COMISSÃO EUROPEIA

Bruxelas, 24.1.2018

COM(2018) 43 final

COMUNICAÇÃO DA COMISSÃO AO PARLAMENTO EUROPEU E AO CONSELHO

FMT:BoldMaior proteção, novas oportunidades — Orientações da Comissão relativas à aplicação direta do Regulamento Geral sobre a Proteção de Dados a partir de 25 de maio de 2018/FMT

Comunicação da Comissão ao Parlamento Europeu e ao Conselho

Maior proteção, novas oportunidades — Orientações da Comissão relativas à aplicação direta do Regulamento Geral sobre a Proteção de Dados a partir de 25 de maio de 2018

Introdução

No dia 6 de abril de 2016, a UE decidiu reformar a fundo o seu quadro de proteção de dados, adotando o pacote de reformas em matéria de proteção de dados, composto pelo Regulamento Geral sobre a Proteção de Dados (RGPD) 1 , que substitui a Diretiva 95/46/CE 2 («Diretiva Proteção de Dados»), com mais de vinte anos, e pela Diretiva Cooperação Policial 3 . Em 25 de maio de 2018, o novo instrumento geral da UE em matéria de proteção de dados, o Regulamento Geral sobre a Proteção de Dados («o regulamento»), passará a ser diretamente aplicável, dois anos após a sua adoção e entrada em vigor 4 .

O novo regulamento reforçará a proteção do direito fundamental dos indivíduos à proteção dos dados pessoais, refletindo a natureza da proteção de dados enquanto direito fundamental da União Europeia 5 .

Disponibilizando um único conjunto de regras diretamente aplicáveis nas ordens jurídicas dos Estados-Membros, o regulamento garantirá a livre circulação de dados pessoais entre os Estados-Membros da UE e reforçará a confiança e a segurança dos consumidores, dois elementos indispensáveis para que exista um verdadeiro mercado único digital. Desta forma, o regulamento proporcionará novas oportunidades para as empresas, em especial as de menor dimensão, tornando também mais claras as regras aplicáveis às transferências internacionais de dados.

Embora assente na legislação existente, o novo quadro de proteção de dados terá um impacto muito alargado e necessitará de ajustes significativos em determinados aspetos. Por esta razão, o regulamento prevê um período de transição de dois anos — até 25 de maio de 2018 — para dar tempo aos Estados-Membros e às partes interessadas de se prepararem devidamente para o novo quadro jurídico.

Ao longo dos últimos dois anos, todas as partes interessadas, desde administrações nacionais e autoridades nacionais de proteção de dados até aos responsáveis pelo tratamento e subcontratantes, participaram em diversas atividades para assegurar que a importância e a dimensão das alterações decorrentes das novas regras da proteção de dados são bem compreendidas e que todos os intervenientes estão prontos para a sua aplicação. Com a aproximação da data limite de 25 de maio, a Comissão acredita ser necessário fazer um balanço do seu trabalho e definir outras etapas que possam ser úteis para assegurar que estão reunidas todas as condições para que o novo quadro produza os efeitos previstos 6 .

A presente comunicação:

·recapitula as principais inovações e oportunidades decorrentes da nova legislação da UE em matéria de proteção de dados;

·faz um balanço dos trabalhos preparatórios realizados até à data ao nível da UE;

·delineia o que a Comissão Europeia, as autoridades nacionais de proteção de dados e as administrações nacionais ainda devem fazer para que a elaboração seja concluída com êxito;

·define as medidas que a Comissão pretende tomar nos próximos meses.

Além disso, paralelamente à adoção da presente comunicação, a Comissão lança um conjunto de instrumentos em linha que visam ajudar as partes interessadas a prepararem a aplicação do regulamento e, com o apoio dos gabinetes de representação, uma campanha de informação em todos os Estados-Membros.

1.O NOVO QUADRO DA UE EM MATÉRIA DE PROTEÇÃO DE DADOS — MAIOR PROTEÇÃO E NOVAS OPORTUNIDADES

O regulamento continua a seguir a abordagem da Diretiva Proteção de Dados mas, baseando-se nos 20 anos de legislação e jurisprudência da UE em matéria de proteção de dados, clarifica e moderniza as regras relativas à proteção de dados e introduz diversos elementos novos que visam reforçar a proteção dos direitos individuais e criar oportunidades para as empresas, em especial:

·Um quadro jurídico harmonizado que visa uma aplicação uniforme das regras em prol do mercado único digital da UE. Significa isto que existe um único conjunto de regras para os cidadãos e para as empresas. Tal dará resposta à situação atual em que os Estados-Membros da UE transpuseram as regras da diretiva de forma diferente. Para assegurar uma aplicação uniforme e coerente em todos os Estados-Membros, introduziu-se um mecanismo de balcão único;

·Condições de concorrência equitativas para todas as empresas que operam no mercado da UE. O regulamento exige que as empresas sediadas fora da UE apliquem as mesmas regras que as empresas sediadas na UE, caso ofereçam bens e serviços relacionados com dados pessoais ou monitorizem o comportamento dos indivíduos na União. As empresas que operam a partir de países fora da UE e estão ativas no mercado único devem, em determinadas circunstâncias, nomear um representante na UE a quem os cidadãos e as autoridades se possam dirigir em complemento ou em substituição da empresa com sede no estrangeiro;

·Os princípios da proteção de dados desde a conceção e por defeito, criando incentivos para soluções inovadoras que deem resposta a questões sobre a proteção de dados logo desde o início;

·Reforço dos direitos individuais: O regulamento introduz novos requisitos de transparência; reforço dos direitos de informação, acesso, apagamento («direito a ser esquecido»); o silêncio e a inatividade deixam de ser considerados consentimentos válidos, sendo necessária uma ação afirmativa clara para manifestar o consentimento; proteção das crianças em linha;

·Mais controlo em relação aos dados pessoais dos indivíduos. O regulamento estabelece um novo direito de portabilidade dos dados, que permite aos cidadãos solicitar a uma empresa ou a uma organização que devolva os dados pessoais que o cidadão forneceu a essa empresa ou organização com base em consentimento ou contrato; permite igualmente que esses dados pessoais sejam transmitidos diretamente a outra empresa ou organização, quando tal for tecnicamente possível. Uma vez que permite a transmissão direta de dados pessoais de uma empresa ou organização para outra, este direito também contribui para a livre circulação de dados pessoais na UE, evita a retenção de dados pessoais e incentiva a concorrência entre empresas. Fazer com que os cidadãos consigam mais facilmente alternar entre diferentes prestadores de serviços fomentará o desenvolvimento de novos serviços no contexto da estratégia para o mercado único digital;

