1.   A AEPD age no interesse público, enquanto órgão especializado, independente, fiável, proativo e conceituado no domínio da proteção da vida privada e dos dados pessoais.

2.   A AEPD age em conformidade com o Código Deontológico da AEPD.

1.   A AEPD publica periodicamente as respetivas prioridades estratégicas e um relatório anual.

2.   A AEPD, enquanto responsável pelo tratamento de dados, deve dar o exemplo, respeitando a legislação aplicável em matéria de proteção de dados pessoais.

3.   A AEPD intervém de forma aberta e transparente junto da comunicação social e das partes interessadas e explica as respetivas atividades ao público numa linguagem clara.

1.   A AEPD utiliza os meios técnicos e administrativos mais recentes para maximizar a eficiência e eficácia no desempenho das suas tarefas, incluindo comunicação interna e delegação adequada de tarefas.

2.   A AEPD aplica mecanismos e instrumentos adequados para assegurar o nível mais elevado de gestão da qualidade, tais como normas de controlo interno, um processo de gestão de riscos e o relatório de atividades anual.

1.   Sem prejuízo do memorando de entendimento entre a AEPD e o CEPD, de 25 de maio de 2018, nomeadamente a parte VI, n.o 5, o Diretor exerce as competências atribuídas à autoridade investida do poder de nomeação na aceção do artigo 2.o do Estatuto dos Funcionários da União Europeia, estabelecido pelo Regulamento (CEE, Euratom, CECA) n.o 259/68 do Conselho (7), bem como as competências atribuídas à autoridade competente para a contratação de outros agentes na aceção do artigo 6.o do Regime aplicável aos outros agentes da União Europeia, estabelecido pelo Regulamento (CEE, Euratom, CECA) n.o 259/68 do Conselho, e quaisquer outras competências conexas resultantes de decisões administrativas internas da AEPD ou de caráter interinstitucional, salvo disposição em contrário em decisão da Autoridade Europeia para a Proteção de Dados sobre o exercício das competências atribuídas à autoridade investida do poder de nomeação e à autoridade competente para a contratação de outros agentes.

2.   O Diretor pode delegar o exercício das competências referidas no n.o 1 no funcionário responsável pela gestão dos recursos humanos.

3.   O Diretor é o avaliador do encarregado da proteção de dados, o responsável local de segurança, o responsável local pela segurança informática, o responsável pela transparência, o responsável pelo serviço jurídico, o responsável pela ética e o coordenador do controlo interno no âmbito das atribuições relacionadas com as referidas funções.

4.   O Diretor assiste a Autoridade Europeia para a Proteção de Dados, a fim de assegurar a coerência e a coordenação geral da AEPD e relativamente a quaisquer outras atribuições delegadas pela Autoridade Europeia para a Proteção de Dados.

5.   O Diretor pode adotar as decisões da AEPD relativas à aplicação de limitações com base nas regras internas da AEPD que dão execução ao artigo 25.o do Regulamento.

1.   A reunião de gestão inclui a Autoridade Europeia para a Proteção de Dados, o Diretor e os chefes de unidade e de setor e assegura a supervisão estratégica do trabalho da AEPD.

2.   Sempre que a reunião de gestão diga respeito a questões relacionadas com matérias de recursos humanos, orçamentais, financeiras ou administrativas pertinentes para o CEPD ou para o secretariado do CEPD, a reunião inclui igualmente o chefe do secretariado do CEPD.

3.   A reunião de gestão é presidida pela Autoridade Europeia para a Proteção de Dados ou, caso esta não possa participar na reunião, pelo Diretor. Em regra, a reunião de gestão é realizada uma vez por semana.

4.   O Diretor assegura o bom funcionamento do secretariado da reunião de gestão.

5.   As reuniões não são públicas. Os debates são confidenciais.

1.   A Autoridade Europeia para a Proteção de Dados pode delegar no Diretor, sempre que adequado e em conformidade com o Regulamento, competências para adotar e assinar decisões juridicamente vinculativas, cujo teor já tenha sido definido pela Autoridade Europeia para a Proteção de Dados.

2.   A Autoridade Europeia para a Proteção de Dados pode, sempre que adequado e em conformidade com o Regulamento, delegar igualmente no Diretor ou no chefe da unidade ou do setor em causa competências para adotar e assinar outros documentos.

3.   Em caso de delegação de competências no Diretor nos termos dos n.os 1 ou 2, este pode subdelegar o exercício dessas competências no chefe da unidade ou do setor em causa.

