access control);
|
(f)
Assegurar que possa ser verificado e determinado a
que instâncias os dados pessoais foram ou podem ser transmitidos ou facultados
utilizando equipamentos de comunicação de dados (controlo da comunicação);
|
|
(f)
ensure that it is possible to verify and
establish to which bodies personal data have been or may be transmitted or made
available using data communication equipment (communication control);
|
(g)
Assegurar que possa ser verificado e estabelecido a
posteriori quais foram os dados pessoais introduzidos nos sistemas de
tratamento automatizado de dados, quando e por quem (controlo da introdução);
|
|
(g)
ensure that it is subsequently possible to
verify and establish which personal data have been input into automated
data-processing systems and when and by whom the data were input (input
control);
|
(h)
Impedir que, durante as transferências de dados
pessoais ou o transporte de suportes de dados, os dados possam ser lidos,
copiados, alterados ou suprimidos de forma não autorizada (controlo do
transporte);
|
|
(h)
prevent the unauthorised reading, copying,
modification or deletion of personal data during transfers of personal data or
during transportation of data media (transport control);
|
(i)
Assegurar que os sistemas utilizados possam ser
restaurados em caso de interrupção (recuperação);
|
|
(i)
ensure that installed systems may, in case of
interruption, be restored (recovery);
|
(j)
Assegurar que as funções do sistema funcionem, que
os erros de funcionamento sejam assinalados (fiabilidade) e que os dados
pessoais conservados não possam ser falseados por um disfuncionamento do
sistema (integridade).
|
|
(j)
ensure that the functions of the system perform,
that the appearance of faults in the functions is reported (reliability) and
that stored personal data cannot be corrupted by means of a malfunctioning of
the system (integrity).
|
3. A
Comissão pode adotar, se necessário, atos de execução a fim de especificar os
requisitos previstos nos n.os 1 e 2 aplicáveis às várias situações, particularmente normas de
cifragem. Esses atos de execução são adotados em
conformidade com o procedimento de exame previsto no artigo 57.º, n.º 2.
|
|
3. The
Commission may adopt, where necessary, implementing acts for specifying the
requirements laid down in paragraphs 1 and 2 to various situations, notably
encryption standards. Those implementing acts shall be adopted in accordance
with the examination procedure referred to in Article 57(2).
|
Artigo 28.º
Notificação da violação de
dados pessoais à autoridade de controlo
|
|
Article 28
Notification of a personal data breach to the
supervisory authority
|
1. Os Estados-Membros devem
prever que, em caso de violação de dados pessoais, o responsável pelo
tratamento notifique desse facto a autoridade de controlo, sem demora
injustificada e, sempre que possível, o mais tardar 24 horas após ter tido
conhecimento da mesma. Caso a notificação seja
transmitida após esse prazo, o responsável pelo tratamento deve apresentar uma
justificação à autoridade de controlo, a pedido desta.
|
|
1. Member States shall
provide that in the case of a personal data breach, the controller notifies,
without undue delay and, where feasible, not later than 24 hours after having
become aware of it, the personal data breach to the supervisory authority. The controller
shall provide, on request, to the supervisory authority a reasoned
justification in cases where the notification is not made within 24 hours.
|
2. O subcontratante deve alertar
e informar o responsável pelo tratamento imediatamente após ter conhecimento de
uma violação de dados pessoais.
|
|
2. The processor shall alert
and inform the controller immediately after having become aware of a personal
data breach.
|
3. A
notificação referida no n.º 1 deve, pelo menos:
|
|
3. The notification referred
to in paragraph 1 shall at least:
|
(a) Descrever a natureza
de violação dos dados pessoais, incluindo as categorias e o número de titulares
de dados afetados, bem como as categorias e o número de registos de dados em
causa;
|
|
(a) describe the nature of the personal
data breach including the categories and number of data subjects concerned and
the categories and number of data records concerned;
|
(b) Comunicar
a identidade e os contactos do delegado para a proteção de dados referido no
artigo 30.°, ou de outro ponto de contacto onde possam ser obtidas informações
adicionais;
|
|
(b) communicate the identity and contact
details of the data protection officer referred to in Article 30 or other
contact point where more information can be obtained;
|
(c) Recomendar
medidas destinadas a atenuar os eventuais efeitos adversos da violação de dados
pessoais;
|
|
(c) recommend measures to mitigate the
possible adverse effects of the personal data breach;
|
(d) Descrever
as consequências eventuais da violação de dados pessoais;
|
|
(d) describe the possible consequences of
the personal data breach;
|
(e) Descrever
as medidas propostas ou adotadas pelo responsável pelo tratamento para remediar
a violação de dados pessoais.
|
|
(e) describe the measures proposed or
taken by the controller to address the personal data breach.
|
4. Os Estados-Membros devem
prever que o responsável pelo tratamento conserve documentação sobre qualquer violação de dados pessoais, incluindo os factos
relacionados com a mesma, os respetivos efeitos e a medida de reparação adotada.
Essa documentação deve permitir à autoridade de controlo verificar o respeito
do disposto no presente artigo. A documentação deve incluir apenas as
informações necessárias para esse efeito.
|
|
4. Member States shall
provide that the controller documents any personal data breaches, comprising
the facts surrounding the breach, its effects and the remedial action taken.
This documentation must enable the supervisory authority to verify compliance
with this Article. The documentation shall only include the information
necessary for that purpose.
|
5. São conferidas competências à
Comissão para adotar atos delegados nos termos do artigo 56.º, a fim de
especificar mais concretamente os critérios e requisitos aplicáveis à
determinação da violação de dados referida nos n.os 1 e 2, e às
circunstâncias particulares em que um responsável pelo tratamento e um
subcontratante são obrigados a notificar a violação de dados pessoais.
|
|
5. The Commission shall be
empowered to adopt delegated acts in accordance with Article 56 for the purpose
of specifying further the criteria and requirements for establishing the data
breach referred to in paragraphs 1 and 2 and for the particular circumstances
in which a controller and a processor is required to notify the personal data
breach.
|
6. A Comissão pode definir um formato normalizado para essa
notificação à autoridade de controlo, os procedimentos aplicáveis ao requisito
de notificação, bem como o formulário e as modalidades para a documentação
referida no n.º 4, incluindo os prazos para o apagamento das informações aí
contidas. Os atos de execução correspondentes são
adotados em conformidade com o procedimento de exame referido no artigo 57.º,
n.º 2.
|
|
6. The Commission may lay
down the standard format of such notification to the supervisory authority, the
procedures applicable to the notification requirement and the form and the
modalities for the documentation referred to in paragraph 4, including the time
limits for erasure of the information contained therein. Those implementing
acts shall be adopted in accordance with the examination procedure referred to
in Article 57(2).
|
Artigo 29.º
Comunicação de uma violação de
dados pessoais ao titular dos dados
|
|
Article 29
Communication of a personal data breach to
the data subject
|
1. Os Estados-Membros devem
prever que, sempre que a violação de dados pessoais for suscetível de afetar
negativamente a proteção dos dados pessoais ou a privacidade do titular dos
dados, o responsável pelo tratamento, após a notificação a que se refere o
artigo 28.º, comunica a violação de dados pessoais à pessoa em causa sem demora
injustificada.
|
|
1. Member States shall
provide that when the personal data breach is likely to adversely affect the
protection of the personal data or privacy of the data subject, the controller
shall, after the notification referred to in Article 28, communicate the
personal data breach to the data subject without undue delay.
|
2. A comunicação
ao titular dos dados referida no n.º 1 deve descrever a natureza da violação
dos dados pessoais e incluir, pelo menos, as informações e recomendações
previstas no artigo 28.º, n.º 3, alíneas b) e c).
|
|
2. The communication to the
data subject referred to in paragraph 1 shall describe the nature of the
personal data breach and contain at least the information and the
recommendations provided for in points (b) and (c) of Article 28(3).
|
3. A comunicação de uma violação
de dados pessoais ao seu titular não deve ser exigida
se o responsável pelo tratamento demonstrar cabalmente, a contento da
autoridade competente, que adotou as medidas de proteção tecnológica adequadas e que estas foram
aplicadas aos dados a que a violação diz respeito. Essas medidas de proteção tecnológica devem tornar os dados
incompreensíveis para qualquer pessoa que não esteja autorizada a aceder a
esses dados.
|
|
3. The communication of a
personal data breach to the data subject shall not be required if the
controller demonstrates to the satisfaction of the supervisory authority that
it has implemented appropriate technological protection measures, and that
those measures were applied to the personal data concerned by the personal data
breach. Such technological protection measures shall render the data
unintelligible to any person who is not authorised to access it.
|
4. A comunicação ao titular dos
dados pode ser adiada, limitada ou omitida pelos motivos referidos no artigo
11.º, n.º 4.
|
|
4. The communication to the
data subject may be delayed, restricted or omitted on the grounds referred to
in Article 11(4).
|
SECÇÃO 3
DELEGADO PARA A
PROTEÇÃO DE DADOS
|
|
SECTION 3
DATA PROTECTION OFFICER
|
Artigo 30.º
Designação do delegado para a proteção de dados
|
|
Article 30
Designation of the data protection officer
|
1.
Os Estados-Membros devem prever que o responsável
pelo tratamento ou o subcontratante designem um delegado para a proteção de
dados.
|
|
1.
Member States shall provide that the controller or
the processor designates a data protection officer.
|
2.
O delegado para a
proteção de dados é designado com base nas suas qualidades profissionais e, em
especial, nos seus conhecimentos especializados no domínio da legislação e das práticas
a nível da proteção de dados, e na sua capacidade para cumprir as funções
referidas no artigo 32.º.
|
|
2.
The data protection officer shall be designated on
the basis of professional qualities and, in particular, expert knowledge of
data protection law and practices and ability to fulfil the tasks referred to
in Article 32.
|
3.
O delegado para a proteção de
dados pode ser designado para várias entidades, tendo em conta a estrutura organizativa da autoridade competente.
|
|
3.
The data protection officer may be designated for several entities, taking account of the organisational
structure of the competent authority.
|
Artigo 31.º
Função do delegado para a proteção de dados
|
|
Article 31
Position of the data protection officer
|
1.
Os Estados-Membros devem prever que o responsável
pelo tratamento ou o subcontratante assegure que o delegado para a proteção de
dados seja associado, de forma adequada e em tempo útil, a todas as matérias
relacionadas com a proteção de dados pessoais.
|
|
1.
Member States shall provide that the controller
or the processor ensures that the data protection officer is properly and in a
timely manner involved in all issues which relate to the protection of personal
data.
|
2.
