Accept Refuse

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 02016L0680-20160504

Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho de 27 de abril de 2016 relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI do Conselho

ELI: http://data.europa.eu/eli/dir/2016/680/2016-05-04

02016L0680 — PT — 04.05.2016 — 000.001


Este texto constitui um instrumento de documentação e não tem qualquer efeito jurídico. As Instituições da União não assumem qualquer responsabilidade pelo respetivo conteúdo. As versões dos atos relevantes que fazem fé, incluindo os respetivos preâmbulos, são as publicadas no Jornal Oficial da União Europeia e encontram-se disponíveis no EUR-Lex. É possível aceder diretamente a esses textos oficiais através das ligações incluídas no presente documento

►B

DIRETIVA (UE) 2016/680 DO PARLAMENTO EUROPEU E DO CONSELHO

de 27 de abril de 2016

relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI do Conselho

(JO L 119 de 4.5.2016, p. 89)


Retificada por:

►C1

Rectificação, JO L 127, 23.5.2018, p.  6 (2016/680)




▼B

DIRETIVA (UE) 2016/680 DO PARLAMENTO EUROPEU E DO CONSELHO

de 27 de abril de 2016

relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI do Conselho



CAPÍTULO I

Disposições gerais

Artigo 1.o

Objeto e objetivos

1.  A presente diretiva estabelece as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, incluindo a salvaguarda e prevenção de ameaças à segurança pública.

2.  Nos termos da presente diretiva, os Estados-Membros asseguram:

a) A proteção dos direitos e das liberdades fundamentais das pessoas singulares e, em especial, o seu direito à proteção dos dados pessoais; e

b) Que o intercâmbio de dados pessoais entre autoridades competentes na União, caso seja previsto pelo direito da União ou do Estado-Membro, não seja limitado nem proibido por razões relacionadas com a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais.

3.  A presente diretiva não obsta a que os Estados-Membros prevejam garantias mais elevadas do que as nela estabelecidas para a proteção dos direitos e liberdades do titular dos dados no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes.

Artigo 2.o

Âmbito de aplicação

1.  A presente diretiva aplica-se ao tratamento de dados pessoais pelas autoridades competentes para os efeitos estabelecidos no artigo 1.o, n.o 1.

2.  A presente diretiva aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento de dados pessoais contidos num ficheiro ou a ele destinados por meios não automatizados.

3.  A presente diretiva não se aplica ao tratamento de dados pessoais:

a) Efetuado no exercício de atividades não sujeitas à aplicação do direito da União;

b) Efetuado pelas instituições, organismos, serviços e agências da União.

Artigo 3.o

Definições

Para efeitos da presente diretiva, entende-se por:

1) «Dados pessoais», informações relativas a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador como, por exemplo, um nome, um número de identificação, dados de localização, identificadores em linha ou um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;

2) «Tratamento», uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, por difusão ou por qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;

3) «Limitação do tratamento», a inserção de uma marca nos dados pessoais conservados com o objetivo de limitar o seu tratamento no futuro;

4) «Definição de perfis», qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados pessoais para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho profissional, a sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocações;

5) «Pseudonimização», o tratamento de dados pessoais de forma a que deixem de poder ser atribuídos a um titular de dados específico sem recurso a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável;

6) «Ficheiro», um conjunto estruturado de dados pessoais acessíveis segundo critérios específicos, centralizado, descentralizado ou repartido de modo funcional ou geográfico;

7) «Autoridade competente»:

a) Uma autoridade pública competente para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública; ou

b) Qualquer outro organismo ou entidade designados pelo direito de um Estado-Membro para exercer a autoridade pública e os poderes públicos para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública;

8) «Responsável pelo tratamento», a autoridade competente que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento dos dados pessoais; caso as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou pelo direito de um Estado-Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado-Membro;

9) «Subcontratante», uma pessoa singular ou coletiva, uma autoridade pública, uma agência ou outro organismo que tratam dados pessoais por conta do responsável pelo tratamento;

10) «Destinatário», uma pessoa singular ou coletiva, uma autoridade pública, uma agência ou outro organismo que recebem comunicações de dados pessoais, independentemente de se tratar ou não de um terceiro. Contudo, as autoridades públicas que possam receber dados pessoais no âmbito de inquéritos específicos nos termos do direito de um Estado-Membro não são consideradas como destinatários; o tratamento desses dados por essas autoridades públicas deve cumprir as regras de proteção de dados aplicáveis em função das finalidades do tratamento;

11) «Violação de dados pessoais», uma violação da segurança que provoca, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação não autorizada de dados pessoais transmitidos, conservados ou tratados de outro modo, ou o acesso não autorizado a esses dados;

12) «Dados genéticos», dados pessoais, relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa singular, que dão informações únicas sobre a sua fisiologia ou sobre a sua saúde e que resultam, designadamente, da análise de uma amostra biológica da pessoa singular em causa;

13) «Dados biométricos», dados pessoais resultantes de um tratamento técnico específico, relativos às características físicas, fisiológicas ou comportamentais de uma pessoa singular, que permitem ou confirmam a sua identificação única, tais como imagens faciais ou dados dactiloscópicos;

14) «Dados relativos à saúde», dados pessoais relativos à saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelam informações sobre o seu estado de saúde;

15) «Autoridade de controlo», uma autoridade pública independente criada por um Estado-Membro nos termos do artigo 41.o;

16) «Organização internacional», uma organização e os organismos de direito internacional público por ela tutelados, ou outro organismo criado por um acordo celebrado entre dois ou mais países ou com base num acordo dessa natureza.



