?

EUROPEAN COMMISSIONCOMISSÃO EUROPEIA
Brussels, 24.1.2018Bruxelas, 24.1.2018
COM(2018) 43 finalCOM(2018) 43 final
COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCILCOMUNICAÇÃO DA COMISSÃO AO PARLAMENTO EUROPEU E AO CONSELHO
Stronger protection, new opportunities - Commission guidance on the direct application of the General Data Protection Regulation as of 25 May 2018FMT:BoldMaior proteção, novas oportunidades — Orientações da Comissão relativas à aplicação direta do Regulamento Geral sobre a Proteção de Dados a partir de 25 de maio de 2018/FMT
Communication from the Commission to the European Parliament and the CouncilComunicação da Comissão ao Parlamento Europeu e ao Conselho
Stronger protection, new opportunities - Commission guidance on the direct application of the General Data Protection Regulation as of 25 May 2018Maior proteção, novas oportunidades — Orientações da Comissão relativas à aplicação direta do Regulamento Geral sobre a Proteção de Dados a partir de 25 de maio de 2018
IntroductionIntrodução
On 6 April 2016, the EU agreed to a major reform of its data protection framework, by adopting the data protection reform package, comprising the General Data Protection Regulation (GDPR)  1 replacing the twenty years old Directive 95/46/EC 2 (‘Data Protection Directive’) and the Police Directive 3 . On 25 May 2018, the new EU-wide data protection instrument, the General Data Protection Regulation, ("the Regulation"), will become directly applicable, two years after its adoption and entry into force 4 .No dia 6 de abril de 2016, a UE decidiu reformar a fundo o seu quadro de proteção de dados, adotando o pacote de reformas em matéria de proteção de dados, composto pelo Regulamento Geral sobre a Proteção de Dados (RGPD) 1 , que substitui a Diretiva 95/46/CE 2 («Diretiva Proteção de Dados»), com mais de vinte anos, e pela Diretiva Cooperação Policial 3 . Em 25 de maio de 2018, o novo instrumento geral da UE em matéria de proteção de dados, o Regulamento Geral sobre a Proteção de Dados («o regulamento»), passará a ser diretamente aplicável, dois anos após a sua adoção e entrada em vigor 4 .
The new Regulation will strengthen the protection of the individual’s right to personal data protection, reflecting the nature of data protection as a fundamental right for the European Union 5 .O novo regulamento reforçará a proteção do direito fundamental dos indivíduos à proteção dos dados pessoais, refletindo a natureza da proteção de dados enquanto direito fundamental da União Europeia 5 .
Providing for a single set of rules directly applicable in the Member States legal orders, it will guarantee the free flow of personal data between EU Member States and reinforce trust and security of the consumers, two indispensable elements for a real Digital Single Market. In this way, the Regulation will open up new opportunities for businesses and companies, especially the smaller ones, also by making clearer rules for international transfers of data.Disponibilizando um único conjunto de regras diretamente aplicáveis nas ordens jurídicas dos Estados-Membros, o regulamento garantirá a livre circulação de dados pessoais entre os Estados-Membros da UE e reforçará a confiança e a segurança dos consumidores, dois elementos indispensáveis para que exista um verdadeiro mercado único digital. Desta forma, o regulamento proporcionará novas oportunidades para as empresas, em especial as de menor dimensão, tornando também mais claras as regras aplicáveis às transferências internacionais de dados.
Even though the new data protection framework has been built on the existing legislation, it will have a wide ranging impact and will require significant adjustments in certain aspects. For this reason, the Regulation provided for a transition period of 2 years - until 25 May 2018 - to give Member States and stakeholders time to fully prepare for the new legal framework.Embora assente na legislação existente, o novo quadro de proteção de dados terá um impacto muito alargado e necessitará de ajustes significativos em determinados aspetos. Por esta razão, o regulamento prevê um período de transição de dois anos — até 25 de maio de 2018 — para dar tempo aos Estados-Membros e às partes interessadas de se prepararem devidamente para o novo quadro jurídico.
Over the past two years all stakeholders, from national administrations and national data protection authorities to data controllers and processors, have engaged in a number of activities to ensure that the importance and the scale of the changes brought about by the new data protection are well understood and that all actors are ready for its application. As the deadline of 25 May approaches, the Commission believes that it is necessary to take stock of this work and look into any further steps that may be useful to ensure all elements are in place for a successful entry into effect of the new framework 6 .Ao longo dos últimos dois anos, todas as partes interessadas, desde administrações nacionais e autoridades nacionais de proteção de dados até aos responsáveis pelo tratamento e subcontratantes, participaram em diversas atividades para assegurar que a importância e a dimensão das alterações decorrentes das novas regras da proteção de dados são bem compreendidas e que todos os intervenientes estão prontos para a sua aplicação. Com a aproximação da data limite de 25 de maio, a Comissão acredita ser necessário fazer um balanço do seu trabalho e definir outras etapas que possam ser úteis para assegurar que estão reunidas todas as condições para que o novo quadro produza os efeitos previstos 6 .
This Communication:A presente comunicação:
·recaps the main innovations and opportunities opened up by the new EU data protection legislation;·recapitula as principais inovações e oportunidades decorrentes da nova legislação da UE em matéria de proteção de dados;
·takes stock of the preparatory work undertaken so far at EU level;·faz um balanço dos trabalhos preparatórios realizados até à data ao nível da UE;
·outlines what the European Commission, national data protection authorities and national administrations should still do for bringing the preparation to a successful completion;·delineia o que a Comissão Europeia, as autoridades nacionais de proteção de dados e as administrações nacionais ainda devem fazer para que a elaboração seja concluída com êxito;
·Sets out measures that the Commission intends to take in the coming months.·define as medidas que a Comissão pretende tomar nos próximos meses.
Furthermore, in parallel with the adoption of this Communication, the Commission launches an online toolkit to help stakeholders prepare for the application of the Regulation and, with the support of the Representation offices, an information campaign in all Member States.Além disso, paralelamente à adoção da presente comunicação, a Comissão lança um conjunto de instrumentos em linha que visam ajudar as partes interessadas a prepararem a aplicação do regulamento e, com o apoio dos gabinetes de representação, uma campanha de informação em todos os Estados-Membros.
1.THE NEW EU DATA PROTECTION FRAMEWORK — STRONGER PROTECTION and NEW OPPORTUNITIES1.O NOVO QUADRO DA UE EM MATÉRIA DE PROTEÇÃO DE DADOS — MAIOR PROTEÇÃO E NOVAS OPORTUNIDADES
The Regulation continues to follow the approach of the Data Protection Directive, but, building on 20 years of EU data protection legislation and relevant case law, it clarifies and modernises the data protection rules; it introduces a number of novel elements that strengthen the protection of individual rights and open opportunities for companies and business, in particular:O regulamento continua a seguir a abordagem da Diretiva Proteção de Dados mas, baseando-se nos 20 anos de legislação e jurisprudência da UE em matéria de proteção de dados, clarifica e moderniza as regras relativas à proteção de dados e introduz diversos elementos novos que visam reforçar a proteção dos direitos individuais e criar oportunidades para as empresas, em especial:
·A harmonised legal framework leading to a uniform application of rules to the benefit of the EU digital single market. This means one single set of rules for citizens and businesses. This will address today’s situation where EU Member States have implemented the Directive’s rules differently. To ensure a uniform and consistent application in all Member States, a one-stop-shop mechanism is introduced;·Um quadro jurídico harmonizado que visa uma aplicação uniforme das regras em prol do mercado único digital da UE. Significa isto que existe um único conjunto de regras para os cidadãos e para as empresas. Tal dará resposta à situação atual em que os Estados-Membros da UE transpuseram as regras da diretiva de forma diferente. Para assegurar uma aplicação uniforme e coerente em todos os Estados-Membros, introduziu-se um mecanismo de balcão único;
·A level-playing field for all companies operating in the EU market. The Regulation requires companies based outside the EU to apply the same rules as companies based in the EU if they are offering goods and services related to the personal data or are monitoring the behaviour of individuals in the Union. Companies operating from outside the EU and active in the Single market must, in certain circumstances, appoint a representative in the EU that citizens and authorities can address in addition to or instead of the company based abroad;·Condições de concorrência equitativas para todas as empresas que operam no mercado da UE. O regulamento exige que as empresas sediadas fora da UE apliquem as mesmas regras que as empresas sediadas na UE, caso ofereçam bens e serviços relacionados com dados pessoais ou monitorizem o comportamento dos indivíduos na União. As empresas que operam a partir de países fora da UE e estão ativas no mercado único devem, em determinadas circunstâncias, nomear um representante na UE a quem os cidadãos e as autoridades se possam dirigir em complemento ou em substituição da empresa com sede no estrangeiro;
·The principles of data protection by design and by default creating incentives for innovative solutions to address data protection issues from the start;·Os princípios da proteção de dados desde a conceção e por defeito, criando incentivos para soluções inovadoras que deem resposta a questões sobre a proteção de dados logo desde o início;
·Stronger individuals’ rights: The Regulation introduces new transparency requirements; strengthened rights of information, access and erasure (‘right to be forgotten’); silence or inactivity will no longer be considered as valid consent as a clear affirmative action to express the consent is required; protecting children online;·Reforço dos direitos individuais: O regulamento introduz novos requisitos de transparência; reforço dos direitos de informação, acesso, apagamento («direito a ser esquecido»); o silêncio e a inatividade deixam de ser considerados consentimentos válidos, sendo necessária uma ação afirmativa clara para manifestar o consentimento; proteção das crianças em linha;
·More control over personal data for individuals. The Regulation establishes a new right to data portability, allowing citizens to ask a company or an organisation to receive back personal data he/she provided to that company or organisation on the basis of consent or contract; it will also allow for such personal data to be transmitted directly to another company or organisation, when it is technically feasible. Since it allows the direct transmission of personal data from one company or organisation to another, this right will also support the free flow of personal data in the EU, avoid the 'lock-in' of personal data, and encourage competition between companies. Making it easier for citizens to switch between different service providers will encourage the development of new services in the context of the digital single market strategy;·Mais controlo em relação aos dados pessoais dos indivíduos. O regulamento estabelece um novo direito de portabilidade dos dados, que permite aos cidadãos solicitar a uma empresa ou a uma organização que devolva os dados pessoais que o cidadão forneceu a essa empresa ou organização com base em consentimento ou contrato; permite igualmente que esses dados pessoais sejam transmitidos diretamente a outra empresa ou organização, quando tal for tecnicamente possível. Uma vez que permite a transmissão direta de dados pessoais de uma empresa ou organização para outra, este direito também contribui para a livre circulação de dados pessoais na UE, evita a retenção de dados pessoais e incentiva a concorrência entre empresas. Fazer com que os cidadãos consigam mais facilmente alternar entre diferentes prestadores de serviços fomentará o desenvolvimento de novos serviços no contexto da estratégia para o mercado único digital;
