| 9.11.2017 | EN | Official Journal of the European Union | C 378/399 | 9.11.2017 | PT | Jornal Oficial da União Europeia | C 378/399 |
| P7_TA(2014)0212 | P7_TA(2014)0212 |
| Protection of individuals with regard to the processing of personal data ***I | Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais ***I |
| European Parliament legislative resolution of 12 March 2014 on the proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) (COM(2012)0011 — C7-0025/2012 — 2012/0011(COD)) | Resolução legislativa do Parlamento Europeu, de 12 de março de 2014, sobre a proposta de regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (regulamento geral de proteção de dados) (COM(2012)0011 — C7-0025/2012 — 2012/0011(COD)) |
| (Ordinary legislative procedure: first reading) | (Processo legislativo ordinário: primeira leitura) |
| (2017/C 378/55) | (2017/C 378/55) |
| The European Parliament, | O Parlamento Europeu, |
| — | having regard to the Commission proposal to Parliament and the Council (COM(2012)0011), | — | Tendo em conta a proposta da Comissão ao Parlamento e ao Conselho (COM(2012)0011), |
| — | having regard to Article 294(2) and Articles 16(2) and 114(1) of the Treaty on the Functioning of the European Union, pursuant to which the Commission submitted the proposal to Parliament (C7-0025/2012), | — | Tendo em conta o n.o 2 do artigo 294.o, o n.o 2 do artigo 16.o e o n.o 1 do artigo 114.o do Tratado sobre o Funcionamento da União Europeia, nos termos dos quais a Comissão apresentou a proposta ao Parlamento (C7-0025/2012), |
| — | having regard to Article 294(3) of the Treaty on the Functioning of the European Union, | — | Tendo em conta o artigo 294.o, n.o 3, do Tratado sobre o Funcionamento da União Europeia, |
| — | having regard to the reasoned opinions submitted, within the framework of Protocol No 2 on the application of the principles of subsidiarity and proportionality, by the Belgian Chamber of Representatives, the German Bundesrat, the French Senate, the Italian Chamber of Deputies and the Swedish Parliament, asserting that the draft legislative act does not comply with the principle of subsidiarity, | — | Tendo em conta os pareceres fundamentados apresentados, no âmbito do Protocolo n.o 2 relativo à aplicação dos princípios da subsidiariedade e da proporcionalidade, pela Câmara dos Representantes belga, pelo Bundesrat alemão, pelo Senado francês, pela Câmara dos Deputados italiana e pelo Parlamento sueco, segundo os quais o projeto de ato legislativo não respeita o princípio da subsidiariedade, |
| — | having regard to the opinion of the European Economic and Social Committee of 23 May 2012 (1), | — | Tendo em conta o parecer do Comité Económico e Social Europeu de 23 de maio de 2012 (1), |
| — | after consulting the Committee of the Regions, | — | Após consulta ao Comité das Regiões, |
| — | having regard to the opinion of the European Data Protection Supervisor of 7 March 2012 (2), | — | Tendo em conta o parecer da Autoridade Europeia para a Proteção de Dados, de 7 de março de 2012 (2), |
| — | having regard to the opinion of the European Union Agency for Fundamental Rights of 1 October 2012, | — | Tendo em conta o parecer da Agência Europeia dos Direitos Fundamentais, de 1 de outubro de 2012, |
| — | having regard to Rule 55 of its Rules of Procedure, | — | Tendo em conta o artigo 55.o do seu Regimento, |
| — | having regard to the report of the Committee on Civil Liberties, Justice and Home Affairs and the opinions of the Committee on Employment and Social Affairs, the Committee on Industry, Research and Energy, the Committee on the Internal Market and Consumer Protection and the Committee on Legal Affairs (A7-0402/2013), | — | Tendo em conta o relatório da Comissão das Liberdades Cívicas, da Justiça e dos Assuntos Internos e os pareceres da Comissão do Emprego e dos Assuntos Sociais, da Comissão da Indústria, da Investigação e da Energia, da Comissão do Mercado Interno e da Proteção dos Consumidores e da Comissão dos Assuntos Jurídicos (A7-0402/2013), |
| 1. | Adopts its position at first reading hereinafter set out; | 1. | Aprova em primeira leitura a posição que se segue; |
| 2. | Calls on the Commission to refer the matter to Parliament again if it intends to amend its proposal substantially or replace it with another text; | 2. | Requer à Comissão que lhe submeta de novo a sua proposta se pretender alterá-la substancialmente ou substituí-la por um outro texto; |
| 3. | Instructs its President to forward its position to the Council, the Commission and the national parliaments. | 3. | Encarrega o seu Presidente de transmitir a posição do Parlamento ao Conselho, à Comissão e aos parlamentos nacionais. |
| (1) OJ C 229, 31.7.2012, p. 90. | (1) JO C 229 de 31.7.2012, p. 90. |
| (2) OJ C 192, 30.6.2012, p. 7. | (2) JO C 192 de 30.6.2012, p. 7. |
| P7_TC1-COD(2012)0011 | P7_TC1-COD(2012)0011 |
| Position of the European Parliament adopted at first reading on 12 March 2014 with a view to the adoption of Regulation (EU) No …/2014 of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) | Posição do Parlamento Europeu aprovada em primeira leitura em 12 de março de 2014 tendo em vista a adoção do Regulamento (UE) n.o …/2014 do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (regulamento geral sobre a proteção de dados) |
| (Text with EEA relevance) | (Texto relevante para efeitos do EEE) |
| THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION, | O PARLAMENTO EUROPEU E O CONSELHO DA UNIÃO EUROPEIA, |
| Having regard to the Treaty on the Functioning of the European Union, and in particular Article 16(2) and Article 114(1) thereof, | Tendo em conta o Tratado sobre o Funcionamento da União Europeia, nomeadamente o artigo 16.o, n.o 2, e o artigo 114.o, n.o 1, |
| Having regard to the proposal from the European Commission, | Tendo em conta a proposta da Comissão Europeia, |
| After transmission of the draft legislative act to the national parliaments, | Após transmissão do projeto de ato legislativo aos parlamentos nacionais, |
| Having regard to the opinion of the European Economic and Social Committee (1), | Tendo em conta o parecer do Comité Económico e Social Europeu (1), |
| After consulting the Committee of the Regions, | Após consulta do Comité das Regiões, |
| Having regard to the opinion of the European Data Protection Supervisor (2) | Tendo em conta o parecer da Autoridade Europeia para a Proteção de Dados (2), |
| Acting in accordance with the ordinary legislative procedure (3) | Deliberando de acordo com o processo legislativo ordinário (3), |
| Whereas: | Considerando o seguinte: |
| (1) | The protection of natural persons in relation to the processing of personal data is a fundamental right. Article 8(1) of the Charter of Fundamental Rights of the European Union (‘Charter’) and Article 16(1) of the Treaty lay down that everyone has the right to the protection of personal data concerning him or her. | (1) | A proteção das pessoas singulares relativamente ao tratamento de dados pessoais é um direito fundamental. O artigo 8.o, n.o 1, da Carta dos Direitos Fundamentais da União Europeia («Carta») e o artigo 16.o, n.o 1, do Tratado sobre o Funcionamento da União Europeia estabelecem que todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito. |
| (2) | The processing of personal data is designed to serve man; the principles and rules on the protection of individuals with regard to the processing of their personal data should, whatever the nationality or residence of natural persons, respect their fundamental rights and freedoms, notably their right to the protection of personal data. It should contribute to the accomplishment of an area of freedom, security and justice and of an economic union, to economic and social progress, the strengthening and the convergence of the economies within the internal market, and the well-being of individuals. | (2) | O tratamento dos dados pessoais é concebido para servir as pessoas; os princípios e as regras em matéria de proteção das pessoas singulares relativamente ao tratamento dos seus dados pessoais devem respeitar, portanto, independentemente da nacionalidade ou do local de residência dessas pessoas, os seus direitos e liberdades fundamentais, particularmente o direito à proteção dos dados pessoais. O tratamento dos dados deve contribuir para a realização de um espaço de liberdade, segurança e justiça e de uma união económica, o progresso económico e social, a consolidação e a convergência das economias a nível do mercado interno e para o bem-estar das pessoas. |
| (3) | Directive 95/46/EC of the European Parliament and of the Council (4) seeks to harmonise the protection of fundamental rights and freedoms of natural persons in respect of processing activities and to guarantee the free flow of personal data between Member States. | (3) | A Diretiva 95/46/CE do Parlamento Europeu e do Conselho (4), visa harmonizar a proteção dos direitos e das liberdades fundamentais das pessoas singulares em relação às atividades de tratamento de dados e assegurar a livre circulação de dados pessoais entre os Estados-Membros. |
| (4) | The economic and social integration resulting from the functioning of the internal market has led to a substantial increase in cross-border flows. The exchange of data between economic and social, public and private actors across the Union increased. National authorities in the Member States are being called upon by Union law to co-operate and exchange personal data so as to be able to perform their duties or carry out tasks on behalf of an authority in another Member State. | (4) | A integração económica e social resultante do funcionamento do mercado interno provocou um aumento significativo dos fluxos transfronteiriços. O intercâmbio de dados entre os intervenientes económicos e sociais, públicos e privados, intensificou-se na União Europeia. As autoridades nacionais dos Estados-Membros são chamadas, por força do direito da União, a colaborar e a trocar entre si dados pessoais, a fim de poderem desempenhar as suas missões ou executar funções por conta de uma autoridade de outro Estado-Membro. |
| (5) | Rapid technological developments and globalisation have brought new challenges for the protection of personal data. The scale of data sharing and collecting has increased spectacularly. Technology allows both private companies and public authorities to make use of personal data on an unprecedented scale in order to pursue their activities. Individuals increasingly make personal information available publicly and globally. Technology has transformed both the economy and social life, and requires to further facilitate the free flow of data within the Union and the transfer to third countries and international organisations, while ensuring an high level of the protection of personal data. | (5) | A rápida evolução tecnológica e a globalização criaram novos desafios em matéria de proteção de dados pessoais. A partilha e a recolha de dados registaram um espetacular aumento. As novas tecnologias permitem às empresas privadas e às entidades públicas a utilização de dados pessoais numa escala sem precedentes no exercício das suas atividades. As pessoas disponibilizam cada vez mais as suas informações pessoais de uma forma pública e global. As novas tecnologias transformaram a economia e a vida social, e exigem maior facilidade na livre circulação de dados na União e na transferência para países terceiros e organizações internacionais, assegurando simultaneamente um elevado nível de proteção dos dados pessoais. |
| (6) | These developments require building a strong and more coherent data protection framework in the Union, backed by strong enforcement, given the importance to create the trust that will allow the digital economy to develop across the internal market. Individuals should have control of their own personal data and legal and practical certainty for individuals, economic operators and public authorities should be reinforced. | (6) | Esta evolução exige o estabelecimento de um quadro de proteção de dados sólido e mais coerente na União, apoiado por uma aplicação rigorosa das regras, pois é importante gerar confiança para permitir o desenvolvimento da economia digital no conjunto do mercado interno. As pessoas singulares devem poder controlar a utilização que é feita dos seus dados pessoais, e deve ser reforçada a segurança jurídica e prática para as pessoas singulares, os operadores económicos e as autoridades públicas. |
| (7) | The objectives and principles of Directive 95/46/EC remain sound, but it has not prevented fragmentation in the way data protection is implemented across the Union, legal uncertainty and a widespread public perception that there are significant risks for the protection of individuals associated notably with online activity. Differences in the level of protection of the rights and freedoms of individuals, notably to the right to the protection of personal data, with regard to the processing of personal data afforded in the Member States may prevent the free flow of personal data throughout the Union. These differences may therefore constitute an obstacle to the pursuit of economic activities at the level of the Union, distort competition and impede authorities in the discharge of their responsibilities under Union law. This difference in levels of protection is due to the existence of differences in the implementation and application of Directive 95/46/EC. | (7) | Os objetivos e os princípios da Diretiva 95/46/CE continuam a ser válidos, mas não evitaram a fragmentação de execução da proteção dos dados a nível da UE, bem como a insegurança jurídica e o sentimento generalizado na opinião pública de que subsistem riscos significativos, particularmente nas atividades em linha. As diferenças entre os Estados-membros quanto ao nível de proteção dos direitos e das liberdades das pessoas, nomeadamente do direito à proteção dos dados pessoais, no que respeita ao tratamento desses dados, podem impedir a livre circulação de dados pessoais no conjunto da União. Estas diferenças podem, por conseguinte, constituir um obstáculo ao exercício das atividades económicas a nível da UE, falsear a concorrência e impedir as autoridades de cumprirem as obrigações que lhes incumbem por força do direito da União. Estas diferenças nos níveis de proteção devem-se à existência de disparidades na execução e aplicação da Diretiva 95/46/CE. |
| (8) | In order to ensure consistent and high level of protection of individuals and to remove the obstacles to flows of personal data, the level of protection of the rights and freedoms of individuals with regard to the processing of such data should be equivalent in all Member States. Consistent and homogenous application of the rules for the protection of the fundamental rights and freedoms of natural persons with regard to the processing of personal data should be ensured throughout the Union. | (8) | Para assegurar um nível de proteção coerente e elevado das pessoas singulares e eliminar os obstáculos à circulação de dados pessoais, o nível de proteção dos direitos e liberdades das pessoas singulares relativamente ao tratamento desses dados deve ser equivalente em todos os Estados-Membros. É conveniente assegurar no conjunto da União a aplicação coerente e homogénea das regras de proteção das liberdades e dos direitos fundamentais das pessoas singulares no que diz respeito ao tratamento de dados pessoais. |
| (9) | Effective protection of personal data throughout the Union requires strengthening and detailing the rights of data subjects and the obligations of those who process and determine the processing of personal data, but also equivalent powers for monitoring and ensuring compliance with the rules for the protection of personal data and equivalent sanctions for offenders in the Member States. | (9) | Uma proteção eficaz dos dados pessoais na União exige não só o reforço e a especificação dos direitos dos titulares de dados e das obrigações dos responsáveis pelo tratamento e definição do tratamento de dados pessoais, mas também poderes equivalentes para controlar e assegurar a conformidade das regras de proteção dos dados pessoais e sanções equivalentes para os infratores nos Estados-Membros. |
| (10) | Article 16(2) of the Treaty mandates the European Parliament and the Council to lay down the rules relating to the protection of individuals with regard to the processing of personal data and the rules relating to the free movement of personal data. | (10) | O artigo 16.o, n.o 2, do Tratado incumbe o Parlamento Europeu e o Conselho de estabelecerem as normas relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais, bem como as normas relativas à livre circulação desses dados. |
| (11) | In order to ensure a consistent level of protection for individuals throughout the Union and to prevent divergences hampering the free movement of data within the internal market, a Regulation is necessary to provide legal certainty and transparency for economic operators, including micro, small and medium-sized enterprises, and to provide individuals in all Member States with the same level of legally enforceable rights and obligations and responsibilities for controllers and processors, to ensure consistent monitoring of the processing of personal data, and equivalent sanctions in all Member States as well as effective co-operation by the supervisory authorities of different Member States. To take account of the specific situation of micro, small and medium-sized enterprises, this Regulation includes a number of derogations. In addition, the Union institutions and bodies, Member States and their supervisory authorities are encouraged to take account of the specific needs of micro, small and medium-sized enterprises in the application of this Regulation. The notion of micro, small and medium-sized enterprises should draw upon Commission Recommendation 2003/361/EC (5). | (11) | A fim de assegurar um nível coerente de proteção das pessoas singulares no conjunto da União e evitar que as divergências constituam um obstáculo à livre circulação de dados no mercado interno, é necessário um regulamento que assegure a segurança jurídica e a transparência aos operadores económicos, incluindo as micro, pequenas e médias empresas, que assegure às pessoas singulares de todos os Estados-Membros um mesmo nível de direitos suscetíveis de proteção judicial e obrigações e responsabilidades iguais para os responsáveis pelo tratamento e subcontratantes, que assegure um controlo coerente do tratamento de dados pessoais, sanções equivalentes em todos os Estados-Membros, bem como uma cooperação efetiva entre as autoridades de controlo dos diferentes Estados-Membros. Para ter em conta a situação particular das micro, pequenas e médias empresas, o presente regulamento inclui um determinado número de derrogações. Além disso, as instituições e os órgãos da União, os Estados-Membros e as suas autoridades de controlo são incentivados a tomar em consideração as necessidades específicas das micro, pequenas e médias empresas no âmbito de aplicação do presente regulamento. Para definir a noção de micro, pequenas e médias empresas, é conveniente ter em conta a Recomendação 2003/361/CE da Comissão (5). |
| (12) | The protection afforded by this Regulation concerns natural persons, whatever their nationality or place of residence, in relation to the processing of personal data. With regard to the processing of data which concern legal persons and in particular undertakings established as legal persons, including the name and the form of the legal person and the contact details of the legal person, the protection of this Regulation should not be claimed by any person. This should also apply where the name of the legal person contains the names of one or more natural persons. | (12) | A proteção conferida pelo presente regulamento diz respeito às pessoas singulares, independentemente da sua nacionalidade ou local de residência, relativamente ao tratamento de dados pessoais. No que respeita ao tratamento de dados relativos a pessoas coletivas e, em especial, empresas estabelecidas na qualidade de pessoas coletivas, incluindo a denominação, a forma jurídica e as coordenadas da pessoa coletiva, a proteção conferida pelo presente regulamento não pode ser invocada. Tal deve ser igualmente o caso sempre que a denominação da pessoa coletiva incluir os nomes de uma ou mais pessoas singulares. |
| (13) | The protection of individuals should be technologically neutral and not depend on the techniques used; otherwise this would create a serious risk of circumvention. The protection of individuals should apply to processing of personal data by automated means as well as to manual processing, if the data are contained or are intended to be contained in a filing system. Files or sets of files as well as their cover pages, which are not structured according to specific criteria, should not fall within the scope of this Regulation. | (13) | A proteção de pessoas singulares deve ser neutra em termos tecnológicos e independente das técnicas utilizadas, sob a pena de se correr um sério risco de ser contornada. Deve aplicar-se ao tratamento de dados pessoais por meios automatizados e manuais se os dados estiverem contidos ou se forem destinados a um sistema de ficheiros. As pastas ou conjuntos de pastas, bem como as suas capas, que não estejam estruturadas de acordo com critérios específicos, não são abrangidos pelo âmbito de aplicação do presente regulamento. |
| (14) | This Regulation does not address issues of protection of fundamental rights and freedoms or the free flow of data related to activities which fall outside the scope of Union law, nor does it cover the processing of personal data by the Union institutions, bodies, offices and agencies, which are subject to. Regulation (EC) No 45/2001, or the processing of personal data by the Member States when carrying out activities in relation to the common foreign and security policy of the Union of the European Parliament and of the Council (6) should be brought in line with this Regulation and applied in accordance with this Regulation . [Am. 1] | (14) | O presente regulamento não cobre questões de proteção dos direitos e das liberdades fundamentais ou da livre circulação de dados relacionados com atividades que se encontrem fora do âmbito de aplicação do direito da União., nem abrange o tratamento de dados pessoais pelas instituições, órgãos, organismos ou agências da União, com base no O Regulamento (CE) n.o 45/2001, ou o tratamento de dados pessoais pelos Estados-Membros no exercício de atividades relacionadas com a política externa e de segurança comum da União do Parlamento Europeu e do Conselho (6) deve ser alinhado com o presente regulamento e aplicado em conformidade com o mesmo . [Alt. 1] |
| (15) | This Regulation should not apply to processing of personal data by a natural person, which are exclusively personal , family-related, or domestic, such as correspondence and the holding of addresses or a private sale , and without any gainful interest and thus without any connection with a professional or commercial activity. The exemption should also not apply to controllers or processors which provide the means for processing personal data for such personal or domestic activities. However, this Regulation should apply to controllers and processors which provide the means for processing personal data for such personal or domestic activities. [Am. 2] | (15) | O presente regulamento não é aplicável ao tratamento de dados pessoais efetuado por uma pessoa singular no exercício de atividades exclusivamente pessoais , familares , ou domésticas como, por exemplo, trocar correspondência e manter listas de endereços , ou uma venda privada , sem qualquer fim lucrativo e, portanto, sem qualquer ligação com uma atividade profissional ou comercial. Tal isenção também não deve ser aplicável aos responsáveis pelo tratamento de dados e a subcontratantes que forneçam os meios para o tratamento de dados pessoais dessas atividades pessoais ou domésticas. Todavia, o presente regulamento deve ser aplicável aos responsáveis pelo tratamento de dados e aos subcontratantes que forneçam os meios para o tratamento de dados pessoais dessas atividades pessoais ou domésticas. [Alt. 2] |
| (16) | The protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data, is subject of a specific legal instrument at Union level. Therefore, this Regulation should not apply to the processing activities for those purposes. However, data processed by public authorities under this Regulation when used for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties should be governed by the more specific legal instrument at Union level (Directive 2014/…/EU of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data). | (16) | A proteção das pessoas singulares em matéria de tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais, e a livre circulação desses dados, são objeto de um instrumento jurídico específico a nível da União. Por essa razão, o presente regulamento não é aplicável às atividades de tratamento para esses efeitos. Todavia, o tratamento de dados pessoais pelas autoridades competentes ao abrigo do presente regulamento para os referidos efeitos deve ser regulado por esse instrumento jurídico mais específico a nível da União (Diretiva 2014/…/UE do Parlamento Europeu e do Conselho relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais, e à livre circulação desses dados). |
| (17) | This Regulation should be without prejudice to the application of Directive 2000/31/EC of the European Parliament and of the Council (7), in particular of the liability rules of intermediary service providers in Articles 12 to 15 of that Directive. | (17) | O presente regulamento não deve prejudicar a aplicação da Diretiva 2000/31/CE do Parlamento Europeu e do Conselho (7), nomeadamente as normas em matéria de responsabilidade dos prestadores intermediários de serviços previstas nos seus artigos 12.o a 15.o. |
| (18) | This Regulation allows the principle of public access to official documents to be taken into account when applying the provisions set out in this Regulation. Personal data in documents held by a public authority or public body may be disclosed by that authority or body in accordance with Union or Member State law regarding public access to official documents, which reconciles the right to data protection with the right of public access to official documents and constitutes a fair balance of the various interests involved . [Am. 3] | (18) | O presente regulamento permite tomar em consideração o princípio do direito de acesso público aos documentos oficiais aquando da aplicação das suas disposições. Os dados pessoais contidos em documentos que estejam na posse de uma autoridade ou entidade pública podem ser divulgados por essa autoridade ou entidade, de acordo com a legislação da União ou do Estado - Membro relativa ao acesso do público aos documentos oficias, o que concilia o direito à proteção de dados com o princípio do acesso do público aos documentos oficiais e representa um equilíbrio justo dos vários interesses envolvidos . [Alt. 3] |
| (19) | Any processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union should be carried out in accordance with this Regulation, regardless of whether the processing itself takes place within the Union or not. Establishment implies the effective and real exercise of activity through stable arrangements. The legal form of such arrangements, whether through a branch or a subsidiary with a legal personality, is not the determining factor in this respect. | (19) | Qualquer tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento de um responsável pelo tratamento, ou de um subcontratante, situado na União, deve ser conforme com o presente regulamento, independentemente de o tratamento em si ser realizado dentro ou fora da União. O estabelecimento pressupõe o exercício efetivo e real de uma atividade com base numa instalação estável. A forma jurídica de tal estabelecimento, quer se trate de uma sucursal ou filial com personalidade jurídica, não é um fator determinante a este respeito. |
| (20) | In order to ensure that individuals are not deprived of the protection to which they are entitled under this Regulation, the processing of personal data of data subjects residing in the Union by a controller not established in the Union should be subject to this Regulation where the processing activities are related to the offering of goods or services , irrespective of whether connected to a payment or not, to such data subjects, or to the monitoring of the behaviour of such data subjects. In order to determine whether such a controller is offering goods or services to such data subjects in the Union, it should be ascertained whether it is apparent that the controller is envisaging the offering of services to data subjects in one or more Member States in the Union. [Am. 4] | (20) | A fim de evitar que as pessoas singulares sejam privadas da proteção que lhes assiste por força do presente regulamento, o tratamento de dados pessoais de titulares de dados que residam na União por um responsável pelo tratamento não estabelecido na União deve ser sujeito ao presente regulamento se as atividades de tratamento estiverem relacionadas com a oferta de bens ou serviços a esses titulares de dados, independentemente de serem pagos ou não, ou com o controlo do seu comportamento. A fim de determinar se o responsável pelo tratamento dos dados oferece ou não bens ou serviços aos titulares dos dados na União, há que determinar em que medida é evidente a sua intenção de oferecer serviços aos titulares de dados num ou mais Estados-Membros da União . [Alt. 4] |
| (21) | In order to determine whether a processing activity can be considered to ‘monitor the behaviour’of data subjects, it should be ascertained whether individuals are tracked on the internet with , regardless of the origins of the data, or if other data about them are collected, including from public registers and announcements in the Union that are accessible from outside of the Union, including with the intention to use, or potential of subsequent use of data processing techniques which consist of applying a ‘profile’to an individual, particularly in order to take decisions concerning her or him or for analysing or predicting her or his personal preferences, behaviours and attitudes. [Am. 5] | (21) | A fim de determinar se uma atividade de tratamento pode ser considerada de «controlo do comportamento» de titulares de dados, deve ser apurado se essas pessoas são seguidas, independentemente da origem dos dados, ou se são recolhidos outros dados sobre eles, inclusive a partir de registos públicos e anúncios na União que sejam acessíveis a partir do exterior da União, nomeadamente com a intenção de utilizar ou, potencialmente, vir, em seguida, a utilizar técnicas de tratamento de dados que consistem em aplicar um «perfil»a uma pessoa singular, especialmente para adotar decisões relativas a essa pessoa ou analisar ou prever as suas preferências, o seu comportamento e atitudes. [Alt. 5] |
| (22) | Where the national law of a Member State applies by virtue of public international law, this Regulation should also apply to a controller not established in the Union, such as in a Member State's diplomatic mission or consular post. | (22) | Sempre que o direito nacional de um Estado-Membro for aplicável por força do direito internacional público, o presente regulamento é aplicável igualmente a um responsável pelo tratamento não estabelecido na União, por exemplo numa missão diplomática ou num posto consular de um Estado-Membro. |
| (23) | The principles of data protection should apply to any information concerning an identified or identifiable natural person. To determine whether a person is identifiable, account should be taken of all the means likely reasonably likely to be used either by the controller or by any other person to identify or single out the individual directly or indirectly . To ascertain whether means are reasonably likely to be used to identify the individual, account should be taken of all objective factors, such as the costs of and the amount of time required for identification, taking into consideration both available technology at the time of the processing and technological development. The principles of data protection should therefore not apply to anonymous data rendered anonymous in such a way that the data subject is no longer identifiable , which is information that does not relate to an identified or identifiable natural person . This Regulation does therefore not concern the processing of such anonymous data, including for statistical and research purposes . [Am. 6] | (23) | Os princípios de da proteção de dados devem aplicar-se a qualquer informação relativa a uma pessoa singular identificada ou identificável. Para determinar se uma pessoa é identificável, importa considerar o conjunto dos todos os meios suscetíveis de serem ser razoavelmente utilizados, quer pelo responsável pelo tratamento quer por qualquer outra pessoa, para identificar direta ou indiretamente a referida pessoa. Para determinar os meios com razoável probabilidade de serem utilizados para identificar a pessoa, importa considerar todos os fatores objetivos, como os custos e o tempo necessários para a identificação, tendo em conta tanto a tecnologia disponível à data do tratamento dos dados como o desenvolvimento tecnológico. Os princípios de proteção de dados não se aplicam devem por isso ser aplicáveis a dados tornados de tal forma anónimos que o titular dos dados já não possa ser identificado , que correspondem às informações não respeitantes a uma pessoa singular identificada ou identificável . O presente regulamento não diz por isso respeito ao tratamento de tais dados anónimos, incluindo para fins estatísticos ou de investigação . [Alt. 6] |
| (24) | When using online services, individuals may be associated with online This Regulation should be applicable to processing involving identifiers provided by their devices, applications, tools and protocols, such as Internet Protocol addresses or cookie identifiers and Radio Frequency Identification tags, unless those identifiers do not relate to an identified or identifiable natural person . This may leave traces which, combined with unique identifiers and other information received by the servers, may be used to create profiles of the individuals and identify them. It follows that identification numbers, location data, online identifiers or other specific factors as such need not necessarily be considered as personal data in all circumstances. [Am. 7] | (24) | O presente regulamento deve ser aplicável ao utilizarem os serviços em linha, as pessoas singulares podem ser associadas a ao tratamento envolvendo identificadores em linha, fornecidos pelos respetivos por aparelhos, aplicações, ferramentas e protocolos, tais como endereços IP (Protocolo Internet) ou, testemunhos de conexão (cookie) e etiquetas . Estes identificadores podem deixar vestígios que, em combinação com identificadores únicos e outras informações recebidas pelos servidores, podem ser utilizadas para a definição de perfis e a de identificação por radiofrequências (RFID) , salvo se esses das pessoas. Daí decorre que números de identificação, dados de localização, identificadores em linha ou outros elementos específicos não devem ser necessariamente considerados como dados pessoais em todas as circunstâncias não estiverem associados a uma pessoa singular identificada ou identificável . [Alt. 7] |
| (25) | Consent should be given explicitly by any appropriate method enabling a freely given specific and informed indication of the data subject's wishes, either by a statement or by a clear affirmative action that is the result of choice by the data subject, ensuring that individuals are aware that they give their consent to the processing of personal data, including by . Clear affirmative action could include ticking a box when visiting an Internet website or by any other statement or conduct which clearly indicates in this context the data subject's acceptance of the proposed processing of his or her personal data. Silence , mere use of a service or inactivity should therefore not constitute consent. Consent should cover all processing activities carried out for the same purpose or purposes. If the data subject's consent is to be given following an electronic request, the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided. [Am. 8] | (25) | O consentimento do titular dos dados deve ser dado explicitamente, por qualquer forma adequada que permita obter uma manifestação de vontade livre, específica e informada, sobre os seus desejos, que consista quer numa declaração quer numa ação positiva clara do resultante da opção efetuada pelo titular dos dados garantindo que dá o seu consentimento com conhecimentos de causa ao tratamento de dados pessoais, incluindo ao validar . Uma ação positiva clara deve incluir a validação de uma opção por via informática, ao visitar um sítio na Internet, ou qualquer outra declaração ou conduta que indique claramente neste contexto que aceita o , a aceitação, por parte do titular dos direitos, do tratamento proposto dos seus dados pessoais. O silêncio , a mera utilização de um serviço ou a omissão não devem, por conseguinte, constituir um consentimento. O consentimento deve abranger todas as atividades de tratamento realizadas com a mesma finalidade. Se o consentimento tiver de ser dado no seguimento de um pedido por via eletrónica, esse pedido tem de ser claro, conciso e não desnecessariamente perturbador para a utilização do serviço para o qual é fornecido. [Alt. 8] |
| (26) | Personal data relating to health should include in particular all data pertaining to the health status of a data subject; information about the registration of the individual for the provision of health services; information about payments or eligibility for healthcare with respect to the individual; a number, symbol or particular assigned to an individual to uniquely identify the individual for health purposes; any information about the individual collected in the course of the provision of health services to the individual; information derived from the testing or examination of a body part or bodily substance, including biological samples; identification of a person as provider of healthcare to the individual; or any information on e.g. a disease, disability, disease risk, medical history, clinical treatment, or the actual physiological or biomedical state of the data subject independent of its source, such as e.g. from a physician or other health professional, a hospital, a medical device, or an in vitro diagnostic test. | (26) | Os dados pessoais relativos à saúde devem incluir, em especial, todos os dados relativos ao estado de saúde de um titular de dados; informações sobre a inscrição da pessoa para a prestação de serviços de saúde; informações sobre pagamentos ou a elegibilidade para cuidados de saúde; um número, símbolo ou sinal particular atribuído a uma pessoa singular para a identificar de forma inequívoca para fins de cuidados de saúde; qualquer informação sobre a pessoa recolhida no decurso de uma prestação de serviços de saúde; informações obtidas a partir de testes ou exames de uma parte do corpo ou de uma substância corporal, incluindo amostras biológicas; identificação de uma pessoa enquanto prestador de cuidados de saúde à pessoa singular; ou quaisquer informações sobre, por exemplo, uma doença, deficiência, risco de doença, historial clínico, tratamento clínico ou estado físico ou biomédico atual do titular de dados, independentemente da sua fonte, por exemplo, um médico ou outro profissional de saúde, um hospital, um aparelho médico ou um teste de diagnóstico in vitro. |
| (27) | The main establishment of a controller in the Union should be determined according to objective criteria and should imply the effective and real exercise of management activities determining the main decisions as to the purposes, conditions and means of processing through stable arrangements. This criterion should not depend whether the processing of personal data is actually carried out at that location; the presence and use of technical means and technologies for processing personal data or processing activities do not, in themselves, constitute such main establishment and are therefore no determining criteria for a main establishment. The main establishment of the processor should be the place of its central administration in the Union. | (27) | O estabelecimento principal de um responsável pelo tratamento na União deve ser determinado de acordo com critérios objetivos e deve pressupor o exercício efetivo e real de atividades de gestão que determinem as decisões principais quanto às finalidades, condições e meios de tratamento mediante instalações estáveis. Este critério não deve depender do facto de o tratamento ser efetivamente realizado nesse local. A existência e utilização de meios técnicos e de tecnologias para o tratamento de dados pessoais ou as atividades de tratamento não constituem, em si mesmas, o referido estabelecimento principal nem são, portanto, um critério definidor de estabelecimento principal. Entende-se por estabelecimento principal do subcontratante, o lugar da sua administração central na União. |
| (28) | A group of undertakings should cover a controlling undertaking and its controlled undertakings, whereby the controlling undertaking should be the undertaking which can exercise a dominant influence over the other undertakings by virtue, for example, of ownership, financial participation or the rules which govern it or the power to have personal data protection rules implemented. | (28) | Um grupo de empresas deve ser constituído por uma empresa que exerce o controlo e as empresas controladas, a primeira devendo ser a que pode exercer uma influência dominante sobre as outras empresas, por exemplo, em virtude da propriedade, participação financeira ou das regras que a regem ou da faculdade de fazer aplicar as regras relativas à proteção de dados pessoais. |
| (29) | Children deserve specific protection of their personal data, as they may be less aware of risks, consequences, safeguards and their rights in relation to the processing of personal data. To determine when an individual is a child, this Regulation should take over the definition laid down by the UN Convention on the Rights of the Child. Where data processing is based on the data subject’s consent in relation to the offering of goods or services directly to a child, consent should be given or authorised by the child’s parent or legal guardian in cases where the child is below the age of 13. Age-appropriate language should be used where the intended audience is children. Other grounds of lawful processing such as grounds of public interest should remain applicable, such as for processing in the context of preventive or counselling services offered directly to a child. [Am. 9] | (29) | As crianças carecem de proteção especial quanto aos seus dados pessoais, uma vez que podem estar menos cientes dos riscos, consequências, garantias e direitos relacionados com o tratamento dos seus dados pessoais. Para determinar quando é que uma pessoa é considerada uma criança, o presente regulamento deve retomar a definição estabelecida na Convenção das Nações Unidas sobre os Direitos da Criança Sempre que o tratamento for realizado com base no consentimento do titular dos dados no que diz respeito à oferta de bens ou serviços diretamente a uma criança, o consentimento deve ser dado ou autorizado pelo progenitor ou pelo tutor legal dessa criança, se esta tiver menos de 13 anos de idade. Deve ser utilizada uma linguagem apropriada à idade quando o público-alvo são crianças. Devem continuar a ser aplicáveis outros motivos de tratamento de dados lícito, como o interesse público, designadamente para efeitos do tratamento de dados no contexto de serviços preventivos ou de aconselhamento oferecidos diretamente às crianças . [Alt. 9] |
| (30) | Any processing of personal data should be lawful, fair and transparent in relation to the individuals concerned. In particular, the specific purposes for which the data are processed should be explicit and legitimate and determined at the time of the collection of the data. The data should be adequate, relevant and limited to the minimum necessary for the purposes for which the data are processed; this requires in particular ensuring that the data collected are not excessive and that the period for which the data are stored is limited to a strict minimum. Personal data should only be processed if the purpose of the processing could not be fulfilled by other means. Every reasonable step should be taken to ensure that personal data which are inaccurate are rectified or deleted. In order to ensure that the data are not kept longer than necessary, time limits should be established by the controller for erasure or for a periodic review. | (30) | Qualquer tratamento de dados pessoais deve ser efetuado de forma lícita, leal e transparente para com as pessoas em causa. Em especial, as finalidades específicas do tratamento devem ser explícitas e legítimas e ser determinadas aquando da recolha dos dados. Os dados devem ser adequados, pertinentes e limitados ao mínimo necessário às finalidades de tratamento para as quais se destinam; para tal, os dados recolhidos não devem ser excessivos e o período de conservação deve ser limitado ao mínimo. Os dados pessoais apenas devem ser tratados se a finalidade do tratamento não puder ser atingida por outros meios. Devem ser adotadas todas as medidas razoáveis para que os dados pessoais inexatos sejam retificados ou apagados. De forma a assegurar que os dados são conservados apenas durante o período considerado necessário, o responsável pelo tratamento deve fixar os prazos para o apagamento ou a revisão periódica. |
| (31) | In order for processing to be lawful, personal data should be processed on the basis of the consent of the person concerned or some other legitimate basis, laid down by law, either in this Regulation or in other Union or Member State law as referred to in this Regulation. In case of a child or a person lacking legal capacity, relevant Union or Member State law should determine the conditions under which consent is given or authorised by that person. [Am. 10] | (31) | Para que o tratamento seja lícito, os dados pessoais devem ser tratados com base no consentimento da pessoa em causa ou noutro fundamento legítimo, previsto por lei, quer no presente regulamento quer noutro ato legislativo da União ou de um Estado-Membro, conforme previsto no presente regulamento. No caso de crianças ou de pessoas que não disponham de capacidade jurídica, cabe à legislação pertinente da União ou do Estado-Membro determinar em que condições o consentimento é dado ou autorizado pela pessoa em causa. [Alt. 10] |
| (32) | Where processing is based on the data subject's consent, the controller should have the burden of proving that the data subject has given the consent to the processing operation. In particular in the context of a written declaration on another matter, safeguards should ensure that the data subject is aware that and to what extent consent is given. To comply with the principle of data minimisation, the burden of proof should not be understood as requiring the positive identification of data subjects unless necessary. Similar to civil law terms (e.g. Council Directive 93/13/EEC (8) ), data protection policies should be as clear and transparent as possible. They should not contain hidden or disadvantageous clauses. Consent cannot be given for the processing of personal data of third persons. [Am. 11] | (32) | Sempre que o tratamento for realizado com base no consentimento do titular dos dados, recai sobre o responsável pelo tratamento o ónus de provar o consentimento da pessoa em causa. Em especial, no contexto de uma declaração escrita relativa a outra matéria, devem existir as devidas garantias de que o titular dos dados está ciente do consentimento dado com todo o conhecimento de causa. Para cumprir com o princípio da minimização dos dados, o ónus da prova não deve implicar a identificação positiva dos titulares dos dados, a menos que tal seja necessário. À semelhança das cláusulas do direito civil (Diretiva 93/13/CEE (8) ), as políticas de proteção de dados devem ser o mais claras e transparentes possível. Não devem conter cláusulas ocultas ou desfavoráveis. Não pode ser dado consentimento para efeitos do tratamento de dados pessoais de terceiros. [Alt. 11] |
| (33) | In order to ensure free consent, it should be clarified that consent does not provide a valid legal ground where the individual has no genuine and free choice and is subsequently not able to refuse or withdraw consent without detriment. This is especially the case if the controller is a public authority that can impose an obligation by virtue of its relevant public powers and the consent cannot be deemed as freely given. The use of default options which the data subject is required to modify to object to the processing, such as pre-ticked boxes, does not express free consent. Consent for the processing of additional personal data that are not necessary for the provision of a service should not be required for using the service. When consent is withdrawn, this may allow the termination or non-execution of a service which is dependent on the data. Where the conclusion of the intended purpose is unclear, the controller should in regular intervals provide the data subject with information about the processing and request a re-affirmation of his or her consent. [Am. 12] | (33) | De forma a assegurar o livre consentimento, deve ser clarificado que este não constitui um fundamento jurídico válido se a pessoa não tiver uma verdadeira liberdade de escolha e, consequentemente, não puder recusar ou retirar o consentimento sem ser prejudicada. Este é particularmente o caso em que o responsável pelo tratamento é uma autoridade dotada de poderes para impor uma obrigação por força das suas prerrogativas de poder público, não podendo o consentimento ser considerado livre. O recurso a opções predefinidas que o titular de dados tem de modificar para se opor ao processamento, como, por exemplo, caixas previamente assinaladas, não é sinónimo de livre consentimento. Para a utilização de um serviço, não deve ser exigido o consentimento para efeitos do tratamento de dados pessoais suplementares que não sejam necessários. A retirada do consentimento pode viabilizar a cessação ou a não execução de um serviço que dependa dos dados em causa. Se a conclusão da finalidade pretendida não puder ser claramente determinada, o responsável pelo tratamento deve informar o titular dos dados, a intervalos regulares, sobre o tratamento e solicitar a revalidação do seu consentimento. [Alt. 12] |
| (34) | Consent should not provide a valid legal ground for the processing of personal data, where there is a clear imbalance between the data subject and the controller. This is especially the case where the data subject is in a situation of dependence from the controller, among others, where personal data are processed by the employer of employees' personal data in the employment context. Where the controller is a public authority, there would be an imbalance only in the specific data processing operations where the public authority can impose an obligation by virtue of its relevant public powers and the consent cannot be deemed as freely given, taking into account the interest of the data subject. [Am. 13] | (34) | O consentimento não deve constituir um fundamento jurídico válido para o tratamento de dados pessoais se existir um desequilíbrio manifesto entre o titular dos dados e o responsável pelo tratamento, especialmente se o primeiro se encontrar numa situação de dependência em relação ao segundo, em especial quando os dados pessoais são tratados pelo seu empregador no contexto da relação laboral. Sempre que o responsável pelo tratamento é uma autoridade, só haveria desequilíbrio em caso de operações de tratamento específicas no âmbito das quais a autoridade possa, por força das suas prerrogativas de poder público, impor uma obrigação. Neste caso, o consentimento não seria considerado livremente consentido, tendo em conta o interesse do titular dos dados. [Alt. 13] |
| (35) | Processing should be lawful where it is necessary in the context of a contract or the intended entering into a contract. | (35) | O tratamento deve ser lícito quando se revelar necessário no contexto de um contrato ou da intenção de celebrar de um contrato. |
| (36) | Where processing is carried out in compliance with a legal obligation to which the controller is subject or where processing is necessary for the performance of a task carried out in the public interest or in the exercise of an official authority, the processing should have a legal basis in Union law, or in a Member State law which meets the requirements of the Charter for any limitation of the rights and freedoms. This should include also collective agreements that could be recognised under national law as having general validity. It is also for Union or national law to determine whether the controller performing a task carried out in the public interest or in the exercise of official authority should be a public administration or another natural or legal person governed by public law, or by private law such as a professional association. [Am. 14] | (36) | Sempre que o tratamento for realizado em cumprimento de uma obrigação jurídica à qual esteja sujeito o responsável pelo tratamento, ou se o tratamento for necessário para a execução de uma missão de interesse público ou exercício de prerrogativas de autoridade pública, o tratamento deve ter uma base jurídica no direito da União ou na legislação nacional de um Estado-Membro que satisfaça as condições impostas pela Carta relativamente a qualquer restrição aos direitos e liberdades. Isto também deve incluir convenções coletivas reconhecidas ao abrigo da legislação nacional como sendo de aplicabilidade geral. Cabe também ao direito da União ou à legislação nacional determinar se o responsável pelo tratamento que executa uma missão de interesse público ou exerce prerrogativas de autoridade pública deve ser uma administração pública ou outra pessoa singular ou coletiva de direito público, ou de direito privado, por exemplo uma associação profissional. [Alt. 14] |
| (37) | The processing of personal data should equally be regarded as lawful where it is necessary to protect an interest which is essential for the data subject's life. | (37) | O tratamento de dados pessoais deve ser igualmente considerado lícito quando for necessário à proteção de um interesse essencial à vida do titular dos dados. |
| (38) | The legitimate interests of a the controller or, in case of disclosure, of the third party to whom the data are disclosed, may provide a legal basis for processing, provided that they meet the reasonable expectations of the data subject based on his or her relationship with the controller and that the interests or the fundamental rights and freedoms of the data subject are not overriding. This would need careful assessment in particular where the data subject is a child, given that children deserve specific protection. Provided that the interests or the fundamental rights and freedoms of the data subject are not overriding, processing limited to pseudonymous data should be presumed to meet the reasonable expectations of the data subject based on his or her relationship with the controller. The data subject should have the right to object the processing, on grounds relating to their particular situation and free of charge. To ensure transparency, the controller should be obliged to explicitly inform the data subject on the legitimate interests pursued and on the right to object, and also be obliged to document these legitimate interests. The interests and fundamental rights of the data subject could in particular override the interest of the data controller where personal data are processed in circumstances where data subjects do not reasonably expect further processing. Given that it is for the legislator to provide by law the legal basis for public authorities to process data, this legal ground should not apply for the processing by public authorities in the performance of their tasks. [Am. 15] | (38) | Os interesses legítimos do responsável pelo tratamento dos dados, ou, em caso de divulgação, de terceiros a quem os dados sejam comunicados , podem constituir um fundamento jurídico para o tratamento , a menos que desde que satisfaçam as expectativas legítimas do titular dos dados decorrentes da sua relação com o responsável pelo tratamento e que não prevaleçam os interesses ou os direitos e liberdades fundamentais do titular dos dados. Este ponto requer uma avaliação cuidada, particularmente se o titular dos dados for uma criança, uma vez que estas carecem de proteção especial. Desde que não prevaleçam os interesses ou os direitos e liberdades fundamentais do titular dos direitos, deve-se considerar que o tratamento limitado a dados sob pseudónimo satisfaz as expectativas legítimas do titular dos dados decorrentes da sua relação com o responsável pelo tratamento. O titular dos dados deverá poder opor-se ao tratamento a título gratuito. A fim de assegurar a transparência, o responsável pelo tratamento deve ser obrigado a informar explicitamente a pessoa em causa sobre os interesses legítimos prosseguidos e sobre o direito de se lhe opor, sendo igualmente obrigado a apresentar fundamentação documentada desses interesses legítimos. Os interesses e os direitos fundamentais do titular dos dados podem, em particular, sobrepor-se ao interesse do responsável pelo tratamento de dados, sempre que os dados pessoais sejam tratados em circunstâncias em que os titulares dos dados já não esperam um tratamento adicional. Dado que incumbe ao legislador prever por lei a base jurídica para autorizar as autoridades a procederem ao tratamento de dados, este fundamento jurídico não é aplicável aos tratamentos efetuados pelas autoridades públicas no exercício das suas funções. [Alt. 15] |
| (39) | The processing of data to the extent strictly necessary and proportionate for the purposes of ensuring network and information security, i.e. the ability of a network or an information system to resist, at a given level of confidence, accidental events or unlawful or malicious actions that compromise the availability, authenticity, integrity and confidentiality of stored or transmitted data, and the security of the related services offered by, or accessible via, these networks and systems, by public authorities, Computer Emergency Response Teams — CERTs, Computer Security Incident Response Teams — CSIRTs, providers of electronic communications networks and services and by providers of security technologies and services, constitutes a legitimate interest of the concerned data controller. This could, for example, include preventing unauthorised access to electronic communications networks and malicious code distribution and stopping ‘denial of service’ attacks and damage to computer and electronic communication systems. This principle also applies to processing of personal data to restrict abusive access to and use of publicly available network or information systems, such as the blacklisting of electronic identifiers. [Am. 16] | (39) | O tratamento de dados relativos ao tráfego, na medida estritamente necessária e proporcionada para assegurar a segurança da rede e das informações, ou seja, a capacidade de uma rede ou de um sistema informático de resistir, com um dado nível de confiança, a eventos acidentais ou a ações maliciosas ou ilícitas que comprometam a disponibilidade, a autenticidade, a integridade e a confidencialidade de dados conservados ou transmitidos, bem como a segurança dos serviços conexos oferecidos ou acessíveis através destas redes e sistemas, pelas autoridades públicas, equipas de intervenção em caso de emergências informáticas (CERT), equipas de resposta a incidentes no domínio da segurança informática (CSIRT), fornecedores ou redes de serviços de comunicações eletrónicas e por fornecedores de tecnologias e serviços de segurança, constitui um interesse legítimo do responsável pelo tratamento dos dados. Tal pode incluir, por exemplo, impedir o acesso não autorizado a redes de comunicações eletrónicas e a distribuição de códigos malévolos e pôr termo a ataques de «negação de serviço» e a danos causados aos sistemas de comunicações informáticas e eletrónicas. Este princípio também se aplica ao tratamento de dados pessoais, a fim de restringir o acesso abusivo e o recurso a sistemas de rede ou de informação publicamente disponíveis, como a lista negra de endereços eletrónicos. [Alt. 16] |
| (39a) | Provided that the interests or the fundamental rights and freedoms of the data subject are not overriding, the prevention or limitation of damages on the side of the data controller should be presumed as carried out for the legitimate interest of the data controller or, in case of disclosure, of the third party to whom the data are disclosed, and as meeting the reasonable expectations of the data subject based on his or her relationship with the controller. The same principle also applies to the enforcement of legal claims against a data subject, such as debt collection or civil damages and remedies. [Am. 17] | (39-A) | Desde que não prevaleçam os interesses ou os direitos e liberdades fundamentais do titular dos direitos, deve-se considerar a prevenção ou limitação dos danos sofridos pelo responsável pelo tratamento realizada no legítimo interesse deste último, ou, em caso de divulgação, do terceiro a quem os dados sejam comunicados, e que satisfaz as expectativas legítimas do titular dos dados decorrentes da sua relação com o responsável pelo tratamento. O mesmo princípio aplica-se também à execução de ações judiciais contra o titular dos dados, como em caso de cobrança judicial ou de indemnização por perdas e danos. [Alt. 17] |
| (39b) | Provided that the interests or the fundamental rights and freedoms of the data subject are not overriding, the processing of personal data for the purpose of direct marketing for own or similar products and services or for the purpose of postal direct marketing should be presumed as carried out for the legitimate interest of the controller or, in case of disclosure, of the third party to whom the data are disclosed, and as meeting the reasonable expectations of the data subject based on his or her relationship with the controller if highly visible information on the right to object and on the source of the personal data is given. The processing of business contact details should be generally regarded as carried out for the legitimate interest of the controller or, in case of disclosure, of the third party to whom the data are disclosed, and as meeting the reasonable expectations of the data subject based on his or her relationship with the controller. The same should apply to the processing of personal data made manifestly public by the data subject. [Am. 18] | (39-B) | Desde que não prevaleçam os interesses ou os direitos e liberdades fundamentais do titular dos direitos, deve-se considerar o tratamento de dados pessoais para fins de comercialização direta dos seus próprios produtos e serviços similares, ou com o propósito de comercialização postal direta, realizado no legítimo interesse do responsável pelo tratamento dos dados, ou, em caso de divulgação, do terceiro a quem os dados sejam comunicados, e que satisfaz as expectativas legítimas do titular dos dados decorrentes da sua relação com o responsável pelo tratamento, se forem fornecidas informações altamente visíveis sobre o direito de oposição e sobre a origem dos dados pessoais. O tratamento de dados de contacto de empresas deve ser genericamente considerado como realizado no legítimo interesse do responsável pelo tratamento dos dados, ou, em caso de divulgação, do terceiro a quem os dados sejam comunicados, e que satisfaz as expectativas legítimas do titular dos dados decorrentes da sua relação com o responsável pelo tratamento. O mesmo se aplica também ao tratamento de dados pessoais tornados manifestamente públicos pelo titular dos dados. [Alt. 18] |
| (40) | The processing of personal data for other purposes should be only allowed where the processing is compatible with those purposes for which the data have been initially collected, in particular where the processing is necessary for historical, statistical or scientific research purposes. Where the other purpose is not compatible with the initial one for which the data are collected, the controller should obtain the consent of the data subject for this other purpose or should base the processing on another legitimate ground for lawful processing, in particular where provided by Union law or the law of the Member State to which the controller is subject. In any case, the application of the principles set out by this Regulation and in particular the information of the data subject on those other purposes should be ensured. [Am. 19] | (40) | O tratamento de dados pessoais para outros fins apenas deve ser autorizado se for compatível com as finalidades para as quais os dados foram inicialmente recolhidos, particularmente para fins de investigação histórica, estatística ou científica. Sempre que essa outra finalidade não for compatível com a finalidade inicial para a qual os dados foram recolhidos, o responsável pelo tratamento deve obter o consentimento do titular dos dados para outra finalidade ou basear esse tratamento noutro fundamento legítimo para o tratamento lícito, nomeadamente se estabelecido pelo direito da União ou pela legislação do Estado-Membro a que o responsável pelo tratamento se encontre sujeito. Em qualquer caso, deve ser garantida a aplicação dos princípios enunciados pelo presente regulamento e, em particular, a obrigação de informar o titular dos dados sobre essas outras finalidades. [Alt. 19] |
| (41) | Personal data which are, by their nature, particularly sensitive and vulnerable in relation to fundamental rights or privacy, deserve specific protection. Such data should not be processed, unless the data subject gives his explicit consent. However, derogations from this prohibition should be explicitly provided for in respect of specific needs, in particular where the processing is carried out in the course of legitimate activities by certain associations or foundations the purpose of which is to permit the exercise of fundamental freedoms. [Am. 20] | (41) | Os dados pessoais que sejam, devido à sua natureza, especialmente sensíveis e vulneráveis relativamente aos direitos fundamentais ou à privacidade, merecem uma proteção específica. Esses dados não devem ser objeto de tratamento, salvo se, para o efeito, o titular dos dados der o seu consentimento expresso. No entanto, devem ser expressamente previstas derrogações a esta proibição para ter em conta necessidades específicas, designadamente quando o tratamento for efetuado no exercício de atividades legítimas de certas associações ou fundações que tenham por finalidade permitir o exercício das liberdades fundamentais. [Alt. 20] |
| (42) | Derogating from the prohibition on processing sensitive categories of data should also be allowed if done by a law, and subject to suitable safeguards, so as to protect personal data and other fundamental rights, where grounds of public interest so justify and in particular for health purposes, including public health and social protection and the management of health-care services, especially in order to ensure the quality and cost-effectiveness of the procedures used for settling claims for benefits and services in the health insurance system, or for historical, statistical and scientific research purposes , or for archive services . [Am. 21] | (42) | As derrogações à proibição de tratamento de categorias de dados sensíveis devem ser igualmente permitidas se efetuadas mediante ato legislativo e, sob reserva de garantias adequadas, de forma a proteger os dados pessoais e outros direitos fundamentais, quando motivos de interesse geral o justificarem e, em especial, motivos sanitários, incluindo de saúde pública, proteção social e de gestão de serviços de saúde, designadamente para assegurar a qualidade e a eficiência dos procedimentos utilizados para regularizar os pedidos de prestações sociais e de serviços no quadro do regime de seguro de doença, para fins de investigação histórica, estatística ou científica , ou ainda para serviços de arquivo . [Alt. 21] |
| (43) | Moreover, the processing of personal data by official authorities for achieving aims, laid down in constitutional law or international public law, of officially recognised religious associations is carried out on grounds of public interest. | (43) | Além disso, o tratamento de dados pessoais pelas autoridades públicas tendo em vista realizar os objetivos, consagrados no direito constitucional ou no direito internacional público, de associações religiosas oficialmente reconhecidas, é efetuado por motivos de interesse público. |
| (44) | Where in the course of electoral activities, the operation of the democratic system requires in a Member State that political parties compile data on people's political opinions, the processing of such data may be permitted for reasons of public interest, provided that appropriate safeguards are established. | (44) | Sempre que, no âmbito do exercício de atividades eleitorais, o funcionamento do sistema democrático exigir, num Estado-Membro, que os partidos políticos recolham dados sobre a opinião política das pessoas, o tratamento desses dados pode ser autorizado por motivos de interesse público importante, desde que sejam estabelecidas garantias adequadas. |
| (45) | If the data processed by a controller do not permit the controller to identify a natural person, the data controller should not be obliged to acquire additional information in order to identify the data subject for the sole purpose of complying with any provision of this Regulation. In case of a request for access, the controller should be entitled to ask the data subject for further information to enable the data controller to locate the personal data which that person seeks. If it is possible for the data subject to provide such data, controllers should not be able to invoke a lack of information to refuse an access request. [Am. 22] | (45) | Se os dados tratados pelo responsável pelo tratamento não lhe permitirem identificar uma pessoa singular, aquele não deve ser obrigado a obter informações suplementares para identificar o titular dos dados com a única finalidade de respeitar uma disposição do presente regulamento. No caso de um pedido de acesso, o responsável pelo tratamento de dados deve ter a faculdade de solicitar ao titular dos dados informações adicionais que permitam localizar os dados pessoais procurados por essa pessoa. Se for possível ao titular dos dados facultar esses dados, os responsáveis pelo tratamento não devem poder invocar falta de informação para recusar um pedido de acesso. [Alt. 22] |
| (46) | The principle of transparency requires that any information addressed to the public or to the data subject should be easily accessible and easy to understand, and that clear and plain language is used. This is in particular relevant where in situations, such as online advertising, the proliferation of actors and the technological complexity of practice makes it difficult for the data subject to know and understand if personal data relating to him or her are being collected, by whom and for what purpose. Given that children deserve specific protection, any information and communication, where processing is addressed specifically to a child, should be in such a clear and plain language that the child can easily understand. | (46) | O princípio de transparência exige que qualquer informação destinada ao público ou ao titular dos dados seja de fácil acesso e compreensão, e formulada numa linguagem clara e simples. Isto é especialmente relevante em situações, como a publicidade em linha, a proliferação de operadores e a complexidade tecnológica das práticas, que tornem difícil que a pessoa em causa saiba exatamente se estão a recolher os seus dados pessoais, por quem e para que fins. Uma vez que as crianças carecem de proteção especial, sempre que o tratamento lhes seja especialmente dirigido, qualquer informação e comunicação deve estar redigida numa linguagem clara e simples de forma a que uma criança a compreenda facilmente. |
| (47) | Modalities should be provided for facilitating the data subject’s exercise of his or her rights provided by this Regulation, including mechanisms to request obtain , free of charge, in particular access to data, rectification, erasure and to exercise the right to object. The controller should be obliged to respond to requests of the data subject within a fixed reasonable deadline and give reasons, in case he does not comply with the data subject's request. [Am. 23] | (47) | Devem ser previstas modalidades para facilitar o exercício, pelo titular de dados, dos direitos que lhe são conferidos nos termos do presente regulamento, incluindo mecanismos para solicitar obter , a título gratuito, em especial o acesso aos dados, a retificação, a supressão e o exercício do seu direito de oposição. O responsável pelo tratamento deve ser obrigado a responder ao titular dos dados dentro de um prazo estipulado razoável e fundamentar qualquer recusa. [Alt. 23] |
| (48) | The principles of fair and transparent processing require that the data subject should be informed in particular of the existence of the processing operation and its purposes, how long the data will be likely stored for each purpose , if the data are to be transferred to third parties or third countries, on the existence of measures to object and of the right of access, rectification or erasure and on the right to lodge a complaint. Where the data are collected from the data subject, the data subject should also be informed whether they are obliged to provide the data and of the consequences, in cases they do not provide such data. This information should be provided, which can also mean made readily available, to the data subject after the provision of simplified information in the form of standardised icons. This should also mean that personal data are processed in a way that effectively allows the data subject to exercise his or her rights. [Am. 24] | (48) | Os princípios de tratamento leal e transparente exigem que o titular de dados seja informado, em especial, da existência da operação de tratamento de dados e das suas finalidades, do período de conservação dos dados ou — se tal não for possível — dos critérios usados para definir esse período , da existência do direito de acesso, da retificação ou de apagamento, bem como do direito de apresentar uma queixa. Sempre que os dados forem recolhidos junto do titular dos dados, este deve ser também informado da obrigatoriedade de fornecer esses dados e das respetivas consequências caso não os faculte. Esta informação deve ser facultada ao interessado, ou fazer com que seja facilmente acessível para este, uma vez proporcionada informação simplificada em forma de ícones normalizados. Isto deve também significar que o tratamento dos dados pessoais se processa de forma a permitir que o titular dos dados exerça efetivamente os seus direitos. [Alt. 24] |
| (49) | The information in relation to the processing of personal data relating to the data subject should be given to him or her at the time of collection, or, where the data are not collected from the data subject, within a reasonable period, depending on the circumstances of the case. Where data can be legitimately disclosed to another recipient, the data subject should be informed when the data are first disclosed to the recipient. | (49) | As informações sobre o tratamento de dados pessoais devem ser fornecidas ao titular dos dados no momento da sua recolha ou, se a recolha não foi obtida junto da pessoa em causa, dentro de um prazo, dependendo das circunstâncias do caso. Sempre que os dados forem suscetíveis de serem legitimamente comunicados a outro destinatário, o titular dos dados deve ser informado aquando da primeira comunicação a esse destinatário. |
| (50) | However, it is not necessary to impose this obligation where the data subject already disposes of knows this information, or where the recording or disclosure of the data is expressly laid down by law, or where the provision of information to the data subject proves impossible or would involve disproportionate efforts. The latter could be particularly the case where processing is for historical, statistical or scientific research purposes; in this regard, the number of data subjects, the age of the data, and any compensatory measures adopted may be taken into consideration. [Am. 25] | (50) | Todavia, não é necessário impor tal obrigação quando o titular dos dados já dispuser dessa conhecer essa informação, ou se o registo ou a comunicação dos dados for expressamente previsto por lei, ou se a informação ao titular dos dados se revelar impossível de concretizar ou se implicar esforços desproporcionados. Tal seria o caso de um tratamento efetuado para efeitos de investigação histórica, estatística ou científica; para este efeito, pode ser considerado o número de interessados, a antiguidade dos dados e as eventuais medidas compensatórias adotadas. [Alt. 25] |
| (51) | Any person should have the right of access to data which have been collected concerning them, and to exercise this right easily, in order to be aware and verify the lawfulness of the processing. Every data subject should therefore have the right to know and obtain communication in particular for what purposes the data are processed, for what estimated period, which recipients receive the data, what is the general logic of the data that are undergoing the processing and what might be, at least when based on profiling, the consequences of such processing. This right should not adversely affect the rights and freedoms of others, including trade secrets or intellectual property and in particular , such as in relation to the copyright protecting the software. However, the result of these considerations should not be that all information is refused to the data subject. [Am. 26] | (51) | Qualquer pessoa deve ter o direito de acesso aos dados recolhidos sobre si e de exercer facilmente este direito, a fim de conhecer e verificar a licitude do tratamento. Por conseguinte, cada titular de dados deve ter o direito de conhecer e ser informado, em especial, das finalidades a que se destinam os dados pessoais tratados, da duração estimada da sua conservação, da identidade dos destinatários, da lógica genérica subjacente ao tratamento dos dados pessoais e das suas consequências eventuais. Este direito não deve prejudicar os direitos e as liberdades de terceiros, incluindo o segredo comercial ou a propriedade intelectual e, particularmente, o como, por exemplo, em relação ao direito de autor que protege o suporte lógico. Todavia, estas considerações não devem resultar na recusa total de prestação de informações ao titular dos dados. [Alt. 26] |
| (52) | The controller should use all reasonable measures to verify the identity of a data subject that requests access, in particular in the context of online services and online identifiers. A controller should not retain personal data for the unique purpose of being able to react to potential requests. | (52) | O responsável pelo tratamento deve adotar todas as medidas razoáveis para verificar a identidade do titular dos dados que solicite o acesso, em especial no contexto de serviços em linha e de identificadores em linha. Um responsável pelo tratamento não deve conservar dados pessoais com a finalidade exclusiva de estar em condições de reagir a possíveis pedidos. |
| (53) | Any person should have the right to have personal data concerning them rectified and a ‘right to be forgotten erasure ’ where the retention of such data is not in compliance with this Regulation. In particular, data subjects should have the right that their personal data are erased and no longer processed, where the data are no longer necessary in relation to the purposes for which the data are collected or otherwise processed, where data subjects have withdrawn their consent for processing or where they object to the processing of personal data concerning them or where the processing of their personal data otherwise does not comply with this Regulation. This right is particularly relevant, when the data subject has given their consent as a child, when not being fully aware of the risks involved by the processing, and later wants to remove such personal data especially on the Internet. However, the further retention of the data should be allowed where it is necessary for historical, statistical and scientific research purposes, for reasons of public interest in the area of public health, for exercising the right of freedom of expression, when required by law or where there is a reason to restrict the processing of the data instead of erasing them. Also, the right to erasure should not apply when the retention of personal data is necessary for the performance of a contract with the data subject, or when there is a legal obligation to retain this data. [Am. 27] | (53) | Qualquer pessoa deve ter o direito a que os dados que lhe digam respeito sejam retificados e o «direito a ser esquecido ao apagamento de dados » quando a conservação desses dados não cumprir o disposto no presente regulamento. Em especial, os titulares de dados devem ter o direito a que os seus dados pessoais sejam apagados e deixem de ser objeto de tratamento se deixarem de ser necessários para a finalidade para a qual foram recolhidos ou tratados, sempre que os titulares de dados retirem o seu consentimento ao tratamento, ou se oponham ao tratamento de dados pessoais que lhes digam respeito ou se o tratamento dos seus dados pessoais não respeitar o disposto no presente regulamento. Este direito assume particular importância quando o titular de dados que deu o consentimento era nesse momento uma criança, não estando totalmente ciente dos riscos inerentes ao tratamento, e mais tarde deseja suprimir esses dados pessoais, especialmente na internet. No entanto, deve ser permitido prolongar a conservação dos dados quando tal se revele necessário para efeitos de investigação histórica, estatística ou científica, bem como por motivos de interesse público no domínio da saúde pública, ou de exercício da liberdade de expressão, se esta for exigida por lei, ou se existir um motivo para limitar o tratamento dos dados em vez de os apagar. Além disso, o direito ao apagamento não deve ser aplicável sempre que a conservação dos dados pessoais for necessária para a execução de um contrato com o titular dos dados ou sempre que a conservação for feita em virtude de uma obrigação legal. [Alt. 27] |
| (54) | To strengthen the ‘right to be forgotten erasure ’ in the online environment, the right to erasure should also be extended in such a way that a controller who has made the personal data public without legal justification should be obliged to inform third parties which are processing such data that a data subject requests them to erase any links to, or copies or replications of that personal data. To ensure this information, the controller should take all reasonable steps, including technical measures, in relation to data for the publication of which the controller is responsible. In relation to a third party publication of personal data, the controller should be considered responsible for the publication, where the controller has authorised the publication by the third party take all necessary steps to have the data erased, including by third parties, without prejudice to the right of the data subject to claim compensation . [Am. 28] | (54) | Para reforçar o «direito a ser esquecido de apagamento dos dados do titular » no ambiente em linha, o âmbito do direito de apagamento deve também ser alargado de forma a que um responsável pelo tratamento que tenha tornado públicos os dados pessoais sem qualquer justificação jurídica seja obrigado a informar os terceiros que tratem esses dados que um titular de dados lhes solicita a supressão de quaisquer ligações para esses dados pessoais, cópias ou reproduções dos mesmos. De forma a assegurar esta informação, o responsável pelo tratamento deve adotar todas as medidas razoáveis, incluindo medidas técnicas, no que respeita aos dados cuja publicação seja da sua responsabilidade. No que se refere à publicação de dados pessoais por terceiros, o responsável pelo tratamento é considerado responsável por essa publicação sempre que tiver autorizado a publicação por esse terceiro a tomar todas as medidas necessárias para que os dados sejam apagados, embora sem prejuízo do direito do titular dos dados a pedir uma indemnização. [Alt. 28] |