O responsável pelo tratamento ou o subcontratante
deve assegurar que o delegado para a proteção de dados dispõe dos meios para
desempenhar as suas funções e atribuições referidas no artigo 32.º, de forma
eficaz e independente, e que não recebe quaisquer instruções relativas ao
exercício da sua função.
|
|
2.
The controller or processor shall ensure that
the data protection officer is provided with the means to perform duties and
tasks referred to under Article 32 effectively and independently, and does not
receive any instructions as regards the exercise of the function.
|
Artigo 32.º
Atribuições do delegado para
a proteção de dados
|
|
Article 32
Tasks of the data protection officer
|
Os Estados-Membros devem prever que o
responsável pelo tratamento ou o subcontratante confie ao delegado para a
proteção de dados, pelo menos, as seguintes atribuições:
|
|
Member States shall provide that the
controller or the processor entrusts the data protection officer at least with the
following tasks:
|
(a)
Informar e aconselhar o responsável pelo tratamento
ou o subcontratante sobre as suas obrigações em aplicação das disposições
adotadas em conformidade com a presente diretiva, e conservar documentação
sobre esta atividade e as respostas recebidas;
|
|
(a)
to inform and advise the controller or the processor
of their obligations in accordance with the provisions adopted pursuant to this
Directive and to document this activity and the responses received;
|
(b)
Controlar a execução e a
aplicação das regras internas em matéria de proteção de dados, incluindo a
repartição das responsabilidades, a formação do pessoal que participa nas
operações de tratamento e nas auditorias correspondentes;
|
|
(b)
to monitor the implementation and application of
the policies in relation to the protection of personal data, including the
assignment of responsibilities, the training of staff involved in the
processing operations and the related audits;
|
(c)
Controlar a execução e a
aplicação das disposições adotadas em conformidade com a presente diretiva, em
especial quanto aos requisitos relacionados com a proteção de dados desde a
conceção, a proteção de dados por defeito e a segurança de dados, bem como às
informações dos titulares dos dados e exame dos pedidos para exercer os seus
direitos ao abrigo das disposições adotadas em conformidade com a presente
diretiva;
|
|
(c)
to monitor the implementation and application of
the provisions adopted pursuant to this Directive, in particular as to the
requirements related to data protection by design, data protection by default
and data security and to the information of data subjects and their requests in
exercising their rights under the provisions adopted pursuant to this
Directive;
|
(d)
Assegurar que a documentação
referida no artigo 23.º é conservada;
|
|
(d)
to ensure that the documentation referred to in
Article 23 is maintained;
|
(e)
Acompanhar a documentação, a
notificação e a comunicação relativas a violações de dados pessoais, nos termos
dos artigos 28.º e 29.º;
|
|
(e)
to monitor the documentation, notification and
communication of personal data breaches pursuant to Articles 28 and 29;
|
(f)
Verificar se os pedidos de
consulta prévia foram apresentados à autoridade de controlo, caso esta seja
necessária nos termos do artigo 26.º;
|
|
(f)
to monitor the application for prior consultation
to the supervisory authority, if required pursuant to Article 26 ;
|
(g)
Acompanhar a resposta aos
pedidos da autoridade de controlo e, no âmbito da competência do delegado para
a proteção de dados, cooperar com a autoridade de controlo, a pedido desta ou
por iniciativa do próprio delegado para a proteção de dados;
|
|
(g)
to monitor the response to requests from the
supervisory authority, and, within the sphere of the data protection officer's competence,
co-operating with the supervisory authority at the latter's request or on his
own initiative;
|
(h)
Atuar como ponto de contacto para a autoridade de
controlo sobre assuntos relacionados com o tratamento, e consultar esta autoridade, se for caso disso, por sua
própria iniciativa.
|
|
(h) to act as the contact point for the
supervisory authority on issues related to the processing and consult with the
supervisory authority, if appropriate, on the data protection officer's own
initiative.
|
CAPÍTULO V
TRANSFERÊNCIA
DE DADOS PESSOAIS PARA PAÍSES TERCEIROS OU ORGANIZAÇÕES INTERNACIONAIS
|
|
CHAPTER V
TRANSFER OF PERSONAL DATA
TO THIRD COUNTRIES OR INTERNATIONAL ORGANISATIONS
|
Artigo 33.º
Princípios gerais das transferências de dados pessoais
|
|
Article 33
General principles for transfers of
personal data
|
Os Estados-Membros devem prever que qualquer transferência, pelas
autoridades competentes, de dados pessoais objeto de tratamento ou que se
destinem a ser tratadas após a sua transferência para um país terceiro, ou para
uma organização internacional, incluindo uma transferência ulterior para outro
país terceiro ou outra organização internacional, só pode ser efetuada se:
|
|
Member States shall provide that any transfer of personal
data by competent authorities that is undergoing processing or is intended for
processing after transfer to a third country, or to an international
organisation, including further onward transfer to another third country or
international organisation, may take place only if:
|
(a) A transferência for necessária para fins
de prevenção, investigação, deteção e repressão de infrações penais ou de
execução de sanções penais; e
|
|
(a) the transfer is necessary for the
prevention, investigation, detection or prosecution of criminal offences or the
execution of criminal penalties; and
|
(b) As condições estabelecidas no presente capítulo
forem cumpridas pelo responsável pelo tratamento e pelo subcontratante.
|
|
(b) the conditions laid down in this
Chapter are complied with by the controller and processor.
|
Artigo 34.º
Transferências acompanhadas de uma decisão de adequação
|
|
Article 34
Transfers with an adequacy decision
|
1. Os Estados-Membros devem
prever que uma transferência de dados pessoais para um país terceiro ou uma
organização internacional pode ser efetuada sempre que a Comissão tiver declarado,
mediante decisão, em conformidade com o artigo 41.º do Regulamento (UE) …./2012,
ou em conformidade com o n.º 3 deste artigo, que o país terceiro, um território
ou um setor de tratamento nesse país terceiro, ou a organização internacional
em causa, garante um nível de proteção adequado. Essa
transferência não exige qualquer autorização suplementar.
|
|
1. Member States shall provide
that a transfer of personal data to a third country or an international
organisation may take place where the Commission has decided in accordance with
Article 41 of Regulation (EU) …./2012 or in accordance with paragraph 3 of this
Article that the third country or a territory or a processing sector within
that third country, or the international organisation in question ensures an
adequate level of protection. Such transfer shall not require any further authorisation.
|
2. Na falta de uma decisão
adotada por força do artigo 41.º do Regulamento (UE) …./2012, a Comissão deve avaliar
a adequação do nível de proteção tendo em conta os seguintes elementos:
|
|
2. Where no decision adopted
in accordance with Article 41 of Regulation (EU) …./2012 exists, the Commission
shall assess the adequacy of the level of protection, giving consideration to
the following elements:
|
(a) O primado do Estado de direito, a
legislação relevante em vigor, geral ou setorial, incluindo no que respeita à segurança
pública, à defesa, à segurança nacional e ao direito penal, e às medidas de
segurança que são respeitadas nesse país ou por essa organização internacional,
bem como a existência de direitos efetivos e oponíveis, incluindo vias de
recurso administrativo e judicial para os titulares de dados, nomeadamente para
as pessoas residentes na União cujos dados pessoais sejam objeto de
transferência;
|
|
(a) the rule of law, relevant legislation
in force, both general and sectoral, including concerning public security,
defence, national security and criminal law as well as the security measures
which are complied with in that country or by that international organisation; as
well as effective and enforceable rights including effective administrative and
judicial redress for data subjects, in particular for those data subjects
residing in the Union whose personal data are being transferred;
|
(b) A
existência e o funcionamento efetivo de uma ou mais
autoridades de controlo independentes no país terceiro ou na organização
internacional em causa, responsáveis por assegurar o respeito das regras de
proteção de dados, assistir e aconselhar o titular de dados no exercício dos
seus direitos, e cooperar com as autoridades de controlo da União e dos
Estados-Membros; e
|
|
(b) the existence and effective functioning
of one or more independent supervisory authorities in the third country or
international organisation in question responsible for ensuring compliance with
the data protection rules, for assisting and advising the data subject in
exercising their rights and for co-operation with the supervisory authorities
of the Union and of Member States; and
|
(c) Os
compromissos internacionais assumidos pelo país terceiro ou a organização
internacional.
|
|
(c) the international commitments the
third country or international organisation in question has entered into.
|
3. A Comissão pode decidir, nos
limites da presente diretiva, que um país terceiro, um território, ou um setor
de tratamento dentro desse país terceiro, ou uma organização internacional,
garante um nível de proteção adequado na aceção do n.º 2. Os atos de execução correspondentes são adotados em
conformidade com o procedimento de exame referido no artigo 57.º, n.º 2.
|
|
3. The Commission may decide,
within the scope of this Directive, that a third country or a territory or a
processing sector within that third country or an international organisation
ensures an adequate level of protection within the meaning of paragraph 2. Those
implementing acts shall be adopted in accordance with the examination procedure
referred to in Article 57(2).
|
4. O
ato de execução deve especificar o âmbito de aplicação geográfico e setorial e,
se for caso disso, identificar a autoridade de controlo referida no n.º 2,
alínea b).
|
|
4. The implementing act shall
specify its geographical and sectoral application, and, where applicable, identify
the supervisory authority mentioned in point (b) of paragraph 2.
|
5. A Comissão pode decidir, nos
limites da presente diretiva, que um país terceiro,
um território ou um setor de tratamento nesse país terceiro, ou uma organização
internacional, não assegura um nível de proteção adequado na aceção do n.º 2,
em especial nos casos em que a legislação relevante, quer de caráter geral ou
setorial, em vigor no país terceiro ou na organização internacional, não
assegura direitos efetivos e oponíveis, incluindo vias de recurso
administrativo e judicial para os titulares de dados, nomeadamente para as
pessoas residentes no território da União cujos dados pessoais sejam objeto de
transferência. Os atos de execução correspondentes são adotados em conformidade
com o procedimento de exame referido no artigo 57.º, n.º 2, ou, em casos de
extrema urgência para as pessoas singulares no que se refere ao seu direito de
proteção de dados pessoais, em conformidade com o procedimento referido no
artigo 57.º, n.º 3.