·Stronger protection against data breaches. The Regulation lays down a comprehensive set of rules on personal data breaches. It clearly defines what is a ‘personal data breach’, it introduces an obligation to notify the supervisory authority at the latest within 72 hours when the data breach is likely to pose a risk to the individual’s rights and freedoms. In certain circumstances, it obliges to inform the person whose data is concerned by the breach. This greatly reinforces the protection compared to the current situation in the EU, in which only electronic communication service providers, operators of essential services and digital service providers are obliged to notify data breaches under the Directive on privacy and electronic communications ('ePrivacy Directive') 7 and the Directive on the security of network and information systems (NIS) Directive 8 respectively;·Maior proteção contra violações de dados. O regulamento estabelece um conjunto de regras abrangente sobre violações de dados pessoais. Define claramente o que é uma «violação dos dados pessoais» e introduz uma obrigação de notificação à autoridade de controlo, o mais tardar no prazo de 72 horas, quando a violação de dados for suscetível de implicar um risco para os direitos e liberdades individuais. Em determinadas circunstâncias, obriga a que se informe o titular dos dados acerca da violação. Este aspeto reforça muitíssimo a proteção, em comparação com o que acontece atualmente na UE, já que só os prestadores de serviços de comunicações eletrónicas, os operadores de serviços essenciais e os prestadores de serviços digitais é que estão obrigados a notificar violações de dados ao abrigo da Diretiva relativa à privacidade e às comunicações eletrónicas («Diretiva Privacidade Eletrónica») 7 e da Diretiva relativa à segurança das redes e da informação («Diretiva Cibersegurança») 8 , respetivamente;
·The Regulation gives all data protection authorities the power to impose fines on controllers and processors. Currently not all of them have this power. This will allow for better implementation of the rules. The fines can go up to EUR 20 million or, in the case of a company, 4% of the worldwide annual turnover;·O regulamento habilita todas as autoridades de proteção de dados a impor coimas aos responsáveis pelo tratamento e subcontratantes. Atualmente, nem todas estão habilitadas para o fazer. Isto permitirá uma melhor aplicação das regras. As coimas podem chegar aos 20 milhões de euros ou, no caso de uma empresa, a 4 % do volume de negócios anual a nível mundial;
·More flexibility for controllers and processors processing personal data due to unambiguous provisions on responsibility (the accountability principle). The Regulation moves away from a system of notification to the principle of accountability. This latter is implemented through scalable obligations depending on risk (e.g. the presence of a Data Protection Officer or the obligation to conduct data protection impact assessments). A new tool is introduced in order to help to assess the risk before one starts with the processing: the data protection impact assessment. The latter is required whenever processing is likely to result in a high risk to the rights and freedoms of individuals. Three situations are specifically mentioned as such under the Regulation: when a company evaluates systematically and extensively personal aspects of an individual (including profiling), when it processes sensitive data on a large scale or systematically monitors public areas on a large scale. National data protection authorities will have to make public the lists of cases requiring a data protection impact assessment 9 ;·Mais flexibilidade para os responsáveis pelo tratamento e subcontratantes que tratam dados pessoais devido a disposições inequívocas sobre responsabilidade (o princípio da responsabilidade). O regulamento afasta-se de um sistema de notificação e passa a assentar no princípio da responsabilidade. Este último é aplicado através de obrigações que podem ser ajustadas em função do risco (ou seja, a presença de um encarregado da proteção de dados ou a obrigação de realizar avaliações de impacto sobre a proteção de dados). É introduzido um novo instrumento para ajudar a avaliar o risco antes de se iniciar o tratamento: a avaliação de impacto sobre a proteção de dados. A obrigação de realizar esta avaliação existe quando o tratamento é suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares. O regulamento menciona especificamente três situações: quando uma empresa avalia de forma sistemática e completa aspetos pessoais relacionados com pessoas singulares (incluindo definição de perfis), quando trata dados sensíveis em larga escala ou quando controla sistematicamente zonas acessíveis ao público em grande escala. As autoridades nacionais responsáveis pelo tratamento de dados terão de tornar públicas as listas dos casos que necessitam de uma avaliação de impacto sobre a proteção de dados 9 ;
·More clarity on the obligations of processors and the responsibility of controllers when selecting a processor;·Mais clareza relativamente às obrigações dos subcontratantes e à responsabilidade dos responsáveis pelo tratamento aquando da seleção de um subcontratante;
·A modern governance system to ensure that the rules are enforced more consistently and strongly. This includes harmonised powers for the data protection authorities including on fines and new mechanisms for these authorities to cooperate in a network;·Um sistema de governação moderno que assegura que as regras são cumpridas de forma mais coerente e firme. Inclui poderes harmonizados para as autoridades de proteção de dados, incluindo em relação a coimas e novos mecanismos para estas autoridades cooperarem em rede;
·The protection of the personal data guaranteed by the Regulation travels with the data outside the EU ensuring a high level of protection 10 . While the architecture of the rules on international transfers in the Regulation remains essentially the same as that of the 1995 Directive, the reform clarifies and simplifies their use and introduces new tools for transfers. As regards adequacy decisions the Regulation introduces a precise and detailed catalogue of elements that the Commission must take into account when assessing whether a foreign system adequately protects personal data. The Regulation also formalises and expands on the number of alternative transfer instruments, such as standard contractual clauses and binding corporate rules.·A proteção dos dados pessoais garantida pelo regulamento acompanha os dados fora da UE assegurando um elevado nível de proteção 10 . Embora a arquitetura das regras sobre transferências internacionais no regulamento permaneça essencialmente a mesma da diretiva de 1995, a reforma clarifica e simplifica a sua utilização e introduz novos instrumentos para transferências. No que toca às decisões de adequação, o regulamento introduz um catálogo exato e pormenorizado dos elementos que a Comissão deve ter em conta quando avalia se um sistema estrangeiro protege adequadamente os dados pessoais. O regulamento também formaliza e alarga o número de instrumentos de transferência alternativos, tais como cláusulas contratuais normalizadas e regras vinculativas aplicáveis às empresas.
The revised Regulation for EU institutions, bodies and offices and agencies 11 and the Regulation on Privacy and Electronic Communications ('ePrivacy Regulation') 12 which are currently being negotiated, once adopted, will ensure that the EU is equipped with a strong and comprehensive set of data protection rules 13 .A revisão do regulamento aplicável às instituições, aos órgãos, aos organismos e às agências da UE 11 e a proposta de regulamento relativo à privacidade e às comunicações eletrónicas («Regulamento Privacidade e Comunicações Eletrónicas») 12 , que estão atualmente em negociação, assegurarão que, após a sua adoção, a UE tem ao seu dispor um conjunto sólido e abrangente de regras em matéria de proteção de dados 13 .
2.Preparatory work undertaken so far at EU level2.Trabalhos preparatórios realizados até à data ao nível da UE
The successful application of the Regulation requires cooperation between all those involved in data protection: Member States, including public administrations, national data protection authorities (DPAs), businesses, organisations processing personal data and individuals as well as the Commission.O êxito da aplicação do regulamento exige a cooperação entre todos aqueles que estão envolvidos na proteção de dados: Estados-Membros, incluindo administrações públicas, autoridades nacionais de proteção de dados, empresas, organizações de tratamento de dados pessoais e indivíduos, bem como a Comissão.
2.1 Actions by the European Commission2.1 Ações da Comissão Europeia
Shortly after the Regulation entered into force mid-2016, the Commission has engaged with Member States’ authorities, data protection authorities and stakeholders to prepare the application of the Regulation and provide support and advice.Pouco tempo depois da entrada em vigor do regulamento, em meados de 2016, a Comissão começou a trabalhar com as autoridades dos Estados-Membros, com as autoridades de proteção de dados e com as partes interessadas para preparar a aplicação do regulamento e prestar apoio e aconselhamento.
a) Supporting Member States and their authoritiesa) Apoiar os Estados-Membros e as respetivas autoridades
The Commission has been working very closely with the Member States to support their work during the transition period, with a view to ensuring the highest possible level of consistency. To this end, the Commission has set up an Expert Group to accompany the Member States in their effort to prepare for the Regulation. The Group, which met already 13 times, acts as a forum where the Member States can share their experiences and expertise 14 . The Commission also engaged in bilateral meetings with Member States’ authorities to discuss issues arising at national level.A Comissão tem envidado esforços em estreita colaboração com os Estados-Membros para apoiar o trabalho destes durante o período de transição, com vista a assegurar o nível mais elevado possível de coerência. Para o efeito, a Comissão criou um grupo de peritos para acompanhar os Estados-Membros nos esforços desenvolvidos para se prepararem para o regulamento. O grupo de peritos, que já reuniu 13 vezes, atua como um fórum onde os Estados-Membros podem partilhar as suas experiências e conhecimentos especializados 14 . A Comissão também participou em reuniões bilaterais com as autoridades dos Estados-Membros para debater questões surgidas ao nível nacional.
b) Supporting the individual data protection authorities and the creation of the European Data Protection Boardb) Apoiar as autoridades de proteção de dados individuais e a criação do Comité Europeu para a Proteção de Dados
The Commission has been actively supporting the work of the Article 29 Working Party also in view of ensuring a smooth transition to the European Data Protection Board 15 .A Comissão tem apoiado ativamente o trabalho do Grupo de Trabalho do Artigo 29.º também com vista a assegurar que a transição para o Comité Europeu para a Proteção de Dados 15 ocorre sem problemas.
c) International outreachc) Alcance internacional
The Regulation will further strengthen the EU ability to actively promote its data protection values and facilitate cross border data flows by encouraging the convergence of legal systems globally 16 . EU data protection rules are increasingly recognised at international level as setting out some of the highest standards of data protection in the world. Council of Europe Convention 108, the only legally binding multilateral instrument in the area of personal data protection, is also being modernised. The Commission is working for it to reflect the same principles as those enshrined in the new EU data protection rules and thus help install a uniform set of high data protection standards. The Commission will actively promote the swift adoption of the modernised text of the Convention with a view to the EU becoming a Party to it 17 . The Commission encourages non-EU countries to ratify Council of Europe Convention 108 and its additional Protocol.O regulamento reforçará ainda mais a capacidade de a UE promover ativamente os seus valores em matéria de proteção de dados e facilitar a circulação transfronteiriça de dados, incentivando para tal a convergência dos sistemas jurídicos a nível global 16 . As regras da UE em matéria de proteção de dados são cada vez mais reconhecidas a nível internacional como a bitola de algumas das normas mais exigentes no mundo em matéria de proteção de dados. A Convenção n.º 108 do Conselho da Europa, o único instrumento multilateral juridicamente vinculativo no domínio da proteção dos dados pessoais, também está a ser modernizada. A Comissão está a envidar esforços para que esta última reflita os mesmos princípios que estão consagrados nas novas regras de proteção de dados da UE, ajudando assim a estabelecer um conjunto uniforme de normas exigentes em matéria de proteção de dados. A Comissão promoverá ativamente a rápida adoção do texto modernizado da convenção, tendo em vista a inclusão da UE como uma das partes 17 . A Comissão incentiva os países que não pertencem à UE a ratificar a Convenção n.º 108 do Conselho da Europa e respetivo protocolo adicional.
Furthermore, several countries and regional organisations outside the EU, from our immediate neighbourhood to Asia, Latin America and Africa, are adopting new data protection legislation or updating the existing one in order to harness the opportunities offered by the global digital economy and respond to the growing demand for stronger data security and privacy protection. While countries differ in their approach and their level of legislative development, there are signs that the Regulation serves increasingly as a reference point and a source of inspiration 18 .Além disso, vários países e organizações regionais externos à UE, desde a nossa vizinhança mais próxima até à Ásia, América Latina e África, estão a adotar nova legislação em matéria de proteção de dados ou a atualizar a legislação em vigor, por forma a aproveitar as oportunidades oferecidas pela economia digital global e responder à procura crescente de reforço da segurança dos dados e de proteção da privacidade. Embora os países adotem abordagens diferentes e tenham níveis de desenvolvimento legislativo diferentes, existem sinais de que o regulamento serve cada vez mais de ponto de referência e de fonte de inspiração 18 .