| (54a) | Data which are contested by the data subject and whose accuracy or inaccuracy cannot be determined should be blocked until the issue is cleared. [Am. 29] | (54-A) | Dados contestados pelo titular dos mesmos cuja exatidão ou inexatidão não possa ser determinada devem ser bloqueados até que o assunto seja esclarecido. [Alt. 29] |
| (55) | To further strengthen the control over their own data and their right of access, data subjects should have the right, where personal data are processed by electronic means and in a structured and commonly used format, to obtain a copy of the data concerning them also in commonly used electronic format. The data subject should also be allowed to transmit those data, which they have provided, from one automated application, such as a social network, into another one. Data controllers should be encouraged to develop interoperable formats that enable data portability. This should apply where the data subject provided the data to the automated processing system, based on his or her consent or in the performance of a contract. Providers of information society services should not make the transfer of those data mandatory for the provision of their services. [Am. 30] | (55) | Para reforçar melhor o controlo sobre os seus próprios dados e o seu direito de acesso, os titulares de dados devem ter o direito, sempre que os dados pessoais sejam objeto de tratamento automatizado num formato estruturado e de uso corrente, de obter uma cópia dos dados que lhes digam respeito, igualmente num formato eletrónico de utilização comum. O titular de dados deve, além disso, ser autorizado a transmitir os dados que forneceu, de uma aplicação automatizada, como uma rede social, para outra. Os responsáveis pelo tratamento de dados devem ser encorajados a desenvolver formatos interoperáveis que permitam a portabilidade dos dados. Isto aplica-se também se o titular de dados tiver fornecido os dados a um sistema de tratamento automatizado com base no seu consentimento ou em cumprimento de um contrato. Os prestadores de serviços da sociedade da informação não devem tornar a transferência desses dados obrigatória para efeitos da prestação dos seus serviços. [Alt. 30] |
| (56) | In cases where personal data might lawfully be processed to protect the vital interests of the data subject, or on grounds of public interest, official authority or the legitimate interests of a controller, any data subject should nevertheless be entitled to object to the processing of any data relating to him or her , free of charge and in a manner that can be easily and effectively invoked . The burden of proof should be on the controller to demonstrate that his or her legitimate interests may override the interests or the fundamental rights and freedoms of the data subject. [Am. 31] | (56) | No caso de um tratamento de dados pessoais lícito para proteção dos interesses vitais do titular dos dados, ou por motivos de interesse público, de exercício da autoridade pública ou de interesse legítimo de um responsável pelo tratamento, o titular dos dados tem, não obstante, o direito de se opor ao tratamento de quaisquer dados que lhe digam respeito , sem encargos e de um modo que possa ser invocado de forma simples e efetiva . Recai sobre o responsável pelo tratamento o ónus de provar que os seus interesses legítimos prevalecem sobre os interesses ou direitos e liberdades fundamentais do titular dos dados.os interesses ou direitos e liberdades fundamentais do titular dos dados. [Alt. 31] |
| (57) | Where personal data are processed for the purposes of direct marketing, the data subject should have has the right to object to such the processing free of charge and in a manner that can be easily and effectively invoked , the controller should explicitly offer it to the data subject in an intelligible manner and form, using clear and plain language and should clearly distinguish it from other information . [Am. 32] | (57) | Sempre que os dados pessoais forem objeto de tratamento para efeitos de comercialização direta, o titular dos dados tem pessoais tenha o direito de se opor a tal tratamento gratuitamente, ao tratamento , o responsável pelo tratamento deve oferecer-lhe explicitamente essa possibilidade de modo e forma inteligíveis, utilizando uma linguagem clara e que possa ser invocado de forma simples e efetiva distinguir isso de outra informação . [Alt. 32] |
| (58) | Without prejudice to the lawfulness of the data processing, every natural person should have the right not to be subject to object to a measure which is based on profiling by means of automated processing. However, such measure . Profiling which leads to measures producing legal effects concerning the data subject or does similarly significantly affect the interests, rights or freedoms of the concerned data subject should only be allowed when expressly authorised by law, carried out in the course of entering or performance of a contract, or when the data subject has given his consent. In any case, such processing should be subject to suitable safeguards, including specific information of the data subject and the right to obtain human intervention assessment and that such measure should not concern a child. Such measures should not lead to discrimination against individuals on the basis of race or ethnic origin, political opinions, religion or beliefs, trade union membership, sexual orientation or gender identity. [Am. 33] | (58) | Sem prejuízo da legalidade do tratamento dos dados, qualquer pessoa singular tem o direito a não ser objeto de uma medida baseada na de se opor à definição de perfis. através de tratamento automatizado. No entanto, tais medidas devem ser permitidas A elaboração de perfis que dê lugar a medidas que produzam efeitos jurídicos que afetem o titular de dados ou que afectem significativamente de modo similar os seus interesses, direitos ou liberdades apenas deve ser permitida se expressamente autorizadas autorizada por lei, se aplicadas aplicada no âmbito da celebração ou da execução de um contrato, ou mediante o consentimento da pessoa em causa. Em qualquer dos casos, tal tratamento deve ser acompanhado das garantias adequadas, incluindo uma informação específica do titular dos dados e o direito de obter a intervenção avaliação humana, e que tal medida não diga respeito a uma criança. Tais medidas não devem conduzir à discriminação de indivíduos em razão da origem racial ou étnica, das opiniões políticas, da religião ou das convicções, da filiação sindical, da orientação sexual ou da identidiade de género. [Alt. 33] |
| (58a) | Profiling based solely on the processing of pseudonymous data should be presumed not to significantly affect the interests, rights or freedoms of the data subject. Where profiling, whether based on a single source of pseudonymous data or on the aggregation of pseudonymous data from different sources, permits the controller to attribute pseudonymous data to a specific data subject, the processed data should no longer be considered to be pseudonymous. [Am. 34] | (58-A) | A elaboração de perfis exclusivamente baseada no tratamento de dados pseudónimos não deve afetar significativamente os interesses, direitos ou as liberdades da pessoa em causa. Quando a elaboração de perfis, quer baseada numa única fonte de dados pseudónimos, quer realizada a partir da agregação de dados pseudónimos provenientes de diferentes fontes, permita ao responsável pelo tratamento atribuir os dados pseudónimos a uma pessoa em concreto, os dados tratados devem deixar de ser considerados pseudónimos. [Alt. 34] |
| (59) | Restrictions on specific principles and on the rights of information, access, rectification and erasure or on the right of access and to obtain data portability, the right to object, measures based on profiling, as well as on the communication of a personal data breach to a data subject and on certain related obligations of the controllers may be imposed by Union or Member State law, as far as necessary and proportionate in a democratic society to safeguard public security, including the protection of human life especially in response to natural or man made disasters, the prevention, investigation and prosecution of criminal offences or of breaches of ethics for regulated professions, other specific and well-defined public interests of the Union or of a Member State, in particular an important economic or financial interest of the Union or of a Member State, or the protection of the data subject or the rights and freedoms of others. Those restrictions should be in compliance with requirements set out by the Charter and by the European Convention for the Protection of Human Rights and Fundamental Freedoms. [Am. 35] | (59) | A União ou um Estado-Membro podem impor restrições aos direitos de informação, acesso, retificação, apagamento ou portabilidade dos ou ao direito de acesso e à obtenção de dados, de oposição, medidas baseadas na definição de perfis, bem como à comunicação de uma violação de dados pessoais ao titular dos dados e a determinadas obrigações conexas impostas aos responsáveis pelo tratamento, desde que necessárias e proporcionais numa sociedade democrática, para assegurar a segurança pública, incluindo a proteção da vida humana, especialmente em resposta a catástrofes naturais ou provocadas pelo homem, para efeitos de prevenção, investigação e repressão de infrações penais, ou de violação da deontologia de profissões regulamentadas para efeitos de outros interesses públicos , específicos e bem definidos , incluindo um interesse económico ou financeiro importante da União ou de um Estado-Membro, ou para efeitos de proteção do titular dos dados ou dos direitos e liberdades de terceiros. Essas restrições devem respeitar os requisitos estabelecidos na Carta e na Convenção Europeia para a Proteção dos Direitos do Homem e das Liberdades Fundamentais. [Alt. 35] |
| (60) | Comprehensive responsibility and liability of the controller for any processing of personal data carried out by the controller or on the controller's behalf should be established , in particular with regard to documentation, data security, impact assessments, the data protection officer and oversight by data protection authorities . In particular, the controller should ensure and be obliged able to demonstrate the compliance of each processing operation with this Regulation. This should be verified by independent internal or external auditors. [Am. 36] | (60) | Deve ser definida a responsabilidade global do responsável por qualquer tratamento de dados pessoais realizado por este ou por sua conta , em particular no que se refere à documentação, segurança dos dados, avaliações de impacto, ao delegado para a proteção de dados e à supervisão das autoridades responsáveis pela proteção dos dados . Em especial, o responsável pelo tratamento deve assegurar e ser capaz de comprovar que cada operação de tratamento de dados é efetuada em conformidade com o presente regulamento. Tal deve ser verificado por auditores independentes internos ou externos. [Alt. 36] |
| (61) | The protection of the rights and freedoms of data subjects with regard to the processing of personal data requires that appropriate technical and organisational measures are taken, both at the time of the design of the processing and at the time of the processing itself, to ensure that the requirements of this Regulation are met. In order to ensure and demonstrate compliance with this Regulation, the controller should adopt internal policies and implement appropriate measures, which meet in particular the principles of data protection by design and data protection by default. The principle of data protection by design requires data protection to be embedded within the entire life cycle of the technology, from the very early design stage, right through to its ultimate deployment, use and final disposal. This should also include the responsibility for the products and services used by the controller or processor. The principle of data protection by default requires privacy settings on services and products which should by default comply with the general principles of data protection, such as data minimisation and purpose limitation. [Am. 37] | (61) | A proteção dos direitos e liberdades dos titulares dos dados relativamente ao tratamento dos seus dados pessoais exige a tomada de medidas técnicas e organizacionais adequadas, tanto no momento da conceção como no momento da execução do tratamento, para assegurar o cumprimento dos requisitos do presente regulamento. A fim de assegurar e comprovar a conformidade com o presente regulamento, o responsável pelo tratamento deve adotar regras internas e aplicar medidas apropriadas que devem respeitar, em especial, os princípios da proteção de dados desde a conceção e da proteção de dados por defeito. O princípio da proteção de dados desde a conceção obriga a que a proteção de dados seja inserida em todo o ciclo de vida da tecnologia, desde a fase inicial de conceção, até à sua instalação, utilização e eliminação finais. Isto deve abarcar também a responsabilidade pelos produtos e serviços utilizados pelo responsável ou pelo subcontratante. O princípio da proteção de dados por defeito obriga a que as definições de privacidade aplicáveis a serviços e a produtos cumpram, por defeito, os princípios gerais da proteção de dados, tais como a minimização dos dados e a limitação das finalidades. [Alt. 37] |
| (62) | The protection of the rights and freedoms of data subjects as well as the responsibility and liability of controllers and processor, also in relation to the monitoring by and measures of supervisory authorities, requires a clear attribution of the responsibilities under this Regulation, including where a controller determines the purposes, conditions and means of the processing jointly with other controllers or where a processing operation is carried out on behalf of a controller. The arrangement between the joint controllers should reflect the joint controllers' effective roles and relationships. The processing of personal data under this Regulation should include the permission for a controller to transmit the data to a joint controller or to a processor for the processing of the data on his or her behalf. [Am. 38] | (62) | A proteção dos direitos e liberdades dos titulares de dados, bem como a responsabilidade dos responsáveis pelo tratamento e dos subcontratantes, incluindo no que diz respeito à supervisão e às medidas adotadas pelas autoridades de controlo, exige uma clara repartição das responsabilidades nos termos do presente regulamento, nomeadamente quando o responsável pelo tratamento determina as finalidades, as condições e os meios do tratamento conjuntamente com outros responsáveis, ou quando uma operação de tratamento de dados é efetuada por conta de um responsável pelo tratamento. O acordo entre os responsáveis conjuntos pelo tratamento deve reflectir devidamente as funções dos responsáveis conjuntos pelo tratamento e as suas relações com os titulares dos dados. O tratamento de dados pessoais nos termos do presente Regulamento deve incluir que um responsável pelo tratamento seja autorizado a transmitir os dados a um responsável conjunto pelo tratamento ou a um subcontratante, para efeitos do tratamento de dados em seu nome. [Alt. 38] |
| (63) | Where a controller not established in the Union is processing personal data of data subjects residing in the Union whose processing activities are related to the offering of goods or services to such data subjects, or to the monitoring their behaviour, the controller should designate a representative, unless the controller is established in a third country ensuring an adequate level of protection, or the controller is a small or medium sized enterprise or processing relates to fewer than 5 000 data subjects during any consecutive 12-month period and is not carried out on special categories of personal data, or is a public authority or body or where the controller is only occasionally offering goods or services to such data subjects. The representative should act on behalf of the controller and may be addressed by any supervisory authority. [Am. 39] | (63) | Sempre que um responsável pelo tratamento não estabelecido na União Europeia efetue o tratamento de dados pessoais de titulares de dados que residam na da União, e cujas atividades de tratamento estejam relacionadas com a oferta de bens ou serviços a essas pessoas, ou com o controlo do seu comportamento, o responsável pelo tratamento deve designar um representante, salvo se tal responsável se encontrar estabelecido num país terceiro que garanta um nível de proteção adequado, ou se o responsável for uma pequena ou média empresa tratamento de dados pessoais disser respeito a menos que 5 000 titulares de dados durante um período de 12 meses consecutivos e não for efetuado em relação a categorias especiais de dados pessoais, ou se for ou uma autoridade ou organismo público, ou se o responsável que apenas oferecer oferece a título esporádico bens ou serviços a esses titulares de dados. O representante deve agir por conta do responsável pelo tratamento e deve poder ser contactado por qualquer autoridade de controlo. [Alt. 39] |
| (64) | In order to determine whether a controller is only occasionally offering goods and services to data subjects residing in the Union, it should be ascertained whether it is apparent from the controller's overall activities that the offering of goods and services to such data subjects is ancillary to those main activities. [Am. 40] | (64) | A fim de determinar se o responsável pelo tratamento oferece bens e serviços apenas a título esporádico aos titulares de dados que residam na da União, deve ser verificado se resulta do conjunto das suas atividades que a oferta de bens e serviços a essas pessoas é acessória às suas atividades principais. [Alt. 40] |
| (65) | In order to be able to demonstrate compliance with this Regulation, the controller or processor should document each processing operation maintain the documentation necessary in order to fulfill the requirements laid down in this Regulation . Each controller and processor should be obliged to co-operate with the supervisory authority and make this documentation, on request, available to it, so that it might serve for monitoring those processing operations evaluating the compliance with this Regulation . However, equal emphasis and significance should be placed on good practice and compliance and not just the completion of documentation . [Am. 41] | (65) | A fim de poder comprovar a observância do presente regulamento, o responsável pelo tratamento, ou o subcontratante, deve documentar cada operação de tratamento de dados conservar a documentação necessária, de molde a cumprir os requisitos previstos no presente regulamento . Cada responsável pelo tratamento e subcontratante devem ser obrigados a cooperar com a autoridade de controlo e a disponibilizar essa documentação, quando tal lhe for solicitado, para que possa servir ao controlo dessas operações de tratamento à avaliação do cumprimento do presente regulamento . No entanto, deve dar-se igual ênfase e importância às boas práticas e ao cumprimento, e não apenas à conclusão da documentação . [Alt. 41] |
| (66) | In order to maintain security and to prevent processing in breach of this Regulation, the controller or processor should evaluate the risks inherent to the processing and implement measures to mitigate those risks. These measures should ensure an appropriate level of security, taking into account the state of the art and the costs of their implementation in relation to the risks and the nature of the personal data to be protected. When establishing technical standards and organisational measures to ensure security of processing, the Commission should promote technological neutrality, interoperability and innovation should be promoted and, where appropriate, cooperate cooperation with third countries should be encouraged . [Am. 42] | (66) | A fim de preservar a segurança e evitar o tratamento em violação do presente regulamento, o responsável pelo tratamento, ou o subcontratante, deve avaliar os riscos que o tratamento implica e aplicar medidas que os atenuem. Estas medidas devem assegurar um nível de segurança adequado, atendendo aos conhecimentos técnicos disponíveis e ao custo da sua aplicação em função dos riscos e da natureza dos dados a proteger. Aquando da adoção de normas técnicas e medidas organizacionais destinadas a assegurar a segurança do tratamento, a Comissão deve promover há que promover a neutralidade tecnológica, a interoperabilidade e a inovação e, se necessário, cooperar encorajar a cooperação com os países terceiros. [Alt. 42] |
| (67) | A personal data breach may, if not addressed in an adequate and timely manner, result in substantial economic loss and social harm, including identity fraud, to the individual concerned. Therefore, as soon as the controller becomes aware that such a breach has occurred, the controller should notify the breach to the supervisory authority without undue delay and, where feasible, within 24 ,which should be presumed to be not later than 72 hours. Where this cannot achieved within 24 hours If applicable , an explanation of the reasons for the delay should accompany the notification. The individuals whose personal data could be adversely affected by the breach should be notified without undue delay in order to allow them to take the necessary precautions. A breach should be considered as adversely affecting the personal data or privacy of a data subject where it could result in, for example, identity theft or fraud, physical harm, significant humiliation or damage to reputation. The notification should describe the nature of the personal data breach and formulate recommendations for the individual concerned to mitigate potential adverse effects. Notifications to data subjects should be made as soon as reasonably feasible, and in close cooperation with the supervisory authority and respecting guidance provided by it or other relevant authorities (e.g. law enforcement authorities). For example, the chance for data subjects to mitigate an immediate risk of harm would call for a prompt notification of data subjects whereas the need to implement appropriate measures against continuing or similar data breaches may justify a longer delay. [Am. 43] | (67) | A violação dos dados pessoais pode, se não forem adotadas medidas adequadas e oportunas, dar origem a prejuízos económicos e sociais substanciais, nomeadamente através da usurpação de identidade, para a pessoa em causa. Assim, logo que o responsável pelo tratamento tenha conhecimento de uma violação, deve comunicá-la comunicar a violação à autoridade de controlo, sem demora injustificada e, sempre que possível, no devendo presumir-se para o efeito um prazo de 24 não superior a 72 horas. Se aplicável não for possível efetuar essa comunicação no prazo de 24 horas, a notificação deve fazer-se acompanhar de uma explicação dos motivos da demora. As pessoas singulares cujos dados pessoais possam ter sido afetados negativamente por tal violação, devem ser avisadas sem demora injustificada, para que possam tomar as precauções necessárias. Deve considerar-se que uma violação afeta negativamente os dados pessoais ou a privacidade de um titular de dados sempre que daí possa resultar, por exemplo, roubo ou usurpação de identidade, danos físicos, humilhações ou danos significativos para a reputação. A notificação deve descrever a natureza da violação de dados pessoais, bem como formular recomendações ao titular dos dados para atenuar potenciais efeitos adversos. As pessoas em causa devem ser notificadas o mais rapidamente possível, em estreita cooperação com a autoridade de controlo, e em cumprimento das orientações por esta fornecidas ou por outras autoridades competentes (por exemplo, autoridades de aplicação da lei). Por exemplo, para que as pessoas em causa possam atenuar um risco imediato de dano, deve enviar-se uma notificação rápida aos titulares de dados, enquanto a necessidade de aplicar medidas adequadas contra violações de dados recorrentes ou similares poderá justificar um prazo superior. [Alt. 43] |
| (68) | In order to determine whether a personal data breach is notified to the supervisory authority and to the data subject without undue delay, it should be ascertained whether the controller has implemented and applied appropriate technological protection and organisational measures to establish immediately whether a personal data breach has taken place and to inform promptly the supervisory authority and the data subject, before a damage to personal and economic interests occurs, taking into account in particular the nature and gravity of the personal data breach and its consequences and adverse effects for the data subject. | (68) | Para determinar se uma violação de dados pessoais é notificada à autoridade de controlo e ao titular dos dados sem demora injustificada, deve ser avaliado se o responsável pelo tratamento executou e aplicou medidas tecnológicas de proteção e organizativas para apurar imediatamente a ocorrência de uma violação de dados pessoais e para informar rapidamente a autoridade de controlo e a pessoa em causa, antes da ocorrência de danos aos interesses pessoais e económicos, tendo em consideração, em especial, a natureza e a gravidade da violação de dados pessoais e as respetivas consequências e efeitos adversos para o titular dos dados. |
| (69) | In setting detailed rules concerning the format and procedures applicable to the notification of personal data breaches, due consideration should be given to the circumstances of the breach, including whether or not personal data had been protected by appropriate technical protection measures, effectively limiting the likelihood of identity fraud or other forms of misuse. Moreover, such rules and procedures should take into account the legitimate interests of law enforcement authorities in cases where early disclosure could unnecessarily hamper the investigation of the circumstances of a breach. | (69) | Ao estabelecer regras pormenorizadas relativamente ao formato e aos procedimentos aplicáveis à notificação das violações de dados pessoais, deve ter-se devidamente em conta as circunstâncias da violação, nomeadamente a existência ou não de proteção dos dados pessoais através de medidas técnicas de proteção adequadas para reduzir eficazmente a probabilidade de usurpação da identidade ou outras formas de utilização abusiva. Além disso, tais regras e procedimentos devem ter em conta os legítimos interesses das autoridades de aplicação da lei nos casos em que uma divulgação precoce de informações possa dificultar desnecessariamente a investigação das circunstâncias de uma violação. |
| (70) | Directive 95/46/EC provided for a general obligation to notify processing of personal data to the supervisory authorities. While this obligation produces administrative and financial burdens, it did not in all cases contribute to improving the protection of personal data. Therefore such indiscriminate general notification obligation should be abolished, and replaced by effective procedures and mechanism which focus instead on those processing operations which are likely to present specific risks to the rights and freedoms of data subjects by virtue of their nature, their scope or their purposes. In such cases, a data protection impact assessment should be carried out by the controller or processor prior to the processing, which should include in particular the envisaged measures, safeguards and mechanisms for ensuring the protection of personal data and for demonstrating the compliance with this Regulation. | (70) | A Diretiva 95/46/CE estabelece uma obrigação geral de notificação do tratamento de dados pessoais às autoridades de controlo. Além desta obrigação originar encargos administrativos e financeiros, nem sempre contribuiu para uma melhoria da proteção dos dados pessoais. Por essa razão, tal obrigação geral deve ser suprimida e substituída por procedimentos e mecanismos eficazes dirigidos, em alternativa, para as operações de tratamento suscetíveis de apresentar riscos específicos para os direitos e liberdades dos titulares de dados, devido à sua natureza, âmbito ou finalidade. Nesses casos, o responsável pelo tratamento ou o subcontratante deve proceder, previamente ao tratamento, a uma avaliação de impacto sobre a proteção de dados, que deve examinar, nomeadamente, as medidas, garantias e os mecanismos previstos para assegurar a proteção dos dados pessoais e comprovar a observância do presente regulamento. |
| (71) | This should in particular apply to newly established large scale filing systems, which aim at processing a considerable amount of personal data at regional, national or supranational level and which could affect a large number of data subjects. | (71) | Tal deve aplicar-se, nomeadamente, aos sistemas de arquivo de grande escala recentemente estabelecidos, que visam o tratamento de uma grande quantidade de dados pessoais a nível regional, nacional ou supranacional e que podem afetar um número considerável de titulares de dados. |
| (71a) | Impact assessments are the essential core of any sustainable data protection framework, making sure that businesses are aware from the outset of all possible consequences of their data processing operations. If impact assessments are thorough, the likelihood of any data breach or privacy-intrusive operation can be fundamentally limited. Data protection impact assessments should consequently have regard to the entire lifecycle management of personal data from collection to processing to deletion, describing in detail the envisaged processing operations, the risks to the rights and freedoms of data subjects, the measures envisaged to address the risks, safeguards, security measures and mechanisms to ensure compliance with this Regulation. [Am. 44] | (71-A) | As avaliações de impacto constituem um elemento essencial de qualquer quadro sustentável em matéria de proteção de dados, pois garantem que as empresas tenham conhecimento, à partida, de todas as eventuais consequências das suas operações de tratamento de dados. Se as avaliações de impacto forem rigorosas, a possibilidade de uma violação de dados ou de uma operação de atentado à privacidade pode ser fundamentalmente limitada. As avaliações do impacto na proteção dos dados devem, por conseguinte, ter em conta a gestão dos dados pessoais ao longo de todo o seu ciclo de vida, ou seja, desde a recolha até ao tratamento e eliminação dos mesmos, descrevendo detalhadamente as operações de tratamento de dados previstas, os riscos para os direitos e as liberdades dos titulares de dados, as medidas previstas para fazer face aos riscos, as garantias, as medidas de segurança e os mecanismos para assegurar o respeito do presente regulamento. [Alt. 44] |
| (71b) | Controllers should focus on the protection of personal data throughout the entire data lifecycle from collection to processing to deletion by investing from the outset in a sustainable data management framework and by following it up with a comprehensive compliance mechanism. [Am. 45] | (71-B) | Os responsáveis pelo tratamento devem centrar-se na proteção dos dados pessoais ao longo de todo o seu ciclo de vida, ou seja, desde a recolha até ao tratamento e eliminação dos mesmos, investindo, desde o início, num quadro de gestão sustentável dos dados e assegurando o seu acompanhamento através de um mecanismo global de controlo de conformidade. [Alt. 45] |
| (72) | There are circumstances under which it may be sensible and economic that the subject of a data protection impact assessment should be broader than a single project, for example where public authorities or bodies intend to establish a common application or processing platform or where several controllers plan to introduce a common application or processing environment across an industry sector or segment or for a widely used horizontal activity. | (72) | Em certas circunstâncias pode ser sensato e económico alargar a avaliação de impacto sobre a proteção de dados para além de um projeto único, por exemplo se as autoridades ou organismos públicos pretenderem instituir uma aplicação ou uma plataforma de tratamento comum, ou se vários responsáveis pelo tratamento planearem introduzir uma aplicação ou um ambiente de tratamento comum em todo um setor ou segmento profissional, ou uma atividade horizontal amplamente utilizada. |
| (73) | Data protection impact assessments should be carried out by a public authority or public body if such an assessment has not already been made in the context of the adoption of the national law on which the performance of the tasks of the public authority or public body is based and which regulates the specific processing operation or set of operations in question. [Am. 46] | (73) | As avaliações de impacto sobre a proteção de dados devem ser realizadas por uma autoridade ou um organismo público se essa avaliação não tiver ainda sido realizada no contexto da adoção da legislação nacional que regula as atribuições da autoridade ou do organismo público, bem como a operação ou o conjunto de operações em questão. [Alt. 46] |
| (74) | Where a data protection impact assessment indicates that processing operations involve a high degree of specific risks to the rights and freedoms of data subjects, such as excluding individuals from their right, or by the use of specific new technologies, the data protection officer or the supervisory authority should be consulted, prior to the start of operations, on a risky processing which might not be in compliance with this Regulation, and to make proposals to remedy such situation. Such A consultation of the supervisory authority should equally take place in the course of the preparation either of a measure by the national parliament or of a measure based on such legislative measure which defines the nature of the processing and lays down appropriate safeguards. [Am. 47] | (74) | Sempre que uma avaliação de impacto sobre a proteção de dados indicar que as operações de tratamento de dados acarretam um elevado grau de riscos particulares sobre os direitos e liberdades dos titulares de dados, como privar essas pessoas de um direito, ou devido à utilização de novas tecnologias específicas, o delegado para a proteção de dados ou a autoridade de controlo deve ser consultada, antes de as operações terem início, sobre um tratamento arriscado suscetível de não estar em conformidade com o presente regulamento, e de apresentar propostas para remediar essa situação. Essa A consulta da autoridade de controlo deve igualmente ser efetuada durante os trabalhos de elaboração de uma medida legislativa pelo parlamento nacional, ou de uma medida baseada nesta última medida que defina a natureza do tratamento e especifique as garantias adequadas. [Alt. 47] |
| (74a) | Impact assessments can only be of help if controllers make sure that they comply with the promises originally laid down in them. Data controllers should therefore conduct periodic data protection compliance reviews demonstrating that the data processing mechanisms in place comply with assurances made in the data protection impact assessment. It should further demonstrate the ability of the data controller to comply with the autonomous choices of data subjects. In addition, in case the review finds compliance inconsistencies, it should highlight these and present recommendations on how to achieve full compliance. [Am. 48] | (74-A) | As avaliações de impacto só podem ser úteis se os responsáveis pelo tratamento de dados se assegurarem de que respeitam os compromissos inicialmente estabelecidos nessas avaliações. Os responsáveis pelo tratamento devem, por conseguinte, efetuar análises regulares do cumprimento das disposições relativas à proteção dos dados que demonstrem que os mecanismos de tratamento de dados existentes respeitam os compromissos assumidos na avaliação do impacto na proteção dos dados. Estas análises devem igualmente demonstrar a capacidade do responsável pelo tratamento para respeitar as escolhas autónomas dos titulares de dados. Além disso, se, no âmbito destas análises, forem encontradas incoerências quanto à conformidade, estas devem ser sublinhadas e apresentadas recomendações sobre o modo de assegurar o pleno respeito. [Alt. 48] |
| (75) | Where the processing is carried out in the public sector or where, in the private sector, processing is carried out by a large enterprise relates to more than 5000 data subjects within 12 months , or where its core activities, regardless of the size of the enterprise, involve processing operations on sensitive data, or processing operations which require regular and systematic monitoring, a person should assist the controller or processor to monitor internal compliance with this Regulation. When establishing whether data about a large number of data subjects are processed, archived data that are restricted in such a way that they are not subject to the normal data access and processing operations of the controller and can no longer be changed should not be taken into account. Such data protection officers, whether or not an employee of the controller and whether or not performing that task full time , should be in a position to perform their duties and tasks independently and enjoy special protection against dismissal. Final responsibility should stay with the management of an organisation. The data protection officer should in particular be consulted prior to the design, procurement, development and setting-up of systems for the automated processing of personal data, in order to ensure the principles of privacy by design and privacy by default . [Am. 49] | (75) | Sempre que o tratamento for efetuado no setor público, ou se, no setor privado, for efetuado por uma empresa de grande dimensão disser respeito a mais de 5 000 titulares de dados por ano , ou cujas atividades principais, independentemente da dimensão da empresa, impliquem operações de tratamento de dados sensíveis ou operações de tratamento que exijam controlo regular e sistemático, o responsável pelo tratamento ou o subcontratante deve ser assistido por uma pessoa no controlo do respeito, a nível interno, do presente regulamento. Ao determinar se os dados sobre um grande número de titulares de dados são ou não objeto de tratamento, não devem ser tidos em conta os dados arquivados de acesso restrito, no sentido de que não estão sujeitos ao acesso normal nem às operações de processamento do responsável pelo tratamento e que já não podem ser alterados. Estes delegados para a proteção de dados, quer sejam ou não empregados do responsável pelo tratamento e quer desempenhem ou não essa tarefa a tempo inteiro , devem estar em posição de desempenhar as suas funções e atribuições de forma independente e beneficiar de uma proteção especial contra o despedimento . A responsabilidade final deve incumbir à direção do organismo. O delegado para a proteção de dados deve, nomeadamente, ser consultado antes da conceção, da adjudicação, do desenvolvimento e da criação de sistemas de tratamento automatizado de dados pessoais, para garantir os princípios da privacidade desde a conceção e por defeito. [Alt. 49] |
| (75a) | The data protection officer should have at least the following qualifications: extensive knowledge of the substance and application of data protection law, including technical and organisational measures and procedures; mastery of technical requirements for privacy by design, privacy by default and data security; industry-specific knowledge in accordance with the size of the controller or processor and the sensitivity of the data to be processed; the ability to carry out inspections, consultation, documentation, and log file analysis; and the ability to work with employee representation. The controller should enable the data protection officer to take part in advanced training measures to maintain the specialised knowledge required to perform his or her duties. The designation as a data protection officer does not necessarily require fulltime occupation of the respective employee. [Am. 50] | (75-A) | O delegado para a proteção de dados deve ter, no mínimo, as seguintes qualificações: amplo conhecimento do conteúdo e da aplicação da legislação em matéria de proteção de dados, inclusive medidas técnicas, de organização e procedimentos; domínio dos requisitos técnicos em matéria de privacidade, desde a conceção, privacidade por defeito e segurança de dados; conhecimentos específicos do setor, de acordo com a dimensão do responsável pelo tratamento e do subcontratante e com a sensibilidade dos dados a tratar; capacidade de efetuar inspeções, consultas, elaborar documentação e proceder à análise de arquivos; capacidade para trabalhar com os representantes dos trabalhadores. O responsável pelo tratamento deve permitir a participação do delegado de proteção de dados em ações de formação avançadas, de molde a manter atualizados os conhecimentos especializados necessários ao desempenho das suas funções. A nomeação do delegado para a proteção de dados não requer necessariamente a ocupação desse assalariado a tempo inteiro. [Alt. 50] |
| (76) | Associations or other bodies representing categories of controllers should be encouraged , after consultation of the representatives of the employees, to draw up codes of conduct, within the limits of this Regulation, so as to facilitate the effective application of this Regulation, taking account of the specific characteristics of the processing carried out in certain sectors. Such codes should make compliance with this Regulation easier for industry. [Am. 51] | (76) | As associações ou outras entidades que representem categorias de responsáveis pelo tratamento de dados devem ser incentivadas , após a consulta dos representantes dos trabalhadores, a elaborar códigos de conduta, no respeito do presente regulamento, com vista a facilitar a sua aplicação efetiva, tendo em conta as características específicas do tratamento efetuado em determinados setores. Tais códigos devem facilitar o respeito do presente regulamento por parte do setor. [Alt. 51] |
| (77) | In order to enhance transparency and compliance with this Regulation, the establishment of certification mechanisms, data protection seals and standardised marks should be encouraged, allowing data subjects to quickly, reliably and verifiably assess the level of data protection of relevant products and services. A ‘European Data Protection Seal’ should be established at European level to create trust among data subjects, legal certainty for controllers, and at the same time export European data protection standards by allowing non-European companies to more easily enter European markets by being certified. [Am. 52] | (77) | A fim de aumentar a transparência e o respeito do presente regulamento, deve ser encorajada a criação de mecanismos de certificação, selos e marcas normalizadas de proteção de dados, que permitam aos titulares de dados avaliar rapidamente , de forma fiável e verificável, o nível de proteção de dados proporcionado pelos produtos e serviços em causa. O «Selo Europeu para a Proteção de Dados» deve ser criado à escala europeia para gerar confiança junto dos titulares de dados, certeza jurídica junto dos responsáveis pelo tratamento e, ao mesmo tempo, para exportar as normas europeias de proteção de dados, permitindo que empresas não europeias entrem mais facilmente nos mercados europeus se estiverem certificadas. [Alt. 52] |
| (78) | Cross-border flows of personal data are necessary for the expansion of international trade and international co-operation. The increase in these flows has raised new challenges and concerns with respect to the protection of personal data. However, when personal data are transferred from the Union to third countries or to international organisations, the level of protection of individuals guaranteed in the Union by this Regulation should not be undermined. In any event, transfers to third countries may only be carried out in full compliance with this Regulation. | (78) | A circulação transfronteiriça de dados pessoais é necessária ao desenvolvimento do comércio internacional e da cooperação internacional. Esse aumento criou novos desafios e novas preocupações em relação à proteção dos dados pessoais. Todavia, quando os dados pessoais são transferidos da União para países terceiros ou para organizações internacionais, o nível de proteção das pessoas singulares assegurado na União pelo presente regulamento deve continuar a ser garantido. Em todo o caso, as transferências para países terceiros só podem ser efetuadas no pleno respeito do presente regulamento. |
| (79) | This Regulation is without prejudice to international agreements concluded between the Union and third countries regulating the transfer of personal data including appropriate safeguards for the data subjects ensuring an adequate level of protection for the fundamental rights of citizens . [Am. 53] | (79) | O presente regulamento não prejudica os acordos internacionais concluídos entre a União Europeia e países terceiros que regulem a transferência de dados pessoais, incluindo as garantias adequadas em benefício dos titulares de dados , assegurando um nível de proteção equivalente para os direitos fundamentais dos cidadãos . [Alt. 53] |
| (80) | The Commission may decide with effect for the entire Union that certain third countries, or a territory or a processing sector within a third country, or an international organisation, offer an adequate level of data protection, thus providing legal certainty and uniformity throughout the Union as regards the third countries or international organisations which are considered to provide such level of protection. In these cases, transfers of personal data to these countries may take place without needing to obtain any further authorisation The Commission may also decide, having given notice and a complete justification to the third country, to revoke such a decision . [Am. 54] | (80) | A Comissão pode decidir, com efeitos no conjunto da União, que determinados países terceiros, um território ou um setor de tratamento de dados de um país terceiro, ou uma organização internacional, oferece um nível de proteção de dados adequado, garantindo assim a segurança jurídica e a homogeneidade a nível da União relativamente a países terceiros ou organizações internacionais que sejam consideradas aptas a assegurar tal nível de proteção. Nestes casos, podem realizar-se transferências de dados pessoais para esses países sem que para tal seja necessário qualquer outra autorização. A Comissão pode igualmente decidir, após notificação e apresentação de justificação exaustiva ao país terceiro, revogar essa decisão. [Alt. 54] |
| (81) | In line with the fundamental values on which the Union is founded, in particular the protection of human rights, the Commission should, in its assessment of the third country, take into account how a given third country respects the rule of law, access to justice as well as international human rights norms and standards. | (81) | Em conformidade com os valores fundamentais sobre os quais assenta a União, particularmente a proteção dos direitos humanos, a Comissão deve, na sua avaliação do país terceiro, ter em consideração em que medida esse país respeita o primado do Estado de direito, o acesso à justiça e as regras e normas internacionais no domínio dos direitos humanos. |
| (82) | The Commission may equally recognise that a third country, or a territory or a processing sector within a third country, or an international organisation offers no adequate level of data protection. Any legislation which provides for extra-territorial access to personal data processed in the Union without authorisation under Union or Member State law should be considered as an indication of a lack of adequacy. Consequently the transfer of personal data to that third country should be prohibited. In that case, provision should be made for consultations between the Commission and such third countries or international organisations. [Am. 55] | (82) | A Comissão pode igualmente reconhecer que um país terceiro, um território ou um setor de tratamento de dados de um país terceiro, ou uma organização internacional, não oferece um nível de proteção de dados adequado. Qualquer legislação que permita um acesso extraterritorial aos dados pessoais tratados na União, sem autorização nos termos da legislação da União ou dos Estados-Membros, deve considerar tal possibilidade como indicativa de falta de adequação. Se for esse o caso, deve ser proibida a transferência de dados pessoais para esse país terceiro. Nesse caso, devem ser adotadas medidas tendo em vista uma consulta entre a Comissão e esse país terceiro ou organização internacional. [Alt. 55] |
| (83) | In the absence of an adequacy decision, the controller or processor should take measures to compensate for the lack of data protection in a third country by way of appropriate safeguards for the data subject. Such appropriate safeguards may consist of making use of binding corporate rules, standard data protection clauses adopted by the Commission, standard data protection clauses adopted by a supervisory authority or contractual clauses authorised by a supervisory authority, or other suitable and proportionate measures justified in the light of all the circumstances surrounding a data transfer operation or set of data transfer operations and where authorised by a supervisory authority. Those appropriate safeguards should uphold a respect of the data subject’s rights adequate to intra-EU processing, in particular relating to purpose limitation, right to access, rectification, erasure and to claim compensation. Those safeguards should in particular guarantee the observance of the principles of personal data processing, safeguard the data subject’s rights and provide for effective redress mechanisms, ensure the observance of the principles of data protection by design and by default, guarantee the existence of a data protection officer. [Am. 56] | (83) | Na falta de uma decisão sobre o nível de proteção adequado, o responsável pelo tratamento ou o subcontratante deve adotar as medidas necessárias para colmatar a insuficiência da proteção de dados no país terceiro através de garantias adequadas a favor do titular de dados. Essas medidas adequadas podem consistir na utilização de regras vinculativas para empresas, cláusulas-tipo de proteção de dados adotadas pelas Comissão, cláusulas-tipo de proteção de dados adotadas por uma autoridade de controlo, ou cláusulas contratuais autorizadas por esta autoridade. Essas garantias adequadas devem assegurar o mesmo respeito pelos direitos dos titulares de dados como no âmbito do tratamento no interior da UE, em particular no que diz respeito à limitação da finalidade, ao direito de acesso, à retificação, ao apagamento e à indemnização. Estas garantias devem, em particular, assegurar a observância dos princípios do tratamento de dados pessoais, a salvaguarda dos direitos do respetivo titular e estabelecer mecanismos de recurso eficazes, garantir a observância dos princípios da proteção de dados desde a conceção e por defeito, e assegurar a existência de um delegado para a proteção de dados. [Alt. 56] |
| (84) | The possibility for the controller or processor to use standard data protection clauses adopted by the Commission or by a supervisory authority should neither prevent the possibility for controllers or processors to include the standard data protection clauses in a wider contract nor to add other clauses or supplementary safeguards as long as they do not contradict, directly or indirectly, the standard contractual clauses adopted by the Commission or by a supervisory authority or prejudice the fundamental rights or freedoms of the data subjects. The standard data protection clauses adopted by the Commission could cover different situations, namely transfers from controllers established in the Union to controllers established outside the Union and from controllers established in the Union to processors, including sub-processors, established outside the Union. Controllers and processors should be encouraged to provide even more robust safeguards via additional contractual commitments that supplement standard protection clauses. [Am. 57] | (84) | A possibilidade de o responsável pelo tratamento ou o subcontratante utilizarem cláusulas-tipo de proteção de dados adotadas pela Comissão ou por uma autoridade de controlo não os deve impedir de incluírem estas cláusulas num contrato mais abrangente, nem de acrescentarem outras cláusulas, ou garantias adicionais, desde que não sejam contraditórias, direta ou indiretamente, em relação às cláusulas contratuais-tipo adotadas pela Comissão ou por uma autoridade de controlo, e sem prejuízo dos direitos ou liberdades fundamentais dos titulares de dados. As cláusulas-tipo de proteção de dados adotadas pela Comissão podem abranger diferentes situações, designadamente, transferências de responsáveis pelo tratamento estabelecidos na União para responsáveis pelo tratamento estabelecidos fora dela, e de responsáveis pelo tratamento estabelecidos na União para subcontratantes, incluindo subcontratantes ulteriores, estabelecidos fora da União. Os responsáveis pelo tratamento e os subcontratantes devem ser encorajados a apresentar garantias ainda mais sólidas, através de compromissos contratuais adicionais que complementem as cláusulas-tipo de proteção. [Alt. 57] |
| (85) | A corporate group should be able to make use of approved binding corporate rules for its international transfers from the Union to organisations within the same corporate group of undertakings, as long as such corporate rules include all essential principles and enforceable rights to ensure appropriate safeguards for transfers or categories of transfers of personal data. [Am. 58] | (85) | Um grupo empresarial deve poder utilizar as regras vinculativas para empresas aprovadas para as suas transferências internacionais da União para entidades pertencentes ao mesmo grupo empresarial, desde que essas regras incluam todos os princípios essenciais e direitos oponíveis visando assegurar garantias adequadas às transferências ou categorias de transferências de dados pessoais. [Alt. 58] |
| (86) | Provisions should be made for the possibility for transfers in certain circumstances where the data subject has given his consent, where the transfer is necessary in relation to a contract or a legal claim, where important grounds of public interest laid down by Union or Member State law so require or where the transfer is made from a register established by law and intended for consultation by the public or persons having a legitimate interest. In this latter case such a transfer should not involve the entirety of the data or entire categories of the data contained in the register and, when the register is intended for consultation by persons having a legitimate interest, the transfer should be made only at the request of those persons or if they are to be the recipients , taking into full account the interests and fundamental rights of the data subject . [Am. 59] | (86) | É conveniente prever a possibilidade de transferências em determinadas circunstâncias se o titular dos dados deu o seu consentimento, se a transferência for necessária em relação a um contrato ou um processo judicial, se motivos importantes de interesse público previstos pela legislação União ou de um Estado-Membro o exigirem, ou se a transferência for efetuada a partir de um registo criado por lei e destinado à consulta do público ou de pessoas com um interesse legítimo. Neste último caso, a transferência não deve abranger a totalidade dos dados nem categorias completas de dados contidos nesse registo e, quando este último se destinar a ser consultado por pessoas com um interesse legítimo, a transferência apenas deve ser efetuada a pedido dessas pessoas ou caso sejam os seus destinatários , tendo plenamente em conta os interesses e os direitos fundamentais do titular de dados . [Alt. 59] |
| (87) | These derogations should in particular apply to data transfers required and necessary for the protection of important grounds of public interest, for example in cases of international data transfers between competition authorities, tax or customs administrations, financial supervisory authorities, between services competent for social security matters or for public health , or to competent public authorities for the prevention, investigation, detection and prosecution of criminal offences , including for the prevention of money laundering and the fight against terrorist financing. A transfer of personal data should equally be regarded as lawful where it is necessary to protect an interest which is essential for the data subject’s or another person’s life, if the data subject is incapable of giving consent. Transferring personal data for such important grounds of public interest should only be used for occasional transfers. In each and every case, a careful assessment of all circumstances of the transfer should be carried out . [Am. 60] | (87) | Estas derrogações devem ser aplicáveis, em especial, às transferências de dados exigidas e necessárias à proteção de interesses públicos importantes, por exemplo em caso de transferências internacionais de dados entre autoridades de concorrência, fiscais ou aduaneiras, ou entre serviços competentes em matéria de segurança social ou saúde pública , ou em caso de transferência para as autoridades públicas competentes , responsáveis pela prevenção, investigação, deteção e repressão de infrações penais , incluindo a prevenção do branqueamento de capitais e o combate ao financiamento do terrorismo . Deve igualmente ser considerada legal a transferência de dados pessoais que seja necessária para a proteção de um interesse essencial da vida do titular dos dados ou de outra pessoa, se o titular estiver impossibilitado de dar o seu consentimento. A transferência de dados pessoais por motivos de interesse público tão importantes só deve ocorrer ocasionalmente. Em cada caso, convém proceder a uma avaliação cuidadosa de todas as circunstâncias da transferência. [Alt. 60] |
| (88) | Transfers which cannot be qualified as frequent or massive, could also be possible for the purposes of the legitimate interests pursued by the controller or the processor, when they have assessed all the circumstances surrounding the data transfer. For the purposes of processing for historical, statistical and scientific research purposes, the legitimate expectations of society for an increase of knowledge should be taken into consideration. [Am. 61] | (88) | As transferências que não podem ser classificadas como frequentes ou maciças são igualmente possíveis para efeitos de prossecução dos interesses legítimos do responsável pelo tratamento ou do subcontratante, após terem sido avaliadas todas as circunstâncias associadas à operação de transferência. Para fins de tratamento com finalidade de investigação histórica, estatística ou científica, devem ser adotadas em consideração as expectativas legítimas da sociedade em matéria de progresso dos conhecimentos. [Alt. 61] |
| (89) | In any case, where the Commission has taken no decision on the adequate level of data protection in a third country, the controller or processor should make use of solutions that provide data subjects with a legally binding guarantee that they will continue to benefit from the fundamental rights and safeguards as regards processing of their data in the Union once those data have been transferred , to the extent that the processing is not massive, not repetitive and not structural . That guarantee should include financial indemnification in cases of loss or unauthorised access or processing of the data and an obligation, regardless of national legislation, to provide full details of all access to the data by public authorities in the third country . [Am. 62] | (89) | Em qualquer caso, se a Comissão não tiver tomado qualquer decisão relativamente ao nível de proteção adequado de dados num país terceiro, o responsável pelo tratamento ou o subcontratante deve adotar soluções que ofereçam aos titulares de dados a garantia vinculativa de que continuarão a beneficiar dos direitos e garantias fundamentais quanto ao tratamento dos seus dados na União, após a transferência dos mesmos , na medida em que não se trata de um tratamento em grande escala, repetitivo e estrutural . Essa garantia deve incluir o ressarcimento financeiro em casos de perda ou de acesso ou tratamento não autorizados dos dados, e a obrigação, independentemente da legislação nacional, de fornecer detalhes completos sobre todo o acesso aos dados por parte das autoridades públicas no país terceiro. [Alt. 62] |
| (90) | Some third countries enact laws, regulations and other legislative instruments which purport to directly regulate data processing activities of natural and legal persons under the jurisdiction of the Member States. The extraterritorial application of these laws, regulations and other legislative instruments may be in breach of international law and may impede the attainment of the protection of individuals guaranteed in the Union by this Regulation. Transfers should only be allowed where the conditions of this Regulation for a transfer to third countries are met. This may inter alia be the case where the disclosure is necessary for an important ground of public interest recognised in Union law or in a Member State law to which the controller is subject. The conditions under which an important ground of public interest exists should be further specified by the Commission in a delegated act. In cases where controllers or processors are confronted with conflicting compliance requirements between the jurisdiction of the Union on the one hand, and that of a third country on the other, the Commission should ensure that Union law takes precedence at all times. The Commission should provide guidance and assistance to the controller and processor, and it should seek to resolve the jurisdictional conflict with the third country in question . [Am. 63] | (90) | Alguns países terceiros aprovam leis, regulamentos e outros instrumentos legislativos destinados a regular diretamente as atividades de tratamento de dados pelas pessoas singulares e coletivas sob a jurisdição dos Estados-Membros. Em virtude da sua aplicabilidade extraterritorial, essas leis, regulamentos e outros instrumentos legislativos podem violar o direito internacional e obstar à realização do objetivo de proteção das pessoas singulares, assegurado na União Europeia pelo presente regulamento. As transferências só devem ser autorizadas quando as condições estabelecidas pelo presente regulamento para as transferências para os países terceiros estejam preenchidas. Pode ser o caso, nomeadamente, sempre que a divulgação for necessária por um motivo importante de interesse público, reconhecido pelo direito da União, ou pelo direito do Estado-Membro ao qual o responsável pelos dados está sujeito. As condições para a existência de um motivo importante de interesse público devem ser precisadas pela Comissão mediante um ato delegado. Nos casos em que os responsáveis pelo tratamento ou os subcontratantes se vejam confrontados com exigências de conformidade contraditórias entre a jurisdição da UE, por um lado, e a de um país terceiro, por outro, a Comissão deve velar por que a legislação da UE prevaleça em todas as circunstâncias. A Comissão deve fornecer orientações e assistência ao responsável pelo tratamento e ao subcontratante, bem como procurar resolver os conflitos de jurisdição com o país terceiro em questão . [Alt. 63] |
| (91) | When personal data move across borders it may put at increased risk the ability of individuals to exercise data protection rights in particular to protect themselves from the unlawful use or disclosure of that information. At the same time, supervisory authorities may find that they are unable to pursue complaints or conduct investigations relating to the activities outside their borders. Their efforts to work together in the cross-border context may also be hampered by insufficient preventative or remedial powers, inconsistent legal regimes, and practical obstacles like resource constraints. Therefore, there is a need to promote closer co-operation among data protection supervisory authorities to help them exchange information and carry out investigations with their international counterparts. | (91) | Sempre que os dados pessoais atravessam fronteiras, há um risco acrescido de que as pessoas singulares não possam exercer os seus direitos à proteção de dados, nomeadamente para se proteger da utilização ilícita ou da divulgação dessas informações. Paralelamente, as autoridades de controlo podem ser incapazes de dar seguimento a queixas ou conduzir investigações relacionadas com atividades exercidas fora das suas fronteiras. Os seus esforços para colaborar no contexto transfronteiriço podem ser também restringidos por poderes preventivos ou medidas de reparação insuficientes, regimes jurídicos incoerentes e obstáculos práticos, tais como a limitação de recursos. Por conseguinte, revela-se necessário promover uma cooperação mais estreita entre as autoridades de controlo da proteção de dados, a fim de que possam efetuar o intercâmbio de informações e realizar investigações com as suas homólogas internacionais. |
| (92) | The establishment of supervisory authorities in Member States, exercising their functions with complete independence, is an essential component of the protection of individuals with regard to the processing of their personal data. Member States may establish more than one supervisory authority, to reflect their constitutional, organisational and administrative structure. An authority shall have adequate financial and personal resources to fully carry out its role, taking into account the size of the population and the amount of personal data processing. [Am. 64] | (92) | A criação de autoridades de controlo nos Estados-Membros, que exerçam as suas funções com total independência, constitui um elemento essencial da proteção das pessoas singulares no que respeita ao tratamento dos seus dados pessoais. Os Estados-Membros podem criar mais do que uma autoridade de controlo que traduza a sua estrutura constitucional, organizacional e administrativa. Uma autoridade deve dispor dos recursos financeiros e do pessoal adequados para desempenhar plenamente o seu papel, tendo em conta o número de habitantes e a quantidade de dados pessoais objeto de tratamento. [Alt. 64] |
| (93) | Where a Member State establishes several supervisory authorities, it should establish by law mechanisms for ensuring the effective participation of those supervisory authorities in the consistency mechanism. That Member State should in particular designate the supervisory authority which functions as a single contact point for the effective participation of those authorities in the mechanism, to ensure swift and smooth co-operation with other supervisory authorities, the European Data Protection Board and the Commission. | (93) | Sempre que um Estado-Membro crie várias autoridades de controlo, deve prever, na sua legislação, mecanismos que garantam a participação efetiva dessas autoridades de controlo no mecanismo de controlo da coerência. Esse Estado-Membro deve, em particular, designar a autoridade de controlo que servirá de ponto de contacto único, para permitir a participação efetiva dessas autoridades nesse mecanismo, a fim de assegurar uma cooperação rápida e fácil com outras autoridades de controlo, com o Comité Europeu para a Proteção de Dados e com a Comissão. |
| (94) | Each supervisory authority should be provided with the adequate financial and human resources, paying particular attention to ensuring adequate technical and legal skills of staff, premises and infrastructure, which is necessary for the effective performance of their tasks, including for the tasks related to mutual assistance and co-operation with other supervisory authorities throughout the Union. [Am. 65] | (94) | Cada autoridade de controlo deve receber os recursos financeiros e humanos e, em particular, garantir as competências técnicas e jurídicas adequadas do seu pessoal , as instalações e infraestruturas adequadas que são necessários ao desempenho eficaz das suas funções, incluindo as relacionadas com a assistência e a cooperação mútuas com outras autoridades de controlo da União. [Alt. 65] |
| (95) | The general conditions for the members of the supervisory authority should be laid down by law in each Member State and should in particular provide that those members should be either appointed by the parliament or the government of the Member State taking due care to minimise the possibility of political interference , and include rules on the personal qualification of the members , the avoidance of conflicts of interest and the position of those members. [Am. 66] | (95) | As condições gerais aplicáveis aos membros da autoridade de controlo devem ser definidas por lei em cada Estado-Membro e devem prever, em especial, que esses membros são nomeados pelo parlamento ou pelo governo nacional, tomando as medidas necessárias para minimizar a possibilidade de interferência política, e incluir disposições sobre a qualificação , a ausência de conflitos de interesses e funções desses membros. [Alt. 66] |
| (96) | The supervisory authorities should monitor the application of the provisions pursuant to this Regulation and contribute to its consistent application throughout the Union, in order to protect natural persons in relation to the processing of their personal data and to facilitate the free flow of personal data within the internal market. For that purpose, the supervisory authorities should co-operate with each other and the Commission. | (96) | As autoridades de controlo devem controlar a aplicação das disposições do presente regulamento e contribuir para a sua aplicação coerente em toda a União, a fim de proteger as pessoas singulares relativamente ao tratamento dos seus dados pessoais e facilitar a livre circulação desses dados a nível do mercado interno. Para esse efeito, as autoridades de controlo devem cooperar entre si e com a Comissão. |
| (97) | Where the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union takes place in more than one Member State, one single supervisory authority should be competent for monitoring the activities of act as the single contact point and the lead authority responsible for supervising the controller or processor throughout the Union and taking the related decisions, in order to increase the consistent application, provide legal certainty and reduce administrative burden for such controllers and processors. [Am. 67] | (97) | Sempre que, na União, o tratamento de dados pessoais no contexto das atividades de um estabelecimento de um responsável pelo tratamento ou de um subcontratante ocorre em vários Estados-Membros, é conveniente que uma única autoridade de controlo tenha a competência para supervisionar as atividades sirva de ponto de contacto e constitua a principal autoridade responsável em matéria de controlo do responsável pelo tratamento ou do subcontratante em toda a União e adotar que adote as decisões correspondentes, a fim de favorecer a aplicação coerente, assegurar segurança jurídica e reduzir os encargos administrativos para esses responsáveis pelo tratamento e subcontratantes. [Alt. 67] |
| (98) | The competent lead authority, providing such one-stop shop, should be the supervisory authority of the Member State in which the controller or processor has its main establishment or its representative . The European Data Protection Board may designate the lead authority through the consistency mechanism in certain cases at the request of a competent authority. [Am. 68] | (98) | A autoridade competente principal , que atua portanto na qualidade de balcão único, deve ser a autoridade de controlo do Estado-Membro no qual o responsável pelo tratamento ou o subcontratante tem o seu estabelecimento principal ou esteja representado . O Comité Europeu da Proteção de Dados pode designar a autoridade principal através do mecanismo de controlo da coerência, em certos casos, a pedido de uma autoridade competente . [Alt. 68] |
| (98a) | Data subjects whose personal data are processed by a data controller or processor in another Member State should be able to complain to the supervisory authority of their choice. The lead data protection authority should coordinate its work with that of the other authorities involved. [Am. 69] | (98-A) | As pessoas cujos dados pessoais são tratados por um responsável ou um subcontratante noutro Estado Membro devem poder apresentar queixa à autoridade de controlo da sua escolha. A autoridade principal de proteção de dados deve coordenar o seu trabalho com o das demais autoridades implicadas. [Alt. 69] |
| (99) | While this Regulation applies also to the activities of national courts, the competence of the supervisory authorities should not cover the processing of personal data when courts are acting in their judicial capacity, in order to safeguard the independence of judges in the performance of their judicial tasks. However, this exemption should be strictly limited to genuine judicial activities in court cases and not apply to other activities where judges might be involved in, in accordance with national law. | (99) | Embora o presente regulamento se aplique também às atividades dos tribunais nacionais, a competência das autoridades de controlo não abrange o tratamento de dados pessoais quando os tribunais atuarem no âmbito das suas funções jurisdicionais, a fim de assegurar a independência dos juízes no exercício das suas funções jurisdicionais. Todavia, esta exceção deve ser estritamente limitada às atividades meramente judiciais relativas a processos em tribunal e não ser aplicável a outras atividades a que os juízes possam estar associados por força do direito nacional. |
| (100) | In order to ensure consistent monitoring and enforcement of this Regulation throughout the Union, the supervisory authorities should have in each Member State the same duties and effective powers, including powers of investigation, legally binding intervention, decisions and sanctions, particularly in cases of complaints from individuals, and to engage in legal proceedings. Investigative powers of supervisory authorities as regards access to premises should be exercised in conformity with Union law and national law. This concerns in particular the requirement to obtain a prior judicial authorisation. | (100) | A fim de assegurar o controlo e aplicação coerentes do presente regulamento no conjunto da União, as autoridades de controlo devem ter, em cada Estado-Membro, as mesmas funções e poderes efetivos, incluindo os poderes de investigação, de intervenção vinculativa, de deliberação e de sanção, particularmente em caso de queixas apresentadas por pessoas singulares, bem como o poder de intervir em processos judiciais. Os poderes de investigação das autoridades de controlo em matéria de acesso às instalações devem ser exercidos em conformidade com o direito da União e o direito nacional. Tal diz especialmente respeito à obrigação de obter previamente uma autorização judicial. |
| (101) | Each supervisory authority should hear complaints lodged by any data subject or by associations acting in the public interest and should investigate the matter. The investigation following a complaint should be carried out, subject to judicial review, to the extent that is appropriate in the specific case. The supervisory authority should inform the data subject or the association of the progress and the outcome of the complaint within a reasonable period. If the case requires further investigation or coordination with another supervisory authority, intermediate information should be given to the data subject. [Am. 70] | (101) | Cada autoridade de controlo deve receber as queixas apresentadas por qualquer titular de dados ou associação que age no interesse público e investigar a matéria. A investigação decorrente de uma queixa deve ser realizada, sujeita a revisão judicial, na medida adequada ao caso específico. A autoridade de controlo deve informar a pessoa ou a associação em causa da evolução e do resultado da queixa num prazo razoável. Se o caso exigir maior investigação ou a coordenação com outra autoridade de controlo, devem ser comunicadas informações intermédias ao titular dos dados. [Alt. 70] |
| (102) | Awareness raising activities by supervisory authorities addressed to the public should include specific measures directed at controllers and processors, including micro, small and medium-sized enterprises, as well as data subjects. | (102) | As atividades de sensibilização das autoridades de controlo dirigidas ao público devem incluir medidas específicas a favor dos responsáveis pelo tratamento e subcontratantes, incluindo as micro, pequenas e médias empresas, bem como os titulares de dados. |
| (103) | The supervisory authorities should assist each other in performing their duties and provide mutual assistance, so as to ensure the consistent application and enforcement of this Regulation in the internal market. | (103) | As autoridades de controlo devem prestar-se mutuamente assistência no desempenho das suas funções por forma a assegurar a execução e aplicação coerentes do presente regulamento no mercado interno. |
| (104) | Each supervisory authority should have the right to participate in joint operations between supervisory authorities. The requested supervisory authority should be obliged to respond to the request in a defined time period. | (104) | Cada autoridade de controlo pode participar em operações conjuntas entre autoridades de controlo. A autoridade de controlo requerida é obrigada a responder ao pedido dentro de um determinado prazo. |
| (105) | In order to ensure the consistent application of this Regulation throughout the Union, a consistency mechanism for co-operation between the supervisory authorities themselves and the Commission should be established. This mechanism should in particular apply where a supervisory authority intends to take a measure as regards processing operations that are related to the offering of goods or services to data subjects in several Member States, or to the monitoring of such data subjects, or that might substantially affect the free flow of personal data. It should also apply where any supervisory authority or the Commission requests that the matter should be dealt with in the consistency mechanism. Furthermore, the data subjects should have the right to obtain consistency, if they deem a measure by a Data Protection Authority of a Member State has not fulfilled this criterion . This mechanism should be without prejudice to any measures that the Commission may take in the exercise of its powers under the Treaties. [Am. 71] | (105) | A fim de assegurar a aplicação coerente do presente regulamento em toda a União, deve ser criado um mecanismo de controlo da coerência para enquadrar a cooperação entre as próprias autoridades de controlo e a Comissão. Este mecanismo deve ser aplicável, nomeadamente, sempre que uma autoridade de controlo previr adotar uma medida em relação a operações de tratamento que estão relacionadas com a oferta de bens ou serviços aos titulares de dados em diversos Estados-Membros, ou com o controlo dessas pessoas, ou suscetíveis de afetar substancialmente a livre circulação de dados pessoais. Aplica-se igualmente sempre que uma autoridade de controlo ou a Comissão solicitar que essa matéria seja tratada no âmbito do mecanismo de controlo da coerência. Além disso, os titulares dos dados devem ter o direito de obter coerência, se considerarem que uma medida tomada por uma autoridade de proteção de dados de um Estado-Membro não cumpriu este critério. Este mecanismo não deve prejudicar medidas eventualmente adotadas pela Comissão no exercício das suas competências nos termos dos Tratados. [Alt. 71] |
| (106) | In application of the consistency mechanism, the European Data Protection Board should, within a determined period of time, issue an opinion, if a simple majority of its members so decides or if so requested by any supervisory authority or the Commission. | (106) | Em aplicação do mecanismo de controlo da coerência, o Comité Europeu para a Proteção de Dados deve emitir um parecer, dentro de um determinado prazo, se a maioria simples dos seus membros assim o decidir ou se for para tal solicitado por qualquer autoridade de controlo ou pela Comissão. |
| (106a) | In order to ensure the consistent application of this Regulation, the European Data Protection Board may in individual cases adopt a decision which is binding on the competent supervisory authorities. [Am. 72] | (106-A) | A fim de assegurar a aplicação coerente do presente regulamento, o Comité Europeu para a Proteção de Dados pode, em casos isolados, adotar uma decisão vinculativa para as autoridades de controlo competentes. [Alt. 72] |
| (107) | In order to ensure compliance with this Regulation, the Commission may adopt an opinion on this matter, or a decision, requiring the supervisory authority to suspend its draft measure. [Am. 73] | (107) | A fim de assegurar o respeito do presente regulamento, a Comissão pode emitir um parecer sobre esta matéria, ou uma decisão que solicite à autoridade de controlo a suspensão do seu projeto de medida. [Alt. 73] |
| (108) | There may be an urgent need to act in order to protect the interests of data subjects, in particular when the danger exists that the enforcement of a right of a data subject could be considerably impeded. Therefore, a supervisory authority should be able to adopt provisional measures with a specified period of validity when applying the consistency mechanism. | (108) | Pode ser urgente agir, a fim de proteger os interesses dos titulares de dados, em especial quando existir perigo de impedimento considerável do exercício de um direito da pessoa em causa. Por essa razão, a autoridade de controlo deve poder adotar medidas provisórias, válidas por um período específico, aquando da aplicação do mecanismo de controlo da coerência. |
| (109) | The application of this mechanism should be a condition for the legal validity and enforcement of the respective decision by a supervisory authority. In other cases of cross-border relevance, mutual assistance and joint investigations might be carried out between the concerned supervisory authorities on a bilateral or multilateral basis without triggering the consistency mechanism. | (109) | A aplicação deste mecanismo deve condicionar a validade jurídica e execução da decisão correspondente por uma autoridade de controlo. Noutros casos com dimensão transfronteiriça, a assistência mútua e as investigações conjuntas podem ser realizadas entre as autoridades de controlo em causa, bilateral ou multilateralmente, sem para o efeito ser necessário ativar o mecanismo de controlo da coerência. |
| (110) | At Union level, a European Data Protection Board should be set up. It should replace the Working Party on the Protection of Individuals with Regard to the Processing of Personal Data established by Directive 95/46/EC. It should consist of a head of a supervisory authority of each Member State and of the European Data Protection Supervisor. The Commission should participate in its activities. The European Data Protection Board should contribute to the consistent application of this Regulation throughout the Union, including by advising the Commission institutions of the Union and promoting co-operation of the supervisory authorities throughout the Union , including the coordination of joint operations . The European Data Protection Board should act independently when exercising its tasks. The European Data Protection Board should strengthen the dialogue with concerned stakeholders such as data subjects’ associations, consumer organisations, data controllers and other relevant stakeholders and experts. [Am. 74] | (110) | A nível da União, deve ser criado um Comité Europeu para a Proteção de Dados. Este Comité deve substituir o Grupo de Trabalho sobre a proteção das pessoas no que diz respeito ao tratamento de dados pessoais instituído pelo artigo 29.o da Diretiva 95/46/CE. Deve ser composto por um diretor da autoridade de controlo de cada Estado-Membro e da Autoridade Europeia para a Proteção de Dados. A Comissão deve participar nas suas atividades. O Comité Europeu para a Proteção de Dados deve contribuir para a aplicação coerente do presente regulamento em toda a União, nomeadamente no aconselhamento das instituições da União Europeia e na promoção da cooperação das autoridades de controlo no conjunto da União , incluindo a coordenação de operações conjuntas . O Comité Europeu para a Proteção de Dados deve ser independente no exercício das suas funções. O Comité Europeu para a Proteção de Dados deve reforçar o diálogo com as partes interessadas em causa, tais como as associações de titulares de dados, as associações de consumidores e outras partes interessadas e peritos relevantes. [Alt. 74] |