·Maior proteção contra violações de dados. O regulamento estabelece um conjunto de regras abrangente sobre violações de dados pessoais. Define claramente o que é uma «violação dos dados pessoais» e introduz uma obrigação de notificação à autoridade de controlo, o mais tardar no prazo de 72 horas, quando a violação de dados for suscetível de implicar um risco para os direitos e liberdades individuais. Em determinadas circunstâncias, obriga a que se informe o titular dos dados acerca da violação. Este aspeto reforça muitíssimo a proteção, em comparação com o que acontece atualmente na UE, já que só os prestadores de serviços de comunicações eletrónicas, os operadores de serviços essenciais e os prestadores de serviços digitais é que estão obrigados a notificar violações de dados ao abrigo da Diretiva relativa à privacidade e às comunicações eletrónicas («Diretiva Privacidade Eletrónica») 7 e da Diretiva relativa à segurança das redes e da informação («Diretiva Cibersegurança») 8 , respetivamente;

·O regulamento habilita todas as autoridades de proteção de dados a impor coimas aos responsáveis pelo tratamento e subcontratantes. Atualmente, nem todas estão habilitadas para o fazer. Isto permitirá uma melhor aplicação das regras. As coimas podem chegar aos 20 milhões de euros ou, no caso de uma empresa, a 4 % do volume de negócios anual a nível mundial;

·Mais flexibilidade para os responsáveis pelo tratamento e subcontratantes que tratam dados pessoais devido a disposições inequívocas sobre responsabilidade (o princípio da responsabilidade). O regulamento afasta-se de um sistema de notificação e passa a assentar no princípio da responsabilidade. Este último é aplicado através de obrigações que podem ser ajustadas em função do risco (ou seja, a presença de um encarregado da proteção de dados ou a obrigação de realizar avaliações de impacto sobre a proteção de dados). É introduzido um novo instrumento para ajudar a avaliar o risco antes de se iniciar o tratamento: a avaliação de impacto sobre a proteção de dados. A obrigação de realizar esta avaliação existe quando o tratamento é suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares. O regulamento menciona especificamente três situações: quando uma empresa avalia de forma sistemática e completa aspetos pessoais relacionados com pessoas singulares (incluindo definição de perfis), quando trata dados sensíveis em larga escala ou quando controla sistematicamente zonas acessíveis ao público em grande escala. As autoridades nacionais responsáveis pelo tratamento de dados terão de tornar públicas as listas dos casos que necessitam de uma avaliação de impacto sobre a proteção de dados 9 ;

·Mais clareza relativamente às obrigações dos subcontratantes e à responsabilidade dos responsáveis pelo tratamento aquando da seleção de um subcontratante;

·Um sistema de governação moderno que assegura que as regras são cumpridas de forma mais coerente e firme. Inclui poderes harmonizados para as autoridades de proteção de dados, incluindo em relação a coimas e novos mecanismos para estas autoridades cooperarem em rede;

·A proteção dos dados pessoais garantida pelo regulamento acompanha os dados fora da UE assegurando um elevado nível de proteção 10 . Embora a arquitetura das regras sobre transferências internacionais no regulamento permaneça essencialmente a mesma da diretiva de 1995, a reforma clarifica e simplifica a sua utilização e introduz novos instrumentos para transferências. No que toca às decisões de adequação, o regulamento introduz um catálogo exato e pormenorizado dos elementos que a Comissão deve ter em conta quando avalia se um sistema estrangeiro protege adequadamente os dados pessoais. O regulamento também formaliza e alarga o número de instrumentos de transferência alternativos, tais como cláusulas contratuais normalizadas e regras vinculativas aplicáveis às empresas.

A revisão do regulamento aplicável às instituições, aos órgãos, aos organismos e às agências da UE 11 e a proposta de regulamento relativo à privacidade e às comunicações eletrónicas («Regulamento Privacidade e Comunicações Eletrónicas») 12 , que estão atualmente em negociação, assegurarão que, após a sua adoção, a UE tem ao seu dispor um conjunto sólido e abrangente de regras em matéria de proteção de dados 13 .

2.Trabalhos preparatórios realizados até à data ao nível da UE

O êxito da aplicação do regulamento exige a cooperação entre todos aqueles que estão envolvidos na proteção de dados: Estados-Membros, incluindo administrações públicas, autoridades nacionais de proteção de dados, empresas, organizações de tratamento de dados pessoais e indivíduos, bem como a Comissão.

2.1 Ações da Comissão Europeia

Pouco tempo depois da entrada em vigor do regulamento, em meados de 2016, a Comissão começou a trabalhar com as autoridades dos Estados-Membros, com as autoridades de proteção de dados e com as partes interessadas para preparar a aplicação do regulamento e prestar apoio e aconselhamento.

a) Apoiar os Estados-Membros e as respetivas autoridades

A Comissão tem envidado esforços em estreita colaboração com os Estados-Membros para apoiar o trabalho destes durante o período de transição, com vista a assegurar o nível mais elevado possível de coerência. Para o efeito, a Comissão criou um grupo de peritos para acompanhar os Estados-Membros nos esforços desenvolvidos para se prepararem para o regulamento. O grupo de peritos, que já reuniu 13 vezes, atua como um fórum onde os Estados-Membros podem partilhar as suas experiências e conhecimentos especializados 14 . A Comissão também participou em reuniões bilaterais com as autoridades dos Estados-Membros para debater questões surgidas ao nível nacional.

b) Apoiar as autoridades de proteção de dados individuais e a criação do Comité Europeu para a Proteção de Dados

A Comissão tem apoiado ativamente o trabalho do Grupo de Trabalho do Artigo 29.º também com vista a assegurar que a transição para o Comité Europeu para a Proteção de Dados 15 ocorre sem problemas.

c) Alcance internacional

O regulamento reforçará ainda mais a capacidade de a UE promover ativamente os seus valores em matéria de proteção de dados e facilitar a circulação transfronteiriça de dados, incentivando para tal a convergência dos sistemas jurídicos a nível global 16 . As regras da UE em matéria de proteção de dados são cada vez mais reconhecidas a nível internacional como a bitola de algumas das normas mais exigentes no mundo em matéria de proteção de dados. A Convenção n.º 108 do Conselho da Europa, o único instrumento multilateral juridicamente vinculativo no domínio da proteção dos dados pessoais, também está a ser modernizada. A Comissão está a envidar esforços para que esta última reflita os mesmos princípios que estão consagrados nas novas regras de proteção de dados da UE, ajudando assim a estabelecer um conjunto uniforme de normas exigentes em matéria de proteção de dados. A Comissão promoverá ativamente a rápida adoção do texto modernizado da convenção, tendo em vista a inclusão da UE como uma das partes 17 . A Comissão incentiva os países que não pertencem à UE a ratificar a Convenção n.º 108 do Conselho da Europa e respetivo protocolo adicional.