4.   Se a Autoridade Europeia para a Proteção de Dados se vir impedida de exercer as suas funções ou o cargo estiver vago e a Autoridade Europeia para a Proteção de Dados não tiver sido nomeada, o Diretor, sempre que adequado e em conformidade com o Regulamento, exerce as atribuições e funções da Autoridade Europeia para a Proteção de Dados que sejam necessárias e urgentes para garantir a continuidade das atividades.

5.   Se o Diretor se vir impedido de exercer as suas funções ou o cargo estiver vago e a Autoridade Europeia para a Proteção de Dados não tiver designado um funcionário para exercer as funções de Diretor, estas são exercidas pelo chefe de unidade ou de setor de grau mais elevado ou, no caso de haver mais do que um com o mesmo grau, pelo chefe de unidade ou de setor com maior antiguidade no grau ou, se também neste caso houver igualdade, pelo funcionário mais velho.

6.   Caso nenhum chefe de unidade ou de setor se encontre disponível para o exercício das funções de Diretor, conforme especificado no n.o 5, e a Autoridade Europeia para a Proteção de Dados não tenha designado um funcionário, a substituição é assegurada pelo funcionário de grau mais elevado ou, no caso de haver mais do que um com o mesmo grau, pelo funcionário com maior antiguidade no grau ou, se também neste caso houver igualdade, pelo funcionário mais velho.

7.   No caso de qualquer outro superior hierárquico estar impedido de exercer as suas funções e a Autoridade Europeia para a Proteção de Dados não ter designado um funcionário, o Diretor designa, de acordo com a Autoridade Europeia para a Proteção de Dados, um funcionário para exercer as funções em causa. Se o Diretor não tiver designado um substituto, a substituição é assegurada pelo funcionário da unidade ou do setor em causa de grau mais elevado ou, no caso de haver mais do que um com o mesmo grau, pelo funcionário com maior antiguidade no grau ou, se também neste caso houver igualdade, pelo funcionário mais velho.

8.   Os n.os 1 a 7 não prejudicam as regras em matéria de delegação aplicáveis às competências atribuídas à autoridade investida do poder de nomeação nem as regras aplicáveis a assuntos financeiros, previstas nos artigos 9.o e 12.°.

1.   A Autoridade Europeia para a Proteção de Dados delega os poderes de gestor orçamental no diretor em conformidade com a carta de tarefas e responsabilidades relativas ao orçamento e à administração da AEPD, estabelecida nos termos do artigo 72.o, n.o 2, do Regulamento (UE, Euratom) 2018/1046 do Parlamento Europeu e do Conselho (8).

2.   No que diz respeito a questões orçamentais relacionadas com o CEPD, o gestor orçamental exerce as suas funções em conformidade com o memorando de entendimento entre a AEPD e o CEPD.

3.   Em conformidade com a decisão da Autoridade Europeia para a Proteção de Dados, de 1 de março de 2017 (9), a função do contabilista da AEPD é desempenhada pelo contabilista da Comissão.

1.   A AEPD mantém um registo das nomeações de encarregados da proteção de dados que lhe tenham sido notificadas pelas instituições em conformidade com o Regulamento.

2.   A lista atualizada dos encarregados da proteção de dados das instituições é publicada no sítio Web da AEPD.

3.   A AEPD faculta orientações aos encarregados da proteção de dados, nomeadamente através da participação nas reuniões organizadas pela rede de encarregados da proteção de dados das instituições.

1.   A AEPD não trata reclamações anónimas.

2.   A AEPD trata reclamações apresentadas por escrito, incluindo em formato eletrónico, em qualquer língua oficial da União Europeia e que facultem as informações necessárias para a sua compreensão.

3.   Caso o reclamante tenha apresentado ao Provedor de Justiça Europeu uma reclamação relativa aos mesmos factos, a AEPD aprecia a sua admissibilidade de acordo com o memorando de entendimento entre a AEPD e o Provedor de Justiça Europeu.

4.   A AEPD decide como tratar uma reclamação, tendo em conta os seguintes elementos:

5.   Sempre que adequado, a AEPD facilita a resolução amigável da reclamação.

6.   A AEPD suspende a investigação de uma reclamação na pendência de uma decisão de um tribunal ou de outra autoridade administrativa ou judicial sobre a mesma matéria.

7.   A AEPD apenas divulga a identidade do reclamante se tal for necessário para a adequada condução da investigação. A AEPD não divulga quaisquer documentos relacionados com a reclamação, excetuando excertos anónimos ou resumos da decisão definitiva, salvo se as pessoas em causa autorizarem a divulgação.

8.   Se necessário, devido às circunstâncias da reclamação, a AEPD coopera com as autoridades de supervisão competentes, incluindo as autoridades nacionais de controlo competentes que atuem no âmbito das respetivas competências.