| (111) | Every data Data subject subjects should have the right to lodge a complaint with a supervisory authority in any Member State and have the right to a an effective judicial remedy in accordance with Article 47 of the Charter if they consider that their rights under this Regulation are infringed or where the supervisory authority does not react on a complaint or does not act where such action is necessary to protect the rights of the data subject. [Am. 75] | (111) | Qualquer O titular de dados deve ter o direito de apresentar uma queixa à autoridade de controlo em qualquer Estado-Membro e dispor do direito de ação judicial efetiva, em conformidade com o artigo 47.o da Carta, se considerar que os direitos que lhe confere o presente regulamento foram violados, se a autoridade de controlo não responder à queixa ou não agir conforme necessário para proteger os seus direitos. [Alt. 75] |
| (112) | Any body, organisation or association which aims to protects the rights and interests of data subjects in relation to the protection of their data acts in the public interest and is constituted according to the law of a Member State should have the right to lodge a complaint with a supervisory authority on behalf of data subjects with their consent or exercise the right to a judicial remedy on behalf of if mandated by the data subjects subject , or to lodge, independently of a data subject's complaint, an own complaint where it considers that a personal data breach of this Regulation has occurred. [Am. 76] | (112) | Qualquer organismo, organização ou associação que vise proteger os direitos e interesses dos titulares de dados no que respeita à proteção dos seus dados , age no interesse público e que seja constituído ao abrigo do direito de um Estado-Membro, deve poder apresentar uma queixa junto de uma autoridade de controlo ,em nome dos interessados e com o consentimento destes, ou exercer o direito de ação judicial em nome das pessoas em causa, se foi autorizado pelos titulares de dados , ou apresentar, independentemente da queixa apresentada pela pessoa em causa, uma queixa em seu próprio nome, sempre que considere ter ocorrido uma violação de dados pessoais do presente regulamento. [Alt. 76] |
| (113) | Each natural or legal person should have the right to a judicial remedy against decisions of a supervisory authority concerning them. Proceedings against a supervisory authority should be brought before the courts of the Member State, where the supervisory authority is established. | (113) | Qualquer pessoa, singular ou coletiva, deve ter o direito a ação judicial contra as decisões que lhes digam respeito emitidas por uma autoridade de controlo. As ações contra uma autoridade de controlo devem ser intentadas nos tribunais do Estado-Membro no território do qual se encontra estabelecida a autoridade de controlo. |
| (114) | In order to strengthen the judicial protection of the data subject in situations where the competent supervisory authority is established in another Member State than the one where the data subject is residing, the data subject may request mandate any body, organisation or association aiming to protect the rights and interests of data subjects in relation to the protection of their data acting in the public interest to bring on the data subject's behalf proceedings against that supervisory authority to the competent court in the other Member State. [Am. 77] | (114) | A fim de reforçar a proteção judicial do titular dos dados em situações em que a autoridade de controlo competente se encontra estabelecida noutro Estado-Membro diferente do de residência da pessoa em causa, esta última pode solicitar mandatar a qualquer organismo, organização ou associação que vise proteger os direitos e interesses dos titulares de dados relativamente à proteção dos seus dados, que age no interesse público a que intente uma ação por sua conta contra essa autoridade de controlo no tribunal competente do outro Estado-Membro. [Alt. 77] |
| (115) | In situations where the competent supervisory authority established in another Member State does not act or has taken insufficient measures in relation to a complaint, the data subject may request the supervisory authority in the Member State of his or her habitual residence to bring proceedings against that supervisory authority to the competent court in the other Member State. This does not apply to non-EU residents. The requested supervisory authority may decide, subject to judicial review, whether it is appropriate to follow the request or not. [Am. 78] | (115) | Quando a autoridade de controlo competente estabelecida noutro Estado-Membro não adotar as medidas necessárias ou o fizer de forma insuficiente em relação a uma queixa, o titular dos dados pode solicitar à autoridade de controlo do Estado-Membro da sua residência habitual que intente uma ação contra a autoridade de controlo em falta no tribunal competente do outro Estado-Membro. Isto não se aplica aos residentes em países terceiros. A autoridade de controlo requerida pode decidir, sem prejuízo de ação judicial, se é ou não adequado responder a esse pedido. [Alt. 78] |
| (116) | For proceedings against a controller or processor, the plaintiff should have the choice to bring the action before the courts of the Member States where the controller or processor has an establishment or , in case of EU residence, where the data subject resides, unless the controller is a public authority of the Union or a Member State acting in the exercise of its public powers. [Am. 79] | (116) | No que diz respeito a ações intentadas contra o responsável pelo tratamento ou o subcontratante, o requerente pode optar entre intentar a ação nos tribunais do Estado-Membro em que está estabelecido o responsável pelo tratamento ou o subcontratante, ou , em caso de residência no território da UE, nos tribunais do Estado-Membro de residência da pessoa em causa, salvo se o responsável pelo tratamento for uma autoridade da União Europeia ou de um Estado-Membro atuando no exercício dos seus poderes públicos. [Alt. 79] |
| (117) | Where there are indications that parallel proceedings are pending before the courts in different Member States, the courts should be obliged to contact each other. The courts should have the possibility to suspend a case where a parallel case is pending in another Member State. Member States should ensure that court actions, in order to be effective, should allow the rapid adoption of measures to remedy or prevent an infringement of this Regulation. | (117) | Se existirem indicações de que correm processos paralelos em tribunais de diferentes Estados-Membros, esses tribunais têm a obrigação de se contactarem mutuamente. Os tribunais têm a possibilidade de suspender um processo quando um processo paralelo estiver pendente noutro Estado-Membro. Os Estados-Membros devem assegurar que as ações judiciais, para que sejam eficazes, permitam a adoção rápida de medidas visando a reparação ou a prevenção de uma violação prevista no presente regulamento. |
| (118) | Any damage , whether pecuniary or not, which a person may suffer as a result of unlawful processing should be compensated by the controller or processor, who may be exempted from liability only if they prove he proves that they are he is not responsible for the damage, in particular where he establishes fault on the part of the data subject or in case of force majeure. [Am. 80] | (118) | Qualquer dano , pecuniário ou não, de que uma pessoa possa ser vítima em virtude de um tratamento ilícito deve ser ressarcido pelo responsável pelo tratamento, ou pelo subcontratante, que no entanto pode ser exonerado da sua responsabilidade apenas se provar que o facto que causou o causador do dano não lhe é imputável, nomeadamente se provar que o dano é imputável à pessoa em causa ou em caso de força maior. [Alt. 80] |
| (119) | Penalties should be imposed to any person, whether governed by private or public law, who fails to comply with this Regulation. Member States should ensure that the penalties should be effective, proportionate and dissuasive and should take all measures to implement the penalties. The rules on penalties should be subject to appropriate procedural safeguards in conformity with the general principles of Union law and the Charter, including those concerning the right to an effective judicial remedy, due process and the principle of ne bis in idem. [Am. 81] | (119) | Devem ser aplicadas sanções a qualquer pessoa, de direito privado ou de direito público, que não respeite o disposto no presente regulamento. Os Estados-Membros devem assegurar que as sanções sejam efetivas, proporcionadas e dissuasivas, e adotar todas as medidas necessárias à sua aplicação. As regras em matéria de sanções devem estar sujeitas a salvaguardas processuais adequadas, em conformidade com os princípios gerais da legislação da União e da Carta, incluindo as relativas ao direito a um efectivo recurso judicial, a um processo adequado e ao princípio ne bis in idem. [Alt. 81] |
| (119a) | In applying penalties, Member States should show full respect for appropriate procedural safeguards, including the right to an effective judicial remedy, due process, and the principle of ne bis in idem. [Am. 82] | (119-A) | Ao aplicarem as sanções, os Estados-Membros devem respeitar plenamente as garantias processuais adequadas, incluindo o direito a uma ação judicial eficaz, o direito a um processo justo e o princípio «ne bis in idem». [Alt. 82] |
| (120) | In order to strengthen and harmonise administrative sanctions against infringements of this Regulation, each supervisory authority should have the power to sanction administrative offences. This Regulation should indicate these offences and the upper limit for the related administrative fines, which should be fixed in each individual case proportionate to the specific situation, with due regard in particular to the nature, gravity and duration of the breach. The consistency mechanism may also be used to cover divergences in the application of administrative sanctions. | (120) | A fim de reforçar e harmonizar as sanções administrativas aplicáveis em caso de infração ao presente regulamento, cada autoridade de controlo deve ter competência para sancionar as infrações administrativas. O presente regulamento deve definir essas infrações e o montante máximo das multas administrativas daí decorrentes, que deve ser fixado, para cada caso, proporcionalmente à situação específica, e tendo em devida conta, em particular, a natureza, a gravidade e a duração da violação. O mecanismo de controlo da coerência pode ser utilizado para resolver as divergências de aplicação das sanções administrativas. |
| (121) | The processing of personal data solely for journalistic purposes, or for the purposes of artistic or literary expression should qualify for exemption Whenever necessary, exemptions or derogations from the requirements of certain provisions of this Regulation for the processing of personal data should be provided for in order to reconcile the right to the protection of personal data with the right to freedom of expression, and notably the right to receive and impart information, as guaranteed in particular by Article 11 of the Charter. This should apply in particular to processing of personal data in the audiovisual field and in news archives and press libraries. Therefore, Member States should adopt legislative measures, which should lay down exemptions and derogations which are necessary for the purpose of balancing these fundamental rights. Such exemptions and derogations should be adopted by the Member States on general principles, on the rights of the data subject, on controller and processor, on the transfer of data to third countries or international organisations, on the independent supervisory authorities, and on co-operation and consistency and on specific data processing situations . This should not, however, lead Member States to lay down exemptions from the other provisions of this Regulation. In order to take account of the importance of the right to freedom of expression in every democratic society, it is necessary to interpret notions relating to that freedom, such as journalism, broadly. Therefore, Member States should classify activities as ‘journalistic’ for the purpose of the exemptions and derogations to be laid down under this Regulation if the object of these to cover all activities is which aim at the disclosure to the public of information, opinions or ideas, irrespective of the medium which is used to transmit them , also taking into account technological development . They should not be limited to media undertakings and may be undertaken for profit-making or for non-profit making purposes. [Am. 83] | (121) | O tratamento de dados pessoais para fins unicamente jornalísticos ou de expressão artística ou literária deve beneficiar de uma derrogação Sempre que necessário, devem ser previstas isenções ou derrogações a determinadas disposições do presente regulamento para o tratamento de dados pessoais , desde que tal seja necessário para conciliar o direito à proteção dos dados pessoais com o direito à liberdade de expressão, nomeadamente o direito à liberdade de receber e transmitir informações, tal como garantido, em especial, pelo artigo 11.o da Carta. Tal é aplicável, em especial, ao tratamento de dados pessoais no domínio do audiovisual e em arquivos de notícias e bibliotecas de imprensa escrita. Por conseguinte, os Estados-Membros devem adotar medidas legislativas que prevejam as isenções e derrogações necessárias para efeitos de equilíbrio destes direitos fundamentais. Tais isenções e derrogações devem ser adotadas pelos Estados-Membros em relação aos princípios gerais, aos direitos do titular de dados, ao responsável pelo tratamento e ao subcontratante, à transferência de dados para países terceiros ou para organizações internacionais, às autoridades de controlo independentes e à cooperação e à coerência e a situações específicas de tratamento de dados . Tal não deve levar, no entanto, os Estados-Membros a prever isenções às outras disposições do presente regulamento. Para ter em conta a importância do direito à liberdade de expressão em qualquer sociedade democrática, há que interpretar de forma ampla as noções associadas a esta liberdade, como por exemplo o jornalismo. Por conseguinte, para efeitos das isenções e derrogações a estabelecer por força do presente regulamento, os Estados-Membros deveriam qualificar como «jornalísticas» , a fim de cobrir todas as atividades que tenham por objeto comunicar ao público informações, opiniões ou ideias, qualquer que seja o suporte utilizado para as transmitir, tendo em conta também o desenvolvimento tecnológico . É conveniente não limitar essa categoria unicamente às atividades das empresas de comunicação social e incluir tanto as empresas que prosseguem fins lucrativos como as que os não prosseguem. [Alt. 83] |
| (122) | The processing of personal data concerning health, as a special category of data which deserves higher protection, may often be justified by a number of legitimate reasons for the benefit of individuals and society as a whole, in particular in the context of ensuring continuity of cross-border healthcare. Therefore this Regulation should provide for harmonised conditions for the processing of personal data concerning health, subject to specific and suitable safeguards so as to protect the fundamental rights and the personal data of individuals. This includes the right for individuals to have access to their personal data concerning their health, for example the data in their medical records containing such information as diagnosis, examination results, assessments by treating physicians and any treatment or interventions provided. | (122) | O tratamento de dados pessoais relativos à saúde, enquanto categoria especial de dados que merece uma proteção mais elevada, pode ser frequentemente justificado por diversos motivos legítimos, no interesse das pessoas e da sociedade como um todo, nomeadamente quando se trata de assegurar a continuidade dos cuidados de saúde além-fronteiras. Por conseguinte, o presente regulamento deve prever condições harmonizadas para o tratamento de dados pessoais relativos à saúde, sujeito a garantias específicas e adequadas com vista à proteção dos direitos fundamentais e dos dados pessoais das pessoas singulares. Aqui se inclui o seu direito de acederem aos dados pessoais sobre a sua saúde, por exemplo os dados dos registos médicos com informações como diagnósticos, resultados de exames, avaliações dos médicos e quaisquer intervenções ou tratamentos realizados. |
| (122a) | A professional who processes personal data concerning health should receive, if possible, anonymised or pseudonymised data, leaving the knowledge of the identity only to the general practitioner or to the specialist who has requested such data processing. [Am. 84] | (122-A) | Um profissional que efetue o tratamento de dados pessoais relativos à saúde deve receber, se possível, dados anónimos ou sob pseudónimo, deixando o conhecimento da identidade apenas ao médico de clínica geral ou ao especialista que solicitou o tratamento dos dados . [Alt. 84] |
| (123) | The processing of personal data concerning health may be necessary for reasons of public interest in the areas of public health, without consent of the data subject. In that context, ‘public health’ should be interpreted as defined in Regulation (EC) No 1338/2008 of the European Parliament and of the Council (9) of 16 December 2008 on Community statistics on public health and health and safety at work, meaning all elements related to health, namely health status, including morbidity and disability, the determinants having an effect on that health status, health care needs, resources allocated to health care, the provision of, and universal access to, health care as well as health care expenditure and financing, and the causes of mortality. Such processing of personal data concerning health for reasons of public interest should not result in personal data being processed for other purposes by third parties such as employers, insurance and banking companies. [Am. 85] | (123) | O tratamento de dados pessoais relativos à saúde pode ser necessário por razões de interesse público nos domínios da saúde pública, sem o consentimento do titular dos dados. Neste contexto, a noção de «saúde pública» é interpretada segundo a definição prevista no Regulamento (CE) n.o 1338/2008 do Parlamento Europeu e do Conselho (9) , de 16 de dezembro de 2008, relativo às estatísticas da União sobre saúde pública e saúde e segurança no trabalho, e designa todos os elementos relacionados com a saúde, a saber, o estado de saúde, incluindo a morbilidade e a incapacidade, as determinantes desse estado de saúde, as necessidades de cuidados de saúde, os recursos atribuídos aos cuidados de saúde, a prestação de cuidados de saúde e o acesso universal aos mesmos, assim como as despesas e o financiamento dos cuidados de saúde, e as causas de mortalidade. Esses tratamentos de dados pessoais sobre a saúde autorizados por motivos de interesse público não devem ter por resultado serem tratados para outros fins por terceiros, nomeadamente empregadores, companhias de seguros e entidades bancárias. [Alt. 85] |
| (123a) | The processing of personal data concerning health, as a special category of data, may be necessary for reasons of historical, statistical or scientific research. Therefore this Regulation foresees an exemption from the requirement of consent in cases of research that serves a high public interest. [Am. 86] | (123-A) | O tratamento de dados pessoais relativos à saúde, enquanto categoria especial de dados, pode ser necessário para fins de investigação histórica, estatística ou científica. Por isso, o presente regulamento prevê uma isenção à disposição de consentimento nos casos de investigação que satisfazem um interesse público excecional. [Alt. 86] |
| (124) | The general principles on the protection of individuals with regard to the processing of personal data should also be applicable to the employment and the social security context. Therefore, in order Member States should be able to regulate the processing of employees' personal data in the employment and the processing of personal data in the social security context in accordance with the rules and minimum standards set out in , Member States should be able, within the limits of this Regulation, to adopt by law specific rules for . Where a statutory basis is provided in the Member State in question for the regulation of employment matters by agreement between employee representatives and the management of the undertaking or the controlling undertaking of a group of undertakings (collective agreement) or under Directive 2009/38/EC of the European Parliament and of the Council (10) , the processing of personal data in the an employment sector context may also be regulated by such an agreement . [Am. 87] | (124) | Os princípios gerais de proteção das pessoas singulares no que respeita ao tratamento de dados pessoais também devem ser aplicáveis no domínio do emprego. Por conseguinte, a fim de e da segurança social . Os Estados-Membros devem poder regulamentar o tratamento de dados pessoais dos trabalhadores neste no contexto, os Estados-Membros devem poder adotar, nos limites do emprego e o tratamento de dados pessoais no contexto da segurança social, de acordo com as normas e os padrões mínimos definidos no âmbito do presente regulamento . Na medida em que exista, no Estado-Membro em causa, uma base legal que permita regulamentar os aspetos que relevam das relações laborais através de um acordo entre os representantes dos trabalhadores e a direção da empresa ou da empresa dominante de um grupo de empresas (acordo coletivo) ou nos termos da Diretiva 2009/38/CE do Parlamento Europeu e do Conselho (10) , disposições legislativas específicas relativas ao o tratamento de dados pessoais no setor num contexto laboral deve também poder ser regulamentado através de um acordo dessa natureza . [Alt. 87] |
| (125) | The processing of personal data for the purposes of historical, statistical or scientific research should, in order to be lawful, also respect other relevant legislation such as on clinical trials. | (125) | O tratamento de dados pessoais para fins de investigação histórica, estatística ou científica deve, para que seja lícito, igualmente respeitar outras legislações relevantes, tal como a relativa aos testes clínicos. |
| (125a) | Personal data may also be processed subsequently by archive services whose main or mandatory task is to collect, conserve, provide information about, exploit and disseminate archives in the public interest. Member State legislation should reconcile the right to the protection of personal data with the rules on archives and on public access to administrative information. Member States should encourage the drafting, in particular by the European Archives Group, of rules to guarantee the confidentiality of data vis-à-vis third parties and the authenticity, integrity and proper conservation of data. [Am. 88] | (125-A) | Os dados pessoais podem igualmente ser submetidos a tratamento posterior por serviços de arquivo que têm por função principal ou obrigação legal recolher, conservar, informar sobre, explorar e difundir arquivos no interesse geral. Os Estados-Membros devem conciliar o direito à proteção dos dados pessoais com a regulamentação aplicável aos arquivos e ao acesso dos cidadãos às informações administrativas. Os Estados-Membros incentivam a elaboração, em especial por parte do grupo dos arquivos europeus, de regras para garantir a confidencialidade dos dados em relação a terceiros e a autenticidade, integridade e conservação adequada dos dados. [Alt. 88] |
| (126) | Scientific research for the purposes of this Regulation should include fundamental research, applied research, and privately funded research and in addition should take into account the Union's objective under Article 179(1) of the Treaty on the Functioning of the European Union of achieving a European Research Area. The processing of personal data for historical, statistical and scientific research purposes should not result in personal data being processed for other purposes, unless with the consent of the data subject or on the basis of Union or Member State law. [Am. 89] | (126) | Para efeitos do presente regulamento, a noção de investigação científica deve incluir a investigação fundamental, a investigação aplicada e a investigação financiada pelo setor privado e, além disso, deve ter em conta o objetivo da União mencionado no artigo 179.o, n.o 1, do Tratado sobre o Funcionamento da União Europeia, que consiste em realizar um espaço europeu da investigação. O tratamento de dados pessoais para fins de investigação histórica, estatística ou científica não pode resultar no tratamento de dados pessoais para fins diferentes, exceto se o titular dos dados der o seu consentimento ou com base na legislação da União ou dos Estados-Membros. [Alt. 89] |
| (127) | As regards the powers of the supervisory authorities to obtain from the controller or processor access to personal data and access to its premises, Member States may adopt by law, within the limits of this Regulation, specific rules in order to safeguard the professional or other equivalent secrecy obligations, in so far as necessary to reconcile the right to the protection of personal data with an obligation of professional secrecy. | (127) | No que se refere aos poderes das autoridades de controlo para obter, junto do responsável pelo tratamento ou do subcontratante, o acesso aos dados pessoais e o acesso às suas instalações, os Estados-Membros podem adotar por lei, nos limites do presente regulamento, regras específicas visando preservar o sigilo profissional ou outras obrigações equivalentes, desde que tal seja necessário para conciliar o direito à proteção dos dados pessoais e uma obrigação de sigilo profissional. |
| (128) | This Regulation respects and does not prejudice the status under national law of churches and religious associations or communities in the Member States, as recognised in Article 17 of the Treaty on the Functioning of the European Union. As a consequence, where a church in a Member State applies, at the time of entry into force of this Regulation, comprehensive adequate rules relating to the protection of individuals with regard to the processing of personal data, these existing rules should continue to apply if they are brought in line with this Regulation and recognised as compliant . Such churches and religious associations should be required to provide for the establishment of a completely independent supervisory authority. [Am. 90] | (128) | O presente regulamento respeita e não afeta o estatuto de que beneficiam, ao abrigo do direito nacional, as igrejas e associações ou comunidades religiosas nos Estados-Membros, reconhecido pelo artigo 17.o do Tratado sobre o Funcionamento da União Europeia. Consequentemente, se uma igreja de um Estado-Membro aplicar, à data da entrada em vigor do presente regulamento, um conjunto completo de regras adequadas relacionadas com a proteção das pessoas singulares relativamente ao tratamento de dados pessoais, estas regras existentes devem continuar a ser aplicadas, desde que sejam conformes harmonizadas com o presente regulamento. Essas igrejas e associações religiosas devem ser obrigadas a criar uma autoridade de controlo totalmente independente e reconhecidas como conformes. [Alt. 90] |
| (129) | In order to fulfil the objectives of this Regulation, namely to protect the fundamental rights and freedoms of natural persons and in particular their right to the protection of personal data and to ensure the free movement of personal data within the Union, the power to adopt acts in accordance with Article 290 of the Treaty on the Functioning of the European Union should be delegated to the Commission. In particular, delegated acts should be adopted in respect of lawfulness of processing; specifying the criteria and conditions in relation to the consent of a child; processing of special categories of data; specifying the criteria and conditions for manifestly excessive requests and fees for exercising the rights of the data subject; criteria and requirements for the information to the data subject and in relation to the right of access conditions of icon-based mode for provision of information ; the right to be forgotten and to erasure; measures based on profiling; criteria and requirements in relation to the responsibility of the controller and to data protection by design and by default; a processor; criteria and requirements for the documentation and the security of processing; criteria and requirements for establishing a personal data breach and for its notification to the supervisory authority, and on the circumstances where a personal data breach is likely to adversely affect the data subject; the criteria and conditions for processing operations requiring a data protection impact assessment; the criteria and requirements for determining a high degree of specific risks which require prior consultation; designation and tasks of the data protection officer; declaring that codes of conduct are in line with this Regulation ; criteria and requirements for certification mechanisms; the adequate level of protection afforded by a third country or an international organisation; criteria and requirements for transfers by way of binding corporate rules; transfer derogations; administrative sanctions; processing for health purposes; and processing in the employment context and processing for historical, statistical and scientific research purposes. It is of particular importance that the Commission carry out appropriate consultations during its preparatory work, including at expert level, in particular with the European Data Protection Board . The Commission, when preparing and drawing-up delegated acts, should ensure a simultaneous, timely and appropriate transmission of relevant documents to the European Parliament and to the Council. [Am. 91] | (129) | Por forma a cumprir os objetivos do presente regulamento, nomeadamente proteger os direitos e liberdades fundamentais das pessoas singulares e, em especial, o seu direito à proteção dos dados pessoais, e assegurar a livre circulação desses dados na União, o poder de adotar atos em conformidade com o artigo 290.o do Tratado sobre o Funcionamento da União Europeia deve ser delegado na Comissão. Em especial, devem ser adotados atos delegados em relação à licitude do tratamento; à especificação dos critérios e condições aplicáveis ao consentimento das crianças; ao tratamento de categorias especiais de dados; à especificação dos critérios e condições aplicáveis aos pedidos manifestamente abusivos e às taxas pelo exercício de direitos do titular dos dados; aos critérios e requisitos aplicáveis às informações do titular dos dados e ao direito de acesso; das condições do modo de informação por meio de símbolos; ao direito a ser esquecido e ao apagamento de dados; às medidas com base na definição de perfis; aos critérios e requisitos em relação à responsabilidade do responsável pelo tratamento e à proteção de dados desde a conceção e por defeito; aos subcontratantes; aos critérios e requisitos específicos para a documentação e a segurança do tratamento; aos critérios e requisitos para determinar uma violação de dados pessoais e notificá-la à autoridade de controlo, e às circunstâncias em que uma violação de dados pessoais é suscetível de prejudicar o titular dos dados; aos critérios e condições que determinam operações de tratamento que necessitem de uma avaliação de impacto sobre a proteção de dados; aos critérios e requisitos para determinar o grau elevado de risco específico que careçam de consulta prévia; à designação e atribuições do delegado para a proteção dos dados; aos; à declaração dos códigos de conduta em conformidade com o presente regulamento ; aos critérios e requisitos aplicáveis aos mecanismos de certificação; o nível adequado de proteção prestado por um país terceiro ou uma organização internacional; aos critérios e mecanismos para as transferências através de regras vinculativas para empresas; às derrogações relativas às transferências; às sanções administrativas; ao tratamento para fins de saúde; ao tratamento de dados no domínio laboral e ao tratamento de dados para fins de investigação histórica, estatística e científica. É especialmente importante que a Comissão proceda a consultas adequadas ao longo dos seus trabalhos preparatórios, incluindo a nível de peritos , em particular com o Comité Europeu para a Proteção de Dados . A Comissão, aquando da preparação e elaboração dos atos delegados, deve assegurar uma transmissão simultânea, em tempo útil e em devida forma, dos documentos relevantes ao Parlamento Europeu e ao Conselho. [Alt. 91] |
| (130) | In order to ensure uniform conditions for the implementation of this Regulation, implementing powers should be conferred on the Commission for: specifying standard forms for specific methods to obtain verifiable consent in relation to the processing of personal data of a child; standard procedures and forms for exercising the rights of the communication to the data subjects on the exercise of their rights ; standard forms for the information to the data subject; standard forms and procedures in relation to the right of access including for communicating the personal data to the data subject ; the right to data portability; standard forms in relation to the responsibility of the controller to data protection by design and by default and to the documentation to be kept by the controller and the processor ; specific requirements for the security of processing; the standard format and the procedures form for the notification of a personal data breach to the supervisory authority and the communication of a personal data breach to the data subject for documenting a personal data breach ; standards and procedures for a data protection impact assessment; forms and procedures for prior authorisation and prior consultation; technical standards and mechanisms for certification; the adequate level of protection afforded by a third country or a territory or a processing sector within that third country or an international organisation; disclosures not authorized by Union law; mutual assistance; joint operations; decisions under the consistency mechanism and information to the supervisory authority . Those powers should be exercised in accordance with Regulation (EU) No 182/2011 of the European Parliament and of the Council of 16 February 2011 laying down the rules and general principles concerning mechanisms for control by the Member States of the Commission's exercise of implementing powers (11). In this context, the Commission should consider specific measures for micro, small and medium-sized enterprises.[Am. 92] | (130) | Por forma a assegurar condições uniformes para a execução do presente regulamento devem ser conferidas competências de execução à Comissão para que defina os formulários normalizados relativos a métodos específicos para obter o consentimento verificável relativamente ao tratamento de dados pessoais das crianças; procedimentos e formulários normalizados para o exercício dos direitos dos comunicar com os titulares de dados sobre o exercício dos direitos ; procedimentos e formulários normalizados em relação ao direito de acesso e ao direito à portabilidade dos dados; , incluindo a comunicação de dados pessoais ao titular de dados; formulários normalizados em relação à responsabilidade do responsável pelo tratamento em matéria de proteção de dados desde a conceção e por defeito, e à documentação a manter pelo responsável pelo tratamento e o subcontratante ; o formulário normalizado ; requisitos específicos para a segurança do tratamento de dados; procedimentos e formulários normalizados para a notificação de violações de dados pessoais à autoridade de controlo e para a comunicação documentação da violação de dados pessoais ao titular dos dados; critérios e procedimentos para a avaliação de impacto sobre a proteção de dados; formulários e procedimentos de autorização prévia e de consulta prévia; normas técnicas e mecanismos de certificação; o nível de proteção adequado assegurado por um país terceiro, por um território ou por um setor de tratamento de dados nesse país terceiro, ou uma organização internacional; divulgações não autorizadas pelo direito da União; assistência mútua; operações conjuntas; e decisões nos termos do mecanismo de controlo da coerência e a informação da autoridade de controlo . Estas competências devem ser exercidas nos termos do Regulamento (UE) n.o 182/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os princípios gerais relativos aos mecanismos de controlo pelos Estados-Membros do exercício das competências de execução pela Comissão (11). Neste contexto, a Comissão deve prever medidas específicas para as micro, pequenas e médias empresas. [Alt. 92] |
| (131) | The examination procedure should be used for the adoption of specifying standard forms in relation to the : for specific methods to obtain verifiable consent in relation to the processing of personal data of a child; standard procedures and forms for exercising the the communication to the data subjects on the exercice of their rights of data subjects; standard forms for the information to the data subject; standard forms and procedures in relation to the right of access including for communicating the personal data to the data subject ;, the right to data portability; standard forms in relation to the responsibility of documentation to be kept by the controller to data protection by design and by default and to the documentation and the processor ; specific requirements for the security of processing; the standard format and the procedures for the notification of a personal data breach to the supervisory authority and the communication of for documenting a personal data breach to the data subject; standards and procedures for a data protection impact assessment; forms and procedures for prior authorisation and prior consultation; technical standards and mechanisms for certification; the adequate level of protection afforded by a third country or a territory or a processing sector within that third country or an international organisation; disclosures not authorized by Union law; mutual assistance; joint operations; decisions under the consistency mechanism, and information to the supervisory authority, given that those acts are of general scope. [Am. 93] | (131) | O procedimento de exame deve ser utilizado para a adoção de formulários normalizados específicos relativos à para a obtenção do consentimento verificável relativamente ao tratamento de dados pessoais de uma criança; procedimentos e formulários normalizados para comunicar com os o exercício dos direitos dos titulares de dados sobre o exercício dos direitos ; procedimentos e formulários normalizados para as informações do titular de dados; procedimentos e formulários normalizados para o direito de acesso e o direito à portabilidade dos dados; formulários normalizados , incluindo a comunicação de dados pessoais ao titular de dados ; relativos à responsabilidade do responsável pelo tratamento em matéria de proteção de dados desde a conceção e por defeito e de documentação; requisitos específicos para a segurança do tratamento; procedimentos e formulários normalizados a manter pelo responsável pelo tratamento e o subcontratante ; para a notificação de violações de dados pessoais à autoridade de controlo e para a comunicação documentação de uma violação de dados pessoais ao titular dos dados; critérios e procedimentos para a avaliação de impacto sobre a proteção de dados; formulários e procedimentos para a autorização prévia e para a consulta prévia; normas técnicas e mecanismos de certificação; o nível de proteção adequado prestado por um país terceiro, um território ou por um setor de tratamento de dados nesse país terceiro ou por uma organização internacional; divulgações não autorizadas pelo direito da UE; assistência mútua; operações conjuntas; e para a adoção de decisões nos termos do mecanismo de controlo da coerência, e a informação da autoridade de controlo , dado que o âmbito de aplicação destes atos é geral. [Alt. 93] |
| (132) | The Commission should adopt immediately applicable implementing acts where, in duly justified cases relating to a third country or a territory or a processing sector within that third country or an international organisation which does not ensure an adequate level of protection and relating to matters communicated by supervisory authorities under the consistency mechanism, imperative grounds of urgency so require. [Am. 94] | (132) | A Comissão deve adotar atos de execução imediatamente aplicáveis quando, em casos devidamente fundamentados relacionados com um país terceiro, um território ou um setor de tratamento de dados nesse país terceiro, ou uma organização internacional, que não assegure um nível de proteção adequado, e relacionados com matérias comunicadas pelas autoridades de controlo no quadro do mecanismo de controlo da coerência, imperativos urgentes assim o exigirem. [Alt. 94] |
| (133) | Since the objectives of this Regulation, namely to ensure an equivalent level of protection of individuals and the free flow of data throughout the Union, cannot be sufficiently achieved by the Member States but can rather, by reason of the scale or effects of the action, be better achieved at Union level, the Union may adopt measures, in accordance with the principle of subsidiarity as set out in Article 5 of the Treaty on European Union. In accordance with the principle of proportionality, as set out in that Article, this Regulation does not go beyond what is necessary in order to achieve those objectives. | (133) | Atendendo a que os objetivos do presente regulamento, a saber, assegurar um nível equivalente de proteção das pessoas singulares e a livre circulação de dados na União, não podem ser suficientemente alcançados pelos Estados-Membros mas podem podem, em razão da dimensão e dos efeitos da ação, ser mais bem alcançados a nível da União, a União pode tomar medidas, em conformidade com o princípio da subsidiariedade consagrado no artigo 5.o do Tratado da União Europeia. Em conformidade com o princípio da proporcionalidade consagrado no mesmo artigo, o presente regulamento não excede o necessário para alcançar esses objetivos. |
| (134) | Directive 95/46/EC should be repealed by this Regulation. However, Commission decisions adopted and authorisations by supervisory authorities based on Directive 95/46/EC should remain in force. Commission decisions and authorisations by supervisory authorities relating to transfers of personal data to third countries pursuant to Article 41(8) should remain in force for a transition period of five years after the entry into force of this Regulation unless amended, replaced or repealed by the Commission before the end of this period. [Am. 95] | (134) | A Diretiva 95/46/CE é revogada pelo presente regulamento. Todavia, as decisões da Comissão que foram adotadas e as autorizações que foram emitidas pelas autoridades de controlo com base da Diretiva 95/46/CE, permanecem em vigor. As decisões da Comissão e as autorizações que foram emitidas pelas autoridades de controlo relativas às transferências de dados pessoais para países terceiros nos termos do artigo 41.o, n.o 8, devem permanecer em vigor durante um período de transição de cinco anos após a entrada em vigor do presente regulamento, salvo no caso da sua alteração, substituição ou revogação pela Comissão antes do final deste período. [Alt. 95] |
| (135) | This Regulation should apply to all matters concerning the protection of fundamental rights and freedom vis-à-vis the processing of personal data, which are not subject to specific obligations with the same objective set out in Directive 2002/58/EC of the European Parliament and of the Council (12), including the obligations on the controller and the rights of individuals. In order to clarify the relationship between this Regulation and Directive 2002/58/EC, the latter Directive should be amended accordingly. | (135) | O presente regulamento aplica-se a todas as matérias relacionadas com a proteção dos direitos e das liberdades fundamentais em relação ao tratamento de dados pessoais, não sujeitas a obrigações específicas, com o mesmo objetivo, enunciadas na Diretiva 2002/58/CE do Parlamento Europeu e do Conselho (12), incluindo as obrigações que incumbem ao responsável pelo tratamento e os direitos das pessoas singulares. A fim de clarificar a relação entre o presente regulamento e a Diretiva 2002/58/CE, esta última deve alterada em conformidade. |
| (136) | As regards Iceland and Norway, this Regulation constitutes a development of the provisions of the Schengen acquis to the extent that it applies to the processing of personal data by authorities involved in the implementation of that acquis, within the meaning of the Agreement concluded by the Council of the European Union and the Republic of Iceland and the Kingdom of Norway concerning the latters’ association with the implementation, application and development of the Schengen acquis (13). | (136) | No que diz respeito à Islândia e à Noruega, o presente regulamento constitui um desenvolvimento das disposições do acervo de Schengen, na medida em que é aplicável ao tratamento de dados pessoais pelas autoridades que participam na execução desse acervo, na aceção do Acordo celebrado entre o Conselho da União Europeia e a República da Islândia e o Reino da Noruega, relativo à associação desses Estados à execução, à aplicação e ao desenvolvimento do acervo de Schengen (13). |
| (137) | As regards Switzerland, this Regulation constitutes a development of the provisions of the Schengen acquis to the extent that it applies to the processing of personal data by authorities involved in the implementation of that acquis, within the meaning of the Agreement between the European Union, the European Community and the Swiss Confederation on the Swiss Confederation’s association with the implementation, application and development of the Schengen acquis (14). | (137) | No que diz respeito à Suíça, o presente regulamento constitui um desenvolvimento das disposições do acervo de Schengen, na medida em que é aplicável ao tratamento de dados pessoais pelas autoridades que participam na execução desse acervo, na aceção do Acordo entre a União Europeia, a Comunidade Europeia e a Confederação Suíça relativo à associação da Confederação Suíça à execução, à aplicação e ao desenvolvimento do acervo de Schengen (14). |
| (138) | As regards Liechtenstein, this Regulation constitutes a development of the provisions of the Schengen acquis to the extent that it applies to the processing of personal data by authorities involved in the implementation of that acquis, within the meaning of the Protocol between the European Union, the European Community, the Swiss Confederation and the Principality of Liechtenstein on the accession of the Principality of Liechtenstein to the Agreement between the European Union, the European Community and the Swiss Confederation on the Swiss Confederation’s association with the implementation, application and development of the Schengen acquis (15). | (138) | No que diz respeito ao Liechtenstein, o presente regulamento constitui um desenvolvimento das disposições do acervo de Schengen, na medida em que é aplicável ao tratamento de dados pessoais pelas autoridades que participam na execução desse acervo, na aceção do Protocolo entre a União Europeia, a Comunidade Europeia, a Confederação Suíça e o Principado do Liechtenstein relativo à adesão do Principado do Liechtenstein ao Acordo entre a União Europeia, a Comunidade Europeia e a Confederação Suíça relativo à associação da Confederação Suíça à execução, aplicação e ao desenvolvimento do acervo de Schengen (15). |
| (139) | In view of the fact that, as underlined by the Court of Justice of the European Union, the right to the protection of personal data is not an absolute right, but must be considered in relation to its function in society and be balanced with other fundamental rights, in accordance with the principle of proportionality, this Regulation respects all fundamental rights and observes the principles recognised in the Charter as enshrined in the Treaties, notably the right to respect for private and family life, home and communications, the right to the protection of personal data, the freedom of thought, conscience and religion, the freedom of expression and information, the freedom to conduct a business, the right to an effective remedy and to a fair trial as well as cultural, religious and linguistic diversity, | (139) | Tendo em conta que, como o Tribunal de Justiça da União Europeia sublinhou, o direito à proteção de dados não é absoluto, mas deve ser considerado em relação à sua função na sociedade e ser equilibrado com outros direitos fundamentais, em conformidade com o princípio da proporcionalidade, o presente regulamento respeita os direitos fundamentais e observa os princípios reconhecidos na Carta, consagrados nos Tratados, nomeadamente o direito ao respeito da vida privada e familiar, o direito ao respeito do domicílio e das comunicações, o direito à proteção dos dados pessoais, o direito à liberdade de pensamento, de consciência e de religião, o direito à liberdade de expressão e de informação, o direito à liberdade de empresa, o direito de ação efetiva e a um processo equitativo, bem como o respeito da diversidade cultural, religiosa e linguística, |
| HAVE ADOPTED THIS REGULATION: | ADOTARAM O PRESENTE REGULAMENTO: |
| CHAPTER I | CAPÍTULO I |
| GENERAL PROVISIONS | DISPOSIÇÕES GERAIS |
| Article 1 | Artigo 1.o |
| Subject matter and objectives | Objeto e objetivos |
| 1. This Regulation lays down rules relating to the protection of individuals with regard to the processing of personal data and rules relating to the free movement of personal data. | 1. O presente regulamento estabelece as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. |
| 2. This Regulation protects the fundamental rights and freedoms of natural persons, and in particular their right to the protection of personal data. | 2. O presente regulamento protege os direitos e as liberdades fundamentais das pessoas singulares e, em especial, o seu direito à proteção dos dados pessoais. |
| 3. The free movement of personal data within the Union shall neither be restricted nor prohibited for reasons connected with the protection of individuals with regard to the processing of personal data. | 3. A livre circulação de dados pessoais na União não é restringida nem proibida por motivos relacionados com a proteção das pessoas singulares no que respeita ao tratamento de dados pessoais. |
| Article 2 | Artigo 2.o |
| Material scope | Âmbito de aplicação material |
| 1. This Regulation applies to the processing of personal data wholly or partly by automated means, irrespective of the method of processing, and to the processing other than by automated means of personal data which form part of a filing system or are intended to form part of a filing system. | 1. O presente regulamento aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, independentemente dos métodos de tratamento, bem como ao tratamento por meios não automatizados de dados pessoais contidos num ficheiro ou a ele destinados. |
| 2. This Regulation does not apply to the processing of personal data: | 2. O presente regulamento não se aplica ao tratamento de dados pessoais: |
| (a) | in the course of an activity which falls outside the scope of Union law, in particular concerning national security; | a) | Efetuado no exercício de atividades não sujeitas à aplicação do direito da União, nomeadamente no que se refere à segurança nacional; |
| (b) | by the Union institutions, bodies, offices and agencies; | b) | Efetuado pelas instituições, órgãos e agências da União; |
| (c) | by the Member States when carrying out activities which fall within the scope of Chapter 2 of Title V of the Treaty on European Union; | c) | Efetuados pelos Estados-Membros no exercício de atividades abrangidas pelo âmbito de aplicação do Capítulo 2 do Título V do Tratado da União Europeia; |
| (d) | by a natural person without any gainful interest in the course of its own an exclusively personal or household activity . This exemption shall also apply to a publication of personal data where it can be reasonably expected that they will be only accessed by a limited number of persons ; | d) | Efetuado por uma pessoa singular sem fins lucrativos no exercício de atividades exclusivamente pessoais ou domésticas; esta isenção também se aplica a uma publicação de dados pessoais quando se pode razoavelmente prever que eles apenas serão acessíveis a um número limitado de pessoas; |
| (e) | by competent public authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties. | e) | Efetuado pelas autoridades públicas competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais. |
| 3. This Regulation shall be without prejudice to the application of Directive 2000/31/EC, in particular of the liability rules of intermediary service providers in Articles 12 to 15 of that Directive. [Am. 96] | 3. O presente regulamento aplica-se sem prejuízo da Diretiva 2000/31/CE, em especial as disposições dos artigos 12.o a 15.o da referida diretiva, que estabelecem as regras em matéria de responsabilidade dos prestadores intermediários de serviços. [Alt. 96] |
| Article 3 | Artigo 3.o |
| Territorial scope | Âmbito de aplicação territorial |
| 1. This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union , whether the processing takes place in the Union or not . | 1. O presente regulamento aplica-se ao tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento de um responsável pelo tratamento ou de um subcontratante situado no território da União , quer o tratamento ocorra ou não na União. |
| 2. This Regulation applies to the processing of personal data of data subjects residing in the Union by a controller or processor not established in the Union, where the processing activities are related to: | 2. O presente regulamento aplica-se ao tratamento de dados pessoais de titulares de dados residentes no território da União, por um responsável pelo tratamento ou um subcontratante não estabelecido na União, cujas atividade de tratamento estejam relacionadas com: |
| (a) | the offering of goods or services , irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or | a) | A oferta de bens ou serviços a esses titulares de dados na União , independentemente da necessidade de os titulares de dados procederem a um pagamento ; ou |
| (b) | the monitoring of their behaviour such data subjects . | b) | O controlo do seu comportamento desses titulares de dados . |
| 3. This Regulation applies to the processing of personal data by a controller not established in the Union, but in a place where the national law of a Member State applies by virtue of public international law. [Am. 97] | 3. O presente regulamento aplica-se ao tratamento de dados pessoais por um responsável pelo tratamento não estabelecido na União, mas num lugar em que se aplique o direito nacional de um Estado-Membro por força do direito internacional público. [Alt. 97] |
| Article 4 | Artigo 4.o |
| Definitions | Definições |
| For the purposes of this Regulation: | Para efeitos do presente regulamento, entende-se por: |
| (1) | ‘data subject’ means an identified natural person or a natural person who can be identified, directly or indirectly, by means reasonably likely to be used by the controller or by any other natural or legal person, in particular by reference to an identification number, location data, online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that person; | (1) | «Titular de dados», uma pessoa singular identificada ou identificável, direta ou indiretamente, por meios com razoável probabilidade de serem utilizados pelo responsável pelo tratamento ou por qualquer outra pessoa singular ou coletiva, nomeadamente por referência a um número de identificação, a dados de localização, a um identificador em linha ou a um ou mais elementos específicos próprios à sua identidade física, fisiológica, genética, psíquica, económica, cultural ou social; |
| (2) | ‘personal data’ means any information relating to a an identified or identifiable natural person (‘ data subject’); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, unique identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social or gender identity of that person; | (2) | «Dados pessoais», qualquer informação relativa a um uma pessoa singular identificada ou identificável (« titular de dados»). É considerada identificável a pessoa que possa ser identificada, direta ou indiretamente, nomeadamente por referência a um identificador, tal como o nome, um número de identificação, dados de localização, um identificador único, ou a um ou mais elementos específicos da identidade física, fisiológica, genética, psíquica, económica, cultural, social ou de género dessa pessoa; |
| (2a) | ‘pseudonymous data’ means personal data that cannot be attributed to a specific data subject without the use of additional information, as long as such additional information is kept separately and subject to technical and organisational measures to ensure non-attribution; | (2-A) | «Dados sob pseudónimo», os dados pessoais que não possam ser atribuídos a um titular de dados específico sem recorrer a informações adicionais, enquanto essas informações adicionais forem mantidas separadamente e sujeitas a medidas técnicas e organizativas para garantir essa impossibilidade de atribuição; |
| (2b) | ‘encrypted data’ means personal data, which through technological protection measures are rendered unintelligible to any person who is not authorised to access them; | (2-B) | «dados cifrados», dados pessoais que, através de medidas tecnológicas de proteção, são tornados ininteligíveis para qualquer pessoa que não esteja autorizada a aceder aos mesmos; |
| (3) | ‘processing’ means any operation or set of operations which is performed upon personal data or sets of personal data, whether or not by automated means, such as collection, recording, organization, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, erasure or destruction; | (3) | «Tratamento de dados pessoais», qualquer operação ou conjunto de operações efetuadas sobre dados pessoais, com ou sem meios automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou a alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, o apagamento ou a destruição; |
| (3a) | ‘ profiling’ means any form of automated processing of personal data intended to evaluate certain personal aspects relating to a natural person or to analyse or predict in particular that natural person’s performance at work, economic situation, location, health, personal preferences, reliability or behaviour; | (3-A) | «Definição de perfis», qualquer forma de tratamento automatizado de dados pessoais destinado a avaliar determinados aspetos pessoais relativos a uma pessoa singular ou a analisar ou prever em particular o seu desempenho profissional, a sua situação económica, localização, saúde, preferências pessoais, fiabilidade ou comportamento; |
| (4) | ‘filing system’ means any structured set of personal data which are accessible according to specific criteria, whether centralized, decentralized or dispersed on a functional or geographical basis; | (4) | «Ficheiro», qualquer conjunto estruturado de dados pessoais, acessível segundo critérios específicos, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico; |
| (5) | ‘controller’ means the natural or legal person, public authority, agency or any other body which alone or jointly with others determines the purposes, conditions and means of the processing of personal data; where the purposes, conditions and means of processing are determined by Union law or Member State law, the controller or the specific criteria for his nomination may be designated by Union law or by Member State law; | (5) | «Responsável pelo tratamento», a pessoa singular ou coletiva, a autoridade pública, a agência ou qualquer outro órgão que, por si ou em conjunto, determina as finalidades, as condições e os meios de tratamento de dados pessoais; sempre que as finalidades, as condições e os meios de tratamento sejam determinados pelo direito da União ou pela legislação dos Estados Membros, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser indicados pelo direito da União ou pela legislação de um Estado-Membro; |
| (6) | ‘processor’ means a natural or legal person, public authority, agency or any other body which processes personal data on behalf of the controller; | (6) | «Subcontratante», a pessoa singular ou coletiva, a autoridade pública, serviço ou qualquer outro organismo que trata os dados pessoais por conta do responsável pelo tratamento; |
| (7) | ‘recipient’ means a natural or legal person, public authority, agency or any other body to which the personal data are disclosed; | (7) | «Destinatário», a pessoa singular ou coletiva, a autoridade pública, serviço ou qualquer outro organismo que receba comunicações de dados pessoais; |
| (7a) | ‘third party’ means any natural or legal person, public authority, agency or any other body other than the data subject, the controller, the processor and the persons who, under the direct authority of the controller or the processor, are authorized to process the data; | (7-A) | «Terceiro», a pessoa singular ou coletiva, a autoridade pública, o serviço ou qualquer outro organismo que não o titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar os dados; |
| (8) | ‘the data subject's consent’ means any freely given specific, informed and explicit indication of his or her wishes by which the data subject, either by a statement or by a clear affirmative action, signifies agreement to personal data relating to him or her being processed; | (8) | «Consentimento do titular de dados», qualquer manifestação de vontade, livre, específica, informada e explícita, pela qual a pessoa em causa aceita, mediante uma declaração ou um ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento; |
| (9) | ‘personal data breach’ means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed; | (9) | «Violação de dados pessoais», uma violação da segurança que provoca, de modo acidental ou ilícito, a destruição, a perda, a alteração, de modo acidental ou ilícito, a divulgação, ou o acesso, não autorizados, de dados pessoais transmitidos, conservados ou tratados de outro modo; |
| (10) | ‘genetic data’ means all personal data, of whatever type, concerning relating to the genetic characteristics of an individual which are have been inherited or acquired during early prenatal development as they result from an analysis of a biological sample from the individual in question, in particular by chromosomal, desoxyribonucleic acid (DNA) or ribonucleic acid (RNA) analysis or analysis of any other element enabling equivalent information to be obtained ; | (10) | «Dados genéticos», todos os dados, independentemente do tipo, pessoais relacionados com as características genéticas de uma pessoa singular que são hereditárias ou adquiridas numa fase precoce do seu desenvolvimento pré-natal , resultantes da análise de uma amostra biológica da pessoa em causa, nomeadamente da análise de cromossomas, ácido desoxirribonucleico (ADN), ácido ribonucleico (ARN) ou qualquer outro elemento que permita obter informações equivalentes ; |
| (11) | ‘biometric data’ means any personal data relating to the physical, physiological or behavioural characteristics of an individual which allow his or her unique identification, such as facial images, or dactyloscopic data; | (11) | «Dados biométricos», quaisquer dados pessoais relativos às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam a sua identificação única, nomeadamente imagens faciais ou dados dactiloscópicos; |
| (12) | ‘data concerning health’ means any information personal data which relate to the physical or mental health of an individual, or to the provision of health services to the individual; | (12) | «Dados relativos à saúde», quaisquer informações relacionadas dados pessoais relacionados com a saúde física ou psíquica de uma pessoa singular, ou com a prestação de serviços de saúde a essa pessoa; |
| (13) | ‘main establishment’ means as regards the controller, the place of its establishment the place of establishment of the undertaking or group of undertakings in the Union , whether controller or processor, where the main decisions as to the purposes, conditions and means of the processing of personal data are taken.; if no decisions as to the purposes, conditions and means of the processing of personal data are taken in the Union, the main establishment is the place where the main processing activities in the context of the activities of an establishment of a controller in the Union take place. As regards the processor, ‘main establishment’ means the place of its central administration in the Union The following objective criteria may be considered among others: the location of the controller or processor's headquarters; the location of the entity within a group of undertakings which is best placed in terms of management functions and administrative responsibilities to deal with and enforce the rules as set out in this Regulation; the location where effective and real management activities are exercised determining the data processing through stable arrangements ; | (13) | «Estabelecimento principal», no que se refere ao responsável pelo tratamento, o local do seu estabelecimento da empresa ou do grupo de empresas na União independentemente de ser responsável ou subcontratante, onde são adotadas as principais decisões quanto às finalidades, condições e meios para o tratamento de dados pessoais; se não forem adotadas quaisquer decisões relativas às finalidades, condições e meios na União, o estabelecimento principal é o local onde são exercidas as atividades de tratamento principais no contexto das atividades de um estabelecimento de um responsável pelo tratamento na União. No que se refere ao subcontratante, o «estabelecimento principal» é o local da sua administração central na União Podem ser considerados, entre outros, os seguintes critérios objetivos: a localização da sede do responsável ou do subcontratante; a localização da entidade num grupo de empresas mais bem posicionado em termos de funções de gestão e de responsabilidades administrativas para abordar e aplicar as regras definidas no presente regulamento; o local onde decorre o exercício efetivo e real das atividades de gestão que determinam o tratamento de dados mediante uma instalação estável ; |
| (14) | ‘representative’ means any natural or legal person established in the Union who, explicitly designated by the controller, acts and may be addressed by any supervisory authority and other bodies in the Union instead of represents the controller, with regard to the obligations of the controller under this Regulation; | (14) | «Representante», a pessoa singular ou coletiva estabelecida na União, expressamente designada pelo responsável pelo tratamento, que atua em nome deste último e a quem se pode dirigir qualquer autoridade de controlo e outras entidades na União, representa este último no contexto das obrigações do responsável pelo tratamento nos termos do presente regulamento; |
| (15) | ‘enterprise’ means any entity engaged in an economic activity, irrespective of its legal form, thus including, in particular, natural and legal persons, partnerships or associations regularly engaged in an economic activity; | (15) | «Empresa», qualquer entidade que, independentemente da sua forma jurídica, exerce uma atividade económica, incluindo, nomeadamente, as pessoas singulares e coletivas, as sociedades ou associações que exercem regularmente uma atividade económica; |
| (16) | ‘group of undertakings’ means a controlling undertaking and its controlled undertakings; | (16) | «Grupo de empresas», um grupo composto pela empresa que exerce o controlo e pelas empresas controladas; |
| (17) | ‘binding corporate rules’ means personal data protection policies which are adhered to by a controller or processor established on the territory of a Member State of the Union for transfers or a set of transfers of personal data to a controller or processor in one or more third countries within a group of undertakings; | (17) | «Regras vinculativas para empresas», regras internas de proteção de dados pessoais que aplica um responsável pelo tratamento ou um subcontratante estabelecido no território de um Estado-Membro da União para as transferências ou um conjunto de transferências de dados pessoais para um responsável ou subcontratante num ou mais países terceiros, dentro de um grupo de empresas; |
| (18) | ‘child’ means any person below the age of 18 years; | (18) | «Criança», qualquer pessoa com menos de 18 anos; |
| (19) | ‘supervisory authority’ means a public authority which is established by a Member State in accordance with Article 46. [Am. 98] | (19) | «Autoridade de controlo», autoridade pública instituída por um Estado-Membro em conformidade com o artigo 46.o. [Alt. 98] |
| CHAPTER II | CAPÍTULO II |
| PRINCIPLES | PRINCÍPIOS |
| Article 5 | Artigo 5.o |
| Principles relating to personal data processing | Princípios relativos ao tratamento de dados pessoais |
| Personal data must shall be: | Os dados pessoais devem ser são : |
| (a) | processed lawfully, fairly and in a transparent manner in relation to the data subject (lawfulness, fairness and transparency) ; | a) | Objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados (licitude, lealdade e transparência) ; |
| (b) | collected for specified, explicit and legitimate purposes and not further processed in a way incompatible with those purposes (purpose limitation) ; | b) | Recolhidos para finalidades determinadas, explícitas e legítimas e não serem posteriormente tratados de forma incompatível com essas finalidades (limitação da finalidade) ; |
| (c) | adequate, relevant, and limited to the minimum necessary in relation to the purposes for which they are processed; they shall only be processed if, and as long as, the purposes could not be fulfilled by processing information that does not involve personal data (data minimisation) ; | c) | Adequados, pertinentes e limitados ao mínimo necessário relativamente às finalidades para que são tratados; só devem ser tratados se e desde que as finalidades não puderem ser alcançadas através do tratamento de informações que não envolvam dados pessoais (minimização dos dados) ; |
| (d) | accurate and , where necessary, kept up to date; every reasonable step must be taken to ensure that personal data that are inaccurate, having regard to the purposes for which they are processed, are erased or rectified without delay (accuracy) ; | d) | Exatos e , quando for necessário, atualizados; devem ser adotadas todas as medidas razoáveis para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora (exatidão) ; |
| (e) | kept in a form which permits direct or indirect identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed; personal data may be stored for longer periods insofar as the data will be processed solely for historical, statistical or scientific research or for archive purposes in accordance with the rules and conditions of Article Articles 83 and 83a and if a periodic review is carried out to assess the necessity to continue the storage , and if appropriate technical and organisational measures are put in place to limit access to the data only for these purposes (storage minimisation) ; | e) | Conservados de forma a permitir direta ou indiretamente a identificação dos titulares de dados apenas durante o período necessário para a prossecução das finalidades para que são tratados; os dados pessoais podem ser conservados durante períodos mais longos, desde que sejam tratados exclusivamente para fins de investigação histórica, estatística ou científica ou de arquivo , em conformidade com as regras e condições do artigo 83.o e 83.o-A , e se for efetuada uma revisão periódica para avaliar a necessidade de os conservar e ainda se forem tomadas medidas técnicas e organizativas adequadas para limitar o acesso aos dados apenas para estes fins (minimização dos dados) ; |
| (ea) | processed in a way that effectively allows the data subject to exercise his or her rights (effectiveness); | e-A) | Tratados de forma a permitir efetivamente que o titular dos dados exerça efetivamente os seus direitos (eficácia); |
| (eb) | processed in a way that protects against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures (integrity); | e-B) | Tratados de forma a protegê-los contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando medidas técnicas ou organizativas adequadas (integridade); |
| (f) | processed under the responsibility and liability of the controller, who shall ensure and be able to demonstrate for each processing operation the compliance with the provisions of this Regulation (accountability) . [Am. 99] | f) | Tratados sob a autoridade e responsabilidade do responsável pelo tratamento, que deve assegurar e ser capaz de demonstrar a conformidade de cada operação de tratamento com as disposições do presente regulamento (responsabilidade) . [Alt. 99] |
| Article 6 | Artigo 6.o |
| Lawfulness of processing | Licitude do tratamento |
| 1. Processing of personal data shall be lawful only if and to the extent that at least one of the following applies: | 1. O tratamento de dados pessoais só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações: |
| (a) | the data subject has given consent to the processing of his or her personal data for one or more specific purposes; | a) | O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas; |
| (b) | processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract; | b) | O tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte ou para diligências pré-contratuais a pedido do titular dos dados; |
| (c) | processing is necessary for compliance with a legal obligation to which the controller is subject; | c) | O tratamento for necessário para o respeito de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito; |
| (d) | processing is necessary in order to protect the vital interests of the data subject; | d) | O tratamento for necessário para a proteção de interesses vitais do titular dos dados; |
| (e) | processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller; | e) | O tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento; |
| (f) | processing is necessary for the purposes of the legitimate interests pursued by a the controller or , in case of disclosure, by the third party to whom the data are disclosed, and which meet the reasonable expectations of the data subject based on his or her relationship with the controller , except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child. This shall not apply to processing carried out by public authorities in the performance of their tasks. | f) | O tratamento for necessário para prosseguir interesses legítimos do responsável pelo tratamento ou, em caso de divulgação, dos terceiros a quem os dados sejam comunicados, e que satisfaçam as expectativas razoáveis do titular dos dados com base na sua relação com o responsável pelo tratamento , desde que não prevaleçam os interesses relacionados com os direitos e liberdades fundamentais do titular dos dados que exijam uma proteção de dados pessoais, em especial se a pessoa em causa for uma criança. Tal não se aplica ao tratamento de dados efetuado por autoridades públicas no exercício das suas funções. |
| 2. Processing of personal data which is necessary for the purposes of historical, statistical or scientific research shall be lawful subject to the conditions and safeguards referred to in Article 83. | 2. O tratamento de dados pessoais necessário para fins de investigação histórica, estatística ou científica é lícito, sob reserva das condições e garantias previstas no artigo 83.o. |
| 3. The basis of the processing referred to in points (c) and (e) of paragraph 1 must be provided for in: | 3. O fundamento jurídico do tratamento referido no n.o 1, alíneas c) e e), deve ser previsto: |
| (a) | Union law, or | a) | Pelo direito da União; ou |
| (b) | the law of the Member State to which the controller is subject. | b) | Pela legislação do Estado-Membro à qual o responsável pelo tratamento está sujeito. |
| The law of the Member State must meet an objective of public interest or must be necessary to protect the rights and freedoms of others, respect the essence of the right to the protection of personal data and be proportionate to the legitimate aim pursued. Within the limits of this Regulation, the law of the Member State may provide details of the lawfulness of processing, particularly as regards data controllers, the purpose of processing and purpose limitation, the nature of the data and the data subjects, processing measures and procedures, recipients, and the duration of storage. | A legislação do Estado-Membro deve respeitar um objetivo de interesse público ou ser necessária para proteger os direitos e liberdades das pessoas, ser conforme com o conteúdo essencial do direito à proteção de dados pessoais e ser proporcional ao objetivo legítimo prosseguido. Dentro dos limites do presente regulamento, a legislação do Estado-Membro pode prever normas específicas aplicáveis à licitude do tratamento, em especial relativas ao responsável pelo tratamento, à finalidade e à limitação da finalidade do tratamento, ao tipo de dados e aos titulares dos dados, às operações e aos processos de tratamento, aos destinatários, assim como ao período de conservação. |
| 4. Where the purpose of further processing is not compatible with the one for which the personal data have been collected, the processing must have a legal basis at least in one of the grounds referred to in points (a) to (e) of paragraph 1. This shall in particular apply to any change of terms and general conditions of a contract. | 4. Sempre que a finalidade do tratamento ulterior não for compatível com aquela para a qual os dados pessoais foram recolhidos, o tratamento deve ter como fundamento jurídico pelo menos um dos motivos referidos no n.o 1, alíneas a) a e). Tal é aplicável, em especial, a qualquer alteração das cláusulas e condições gerais de um contrato. |
| 5. The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the conditions referred to in point (f) of paragraph 1 for various sectors and data processing situations, including as regards the processing of personal data related to a child. [Am. 100] | 5. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o artigo 86.o, a fim de melhor especificar as condições previstas no n.o 1, alínea f), para os vários setores e situações em matéria de tratamento de dados, incluindo quanto ao tratamento de dados pessoais relativos a crianças. [Alt. 100] |
| Article 7 | Artigo 7.o |
| Conditions for consent | Condições para o consentimento |
| 1. Where processing is based on consent, The the controller shall bear the burden of proof for the data subject's consent to the processing of his or her personal data for specified purposes. | 1. Quando o tratamento se basear no consentimento, incumbe ao responsável pelo tratamento o ónus de provar o consentimento do titular dos dados ao tratamento dos seus dados pessoais para finalidades específicas. |
| 2. If the data subject's consent is to be given in the context of a written declaration which also concerns another matter, the requirement to give consent must be presented clearly distinguishable in its appearance from this other matter. Provisions on the data subject’s consent which are partly in violation of this Regulation are fully void. | 2. Se o consentimento do titular dos dados for dado no contexto de uma declaração escrita que diga também respeito a outra matéria, a exigência do consentimento deve ser apresentada de uma forma que a distinga claramente dessa outra matéria. As cláusulas relativas ao consentimento do titular dos dados que violem parcialmente este regulamento são consideradas nulas . |
| 3. Notwithstanding other legal grounds for processing, The the data subject shall have the right to withdraw his or her consent at any time. The withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal. It shall be as easy to withdraw consent as to give it. The data subject shall be informed by the controller if withdrawal of consent may result in the termination of the services provided or of the relationship with the controller. | 3. Não obstante outros fundamentos jurídicos para o tratamento, o titular dos dados tem o direito de retirar o seu consentimento a qualquer momento. A retirada do consentimento não compromete a licitude do tratamento efetuado com base no consentimento previamente dado. Deve ser tão fácil retirar o consentimento como dá-lo. O titular dos dados deve ser informado pelo responsável pelo tratamento se a retirada do consentimento puder dar lugar à rescisão dos serviços fornecidos ou da relação com o responsável pelo tratamento. |
| 4. Consent shall not provide a legal basis for the processing, where there is a significant imbalance between the position of the data subject and the controller be purpose-limited and shall lose its validity when the purpose ceases to exist or as soon as the processing of personal data is no longer necessary for carrying out the purpose for which they were originally collected. The execution of a contract or the provision of a service shall not be made conditional on the consent to the processing of data that is not necessary for the execution of the contract or the provision of the service pursuant to Article 6(1), point (b) . [Am. 101] | 4. O consentimento não constitui um fundamento jurídico válido para o tratamento se existir um desequilíbrio significativo entre a posição do titular dos dados e o responsável pelo tratamento. é limitado pelos fins e perde a sua validade logo que o fim deixar de existir ou o tratamento dos dados pessoais deixar de ser necessário para a realização do fim para que foram recolhidos inicialmente . A execução de um contrato ou a prestação de um serviço não podem ser condicionadas ao consentimento ao tratamento de dados que não são necessários à execução do contrato ou à prestação do serviço nos termos do artigo 6.o, n.o 1, alínea b). [Alt. 101] |
| Article 8 | Artigo 8.o |
| Processing of personal data of a child | Tratamento de dados pessoais relativos às crianças |
| 1. For the purposes of this Regulation, in relation to the offering of information society goods or services directly to a child, the processing of personal data of a child below the age of 13 years shall only be lawful if and to the extent that consent is given or authorised by the child's parent or custodian legal guardian . The controller shall make reasonable efforts to obtain verifiable verify such consent, taking into consideration available technology without causing otherwise unnecessary processing of personal data . | 1. Para efeitos do presente regulamento, no que respeita à oferta de bens ou serviços da sociedade da informação às crianças, o tratamento de dados pessoais de uma criança com idade inferior a 13 anos só é lícito se, e na medida em que, para tal o consentimento seja dado ou autorizado pelo progenitor ou pelo titular da guarda tutor legal dessa criança. O responsável pelo tratamento deve envidar todos os esforços razoáveis para obter um verificar esse consentimento verificável, tendo em conta os meios técnicos disponíveis, sem causar um tratamento de dados desnecessário . |
| 1a. Information provided to children, parents and legal guardians in order to express consent, including about the controller’s collection and use of personal data, should be given in a clear language appropriate to the intended audience. | 1-A. As informações prestadas às crianças, pais ou tutores legais para exprimirem o consentimento — incluindo sobre a recolha e utilização de dados pessoais pelo responsável pelo tratamento — devem ser prestadas numa linguagem clara e adequada ao público visado. |
| 2. Paragraph 1 shall not affect the general contract law of Member States such as the rules on the validity, formation or effect of a contract in relation to a child. | 2. O disposto no n.o 1 não prejudica o direito contratual geral dos Estados-Membros, como as disposições que regulam a validade, a formação ou os efeitos de um contrato em relação a uma criança. |