Além disso, vários países e organizações regionais externos à UE, desde a nossa vizinhança mais próxima até à Ásia, América Latina e África, estão a adotar nova legislação em matéria de proteção de dados ou a atualizar a legislação em vigor, por forma a aproveitar as oportunidades oferecidas pela economia digital global e responder à procura crescente de reforço da segurança dos dados e de proteção da privacidade. Embora os países adotem abordagens diferentes e tenham níveis de desenvolvimento legislativo diferentes, existem sinais de que o regulamento serve cada vez mais de ponto de referência e de fonte de inspiração 18 .

Neste contexto, a Comissão prossegue as suas ações de sensibilização internacional em conformidade com a sua Comunicação de janeiro de 2017 19 , empenhando-se ativamente junto dos principais parceiros comerciais, nomeadamente da Ásia Oriental, Sudeste Asiático e América Latina, para explorarem a possibilidade de adotar decisões de adequação 20 .

Em especial, a Comissão está a trabalhar com o Japão no sentido de ambos chegarem a uma conclusão quanto ao nível adequado de proteção de ambos os lados até início de 2018, como anunciado pelo Presidente Juncker e pelo Primeiro-Ministro Abe na sua declaração conjunta de 6 de julho de 2017 21 . Também já foram iniciadas conversações com a Coreia do Sul, tendo em vista uma possível decisão de adequação. A adoção de uma decisão de adequação possibilita o livre fluxo de dados com os países terceiros em causa, assegurando simultaneamente que é aplicado um elevado nível de proteção quando os dados pessoais são transferidos da UE para esses países.

Ao mesmo tempo, a Comissão está a trabalhar em conjunto com as partes interessadas para explorar todo o potencial dos instrumentos do RGPD destinados às transferências internacionais mediante o desenvolvimento de mecanismos de transferência alternativos, adaptados às necessidades específicas de determinadas indústrias e/ou operadores 22 .

d) Interagir com as partes interessadas

A Comissão organizou uma série de eventos para chegar às partes interessadas 23 . Está prevista uma nova sessão de trabalho destinada aos consumidores no primeiro trimestre de 2018. Realizaram-se também debates setoriais específicos em domínios como a investigação e os serviços financeiros.

A Comissão criou igualmente um grupo de várias partes interessadas sobre o regulamento, composto por representantes da sociedade civil e das empresas, académicos e profissionais. Este grupo aconselhará a Comissão, em especial, sobre como conseguir um nível adequado de sensibilização acerca do regulamento junto das partes interessadas 24 .

Por último, a Comissão Europeia, através do seu programa-quadro para a investigação e inovação Horizonte 2020 25 , financiou ações para desenvolver instrumentos que visam apoiar a aplicação eficaz das regras que constam do regulamento em relação ao consentimento e sobre os métodos de preservação da privacidade de dados analíticos, tais como computação segura multipartes e cifragem homomórfica.

2.2 Ações do Grupo de Trabalho do Artigo 29.º / Comité Europeu para a Proteção de Dados

O Grupo de Trabalho do Artigo 29.º, que agrupa todas as autoridades nacionais de proteção de dados, incluindo a Autoridade Europeia para a Proteção de Dados, desempenha um papel importante no que toca a preparar a aplicação do regulamento, emitindo orientações destinadas às empresas e às outras partes interessadas. Enquanto garantes da execução do regulamento e contactos diretos junto das partes interessadas, as autoridades nacionais de proteção de dados são as entidades mais bem colocadas para proporcionar segurança jurídica adicional em relação à interpretação do regulamento.

Orientações/documentos de trabalho do Grupo de Trabalho do Artigo 29.º com vista ao início da aplicação do regulamento 26
Direito de portabilidade dos dados	Adoção em 4-5 de abril de 2017
Encarregados da proteção de dados
Designação da autoridade de controlo principal
Avaliação de impacto sobre a proteção de dados	Adoção em 3-4 de outubro de 2017
Coimas administrativas	Adoção em 3-4 de outubro de 2017
Definição de perfis	Trabalhos em curso
Violação de dados	Trabalhos em curso
Consentimento	Trabalhos em curso
Transparência	Trabalhos em curso
Certificação e acreditação	Trabalhos em curso
Referencial de adequação	Trabalhos em curso
Regras vinculativas para empresas destinadas aos responsáveis pelo tratamento dos dados	Trabalhos em curso
Regras vinculativas para empresas destinadas aos subcontratantes	Trabalhos em curso

O Grupo de Trabalho do Artigo 29.º está a trabalhar no sentido de atualizar os pareceres existentes, nomeadamente sobre os instrumentos para transferir dados para países não pertencentes à UE.

Uma vez que é fundamental para os operadores terem um conjunto coerente e único de orientações, é necessário revogar ou alinhar as orientações que existem atualmente a nível nacional com as orientações adotadas pelo Grupo de Trabalho do Artigo 29.º / Comité Europeu para a Proteção de Dados sobre o mesmo assunto.

A Comissão considera ser muito importante que essas orientações sejam sujeitas a consulta pública antes da sua finalização. É fundamental que os contributos das partes interessadas neste processo sejam tão rigorosos e concretos quanto possível, uma vez que ajudarão a identificar as melhores práticas e a chamar a atenção do Grupo de Trabalho do Artigo 29.º para as características setoriais e da indústria. Em última instância, a responsabilidade por estas orientações é do Grupo de Trabalho do Artigo 29.º e do futuro Comité Europeu para a Proteção de Dados, sendo que as autoridades de proteção de dados deverão remeter para as mesmas quando fizerem cumprir o regulamento.

Deve ser possível alterar as orientações à luz dos desenvolvimentos e das práticas. Para o efeito, é fundamental que as autoridades de proteção de dados promovam uma cultura de diálogo com todas as partes interessadas, incluindo com as empresas.

É importante relembrar que, quando surgirem questões em relação à interpretação e aplicação do regulamento, caberá aos tribunais a nível nacional e da UE interpretarem em última instância o regulamento.

3.Etapas que ainda falta concretizar para que a preparação seja um êxito

3.1 Os Estados-Membros devem finalizar a criação do quadro jurídico a nível nacional

O regulamento é diretamente aplicável em todos os Estados-Membros 27 . Significa isto que entra em vigor e é aplicável independentemente de quaisquer medidas no ordenamento jurídico nacional: as disposições do regulamento podem, em circunstâncias normais, ser invocadas diretamente por cidadãos, empresas, administrações públicas e outras organizações de tratamento de dados pessoais. Não obstante, em conformidade com o regulamento, os Estados-Membros devem tomar as medidas necessárias para adaptar as respetivas legislações, revogando ou alterando as leis em vigor, criando autoridades nacionais de proteção de dados 28 , escolhendo um organismo de acreditação 29 e definindo regras para a conciliação da liberdade de expressão e da proteção de dados 30 .

Além disso, o regulamento dá aos Estados-Membros a possibilidade de especificarem mais a aplicação das regras de proteção de dados em determinados domínios: setor público 31 , emprego e segurança social 32 , medicina preventiva ou do trabalho, saúde pública 33 , fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins estatísticos 34 , número de identificação nacional 35 , acesso do público aos documentos oficiais 36 e obrigações de sigilo 37 . Adicionalmente, para dados genéticos, dados biométricos e dados relativos à saúde, o regulamento habilita os Estados-Membros a manterem ou introduzirem outras condições, incluindo limitações 38 .