1.   A AEPD informa os reclamantes, logo que possível, do resultado das suas reclamações e das medidas tomadas.

2.   Caso uma reclamação seja considerada inadmissível ou a investigação seja suspensa, a AEPD, se for caso disso, aconselha o reclamante a endereçar-se a outra autoridade competente.

3.   A AEPD pode decidir suspender uma investigação a pedido do reclamante. Tal decisão não impede a AEPD de aprofundar a investigação sobre o objeto da reclamação.

4.   A AEPD pode encerrar uma investigação se o reclamante não apresentar as informações solicitadas. A AEPD informa então o reclamante desta decisão.

1.   Sempre que a AEPD emita uma decisão relativa a uma reclamação, o reclamante ou a instituição em causa podem solicitar que a AEPD reaprecie a sua decisão. O pedido de reapreciação é apresentado no prazo de um mês após a decisão. A AEPD reaprecia a sua decisão se o reclamante ou a instituição apresentarem novas provas concretas ou novos argumentos jurídicos.

2.   Após a emissão da sua decisão relativa a uma reclamação, a AEPD informa o reclamante e a instituição em causa de que dispõem do direito de solicitar a reapreciação da decisão e de impugnar a decisão junto do Tribunal de Justiça da União Europeia, em conformidade com o artigo 263.o do Tratado sobre o Funcionamento da União Europeia.

3.   Se, no seguimento de um pedido de reapreciação da sua decisão relativa a uma reclamação, a AEPD emitir uma nova decisão revista, a AEPD informa o reclamante e a instituição em causa de que podem impugnar esta nova decisão junto do Tribunal de Justiça da União Europeia, em conformidade com o artigo 263.o do Tratado sobre o Funcionamento da União Europeia.

1.   A AEPD disponibiliza uma plataforma segura para as instituições procederem à notificação de violações de dados pessoais, bem como aplica medidas de segurança para o intercâmbio de informações relativas às violações de dados pessoais.

2.   Na sequência da notificação, a AEPD confirma a sua receção à instituição em causa.

1.   Em resposta aos pedidos da Comissão nos termos do artigo 42.o, n.o 1, do Regulamento, a AEPD emite pareceres ou observações formais.

2.   Os pareceres são publicados no sítio Web da AEPD em inglês, francês e alemão. Os resumos dos pareceres são publicados na Série C do Jornal Oficial da União Europeia. As observações formais são publicadas no sítio Web da AEPD.

3.   A AEPD pode recusar-se a dar resposta a um pedido de consulta se não se encontrarem reunidas as condições estabelecidas no artigo 42.o do Regulamento, incluindo no caso de não existir um impacto na proteção dos direitos e das liberdades das pessoas singulares no que diz respeito à proteção de dados.

4.   Sempre que, apesar dos muitos esforços nesse sentido, não seja possível emitir no prazo fixado um parecer comum da AEPD e do CEPD nos termos do artigo 42.o, n.o 2, do Regulamento, a AEPD pode emitir um parecer sobre a mesma matéria.

5.   Se a Comissão reduzir um prazo aplicável a uma consulta legislativa nos termos do artigo 42.o, n.o 3, do Regulamento, a AEPD esforça-se por respeitar o prazo fixado na medida do possível e razoável, tendo em conta, nomeadamente, a complexidade do assunto, a extensão da documentação e a exaustividade das informações fornecidas pela Comissão.

1.   A AEPD pode intervir em processos judiciais no Tribunal de Justiça da União Europeia em conformidade com o artigo 58.o, n.o 4, do Regulamento, o artigo 43.o, n.o 3, alínea i), do Regulamento (UE) 2016/794, o artigo 85.o, n.o 3, alínea g), do Regulamento (UE) 2017/1939 e o artigo 40.o, n.o 3, alínea g), do Regulamento (UE) 2018/1727.

2.   Ao decidir se deve pedir para intervir ou se deve aceitar um convite do Tribunal de Justiça da União Europeia para o fazer, a AEPD tem em conta, em particular, as seguintes questões:

1.   A AEPD coopera com as autoridades nacionais de controlo e com a Autoridade Comum de Controlo, criada ao abrigo do artigo 25.o da Decisão 2009/917/JAI do Conselho (10), tendo em vista, nomeadamente, o seguinte:

2.   Se pertinente, a AEPD presta assistência mútua e participa em operações conjuntas com as autoridades nacionais de controlo, agindo no âmbito das respetivas competências conforme estabelecido no Regulamento, no RGPD e em outros atos legislativos da União.

3.   A AEPD pode participar numa investigação a convite de uma autoridade de controlo ou convidar uma autoridade de controlo a participar numa investigação em conformidade com as normas jurídicas e processuais aplicáveis à parte que apresenta o convite.