|
|
5. The Commission may decide within
the scope of this Directive that a third country or a territory or a processing
sector within that third country or an international organisation does not
ensure an adequate level of protection within the meaning of paragraph 2, in
particular in cases where the relevant legislation, both general and sectoral,
in force in the third country or international organisation, does not guarantee
effective and enforceable rights including effective administrative and
judicial redress for data subjects, in particular for those data subjects whose
personal data are being transferred. Those implementing acts shall be adopted
in accordance with the examination procedure referred to in Article 57(2), or,
in cases of extreme urgency for individuals with respect to their right to
personal data protection, in accordance with the procedure referred to in
Article 57(3).
|
6. Os
Estados-Membros devem assegurar que, sempre que a Comissão adote uma
decisão por força do n.º 5, segundo a qual qualquer transferência de dados
pessoais para o país terceiro, um território ou um setor de tratamento nesse
país terceiro, ou organização internacional em causa é proibida, tal decisão não prejudique transferências efetuadas nos
termos do artigo 35.º, n.º 1, ou em conformidade com o artigo 36.º. Em momento
oportuno, a Comissão deve encetar negociações com o país terceiro ou a organização
internacional com vista a remediar a situação resultante da decisão adotada nos
termos do n.º 5.
|
|
6. Member States shall ensure
that where the Commission decides pursuant to paragraph 5, that any transfer of
personal data to the third country or a territory or a processing sector within
that third country, or the international organisation in question shall be
prohibited, this decision shall be without prejudice to transfers under Article
35(1) or in accordance with Article 36. At the appropriate time, the Commission
shall enter into consultations with the third country or international
organisation with a view to remedying the situation resulting from the Decision
made pursuant to paragraph 5 of this Article.
|
7. A Comissão publica no Jornal
Oficial da União Europeia uma lista dos países terceiros, territórios e
setores de tratamento num país terceiro e de
organizações internacionais relativamente aos quais tenha declarado, mediante
decisão, que asseguram ou não um nível de proteção adequado.
|
|
7. The Commission shall
publish in the Official Journal of the European Union a list of those
third countries, territories and processing sectors within a third country or
an international organisation where it has decided that an adequate level of
protection is or is not ensured.
|
8. A
Comissão deve acompanhar a aplicação dos atos de execução referidos nos n.os 3 e 5.
|
|
8. The Commission shall
monitor the application of the implementing acts referred to in paragraphs 3
and 5.
|
Artigo 35.º
Transferências mediante garantias
adequadas
|
|
Article 35
Transfers by way of appropriate safeguards
|
1. Sempre que a Comissão não
tenha tomado qualquer decisão nos termos do artigo 34.º, os Estados-Membros
devem prever que uma transferência de dados pessoais para um país terceiro uma
organização internacional só pode ser efetuada:
|
|
1. Where the Commission has
taken no decision pursuant to Article 34, Member States shall provide that a
transfer of personal data to a recipient in a third country or an international
organisation may take place where:
|
(a) Tiverem sido apresentadas garantias
adequadas no que diz respeito à proteção de dados pessoais mediante um
instrumento juridicamente vinculativo; ou
|
|
(a) appropriate safeguards with respect to
the protection of personal data have been adduced in a legally binding instrument;
or
|
(b) O responsável pelo
tratamento ou o subcontratante tiver avaliado todas as circunstâncias inerentes
à operação de transferência de dados pessoais e concluir existirem garantias
adequadas relativamente à proteção de dados pessoais.
|
|
(b) the controller or processor has
assessed all the circumstances surrounding the transfer of personal data and
concludes that appropriate safeguards exist with respect to the protection of
personal data.
|
1. A decisão de transferência
nos termos do n.º 1, alínea b), deve ser adotada por pessoal devidamente
autorizado. Qualquer transferência desse tipo deve fundamentada
mediante documentação, que deve ser disponibilizada à autoridade de controlo, se
solicitada.
|
|
1. The decision for transfers
under paragraph 1 (b) must be made by duly authorised staff. These transfers must
be documented and the documentation must be made available to the supervisory
authority on request.
|
Artigo 36.º
Derrogações
|
|
Article 36
Derogations
|
Em derrogação aos
artigos 34.º e 35.º, os Estados-Membros devem prever que uma transferência de
dados pessoais para um país terceiro ou uma organização internacional só pode ser
efetuada:
|
|
By way of derogation
from Articles 34 and 35, Member States shall provide that a transfer of
personal data to a third country or an international organisation may take
place only on condition that:
|
(a) Se for necessária para proteger os
interesses vitais do titular dos dados ou de outra pessoa; ou
|
|
(a) the transfer is necessary in order to
protect the vital interests of the data subject or another person; or
|
(b) Se for necessária para proteger os
interesses legítimos do titular dos dados sempre que a legislação do
Estado-Membro que transfere os dados pessoais o preveja; ou
|
|
(b) the transfer is necessary to safeguard
legitimate interests of the data subject where the law of the Member State
transferring the personal data so provides; or
|
(c) Se for essencial para
a prevenção de uma ameaça imediata e grave contra a segurança pública de um
Estado-Membro ou de um país terceiro; ou
|
|
(c) the transfer of the data is essential
for the prevention of an immediate and serious threat to public security of a
Member State or a third country; or
|
(d) Se for necessária em casos particulares para efeitos de
prevenção, investigação, deteção e repressão de infrações penais ou de execução
de sanções penais; ou
|
|
(d) the transfer is necessary in individual cases for the
purposes of prevention, investigation, detection or prosecution of criminal
offences or the execution of criminal penalties; or
|
(e) Se for necessária em
casos particulares tendo em vista a confirmação, exercício ou defesa de um
direito no âmbito de um processo judicial relacionado com a prevenção,
investigação, deteção ou repressão de uma infração penal específica ou a
execução de uma sanção penal específica.
|
|
(e) the transfer is necessary in
individual cases for the establishment, exercise or defence of legal claims
relating to the prevention, investigation, detection or prosecution of a
specific criminal offence or the execution of a specific criminal penalty.
|
Artigo 37.º
Condições específicas aplicáveis à transferência de
dados pessoais
|
|
Article 37
Specific conditions for the transfer of personal data
|
Os Estados-Membros devem prever que o
responsável pelo tratamento informe o destinatário dos dados pessoais de qualquer
limitação do tratamento e que adote todas as medidas razoáveis a fim de
assegurar que tais limitações sejam respeitadas.
|
|
Member States shall provide that the controller
informs the recipient of the personal data of any processing restrictions and
takes all reasonable steps to ensure that these restrictions are met.
|
Artigo 38.º
Cooperação internacional no domínio da proteção de
dados pessoais
|
|
Article 38
International co-operation for the protection of personal data
|
1. Em relação a países terceiros
e a organizações internacionais, a Comissão e os Estados-Membros devem adotar
as medidas necessárias para:
|
|
1. In relation to third
countries and international organisations, the Commission and Member States
shall take appropriate steps to:
|
(a)
Elaborar mecanismos de cooperação internacionais
eficazes visando facilitar a aplicação da legislação relativa à proteção de
dados pessoais;
|
|
(a)
develop effective international co-operation mechanisms
to facilitate the enforcement of legislation for the protection of personal
data;
|
(b)
Prestar assistência mútua a
nível internacional no domínio da aplicação da legislação de proteção de dados
pessoais, incluindo através da notificação, transmissão das queixas,
assistência na investigação e intercâmbio de informações, sob reserva das
garantias adequadas para a proteção dos dados pessoais e outros direitos e
liberdades fundamentais;
|
|
(b)
provide international mutual assistance in the
enforcement of legislation for the protection of personal data, including
through notification, complaint referral, investigative assistance and
information exchange, subject to appropriate safeguards for the protection of
personal data and other fundamental rights and freedoms;
|
(c)
Associar as partes interessadas
relevantes nas discussões e atividades com vista à promoção da cooperação
internacional na aplicação da legislação relativa à proteção de dados pessoais;
|
|
(c)
engage relevant stakeholders in discussion and
activities aimed at furthering international co-operation in the enforcement of
legislation for the protection of personal data;
|
(d)
Promover o intercâmbio e a documentação
da legislação e das práticas em matéria de proteção de dados pessoais.
|
|
(d)
promote the exchange and documentation of
personal data protection legislation and practice.
|
2. Para efeitos da aplicação do
n.º 1, a Comissão deve adotar as medidas necessárias para intensificar as
relações com os países terceiros ou as organizações internacionais e, em
especial, as suas autoridades de controlo, sempre que a Comissão tiver
declarado, mediante decisão, que asseguram um nível de proteção adequado na
aceção do artigo 34.º, n.º 3.
|
|
2. For the purposes of
paragraph 1, the Commission shall take appropriate steps to advance the
relationship with third countries or with international organisations, and in
particular their supervisory authorities, where the Commission has decided that
they ensure an adequate level of protection within the meaning of Article 34(3).
|
CAPÍTULO VI
AUTORIDADES DE CONTROLO INDEPENDENTES
|
|
CHAPTER VI
INDEPENDENT SUPERVISORY
AUTHORITIES
|
SECÇÃO
1
ESTATUTO
INDEPENDENTE
|
|
SECTION
1
INDEPENDENT STATUS
|
Artigo 39.º
Autoridade de controlo
|
|
Article 39
Supervisory authority
|
1.
Cada Estado-Membro deve prever que uma ou mais
autoridades públicas sejam responsáveis pela fiscalização da aplicação das
disposições adotadas nos termos da presente diretiva e por contribuir para a
sua aplicação coerente no conjunto da União, a fim de proteger os direitos e
liberdades fundamentais das pessoas singulares relativamente ao tratamento dos
seus dados pessoais e facilitar a livre circulação desses dados na União. Para esse efeito, as autoridades de controlo devem cooperar
entre si e com a Comissão.
|
|
1.
Each Member State shall provide that one or more
public authorities are responsible for monitoring the application of the
provisions adopted pursuant to this Directive and for contributing to its
consistent application throughout the Union, in order to protect the
fundamental rights and freedoms of natural persons in relation to the
processing of their personal data and to facilitate the free flow of personal
data within the Union. For this purpose, the supervisory authorities shall co-operate
with each other and the Commission.
|
2.
Os Estados-Membros podem prever que a autoridade de
controlo instituída nos Estados-Membros em conformidade com o Regulamento
(EU)…./2012 assuma as funções de autoridade de controlo a definir nos termos do
n.º 1 do presente artigo.
|
|
2.
Member States may provide that the supervisory
authority established in Member States pursuant to Regulation (EU)…./2012 assumes
responsibility for the tasks of the supervisory authority to be established pursuant
to paragraph 1 of this Article.
|
3.