CAPÍTULO II

Princípios

Artigo 4.o

Princípios relativos ao tratamento de dados pessoais

1.  Os Estados-Membros preveem que os dados pessoais sejam:

a) Objeto de um tratamento lícito e leal;

b) Recolhidos para finalidades determinadas, explícitas e legítimas, e não tratados de uma forma incompatível com essas finalidades;

c) Adequados, pertinentes e limitados ao mínimo necessário relativamente às finalidades para as quais são tratados;

d) Exatos e atualizados sempre que necessário; devem ser tomadas todas as medidas razoáveis para que os dados inexatos, tendo em conta as finalidades para as quais são tratados, sejam apagados ou retificados sem demora;

e) Conservados de forma a permitir a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados;

f) Tratados de uma forma que garanta a sua segurança adequada, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidentais, recorrendo a medidas técnicas ou organizativas adequadas;

2.  É permitido o tratamento pelo mesmo ou por outro responsável pelo tratamento para as finalidades previstas no artigo 1.o, n.o 1, diferentes da finalidade para a qual os dados pessoais foram recolhidos, desde que:

a) O responsável pelo tratamento esteja autorizado a tratar esses dados pessoais com essa finalidade, nos termos do direito da União ou dos Estados-Membros; e

b) O tratamento seja necessário e proporcionado para essa outra finalidade, nos termos do direito da União ou dos Estados-Membros.

3.  O tratamento pelo mesmo ou por outro responsável pelo tratamento pode incluir o arquivo de interesse público e a utilização científica, estatística ou histórica dos dados para as finalidades previstas no artigo 1.o, n.o 1, sob reserva de garantias adequadas dos direitos e liberdades do titular dos dados.

4.  O responsável pelo tratamento é responsável pelo cumprimento do disposto nos n.os 1, 2 e 3 e deve poder comprovar esse cumprimento.

Artigo 5.o

Prazos para a conservação e avaliação

Os Estados-Membros preveem prazos adequados para o apagamento dos dados pessoais ou para a avaliação periódica da necessidade de os conservar. Devem ser previstas regras processuais que garantam o cumprimento desses prazos.

Artigo 6.o

Distinção entre diferentes categorias de titulares de dados

Os Estados-Membros preveem que o responsável pelo tratamento estabeleça, se aplicável, e na medida do possível, uma distinção clara entre os dados pessoais de diferentes categorias de titulares de dados, tais como:

a) Pessoas relativamente às quais existem motivos fundados para crer que cometeram ou estão prestes a cometer uma infração penal;

b) Pessoas condenadas por uma infração penal;

c) Vítimas de uma infração penal ou pessoas relativamente às quais certos factos levam a crer que possam vir a ser vítimas de uma infração penal; e

d) Terceiros envolvidos numa infração penal, tais como pessoas que possam ser chamadas a testemunhar em investigações penais relacionadas com infrações penais ou em processos penais subsequentes, pessoas que possam fornecer informações sobre infrações penais, ou contactos ou associados de uma das pessoas a que se referem as alíneas a) e b).

Artigo 7.o

Distinção entre dados pessoais e verificação da qualidade dos dados pessoais

1.  Os Estados-Membros preveem que os dados pessoais baseados em factos sejam, na medida do possível, distinguidos dos dados pessoais baseados em apreciações pessoais.

2.  Os Estados-Membros preveem que as autoridades competentes tomem todas as medidas razoáveis para assegurar que os dados pessoais inexatos, incompletos ou desatualizados não possam ser transmitidos nem disponibilizados. Para o efeito, as autoridades competentes verificam, na medida do possível, a qualidade dos dados pessoais antes de estes serem transmitidos ou disponibilizados. Em todas as transmissões de dados pessoais devem ser fornecidas, na medida do possível, as informações necessárias para que a autoridade competente que as recebe possa apreciar até que ponto os dados são exatos, completos e fiáveis, e estão atualizados.

3.  Se se verificar que foram transmitidos dados inexatos ou que foram transmitidos dados pessoais de forma ilícita, o destinatário deve ser informado sem demora. Neste caso, os dados pessoais são retificados ou apagados, ou o tratamento é limitado nos termos do artigo 16.o.

Artigo 8.o

Licitude do tratamento

1.  Os Estados-Membros preveem que o tratamento só seja lícito se e na medida em que for necessário para o exercício de uma atribuição pela autoridade competente para os efeitos previstos no artigo 1.o, n.o 1, e tiver por base o direito da União ou de um Estado-Membro.

2.  O direito de um Estado-Membro que rege o tratamento no âmbito da presente diretiva especifica pelo menos os objetivos do tratamento, os dados pessoais a tratar e as finalidades do tratamento.

Artigo 9.o

Condições específicas do tratamento

1.  Os dados pessoais recolhidos pelas autoridades competentes para os fins do artigo 1.o, n.o 1, não podem ser tratados para fins diferentes dos previstos no artigo 1.o, n.o 1, a não ser que esse tratamento seja autorizado pelo direito da União ou de um Estado-Membro. Caso os dados pessoais sejam tratados para esses outros fins, é aplicável o Regulamento (UE) 2016/679, salvo se tratamento for efetuado no âmbito de uma atividade não sujeita à aplicação do direito da União.

2.  Caso o direito dos Estados-Membros confie às autoridades competentes o exercício de atribuições diferentes das exercidas para os fins do artigo 1.o, n.o 1, o Regulamento (UE) 2016/679 é aplicável ao tratamento para esses fins, inclusive para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, salvo se o tratamento for efetuado no âmbito de uma atividade não sujeita à aplicação do direito da União.

