Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Summaries of EU Legislation

Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União Europeia

SÍNTESE DE:

Regulamento (UE) 2018/1725 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados

QUAL É O OBJETIVO DESTE REGULAMENTO?

O regulamento:

  • estabelece regras relativas à forma como as instituições, organismos e órgãos da União Europeia (UE) deverão tratar os dados pessoais1 que detenham sobre pessoas;
  • defende os direitos e as liberdades fundamentais das pessoas, especialmente o direito de proteção dos dados pessoais e o direito à privacidade;
  • alinha as regras aplicáveis às instituições, órgãos e organismos da UE com as do regulamento geral sobre a proteção de dados (RGPD) e da Diretiva (UE) 2016/680, conhecida como diretiva de aplicação da lei (DAL) de proteção de dados, que são aplicáveis desde maio de 2018;
  • revoga o Regulamento (CE) n.o 45/2001, que continha anteriormente as regras relativas ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da UE, e assegura que estes cumprem as normas estritas estabelecidas no RGPD;
  • revoga a Decisão n.o 1247/2002/CE relativa à Autoridade Europeia para a Proteção de Dados (AEPD).

PONTOS-CHAVE

Os dados pessoais devem ser:

  • tratados de forma lícita, leal e transparente;
  • recolhidos para finalidades determinadas, explícitas e legítimas;
  • adequados, pertinentes e limitados ao que é necessário;
  • exatos e, se necessário, atualizados;
  • conservados de forma a permitir a identificação das pessoas em causa apenas durante o período necessário;
  • tratados com adequada confidencialidade.

O responsável pelo tratamento2 é responsável por todos os princípios de tratamento de dados acima enunciados, devendo conseguir demonstrar o respetivo cumprimento.

Além disso, os dados pessoais:

  • apenas podem ser transmitidos a destinatários na UE que não sejam instituições, órgãos ou organismos da UE sob reserva de garantias adicionais;
  • apenas podem ser transferidos para fora da UE em condições estritas;
  • que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical de uma pessoa, bem como o tratamento de dados genéticos, de dados biométricos para identificar uma pessoa de forma inequívoca, de dados relativos à saúde ou de dados relativos à vida sexual ou à orientação sexual de uma pessoa não podem ser tratados, exceto em circunstâncias especiais;
  • precisam de garantias adequadas se forem arquivados no interesse público ou para fins científicos, históricos ou estatísticos.

Os pedidos de consentimento de uma pessoa para a utilização dos seus dados devem ser apresentados de modo inteligível e de fácil acesso e numa linguagem clara e simples. O consentimento deve constituir um ato positivo claro da pessoa.

As pessoas (conhecidas como «titulares dos dados» na legislação) têm o direito de:

  • retirar o seu consentimento a qualquer momento, o que deve ser tão fácil como a sua concessão;
  • saber se os seus dados pessoais estão a ser tratados ou não e ter acesso aos mesmos;
  • obter a correção de quaisquer dados pessoais inexatos;
  • suprimir ou limitar quaisquer dados pessoais do tratamento desde que sejam cumpridas certas condições;
  • receber os dados pessoais que lhe digam respeito e que tenham fornecido ao responsável pelo tratamento dos dados num formato estruturado, de uso corrente e de leitura automática e transmiti-los a outro responsável pelo tratamento dos dados;
  • se opor à utilização dos seus dados pessoais para fins de interesse público em virtude da sua situação particular;
  • não ficarem sujeitas a decisões tomadas exclusivamente com base no tratamento automatizado de dados, que tenham consequências jurídicas para as mesmas;
  • reclamar junto da AEPD caso considerem que os seus dados pessoais estão a ser tratados de um modo que viola o regulamento;
  • ser indemnizadas por quaisquer danos materiais ou imateriais que sofram devido às ações de uma instituição, órgão ou organismo da UE;
  • mandatar uma organização sem fins lucrativos para apresentar uma reclamação à AEPD.