In this context, the Commission is pursuing its international outreach in line with its January 2017 Communication 19 by actively engaging with key trading partners, notably in East and South-East Asia and Latin America to explore the possibility to adopt adequacy decisions 20 .Neste contexto, a Comissão prossegue as suas ações de sensibilização internacional em conformidade com a sua Comunicação de janeiro de 2017 19 , empenhando-se ativamente junto dos principais parceiros comerciais, nomeadamente da Ásia Oriental, Sudeste Asiático e América Latina, para explorarem a possibilidade de adotar decisões de adequação 20 .
In particular, the Commission is working with Japan towards achieving a simultaneous finding of an adequate level of protection by both sides by early 2018, as announced by President Juncker and Prime Minister Abe in their joint declaration of 6 July 2017 21 . Talks have also been launched with South Korea in view of a possible adequacy decision. The adoption of an adequacy decision would ensure the free flow of data with the concerned third countries while ensuring that a high level of protection applies when personal data is transferred from the EU to these countries.Em especial, a Comissão está a trabalhar com o Japão no sentido de ambos chegarem a uma conclusão quanto ao nível adequado de proteção de ambos os lados até início de 2018, como anunciado pelo Presidente Juncker e pelo Primeiro-Ministro Abe na sua declaração conjunta de 6 de julho de 2017 21 . Também já foram iniciadas conversações com a Coreia do Sul, tendo em vista uma possível decisão de adequação. A adoção de uma decisão de adequação possibilita o livre fluxo de dados com os países terceiros em causa, assegurando simultaneamente que é aplicado um elevado nível de proteção quando os dados pessoais são transferidos da UE para esses países.
At the same time, the Commission is working with stakeholders with a view to harnessing the full potential of the GDPR toolkit for international transfers by developing alternative transfer mechanisms adapted to the particular needs of specific industries and/or operators 22 .Ao mesmo tempo, a Comissão está a trabalhar em conjunto com as partes interessadas para explorar todo o potencial dos instrumentos do RGPD destinados às transferências internacionais mediante o desenvolvimento de mecanismos de transferência alternativos, adaptados às necessidades específicas de determinadas indústrias e/ou operadores 22 .
d) Engaging with stakeholdersd) Interagir com as partes interessadas
The Commission has organised a number of events to reach out to stakeholders 23 . A new workshop aimed at consumers is planned for the first quarter of 2018. Dedicated sectoral discussions in areas such as research and financial services have also taken place.A Comissão organizou uma série de eventos para chegar às partes interessadas 23 . Está prevista uma nova sessão de trabalho destinada aos consumidores no primeiro trimestre de 2018. Realizaram-se também debates setoriais específicos em domínios como a investigação e os serviços financeiros.
The Commission has also set up a multi-stakeholder group on the Regulation composed of civil society and business representatives, academics and practitioners. This group will advise the Commission in particular on how to achieve an appropriate level of awareness about the Regulation among stakeholders 24 .A Comissão criou igualmente um grupo de várias partes interessadas sobre o regulamento, composto por representantes da sociedade civil e das empresas, académicos e profissionais. Este grupo aconselhará a Comissão, em especial, sobre como conseguir um nível adequado de sensibilização acerca do regulamento junto das partes interessadas 24 .
Finally, the European Commission through its Framework Programme for research and innovation Horizon 2020 25 has funded actions to develop tools supporting the effective application of the rules under the Regulation in relation to consent and on privacy-preserving methods of data analytics such as multi-party computing and homomorphic encryption.Por último, a Comissão Europeia, através do seu programa-quadro para a investigação e inovação Horizonte 2020 25 , financiou ações para desenvolver instrumentos que visam apoiar a aplicação eficaz das regras que constam do regulamento em relação ao consentimento e sobre os métodos de preservação da privacidade de dados analíticos, tais como computação segura multipartes e cifragem homomórfica.
2.2 Actions by the Article 29 Working Party / European Data Protection Board2.2 Ações do Grupo de Trabalho do Artigo 29.º / Comité Europeu para a Proteção de Dados
The Article 29 Working Party, which groups all national data protection authorities, including the European Data Protection Supervisor, plays a key role in preparing the application of the Regulation by issuing guidelines for companies and other stakeholders. As enforcers of the Regulation and direct contacts for stakeholders, national data protection authorities are best placed to provide additional legal certainty regarding the interpretation of the Regulation.O Grupo de Trabalho do Artigo 29.º, que agrupa todas as autoridades nacionais de proteção de dados, incluindo a Autoridade Europeia para a Proteção de Dados, desempenha um papel importante no que toca a preparar a aplicação do regulamento, emitindo orientações destinadas às empresas e às outras partes interessadas. Enquanto garantes da execução do regulamento e contactos diretos junto das partes interessadas, as autoridades nacionais de proteção de dados são as entidades mais bem colocadas para proporcionar segurança jurídica adicional em relação à interpretação do regulamento.
Guidelines/working documents by the Article 29 Working Party in view of the entry into application of the Regulation 26Orientações/documentos de trabalho do Grupo de Trabalho do Artigo 29.º com vista ao início da aplicação do regulamento 26
Right to data portability | Adopted on 4-5 April 2017Direito de portabilidade dos dados | Adoção em 4-5 de abril de 2017
Data protection officersEncarregados da proteção de dados
Designation of the lead Supervisory AuthorityDesignação da autoridade de controlo principal
Data protection impact assessment | Adopted on 3-4 October 2017Avaliação de impacto sobre a proteção de dados | Adoção em 3-4 de outubro de 2017
Administrative fines | Adopted on 3-4 October 2017Coimas administrativas | Adoção em 3-4 de outubro de 2017
Profiling | Work ongoingDefinição de perfis | Trabalhos em curso
Data breach | Work ongoingViolação de dados | Trabalhos em curso
Consent | Work ongoingConsentimento | Trabalhos em curso
Transparency | Work ongoingTransparência | Trabalhos em curso
Certification and accreditation | Work ongoingCertificação e acreditação | Trabalhos em curso
Adequacy referential | Work ongoingReferencial de adequação | Trabalhos em curso
Binding corporate rules for controllers | Work ongoingRegras vinculativas para empresas destinadas aos responsáveis pelo tratamento dos dados | Trabalhos em curso
Binding corporate rules for processors | Work ongoingRegras vinculativas para empresas destinadas aos subcontratantes | Trabalhos em curso
The Article 29 Working Party is working to update existing opinions, including on the tools for transferring data to non-EU countries.O Grupo de Trabalho do Artigo 29.º está a trabalhar no sentido de atualizar os pareceres existentes, nomeadamente sobre os instrumentos para transferir dados para países não pertencentes à UE.
Since it is essential for operators to have a coherent and single set of guidelines, the current guidelines at national level need to be either repealed or brought into line with those adopted by the Article 29 Working Party/European Data Protection Board on the same topic.Uma vez que é fundamental para os operadores terem um conjunto coerente e único de orientações, é necessário revogar ou alinhar as orientações que existem atualmente a nível nacional com as orientações adotadas pelo Grupo de Trabalho do Artigo 29.º / Comité Europeu para a Proteção de Dados sobre o mesmo assunto.
The Commission attaches great importance to the fact that those guidelines are subject to public consultation before finalisation. It is essential that stakeholders’ input in this process be as precise and concrete as possible as this will help identify best practices and bring industry and sectoral features to the attention of the Article 29 Working Party. The final responsibility for those guidelines remains with the Article 29 Working Party and the future European Data Protection Board, and the data protection authorities will refer to them when enforcing the Regulation.A Comissão considera ser muito importante que essas orientações sejam sujeitas a consulta pública antes da sua finalização. É fundamental que os contributos das partes interessadas neste processo sejam tão rigorosos e concretos quanto possível, uma vez que ajudarão a identificar as melhores práticas e a chamar a atenção do Grupo de Trabalho do Artigo 29.º para as características setoriais e da indústria. Em última instância, a responsabilidade por estas orientações é do Grupo de Trabalho do Artigo 29.º e do futuro Comité Europeu para a Proteção de Dados, sendo que as autoridades de proteção de dados deverão remeter para as mesmas quando fizerem cumprir o regulamento.
It should be possible to amend the guidelines in the light of developments and practices. To this end, it is essential for data protection authorities to promote a culture of dialogue with all stakeholders, including businesses.Deve ser possível alterar as orientações à luz dos desenvolvimentos e das práticas. Para o efeito, é fundamental que as autoridades de proteção de dados promovam uma cultura de diálogo com todas as partes interessadas, incluindo com as empresas.
It is important to recall that, where questions regarding the interpretation and application of the Regulation arise, it will be for courts at national and EU level to provide the final interpretation of the Regulation.É importante relembrar que, quando surgirem questões em relação à interpretação e aplicação do regulamento, caberá aos tribunais a nível nacional e da UE interpretarem em última instância o regulamento.
3.Remaining steps for successful preparation3.Etapas que ainda falta concretizar para que a preparação seja um êxito
3.1 Member States to finalise the set-up of the legal framework at national level3.1 Os Estados-Membros devem finalizar a criação do quadro jurídico a nível nacional
The Regulation is directly applicable in all the Member States 27 . This means that it enters into force and applies irrespective of any national law measures: the provisions of the Regulation can normally be directly relied on by citizens, business, public administrations and other organisations processing personal data. Nevertheless, in accordance with the Regulation, Member States have to take the necessary steps to adapt their legislation by repealing and amending existing laws, and setting up national data protection authorities 28 , choosing an accreditation body 29 and laying down the rules for the reconciliation of freedom of expression and data protection 30 .O regulamento é diretamente aplicável em todos os Estados-Membros 27 . Significa isto que entra em vigor e é aplicável independentemente de quaisquer medidas no ordenamento jurídico nacional: as disposições do regulamento podem, em circunstâncias normais, ser invocadas diretamente por cidadãos, empresas, administrações públicas e outras organizações de tratamento de dados pessoais. Não obstante, em conformidade com o regulamento, os Estados-Membros devem tomar as medidas necessárias para adaptar as respetivas legislações, revogando ou alterando as leis em vigor, criando autoridades nacionais de proteção de dados 28 , escolhendo um organismo de acreditação 29 e definindo regras para a conciliação da liberdade de expressão e da proteção de dados 30 .
Also, the Regulation gives Member States the possibility to further specify the application of data protection rules in specific fields: public sector 31 , employment and social security 32 , preventive and occupational medicine, public health 33 , archiving purposes in the public interest, scientific or historical research purposes or statistical purposes 34 , national identification number 35 , public access to official documents 36 , and obligations of secrecy 37 . In addition, for genetic data, biometric data and data concerning health, the Regulation empowers Member States to maintain or introduce further conditions, including limitations. 38Além disso, o regulamento dá aos Estados-Membros a possibilidade de especificarem mais a aplicação das regras de proteção de dados em determinados domínios: setor público 31 , emprego e segurança social 32 , medicina preventiva ou do trabalho, saúde pública 33 , fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins estatísticos 34 , número de identificação nacional 35 , acesso do público aos documentos oficiais 36 e obrigações de sigilo 37 . Adicionalmente, para dados genéticos, dados biométricos e dados relativos à saúde, o regulamento habilita os Estados-Membros a manterem ou introduzirem outras condições, incluindo limitações 38 .