| 3. The Commission European Data Protection Board shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose entrusted with the task of further specifying the criteria and requirements issuing guidelines, recommendations and best practices for the methods to obtain verifiable of verifying consent referred to in paragraph 1 , in accordance with Article 66 . In doing so, the Commission shall consider specific measures for micro, small and medium-sized enterprises. | 3. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o artigo 86.o, a fim especificar mais concretamente os critérios e requisitos aplicáveis à obtenção do O Comité Europeu para a Proteção de Dados deve ser encarregado de elaborar orientações, recomendações e boas práticas relativamente aos métodos para verificar o consentimento verificável referido no n.o 1 nos termos do artigo 66.o . Ao fazê-lo, a Comissão deve prever medidas específicas para as micro, pequenas e médias empresas. |
| 4. The Commission may lay down standard forms for specific methods to obtain verifiable consent referred to in paragraph 1. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2). [Am. 102] | 4. A Comissão pode estabelecer formulários normalizados para os métodos específicos de obtenção do consentimento verificável referido no n.o 1. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.o, n.o 2. [Alt. 102] |
| Article 9 | Artigo 9.o |
| Processing of special Special categories of personal data | Tratamento de Categorias especiais de dados pessoais |
| 1. The processing of personal data, revealing race or ethnic origin, political opinions, religion or philosophical beliefs, sexual orientation or gender identity, trade-union membership and activities , and the processing of genetic or biometric data or data concerning health or sex life or , administrative sanctions, judgments, criminal or suspected offences, convictions or related security measures shall be prohibited. | 1. É proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a orientação sexual ou a identidade de género, a filiação sindical e as atividades sindicais bem como o tratamento de dados genéticos ou biométricos ou dados relativos à saúde ou à orientação sexual , às sanções administrativas, aos julgamentos, aos delitos penais ou presumidos, a condenações penais ou medidas de segurança conexas. |
| 2. Paragraph 1 shall not apply where if one of the following applies : | 2. O n.o 1 não se aplica quando se se verificar um dos seguintes casos : |
| (a) | the data subject has given consent to the processing of those personal data for one or more specified purposes , subject to the conditions laid down in Articles 7 and 8, except where Union law or Member State law provide that the prohibition referred to in paragraph 1 may not be lifted by the data subject; or | a) | O titular dos dados tiver dado o seu consentimento para o tratamento desses dados pessoais para um ou mais fins especificados , sem prejuízo do disposto nos artigos 7.o e 8.o, exceto se o direito da União ou a legislação de um Estado-Membro previr que a proibição a que se refere o n.o 1 não pode ser afastada pelo titular dos dados; ou |
| (aa) | processing is necessary for the performance or execution of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract; | a-A) | O tratamento for necessário para a execução ou a celebração de um contrato no qual o titular dos dados é parte ou para a realização de diligências prévias à celebração do contrato a pedido do titular dos dados; |
| (b) | processing is necessary for the purposes of carrying out the obligations and exercising specific rights of the controller in the field of employment law in so far as it is authorised by Union law or Member State law or collective agreements providing for adequate safeguards for the fundamental rights and the interests of the data subject such as the right to non-discrimination, subject to the conditions and safeguards referred to in Article 82 ; or | b) | O tratamento for necessário para o cumprimento de obrigações e o exercício de direitos específicos do responsável pelo tratamento em matéria de direito laboral, na medida em que seja permitido pelo direito da União, pela legislação de um Estado-Membro ou por convenções coletivas , mediante garantias adequadas que salvaguardem os interesses e direitos fundamentais do titular dos dados como o direito à não-discriminação, nos termos das condições e garantias previstas no artigo 82.o ; ou |
| (c) | processing is necessary to protect the vital interests of the data subject or of another person where the data subject is physically or legally incapable of giving consent; or | c) | O tratamento for necessário para proteger interesses vitais do titular dos dados ou de outra pessoa, se o titular dos dados estiver física ou legalmente incapacitado de dar o seu consentimento; ou |
| (d) | processing is carried out in the course of its legitimate activities with appropriate safeguards by a foundation, association or any other non-profit-seeking body with a political, philosophical, religious or trade-union aim and on condition that the processing relates solely to the members or to former members of the body or to persons who have regular contact with it in connection with its purposes and that the data are not disclosed outside that body without the consent of the data subject; or | d) | O tratamento for efetuado, no âmbito de atividades lícitas e mediante garantias adequadas, por uma fundação, associação ou qualquer outro organismo sem fins lucrativos e que prossiga fins políticos, filosóficos, religiosos ou sindicais, desde que aquele tratamento se refira apenas aos membros ou antigos membros desse organismo ou a pessoas que com ele mantenham contactos regulares relacionados com os seus objetivos, e que os dados não sejam divulgados a terceiros sem o consentimento dos titulares de dados; ou |
| (e) | the processing relates to personal data which are manifestly made public by the data subject; or | e) | O tratamento se referir a dados pessoais manifestamente tornados públicos pelo seu titular; ou |
| (f) | processing is necessary for the establishment, exercise or defence of legal claims; or | f) | O tratamento for necessário à declaração, ao exercício ou à defesa de um direito num processo judicial; ou |
| (g) | processing is necessary for the performance of a task carried out in the for reasons of high public interest, on the basis of Union law, or Member State law which shall be proportionate to the aim pursued, respect the essence of the right to data protection and provide for suitable measures to safeguard the fundamental rights and the data subject's legitimate interests of the data subject ; or | g) | O tratamento for necessário ao exercício de uma missão por motivo de interesse público excecional , com base no direito da União ou na legislação de um Estado-Membro, que deve ser proporcional ao objetivo visado, respeitar a essência do direito à proteção dos dados pessoais e prever medidas adequadas à proteção dos interesses legítimos e direitos fundamentais do titular dos dados; ou |
| (h) | processing of data concerning health is necessary for health purposes and subject to the conditions and safeguards referred to in Article 81; or | h) | O tratamento de dados relativos à saúde for necessário para fins no domínio da saúde, sob reserva das condições e garantias previstas no artigo 81.o; ou |
| (i) | processing is necessary for historical, statistical or scientific research purposes subject to the conditions and safeguards referred to in Article 83; or | i) | O tratamento for necessário para fins de investigação histórica, estatística ou científica, sob reserva das condições e garantias previstas no artigo 83.o; ou |
| (ia) | processing is necessary for archive services subject to the conditions and safeguards referred to in Article 83a; or | i-A) | O tratamento for necessário para serviços de arquivo, sob reserva das condições e garantias previstas no artigo 83.o-A; ou |
| (j) | processing of data relating to administrative sanctions, judgments, criminal offences, convictions or related security measures is carried out either under the control of official authority or when the processing is necessary for compliance with a legal or regulatory obligation to which a controller is subject, or for the performance of a task carried out for important public interest reasons, and in so far as authorised by Union law or Member State law providing for adequate safeguards. A complete for the fundamental rights and the interests of the data subject . Any register of criminal convictions shall be kept only under the control of official authority. | j) | O tratamento de dados relacionados com sanções administrativas, julgamentos, delitos penais, condenações penais ou outras medidas de segurança conexas for efetuado sob o controlo de uma autoridade, ou se o tratamento for necessário ao respeito de uma obrigação jurídica ou regulamentar à qual o responsável pelo tratamento está sujeito ou à execução de uma missão efetuada por motivos importantes de interesse público, na medida em que esse tratamento seja autorizado pelo direito da União ou pela legislação de um Estado-Membro que preveja garantias adequadas. O dos direitos fundamentais e interesses do titular dos dados . Qualquer registo completo das condenações penais só pode ser conservado sob o controlo das autoridades públicas. |
| 3. The Commission European Data Protection Board shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose entrusted with the task of further specifying the criteria, conditions and appropriate safeguards issuing guidelines, recommendations and best practices for the processing of the special categories of personal data referred to in paragraph 1 and the exemptions laid down in paragraph 2 , in accordance with Article 66 . [Am. 103] | 3. São atribuídas competências à Comissão para adotar atos delegados em conformidade com artigo 86.o, a fim de a especificar mais concretamente os critérios, as condições e garantias adequados aplicáveis ao O Comité Europeu para a Proteção de Dados deve ser encarregado de elaborar orientações, recomendações e boas práticas relativamente aos métodos para verificar o tratamento das categorias de dados especiais a que se refere o n.o 1, bem como as derrogações previstas no n.o 2 , nos termos do artigo 66.o . [Alt. 103] |
| Article 10 | Artigo 10.o |
| Processing not allowing identification | Tratamento que não permite a identificação |
| 1. If the data processed by a controller do not permit the controller or processor to directly or indirectly identify a natural person, or consist only of pseudonymous data, the controller shall not be obliged to process or acquire additional information in order to identify the data subject for the sole purpose of complying with any provision of this Regulation. | 1. Se os dados tratados por um responsável pelo tratamento ou subcontratante não lhe permitirem identificar direta ou indiretamente uma pessoa singular ou consistirem apenas em dados pseudónimos , esse responsável não é obrigado a deve tratar ou obter informações adicionais para identificar o titular dos dados com o único objetivo de respeitar uma disposição do presente regulamento. |
| 2. Where the data controller is unable to comply with a provision of this Regulation because of paragraph 1, the controller shall not be obliged to comply with that particular provision of this Regulation. Where as a consequence the data controller is unable to comply with a request of the data subject, it shall inform the data subject accordingly. [Am. 104] | 2. Sempre que o responsável pelo tratamento dos dados não possa respeitar uma disposição do presente regulamento devido ao n.o 1, o responsável pelo tratamento não é obrigado a cumprir essa disposição do regulamento. Consequentemente, quando o responsável pelo tratamento dos dados não puder cumprir um pedido do titular dos dados, deve informar o mesmo em conformidade. [Alt. 104] |
| Article 10a | Artigo 10.o-A |
| General principles for the rights of the data subject | Princípios gerais para os direitos dos titulares de dados |
| 1. The basis of data protection is clear and unambiguous rights for the data subject which shall be respected by the data controller. The provisions of this Regulation aim to strengthen, clarify, guarantee and, where appropriate, codify these rights. | 1. A base da proteção de dados é constituída pelos direitos claros e não ambíguos do titular de dados que serão respeitados pelo responsável pelo tratamento. As disposições do presente regulamento visam reforçar, esclarecer, garantir e, quando adequado, codificar estes direitos. |
| 2. Such rights include, inter alia, the provision of clear and easily understandable information regarding the processing of the data subject’s personal data, the right of access, rectification and erasure of his or her data, the right to obtain data, the right to object to profiling, the right to lodge a complaint with the competent data protection authority and to bring legal proceedings as well as the right to compensation and damages resulting from an unlawful processing operation. Such rights shall in general be exercised free of charge. The data controller shall respond to requests from the data subject within a reasonable period of time. [Am. 105] | 2. Tais direitos incluem, nomeadamente, a prestação de informações claras e facilmente compreensíveis em relação ao tratamento dos seus dados pessoais, o direito de acesso, retificação e apagamento dos seus dados, o direito de obter dados, o direito de se opor à definição de perfis, o direito de apresentar queixa junto da autoridade competente responsável pela proteção de dados e de intentar ações judiciais, bem como o direito a reparação e indemnização resultantes de uma operação de tratamento ilícito. Tais direitos devem, em geral, ser exercidos gratuitamente. O responsável pelo tratamento de dados deve responder aos pedidos do titular de dados num período de tempo razoável. [Alt. 105] |
| CHAPTER III | CAPÍTULO III |
| RIGHTS OF THE DATA SUBJECT | DIREITOS DO TITULAR DOS DADOS |
| SECTION 1 | SECÇÃO 1 |
| TRANSPARENCY AND MODALITIES | TRANSPARÊNCIA E MODALIDADES |
| Article 11 | Artigo 11.o |
| Transparent information and communication | Transparência das informações e das comunicações |
| 1. The controller shall have concise, transparent , clear and easily accessible policies with regard to the processing of personal data and for the exercise of the data subject’s rights. | 1. O responsável pelo tratamento deve aplicar regras concisas, transparentes , claras e de fácil acesso relativamente ao tratamento de dados pessoais e ao exercício dos direitos pelos titulares de dados. |
| 2. The controller shall provide any information and any communication relating to the processing of personal data to the data subject in an intelligible form, using clear and plain language, adapted to the data subject, in particular for any information addressed specifically to a child. [Am. 106] | 2. O responsável pelo tratamento deve fornecer quaisquer informações e comunicações relativas ao tratamento de dados pessoais ao titular dos dados de forma inteligível, numa linguagem clara e simples, adaptada à pessoa em causa, em especial quando as informações são dirigidas especificamente a uma criança. [Alt. 106] |
| Article 12 | Artigo 12.o |
| Procedures and mechanisms for exercising the rights of the data subject | Procedimentos e mecanismos previstos para o exercício dos direitos dos titulares de dados |
| 1. The controller shall establish procedures for providing the information referred to in Article 14 and for the exercise of the rights of data subjects referred to in Article 13 and Articles 15 to 19. The controller shall provide in particular mechanisms for facilitating the request for the actions referred to in Article 13 and Articles 15 to 19. Where personal data are processed by automated means, the controller shall also provide means for requests to be made electronically where possible . | 1. O responsável pelo tratamento deve estabelecer os procedimentos de informação previstos no artigo 14.o, e os procedimentos de exercício dos direitos dos titulares de dados referidos no artigo 13.o, e nos artigos 15.o a 19.o. Deve prever, nomeadamente, mecanismos destinados a facilitar os pedidos sobre as medidas previstas no artigo 13.o, e nos artigos 15.o a 19.o. Sempre que os dados pessoais forem objeto de tratamento automatizado, o responsável pelo tratamento deve igualmente prever meios para a apresentação de pedidos por via eletrónica , sempre que possível . |
| 2. The controller shall inform the data subject without undue delay and, at the latest within one month 40 calendar days of receipt of the request, whether or not any action has been taken pursuant to Article 13 and Articles 15 to 19 and shall provide the requested information. This period may be prolonged for a further month, if several data subjects exercise their rights and their cooperation is necessary to a reasonable extent to prevent an unnecessary and disproportionate effort on the part of the controller. The information shall be given in writing and, where possible, the controller may provide remote access to a secure system which would provide the data subject with direct access to his or her personal data . Where the data subject makes the request in electronic form, the information shall be provided in electronic form where possible , unless otherwise requested by the data subject. | 2. O responsável pelo tratamento deve informar o titular dos dados sem demora injustificada e, o mais tardar, no prazo de um mês 40 dias a contar da data de receção do pedido, da eventual adoção de uma medida nos termos do artigo 13.o, e dos artigos 15.o a 19.o, bem como fornecer as informações solicitadas. Este prazo pode ser prorrogado mais um mês, caso vários titulares de dados exerçam os seus direitos e a sua cooperação seja necessária, numa medida razoável, para impedir um esforço injustificado e desproporcionado por parte do responsável pelo tratamento. As informações devem revestir a forma escrita e, sempre que possível, o responsável pelo tratamento pode facultar o acesso a um sistema seguro em linha que possibilite ao titular de dados aceder diretamente aos seus dados pessoais . Sempre que o titular dos direitos apresentar o pedido por via eletrónica, a informação deve ser fornecida por meios eletrónicos, sempre que possível, salvo se solicitado de outra forma pela pessoa em causa. |
| 3. If the controller refuses to does not take action at the request of the data subject, the controller shall inform the data subject of the reasons for the refusal inaction and on the possibilities of lodging a complaint to the supervisory authority and seeking a judicial remedy. | 3. Se o responsável pelo tratamento recusar não adotar as medidas solicitadas pelo titular dos dados, deve informar a pessoa em causa das razões da recusa inação , das possibilidades de apresentar uma queixa à autoridade de controlo e de interpor uma ação judicial. |
| 4. The information and the actions taken on requests referred to in paragraph 1 shall be free of charge. Where requests are manifestly excessive, in particular because of their repetitive character, the controller may charge a reasonable fee taking into account the administrative costs for providing the information or taking the action requested, or the controller may not take the action requested. In that case, the controller shall bear the burden of proving the manifestly excessive character of the request. | 4. As informações e as medidas adotadas relativamente a pedidos referidos no n.o 1 são gratuitas. Se os pedidos forem manifestamente abusivos, particularmente devido ao seu caráter repetitivo, o responsável pelo tratamento pode exigir o pagamento de uma taxa razoável tendo em conta os custos administrativos para fornecer informações ou adotar as medidas solicitadas, podendo também abster-se de adotar as medidas solicitadas. Nesse caso, incumbe ao responsável pelo tratamento o ónus de provar o caráter manifestamente abusivo do pedido. |
| 5. The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and conditions for the manifestly excessive requests and the fees referred to in paragraph 4. | 5. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o artigo 86.o, a fim de especificar mais concretamente os critérios e as condições aplicáveis aos pedidos manifestamente abusivos e às taxas referidas no n.o 4. |
| 6. The Commission may lay down standard forms and specifying standard procedures for the communication referred to in paragraph 2, including the electronic format. In doing so, the Commission shall take the appropriate measures for micro, small and medium-sized enterprises. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2). [Am. 107] | 6. A Comissão pode elaborar formulários e procedimentos normalizados para a comunicação referida no n.o 2, incluindo sob forma eletrónica. Ao fazê-lo, a Comissão deve adotar as medidas adequadas em relação às micro, pequenas e médias empresas. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.o, n.o 2. [Alt. 107] |
| Article 13 | Artigo 13.o |
| Rights in relation to recipients Notification requirement in the event of rectification and erasure | Direitos relativos aos destinatários Obrigação de comunicação em casos de retificação e apagamento |
| The controller shall communicate any rectification or erasure carried out in accordance with Articles 16 and 17 to each recipient to whom the data have been disclosed transferred , unless this proves impossible or involves a disproportionate effort. The controller shall inform the data subject about those recipients if the data subject requests this. [Am. 108] | O responsável pelo tratamento comunica a cada destinatário a para quem tenham sido transmitidos transferidos os dados qualquer retificação ou apagamento efetuado em conformidade com os artigos 16.o e 17.o, salvo se tal comunicação se revelar impossível ou implicar um esforço desproporcionado. O responsável pelo tratamento deve informar o titular dos dados sobre os destinatários se o titular dos dados o solicitar. [Alt. 108] |
| Article 13a | Artigo 13.o-A |
| Standardised information policies | Políticas de informação normalizadas |
| 1. Where personal data relating to a data subject are collected, the controller shall provide the data subject with the following particulars before providing information pursuant to Article 14: | 1. Sempre que os dados pessoais de um titular de dados forem recolhidos, o responsável pelo tratamento deve informar o titular dos dados, antes de prestar as informações previstas no artigo 14.o, sobre os seguintes aspetos: |
| (a) | whether personal data are collected beyond the minimum necessary for each specific purpose of the processing; | a) | Se a recolha dos dados pessoais exceder o mínimo necessário para cada finalidade específica do tratamento; |
| (b) | whether personal data are retained beyond the minimum necessary for each specific purpose of the processing; | b) | Se a conservação dos dados pessoais exceder o mínimo necessário para cada finalidade específica do tratamento; |
| (c) | whether personal data are processed for purposes other than the purposes for which they were collected; | c) | Se os dados pessoais forem tratados para fins diferentes daqueles para que foram recolhidos; |
| (d) | whether personal data are disseminated to commercial third parties; | d) | Se os dados pessoais forem divulgados a terceiros comerciais; |
| (e) | whether personal data are sold or rented out; | e) | Se os dados pessoais forem vendidos ou alugados; |
| (f) | whether personal data are retained in encrypted form. | f) | Se os dados pessoais forem conservados sob a forma de dados encriptados. |
| 2. The particulars referred to in paragraph 1 shall be presented pursuant to the Annex to this Regulation in an aligned tabular format, using text and symbols, in the following three columns: | 2. Os aspetos a que se refere o n.o 1 são apresentadas nos termos do anexo do presente regulamento em formato tabular, utilizando texto e símbolos, em três colunas, como a seguir se descreve: |
| (a) | the first column depicts graphical forms symbolising those particulars; | a) | A primeira coluna apresenta formas gráficas simbolizando os aspetos; |
| (b) | the second column contains essential information describing those particulars; | b) | A segunda coluna contém informações essenciais que descrevem esses aspetos; |
| (c) | the third column depicts graphical forms indicating whether a specific particular is met. | c) | A terceira coluna indica com recurso a formas gráficas se um determinado aspeto se verifica. |
| 3. The information referred to in paragraphs 1 and 2 shall be presented in an easily visible and clearly legible way and shall appear in a language easily understood by the consumers of the Member States to whom the information is provided. Where the particulars are presented electronically, they shall be machine readable. | 3. As informações referidas nos n.os 1 e 2 devem ser apresentadas de forma visualmente acessível e perfeitamente legível e numa linguagem que possa ser facilmente compreendida pelos consumidores dos Estados-Membros a quem se destinam. Se forem apresentados por via eletrónica, os aspetos devem ser legíveis por máquina. |
| 4. Additional particulars shall not be provided. Detailed explanations or further remarks regarding the particulars referred to in paragraph 1 may be provided together with the other information requirements pursuant to Article 14. | 4. Não devem ser prestadas informações adicionais. Podem ser fornecidas explicações detalhadas ou observações suplementares sobre os aspetos referidos no n.o 1 juntamente com outras informações obrigatórias nos termos do artigo 14.o. |
| 5. The Commission shall be empowered to adopt, after requesting an opinion of the European Data Protection Board, delegated acts in accordance with Article 86 for the purpose of further specifying the particulars referred to in paragraph 1 and their presentation as referred to in paragraph 2 and in the Annex to this Regulation. [Am. 109] | 5. São atribuídas competências à Comissão para adotar, após requerer um parecer ao Comité Europeu para a Proteção de Dados, atos delegados em conformidade com o artigo 86.o, a fim de especificar mais concretamente os aspetos referidos no n.o 1 e a forma da sua apresentação a que se refere o n.o 2 e o anexo 1. [Alt. 109] |
| SECTION 2 | SECÇÃO 2 |
| INFORMATION AND ACCESS TO DATA | INFORMAÇÃO E ACESSO AOS DADOS |
| Article 14 | Artigo 14.o |
| Information to the data subject | Informação do titular dos dados |
| 1. Where personal data relating to a data subject are collected, the controller shall provide the data subject with at least the following information , after the particulars pursuant to Article 13a have been provided : | 1. Sempre que os dados pessoais de uma pessoa forem recolhidos, o responsável pelo tratamento deve fornecer ao titular dos dados pelo menos as seguintes informações , depois de prestar as informações previstas no artigo 13.o-A : |
| (a) | the identity and the contact details of the controller and, if any, of the controller's representative and of the data protection officer; | a) | Identidade e contactos do responsável pelo tratamento e, se for caso disso, do representante desse responsável e do delegado para a proteção de dados; |
| (b) | the purposes of the processing for which the personal data are intended, as well as information regarding the security of the processing of personal data, including the contract terms and general conditions where the processing is based on point (b) of Article 6(1) and the legitimate interests pursued by the controller where the processing is based on , where applicable, information on how they implement and meet the requirements of point (f) of Article 6(1); | b) | Finalidades do tratamento a que os dados pessoais se destinam, bem como informações relativas à segurança do tratamento dos dados pessoais, incluindo as cláusulas e condições gerais do contrato, se o tratamento se basear no artigo 6.o, n.o1, alínea b), bem como os interesses legítimos prosseguidos pelo responsável pelo tratamento, se o tratamento se basear no e, se for caso disso, informações sobre o modo como executam e cumprem os requisitos do artigo 6.o, n.o 1, alínea f); |
| (c) | the period for which the personal data will be stored , or if this is not possible, the criteria used to determine this period ; | c) | Período de conservação dos dados pessoais ou — se tal não for possível — os critérios usados para definir esse período ; |
| (d) | the existence of the right to request from the controller access to and rectification or erasure of the personal data concerning the data subject, or to object to the processing of such personal data , or to obtain data ; | d) | Existência do direito de solicitar ao responsável pelo tratamento o acesso aos dados pessoais que lhe digam respeito, e a sua retificação ou apagamento, ou de se opor ao seu tratamento ou de obter dados ; |
| (e) | the right to lodge a complaint with the supervisory authority and the contact details of the supervisory authority; | e) | Direito de apresentar uma queixa à autoridade de controlo e de obter os contactos desta autoridade; |
| (f) | the recipients or categories of recipients of the personal data; | f) | Destinatários ou categorias de destinatários dos dados pessoais; |
| (g) | where applicable, that the controller intends to transfer the data to a third country or international organisation and on the level of protection afforded by that third country or international organisation by reference to the existence or absence of an adequacy decision by the Commission , or in case of transfers referred to in Article 42 or 43, reference to the appropriate safeguards and the means to obtain a copy of them ; | g) | Se for caso disso, a intenção de o responsável pelo tratamento transferir os dados para um país terceiro ou uma organização internacional, e o nível de proteção assegurado por esse país terceiro ou organização internacional, em referência a uma a existência ou não duma decisão sobre o nível de proteção adequado adotada pela Comissão ou, no caso das transferências mencionadas no artigo 42.o ou artigo 43.o, a referência às garantias adequadas e às formas de obter uma cópia das mesmas ; |
| (ga) | where applicable, information about the existence of profiling, of measures based on profiling, and the envisaged effects of profiling on the data subject; | g-A) | Se for caso disso, informações quanto à existência de definição de perfis, de medidas baseadas na definição de perfis e os efeitos previstos da definição de perfis sobre o titular dos dados; |
| (gb) | meaningful information about the logic involved in any automated processing; | g-B) | Informações significativas sobre a lógica subjacente ao tratamento automatizado dos dados; |
| (h) | any further information which is necessary to guarantee fair processing in respect of the data subject, having regard to the specific circumstances in which the personal data are collected. or processed, in particular the existence of certain processing activities and operations for which a personal data impact assessment has indicated that there may be a high risk; | (h) | Quaisquer outras informações necessárias para assegurar à pessoa em causa um tratamento leal, tendo em conta as circunstâncias específicas em que os dados pessoais são recolhidos ou tratados, em especial, a existência de certas atividades de tratamento e operações para as quais uma avaliação de impacto dos dados pessoais indicou que pode existir um risco elevado . |
| (ha) | where applicable, information whether personal data were provided to public authorities during the last consecutive 12-month period. | h-A) | Se for caso disso, informações sobre se os dados pessoais foram fornecidos a entidades públicas durante o último período de 12 meses consecutivos. |
| 2. Where the personal data are collected from the data subject, the controller shall inform the data subject, in addition to the information referred to in paragraph 1, whether the provision of personal data is obligatory mandatory or voluntary optional , as well as the possible consequences of failure to provide such data. | 2. Sempre que os dados pessoais tiverem sido recolhidos junto do titular de dados, o responsável pelo tratamento deve informá-lo, para além da informação referida no n.o 1, do caráter obrigatório ou facultativo de fornecer os dados pessoais, bem como das eventuais consequências de não fornecer esses dados. |
| 2a. In deciding on further information which is necessary to make the processing fair under point (h) of paragraph 1, controllers shall have regard to any relevant guidance under Article 34. | 2-A. Ao decidirem se mais informações são necessárias para tornar o tratamento justo ao abrigo do n.o 1, alínea h), os responsáveis pelo tratamento devem ter em conta quaisquer orientações relevantes que constem do artigo 34.o. |
| 3. Where the personal data are not collected from the data subject, the controller shall inform the data subject, in addition to the information referred to in paragraph 1, from which source the specific personal data originate. If personal data originate from publicly available sources, a general indication may be given. | 3. Sempre que os dados não tiverem sido recolhidos junto do titular de dados, o responsável pelo tratamento deve informá-lo, para além da informação referida no n.o 1, da origem dos dados pessoais específicos . Se os dados pessoais forem provenientes de fontes acessíveis ao público pode ser dada uma indicação geral . |
| 4. The controller shall provide the information referred to in paragraphs 1, 2 and 3: | 4. O responsável pelo tratamento deve comunicar as informações referidas nos n.os 1, 2 e 3: |
| (a) | at the time when the personal data are obtained from the data subject or without undue delay where the above is not feasible ; or | a) | No momento da recolha dos dados pessoais junto do titular de dados ou sem demora injustificada quando tal não seja exequível ; ou |
| (aa) | at the request of a body, organisation or association referred to in Article 73; | a-A) | A pedido de um organismo, organização ou associação referido no artigo 73.o; |
| (b) | where the personal data are not collected from the data subject, at the time of the recording or within a reasonable period after the collection, having regard to the specific circumstances in which the data are collected or otherwise processed, or, if a disclosure transfer to another recipient is envisaged, and at the latest when the data are first disclosed. at the time of the first transfer, or, if the data are to be used for communication with the data subject concerned, at the latest at the time of the first communication to that data subject; or | b) | Sempre que os dados não forem recolhidos junto do titular de dados, no momento do seu registo ou num prazo razoável após a recolha dos dados, tendo em conta as circunstâncias específicas em que foram recolhidos ou de outra forma tratados ou, se estiver prevista a divulgação transferência dos dados a outro destinatário, o mais tardar aquando da primeira divulgação desses dados transferência ou, se os dados se destinarem a ser utilizados para fins de comunicação com o titular de dados, o mais tardar no momento da primeira comunicação ao titular de dados; ou |
| (ba) | only on request where the data are processed by a small or micro enterprise which processes personal data only as an ancillary activity. | b-A) | Apenas a pedido sempre que os dados forem tratados por uma pequena ou microempresa que trata dados pessoais unicamente no âmbito de uma atividade acessória . |
| 5. Paragraphs 1 to 4 shall not apply, where: | 5. Os n.os 1 a 4 não se aplicam sempre que: |
| (a) | the data subject has already the information referred to in paragraphs 1, 2 and 3; or | a) | O titular de dados já tiver conhecimento das informações referidas nos n.os 1, 2 e 3; ou |
| (b) | the data are processed for historical, statistical or scientific research purposes subject to the conditions and safeguards referred to in Articles 81 and 83, are not collected from the data subject and the provision of such information proves impossible or would involve a disproportionate effort and the controller has published the information for anyone to retrieve ; or | b) | Os dados forem tratados para fins de investigação histórica, estatística ou científica, sujeitos às condições e salvaguardas referidas no artigo 81.o e 83.o, não forem recolhidos junto do titular de dados e a comunicação dessas informações se revelar impossível ou implicar um esforço desproporcionado e o responsável pelo tratamento tiver publicado as informações para qualquer um as recuperar; ou |
| (c) | the data are not collected from the data subject and recording or disclosure is expressly laid down by law to which the controller is subject, which provides appropriate measures to protect the data subject's legitimate interests, considering the risks represented by the processing and the nature of the personal data ; or | c) | Os dados não forem recolhidos junto do titular de dados e o registo ou a divulgação dos dados for expressamente prevista por lei pela legislação à qual o responsável pelo tratamento está sujeito, que preveja medidas adequadas para proteger os legítimos interesses do titular de dados, considerando os riscos representados pelo tratamento e a natureza dos dados pessoais ; ou |
| (d) | the data are not collected from the data subject and the provision of such information will impair the rights and freedoms of others other natural persons , as defined in Union law or Member State law in accordance with Article 21; | d) | Os dados não foram recolhidos junto do titular de dados e a comunicação dessas informações prejudicar os direitos e liberdades de outras pessoas singulares , tal como definidos no direito da União ou na legislação dos Estados-Membros, em conformidade com o artigo 21.o; |
| (da) | the data are processed in the exercise of his profession by, or are entrusted or become known to, a person who is subject to an obligation of professional secrecy regulated by Union or Member State law or to a statutory obligation of secrecy, unless the data are collected directly from the data subject. | d-A) | Os dados forem tratados, no âmbito do exercício da sua profissão, por uma pessoa sujeita a segredo profissional regulamentado pela legislação da União ou de um Estado-Membro ou a um sigilo profissional determinado por lei, salvo se os dados são recolhidos diretamente junto do titular dos dados. |
| 6. In the case referred to in point (b) of paragraph 5, the controller shall provide appropriate measures to protect the data subject's rights or legitimate interests. | 6. No caso referido no n.o 5, alínea b), o responsável pelo tratamento deve adotar as medidas adequadas para proteger os direitos ou interesses legítimos do titular dos dados. |
| 7. The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria for categories of recipients referred to in point (f) of paragraph 1, the requirements for the notice of potential access referred to in point (g) of paragraph 1, the criteria for the further information necessary referred to in point (h) of paragraph 1 for specific sectors and situations, and the conditions and appropriate safeguards for the exceptions laid down in point (b) of paragraph 5. In doing so, the Commission shall take the appropriate measures for micro, small and medium-sized-enterprises. | 7. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o artigo 86.o, a fim de melhor especificar os critérios aplicáveis às categorias de destinatários referidos no n.o 1, alínea f), os requisitos para informar sobre as possibilidades de acesso referidas no n.o 1, alínea g), os critérios aplicáveis à obtenção de informações suplementares necessárias referidas no n.o 1 alínea h), para domínios e situações específicos, bem como as condições e garantias adequadas para as exceções previstas no n.o 5, alínea b). Ao fazê-lo, a Comissão deve adotar as medidas adequadas em relação às micro, pequenas e médias empresas. |
| 8. The Commission may lay down standard forms for providing the information referred to in paragraphs 1 to 3, taking into account the specific characteristics and needs of various sectors and data processing situations where necessary. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2). [Am. 110] | 8. A Comissão pode prever formulários normalizados para a comunicação das informações referidas nos n.os 1 a 3, tendo em consideração as características e necessidades específicas dos diversos setores e situações de tratamento de dados, se for caso disso. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.o, n.o 2. [Alt. 110] |
| Article 15 | Artigo 15.o |
| Right of to access and to obtain data for the data subject | Direito de acesso e de obtenção de dados do titular dos dados |
| 1. The Subject to Article 12(4), the data subject shall have the right to obtain from the controller at any time, on request, confirmation as to whether or not personal data relating to the data subject are being processed. Where such personal data are being processed, and, in clear and plain language, the controller shall provide the following information: | 1. Sob reserva do artigo 12.o, n.o 4, o titular dos dados pode obter do responsável pelo tratamento, a qualquer momento e mediante pedido, confirmação de que os dados pessoais que lhe digam respeito são ou não objeto de tratamento e numa linguagem simples e clara, . Sempre que esses dados forem objeto de tratamento, o responsável pelo tratamento deve fornecer as seguintes informações: |
| (a) | the purposes of the processing for each category of personal data ; | a) | Finalidades do tratamento de cada categoria de dados pessoais ; |
| (b) | the categories of personal data concerned; | b) | Categorias de dados pessoais envolvidos; |
| (c) | the recipients or categories of recipients to whom the personal data are to be or have been disclosed, in particular including to recipients in third countries; | c) | Destinatários ou categorias de destinatários a quem os dados pessoais serão ou foram divulgados, em especial quando incluindo os destinatários estão estabelecidos em países terceiros; |
| (d) | the period for which the personal data will be stored , or if this is not possible, the criteria used to determine this period ; | d) | Período de conservação dos dados pessoais ou — se tal não for possível — os critérios usados para definir esse período ; |
| (e) | the existence of the right to request from the controller rectification or erasure of personal data concerning the data subject or to object to the processing of such personal data; | e) | Existência do direito de solicitar ao responsável pelo tratamento a retificação ou o apagamento de dados pessoais que lhe digam respeito, ou de se opor ao tratamento desses dados pessoais; |
| (f) | the right to lodge a complaint with the supervisory authority and the contact details of the supervisory authority; | f) | Direito de apresentar uma queixa à autoridade de controlo e de obter os contactos desta autoridade; |
| (g) | communication of the personal data undergoing processing and of any available information as to their source; | g) | Comunicação dos dados pessoais em fase de tratamento e quaisquer informações disponíveis sobre a origem desses dados; |
| (h) | the significance and envisaged consequences of such processing, at least in the case of measures referred to in Article 20.; | h) | Importância e consequências previstas de tal tratamento, pelo menos no caso das medidas referidas no artigo 20.o . |
| (ha) | meaningful information about the logic involved in any automated processing; | h-A) | Informações significativas sobre a lógica subjacente ao tratamento automatizado dos dados; |
| (hb) | without prejudice to Article 21, in the event of disclosure of personal data to a public authority as a result of a public authority request, confirmation of the fact that such a request has been made. | h-B) | Sem prejuízo do disposto no artigo 21.o, em caso de divulgação de dados pessoais a uma autoridade pública na sequência dum pedido duma autoridade pública, a confirmação de que esse pedido foi apresentado. |
| 2. The data subject shall have the right to obtain from the controller communication of the personal data undergoing processing. Where the data subject makes the request in electronic form, the information shall be provided in an electronic form and structured format , unless otherwise requested by the data subject. Without prejudice to Article 10, the controller shall take all reasonable steps to verify that the person requesting access to the data is the data subject. | 3. O titular dos dados tem o direito de obter do responsável pelo tratamento a comunicação dos dados pessoais em fase de tratamento. Sempre que o titular dos direitos apresentar o pedido por via eletrónica, a informação deve ser fornecida por meios eletrónicos em formato eletrónico e estruturado , salvo se solicitado de outra forma pela pessoa em causa. Sem prejuízo do artigo 10.o-C, o responsável pelo tratamento deve tomar as medidas necessárias para verificar se a pessoa que solicita acesso aos dados é o titular dos dados. |
| 2a. Where the data subject has provided the personal data where the personal data are processed by electronic means, the data subject shall have the right to obtain from the controller a copy of the provided personal data in an electronic and interoperable format which is commonly used and allows for further use by the data subject without hindrance from the controller from whom the personal data are withdrawn. Where technically feasible and available, the data shall be transferred directly from controller to controller at the request of the data subject. | 2-A. Se o titular dos dados tiver fornecido dados pessoais e estes forem objeto de tratamento eletrónico, o titular dos dados tem o direito de obter do responsável pelo tratamento uma cópia dos dados pessoais fornecidos sob um formato eletrónico e interoperável de utilização corrente e que permita utilização posterior pela pessoa em causa, sem que o responsável pelo tratamento a quem os dados são retirados o possa impedir. Sempre que tal seja tecnicamente possível e disponível, os dados são transferidos diretamente entre os responsáveis pelo tratamento de dados a pedido do titular dos dados. |
| 2b. This Article shall be without prejudice to the obligation to delete data when no longer necessary under point (e) of Article 5(1). | 2-B. O presente artigo aplica-se sem prejuízo da obrigação, prevista no artigo 5.o, n.o 1, alínea e), de apagar dados quando deixam de ser necessários. |
| 2c. There shall be no right of access in accordance with paragraphs 1 and 2 when data within the meaning of point (da) of Article 14(5) are concerned, except if the data subject is empowered to lift the secrecy in question and acts accordingly. | 2-C. Não deve existir direito de acesso, em conformidade com os n.os 1 e 2, no que se refere aos dados na aceção do artigo 14.o, n.o 5, alínea d-A), exceto se o titular dos dados tiver poder para levantar o sigilo em causa e agir em conformidade. |
| 3. The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and requirements for the communication to the data subject of the content of the personal data referred to in point (g) of paragraph 1. | 3. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o artigo 86.o, a fim especificar mais concretamente os critérios e as condições aplicáveis à comunicação ao titular de dados do conteúdo dos dados pessoais referidos no n.o 1, alínea g). |
| 4. The Commission may specify standard forms and procedures for requesting and granting access to the information referred to in paragraph 1, including for verification of the identity of the data subject and communicating the personal data to the data subject, taking into account the specific features and necessities of various sectors and data processing situations. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2). [Am. 111] | 4. A Comissão pode elaborar formulários e procedimentos normalizados para o pedido e a concessão de acesso às informações referidas no n.o 1, incluindo para verificação da identidade do titular dos dados e a comunicação dos dados pessoais à pessoa em causa, tendo em consideração especificidades e necessidades de diversos setores e situações de tratamento de dados. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.o, n.o 2. [Alt. 111] |
| SECTION 3 | SECÇÃO 3 |
| RECTIFICATION AND ERASURE | RETIFICAÇÃO E APAGAMENTO |
| Article 16 | Artigo 16.o |
| Right to rectification | Direito de retificação |
| The data subject shall have the right to obtain from the controller the rectification of personal data relating to him or her which are inaccurate. The data subject shall have the right to obtain completion of incomplete personal data, including by way of supplementing a corrective statement. | O titular dos dados tem o direito de obter do responsável pelo tratamento a retificação dos dados pessoais inexatos que lhe digam respeito. O titular dos dados tem o direito de obter, nomeadamente através de uma declaração retificativa adicional, que os seus dados pessoais incompletos sejam completados. |
| Article 17 | Artigo 17.o |
| Right to be forgotten and to erasure | Direito a ser esquecido e ao apagamento |
| 1. The data subject shall have the right to obtain from the controller the erasure of personal data relating to him or her and the abstention from further dissemination of such data, especially in relation to personal data which are made available by the data subject while he or she was a child, and to obtain from third parties the erasure of any links to, or copy or replication of, those data where one of the following grounds applies: | 1. O titular dos dados tem o direito de obter do responsável pelo tratamento o apagamento de dados pessoais que lhe digam respeito e a cessação da comunicação ulterior desses dados, especialmente em relação a dados pessoais que tenham sido disponibilizados pelo titular dos dados quando ainda era uma criança, e de obter de terceiros o apagamento de quaisquer ligações para esses dados pessoais, cópias ou reproduções dos mesmos , sempre que se aplique um dos motivos seguintes: |
| (a) | the data are no longer necessary in relation to the purposes for which they were collected or otherwise processed; | a) | Os dados deixaram de ser necessários em relação à finalidade que motivou a sua recolha ou tratamento; |
| (b) | the data subject withdraws consent on which the processing is based according to point (a) of Article 6(1), or when the storage period consented to has expired, and where there is no other legal ground for the processing of the data; | b) | O titular dos dados retira o consentimento sobre o qual é baseado o tratamento nos termos do artigo 6.o, n.o 1, alínea a), ou se o período de conservação consentido tiver terminado e não existir outro fundamento jurídico para o tratamento dos dados; |
| (c) | the data subject objects to the processing of personal data pursuant to Article 19; | c) | O titular dos dados opõe-se ao tratamento de dados pessoais nos termos do artigo 19.o; |
| (ca) | a court or regulatory authority based in the Union has ruled as final and absolute that the data concerned must be erased; | c-A) | Um tribunal ou autoridade de controlo da União deliberou de forma definitiva e sem contestações que os dados em causa têm de ser apagados; |
| (d) | the processing of the data does not comply with this Regulation for other reasons have been unlawfully processed . | d) | O tratamento dos Os dados não respeita o presente regulamento por outros motivos foram tratados ilicitamente . |
| 1a. The application of paragraph 1 shall be dependent upon the ability of the controller to verify that the person requesting the erasure is the data subject. | 1-A. A aplicação do n.o 1 deve depender da capacidade de o responsável pelo tratamento verificar se a pessoa que solicita o apagamento é o titular dos dados. |
| 2. Where the controller referred to in paragraph 1 has made the personal data public without a justification based on Article 6(1) , it shall take all reasonable steps, including technical measures, in relation to data for the publication of which the controller is responsible, to inform third parties which are processing such data, that a data subject requests them to erase any links to, or copy or replication of that personal data. Where the controller has authorised a third party publication of personal data, the controller shall be considered responsible for that publication to have the data erased, including by third parties, without prejudice to Article 77. The controller shall inform the data subject, where possible, of the action taken by the relevant third parties . | 2. Sempre que o responsável pelo tratamento referido no n.o 1 tiver tornado públicos os dados pessoais sem uma justificação baseada no artigo 6.o, n.o 1 , deve adotar todas as medidas razoáveis, incluindo de caráter técnico, em relação aos dados publicados sob a sua responsabilidade, tendo em vista informar os terceiros que tratam esses dados que um titular de dados lhe solicita o apagamento de quaisquer ligações para esses dados pessoais, cópias ou reproduções desses dados. Se o responsável pelo tratamento tiver autorizado um terceiro a publicar dados pessoais, o primeiro é considerado responsável por essa publicação para que os dados sejam apagados, também por terceiros, sem prejuízo do artigo 77.o . O responsável pelo tratamento deve informar o titular dos dados, sempre que possível, das ações dos terceiros em causa. . |
| 3. The controller and, where applicable, the third party shall carry out the erasure without delay, except to the extent that the retention of the personal data is necessary: | 3. O responsável pelo tratamento e, quando aplicável, um terceiro deve efetuar o apagamento sem demora, salvo quando a conservação dos dados seja necessária: |
| (a) | for exercising the right of freedom of expression in accordance with Article 80; | a) | Ao exercício do direito de liberdade de expressão nos termos do artigo 80.o; |
| (b) | for reasons of public interest in the area of public health in accordance with Article 81; | b) | Por motivos de interesse público no domínio da saúde pública, nos termos do artigo 81.o; |
| (c) | for historical, statistical and scientific research purposes in accordance with Article 83; | c) | Para fins de investigação histórica, estatística ou científica, nos termos do artigo 83.o; |
| (d) | for compliance with a legal obligation to retain the personal data by Union or Member State law to which the controller is subject; Member State laws shall meet an objective of public interest, respect the essence of the right to the protection of personal data and be proportionate to the legitimate aim pursued; | d) | Para o cumprimento de uma obrigação jurídica de conservação de dados pessoais prevista pelo direito da União ou pela legislação de um Estado-Membro à qual o responsável pelo tratamento esteja sujeito; a legislação do Estado-Membro deve responder a um objetivo de interesse público, respeitar o conteúdo essencial do direito à proteção de dados pessoais e ser proporcional ao objetivo legítimo prosseguido; |
| (e) | in the cases referred to in paragraph 4. | e) | Nos casos referidos no n.o 4. |
| 4. Instead of erasure, the controller shall restrict processing of personal data in such a way that it is not subject to the normal data access and processing operations and cannot be changed anymore, where: | 4. Em vez de proceder ao apagamento, o responsável pelo tratamento deve restringir o tratamento de dados pessoais de modo a que estes não estejam sujeitos ao acesso normal e às operações de tratamento e nunca mais possam ser alterados sempre que: |
| (a) | their accuracy is contested by the data subject, for a period enabling the controller to verify the accuracy of the data; | a) | A sua exatidão for contestada pelo titular dos dados, durante um período que permita ao responsável pelo tratamento verificar a exatidão dos dados; |
| (b) | the controller no longer needs the personal data for the accomplishment of its task but they have to be maintained for purposes of proof; | b) | Já não precisar dos dados pessoais para o desempenho das suas funções, mas esses dados tenham de ser conservados para efeitos de prova; |
| (c) | the processing is unlawful and the data subject opposes their erasure and requests the restriction of their use instead; | c) | O tratamento for ilícito e o titular dos dados se opuser ao seu apagamento e solicitar, em contrapartida, a limitação da sua utilização; |
| (ca) | a court or regulatory authority based in the Union has ruled as final and absolute that the processing concerned must be restricted; | c-A) | Um tribunal ou autoridade de controlo da União deliberou de forma definitiva e sem contestações que o tratamento em causa tem de ser limitado; |
| (d) | the data subject requests to transmit the personal data into another automated processing system in accordance with paragraphs 2a of Article 18(2). 15; | d) | O titular dos dados solicitar a transmissão dos dados pessoais para outro sistema de tratamento automatizado, nos termos do artigo 18.o, n.o 2 15.o, n.o 2 - A . |
| (da) | the particular type of storage technology does not allow for erasure and has been installed before the entry into force of this Regulation. | d-A) | O tipo específico de tecnologia de armazenamento não permite o apagamento e foi instalado antes da entrada em vigor do presente regulamento. |
| 5. Personal data referred to in paragraph 4 may, with the exception of storage, only be processed for purposes of proof, or with the data subject's consent, or for the protection of the rights of another natural or legal person or for an objective of public interest. | 5. À exceção da sua conservação, os dados pessoais referidos no n.o 4 só podem ser objeto de tratamento para efeitos de prova, ou com o consentimento do titular dos dados, ou para proteção dos direitos de outra pessoa, singular ou coletiva, ou por um motivo de interesse público. |
| 6. Where processing of personal data is restricted pursuant to paragraph 4, the controller shall inform the data subject before lifting the restriction on processing. | 6. Sempre que o tratamento de dados pessoais for limitado nos termos do n.o 4, o responsável pelo tratamento informa o titular dos dados antes de anular a limitação ao tratamento. |
| 7. The controller shall implement mechanisms to ensure that the time limits established for the erasure of personal data and/or for a periodic review of the need for the storage of the data are observed. | 7. O responsável pelo tratamento deve aplicar mecanismos para assegurar o respeito dos prazos estipulados para o apagamento dos dados pessoais e/ou para a fiscalização periódica da necessidade de conservar esses dados. |
| 8. Where the erasure is carried out, the controller shall not otherwise process such personal data. | 8. Se o apagamento for efetuado, o responsável pelo tratamento não pode realizar qualquer outro tratamento dos dados pessoais em causa. |
| 8a. The controller shall implement mechanisms to ensure that the time limits established for the erasure of personal data and/or for a periodic review of the need for the storage of the data are observed. | 8-A. O responsável pelo tratamento deve aplicar mecanismos para assegurar o respeito dos prazos estipulados para o apagamento dos dados pessoais e/ou para a fiscalização periódica da necessidade de conservar esses dados. |
| 9. The Commission shall be empowered to adopt , after requesting an opinion of the European Data Protection Board, delegated acts in accordance with Article 86 for the purpose of further specifying: | 9. São atribuídas competências à Comissão para adotar , após requerer um parecer ao Comité Europeu para a Proteção de Dados, atos delegados em conformidade com o artigo 86.o, a fim de especificar mais concretamente: |
| (a) | the criteria and requirements for the application of paragraph 1 for specific sectors and in specific data processing situations; | a) | Os critérios e requisitos para a aplicação do n.o 1 em setores e situações específicos que envolvam o tratamento de dados; |
| (b) | the conditions for deleting links, copies or replications of personal data from publicly available communication services as referred to in paragraph 2; | b) | As condições para o apagamento de ligações para esses dados, cópias ou reproduções destes dados existentes em serviços de comunicação acessíveis ao público, tal como previsto no n.o 2; |
| (c) | the criteria and conditions for restricting the processing of personal data referred to in paragraph 4. [Am. 112] | c) | Os critérios e condições aplicáveis à limitação do tratamento de dados pessoais referidos n.o 4. [Alt. 112] |
| Article 18 | Artigo 18.o |
| Right to data portability | Direito de portabilidade dos dados |
| 1. The data subject shall have the right, where personal data are processed by electronic means and in a structured and commonly used format, to obtain from the controller a copy of data undergoing processing in an electronic and structured format which is commonly used and allows for further use by the data subject. | 1. Sempre que os dados pessoais forem objeto de tratamento eletrónico num formato estruturado e de utilização corrente, o titular dos dados tem o direito de obter do responsável pelo tratamento uma cópia dos dados sujeitos a tratamento sob um formato eletrónico e estruturado de utilização corrente e que permita utilização posterior pela pessoa em causa. |
| 2. Where the data subject has provided the personal data and the processing is based on consent or on a contract, the data subject shall have the right to transmit those personal data and any other information provided by the data subject and retained by an automated processing system, into another one, in an electronic format which is commonly used, without hindrance from the controller from whom the personal data are withdrawn. | 2. Se o titular dos dados tiver fornecido dados pessoais e o tratamento tiver por base o consentimento ou um contrato, a pessoa em causa tem o direito de transmitir esses dados pessoais e quaisquer outras informações que forneceu e que são conservadas por um sistema de tratamento automatizado, para outro sistema, sob um formato eletrónico de uso corrente, sem que o responsável pelo tratamento a quem os dados são retirados o possa impedir. |
| 3. The Commission may specify the electronic format referred to in paragraph 1 and the technical standards, modalities and procedures for the transmission of personal data pursuant to paragraph 2. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2). [Am. 113] | 3. A Comissão pode especificar o formato eletrónico referido no n.o 1, bem como estabelecer normas técnicas, modalidades e procedimentos para a transmissão de dados pessoais, nos termos do n.o 2. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.o, n.o 2. [Alt. 113] |
| SECTION 4 | SECÇÃO 4 |
| RIGHT TO OBJECT AND PROFILING | DIREITO DE OPOSIÇÃO E DEFINIÇÃO DE PERFIS |
| Article 19 | Artigo 19.o |
| Right to object | Direito de oposição |
| 1. The data subject shall have the right to object, on grounds relating to their particular situation, at any time to the processing of personal data which is based on points (d), and (e) and (f) of Article 6(1), unless the controller demonstrates compelling legitimate grounds for the processing which override the interests or fundamental rights and freedoms of the data subject. | 1. O titular dos dados tem o direito de se opor em qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos seus dados pessoais com base no artigo 6.o, n.o 1, alíneas d), e e) e f), salvo se o responsável pelo tratamento apresentar razões imperiosas e legítimas que prevaleçam sobre os interesses ou direitos e liberdades fundamentais da pessoa em causa. |
| 2. Where the processing of personal data are processed for direct marketing purposes is based on point (f) of Article 6(1) , the data subject shall have, at any time and without any further justification, the right to object free of charge in general or for any particular purpose to the processing of his or her personal data for such marketing. This right shall be explicitly offered to the data subject in an intelligible manner and shall be clearly distinguishable from other information. | 2. Sempre que os dados pessoais são tratados para efeitos de comercialização direta o tratamento dos dados pessoais se basear no artigo 6.o, n.o 1, alínea f) , o titular dos dados tem , a qualquer momento e sem uma justificação, o direito de se opor gratuitamente, em geral ou para qualquer fim particular, ao tratamento dos seus dados pessoais tendo em vista essa comercialização. Este direito deve ser explicitamente comunicado ao titular dos dados de forma compreensível e deve ser claramente distinguido de outras informações. |
| 2a. The right referred to in paragraph 2 shall be explicitly offered to the data subject in an intelligible manner and form, using clear and plain language, in particular if addressed specifically to a child, and shall be clearly distinguishable from other information. | 2-A. O direito a que se refere o n.o 2 deve ser explicitamente comunicado ao titular dos dados de forma compreensível, numa linguagem clara e simples, em especial quando as informações são dirigidas especificamente a uma criança, e deve ser claramente distinguido de outras informações. |
| 2b. In the context of the use of information society services, and notwithstanding Directive 2002/58/EC, the right to object may be exercised by automated means using a technical standard which allows the data subject to clearly express his or her wishes. | 2-B. No contexto da utilização dos serviços da sociedade da informação, e sem prejuízo da Diretiva 2002/58/CE, o direito de oposição pode ser exercido por meios automatizados utilizando uma norma técnica que permita ao titular dos dados expressar claramente a sua vontade. |
| 3. Where an objection is upheld pursuant to paragraphs 1 and 2, the controller shall no longer use or otherwise process the personal data concerned for the purposes determined in the objection . [Am. 114] | 3. Se for mantida a oposição nos termos dos n.os 1 e 2, o responsável pelo tratamento deixa de utilizar ou tratar de outra forma os dados pessoais em causa para os fins determinados na oposição .[Alt. 114] |
| Article 20 | Artigo 20.o |
| Measures based on profiling Profiling | Medidas baseadas na Definição de perfis |
| 1. Without prejudice to the provisions in Article 6, Every every natural person shall have the right to object not to be subject to a measure which produces legal effects concerning this natural person or significantly affects this natural person, and which is based solely on automated processing intended to evaluate certain personal aspects relating to this natural person or to analyse or predict in particular the natural person's performance at work, economic situation, location, health, personal preferences, reliability or behaviour profiling in accordance with Article 19. The data subject shall be informed about the right to object to profiling in a highly visible manner . | 1. Sem prejuízo do disposto no artigo 6.o, qualquer pessoa singular tem o direito de não ficar sujeita a uma medida que produza efeitos na sua esfera jurídica ou que a afete de modo significativo, tomada exclusivamente com base num tratamento automatizado de dados destinado a avaliar determinados aspetos da sua personalidade, ou a analisar ou prever, em especial, a sua capacidade profissional, situação financeira, localização, saúde, preferências pessoais, fiabilidade ou comportamento se opor à definição de perfis em conformidade com o artigo 19.o . O titular dos dados deve ser informado de que tem o direito de se opor à definição de perfis de forma claramente visível. |
| 2. Subject to the other provisions of this Regulation, a person may be subjected to a measure of the kind referred to in paragraph 1 profiling which leads to measures producing legal effects concerning the data subject or does similarly significantly affect the interests, rights or freedoms of the concerned data subject only if the processing: | 2. Sob reserva das outras disposições do presente regulamento, uma pessoa só pode ser sujeita a uma medida do tipo referido no n.o 1, à definição de perfis que conduza a medidas que produzam efeitos jurídicos relativamente ao titular dos dados ou, do mesmo modo, afetar significativamente os interesses, direitos e liberdades fundamentais do titular dos dados em causa, se o tratamento: |
| (a) | is carried out in the course of necessary for the entering into, or performance of, a contract, where the request for the entering into or the performance of the contract, lodged by the data subject, has been satisfied or where , provided that suitable measures to safeguard the data subject's legitimate interests have been adduced, such as the right to obtain human intervention; or | a) | For efetuado no âmbito da necessário para a celebração ou da execução de um contrato, sempre que o pedido de celebração ou execução do contrato, apresentado pelo titular dos dados, tiver sido satisfeito ou se tiverem desde que tenham sido apresentadas medidas adequadas para assegurar a proteção dos interesses legítimos da pessoa em causa, designadamente o direito de obter intervenção humana; ou |
| (b) | is expressly authorized by a Union or Member State law which also lays down suitable measures to safeguard the data subject's legitimate interests; or | b) | For expressamente autorizada por força da legislação da União ou de um Estado-Membro que estabeleça também medidas adequadas que garantam a defesa dos legítimos interesses da pessoa em causa; ou |
| (c) | is based on the data subject's consent, subject to the conditions laid down in Article 7 and to suitable safeguards. | c) | Tiver por base o consentimento do titular dos dados, sob reserva das condições estabelecidas no artigo 7.o, e de garantias adequadas. |
| 3. Automated processing of personal data intended to evaluate certain personal aspects relating to a natural person Profiling that has the effect of discriminating against individuals on the basis of race or ethnic origin, political opinions, religion or beliefs, trade union membership, sexual orientation or gender identity, or that results in measures which have such effect, shall be prohibited. The controller shall implement effective protection against possible discrimination resulting from profiling. Profiling shall not be based solely on the special categories of personal data referred to in Article 9. | 3. O tratamento automatizado dos dados pessoais destinado a avaliar determinados aspetos pessoais próprios a uma pessoa singular É proibida a definição de perfis que tenha por efeito a discriminação contra pessoas singulares em razão de origem racial ou étnica, opiniões políticas, religião ou convicções, filiação sindical, orientação sexual ou identidade de género ou que conduza a medidas que tenham tais efeitos. O responsável pelo tratamento deve proceder a uma proteção eficaz contra a eventual discriminação resultante da definição de perfis. A definição de perfis não se deve basear exclusivamente nas categorias especiais de dados pessoais referidas no artigo 9.o. |
| 4. In the cases referred to in paragraph 2, the information to be provided by the controller under Article 14 shall include information as to the existence of processing for a measure of the kind referred to in paragraph 1 and the envisaged effects of such processing on the data subject. | 4. Nos casos previstos no n.o 2, as informações a fornecer pelo responsável pelo tratamento nos termos do artigo 14.o devem incluir informações quanto à existência de tratamento para uma medida como a referida no n.o 1, e os efeitos previstos desse tratamento sobre o titular dos dados. |
| 5. The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and conditions for Profiling which leads to measures producing legal effects concerning the data subject or does similarly significantly affect the interests, rights or freedoms of the concerned data subject shall not be based solely or predominantly on automated processing and shall include human assessment, including an explanation of the decision reached after such an assessment. The suitable measures to safeguard the data subject's legitimate interests referred to in paragraph 2 shall include the right to obtain human assessment and an explanation of the decision reached after such assessment . | 5. São atribuídas competências à Comissão para adotar atos delegados nos termos do artigo 86.o, a fim de especificar mais concretamente os critérios e as condições aplicáveis a A definição de perfis que conduza a medidas que produzam efeitos jurídicos relativamente ao titular dos dados ou, do mesmo modo, afetem significativamente os interesses, direitos e liberdades fundamentais do titular dos dados em causa não se deve basear, de forma exclusiva ou predominante, num tratamento automatizado de dados e deve incluir uma avaliação humana, mormente a explicação da decisão tomada após tal avaliação. As medidas adequadas que garantam a defesa dos legítimos interesses do titular dos dados, em conformidade com o n.o 2 devem incluir o direito a uma avaliação humana e a explicação da decisão tomada após tal avaliação |
| 5a. The European Data Protection Board shall be entrusted with the task of issuing guidelines, recommendations and best practices in accordance with point (b) of Article 66(1) for further specifying the criteria and conditions for profiling pursuant to paragraph 2. [Am. 115] | 5-A. O Comité Europeu para a Proteção de Dados será encarregado de publicar orientações, recomendações e boas práticas, em conformidade com o artigo 66.o, n.o 1, alínea b), para especificar mais concretamente os critérios e as condições de definição de perfis, nos termos do n.o 2. [Alt. 115] |
| SECTION 5 | SECÇÃO 5 |
| RESTRICTIONS | LIMITAÇÕES |
| Article 21 | Artigo 21.o |
| Restrictions | Limitações |
| 1. Union or Member State law may restrict by way of a legislative measure the scope of the obligations and rights provided for in points (a) to (e) of Article 5 and Articles 11 to 20 19 and Article 32, when such a restriction constitutes meets a clearly defined objective of public interest, respects the essence of the right to protection of personal data, is proportionate to the legitimate aim pursued and respects the fundamental rights and interests of the data subject and is a necessary and proportionate measure in a democratic society to safeguard: | 1. A legislação da União ou dos Estados-Membros pode limitar, mediante disposições legislativas, o alcance das obrigações e dos direitos previstos no artigo 5.o, alíneas a) a e), nos artigos 11.o a 20.o 19.o , e no artigo 32.o, desde que tal limitação constitua respeite um objetivo de interesse público claramente definido, respeite o conteúdo essencial do direito à proteção de dados pessoais, seja proporcional ao objetivo legítimo prosseguido, respeite os direitos fundamentais e os interesses do titular dos dados e seja uma medida necessária e proporcionada numa sociedade democrática para assegurar: |
| (a) | public security; | a) | A segurança pública; |
| (b) | the prevention, investigation, detection and prosecution of criminal offences; | b) | A prevenção, investigação, deteção e repressão de infrações penais; |
| (c) | other public interests of the Union or of a Member State, in particular an important economic or financial interest of the Union or of a Member State, including monetary, budgetary and taxation matters and the protection of market stability and integrity; | c) | Outros interesses públicos da União ou de um Estado-Membro, nomeadamente um interesse económico ou financeiro importante da União ou de um Estado-Membro, incluindo nos domínios monetário, orçamental ou fiscal, bem como a proteção da estabilidade e integridade dos mercados questões fiscais ; |
| (d) | the prevention, investigation, detection and prosecution of breaches of ethics for regulated professions; | d) | A prevenção, investigação, deteção e repressão de violações da deontologia de profissões regulamentadas; |
| (e) | a monitoring, inspection or regulatory function connected, even occasionally, with in the framework of the exercise of official a competent public authority in cases referred to in (a), (b), (c) and (d); | e) | Uma missão de controlo, de inspeção ou de regulamentação associada, ainda que ocasionalmente ao, no âmbito do exercício da autoridade pública, nos casos referidos nas alíneas a), b), c) e d); |
| (f) | the protection of the data subject or the rights and freedoms of others. | f) | A proteção do titular dos dados ou dos direitos e liberdades de outrem. |
| 2. In particular, any legislative measure referred to in paragraph 1 must be necessary and proportionate in a democratic society and shall contain specific provisions at least as to the objectives to be pursued by the processing and the determination of the controller.: | 2. Qualquer medida legislativa referida no n.o 1 deve ser necessária e proporcionada numa sociedade democrática e , nomeadamente, incluir disposições explícitas relativas, pelo menos, |
| (a) | the objectives to be pursued by the processing; | a) | às finalidades do tratamento e |
| (b) | the determination of the controller; | b) | Às modalidades de identificação do responsável pelo tratamento. |
| (c) | the specific purposes and means of processing; | c) | Às finalidades e meios específicos de tratamento; |
| (d) | the safeguards to prevent abuse or unlawful access or transfer; | d) | Às garantias para evitar o abuso ou o acesso ou a transferência ilícitos; |
| (e) | the right of data subjects to be informed about the restriction. | e) | Ao direito de os titulares dos dados serem informados da limitação. |
| 2a. Legislative measures referred to in paragraph 1 shall neither permit nor oblige private controllers to retain data additional to those strictly necessary for the original purpose. [Am. 116] | 2-A. As medidas legislativas referidas no n.o 1 não devem autorizar nem obrigar os responsáveis pelo tratamento privados a conservarem outros dados para além dos estritamente necessários para o fim inicial perseguido. [Alt. 116] |
| CHAPTER IV | CAPÍTULO IV |
| CONTROLLER AND PROCESSOR | RESPONSÁVEL PELO TRATAMENTO E SUBCONTRATANTE |
| SECTION 1 | SECÇÃO 1 |
| GENERAL OBLIGATIONS | OBRIGAÇÕES GERAIS |
| Article 22 | Artigo 22.o |
| Responsibility and accountability of the controller | Obrigações e responsabilidade do responsável pelo tratamento |
| 1. The controller shall adopt appropriate policies and implement appropriate and demonstrable technical and organisational measures to ensure and be able to demonstrate in a transparent manner that the processing of personal data is performed in compliance with this Regulation , having regard to the state of the art, the nature of personal data processing, the context, scope and purposes of the processing, the risks for the rights and freedoms of the data subjects and the type of the organisation, both at the time of the determination of the means for processing and at the time of the processing itself . | 1. O responsável pelo tratamento adota regras internas adequadas e executa as medidas técnicas e organizativas adequadas e demonstráveis para assegurar, e conseguir comprovar de forma transparente , que o tratamento dos dados pessoais é realizado em conformidade com o presente regulamento , tendo em conta as técnicas mais recentes, a natureza do tratamento de dados pessoais, o contexto, âmbito de aplicação e finalidades do tratamento, os riscos para os direitos e liberdades das pessoas em causa e o tipo de organização, tanto no momento da determinação dos meios para o tratamento como no momento da própria execução . |
| 1a. Having regard to the state of the art and the cost of implementation, the controller shall take all reasonable steps to implement compliance policies and procedures that persistently respect the autonomous choices of data subjects. Those compliance policies shall be reviewed at least every two years and updated where necessary. | 1-A. Tendo em conta as técnicas mais recentes e os custos da sua aplicação, o responsável pelo tratamento deve adotar todas as medidas razoáveis para aplicar políticas e procedimentos de cumprimento que respeitem persistentemente as opções autónomas dos titulares dos dados. Estas políticas de cumprimento devem ser revistas pelo menos de dois em dois anos e atualizadas sempre que necessário. |
| 2. The measures provided for in paragraph 1 shall in particular include: | 2. As medidas referidas no n.o 1 incluem, nomeadamente: |
| (a) | keeping the documentation pursuant to Article 28; | (a) | Conservar a documentação, nos termos do artigo 28.o; |
| (b) | implementing the data security requirements laid down in Article 30; | (b) | Aplicar os requisitos de segurança previstos no artigo 30.o; |
| (c) | performing a data protection impact assessment pursuant to Article 33; | (c) | Realizar uma avaliação de impacto sobre a proteção de dados, nos termos do artigo 33.o; |
| (d) | complying with the requirements for prior authorisation or prior consultation of the supervisory authority pursuant to Article 34(1) and (2); | (d) | Respeitar as obrigações relativas à autorização ou consulta prévias da autoridade de controlo, nos termos do artigo 34.o, n.os 1 e 2; |
| (e) | designating a data protection officer pursuant to Article 35(1). | (e) | Designar um delegado para a proteção de dados, nos termos do artigo 35.o, n.o 1. |
| 3. The controller shall implement mechanisms to ensure the verification of the be able to demonstrate the adequacy and effectiveness of the measures referred to in paragraphs 1 and 2. If proportionate, this verification shall be carried out by independent internal or external auditors Any regular general reports of the activities of the controller, such as the obligatory reports by publicly traded companies, shall contain a summary description of the policies and measures referred to in paragraph 1 . | 3. O responsável pelo tratamento deve aplicar mecanismos para verificar ser capaz de demonstrar a adequação e a eficácia das medidas referidas nos n.os 1 e 2. Sob reserva da sua proporcionalidade, essa verificação deve ser realizada por auditores independentes internos ou externos Quaisquer relatórios gerais regulares sobre as atividades do responsável pelo tratamento — tais como os relatórios obrigatórios das empresas cujos títulos são negociados publicamente — devem incluir uma descrição das políticas e medidas a que se refere o n.o 1. |
| 3a. The controller shall have the right to transmit personal data inside the Union within the group of undertakings the controller is part of, where such processing is necessary for legitimate internal administrative purposes between connected business areas of the group of undertakings and an adequate level of data protection as well as the interests of the data subjects are safeguarded by internal data protection provisions or equivalent codes of conduct as referred to in Article 38. | 3-A. O responsável pelo tratamento de dados deve ter o direito de transmitir dados pessoais no território da União, a nível do grupo de empresas ao qual pertence o responsável pelo tratamento, nos casos em que tal se revele necessário para fins administrativos legítimos de ordem interna entre áreas de negócios ligadas do grupo de empresas e um nível adequado de proteção de dados, bem como garantir que os interesses dos titulares dos dados são salvaguardados pelas disposições internas em matéria de proteção de dados ou códigos de conduta equivalentes a que se refere o artigo 38.o. |
| 4. The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of specifying any further criteria and requirements for appropriate measures referred to in paragraph 1 other than those already referred to in paragraph 2, the conditions for the verification and auditing mechanisms referred to in paragraph 3 and as regards the criteria for proportionality under paragraph 3, and considering specific measures for micro, small and medium-sized-enterprises. [Am. 117] | 4. São atribuídas competências à Comissão para adotar atos delegados nos termos do artigo 86.o, a fim de especificar mais concretamente os critérios e requisitos adicionais aplicáveis às medidas adequadas referidas no n.o 1, para além das referidas no n.o 2, às condições de verificação e mecanismos de auditoria referidos no n.o 3 e aos critérios de proporcionalidade previstos no n.o 3, e considerar a adoção de medidas específicas para as micro, pequenas e médias empresas. [Alt. 117] |