3.  Caso o direito da União ou dos Estados-Membros aplicável à autoridade transmissora competente preveja condições específicas para o tratamento, os Estados-Membros preveem que a autoridade transmissora competente informe o destinatário dos dados pessoais dessas condições e da obrigação de as cumprir.

4.  Os Estados-Membros preveem que a autoridade transmissora competente não aplique condições ao abrigo do n.o 3 a destinatários situados noutros Estados-Membros nem a agências, organismos e órgãos criados nos termos do Título V, Capítulos 4 e 5, do TFUE, diferentes das aplicáveis a transmissões de dados similares no Estado-Membro da autoridade transmissora competente.

Artigo 10.o

Tratamento de categorias especiais de dados pessoais

O tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical, o tratamento de dados genéticos, dados biométricos destinados a identificar uma pessoa singular de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou à orientação sexual, só é autorizado se for estritamente necessário, se estiver sujeito a garantias adequadas dos direitos e liberdades do titular dos dados, e se:

a) For autorizado pelo direito da União ou de um Estado-Membro;

b) Se destinar a proteger os interesses vitais do titular dos dados ou de outra pessoa singular; ou

c) Estiver relacionado com dados manifestamente tornados públicos pelo titular dos dados.

Artigo 11.o

Decisões individuais automatizadas

1.  Os Estados-Membros preveem a proibição de decisões tomadas exclusivamente com base no tratamento automatizado, incluindo a definição de perfis, que produzam efeitos adversos na esfera jurídica do titular dos dados ou que o afetem de forma significativa, a menos que sejam autorizadas pelo direito da União ou do Estado-Membro ao qual o responsável pelo tratamento está sujeito, e que o direito da União ou desse Estado-Membro preveja garantias adequadas dos direitos e liberdades do titular dos dados, pelo menos o direito de obter a intervenção humana do responsável pelo tratamento.

2.  As decisões a que se refere o n.o 1 do presente artigo não se baseiam nas categorias especiais de dados pessoais a que se refere o artigo 8.o, a não ser que sejam aplicadas medidas adequadas para salvaguardar os direitos e liberdades e os legítimos interesses do titular.

3.  Em conformidade com o direito da União, são proibidas as definições de perfis que conduzam à discriminação de pessoas singulares com base nas categorias especiais de dados pessoais a que se refere o artigo 10.o.



CAPÍTULO III

Direitos do titular dos dados

Artigo 12.o

Comunicação e regras de exercício dos direitos dos titulares dos dados

1.  Os Estados-Membros preveem que o responsável pelo tratamento tome todas as medidas razoáveis para fornecer ao titular dos dados as informações a que se refere o artigo 13.o e efetue as comunicações relativas aos artigos 11.o, 14.o a 18.o e 31.o a respeito do tratamento de uma forma concisa, inteligível e de fácil acesso, utilizando uma linguagem clara e simples. As informações são fornecidas pelos meios adequados, inclusive eletrónicos. Em regra geral, o responsável pelo tratamento fornece as informações na mesma forma que o pedido.

2.  Os Estados-Membros preveem que o responsável pelo tratamento facilite o exercício dos direitos do titular dos dados nos termos dos artigos 11.o e 14.o a 18.o.

3.  Os Estados-Membros preveem que o responsável pelo tratamento informe por escrito, sem demora injustificada, o titular dos dados do seguimento dado ao seu pedido.

4.  Os Estados-Membros preveem que as informações fornecidas nos termos do artigo 13.o e as comunicações efetuadas ou as medidas tomadas previstas nos termos dos artigos 11.o, 14.o a 18.o e 31.o, sejam gratuitas. Caso os pedidos de um titular dos dados sejam manifestamente infundados ou excessivos, particularmente devido ao seu caráter recorrente, o responsável pelo tratamento pode:

a) Exigir o pagamento de uma taxa razoável, tendo em conta os custos administrativos da prestação das informações ou da comunicação ou da tomada das medidas solicitadas; ou

b) Recusar dar seguimento ao pedido.

Nesses casos, cabe ao responsável pelo tratamento demonstrar o caráter manifestamente infundado ou excessivo dos pedidos.

5.  Se tiver dúvidas razoáveis quanto à identidade da pessoa singular que apresenta o pedido a que se referem os artigos 14.o e 16.o, o responsável pelo tratamento pode solicitar que lhe sejam fornecidas as informações adicionais que forem necessárias para confirmar a identidade do titular dos dados.

Artigo 13.o

Informações a facultar ou a fornecer ao titular dos dados

1.  Os Estados-Membros preveem que o responsável pelo tratamento faculte ao titular dos dados pelo menos as seguintes informações:

a) A identidade e os contactos do responsável pelo tratamento;

b) Os contactos do encarregado da proteção de dados, se for caso disso;

c) As finalidades do tratamento a que os dados pessoais se destinam;

d) O direito de apresentar reclamação à autoridade de controlo e de obter os contactos dessa autoridade;

e) A existência do direito de solicitar ao responsável pelo tratamento acesso aos dados pessoais que dizem respeito ao titular, bem como a sua retificação ou o seu apagamento e a limitação do tratamento.