Sempre que um Estado-Membro institui várias
autoridades de controlo, deve designar aquela que funciona como ponto de
contacto único tendo em vista uma participação efetiva dessas autoridades no
Comité Europeu para a Proteção de Dados.
|
|
3.
Where more than one supervisory authority is
established in a Member State, that Member State shall designate the
supervisory authority which functions as a single contact point for the
effective participation of those authorities in the European Data Protection
Board.
|
Artigo 40.º
Independência
|
|
Article 40
Independence
|
1. Os Estados-Membros devem assegurar
que a autoridade de controlo exerça com total independência as funções e poderes
que lhe forem atribuídos.
|
|
1. Member States shall ensure
that the supervisory authority acts with complete independence in exercising
the duties and powers entrusted to it.
|
2. Cada
Estado-Membro deve prever que os membros da autoridade de controlo, no
exercício das suas funções, não solicitam nem recebem instruções de outrem.
|
|
2. Each Member State shall
provide that the members of the supervisory authority, in the performance of their
duties, neither seek nor take instructions from anybody.
|
3. Os
membros da autoridade de controlo devem abster-se de praticar qualquer ato
incompatível com as suas funções e, durante o seu mandato, não podem desempenhar
qualquer atividade profissional, remunerada ou não.
|
|
3. Members of the supervisory
authority shall refrain from any action incompatible with their duties and
shall not, during their term of office, engage in any incompatible occupation,
whether gainful or not.
|
4. Após
cessarem as suas funções, os membros da autoridade de controlo devem agir com
integridade e discrição relativamente à aceitação de determinadas funções e
benefícios.
|
|
4. Members of the supervisory
authority shall behave, after their term of office, with integrity and
discretion as regards the acceptance of appointments and benefits.
|
5. Cada
Estado-Membro deve assegurar que a autoridade de controlo dispõe de recursos
humanos, técnicos e financeiros apropriados, bem como de instalações e
infraestruturas, necessários à execução eficaz das suas funções e poderes,
incluindo os executados no contexto da assistência mútua, cooperação e
participação ativa no Comité Europeu para a Proteção de Dados.
|
|
5. Each Member State shall
ensure that the supervisory authority is provided with the adequate human,
technical and financial resources, premises and infrastructure necessary for
the effective performance of its duties and powers including those to be
carried out in the context of mutual assistance, co-operation and active
participation in the European Data Protection Board.
|
6 Cada Estado-Membro deve assegurar
que a autoridade de controlo dispõe do seu próprio
pessoal, que é designado pelo diretor da autoridade de controlo e está sujeito
às suas ordens.
|
|
6 Each Member State shall
ensure that the supervisory authority must have its own staff which shall be
appointed by and subject to the direction of the head of the supervisory
authority.
|
7. Os Estados-Membros devem assegurar
que a autoridade de controlo fica sujeita a um
controlo financeiro que não afete a sua independência. Os Estados-Membros
garantem que a autoridade de controlo disponha de orçamentos anuais próprios.
Os orçamentos serão objeto de publicação.
|
|
7. Member States shall ensure
that the supervisory authority is subject to financial control which shall not affect
its independence. Member States shall ensure that the supervisory authority has
separate annual budgets. The budgets shall be made public.
|
Artigo 41.º
Condições gerais aplicáveis aos membros da autoridade
de controlo
|
|
Article 41
General conditions for the members of the supervisory authority
|
1. Os Estados-Membros devem
prever que os membros da autoridade de controlo sejam nomeados pelos respetivos
parlamentos ou governos.
|
|
1. Member States shall
provide that the members of the supervisory authority must be appointed either
by the parliament or the government of the Member State concerned.
|
2. Os membros são escolhidos de
entre pessoas que ofereçam todas as garantias de independência e cuja
experiência e conhecimentos técnicos necessários para o exercício das suas
funções seja comprovada.
|
|
2. The members shall be
chosen from persons whose independence is beyond doubt and whose experience and
skills required to perform their duties are demonstrated.
|
3. As
funções de um membro cessam findo o termo do seu mandato, demissão ou
destituição, nos termos do n.º 5.
|
|
3. The duties of a member
shall end in the event of the expiry of the term of office, resignation or
compulsory retirement in accordance with paragraph 5.
|
4. Um membro
pode ser declarado demissionário ou privado do seu direito à pensão ou a outros
benefícios equivalentes por decisão de um tribunal nacional competente se
deixar de preencher os requisitos necessários ao exercício das suas funções ou
tiver cometido uma falta grave.
|
|
4. A member may be dismissed
or deprived of the right to a pension or other benefits in its stead by the
competent national court, if the member no longer fulfils the conditions
required for the performance of the duties or is guilty of serious misconduct.
|
5. Um membro
cujo mandato termine ou que se demita deve continuar a exercer as suas funções
até à nomeação de um novo membro.
|
|
5. Where the term of office
expires or the member resigns, the member shall continue to exercise their
duties until a new member is appointed.
|
Artigo 42.º
Regras relativas à constituição da autoridade de
controlo
|
|
Article 42
Rules on the establishment of the supervisory authority
|
Cada
Estado-Membro deve prever, por via legislativa:
|
|
Each Member
State shall provide by law:
|
(a) A constituição e o estatuto da
autoridade de controlo, nos termos dos artigos 39.º e 40.º;
|
|
(a) the establishment and status of
the supervisory authority in accordance with Articles 39 and 40;
|
(b) As
qualificações, a experiência e as competências para o exercício das funções de
membro da autoridade de controlo;
|
|
(b) the qualifications, experience
and skills required to perform the duties of the members of the supervisory
authority;
|
(c) As regras e os
procedimentos para a nomeação dos membros da autoridade de controlo, bem como
as regras relativas a ações ou atividades profissionais incompatíveis com a
função;
|
|
(c) the rules and procedures for the
appointment of the members of the supervisory authority, as well as the rules
on actions or occupations incompatible with the duties of the office;
|
(d) A duração do
mandato dos membros da autoridade de controlo, que não pode ser inferior a
quatro anos, salvo no que se refere ao primeiro mandato após a entrada em vigor
da presente diretiva, que pode ter uma duração mais curta;
|
|
(d) the duration of the term of the
members of the supervisory authority, which shall be no less than four years,
except for the first appointment after entry into force of this Directive, part
of which may take place for a shorter period;
|
(e) O caráter
renovável ou não do mandato dos membros da autoridade de controlo;
|
|
(e) whether the members of the
supervisory authority shall be eligible for reappointment;
|
(f) O estatuto e as
condições comuns que regulam as funções dos membros e do pessoal da autoridade
de controlo;
|
|
(f) the regulations and common
conditions governing the duties of the members and staff of the supervisory
authority;
|
(g) As regras e os
procedimentos relativos à cessação das funções dos membros da autoridade de
controlo, incluindo quando deixem de preencher os requisitos necessários ao
exercício das suas funções ou se tiverem cometido uma falta grave.
|
|
(g) the rules and procedures on the
termination of the duties of the members of the supervisory authority,
including where they no longer fulfil the conditions required for the
performance of their duties or if they are guilty of serious misconduct.
|
Artigo 43.º
Sigilo profissional
|
|
Article 43
Professional secrecy
|
Os Estados-Membros devem prever que os membros
e o pessoal da autoridade de controlo ficam sujeitos, durante o respetivo
mandato e após a sua cessação, à obrigação de sigilo profissional quanto a
quaisquer informações confidenciais a que tenham tido acesso no desempenho das
suas funções oficiais.
|
|
Member States shall provide that the
members and the staff of the supervisory authority are subject, both during and
after their term of office, to a duty of professional secrecy with regard to
any confidential information which has come to their knowledge in the course of
the performance of their official duties.
|
SECÇÃO
2
FUNÇÕES
E PODERES
|
|
SECTION
2
DUTIES AND POWERS
|
Artigo 44.º
Competência
|
|
Article 44
Competence
|
1. Os Estados-Membros devem
prever que cada autoridade de controlo exerce, no território do seu
Estado-Membro, os poderes que lhe são conferidos em conformidade com a presente
diretiva.
|
|
1. Member States shall
provide that each supervisory authority exercises, on the territory of its own
Member State, the powers conferred on it in accordance with this Directive.
|
2. Os
Estados-Membros devem prever que a autoridade de controlo não tem competência
para controlar operações de tratamento efetuadas por
tribunais que atuem no exercício da sua função jurisdicional.
|
|
2. Member
States shall provide that the supervisory authority is not competent to
supervise processing operations of courts when acting in their judicial
capacity.
|
Artigo 45.º
Funções
|
|
Article 45
Duties
|
1. Os Estados-Membros devem
prever que incumbe à autoridade de controlo:
|
|
1. Member States shall
provide that the supervisory authority:
|
(a)
Controlar e assegurar a aplicação das disposições
adotadas em conformidade com a presente diretiva e das suas medidas de execução;
|
|
(a)
monitors and ensures the application of the
provisions adopted pursuant to this Directive and its implementing measures;
|
(b)
Receber as queixas apresentadas
por qualquer titular de dados ou por uma associação que o represente nos termos
do artigo 50.º, examinar a
matéria, na medida do necessário, e informar a pessoa em causa ou a associação
do andamento e do resultado da queixa num prazo razoável, em especial se forem
necessárias operações de investigação ou de coordenação complementares com
outra autoridade de controlo;
|
|
(b)
hears complaints lodged by any data subject, or
by an association representing and duly mandated by that data subject in
accordance with Article 50, investigates, to the extent appropriate, the matter
and informs the data subject the association of the progress and the outcome of
the complaint within a reasonable period, in particular where further
investigation or coordination with another supervisory authority is necessary;
|
(c)
Verificar a licitude do
tratamento dos dados nos termos do artigo 14.º, e informar o titular de dados
num período razoável do resultado da verificação ou dos motivos que impediram a
sua realização;
|
|
(c)
checks the lawfulness of data processing
pursuant to Article 14, and informs the data subject within a reasonable period
on the outcome of the check or on the reasons why the check has not been
carried out;
|
(d)
Prestar assistência mútua a
outras autoridades de controlo e assegurar a coerência da aplicação e execução
das disposições adotadas nos termos da presente diretiva;
|
|
(d)
provides mutual assistance to other supervisory
authorities and ensures the consistency of application and enforcement of the provisions
adopted pursuant to this Directive;
|
(e)
Conduzir investigações, por sua
própria iniciativa ou com base numa queixa ou a pedido de outra autoridade de
controlo, e informar o titular dos dados, num prazo razoável, do resultado das
operações de investigação;
|
|
(e)
conducts investigations either on its own
initiative or on the basis of a complaint, or on request of another supervisory
authority, and informs the data subject concerned, if the data subject has
addressed a complaint, of the outcome of the investigations within a reasonable
period;
|
(f)
Acompanhar factos novos
relevantes, na medida em que tenham incidência na proteção de dados pessoais,
particularmente a evolução a nível das tecnologias da informação e das
comunicações e das práticas comerciais;
|
|
(f)
monitors relevant developments, insofar as they
have an impact on the protection of personal data, in particular the
development of information and communication technologies;
|
(g)
Ser consultada pelas
instituições e organismos do Estado-Membro quanto a medidas legislativas e
administrativas relacionadas com a proteção dos direitos e liberdades no que
diz respeito ao tratamento de dados pessoais;
|
|
(g)
is consulted by Member State institutions and
bodies on legislative and administrative measures relating to the protection of
individuals' rights and freedoms with regard to the processing of personal
data;
|
(h)
Ser consultada sobre as operações
de tratamento nos termos do artigo 26.º;
|
|
(h)
is consulted on processing operations pursuant
to Article 26;
|
(i)
Participar nas atividades do Comité Europeu para a
Proteção de Dados.