Member States’ actions in this context are framed by two elements:As ações dos Estados-Membros neste contexto são enquadradas por dois elementos:
1.Article 8 of the Charter, meaning that any national specification law must meet the requirements of Article 8 of the Charter (and the Regulation which builds on Article 8 of the Charter), and1.O artigo 8.º da Carta, o que significa que qualquer lei nacional que vise a especificação deve cumprir os requisitos do artigo 8.º da Carta (e do regulamento que assenta no artigo 8.º da Carta), e
2.Article 16(2) TFEU, under which national legislation cannot impinge on the free flow of personal data within the EU.2.O artigo 16.º, n.º 2, do TFUE, ao abrigo do qual a legislação nacional não pode interferir na livre circulação de dados pessoais dentro da UE.
The Regulation is the opportunity to simplify the legal environment, and so have fewer national rules and greater clarity for operators.O regulamento constitui uma oportunidade para simplificar o ambiente jurídico, passando assim a existir menos regras nacionais e maior clareza para os operadores.
When adapting their national legislation, Member States have to take into account the fact that any national measures which would have the result of creating an obstacle to the direct applicability of the Regulation and of jeopardising its simultaneous and uniform application in the whole of the EU are contrary to the Treaties 39 .Quando adaptam as respetivas legislações nacionais, os Estados-Membros devem ter em conta o facto de que quaisquer medidas nacionais que resultem na criação de um obstáculo à aplicabilidade direta do regulamento e ponham em perigo a sua aplicação simultânea e uniforme em toda a UE são contrárias aos Tratados 39 .
Repeating the text of regulations in national law is also prohibited (e.g. repeating definitions or the rights of individuals), unless such repetitions are strictly necessary for the sake of coherence and in order to make national laws comprehensible to those to whom they apply 40 . Reproducing the text of the Regulation word for word in national specification law should be exceptional and justified, and cannot be used to add additional conditions or interpretations to the text of the regulation.Repetir o texto dos regulamentos no direito nacional também é proibido (ou seja, repetir definições ou os direitos dos indivíduos), salvo quando essas repetições são estritamente necessárias para manter a coerência e tornar as leis nacionais compreensíveis para as pessoas a quem se aplicam 40 . Reproduzir o texto do regulamento palavra por palavra no direito nacional que visa a especificação deve ser algo excecional e justificado, não podendo ser utilizado para acrescentar condições ou interpretações adicionais ao texto do regulamento.
The interpretation of the Regulation is left to the European courts (the national courts and ultimately the European Court of Justice) and not to the Member States’ legislators. The national legislator can therefore neither copy the text of the Regulation when it is not necessary in the light of the criteria provided by the case law, nor interpret it or add additional conditions to the rules directly applicable under the Regulation. If they did, operators throughout the Union would again be faced with fragmentation and would not know which rules they have to obey.A interpretação do regulamento cabe aos tribunais europeus (tribunais nacionais e, em última instância, o Tribunal de Justiça da União Europeia) e não aos legisladores dos Estados-Membros. Por conseguinte, o legislador nacional não pode copiar o texto do regulamento quando tal não é necessário à luz dos critérios previstos na jurisprudência, nem interpretá-lo ou acrescentar condições adicionais às regras diretamente aplicáveis ao abrigo do regulamento. Se o fizessem, os operadores de toda a União ficariam novamente perante uma situação de fragmentação e não saberiam a que regras obedecer.
At this stage, only two Member States have already adopted the relevant national legislation 41 ; the remaining Member States are at different stages in their legislative procedures 42 and have schedules for adopting the legislation by 25 May 2018. It is important to give operators enough time to prepare for all the provisions that they have to comply with.Nesta fase, apenas dois Estados-Membros já adotaram a legislação nacional pertinente 41 ; os restantes Estados-Membros estão em diferentes fases dos respetivos processos legislativos 42 e já têm datas previstas para a adoção da legislação até 25 de maio de 2018. É importante dar aos operadores tempo suficiente para se prepararem para todas as disposições que terão de cumprir.
Where Member States do not take the necessary actions required under the Regulation, are late in taking them or make use of the specification clauses provided for under the Regulation in a manner contrary to the Regulation, the Commission will make use of all the tools it has at its disposal, including recourse to the infringement procedure.Quando os Estados-Membros não tomam as medidas necessárias previstas nos termos do regulamento, se atrasam a tomar essas medidas ou recorrem às cláusulas de especificação previstas nos termos do regulamento de forma contrária ao regulamento, a Comissão pode utilizar todos os instrumentos à sua disposição, incluindo recorrer ao procedimento por infração.
3.2 Data protection authorities to ensure that the new independent European Data Protection Board is fully operational3.2 As autoridades de proteção de dados devem garantir que o novo Comité Europeu para a Proteção de Dados se encontra totalmente operacional
It is essential that the new body established by the Regulation, the European Data Protection Board 43 , the successor of the Article 29 Working Party, is fully operational as of 25 May 2018.É fundamental que o novo organismo criado pelo regulamento, o Comité Europeu para a Proteção de Dados 43 , o sucessor do Grupo de Trabalho do Artigo 29.º, esteja totalmente operacional a partir de 25 de maio de 2018.
The European Data Protection Supervisor, which is the data protection authority responsible for supervising EU institutions and bodies, will provide the secretariat of the European Data Protection Board to enhance synergies and effectiveness. In the past months, the European Data Protection Supervisor has started the necessary preparation to this effect.A Autoridade Europeia para a Proteção de Dados, que é a autoridade de proteção de dados responsável por controlar as instituições e os organismos da UE, prestará serviços de secretariado ao Comité Europeu para a Proteção de Dados para reforçar sinergias e a eficácia. Nos últimos meses, a Autoridade Europeia para a Proteção de Dados começou a preparação necessária para este efeito.
The European Data Protection Board will be at the centre of data protection in Europe. It will contribute to a consistent application of data protection law and provide a strong basis for cooperation among data protection authorities, including the European Data Protection Supervisor. The European Data Protection Board will not only issue guidelines on how to interpret core concepts of the Regulation but will also be called on to issue binding decisions on disputes regarding cross-border processing. This will ensure the uniform application of EU rules and prevent the same case being dealt with differently in different Member States.O Comité Europeu para a Proteção de Dados estará no centro da proteção de dados na Europa. Contribuirá para uma aplicação coerente da legislação em matéria de proteção de dados e constituirá uma forte base para a cooperação entre as autoridades de proteção de dados, incluindo a Autoridade Europeia para a Proteção de Dados. O Comité Europeu para a Proteção de Dados, para além de emitir orientações sobre como interpretar os principais conceitos do regulamento, deverá também emitir decisões vinculativas em relação a litígios relacionados com o tratamento transfronteiriço. Isso garantirá a aplicação uniforme das regras da UE e evitará que o mesmo caso seja resolvido de forma diferente em Estados-Membros diferentes.
The smooth and efficient functioning of the European Data Protection Board is therefore a condition for the system as a whole to function well. More than ever before, the European Data Protection Board will have to create a common data protection culture among all the national data protection authorities to ensure that the rules of the Regulation are interpreted consistently. The Regulation fosters the cooperation between the data protection authorities by giving them the tools to cooperate effectively and efficiently: they will notably be able to do joint operations, adopt decision in agreement and resolve divergences they might have concerning the interpretation of the Regulation within the Board by means of opinions and biding decisions. The Commission encourages the data protection authorities to embrace these changes and adjust their functioning, financing and work culture to be able to meet the new rights and obligations.Por conseguinte, o bom e eficiente funcionamento do Comité Europeu para a Proteção de Dados é condição essencial para que o sistema como um todo funcione bem. Agora mais do que nunca, o Comité Europeu para a Proteção de Dados terá de criar uma cultura comum de proteção de dados junto de todas as autoridades nacionais de proteção de dados, para assegurar que as regras do regulamento são interpretadas de forma coerente. O regulamento fomenta a cooperação entre as autoridades de proteção de dados, conferindo-lhes instrumentos para uma cooperação eficaz e eficiente: poderão designadamente realizar operações conjuntas, adotar decisões de comum acordo e resolver divergências que possam surgir em relação à interpretação do regulamento no âmbito do referido comité, através de pareceres e decisões vinculativas. A Comissão incentiva as autoridades de proteção de dados a aceitarem estas alterações e ajustarem o respetivo funcionamento, financiamento e cultura de trabalho, com vista a serem capazes de beneficiar dos novos direitos e cumprir as novas obrigações.
3.3 Member States to provide the necessary financial and human resources to national data protection authorities3.3 Os Estados-Membros devem fornecer os recursos financeiros e humanos necessários às autoridades nacionais de proteção de dados
The establishment of fully independent supervisory authorities in each Member State is essential to ensure the protection of natural persons with regard to the processing of their personal data in the EU 44 . Supervisory authorities cannot effectively safeguard individual rights and freedoms unless they act completely independently. Any failure to ensure their independence and the effective exercise of their powers has a wide-ranging negative impact on the enforcement of data protection legislation 45 .A criação de autoridades de controlo totalmente independentes em cada um dos Estados-Membros é fundamental para garantir a proteção das pessoas singulares no que respeita ao tratamento dos seus dados pessoais na UE 44 . As autoridades de controlo não podem salvaguardar eficazmente os direitos e as liberdades individuais se não agirem de forma completamente independente. Qualquer falha a nível da sua independência e competência tem um impacto negativo considerável na aplicação efetiva da legislação em matéria de proteção dos dados 45 .
The Regulation codifies the requirement of any data protection authority to act completely independently 46 . It strengthens national data protection authorities’ independence and provides them with uniform powers across the EU, so that they are properly equipped to deal effectively with complaints, carry out effective investigations, take binding decisions and impose effective and dissuasive sanctions. It also gives them the power to issue administrative fines on controllers or processors up to EUR 20 million, or in the case of an undertaking, up to 4 % of the total worldwide annual turnover of the preceding financial year, whichever is higher.O regulamento codifica o requisito aplicável a qualquer autoridade de proteção de dados de agir com total independência 46 . Reforça a independência das autoridades nacionais de proteção de dados e confere-lhes poderes uniformes em toda a UE para que possam estar devidamente equipadas para lidar eficazmente com reclamações, realizar investigações eficazes, tomar decisões vinculativas e impor sanções efetivas e dissuasoras. Confere-lhes também poderes para impor coimas administrativas aos responsáveis pelo tratamento ou aos subcontratantes até 20 milhões de EUR ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado.
The data protection authorities are the natural interlocutors and first point of contact for the general public, businesses and public administrations for questions regarding the Regulation. The data protection authorities' role includes informing controllers and processors of their obligations and raising the general public’s awareness and understanding of the risks, rules, safeguards and rights in relation to data processing. It does not mean, however, that controllers and processors should expect to be provided by the data protection authorities with the kind of tailored, individualised legal advice that only a lawyer or a data protection officer can provide.As autoridades de proteção de dados são os interlocutores naturais e o primeiro ponto de contacto do público em geral, das empresas e das administrações públicas para questões relacionadas com o regulamento. O papel das autoridades de proteção de dados inclui informar os responsáveis pelo tratamento e os subcontratantes das suas obrigações, bem como sensibilizar e informar o público em geral relativamente aos riscos, às regras, às salvaguardas e aos direitos inerentes ao tratamento de dados. Contudo, isto não significa que os responsáveis pelo tratamento e os subcontratantes devam esperar das autoridades de proteção de dados o tipo de aconselhamento jurídico personalizado e individualizado que só um advogado ou um encarregado da proteção de dados pode dar.