| Article 23 | Artigo 23.o |
| Data protection by design and by default | Proteção de dados desde a conceção e por defeito |
| 1. Having regard to the state of the art and the cost of implementation, current technical knowledge, international best practices and the risks represented by the data processing, the controller and the processor, if any, shall, both at the time of the determination of the purposes and means for processing and at the time of the processing itself, implement appropriate and proportionate technical and organisational measures and procedures in such a way that the processing will meet the requirements of this Regulation and ensure the protection of the rights of the data subject , in particular with regard to the principles laid down in Article 5. Data protection by design shall have particular regard to the entire lifecycle management of personal data from collection to processing to deletion, systematically focusing on comprehensive procedural safeguards regarding the accuracy, confidentiality, integrity, physical security and deletion of personal data. Where the controller has carried out a data protection impact assessment pursuant to Article 33, the results shall be taken into account when developing those measures and procedures . | 1. Tendo em conta as técnicas mais recentes e os custos da sua aplicação os conhecimentos técnicos atuais, as melhores práticas internacionais e os riscos apresentados pelo tratamento de dados , o responsável pelo tratamento e o subcontratante, se existir, aplicam , tanto no momento de definição dos fins e dos meios de tratamento como no momento do próprio tratamento, as medidas e os procedimentos técnicos e organizativos apropriados e proporcionados para que o tratamento seja conforme com os requisitos do presente regulamento e garanta a proteção dos direitos do titular dos dados , em particular em relação aos princípios estabelecidos no artigo 5.o . A proteção dos dados desde a conceção deve ter em especial conta a gestão completa do ciclo de vida dos dados pessoais, desde a recolha, passando pelo tratamento, até à eliminação, centrando-se sistematicamente em garantias processuais abrangentes respeitantes à precisão, confidencialidade, integridade, segurança física e eliminação dos dados pessoais. Sempre que o responsável pelo tratamento tiver levado a efeito uma avaliação de impacto na proteção de dados nos termos do artigo 33.o, os resultados da referida avaliação são tidos em conta para efeitos de desenvolvimento destas medidas e procedimentos. |
| 1a. In order to foster its widespread implementation in different economic sectors, data protection by design shall be a prerequisite for public procurement tenders according to Directive 2004/18/EC of the European Parliament and of the Council (16) as well as according to Directive 2004/17/EC of the European Parliament and of the Council (17) (Utilities Directive). | 1-A. A fim de promover a sua ampla aplicação nos diversos setores económicos, a proteção de dados deve, desde a sua conceção, ser um pré-requisito para os concursos públicos nos termos da Diretiva 2004/18/CE do Parlamento Europeu e do Conselho (16) e nos termos da Diretiva 2004/17/CE do Parlamento Europeu e do Conselho (17) (Diretiva «Serviços de utilidade pública») |
| 2. The controller shall implement mechanisms for ensuring ensure that, by default, only those personal data are processed which are necessary for each specific purpose of the processing and are especially not collected or, retained or disseminated beyond the minimum necessary for those purposes, both in terms of the amount of the data and the time of their storage. In particular, those mechanisms shall ensure that by default personal data are not made accessible to an indefinite number of individuals and that data subjects are able to control the distribution of their personal data . | 2. O responsável pelo tratamento aplica mecanismos que garantam garante , por defeito, que apenas são tratados os dados pessoais necessários para cada finalidade específica do tratamento e, especialmente, que não são recolhidos ou conservados divulgados para além do mínimo necessário para essas finalidades, tanto em termos da quantidade de dados, como da duração da sua conservação. Em especial, esses mecanismos devem assegurar que, por defeito, os dados pessoais não sejam disponibilizados a um número indeterminado de pessoas singulares e que os titulares dos dados estejam em condições de controlar a distribuição dos seus dados pessoais. |
| 3. The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of specifying any further criteria and requirements for appropriate measures and mechanisms referred to in paragraph 1 and 2, in particular for data protection by design requirements applicable across sectors, products and services. | 3. São atribuídas competências à Comissão para adotar atos delegados nos termos do artigo 86.o, a fim de especificar mais concretamente os critérios e as exigências aplicáveis às medidas e aos mecanismos adequados referidos nos n.os 1 e 2, em especial quanto à proteção de dados desde a conceção aplicáveis ao conjunto dos setores, produtos e serviços. |
| 4. The Commission may lay down technical standards for the requirements laid down in paragraph 1 and 2. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2). [Am. 118] | 4. A Comissão pode estabelecer normas técnicas para as exigências definidas nos n.os 1 e 2. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.o, n.o 2. [Alt. 118] |
| Article 24 | Artigo 24.o |
| Joint controllers | Responsáveis conjuntos pelo tratamento |
| Where a controller determines several controllers jointly determine the purposes, conditions and means of the processing of personal data jointly with others, the joint controllers shall determine their respective responsibilities for compliance with the obligations under this Regulation, in particular as regards the procedures and mechanisms for exercising the rights of the data subject, by means of an arrangement between them. The arrangement shall duly reflect the joint controllers' respective effective roles and relationships vis-à-vis data subjects, and the essence of the arrangement shall be made available for the data subject. In case of unclarity of the responsibility, the controllers shall be jointly and severally liable. [Am. 119] | Sempre que um responsável vários responsáveis pelo tratamento definir determinarem , em conjunto com outros, as finalidades, as condições e os meios do tratamento de dados pessoais, os responsáveis conjuntos pelo tratamento devem definir, por acordo, as respetivas obrigações, a fim de respeitarem as disposições adotadas em conformidade com o presente regulamento, nomeadamente no que diz respeito aos procedimentos e mecanismos que regulam o exercício de direitos do titular dos dados. O acordo deve refletir devidamente as respetivas funções efetivas dos responsáveis conjuntos pelo tratamento e as suas relações com os titulares dos dados e a essência do acordo deve ser disponibilizada ao titular dos dados. Em caso de falta de clareza acerca da responsabilidade, os responsáveis pelo tratamento devem ser conjunta e solidariamente responsáveis. [Alt. 119] |
| Article 25 | Artigo 25.o |
| Representatives of controllers not established in the Union | Representantes dos responsáveis pelo tratamento não estabelecidos na União |
| 1. In the situation referred to in Article 3(2), the controller shall designate a representative in the Union. | 1. Na situação referida no artigo 3.o, n.o 2, o responsável pelo tratamento designa um representante na União. |
| 2. This obligation shall not apply to: | 2. Esta obrigação não se aplica a: |
| (a) | a controller established in a third country where the Commission has decided that the third country ensures an adequate level of protection in accordance with Article 41; or | a) | Um responsável pelo tratamento estabelecido num país terceiro sempre que a Comissão tenha decidido que o país terceiro assegura um nível de proteção adequado nos termos do artigo 41.o; ou |
| (b) | an enterprise employing fewer than 250 persons a controller processing personal data which relate to less than 5 000 data subjects during any consecutive 12-month period and not processing special categories of personal data as referred to in Article 9(1), location data or data on children or employees in large-scale filing systems ; or | b) | Uma empresa com menos de 250 trabalhadores Um responsável pelo tratamento de dados pessoais que diz respeito a menos de 5 000 titulares de dados durante um período determinado de 12 meses consecutivos e que não procede ao tratamento de categorias especiais de dados pessoais referidas no artigo 9.o, n.o 1, dados de localização ou dados sobre crianças ou trabalhadores em sistemas de arquivo de grande escala ; ou |
| (c) | a public authority or body; or | c) | Uma autoridade ou um organismo público; ou |
| (d) | a controller offering only occasionally offering goods or services to data subjects residing in the Union , unless the processing of personal data concerns special categories of personal data as referred to in Article 9(1), location data or data on children or employees in large-scale filing systems . | d) | Um responsável pelo tratamento que ofereça ocasionalmente bens ou serviços a titulares de dados residentes na União , exceto se o tratamento disser respeito a categorias especiais de dados pessoais referidas no artigo 9.o, n.o 1, dados de localização ou dados sobre crianças ou trabalhadores em sistemas de arquivo de grande escala . |
| 3. The representative shall be established in one of those Member States where the data subjects whose personal data are processed in relation to the offering of goods or services to them the data subjects , or whose behaviour is monitored, reside the monitoring of them , takes place . | 3. O representante deve estar estabelecido num dos Estados-Membros em que residam os que são objeto de tratamento no contexto da é feita a oferta que lhes é feita de bens ou serviços aos titulares de dados pessoais ou cujo onde o seu comportamento é controlado. |
| 4. The designation of a representative by the controller shall be without prejudice to legal actions which could be initiated against the controller itself. [Am. 120] | 4. A designação de um representante pelo responsável pelo tratamento não prejudica as ações judiciais que possam vir a ser intentadas contra o próprio responsável pelo tratamento. [Alt. 120] |
| Article 26 | Artigo 26.o |
| Processor | Subcontratante |
| 1. Where a processing operation is to be carried out on behalf of a controller, the controller shall choose a processor providing sufficient guarantees to implement appropriate technical and organisational measures and procedures in such a way that the processing will meet the requirements of this Regulation and ensure the protection of the rights of the data subject, in particular in respect of the technical security measures and organisational measures governing the processing to be carried out and shall ensure compliance with those measures. | 1. Sempre que o tratamento de dados for efetuado por sua conta, o responsável pelo tratamento escolhe um subcontratante que apresente garantias suficientes de execução das medidas e procedimentos técnicos e organizativos apropriados, de forma a que esse tratamento seja conforme com os requisitos do presente regulamento e garanta a proteção dos direitos do titular de dados, nomeadamente quanto às medidas de segurança técnica e medidas organizativas que regulam o procedimento a realizar, devendo o responsável pelo tratamento assegurar o cumprimento dessas medidas. |
| 2. The carrying out of processing by a processor shall be governed by a contract or other legal act binding the processor to the controller. The controller and the processor shall be free to determine respective roles and tasks with respect to the requirements of this Regulation, and shall provide that and stipulating in particular that the processor shall: | 2. A realização de operações de tratamento em subcontratação deve ser regulada por um contrato ou outro ato jurídico que vincule o subcontratante ao responsável pelo tratamento. e que preveja, designadamente, O responsável pelo tratamento e o subcontratante são livres de definir as respetivas funções e tarefas no que respeita aos requisitos do presente regulamento, devendo prever que o subcontratante: |
| (a) | act process personal data only on instructions from the controller, in particular, where the transfer of the personal data used is prohibited , unless otherwise required by Union law or Member State law ; | a) | Atuará Efetua o tratamento de dados apenas mediante instruções do responsável pelo tratamento, em especial quando a transferência de dados pessoais utilizados for proibida salvo se a legislação da União ou de um Estado-Membro exigir coisa diferente ; |
| (b) | employ only staff who have committed themselves to confidentiality or are under a statutory obligation of confidentiality; | b) | Empregará apenas pessoal que assumiu um compromisso de confidencialidade ou que se encontre sujeito às obrigações de confidencialidade previstas na legislação; |
| (c) | take all required measures pursuant to Article 30; | c) | Adotará todas as medidas exigidas nos termos do artigo 30.o; |
| (d) | enlist determine the conditions for enlisting another processor only with the prior permission of the controller , unless otherwise determined ; | d) | Recrutará Determinará as condições de recrutamento de outro subcontratante apenas mediante autorização prévia do responsável pelo tratamento , salvo se determinado de outro modo ; |
| (e) | insofar as this is possible given the nature of the processing, create in agreement with the controller the necessary appropriate and relevant technical and organisational requirements for the fulfilment of the controller’s obligation to respond to requests for exercising the data subject’s rights laid down in Chapter III; | e) | Na medida do possível, tendo em conta a natureza do tratamento, estabelecerá, mediante acordo com o responsável pelo tratamento, os requisitos técnicos e organizativos necessários apropriados e pertinentes para permitir ao responsável pelo tratamento cumprir a sua obrigação de dar resposta aos pedidos dos titulares de dados, tendo em vista o exercício dos seus direitos previstos no Capítulo III; |
| (f) | assist the controller in ensuring compliance with the obligations pursuant to Articles 30 to 34 , taking into account the nature of processing and the information available to the processor ; | f) | Prestará assistência ao responsável pelo tratamento no sentido de garantir o cumprimento das obrigações previstas nos artigos 30.o a 34.o , tendo em conta a natureza do tratamento e a informação ao dispor do subcontratante . |
| (g) | hand over return all results to the controller after the end of the processing, and not process the personal data otherwise and delete existing copies unless Union or Member State law requires storage of the data ; | g) | Findo o tratamento, entregará devolverá todos os resultados ao responsável pelo tratamento e não procederá a qualquer outro tratamento dos dados pessoais e eliminará as cópias existentes, exceto se a legislação da União ou dos Estados-Membros exigir a armazenagem dos dados ; |
| (h) | make available to the controller and the supervisory authority all information necessary to control demonstrate compliance with the obligations laid down in this Article and allow on-site inspections . | h) | Disponibilizará ao responsável pelo tratamento e à autoridade de controlo todas as informações necessárias para verificar demonstrar o cumprimento das obrigações previstas no presente artigo e permitirá inspeções no local . |
| 3. The controller and the processor shall document in writing the controller's instructions and the processor's obligations referred to in paragraph 2. | 3. O responsável pelo tratamento e o subcontratante conservam um documento escrito com as instruções do responsável pelo tratamento e as obrigações do subcontratante referidas no n.o 2. |
| 3a. The sufficient guarantees referred to in paragraph 1 may be demonstrated by adherence to codes of conduct or certification mechanisms pursuant to Article 38 or 39 of this Regulation. | 3-A. As garantias suficientes referidas no n.o 1 podem ser demonstradas através da adesão a códigos de conduta ou mecanismos de certificação em conformidade com os artigos 38.o ou 39.o do presente regulamento. |
| 4. If a processor processes personal data other than as instructed by the controller or becomes the determining party in relation to the purposes and means of data processing , the processor shall be considered to be a controller in respect of that processing and shall be subject to the rules on joint controllers laid down in Article 24. | 4. Se um subcontratante proceder ao tratamento de dados pessoais de forma diferente da que foi definida nas instruções do responsável pelo tratamento ou se tornar a parte determinante em relação às finalidades e meios de tratamento de dados , o subcontratante é considerado responsável pelo tratamento em relação ao referido tratamento, ficando sujeito às disposições aplicáveis aos responsáveis conjuntos pelo tratamento previstas no artigo 24.o. |
| 5. The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and requirements for the responsibilities, duties and tasks in relation to a processor in line with paragraph 1, and conditions which allow facilitating the processing of personal data within a group of undertakings, in particular for the purposes of control and reporting. [Am. 121] | 5. São atribuídas competências à Comissão para adotar atos delegados nos termos do artigo 86.o, a fim de especificar mais concretamente os critérios e requisitos aplicáveis às responsabilidades, funções e atribuições de um subcontratante, em conformidade com o n.o 1, bem como às condições que facilitem o tratamento de dados pessoais a nível de um grupo de empresas, em especial para efeitos para efeitos de controlo e de apresentação de relatórios. [Alt. 121] |
| Article 27 | Artigo 27.o |
| Processing under the authority of the controller and processor | Tratamento sob a autoridade do responsável pelo tratamento e do subcontratante |
| The processor and any person acting under the authority of the controller or of the processor who has access to personal data shall not process them except on instructions from the controller, unless required to do so by Union or Member State law. | O subcontratante, bem como qualquer pessoa que, agindo sob a autoridade do responsável pelo tratamento ou do subcontratante, tenha acesso a dados pessoais, só pode proceder ao seu tratamento mediante instruções do responsável pelo tratamento, exceto se tal for exigido pela legislação da União ou de um Estado-Membro. |
| Article 28 | Artigo 28.o |
| Documentation | Documentação |
| 1. Each controller and processor and, if any, the controller's representative, shall maintain regularly updated documentation of all processing operations under its responsibility necessary to fulfill the requirements laid down in this Regulation . | 1. Cada responsável pelo tratamento e cada subcontratante, bem como, caso exista, o representante do responsável pelo tratamento, mantêm regularmente atualizada a documentação de todas as operações de tratamento de dados efetuadas sob a sua responsabilidade necessária ao cumprimento dos requisitos estipulados no presente regulamento . |
| 2. The In addition, each controller and processor shall maintain documentation shall contain at least of the following information: | 2. Essa Além disso, cada responsável pelo tratamento e cada subcontratante mantêm documentação que deve consistir, pelo menos, nas seguintes informações: |
| (a) | the name and contact details of the controller, or any joint controller or processor, and of the representative, if any; | a) | Nome e contactos do responsável pelo tratamento, ou de qualquer responsável conjunto pelo tratamento ou subcontratante conjunto e, caso exista, do representante; |
| (b) | the name and contact details of the data protection officer, if any; | b) | Nome e contactos do responsável pela proteção dos dados, caso existam; |
| (c) | the purposes of the processing, including the legitimate interests pursued by the controller where the processing is based on point (f) of Article 6(1); | c) | Finalidades do tratamento, incluindo os interesses legítimos do responsável pelo tratamento, sempre que o tratamento se basear no artigo 6.o, n.o 1, alínea f); |
| (d) | a description of categories of data subjects and of the categories of personal data relating to them; | d) | Descrição das categorias de titulares de dados e das categorias de dados pessoais que lhes digam respeito; |
| (e) | the recipients or categories of recipients of the personal data, including name and contact details of the controllers to whom personal data are disclosed for the legitimate interest pursued by them , if any ; | e) | Destinatários ou categorias de destinatários dos dados pessoais, incluindo os Nome e contactos dos responsáveis pelo tratamento a quem são comunicados esses dados pessoais para efeitos dos interesses legítimos que prosseguem , caso existam ; |
| (f) | where applicable, transfers of data to a third country or an international organisation, including the identification of that third country or international organisation and, in case of transfers referred to in point (h) of Article 44(1), the documentation of appropriate safeguards; | f) | Se for caso disso, as transferências de dados para um país terceiro ou uma organização internacional, incluindo o nome desse país terceiro ou dessa organização internacional e, no caso de transferências referidas no artigo 44.o, n.o 1, alínea h), a documentação que comprove a existência das garantias adequadas; |
| (g) | a general indication of the time limits for erasure of the different categories of data; | g) | Uma indicação geral dos prazos fixados para o apagamento das diferentes categorias de dados; |
| (h) | the description of the mechanisms referred to in Article 22(3). | h) | Descrição dos mecanismos referidos no artigo 22.o, n.o 3; |
| 3. The controller and the processor and, if any, the controller's representative, shall make the documentation available, on request, to the supervisory authority. | 3. O responsável pelo tratamento e o subcontratante, bem como, caso exista, o representante do responsável pelo tratamento, disponibilizam a documentação existente à autoridade de controlo, quando por esta solicitado. |
| 4. The obligations referred to in paragraphs 1 and 2 shall not apply to the following controllers and processors: | 4. As obrigações referidas nos n.os 1 e 2 não se aplicam aos responsáveis pelo tratamento e aos subcontratantes seguintes: |
| (a) | a natural person processing personal data without a commercial interest; or | a) | Pessoas singulares que tratem dados pessoais sem qualquer fim comercial; ou |
| (b) | an enterprise or an organisation employing fewer than 250 persons that is processing personal data only as an activity ancillary to its main activities. | b) | Empresas ou organismos com mais de 250 assalariados que tratem dados pessoais unicamente no âmbito de uma atividade acessória da sua atividade principal. |
| 5. The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and requirements for the documentation referred to in paragraph 1, to take account of in particular the responsibilities of the controller and the processor and, if any, the controller's representative. | 5. São atribuídas competências à Comissão para adotar atos delegados nos termos do artigo 86.o, a fim de especificar mais concretamente os critérios e requisitos aplicáveis à documentação referida no n.o 1, para ter em conta, nomeadamente, as obrigações do responsável pelo tratamento e do subcontratante e, caso exista, do representante do responsável pelo tratamento. |
| 6. The Commission may lay down standard forms for the documentation referred to in paragraph 1. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2). [Am. 122] | 6. A Comissão pode elaborar formulários normalizados para a documentação referida no n.o 1. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.o, n.o 2. [Alt. 122] |
| Article 29 | Artigo 29.o |
| Co-operation with the supervisory authority | Cooperação com a autoridade de controlo |
| 1. The controller and , if any, the processor and, if any, the representative of the controller, shall co-operate, on request, with the supervisory authority in the performance of its duties, in particular by providing the information referred to in point (a) of Article 53(2) and by granting access as provided in point (b) of that paragraph. | 1. O responsável pelo tratamento e , caso existam, o subcontratante, bem como, caso exista, o representante do responsável pelo tratamento, cooperam, mediante pedido, com a autoridade de controlo no exercício das suas funções, particularmente no fornecimento das informações referidas no artigo 53.o, n.o 2, alínea a), e facultando-lhe o acesso previsto na alínea b) desse número. |
| 2. In response to the supervisory authority's exercise of its powers under Article 53(2), the controller and the processor shall reply to the supervisory authority within a reasonable period to be specified by the supervisory authority. The reply shall include a description of the measures taken and the results achieved, in response to the remarks of the supervisory authority. [Am. 123] | 2. Sempre que a autoridade de controlo exerça os poderes que lhe são conferidos por força do artigo 53.o, n.o 2, o responsável pelo tratamento e o subcontratante devem responder à autoridade de controlo num prazo razoável a fixar por esta última. A resposta inclui uma descrição das medidas adotadas e dos resultados obtidos, tendo em conta as observações formuladas pela autoridade de controlo.[Alt. 123] |
| SECTION 2 | SECÇÃO 2 |
| DATA SECURITY | SEGURANÇA DOS DADOS |
| Article 30 | Artigo 30.o |
| Security of processing | Segurança do tratamento |
| 1. The controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risks represented by the processing and the nature of the personal data to be protected, taking into account the results of a data protection impact assessment pursuant to Article 33, having regard to the state of the art and the costs of their implementation. | 1. O responsável pelo tratamento e o subcontratante aplicam as medidas técnicas e organizativas necessárias para assegurar um nível de segurança adaptado aos riscos que o tratamento representa e à natureza dos dados pessoais a proteger tendo em conta os resultados da avaliação de impacto sobre a proteção de dados, nos termos do artigo 33.o , atendendo às técnicas mais recentes e aos custos resultantes da sua aplicação. |
| 1a. Having regard to the state of the art and the cost of implementation, such a security policy shall include: | 1-A. Tendo em conta as técnicas mais recentes e os custos de aplicação, tal política de segurança deve incluir: |
| (a) | the ability to ensure that the integrity of the personal data is validated; | a) | A capacidade de assegurar que a integridade dos dados pessoais seja validada; |
| (b) | the ability to ensure the ongoing confidentiality, integrity, availability and resilience of systems and services processing personal data; | b) | A capacidade de assegurar a confidencialidade, a integridade, a disponibilidade e a resiliência permanentes dos sistemas e dos serviços de tratamento de dados pessoais; |
| (c) | the ability to restore the availability and access to data in a timely manner in the event of a physical or technical incident that impacts the availability, integrity and confidentiality of information systems and services; | c) | A capacidade de restabelecer a disponibilidade e o acesso aos dados de forma atempada no caso de um incidente físico ou técnico que afete a disponibilidade, a integridade e a confidencialidade dos sistemas e dos serviços de informação; |
| (d) | in the case of sensitive personal data processing according to Articles 8 and 9, additional security measures to ensure situational awareness of risks and the ability to take preventive, corrective and mitigating action in near real time against vulnerabilities or incidents detected that could pose a risk to the data; | d) | No caso de tratamento de dados pessoais sensíveis de acordo com os artigos 8.o e 9.o, medidas de segurança adicionais para assegurar o conhecimento da situação de risco e a capacidade de adotar medidas preventivas, corretivas e atenuantes, em tempo quase real, contra vulnerabilidades ou incidentes detetados que possam constituir um risco para os dados; |
| (e) | a process for regularly testing, assessing and evaluating the effectiveness of security policies, procedures and plans put in place to ensure ongoing effectiveness. | e) | Um processo para testar, apreciar e avaliar regularmente a eficácia das políticas, dos procedimentos e dos planos de segurança destinados a assegurar a eficácia contínua. |
| 2. The controller and the processor shall, following an evaluation of the risks, take the measures referred to in paragraph 1 to protect personal data against accidental or unlawful destruction or accidental loss and to prevent any unlawful forms of processing, in particular any unauthorised disclosure, dissemination or access, or alteration of personal data. shall at least: | 2. O responsável pelo tratamento e o subcontratante adotam, na sequência de uma avaliação de riscos, As medidas referidas no n.o 1 para proteger os dados pessoais contra a destruição acidental ou ilícita e a perda acidental, e para evitar qualquer forma de tratamento ilícito, em especial a divulgação, a difusão, ou o acesso, não autorizados, ou a alteração de dados pessoais. devem, pelo menos: |
| (a) | ensure that personal data can be accessed only by authorised personnel for legally authorised purposes; | a) | Garantir que apenas o pessoal autorizado possa ter acesso aos dados pessoais para fins autorizados a nível legal, |
| (b) | protect personal data stored or transmitted against accidental or unlawful destruction, accidental loss or alteration, and unauthorised or unlawful storage, processing, access or disclosure; and | b) | Assegurar a proteção dos dados pessoais armazenados ou transmitidos contra a destruição acidental ou ilegal, a perda ou a alteração acidental e o armazenamento, o tratamento, o acesso ou a divulgação não autorizados ou ilegais; e ainda |
| (c) | ensure the implementation of a security policy with respect to the processing of personal data. | c) | Garantir a aplicação de uma política de segurança relativa ao tratamento dos dados pessoais. |
| 3. The Commission European Data Protection Board shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and conditions entrusted with the task of issuing guidelines, recommendations and best practices in accordance with point (b) of Article 66(1) for the technical and organisational measures referred to in paragraphs 1 and 2, including the determinations of what constitutes the state of the art, for specific sectors and in specific data processing situations, in particular taking account of developments in technology and solutions for privacy by design and data protection by default, unless paragraph 4 applies. | 3. São atribuídas competências à Comissão para adotar atos delegados É atribuída ao Comité Europeu para a Proteção de Dados a tarefa de emitir diretrizes, recomendações e boas práticas em conformidade com o artigo 86.o, a fim de especificar mais concretamente os critérios e as condições 66 .o, n.o 1, alínea b), aplicáveis às medidas técnicas e organizativas referidas nos n.os 1 e 2, incluindo determinar em que consistem as técnicas mais recentes, para setores específicos e em situações específicas de tratamento de dados, nomeadamente atendendo à evolução das técnicas e a soluções de proteção da privacidade e dos dados desde a conceção, bem como por defeito, salvo se for aplicável o n.o 4, em conformidade com o disposto no artigo 66 .. |
| 4. The Commission may adopt, where necessary, implementing acts for specifying the requirements laid down in paragraphs 1 and 2 to various situations, in particular to: | 4. A Comissão pode adotar, sempre que necessário, atos de execução, a fim de especificar os requisitos previstos nos n.os 1 a 2 em diversas situações, tendo particularmente em vista: |
| (a) | prevent any unauthorised access to personal data; | (a) | Impedir o acesso de pessoas não autorizadas aos dados pessoais; |
| (b) | prevent any unauthorised disclosure, reading, copying, modification, erasure or removal of personal data; | (b) | Impedir qualquer forma não autorizada de divulgação, leitura, reprodução, alteração, apagamento ou retirada de dados; |
| (c) | ensure the verification of the lawfulness of processing operations. | (c) | Assegurar a verificação da licitude das operações de tratamento de dados. |
| Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2). [Am. 124] | Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.o, n.o 2. [Alt. 124] |
| Article 31 | Artigo 31.o |
| Notification of a personal data breach to the supervisory authority | Notificação da violação de dados pessoais à autoridade de controlo |
| 1. In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 24 hours after having become aware of it, notify the personal data breach to the supervisory authority. The notification to the supervisory authority shall be accompanied by a reasoned justification in cases where it is not made within 24 hours. | 1. Em caso de violação de dados pessoais, o responsável pelo tratamento notifica desse facto a autoridade de controlo, sem demora injustificada e, sempre que possível, o mais tardar 24 horas após ter tido conhecimento da mesma. Caso a notificação à autoridade de controlo não seja transmitida no prazo de 24 horas, deve ser acompanhada de uma justificação razoável. |
| 2. Pursuant to point (f) of Article 26(2), the The processor shall alert and inform the controller immediately without undue delay after the establishment of a personal data breach. | 2. Nos termos do artigo 26.o, n.o 2, alínea f), O subcontratante alerta e informa o responsável pelo tratamento imediatamente sem demora injustificada, após a deteção de uma violação de dados pessoais. |
| 3. The notification referred to in paragraph 1 shall at least: | 3. A notificação referida no n.o 1 deve, pelo menos: |
| (a) | describe the nature of the personal data breach including the categories and number of data subjects concerned and the categories and number of data records concerned; | a) | Descrever a natureza de violação dos dados pessoais, incluindo as categorias e o número de titulares de dados afetados, bem como as categorias e o número de registos de dados em causa; |
| (b) | communicate the identity and contact details of the data protection officer or other contact point where more information can be obtained; | b) | Comunicar a identidade e os contactos do delegado para a proteção de dados ou de outro ponto de contacto onde possam ser obtidas informações adicionais; |
| (c) | recommend measures to mitigate the possible adverse effects of the personal data breach; | c) | Recomendar medidas destinadas a atenuar os eventuais efeitos adversos da violação de dados pessoais; |
| (d) | describe the consequences of the personal data breach; | d) | Descrever as consequências da violação de dados pessoais; |
| (e) | describe the measures proposed or taken by the controller to address the personal data breach and mitigate its effects . | e) | Descrever as medidas propostas ou adotadas pelo responsável pelo tratamento para remediar a violação de dados pessoais e atenuar os seus efeitos . |
| The information may, if necessary, be provided in phases. | Se necessário, a informação pode ser fornecida por fases. |
| 4. The controller shall document any personal data breaches, comprising the facts surrounding the breach, its effects and the remedial action taken. This documentation must be sufficient to enable the supervisory authority to verify compliance with this Article and with Article 30 . The documentation shall only include the information necessary for that purpose. | 4. O responsável pelo tratamento documenta qualquer violação de dados pessoais, incluindo os factos relacionados com a mesma, os respetivos efeitos e a medida de reparação adotada. Essa documentação deve ser suficiente para permitir à autoridade de controlo verificar o respeito do disposto no presente artigo e no artigo 30.o. A documentação deve incluir apenas as informações necessárias para esse efeito. |
| 4a. The supervisory authority shall keep a public register of the types of breaches notified. | 4-A. A autoridade de controlo deve manter um registo público dos tipos de violações notificadas. |
| 5. The Commission European Data Protection Board shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose entrusted with the task of further specifying the criteria and requirements issuing guidelines, recommendations and best practices in accordance with point (b) of Article 66(1) for establishing the data breach and determining the undue delay referred to in paragraphs 1 and 2 and for the particular circumstances in which a controller and a processor is are required to notify the personal data breach. | 5. São atribuídas competências à Comissão É atribuída ao Comité Europeu para a Proteção de Dados a tarefa de emitir diretrizes, recomendações e boas práticas em conformidade com o para adotar atos delegados nos termos do artigo 86.o, a fim de especificar mais concretamente os critérios e requisitos 66 .o, n.o 1, alínea b), aplicáveis à determinação da violação de dados referida e da demora injustificada referidas nos n.os 1 e 2, e às circunstâncias particulares em que um responsável pelo tratamento e um subcontratante são obrigados a notificar a violação de dados pessoais. |
| 6. The Commission may lay down the standard format of such notification to the supervisory authority, the procedures applicable to the notification requirement and the form and the modalities for the documentation referred to in paragraph 4, including the time limits for erasure of the information contained therein. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2). [Am. 125] | 6. A Comissão pode definir um formato normalizado para essa notificação à autoridade de controlo, os procedimentos aplicáveis ao requisito de notificação, bem como o formulário e as modalidades para a documentação referida no n.o 4, incluindo os prazos para o apagamento das informações aí contidas. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.o, n.o 2. [Alt. 125] |
| Article 32 | Artigo 32.o |
| Communication of a personal data breach to the data subject | Comunicação de uma violação de dados pessoais ao titular dos dados |
| 1. When the personal data breach is likely to adversely affect the protection of the personal data , the or privacy, the rights or the legitimate interests of the data subject, the controller shall, after the notification referred to in Article 31, communicate the personal data breach to the data subject without undue delay. | 1. Sempre que a violação de dados pessoais for suscetível de afetar negativamente a proteção dos dados pessoais, a privacidade , os direitos ou os interesses legítimos do titular dos dados, o responsável pelo tratamento, após a notificação a que se refere o artigo 31.o, comunica a violação de dados pessoais à pessoa em causa sem demora injustificada. |
| 2. The communication to the data subject referred to in paragraph 1 shall be comprehensive and use clear and plain language. It shall describe the nature of the personal data breach and contain at least the information and the recommendations provided for in points (b) and, (c) and (d) of Article 31(3) and information about the rights of the data subject, including redress . | 2. A comunicação ao titular dos dados referida no n.o 1 deve ser abrangente e numa linguagem clara e simples. Deve descrever a natureza da violação dos dados pessoais e incluir, pelo menos, as informações e recomendações previstas no artigo 31.o, n.o 3, alíneas b), e c) e d), e as informações sobre os direitos dos titulares dos dados, incluindo o direito de recurso . |
| 3. The communication of a personal data breach to the data subject shall not be required if the controller demonstrates to the satisfaction of the supervisory authority that it has implemented appropriate technological protection measures, and that those measures were applied to the data concerned by the personal data breach. Such technological protection measures shall render the data unintelligible to any person who is not authorised to access it. | 3. A comunicação de uma violação de dados pessoais ao seu titular não é exigida se o responsável pelo tratamento demonstrar cabalmente, a contento da autoridade de controlo, que tomou as medidas de proteção tecnológica adequadas e que estas foram aplicadas aos dados a que a violação diz respeito. Essas medidas de proteção tecnológica devem tornar os dados incompreensíveis para qualquer pessoa que não esteja autorizada a aceder a esses dados. |
| 4. Without prejudice to the controller's obligation to communicate the personal data breach to the data subject, if the controller has not already communicated the personal data breach to the data subject, the supervisory authority, having considered the likely adverse effects of the breach, may require it to do so. | 4. Sem prejuízo da obrigação que incumbe ao responsável pelo tratamento de comunicar ao titular dos dados a violação dos seus dados pessoais, se o primeiro não lho tiver já comunicado, a autoridade de controlo, atendendo aos efeitos negativos prováveis dessa violação, pode exigir que proceda a essa notificação. |
| 5. The Commission European Data Protection Board shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose entrusted with the task of further specifying the criteria and requirements issuing guidelines, recommendations and best practices in accordance with point (b) of Article 66(1) as to the circumstances in which a personal data breach is likely to adversely affect the personal data , the privacy, the rights or the legitimate interests of the data subject referred to in paragraph 1. | 5. São atribuídas competências à Comissão para adotar atos delegados nos termos do artigo 86.o, a fim de especificar mais concretamente os critérios e requisitos É atribuída ao Comité Europeu para a Proteção de Dados a tarefa de emitir diretrizes, recomendações e boas práticas em conformidade com o artigo 66 .o, n.o 1, alínea b) aplicáveis às circunstâncias em que uma violação de dados pessoais seja suscetível de afetar negativamente os dados pessoais, a privacidade, os direitos ou os interesses legítimos do titular dos dados, tal como referido no n.o 1. |
| 6. The Commission may lay down the format of the communication to the data subject referred to in paragraph 1 and the procedures applicable to that communication. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2). [Am. 126] | 6. A Comissão pode definir o formato da comunicação ao titular dos dados referida no n.o 1 e os procedimentos aplicáveis a essa comunicação. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.o, n.o 2. [Alt. 126] |
| Article 32a | Artigo 32.o-A |
| Risk analysis | Análise de riscos |
| 1. The controller, or where applicable the processor, shall carry out a risk analysis of the potential impact of the intended data processing on the rights and freedoms of the data subjects, assessing whether its processing operations are likely to present specific risks. | 1. O responsável pelo tratamento ou, se for caso disso, o subcontratante, efetua uma análise dos riscos do potencial impacto que o tratamento de dados possa representar para os direitos e as liberdades das pessoas em causa. |
| 2. The following processing operations are likely to present specific risks: | 2. As operações de tratamento suscetíveis de apresentarem riscos específicos são as seguintes: |
| (a) | processing of personal data relating to more than 5 000 data subjects during any consecutive 12-month period; | a) | O tratamento de dados pessoais relacionados com mais de 5 000 titulares de dados durante um período de 12 meses consecutivos; |
| (b) | processing of special categories of personal data as referred to in Article 9(1), location data or data on children or employees in large scale filing systems; | b) | O tratamento de categorias especiais de dados pessoais, conforme referido no artigo 9.o, n.o 1, dados de localização ou dados relativos a crianças ou a trabalhadores em sistemas de arquivo de grande dimensão; |
| (c) | profiling on which measures are based that produce legal effects concerning the individual or similarly significantly affect the individual; | c) | A elaboração de perfis com base na qual são adotadas as medidas que produzem efeitos jurídicos relativamente à pessoa em causa ou que, do mesmo modo, a afetam de forma significativa; |
| (d) | processing of personal data for the provision of health care, epidemiological researches, or surveys of mental or infectious diseases, where the data are processed for taking measures or decisions regarding specific individuals on a large scale; | d) | O tratamento de dados pessoais destinadas à prestação de cuidados de saúde, investigações epidemiológicas, ou inquéritos relativos a doenças mentais ou infecciosas, sempre que os dados forem tratados com vista a adotar medidas ou decisões em grande escala visando pessoas específicas; |
| (e) | automated monitoring of publicly accessible areas on a large scale; | e) | O controlo automatizado de zonas acessíveis ao público em grande escala; |
| (f) | other processing operations for which the consultation of the data protection officer or supervisory authority is required pursuant to point (b) of Article 34(2); | f) | Outras operações de tratamento para as quais é obrigatória a consulta do delegado para a proteção de dados ou da autoridade de controlo nos termos do artigo 34.o, n.o 2, alínea b); |
| (g) | where a personal data breach would likely adversely affect the protection of the personal data, the privacy, the rights or the legitimate interests of the data subject; | g) | Sempre que uma violação de dados pessoais seja suscetível de afetar negativamente a proteção dos dados pessoais, a privacidade, os direitos ou os interesses legítimos dos titulares de dados; |
| (h) | the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects; | h) | As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático; |
| (i) | where personal data are made accessible to a number of persons which cannot reasonably be expected to be limited. | i) | Sempre que sejam disponibilizados dados pessoais a um número de pessoas relativamente ao qual não seja razoável esperar que seja limitado; |
| 3. According to the result of the risk analysis: | 3. Em conformidade com o resultado da análise dos riscos: |
| (a) | where any of the processing operations referred to in point (a) or (b) of paragraph 2 exist, controllers not established in the Union shall designate a representative in the Union in line with the requirements and exemptions laid down in Article 25; | a) | Sempre que se verifique qualquer das operações de tratamento referidas no n.o 2, alínea a) ou b), os responsáveis pelo tratamento não estabelecidos na União designam um representante na União, em conformidade com os requisitos e as derrogações previstas no artigo 25.o; |
| (b) | where any of the processing operations referred to in point (a), (b) or (h)of paragraph 2 exist, the controller shall designate a data protection officer in line with the requirements and exemptions laid down in Article 35; | b) | Sempre que se verifique qualquer das operações de tratamento referidas no n.o 2, alínea a),(b) ou h), o responsável pelo tratamento designa um delegado para a proteção de dados, em conformidade com os requisitos e as derrogações previstas no artigo 35.o; |
| (c) | where any of the processing operations referred to in point (a), (b), (c), (d), (e), (f), (g) or (h) of paragraph 2 exist, the controller or the processor acting on the controller's behalf shall carry out a data protection impact assessment pursuant to Article 33; | c) | Sempre que se verifique qualquer das operações de tratamento referidas no n.o 2, alínea a), b), c), d), e), f), g) ou h), o responsável pelo tratamento ou o subcontratante, atuando em nome do responsável pelo tratamento, efetua uma avaliação de impacto sobre a proteção dos dados, nos termos do artigo 33.o. |
| (d) | where processing operations referred to in point (f) of paragraph 2 exist, the controller shall consult the data protection officer, or in case a data protection officer has not been appointed, the supervisory authority pursuant to Article 34. | d) | Sempre que se verifiquem as operações de tratamento referidas no n o 2, alínea (f), o controlador consulta o delegado para a proteção de dados ou, se não tiver sido nomeado um delegado para a proteção de dados, a autoridade de controlo, nos termos do artigo 34.o. |
| 4. The risk analysis shall be reviewed at the latest after one year, or immediately, if the nature, the scope or the purposes of the data processing operations change significantly. Where pursuant to point (c) of paragraph 3 the controller is not obliged to carry out a data protection impact assessment, the risk analysis shall be documented. [Am. 127] | 4. A análise dos riscos será revista, o mais tardar, um ano depois, ou imediatamente, se a natureza, o âmbito ou a finalidade das operações de tratamento de dados mudarem significativamente. Sempre que, nos termos do n.o 3, alínea (c), o responsável pelo tratamento não seja obrigado a realizar uma avaliação de impacto sobre a proteção de dados, a análise dos riscos deve ser documentada. [Alt. 127] |
| SECTION 3 | SECÇÃO 3 |
| LIFECYCLE DATA PROTECTION IMPACT ASSESSMENT AND PRIOR AUTHORISATION MANAGEMENT [Am. 128] | AVALIAÇÃO DE IMPACTO SOBRE A CICLO DE VIDA DA GESTÃO DA PROTEÇÃO DE DADOS E AUTORIZAÇÃO PRÉVIA [Alt. 128] |
| Article 33 | Artigo 33.o |
| Data protection impact assessment | Avaliação de impacto sobre a proteção de dados |
| 1. Where processing operations present specific risks to the rights and freedoms of data subjects by virtue of their nature, their scope or their purposes, required pursuant to point (c) of Article 32a(3 ) the controller or the processor acting on the controller's behalf shall carry out an assessment of the impact of the envisaged processing operations on the rights and freedoms of the data subjects, especially their right to protection of personal data. A single assessment shall be sufficient to address a set of similar processing operations that present similar risks. | 1. Sempre que as operações de tratamento apresentem riscos específicos para os direitos e liberdades dos titulares de dados em virtude da sua natureza, do seu âmbito ou da sua finalidade, requerido nos termos do artigo 32.o-A , n.o 3, alínea c), o responsável pelo tratamento ou o subcontratante, atuando em nome do responsável pelo tratamento, efetuam uma avaliação de impacto das operações de tratamento previstas sobre a os direitos e as liberdades dos titulares de dados, nomeadamente o seu direito à proteção de dados pessoais. Uma única avaliação será suficiente para fazer face a um conjunto de operações de tratamento semelhantes que apresentem riscos semelhantes. |
| 2. The following processing operations in particular present specific risks referred to in paragraph 1: | 2. As seguintes operações de tratamento, em especial, apresentam os riscos específicos referidos no n.o 1: |
| (a) | a systematic and extensive evaluation of personal aspects relating to a natural person or for analysing or predicting in particular the natural person's economic situation, location, health, personal preferences, reliability or behaviour, which is based on automated processing and on which measures are based that produce legal effects concerning the individual or significantly affect the individual; | a) | A avaliação sistemática e completa dos aspetos pessoais relacionados com uma pessoa singular, ou visando analisar ou prever, nomeadamente, a sua situação financeira, localização, saúde, preferências pessoais, fiabilidade ou comportamento, baseada num processo automatizado e com base na qual são adotadas medidas que produzem efeitos jurídicos relativamente à pessoa em causa ou que a afetam de forma significativa; |
| (b) | information on sex life, health, race and ethnic origin or for the provision of health care, epidemiological researches, or surveys of mental or infectious diseases, where the data are processed for taking measures or decisions regarding specific individuals on a large scale; | b) | O tratamento de informações sobre a orientação sexual, saúde, raça e origem étnica, ou destinadas à prestação de cuidados de saúde, investigações epidemiológicas, ou inquéritos relativos a doenças mentais ou infecciosas, sempre que os dados forem tratados com vista a adotar medidas ou decisões em grande escala visando pessoas específicas; |
| (c) | monitoring publicly accessible areas, especially when using optic-electronic devices (video surveillance) on a large scale; | c) | O controlo de zonas acessíveis ao público, nomeadamente ao utilizar mecanismos ótico-eletrónicos (videovigilância) em grande escala; |
| (d) | personal data in large scale filing systems on children, genetic data or biometric data; | d) | Os dados pessoais em sistemas de arquivo de grande dimensão relativos a crianças, o tratamento de dados genéticos ou dados biométricos; |
| (e) | other processing operations for which the consultation of the supervisory authority is required pursuant to point (b) of Article 34(2). | e) | Outras operações de tratamento para as quais é obrigatória a consulta da autoridade de controlo nos termos do artigo 34.o, n.o 2, alínea b). |
| 3. The assessment shall have regard to the entire lifecycle management of personal data from collection to processing to deletion. It shall contain at least a general description of the envisaged processing operations, an assessment of the risks to the rights and freedoms of data subjects, the measures envisaged to address the risks, safeguards, security measures and mechanisms to ensure the protection of personal data and to demonstrate compliance with this Regulation, taking into account the rights and legitimate interests of data subjects and other persons concerned:. | 3. A avaliação deve incluir, pelo menos, uma descrição geral das operações de tratamento de ter em conta o ciclo de vida completo da gestão de dados previstas, uma pessoais, desde a recolha ao tratamento e eliminação. A avaliação dos riscos sobre os direitos e liberdades dos titulares de dados, as medidas previstas para fazer face aos riscos, as garantias, medidas de segurança e mecanismos para assegurar a proteção dos dados pessoais e demonstrar a conformidade com o presente regulamento, tendo em conta os direitos e os legítimos interesses das pessoas em causa e de terceiros. inclui, no mínimo: |
| (a) | a systematic description of the envisaged processing operations, the purposes of the processing and, if applicable, the legitimate interests pursued by the controller; | a) | Uma descrição sistemática das operações de tratamento de dados previstas, a finalidade do tratamento e, se for caso disso, os interesses legítimos do responsável pelo tratamento; |
| (b) | an assessment of the necessity and proportionality of the processing operations in relation to the purposes; | b) | Uma avaliação da necessidade e proporcionalidade das operações de tratamento de dados em relação aos objetivos; |
| (c) | an assessment of the risks to the rights and freedoms of data subjects, including the risk of discrimination being embedded in or reinforced by the operation; | c) | Uma avaliação dos riscos para os direitos e as liberdades dos titulares de dados, incluindo o risco de a discriminação ser incorporada na operação ou por ela reforçada; |
| (d) | a description of the measures envisaged to address the risks and minimise the volume of personal data which are processed; | d) | Uma descrição das medidas previstas para fazer face aos riscos e minimizar o volume de dados pessoais tratados; |
| (e) | a list of safeguards, security measures and mechanisms to ensure the protection of personal data, such as pseudonymisation, and to demonstrate compliance with this Regulation, taking into account the rights and legitimate interests of data subjects and other persons concerned; | e) | Uma lista das garantias, medidas de segurança e dos mecanismos para assegurar a proteção dos dados pessoais, tais como a atribuição de pseudónimos, e demonstrar a conformidade com o presente regulamento, tendo em conta os direitos e os legítimos interesses das pessoas em causa e de terceiros; |
| (f) | a general indication of the time limits for erasure of the different categories of data; | f) | Uma indicação geral dos prazos fixados para o apagamento das diferentes categorias de dados; |
| (g) | an explanation which data protection by design and default practices pursuant to Article 23 have been implemented; | g) | Uma explicação sobre as práticas de proteção de dados desde a conceção e por defeito, no âmbito do artigo 23.o, usadas; |
| (h) | a list of the recipients or categories of recipients of the personal data; | h) | Uma lista dos destinatários ou das categorias de destinatários dos dados pessoais; |
| (i) | where applicable, a list of the intended transfers of data to a third country or an international organisation, including the identification of that third country or international organisation; | i) | Se for caso disso, uma lista das transferências de dados previstas para um país terceiro ou uma organização internacional, incluindo o nome desse país terceiro ou dessa organização internacional; |
| (j) | an assessment of the context of the data processing. | j) | Uma avaliação do contexto do tratamento de dados. |
| 3a. If the controller or the processor has designated a data protection officer, he or she shall be involved in the impact assessment proceeding. | 3-A. Se o responsável pelo tratamento ou o subcontratante designaram um delegado para a proteção de dados, este deverá participar no processo de avaliação de impacto. |
| 3b. The assessment shall be documented and lay down a schedule for regular periodic data protection compliance reviews pursuant to Article 33a(1). The assessment shall be updated without undue delay, if the results of the data protection compliance review referred to in Article 33a show compliance inconsistencies. The controller and the processor and, if any, the controller's representative shall make the assessment available, on request, to the supervisory authority. | 3-B. A avaliação é documentada e é definido um calendário para proceder a revisões do cumprimento da proteção de dados nos termos do artigo 33.o-A, n.o 1. A avaliação é atualizada, sem demora injustificada, se os resultados da revisão do cumprimento da proteção de dados a que se refere o artigo 33.o-A revelarem a existência de incoerências no cumprimento. O responsável pelo tratamento e o subcontratante, bem como, caso exista, o representante do responsável pelo tratamento, disponibilizam a avaliação à autoridade de controlo, quando por esta solicitado. |
| 4. The controller shall seek the views of data subjects or their representatives on the intended processing, without prejudice to the protection of commercial or public interests or the security of the processing operations. | 4. O responsável pelo tratamento solicita a opinião dos titulares de dados ou dos seus representantes sobre o tratamento previsto, sem prejuízo da proteção dos interesses comerciais ou públicos ou da segurança das operações de tratamento de dados. |
| 5. Where the controller is a public authority or body and where the processing results from a legal obligation pursuant to point (c) of Article 6(1) providing for rules and procedures pertaining to the processing operations and regulated by Union law, paragraphs 1 to 4 shall not apply, unless Member States deem it necessary to carry out such assessment prior to the processing activities. | 5. Sempre que o responsável pelo tratamento for uma autoridade ou um organismo público e o tratamento for realizado em execução de uma obrigação jurídica, em conformidade com o artigo 6.o, n.o 1, alínea a), que preveja regras e procedimentos relativos aos tratamentos e regulados pelo direito da União, não são aplicáveis os n.os 1 a 4, salvo se os Estados-Membros considerarem necessário realizar essa avaliação previamente às atividades de tratamento. |
| 6. The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and conditions for the processing operations likely to present specific risks referred to in paragraphs 1 and 2 and the requirements for the assessment referred to in paragraph 3, including conditions for scalability, verification and auditability. In doing so, the Commission shall consider specific measures for micro, small and medium-sized enterprises. | 6. São atribuídas competências à Comissão para adotar atos delegados nos termos do artigo 86.o, a fim de especificar mais concretamente os critérios e condições aplicáveis às operações de tratamento de dados que possam apresentar os riscos específicos referidos nos n.os 1 e 2, bem como os requisitos aplicáveis à avaliação referida no n.o 3, incluindo as condições de redimensionabilidade, de verificação e de auditoria. Ao fazê-lo, a Comissão deve considerar a adoção de medidas específicas, em especial para as micro, pequenas e médias empresas. |
| 7. The Commission may specify standards and procedures for carrying out and verifying and auditing the assessment referred to in paragraph 3. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2). [Am. 129] | 7. A Comissão pode definir normas e procedimentos para a realização, verificação e auditoria da avaliação referida no n.o 3. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.o, n.o 2. [Alt. 129] |
| Article 33a | Artigo 33.o-A |
| Data protection compliance review | Revisão do cumprimento da proteção de dados |
| 1. At the latest two years after the carrying out of an impact assessment pursuant to Article 33(1), the controller or the processor acting on the controller's behalf shall carry out a compliance review. This compliance review shall demonstrate that the processing of personal data is performed in compliance with the data protection impact assessment. | 1. O mais tardar dois anos após a realização de uma avaliação de impacto nos termos do artigo 33.o, n.o 1, o responsável pelo tratamento ou o subcontratante, atuando em nome do responsável pelo tratamento, procede a um controlo do cumprimento. Este controlo do cumprimento deve constatar que o tratamento de dados pessoais é efetuado no pleno respeito da avaliação de impacto sobre a proteção de dados. |
| 2. The compliance review shall be carried out periodically at least once every two years, or immediately when there is a change in the specific risks presented by the processing operations. | 2. O controlo do cumprimento é efetuado periodicamente, pelo menos de dois em dois anos, ou imediatamente, caso os riscos específicos apresentados nas operações de tratamento se tenham alterado. |
| 3. Where the compliance review results show compliance inconsistencies, the compliance review shall include recommendations on how to achieve full compliance. | 3. Se os resultados do controlo do cumprimento revelarem insuficiências no cumprimento, o controlo deve incluir recomendações sobre o modo de alcançar o pleno cumprimento. |
| 4. The compliance review and its recommendations shall be documented. The controller and the processor and, if any, the controller's representative shall make the compliance review available, on request, to the supervisory authority. | 4. O controlo do cumprimento e as suas recomendações devem ser documentados. O responsável pelo tratamento e o subcontratante, bem como, caso exista, o representante do responsável pelo tratamento, devem disponibilizar, quando solicitada, o controlo do cumprimento existente à autoridade de controlo. |
| 5. If the controller or the processor has designated a data protection officer, he or she shall be involved in the compliance review proceeding. [Am. 130] | 5. Se o responsável pelo tratamento ou o subcontratante tiverem designado um delegado para a proteção de dados, este deverá participar no controlo do cumprimento. [Alt. 130] |
| Article 34 | Artigo 34.o |
| Prior authorisation and prior consultation | Autorização prévia e Consulta prévia |
| 1. The controller or the processor as the case may be shall obtain an authorisation from the supervisory authority prior to the processing of personal data, in order to ensure the compliance of the intended processing with this Regulation and in particular to mitigate the risks involved for the data subjects where a controller or processor adopts contractual clauses as provided for in point (d) of Article 42(2) or does not provide for the appropriate safeguards in a legally binding instrument as referred to in Article 42(5) for the transfer of personal data to a third country or an international organisation. | 1. O responsável pelo tratamento ou o subcontratante, consoante o caso, deve obter uma autorização da autoridade de controlo antes de proceder ao tratamento de dados pessoais, a fim de assegurar a conformidade do tratamento previsto com o regulamento e, nomeadamente, atenuar os riscos para os titulares de dados, sempre que um responsável pelo tratamento ou um subcontratante adote cláusulas contratuais como as previstas no artigo 42.o, n.o 2, alínea d), ou não assegure as garantias adequadas num instrumento juridicamente vinculativo, tal como previsto no artigo 42.o, n.o 5, que regule a transferência de dados pessoais para um país terceiro ou uma organização internacional. |
| 2. The controller or processor acting on the controller's behalf shall consult the data protection officer, or in case a data protection officer has not been appointed, the supervisory authority prior to the processing of personal data in order to ensure the compliance of the intended processing with this Regulation and in particular to mitigate the risks involved for the data subjects where: | 2. O responsável pelo tratamento ou o subcontratante, agindo por conta do responsável pelo tratamento, consulta o delegado para a proteção de dados ou, se este não tiver sido nomeado, a autoridade de controlo antes de proceder ao tratamento de dados pessoais, a fim de assegurar a conformidade do tratamento previsto com o presente regulamento e, nomeadamente, atenuar os riscos para os titulares de dados, sempre que: |
| (a) | a data protection impact assessment as provided for in Article 33 indicates that processing operations are by virtue of their nature, their scope or their purposes, likely to present a high degree of specific risks; or | a) | Uma avaliação de impacto sobre a proteção de dados, como prevista no artigo 33.o, indicar que as operações de tratamento, devido à sua natureza, âmbito ou finalidade, podem apresentar um elevado nível de riscos específicos; ou |
| (b) | the data protection officer or the supervisory authority deems it necessary to carry out a prior consultation on processing operations that are likely to present specific risks to the rights and freedoms of data subjects by virtue of their nature, their scope and/or their purposes, and specified according to paragraph 4. | b) | O delegado para a proteção de dados ou a autoridade de controlo considerar necessário realizar uma consulta prévia sobre operações de tratamento suscetíveis de apresentar riscos específicos para os direitos e liberdades dos titulares de dados devido à sua natureza, âmbito e/ou finalidades, e que tenham sido especificadas em conformidade com o n.o 4. |
| 3. Where the competent supervisory authority is of the opinion determines in accordance with its power that the intended processing does not comply with this Regulation, in particular where risks are insufficiently identified or mitigated, it shall prohibit the intended processing and make appropriate proposals to remedy such non-compliance. | 3. Sempre que a autoridade de controlo for de opinião competente determine, no âmbito das suas competências, que o tratamento a efetuar não cumpre o disposto no presente regulamento, em especial se os riscos não se encontrarem suficientemente identificados ou atenuados, proíbe o tratamento previsto e apresenta propostas adequadas para remediar essa falta de conformidade. |
| 4. The supervisory authority European Data Protection Board shall establish and make public a list of the processing operations which are subject to prior consultation pursuant to point (b) of paragraph 2. The supervisory authority shall communicate those lists to the European Data Protection Board. | 4. A autoridade de controlo O Comité Europeu para a Proteção de Dados deve elaborar e tornar pública uma lista das operações de tratamento sujeitas a consulta prévia nos termos do n.o 2, alínea b). A autoridade de controlo comunica essa lista aos responsáveis pelo tratamento e ao Comité Europeu para a Proteção de Dados. |
| 5. Where the list provided for in paragraph 4 involves processing activities which are related to the offering of goods or services to data subjects in several Member States, or to the monitoring of their behaviour, or may substantially affect the free movement of personal data within the Union, the supervisory authority shall apply the consistency mechanism referred to in Article 57 prior to the adoption of the list. | 5. Sempre que a lista prevista no n.o 4 envolver atividades de tratamento relacionadas com a oferta de bens ou serviços a titulares de dados em diversos Estados-Membros, ou o controlo do seu comportamento, ou que possam afetar substancialmente a livre circulação de dados pessoais na União, a autoridade de controlo aplica o mecanismo de controlo da coerência referido no artigo 57.o previamente à adoção da lista. |
| 6. The controller or processor shall provide the supervisory authority , on request, with the data protection impact assessment provided for in pursuant to Article 33 and, on request, with any other information to allow the supervisory authority to make an assessment of the compliance of the processing and in particular of the risks for the protection of personal data of the data subject and of the related safeguards. | 6. O responsável pelo tratamento ou o subcontratante fornece à autoridade de controlo , a pedido desta, a avaliação de impacto sobre a proteção de dados prevista no artigo 33.o e, quando solicitado, qualquer outra informação que permita à autoridade de controlo avaliar a conformidade do tratamento e, nomeadamente, os riscos para a proteção dos dados pessoais do titular dos dados e as respetivas garantias. |
| 7. Member States shall consult the supervisory authority in the preparation of a legislative measure to be adopted by the national parliament or of a measure based on such a legislative measure, which defines the nature of the processing, in order to ensure the compliance of the intended processing with this Regulation and in particular to mitigate the risks involved for the data subjects. | 7. Os Estados-Membros devem consultar a autoridade de controlo no quadro da preparação de uma medida legislativa a adotar pelo parlamento nacional, ou de uma medida baseada nessa medida legislativa, que defina a natureza do tratamento, a fim de assegurar a conformidade do tratamento previsto com o presente regulamento e, em especial, atenuar os riscos que comporta para os titulares de dados. |
| 8. The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and requirements for determining the high degree of specific risk referred to in point (a) of paragraph 2. | 8. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o artigo 86.o, a fim de melhor especificar os critérios e requisitos aplicáveis à determinação do nível elevado de risco específico referido no n.o 2, alínea b). |
| 9. The Commission may set out standard forms and procedures for prior authorisations and consultations referred to in paragraphs 1 and 2, and standard forms and procedures for informing the supervisory authorities pursuant to paragraph 6. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2). [Am. 131] | 9. A Comissão pode estabelecer formulários e procedimentos normalizados para as autorizações e consultas prévias referidas nos n.os 1 e 2, bem como formulários e procedimentos normalizados para a informação das autoridades de controlo a título do n.o 6. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.o, n.o 2. [Alt. 131] |
| SECTION 4 | SECÇÃO 4 |
| DATA PROTECTION OFFICER | DELEGADO PARA A PROTEÇÃO DE DADOS |
| Article 35 | Artigo 35.o |
| Designation of the data protection officer | Designação do delegado para a proteção de dados |
| 1. The controller and the processor shall designate a data protection officer in any case where: | 1. O responsável pelo tratamento e o subcontratante designam um delegado para a proteção de dados sempre que: |
| (a) | the processing is carried out by a public authority or body; or | a) | O tratamento for efetuado por uma autoridade ou um organismo público; ou |
| (b) | the processing is carried out by an enterprise employing 250 persons or more a legal person and relates to more than 5 000 data subjects in any consecutive 12-month period ; or | b) | O tratamento for efetuado por uma empresa com 250 assalariados ou mais; pessoa coletiva e afetar mais de 5 000 titulares de dados durante um período de 12 meses consecutivos; ou |
| (c) | the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects. ; or | c) | As atividades principais do responsável pelo tratamento ou do subcontratante consistiam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares de dados.; ou |
| (d) | the core activities of the controller or the processor consist of processing special categories of data pursuant to Article 9(1), location data or data on children or employees in large scale filing systems. | d) | As atividades principais do responsável pelo tratamento ou do subcontratante consistem em proceder ao tratamento de categorias especiais de dados nos termos do artigo 9.o, n.o 1, dados de localização ou dados relativos a crianças ou a trabalhadores em sistemas de arquivo de grande dimensão; |
| 2. In the case referred to in point (b) of paragraph 1, a A group of undertakings may appoint a single main responsible data protection officer , provided it is ensured that a data protection officer is easily accessible from each establishment . | 2. No caso referido no n.o 1, alínea b), Um grupo de empresas pode designar um delegado para a proteção de dados como principal responsável, desde que um delegado para a proteção de dados esteja facilmente acessível a partir de cada estabelecimento . |
| 3. Where the controller or the processor is a public authority or body, the data protection officer may be designated for several of its entities, taking account of the organisational structure of the public authority or body. | 3. Sempre que o responsável pelo tratamento ou o subcontratante for uma autoridade ou um organismo público, o delegado para a proteção de dados pode ser designado para várias das suas entidades, atendendo à estrutura organizacional da autoridade ou do organismo público. |
| 4. In cases other than those referred to in paragraph 1, the controller or processor or associations and other bodies representing categories of controllers or processors may designate a data protection officer. | 4. Em casos diferentes dos visados no n.o 1, o responsável pelo tratamento ou o subcontratante ou as associações e outros organismos que representem categorias de responsáveis pelo tratamento ou de subcontratantes podem designar um delegado para a proteção de dados. |
| 5. The controller or processor shall designate the data protection officer on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and ability to fulfil the tasks referred to in Article 37. The necessary level of expert knowledge shall be determined in particular according to the data processing carried out and the protection required for the personal data processed by the controller or the processor. | 5. O responsável pelo tratamento ou o subcontratante designam o delegado para a proteção de dados com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio da legislação e das práticas a nível da proteção de dados, e na sua capacidade para cumprir as funções referidas no artigo 37.o. O nível de conhecimentos especializados necessários é determinado, em particular, em função do tratamento de dados realizado e da proteção exigida para os dados pessoais tratados pelo responsável pelo tratamento ou pelo subcontratante. |
| 6. The controller or the processor shall ensure that any other professional duties of the data protection officer are compatible with the person's tasks and duties as data protection officer and do not result in a conflict of interests. | 6. O responsável pelo tratamento ou o subcontratante deve assegurar que quaisquer outras funções profissionais que incumbem ao delegado para a proteção de dados sejam compatíveis com as atribuições e funções dessa pessoa na qualidade de delegado para a proteção de dados e não impliquem um conflito de interesses. |
| 7. The controller or the processor shall designate a data protection officer for a period of at least two four years in case of an employee or two years in case of an external service contractor . The data protection officer may be reappointed for further terms. During their his or her term of office, the data protection officer may only be dismissed, if the data protection officer he or she no longer fulfils the conditions required for the performance of their his or her duties. | 7. O responsável pelo tratamento ou o subcontratante designam um delegado para a proteção de dados pelo período mínimo de quatro anos, se se tratar de um trabalhador, ou de dois anos , se se tratar de um prestador de serviços externo . O mandato do delegado para a proteção de dados pode ser renovado. No decurso do seu mandato, o delegado para a proteção de dados apenas pode ser exonerado se tiver deixado de cumprir as condições exigidas para o exercício das suas funções. |
| 8. The data protection officer may be employed by the controller or processor, or fulfil his or her tasks on the basis of a service contract. | 8. O delegado para a proteção de dados pode ser um assalariado do responsável pelo tratamento ou do subcontratante, ou exercer as suas funções com base num contrato de prestação de serviços. |
| 9. The controller or the processor shall communicate the name and contact details of the data protection officer to the supervisory authority and to the public. | 9. O responsável pelo tratamento ou o subcontratante comunica o nome e os contactos do delegado para a proteção de dados à autoridade de controlo e ao público. |
| 10. Data subjects shall have the right to contact the data protection officer on all issues related to the processing of the data subject’s data and to request exercising the rights under this Regulation. | 10. Os titulares de dados têm o direito de contactar o delegado para a proteção de dados sobre todos os assuntos relacionados com o tratamento dos seus dados pessoais e de solicitar o exercício dos direitos que lhe confere o presente regulamento. |
| 11. The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and requirements for the core activities of the controller or the processor referred to in point (c) of paragraph 1 and the criteria for the professional qualities of the data protection officer referred to in paragraph 5. [Am. 132] | 11. São atribuídas competências à Comissão para adotar atos delegados nos termos do artigo 86.o, a fim de especificar mais concretamente os critérios e requisitos aplicáveis às atividades principais do responsável pelo tratamento ou do subcontratante, referidas no n.o 1, alínea c), bem como os critérios aplicáveis às qualidades profissionais do delegado para a proteção de dados referidas no n.o 5. [Alt. 132] |
| Article 36 | Artigo 36.o |
| Position of the data protection officer | Função do delegado para a proteção de dados |
| 1. The controller or the processor shall ensure that the data protection officer is properly and in a timely manner involved in all issues which relate to the protection of personal data. | 1. O responsável pelo tratamento ou o subcontratante assegura que o delegado para a proteção de dados seja associado, de forma adequada e em tempo útil, a todas as matérias relacionadas com a proteção de dados pessoais. |
| 2. The controller or processor shall ensure that the data protection officer performs the duties and tasks independently and does not receive any instructions as regards the exercise of the function. The data protection officer shall directly report to the executive management of the controller or the processor. The controller or processor shall for this purpose designate an executive management member who shall be responsible for the compliance with the provisions of this Regulation. | 2. O responsável pelo tratamento ou o subcontratante assegura que o delegado para a proteção de dados exerce as suas funções e atribuições de forma independente, não recebendo quaisquer instruções relativas ao exercício da sua função. O delegado para a proteção de dados tem o dever de informar diretamente a direção executiva do responsável pelo tratamento ou do subcontratante. Com esta finalidade, o responsável pelo tratamento ou o subcontratante designam um membro da direção executiva responsável pelo cumprimento das disposições do presente regulamento. |
| 3. The controller or the processor shall support the data protection officer in performing the tasks and shall provide all means, including staff, premises, equipment and any other resources necessary to carry out the duties and tasks referred to in Article 37 , and to maintain his or her professional knowledge . | 3. O responsável pelo tratamento ou o subcontratante apoia o delegado para a proteção de dados no exercício das suas funções e deve fornecer todos os meios, incluindo pessoal, instalações, equipamentos e quaisquer outros recursos necessários ao exercício das funções e atribuições referidas no artigo 37.o e à manutenção dos seus conhecimentos profissionais. |
| 4. Data protection officers shall be bound by secrecy concerning the identity of data subjects and concerning circumstances enabling data subjects to be identified, unless they are released from that obligation by the data subject. [Am. 133] | 4. Os delegados para a proteção de dados devem estar vinculados ao dever de sigilo em relação à identidade dos titulares dos dados e às circunstâncias que permitem a identificação dos mesmos, a menos que os titulares os exonerem dessa obrigação. [Alt. 133] |
| Article 37 | Artigo 37.o |
| Tasks of the data protection officer | Atribuições do delegado para a proteção de dados |
| 1. The controller or the processor shall entrust the data protection officer at least with the following tasks: | 1. O responsável pelo tratamento ou o subcontratante confia ao delegado para a proteção de dados, pelo menos, as seguintes atribuições: |
| (a) | to raise awareness, to inform and advise the controller or the processor of their obligations pursuant to this Regulation , in particular with regard to technical and organisational measures and procedures, and to document this activity and the responses received; | a) | Sensibilizar, informar e aconselhar o responsável pelo tratamento ou o subcontratante sobre as suas obrigações nos termos do presente regulamento , em particular no que se refere a medidas e procedimentos técnicos e organizativos, e conservar documentação sobre esta atividade e as respostas recebidas; |
| (b) | to monitor the implementation and application of the policies of the controller or processor in relation to the protection of personal data, including the assignment of responsibilities, the training of staff involved in the processing operations, and the related audits; | b) | Controlar a execução e a aplicação das regras internas do responsável pelo tratamento ou do subcontratante relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a formação do pessoal envolvido nas operações de tratamento de dados, e as auditorias correspondentes; |
| (c) | to monitor the implementation and application of this Regulation, in particular as to the requirements related to data protection by design, data protection by default and data security and to the information of data subjects and their requests in exercising their rights under this Regulation; | c) | Controlar a execução e a aplicação do presente regulamento, em especial quanto aos requisitos relacionados com a proteção de dados desde a conceção, a proteção de dados por defeito e a segurança de dados, bem como às informações dos titulares de dados e exame dos pedidos para exercer os seus direitos nos termos do presente regulamento; |