As ações dos Estados-Membros neste contexto são enquadradas por dois elementos:

1.O artigo 8.º da Carta, o que significa que qualquer lei nacional que vise a especificação deve cumprir os requisitos do artigo 8.º da Carta (e do regulamento que assenta no artigo 8.º da Carta), e

2.O artigo 16.º, n.º 2, do TFUE, ao abrigo do qual a legislação nacional não pode interferir na livre circulação de dados pessoais dentro da UE.

O regulamento constitui uma oportunidade para simplificar o ambiente jurídico, passando assim a existir menos regras nacionais e maior clareza para os operadores.

Quando adaptam as respetivas legislações nacionais, os Estados-Membros devem ter em conta o facto de que quaisquer medidas nacionais que resultem na criação de um obstáculo à aplicabilidade direta do regulamento e ponham em perigo a sua aplicação simultânea e uniforme em toda a UE são contrárias aos Tratados 39 .

Repetir o texto dos regulamentos no direito nacional também é proibido (ou seja, repetir definições ou os direitos dos indivíduos), salvo quando essas repetições são estritamente necessárias para manter a coerência e tornar as leis nacionais compreensíveis para as pessoas a quem se aplicam 40 . Reproduzir o texto do regulamento palavra por palavra no direito nacional que visa a especificação deve ser algo excecional e justificado, não podendo ser utilizado para acrescentar condições ou interpretações adicionais ao texto do regulamento.

A interpretação do regulamento cabe aos tribunais europeus (tribunais nacionais e, em última instância, o Tribunal de Justiça da União Europeia) e não aos legisladores dos Estados-Membros. Por conseguinte, o legislador nacional não pode copiar o texto do regulamento quando tal não é necessário à luz dos critérios previstos na jurisprudência, nem interpretá-lo ou acrescentar condições adicionais às regras diretamente aplicáveis ao abrigo do regulamento. Se o fizessem, os operadores de toda a União ficariam novamente perante uma situação de fragmentação e não saberiam a que regras obedecer.

Nesta fase, apenas dois Estados-Membros já adotaram a legislação nacional pertinente 41 ; os restantes Estados-Membros estão em diferentes fases dos respetivos processos legislativos 42 e já têm datas previstas para a adoção da legislação até 25 de maio de 2018. É importante dar aos operadores tempo suficiente para se prepararem para todas as disposições que terão de cumprir.

Quando os Estados-Membros não tomam as medidas necessárias previstas nos termos do regulamento, se atrasam a tomar essas medidas ou recorrem às cláusulas de especificação previstas nos termos do regulamento de forma contrária ao regulamento, a Comissão pode utilizar todos os instrumentos à sua disposição, incluindo recorrer ao procedimento por infração.

3.2 As autoridades de proteção de dados devem garantir que o novo Comité Europeu para a Proteção de Dados se encontra totalmente operacional

É fundamental que o novo organismo criado pelo regulamento, o Comité Europeu para a Proteção de Dados 43 , o sucessor do Grupo de Trabalho do Artigo 29.º, esteja totalmente operacional a partir de 25 de maio de 2018.

A Autoridade Europeia para a Proteção de Dados, que é a autoridade de proteção de dados responsável por controlar as instituições e os organismos da UE, prestará serviços de secretariado ao Comité Europeu para a Proteção de Dados para reforçar sinergias e a eficácia. Nos últimos meses, a Autoridade Europeia para a Proteção de Dados começou a preparação necessária para este efeito.

O Comité Europeu para a Proteção de Dados estará no centro da proteção de dados na Europa. Contribuirá para uma aplicação coerente da legislação em matéria de proteção de dados e constituirá uma forte base para a cooperação entre as autoridades de proteção de dados, incluindo a Autoridade Europeia para a Proteção de Dados. O Comité Europeu para a Proteção de Dados, para além de emitir orientações sobre como interpretar os principais conceitos do regulamento, deverá também emitir decisões vinculativas em relação a litígios relacionados com o tratamento transfronteiriço. Isso garantirá a aplicação uniforme das regras da UE e evitará que o mesmo caso seja resolvido de forma diferente em Estados-Membros diferentes.

Por conseguinte, o bom e eficiente funcionamento do Comité Europeu para a Proteção de Dados é condição essencial para que o sistema como um todo funcione bem. Agora mais do que nunca, o Comité Europeu para a Proteção de Dados terá de criar uma cultura comum de proteção de dados junto de todas as autoridades nacionais de proteção de dados, para assegurar que as regras do regulamento são interpretadas de forma coerente. O regulamento fomenta a cooperação entre as autoridades de proteção de dados, conferindo-lhes instrumentos para uma cooperação eficaz e eficiente: poderão designadamente realizar operações conjuntas, adotar decisões de comum acordo e resolver divergências que possam surgir em relação à interpretação do regulamento no âmbito do referido comité, através de pareceres e decisões vinculativas. A Comissão incentiva as autoridades de proteção de dados a aceitarem estas alterações e ajustarem o respetivo funcionamento, financiamento e cultura de trabalho, com vista a serem capazes de beneficiar dos novos direitos e cumprir as novas obrigações.

3.3 Os Estados-Membros devem fornecer os recursos financeiros e humanos necessários às autoridades nacionais de proteção de dados

A criação de autoridades de controlo totalmente independentes em cada um dos Estados-Membros é fundamental para garantir a proteção das pessoas singulares no que respeita ao tratamento dos seus dados pessoais na UE 44 . As autoridades de controlo não podem salvaguardar eficazmente os direitos e as liberdades individuais se não agirem de forma completamente independente. Qualquer falha a nível da sua independência e competência tem um impacto negativo considerável na aplicação efetiva da legislação em matéria de proteção dos dados 45 .

O regulamento codifica o requisito aplicável a qualquer autoridade de proteção de dados de agir com total independência 46 . Reforça a independência das autoridades nacionais de proteção de dados e confere-lhes poderes uniformes em toda a UE para que possam estar devidamente equipadas para lidar eficazmente com reclamações, realizar investigações eficazes, tomar decisões vinculativas e impor sanções efetivas e dissuasoras. Confere-lhes também poderes para impor coimas administrativas aos responsáveis pelo tratamento ou aos subcontratantes até 20 milhões de EUR ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado.

As autoridades de proteção de dados são os interlocutores naturais e o primeiro ponto de contacto do público em geral, das empresas e das administrações públicas para questões relacionadas com o regulamento. O papel das autoridades de proteção de dados inclui informar os responsáveis pelo tratamento e os subcontratantes das suas obrigações, bem como sensibilizar e informar o público em geral relativamente aos riscos, às regras, às salvaguardas e aos direitos inerentes ao tratamento de dados. Contudo, isto não significa que os responsáveis pelo tratamento e os subcontratantes devam esperar das autoridades de proteção de dados o tipo de aconselhamento jurídico personalizado e individualizado que só um advogado ou um encarregado da proteção de dados pode dar.