2.  Para além das informações a que se refere o n.o 1, os Estados-Membros preveem por lei que o responsável pelo tratamento forneça ao titular dos dados, em determinados casos, as seguintes informações adicionais, a fim de lhe permitir exercer os seus direitos:

a) O fundamento jurídico do tratamento;

b) O prazo de conservação dos dados pessoais ou, se tal não for possível, os critérios usados para definir esse período;

c) Se aplicável, as categorias de destinatários dos dados pessoais, inclusive nos países terceiros ou nas organizações internacionais;

d) Se for caso disso, informações adicionais, especialmente se os dados pessoais forem recolhidos sem conhecimento do seu titular.

3.  Os Estados-Membros podem adotar medidas legislativas que prevejam o adiamento, a limitação ou a não prestação aos titulares dos dados das informações a que se refere o n.o 2 se e enquanto tais medidas constituírem medidas necessárias e proporcionadas numa sociedade democrática, tendo devidamente em conta os direitos fundamentais e os interesses legítimos das pessoas singulares em causa, a fim de:

a) Evitar prejudicar os inquéritos, as investigações ou os procedimentos oficiais ou judiciais;

b) Evitar prejudicar a prevenção, deteção, investigação ou repressão de infrações penais ou a execução de sanções penais;

c) Proteger a segurança pública;

d) Proteger a segurança nacional;

e) Proteger os direitos e as liberdades de terceiros.

4.  Os Estados-Membros podem adotar medidas legislativas a fim de determinar as categorias de tratamento suscetíveis de ser abrangidas, total ou parcialmente, por uma das alíneas do n.o 3.

Artigo 14.o

Direito de acesso do titular dos dados aos seus dados pessoais

Sem prejuízo do artigo 15.o, os Estados-Membros preveem que o titular dos dados tenha o direito de obter do responsável pelo tratamento a confirmação de que os dados pessoais que lhe dizem respeito estão ou não a ser objeto de tratamento e, em caso afirmativo, acesso aos seus dados pessoais e às seguintes informações:

a) As finalidades e o fundamento jurídico do tratamento;

b) As categorias dos dados pessoais em causa;

c) Os destinatários ou as categorias de destinatários aos quais os dados pessoais foram divulgados, especialmente se se tratar de destinatários de países terceiros ou de organizações internacionais;

d) Sempre que possível, o prazo previsto de conservação dos dados pessoais ou, se tal não for possível, os critérios usados para fixar esse prazo;

e) A existência do direito de solicitar ao responsável pelo tratamento a retificação ou o apagamento dos dados pessoais ou a limitação do tratamento dos dados pessoais que dizem respeito ao titular dos dados;

f) O direito de apresentar reclamação à autoridade de controlo e de obter os contactos dessa autoridade;

g) A comunicação dos dados pessoais sujeitos a tratamento e as informações disponíveis sobre a origem dos dados.

Artigo 15.o

Limitações do direito de acesso

1.  Os Estados-Membros podem adotar medidas legislativas para limitar, total ou parcialmente, o direito de acesso do titular dos dados, se e enquanto tal limitação, total ou parcial, constituir uma medida necessária e proporcionada numa sociedade democrática, tendo devidamente em conta os direitos fundamentais e os interesses legítimos das pessoas singulares em causa, a fim de:

a) Evitar prejudicar os inquéritos, as investigações ou os procedimentos oficiais ou judiciais;

b) Evitar prejudicar a prevenção, deteção, investigação ou repressão de infrações penais ou a execução de sanções penais;

c) Proteger a segurança pública;

d) Proteger a segurança nacional;

e) Proteger os direitos e as liberdades de terceiros.

2.  Os Estados-Membros podem adotar medidas legislativas a fim de determinar as categorias de tratamento suscetíveis de ser abrangidas, total ou parcialmente, por uma das categorias previstas no n.o 1.

3.  Nos casos a que se referem os n.os 1 e 2, os Estados-Membros preveem que o responsável pelo tratamento informe por escrito o titular dos dados, sem demora injustificada, de todos os casos de recusa ou limitação de acesso, e dos motivos da recusa ou da limitação. Essa informação pode ser omitida caso a sua prestação possa prejudicar uma das finalidades enunciadas no n.o 1. Os Estados-Membros preveem que o responsável pelo tratamento informe o titular dos dados do direito que lhe assiste de apresentar reclamação à autoridade de controlo ou de intentar uma ação judicial.

4.  Os Estados-Membros preveem que o responsável pelo tratamento detalhe os motivos de facto ou de direito em que a sua decisão se baseou. Essa informação deve ser facultada às autoridades de controlo.

Artigo 16.o

Direito de retificação ou apagamento dos dados pessoais e limitação do tratamento

1.  Os Estados-Membros preveem que o titular dos dados tenha o direito de obter sem demora injustificada do responsável pelo tratamento a retificação dos dados pessoais inexatos que lhe digam respeito. Tendo em conta a finalidade do tratamento, os Estados-Membros preveem que o titular dos dados tenha direito a que os seus dados pessoais incompletos sejam completados, inclusive por meio de declaração adicional.

2.  Os Estados-Membros exigem que o responsável pelo tratamento apague os dados pessoais sem demora injustificada e preveem que o titular dos dados tenha o direito de obter sem demora injustificada do responsável pelo tratamento o apagamento dos dados pessoais que lhe digam respeito caso o tratamento infrinja as disposições adotadas nos termos dos artigos 4.o, 8.o ou 10.o, ou caso os dados pessoais tenham de ser apagados a fim de cumprir uma obrigação legal a que o responsável pelo tratamento esteja sujeito.

3.  Em vez de proceder ao apagamento, o responsável pelo tratamento limita o tratamento caso:

a) O titular dos dados conteste a exatidão dos dados pessoais e a sua exatidão ou inexatidão não possa ser apurada; ou

b) Os dados pessoais tenham de ser conservados para efeitos de prova.