|
|
(i)
participates in the activities of the European
Data Protection Board.
|
2. Cada autoridade de controlo
deve promover a sensibilização do público sobre os riscos, regras, garantias, e
direitos associados ao tratamento de dados pessoais. As
atividades especificamente dedicadas às crianças devem ser objeto de uma
atenção especial.
|
|
2. Each supervisory authority
shall promote the awareness of the public on risks, rules, safeguards and
rights in relation to the processing of personal data. Activities addressed
specifically to children shall receive specific attention.
|
3. A autoridade de controlo
deve, a pedido, aconselhar qualquer titular de dados
sobre o exercício dos seus direitos decorrentes da presente diretiva e,
se for caso disso, coopera com as autoridades de controlo de outros
Estados-Membros para esse efeito.
|
|
3. The supervisory authority
shall, upon request, advise any data subject in exercising the rights laid down
in provisions adopted pursuant to this Directive, and, if appropriate, co-operate
with the supervisory authorities in other Member States to this end.
|
4. No que respeita às queixas
referidas no n.º 1, alínea b), a autoridade de controlo deve fornecer um
formulário de queixa, que possa ser preenchido eletronicamente, sem excluir
outros meios de comunicação.
|
|
4. For complaints referred to
in point (b) of paragraph 1, the supervisory authority shall provide a
complaint submission form, which can be completed electronically, without
excluding other means of communication.
|
5. Os Estados-Membros devem
prever que o desempenho das funções da autoridade de controlo é gratuito para o
titular dos dados.
|
|
5. Member States shall
provide that the performance of the duties of the supervisory authority shall
be free of charge for the data subject.
|
6. Sempre
que os pedidos sejam manifestamente abusivos, particularmente devido ao seu
caráter repetitivo, a autoridade de controlo pode exigir o pagamento de uma
taxa, ou não adotar as medidas solicitadas pelo titular dos dados. Incumbe à
autoridade de controlo o ónus de provar o caráter manifestamente abusivo do
pedido.
|
|
6. Where requests are vexatious,
in particular due to their repetitive character, the supervisory authority may
charge a fee or not take the action required by the data subject. The
supervisory authority shall bear the burden of proving of the vexatious
character of the request.
|
Artigo 46.º
Poderes
|
|
Article 46
Powers
|
Os Estados-Membros devem prever que cada
autoridade de controlo esteja habilitada a exercer os seguintes poderes:
|
|
Member States shall provide that each
supervisory authority must in particular be endowed with:
|
(a) Poder de investigação, nomeadamente aceder
aos dados objeto de tratamento e recolher todas as informações necessárias ao desempenho
das suas funções de controlo;
|
|
(a) investigative powers, such as powers
of access to data forming the subject matter of processing operations and
powers to collect all the information necessary for the performance of its
supervisory duties;
|
(b) Poder efetivo de intervenção, nomeadamente
emitir pareceres previamente ao tratamento de dados e assegurar a publicação
adequada desses pareceres, ordenar a limitação, o apagamento ou a destruição
dos dados, proibir temporária ou definitivamente um tratamento, dirigir uma
advertência ou uma admoestação ao responsável pelo tratamento ou remeter a
questão para os parlamentos nacionais ou para outras instituições políticas;
|
|
(b) effective powers of intervention, such
as the delivering of opinions before processing is carried out, and ensuring
appropriate publication of such opinions, ordering the restriction, erasure or
destruction of data, imposing a temporary or definitive ban on processing,
warning or admonishing the controller, or referring the matter to national
parliaments or other political institutions ;
|
(c) Poder de intervir em
processos judiciais em caso de violação das disposições nacionais adotadas em
aplicação da presente diretiva ou de levar essa violação ao conhecimento das
autoridades judiciais.
|
|
(c) the power to engage in legal
proceedings where the provisions adopted pursuant to this Directive have been
infringed or to bring this infringement to the attention of the judicial
authorities.
|
Artigo 47.º
Relatório de atividades
|
|
Article 47
Activities report
|
Os Estados-Membros devem prever que cada
autoridade de controlo elabore um relatório anual de atividades. O relatório é disponibilizado à Comissão e ao Comité
Europeu para a Proteção de Dados.
|
|
Member States shall provide that each
supervisory authority draws up an annual report on its activities. The report
shall be made available to the Commission and the European Data Protection
Board.
|
CAPÍTULO VII
COOPERAÇÃO
|
|
CHAPTER VII
CO-OPERATION
|
Artigo 48.º
Assistência mútua
|
|
Article 48
Mutual assistance
|
1. Os Estados-Membros devem
prever que as autoridades de controlo prestem entre si assistência mútua, a fim
de executar e aplicar de forma coerente as disposições adotadas em conformidade
com a presente diretiva, e que ponham em prática medidas para cooperar
eficazmente entre si. A assistência mútua deve cobrir,
em especial, pedidos de informação e de medidas de controlo, tais como pedidos
de consulta prévia, de inspeção e de investigação.
|
|
1. Member States shall
provide that supervisory authorities provide each other with mutual assistance
in order to implement and apply the provisions pursuant to this Directive in a
consistent manner, and shall put in place measures for effective co-operation
with one another. Mutual assistance shall cover, in particular, information
requests and supervisory measures, such as requests to carry out prior
consultations, inspections and investigations.
|
2. Os
Estados-Membros devem prever que a autoridade de controlo adote todas as
medidas adequadas necessárias para satisfazer o pedido de outra autoridade de
controlo.
|
|
2. Member States shall
provide that a supervisory authority takes all appropriate measures required to
reply to the request of another supervisory authority.
|
3. A autoridade de controlo
requerida deve informar a autoridade de controlo requerente dos resultados obtidos
ou, consoante o caso, do andamento do dossiê ou das medidas adotadas para
satisfazer o pedido da autoridade de controlo requerente.
|
|
3. The requested supervisory
authority shall inform the requesting supervisory authority of the results or,
as the case may be, of the progress or the measures taken in order to meet the
request by the requesting supervisory
authority.
|
Artigo 49.º
Atribuições do Comité Europeu para a Proteção de Dados
|
|
Article 49
Tasks of the European Data Protection Board
|
1. O Comité Europeu para a
Proteção de Dados, instituído pelo Regulamento (UE)…./2012, exerce as seguintes
atribuições no que diz respeito ao tratamento de dados no âmbito de aplicação da
presente diretiva:
|
|
1. The European Data
Protection Board established by Regulation (EU)…./2012 shall exercise the
following tasks in relation to processing within the scope of this Directive:
|
(a)
Aconselhar a Comissão sobre qualquer questão
relacionada com a proteção de dados pessoais na UE, nomeadamente sobre qualquer
projeto de alteração da presente diretiva;
|
|
(a)
advise the Commission on any issue related to
the protection of personal data in the Union, including on any proposed
amendment of this Directive;
|
(b)
Analisar, a pedido da Comissão ou por sua própria
iniciativa ou por iniciativa de um dos seus membros, qualquer
questão relativa à aplicação das disposições adotadas nos termos da
presente diretiva e emitir diretrizes, recomendações
e boas práticas destinadas às autoridades de controlo, a fim de incentivar a
aplicação coerente dessas disposições;
|
|
(b)
examine, on request of the Commission or on its own
initiative or of one of its members, any question covering the application of the
provisions adopted pursuant to this Directive and issue guidelines,
recommendations and best practices addressed to the supervisory authorities in
order to encourage consistent application of those provisions;
|
(c)
Examinar a aplicação prática
das diretrizes, recomendações e boas práticas referidas na alínea b) e informar
regularmente a Comissão sobre esta matéria;
|
|
(c)
review the practical application of guidelines,
recommendations and best practices referred to in point (b) and report
regularly to the Commission on these;
|
(d)
Comunicar à Comissão um parecer
sobre a o nível de proteção assegurado por países terceiros ou por organizações
internacionais;
|
|
(d)
give the Commission an opinion on the level of
protection in third countries or international organisations;
|
(e)
Promover a cooperação e o
intercâmbio bilateral e plurilateral efetivo de informações e práticas entre as
autoridades de controlo;
|
|
(e)
promote the co-operation and the effective
bilateral and multilateral exchange of information and practices between the
supervisory authorities;
|
(f)
Promover programas de formação
comuns e facilitar o intercâmbio de pessoal entre as autoridades de controlo,
bem como com as autoridades de controlo de países terceiros ou de organizações
internacionais, se for caso disso;
|
|
(f)
promote common training programmes and
facilitate personnel exchanges between the supervisory authorities, as well as,
where appropriate, with the supervisory authorities of third countries or of
international organisations;
|
(g)
Promover o intercâmbio de
conhecimentos e de documentação em relação a práticas e legislação no domínio
da proteção de dados com autoridades de controlo de todos os países.
|
|
(g)
promote the exchange of knowledge and
documentation with data protection supervisory authorities worldwide, including
data protection legislation and practice.
|
2. Sempre que a Comissão consultar o Comité
Europeu para a Proteção de Dados, pode fixar um prazo para a formulação do
referido parecer, tendo em conta a urgência da questão.
|
|
2. Where the Commission requests advice
from the European Data Protection Board, it may lay out a time limit within
which the European Data Protection Board shall provide such advice, taking into
account the urgency of the matter.
|
3. O Comité
Europeu para a Proteção de Dados transmite os seus pareceres, diretrizes e boas
práticas à Comissão e ao comité referido no artigo 57.º, n.º 1, e procede à sua publicação.