Por conseguinte, as autoridades nacionais de proteção de dados desempenham um papel central, mas o relativo desequilíbrio existente entre os recursos humanos e financeiros que lhes são afetados nos diferentes Estados-Membros pode pôr em perigo a sua eficácia e, em última análise, a total independência exigida pelo regulamento. Pode também ter um impacto negativo na forma como as autoridades de proteção de dados exercem os seus poderes, nomeadamente os poderes de investigação. Os Estados-Membros são incentivados a cumprir a sua obrigação jurídica de fornecer à autoridade nacional de proteção de dados os recursos humanos, técnicos e financeiros, as instalações e as infraestruturas necessárias para a prossecução eficaz das suas atribuições e para o exercício dos seus poderes 47 .

3.4 As empresas, as administrações públicas e outras organizações de tratamento de dados devem estar prontas para aplicar as novas regras

O regulamento não alterou substancialmente os conceitos e princípios centrais da legislação em matéria de proteção de dados adotada em 1995. Assim, desde que já estejam em conformidade com a legislação de proteção dos dados da UE em vigor, a grande maioria dos responsáveis pelo tratamento e dos subcontratantes não deverá ter de fazer grandes alterações nas suas operações de tratamento de dados para cumprir o regulamento.

O regulamento tem mais impacto nos operadores cuja atividade principal seja o tratamento de dados e/ou lidar com dados sensíveis. Também tem impacto nos que, de forma regular e sistemática, monitorizam indivíduos em larga escala. Muito provavelmente, estes operadores terão de nomear um encarregado da proteção de dados, realizar uma avaliação de impacto sobre a proteção de dados e notificar violações de dados caso exista risco para os direitos e as liberdades individuais. Em contrapartida, os operadores, em especial as PME, cuja principal atividade não passe pela realização de operações de tratamento que impliquem risco elevado, em circunstâncias normais, não estarão sujeitos a estas obrigações específicas do regulamento.

É importante que os responsáveis pelo tratamento e os subcontratantes realizem revisões rigorosas aos respetivos ciclos da política de dados, por forma a identificarem claramente quais os dados que conservam, para que fins e em que base jurídica (por exemplo, ambiente nuvem; operadores do setor financeiro). Necessitam igualmente de avaliar os contratos em vigor, em especial os contratos entre responsáveis pelo tratamento e subcontratantes, as vias para as transferências internacionais e a governação em geral (quais as medidas organizacionais e de TI a adotar), incluindo a nomeação de um encarregado da proteção de dados. Um elemento fundamental neste processo é assegurar o envolvimento dos mais altos níveis da gestão nestas revisões, assegurar que estes dão o seu contributo e que são regularmente informados e consultados acerca das alterações efetuadas à política de dados das empresas.

Para o efeito, alguns operadores recorrem a listas de controlo (quer internas quer externas), procuram aconselhar-se junto de empresas de consultoria e sociedades de advogados e procuram produtos que possam satisfazer os requisitos da proteção de dados desde a conceção e por defeito. Cada setor deve procurar definir mecanismos que sejam adequados à natureza específica da sua área e que estejam adaptados ao seu modelo de negócio.

As empresas e outras organizações de tratamento de dados também poderão tirar partido dos novos instrumentos previstos no regulamento como um elemento para demonstrar a conformidade, tais como códigos de conduta e mecanismos de certificação. Estes constituem abordagens ascendentes oriundas da comunidade empresarial, das associações e de outras organizações que representam categorias de responsáveis pelo tratamento ou subcontratantes e refletem as melhores práticas e desenvolvimentos importantes num dado setor ou podem informar acerca do nível de proteção de dados exigido por determinados produtos e serviços. O regulamento prevê um conjunto de regras otimizado para estes mecanismos, ao mesmo tempo que tem em conta as realidades do mercado (por exemplo, certificação por um organismo de certificação ou por uma autoridade de proteção de dados).

Contudo, embora as grandes empresas já se estejam a preparar ativamente para a aplicação das novas regras, muitas PME ainda não estão totalmente conscientes das regras de proteção de dados que estarão brevemente em vigor.

Em resumo, os operadores devem preparar-se e ajustar-se às novas regras e encarar o regulamento como:

·uma oportunidade para «porem a casa em ordem» no que se refere ao tipo de dados pessoais que tratam e da forma como estes são geridos;

·uma obrigação para desenvolver produtos que respeitem a privacidade e a proteção de dados e para construir uma nova relação com os seus clientes baseada na transparência e na confiança; e

·uma oportunidade para reiniciar as suas relações com as autoridades de proteção de dados por via da responsabilidade e da conformidade pró-ativa.

3.5 Informar as partes interessadas, em especial os cidadãos e as pequenas e médias empresas

O êxito do regulamento assenta na adequada sensibilização de todos aqueles que são afetados pelas novas regras (a comunidade empresarial e outras organizações de tratamento de dados, o setor público e os cidadãos). A nível nacional, a tarefa de sensibilizar e de ser o primeiro ponto de contacto para responsáveis pelo tratamento, subcontratantes e indivíduos recai sobretudo nas autoridades de proteção de dados. Enquanto garantes da aplicação efetiva das regras de proteção de dados no seu território, as autoridades de proteção de dados são também as entidades mais bem colocadas para explicar as alterações introduzidas pelo regulamento às empresas e ao setor público, bem como para informar os cidadãos dos seus direitos.

As autoridades de proteção de dados começaram a informar as partes interessadas em consonância com a abordagem nacional específica. Algumas realizaram seminários com as administrações públicas, incluindo a nível regional e local, e organizaram sessões de trabalho com os diferentes setores empresariais por forma a sensibilizá-los para as principais disposições do regulamento. Algumas organizaram programas de formação específicos para os encarregados da proteção de dados. A maior parte disponibiliza materiais de informação em vários formatos nos respetivos sítios web (listas de controlo, vídeos, etc.).

Contudo, o nível de sensibilização dos cidadãos para as alterações e o reforço dos direitos que as novas regras de proteção de dados implicarão ainda não é suficientemente generalizado. A iniciativa de formação e sensibilização encetada pelas autoridades de proteção de dados deve ser continuada e intensificada, com particular ênfase nas PME. Além disso, as administrações setoriais nacionais podem apoiar as atividades das autoridades de proteção de dados e, com base nos seus contributos, procurar chegar por sua própria iniciativa a diferentes partes interessadas.