Caso o tratamento seja limitado nos termos do primeiro parágrafo, alínea a), o responsável pelo tratamento informa o titular dos dados antes de anular a limitação do tratamento.

4.  Os Estados-Membros preveem que o responsável pelo tratamento informe o titular dos dados, por escrito, de todos os casos de recusa da retificação ou do apagamento de dados pessoais ou da limitação do tratamento, e dos motivos da recusa. Os Estados-Membros podem adotar medidas legislativas que limitem, total ou parcialmente, a obrigação de fornecer essas informações, na medida em que tal limitação constitua uma medida necessária e proporcionada numa sociedade democrática, tendo devidamente em conta os direitos fundamentais e os interesses legítimos das pessoas singulares em causa, a fim de:

a) Evitar prejudicar os inquéritos, as investigações ou os procedimentos oficiais ou judiciais;

b) Evitar prejudicar a prevenção, deteção, investigação ou repressão de infrações penais ou a execução de sanções penais;

c) Proteger a segurança pública;

d) Proteger a segurança nacional;

e) Proteger os direitos e as liberdades de terceiros.

Os Estados-Membros preveem que o responsável pelo tratamento informe o titular dos dados do direito de apresentar reclamação à autoridade de controlo ou de intentar ação judicial.

5.  Os Estados-Membros preveem que o responsável pelo tratamento de dados comunique a retificação de dados pessoais inexatos à autoridade competente que está na origem dos dados pessoais inexatos.

6.  Os Estados-Membros preveem que, caso os dados pessoais tenham sido retificados ou apagados ou o tratamento tenha sido limitado nos termos dos n.os 1, 2 e 3, o responsável pelo tratamento notifique os destinatários e estes retifiquem ou apaguem os dados pessoais ou limitem o tratamento de dados pessoais sob a sua responsabilidade.

Artigo 17.o

Exercício dos direitos do titular dos dados e verificação pela autoridade de controlo

1.  Nos casos referidos no artigo 13.o, n.o 3, no artigo 15.o, n.o 3 e no artigo 16.o, n.o 4, os Estados-Membros adotam medidas que prevejam a possibilidade de os direitos do titular dos dados serem igualmente exercidos através da autoridade de controlo competente.

2.  Os Estados-Membros preveem que o responsável pelo tratamento informe o titular dos dados que os seus direitos podem ser exercidos através da autoridade de controlo nos termos do n.o 1.

3.  Se for exercido o direito referido no n.o 1, a autoridade de controlo informa, pelo menos, o titular dos dados de que procedeu a todas as verificações necessárias ou a um reexame. A autoridade de controlo informa também o titular dos dados acerca do seu direito de intentar ação judicial.

Artigo 18.o

Direitos do titular dos dados no âmbito de investigações e ações penais

Os Estados-Membros podem prever que os direitos referidos nos artigos 13.o, 14.o e 16.o sejam exercidos nos termos do direito dos Estados-Membros se os dados pessoais constarem de uma decisão judicial ou registo criminal ou de um processo objeto de tratamento no âmbito de uma investigação ou ação penal.



CAPÍTULO IV

Responsável pelo tratamento e subcontratante



Secção 1

Obrigações gerais

Artigo 19.o

Obrigações do responsável pelo tratamento

1.  Os Estados-Membros preveem que o responsável pelo tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos de probabilidade e gravidade variáveis para os direitos e liberdades das pessoas singulares, aplique as medidas técnicas e organizativas adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com a presente diretiva. Estas medidas são avaliadas e atualizadas, se necessário.

2.  Caso sejam proporcionadas em relação às atividades de tratamento de dados, as medidas referidas no n.o 1 incluem a aplicação, pelo responsável pelo tratamento, de políticas adequadas em matéria de proteção de dados.

Artigo 20.o

Proteção de dados desde a conceção e por defeito

1.  Os Estados-Membros preveem que o responsável pelo tratamento, tendo em conta as técnicas mais avançadas e os custos da sua aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos de probabilidade e gravidade variáveis que representa para os direitos e liberdades das pessoas singulares, aplique, tanto no momento da definição dos meios de tratamento como no momento do próprio tratamento, as medidas técnicas e organizativas — como a pseudonimização — concebidas para aplicar de forma eficaz os princípios da proteção de dados, como a minimização dos dados, e para integrar as garantias necessárias no tratamento de dados a fim de satisfazer os requisitos da presente diretiva e de proteger os direitos dos titulares dos dados.

2.  Os Estados-Membros preveem que o responsável pelo tratamento aplique as medidas técnicas e organizativas adequadas que assegurem, por defeito, que apenas são tratados os dados pessoais necessários para cada finalidade específica do tratamento; tal aplica-se ao volume de dados pessoais recolhidos, à extensão do seu tratamento, ao prazo de conservação e à sua acessibilidade. Em especial, estas medidas asseguram que, por defeito, os dados pessoais não são disponibilizados a um número indeterminado de pessoas sem a intervenção da pessoa singular em causa.

Artigo 21.o

Responsáveis conjuntos pelo tratamento

1.  Os Estados-Membros preveem que, quando dois ou mais responsáveis pelo tratamento de dados determinam conjuntamente as finalidades e os meios do tratamento, ambos são responsáveis conjuntos pelo tratamento. Ambos determinam as respetivas responsabilidades por acordo entre si e de modo transparente, a fim de garantir o cumprimento da presente diretiva, nomeadamente no que diz respeito ao exercício dos direitos do titular dos dados, e os respetivos deveres de fornecer as informações referidas no artigo 13.o, a menos e na medida em que as suas responsabilidades respetivas sejam determinadas pelo direito da União ou do Estado-Membro a que estejam sujeitos. Desse acordo deve constar o ponto de contacto dos titulares dos dados. Os Estados-Membros podem determinar qual dos dois responsáveis conjuntos fica habilitado a agir como o ponto de contacto único para que os titulares dos dados exerçam os seus direitos.