| (d) | to ensure that the documentation referred to in Article 28 is maintained; | d) | Assegurar que a documentação referida no artigo 28.o é conservada; |
| (e) | to monitor the documentation, notification and communication of personal data breaches pursuant to Articles 31 and 32; | e) | Controlar a documentação, a notificação e a comunicação relativas a violações de dados pessoais, nos termos dos artigos 31.o e 32.o; |
| (f) | to monitor the performance of the data protection impact assessment by the controller or processor and the application for prior authorisation or prior consultation, if required pursuant to Articles 32a, 33 and 34; | f) | Acompanhar a realização da avaliação de impacto sobre a proteção de dados pelo responsável pelo tratamento ou pelo subcontratante, bem como os pedidos de autorização prévia ou de consulta prévia, se necessário, nos termos dos artigos 32.o-A, 33.o e 34.o; |
| (g) | to monitor the response to requests from the supervisory authority, and, within the sphere of the data protection officer's competence, co-operating with the supervisory authority at the latter's request or on the data protection officer’s own initiative; | g) | Acompanhar a resposta aos pedidos da autoridade de controlo e, no âmbito da competência do delegado para a proteção de dados, cooperar com a autoridade de controlo, a pedido desta ou por iniciativa do próprio delegado para a proteção de dados; |
| (h) | to act as the contact point for the supervisory authority on issues related to the processing and consult with the supervisory authority, if appropriate, on his or her own initiative; | h) | Atuar como ponto de contacto para a autoridade de controlo sobre assuntos relacionados com o tratamento, e consultar esta autoridade, se for caso disso, por sua própria iniciativa; |
| (i) | to verify the compliance with this Regulation under the prior consultation mechanism laid down in Article 34; | i) | Verificar a conformidade com o presente regulamento nos termos do mecanismo de consulta estabelecido no artigo 34.o. |
| (j) | to inform the employee representatives on data processing of the employees. | j) | Informar os representantes dos trabalhadores sobre o tratamento de dados dos trabalhadores. |
| 2. The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and requirements for tasks, certification, status, powers and resources of the data protection officer referred to in paragraph 1. [Am. 134] | 2. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o artigo 86.o, a fim de especificar mais concretamente os critérios e requisitos aplicáveis às atribuições, certificação, estatuto, competências e recursos do delegado para a proteção de dados referidos no n.o 1. [Alt. 134] |
| SECTION 5 | SECÇÃO 5 |
| CODES OF CONDUCT AND CERTIFICATION | CÓDIGOS DE CONDUTA E CERTIFICAÇÃO |
| Article 38 | Artigo 38.o |
| Codes of conduct | Códigos de conduta |
| 1. The Member States, the supervisory authorities and the Commission shall encourage the drawing up of codes of conduct or the adoption of codes of conduct drawn up by a supervisory authority intended to contribute to the proper application of this Regulation, taking account of the specific features of the various data processing sectors, in particular in relation to: | 1. Os Estados-Membros, as autoridades de controlo e a Comissão devem promover a elaboração de códigos de conduta ou a adoção de códigos de conduta elaborados por uma autoridade de controlo destinados a contribuir para a correta aplicação do presente regulamento, em função das características dos diferentes setores de tratamento de dados, em especial no que se refere a: |
| (a) | fair and transparent data processing; | (a) | Tratamento de dados leal e transparente; |
| (aa) | respect for consumer rights; | a-A) | Respeito pelos direitos do consumidor; |
| (b) | the collection of data; | b) | Recolha de dados; |
| (c) | the information of the public and of data subjects; | c) | Informação do público e dos titulares de dados; |
| (d) | requests of data subjects in exercise of their rights; | d) | Pedidos dos titulares de dados no exercício dos seus direitos; |
| (e) | information and protection of children; | e) | Informações e proteção das crianças; |
| (f) | transfer of data to third countries or international organisations; | f) | Transferências de dados para países terceiros ou organizações internacionais; |
| (g) | mechanisms for monitoring and ensuring compliance with the code by the controllers adherent to it; | g) | Mecanismos de controlo e de garantia do respeito do código pelos responsáveis pelo tratamento que a ele adiram; |
| (h) | out-of-court proceedings and other dispute resolution procedures for resolving disputes between controllers and data subjects with respect to the processing of personal data, without prejudice to the rights of the data subjects pursuant to Articles 73 and 75. | h) | Ações extrajudiciais e outros procedimentos de resolução de litígios entre os responsáveis pelo tratamento e os titulares de dados em relação ao tratamento de dados pessoais, sem prejuízo dos direitos dos titulares de dados nos termos dos artigos 73.o e 75.o |
| 2. Associations and other bodies representing categories of controllers or processors in one Member State which intend to draw up codes of conduct or to amend or extend existing codes of conduct may submit them to an opinion of the supervisory authority in that Member State. The supervisory authority may shall without undue delay give an opinion on whether the processing under the draft code of conduct or the amendment is in compliance with this Regulation. The supervisory authority shall seek the views of data subjects or their representatives on these drafts. | 2. As associações e outros organismos que representem categorias de responsáveis pelo tratamento ou subcontratantes num Estado-Membro que tencionem elaborar códigos de conduta ou alterar ou prorrogar os códigos de conduta existentes, podem submetê-los ao parecer da autoridade de controlo desse Estado-Membro. A autoridade de controlo pode deve, sem demora injustificada, emitir um parecer sobre a conformidade com o presente regulamento se o tratamento ao abrigo do projeto de código de conduta ou da alteração está em conformidade com o presente regulamento . A autoridade de controlo deve solicitar a opinião dos titulares de dados ou dos seus representantes sobre esses projetos. |
| 3. Associations and other bodies representing categories of controllers or processors in several Member States may submit draft codes of conduct and amendments or extensions to existing codes of conduct to the Commission. | 3. As associações e outros organismos representativos de categorias de responsáveis pelo tratamento ou subcontratantes em vários Estados-Membros podem submeter à Comissão projetos de códigos de conduta, bem como alterações ou prorrogações dos códigos de conduta existentes. |
| 4. The Commission may adopt implementing acts shall be empowered to adopt, after requesting an opinion of the European Data Protection Board, delegated acts in accordance with Article 86 for deciding that the codes of conduct and amendments or extensions to existing codes of conduct submitted to it pursuant to paragraph 3 are in line with this Regulation and have general validity within the Union. Those implementing acts delegated acts shall be adopted in accordance with the examination procedure set out in Article 87(2) confer enforceable rights on data subjects . | 4. São atribuídas competências à Comissão para adotar , depois de solicitar o parecer do Comité Europeu para a Proteção de Dados, a atos de execução delegados, nos termos do artigo 86.o, a fim de declarar, mediante decisão, que os códigos de conduta, bem como as alterações ou prorrogações aos códigos de conduta existentes que lhe sejam apresentados nos termos do n.o 3, estão em consonância com o presente regulamento e são de aplicabilidade geral na União. Os Estes atos de execução correspondentes são adotados em conformidade com o procedimento de exame estabelecido no artigo 87.o, n.o 2. delegados conferem direitos efetivos aos titulares de dados. |
| 5. The Commission shall ensure appropriate publicity for the codes which have been decided as having general validity in accordance with paragraph 4. [Am. 135] | 5. A Comissão assegura a publicidade adequada dos códigos que, mediante decisão, declarou serem de aplicabilidade geral em conformidade com o n.o 4.[Alt. 135] |
| Article 39 | Artigo 39.o |
| Certification | Certificação |
| 1. The Member States and the Commission shall encourage, in particular at European level, the establishment of data protection certification mechanisms and of data protection seals and marks, allowing data subjects to quickly assess the level of data protection provided by controllers and processors. The data protection certifications mechanisms shall contribute to the proper application of this Regulation, taking account of the specific features of the various sectors and different processing operations. | 1. Os Estados-Membros e a Comissão devem promover, em especial a nível europeu, a criação de mecanismos de certificação em matéria de proteção de dados, bem como selos e marcas de proteção de dados, que permitam aos titulares de dados avaliar rapidamente o nível de proteção de dados fornecido pelos responsáveis pelo tratamento e subcontratantes. Os mecanismos de certificação em matéria de proteção de dados devem contribuir para a correta aplicação do presente regulamento, tendo em conta as características dos vários setores e das diferentes operações de tratamento de dados. |
| 1a. Any controller or processor may request any supervisory authority in the Union, for a reasonable fee taking into account the administrative costs, to certify that the processing of personal data is performed in compliance with this Regulation, in particular with the principles set out in Article 5, 23 and 30, the obligations of the controller and the processor, and the data subject’s rights. | 1-A. Qualquer responsável pelo tratamento ou subcontratante poderá requerer uma taxa razoável a qualquer autoridade de controlo da União, tendo em conta as despesas administrativas, para certificar que o tratamento dos dados pessoais é executado em conformidade com o presente regulamento, nomeadamente os princípios enunciados nos artigos 5.o, 23.o e 30.o, as obrigações do responsável pelo tratamento e o subcontratante, bem como os direitos do titular de dados. |
| 1b. The certification shall be voluntary, affordable, and available via a process that is transparent and not unduly burdensome. | 1-B. A certificação é voluntária, acessível e disponível através de um processo transparente e não excessivamente oneroso. |
| 1c. The supervisory authorities and the European Data Protection Board shall cooperate under the consistency mechanism pursuant to Article 57 to guarantee a harmonised data protection certification mechanism including harmonised fees within the Union. | 1-C. As autoridades de controlo e o Comité Europeu para a Proteção de Dados devem cooperar ao abrigo do mecanismo de controlo, nos termos do artigo 57.o, para assegurar a harmonização do mecanismo de certificação de proteção de dados, nomeadamente no que respeita às taxas no âmbito da União. |
| 1d. During the certification procedure, the supervisory authorities may accredit specialised third party auditors to carry out the auditing of the controller or the processor on their behalf. Third party auditors shall have sufficiently qualified staff, be impartial and free from any conflict of interests regarding their duties. Supervisory authorities shall revoke accreditation, if there are reasons to believe that the auditor does not fulfil its duties correctly. The final certification shall be provided by the supervisory authority. | 1-D. Durante este processo de certificação, a autoridade de controlo pode conceder acreditação a auditores de terceiros para realizarem em seu nome a auditoria ao responsável pelo tratamento ou ao subcontratante. Os auditores de terceiros devem dispor de pessoal suficientemente qualificado, ser imparciais e isentos de conflitos de interesses relativamente aos seus deveres. As autoridades de controlo devem revogar a acreditação se existirem motivos para crer que o auditor não cumpre as suas obrigações corretamente. A certificação final deve ser atribuída pela autoridade de controlo. |
| 1e. Supervisory authorities shall grant controllers and processors, who pursuant to the auditing have been certified that they process personal data in compliance with this Regulation, the standardised data protection mark named ‘European Data Protection Seal’. | 1-E. As autoridades de controlo devem atribuir aos responsáveis pelo tratamento e subcontratantes, certificados no âmbito da auditoria como procedendo ao tratamento de dados pessoais nos termos do presente regulamento, a marca de proteção de dados normalizada denominada «selo europeu de proteção de dados». |
| 1f. The ‘European Data Protection Seal’ shall be valid for as long as the data processing operations of the certified controller or processor continue to fully comply with this Regulation. | 1-F. O «selo europeu de proteção de dados» é válido desde que as operações de tratamento de dados do responsável pelo tratamento ou subcontratante certificado estejam em plena conformidade com o presente regulamento. |
| 1 g. Notwithstanding paragraph 1f, the certification shall be valid for maximum five years. | 1-G. Sem prejuízo do disposto no n.o 1-F, a certificação é válida, no máximo, por um período de cinco anos. |
| 1h. The European Data Protection Board shall establish a public electronic register in which all valid and invalid certificates which have been issued in the Member States can be viewed by the public. | 1-H. O Comité Europeu para a Proteção de Dados estabelece um registo eletrónico público em que possam ser vistos todos os certificados válidos e inválidos concedidos nos Estados-Membros. |
| 1i. The European Data Protection Board may on its own initiative certify that a data protection-enhancing technical standard is compliant with this Regulation. | 1-I. O Comité Europeu para a Proteção de Dados pode, por iniciativa própria, certificar que uma norma técnica de reforço da proteção de dados cumpre o presente regulamento. |
| 2. The Commission shall be empowered to adopt , after requesting an opinion of the European Data Protection Board and consulting with stakeholders, in particular industry and non-governmental organisations, delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and requirements for the data protection certification mechanisms referred to in paragraph 1 paragraphs 1a to 1h , including requirements for accreditation of auditors, conditions for granting and withdrawal, and requirements for recognition within the Union and in third countries. Those delegated acts shall confer enforceable rights on data subjects. | 2. São atribuídas competências à Comissão para adotar , depois de solicitar o parecer do Comité Europeu para a Proteção de Dados e de consultar os interessados, nomeadamente a indústria e as organizações não-governamentais, atos delegados em conformidade com o artigo 86.o, a fim de especificar mais concretamente os critérios e requisitos aplicáveis aos mecanismos de certificação em matéria de proteção de dados referidos no n.o 1 nos n.os 1-A a 1-H , os requisitos de acreditação de auditores, as condições de concessão e revogação, bem como os requisitos em matéria de reconhecimento na União e nos países terceiros. Estes atos delegados devem conferir direitos efetivos aos titulares de dados. |
| 3. The Commission may lay down technical standards for certification mechanisms and data protection seals and marks and mechanisms to promote and recognize certification mechanisms and data protection seals and marks. Those implementing acts shall be adopted in accordance with the examination procedure set out in Article 87(2). [Am. 136] | 3. A Comissão pode estabelecer normas técnicas para os mecanismos de certificação, bem como selos e marcas em matéria de proteção de dados, e mecanismos para promover e reconhecer os mecanismos de certificação e selos e marcas de proteção de dados. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame estabelecido no artigo 87.o, n.o 2. [Alt. 136] |
| CHAPTER V | CAPÍTULO V |
| TRANSFER OF PERSONAL DATA TO THIRD COUNTRIES OR INTERNATIONAL ORGANISATIONS | TRANSFERÊNCIA DE DADOS PESSOAIS PARA PAÍSES TERCEIROS OU ORGANIZAÇÕES INTERNACIONAIS |
| Article 40 | Artigo 40.o |
| General principle for transfers | Princípio geral das transferências |
| Any transfer of personal data which are undergoing processing or are intended for processing after transfer to a third country or to an international organisation may only take place if, subject to the other provisions of this Regulation, the conditions laid down in this Chapter are complied with by the controller and processor, including for onward transfers of personal data from the third country or an international organisation to another third country or to another international organisation. | Qualquer transferência de dados pessoais que seja ou venha a ser objeto de tratamento após transferência para um país terceiro ou uma organização internacional só pode ser realizada se, sem prejuízo das outras disposições do presente regulamento, as condições estabelecidas no presente capítulo forem respeitadas pelo responsável pelo tratamento e pelo subcontratante, incluindo para as transferências ulteriores de dados pessoais do país terceiro ou da organização internacional para outro país terceiro ou outra organização internacional. |
| Article 41 | Artigo 41.o |
| Transfers with an adequacy decision | Transferências acompanhadas de uma decisão de adequação |
| 1. A transfer may take place where the Commission has decided that the third country, or a territory or a processing sector within that third country, or the international organisation in question ensures an adequate level of protection. Such transfer shall not require any further specific authorisation. | 1. Uma transferência pode ser realizada se a Comissão tiver decidido que o país terceiro, ou um território ou um setor de tratamento nesse país terceiro, ou a organização internacional em causa, assegura um nível de proteção adequado. Essa transferência não exige qualquer autorização suplementar específica . |
| 2. When assessing the adequacy of the level of protection, the Commission shall give consideration to the following elements: | 2. Ao avaliar o nível de proteção adequado, a Comissão deve ter em conta os seguintes elementos: |
| (a) | the rule of law, relevant legislation in force, both general and sectoral, including concerning public security, defence, national security and criminal law as well as the implementation of this legislation , the professional rules and security measures which are complied with in that country or by that international organisation, jurisprudential precedents, as well as effective and enforceable rights including effective administrative and judicial redress for data subjects, in particular for those data subjects residing in the Union whose personal data are being transferred; | a) | O primado do Estado de direito, a legislação relevante em vigor, geral ou setorial, incluindo no que respeita à segurança pública, à defesa, à segurança nacional e ao direito penal, bem como à implementação desta legislação, às regras profissionais e às medidas de segurança que são respeitadas nesse país ou por essa organização internacional, precedentes jurisprudenciais, bem como a existência de direitos efetivos e oponíveis, incluindo vias de recurso administrativo e judicial para os titulares de dados, nomeadamente para as pessoas residentes na União cujos dados pessoais sejam objeto de transferência; |
| (b) | the existence and effective functioning of one or more independent supervisory authorities in the third country or international organisation in question responsible for ensuring compliance with the data protection rules, including sufficient sanctioning powers, for assisting and advising the data subjects in exercising their rights and for co-operation with the supervisory authorities of the Union and of Member States; and | b) | A existência e o funcionamento efetivo de uma ou mais autoridades de controlo independentes no país terceiro ou na organização internacional em causa, responsáveis por assegurar o respeito das regras de proteção de dados, incluindo poderes sancionatórios suficientes, assistir e aconselhar o titular de dados no exercício dos seus direitos, e cooperar com as autoridades de controlo da União e dos Estados-Membros; e ainda |
| (c) | the international commitments the third country or international organisation in question has entered into , in particular any legally binding conventions or instruments with respect to the protection of personal data . | c) | Os compromissos internacionais assumidos pelo país terceiro ou pela organização internacional , em particular quaisquer convenções ou instrumentos juridicamente vinculativos relativos à proteção de dados pessoais. |
| 3. The Commission may shall be empowered to adopt delegated acts in accordance with Article 86 to decide that a third country, or a territory or a processing sector within that third country, or an international organisation ensures an adequate level of protection within the meaning of paragraph 2. Those implementing acts Such delegated acts shall be adopted in accordance with the examination procedure referred to in Article 87(2) provide for a sunset clause if they concern a processing sector and shall be revoked according to paragraph 5 as soon as an adequate level of protection according to this Regulation is no longer ensured . | 3. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o artigo 86.o, a Comissão pode fim de decidir que um país terceiro, um território, ou um setor de tratamento dentro desse país terceiro, ou uma organização internacional, garante um nível de proteção adequado na aceção do n.o 2. Os Tais atos delegados preveem uma cláusula de execução correspondentes são adotados em conformidade caducidade sempre que digam respeito a um setor de tratamento de dados e são revogados de acordo com o procedimento de exame referido no artigo 87.o, n.o 2 n .o 5 , assim que deixe de estar assegurado um nível adequado de proteção nos termos do presente regulamento . |
| 4. The implementing delegated act shall specify its geographical territorial and sectoral application, and, where applicable, identify the supervisory authority mentioned in point (b) of paragraph 2. | 4. O ato de execução delegado deve especificar o âmbito de aplicação geográfico territorial e setorial e, se for caso disso, identificar a autoridade de controlo referida no n.o 2, alínea b). |
| 4a. The Commission shall, on an on-going basis, monitor developments in third countries and international organisations that could affect the elements listed in paragraph 2 where a delegated act pursuant to paragraph 3 has been adopted. | 4-A. A Comissão deve, de forma continuada, acompanhar os desenvolvimentos em países terceiros e em organizações internacionais, que possam afetar o cumprimento dos elementos enunciados no n.o 2, em relação aos quais tenha sido adotado um ato delegado nos termos do n.o 3. |
| 5. The Commission may shall be empowered to adopt delegated acts in accordance with Article 86 to decide that a third country, or a territory or a processing sector within that third country, or an international organisation does not ensure or no longer ensures an adequate level of protection within the meaning of paragraph 2 of this Article, in particular in cases where the relevant legislation, both general and sectoral, in force in the third country or international organisation, does not guarantee effective and enforceable rights including effective administrative and judicial redress for data subjects, in particular for those data subjects residing in the Union whose personal data are being transferred. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2), or, in cases of extreme urgency for individuals with respect to their right to personal data protection, in accordance with the procedure referred to in Article 87(3). | 5. A São atribuídas competências à Comissão pode para adotar atos delegados, em conformidade com o artigo 86.o, a fim de decidir que um país terceiro, um território ou um setor de tratamento nesse país terceiro, ou uma organização internacional, não assegura um nível de proteção adequado na aceção do n.o 2, em especial nos casos em que a legislação relevante, quer de caráter geral ou setorial, em vigor no país terceiro ou na organização internacional, não assegura , ou deixou de assegurar, direitos efetivos e oponíveis, incluindo vias de recurso administrativo e judicial para os titulares de dados, nomeadamente para as pessoas residentes no território da União cujos dados pessoais sejam objeto de transferência. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.o, n.o 2 ou, em casos de extrema urgência para as pessoas singulares no que se refere ao seu direito de proteção de dados pessoais, em conformidade com o procedimento referido no artigo 87.o, n.o 3. |
| 6. Where the Commission decides pursuant to paragraph 5, any transfer of personal data to the third country, or a territory or a processing sector within that third country, or the international organisation in question shall be prohibited, without prejudice to Articles 42 to 44. At the appropriate time, the Commission shall enter into consultations with the third country or international organisation with a view to remedying the situation resulting from the Decision decision made pursuant to paragraph 5 of this Article. | 6. Sempre que a Comissão adote uma decisão por força do n.o 5, qualquer transferência de dados pessoais para o país terceiro, um território ou um setor de tratamento nesse país terceiro, ou organização internacional em causa, é proibida, sem prejuízo dos artigos 42.o a 44.o. Em momento oportuno, a Comissão deve encetar negociações com o país terceiro ou a organização internacional, com vista a remediar a situação resultante da decisão adotada nos termos do n.o 5. |
| 6a. Prior to adopting a delegated act pursuant to paragraphs 3 and 5, the Commission shall request the European Data Protection Board to provide an opinion on the adequacy of the level of protection. To that end, the Commission shall provide the European Data Protection Board with all necessary documentation, including correspondence with the government of the third country, territory or processing sector within that third country or the international organisation. | 6-A. Antes de adotar os atos delegados nos termos dos n.os 3 e 5, a Comissão deve requerer um parecer ao Comité Europeu para a Proteção de Dados sobre o nível de proteção adequado. Para este efeito, a Comissão deve fornecer ao Comité Europeu para a Proteção de Dados toda a documentação necessária, incluindo a correspondência com o governo do país terceiro, o território ou o setor de tratamento de dados nesse país terceiro o território ou a organização internacional. |
| 7. The Commission shall publish in the Official Journal of the European Union and on its website a list of those third countries, territories and processing sectors within a third country and international organisations where it has decided that an adequate level of protection is or is not ensured. | 7. A Comissão publica no Jornal Oficial da União Europeia e no seu sítio Web uma lista dos países terceiros, territórios e setores de tratamento num país terceiro e de organizações internacionais relativamente aos quais tenha declarado, mediante decisão, que asseguram ou não um nível de proteção adequado. |
| 8. Decisions adopted by the Commission on the basis of Article 25(6) or Article 26(4) of Directive 95/46/EC shall remain in force, until five years after the entry into force of this Regulation unless amended, replaced or repealed by the Commission before the end of that period . [Am. 137] | 8. As decisões adotadas pela Comissão com base no artigo 25, n.o 6, ou no artigo 26.o, n.o 4, da Diretiva 95/46/CE, permanecem em vigor até à sua durante cinco anos após a entrada em vigor do presente regulamento, exceto em caso de alteração, substituição ou revogação pela Comissão antes do final deste período . [Alt. 137] |
| Article 42 | Artigo 42.o |
| Transfers by way of appropriate safeguards | Transferências mediante garantias adequadas |
| 1. Where the Commission has taken no decision pursuant to Article 41, or decides that a third country, or a territory or processing sector within that third country, or an international organisation does not ensure an adequate level of protection in accordance with Article 41(5), a controller or processor may not transfer personal data to a third country or an international organisation only if unless the controller or processor has adduced appropriate safeguards with respect to the protection of personal data in a legally binding instrument. | 1. Sempre que a Comissão não tenha tomado qualquer decisão nos termos do artigo 41.o, ou decida que um país terceiro, ou um território ou um setor de tratamento de dados dentro desse país terceiro, ou uma organização internacional, não assegura um nível de proteção de dados adequado em conformidade com o n.o 5 do mesmo artigo, um responsável pelo tratamento ou um subcontratante só pode transferir dados pessoais para um país terceiro ou uma organização internacional se tiver apresentado garantias adequadas quanto à proteção de dados pessoais num instrumento juridicamente vinculativo. |
| 2. The appropriate safeguards referred to in paragraph 1 shall be provided for, in particular, by: | 2. As garantias adequadas referidas no n.o 1 devem ser previstas, nomeadamente, em: |
| (a) | binding corporate rules in accordance with Article 43; or | a) | Regras vinculativas para empresas em conformidade com o artigo 43.o; ou |
| (aa) | a valid ‘European Data Protection Seal’ for the controller and the recipient in accordance with paragraph 1e of Article 39; or | a-A) | Um «selo europeu de proteção de dados» válido, para o responsável pelo tratamento e o destinatário dos dados, em conformidade com o artigo 39.o, n.o 1, alínea e); ou |
| (b) | standard data protection clauses adopted by the Commission. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2); or | b) | Cláusulas-tipo de proteção de dados adotadas pela Comissão. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.o, n.o 2; ou |
| (c) | standard data protection clauses adopted by a supervisory authority in accordance with the consistency mechanism referred to in Article 57 when declared generally valid by the Commission pursuant to point (b) of Article 62(1); or | c) | Cláusulas-tipo de proteção de dados adotadas por uma autoridade de controlo em conformidade com o mecanismo de controlo da coerência previsto no artigo 57.o, se declaradas de aplicabilidade geral pela Comissão nos termos do artigo 62.o, n.o 1, alínea b); ou |
| (d) | contractual clauses between the controller or processor and the recipient of the data authorised by a supervisory authority in accordance with paragraph 4. | (d) | Cláusulas contratuais entre o responsável pelo tratamento ou o subcontratante e o destinatário dos dados, aprovadas por uma autoridade de controlo em conformidade com o n.o 4. |
| 3. A transfer based on standard data protection clauses , a ‘European Data Protection Seal’ or binding corporate rules as referred to in point (a), (b) (aa) or (c) of paragraph 2 shall not require any further specific authorisation. | 3. Uma transferência realizada com base em cláusulas-tipo de proteção de dados, um «selo europeu de proteção de dados» ou regras vinculativas para empresas, referidas no n.o 2, alíneas a), b) a-A ou c), não necessita de qualquer outra autorização específica . |
| 4. Where a transfer is based on contractual clauses as referred to in point (d) of paragraph 2 of this Article the controller or processor shall obtain prior authorisation of the contractual clauses according to point (a) of Article 34(1) from the supervisory authority. If the transfer is related to processing activities which concern data subjects in another Member State or other Member States, or substantially affect the free movement of personal data within the Union, the supervisory authority shall apply the consistency mechanism referred to in Article 57. | 4. Sempre que uma transferência tiver por base cláusulas contratuais como as referidas no n.o 2, alínea d) do presente artigo , o responsável pelo tratamento dos dados ou o subcontratante deve obter a autorização prévia das cláusulas contratuais, em conformidade com o artigo 34.o, n.o 1, alínea a), pela autoridade de controlo. Se a transferência estiver relacionada com atividades de tratamento relativas a titulares de dados noutro Estado-Membro, ou possam prejudicar substancialmente a livre circulação de dados pessoais na União, a autoridade de controlo aplica o mecanismo de controlo da coerência referido no artigo 57.o. |
| 5. Where the appropriate safeguards with respect to the protection of personal data are not provided for in a legally binding instrument, the controller or processor shall obtain prior authorisation for the transfer, or a set of transfers, or for provisions to be inserted into administrative arrangements providing the basis for such transfer. Such authorisation by the supervisory authority shall be in accordance with point (a) of Article 34(1). If the transfer is related to processing activities which concern data subjects in another Member State or other Member States, or substantially affect the free movement of personal data within the Union, the supervisory authority shall apply the consistency mechanism referred to in Article 57. Authorisations by a supervisory authority on the basis of Article 26(2) of Directive 95/46/EC shall remain valid, until two years after the entry into force of this Regulation unless amended, replaced or repealed by that supervisory authority before the end of that period . [Am. 138] | 5. Sempre que as garantias adequadas para a proteção de dados pessoais não estiverem previstas num instrumento juridicamente vinculativo, o responsável pelo tratamento ou o subcontratante deve obter a autorização prévia da transferência ou de um conjunto de transferências, ou prever a inserção de disposições no quadro de um regime administrativo que estabeleça a base para a transferência em causa. Essa autorização por parte da autoridade de controlo deve respeitar o artigo 34.o, n.o 1, alínea a). Se a transferência estiver relacionada com atividades de tratamento relativas a titulares de dados noutro Estado-Membro, ou possam prejudicar substancialmente a livre circulação de dados pessoais na União, a autoridade de controlo aplica o mecanismo de controlo da coerência referido no artigo 57.o. As autorizações por uma autoridade de controlo com base no artigo 26.o, n.o 2, da Diretiva 95/46/CE permanecem em vigor até à sua durante dois anos após a entrada em vigor do presente regulamento, exceto em caso de alteração, substituição ou revogação pela mesma autoridade de controlo antes do final deste período . [Alt. 138] |
| Article 43 | Artigo 43.o |
| Transfers by way of binding corporate rules | Transferências mediante regras vinculativas para empresas |
| 1. A The supervisory authority shall in accordance with the consistency mechanism set out in Article 58 approve binding corporate rules, provided that they: | 1. Uma A autoridade de controlo, em conformidade com o mecanismo de controlo de coerência previsto no artigo 58.o, aprova as regras vinculativas para empresas, desde que estas: |
| (a) | are legally binding and apply to and are enforced by every member within the controller’s or processor's group of undertakings and those external subcontractors that are covered by the scope of the binding corporate rules , and include their employees; | a) | Sejam vinculativas e aplicáveis a todas as entidades do grupo de empresas do responsável pelo tratamento ou do subcontratantetratamento e os seus subcontratantes externos abrangidos pelas regras vinculativas para empresas , incluindo os seus assalariados; que deverão assegurar o seu respeito; |
| (b) | expressly confer enforceable rights on data subjects; | b) | Confiram expressamente direitos aos titulares de dados; |
| (c) | fulfil the requirements laid down in paragraph 2. | c) | Respeitem os requisitos estabelecidos no n.o 2. |
| 1a. With regard to employment data, the representatives of the employees shall be informed about and, in accordance with Union or Member State law and practice, be involved in the drawing-up of binding corporate rules pursuant to Article 43. | 1-A. Em relação aos dados de emprego, os representantes dos trabalhadores devem ser informados e, de acordo com a legislação ou a prática da União ou do Estado-Membro, envolvidos na elaboração de regras vinculativas para a empresa, nos termos do artigo 43.o. |
| 2. The binding corporate rules shall at least specify: | 2. As regras vinculativas para empresas devem, pelo menos, especificar: |
| (a) | the structure and contact details of the group of undertakings and its members and those external subcontractors that are covered by the scope of the binding corporate rules ; | a) | A estrutura e os contactos do grupo de empresas e das entidades que o compõem e os seus subcontratantes externos abrangidos pelas regras vinculativas para empresas; |
| (b) | the data transfers or set of transfers, including the categories of personal data, the type of processing and its purposes, the type of data subjects affected and the identification of the third country or countries in question; | b) | As transferências ou conjunto de transferências de dados, incluindo as categorias de dados pessoais, o tipo de tratamento e as finalidades, o tipo de titulares de dados afetado e a identificação do país ou países terceiros em questão; |
| (c) | their legally binding nature, both internally and externally; | c) | O seu caráter juridicamente vinculativo, a nível interno e externo; |
| (d) | the general data protection principles, in particular purpose limitation, data minimisation, limited retention periods, data quality, data protection by design and by default, legal basis for the processing, processing of sensitive personal data; measures to ensure data security; and the requirements for onward transfers to organisations which are not bound by the policies; | d) | Os princípios gerais de proteção de dados, nomeadamente a limitação das finalidades, a minimização dos dados, os períodos muito curtos de conservação, a qualidade dos dados, a proteção dos dados desde a conceção e por defeito, a base jurídica para o tratamento, o tratamento de dados pessoais sensíveis, as medidas de garantia da segurança dos dados e os requisitos para transferências ulteriores para organizações que não se encontrem vinculadas pelas medidas em causa; |
| (e) | the rights of data subjects and the means to exercise these rights, including the right not to be subject to a measure based on profiling in accordance with Article 20, the right to lodge a complaint with the competent supervisory authority and before the competent courts of the Member States in accordance with Article 75, and to obtain redress and, where appropriate, compensation for a breach of the binding corporate rules; | e) | Os direitos dos titulares de dados e os mecanismos de exercício desses direitos, incluindo o direito de não ser objeto de uma medida baseada na definição de perfis nos termos do artigo 20.o, o direito de apresentar uma queixa à autoridade de controlo competente e aos tribunais competentes dos Estados-Membros nos termos do artigo 75.o, n.o 2, e obter uma reparação e, se for caso disso, uma indemnização pela violação das regras vinculativas para empresas; |
| (f) | the acceptance by the controller or processor established on the territory of a Member State of liability for any breaches of the binding corporate rules by any member of the group of undertakings not established in the Union; the controller or the processor may only be exempted from this liability, in whole or in part, if he proves that that member is not responsible for the event giving rise to the damage; | f) | A aceitação, pelo responsável pelo tratamento ou pelo subcontratante estabelecido no território de um Estado-Membro, da responsabilidade por qualquer violação às regras vinculativas para empresas por qualquer entidade do grupo de empresas não estabelecido na União; o responsável pelo tratamento ou o subcontratante só pode ser exonerado dessa responsabilidade, no todo ou em parte, se provar que o facto que causou o dano não é imputável a essa entidade; |
| (g) | how the information on the binding corporate rules, in particular on the provisions referred to in points (d), (e) and (f) of this paragraph is provided to the data subjects in accordance with Article 11; | g) | A forma como as informações sobre as regras vinculativas para empresas, nomeadamente relativas às disposições referidas nas alíneas d), e) e f), são comunicadas aos titulares de dados nos termos do artigo 11.o; |
| (h) | the tasks of the data protection officer designated in accordance with Article 35, including monitoring within the group of undertakings the compliance with the binding corporate rules, as well as monitoring the training and complaint handling; | h) | As atribuições do delegado para a proteção de dados, designado nos termos do artigo 35.o, incluindo o controlo do respeito das regras vinculativas para empresas, a nível do grupo de empresas, bem como a supervisão de ações de formação e do tratamento de queixas; |
| (i) | the mechanisms within the group of undertakings aiming at ensuring the verification of compliance with the binding corporate rules; | i) | Os mecanismos existentes no grupo de empresas com vista a assegurar a verificação do respeito das regras vinculativas para empresas; |
| (j) | the mechanisms for reporting and recording changes to the policies and reporting these changes to the supervisory authority; | j) | Os mecanismos de elaboração de relatórios e de registo de alterações introduzidas às regras internas e para a comunicação dessas alterações à autoridade de controlo; |
| (k) | the co-operation mechanism with the supervisory authority to ensure compliance by any member of the group of undertakings, in particular by making available to the supervisory authority the results of the verifications of the measures referred to in point (i) of this paragraph. | k) | O mecanismo de cooperação com a autoridade de controlo para assegurar o respeito, por qualquer entidade do grupo de empresas, em especial disponibilizando à autoridade de controlo os resultados da verificação das medidas referidas na alínea i). |
| 3. The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the format, procedures, criteria and requirements for binding corporate rules within the meaning of this Article, in particular as regards the criteria for their approval, including transparency for data subjects, the application of points (b), (d), (e) and (f) of paragraph 2 to binding corporate rules adhered to by processors and on further necessary requirements to ensure the protection of personal data of the data subjects concerned. | 3. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o artigo 86.o, a fim de especificar mais concretamente o formato, os procedimentos, os critérios e as condições aplicáveis às regras vinculativas para empresas na aceção do presente artigo, nomeadamente quanto aos critérios aplicáveis à respetiva aprovação, incluindo a transparência para os titulares de dados, à aplicação do n.o 2, alíneas b), d), e) e f), às regras vinculativas para empresas às quais aderem subcontratantes, e aos requisitos necessários para assegurar a proteção de dados pessoais dos titulares de dados. |
| 4. The Commission may specify the format and procedures for the exchange of information by electronic means between controllers, processors and supervisory authorities for binding corporate rules within the meaning of this Article. Those implementing acts shall be adopted in accordance with the examination procedure set out in Article 87(2). [Am. 139] | 4. A Comissão pode especificar o formato e os procedimentos para o intercâmbio eletrónico de informações entre os responsáveis pelo tratamento, os subcontratantes e as autoridades de controlo, em relação às regras vinculativas para empresas na aceção do presente artigo. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame previsto no artigo 87.o, n.o 2. [Alt. 139] |
| Article 43a | Artigo 43.o-A |
| Transfers or disclosures not authorised by Union law | Transferências ou divulgações não autorizadas pelo direito da UE |
| 1. No judgment of a court or tribunal and no decision of an administrative authority of a third country requiring a controller or processor to disclose personal data shall be recognised or be enforceable in any manner, without prejudice to a mutual legal assistance treaty or an international agreement in force between the requesting third country and the Union or a Member State. | 1. As sentenças de órgãos judiciais e as decisões de autoridades administrativas de um país terceiro, que solicitem a um responsável pelo tratamento ou subcontratante que divulgue dados pessoais, não serão reconhecidas ou executadas de nenhuma forma, sem prejuízo de um acordo de assistência judiciária mútua ou de um acordo internacional em vigor entre o país terceiro requerente e a União ou um Estado-Membro. |
| 2. Where a judgment of a court or tribunal or a decision of an administrative authority of a third country requests a controller or processor to disclose personal data, the controller or processor and, if any, the controller's representative, shall notify the supervisory authority of the request without undue delay and must obtain prior authorisation for the transfer or disclosure by the supervisory authority. | 2. Sempre que os acórdãos de tribunais e as decisões de autoridades administrativas de um país terceiro solicitem a um responsável pelo tratamento ou subcontratante que divulgue dados pessoais, o responsável pelo tratamento ou o subcontratante e, caso exista, o representante do responsável pelo tratamento, deve notificar a autoridade de controlo do pedido, sem demora injustificada, e deve obter autorização prévia da autoridade de controlo para a transferência ou divulgação. |
| 3. The supervisory authority shall assess the compliance of the requested disclosure with this Regulation and in particular whether the disclosure is necessary and legally required in accordance with points (d) and (e) of Article 44(1) and Article 44(5). Where data subjects from other Member States are affected, the supervisory authority shall apply the consistency mechanism referred to in Article 57. | 3. A autoridade de controlo avalia a conformidade da divulgação pedida com o presente regulamento e, em particular, se a divulgação é necessária e exigida legalmente de acordo com o artigo 44.o, n.o 1, alíneas d) e e), e com o n.o 5 do mesmo artigo. Sempre que sejam prejudicados titulares de dados de outros Estados-Membros, a autoridade de controlo competente aplica o mecanismo de controlo da coerência referido no artigo 57.o. |
| 4. The supervisory authority shall inform the competent national authority of the request. Without prejudice to Article 21, the controller or processor shall also inform the data subjects of the request and of the authorisation by the supervisory authority and, where applicable, inform the data subject whether personal data were provided to public authorities during the last consecutive 12-month period, pursuant to point (ha) of Article 14(1). [Am. 140] | 4. A autoridade de controlo informa do pedido a autoridade nacional competente. Sem prejuízo do disposto no artigo 21.o, o responsável pelo tratamento ou o subcontratante deve ainda informar os titulares dos dados do pedido e da autorização pela autoridade de controlo e, se necessário, informar o titular dos dados sobre se foram fornecidos dados pessoais às autoridades públicas durante o último período consecutivo de 12 meses, nos termos do artigo 14.o, n.o1, alínea h-A). [Alt. 140] |
| Article 44 | Artigo 44.o |
| Derogations | Derrogações |
| 1. In the absence of an adequacy decision pursuant to Article 41 or of appropriate safeguards pursuant to Article 42, a transfer or a set of transfers of personal data to a third country or an international organisation may take place only on condition that: | 1. Na falta de uma decisão de adequação nos termos do artigo 41.o, ou de garantias adequadas nos termos do artigo 42.o, uma transferência ou um conjunto de transferências de dados pessoais para um país terceiro ou uma organização internacional só pode ser efetuada se: |
| (a) | the data subject has consented to the proposed transfer, after having been informed of the risks of such transfers due to the absence of an adequacy decision and appropriate safeguards; or | a) | O titular dos dados tiver dado o seu consentimento à transferência prevista, após ter sido informado dos riscos que essa transferência acarreta devido à falta de uma decisão de adequação e das garantias adequadas; ou |
| (b) | the transfer is necessary for the performance of a contract between the data subject and the controller or the implementation of pre-contractual measures taken at the data subject's request; or | b) | A transferência for necessária para a execução de um contrato entre o titular dos dados e o responsável pelo tratamento ou de diligências prévias à formação do contrato decididas a pedido da pessoa em causa; ou |
| (c) | the transfer is necessary for the conclusion or performance of a contract concluded in the interest of the data subject between the controller and another natural or legal person; or | c) | A transferência for necessária para a celebração ou execução de um contrato acordado, no interesse do titular dos dados, entre o responsável pelo tratamento e outra pessoa singular ou coletiva; ou |
| (d) | the transfer is necessary for important grounds of public interest; or | d) | A transferência for necessária por motivos importantes de interesse público; ou |
| (e) | the transfer is necessary for the establishment, exercise or defence of legal claims; or | e) | A transferência for necessária à declaração, ao exercício ou à defesa de um direito num processo judicial; ou |
| (f) | the transfer is necessary in order to protect the vital interests of the data subject or of another person, where the data subject is physically or legally incapable of giving consent; or | f) | A transferência for necessária para proteger os interesses vitais do titular dos dados ou de outra pessoa, se esse titular estiver física ou legalmente incapaz de dar o seu consentimento; ou |
| (g) | the transfer is made from a register which according to Union or Member State law is intended to provide information to the public and which is open to consultation either by the public in general or by any person who can demonstrate legitimate interest, to the extent that the conditions laid down in Union or Member State law for consultation are fulfilled in the particular case; or | g) | A transferência for realizada a partir de um registo público que, nos termos da legislação União ou de um Estado-Membro, se destine à informação do público e se encontre aberto à consulta do público em geral ou de qualquer pessoa que possa provar um interesse legítimo, na medida em que as condições estabelecidas no direito da União ou de um Estado-Membro para a consulta estejam preenchidas no caso concreto; ou |
| (h) | the transfer is necessary for the purposes of the legitimate interests pursued by the controller or the processor, which cannot be qualified as frequent or massive, and where the controller or processor has assessed all the circumstances surrounding the data transfer operation or the set of data transfer operations and based on this assessment adduced appropriate safeguards with respect to the protection of personal data, where necessary. | h) | A transferência for necessária para efeitos dos interesses legítimos do responsável pelo tratamento ou do subcontratante, que não seja qualificada como frequente ou maciça e que o responsável pelo tratamento ou o subcontratante tenha avaliado todas as circunstâncias relativas à operação de transferência de dados ou ao conjunto de operações de transferência de dados e, com base nessa avaliação, tiver apresentado garantias adequadas quanto à proteção de dados pessoais, se for caso disso. |
| 2. A transfer pursuant to point (g) of paragraph 1 shall not involve the entirety of the personal data or entire categories of the personal data contained in the register. When the register is intended for consultation by persons having a legitimate interest, the transfer shall be made only at the request of those persons or if they are to be the recipients. | 2. Uma transferência efetuada nos termos do n.o 1, alínea g), não deve envolver a totalidade dos dados pessoais nem categorias completas de dados pessoais constantes do registo. Sempre que o registo se destinar a ser consultado por pessoas com um interesse legítimo, a transferência apenas pode ser efetuada a pedido dessas pessoas ou caso sejam elas os seus destinatários. |
| 3. Where the processing is based on point (h) of paragraph 1, the controller or processor shall give particular consideration to the nature of the data, the purpose and duration of the proposed processing operation or operations, as well as the situation in the country of origin, the third country and the country of final destination, and adduced appropriate safeguards with respect to the protection of personal data, where necessary. | 3. Sempre que o tratamento tiver por base o n.o 1, alínea h), o responsável pelo tratamento ou o subcontratante deve atender especialmente à natureza dos dados, à finalidade e à duração do tratamento ou tratamentos previstos, bem como à situação no país de origem, no país terceiro e no país de destino final, e apresentar as garantias adequadas relativamente à proteção de dados pessoais, se for caso disso. |
| 4. Points (b), and (c) and (h) of paragraph 1 shall not apply to activities carried out by public authorities in the exercise of their public powers. | 4. As alíneas b), e c) e h) do n.o 1 não são aplicáveis a atividades executadas por autoridades no exercício dos seus poderes públicos. |
| 5. The public interest referred to in point (d) of paragraph 1 must be recognised in Union law or in the law of the Member State to which the controller is subject. | 5. O interesse público referido no n.o 1, alínea d), deve ser reconhecido pelo direito da União ou do Estado-Membro ao qual o responsável pelo tratamento se encontre sujeito. |
| 6. The controller or processor shall document the assessment as well as the appropriate safeguards adduced referred to in point (h) of paragraph 1 of this Article in the documentation referred to in Article 28 and shall inform the supervisory authority of the transfer. | 6. O responsável pelo tratamento ou o subcontratante deve documentar, nos termos do artigo 28.o, a avaliação e as garantias adequadas apresentadas, referidas no n.o 1, alínea h), e informa a autoridade de controlo da transferência. |
| 7. The Commission European Data Protection Board shall be empowered to adopt delegated acts in accordance with Article 86 entrusted with the task of issuing guidelines, recommendations and best practices in accordance with point (b) of Article 66(1) for the purpose of further specifying ‘important grounds of public interest’ within the meaning of point (d) of paragraph 1 as well as the criteria and requirements for appropriate safeguards referred to in point (h) data transfers on the basis of paragraph 1. [Am. 141] | 7. São atribuídas competências à Comissão É atribuída ao Comité Europeu para a Proteção de Dados a tarefa de emitir diretrizes, recomendações e boas práticas adotar atos delegados em conformidade com o artigo 86.o 66 .o, n.o 1, alínea b) , a fim de especificar mais concretamente os «motivos importantes de interesse público» na aceção do n.o 1, alínea d), bem como os critérios e requisitos aplicáveis às garantias adequadas referidos no n.o 1, alínea h) à transferência de dados com base no n.o 1. [Alt. 141] |
| Article 45 | Artigo 45.o |
| International co-operation for the protection of personal data | Cooperação internacional no domínio da proteção de dados pessoais |
| 1. In relation to third countries and international organisations, the Commission and supervisory authorities shall take appropriate steps to: | 1. Em relação a países terceiros e a organizações internacionais, a Comissão e as autoridades de controlo devem adotar as medidas necessárias para: |
| (a) | develop effective international co-operation mechanisms to facilitate ensure the enforcement of legislation for the protection of personal data; [Am. 142] | a) | Elaborar mecanismos de cooperação internacionais eficazes visando facilitar assegurar a aplicação da legislação relativa à proteção de dados pessoais; [Alt. 142] |
| (b) | provide international mutual assistance in the enforcement of legislation for the protection of personal data, including through notification, complaint referral, investigative assistance and information exchange, subject to appropriate safeguards for the protection of personal data and other fundamental rights and freedoms; | b) | Prestar assistência mútua a nível internacional no domínio da aplicação da legislação de proteção de dados pessoais, incluindo através da notificação, transmissão das queixas, assistência na investigação e intercâmbio de informações, sob reserva das garantias adequadas para a proteção dos dados pessoais e outros direitos e liberdades fundamentais; |
| (c) | engage relevant stakeholders in discussion and activities aimed at furthering international co-operation in the enforcement of legislation for the protection of personal data; | c) | Associar as partes interessadas relevantes nas discussões e atividades com vista à promoção da cooperação internacional na aplicação da legislação relativa à proteção de dados pessoais; |
| (d) | promote the exchange and documentation of personal data protection legislation and practice.; | d) | Promover o intercâmbio e a documentação da legislação e das práticas em matéria de proteção de dados pessoais.; |
| (da) | clarify and consult on jurisdictional conflicts with third countries. [Am. 143] | d-A) | clarificar e proceder a consultas sobre conflitos jurisdicionais com países terceiros. [Alt. 143] |
| 2. For the purposes of paragraph 1, the Commission shall take appropriate steps to advance the relationship with third countries or international organisations, and in particular their supervisory authorities, where the Commission has decided that they ensure an adequate level of protection within the meaning of Article 41(3). | 2. Para efeitos da aplicação do n.o 1, a Comissão deve adotar as medidas necessárias para intensificar as relações com os países terceiros ou as organizações internacionais e, em especial, as suas autoridades de controlo, sempre que a Comissão tiver declarado, mediante decisão, que asseguram um nível de proteção adequado na aceção do artigo 41.o, n.o 3. |
| Article 45a | Artigo 45.o-A |
| Report by the Commission | Relatório da Comissão |
| The Commission shall submit to the European Parliament and to the Council at regular intervals, starting not later than four years after the date referred to in Article 91(1), a report on the application of Articles 40 to 45. For that purpose, the Commission may request information from the Member States and supervisory authorities, which shall be supplied without undue delay. The report shall be made public. [Am. 144] | A Comissão apresenta ao Parlamento Europeu e ao Conselho, com regularidade, começando o mais tardar quatro anos após a data referida no artigo 91.o, n.o 1, um relatório sobre a aplicação dos artigos 40.o a 45.o. Para esse efeito, a Comissão pode solicitar informações aos Estados-Membros e às autoridades de controlo, que lhas devem fornecer sem atrasos indevidos. O relatório é objeto de publicação. [Alt. 144] |
| CHAPTER VI | CAPÍTULO VI |
| INDEPENDENT SUPERVISORY AUTHORITIES | AUTORIDADES DE CONTROLO INDEPENDENTES |
| SECTION 1 | SECÇÃO 1 |
| INDEPENDENT STATUS | ESTATUTO INDEPENDENTE |
| Article 46 | Artigo 46.o |
| Supervisory authority | Autoridade de controlo |
| 1. Each Member State shall provide that one or more public authorities are responsible for monitoring the application of this Regulation and for contributing to its consistent application throughout the Union, in order to protect the fundamental rights and freedoms of natural persons in relation to the processing of their personal data and to facilitate the free flow of personal data within the Union. For these purposes, the supervisory authorities shall co-operate with each other and the Commission. | 1. Cada Estado-Membro deve estabelecer que uma ou mais autoridades públicas sejam responsáveis pela fiscalização da aplicação do presente regulamento e por contribuir para a sua aplicação coerente no conjunto da União, a fim de proteger os direitos e liberdades fundamentais das pessoas singulares relativamente ao tratamento dos seus dados pessoais e facilitar a livre circulação desses dados na União. Para esse efeito, as autoridades de controlo devem cooperar entre si e com a Comissão. |
| 2. Where in a Member State more than one supervisory authority are established, that Member State shall designate the supervisory authority which functions as a single contact point for the effective participation of those authorities in the European Data Protection Board and shall set out the mechanism to ensure compliance by the other authorities with the rules relating to the consistency mechanism referred to in Article 57. | 2. Sempre que um Estado-Membro institui várias autoridades de controlo, deve designar aquela que funciona como ponto de contacto único tendo em vista uma participação efetiva dessas autoridades no Comité Europeu para a Proteção de Dados, e estabelecer o mecanismo para assegurar o respeito, pelas outras autoridades, das regras relativas ao mecanismo de controlo da coerência referido no artigo 57.o. |
| 3. Each Member State shall notify to the Commission those provisions of its law which it adopts pursuant to this Chapter, by the date specified in Article 91(2) at the latest and, without delay, any subsequent amendment affecting them. | 3. Cada Estado-Membro notifica a Comissão das disposições do direito nacional que adotar por força deste capítulo, o mais tardar na data fixada no artigo 92.o, n.o 2 e, sem demora, qualquer alteração posterior às mesmas. |
| Article 47 | Artigo 47.o |
| Independence | Independência |
| 1. The supervisory authority shall act with complete independence and impartiality in exercising the duties and powers entrusted to it , notwithstanding co-operation and consistency arrangements pursuant to Chapter VII of this Regulation . [Am. 145] | 1. A autoridade de controlo exerce com total independência e imparcialidade as funções que lhe forem atribuídas , sem prejuízo das disposições em matéria de cooperação e coerência que figuram no capítulo VII do presente regulamento. [Alt. 145] |
| 2. The members of the supervisory authority shall, in the performance of their duties, neither seek nor take instructions from anybody. | 2. Os membros da autoridade de controlo, no exercício das suas funções, não solicitam nem aceitam instruções de outrem. |
| 3. Members of the supervisory authority shall refrain from any action incompatible with their duties and shall not, during their term of office, engage in any incompatible occupation, whether gainful or not. | 3. Os membros da autoridade de controlo devem abster-se de qualquer ato incompatível com as suas funções e, durante o seu mandato, não podem desempenhar qualquer atividade profissional, remunerada ou não. |
| 4. Members of the supervisory authority shall behave, after their term of office, with integrity and discretion as regards the acceptance of appointments and benefits. | 4. Após cessarem as suas funções, os membros da autoridade de controlo devem agir com integridade e discrição relativamente à aceitação de determinadas funções e benefícios. |
| 5. Each Member State shall ensure that the supervisory authority is provided with the adequate human, technical and financial resources, premises and infrastructure necessary for the effective performance of its duties and powers, including those to be carried out in the context of mutual assistance, co-operation and participation in the European Data Protection Board. | 5. Cada Estado-Membro assegura que a autoridade de controlo disponha de recursos humanos, técnicos e financeiros apropriados, bem como de instalações e infraestruturas, necessários à execução eficaz das suas funções e poderes, incluindo as executadas no contexto de assistência mútua, da cooperação e da participação no Comité Europeu para a Proteção de Dados. |
| 6. Each Member State shall ensure that the supervisory authority has its own staff which shall be appointed by and be subject to the direction of the head of the supervisory authority. | 6. Cada Estado-Membro assegura que a autoridade de controlo disponha do seu próprio pessoal, que é designado pelo diretor da autoridade de controlo e está sujeito às suas ordens. |
| 7. Member States shall ensure that the supervisory authority is subject to financial control which shall not affect its independence. Member States shall ensure that the supervisory authority has separate annual budgets. The budgets shall be made public. | 7. Os Estados-Membros asseguram que a autoridade de controlo fica sujeita a um controlo financeiro que não afete a sua independência. Os Estados-Membros garantem que a autoridade de controlo disponha de orçamentos anuais próprios. Os orçamentos serão objeto de publicação. |
| 7a. Each Member State shall ensure that the supervisory authority shall be accountable to the national parliament for reasons of budgetary control. [Am. 146] | 7-A. Cada Estado-Membro deve assegurar que a autoridade de controlo tenha de prestar contas perante o parlamento nacional por questões de controlo orçamental. [Alt. 146] |
| Article 48 | Artigo 48.o |
| General conditions for the members of the supervisory authority | Condições gerais aplicáveis aos membros da autoridade de controlo |
| 1. Member States shall provide that the members of the supervisory authority must be appointed either by the parliament or the government of the Member State concerned. | 1. Os Estados-Membros estabelecem que os membros da autoridade de controlo são nomeados pelos respetivos parlamentos ou governos. |
| 2. The members shall be chosen from persons whose independence is beyond doubt and whose experience and skills required to perform their duties notably in the area of protection of personal data are demonstrated. | 2. Os membros são escolhidos entre as pessoas que ofereçam todas as garantias de independência e cuja experiência e conhecimentos técnicos necessários para o exercício das suas funções, em especial no domínio da proteção de dados pessoais, seja comprovada. |
| 3. The duties of a member shall end in the event of the expiry of the term of office, resignation or compulsory retirement in accordance with paragraph 5. | 3. As funções de um membro cessam findo o termo do seu mandato, demissão ou destituição, nos termos do n.o 5. |
| 4. A member may be dismissed or deprived of the right to a pension or other benefits in its stead by the competent national court, if the member no longer fulfils the conditions required for the performance of the duties or is guilty of serious misconduct. | 4. Um membro pode ser declarado demissionário ou privado do seu direito à pensão ou a outros benefícios equivalentes por decisão de um tribunal nacional competente se deixar de preencher os requisitos necessários ao exercício das suas funções ou tiver cometido uma falta grave. |
| 5. Where the term of office expires or the member resigns, the member shall continue to exercise the duties until a new member is appointed. | 5. Um membro, cujo mandato termine, ou que se demita, deve continuar a exercer as suas funções até à nomeação de um novo membro. |
| Article 49 | Artigo 49.o |
| Rules on the establishment of the supervisory authority | Regras relativas à constituição da autoridade de controlo |
| Each Member State shall provide by law within the limits of this Regulation: | Cada Estado-Membro estabelece por via legislativa, nos limites do presente regulamento: |
| (a) | the establishment and status of the supervisory authority; | a) | A constituição e o estatuto da autoridade de controlo; |
| (b) | the qualifications, experience and skills required to perform the duties of the members of the supervisory authority; | b) | As qualificações, a experiência e as competências para o exercício das funções de membro da autoridade de controlo; |
| (c) | the rules and procedures for the appointment of the members of the supervisory authority, as well the rules on actions or occupations incompatible with the duties of the office; | c) | As regras e os procedimentos para a nomeação dos membros da autoridade de controlo, bem como as regras relativas a ações ou atividades profissionais incompatíveis com a função; |
| (d) | the duration of the term of the members of the supervisory authority which shall be no less than four years, except for the first appointment after entry into force of this Regulation, part of which may take place for a shorter period where this is necessary to protect the independence of the supervisory authority by means of a staggered appointment procedure; | d) | A duração do mandato dos membros da autoridade de controlo, que não pode ser inferior a quatro anos, salvo no que se refere ao primeiro mandato após a entrada em vigor do presente regulamento, que pode ter uma duração mais curta quando for necessário proteger a independência da autoridade de controlo através de um procedimento de nomeações escalonadas; |
| (e) | whether the members of the supervisory authority shall be eligible for reappointment; | e) | O caráter renovável ou não do mandato dos membros da autoridade de controlo; |
| (f) | the regulations and common conditions governing the duties of the members and staff of the supervisory authority; | f) | O estatuto e as condições comuns que regulam as funções dos membros e do pessoal da autoridade de controlo; |
| (g) | the rules and procedures on the termination of the duties of the members of the supervisory authority, including in case that they no longer fulfil the conditions required for the performance of their duties or if they are guilty of serious misconduct. | g) | As regras e os procedimentos relativos à cessação das funções dos membros da autoridade de controlo, incluindo quando deixem de preencher os requisitos necessários ao exercício das suas funções ou se tiverem cometido uma falta grave. |
| Article 50 | Artigo 50.o |
| Professional secrecy | Sigilo profissional |
| The members and the staff of the supervisory authority shall be subject, both during and after their term of office and in conformity with national legislation and practice , to a duty of professional secrecy with regard to any confidential information which has come to their knowledge in the course of the performance of their official duties , whilst conducting their duties with independence and transparency as set out in this Regulation . [Am. 147] | Os membros e o pessoal da autoridade de controlo ficam sujeitos, durante o respetivo mandato e após a sua cessação, bem como em conformidade com a legislação e prática a nível nacional, à obrigação de sigilo profissional quanto a quaisquer informações confidenciais a que tenham tido acesso no desempenho das suas funções oficiais, executando as suas funções com independência e transparência, tal como definido no regulamento. [Alt. 147] |
| SECTION 2 | SECÇÃO 2 |
| DUTIES AND POWERS | FUNÇÕES E PODERES |
| Article 51 | Artigo 51.o |
| Competence | Competência |
| 1. Each supervisory authority shall be competent to perform the duties and to exercise, on the territory of its own Member State, the powers conferred on it in accordance with this Regulation on the territory of its own Member State, without prejudice to Articles 73 and 74 . Data processing by a public authority shall be supervised only by the supervisory authority of that Member State . [Am. 148] | 1. Cada autoridade de controlo exerce é competente para exercer , no território do seu Estado-Membro, as funções e os poderes que lhe são conferidos em conformidade com o presente regulamento , sem prejuízo do estipulado nos artigos 73.o e 74 . o. O tratamento de dados por parte de uma autoridade pública é controlado apenas pela autoridade de controlo desse Estado-Membro [Alt. 148]. |
| 2. Where the processing of personal data takes place in the context of the activities of an establishment of a controller or a processor in the Union, and the controller or processor is established in more than one Member State, the supervisory authority of the main establishment of the controller or processor shall be competent for the supervision of the processing activities of the controller or the processor in all Member States, without prejudice to the provisions of Chapter VII of this Regulation. [Am. 149] | 2. Sempre que o tratamento de dados pessoais ocorrer no contexto das atividades de um responsável pelo tratamento ou de um subcontratante estabelecido na União, e o responsável pelo tratamento ou o subcontratante estiver estabelecido em vários Estados-Membros, a autoridade de controlo do Estado-Membro onde se situar o estabelecimento principal do responsável pelo tratamento ou do subcontratante é competente para controlar as atividades de tratamento do responsável pelo tratamento ou do subcontratante em todos os Estados-Membros, sem prejuízo do disposto no Capítulo VII do presente regulamento. [Alt. 149] |
| 3. The supervisory authority shall not be competent to supervise processing operations of courts acting in their judicial capacity. | 3. A autoridade de controlo não tem competência para controlar operações de tratamento efetuadas por tribunais que atuem no exercício da sua função jurisdicional. |
| Article 52 | Artigo 52.o |
| Duties | Funções |
| 1. The supervisory authority shall: | 1. Incumbe à autoridade de controlo: |
| (a) | monitor and ensure the application of this Regulation; | a) | Controlar e assegurar a aplicação do presente regulamento; |
| (b) | hear complaints lodged by any data subject, or by an association representing that data subject in accordance with Article 73, investigate, to the extent appropriate, the matter and inform the data subject or the association of the progress and the outcome of the complaint within a reasonable period, in particular if further investigation or coordination with another supervisory authority is necessary; [Am. 150] | b) | Receber as queixas apresentadas por qualquer titular de dados ou por uma associação que o represente nos termos do artigo 73.o, examinar a matéria, na medida do necessário, e informar a pessoa em causa ou a associação do andamento e do resultado da queixa num prazo razoável, em especial se forem necessárias operações de investigação ou de coordenação complementares com outra autoridade de controlo; [Alt. 150] |
| (c) | share information with and provide mutual assistance to other supervisory authorities and ensure the consistency of application and enforcement of this Regulation; | c) | Partilhar informações com outras autoridades de controlo, prestar-lhes assistência mútua e assegurar a coerência de aplicação e execução do presente regulamento; |
| (d) | conduct investigations either on its own initiative or on the basis of a complaint or of specific and documented information received alleging unlawful processing or on request of another supervisory authority, and inform the data subject concerned, if the data subject has addressed a complaint to this supervisory authority, of the outcome of the investigations within a reasonable period; [Am. 151] | d) | Conduzir investigações por sua própria iniciativa ou com base numa queixa ou em informações específicas e documentadas que aleguem tratamento ilícito, ou a pedido de outra autoridade de controlo, e informar o titular dos dados, num prazo razoável, do resultado das operações de investigação, caso aquele tenha apresentado queixa a esta autoridade de controlo; [Alt. 151] |
| (e) | monitor relevant developments, insofar as they have an impact on the protection of personal data, in particular the development of information and communication technologies and commercial practices; | e) | Acompanhar factos novos relevantes, na medida em que tenham incidência na proteção de dados pessoais, particularmente a evolução a nível das tecnologias da informação e das comunicações e das práticas comerciais; |
| (f) | be consulted by Member State institutions and bodies on legislative and administrative measures relating to the protection of individuals' rights and freedoms with regard to the processing of personal data; | f) | Ser consultada pelas instituições e organismos do Estado-Membro quanto a medidas legislativas e administrativas relacionadas com a proteção dos direitos e liberdades no que diz respeito ao tratamento de dados pessoais; |
| (g) | authorise and be consulted on the processing operations referred to in Article 34; | g) | Autorizar e Ser consultada relativamente às operações de tratamento referidas no artigo 34.o |
| (h) | issue an opinion on the draft codes of conduct pursuant to Article 38(2); | h) | Emitir pareceres sobre projetos de códigos de conduta, nos termos do artigo 38.o, n.o 2; |
| (i) | approve binding corporate rules pursuant to Article 43; | i) | Aprovar as regras vinculativas para empresas, nos termos do artigo 43.o; |
| (j) | participate in the activities of the European Data Protection Board.; | j) | Participar nas atividades do Comité Europeu para a Proteção de Dados.; |
| (ja) | certify controllers and processors pursuant to Article 39. [Am. 152] | j-A) | Certificar os responsáveis pelo tratamento e os subcontratantes nos termos do artigo 39.o. [Alt. 152] |
| 2. Each supervisory authority shall promote the awareness of the public on risks, rules, safeguards and rights in relation to the processing of personal data and on appropriate measures for personal data protection . Activities addressed specifically to children shall receive specific attention. [Am. 153] | 2. Cada autoridade de controlo deve promover a sensibilização do público para os riscos, regras, garantias e direitos associados ao tratamento de dados pessoais e para as medidas adequadas de proteção de dados pessoais. As atividades especificamente dirigidas para as crianças devem ser objeto de uma atenção especial. [Alt. 153] |
| 2a. Each supervisory authority shall together with the European Data Protection Board promote the awareness for controllers and processors on risks, rules, safeguards and rights in relation to the processing of personal data. This includes keeping a register of sanctions and breaches. The register should enrol both all warnings and sanctions as detailed as possible and the resolving of breaches. Each supervisory authority shall provide micro, small and medium sized enterprise controllers and processors, on request, with general information on their responsibilities and obligations in accordance with this Regulation. [Am. 154] | 2-A. Cada autoridade de controlo, em conjunto com o Comité Europeu de Proteção dos Dados, deve promover a sensibilização dos responsáveis pelo tratamento e subcontratantes sobre os riscos, regras, garantias, e direitos associados ao tratamento de dados pessoais. Isto inclui a manutenção de um registo de sanções e violações. O registo deverá fornecer tantas informações quanto possível sobre os avisos e sanções, bem como sobre como resolver as violações. Cada autoridade de controlo deve f ornecer aos responsáveis pelo tratamento e subcontratantes das micro, pequenas e médias empresas, mediante pedido, informação geral sobre as suas responsabilidades e obrigações, nos termos do presente regulamento. [Alt. 154] |
| 3. The supervisory authority shall, upon request, advise any data subject in exercising the rights under this Regulation and, if appropriate, co-operate with the supervisory authorities in other Member States to this end. | 3. A autoridade de controlo deve, a pedido, aconselhar qualquer titular de dados sobre o exercício dos seus direitos decorrentes do presente regulamento e, se for caso disso, coopera com as autoridades de controlo de outros Estados-Membros para esse efeito. |
| 4. For complaints referred to in point (b) of paragraph 1, the supervisory authority shall provide a complaint submission form, which can be completed electronically, without excluding other means of communication. | 4. No que respeita às queixas referidas no n.o 1, alínea b), a autoridade de controlo deve fornecer um formulário de queixa, que possa ser preenchido eletronicamente, sem excluir outros meios de comunicação. |
| 5. The performance of the duties of the supervisory authority shall be free of charge for the data subject. | 5. O exercício das funções da autoridade de controlo é gratuito para o titular dos dados. |
| 6. Where requests are manifestly excessive, in particular due to their repetitive character, the supervisory authority may charge a reasonable fee or not take the action requested by the data subject. Such a fee shall not exceed the costs of taking the action requested. The supervisory authority shall bear the burden of proving the manifestly excessive character of the request. [Am. 155] | 6. Sempre que os pedidos sejam manifestamente abusivos, particularmente devido ao seu caráter repetitivo, a autoridade de controlo pode exigir o pagamento de uma taxa razoável , ou não adotar as medidas solicitadas pelo titular dos dados. A taxa não deve exceder os custos de adoção da ação solicitada. Incumbe à autoridade de controlo o ónus de provar o caráter manifestamente abusivo do pedido. [Alt. 155] |
| Article 53 | Artigo 53.o |
| Powers | Poderes |
| 1. Each supervisory authority shall , in line with this Regulation, have the power: | 1. Em conformidade com o presente regulamento, cada autoridade de controlo está habilitada a: |
| (a) | to notify the controller or the processor of an alleged breach of the provisions governing the processing of personal data, and, where appropriate, order the controller or the processor to remedy that breach, in a specific manner, in order to improve the protection of the data subject , or to order the controller to communicate a personal data breach to the data subject ; | a) | Notificar o responsável pelo tratamento ou o subcontratante de uma alegada violação das disposições que regulam o tratamento de dados pessoais e, se for caso disso, ordenar que o responsável pelo tratamento ou o subcontratante sanem essa violação, através de medidas específicas, a fim de melhorar a proteção do titular dos dados , ou de obrigar o responsável pelo tratamento a comunicar a violação dos dados pessoais ao titular dos dados; |
| (b) | to order the controller or the processor to comply with the data subject's requests to exercise the rights provided by this Regulation; | b) | Ordenar ao responsável pelo tratamento ou ao subcontratante que satisfaça os pedidos de exercício de direitos apresentados pelo titular dos dados previstos no presente regulamento; |
| (c) | to order the controller and the processor, and, where applicable, the representative to provide any information relevant for the performance of its duties; | c) | Ordenar que o responsável pelo tratamento ou o subcontratante e, se for caso disso, o representante, forneça quaisquer informações pertinentes para o exercício das suas funções; |
| (d) | to ensure the compliance with prior authorisations and prior consultations referred to in Article 34; | d) | Assegurar o respeito da autorização prévia e da consulta prévia referidas no artigo 34.o; |
| (e) | to warn or admonish the controller or the processor; | e) | Dirigir advertências ou admoestações ao responsável pelo tratamento ou ao subcontratante; |
| (f) | to order the rectification, erasure or destruction of all data when they have been processed in breach of the provisions of this Regulation and the notification of such actions to third parties to whom the data have been disclosed; | f) | Ordenar a retificação, o apagamento ou a destruição de todos os dados que tenham sido objeto de tratamento em violação do disposto no presente regulamento, bem como a notificação dessas medidas a terceiros a quem tenham sido divulgados os dados; |
| (g) | to impose a temporary or definitive ban on processing; | g) | Proibir temporária ou definitivamente um tratamento de dados; |