The national data protection authorities therefore play a central role, but the relative imbalance between the human and financial resources allocated to them in different Member States can jeopardise their effectiveness and ultimately the complete independence required under the Regulation. It can also negatively impact the way the data protection authorities are able to exercise powers such as their investigation powers. Member States are encouraged to fulfil their legal obligation to provide their national data protection authority with the human, technical and financial resources, premises and infrastructure necessary for the effective performance of its tasks and exercise of their powers. 47Por conseguinte, as autoridades nacionais de proteção de dados desempenham um papel central, mas o relativo desequilíbrio existente entre os recursos humanos e financeiros que lhes são afetados nos diferentes Estados-Membros pode pôr em perigo a sua eficácia e, em última análise, a total independência exigida pelo regulamento. Pode também ter um impacto negativo na forma como as autoridades de proteção de dados exercem os seus poderes, nomeadamente os poderes de investigação. Os Estados-Membros são incentivados a cumprir a sua obrigação jurídica de fornecer à autoridade nacional de proteção de dados os recursos humanos, técnicos e financeiros, as instalações e as infraestruturas necessárias para a prossecução eficaz das suas atribuições e para o exercício dos seus poderes 47 .
3.4 Businesses, public administrations and other organisations processing data to get ready for the application of the new rules3.4 As empresas, as administrações públicas e outras organizações de tratamento de dados devem estar prontas para aplicar as novas regras
The Regulation did not substantially change the core concepts and principles of the data protection legislation put in place back in 1995. This should mean that the vast majority of controllers and processors, provided that they are already in compliance with the existing EU data protection laws, will not need to make major changes to their data processing operations to comply with the Regulation.O regulamento não alterou substancialmente os conceitos e princípios centrais da legislação em matéria de proteção de dados adotada em 1995. Assim, desde que já estejam em conformidade com a legislação de proteção dos dados da UE em vigor, a grande maioria dos responsáveis pelo tratamento e dos subcontratantes não deverá ter de fazer grandes alterações nas suas operações de tratamento de dados para cumprir o regulamento.
The Regulation impacts most on operators whose core business is data processing and/or dealing with sensitive data. It also impacts on those that regularly and systematically monitor individuals on a large scale. These operators will most probably have to appoint a data protection officer, conduct a data protection impact assessment and notify data breaches if there is a risk to the rights and freedoms of individuals. By contrast, operators, in particular SMEs, which do not engage in high risk processing as their core activity will normally not be subject to these specific obligations of the Regulation.O regulamento tem mais impacto nos operadores cuja atividade principal seja o tratamento de dados e/ou lidar com dados sensíveis. Também tem impacto nos que, de forma regular e sistemática, monitorizam indivíduos em larga escala. Muito provavelmente, estes operadores terão de nomear um encarregado da proteção de dados, realizar uma avaliação de impacto sobre a proteção de dados e notificar violações de dados caso exista risco para os direitos e as liberdades individuais. Em contrapartida, os operadores, em especial as PME, cuja principal atividade não passe pela realização de operações de tratamento que impliquem risco elevado, em circunstâncias normais, não estarão sujeitos a estas obrigações específicas do regulamento.
It is important for controllers and processors to undertake thorough reviews of their data policy cycle so as to clearly identify which data they hold, for what purpose and on what legal basis (e.g. cloud environment; operators in the financial sector). They also need to assess the contracts in place, in particular those between controllers and processors, the avenues for international transfers and the overall governance (what IT and organisational measures to have in place), including the appointment of a Data Protection Officer. An essential element in this process is to ensure that the highest level of management is involved in such reviews, provides its input and is regularly updated and consulted on changes to the business’s data policy.É importante que os responsáveis pelo tratamento e os subcontratantes realizem revisões rigorosas aos respetivos ciclos da política de dados, por forma a identificarem claramente quais os dados que conservam, para que fins e em que base jurídica (por exemplo, ambiente nuvem; operadores do setor financeiro). Necessitam igualmente de avaliar os contratos em vigor, em especial os contratos entre responsáveis pelo tratamento e subcontratantes, as vias para as transferências internacionais e a governação em geral (quais as medidas organizacionais e de TI a adotar), incluindo a nomeação de um encarregado da proteção de dados. Um elemento fundamental neste processo é assegurar o envolvimento dos mais altos níveis da gestão nestas revisões, assegurar que estes dão o seu contributo e que são regularmente informados e consultados acerca das alterações efetuadas à política de dados das empresas.
To this end, some operators make recourse to compliance checklists (either internal or external), seek advice from consultancies and law firms and look for products that can deliver on the requirements of data protection by design and by default. Each sector must work out arrangements that are appropriate to the specific nature of its area and are adapted to their business model.Para o efeito, alguns operadores recorrem a listas de controlo (quer internas quer externas), procuram aconselhar-se junto de empresas de consultoria e sociedades de advogados e procuram produtos que possam satisfazer os requisitos da proteção de dados desde a conceção e por defeito. Cada setor deve procurar definir mecanismos que sejam adequados à natureza específica da sua área e que estejam adaptados ao seu modelo de negócio.
Businesses and other organisations processing data will also be able to take advantage of the new tools provided for in the Regulation as an element to demonstrate compliance, such as codes of conduct and certification mechanisms. These constitute bottom-up approaches which come from the business community, associations or other organisations representing categories of controllers or processors and reflect best practice, important developments in a given sector or can inform about the level of data protection required by certain products and services. The Regulation provides for a streamlined set of rules for such mechanisms while taking into account market realities (e.g. certification by a certification body or by a data protection authority).As empresas e outras organizações de tratamento de dados também poderão tirar partido dos novos instrumentos previstos no regulamento como um elemento para demonstrar a conformidade, tais como códigos de conduta e mecanismos de certificação. Estes constituem abordagens ascendentes oriundas da comunidade empresarial, das associações e de outras organizações que representam categorias de responsáveis pelo tratamento ou subcontratantes e refletem as melhores práticas e desenvolvimentos importantes num dado setor ou podem informar acerca do nível de proteção de dados exigido por determinados produtos e serviços. O regulamento prevê um conjunto de regras otimizado para estes mecanismos, ao mesmo tempo que tem em conta as realidades do mercado (por exemplo, certificação por um organismo de certificação ou por uma autoridade de proteção de dados).
However, while big companies are actively preparing for the application of the new rules, many SMEs are not yet fully aware of the forthcoming data protection rules.Contudo, embora as grandes empresas já se estejam a preparar ativamente para a aplicação das novas regras, muitas PME ainda não estão totalmente conscientes das regras de proteção de dados que estarão brevemente em vigor.
In short, operators should prepare and adjust to the new rules and see the Regulation as:Em resumo, os operadores devem preparar-se e ajustar-se às novas regras e encarar o regulamento como:
·an opportunity to put their house in order in terms of what personal data they process and how they manage it;·uma oportunidade para «porem a casa em ordem» no que se refere ao tipo de dados pessoais que tratam e da forma como estes são geridos;
·an obligation to develop privacy- and data protection-friendly products and build a new relationship with their customers based on transparency and trust; and·uma obrigação para desenvolver produtos que respeitem a privacidade e a proteção de dados e para construir uma nova relação com os seus clientes baseada na transparência e na confiança; e
·an opportunity to reset their relations with data protection authorities through accountability and proactive compliance.·uma oportunidade para reiniciar as suas relações com as autoridades de proteção de dados por via da responsabilidade e da conformidade pró-ativa.
3.5 To inform stakeholders, in particular citizens and small and medium-size businesses3.5 Informar as partes interessadas, em especial os cidadãos e as pequenas e médias empresas
The success of the Regulation rests on proper awareness of all those affected by the new rules (the business community and other organisations processing data, the public sector and citizens). At national level, the task of raising awareness and being the first point of contact for controllers, processors and individuals lies primarily with the data protection authorities. As enforcers of data protection rules in their territory, data protection authorities are also the best placed to explain the changes introduced by the Regulation to companies and the public sector, and to familiarise citizens with their rights.O êxito do regulamento assenta na adequada sensibilização de todos aqueles que são afetados pelas novas regras (a comunidade empresarial e outras organizações de tratamento de dados, o setor público e os cidadãos). A nível nacional, a tarefa de sensibilizar e de ser o primeiro ponto de contacto para responsáveis pelo tratamento, subcontratantes e indivíduos recai sobretudo nas autoridades de proteção de dados. Enquanto garantes da aplicação efetiva das regras de proteção de dados no seu território, as autoridades de proteção de dados são também as entidades mais bem colocadas para explicar as alterações introduzidas pelo regulamento às empresas e ao setor público, bem como para informar os cidadãos dos seus direitos.
Data protection authorities have started informing stakeholders in line with the specific national approach. Some hold seminars with public administrations, including at regional and local level, and run workshops with different business sectors in order to raise awareness about the main provisions of the Regulation. Some run specific training programmes for data protection officers. Most of them provide information materials in various formats on their websites (checklists, videos, etc.).As autoridades de proteção de dados começaram a informar as partes interessadas em consonância com a abordagem nacional específica. Algumas realizaram seminários com as administrações públicas, incluindo a nível regional e local, e organizaram sessões de trabalho com os diferentes setores empresariais por forma a sensibilizá-los para as principais disposições do regulamento. Algumas organizaram programas de formação específicos para os encarregados da proteção de dados. A maior parte disponibiliza materiais de informação em vários formatos nos respetivos sítios web (listas de controlo, vídeos, etc.).
However, there is not yet a sufficiently widespread level of awareness among the citizens of the changes and enhanced right that the new data protection rules will bring. The training and awareness raising initiative set in motion by Data Protection Authorities should be continued and intensified, with a particular focus on SMEs. Furthermore, national sectoral administrations can support the activities of data protection authorities and based on their input do their own outreach among the different stakeholders.Contudo, o nível de sensibilização dos cidadãos para as alterações e o reforço dos direitos que as novas regras de proteção de dados implicarão ainda não é suficientemente generalizado. A iniciativa de formação e sensibilização encetada pelas autoridades de proteção de dados deve ser continuada e intensificada, com particular ênfase nas PME. Além disso, as administrações setoriais nacionais podem apoiar as atividades das autoridades de proteção de dados e, com base nos seus contributos, procurar chegar por sua própria iniciativa a diferentes partes interessadas.
4.Next steps4.Próximas etapas
In the coming months, the Commission will continue actively supporting all actors in preparing for the application of the Regulation.Nos próximos meses, a Comissão pretende continuar a apoiar ativamente todos aqueles que intervêm na preparação para a aplicação do regulamento.
a) Work with Member Statesa) Trabalhar com os Estados-Membros
The Commission will continue working with Member States in the lead-up to May 2018. From May 2018 onward, it will monitor how Member States apply the new rules and take appropriate action as necessary.A Comissão continuará a trabalhar com os Estados-Membros até maio de 2018. A partir de maio de 2018, passará a monitorizar a aplicação das novas regras pelos Estados-Membros e tomará medidas adequadas se for necessário.
b) New online guidance in all EU languages and awareness-raising activitiesb) Novas orientações em linha em todas as línguas da UE e atividades de sensibilização
The Commission is making available practical guidance materials 48 to help businesses, in particular SMEs, public authorities and the public to comply with and benefit from the new data protection rules.A Comissão está a disponibilizar materiais práticos de orientação 48 para ajudar as empresas, em especial as PME, as autoridades públicas e o público a cumprirem e a beneficiarem das novas regras em matéria de proteção de dados.