2.  Independentemente do acordo a que se refere o n.o 1, os Estados-Membros podem prever que o titular dos dados exerça, em relação a cada um dos responsáveis pelo tratamento de dados, os direitos que lhe conferem as disposições adotadas por força da presente diretiva.

Artigo 22.o

Subcontratante

1.  Os Estados-Membros preveem que, caso o tratamento de dados seja efetuado por conta do responsável pelo tratamento, este recorra apenas a subcontratantes que apresentem garantias suficientes de executar medidas técnicas e organizativas adequadas, de modo a que o tratamento satisfaça os requisitos estabelecidos na presente diretiva e assegure a proteção dos direitos do titular dos dados.

2.  Os Estados-Membros preveem que o subcontratante não contrate outro subcontratante sem a autorização prévia específica ou geral por escrito do responsável pelo tratamento. Em caso de autorização geral por escrito, o subcontratante informa o responsável pelo tratamento de quaisquer alterações pretendidas quanto ao aditamento ou substituição de outros subcontratantes, dando, assim ao responsável pelo tratamento a oportunidade de se opor a tais alterações.

3.  Os Estados-Membros preveem que o tratamento em subcontratação seja regulada por um contrato ou outro ato normativo sujeito ao direito da União ou dos Estados-Membros, que vincule o subcontratante ao responsável pelo tratamento e que estabeleça o objeto e a duração do tratamento, a natureza e finalidade do tratamento, o tipo de dados pessoais e as categorias de titulares de dados, as obrigações e os direitos do responsável pelo tratamento. Esse contrato ou outro ato normativo prevê, designadamente, que o subcontratante:

a) Só age de acordo com instruções do responsável pelo tratamento;

b) Assegura que as pessoas autorizadas a tratar os dados pessoais assumiram um compromisso de confidencialidade ou se encontram sujeitas às obrigações legais de confidencialidade adequada;

c) Presta assistência ao responsável pelo tratamento por todos os meios adequados de modo a assegurar o cumprimento das disposições relativas aos direitos do titular dos dados;

d) Apaga todos os dados pessoais ou devolve-os ao responsável pelo tratamento, consoante a escolha deste, depois de concluir os serviços de tratamento de dados, e apaga as cópias existentes, a menos que a sua conservação seja exigida pelo direito da União ou do Estado-Membro;

e) Disponibiliza ao responsável pelo tratamento dos dados todas as informações necessárias para demonstrar o cumprimento do presente artigo;

f) Respeita as condições referidas nos n.os 2 e 3 na contratação de outro subcontratante.

4.  O contrato ou outro ato normativo a que se refere o n.o 3 é feito por escrito, inclusivamente em formato eletrónico.

5.  Se, em violação da presente diretiva, um subcontratante determinar as finalidades e os meios do tratamento, esse mesmo subcontratante é considerado responsável pelo tratamento em relação ao referido tratamento.

Artigo 23.o

Tratamento sob a autoridade do responsável pelo tratamento ou do subcontratante

Os Estados-Membros preveem que o subcontratante, bem como qualquer pessoa que, agindo sob a autoridade do responsável pelo tratamento ou do subcontratante, tenha acesso a dados pessoais, não possa efetuar o seu tratamento sem instruções do responsável pelo tratamento, salvo se tal for previsto pelo direito da União ou de um Estado-Membro.

Artigo 24.o

Registos das atividades de tratamento

1.  Os Estados-Membros preveem que os responsáveis pelo tratamento conservem um registo de todas as categorias de atividades de tratamento sob a sua responsabilidade. Desse registo deve constar:

a) O nome e contactos do responsável pelo tratamento de dados e, se for caso disso, do responsável conjunto pelo tratamento de dados e do encarregado da proteção de dados;

b) As finalidades do tratamento;

c) As categorias de destinatários a quem os dados pessoais foram ou serão divulgados, incluindo os destinatários estabelecidos em países terceiros ou organizações internacionais;

d) A descrição das categorias de titulares de dados e das categorias de dados pessoais;

e) Se for caso disso, a utilização da definição de perfis;

f) Se for caso disso, as categorias de transferências de dados pessoais para um país terceiro ou uma organização internacional;

g) Uma indicação da fundamento jurídico da operação de tratamento, incluindo transferências, a que os dados pessoais se destinam;

h) Se possível, os prazos fixados para o apagamento das diferentes categorias de dados pessoais;

i) Se possível, uma descrição geral das medidas técnicas e organizativas em matéria de segurança referidas no artigo 29.o, n.o 1.

2.  Os Estados-Membros preveem que os subcontratantes conservem um registo de todas as categorias de atividades de tratamento realizadas em nome de um responsável pelo tratamento, do qual constem:

a) O nome e contactos do subcontratante ou subcontratantes, de cada responsável pelo tratamento em nome do qual atua o subcontratante, bem como do encarregado da proteção de dados, se for caso disso;

b) As categorias de tratamentos de dados efetuados em nome de cada responsável pelo tratamento;

c) Se for caso disso, as transferências de dados pessoais para um país terceiro ou uma organização internacional se o responsável pelo tratamento der instruções explícitas nesse sentido, incluindo a identificação desse país terceiro ou dessa organização internacional;

d) Se possível, uma descrição geral das medidas técnicas e organizativas em matéria de segurança referidas no artigo 29.o, n.o 1.