|
|
3. The European Data
Protection Board shall forward its opinions, guidelines, recommendations, and
best practices to the Commission and to the committee referred to in Article 57(1)
and make them public.
|
4. A
Comissão informa o Comité Europeu para a Proteção de Dados das medidas adotadas
em sequência de pareceres, diretrizes, recomendações e boas práticas, emitidos
pelo referido comité.
|
|
4. The Commission shall
inform the European Data Protection Board of the action it has taken following
opinions, guidelines, recommendations and best practices issued by the European
Data Protection Board.
|
CAPÍTULO VIII
VIAS
DE RECURSO,
RESPONSABILIDADE E SANÇÕES
|
|
CHAPTER VIII
REMEDIES, LIABILITY AND
SANCTIONS
|
Artigo 50.º
Direito de apresentar uma queixa a uma autoridade de
controlo
|
|
Article 50
Right to lodge a complaint with a supervisory authority
|
1. Sem prejuízo de qualquer
outra via de recurso administrativo ou judicial, os Estados‑Membros devem
prever que qualquer titular de dados tem o direito de apresentar queixa a uma
autoridade de controlo em qualquer Estado-Membro se considerar que o tratamento
dos seus dados pessoais não respeita as disposições adotadas nos termos da
presente diretiva.
|
|
1. Without prejudice to any
other administrative or judicial remedy, Member States shall provide for the
right of every data subject to lodge a complaint with a supervisory authority
in any Member State, if they consider that the processing of personal data
relating to them does not comply with provisions adopted pursuant to this
Directive.
|
2. Os Estados-Membros devem prever que qualquer organismo, organização
ou associação que vise proteger os direitos e interesses dos titulares de dados
em relação à proteção dos seus dados pessoais e que esteja devidamente
constituído ao abrigo do direito de um Estado-Membro, tem o direito de
apresentar queixa a uma autoridade de controlo em qualquer Estado‑Membro
por conta de uma ou mais pessoas em causa, se considerar que os direitos de que
beneficia um titular de dados por força da presente diretiva foram violados na
sequência do tratamento dos seus dados pessoais. A
organização ou associação tem de ser devidamente mandatada pelo(s) titular(es) de
dados.
|
|
2. Member States shall
provide for the right of any body, organisation or association which aims to
protect data subjects’ rights and interests concerning the protection of their
personal data and is being properly constituted according to the law of a
Member State to lodge a complaint with a supervisory authority in any Member
State on behalf of one or more data subjects, if it considers that a data
subject’s rights under this Directive have been infringed as a result of the
processing of personal data. The organisation or association must be duly
mandated by the data subject(s).
|
3. Os Estados-Membros devem prever que qualquer organismo,
organização ou associação referidos no n.º 2, independentemente de uma queixa
do titular dos dados, pode apresentar uma queixa a uma autoridade de controlo
em qualquer Estado‑Membro, se considerar ter havido uma violação de dados
pessoais.
|
|
3. Member States shall
provide for the right of any body, organisation or association referred to in
paragraph 2, independently of a data subject's complaint, to lodge a complaint
with a supervisory authority in any Member State, if it considers that a
personal data breach has occurred.
|
Artigo 51.º
Direito de ação judicial
contra uma autoridade de controlo
|
|
Article 51
Right to a judicial remedy against a
supervisory authority
|
1.
Os Estados-Membros devem prever o direito de ação
judicial contra as decisões de uma autoridade de controlo.
|
|
1.
Member States shall provide for the right to a
judicial remedy against decisions of a supervisory authority.
|
2.
Qualquer titular de dados tem o
direito de ação judicial a fim de obrigar a autoridade de controlo a dar
seguimento a uma queixa, na falta de uma decisão necessária para proteger os
seus direitos, ou se a autoridade de controlo não informar a pessoa em causa,
no prazo de três meses, sobre o andamento ou o resultado da sua queixa nos
termos do artigo 45.º, n.º 1.
|
|
2.
Each data subject shall have the right to a
judicial remedy for obliging the supervisory authority to act on a complaint,
in the absence of a decision which is necessary to protect their rights, or
where the supervisory authority does not inform the data subject within three
months on the progress or outcome of the complaint pursuant to point (b) of Article
45(1).
|
3.
Os Estados-Membros devem prever
que as ações contra uma autoridade de controlo são intentadas nos tribunais do
Estado-Membro no território do qual se encontra estabelecida a autoridade de
controlo.
|
|
3.
Member States shall provide that proceedings
against a supervisory authority shall be brought before the courts of the
Member State where the supervisory authority is established.
|
Artigo 52.º
Direito de ação judicial contra um responsável pelo
tratamento ou um subcontratante
|
|
Article 52
Right to a judicial remedy against a controller or processor
|
Os Estados-Membros devem prever que, sem prejuízo
de um eventual recurso administrativo disponível, nomeadamente o direito de
apresentar queixa a uma autoridade de controlo, qualquer pessoa singular tem o
direito de ação judicial se considerar ter havido violação dos direitos que lhe
confere a presente diretiva, na sequência do tratamento dos seus dados pessoais
efetuado em violação das disposições da referida diretiva.
|
|
Without prejudice to any available
administrative remedy, including the right to lodge a complaint with a
supervisory authority, Member States shall provide for the right of every
natural person to a judicial remedy if they consider that that their rights laid
down in provisions adopted pursuant to this Directive have been infringed as a
result of the processing of their personal data in non-compliance with these
provisions.
|
Artigo 53.º
Regras comuns aplicáveis aos processos judiciais
|
|
Article 53
Common rules for court proceedings
|
1. Os Estados-Membros devem
prever que qualquer organismo, organização ou associação referido no artigo
50.º, n.º 2, pode exercer os direitos referidos nos artigos 51.º e 52.º, por
conta de um ou mais titulares de dados.
|
|
1. Member States shall
provide for the right of any body, organisation or association referred to in
Article 50(2) to exercise the rights referred to in Articles 51 and 52 on
behalf of one or more data subjects.
|
2. Cada
autoridade de controlo pode intervir em processos judiciais e intentar uma ação
em tribunal a fim de fazer respeitar as disposições adotadas em conformidade
com a presente diretiva ou assegurar a coerência da proteção de dados pessoais na
União.
|
|
2. Each supervisory authority
shall have the right to engage in legal proceedings and bring an action to
court, in order to enforce the provisions adopted pursuant to this Directive or
to ensure consistency of the protection of personal data within the Union.
|
3. Os
Estados-Membros devem assegurar que quaisquer vias judiciais disponíveis no
direito nacional permitam a adoção rápida de medidas, incluindo medidas provisórias,
visando fazer cessar qualquer alegada violação e prevenir qualquer novo
prejuízo contra os interesses envolvidos.
|
|
3. Member States shall ensure
that court actions available under national law allow for the rapid adoption of
measures including interim measures, designed to terminate any alleged
infringement and to prevent any further impairment of the interests involved.
|
Artigo 54.º
Responsabilidade e direito a indemnização
|
|
Article 54
Liability and the right to compensation
|
1. Os Estados-Membros devem
prever que qualquer pessoa que tenha sofrido um prejuízo devido ao tratamento ilícito
ou outro ato incompatível com as disposições adotadas nos termos da presente
diretiva tem o direito de receber uma indemnização do responsável pelo
tratamento ou do subcontratante pelo prejuízo sofrido.
|
|
1. Member States shall
provide that any person who has suffered damage as a result of an unlawful
processing operation or of an action incompatible with the provisions adopted
pursuant to this Directive shall have the right to receive compensation from
the controller or the processor for the damage suffered.
|
2. Sempre
que vários responsáveis pelo tratamento ou subcontratantes estiverem envolvidos
no tratamento de dados, cada um deles é conjunta e solidariamente responsável
pelo montante total dos danos.
|
|
2. Where more than one
controller or processor is involved in the processing, each controller or
processor shall be jointly and severally liable for the entire amount of the
damage.
|
3. O
responsável pelo tratamento ou o subcontratante pode ser exonerado dessa
responsabilidade, total ou parcialmente, se provar que o
facto que causou o dano não lhe é imputável.
|
|
3. The controller or the
processor may be exempted from this liability, in whole or in part, if the
controller or processor proves that they are not responsible for the event
giving rise to the damage.
|
Artigo 55.º
Sanções
|
|
Article 55
Penalties
|
Os Estados-Membros devem prever as disposições
relativas às sanções aplicáveis às violações das disposições adotadas nos termos
da presente diretiva e adotar todas as medidas necessárias para assegurar a sua
aplicação. As sanções previstas devem ser eficazes,
proporcionadas e dissuasivas.
|
|
Member States shall lay down the rules on
penalties, applicable to infringements of the provisions adopted pursuant to
this Directive and shall take all measures necessary to ensure that they are
implemented. The penalties provided for must be effective, proportionate and
dissuasive.
|
CAPÍTULO IX
ATOS DELEGADOS E ATOS DE EXECUÇÃO
|
|
CHAPTER IX
DELEGATED ACTS AND IMPLEMENTING ACTS
|
Artigo 56.º
Exercício de delegação
|
|
Article 56
Exercise of the delegation
|
1. É conferido à Comissão o
poder de adotar atos delegados, sob reserva das condições estabelecidas no
presente artigo.
|
|
1. The power to adopt
delegated acts is conferred on the Commission subject to the conditions laid
down in this Article.
|
2. A delegação de poderes a que
se refere o artigo 28.º, n.º 5, é conferida à Comissão por um período
indeterminado a contar da data de entrada em vigor da presente diretiva.
|
|
2. The delegation of power
referred to in Article 28(5) shall be conferred on the Commission for an
indeterminate period of time from the date of entry into force of this Directive.
|
3. A delegação de poderes a que se refere o artigo 28.º, n.º 5
pode ser revogada a qualquer momento pelo Parlamento Europeu ou pelo Conselho. A decisão de revogação põe termo à delegação dos poderes
nela especificados. A revogação produz efeitos no dia seguinte ao da sua
publicação no Jornal Oficial da União Europeia ou numa data posterior
nela especificada. A decisão de revogação não prejudica a validade dos atos
delegados já em vigor.
|
|
3. The delegation of power
referred to in Article 28(5) may be revoked at any time by the European
Parliament or by the Council. A decision of revocation shall put an end to the
delegation of the power specified in that decision. It shall take effect the
day following the publication of the decision in the Official Journal of the
European Union or at a later date specified therein. It shall not affect
the validity of any delegated acts already in force.
|
4. Logo que adote um ato delegado, a Comissão notifica-o
simultaneamente ao Parlamento Europeu e ao Conselho.
|
|
4. As soon as it adopts a
delegated act, the Commission shall notify it simultaneously to the European
Parliament and to the Council.
|
5. Um ato delegado adotado em
conformidade com o artigo 28.º, n.º 5, só pode entrar em vigor se não forem
formuladas objeções pelo Parlamento Europeu ou pelo Conselho no prazo de dois
meses a contar da notificação desse ato ao Parlamento Europeu e ao Conselho ou
se, antes do termo do referido prazo, o Parlamento Europeu e o Conselho tiverem
informado a Comissão de que não pretendem formular objeções. Esse prazo é prorrogável por dois meses por iniciativa do
Parlamento Europeu ou do Conselho.
|
|
5. A delegated act adopted
pursuant to Article 28(5) shall enter into force only if no objection has been
expressed either by the European Parliament or the Council within a period of 2
months of notification of that act to the European Parliament and the Council
or if, before the expiry of that period, the European Parliament and the
Council have both informed the Commission that they will not object. That
period shall be extended by 2 months at the initiative of the European
Parliament or the Council.
|
Artigo 57.º
Procedimento de comité
|
|
Article 57
Committee procedure
|
1.