The guidance takes the form of a practical online tool available in all EU languages. The online tool will be regularly updated and is intended to serve three main target audiences: citizens, businesses (in particular SMEs) and other organisations, and public administrations. It comprises questions and answers selected based on feedback received from stakeholders with practical examples and links to various sources of information (e.g. articles of the Regulation; guidelines of Article 29 Working Party/European Data Protection Board; and materials developed at national level).As orientações assumem a forma de uma ferramenta prática em linha, disponível em todas as línguas da UE. A ferramenta em linha será atualizada regularmente e destina-se a servir três públicos-alvo principais: cidadãos, empresas (em especial PME) e outras organizações, e administrações públicas. Inclui perguntas e respostas selecionadas com base nas opiniões obtidas das partes interessadas com exemplos práticos e hiperligações para várias fontes de informação (por exemplo, artigos do regulamento; orientações do Grupo de Trabalho do Artigo 29.º / Comité Europeu para a Proteção de Dados; e materiais desenvolvidos a nível nacional).
The Commission will regularly bring up to date the tool, adding questions and updating the answers, based on the feedback received and in the light of any new issues arising from implementation.A Comissão atualizará regularmente a ferramenta, acrescentando perguntas e atualizando as respostas, com base nas opiniões obtidas e tendo em conta quaisquer novas questões decorrentes da aplicação.
The guidance will be promoted through an information campaign and dissemination activities in all Member States, targeting businesses and the public.As orientações serão promovidas através de uma campanha de informação e de atividades de divulgação em todos os Estados-Membros, visando empresas e o público.
As the Regulation provides for stronger individual rights, the Commission will also engage in awareness-raising activities and participate in events across the Member States to inform citizens about the benefits and impact of the Regulation.Uma vez que o regulamento prevê o reforço dos direitos individuais, a Comissão irá igualmente participar em atividades de sensibilização e em eventos nos Estados-Membros para informar os cidadãos sobre os benefícios e o impacto do regulamento.
c) Financial support for national campaigns and awareness raisingc) Apoio financeiro para campanhas e sensibilização a nível nacional
The Commission is supporting awareness-raising and compliance efforts undertaken at national level by awarding grants that can be used to provide training within data protection authorities, public administrations, legal professions and data protection officers 49 and to familiarise them with the Regulation.A Comissão está a apoiar os esforços de sensibilização e conformidade efetuados a nível nacional, atribuindo subvenções que podem ser utilizadas para ações de formação internas nas autoridades de proteção de dados, administrações públicas, profissões na área jurídica e encarregados da proteção de dados 49 e que visem a sua familiarização com o regulamento.
Around EUR 1.7 million will be allocated to six beneficiaries covering more than half of EU Member States. Funding will be targeted at local public authorities, including data protection officers of local public authorities, of public authorities and from the private sector, judges and lawyers. The grants will be used to develop training materials for data protection authorities, data protection officers and other professionals, as well as ‘train the trainer’ programmes.Serão atribuídos cerca de 1,7 milhões de EUR a seis beneficiários que abrangem mais de metade dos Estados-Membros da UE. O financiamento terá como alvo as autoridades públicas locais, incluindo encarregados da proteção de dados das autoridades públicas locais e do setor privado, juízes e advogados. As subvenções serão utilizadas para desenvolver materiais de formação destinados às autoridades de proteção de dados, aos encarregados da proteção de dados e a outros profissionais, bem como programas de «formação de formadores».
The Commission has also issued a call for proposals specifically aimed at data protection authorities. It will have a total budget of up to EUR 2 million and will support them in reaching out to stakeholders 50 . The objective is to provide 80 % co-financing to measures taken by data protection authorities in 2018-2019 to raise awareness among businesses, in particular SMEs, and reply to their queries. This funding can also be used to raise awareness among the general public.A Comissão emitiu também um convite à apresentação de propostas dirigido às autoridades de proteção de dados. Terá um orçamento total de 2 milhões de EUR e servirá para apoiá-las a fazer chegar a mensagem às partes interessadas 50 . O objetivo é cofinanciar em 80 % as medidas tomadas pelas autoridades de proteção de dados em 2018-2019 para ações de sensibilização junto das empresas, em especial das PME, que respondam às suas perguntas. Este financiamento também pode ser utilizado para ações de sensibilização junto do público em geral.
d) Assessing the need to make use of the Commission’s empowermentsd) Avaliar a necessidade de recorrer aos poderes conferidos à Comissão
The Regulation 51 allows the Commission to issue implementing or delegated acts to further support the implementation of the new rules. The Commission will only make use of these empowerments when there is a clearly demonstrated added-value and based on feedback from stakeholders' consultation. In particular, the Commission will look into the issue of certification based on a study contracted with external experts and input and advice on this issue from the multi-stakeholder group on the Regulation established at the end of 2017. The work done by the European Union Agency for Network and Information Security (ENISA) in the field of cybersecurity will also be relevant in this context.O regulamento 51 habilita a Comissão a emitir atos de execução ou atos delegados para apoiar ainda mais a aplicação das novas regras. A Comissão só recorrerá aos poderes que lhe foram conferidos quando existir um claro e inequívoco valor acrescentado e com base nas opiniões veiculadas pelas partes interessadas na consulta. Em especial, a Comissão está a estudar a questão da certificação com base num estudo encomendado a peritos externos e nos contributos e conselhos sobre esta questão do grupo de várias partes interessadas sobre o regulamento criado no final de 2017. O trabalho realizado pela Agência da União Europeia para a Segurança das Redes e da Informação (ENISA) no domínio da cibersegurança também será relevante neste contexto.
e) Integration of the Regulation into the EEA-Agreemente) Integração do regulamento no Acordo EEE
The Commission will pursue its work with the three EFTA States (Iceland, Liechtenstein, and Norway) in the European Economic Area (EEA) to integrate the Regulation into the EEA agreement. 52 It is only once the integration of the Regulation into the EEA agreement is in force, that personal data can flow freely between EU and EEA countries in the same way as they do between EU Member States.A Comissão prosseguirá o seu trabalho com os três países EFTA (Islândia, Listenstaine e Noruega) no Espaço Económico Europeu (EEE) para integrar o regulamento no Acordo EEE 52 . Só quando a integração do regulamento estiver em vigor no acordo EEE é que os dados pessoais podem circular livremente entre a UE e os países do EEE da mesma forma como circulam entre os Estados-Membros da UE.
f) Withdrawal of the United Kingdom from the EUf) Saída do Reino Unido da UE
In the context of the negotiations of a withdrawal agreement between the EU and the United Kingdom on the basis of Article 50 of the Treaty on the European Union, the Commission will pursue the objective to ensure that the provisions of Union law on personal data protection applicable on the day preceding the withdrawal date continue to apply to personal data in the United Kingdom processed before the withdrawal date 53 . For example, the individuals concerned should continue to have the right to be informed, the right of access, the right to rectification, to erasure, to restriction of processing, to data portability as well as the right to object to processing and not to be subject to a decision based solely on automated processing, on the basis of relevant provisions of Union law applicable on the withdrawal date. Personal data referred to above should be stored no longer than is necessary for the purposes for which the personal data was processed.No contexto das negociações de um acordo de saída entre a UE e o Reino Unido com base no artigo 50.º do Tratado da União Europeia, a Comissão procurará alcançar o objetivo de assegurar que as disposições do direito da União em matéria de proteção dos dados pessoais aplicáveis no dia anterior à data de saída continuam a ser aplicáveis aos dados pessoais no Reino Unido tratados antes da data de saída 53 . Por exemplo, os indivíduos em causa devem continuar a ter o direito de serem informados, o direito de acesso, o direito de retificação, de apagamento e de restrição do tratamento, o direito à portabilidade dos dados, bem como o direito de se oporem ao tratamento e não ficarem sujeitos a uma decisão que se baseie exclusivamente no tratamento automático, com base nas disposições aplicáveis do direito da União na data de saída. Os dados pessoais referidos acima não devem ser conservados mais tempo do que o tempo necessário para as finalidades para as quais são tratados.
As of the withdrawal date, and subject to any transitional arrangement that may be contained in a possible withdrawal agreement, the rules of the Regulation for transfers of personal data to third countries will apply to the United Kingdom. 54  A partir da data de saída, e sujeitas a quaisquer disposições transitórias que possam ser incluídas num eventual acordo de saída, as regras do regulamento relativas às transferências de dados pessoais para países terceiros são aplicáveis no Reino Unido 54 .
g) Taking stock in May 2019g) Fazer um balanço da situação em maio de 2019
After 25 May 2018, the Commission will closely monitor the application of the new rules and will stand ready to take action should any significant problems arise. One year after the Regulation enters into application (2019) the Commission will organise an event to take stock of different stakeholders’ experiences of implementing the Regulation. This will also feed into the report the Commission is required to produce by May 2020 on the evaluation and review of the Regulation. This report will focus in particular on international transfers and the provisions on cooperation and consistency which pertain to the work of data protection authorities.Depois de 25 de maio de 2018, a Comissão monitorizará de perto a aplicação das novas regras e estará pronta para agir caso surjam problemas significativos. Um ano após o regulamento começar a ser aplicado (2019), a Comissão organizará um evento para fazer um balanço das diferentes experiências das partes interessadas no que toca à aplicação do regulamento. Estas informações farão igualmente parte do relatório que a Comissão terá de elaborar, até maio de 2020, sobre a avaliação e revisão do regulamento. Este relatório centrar-se-á em especial nas transferências internacionais e nas disposições relativas à cooperação e à coerência que dizem respeito ao trabalho das autoridades de proteção de dados.
ConclusionConclusão
On 25 May, a new single set of data protection rules will enter into effect across the EU. The new framework will bring significant benefits to individuals, companies, public administrations and other organisations alike. It is also an opportunity for the EU to become a global leader in personal data protection. But the reform can only succeed if all those involved embrace their obligations and their rights.No dia 25 de maio, um novo conjunto único de regras em matéria de proteção de dados produzirá efeitos em toda a UE. O novo quadro beneficiará significativamente indivíduos, empresas, administrações públicas e outras organizações na mesma medida. Constituirá também uma oportunidade para a UE se tornar líder global na proteção de dados pessoais. Mas a reforma só terá êxito se todos os envolvidos assumirem as suas obrigações e os seus direitos.
Since the adoption of the Regulation in May 2016, the Commission has actively engaged with all concerned actors — governments, national authorities, business, civil society — in view of the application of the new rules. A significant amount of work has been dedicated to ensure widespread awareness and full preparation, but there is still work to do. Preparations are progressing at various speeds across Member States and among the various actors. Moreover, knowledge of the benefits and opportunities brought by the new rules is not evenly spread. There is in particular a need to step up awareness and accompany compliance efforts for SMEsDesde a adoção do regulamento, em maio de 2016, a Comissão tem colaborado ativamente com todos os intervenientes envolvidos — governos, autoridades nacionais, empresas, sociedade civil — com vista à aplicação das novas regras. Uma parte significativa do trabalho tem sido dedicada a assegurar a sensibilização alargada e a preparação total, mas ainda há muito para fazer. A preparação está a evoluir a várias velocidades nos diferentes Estados-Membros e junto dos vários intervenientes. Além disso, o conhecimento em relação aos benefícios e às oportunidades que as novas regras proporcionarão não está distribuído uniformemente. Existe uma necessidade particular de acelerar a sensibilização e os esforços de conformidade que lhe estão associados junto das PME.