3.  Os registos a que se referem os n.os 1 e 2 são conservados por escrito, inclusivamente em formato eletrónico.

O responsável pelo tratamento e o subcontratante facultam o registo à autoridade de controlo, a pedido desta.

Artigo 25.o

Registo cronológico

1.  Os Estados-Membros preveem que sejam conservados em sistemas de tratamento automatizado registos cronológicos pelo menos das seguintes operações de tratamento: recolha, alteração, consulta, divulgação — incluindo transferências —, interconexão e apagamento. Os registos cronológicos das operações de consulta e divulgação permitem determinar o motivo, a data e a hora dessas operações e, na medida do possível, a identificação da pessoa que consultou ou divulgou dados pessoais, e a identidade dos destinatários desses dados pessoais.

2.  Os registos cronológicos são utilizados exclusivamente para efeitos de verificação da licitude do tratamento, autocontrolo e garantia da integridade e segurança dos dados pessoais, bem como para ações penais.

3.  O responsável pelo tratamento e o subcontratante disponibilizam os registos cronológicos à autoridade de controlo, a pedido desta.

Artigo 26.o

Cooperação com a autoridade de controlo

Os Estados-Membros preveem que o responsável pelo tratamento e o subcontratante cooperem, a pedido, com a autoridade de controlo no exercício das suas atribuições.

Artigo 27.o

Avaliação de impacto sobre a proteção de dados

1.  Caso um tipo de tratamento, em particular que utilize novas tecnologias, e tendo em conta a sua natureza, âmbito, contexto e finalidades, seja suscetível de resultar num elevado risco para os direitos e liberdades das pessoas singulares, os Estados-Membros preveem que o responsável efetue, antes de iniciar o tratamento, uma avaliação do impacto das operações de tratamento previstas na proteção dos dados pessoais.

2.  A avaliação a que se refere o n.o 1 inclui pelo menos uma descrição geral das operações de tratamento de dados previstas, uma avaliação dos riscos para os direitos e liberdades dos titulares dos dados, as medidas previstas para fazer face a esses riscos, as garantias, medidas de segurança e mecanismos para assegurar a proteção dos dados pessoais e demonstrar a conformidade com a presente diretiva, tendo em conta os direitos e os legítimos interesses dos titulares dos dados e de outras pessoas em causa.

Artigo 28.o

Consulta prévia da autoridade de controlo

1.  Os Estados-Membros preveem que o responsável pelo tratamento ou o subcontratante consulte a autoridade de controlo antes de proceder ao tratamento de dados pessoais que farão parte de um novo ficheiro a criar caso:

a) A avaliação de impacto sobre a proteção de dados prevista no artigo 27.o indique que o tratamento resultaria num elevado risco na ausência das medidas a tomar pelo responsável pelo tratamento para atenuar o risco; ou

b) O tipo de tratamento envolva, especialmente no caso de se utilizarem novas tecnologias, mecanismos ou procedimentos, um elevado risco para os direitos e liberdades dos titulares dos dados.

2.  Os Estados-Membros preveem que a autoridade de controlo seja consultada durante a elaboração de propostas de medidas legislativas a adotar por um parlamento nacional ou de medidas regulamentares baseadas nessas medidas legislativas, quando tais propostas estejam relacionadas com o tratamento.

3.  Os Estados-Membros preveem que a autoridade de controlo possa estabelecer uma lista das operações de tratamento de dados sujeitas a consulta prévia nos termos do n.o 1.

4.  Os Estados-Membros preveem que o responsável pelo tratamento forneça à autoridade de controlo a avaliação de impacto sobre a proteção de dados nos termos do artigo 27.o e, quando solicitado, qualquer outra informação que permita à autoridade de controlo avaliar a conformidade do tratamento e, nomeadamente, os riscos para a proteção dos dados pessoais do titular dos dados e as respetivas garantias.

5.  Os Estados-Membros preveem que, caso considere que o tratamento previsto referido no n.o 1 do presente artigo violaria as disposições adotadas nos termos da presente diretiva, especialmente se o responsável pelo tratamento não tiver identificado ou atenuado suficientemente os riscos, a autoridade de controlo, no prazo de seis semanas a contar da receção do pedido de consulta, dê orientações, por escrito, ao responsável pelo tratamento e, se aplicável, ao subcontratante e possa recorrer a todos os seus poderes referidos no artigo 47.o. Esse prazo pode ser prorrogado por um mês, tendo em conta a complexidade do tratamento previsto. A autoridade de controlo informa o responsável pelo tratamento e, se for caso disso, o subcontratante dessa prorrogação e dos seus fundamentos no prazo de um mês a contar da data de receção do pedido de consulta.



Secção 2

Segurança dos dados pessoais

Artigo 29.o

Segurança do tratamento

1.  Os Estados-Membros preveem que o responsável pelo tratamento e o subcontratante, tendo em conta as técnicas mais avançadas, os custos da sua aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos de probabilidade e gravidade variáveis que este tratamento representa para os direitos e liberdades das pessoas singulares, apliquem medidas técnicas e organizativas adequadas a fim de assegurar um nível de segurança adequado ao risco, em especial no que respeita ao tratamento das categorias especiais de dados pessoais a que se refere o artigo 10.o.