4.Próximas etapas

Nos próximos meses, a Comissão pretende continuar a apoiar ativamente todos aqueles que intervêm na preparação para a aplicação do regulamento.

a) Trabalhar com os Estados-Membros

A Comissão continuará a trabalhar com os Estados-Membros até maio de 2018. A partir de maio de 2018, passará a monitorizar a aplicação das novas regras pelos Estados-Membros e tomará medidas adequadas se for necessário.

b) Novas orientações em linha em todas as línguas da UE e atividades de sensibilização

A Comissão está a disponibilizar materiais práticos de orientação 48 para ajudar as empresas, em especial as PME, as autoridades públicas e o público a cumprirem e a beneficiarem das novas regras em matéria de proteção de dados.

As orientações assumem a forma de uma ferramenta prática em linha, disponível em todas as línguas da UE. A ferramenta em linha será atualizada regularmente e destina-se a servir três públicos-alvo principais: cidadãos, empresas (em especial PME) e outras organizações, e administrações públicas. Inclui perguntas e respostas selecionadas com base nas opiniões obtidas das partes interessadas com exemplos práticos e hiperligações para várias fontes de informação (por exemplo, artigos do regulamento; orientações do Grupo de Trabalho do Artigo 29.º / Comité Europeu para a Proteção de Dados; e materiais desenvolvidos a nível nacional).

A Comissão atualizará regularmente a ferramenta, acrescentando perguntas e atualizando as respostas, com base nas opiniões obtidas e tendo em conta quaisquer novas questões decorrentes da aplicação.

As orientações serão promovidas através de uma campanha de informação e de atividades de divulgação em todos os Estados-Membros, visando empresas e o público.

Uma vez que o regulamento prevê o reforço dos direitos individuais, a Comissão irá igualmente participar em atividades de sensibilização e em eventos nos Estados-Membros para informar os cidadãos sobre os benefícios e o impacto do regulamento.

c) Apoio financeiro para campanhas e sensibilização a nível nacional

A Comissão está a apoiar os esforços de sensibilização e conformidade efetuados a nível nacional, atribuindo subvenções que podem ser utilizadas para ações de formação internas nas autoridades de proteção de dados, administrações públicas, profissões na área jurídica e encarregados da proteção de dados 49 e que visem a sua familiarização com o regulamento.

Serão atribuídos cerca de 1,7 milhões de EUR a seis beneficiários que abrangem mais de metade dos Estados-Membros da UE. O financiamento terá como alvo as autoridades públicas locais, incluindo encarregados da proteção de dados das autoridades públicas locais e do setor privado, juízes e advogados. As subvenções serão utilizadas para desenvolver materiais de formação destinados às autoridades de proteção de dados, aos encarregados da proteção de dados e a outros profissionais, bem como programas de «formação de formadores».

A Comissão emitiu também um convite à apresentação de propostas dirigido às autoridades de proteção de dados. Terá um orçamento total de 2 milhões de EUR e servirá para apoiá-las a fazer chegar a mensagem às partes interessadas 50 . O objetivo é cofinanciar em 80 % as medidas tomadas pelas autoridades de proteção de dados em 2018-2019 para ações de sensibilização junto das empresas, em especial das PME, que respondam às suas perguntas. Este financiamento também pode ser utilizado para ações de sensibilização junto do público em geral.

d) Avaliar a necessidade de recorrer aos poderes conferidos à Comissão

O regulamento 51 habilita a Comissão a emitir atos de execução ou atos delegados para apoiar ainda mais a aplicação das novas regras. A Comissão só recorrerá aos poderes que lhe foram conferidos quando existir um claro e inequívoco valor acrescentado e com base nas opiniões veiculadas pelas partes interessadas na consulta. Em especial, a Comissão está a estudar a questão da certificação com base num estudo encomendado a peritos externos e nos contributos e conselhos sobre esta questão do grupo de várias partes interessadas sobre o regulamento criado no final de 2017. O trabalho realizado pela Agência da União Europeia para a Segurança das Redes e da Informação (ENISA) no domínio da cibersegurança também será relevante neste contexto.

e) Integração do regulamento no Acordo EEE

A Comissão prosseguirá o seu trabalho com os três países EFTA (Islândia, Listenstaine e Noruega) no Espaço Económico Europeu (EEE) para integrar o regulamento no Acordo EEE 52 . Só quando a integração do regulamento estiver em vigor no acordo EEE é que os dados pessoais podem circular livremente entre a UE e os países do EEE da mesma forma como circulam entre os Estados-Membros da UE.

f) Saída do Reino Unido da UE

No contexto das negociações de um acordo de saída entre a UE e o Reino Unido com base no artigo 50.º do Tratado da União Europeia, a Comissão procurará alcançar o objetivo de assegurar que as disposições do direito da União em matéria de proteção dos dados pessoais aplicáveis no dia anterior à data de saída continuam a ser aplicáveis aos dados pessoais no Reino Unido tratados antes da data de saída 53 . Por exemplo, os indivíduos em causa devem continuar a ter o direito de serem informados, o direito de acesso, o direito de retificação, de apagamento e de restrição do tratamento, o direito à portabilidade dos dados, bem como o direito de se oporem ao tratamento e não ficarem sujeitos a uma decisão que se baseie exclusivamente no tratamento automático, com base nas disposições aplicáveis do direito da União na data de saída. Os dados pessoais referidos acima não devem ser conservados mais tempo do que o tempo necessário para as finalidades para as quais são tratados.

A partir da data de saída, e sujeitas a quaisquer disposições transitórias que possam ser incluídas num eventual acordo de saída, as regras do regulamento relativas às transferências de dados pessoais para países terceiros são aplicáveis no Reino Unido 54 .

g) Fazer um balanço da situação em maio de 2019

Depois de 25 de maio de 2018, a Comissão monitorizará de perto a aplicação das novas regras e estará pronta para agir caso surjam problemas significativos. Um ano após o regulamento começar a ser aplicado (2019), a Comissão organizará um evento para fazer um balanço das diferentes experiências das partes interessadas no que toca à aplicação do regulamento. Estas informações farão igualmente parte do relatório que a Comissão terá de elaborar, até maio de 2020, sobre a avaliação e revisão do regulamento. Este relatório centrar-se-á em especial nas transferências internacionais e nas disposições relativas à cooperação e à coerência que dizem respeito ao trabalho das autoridades de proteção de dados.

Conclusão

No dia 25 de maio, um novo conjunto único de regras em matéria de proteção de dados produzirá efeitos em toda a UE. O novo quadro beneficiará significativamente indivíduos, empresas, administrações públicas e outras organizações na mesma medida. Constituirá também uma oportunidade para a UE se tornar líder global na proteção de dados pessoais. Mas a reforma só terá êxito se todos os envolvidos assumirem as suas obrigações e os seus direitos.