A Comissão é assistida por um comité. Esse comité é
um comité na aceção do Regulamento (UE) n.º 182/2011.
|
|
1.
The Commission shall be assisted by a committee.
That committee shall be a committee within the meaning of Regulation (EU) No
182/2011.
|
2.
Sempre que se faça referência ao presente número, é
aplicável o artigo 5.º do Regulamento (UE) n.º 182/2011.
|
|
2.
Where reference is made to this paragraph,
Article 5 of Regulation (EU) No 182/2011 shall apply.
|
3.
Sempre que se faça referência ao presente número, é
aplicável o artigo 8.º do Regulamento (UE) n.º 182/2011, conjugado com o seu artigo
5.º.
|
|
3.
Where reference is made to this paragraph,
Article 8 of Regulation (EU) No 182/2011, in conjunction with Article 5
thereof, shall apply.
|
CAPÍTULO X
DISPOSIÇÕES FINAIS
|
|
CHAPTER X
FINAL PROVISIONS
|
Artigo 58.º
Revogações
|
|
Article 58
Repeals
|
1. É revogada a Decisão-Quadro
2008/977/JAI do Conselho.
|
|
1. Council Framework Decision
2008/977/JHA is repealed.
|
2. As referências à decisão-quadro revogada, referida no n.º 1, são
consideradas referências à presente diretiva.
|
|
2. References to the repealed Framework Decision referred to in
paragraph 1 shall be construed as references to this Directive.
|
Artigo 59.º
Relação com atos da União Europeia adotados
anteriormente no domínio da cooperação judiciária em matéria penal e da
cooperação policial
|
|
Article 59
Relation with previously adopted acts of the Union for judicial co-operation
in criminal matters and police co-operation
|
As disposições específicas para a proteção de
dados pessoais no que respeita ao tratamento desses dados pelas autoridades
competentes para efeitos de prevenção, investigação,
deteção e repressão de infrações penais ou de execução de sanções penais, previstas
nos atos da União Europeia adotados antes da data de
adoção da presente diretiva que regulam o tratamento de dados pessoais entre os
Estados-Membros e o acesso das autoridades dos Estados‑Membros designadas
aos sistemas informáticos criados por força dos Tratados, no âmbito da presente
diretiva, continuam inalteradas.
|
|
The specific provisions for the protection of
personal data with regard to the processing of personal data by competent
authorities for the purposes of prevention,
investigation, detection or prosecution of criminal offences or the execution
of criminal penalties in acts of the Union adopted
prior to the date of adoption of this Directive regulating the processing of
personal data between Member States and the access of designated authorities of
Member States to information systems established pursuant to the Treaties within
the scope of this Directive remain unaffected.
|
Artigo 60.º
Relação com acordos internacionais concluídos
anteriormente no domínio da cooperação judiciária em matéria penal e da
cooperação policial.
|
|
Article 60
Relationship with previously concluded international agreements in the field of
judicial co-operation in criminal matters and police co-operation
|
Os acordos internacionais concluídos pelos
Estados-Membros antes da entrada em vigor da presente diretiva são alterados,
sempre que necessário, no prazo de cinco anos a contar da sua entrada em vigor.
|
|
International agreements concluded by Member
States prior to the entry force of this Directive shall be amended, where
necessary, within five years after the entry into force of this Directive.
|
Artigo 61.º
Avaliação
|
|
Article 61
Evaluation
|
1. A Comissão deve avaliar a
aplicação da presente diretiva.
|
|
1. The Commission shall
evaluate the application of this Directive.
|
2. A
Comissão deve proceder ao reexame, no prazo de três anos a contar da entrada em
vigor da presente diretiva, de outros atos adotados pela União Europeia que
regulam o tratamento de dados pessoais pelas autoridades competentes para
efeitos de prevenção, investigação, deteção e repressão de
infrações penais ou de execução de sanções penais, em
especial os atos adotados pela União que são mencionados no artigo 59.º, a fim
de avaliar a necessidade de os harmonizar com a presente diretiva e apresentar,
se for caso disso, as propostas necessárias à alteração desses atos de forma a assegurar
uma abordagem coerente da proteção de dados pessoais no âmbito da presente
diretiva.
|
|
2. The
Commission shall review within three years after the entry into force of this
Directive other acts adopted by the European Union which regulate the processing
of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal
offences or the execution of criminal penalties, in
particular those acts adopted by the Union referred to in Article 59, in order
to assess the need to align them with this Directive and make, where
appropriate, the necessary proposals to amend these acts to ensure a consistent
approach on the protection of personal data within the scope of this Directive.
|
3. A Comissão apresenta
periodicamente ao Parlamento Europeu e ao Conselho relatórios sobre a avaliação
e reexame da presente diretiva nos termos do n.º 1. O
primeiro relatório deve ser apresentado o mais tardar quatro anos após a
entrada em vigor da presente diretiva. Os relatórios subsequentes devem ser
apresentados com uma periodicidade de quatro anos. A Comissão apresentará, se
necessário, propostas adequadas com vista à alteração da presente diretiva e à harmonização
de outros instrumentos jurídicos. O relatório é objeto de publicação.
|
|
3. The Commission shall
submit reports on the evaluation and review of this Directive pursuant to
paragraph 1 to the European Parliament and the Council at regular intervals.
The first reports shall be submitted no later than four years after the entry
into force of this Directive. Subsequent reports shall be submitted every four
years thereafter. The Commission shall submit, if necessary, appropriate
proposals with a view of amending this Directive and aligning other legal
instruments. The report shall be made public.
|
Artigo 62.º
Transposição
|
|
Article 62
Implementation
|
1. Os Estados-Membros devem adotar
e publicar, até [data/dois anos após a entrada em vigor], as disposições
legislativas, regulamentares e administrativas necessárias para dar cumprimento
à presente diretiva. Os Estados-Membros devem comunicar
imediatamente à Comissão o texto dessas disposições.
|
|
1. Member States shall adopt
and publish, by [date/ two years after entry into force] at the latest, the
laws, regulations and administrative provisions necessary to comply with this
Directive. They shall forthwith notify to the Commission the text of those
provisions.
|
Os Estados-Membros devem aplicar as referidas disposições
a partir de xx.xx.201x [data/dois anos após a entrada em vigor].
|
|
They shall apply those provisions from xx.xx.201x
[date/ two years after entry into force].
|
As disposições adotadas pelos
Estados-Membros devem fazer referência à presente diretiva ou ser acompanhadas
dessa referência aquando da sua publicação oficial. As modalidades da
referência são estabelecidas pelos Estados‑Membros.
|
|
When Member States adopt those provisions, they
shall contain a reference to this Directive or be accompanied by such a
reference on the occasion of their official publication. Member States shall
determine how such reference is to be made.
|
2. Os Estados-Membros devem
comunicar à Comissão o texto das principais disposições de direito interno que
adotarem no domínio abrangido pela presente diretiva.
|
|
2. Member States shall
communicate to the Commission the text of the main provisions of national law
which they adopt in the field covered by this Directive.
|
Artigo 63.º
Entrada em vigor e
aplicação
|
|
Article 63
Entry into force and application
|
A presente diretiva entra em vigor no primeiro
dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.
|
|
This Directive shall enter into force on
the first day following that of its publication in the Official Journal of
the European Union.
|
Artigo 64.º
Destinatários
|
|
Article 64
Addressees
|
Os
destinatários da presente diretiva são os Estados-Membros.
|
|
This
Directive is addressed to the Member States.
|
Feito em Bruxelas, em 25.1.2012
|
|
Done at Brussels, 25.1.2012
|
Pelo Parlamento Europeu Pelo
Conselho
|
|
For the European Parliament For
the Council
|
O Presidente O
Presidente
|
|
The President The
President
|
[1] Diretiva 95/46/CE do Parlamento Europeu e do Conselho,
de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz
respeito ao tratamento de dados pessoais e à livre circulação desses dados, JO
L 281 de 23.11.1995, p. 31.
|
|
[1] Directive 95/46/EC of the European Parliament and of
the Council of 24 October 1995 on the protection of individuals with regard to
the processing of personal data and on the free movement of such data, OJ L
281/95, p.31.
|
[2] Ver a lista completa no Anexo 3 da avaliação de impacto
[SEC(2012) 72].
|
|
[2] See the full list in Annex 3 to the Impact Assessment
(SEC(2012)72).
|
[3] Decisão-Quadro 2008/977/JAI do Conselho, de 27 de
novembro de 2008, relativa à proteção dos dados pessoais tratados no âmbito da
cooperação policial e judiciária em matéria penal, JO L 350 de 30.12.2008, p.
60 (a seguir designada «decisão-quadro»).
|
|
[3] Council Framework Decision 2008/977/JHA of 27
November 2008 on the protection of personal data processed in the framework of
police and judicial cooperation in criminal matters, OJ L 350, 30.12.2008, p.