| (h) | to suspend data flows to a recipient in a third country or to an international organisation; | h) | Suspender o intercâmbio de dados com um destinatário num país terceiro ou com uma organização internacional; |
| (i) | to issue opinions on any issue related to the protection of personal data; | i) | Emitir pareceres sobre qualquer questão relacionada com a proteção de dados pessoais; |
| (ia) | to certify controllers and processors pursuant to Article 39; | i-A) | Certificar os responsáveis pelo tratamento e os subcontratantes, nos termos do artigo 39.o; |
| (j) | to inform the national parliament, the government or other political institutions as well as the public on any issue related to the protection of personal data.; | j) | Informar o parlamento nacional, o governo e outras instituições políticas, bem como o público, sobre qualquer assunto relacionado com a proteção de dados pessoais.; |
| (ja) | to put in place effective mechanisms to encourage confidential reporting of breaches of this Regulation, taking into account guidance issued by the European Data Protection Board pursuant to Article 66(4b). | j-A) | Implementar mecanismos eficazes de incentivo à comunicação confidencial de violações do presente regulamento, tendo em consideração as diretrizes emitidas pelo Comité Europeu para a Proteção de Dados nos termos do artigo 66.o, n.o 4, alínea b). |
| 2. Each supervisory authority shall have the investigative power to obtain from the controller or the processor without prior notice : | 2. Cada autoridade de controlo tem o poder de investigação para obter do responsável pelo tratamento ou do subcontratante sem aviso prévio : |
| (a) | access to all personal data and to all documents and information necessary for the performance of its duties; | a) | O acesso a todos os dados pessoais e a todas as todos os documentos e informações necessárias necessários ao exercício das suas funções; |
| (b) | access to any of its premises, including to any data processing equipment and means, where there are reasonable grounds for presuming that an activity in violation of this Regulation is being carried out there. | b) | O acesso a todas as suas instalações, incluindo a qualquer equipamento e meios de tratamento de dados, se existir um motivo razoável para presumir que aí é exercida uma atividade contrária ao presente regulamento. |
| The powers referred to in point (b) shall be exercised in conformity with Union law and Member State law. | Os poderes referidos na alínea b) são exercidos em conformidade com o direito da União e dos Estados-Membros. |
| 3. Each supervisory authority shall have the power to bring violations of this Regulation to the attention of the judicial authorities and to engage in legal proceedings, in particular pursuant to Article 74(4) and Article 75(2). | 3. Cada autoridade de controlo é competente para levar ao conhecimento das autoridades judiciais a violação do presente regulamento e para intervir em processos judiciais, em especial nos termos do artigo 74.o, n.o 4, e do artigo 75.o, n.o 2. |
| 4. Each supervisory authority shall have the power to sanction administrative offences, in particular those referred to in accordance with Article 79(4), (5) and (6). This power shall be exercised in an effective, proportionate and dissuasive manner. [Am. 156] | 4. Cada autoridade de controlo é competente para sancionar as infrações administrativas, em especial as nos termos do artigo 79.o , n.os 4, 5 e 6. Essa competência deve ser exercida de forma eficaz, proporcional e dissuasora. [Alt. 156] |
| Article 54 | Artigo 54.o |
| Activity report | Relatório de atividades |
| Each supervisory authority must draw up an annual a report on its activities at least every two years . The report shall be presented to the national respective parliament and shall be made be available to the public, the Commission and the European Data Protection Board. [Am. 157] | Cada autoridade de controlo elabora deve elaborar um relatório anual de atividades no mínimo de dois em dois anos . O relatório é apresentado ao respetivo parlamento nacional e tornado público e disponibilizado à Comissão e ao Comité Europeu para a Proteção de Dados. [Alt. 157] |
| Article 54a | Artigo 54.o-A |
| Lead Authority | Autoridade principal |
| 1. Where the processing of personal data takes place in the context of the activities of an establishment of a controller or a processor in the Union, and the controller or processor is established in more than one Member State, or where personal data of the residents of several Member States are processed, the supervisory authority of the main establishment of the controller or processor shall act as the lead authority responsible for the supervision of the processing activities of the controller or the processor in all Member States, in accordance with the provisions of Chapter VII of this Regulation. | 1. Quando o tratamento de dados pessoais ocorrer no contexto das atividades do estabelecimento dum responsável pelo tratamento ou subcontratante da União e se estes estiverem estabelecidos em mais de um Estado-Membro, ou se forem tratados os dados pessoais dos residentes de diversos Estados-Membros, a autoridade de controlo do estabelecimento principal do responsável pelo tratamento ou subcontratante atuará como principal autoridade responsável por controlar as atividades do responsável pelo tratamento ou do subcontratante em todos os Estados-Membros, em conformidade com o disposto no Capítulo VII do presente regulamento. |
| 2. The lead authority shall take appropriate measures for the supervision of the processing activities of the controller or processor for which it is responsible only after consulting all other competent supervisory authorities within the meaning of Article 51(1) in an endeavour to reach a consensus. For that purpose it shall in particular submit any relevant information and consult the other authorities before it adopts a measure intended to produce legal effects vis-à-vis a controller or a processor within the meaning of Article 51(1). The lead authority shall take the utmost account of the opinions of the authorities involved. The lead authority shall be the sole authority empowered to decide on measures intended to produce legal effects as regards the processing activities of the controller or processor for which it is responsible. | 2. A autoridade principal deve tomar as medidas adequadas ao controlo das atividades de tratamento do responsável pelo tratamento ou do subcontratante, pelas quais é responsável somente após ter consultado todas as outras autoridades de controlo competentes, nos termos do artigo 51.o, n.o1, numa tentativa de consenso. Para este efeito, deve, nomeadamente, apresentar todas as informações pertinentes e consultar as outras autoridades antes de adotar uma medida que vise produzir efeitos legais em relação a um responsável pelo tratamento ou subcontratante, na aceção do artigo 51.o, n.o 1. A autoridade principal deve ter na melhor conta os pareceres das autoridades envolvidas. A autoridade principal é a única autoridade competente para decidir sobre as medidas que visem produzir efeitos legais no que respeita às atividades de tratamento do responsável pelo tratamento ou do subcontratante pelas quais é responsável. |
| 3. The European Data Protection Board shall, at the request of a competent supervisory authority, issue an opinion on the identification of the lead authority responsible for a controller or processor, in cases where: | 3. O Comité Europeu para a Proteção de Dados emite, a pedido de uma autoridade competente, um parecer sobre a identificação da autoridade principal responsável por um responsável pelo tratamento ou subcontratante, quando: |
| (a) | it is unclear from the facts of the case where the main establishment of the controller or processor is located; or | a) | Os factos do dossiê não permitirem determinar com clareza a localização do estabelecimento principal do responsável pelo tratamento ou subcontratante; ou |
| (b) | the competent authorities do not agree on which supervisory authority shall act as lead authority; or | b) | As autoridades competentes não chegarem a acordo sobre qual a autoridade de controlo que deve atuar como autoridade principal; ou |
| (c) | the controller is not established in the Union, and residents of different Member States are affected by processing operations within the scope of this Regulation. | c) | O responsável pelo tratamento não estiver estabelecido na União e residentes de diferentes Estados-Membros sejam afetados por operações de tratamento no âmbito do presente regulamento. |
| 4. Where the controller exercises also activities as a processor, the supervisory authority of the main establishment of the controller shall act as lead authority for the supervision of processing activities. | 4. Sempre que o responsável pelo tratamento exerça também atividades como subcontratante, a autoridade de controlo do estabelecimento principal deste atuará como autoridade principal de controlo das atividades de tratamento. |
| 5. The European Data Protection Board may decide on the identification of the lead authority. [Am. 158] | 5. O Comité Europeu da Proteção de Dados pode decidir sobre a identificação da autoridade principal. [Alt. 158] |
| CHAPTER VII | CAPÍTULO VII |
| CO-OPERATION AND CONSISTENCY | COOPERAÇÃO E COERÊNCIA |
| SECTION 1 | SECÇÃO 1 |
| CO-OPERATION | COOPERAÇÃO |
| Article 55 | Artigo 55.o |
| Mutual assistance | Assistência mútua |
| 1. Supervisory authorities shall provide each other relevant information and mutual assistance in order to implement and apply this Regulation in a consistent manner, and shall put in place measures for effective co-operation with one another. Mutual assistance shall cover, in particular, information requests and supervisory measures, such as requests to carry out prior authorisations and consultations, inspections and investigations and prompt information on the opening of cases and ensuing developments where the controller or processor has establishments in several Member States or where data subjects in several Member States are likely to be affected by processing operations. The lead authority as defined in Article 54a shall ensure the coordination with involved supervisory authorities and shall act as the single contact point for the controller or processor. [Am. 159] | 1. As autoridades de controlo devem comunicar entre si qualquer informação útil e prestar assistência mútua a fim de executar e aplicar o presente regulamento de forma coerente, bem como adotar medidas para cooperarem eficazmente entre si. A assistência mútua inclui, em especial, pedidos de informação e medidas de controlo, tais como pedidos de autorização prévia e de consulta prévia, inspeções e investigações, assim como comunicação rápida de informações sobre a abertura de dossiês e a sua evolução, caso o responsável pelo tratamento ou o subcontratante tenham estabelecimentos em vários Estados-Membros ou sempre que titulares de dados noutros Estados-Membros possam ser afetados por operações de tratamento. A autoridade principal, tal como definida no artigo 54.o-A, assegura a coordenação com as autoridades de controlo envolvidas e atua como ponto de contacto único para o responsável pelo tratamento ou o subcontratante. [Alt. 159] |
| 2. Each supervisory authority shall take all appropriate measures required to reply to the request of another supervisory authority without delay and no later than one month after having received the request. Such measures may include, in particular, the transmission of relevant information on the course of an investigation or enforcement measures to bring about the cessation or prohibition of processing operations contrary to this Regulation. | 2. Cada autoridade de controlo deve adotar todas as medidas adequadas necessárias para satisfazer o pedido de outra autoridade de controlo sem demora e, o mais tardar, um mês após a receção do pedido. Essas medidas podem incluir, particularmente, a transmissão de informações úteis sobre o desenrolar de um inquérito ou medidas de execução para fazer cessar ou proibir operações de tratamento de dados contrárias ao presente regulamento. |
| 3. The request for assistance shall contain all the necessary information, including the purpose of the request and reasons for the request. Information exchanged shall be used only in respect of the matter for which it was requested. | 3. O pedido de assistência deve incluir todas as informações necessárias, incluindo a finalidade e as razões do pedido. As informações trocadas só devem ser utilizadas para os efeitos para que foram solicitadas. |
| 4. A supervisory authority to which a request for assistance is addressed may not refuse to comply with it unless: | 4. Uma autoridade de controlo à qual tenha sido dirigido um pedido não pode recusar dar-lhe cumprimento, salvo se: |
| (a) | it is not competent for the request; or | a) | Não for competente para examinar o pedido; ou |
| (b) | compliance with the request would be incompatible with the provisions of this Regulation. | b) | Dar seguimento ao pedido for incompatível com o disposto no presente regulamento. |
| 5. The requested supervisory authority shall inform the requesting supervisory authority of the results or, as the case may be, of the progress or the measures taken in order to meet the request by the requesting supervisory authority. | 5. A autoridade de controlo requerida deve informar a autoridade de controlo requerente dos resultados obtidos ou, consoante o caso, do andamento do dossiê ou das medidas adotadas para satisfazer o pedido da autoridade de controlo requerente. |
| 6. Supervisory authorities shall supply the information requested by other supervisory authorities by electronic means and within the shortest possible period of time, using a standardised format. | 6. As autoridades de controlo devem fornecer as informações solicitadas por outras autoridades de controlo através de meios eletrónicos, e dentro do prazo mais curto possível, mediante a utilização de um formato normalizado. |
| 7. No fee shall be charged to the requesting supervisory authority for any action taken following a request for mutual assistance. [Am. 160] | 7. Não é cobrada qualquer taxa à autoridade de controlo requerente por qualquer medida tomada na sequência de um pedido de assistência mútua. [Alt. 160] |
| 8. Where a supervisory authority does not act within one month on request of another supervisory authority, the requesting supervisory authorities shall be competent to take a provisional measure on the territory of its Member State in accordance with Article 51(1) and shall submit the matter to the European Data Protection Board in accordance with the procedure referred to in Article 57. Where no definitive measure is yet possible because the assistance is not yet completed, the requesting supervisory authority may take interim measures under Article 53 in the territory of its Member State. [Am. 161] | 8. Sempre que uma autoridade de controlo não adotar medidas no prazo de um mês a contar da data do pedido de outra autoridade de controlo, a autoridade de controlo requerente pode adotar medidas provisórias no território do seu Estado-Membro, em conformidade com o artigo 51.o, n.o 1, e deve apresentar a matéria ao Comité Europeu para a Proteção de Dados, em conformidade com o procedimento previsto no artigo 57.o. A autoridade de controlo pode, nos termos do artigo 53.o, adotar uma medida provisória no território do seu Estado-Membro, sempre que não possa ser adotada uma medida definitiva devido ao facto de a assistência ainda não estar concluída. [Alt. 161] |
| 9. The supervisory authority shall specify the period of validity of such provisional measure. This period shall not exceed three months. The supervisory authority shall, without delay, communicate those measures, with full reasons, to the European Data Protection Board and to the Commission in accordance with the procedure referred to in Article 57 . [Am. 162] | 9. A autoridade de controlo deve especificar o período de validade da medida provisória adotada. Esse período não pode ser superior a três meses. A autoridade de controlo comunica essas medidas sem demora e devidamente fundamentadas ao Comité Europeu para a Proteção de Dados e à Comissão, em conformidade com o procedimento referido no artigo 57.o. [Alt. 162] |
| 10. The Commission European Data Protection Board may specify the format and procedures for mutual assistance referred to in this article and the arrangements for the exchange of information by electronic means between supervisory authorities, and between supervisory authorities and the European Data Protection Board, in particular the standardised format referred to in paragraph 6. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2). [Am. 163] | 10. A Comissão O Comité Europeu para a Proteção de Dados pode especificar o formato e os procedimentos para a assistência mútua referidos neste artigo, bem como as modalidades de intercâmbio eletrónico de informações entre as autoridades de controlo e entre as autoridades de controlo e o Comité Europeu para a Proteção de Dados, nomeadamente o formato normalizado referido no n.o 6. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.o, n.o 2. [Alt. 163] |
| Article 56 | Artigo 56.o |
| Joint operations of supervisory authorities | Operações conjuntas das autoridades de controlo |
| 1. In order to step up co-operation and mutual assistance, the supervisory authorities shall carry out joint investigative tasks, joint enforcement measures and other joint operations, in which designated members or staff from other Member States' supervisory authorities are involved. | 1. A fim de intensificar a cooperação e a assistência mútua, as autoridades de controlo devem realizar missões de investigação conjuntas, medidas de execução conjuntas e outras operações conjuntas nas quais participem membros ou pessoal pertencente às autoridades de controlo de outros Estados-Membros. |
| 2. In cases where the controller or processor has establishments in several Member States or where data subjects in several Member States are likely to be affected by processing operations, a supervisory authority of each of those Member States shall have the right to participate in the joint investigative tasks or joint operations, as appropriate. The competent supervisory authority lead authority as defined in Article 54a shall invite involve the supervisory authority of each of those Member States to take part in the respective joint investigative tasks or joint operations and respond to the request of a supervisory authority to participate in the operations without delay. The lead authority shall act as the single contact point for the controller or processor. [Am. 164] | 2. Nos casos em que o responsável pelo tratamento ou o subcontratante tenham estabelecimentos em vários Estados-Membros ou em que as operações de tratamento possam prejudicar titulares de dados em vários Estados-Membros, uma autoridade de controlo de cada um dos Estados-Membros em causa tem o direito de participar nas missões de investigação conjuntas ou nas operações conjuntas, consoante o caso. A autoridade de controlo competente convida principal, tal como definida no artigo 54.o-A, envolve a autoridade de controlo de cada Estado-Membro a participar nas missões de investigação conjuntas ou nas operações conjuntas em causa na respetiva operação e responde rapidamente ao pedido da autoridade de controlo que pretenda participar nas operações. A autoridade principal atua como ponto de contacto único para o responsável pelo tratamento ou o subcontratante. [Alt. 164] |
| 3. Each supervisory authority may, as a host supervisory authority, in compliance with its own national law, and with the seconding supervisory authority’s authorisation, confer executive powers, including investigative tasks on the seconding supervisory authority’s members or staff involved in joint operations or, in so far as the host supervisory authority’s law permits, allow the seconding supervisory authority’s members or staff to exercise their executive powers in accordance with the seconding supervisory authority’s law. Such executive powers may be exercised only under the guidance and, as a rule, in the presence of members or staff from the host supervisory authority. The seconding supervisory authority's members or staff shall be subject to the host supervisory authority's national law. The host supervisory authority shall assume responsibility for their actions. | 3. Cada autoridade de controlo pode, na qualidade de autoridade de controlo do Estado-Membro de acolhimento, em conformidade com o seu direito nacional, e com a autorização da autoridade de controlo do Estado-Membro de origem, confiar poderes de execução, nomeadamente missões de investigação, aos membros ou ao pessoal da autoridade de controlo do Estado-Membro de origem envolvidos nas operações conjuntas ou autorizar, na medida em que a legislação nacional da autoridade de controlo do Estado-Membro de acolhimento o permita, os membros ou o pessoal da autoridade de controlo do Estado-Membro de origem a exercer os seus poderes de execução, em conformidade com a legislação nacional da autoridade de controlo do Estado-Membro de origem. Esses poderes podem ser exercidos apenas sob a orientação e, em regra, na presença de membros ou pessoal da autoridade controlo do Estado-Membro de acolhimento. Os membros ou pessoal da autoridade de controlo do Estado-Membro de origem estão sujeitos ao direito nacional da autoridade de controlo do Estado-Membro de acolhimento. A autoridade de controlo do Estado-Membro de acolhimento assume a responsabilidade pelos seus atos. |
| 4. Supervisory authorities shall lay down the practical aspects of specific co-operation actions. | 4. As autoridades de controlo devem estabelecer as modalidades práticas de ações de cooperação específicas. |
| 5. Where a supervisory authority does not comply within one month with the obligation laid down in paragraph 2, the other supervisory authorities shall be competent to take a provisional measure on the territory of its Member State in accordance with Article 51(1). | 5. Sempre que uma autoridade de controlo não cumprir, no prazo de um mês, a obrigação estabelecida no n.o 2, as outras autoridades de controlo são competentes para adotar uma medida provisória no território do seu Estado-Membro, nos termos do artigo 51.o, n.o 1. |
| 6. The supervisory authority shall specify the period of validity of a provisional measure referred to in paragraph 5. This period shall not exceed three months. The supervisory authority shall, without delay, communicate those measures, with full reasons, to the European Data Protection Board and to the Commission and shall submit the matter in the mechanism referred to in Article 57. | 6. A autoridade de controlo deve especificar o período de validade da medida provisória referida no n.o 5. Esse período não pode ser superior a três meses. A autoridade de controlo comunica essas medidas sem demora e devidamente fundamentadas ao Comité Europeu para a Proteção de Dados e à Comissão, e apresenta essa matéria no âmbito do mecanismo referido no artigo 57.o. |
| SECTION 2 | SECÇÃO 2 |
| CONSISTENCY | COERÊNCIA |
| Article 57 | Artigo 57.o |
| Consistency mechanism | Mecanismo de controlo da coerência |
| For the purposes set out in Article 46(1), the supervisory authorities shall co-operate with each other and the Commission through the consistency mechanism as set out both on matters of general application and in individual cases in accordance with the provisions of in this section. [Am. 165] | Para os efeitos previstos no artigo 46.o, n.o 1, as autoridades de controlo devem cooperar entre si e com a Comissão no âmbito do mecanismo de controlo da coerência previsto , tanto quando se trate de assuntos de aplicação geral como quanto aos casos individuais, nos termos do disposto na presente secção. [Alt. 165] |
| Article 58 | Artigo 58.o |
| Opinion by the European Data Protection Board Consistency on matters of general application | Parecer do Comité Europeu para a Proteção de Dados Coerência nos assuntos de aplicação geral |
| 1. Before a supervisory authority adopts a measure referred to in paragraph 2, this supervisory authority shall communicate the draft measure to the European Data Protection Board and the Commission. | 1. Antes da adotar uma medida referida no n.o 2, qualquer autoridade de controlo comunica o projeto de medida ao Comité Europeu para a Proteção de Dados e à Comissão. |
| 2. The obligation set out in paragraph 1 shall apply to a measure intended to produce legal effects and which: | 2. A obrigação estabelecida no n.o 1 aplica-se a uma medida destinada a produzir efeitos jurídicos e que: |
| (a) | relates to processing activities which are related to the offering of goods or services to data subjects in several Member States, or to the monitoring of their behaviour; or | a) | Esteja relacionada com atividades de tratamento associadas à oferta de bens ou serviços a titulares de dados em vários Estados-Membros, ou com controlo do seu comportamento; ou |
| (b) | may substantially affect the free movement of personal data within the Union; or | b) | Possa prejudicar sensivelmente a livre circulação de dados pessoais na União Europeia; ou |
| (c) | aims at adopting a list of the processing operations subject to prior consultation pursuant to Article 34(5); or | (c) | Vise adotar uma lista de operações de tratamento de dados sujeitas a consulta prévia, nos termos do artigo 34.o, n.o 5; ou |
| (d) | aims to determine standard data protection clauses referred to in point (c) of Article 42(2); or | d) | Vise determinar cláusulas-tipo de proteção de dados referidas no artigo 42.o, n.o 2, alínea c); ou |
| (e) | aims to authorise contractual clauses referred to in point (d) of Article 42(2); or | e) | Vise autorizar cláusulas contratuais conforme referidas no artigo 42.o, n.o 2, alínea d); ou |
| (f) | aims to approve binding corporate rules within the meaning of Article 43. | f) | Vise aprovar regras vinculativas para empresas na aceção do artigo 43.o. |
| 3. Any supervisory authority or the European Data Protection Board may request that any matter of general application shall be dealt with in the consistency mechanism, in particular where a supervisory authority does not submit a draft measure referred to in paragraph 2 or does not comply with the obligations for mutual assistance in accordance with Article 55 or for joint operations in accordance with Article 56. | 3. Qualquer autoridade de controlo ou o Comité Europeu para a Proteção de Dados pode solicitar que qualquer matéria de aplicação geral seja tratada através do mecanismo de controlo da coerência, em especial se uma autoridade de controlo não submeter para exame um projeto de medida referido no n.o 2, ou não cumprir as obrigações de assistência mútua nos termos do artigo 55.o, ou as operações conjuntas nos termos do artigo 56.o. |
| 4. In order to ensure correct and consistent application of this Regulation, the Commission may request that any matter of general application shall be dealt with in the consistency mechanism. | 4. A fim de assegurar a aplicação correta e coerente do presente regulamento, a Comissão pode solicitar que qualquer matéria de aplicação geral seja tratada através do mecanismo de controlo da coerência. |
| 5. Supervisory authorities and the Commission shall without undue delay electronically communicate any relevant information, including as the case may be a summary of the facts, the draft measure, and the grounds which make the enactment of such measure necessary, using a standardised format. | 5. As autoridades de controlo e a Comissão comunicam por via eletrónica, sem demora injustificada, utilizando um formato normalizado, quaisquer informações pertinentes incluindo, consoante o caso, um resumo dos factos, o projeto de medida e os motivos que tornaram necessário adotar tal medida. |
| 6. The chair of the European Data Protection Board shall immediately without undue delay electronically inform the members of the European Data Protection Board and the Commission of any relevant information which has been communicated to it, using a standardised format. The chair secretariat of the European Data Protection Board shall provide translations of relevant information, where necessary. | 6. O presidente do Comité Europeu para a Proteção de Dados informa de imediato , sem demora injustificada, por via eletrónica, utilizando um formato normalizado, os membros deste comité e a Comissão sobre quaisquer informações pertinentes que lhe tenham sido comunicadas. O presidente secretariado do Comité Europeu para a Proteção de Dados deve comunicar, se necessário, traduções das informações pertinentes. |
| 6a. The European Data Protection Board shall adopt an opinion on matters referred to it under paragraph 2. | 6-A. O Comité Europeu para a Proteção de Dados adota um parecer sobre os assuntos que lhe são remetidos nos termos do n.o 2. |
| 7. The European Data Protection Board shall issue may decide by simple majority whether to adopt an opinion on the any matter, if the European Data Protection Board so decides by simple majority of its members or any supervisory authority or the Commission so requests within one week after the relevant information has been provided according to paragraph 5. The opinion shall be adopted within one month by simple majority of the members of the European Data Protection Board. The chair of the European Data Protection Board shall inform, without undue delay, the supervisory authority referred to, as the case may be, in paragraphs 1 and 3, the Commission and the supervisory authority competent under Article 51 of the opinion and make it public. submitted under paragraphs 3 and 4 taking into account: | 7. O Comité Europeu para a Proteção de Dados pode decidir por maioria simples se adota um parecer sobre qualquer assunto se os seus membros assim o decidirem por maioria simples, ou se qualquer autoridade de controlo ou a Comissão assim o solicitarem, no prazo de uma semana após a comunicação das informações pertinentes nos termos do n.o 5. O parecer é adotado no prazo de um mês por maioria simples dos membros do Comité Europeu para a Proteção de Dados. O presidente do Comité Europeu para a Proteção de Dados informa do parecer, sem demora injustificada, a autoridade de controlo referida, consoante o caso, no n.o 1 ou no n.o 3, a Comissão e a autoridade de controlo competente nos termos do artigo 51.o, e torna-o público. submetido à sua apreciação nos termos dos n.os 2 e 4, tendo em conta: |
| (a) | whether the matter presents elements of novelty, taking account of legal or factual developments, in particular in information technology and in the light of the state of progress in the information society; and | a) | Se o assunto encerra elementos de novidade, atendendo à evolução jurídica ou factual ocorrida, em especial, na tecnologia da informação e considerando o estado atingido na sociedade da informação; e |
| (b) | whether the European Data Protection Board has already issued an opinion on the same matter. | b) | Se o Comité Europeu para a Proteção de Dados já emitiu um parecer sobre o mesmo assunto. |
| 8. The supervisory authority referred to in paragraph 1 and the supervisory authority competent under Article 51 shall take account of the opinion of the European Data Protection Board and shall within two weeks after the information on the opinion by the chair of the European Data Protection Board, electronically communicate to the chair of the European Data Protection Board and to the Commission whether it maintains or amends its draft measure and, if any, the amended draft measure, using a standardised format The European Data Protection Board shall adopt opinions pursuant to paragraphs 6a and 7 by a simple majority of its members. These opinions shall be made public . [Am. 166] | 8. A autoridade de controlo referida no n.o 1 e a autoridade de controlo competente por força do artigo 51.o têm em conta o parecer do Comité Europeu para a Proteção de Dados e, no prazo de duas semanas a contar da data da comunicação do parecer pelo presidente do referido comité, comunicam por via eletrónica ao presidente do Comité Europeu para a Proteção de Dados e à Comissão se mantêm ou alteram o projeto de medida e, se for caso disso, o projeto de medida alterado, utilizando para o efeito um formato normalizado. O Comité Europeu para a Proteção de Dados adota os seus pareceres a que se referem os n.os 6-A e 7 por maioria simples dos seus membros. Estes pareceres são tornados públicos. [Alt. 166] |
| Article 58a | Artigo 58.o-A |
| Consistency in individual cases | Coerência nos casos individuais |
| 1. Before taking a measure intended to produce legal effects within the meaning of Article 54a, the lead authority shall share all relevant information and submit the draft measure to all other competent authorities. The lead authority shall not adopt the measure if a competent authority has, within a period of three weeks, indicated it has serious objections to the measure. | 1. Antes de tomar uma medida destinada a produzir efeitos jurídicos na aceção do artigo 54.o-A, a autoridade principal partilha todas as informações relevantes e submete para exame o projeto de medida a todas as outras autoridades competentes. A autoridade principal não adota a medida, se, no prazo de três semanas, alguma autoridade competente indicar que ela suscita sérias objeções da sua parte. |
| 2. Where a competent authority has indicated that it has serious objections to a draft measure of the lead authority, or where the lead authority does not submit a draft measure referred to in paragraph 1 or does not comply with the obligations for mutual assistance in accordance with Article 55 or for joint operations in accordance with Article 56, the issue shall be considered by the European Data Protection Board. | 2. Caso alguma autoridade competente indique que um projeto de medida da autoridade principal suscita sérias objeções da sua parte, a autoridade principal não submeta para exame um projeto de medida mencionada no n.o 1 ou a autoridade principal não cumpra as obrigações de assistência mútua nos termos do artigo 55.o ou em matéria de operações conjuntas nos termos do artigo 56.o, a questão é examinada pelo Comité Europeu para a Proteção de Dados. |
| 3. The lead authority and/or other competent authorities involved and the Commission shall without undue delay electronically communicate to the European Data Protection Board using a standardised format any relevant information, including as the case may be a summary of the facts, the draft measure, the grounds which make the enactment of such measure necessary, the objections raised against it and the views of other supervisory authorities concerned. | 3. A autoridade principal e/ou as outras autoridades competentes envolvidas e a Comissão comunicam por via eletrónica, sem demora injustificada, ao Comité Europeu para a Proteção de Dados, utilizando um formato normalizado, quaisquer informações pertinentes, incluindo, consoante o caso, um resumo dos factos, o projeto de medida, os motivos que tornaram necessário adotar tal medida, as objeções que lhe são opostas e os pontos de vista das outras autoridades de controlo em causa. |
| 4. The European Data Protection Board shall consider the issue, taking into account the impact of the draft measure of the lead authority on the fundamental rights and freedoms of data subjects, and shall decide by simple majority of its members whether to issue an opinion on the matter within two weeks after the relevant information has been provided pursuant to paragraph 3. | 4. O Comité Europeu para a Proteção de Dados examina a questão, tendo em conta o impacto do projeto de medida da autoridade principal sobre os direitos e as liberdades fundamentais dos titulares dos dados, decidindo por maioria simples dos seus membros, no prazo de duas semanas após a comunicação das informações pertinentes nos termos do n.o 3, se emite um parecer sobre o assunto. |
| 5. In case the European Data Protection Board decides to issue an opinion, it shall do so within six weeks and make the opinion public. | 5. Caso decida emitir um parecer, o Comité Europeu para a Proteção de Dados deve dar o parecer no prazo de seis semanas e torná-lo público. |
| 6. The lead authority shall take utmost account of the opinion of the European Data Protection Board and shall, within two weeks after the information on the opinion by the chair of the European Data Protection Board, electronically communicate to the chair of the European Data Protection Board and to the Commission whether it maintains or amends its draft measure and, if any, the amended draft measure, using a standardised format. Where the lead authority intends not to follow the opinion of the European Data Protection Board, it shall provide a reasoned justification. | 6. A autoridade principal tem em conta o parecer do Comité Europeu para a Proteção de Dados e, no prazo de duas semanas após a informação sobre o parecer pelo presidente do Comité Europeu para a Proteção de Dados, comunica por via eletrónica ao presidente do Comité Europeu para a Proteção de Dados e à Comissão se mantém ou altera o seu projeto de medida e, se for o caso, o projeto de medida alterado, utilizando para o efeito um formato normalizado. Se a autoridade principal não tiver a intenção de seguir o parecer do Comité Europeu para a Proteção de Dados, deve apresentar uma justificação fundamentada. |
| 7. In case the European Data Protection Board still objects to the measure of the supervisory authority as referred to in paragraph 5, it may within one month adopt by a two thirds majority a measure which shall be binding upon the supervisory authority. [Am. 167] | 7. Caso continue a opor-se à medida da autoridade de controlo referida no n.o 5, o Comité Europeu para a Proteção de Dados pode, no prazo de um mês, adotar, por uma maioria de dois terços, uma medida vinculativa para a autoridade de controlo. [Alt. 167] |
| Article 59 | Artigo 59.o |
| Opinion by the Commission | Parecer da Comissão |
| 1. Within ten weeks after a matter has been raised under Article 58, or at the latest within six weeks in the case of Article 61, the Commission may adopt, in order to ensure correct and consistent application of this Regulation, an opinion in relation to matters raised pursuant to Articles 58 or 61. | 1. No prazo de dez semanas a contar da data em que a questão foi suscitada nos termos do artigo 58.o, ou o mais tardar no prazo de seis semanas no caso previsto no artigo 61.o, a Comissão pode adotar, a fim de assegurar a aplicação correta e coerente do presente regulamento, um parecer relativo às questões suscitadas nos termos dos artigos 58.o ou 61.o |
| 2. Where the Commission has adopted an opinion in accordance with paragraph 1, the supervisory authority concerned shall take utmost account of the Commission’s opinion and inform the Commission and the European Data Protection Board whether it intends to maintain or amend its draft measure. | 2. Sempre que a Comissão tiver adotado um parecer em conformidade com o n.o 1, a autoridade de controlo em causa deve ter na melhor conta esse parecer e informar a Comissão e o Comité Europeu para a Proteção de Dados da sua intenção de manter ou alterar o seu projeto de medida. |
| 3. During the period referred to in paragraph 1, the draft measure shall not be adopted by the supervisory authority. | 3. Durante o período referido no n.o 1, a autoridade de controlo abstém-se de adotar o projeto de medida. |
| 4. Where the supervisory authority concerned intends not to follow the opinion of the Commission, it shall inform the Commission and the European Data Protection Board thereof within the period referred to in paragraph 1 and provide a justification. In this case the draft measure shall not be adopted for one further month. [Am. 168] | 4. Sempre que a autoridade de controlo em causa não pretenda conformar-se com o parecer da Comissão, deve deste facto informar a Comissão e o Comité Europeu para a Proteção de Dados no prazo referido no n.o 1, e apresentar a devida justificação. Neste caso, o projeto de medida não deve ser aprovado durante um prazo suplementar de um mês. [Alt. 168] |
| Article 60 | Artigo 60.o |
| Suspension of a draft measure | Suspensão de um projeto de medida |
| 1. Within one month after the communication referred to in Article 59(4), and where the Commission has serious doubts as to whether the draft measure would ensure the correct application of this Regulation or would otherwise result in its inconsistent application, the Commission may adopt a reasoned decision requiring the supervisory authority to suspend the adoption of the draft measure, taking into account the opinion issued by the European Data Protection Board pursuant to Article 58(7) or Article 61(2), where it appears necessary in order to: | 1. No prazo de um mês a contar da comunicação referida no artigo 59.o, n.o 4, e se a Comissão tiver sérias dúvidas quanto a saber se o projeto de medida permite assegurar a aplicação correta do presente regulamento ou se, pelo contrário, resulta numa aplicação incoerente do mesmo, a Comissão pode adotar uma decisão fundamentada a impor à autoridade de controlo a suspensão da adoção do projeto de medida, tendo em consideração o parecer emitido pelo Comité Europeu para a Proteção de Dados nos termos do artigo 58.o, n.o 7, ou do artigo 61.o, n.o 2, sempre que tal se revele necessário para: |
| (a) | reconcile the diverging positions of the supervisory authority and the European Data Protection Board, if this still appears to be possible; or | (a) | Aproximar as posições divergentes da autoridade de controlo e do Comité Europeu para a Proteção de Dados, se o mesmo ainda se afigurar possível; ou |
| (b) | adopt a measure pursuant to point (a) of Article 62(1). | (b) | Adotar uma medida nos termos do artigo 62.o, n.o 1, alínea a). |
| 2. The Commission shall specify the duration of the suspension which shall not exceed 12 months. | 2. A Comissão deve especificar o prazo da suspensão, que não pode ser superior a 12 meses. |
| 3. During the period referred to in paragraph 2, the supervisory authority may not adopt the draft measure. [Am. 169] | 3. Durante o período referido no n.o 2, a autoridade de controlo não pode adotar o projeto de medida. [Alt. 169] |
| Article 60a | Artigo 60.o-A |
| Notification of the European Parliament and of the Council | Notificação do Parlamento Europeu e do Conselho |
| The Commission shall notify the European Parliament and the Council at regular intervals, at least every six months, on the basis of a report from the Chair of the European Data Protection Board, of the matters dealt with under the consistency mechanism, setting out the conclusions drawn by the Commission and the European Data Protection Board with a view to ensuring the consistent implementation and application of this Regulation. [Am. 170] | Com base num relatório do presidente do Comité Europeu para a Proteção de Dados, a Comissão deve notificar regularmente, pelo menos, de seis em seis meses, o Parlamento Europeu e o Conselho sobre os assuntos tratados no âmbito do mecanismo de controlo da coerência, expondo as conclusões tiradas pela Comissão e pelo Comité Europeu para a Proteção de Dados com vista a velarem pela execução e aplicação coerentes do presente regulamento. [Alt. 170] |
| Article 61 | Artigo 61.o |
| Urgency procedure | Procedimento de urgência |
| 1. In exceptional circumstances, where a supervisory authority considers that there is an urgent need to act in order to protect the interests of data subjects, in particular when the danger exists that the enforcement of a right of a data subject could be considerably impeded by means of an alteration of the existing state or for averting major disadvantages or for other reasons, by way of derogation from the procedure referred to in Article 58 58a , it may immediately adopt provisional measures with a specified period of validity. The supervisory authority shall, without delay, communicate those measures, with full reasons, to the European Data Protection Board and to the Commission. [Am. 171] | 1. Em circunstâncias excecionais, sempre que uma autoridade de controlo considere que é urgente intervir a fim de proteger os interesses de titulares de dados, em especial quando existir o risco de impedimento considerável do exercício de um direito da pessoa em causa através de uma alteração da situação existente, ou para evitar inconvenientes superiores ou por outras razões, pode, através da derrogação do procedimento previsto no artigo 58.o -A , adotar imediatamente medidas provisórias com um determinado período de validade. A autoridade de controlo comunica essas medidas sem demora e devidamente fundamentadas ao Comité Europeu para a Proteção de Dados e à Comissão. [Alt. 171] |
| 2. Where a supervisory authority has taken a measure pursuant to paragraph 1 and considers that final measures need urgently be adopted, it may request an urgent opinion of the European Data Protection Board, giving reasons for requesting such opinion, including for the urgency of final measures. | 2. Sempre que a autoridade de controlo tiver tomado uma medida nos termos do n.o 1, e considerar necessário adotar urgentemente medidas definitivas, pode solicitar um parecer urgente ao Comité Europeu para a Proteção de Dados, fundamentando o seu pedido, incluindo os motivos da urgência de medidas definitivas. |
| 3. Any supervisory authority may request an urgent opinion where the competent supervisory authority has not taken an appropriate measure in a situation where there is an urgent need to act, in order to protect the interests of data subjects, giving reasons for requesting such opinion, including for the urgent need to act. | 3. Qualquer autoridade de controlo pode solicitar um parecer urgente sempre que a autoridade de controlo competente não tiver tomado uma medida adequada numa situação que careça de ação urgente em que é necessário proteger os interesses dos titulares de dados, apresentando os motivos para o pedido de parecer, incluindo os motivos da urgência de ação imediata. |
| 4. By derogation from Article 58(7), aAn urgent opinion referred to in paragraphs 2 and 3 of this Article shall be adopted within two weeks by simple majority of the members of the European Data Protection Board. [Am. 172] | 4. Por derrogação do artigo 58.o, n.o 7, Um parecer urgente referido nos n.os 2 e 3 é adotado no prazo de duas semanas por maioria simples dos membros do Comité Europeu para a Proteção de Dados. [Alt. 172] |
| Article 62 | Artigo 62.o |
| Implementing acts | Atos de execução |
| 1. The Commission may adopt implementing acts of general application , after requesting an opinion of the European Data Protection Board, for: | 1. Após solicitar um parecer ao Comité Europeu para a Proteção de Dados, a Comissão pode adotar atos de execução de aplicação geral para: |
| (a) | deciding on the correct application of this Regulation in accordance with its objectives and requirements in relation to matters communicated by supervisory authorities pursuant to Article 58 or 61, concerning a matter in relation to which a reasoned decision has been adopted pursuant to Article 60(1), or concerning a matter in relation to which a supervisory authority does not submit a draft measure and that supervisory authority has indicated that it does not intend to follow the opinion of the Commission adopted pursuant to Article 59; | (a) | Decidir sobre a aplicação correta do presente regulamento em conformidade com os seus objetivos e requisitos relativamente a matérias comunicadas pelas autoridades de controlo nos termos do artigo 58.o ou do artigo 61.o, a respeito de uma matéria em relação à qual tenha sido adotada uma decisão fundamentada nos termos do artigo 60.o, n.o 1, ou a respeito de uma matéria em relação à qual uma autoridade de controlo omita submeter um projeto de medida e tenha indicado que tenciona não se conformar com o parecer da Comissão adotado nos termos do artigo 59.o; |
| (b) | deciding, within the period referred to in Article 59(1), whether it declares draft standard data protection clauses referred to in point (d) of Article 58 42 (2), as having general validity; | b) | Decidir, no prazo fixado no artigo 59.o, n.o 1, sobre a aplicabilidade geral de projetos de cláusulas-tipo de proteção de dados, tal como referidas no artigo 58.o 42.o , n.o 2, alínea d); |
| (c) | specifying the format and procedures for the application of the consistency mechanism referred to in this section; | c) | Especificar o formato e os procedimentos para a aplicação do mecanismo de controlo da coerência previsto na presente secção; |
| (d) | specifying the arrangements for the exchange of information by electronic means between supervisory authorities, and between supervisory authorities and the European Data Protection Board, in particular the standardised format referred to in Article 58(5), (6) and (8). | d) | Especificar as modalidades de intercâmbio eletrónico de informações entre as autoridades de controlo e entre estas autoridades de controlo e o Comité Europeu para a Proteção de Dados, nomeadamente o formato normalizado referido no artigo 58.o, n.os 5, 6 e 8. |
| Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2). | Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.o, n.o 2. |
| 2. On duly justified imperative grounds of urgency relating to the interests of data subjects in the cases referred to in point (a) of paragraph 1, the Commission shall adopt immediately applicable implementing acts in accordance with the procedure referred to in Article 87(3). Those acts shall remain in force for a period not exceeding 12 months. | 2. Por imperativos urgentes devidamente justificados relacionados com os interesses de titulares de dados referidos no n.o 1, alínea a), a Comissão pode adotar atos de execução imediatamente aplicáveis, em conformidade com o procedimento referido no artigo 87.o, n.o 3. Esses atos permanecem em vigor por um período não superior a 12 meses. |
| 3. The absence or adoption of a measure under this Section does not prejudice any other measure by the Commission under the Treaties. [Am. 173] | 3. A falta ou a adoção de uma medida nos termos da presente secção não prejudica qualquer outra medida adotada pela Comissão ao abrigo dos Tratados. [Alt. 173] |
| Article 63 | Artigo 63.o |
| Enforcement | Aplicação |
| 1. For the purposes of this Regulation, an enforceable measure of the supervisory authority of one Member State shall be enforced in all Member States concerned. | 1. Para efeitos do presente regulamento, uma medida de execução da autoridade de controlo de um Estado-Membro deve ser aplicada em todos os Estados-Membros em causa. |
| 2. Where a supervisory authority does not submit a draft measure to the consistency mechanism in breach of Article 58(1) to (5) and (2) or adopts a measure despite an indication of serious objection pursuant to Article 58a(1) , the measure of the supervisory authority shall not be legally valid and enforceable. [Am. 174] | 2. Sempre que uma autoridade de controlo omitir apresentar um projeto de medida para exame do mecanismo de controlo da coerência em violação do artigo 58.o, n.os 1 a 5 e 2, ou adotar uma medida não obstante a indicação, nos termos do artigo 58.o-A, n.o 1, de que suscita sérias objeções, a medida da autoridade de controlo não será juridicamente válida nem terá força executória. [Alt. 174] |
| SECTION 3 | SECÇÃO 3 |
| EUROPEAN DATA PROTECTION BOARD | COMITÉ EUROPEU PARA A PROTEÇÃO DE DADOS |
| Article 64 | Artigo 64.o |
| European Data Protection Board | Comité Europeu para a Proteção de Dados |
| 1. A European Data Protection Board is hereby set up. | 1. É criado um Comité Europeu para a Proteção de Dados. |
| 2. The European Data Protection Board shall be composed of the head of one supervisory authority of each Member State and of the European Data Protection Supervisor. | 2. O Comité Europeu para a Proteção de Dados é composto pelo diretor de uma autoridade de controlo de cada Estado-Membro e da Autoridade Europeia para a Proteção de Dados. |
| 3. Where in a Member State more than one supervisory authority is responsible for monitoring the application of the provisions pursuant to this Regulation, they shall nominate the head of one of those supervisory authorities as joint representative. | 3. Sempre que, num Estado-Membro, mais do que uma autoridade de controlo seja responsável pelo controlo da aplicação do disposto no presente regulamento, essas autoridades devem designar o diretor de uma delas como representante comum. |
| 4. The Commission shall have the right to participate in the activities and meetings of the European Data Protection Board and shall designate a representative. The chair of the European Data Protection Board shall, without delay, inform the Commission on all activities of the European Data Protection Board. | 4. A Comissão tem o direito de participar nas atividades e reuniões do Comité Europeu para a Proteção de Dados e designa um representante. O presidente do Comité Europeu para a Proteção de Dados informa, sem demora, a Comissão de todas as atividades do Comité Europeu para a Proteção de Dados. |
| Article 65 | Artigo 65.o |
| Independence | Independência |
| 1. The European Data Protection Board shall act independently when exercising its tasks pursuant to Articles 66 and 67. | 1. O Comité Europeu para a Proteção de Dados é independente no exercício das suas funções, nos termos dos artigos 66.o e 67.o. |
| 2. Without prejudice to requests by the Commission referred to in point (b) of paragraph 1 and in paragraph 2 of Article 66, the European Data Protection Board shall, in the performance of its tasks, neither seek nor take instructions from anybody. | 2. Sem prejuízo dos pedidos da Comissão referidos no artigo 66.o, n.o 1, alínea b), e n.o 2, o Comité Europeu para a Proteção de Dados, no exercício das suas funções, não solicita nem recebe instruções de outrem. |
| Article 66 | Artigo 66.o |
| Tasks of the European Data Protection Board | Atribuições do Comité Europeu para a Proteção de Dados |
| 1. The European Data Protection Board shall ensure the consistent application of this Regulation. To this effect, the European Data Protection Board shall, on its own initiative or at the request of the European Parliament, the Council or the Commission, in particular: | 1. O Comité Europeu para a Proteção de Dados deve assegurar a aplicação coerente do presente regulamento. Para o efeito, o Comité Europeu para a Proteção de Dados, por sua iniciativa, ou a pedido do Parlamento Europeu, do Conselho ou da Comissão, deve em especial: |
| (a) | advise the Commission European institutions on any issue related to the protection of personal data in the Union, including on any proposed amendment of this Regulation; | a) | Aconselhar a Comissão as instituições europeias sobre qualquer questão relacionada com a proteção de dados pessoais na União, nomeadamente sobre qualquer projeto de alteração do presente regulamento; |
| (b) | examine, on its own initiative or on request of one of its members or on request of the European Parliament, the Council or the Commission, any question covering the application of this Regulation and issue guidelines, recommendations and best practices addressed to the supervisory authorities in order to encourage consistent application of this Regulation , including on the use of enforcement powers ; | b) | Analisar, por sua própria iniciativa, ou a pedido de um dos seus membros, ou a pedido do Parlamento Europeu, do Conselho ou da Comissão, qualquer questão relativa à aplicação do presente regulamento e emitir diretrizes, recomendações e boas práticas destinadas às autoridades de controlo, a fim de incentivar a aplicação coerente do presente regulamento , nomeadamente sobre a utilização dos poderes de execução ; |
| (c) | review the practical application of the guidelines, recommendations and best practices referred to in point (b) and report regularly to the Commission on these; | c) | Examinar a aplicação prática das diretrizes, recomendações e boas práticas referidas na alínea b) e informar regularmente a Comissão sobre esta matéria; |
| (d) | issue opinions on draft decisions of supervisory authorities pursuant to the consistency mechanism referred to in Article 57; | d) | Emitir pareceres relativos aos projetos de decisão das autoridades de controlo nos termos do mecanismo de controlo da coerência referido no artigo 57.o; |
| (da) | provide an opinion on which authority should be the lead authority pursuant to Article 54a(3); | d-A) | Apresentar um parecer sobre qual a autoridade que deve atuar como autoridade principal nos termos do artigo 54.o-A, n.o 3; |
| (e) | promote the co-operation and the effective bilateral and multilateral exchange of information and practices between the supervisory authorities , including the coordination of joint operations and other joint activities, where it so decides at the request of one or several supervisory authorities ; | e) | Promover a cooperação e o intercâmbio bilateral e plurilateral efetivo de informações e práticas entre as autoridades de controlo , incluindo a coordenação de operações conjuntas e de outras atividades conjuntas, sempre que assim o decida a pedido de uma ou mais autoridades de controlo ; |
| (f) | promote common training programmes and facilitate personnel exchanges between the supervisory authorities, as well as, where appropriate, with the supervisory authorities of third countries or of international organisations; | f) | Promover programas de formação comuns e facilitar o intercâmbio de pessoal entre as autoridades de controlo, bem como com as autoridades de controlo de países terceiros ou de organizações internacionais, se for caso disso; |
| (g) | promote the exchange of knowledge and documentation on data protection legislation and practice with data protection supervisory authorities worldwide; | g) | Promover o intercâmbio de conhecimentos e de documentação em relação a práticas e legislação no domínio da proteção de dados com autoridades de controlo de todos os países; |
| (ga) | give its opinion to the Commission in the preparation of delegated and implementing acts based on this Regulation; | g-A) | Dar o seu parecer à Comissão no quadro da elaboração de atos delegados e de atos de execução com base no presente regulamento; |
| (gb) | give its opinion on codes of conduct drawn up at Union level pursuant to Article 38(4); | g-B) | Dar o seu parecer sobre os códigos de conduta elaborados a nível da União nos termos do artigo 38.o, n.o 4; |
| (gc) | give its opinion on criteria and requirements for the data protection certification mechanisms pursuant to Article 39(2); | g-C) | Dar o seu parecer sobre os critérios e os requisitos aplicáveis aos mecanismos de certificação em matéria de proteção de dados previstos no artigo 39.o, n.o 2; |
| (gd) | maintain a public electronic register on valid and invalid certificates pursuant to Article 39(1h); | g-D) | Manter um registo eletrónico público dos certificados válidos e inválidos, nos termos do artigo 39.o, n.o 1-H; |
| (ge) | provide assistance to national supervisory authorities, at their request; | g-E) | Prestar assistência às autoridades nacionais de controlo, a seu pedido; |
| (gf) | establish and make public a list of the processing operations which are subject to prior consultation pursuant to Article 34; | g-F) | Elaborar e tornar pública uma lista de operações de tratamento de dados que estão sujeitas a consulta prévia, nos termos do artigo 34.o; |
| (gg) | maintain a register of sanctions imposed on controllers or processors by the competent supervisory authorities. | g-G) | Manter um registo das sanções impostas pelas autoridades de controlo competentes aos responsáveis pelo tratamento ou aos subcontratantes. |
| 2. Where the European Parliament, the Council or the Commission requests advice from the European Data Protection Board, it may lay out a time limit within which the European Data Protection Board shall provide such advice, taking into account the urgency of the matter. | 2. Sempre que a Comissão consultar o Comité Europeu para a Proteção de Dados pode fixar um prazo para a formulação do referido parecer, tendo em conta a urgência da questão. |
| 3. The European Data Protection Board shall forward its opinions, guidelines, recommendations, and best practices to the European Parliament, the Council and the Commission and to the committee referred to in Article 87 and make them public. | 3. O Comité Europeu para a Proteção de Dados transmite os seus pareceres, diretrizes, recomendações e boas práticas ao Parlamento Europeu, ao Conselho e à Comissão e ao comité referido no artigo 87.o, e procede à sua publicação. |
| 4. The Commission shall inform the European Data Protection Board of the action it has taken following the opinions, guidelines, recommendations and best practices issued by the European Data Protection Board. | 4. A Comissão informa o Comité Europeu para a Proteção de Dados das medidas adotadas na sequência de pareceres, diretrizes, recomendações e boas práticas emitidos pelo referido comité. |
| 4a. The European Data Protection Board shall, where appropriate, consult interested parties and give them the opportunity to comment within a reasonable period. The European Data Protection Board shall, without prejudice to Article 72, make the results of the consultation procedure publicly available. | 4-A. Quando adequado, o Comité Europeu para a Proteção de Dados deve consultar as partes interessadas e oferecer-lhes a possibilidade de, num prazo razoável, formularem observações. O Comité Europeu para a Proteção de Dados deve, sem prejuízo do artigo 72.o, tornar os resultados do processo de consulta disponíveis ao público. |
| 4b. The European Data Protection Board shall be entrusted with the task of issuing guidelines, recommendations and best practices in accordance with point (b) of paragraph 1 for establishing common procedures for receiving and investigating information concerning allegations of unlawful processing and for safeguarding confidentiality and sources of information received. [Am. 175] | 4-B. O Comité Europeu para a Proteção de Dados é incumbido de emitir diretrizes, recomendações e boas práticas nos termos do n.o 1, alínea b), no que se refere à definição de procedimentos comuns em matéria de receção e investigação de informações sobre alegados tratamentos ilícitos de dados, bem como de proteção da confidencialidade e das fontes das informações recebidas. [Alt. 175] |
| Article 67 | Artigo 67.o |
| Reports | Relatórios |
| 1. The European Data Protection Board shall regularly and timely inform the European Parliament, the Council and the Commission about the outcome of its activities. It shall draw up an annual a report at least every two years on the situation regarding the protection of natural persons with regard to the processing of personal data in the Union and in third countries. | 1. O Comité Europeu para a Proteção de Dados informa o Parlamento Europeu, o Conselho e a Comissão, regularmente e em tempo útil, sobre o resultado das suas atividades. Deve elaborar , pelo menos, de dois em dois anos um relatório anual sobre a situação da proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais na União e em países terceiros. [Alt. 176] |
| The report shall include the review of the practical application of the guidelines, recommendations and best practices referred to in point (c) of Article 66(1). [Am. 176] | O relatório deve incluir o exame da aplicação prática das diretrizes, recomendações e boas práticas referidas no artigo 66.o, n.o 1, alínea c). |
| 2. The report shall be made public and transmitted to the European Parliament, the Council and the Commission. | 2. O relatório é publicado e transmitido ao Parlamento Europeu, ao Conselho e à Comissão. |
| Article 68 | Artigo 68.o |
| Procedure | Procedimento |
| 1. The European Data Protection Board shall take decisions by a simple majority of its members , unless otherwise provided in its rules of procedure . [Am. 177] | 1. Salvo disposição em contrário prevista no seu regulamento interno, o Comité Europeu para a Proteção de Dados toma as suas decisões por maioria simples dos seus membros. [Alt. 177] |
| 2. The European Data Protection Board shall adopt its own rules of procedure and organise its own operational arrangements. In particular, it shall provide for the continuation of exercising duties when a member’s term of office expires or a member resigns, for the establishment of subgroups for specific issues or sectors and for its procedures in relation to the consistency mechanism referred to in Article 57. | 2. O Comité Europeu para a Proteção de Dados adota o seu regulamento interno e determina as suas modalidades de funcionamento. Em especial, adota disposições relativas à continuação do exercício de funções aquando do termo do mandato de um membro ou em caso de demissão de um membro, à criação de subgrupos para temas ou setores específicos e aos procedimentos que aplica relativamente ao mecanismo de controlo da coerência referido no artigo 57.o. |
| Article 69 | Artigo 69.o |
| Chair | Presidente |
| 1. The European Data Protection Board shall elect a chair and at least two deputy chairpersons from amongst its members. One deputy chairperson shall be the European Data Protection Supervisor, unless he or she has been elected chair. [Am. 178] | 1. O Comité Europeu para a Proteção de Dados elege um presidente e , pelo menos, dois vice-presidentes entre os seus membros. Um dos vice-presidentes é a Autoridade Europeia para a Proteção de Dados, salvo se tiver sido eleita presidente. [Alt. 178] |
| 2. The term of office of the chair and of the deputy chairpersons shall be five years and be renewable. | 2. O mandato do presidente e dos vice-presidentes tem a duração de cinco anos e é renovável. |
| 2a. The position of the chair shall be a full-time position. [Am. 179] | 2-A. O presidente desempenha o seu cargo a tempo inteiro. [Alt. 179] |
| Article 70 | Artigo 70.o |
| Tasks of the chair | Funções do presidente |
| 1. The chair shall have the following tasks: | 1. O presidente tem as seguintes funções: |
| (a) | to convene the meetings of the European Data Protection Board and prepare its agenda; | a) | Convocar as reuniões do Comité Europeu para a Proteção de Dados e preparar a respetiva ordem do dia; |
| (b) | to ensure the timely fulfilment of the tasks of the European Data Protection Board, in particular in relation to the consistency mechanism referred to in Article 57. | b) | Assegurar o exercício, dentro dos prazos, das funções do Comité Europeu para a Proteção de Dados, em especial em relação ao mecanismo de controlo da coerência referido no artigo 57.o. |
| 2. The European Data Protection Board shall lay down the attribution of tasks between the chair and the deputy chairpersons in its rules of procedure. | 2. O Comité Europeu para a Proteção de Dados estabelece no seu regulamento interno a repartição de funções entre o presidente e os vice-presidentes. |
| Article 71 | Artigo 71.o |
| Secretariat | Secretariado |
| 1. The European Data Protection Board shall have a secretariat. The European Data Protection Supervisor shall provide that secretariat. | 1. O Comité Europeu para a Proteção de Dados é assistido por um secretariado. Este é assegurado pela Autoridade Europeia para a Proteção de Dados. |
| 2. The secretariat shall provide analytical, legal, administrative and logistical support to the European Data Protection Board under the direction of the chair. [Am. 180] | 2. O secretariado fornece, sob a direção do presidente, apoio de caráter analítico, jurídico, administrativo e logístico ao Comité Europeu para a Proteção de Dados. [Alt. 180] |
| 3. The secretariat shall be responsible in particular for: | 3. O secretariado é responsável, em especial: |
| (a) | the day-to-day business of the European Data Protection Board; | a) | Pela gestão corrente do Comité Europeu para a Proteção de Dados; |
| (b) | the communication between the members of the European Data Protection Board, its chair and the Commission and for communication with other institutions and the public; | b) | Pela comunicação entre os membros do Comité Europeu para a Proteção de Dados, o seu presidente e a Comissão, e pela comunicação com outras instituições e o público; |
| (c) | the use of electronic means for the internal and external communication; | c) | Pelo recurso a meios eletrónicos para a comunicação interna e externa; |
| (d) | the translation of relevant information; | d) | Pela tradução de informações pertinentes; |
| (e) | the preparation and follow-up of the meetings of the European Data Protection Board; | e) | Pela preparação e acompanhamento das reuniões do Comité Europeu para a Proteção de Dados; |
| (f) | the preparation, drafting and publication of opinions and other texts adopted by the European Data Protection Board. | f) | Pela preparação, redação e publicação dos pareceres e outros textos adotados pelo Comité Europeu para a Proteção de Dados. |
| Article 72 | Artigo 72.o |
| Confidentiality | Confidencialidade |
| 1. The discussions of the European Data Protection Board shall may be confidential where necessary, unless otherwise provided in its rules of procedure . The agendas of the meetings of the European Protection Board shall be made public . [Am. 181] | 1. Salvo disposição em contrário prevista no seu regulamento interno, os debates do Comité Europeu para a Proteção de Dados são podem ser confidenciais. As atas das reuniões do Comité Europeu para a Proteção de Dados são tornadas públicas. [Alt. 181] |
| 2. Documents submitted to members of the European Data Protection Board, experts and representatives of third parties shall be confidential, unless access is granted to those documents in accordance with Regulation (EC) No 1049/2001 of the European Parliament and of the Council (18) or the European Data Protection Board otherwise makes them public. | 2. Os documentos apresentados aos membros do Comité Europeu para a Proteção de Dados, aos peritos e aos representantes de países terceiros são confidenciais, salvo se for concedido acesso a esses documentos nos termos do Regulamento (CE) n.o 1049/2001 do Parlamento Europeu e do Conselho (18), ou se o Comité Europeu para a Proteção de Dados os tornar públicos de outro modo. |
| 3. The members of the European Data Protection Board, as well as experts and representatives of third parties, shall be required to respect the confidentiality obligations set out in this Article. The chair shall ensure that experts and representatives of third parties are made aware of the confidentiality requirements imposed upon them. | 3. Os membros do Comité Europeu para a Proteção de Dados, bem como os peritos e os representantes de países terceiros têm de respeitar as obrigações de confidencialidade previstas no presente artigo. O presidente assegura que os peritos e os representantes de países terceiros sejam informados dos requisitos que são obrigados a respeitar em matéria de confidencialidade. |
| CHAPTER VIII | CAPÍTULO VIII |
| REMEDIES, LIABILITY AND SANCTIONS | VIAS DE RECURSO, RESPONSABILIDADE E SANÇÕES |
| Article 73 | Artigo 73.o |
| Right to lodge a complaint with a supervisory authority | Direito de apresentar queixa a uma autoridade de controlo |
| 1. Without prejudice to any other administrative or judicial remedy and the consistency mechanism , every data subject shall have the right to lodge a complaint with a supervisory authority in any Member State if they consider that the processing of personal data relating to them does not comply with this Regulation. | 1. Sem prejuízo de qualquer outra via de recurso administrativo ou judicial e do mecanismo de controlo da coerência , todos os titulares de dados têm o direito de apresentar queixa a uma autoridade de controlo em qualquer Estado-Membro se considerarem que o tratamento dos seus dados pessoais não respeita o presente regulamento. |
| 2. Any body, organisation or association which aims to protect data subjects’ rights and interests concerning the protection of their personal data acts in the public interest and has been properly constituted according to the law of a Member State shall have the right to lodge a complaint with a supervisory authority in any Member State on behalf of one or more data subjects if it considers that a data subject’s rights under this Regulation have been infringed as a result of the processing of personal data. | 2. Qualquer organismo, organização ou associação que vise proteger os direitos e interesses dos titulares de dados em relação à proteção dos seus dados pessoais aja no interesse público e que esteja devidamente constituído ao abrigo do direito de um Estado-Membro, tem o direito de apresentar queixa a uma autoridade de controlo em qualquer Estado-Membro por conta de uma ou mais pessoas em causa, se considerar que os direitos de que beneficia um titular de dados por força do presente regulamento foram violados na sequência do tratamento dos seus dados pessoais. |
| 3. Independently of a data subject's complaint, any body, organisation or association referred to in paragraph 2 shall have the right to lodge a complaint with a supervisory authority in any Member State, if it considers that a personal data breach of this Regulation has occurred. [Am. 182] | 3. Independentemente de uma queixa do titular dos dados, qualquer organismo, organização ou associação referidos no n.o 2 tem o direito de apresentar queixa a uma autoridade de controlo em qualquer Estado-Membro, se considerar ter havido uma violação de dados pessoais do presente regulamento . [Alt. 182] |
| Article 74 | Artigo 74.o |
| Right to a judicial remedy against a supervisory authority | Direito de ação judicial contra uma autoridade de controlo |
| 1. Without prejudice to any other administrative or non-judicial remedy, Eeach natural or legal person shall have the right to a judicial remedy against decisions of a supervisory authority concerning them. | 1. Sem prejuízo de qualquer outra ação administrativa ou extrajudicial, qualquer pessoa singular ou coletiva tem o direito de ação judicial contra todas as decisões de uma autoridade de controlo que lhe digam respeito. |
| 2. Without prejudice to any other administrative or non-judicial remedy, Eeach data subject shall have the right to a judicial remedy obliging the supervisory authority to act on a complaint in the absence of a decision necessary to protect their rights, or where the supervisory authority does not inform the data subject within three months on the progress or outcome of the complaint pursuant to point (b) of Article 52(1). | 2. Sem prejuízo de qualquer outra ação administrativa ou extrajudicial, qualquer titular de dados tem o direito de ação judicial a fim de obrigar a autoridade de controlo a dar seguimento a uma queixa, na falta de uma decisão necessária para proteger os seus direitos, ou se a autoridade de controlo não informar a pessoa em causa, no prazo de três meses, sobre o andamento ou o resultado da sua queixa nos termos do artigo 52.o, n.o 1, alínea b). |
| 3. Proceedings against a supervisory authority shall be brought before the courts of the Member State where the supervisory authority is established. | 3. As ações contra uma autoridade de controlo são intentadas nos tribunais do Estado-Membro em cujo território se encontra estabelecida a autoridade de controlo. |
| 4. Without prejudice to the consistency mechanism Aa data subject which is concerned by a decision of a supervisory authority in another Member State than where the data subject has its habitual residence, may request the supervisory authority of the Member State where it has its habitual residence to bring proceedings on its behalf against the competent supervisory authority in the other Member State. | 4. Sem prejuízo do mecanismo de controlo da coerência, qualquer titular de dados afetado por uma decisão de uma autoridade de controlo de um Estado-Membro diferente daquela da sua residência habitual, pode solicitar à autoridade de controlo do Estado-Membro onde reside habitualmente que intente uma ação em seu nome contra a autoridade de controlo competente do outro Estado-Membro. |
| 5. The Member States shall enforce final decisions by the courts referred to in this Article. [Am. 183] | 5. Os Estados-Membros executam as decisões definitivas proferidas pelos tribunais referidos no presente artigo. [Alt. 183] |
| Article 75 | Artigo 75.o |
| Right to a judicial remedy against a controller or processor | Direito de ação judicial contra um responsável pelo tratamento ou um subcontratante |
| 1. Without prejudice to any available administrative remedy, including the right to lodge a complaint with a supervisory authority as referred to in Article 73, every natural person shall have the right to a judicial remedy if they consider that their rights under this Regulation have been infringed as a result of the processing of their personal data in non-compliance with this Regulation. | 1. Sem prejuízo de uma via de recurso administrativo disponível, nomeadamente o direito de apresentar queixa a uma autoridade de controlo, previsto no artigo 73.o, qualquer pessoa singular tem o direito de ação judicial se considerar ter havido violação dos direitos que lhe assistem nos termos do presente regulamento, na sequência do tratamento dos seus dados pessoais, efetuado em violação do referido regulamento. |
| 2. Proceedings against a controller or a processor shall be brought before the courts of the Member State where the controller or processor has an establishment. Alternatively, such proceedings may be brought before the courts of the Member State where the data subject has its habitual residence, unless the controller is a public authority of the Union or a Member State acting in the exercise of its public powers. [Am. 184] | 2. A ação judicial contra um responsável pelo tratamento ou um subcontratante é intentada nos tribunais do Estado-Membro em que o responsável pelo tratamento ou o subcontratante dispõe de um estabelecimento. Em alternativa, tal ação pode ser intentada nos tribunais do Estado-Membro em que o titular dos dados tem a sua residência habitual, salvo se o responsável pelo tratamento for uma autoridade pública da União ou de um Estado-Membro no exercício das suas prerrogativas de poder público. [Alt. 184] |
| 3. Where proceedings are pending in the consistency mechanism referred to in Article 58, which concern the same measure, decision or practice, a court may suspend the proceedings brought before it, except where the urgency of the matter for the protection of the data subject's rights does not allow to wait for the outcome of the procedure in the consistency mechanism. | 3. Sempre que estiver a decorrer um procedimento no quadro do mecanismo de controlo da coerência, previsto no artigo 58.o, que diga respeito à mesma medida, decisão ou prática, um tribunal pode suspender a instância, salvo se a urgência da matéria para a proteção dos direitos do titular dos dados não permitir aguardar pelo resultado do procedimento em curso no quadro do mecanismo de controlo da coerência. |
| 4. The Member States shall enforce final decisions by the courts referred to in this Article. | 4. Os Estados-Membros executam as decisões definitivas proferidas pelos tribunais referidos no presente artigo. |
| Article 76 | Artigo 76.o |
| Common rules for court proceedings | Regras comuns para os procedimentos judiciais |
| 1. Any body, organisation or association referred to in Article 73(2) shall have the right to exercise the rights referred to in Articles 74 and, 75 on behalf of and 77 if mandated by one or more data subjects. [Am. 185] | 1. Qualquer organismo, organização ou associação referido no artigo 73.o, n.o 2, está habilitado a exercer os direitos previstos nos artigos 74.o e , 75.o e 77.o, se mandatado por , por conta de um ou mais titulares de dados. [Alt. 185] |
| 2. Each supervisory authority shall have the right to engage in legal proceedings and bring an action to court, in order to enforce the provisions of this Regulation or to ensure consistency of the protection of personal data within the Union. | 2. Cada autoridade de controlo tem o direito de intervir em processos judiciais e intentar uma ação num tribunal, a fim de fazer aplicar o disposto no presente regulamento ou assegurar a coerência da proteção de dados pessoais na União. |
| 3. Where a competent court of a Member State has reasonable grounds to believe that parallel proceedings are being conducted in another Member State, it shall contact the competent court in the other Member State to confirm the existence of such parallel proceedings. | 3. Sempre que um tribunal competente de um Estado-Membro tiver motivos razoáveis para considerar que corre um processo paralelo noutro Estado-Membro, esse tribunal deve contactar o tribunal competente do primeiro Estado-Membro para obter a confirmação da existência desse processo paralelo. |
| 4. Where such parallel proceedings in another Member State concern the same measure, decision or practice, the court may suspend the proceedings. | 4. Sempre que um processo paralelo num Estado-Membro disser respeito à mesma medida, decisão ou prática, o tribunal pode suspender a instância. |
| 5. Member States shall ensure that court actions available under national law allow for the rapid adoption of measures including interim measures, designed to terminate any alleged infringement and to prevent any further impairment of the interests involved. | 5. Os Estados-Membros devem assegurar que as vias de recurso disponíveis no direito nacional permitam a adoção rápida de medidas, incluindo medidas provisórias, destinadas a pôr termo a alegadas infrações e a evitar outros prejuízos para os interesses em causa. |
| Article 77 | Artigo 77.o |
| Right to compensation and liability | Direito de indemnização e responsabilidade |
| 1. Any person who has suffered damage , including non-pecuniary damage, as a result of an unlawful processing operation or of an action incompatible with this Regulation shall have the right to receive claim compensation from the controller or the processor for the damage suffered. [Am. 186] | 1. Qualquer pessoa que tenha sofrido um prejuízo , inclusive de natureza não-pecuniária, devido ao tratamento ilícito ou outro ato incompatível com o presente regulamento, tem o direito de pedir uma indemnização do responsável pelo tratamento ou do subcontratante pelo prejuízo sofrido. [Alt. 186] |
| 2. Where more than one controller or processor is involved in the processing, each controller of those controllers or processor processors shall be jointly and severally liable for the entire amount of the damage , unless they have an appropriate written agreement determining the responsibilities pursuant to Article 24 . [Am. 187] | 2. Sempre que vários responsáveis pelo tratamento ou subcontratantes estiverem envolvidos no tratamento de dados, cada um deles é conjunta e solidariamente responsável pelo montante total dos danos , salvo se existir entre eles um acordo escrito adequado nos termos do artigo 24.o que defina as responsabilidades . [Alt. 187] |
| 3. The controller or the processor may be exempted from this liability, in whole or in part, if the controller or the processor proves that they are not responsible for the event giving rise to the damage. | 3. O responsável pelo tratamento ou o subcontratante pode ser exonerado dessa responsabilidade, total ou parcialmente, se provar que o facto que causou o dano não lhe é imputável. |
| Article 78 | Artigo 78.o |
| Penalties | Sanções |
| 1. Member States shall lay down the rules on penalties, applicable to infringements of the provisions of this Regulation and shall take all measures necessary to ensure that they are implemented, including where the controller did not comply with the obligation to designate a representative. The penalties provided for must be effective, proportionate and dissuasive. | 1. Os Estados-Membros estabelecem as disposições relativas às sanções aplicáveis a infrações ao disposto no presente regulamento e tomam todas as medidas necessárias para assegurar a sua execução, incluindo quando o responsável pelo tratamento não respeitou a obrigação de designar um representante. As sanções previstas devem ser efetivas, proporcionadas e dissuasivas. |
| 2. Where the controller has established a representative, any penalties shall be applied to the representative, without prejudice to any penalties which could be initiated against the controller. | 2. Sempre que o responsável pelo tratamento tiver designado um representante, as sanções são aplicadas ao representante, sem prejuízo de quaisquer sanções que possam vir a ser aplicadas contra o responsável pelo tratamento. |