Desde a adoção do regulamento, em maio de 2016, a Comissão tem colaborado ativamente com todos os intervenientes envolvidos — governos, autoridades nacionais, empresas, sociedade civil — com vista à aplicação das novas regras. Uma parte significativa do trabalho tem sido dedicada a assegurar a sensibilização alargada e a preparação total, mas ainda há muito para fazer. A preparação está a evoluir a várias velocidades nos diferentes Estados-Membros e junto dos vários intervenientes. Além disso, o conhecimento em relação aos benefícios e às oportunidades que as novas regras proporcionarão não está distribuído uniformemente. Existe uma necessidade particular de acelerar a sensibilização e os esforços de conformidade que lhe estão associados junto das PME.

Por conseguinte, a Comissão apela a todos os intervenientes em causa para que intensifiquem o trabalho em curso no sentido de assegurar a aplicação e a interpretação coerentes das novas regras em toda a UE e para que reforcem a sensibilização tanto junto das empresas com junto dos cidadãos. A Comissão apoiará estes esforços com financiamento e apoio administrativo e ajudará os esforços de sensibilização em geral, designadamente lançando um conjunto de instrumentos de orientação em linha.

Os dados são algo cada vez mais valioso para a economia atual e são fundamentais para a vida quotidiana dos cidadãos. As novas regras constituem uma oportunidade única tanto para as empresas como para o público. As empresas, em especial as de menor dimensão, poderão beneficiar de um conjunto de regras único e inovador e «pôr as suas casas em ordem» em termos de dados pessoais para reconquistar a confiança dos consumidores e usar isso como vantagem competitiva na UE. Os cidadãos poderão beneficiar de uma maior proteção em matéria de dados pessoais e conseguir maior controlo sobre a forma como os dados são tratados pelas empresas.

Num mundo moderno com uma economia digital em crescimento, a União Europeia, os seus cidadãos e as suas empresas devem estar totalmente preparados para colher os benefícios e compreender as consequências da economia de dados. O novo regulamento oferece os instrumentos necessários para preparar a Europa para o século XXI.

A Comissão pretende realizar as seguintes ações:

Em prol dos Estados-Membros

·A Comissão pretende continuar a trabalhar com os Estados-Membros para promover a coerência e limitar a fragmentação na aplicação do regulamento, tendo em conta a margem de manobra dos Estados-Membros para especificações ao abrigo da nova legislação;

·Depois de maio de 2018, a Comissão pretende acompanhar de perto a aplicação do regulamento nos Estados-Membros e tomar as medidas adequadas se necessário, incluindo recorrer a procedimentos por infração;

Em prol das autoridades de proteção de dados

·Até maio de 2018, a Comissão pretende apoiar o trabalho das autoridades de proteção de dados no contexto do Grupo de Trabalho do Artigo 29.º e na transição para o futuro Comité Europeu para a Proteção de Dados; depois de maio de 2018, pretende contribuir para o trabalho do Comité Europeu para a Proteção de Dados;

·Em 2018-2019, a Comissão pretende cofinanciar (orçamento total de 2 milhões de EUR) ações de sensibilização realizadas pelas autoridades de proteção de dados a nível nacional (projetos a executar a partir de meados de 2018);

Em prol das partes interessadas

·A Comissão pretende lançar uma ferramenta prática de orientação em linha que inclua perguntas e respostas destinadas aos cidadãos, às empresas e às administrações públicas. A Comissão pretende promover estas orientações junto dos públicos-alvo através de uma campanha de informação dirigida às empresas e ao público até maio de 2018 e posteriormente;

·Em 2018 e posteriormente, a Comissão pretende continuar a colaborar ativamente com as partes interessadas, designadamente através do grupo de várias partes interessadas sobre a aplicação do regulamento e nível de sensibilização para as novas regras;

Em prol de todos os intervenientes

·Em 2018-2019, a Comissão pretende avaliar a necessidade de recorrer aos poderes que lhe foram conferidos para adotar atos delegados ou atos de execução;

·Em maio de 2019, a Comissão pretende fazer um balanço da aplicação do regulamento e elaborará um relatório sobre a aplicação das novas regras em 2020.

(1) Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados), JO L 119 de 4.5.2016.

(2) Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, JO L 281 de 23.11.1995.

(3) Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI do Conselho, JO L 119 de 4.5.2016.

(4) O regulamento está em vigor desde 24 de maio de 2016 e será aplicável a partir de 25 de maio de 2018.

(5) Artigo 8.º da Carta dos Direitos Fundamentais da UE e artigo 16.º do TFUE.

(6) https://ec.europa.eu/commission/sites/beta-political/files/letter-of-intent-2017_pt.pdf .

(7) Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas), JO L 201 de 31.7.2002, p. 37-47. De acordo com o artigo 95.º do RGPD, este regulamento não impõe obrigações suplementares a pessoas singulares ou coletivas no que respeita aos aspetos em que estão vinculados a obrigações específicas com o mesmo objetivo previsto na Diretiva 2002/58/CE. Isto significa, por exemplo, que as entidades abrangidas pela Diretiva Privacidade Eletrónica estão sujeitas à obrigação de notificar uma violação de dados pessoais, na medida em que a infração diga respeito a um serviço que está materialmente abrangido pela Diretiva Privacidade Eletrónica. O RGPD não impõe obrigações adicionais a este respeito.

(8) Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União, JO L 194 de 19.7.2016, p. 1. As entidades abrangidas pelo âmbito de aplicação desta diretiva devem notificar incidentes que tenham um impacto significativo ou substancial na prestação de alguns dos seus serviços. A notificação de incidentes ao abrigo desta diretiva não prejudica a notificação de violações ao abrigo do regulamento.

(9) Artigo 35.º do regulamento.

(10) Comunicação da Comissão intitulada «Intercâmbio e proteção de dados pessoais num mundo globalizado», COM(2017) 7 final.

(11) Proposta de regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento dos dados pessoais pelas instituições, órgãos, organismos e agências da União e à livre circulação desses dados e que revoga o Regulamento (CE) n.º 45/2001 e a Decisão n.º 1247/2002/CE, COM(2017) 8 final.

(12) Proposta de regulamento do Parlamento Europeu e do Conselho relativo ao respeito pela vida privada e à proteção dos dados pessoais nas comunicações eletrónicas e que revoga a Diretiva 2002/58/CE (Regulamento relativo à privacidade e às comunicações eletrónicas), COM(2017) 10 final.

(13) Até à adoção e entrada em vigor do Regulamento Privacidade e Comunicações Eletrónicas, a Diretiva 2002/58/CE é aplicável enquanto lex specialis ao regulamento.

(14) Está disponível uma lista completa de reuniões, ordens do dia e sínteses de debates, bem como informações gerais sobre a situação da legislação nos diferentes Estados-Membros, em http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3461&Lang=PT .

(15) Por exemplo, a Comissão dará ao Comité Europeu para a Proteção de Dados a possibilidade de utilizar o Sistema de Informação do Mercado Interno (IMI) para a comunicação entre os seus membros.

(16) Documento de reflexão «Controlar a Globalização», COM(2017) 240 final.