1.   A AEPD promove boas práticas, convergência e sinergias no domínio da proteção de dados pessoais entre a União Europeia e países terceiros e organizações internacionais, nomeadamente através da participação em redes e eventos pertinentes a nível regional e internacional.

2.   Sempre que adequado, a AEPD presta assistência mútua no âmbito das medidas de investigação e execução das autoridades de controlo de países terceiros e organizações internacionais.

1.   O Comité do Pessoal, que representa o pessoal da AEPD, incluindo o secretariado do CEPD, é consultado, em tempo útil, sobre projetos de decisões relacionadas com a aplicação do Estatuto dos Funcionários da União Europeia e do Regime aplicável aos outros agentes da União Europeia, estabelecidos pelo Regulamento (CEE, Euratom, CECA) n.o 259/68 do Conselho, podendo igualmente ser consultado sobre quaisquer outras questões de interesse geral relativas ao pessoal. O Comité do Pessoal é informado sobre todas as questões relacionadas com a execução das suas tarefas. O Comité do Pessoal emite parecer no prazo de 10 dias úteis a contar da data da consulta.

2.   O Comité do Pessoal contribui para o bom funcionamento da AEPD, incluindo o secretariado do CEPD, apresentando propostas sobre questões organizacionais e condições de trabalho.

3.   O Comité do Pessoal é composto por três membros efetivos e três suplentes, sendo eleito para um mandato de dois anos por todo o pessoal da AEPD, incluindo o secretariado do CEPD.

1.   A AEPD nomeia um encarregado da proteção de dados.

2.   O encarregado da proteção de dados é consultado, nomeadamente, sempre que a AEPD, enquanto responsável pelo tratamento, pretenda aplicar uma limitação com base nas regras internas que dão execução ao artigo 25.o do Regulamento.

3.   Em conformidade com a parte IV, n.o 2, alínea viii), do memorando de entendimento entre a AEPD e o CEPD, o CEPD dispõe de um encarregado da proteção de dados distinto. Em conformidade com a parte IV, n.o 4, do memorando de entendimento entre a AEPD e o CEPD, os encarregados da proteção de dados da AEPD e do CEPD reúnem-se com regularidade, a fim de garantir que as suas decisões se mantêm coerentes.

1.   A AEPD está empenhada em respeitar o princípio do multilinguismo, pois a diversidade cultural e linguística é uma das pedras angulares da União Europeia, constituindo igualmente uma das suas riquezas. A AEPD esforça-se por encontrar um equilíbrio entre o princípio do multilinguismo e a obrigação de garantir uma boa gestão financeira e poupança para o orçamento da União Europeia, utilizando assim de forma pragmática os seus recursos limitados.

2.   Sempre que uma pessoa entre em contacto com a AEPD sobre uma matéria da sua competência numa das línguas oficiais da União Europeia, a AEPD responde na mesma língua que foi utilizada para a contactar. Todas as reclamações, pedidos de informação e quaisquer outros pedidos podem ser enviados à AEPD em qualquer uma das línguas oficiais da União Europeia, sendo a resposta enviada na mesma língua.

3.   O sítio Web da AEPD está disponível em inglês, francês e alemão. Os documentos estratégicos da AEPD, tais como a estratégia do mandato da Autoridade Europeia para a Proteção de Dados, são publicados em inglês, francês e alemão.

1.   As decisões da AEPD são autenticadas pela aposição da assinatura da Autoridade Europeia para a Proteção de Dados ou do Diretor, conforme previsto na presente decisão. A assinatura pode ser manuscrita ou eletrónica.

2.   No caso de delegação ou substituição em conformidade com o artigo 11.o, as decisões são autenticadas pela aposição da assinatura da pessoa a quem foram delegadas as competências ou do substituto. A assinatura pode ser manuscrita ou eletrónica.

1.   Mediante decisão da Autoridade Europeia para a Proteção de Dados, a AEPD pode criar um sistema de teletrabalho para todo o pessoal ou parte deste. Tal decisão é comunicada ao pessoal e publicada nos sítios Web da AEPD e do CEPD.

2.   Mediante decisão da Autoridade Europeia para a Proteção de Dados, a AEPD pode definir as condições de validade dos documentos eletrónicos, procedimentos eletrónicos e meios eletrónicos de transmissão de documentos para efeitos da sua utilização pela AEPD. Tal decisão é comunicada ao pessoal e publicada no sítio Web da AEPD.

3.   A presidência do CEPD é consultada sempre que as referidas decisões digam respeito ao secretariado do CEPD.