Os responsáveis pelo tratamento:

  • têm de informar os titulares dos dados, numa linguagem simples e com informações factuais, tais como os contactos dos responsáveis pelo tratamento de dados e a finalidade do exercício, aquando da recolha dos dados pessoais;
  • devem responder a quaisquer pedidos dos titulares dos dados, tais como pedidos de acesso aos seus dados pessoais ou de retificação dos mesmos, o mais cedo possível e no prazo máximo de um mês;
  • aplicam medidas técnicas e organizativas, incluindo a pseudonimização3, para assegurar que o tratamento dos dados pessoais cumpre o regulamento;
  • devem apenas utilizar subcontratantes que cumpram os requisitos da UE;
  • conservam registos pormenorizados do tratamento de dados sob a sua responsabilidade;
  • cooperam com a AEPD;
  • notificam a AEPD e, em alguns casos, a pessoa em causa o mais cedo possível de qualquer violação de dados pessoais;
  • levam a cabo a avaliação do impacto da proteção de dados relativamente ao tratamento de determinados dados pessoais de alto risco;
  • asseguram a confidencialidade e a segurança das suas redes de comunicações eletrónicas;
  • informam a AEPD aquando da elaboração de medidas administrativas ou de regras internas sobre o tratamento de dados pessoais.

A legislação cria a posição da AEPD, nomeada para um mandato de 5 anos renovável uma vez. Estabelecida em Bruxelas, a pessoa titular do cargo:

  • atua com total independência;
  • trata toda a informação confidencial com sigilo profissional;
  • controla a forma como as instituições, órgãos e organismos da UE aplicam a legislação;
  • promove a sensibilização do público e a sua compreensão do tratamento de dados pessoais;
  • trata as reclamações e realiza investigações;
  • adverte e sanciona os responsáveis pelo tratamento dos dados;
  • remete questões para o Tribunal de Justiça, que trata de quaisquer litígios sobre a legislação;
  • apresenta um relatório anual ao Parlamento Europeu, ao Conselho e à Comissão Europeia;
  • coopera com as autoridades nacionais de controlo da proteção de dados.

Regulamento interno da AEPD

Uma decisão de adota o regulamento interno da AEPD. Estabelece de forma pormenorizada:

  • a missão, os princípios orientadores e a organização da AEPD;
  • a forma como efetuará o controlo e a execução do regulamento;
  • procedimentos para a respetiva consulta legislativa, acompanhamento tecnológico, projetos de investigação e processos judiciais; e
  • procedimentos de cooperação com as autoridades nacionais de controlo e cooperação internacional.

Regras especiais aplicáveis a órgãos e organismos da UE

As regras especiais aplicam-se aos órgãos e organismos da UE que tratam dados pessoais operacionais4 com o fim de aplicar a lei (por ex., a Eurojust). São abrangidos por um capítulo específico do regulamento. As regras deste capítulo estão alinhadas com a DAL. Acresce que, nos atos constitutivos destes órgãos e organismos, podem ser estabelecidas regras mais específicas para ter em conta as suas características especiais.

O tratamento dos dados pessoais operacionais pela Europol e pela Procuradoria Europeia exclui-se do âmbito do regulamento e, alternativamente, é regido por disposições específicas nos atos jurídicos que o estabelece. No entanto, o tratamento de dados pessoais administrativos (p. ex., para a gestão do pessoal) está sujeito ao regulamento.

Encarregados da proteção de dados

Os responsáveis pelo tratamento também nomeiam um encarregado da proteção de dados para um mandato de três a cinco anos para:

  • prestar aconselhamento independente sobre o tratamento de dados pessoais;
  • controlar o cumprimento das regras de proteção de dados.

Relatórios

A Comissão Europeia deve submeter o seu primeiro relatório sobre o impacto do presente regulamento até .

A PARTIR DE QUANDO É APLICÁVEL O REGULAMENTO?

O regulamento é aplicável desde , exceto no que respeita ao tratamento de dados pessoais pela Eurojust, em que é aplicável desde .

CONTEXTO

O artigo 8.o da Carta dos Direitos Fundamentais declara que todas as pessoas têm direito à proteção dos dados de caráter pessoal. O artigo 16.o do Tratado sobre o Funcionamento da UE aprofunda esse direito. Este artigo constitui a base legal de qualquer legislação da UE sobre proteção de dados.

Para mais informações, consultar:

PRINCIPAIS TERMOS

  1. Dados pessoais. Quaisquer informações relativas a uma pessoa identificada ou identificável.
  2. Responsável pelo tratamento. Qualquer instituição, órgão ou organismo da UE ou a sua entidade organizativa que determine os meios e as finalidades de tratamento dos dados pessoais.
  3. Pseudonimização. Tratamento de dados pessoais de forma que uma pessoa não possa ser identificada sem recorrer a informações suplementares mantidas noutro local.
  4. Dados pessoais operacionais. Todos os dados pessoais tratados com o fim de exercer funções de aplicação da lei.

PRINCIPAL DOCUMENTO

Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de , relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE (JO L 295 de , p. 39-98).

última atualização

Top