(17) Convenção do Conselho da Europa para a Proteção das Pessoas Singulares no que diz respeito ao Tratamento Automatizado de Dados Pessoais, de 28 de janeiro de 1981 (STE n.º 108) e Protocolo Adicional à Convenção para a Proteção das Pessoas Singulares no que diz respeito ao Tratamento Automatizado de Dados Pessoais, de 2001, relativo às autoridades de controlo e à circulação transfronteiriça de dados (STE n.º 181). A convenção, que está aberta a países que não sejam membros do Conselho da Europa, já foi ratificada por 51 países (incluindo o Uruguai, Maurícia, Senegal e Tunísia).

(18) Ver, por exemplo, as normas de proteção de dados dos países ibero-americanos, http://www.redipd.es/documentacion/common/Estandares_eng_Con_logo_RIPD.pdf

(19) COM(2017) 7 final.

(20) COM(2017) 7 final, p. 10-11.

(21) http://europa.eu/rapid/press-release_STATEMENT-17-1917_en.htm .

(22) COM(2017) 7 final, p. 10-11.

(23)

Duas sessões de trabalho com a indústria em julho de 2016 e abril de 2017, duas mesas-redondas com empresas em dezembro de 2016 e maio de 2017, uma sessão de trabalho sobre dados no domínio da saúde em outubro de 2017 e uma sessão de trabalho com representantes das PME em novembro de 2017.

(24) http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3537&Lang=PT .

(25) https://ec.europa.eu/programmes/horizon2020/h2020-sections

(26) Todas as orientações adotadas podem ser consultadas em: http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083.

(27) Artigo 288.º do TFUE.

(28) Artigo 54.º, n.º 1, do regulamento.

(29) O artigo 43.º, n.º 1, do regulamento prevê que os Estados-Membros podem oferecer dois possíveis métodos de acreditação, ou seja, pela autoridade nacional de controlo da proteção dos dados criada em conformidade com a legislação relativa à proteção de dados e/ou pelo organismo nacional de acreditação criado ao abrigo do Regulamento (CE) n.º 765/2008 relativo à acreditação e fiscalização do mercado. A Cooperação Europeia para a Acreditação (designada «EA» e reconhecida ao abrigo do Regulamento (CE) n.º 765/2008), que reúne os organismos de acreditação nacionais, e as autoridades de controlo do RGPD devem cooperar estreitamente para o efeito.

(30) Artigo 85.º, n.º 1, do regulamento.

(31) Artigo 6.º, n.º 2, do regulamento.

(32) Artigos 88.º e 9.º, n.º 2, alínea b), do regulamento. O Pilar Europeu dos Direitos Sociais também prevê que «os trabalhadores têm direito à proteção dos seus dados pessoais no âmbito do trabalho». (2017/C 428/09, JO C 428 de 13.12.2017, p. 10–15).

(33) Artigo 9.º, n.º 2, alíneas h) e i), do regulamento.

(34) Artigo 9.º, n.º 2, alínea j), do regulamento.

(35) Artigo 87.º do regulamento.

(36) Artigo 86.º do regulamento.

(37) Artigo 90.º do regulamento.

(38) Artigo 9.º, n.º 4, do regulamento.

(39) Processo 94/77, Fratelli Zerbone Snc / Amministrazione delle finanze dello Stato, ECLI:EU:C:1978:17 e 101.

(40) Considerando 8 do regulamento.

(41) Áustria ( http://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2017_I_120/BGBLA_2017_I_120.pdf );
Alemanha ( https://www.bgbl.de/xaver/bgbl/start.xav?start=%2F%2F*%5B%40attr_id%3D%27bgbl117s2097.pdf%27 %5D#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl117s2097.pdf%27 %5D__1513091793362 ).

(42) Para ter uma perspetiva geral da situação do processo legislativo nos diferentes Estados-Membros, consultar http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3461&Lang=PT

(43) O Comité Europeu para a Proteção de Dados será um organismo da UE com personalidade jurídica responsável por assegurar a aplicação coerente do regulamento. Será composto pelo diretor de uma autoridade de controlo de cada Estado-Membro e da Autoridade Europeia para a Proteção de Dados, ou pelos respetivos representantes.

(44) Considerando 117, previamente referido no considerando 62 da Diretiva 95/46/CE.

(45) Comunicação da Comissão ao Parlamento Europeu e ao Conselho sobre o acompanhamento do programa de trabalho para uma melhor aplicação da Diretiva relativa à proteção de dados, COM(2007) 87 final, de 7 de março de 2007.

(46) Artigo 52.º do regulamento.

(47) Artigo 52.º, n.º 4, do regulamento.

(48) As orientações contribuirão para uma melhor compreensão das regras da UE em matéria de proteção de dados, mas o texto do regulamento é o único com valor jurídico. Consequentemente, o regulamento é o único capaz de criar direitos e obrigações para os indivíduos.

(49) Subvenções atribuídas ao abrigo do programa Direitos e Cidadania 2016 https://ec.europa.eu/research/participants/portal/desktop/en/opportunities/rec/calls/rec-data-2016.html#c,topics=callIdentifier/t/REC-DATA-2016/1/1/1/default-group&callStatus/t/Forthcoming/1/1/0/default-group&callStatus/t/Open/1/1/0/default-group&callStatus/t/Closed/1/1/0/default-group&+identifier/desc .

(50) http://ec.europa.eu/research/participants/portal/desktop/en/opportunities/rec/topics/rec-rdat-trai-ag-2017.html

(51) Ato delegado determinando as informações a fornecer por meio dos ícones e os procedimentos aplicáveis ao fornecimento de ícones normalizados (artigo 12.º, n.º 8, do regulamento); ato delegado especificando os requisitos a ter em conta relativamente aos procedimentos de certificação (artigo 43.º, n.º 8, do regulamento); ato de execução estabelecendo normas técnicas para os procedimentos de certificação e os selos e marcas em matéria de proteção de dados, e regras para promover e reconhecer esses procedimentos de certificação, selos e marcas (artigo 43.º, n.º 9, do regulamento); ato de execução especificando o formato e os procedimentos de intercâmbio de informações entre os responsáveis pelo tratamento, os subcontratantes e as autoridades de controlo no que respeita às regras vinculativas aplicáveis às empresas (artigo 47.º, n.º 3, do regulamento); atos de execução especificando o formato e os procedimentos para a assistência mútua, bem como as regras de intercâmbio por meios eletrónicos de informações entre as autoridades de controlo (artigos 61.º, n.º 9, e 67.º do regulamento).

(52) Para mais informações sobre a situação, consultar http://www.efta.int/eea-lex/32016R0679.

(53) https://ec.europa.eu/commission/publications/position-paper-use-data-and-protection-information-obtained-or-processed-withdrawal-date_en

(54) Consultar a notificação das partes interessadas pela Comissão: saída do Reino Unido e regras da UE no domínio da proteção de dados (http://ec.europa.eu/newsroom/just/document.cfm?action=display&doc_id=49245).