| 3. Each Member State shall notify to the Commission those provisions of its law which it adopts pursuant to paragraph 1, by the date specified in Article 91(2) at the latest and, without delay, any subsequent amendment affecting them. | 3. Cada Estado-Membro notifica à Comissão as disposições do direito nacional que adotar por força do n.o 1, o mais tardar na data fixada no artigo 91.o, n.o 2 e, sem demora, qualquer alteração subsequente das mesmas. |
| Article 79 | Artigo 79.o |
| Administrative sanctions | Sanções administrativas |
| 1. Each supervisory authority shall be empowered to impose administrative sanctions in accordance with this Article. The supervisory authorities shall co-operate with each other in accordance with Articles 46 and 57 to guarantee a harmonised level of sanctions within the Union. | 1. Cada autoridade de controlo deve estar habilitada a aplicar sanções administrativas em conformidade com o presente artigo. As autoridades de controlo cooperam umas com as outras, nos termos dos artigos 46.o e 57.o, para garantir um nível harmonizado de sanções na União. |
| 2. The administrative sanction shall be in each individual case effective, proportionate and dissuasive. The amount of the administrative fine shall be fixed with due regard to the nature, gravity and duration of the breach, the intentional or negligent character of the infringement, the degree of responsibility of the natural or legal person and of previous breaches by this person, the technical and organisational measures and procedures implemented pursuant to Article 23 and the degree of co-operation with the supervisory authority in order to remedy the breach. | 2. A sanção administrativa deve ser, em cada caso, efetiva, proporcionada e dissuasiva. O montante da sanção administrativa é fixado tendo devidamente em conta a natureza, a gravidade e a duração da violação, o caráter intencional ou negligente da infração, o grau de responsabilidade da pessoa singular ou coletiva em causa e as infrações por ela anteriormente cometidas, as medidas técnicas e organizativas e os procedimentos aplicados nos termos do artigo 23.o, bem como o grau de cooperação com a autoridade de controlo a fim de sanar a violação. |
| 2a. To anyone who does not comply with the obligations laid down in this Regulation, the supervisory authority shall impose at least one of the following sanctions: | 2-A. A autoridade de controlo impõe a quem não cumprir as obrigações previstas no presente regulamento, pelo menos, uma das seguintes sanções: |
| (a) | a warning in writing in cases of first and non-intentional non-compliance; | a) | Uma advertência escrita, em caso de primeiro incumprimento, de caráter involuntário; |
| (b) | regular periodic data protection audits; | b) | Auditorias periódicas regulares em matéria de dados; |
| (c) | a fine up to 100 000 000 EUR or up to 5 % of the annual worldwide turnover in case of an enterprise, whichever is higher. | c) | Uma multa até 100 000 000 EUR ou, no caso de uma empresa, até 5 % do seu volume de negócios mundial anual, consoante o montante mais elevado. |
| 2b. If the controller or the processor is in possession of a valid ‘European Data Protection Seal’ pursuant to Article 39, a fine pursuant to point (c) of paragraph 2a shall only be imposed in cases of intentional or negligent non-compliance. | 2-B. Caso o responsável pelo tratamento ou o subcontratante seja detentor de um «Selo Europeu de Proteção de Dados» válido, nos termos do artigo 39.o, só será aplicada uma multa nos termos do n.o 2-A, alínea c), em caso de incumprimento voluntário ou negligente. |
| 2c. The administrative sanction shall take into account the following factors: | 2-C. A sanção administrativa tem em conta os seguintes fatores: |
| (a) | the nature, gravity and duration of the non-compliance, | a) | A natureza, a gravidade e a duração do incumprimento, |
| (b) | the intentional or negligent character of the infringement, | b) | O caráter voluntário ou negligente da infração, |
| (c) | the degree of responsibility of the natural or legal person and of previous breaches by this person, | c) | O grau de responsabilidade da pessoa singular ou coletiva em causa e as infrações por ela anteriormente cometidas, |
| (d) | the repetitive nature of the infringement, | d) | A natureza repetitiva da infração, |
| (e) | the degree of co-operation with the supervisory authority, in order to remedy the infringement and mitigate the possible adverse effects of the infringement, | e) | O grau de cooperação com a autoridade de controlo, a fim de sanar a infração e atenuar os seus eventuais efeitos negativos, |
| (f) | the specific categories of personal data affected by the infringement, | f) | As categorias específicas de dados pessoais afetadas pela infração, |
| (g) | the level of damage, including non-pecuniary damage, suffered by the data subjects, | g) | O nível de prejuízo, inclusive de natureza não-pecuniária, sofrido pelos titulares dos dados, |
| (h) | the action taken by the controller or processor to mitigate the damage suffered by data subjects, | h) | As medidas tomadas pelo responsável pelo tratamento ou pelo subcontratante para atenuar o prejuízo sofrido pelos titulares dos dados, |
| (i) | any financial benefits intended or gained, or losses avoided, directly or indirectly from the infringement, | i) | Os eventuais benefícios financeiros visados ou obtidos ou as perdas evitadas, direta ou indiretamente, por intermédio da infração, |
| (j) | the degree of technical and organisational measures and procedures implemented pursuant to: | (i) | Article 23 — Data protection by design and by default | (ii) | Article 30 — Security of processing | (iii) | Article 33 — Data protection impact assessment | (iv) | Article 33a — Data protection compliance review | (v) | Article 35 — Designation of the data protection officer | j) | O grau das medidas e dos procedimentos técnicos e organizacionais postos em execução nos termos do: | i) | artigo 23.o — Proteção de dados desde a conceção e por defeito | ii) | artigo 30.o — Segurança do tratamento | iii) | artigo 33.o — Avaliação de impacto sobre a proteção de dados | iv) | artigo 33.o-A — Avaliação da observância das disposições em matéria de proteção de dados | v) | Artigo 35.o — Designação do delegado para a proteção de dados |
| (k) | the refusal to cooperate with or obstruction of inspections, audits and controls carried out by the supervisory authority pursuant to Article 53, | k) | A recusa em cooperar ou a obstrução às inspeções, auditorias e controlos empreendidos pela autoridade de controlo nos termos do artigo 53.o. |
| (l) | other aggravating or mitigating factors applicable to the circumstance of the case. | l) | Outras agravantes ou atenuantes aplicáveis às circunstâncias do caso. |
| 3. In case of a first and non-intentional non-compliance with this Regulation, a warning in writing may be given and no sanction imposed, where: | 3. Em caso de uma primeira e não intencional inobservância do presente regulamento, pode ser emitida uma advertência por escrito não sendo aplicável qualquer sanção, sempre que: |
| (a) | a natural person is processing personal data without a commercial interest; or | a) | Uma pessoa singular proceda ao tratamento de dados sem fins comerciais; ou |
| (b) | an enterprise or an organisation employing fewer than 250 persons is processing personal data only as an activity ancillary to its main activities. | b) | Uma empresa ou uma organização com menos de 250 assalariados proceda ao tratamento de dados exclusivamente como atividade acessória das suas atividades principais. |
| 4. The supervisory authority shall impose a fine up to 250 000 EUR, or in case of an enterprise up to 0,5 % of its annual worldwide turnover, to anyone who, intentionally or negligently: | 4. A autoridade de controlo aplica uma multa até 250 000 EUR ou, no caso de uma empresa, até 0,5 % do seu volume de negócios mundial anual, a quem, de forma intencional ou negligente: |
| (a) | does not provide the mechanisms for requests by data subjects or does not respond promptly or not in the required format to data subjects pursuant to Articles 12(1) and (2); | a) | Não estabeleça os mecanismos que permitam aos titulares de dados apresentar pedidos ou não responda atempadamente ou não o faça no formato exigido às pessoas em causa, nos termos do artigo 12.o, n.os 1 e 2; |
| (b) | charges a fee for the information or for responses to the requests of data subjects in violation of Article 12(4). | b) | Cobre uma taxa pelas informações ou respostas aos pedidos dos titulares de dados, em violação do artigo 12.o, n.o 4; |
| 5. The supervisory authority shall impose a fine up to 500 000 EUR, or in case of an enterprise up to 1 % of its annual worldwide turnover, to anyone who, intentionally or negligently: | 5. A autoridade de controlo aplica uma multa até 500 000 EUR ou, no caso de uma empresa, até 1 % do seu volume de negócios mundial anual, a quem, de forma intencional ou negligente: |
| (a) | does not provide the information, or does provide incomplete information, or does not provide the information in a sufficiently transparent manner, to the data subject pursuant to Article 11, Article 12(3) and Article 14; | a) | Não forneça as informações, forneça informações incompletas ou não forneça as informações de forma suficientemente transparente ao titular dos dados, nos termos dos artigos 11.o, 12.o, n.o 3 e artigo 14.o; |
| (b) | does not provide access for the data subject or does not rectify personal data pursuant to Articles 15 and 16 or does not communicate the relevant information to a recipient pursuant to Article 13; | b) | Não faculte o acesso ao titular dos dados, não retifique os dados pessoais nos termos dos artigos 15.o e 16.o, ou não comunique as informações relevantes ao destinatário, nos termos do artigo 13.o; |
| (c) | does not comply with the right to be forgotten or to erasure, or fails to put mechanisms in place to ensure that the time limits are observed or does not take all necessary steps to inform third parties that a data subjects requests to erase any links to, or copy or replication of the personal data pursuant Article 17; | c) | Não respeite o direito a ser esquecido ou de apagamento, não aplique mecanismos para assegurar o cumprimento dos prazos ou não tome todas as medidas necessárias para informar terceiros do pedido do titular de dados de apagamento de quaisquer ligações, cópia ou reprodução dos dados pessoais, nos termos do artigo 17.o; |
| (d) | does not provide a copy of the personal data in electronic format or hinders the data subject to transmit the personal data to another application in violation of Article 18; | d) | Não forneça uma cópia dos dados pessoais em formato eletrónico ou impeça o titular dos dados de transferir os seus dados pessoais para outra aplicação, em violação do artigo 18.o; |
| (e) | does not or not sufficiently determine the respective responsibilities with co-controllers pursuant to Article 24; | e) | Não defina, ou não defina de forma suficiente, as obrigações dos responsáveis conjuntos pelo tratamento, nos termos do artigo 24.o; |
| (f) | does not or not sufficiently maintain the documentation pursuant to Article 28, Article 31(4), and Article 44(3); | f) | Não conserve, ou não o faça de forma suficiente, a documentação nos termos do artigo 28.o, do artigo 31.o, n.o 4, e do artigo 44.o, n.o 3; |
| (g) | does not comply, in cases where special categories of data are not involved, pursuant to Articles 80, 82 and 83 with rules in relation to freedom of expression or with rules on the processing in the employment context or with the conditions for processing for historical, statistical and scientific research purposes. | g) | Não respeite, nos casos que não envolvam categorias especiais de dados, nos termos dos artigos 80.o, 82.o e 83.o, as regras em matéria de liberdade de expressão, as regras sobre o tratamento de dados pessoais em matéria laboral ou as condições para o tratamento de dados para fins de investigação histórica, estatística e científica. |
| 6. The supervisory authority shall impose a fine up to 1 000 000 EUR or, in case of an enterprise up to 2 % of its annual worldwide turnover, to anyone who, intentionally or negligently: | 6. A autoridade de controlo aplica uma multa até 1 000 000 EUR ou, no caso de uma empresa, até 2 % do seu volume de negócios mundial anual, a quem, de forma intencional ou negligente: |
| (a) | processes personal data without any or sufficient legal basis for the processing or does not comply with the conditions for consent pursuant to Articles 6, 7 and 8; | a) | Proceda ao tratamento de dados pessoais sem fundamento jurídico ou sem fundamento jurídico suficiente para esse fim ou não cumpra as condições relativas ao consentimento, nos termos dos artigos 6.o, 7.o e 8.o; |
| (b) | processes special categories of data in violation of Articles 9 and 81; | b) | Proceda ao tratamento de categorias especiais de dados em violação dos artigos 9.o e 81.o; |
| (c) | does not comply with an objection or the requirement pursuant to Article 19; | c) | Não respeite uma oposição ou não se conforme com a obrigação prevista no artigo 19.o; |
| (d) | does not comply with the conditions in relation to measures based on profiling pursuant to Article 20; | d) | Não respeite as condições relativas a medidas baseadas na definição de perfis, nos termos do artigo 20.o; |
| (e) | does not adopt internal policies or does not implement appropriate measures for ensuring and demonstrating compliance pursuant to Articles 22, 23 and 30; | e) | Não adote regras internas ou não execute medidas adequadas para assegurar e comprovar o respeito das obrigações previstas nos artigos 22.o, 23.o e 30.o; |
| (f) | does not designate a representative pursuant to Article 25; | f) | Não designe um representante, nos termos do artigo 25.o; |
| (g) | processes or instructs the processing of personal data in violation of the obligations in relation to processing on behalf of a controller pursuant to Articles 26 and 27; | g) | Efetue ou dê instruções para o tratamento de dados pessoais em violação das obrigações relacionadas com o tratamento por conta de um responsável, nos termos dos artigos 26.o e 27.o; |
| (h) | does not alert on or notify a personal data breach or does not timely or completely notify the data breach to the supervisory authority or to the data subject pursuant to Articles 31 and 32; | h) | Não assinale ou não notifique uma violação de dados pessoais, ou não notifique de forma atempada ou completa a violação de dados à autoridade de controlo ou ao titular dos dados, nos termos dos artigos 31.o e 32.o; |
| (i) | does not carry out a data protection impact assessment pursuant or processes personal data without prior authorisation or prior consultation of the supervisory authority pursuant to Articles 33 and 34; | (i) | Não realize uma avaliação de impacto sobre a proteção de dados ou efetue o tratamento de dados pessoais sem autorização prévia ou consulta prévia da autoridade de controlo, nos termos dos artigos 33.o e 34.o; |
| (j) | does not designate a data protection officer or does not ensure the conditions for fulfilling the tasks pursuant to Articles 35, 36 and 37; | (j) | Não designe um delegado para a proteção de dados ou não assegure as condições para o cumprimento das suas funções, nos termos dos artigos 35.o, 36.o e 37.o; |
| (k) | misuses a data protection seal or mark in the meaning of Article 39; | (k) | Utilize indevidamente um selo ou uma marca de proteção de dados na aceção do artigo 39.o; |
| (l) | carries out or instructs a data transfer to a third country or an international organisation that is not allowed by an adequacy decision or by appropriate safeguards or by a derogation pursuant to Articles 40 to 44; | (l) | Efetue ou dê instruções para efetuar uma transferência de dados para um país terceiro ou uma organização internacional que não seja autorizada por uma decisão de adequação, ou por garantias adequadas, ou por uma derrogação, nos termos dos artigos 40.o a 44.o; |
| (m) | does not comply with an order or a temporary or definite ban on processing or the suspension of data flows by the supervisory authority pursuant to Article 53(1); | (m) | Não respeite uma ordem de proibição, temporária ou definitiva, relativa ao tratamento ou à suspensão de fluxos de dados, emitida pela autoridade de controlo, nos termos do artigo 53.o, n.o 1; |
| (n) | does not comply with the obligations to assist or respond or provide relevant information to, or access to premises by, the supervisory authority pursuant to Article 28(3), Article 29, Article 34(6) and Article 53(2); | (n) | Não respeite as obrigações de assistência, de resposta ou de prestação de informações pertinentes à autoridade de controlo, ou de lhe facultar o acesso às instalações, nos termos do artigo 28.o, n.o 3, do artigo 29.o, do artigo 34.o, n.o 6 e do artigo 53.o, n.o 2; |
| (o) | does not comply with the rules for safeguarding professional secrecy pursuant to Article 84. | (o) | Não respeite as regras de proteção do sigilo profissional, nos termos do artigo 84.o. |
| 7. The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of updating the absolute amounts of the administrative fines referred to in paragraphs 4, 5 and 6 paragraph 2a , taking into account the criteria and factors referred to in paragraph paragraphs 2 and 2c . [Am. 188] | 7. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o artigo 86.o, a fim de atualizar os montantes absolutos das multas administrativas previstas nos n.os 4, 5 e 6 no n.o 2-A , tendo em conta os e os fatores referidos no n.o 2 nos n.os 2 e 2-C . [Alt. 188] |
| CHAPTER IX | CAPÍTULO IX |
| PROVISIONS RELATING TO SPECIFIC DATA PROCESSING SITUATIONS | DISPOSIÇÕES RELATIVAS A SITUAÇÕES ESPECÍFICAS DE TRATAMENTO DE DADOS |
| Article 80 | Artigo 80.o |
| Processing of personal data and freedom of expression | Tratamento de dados pessoais e liberdade de expressão |
| 1. Member States shall provide for exemptions or derogations from the provisions on the general principles in Chapter II, the rights of the data subject in Chapter III, on controller and processor in Chapter IV, on the transfer of personal data to third countries and international organisations in Chapter V, the independent supervisory authorities in Chapter VI, and on co-operation and consistency in Chapter VII for the processing of personal data carried out solely for journalistic purposes or the purpose of artistic or literary expression and specific data processing situations in this Chapter whenever this is necessary in order to reconcile the right to the protection of personal data with the rules governing freedom of expression in accordance with the Charter . [Am. 189] | 1. Os Estados-Membros devem estabelecer isenções ou derrogações às disposições sobre os princípios gerais do Capítulo II, os direitos do titular dos dados do Capítulo III, o responsável pelo tratamento e o subcontratante do Capítulo IV, a transferência de dados pessoais para países terceiros e organizações internacionais do Capítulo V, as autoridades de controlo independentes do Capítulo VI e a cooperação e a coerência do Capítulo VII, para os tratamentos de dados pessoais efetuados para fins exclusivamente jornalísticos ou de expressão artística ou literária, desde e sobre situações específicas de tratamento de dados do presente Capítulo, sempre que sejam necessárias para conciliar o direito à proteção de dados pessoais com as regras que regem a liberdade de expressão , nos termos da Carta . [Alt. 189] |
| 2. Each Member State shall notify to the Commission those provisions of its law which it has adopted pursuant to paragraph 1 by the date specified in Article 91(2) at the latest and, without delay, any subsequent amendment law or amendment affecting them. | 2. Cada Estado-Membro notifica à Comissão as disposições de direito interno que adote nos termos do n.o 1, o mais tardar na data prevista no artigo 91.o, n.o 2 e, sem demora, qualquer alteração subsequente das mesmas. |
| Article 80a | Artigo 80.o-A |
| Access to documents | Acesso aos documentos |
| 1. Personal data in documents held by a public authority or a public body may be disclosed by this authority or body in accordance with Union or Member State legislation regarding public access to official documents, which reconciles the right to the protection of personal data with the principle of public access to official documents. | 1. Os dados pessoais constantes de documentos detidos por uma autoridade pública ou um organismo público podem ser divulgados por essa autoridade ou esse organismo nos termos da legislação da União ou de um Estado-Membro sobre o direito de acesso do público aos documentos oficiais, que concilie o direito à proteção de dados pessoais com o princípio do direito de acesso do público aos documentos oficiais. |
| 2. Each Member State shall notify to the Commission provisions of its law which it adopts pursuant to paragraph 1 by the date specified in Article 91(2) at the latest and, without delay, any subsequent amendment affecting them. [Am. 190] | 2. Cada Estado-Membro notifica à Comissão, o mais tardar, na data prevista no artigo 91.o, n.o 2, as disposições de direito nacional que adote nos termos do n.o 1 e notificar-lhe-á, sem demora, qualquer alteração subsequente das mesmas. [Alt. 190] |
| Article 81 | Artigo 81.o |
| Processing of personal data concerning health | Tratamento de dados pessoais relativos à saúde |
| 1. Within the limits of In accordance with the rules set out in this Regulation and in accordance , in particular with point (h) of Article 9(2), processing of personal data concerning health must be on the basis of Union law or Member State law which shall provide for suitable , consistent, and specific measures to safeguard the data subject's legitimate interests, and be fundamental rights, to the extent that these are necessary and proportionate , and of which the effects shall be foreseeable by the data subject, for: | 1. Nos limites do Nos termos do disposto no presente regulamento, e em conformidade com o em particular no artigo 9.o, n.o 2, alínea h), o tratamento de dados pessoais relativos à saúde deve ter por base o direito da União ou a legislação de um Estado-Membro, que deve prever medidas adequadas , coerentes e específicas que garantam os interesses legítimos e os direitos fundamentais do titular de dados, e ser necessário, na medida em que sejam necessárias e proporcionadas, sendo os seus efeitos previsíveis para o titular dos dados : |
| (a) | the purposes of preventive or occupational medicine, medical diagnosis, the provision of care or treatment or the management of health-care services, and where those data are processed by a health professional subject to the obligation of professional secrecy or another person also subject to an equivalent obligation of confidentiality under Member State law or rules established by national competent bodies; or | a) | Para efeitos de medicina preventiva ou do trabalho, diagnósticos médicos, prestação de cuidados de saúde ou tratamentos médicos, ou gestão de serviços da saúde e sempre que o tratamento desses dados for efetuado por um profissional da saúde sujeito ao segredo profissional, ou por outra pessoa igualmente sujeita a uma obrigação de confidencialidade equivalente, ao abrigo da legislação ou regulamentação do Estado-Membro estabelecida pelas autoridades nacionais competentes; ou |
| (b) | reasons of public interest in the area of public health, such as protecting against serious cross-border threats to health or ensuring high standards of quality and safety, inter alia for medicinal products or medical devices , and if the processing is carried out by a person bound by a confidentiality obligation ; or | b) | Por razões de interesse público no domínio da saúde pública, tais como a proteção contra ameaças transfronteiriças graves para a saúde, ou para assegurar um elevado nível de qualidade e segurança, nomeadamente para os medicamentos ou os equipamentos médicos e caso o tratamento dos dados seja efetuado por uma pessoa sujeita ao dever de confidencialidade ; ou |
| (c) | other reasons of public interest in areas such as social protection, especially in order to ensure the quality and cost-effectiveness of the procedures used for settling claims for benefits and services in the health insurance system and the provision of health services. Such processing of personal data concerning health for reasons of public interest shall not result in data being processed for other purposes, unless with the consent of the data subject or on the basis of Union or Member State law . | c) | Por outras razões de interesse público em domínios como a segurança social, em especial para assegurar a qualidade e a rentabilidade quanto aos métodos utilizados para regularizar pedidos de prestações e de serviços no regime de seguro de doença e a prestação de serviços de saúde . Esse tratamento de dados pessoais relativos à saúde por razões de interesse público não deve resultar no tratamento de dados para outros fins, salvo com o consentimento do titular dos dados ou com base no direito da União ou na legislação de um Estado-Membro. |
| 1a. When the purposes referred to in points (a) to (c) of paragraph 1 can be achieved without the use of personal data, such data shall not be used for those purposes, unless based on the consent of the data subject or Member State law. | 1-A. Caso os fins referidos no n.o 1, alíneas a) a c), possam ser alcançados sem a utilização de dados pessoais, esses dados não são utilizados para esses fins, salvo com o consentimento do titular dos dados ou com base na legislação de um Estado-Membro. |
| 1b. Where the data subject's consent is required for the processing of medical data exclusively for public health purposes of scientific research, the consent may be given for one or more specific and similar researches. However, the data subject may withdraw the consent at any time. | 1-B. Caso o consentimento do titular dos dados seja necessário para o tratamento de dados médicos exclusivamente para fins de investigação científica por razões de saúde pública, o consentimento pode ser dado para uma ou mais investigações específicas e similares. O titular dos dados pode, contudo, retirar o seu consentimento em qualquer momento. |
| 1c. For the purpose of consenting to the participation in scientific research activities in clinical trials, the relevant provisions of Directive 2001/20/EC of the European Parliament and of the Council (19) shall apply. | 1-C. Relativamente ao consentimento para a participação em atividades de investigação científica em ensaios clínicos, são aplicáveis as disposições relevantes da Diretiva 2001/20/CE do Parlamento Europeu e do Conselho (19). |
| 2. Processing of personal data concerning health which is necessary for historical, statistical or scientific research purposes, such as patient registries set up for improving diagnoses and differentiating between similar types of diseases and preparing studies for therapies, is shall be permitted only with the consent of the data subject, and shall be subject to the conditions and safeguards referred to in Article 83. | 2. O tratamento de dados pessoais no domínio da saúde que se revele necessário para fins de investigação histórica, estatística ou científica, como a criação de registos de doentes para melhoria de diagnósticos, distinguir entre tipos de doenças semelhantes e elaborar estudos para terapias, estão sujeitos não é permitido senão com o consentimento do titular dos dados, estando sujeito às condições e garantias previstas no artigo 83.o. |
| 2a. Member States law may provide for exceptions to the requirement of consent for research, as referred to in paragraph 2, with regard to research that serves a high public interest, if that research cannot possibly be carried out otherwise. The data in question shall be anonymised, or if that is not possible for the research purposes, pseudonymised under the highest technical standards, and all necessary measures shall be taken to prevent unwarranted re-identification of the data subjects. However, the data subject shall have the right to object at any time in accordance with Article 19. | 2-A. A legislação dos Estados-Membros pode, no que respeita à investigação empreendida ao serviço de um superior interesse público, prever derrogações ao requisito de consentimento para fins de investigação referido no n.o 2, caso essa investigação não seja viável de outra forma. Os dados em questão devem ser anonimizados ou, se isto não for possível para efeitos dessa investigação, devem ser pseudonimizados segundo os mais elevados padrões técnicos, sendo tomadas todas as medidas necessárias para impedir a reidentificação indevida dos titulares dos dados. Em qualquer momento, o titular dos dados pode, contudo, exercer o seu direito de oposição nos termos do artigo 19.o. |
| 3. The Commission shall be empowered to adopt , after requesting an opinion of the European Data Protection Board, delegated acts in accordance with Article 86 for the purpose of further specifying other reasons of public interest in the area of public health as referred to in point (b) of paragraph 1, as well as criteria and requirements for the safeguards for the processing of personal data for the purposes referred to in paragraph 1 and high public interest in the area of research as referred to in paragraph 2a . | 3. São atribuídas competências à Comissão para adotar , depois de solicitado um parecer ao Comité Europeu para a Proteção de Dados, atos delegados em conformidade com o artigo 86.o, a fim de especificar mais concretamente outras razões de interesse público no domínio da saúde pública na aceção do n.o 1, alínea b), bem como o tratamento de dados pessoais para os efeitos referidos no n.o 1 superior interesse público no domínio da investigação na aceção do n.o 2-A. |
| 3a. Each Member State shall notify to the Commission those provisions of its law which it adopts pursuant to paragraph 1, by the date specified in Article 91(2) at the latest and, without delay, any subsequent amendment affecting them. [Am. 191] | 3-A. Cada Estado Membro notifica à Comissão, o mais tardar, na data prevista no artigo 91.o, n.o 2, as disposições de direito nacional que adote nos termos do n.o 1 e notificar-lhe-á, sem demora, qualquer alteração subsequente das mesmas. [Alt. 191] |
| Article 82 | Artigo 82.o |
| Minimum standards for Pprocessing data in the employment context | Normas mínimas aplicáveis ao tratamento de dados em matéria de emprego |
| 1. Within the limits of this Regulation, Member States may , in accordance with the rules set out in this Regulation, and taking into account the principle of proportionality, adopt by law legal provisions specific rules regulating the processing of employees' personal data in the employment context, in particular for but not limited to the purposes of the recruitment and job applications within the group of undertakings , the performance of the contract of employment, including discharge of obligations laid down by law or and by collective agreements, in accordance with national law and practice, management, planning and organisation of work, health and safety at work, and for the purposes of the exercise and enjoyment, on an individual or collective basis, of rights and benefits related to employment, and for the purpose of the termination of the employment relationship. Member States may allow for collective agreements to further specify the provisions set out in this Article. | 1. Nos limites do presente regulamento, Com observância do disposto no presente regulamento e tendo em conta o princípio da proporcionalidade, os Estados-Membros podem adotar, por via legislativa de disposições legislativas , regras específicas para o tratamento de dados pessoais dos assalariados no contexto laboral, nomeadamente , mas não exclusivamente, para efeitos de recrutamento e de candidatura interna a lugares no seio do grupo de empresas, celebração do contrato de trabalho, incluindo o respeito das obrigações previstas por lei e por convenções coletivas, em conformidade com a legislação e a prática nacionais, gestão, planeamento e organização do trabalho, saúde e segurança no trabalho, para efeitos de exercício e gozo, individual ou coletivo, dos direitos e benefícios relacionados com o emprego, bem como para efeitos de cessação da relação de trabalho. Os Estados-Membros podem prever que as disposições do presente artigo sejam adicionalmente especificadas pelas convenções coletivas. |
| 1a. The purpose of processing such data must be linked to the reason it was collected for and stay within the context of employment. Profiling or use for secondary purposes shall not be allowed. | 1-A. A finalidade do tratamento desses dados deve estar ligada à razão pela qual foram recolhidos e inserir-se no contexto do emprego. A definição de perfis ou a utilização para fins secundários não é autorizada. |
| 1b. Consent of an employee shall not provide a legal basis for the processing of data by the employer when the consent has not been given freely. | 1-B. O consentimento de um assalariado não constitui um fundamento jurídico válido para o tratamento dos dados por parte do empregador, se o consentimento não tiver sido livremente expresso. |
| 1c. Notwithstanding the other provisions of this Regulation, the legal provisions of Member States referred to in paragraph 1 shall include at least the following minimum standards: | 1-C. Sem prejuízo das demais disposições do presente regulamento, as disposições legislativas adotadas pelos Estados-Membros referidas no n.o 1 incluem, pelo menos, as seguintes normas mínimas: |
| (a) | the processing of employee data without the employees' knowledge shall not be permitted. Notwithstanding the first sentence, Member States may, by law, provide for the admissibility of this practice, by setting appropriate deadlines for the deletion of data, providing there exists a suspicion based on factual indications that must be documented that the employee has committed a crime or serious dereliction of duty in the employment context, providing also the collection of data is necessary to clarify the matter and providing finally the nature and extent of this data collection are necessary and proportionate to the purpose for which it is intended. The privacy and private lives of employees shall be protected at all times. The investigation shall be carried out by the competent authority; | a) | O tratamento de dados dos trabalhadores sem o conhecimento dos interessados não é autorizado. Em derrogação à primeira frase, os Estados-Membros podem, por via legislativa, prever a admissibilidade desta prática, definindo prazos adequados para a supressão dos dados, desde que haja indícios factuais, obrigatoriamente documentados, que fundamentem a suspeita de que o trabalhador cometeu um crime ou uma violação grave dos seus deveres no contexto laboral, que essa recolha seja necessária para esclarecer o assunto e, enfim, que a natureza e o alcance dessa recolha de dados sejam necessários e proporcionados relativamente à sua finalidade. A vida privada e a privacidade dos trabalhadores devem ser sistematicamente protegidas. O inquérito incumbe às autoridades competentes; |
| (b) | the open optical-electronic and/or open acoustic-electronic monitoring of parts of an undertaking which are not accessible to the public and are used primarily by employees for private activities, especially in bathrooms, changing rooms, rest areas, and bedrooms, shall be prohibited. Clandestine surveillance shall be inadmissible under all circumstances; | b) | É proibida a vigilância ótica e/ou acústica aberta, por meios eletrónicos, das partes da empresa que não são acessíveis ao público e que servem principalmente para a organização da vida privada dos trabalhadores, como as instalações sanitárias, os vestiários, as salas de repouso e os quartos. A vigilância oculta não é, em caso algum, admissível; |
| (c) | where undertakings or authorities collect and process personal data in the context of medical examinations and/or aptitude tests, they must explain to the applicant or employee beforehand the purpose for which those data are being used, and ensure that afterwards they are provided with those data together with the results, and that they receive an explanation of their significance on request. Data collection for the purpose of genetic testing and analyses shall be prohibited as a matter of principle; | c) | Se as empresas ou autoridades procederem à recolha e ao tratamento de dados pessoais no quadro de exames médicos e/ou testes de aptidão, devem esclarecer previamente o candidato ou trabalhador sobre as finalidades para que os dados são utilizados e, seguidamente, comunicar-lhe esses dados, acompanhados dos resultados, e, a pedido, explicar-lhe o seu significado. A recolha de dados para fins de análises e ensaios genéticos é, por princípio, proibida; |
| (d) | whether and to what extent the use of telephone, e-mail, internet and other telecommunications services shall also be permitted for private use may be regulated by collective agreement. Where there is no regulation by collective agreement, the employer shall reach an agreement on this matter directly with the employee. In so far as private use is permitted, the processing of accumulated traffic data shall be permitted in particular to ensure data security, to ensure the proper operation of telecommunications networks and telecommunications services and for billing purposes. | Notwithstanding the third sentence, Member States may, by law, provide for the admissibility of this practice, by setting appropriate deadlines for the deletion of data, providing there exists a suspicion based on factual indications that must be documented that the employee has committed a crime or serious dereliction of duty in the employment context, providing also the collection of data is necessary to clarify the matter and providing finally the nature and extent of this data collection are necessary and proportionate to the purpose for which it is intended. The privacy and private lives of employees shall be protected at all times. The investigation shall be carried out by the competent authority; | d) | Pode ser regulamentado em sede de convenção coletiva se, e em que medida, a utilização do telefone, do correio eletrónico, da Internet e dos demais serviços de telecomunicações é também autorizada para fins privados. Caso este aspeto não seja objeto de regulamentação através de convenção coletiva, o empregador celebra diretamente um acordo sobre essa matéria com o trabalhador. Na medida em que uma utilização privada seja autorizada, o tratamento dos dados acumulados relativos ao tráfego é autorizado, nomeadamente, para garantir a segurança dos dados, assegurar o bom funcionamento das redes e serviços de telecomunicações e para fins de faturação. | Em derrogação à terceira frase, os Estados-Membros podem, por via legislativa, prever a admissibilidade desta prática, definindo prazos adequados para a supressão dos dados, desde que haja indícios factuais, obrigatoriamente documentados, que fundamentem a suspeita de que o trabalhador cometeu um crime ou uma violação grave dos seus deveres no contexto laboral, que essa recolha seja necessária para esclarecer o assunto e, enfim, que a natureza e o alcance dessa recolha de dados sejam necessários e proporcionados relativamente à sua finalidade. A vida privada e a privacidade dos trabalhadores devem ser sistematicamente protegidas. O inquérito incumbe às autoridades competentes; |
| (e) | workers’ personal data, especially sensitive data such as political orientation and membership of and activities in trade unions, may under no circumstances be used to put workers on so-called ‘blacklists’, and to vet or bar them from future employment. The processing, the use in the employment context, the drawing-up and passing-on of blacklists of employees or other forms of discrimination shall be prohibited. Member States shall conduct checks and adopt adequate sanctions in accordance with Article 79(6) to ensure effective implementation of this point. | e) | Os dados pessoais dos trabalhadores, em especial os dados sensíveis, como a orientação política e a filiação e a militância sindicais, não podem, em caso algum, ser utilizados para colocar os trabalhadores nas chamadas «listas negras», nem para os examinar ou excluir de um futuro emprego. O tratamento, a utilização no contexto laboral, a produção e a transmissão de «listas-negras» de trabalhadores ou outras formas de discriminação são proibidos. Os Estados-Membros empreendem controlos e adotam sanções adequadas, nos termos do disposto no artigo 79.o, n.o 6, a fim de garantirem a aplicação efetiva do presente ponto. |
| 1d. Transmission and processing of personal employee data between legally independent undertakings within a group of undertakings and with professionals providing legal and tax advice shall be permitted, providing it is relevant to the operation of the business and is used for the conduct of specific operations or administrative procedures and is not contrary to the interests and fundamental rights of the person concerned which are worthy of protection. Where employee data are transmitted to a third country and/or to an international organisation, Chapter V shall apply. | 1-D. A transferência e o tratamento de dados pessoais dos trabalhadores entre empresas juridicamente independentes no seio de um grupo de empresas e a consultores jurídicos e fiscais são permitidos, desde que sejam relevantes para a atividade da empresa e usados para a execução de operações ou procedimentos administrativos específicos e não sejam contrários aos interesses e aos direitos fundamentais do interessado que devam ser objeto de proteção. Em caso de transferência de dados dos trabalhadores para um país terceiro e/ou organização internacional, aplica-se o capítulo V. |
| 2. Each Member State shall notify to the Commission those provisions of its law which it adopts pursuant to paragraph paragraphs 1 and 1b , by the date specified in Article 91(2) at the latest and, without delay, any subsequent amendment affecting them. | 2. Cada Estado-Membro notifica à Comissão essas disposições do direito nacional que adote nos termos do n.o 1 dos n.os 1 e 1-B , o mais tardar na data prevista no artigo 91.o, n.o 2 e, sem demora, qualquer alteração subsequente das mesmas. |
| 3. The Commission shall be empowered , after requesting an opinion from the European Data Protection Board, to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and requirements for the safeguards for the processing of personal data for the purposes referred to in paragraph 1. [Am. 192] | 3. São atribuídas competências à Comissão , depois de ter solicitado um parecer ao Comité Europeu para a Proteção de Dados, para adotar atos delegados em conformidade com o artigo 86.o, a fim de especificar mais concretamente os critérios e os requisitos aplicáveis às garantias relativas ao tratamento de dados pessoais para os efeitos previstos no n.o 1. [Alt. 192] |
| Article 82a | Artigo 82.o-A |
| Processing in the social security context | Tratamento de dados no contexto da segurança social |
| 1. Member States may, in accordance with the rules set out in this Regulation, adopt specific legislative rules particularising the conditions for the processing of personal data by their public institutions and departments in the social security context if carried out in the public interest. | 1. Os Estados-Membros podem, com observância do disposto no presente regulamento, adotar normas legislativas específicas particularizando as condições do tratamento de dados pessoais pelas suas instituições e serviços públicos no contexto da segurança social se empreendido no interesse público. |
| 2. Each Member State shall notify to the Commission those provisions which it adopts pursuant to paragraph 1, by the date specified in Article 91(2) at the latest and, without delay, any subsequent amendment affecting them. [Am. 193] | 2. Cada Estado-Membro notifica à Comissão, o mais tardar, na data prevista no artigo 91.o, n.o 2, as disposições que adote nos termos do n.o 1 e notificar-lhe-á, sem demora, qualquer alteração subsequente das mesmas. [Alt. 193] |
| Article 83 | Artigo 83.o |
| Processing for historical, statistical and scientific research purposes | Tratamento para fins de investigação histórica, estatística e científica |
| 1. Within the limits of In accordance with the rules set out in this Regulation, personal data may be processed for historical, statistical or scientific research purposes only if: | 1. Nos limites do Com observância do disposto no presente regulamento, os dados pessoais só podem ser objeto de tratamento para fins de investigação histórica, estatística ou científica se: |
| (a) | these purposes cannot be otherwise fulfilled by processing data which does not permit or not any longer permit the identification of the data subject; | (a) | Não for possível alcançar esses fins de outro modo através do tratamento de dados que não permita ou tenha deixado de permitir a identificação da pessoa em causa; |
| (b) | data enabling the attribution of information to an identified or identifiable data subject is kept separately from the other information as long as these purposes can be fulfilled in this manner under the highest technical standards, and all necessary measures are taken to prevent unwarranted re-identification of the data subjects . | (b) | Os dados que permitem ligar informações a um titular de dados identificado ou identificável forem conservados separados de outras informações, desde que esses fins possam ser atingidos deste modo sob os mais elevados padrões técnicos, sendo tomadas todas as medidas necessárias para impedir a reidentificação indevida dos titulares dos dados . |
| 2. Bodies conducting historical, statistical or scientific research may publish or otherwise publicly disclose personal data only if: | 2. Os organismos que efetuem investigações históricas, estatísticas ou científicas só podem publicar ou divulgar dados pessoais se: |
| (a) | the data subject has given consent, subject to the conditions laid down in Article 7; | (a) | O titular dos dados tiver dado o seu consentimento, sem prejuízo das condições estabelecidas no artigo 7.o; |
| (b) | the publication of personal data is necessary to present research findings or to facilitate research insofar as the interests or the fundamental rights or freedoms of the data subject do not override these interests; or | (b) | A publicação dos dados pessoais for necessária para a apresentação de resultados da investigação ou para facilitar a investigação, desde que os interesses ou os direitos e liberdades fundamentais do titular dos dados não prevaleçam sobre o interesse da investigação; |
| (c) | the data subject has made the data public. | (c) | O titular dos dados tiver disponibilizado publicamente os dados. |
| 3. The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and requirements for the processing of personal data for the purposes referred to in paragraph 1 and 2 as well as any necessary limitations on the rights of information to and access by the data subject and detailing the conditions and safeguards for the rights of the data subject under these circumstances. [Am. 194] | 3. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o artigo 86.o, a fim de especificar mais concretamente os critérios e os requisitos aplicáveis ao tratamento de dados pessoais para os efeitos referidos nos n.os 1 e 2, bem como quaisquer restrições necessárias dos direitos de informação e de acesso do titular dos dados, e especificar mais detalhadamente as condições e garantias aplicáveis aos direitos do titular dos dados nas circunstâncias em causa. [Alt. 194] |
| Article 83a | Artigo 83.o-A |
| Processing of personal data by archive services | Tratamento de dados pessoais pelos serviços de arquivos |
| 1. Once the initial processing for which they were collected has been completed, personal data may be processed by archive services whose main or mandatory task is to collect, conserve, provide information about, exploit and disseminate archives in the public interest, in particular in order to substantiate individuals’ rights or for historical, statistical or scientific research purposes. These tasks shall be carried out in accordance with the rules laid down by Member States concerning access to and the release and dissemination of administrative or archive documents and in accordance with the rules set out in this Regulation, specifically with regard to consent and the right to object. | 1. Após a conclusão do tratamento inicial para o qual foram recolhidos, os dados pessoais podem ser objeto de tratamento por parte dos serviços de arquivos cuja função principal ou missão consista em recolher, conservar, fornecer informação, explorar e difundir arquivos no interesse público, designadamente a fim de documentar direitos dos particulares ou para fins históricos, estatísticos ou científicos. Essas funções são exercidas com observância das disposições previstas pelos Estados-Membros em matéria de acesso, de publicação e de difusão de documentos administrativos ou de arquivo, bem como com observância do disposto no presente regulamento, especificamente, em matéria de consentimento e direito de oposição. |
| 2. Each Member State shall notify to the Commission provisions of its law which it adopts pursuant to paragraph 1 by the date specified in Article 91(2) at the latest and, without delay, any subsequent amendment affecting them. [Am. 195] | 2. Cada Estado-Membro notifica à Comissão, o mais tardar, na data prevista no artigo 91.o, n.o 2, as disposições de direito nacional que adote nos termos do n.o 1 e notificar-lhe-á, sem demora, qualquer alteração subsequente das mesmas. [Alt. 195] |
| Article 84 | Artigo 84.o |
| Obligations of secrecy | Obrigações de sigilo |
| 1. Within the limits of In accordance with the rules set out in this Regulation, Member States may adopt shall ensure that specific rules to set are in place setting out the investigative powers by the supervisory authorities laid down in Article 53(2) in relation to controllers or processors that are subjects under national law or rules established by national competent bodies to an obligation of professional secrecy or other equivalent obligations of secrecy, where this is necessary and proportionate to reconcile the right of the protection of personal data with the obligation of secrecy. These rules shall only apply with regard to personal data which the controller or processor has received from or has obtained in an activity covered by this obligation of secrecy. [Am. 196] | 1. Nos limites do Com observância do disposto no presente regulamento, os Estados-Membros podem adotar velam por que estejam em vigor regras específicas para estabelecer que definam os poderes de investigação das autoridades de controlo previstos no artigo 53.o, relativamente a responsáveis pelo tratamento ou a subcontratantes sujeitos, ao abrigo de legislação nacional ou de regras adotadas pelas autoridades nacionais competentes, a uma obrigação de sigilo profissional ou outras obrigações de sigilo equivalentes, sempre que estas se revelem necessárias e proporcionais para conciliar direito de proteção de dados pessoais com a obrigação de sigilo. Estas regras são aplicáveis apenas no que diz respeito aos dados pessoais recebidos pelo responsável pelo tratamento ou pelo subcontratante, ou que este tenha recolhido no âmbito de uma atividade abrangida por essa obrigação de sigilo. [Alt. 196] |
| 2. Each Member State shall notify to the Commission the rules adopted pursuant to paragraph 1, by the date specified in Article 91(2) at the latest and, without delay, any subsequent amendment affecting them. | 2. Cada Estado-Membro notifica a Comissão das disposições que adotar nos termos do n.o 1, o mais tardar na data prevista no artigo 91.o, n.o 2 e, sem demora, qualquer alteração subsequente das mesmas. |
| Article 85 | Artigo 85.o |
| Existing data protection rules of churches and religious associations | Regras existentes sobre a proteção de dados das igrejas e associações religiosas |
| 1. Where in a Member State, churches and religious associations or communities apply, at the time of entry into force of this Regulation, comprehensive adequate rules relating to the protection of individuals with regard to the processing of personal data, such rules may continue to apply, provided that they are brought in line with the provisions of this Regulation. | 1. Sempre que, num Estado-Membro, as igrejas e associações ou comunidades religiosas apliquem, à data de entrada em vigor do presente regulamento, um conjunto completo de regras adequadas relacionadas com a proteção das pessoas singulares relativamente ao tratamento de dados pessoais, essas regras podem continuar a ser aplicadas, desde que conformes com o disposto no presente regulamento. |
| 2. Churches and religious associations which apply comprehensive adequate rules in accordance with paragraph 1 shall provide for the establishment of an independent supervisory authority in accordance with Chapter VI of this Regulation obtain a compliance opinion pursuant to Article 38 . [Am. 197] | 2. As igrejas e associações religiosas que apliquem um conjunto completo de regras adequadas nos termos do n.o 1, devem prever a criação de uma autoridade de controlo independente, nos termos do Capítulo VI do presente regulamento obterão um parecer sobre a conformidade nos termos do artigo 38.o . [Alt. 197] |
| Article 85a | Artigo 85.o-A |
| Respect of fundamental rights | Respeito dos direitos fundamentais |
| This Regulation shall not have the effect of modifying the obligation to respect fundamental rights and fundamental legal principles as enshrined in Article 6 of the TEU. [Am. 198] | O presente regulamento não tem por efeito alterar a obrigação de respeitar os direitos fundamentais e os princípios jurídicos fundamentais consagrados no artigo 6.o do TUE. [Alt. 198] |
| Article 85b | Artigo 85.o-B |
| Standard Forms | Formulários normalizados |
| 1. The Commission may, taking into account the specific features and necessities of various sectors and data processing situations, lay down standard forms for: | 1. Tendo em conta as especificidades e necessidades dos diversos setores e situações de tratamento de dados, a Comissão pode prever formulários normalizados relativamente: |
| (a) | specific methods to obtain verifiable consent referred to in Article 8(1), | a) | Aos métodos específicos de obtenção do consentimento verificável referido no artigo 8.o, n.o 1; |
| (b) | the communication referred to in Article 12(2), including the electronic format, | b) | À comunicação a que se refere o artigo 12.o, n.o 2, inclusive em formato eletrónico; |
| (c) | providing the information referred to in paragraphs 1 to 3 of Article 14, | c) | Ao fornecimento das informações referidas no artigo 14.o, n.os 1 a 3; |
| (d) | requesting and granting access to the information referred to in Article 15(1), including for communicating the personal data to the data subject, | d) | Ao pedido e à concessão de acesso às informações referidas no artigo 15.o, n.o 1, nomeadamente para a comunicação dos dados pessoais ao titular dos dados; |
| (e) | documentation referred to in paragraph 1 of Article 28, | e) | À documentação referida no artigo 28.o, n.o 1; |
| (f) | breach notifications pursuant to Article 31 to the supervisory authority and the documentation referred to in Article 31(4), | f) | Às notificações de violação nos termos do artigo 31.o à autoridade de controlo e à documentação referida no artigo 31.o, n.o 4; |
| (g) | prior consultations referred to in Article 34, and for informing the supervisory authorities pursuant to Article 34(6). | g) | Às consultas prévias a que se refere o artigo 34.o e à informação das autoridades de controlo nos termos do artigo 34.o, n. 6. |
| 2. In doing so, the Commission shall take the appropriate measures for micro, small and medium-sized enterprises. | 2. Ao fazê-lo, a Comissão deve adotar as medidas adequadas em relação às micro, pequenas e médias empresas. |
| 3. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2). [Am. 199] | 3. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 87.o, n.o 2. [Alt. 199] |
| CHAPTER X | CAPÍTULO X |
| DELEGATED ACTS AND IMPLEMENTING ACTS | ATOS DELEGADOS E ATOS DE EXECUÇÃO |
| Article 86 | Artigo 86.o |
| Exercise of the delegation | Exercício de delegação |
| 1. The power to adopt delegated acts is conferred on the Commission subject to the conditions laid down in this Article. | 1. É conferido à Comissão o poder de adotar atos delegados, sob reserva das condições estabelecidas no presente artigo. |
| 2. The delegation of power power to adopt delegated acts referred to in Article 6(5), Article 8(3), Article 9(3), Article 12(5), Article 14(7), Article 15(3), Article 13a(5), Article 17(9), Article 20(6), Article 22(4), Article 23(3), Article 26(5), Article 28(5), Article 30(3), Article 31(5), Article 32(5), Article 336), Article 34(8), Article 35(11), Article 37(2), Article 38(4), Article 39(2), Article 41(3), Article 41(5), Article 43(3), Article 44(7), Article 79(6) Article 79(7) , Article 81(3), and Article 82(3) and Article 83(3) shall be conferred on the Commission for an indeterminate period of time from the date of entry into force of this Regulation. [Am. 200] | 2. A delegação de poderes a que se refere o artigo 6.o, n.o 5, o artigo 8.o, n.o 3, o artigo 9.o, n.o 3, o artigo 12.o, n.o 5, o artigo 14.o, n.o 7, o artigo 15.o, n.o 3, o O poder de adotar atos delegados referido no artigo 13.o-A, n.o 5, no artigo 17.o, n.o 9, o artigo 20.o, n.o 6, o artigo 22.o, n.o 4, o artigo 23.o, n.o 3, o artigo 26.o, n.o 5, o artigo 28.o, n.o 5, o artigo 30.o, n.o 3, o artigo 31.o, n.o 5, o artigo 32.o, n.o 5, o artigo 33.o, n.o 6, o artigo 34.o, n.o 8, o artigo 35.o, n.o 11, o artigo 37.o, n.o 2, o no artigo 38.o, n.o 4, no artigo 39.o, n.o 2, o no artigo 41.o, n.o 3, no artigo 41.o, n.o 5, no artigo 43.o, n.o 3, o artigo 44.o, n.o 7, o no artigo 79.o, n.o 6 7 , o artigo 81.o, n.o 3, o e no artigo 82.o, n.o 3 e o artigo 83.o, n.o 3, é conferida conferido à Comissão por um período indeterminado a contar da data de entrada em vigor do presente regulamento. [Alt. 200] |
| 3. The delegation of power referred to in Article 6(5), Article 8(3), Article 9(3), Article 12(5), Article 14(7), Article 15(3), Article 13a(5), Article 17(9), Article 20(6), Article 22(4), Article 23(3), Article 26(5), Article 28(5), Article 30(3), Article 31(5), Article 32(5), Article 33(6), Article 34(8), Article 35(11), Article 37(2), Article 38(4), Article 39(2), Article 41(3), Article 41(5), Article 43(3), Article 44(7), Article 79(6) Article 79(7) , Article 81(3), and Article 82(3) and Article 83(3) may be revoked at any time by the European Parliament or by the Council. A decision of revocation to revoke shall put an end to the delegation of power specified in that decision. It shall take effect the day following the publication of the decision in the Official Journal of the European Union or at a later date specified therein. It shall not affect the validity of any delegated acts already in force. [Am. 201] | 3. A delegação de poderes a que se refere o artigo 6.o, n.o 5, o artigo 8.o, n.o 3, o artigo 9.o, n.o 3, o artigo 12.o, n.o 5, o artigo 14.o, n.o 7, o artigo 15.o, n.o 3, o artigo 13.o-A, n.o 5 , o artigo 17.o, n.o 9, o artigo 20.o, n.o 6, o artigo 22.o, n.o 4, o artigo 23.o, n.o 3, o artigo 26.o, n.o 5, o artigo 28.o, n.o 5, o artigo 30.o, n.o 3, o artigo 31.o, n.o 5, o artigo 32.o, n.o 5, o artigo 33.o, n.o 6, o artigo 34.o, n.o 8, o artigo 35.o, n.o 11, o artigo 37.o, n.o 2, o artigo 38.o, n.o 4 , o artigo 39.o, n.o 2, o artigo 41.o, n.o 3, o artigo 41.o, n.o 5, o artigo 43.o, n.o 3, o artigo 44.o, n.o 7, o artigo 79.o, n.o 6 7 , o artigo 81.o, n.o 3, e o artigo 82.o, n.o 3 e o artigo 83.o, n.o 3, pode ser revogada a qualquer momento pelo Parlamento Europeu ou pelo Conselho. A decisão de revogação põe termo à delegação dos poderes nela especificados. A revogação produz efeitos no dia seguinte ao da sua publicação no Jornal Oficial da União Europeia ou numa data posterior nela especificada. A decisão de revogação não prejudica a validade dos atos delegados já em vigor. [Alt. 201] |
| 4. As soon as it adopts a delegated act, the Commission shall notify it simultaneously to the European Parliament and to the Council. | 4. Logo que adote um ato delegado, a Comissão notifica-o simultaneamente ao Parlamento Europeu e ao Conselho. |
| 5. A delegated act adopted pursuant to Article 6(5), Article 8(3), Article 9(3), Article 12(5), Article 14(7), Article 15(3), Article 13a(5), Article 17(9), Article 20(6), Article 22(4), Article 23(3), Article 26(5), Article 28(5), Article 30(3), Article 31(5), Article 32(5), Article 33(6), Article 34(8), Article 35(11), Article 37(2), Article 38(4), Article 39(2), Article 41(3), Article 41(5), Article 43(3), Article 44(7), Article 79(6), Article 79(7), Article 81(3), and Article 82(3) and Article 83(3) shall enter into force only if no objection has been expressed either by the European Parliament or the Council within a period of two six months of notification of that act to the European Parliament and the Council or if, before the expiry of that period, the European Parliament and the Council have both informed the Commission that they will not object. That period shall be extended by two six months at the initiative of the European Parliament or of the Council. [Am. 202] | 5. Um ato delegado adotado em conformidade com o artigo 6.o, n.o 5, o artigo 8.o, n.o 3, o artigo 9.o, n.o 3, o artigo 12.o, n.o 5, o artigo 14.o, n.o 7, o artigo 15.o, n.o 3, o artigo 13.o-A, n.o 5, o artigo 17.o, n.o 9, o artigo 20.o, n.o 6, o artigo 22.o, n.o 4, o artigo 23.o, n.o 3, o artigo 26.o, n.o 5, o artigo 28.o, n.o 5, o artigo 30.o, n.o 3, o artigo 31.o, n.o 5, o artigo 32.o, n.o 5, o artigo 33.o, n.o 6, o artigo 34.o, n.o 8, o artigo 35.o, n.o 11, o artigo 37.o, n.o 2, , o artigo 38.o, n.o 4, o artigo 39.o, n.o 2, , o artigo 41.o, n.o 3, o artigo 41.o, n.o 5, o artigo 43.o, n.o 3, o artigo 44.o, n.o 7, o artigo 79.o, n.o 7, o artigo 81.o, n.o 3, e o artigo 82.o, n.o 3 e o artigo 83.o, n.o 3, só pode entrar em vigor se não forem formuladas objeções pelo Parlamento Europeu ou pelo Conselho no prazo de dois seis meses a contar da notificação desse ato ao Parlamento Europeu e ao Conselho ou se, antes do termo do referido prazo, o Parlamento Europeu e o Conselho tiverem informado a Comissão de que não pretendem formular objeções. Esse prazo é prorrogável por seis meses por iniciativa do Parlamento Europeu ou do Conselho. [Alt. 202] |
| Article 87 | Artigo 87.o |
| Committee procedure | Procedimento de comité |
| 1. The Commission shall be assisted by a committee. That committee shall be a committee within the meaning of Regulation (EU) No 182/2011. | 1. A Comissão é assistida por um comité. Esse comité é um comité na aceção do Regulamento (UE) n.o 182/2011. |
| 2. Where reference is made to this paragraph, Article 5 of Regulation (EU) No 182/2011 shall apply. | 2. Sempre que se faça referência ao presente número, é aplicável o artigo 5.o do Regulamento (UE) n.o 182/2011. |
| 3. Where reference is made to this paragraph, Article 8 of Regulation (EU) No 182/2011, in conjunction with Article 5 thereof, shall apply. [Am. 203] | 3. Sempre que se faça referência ao presente número, é aplicável o artigo 8.o do Regulamento (UE) n.o 182/2011 em conjugação com o seu artigo 5.o. [Alt. 203] |
| CHAPTER XI | CAPÍTULO XI |
| FINAL PROVISIONS | DISPOSIÇÕES FINAIS |
| Article 88 | Artigo 88.o |
| Repeal of Directive 95/46/EC | Revogação da Diretiva 95/46/CE |
| 1. Directive 95/46/EC is repealed. | 1. A Diretiva 95/46/CE é revogada. |
| 2. References to the repealed Directive shall be construed as references to this Regulation. References to the Working Party on the Protection of Individuals with regard to the Processing of Personal Data established by Article 29 of Directive 95/46/EC shall be construed as references to the European Data Protection Board established by this Regulation. | 2. As referências à diretiva revogada são consideradas como referências ao presente regulamento. As referências ao Grupo de trabalho de proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais, criado pelo artigo 29.o da Diretiva 95/46/CE, são consideradas como referências ao Comité Europeu para a Proteção de Dados criado pelo presente regulamento. |
| Article 89 | Artigo 89.o |
| Relationship to and amendment of Directive 2002/58/EC | Relação com a Diretiva 2002/58/CE e alteração da mesma |
| 1. This Regulation shall not impose additional obligations on natural or legal persons in relation to the processing of personal data in connection with the provision of publicly available electronic communications services in public communication networks in the Union in relation to matters for which they are subject to specific obligations with the same objective set out in Directive 2002/58/EC. | 1. O presente regulamento não impõe obrigações suplementares a pessoas singulares ou coletivas no que respeita ao tratamento de dados pessoais no contexto da prestação de serviços de comunicações eletrónicas publicamente disponíveis nas redes públicas de comunicações na União em matérias que estejam sujeitas a obrigações específicas com o mesmo objetivo estabelecido na Diretiva 2002/58/CE. |
| 2. Article Articles 1(2) , 4 and 15 of Directive 2002/58/EC shall be deleted. [Am. 204] | 2. O artigo 1.o, n.o 2, e os artigos 4.o e 15.o, da Diretiva 2002/58/CE é suprimido são suprimidos . [Alt. 204] |
| 2a. The Commission shall present, without delay and by the date referred to in Article 91 ( 2) at the latest, a proposal for the revision of the legal framework for the processing of personal data and the protection of privacy in electronic communications, in order to align the law with this Regulation and ensure consistent and uniform legal provisions on the fundamental right to protection of personal data in the Union . [Am. 205] | 2-A. A Comissão apresenta sem demora, o mais tardar, na data referida no artigo 91.o, n.o 2, uma proposta de revisão do quadro jurídico aplicável ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas, a fim de adequar a legislação ao presente regulamento e de garantir a existência de disposições jurídicas coerentes e uniformes sobre o direito fundamental à proteção dos dados pessoais na União. [Alt. 205] |
| Article 89a | Artigo 89.o-A |
| Relationship to and amendment of Regulation (EC) No 45/2001 | Relação com o Regulamento (CE) n.o 45/2001 e sua alteração |
| 1. The rules set out in this Regulation shall apply to the processing of personal data by Union institutions, bodies, offices and agencies in relation to matters for which they are not subject to additional rules set out in Regulation (EC) No 45/2001. | 1. As disposições do presente regulamento são aplicáveis ao tratamento de dados pessoais pelas instituições, órgãos, organismos e agências da União, relativamente à matéria na qual não estejam sujeitos a disposições adicionais previstas no Regulamento (CE) n.o 45/2001. |
| 2. The Commission shall present, without delay and by the date specified in Article 91(2) at the latest, a proposal for the revision of the legal framework applicable to the processing of personal data by the Union institutions, bodies, offices and agencies. [Am. 206] | 2. A Comissão apresenta sem demora, o mais tardar, na data referida no artigo 91.o, n.o 2, uma proposta de revisão do quadro jurídico aplicável ao tratamento de dados pessoais pelas instituições, órgãos, organismos e agências da União. [Alt. 206] |
| Article 90 | Artigo 90.o |
| Evaluation | Avaliação |
| The Commission shall submit reports on the evaluation and review of this Regulation to the European Parliament and the Council at regular intervals. The first report shall be submitted no later than four years after the entry into force of this Regulation. Subsequent reports shall be submitted every four years thereafter. The Commission shall, if necessary, submit appropriate proposals with a view to amending this Regulation, and aligning other legal instruments, in particular taking account of developments in information technology and in the light of the state of progress in the information society. The reports shall be made public. | A Comissão apresenta periodicamente ao Parlamento Europeu e ao Conselho relatórios sobre a avaliação e reexame do presente regulamento. O primeiro relatório deve ser apresentado o mais tardar quatro anos após a entrada em vigor do presente regulamento. Os relatórios subsequentes devem ser apresentados com uma periodicidade de quatro anos. A Comissão apresentará, se necessário, propostas adequadas com vista à alteração do presente regulamento e à sua adaptação a outros instrumentos jurídicos atendendo, em especial, à evolução das tecnologias das informações e aos progressos da sociedade da informação. Os relatórios são objeto de publicação. |
| Article 91 | Artigo 91.o |
| Entry into force and application | Entrada em vigor e aplicação |
| 1. This Regulation shall enter into force on the twentieth day following that of its publication in the Official Journal of the European Union. | 1. O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia. |
| 2. It shall apply from … (*1). | 2. O presente regulamento é aplicável… (*1) |
| This Regulation shall be binding in its entirety and directly applicable in all Member States. | O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros. |
| Done at …, | Feito em |
| For the European Parliament | Pelo Parlamento Europeu |
| The President | O Presidente |
| For the Council | Pelo Conselho |
| The President | O Presidente |
| (1) OJ C 229, 31.7.2012, p. 90. | (1) JO C 229 de 31.7.2012, p. 90. |
| (2) OJ C 192, 30.6.2012, p. 7. | (2) JO C 192 de 30.6.2012, p. 7 |
| (3) Position of the European Parliament of 12 March 2014. | (3) Posição do Parlamento Europeu de 12 de março de 2014. |
| (4) Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (OJ L 281, 23.11.1995, p. 31). | (4) Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO L 281 de 23.11.1995, p. 31). |
| (5) Commission Recommendation 2003/361/EC of 6 May 2003 concerning the definition of micro, small and medium-sized enterprises (OJ L 124, 20.5.2003, p. 36). | (5) Recomendação 2003/361/CE da Comissão, de 6 de maio de 2003, relativa à definição de micro, pequenas e médias empresas (JO L 124 de 20.5.2003, p. 36). |
| (6) Regulation (EC) No 45/2001 of the European Parliament and of the Council of 18 December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data ( OJ L 8, 12.1.2001, p. 1). | (6) Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais ( JO L 8 de 12.1.2001, p. 1). |
| (7) Directive 2000/31/EC of the European Parliament and of the Council of 8 June 2000 on certain legal aspects of information society services, in particular electronic commerce, in the Internal Market (Directive on electronic commerce) (OJ L 178, 17.7.2000, p. 1). | (7) Directiva 2000/31/CE do Parlamento Europeu e do Conselho de 8 de junho de 2000 relativa a certos aspectos legais dos serviços da sociedade de informação, em especial do comércio electrónico, no mercado interno («Directiva sobre o comércio electrónico») (JO L 178 de 17.7.2000, p. 1). |
| (8) Council Directive 93/13/EEC of 5 April 1993 on unfair terms in consumer contracts (OJ L 95, 21.4.1993, p. 29). | (8) Directiva 93/13/CEE do Conselho, de 5 de abril de 1993, relativa às cláusulas abusivas nos contratos celebrados com os consumidores (JO L 95 de 21.4.1993, p. 29). |
| (9) Regulation (EC) No 1338/2008 of the European Parliament and of the Council of 16 December 2008 on Community statistics on public health and health and safety at work (OJ L 354, 31.12.2008, p. 70). | (9) Regulamento (CE) n.o 1338/2008 do Parlamento Europeu e do Conselho, de 16 de dezembro de 2008, relativo às estatísticas da União sobre saúde pública e saúde e segurança no trabalho (JO L 354 de 31.12.2008, p. 70). |
| (10) Directive 2009/38/EC of the European Parliament and of the Council of 6 May 2009 on the establishment of a European Works Council or a procedure in Community-scale undertakings and Community-scale groups of undertakings for the purposes of informing and consulting employees (OJ L 122, 16.5.2009, p. 28). | (10) CDiretiva 2009/38/CE do Parlamento Europeu e do Conselho, de 6 de maio de 2009, relativa à instituição de um Conselho de Empresa Europeu ou de um procedimento de informação e consulta dos trabalhadores nas empresas ou grupos de empresas de dimensão comunitária (JO L 122 de 16.5.2009, p. 28). |
| (11) Regulation (EU) No 182/2011 of the European Parliament and of the Council of 16 February 2011 laying down the rules and general principles concerning mechanisms for control by Member States of the Commission’s exercise of implementing powers (OJ L 55, 28.2.2011, p. 13). | (11) Regulamento (UE) n.o 182/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os princípios gerais relativos aos mecanismos de controlo pelos Estados-Membros do exercício das competências de execução pela Comissão (JO L 55 de 28.2.2011, p. 13). |
| (12) Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications) (OJ L 201, 31.7.2002, p. 37) | (12) Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas (Diretiva relativa à privacidade e às comunicações electrónicas) (JO L 201 de 31.7.2002, p. 37) |
| (13) OJ L 176, 10.7.1999, p. 36. | (13) JO L 176 de 10.7.1999, p. 36. |
| (14) OJ L 53, 27.2.2008, p. 52. | (14) JO L 53 de 27.2.2008, p. 52. |
| (15) OJ L 160, 18.6.2011, p. 21. | (15) JO L 160 de 18.6.2011, p. 21. |
| (16) Directive 2004/18/EC of the European Parliament and of the Council of 31 March 2004 on the coordination of procedures for the award of public works contracts, public supply contracts and public service contracts (OJ L 134, 30.4.2004, p. 114). | (16) Diretiva 2004/18/CE do Parlamento Europeu e do Conselho, de 31 de março de 2004, relativa à coordenação dos processos de adjudicação dos contratos de empreitada de obras públicas, dos contratos públicos de fornecimento e dos contratos públicos de serviços (JO L 134 de 30.4.2004, p. 114). |
| (17) Directive 2004/17/EC of the European Parliament and of the Council of 31 March 2004 coordinating the procurement procedures of entities operating in the water, energy, transport and postal services sector (OJ L 134, 30.4.2004, p. 1). | (17) Diretiva 2004/17/CE do Parlamento Europeu e do Conselho, de 31 de março de 2004, relativa à coordenação dos processos de adjudicação de contratos nos sectores da água, da energia, dos transportes e dos serviços postais (JO L 134 de 30.4.2004, p. 1). |
| (18) Regulation (EC) No 1049/2001 of the European Parliament and of the Council of 30 May 2001 regarding public access to European Parliament, Council and Commission documents (OJ L 145, 31.5.2001, p. 43). | (18) Regulamento (CE) n.o 1049/2001 do Parlamento Europeu e do Conselho, de 30 de maio de 2001, relativo ao acesso do público aos documentos do Parlamento Europeu, do Conselho e da Comissão (JO L 145 de 31.5.2001, p. 43) |
| (19) Directive 2001/20/EC of the European Parliament and of the Council of 4 April 2001 on the approximation of the laws, regulations and administrative provisions of the Member States relating to the implementation of good clinical practices in the conduct of clinical trials on medicinal products for human use (OJ L 121, 1.5.2001, p. 34). | (19) Diretiva 2001/20/CE do Parlamento Europeu e do Conselho, de 4 de abril de 2001, relativa à aproximação das disposições legislativas, regulamentares e administrativas dos Estados-Membros respeitantes à aplicação de boas práticas clínicas na condução dos ensaios clínicos de medicamentos para uso humano (JO L 121 de 1.5.2001, p. 34). |
| (*1) Two years from the date of entry into force of this Regulation. | (*1) Dois anos a contar da data de entrada em vigor do presente regulamento. |
| Annex — Presentation of the particulars referred to in Article 13a | Anexo — Apresentação da informação sobre os aspetos referidos no artigo 13.o-A |
| 1) | Having regard to the proportions referred to in point 6, particulars shall be provided as follows: | ICON | ESSENTIAL INFORMATION | FULFILLED | No personal data are collected beyond the minimum necessary for each specific purpose of the processing | | No personal data are retained beyond the minimum necessary for each specific purpose of the processing | | No personal data are processed for purposes other than the purposes for which they were collected | | No personal data are disseminated to commercial third parties | | No personal data are sold or rented out | | No personal data are retained in unencrypted form | | COMPLIANCE WITH ROWS 1-3 IS REQUIRED BY EU LAW | 1) | Tendo em conta as proporções referidas no ponto 6, as informações serão fornecidas do seguinte modo: | ÍCONE | INFORMAÇÕES ESSENCIAIS | CUMPRIDO | Não são recolhidos dados pessoais além do mínimo necessário para cada finalidade específica do tratamento | | Não são conservados dados pessoais além do mínimo necessário para cada finalidade específica do tratamento | | Não são tratados dados pessoais com outros fins senão aqueles para os quais foram recolhidos; | | Não são difundidos dados pessoais a terceiros que têm fins comerciais | | Não são vendidos ou alugados dados pessoais | | Não são conservados dados pessoais sem codificação | | O RESPEITO DAS LINHAS 1-3 É OBRIGATÓRIO NOS TERMOS A LEGISLAÇÃO DA UE |
| 2) | The following words in the rows in the second column of the table in point 1, entitled ‘ESSENTIAL INFORMATION’, shall be formatted as bold: | a) | the word ‘collected’ in the first row of the second column; | b) | the word ‘retained’ in the second row of the second column; | c) | the word ‘processed’ in the third row of the second column; | d) | the word ‘disseminated’ in the fourth row of the second column; | e) | the word ‘sold and rented out’ in the fifth row of the second column; | f) | the word ‘unencrypted’ in the sixth row of the second column. | 2) | As palavras seguintes, nas linhas da segunda coluna do quadro constante do ponto 1, intitulada «INFORMAÇÕES ESSENCIAIS», são formatadas a negrito: | a) | A palavra «recolhidos», na primeira linha da segunda coluna; | b) | A palavra «conservados», na segunda linha da segunda coluna; | c) | A palavra «tratados», na terceira linha da segunda coluna; | d) | A palavra «difundidos», na quarta linha da segunda coluna; | e) | As palavras «vendidos ou alugados», na quinta linha da segunda coluna; | f) | A palavra «sem codificação», na sexta linha da segunda coluna; |
| 3) | Having regard to the proportions referred to in point 6, the rows in the third column of the table in point 1, entitled ‘FULFILLED’, shall be completed with one of the following two graphical forms in accordance with the conditions laid down under point 4: | a) | b) | 3) | Tendo em conta as proporções referidas no ponto 6, as linhas da terceira coluna do quadro constante do ponto 1, intitulada «CUMPRIDO», são preenchidas com uma das duas formas gráficas seguintes, em conformidade com as condições previstas no ponto 4: | a) | b) |
| 4) | a) | If no personal data are collected beyond the minimum necessary for each specific purpose of the processing, the first row of the third column of the table in point 1 shall entail the graphical form referred to in point 3a. | b) | If personal data are collected beyond the minimum necessary for each specific purpose of the processing, the first row of the third column of the table in point 1 shall entail the graphical form referred to in point 3b. | c) | If no personal data are retained beyond the minimum necessary for each specific purpose of the processing, the second row of the third column of the table in point 1 shall entail the graphical form referred to in point 3a. | d) | If personal data are retained beyond the minimum necessary for each specific purpose of the processing, the second row of the third column of the table in point 1 shall entail the graphical form referred to in point 3b. | e) | If no personal data are processed for purposes other than the purposes for which they were collected, the third row of the third column of the table in point 1 shall entail the graphical form referred to in point 3a. | f) | If personal data are processed for purposes other than the purposes for which they were collected, the third row of the third column of the table in point 1 shall entail the graphical form referred to in point 3b. | g) | If no personal data are disseminated to commercial third parties, the fourth row of the third column of the table in point 1 shall entail the graphical form referred to in point 3a. | h) | If personal data are disseminated to commercial third parties, the fourth row of the third column of the table in point 1 shall entail the graphical form referred to in point 3b. | i) | If no personal data are sold or rented out, the fifth row of the third column of the table in point 1 shall entail the graphical form referred to in point 3a. | j) | If personal data are sold or rented out, the fifth row of the third column of the table in point 1 shall entail the graphical form referred to in point 3b. | k) | If no personal data are retained in unencrypted form, the sixth row of the third column of the table in point 1 shall entail the graphical form referred to in point 3a. | l) | If personal data are retained in unencrypted form, the sixth row of the third column of the table in point 1 shall entail the graphical form referred to in point 3b. | 4) | a) | Se não são recolhidos dados pessoais além do mínimo necessário para cada finalidade específica do tratamento, a primeira linha da terceira coluna do quadro constante do ponto 1 exibe a forma gráfica referida no ponto 3, alínea a). | b) | Se são recolhidos dados pessoais além do mínimo necessário para cada finalidade específica do tratamento, a primeira linha da terceira coluna do quadro constante do ponto 1 exibe a forma gráfica referida no ponto 3, alínea b). | c) | Se não são conservados dados pessoais além do mínimo necessário para cada finalidade específica do tratamento, a segunda linha da terceira coluna do quadro constante do ponto 1 exibe a forma gráfica referida no ponto 3, alínea a). | d) | Se são conservados dados pessoais além do mínimo necessário para cada finalidade específica do tratamento, a segunda linha da terceira coluna do quadro constante do ponto 1 exibe a forma gráfica referida no ponto 3, alínea b). | e) | Se não são tratados dados pessoais com outros fins senão aqueles para os quais foram recolhidos, a terceira linha da terceira coluna do quadro constante do ponto 1 exibe a forma gráfica referida no ponto 3, alínea a). | f) | Se são tratados dados pessoais com outros fins além daqueles para os quais foram recolhidos, a terceira linha da terceira coluna do quadro constante do ponto 1 exibe a forma gráfica referida no ponto 3, alínea b). | g) | Se não são difundidos dados pessoais a terceiros que têm fins comerciais, a quarta linha da terceira coluna do quadro constante do ponto 1 exibe a forma gráfica referida no ponto 3, alínea a). | h) | Se são difundidos dados pessoais a terceiros que têm fins comerciais, a quarta linha da terceira coluna do quadro constante do ponto 1 exibe a forma gráfica referida no ponto 3, alínea b). | i) | Se não são vendidos ou alugados dados pessoais, a quinta linha da terceira coluna do quadro constante do ponto 1 exibe a forma gráfica referida no ponto 3, alínea a). | j) | Se são vendidos ou alugados dados pessoais, a quinta linha da terceira coluna do quadro constante do ponto 1 exibe a forma gráfica referida no ponto 3, alínea b). | k) | Se não são conservados dados pessoais sem codificação, a sexta linha da terceira coluna do quadro constante do ponto 1 exibe a forma gráfica referida no ponto 3, alínea a). | l) | Se são conservados dados pessoais sem codificação, a sexta linha da terceira coluna do quadro constante do ponto 1 exibe a forma gráfica referida no ponto 3, alínea b). |
| 5) | The reference colours of the graphical forms in point 1 in Pantone are Black Pantone No 7547 and Red Pantone No 485. The reference colour of the graphical form in point 3a in Pantone is Green Pantone No 370. The reference colour of the graphical form in point 3b in Pantone is Red Pantone No 485. | 5) | As cores de referência das formas gráficas constante do ponto 1 em Pantone são Pantone Preto n.o 7547 e Pantone Vermelho n.o 485. A cor de referência da forma gráfica constante do ponto 3, alínea a), em Pantone é Pantone Verde n.o 370. A cor de referência da forma gráfica constante do ponto 3, alínea b), em Pantone é Pantone Vermelho n.o 485. |
| 6) | The proportions given in the following graduated drawing shall be respected, even where the table is reduced or enlarged: | 6) | As proporções fornecidas no grafismo graduado seguinte devem ser respeitadas, mesmo quando o quadro é reduzido ou ampliado: |
| [Am. 207] | [Alt. 207] |