The Commission therefore calls on all concerned actors to intensify the ongoing work to ensure the consistent application and interpretation of the new rules across the EU and to raise awareness among businesses and citizens alike. The Commission will support these efforts with funding and administrative support and will help raise general awareness, notably by launching the online guidance toolkit.Por conseguinte, a Comissão apela a todos os intervenientes em causa para que intensifiquem o trabalho em curso no sentido de assegurar a aplicação e a interpretação coerentes das novas regras em toda a UE e para que reforcem a sensibilização tanto junto das empresas com junto dos cidadãos. A Comissão apoiará estes esforços com financiamento e apoio administrativo e ajudará os esforços de sensibilização em geral, designadamente lançando um conjunto de instrumentos de orientação em linha.
Data are becoming very valuable for today's economy and are essential to daily lives of the citizens. The new rules offer a unique opportunity for businesses and the public alike. Businesses, especially the smaller ones, will be able to benefit from the innovation-friendly single set of rules and put their houses in order in terms of personal data to restore consumer's trust and use it as their competitive advantage across the EU. Citizens will be able to benefit from the stronger protection of personal data and gain better control over how the data are handled by the companies.Os dados são algo cada vez mais valioso para a economia atual e são fundamentais para a vida quotidiana dos cidadãos. As novas regras constituem uma oportunidade única tanto para as empresas como para o público. As empresas, em especial as de menor dimensão, poderão beneficiar de um conjunto de regras único e inovador e «pôr as suas casas em ordem» em termos de dados pessoais para reconquistar a confiança dos consumidores e usar isso como vantagem competitiva na UE. Os cidadãos poderão beneficiar de uma maior proteção em matéria de dados pessoais e conseguir maior controlo sobre a forma como os dados são tratados pelas empresas.
In a modern world with a booming digital economy the European Union, its citizens and businesses must be fully equipped to reap the benefits and understand the consequences of data economy. The new Regulation offers the necessary tools to make Europe fit for the 21st century.Num mundo moderno com uma economia digital em crescimento, a União Europeia, os seus cidadãos e as suas empresas devem estar totalmente preparados para colher os benefícios e compreender as consequências da economia de dados. O novo regulamento oferece os instrumentos necessários para preparar a Europa para o século XXI.
The Commission will undertake the following actions: | Towards Member States | ·The Commission will continue working with Member States to promote consistency and limit fragmentation in the application of the Regulation, taking into account Member States’ room for specification under the new legislation; | ·After May 2018 the Commission will closely monitor the application of the Regulation in Member States and take appropriate actions as necessary, including the recourse to infringement actions; | Towards data protection authorities | ·Until May 2018 the Commission will support the work of the data protection authorities in the context of the Article 29 Working Party and in the transition towards the future European Data Protection Board; after May 2018, it will contribute to the work of the European Data Protection Board; | ·In 2018-2019 the Commission will co-finance (total budget of up to EUR 2 million) awareness-raising actions undertaken by data protection authorities at national level (projects implemented from mid-2018 onwards); | Towards stakeholders | ·The Commission will launch an online practical guidance tool that includes questions and answers aimed at citizens, businesses and public administrations. The Commission intends to promote this guidance to the target audiences through an information campaign addressed to business and the public in the run-up to May 2018 and afterwards; | ·In 2018 and beyond the Commission will continue actively engaging with stakeholders notably through the multi-stakeholder group on the implementation of the Regulation and level of awareness of the new rules; | Towards all actors | ·In 2018-2019 the Commission will assess the need to make use of its power to adopt delegated or implementing acts; | ·In May 2019, the Commission will take stock of the Regulation implementation and will report on the application of the new rules in 2020.A Comissão pretende realizar as seguintes ações: | Em prol dos Estados-Membros | ·A Comissão pretende continuar a trabalhar com os Estados-Membros para promover a coerência e limitar a fragmentação na aplicação do regulamento, tendo em conta a margem de manobra dos Estados-Membros para especificações ao abrigo da nova legislação; | ·Depois de maio de 2018, a Comissão pretende acompanhar de perto a aplicação do regulamento nos Estados-Membros e tomar as medidas adequadas se necessário, incluindo recorrer a procedimentos por infração; | Em prol das autoridades de proteção de dados | ·Até maio de 2018, a Comissão pretende apoiar o trabalho das autoridades de proteção de dados no contexto do Grupo de Trabalho do Artigo 29.º e na transição para o futuro Comité Europeu para a Proteção de Dados; depois de maio de 2018, pretende contribuir para o trabalho do Comité Europeu para a Proteção de Dados; | ·Em 2018-2019, a Comissão pretende cofinanciar (orçamento total de 2 milhões de EUR) ações de sensibilização realizadas pelas autoridades de proteção de dados a nível nacional (projetos a executar a partir de meados de 2018); | Em prol das partes interessadas | ·A Comissão pretende lançar uma ferramenta prática de orientação em linha que inclua perguntas e respostas destinadas aos cidadãos, às empresas e às administrações públicas. A Comissão pretende promover estas orientações junto dos públicos-alvo através de uma campanha de informação dirigida às empresas e ao público até maio de 2018 e posteriormente; | ·Em 2018 e posteriormente, a Comissão pretende continuar a colaborar ativamente com as partes interessadas, designadamente através do grupo de várias partes interessadas sobre a aplicação do regulamento e nível de sensibilização para as novas regras; | Em prol de todos os intervenientes | ·Em 2018-2019, a Comissão pretende avaliar a necessidade de recorrer aos poderes que lhe foram conferidos para adotar atos delegados ou atos de execução; | ·Em maio de 2019, a Comissão pretende fazer um balanço da aplicação do regulamento e elaborará um relatório sobre a aplicação das novas regras em 2020.
(1) Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), OJ L 119, 4.5.2016.(1) Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados), JO L 119 de 4.5.2016.
(2) Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, OJ L 281 of 23.11.95.(2) Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, JO L 281 de 23.11.1995.
(3) Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA, OJ L 119, 4.5.2016.(3) Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI do Conselho, JO L 119 de 4.5.2016.
(4) The Regulation has been in force since 24 May 2016 and will apply as of 25 May 2018.(4) O regulamento está em vigor desde 24 de maio de 2016 e será aplicável a partir de 25 de maio de 2018.
(5) Article 8 of the EU Charter of Fundamental Rights and Article 16 TFEU.(5) Artigo 8.º da Carta dos Direitos Fundamentais da UE e artigo 16.º do TFUE.
(6)   https://ec.europa.eu/commission/sites/beta-political/files/letter-of-intent-2017_en.pdf .(6)   https://ec.europa.eu/commission/sites/beta-political/files/letter-of-intent-2017_pt.pdf .
(7) Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications), OJ L 201, 31.7.2002, p. 37–47. According to Article 95 GDPR, the GDPR shall not impose additional obligations on natural or legal persons in relation to matters for which they are subject to specific obligations with the same objective set out in Directive 2002/58/EC. This means, for example, that entities covered by the e-Privacy Directive are subject to that Directive's obligation to notify a personal data breach in as far as the breach concerns a service which is materially covered by the ePrivacy Directive. No additional obligations are imposed on them by the GDPR in that respect.(7) Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas), JO L 201 de 31.7.2002, p. 37-47. De acordo com o artigo 95.º do RGPD, este regulamento não impõe obrigações suplementares a pessoas singulares ou coletivas no que respeita aos aspetos em que estão vinculados a obrigações específicas com o mesmo objetivo previsto na Diretiva 2002/58/CE. Isto significa, por exemplo, que as entidades abrangidas pela Diretiva Privacidade Eletrónica estão sujeitas à obrigação de notificar uma violação de dados pessoais, na medida em que a infração diga respeito a um serviço que está materialmente abrangido pela Diretiva Privacidade Eletrónica. O RGPD não impõe obrigações adicionais a este respeito.
(8) Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union, OJ L 194, 19.7.2016, p. 1–30. Entities within the scope of the NIS Directive should notify incidents having a significant or substantial impact on the provision of some of their services. The incident notification under the NIS Directive is without prejudice to the breach notification under the Regulation.(8) Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União, JO L 194 de 19.7.2016, p. 1. As entidades abrangidas pelo âmbito de aplicação desta diretiva devem notificar incidentes que tenham um impacto significativo ou substancial na prestação de alguns dos seus serviços. A notificação de incidentes ao abrigo desta diretiva não prejudica a notificação de violações ao abrigo do regulamento.
(9) Article 35 of the Regulation.(9) Artigo 35.º do regulamento.
(10) Commission Communication on Exchanging and Protecting Personal Data in a Globalised World, COM(2017)7 final.(10) Comunicação da Comissão intitulada «Intercâmbio e proteção de dados pessoais num mundo globalizado», COM(2017) 7 final.
(11) Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC, COM(2017) 8 final.(11) Proposta de regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento dos dados pessoais pelas instituições, órgãos, organismos e agências da União e à livre circulação desses dados e que revoga o Regulamento (CE) n.º 45/2001 e a Decisão n.º 1247/2002/CE, COM(2017) 8 final.
(12) Proposal for a Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications), COM(2017) 10 final.(12) Proposta de regulamento do Parlamento Europeu e do Conselho relativo ao respeito pela vida privada e à proteção dos dados pessoais nas comunicações eletrónicas e que revoga a Diretiva 2002/58/CE (Regulamento relativo à privacidade e às comunicações eletrónicas), COM(2017) 10 final.
(13) Until the ePrivacy Regulation's adoption and entry into application, Directive 2002/58/EC applies as lex specialis to the Regulation.(13) Até à adoção e entrada em vigor do Regulamento Privacidade e Comunicações Eletrónicas, a Diretiva 2002/58/CE é aplicável enquanto lex specialis ao regulamento.
(14) For a complete list of the meetings, agendas, summary of discussions and overview of the state of play of legislation in the different Member States see http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3461 .(14) Está disponível uma lista completa de reuniões, ordens do dia e sínteses de debates, bem como informações gerais sobre a situação da legislação nos diferentes Estados-Membros, em http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3461&Lang=PT .
(15) For instance, the Commission will provide to the European Data Protection Board the possibility to use the Internal Market Information System (IMI) for the communication between its members.(15) Por exemplo, a Comissão dará ao Comité Europeu para a Proteção de Dados a possibilidade de utilizar o Sistema de Informação do Mercado Interno (IMI) para a comunicação entre os seus membros.
(16) Reflection Paper on Harnessing Globalisation COM(2017)240.(16) Documento de reflexão «Controlar a Globalização», COM(2017) 240 final.
(17) Council of Europe Convention of 28 January 1981 for the Protection of Individuals with regard to Automatic Processing of Personal Data (ETS No 108) and the 2001 Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, regarding supervisory authorities and transborder data flows (ETS No 181). The Convention is open to non-members of the Council of Europe, has already been ratified by 51 countries (including by Uruguay, Mauritius, Senegal and Tunisia).(17) Convenção do Conselho da Europa para a Proteção das Pessoas Singulares no que diz respeito ao Tratamento Automatizado de Dados Pessoais, de 28 de janeiro de 1981 (STE n.º 108) e Protocolo Adicional à Convenção para a Proteção das Pessoas Singulares no que diz respeito ao Tratamento Automatizado de Dados Pessoais, de 2001, relativo às autoridades de controlo e à circulação transfronteiriça de dados (STE n.º 181). A convenção, que está aberta a países que não sejam membros do Conselho da Europa, já foi ratificada por 51 países (incluindo o Uruguai, Maurícia, Senegal e Tunísia).