60.
|
[4] «O Programa de Estocolmo - Uma Europa aberta e segura
que sirva e proteja os cidadãos», JO C 115 de 4.5.2010, p. 1.
|
|
[4] In the Stockholm Programme, OJ C 115, 4.5.2010, p. 1.
|
[5] Ver a Resolução do Parlamento Europeu, de 25 de novembro
de 2009, relativa à Comunicação da Comissão ao Parlamento Europeu e ao Conselho
– Um espaço de liberdade, segurança e justiça ao serviço dos cidadãos –
Programa de Estocolmo (P7_TA (2009)0090).
|
|
[5] See the Resolution of the European Parliament on the
Stockholm Programme adopted on 25 November 2009.
|
[6] COM(2010) 171 final.
|
|
[6] COM(2010)171final.
|
[7] Comissão Europeia, Comunicação sobre «Uma abordagem
global da proteção de dados pessoais na União Europeia», COM(2010) 609 final de
4 de novembro de 2010.
|
|
[7] European Commission, Communication on “A
comprehensive approach on personal data protection in the European Union”,
COM(2010)609 final, 4 November 2010.
|
[8] Declaração 21 sobre a proteção de dados pessoais no
domínio da cooperação judiciária em matéria penal e da cooperação policial
(anexada à Ata Final da Conferência Intergovernamental que adotou o Tratado de
Lisboa, de 13.12.2007).
|
|
[8] Declaration 21 on the protection of personal data in
the fields of judicial cooperation in criminal matters and police cooperation
(annexed to the Final Act of the Intergovernmental Conference which adopted the
Treaty of Lisbon, 13.12.2007).
|
[9] http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm.
|
|
[9] http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm.
|
[10] http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm.
|
|
[10] http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm.
|
[11] Eurobarómetro Especial (EB)
359, Data Protection and Electronic Identity in the EU (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf..
|
|
[11] Special Eurobarometer (EB) 359, Data Protection and
Electronic Identity in the EU (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf.
|
[12] Ver o estudo sobre os benefícios económicos das
tecnologias de proteção da privacidade ou o estudo comparativo sobre as
abordagens diferentes relativamente a novos desafios em matéria de privacidade,
em espacial à luz dos desenvolvimentos tecnológicos, janeiro de 2010.
(http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).
|
|
[12] See the Study on the economic benefits of privacy
enhancing technologies or the Comparative study on different approaches
to new privacy challenges, in particular in the light of technological
developments, January 2010.
(http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).
|
[13] O Grupo de Trabalho do artigo 29.º foi criado em 1996 (por
força do artigo 29.º da Diretiva). Tem natureza consultiva e é composto por
representantes das autoridades nacionais de controlo em matéria de proteção de
dados, da Autoridade Europeia para a Proteção de Dados (AEPD) e da Comissão.
Para mais informações sobre as suas atividades, consultar http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.
|
|
[13] The Working Party was set up in 1996 (by Article 29 of
the Directive) with advisory status and composed of representatives of national
Data Protection Supervisory Authorities (DPAs), the European Data Protection
Supervisor (EDPS) and the Commission. For more information on its activities
see http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.
|
[14] Consultar, em especial, os seguintes pareceres: relativo
ao «Futuro da Privacidade» (2009, WP 168); relativo aos conceitos de
«responsável pelo tratamento» e «subcontratante» (1/2010, WP 169); relativo a
publicidade comportamental em linha (2/2010, WP 171); relativo ao princípio da
responsabilidade (3/2010, WP 173); relativo à legislação aplicável (8/2010, WP
179); e relativo ao consentimento (15/2011, WP 187). A pedido da Comissão,
adotou também os três documentos seguintes sobre, notificações, dados sensíveis
e execução prática do artigo 28.º, n.º 6, da Diretiva 95/46/CE. Estes
documentos podem ser consultados em: http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm.
|
|
[14] See in particular the following opinions: on the
"Future of Privacy" (2009, WP 168); on the concepts of
"controller” and “processor" (1/2010, WP 169); on online behavioural advertising (2/2010, WP 171); on
the principle of accountability (3/2010, WP 173); on applicable law (8/2010, WP
179); and on consent (15/2011, WP 187). Upon the Commission's request, it
adopted also the three following Advice Papers: on notifications, on sensitive
data and on the practical implementation of Article 28(6) of the Directive 95/46/EC.
They can all be accessed at: http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm.
|
[15] Disponível no sítio web da AEPD: http://www.edps.europa.eu/EDPSWEB/.
|
|
[15] Available on the EDPS website: http://www.edps.europa.eu/EDPSWEB/.
|
[16] Resolução do PE, de 6 de julho de 2011, relativa a uma
abordagem global sobre a proteção dos dados pessoais na União Europeia
(2011/2025(INI), http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA-2011-0323&language=EN&ring=A7-2011-0244
(relator: DPE Axel Voss (PPE/DE).
|
|
[16] EP resolution of 6 July 2011 on a comprehensive
approach on personal data protection in the European Union (2011/2025(INI), http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA-2011-0323&language=EN&ring=A7-2011-0244
(rapporteur: MEP Axel Voss (EPP/DE).
|
[17] CESE 999/2011.
|
|
[17] CESE 999/2011.
|
[18] SEC(2012) 72.
|
|
[18] SEC(2012)72.
|
[19] COM(2012) 12.
|
|
[19] COM(2012)12.
|
[20] Tribunal de Justiça da UE, acórdão de 9.11.2010 nos
processos apensos C-92/09 e C‑93/09, Volker e Markus Schecke, Coletânia
2010, p. I‑0000.
|
|
[20] Court of Justice of the EU, judgment of 9.11.2010, Joined
Cases C-92/09 and C-93/09 Volker und Markus Schecke and Eifert [2010] ECR I-0000.
|
[21] Nos termos do artigo 52.º, n.º 1, da Carta, podem ser
impostas restrições ao exercício do direito à proteção de dados, desde que as
restrições sejam estipuladas por lei, respeitem a essência do direito e das
liberdades e, sem prejuízo do princípio da proporcionalidade, sejam necessárias
e cumpram genuinamente objetivos de interesse geral reconhecidos pela União
Europeia ou a necessidade de assegurar os direitos e liberdades de terceiros.
|
|
[21] In line with Article 52(1) of the Charter, limitations
may be imposed on the exercise of the right to data protection as long as the
limitations are provided for by law, respect the essence of the right and
freedoms and, subject to the principle of proportionality, are necessary and
genuinely meet objectives of general interest recognised by the European Union
or the need to protect the rights and freedoms of others.
|
[22] A que se refere também o artigo 2.º, alínea a), da
Diretiva 2011/92/UE, do Parlamento Europeu e do Conselho, de 13 de dezembro de
2011, relativa à luta contra o abuso sexual e a exploração sexual de crianças e
a pornografia infantil, e que substitui a Decisão-Quadro 2004/68/JAI do
Conselho, JO L 335 de 17.12.2011, p. 1.
|
|
[22] Referred to also in Article 2 (a) of Directive
2011/92/EU of the European Parliament and of the Council of 13 December
2011 on combating the sexual abuse and sexual exploitation of children and
child pornography, and replacing Council Framework Decision 2004/68/JHA, OJ L
335, 17.12.2011, p. 1.
|
[23] COM (2005) 475 final
|
|
[23] COM(2005) 475 final.
|
[24] Artigo 14.º da Decisão 2009/371/JAI da Europol.
|
|
[24] Article 14 Europol Decision 2009/371/JHA.
|
[25] Artigo 15.º da Decisão 2009/426/JAI da Eurojust.
|
|
[25] Article 15 Eurojust Decision 2009/426/JHA.
|
[26] Artigo 14.º da Decisão 2009/371/JAI da Europol.
|
|
[26] Article 14 Europol Decision 2009/371/JHA.
|
[27] Acórdão do TEDH de 4.12.2008, S. e Marper/UK (pedidos n.os 30562/04 e
30566/04).
|
|
[27] ECtHR, judgment of 4.12.2008, S. and Marper v. UK
(Application nos. 30562/04 and 30566/04).
|
[28] Adotada pela Conferência internacional dos comissários
para a proteção de dados e da vida privada em 5.11.2009.
|
|
[28] Adopted by the International Conference of Data
Protection and Privacy Commissioners on 5.11.2009.
|
[29] Tribunal de Justiça da União Europeia, acórdão de 9 de
março de 2010 no processo C-518/07, Comissão/Alemanha (Coletânea 2010, p.
I-1885).
|
|
[29] Court of Justice of the EU, judgment of 9.3.2010,
Commission / Germany (C-518/07, ECR 2010 p. I-1885)
|
[30] Regulamento (CE) n.º 45/2001 do Parlamento Europeu e do
Conselho, de 18 de dezembro de 2000, relativo à proteção das pessoas singulares
relativamente ao tratamento de dados pessoais pelas instituições e organismos
comunitários e sobre a livre circulação desses dados; JO L 8 de 12.1.2001, p. 1.
|
|
[30] Regulation (EC) No 45/2001 of the European Parliament
and of the Council of 18 December 2000 on the protection of individuals with
regard to the processing of personal data by the Community institutions and
bodies and on the free movement of such data; OJ L 008 , 12/.01/.2001, p.1.
|
[31] Cit. nota de pé de página 27.
|
|
[31] Op. cit., footnote 27.
|
[32] Diretiva 2000/31/CE do Parlamento Europeu e do Conselho,
de 8 de junho de 2000, relativa a certos aspetos legais dos serviços da
sociedade de informação, em especial do comércio eletrónico, no mercado interno
(«Diretiva relativa ao comércio eletrónico»); JO L 178 de 17.7.2000, p. 1.
|
|
[32] Directive 2000/31/EC of the European Parliament and of
the Council of 8 June 2000 on certain legal aspects of information society
services, in particular electronic commerce, in the Internal Market ('Directive
on electronic commerce'); OJ L 178, 17.7.2000, p. 1.
|
[33] JO C , , p. .
|
|
[33] OJ C… , p. .
|
[34] JO L 281 de 23.11.1995, p. 31.
|
|
[34] OJ L 281, 23.11.1995, p. 31.
|
[35] JO L 350 de 30.12.2008, p. 60.
|
|
[35] OJ L 350, 30.12.2008, p. 60.
|
[36] JO L 55 de 28.2.2011, p. 13.
|
|
[36] OJ L 55, 28.2.2011, p. 13.
|
[37] JO L 335 de 17.12.2011, p. 1.
|
|
[37] OJ L335,
17.12.2011, p. 1.
|
[38] JO L 176 de 10.7.1999, p. 36.
|
|
[38] OJ L 176, 10.7.1999, p. 36.
|
[39] JO L 53 de 27.2.2008, p. 52.
|
|
[39] OJ L 53, 27.2.2008, p. 52.
|
[40] JO L 160 de 18.6.2011, p. 19.
|
|
[40] OJ L 160 of 18.6.2011, p. 19.
|
|