(18) See e.g. Data Protection Standards of the Ibero-American States’, http://www.redipd.es/documentacion/common/Estandares_eng_Con_logo_RIPD.pdf(18) Ver, por exemplo, as normas de proteção de dados dos países ibero-americanos, http://www.redipd.es/documentacion/common/Estandares_eng_Con_logo_RIPD.pdf
(19) COM(2017)7.(19) COM(2017) 7 final.
(20) COM(2017)7 ibid p. 10-11.(20) COM(2017) 7 final, p. 10-11.
(21)   http://europa.eu/rapid/press-release_STATEMENT-17-1917_en.htm .(21)   http://europa.eu/rapid/press-release_STATEMENT-17-1917_en.htm .
(22) COM(2017)7 ibid p. 10-11.(22) COM(2017) 7 final, p. 10-11.
(23)(23)
Two workshops with the industry in July 2016 and April 2017, two business Round Tables in December 2016 and May 2017, a workshop on health data in October 2017, and a workshop with SMEs representatives in November 2017.Duas sessões de trabalho com a indústria em julho de 2016 e abril de 2017, duas mesas-redondas com empresas em dezembro de 2016 e maio de 2017, uma sessão de trabalho sobre dados no domínio da saúde em outubro de 2017 e uma sessão de trabalho com representantes das PME em novembro de 2017.
(24)   http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3537 .(24)   http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3537&Lang=PT .
(25) https://ec.europa.eu/programmes/horizon2020/h2020-sections(25) https://ec.europa.eu/programmes/horizon2020/h2020-sections
(26) All adopted guidelines are available at: http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083.(26) Todas as orientações adotadas podem ser consultadas em: http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083.
(27) Article 288 TFEU.(27) Artigo 288.º do TFUE.
(28) Article 54(1) Regulation(28) Artigo 54.º, n.º 1, do regulamento.
(29) Article 43(1) Regulation provides for Member States to offer two possible accreditation methods to certification bodies, i.e. by the national data protection supervisory authority established in accordance with data protection legislation and/or by the national accreditation body established under Regulation (EC) No 765/2008 on Accreditation and Market Surveillance. The European Cooperation for Accreditation ('EA', recognised under Regulation 765/2008), which gathers national accreditation bodies, and the supervisory authorities of the GDPR should closely cooperate to this effect.(29) O artigo 43.º, n.º 1, do regulamento prevê que os Estados-Membros podem oferecer dois possíveis métodos de acreditação, ou seja, pela autoridade nacional de controlo da proteção dos dados criada em conformidade com a legislação relativa à proteção de dados e/ou pelo organismo nacional de acreditação criado ao abrigo do Regulamento (CE) n.º 765/2008 relativo à acreditação e fiscalização do mercado. A Cooperação Europeia para a Acreditação (designada «EA» e reconhecida ao abrigo do Regulamento (CE) n.º 765/2008), que reúne os organismos de acreditação nacionais, e as autoridades de controlo do RGPD devem cooperar estreitamente para o efeito.
(30) Article 85(1) Regulation.(30) Artigo 85.º, n.º 1, do regulamento.
(31) Articles 6(2) Regulation.(31) Artigo 6.º, n.º 2, do regulamento.
(32) Articles 88 and 9(2)(b) Regulation. The European Pillar of Social Rights also states that 'Workers have the right to have their personal data protected in the employment context'. (2017/C 428/09, OJ C 428, 13.12.2017, p. 10–15)(32) Artigos 88.º e 9.º, n.º 2, alínea b), do regulamento. O Pilar Europeu dos Direitos Sociais também prevê que «os trabalhadores têm direito à proteção dos seus dados pessoais no âmbito do trabalho». (2017/C 428/09, JO C 428 de 13.12.2017, p. 10–15).
(33) Article 9(2)(h) and (i) Regulation.(33) Artigo 9.º, n.º 2, alíneas h) e i), do regulamento.
(34) Article 9(2)(j) Regulation.(34) Artigo 9.º, n.º 2, alínea j), do regulamento.
(35) Article 87 Regulation.(35) Artigo 87.º do regulamento.
(36) Article 86 Regulation.(36) Artigo 86.º do regulamento.
(37) Article 90 Regulation.(37) Artigo 90.º do regulamento.
(38) Article 9(4) Regulation.(38) Artigo 9.º, n.º 4, do regulamento.
(39) Case 94/77 Fratelli Zerbone Snc v Amministrazione delle finanze dello Stato ECLI:EU:C:1978:17 and 101.(39) Processo 94/77, Fratelli Zerbone Snc / Amministrazione delle finanze dello Stato, ECLI:EU:C:1978:17 e 101.
(40) Recital 8 Regulation.(40) Considerando 8 do regulamento.
(41) Austria ( http://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2017_I_120/BGBLA_2017_I_120.pdf ); Germany ( https://www.bgbl.de/xaver/bgbl/start.xav?start=%2F%2F*%5B%40attr_id%3D%27bgbl117s2097.pdf%27 %5D#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl117s2097.pdf%27 %5D__1513091793362 ).(41) Áustria ( http://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2017_I_120/BGBLA_2017_I_120.pdf ); Alemanha ( https://www.bgbl.de/xaver/bgbl/start.xav?start=%2F%2F*%5B%40attr_id%3D%27bgbl117s2097.pdf%27 %5D#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl117s2097.pdf%27 %5D__1513091793362 ).
(42) For the overview of the state of play of the legislative process in the different Member States see http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3461(42) Para ter uma perspetiva geral da situação do processo legislativo nos diferentes Estados-Membros, consultar http://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3461&Lang=PT
(43) The European Data Protection Board will be an EU body with legal personality in charge of ensuring the consistent application of the Regulation. It will be composed of the head of each data protection authority and of the European Data Protection Supervisor, or their representatives.(43) O Comité Europeu para a Proteção de Dados será um organismo da UE com personalidade jurídica responsável por assegurar a aplicação coerente do regulamento. Será composto pelo diretor de uma autoridade de controlo de cada Estado-Membro e da Autoridade Europeia para a Proteção de Dados, ou pelos respetivos representantes.
(44) Recital 117 and previously stated already in Recital 62 of Directive 95/46.(44) Considerando 117, previamente referido no considerando 62 da Diretiva 95/46/CE.
(45) Communication from the Commission to the European Parliament and the Council on the follow-up of the Work Programme for better implementation of the Data Protection Directive, COM(2007) 87 final, 7 March 2007.(45) Comunicação da Comissão ao Parlamento Europeu e ao Conselho sobre o acompanhamento do programa de trabalho para uma melhor aplicação da Diretiva relativa à proteção de dados, COM(2007) 87 final, de 7 de março de 2007.
(46) Article 52 Regulation.(46) Artigo 52.º do regulamento.
(47) Article 52(4) Regulation.(47) Artigo 52.º, n.º 4, do regulamento.
(48) The guidance will contribute to a better understanding of EU data protection rules, but only the text of the Regulation has legal force. As a consequence, only the Regulation is liable to create rights and obligations for individuals.(48) As orientações contribuirão para uma melhor compreensão das regras da UE em matéria de proteção de dados, mas o texto do regulamento é o único com valor jurídico. Consequentemente, o regulamento é o único capaz de criar direitos e obrigações para os indivíduos.
(49)  Grants provided under the Rights and Citizenship 2016 Programme https://ec.europa.eu/research/participants/portal/desktop/en/opportunities/rec/calls/rec-data-2016.html#c,topics=callIdentifier/t/REC-DATA-2016/1/1/1/default-group&callStatus/t/Forthcoming/1/1/0/default-group&callStatus/t/Open/1/1/0/default-group&callStatus/t/Closed/1/1/0/default-group&+identifier/desc ).(49)  Subvenções atribuídas ao abrigo do programa Direitos e Cidadania 2016 https://ec.europa.eu/research/participants/portal/desktop/en/opportunities/rec/calls/rec-data-2016.html#c,topics=callIdentifier/t/REC-DATA-2016/1/1/1/default-group&callStatus/t/Forthcoming/1/1/0/default-group&callStatus/t/Open/1/1/0/default-group&callStatus/t/Closed/1/1/0/default-group&+identifier/desc .
(50) http://ec.europa.eu/research/participants/portal/desktop/en/opportunities/rec/topics/rec-rdat-trai-ag-2017.html(50) http://ec.europa.eu/research/participants/portal/desktop/en/opportunities/rec/topics/rec-rdat-trai-ag-2017.html
(51) Delegated act for information to be presented by the icons and the procedures for providing standardised icons (Article 12(8) Regulation); Delegated act for requirements to be taken into account for certification mechanism (Article 43(8) Regulation); implementing act for laying down technical standards for certification mechanisms and data protection seals and marks, and mechanisms to promote and recognise those certification mechanisms, seals and marks (Article 43(9) Regulation); implementing act for the format and procedures for the exchange of information between controllers, processors and supervisory authorities for binding corporate rules (Article 47(3) Regulation); implementing acts for format and procedures for mutual assistance and for the exchange of information by electronic means between supervisory authorities (Articles 61(9) and 67 Regulation).(51) Ato delegado determinando as informações a fornecer por meio dos ícones e os procedimentos aplicáveis ao fornecimento de ícones normalizados (artigo 12.º, n.º 8, do regulamento); ato delegado especificando os requisitos a ter em conta relativamente aos procedimentos de certificação (artigo 43.º, n.º 8, do regulamento); ato de execução estabelecendo normas técnicas para os procedimentos de certificação e os selos e marcas em matéria de proteção de dados, e regras para promover e reconhecer esses procedimentos de certificação, selos e marcas (artigo 43.º, n.º 9, do regulamento); ato de execução especificando o formato e os procedimentos de intercâmbio de informações entre os responsáveis pelo tratamento, os subcontratantes e as autoridades de controlo no que respeita às regras vinculativas aplicáveis às empresas (artigo 47.º, n.º 3, do regulamento); atos de execução especificando o formato e os procedimentos para a assistência mútua, bem como as regras de intercâmbio por meios eletrónicos de informações entre as autoridades de controlo (artigos 61.º, n.º 9, e 67.º do regulamento).
(52) For information on the state of play, see http://www.efta.int/eea-lex/32016R0679.(52) Para mais informações sobre a situação, consultar http://www.efta.int/eea-lex/32016R0679.
(53) https://ec.europa.eu/commission/publications/position-paper-use-data-and-protection-information-obtained-or-processed-withdrawal-date_en(53) https://ec.europa.eu/commission/publications/position-paper-use-data-and-protection-information-obtained-or-processed-withdrawal-date_en
(54) See Commission Notice to stakeholders: withdrawal of the United Kingdom and EU rules in the field of data protection (http://ec.europa.eu/newsroom/just/document.cfm?action=display&doc_id=49245).(54) Consultar a notificação das partes interessadas pela Comissão: saída do Reino Unido e regras da UE no domínio da proteção de dados (http://ec.europa.eu/newsroom/just/document.cfm?action=display&doc_id=49245).