2.  No que respeita ao tratamento automatizado de dados, cada Estado-Membro prevê que o responsável pelo tratamento ou o subcontratante, na sequência de uma avaliação dos riscos, aplique medidas para os seguintes efeitos:

a) Impedir o acesso de pessoas não autorizadas ao equipamento utilizado para o tratamento («controlo de acesso ao equipamento»);

b) Impedir que os suportes de dados sejam lidos, copiados, alterados ou retirados sem autorização («controlo dos suportes de dados»);

c) Impedir a introdução não autorizada de dados pessoais, bem como qualquer inspeção, alteração ou apagamento não autorizados de dados pessoais conservados («controlo da conservação»);

d) Impedir que os sistemas de tratamento automatizado sejam utilizados por pessoas não autorizadas por meio de equipamento de comunicação de dados («controlo dos utilizadores»);

e) Assegurar que as pessoas autorizadas a utilizar um sistema de tratamento automatizado só tenham acesso aos dados pessoais abrangidos pela sua autorização de acesso («controlo do acesso aos dados»);

f) Assegurar que possa ser verificado e determinado a organismos os dados pessoais foram ou podem ser transmitidos ou facultados utilizando equipamento de comunicação de dados («controlo da comunicação»);

g) Assegurar que possa ser verificado e determinado a posteriori quais os dados pessoais introduzidos nos sistemas de tratamento automatizado, quando e por quem («controlo da introdução»);

h) Impedir que, durante as transferências de dados pessoais ou o transporte de suportes de dados, os dados pessoais possam ser lidos, copiados, alterados ou suprimidos sem autorização («controlo do transporte»);

i) Assegurar que os sistemas utilizados possam ser restaurados em caso de interrupção («recuperação»);

j) Assegurar que as funções do sistema funcionem, que os erros de funcionamento sejam assinalados (fiabilidade) e que os dados pessoais conservados não possam ser falseados por um disfuncionamento do sistema («integridade»).

Artigo 30.o

Notificação de uma violação de dados pessoais à autoridade de controlo

1.  Os Estados-Membros preveem que, em caso de violação de dados pessoais, o responsável pelo tratamento notifique desse facto a autoridade de controlo sem demora injustificada e, sempre que possível, até 72 horas após ter tido conhecimento da mesma, a menos que a violação dos dados pessoais não seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares. Se a notificação da autoridade de controlo não for feita no prazo de 72 horas, é acompanhada dos motivos do atraso.

2.  O subcontratante notifica o responsável pelo tratamento sem demora injustificada após ter conhecimento de uma violação de dados pessoais.

3.  A notificação referida no n.o 1 deve, pelo menos:

a) Descrever a natureza da violação de dados pessoais incluindo, se possível e adequado, as categorias e número aproximados de titulares dos dados afetados, bem como as categorias e o número aproximado de registos de dados pessoais em causa;

b) Comunicar o nome e os contactos do encarregado da proteção de dados ou de outro ponto de contacto onde possam ser obtidas informações adicionais;

c) Descrever as consequências prováveis da violação de dados pessoais;

d) Descrever as medidas adotadas ou propostas pelo responsável pelo tratamento para reparar a violação de dados pessoais, inclusive, se for caso disso, para atenuar os seus eventuais efeitos negativos.

4.  Caso, e na medida em que, não seja possível fornecer as informações ao mesmo tempo, estas podem ser fornecidas por fases sem demora injustificada.

5.  Os Estados-Membros preveem que o responsável pelo tratamento documente qualquer violação de dados pessoais referida no n.o 1, compreendendo os factos relacionados com a violação de dados pessoais, os seus efeitos e as medidas de reparação adotadas. Essa documentação deve permitir à autoridade de controlo verificar o cumprimento do disposto no presente artigo.

6.  Os Estados-Membros preveem que, caso a violação de dados pessoais envolva dados pessoais que tenham sido transmitidos pelo ou ao responsável pelo tratamento de outro Estado-Membro, as informações referidas no n.o 3 sejam comunicadas sem demora injustificada ao responsável pelo tratamento deste último Estado-Membro.

Artigo 31.o

Comunicação de uma violação de dados pessoais ao titular dos dados

1.  Os Estados-Membros preveem que, quando a violação dos dados pessoais for suscetível de resultar num elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento comunique a violação de dados pessoais ao titular dos dados sem demora injustificada.

2.  A comunicação ao titular dos dados referida no n.o 1 do presente artigo descreve numa linguagem clara e simples a natureza da violação dos dados pessoais e inclui, pelo menos, as informações e as medidas referidas no artigo 30.o, n.o 3, alíneas b), c) e d).

3.  A comunicação ao titular dos dados referida no n.o 1 não é exigida se:

a) O responsável pelo tratamento de dados tiver aplicado medidas de proteção adequadas, tanto tecnológicas como organizativas, e essas medidas tiverem sido aplicadas aos dados afetados pela violação de dados pessoais, especialmente medidas que tornem os dados pessoais incompreensíveis para qualquer pessoa não autorizada a aceder a esses dados, como, por exemplo, a cifragem; ou

b) O responsável pelo tratamento de dados tiver tomado medidas subsequentes capazes de assegurar que a ocorrência de elevado risco para os direitos e liberdades dos titulares referida no n.o 1 deixou de ser provável; ou

c) Implicar um esforço desproporcionado. Nesse caso, é feita uma comunicação pública ou tomada uma medida semelhante através da qual os titulares dos dados são informados de forma igualmente eficaz.

4.  Se o responsável pelo tratamento não tiver já comunicado a violação de dados pessoais ao titular dos dados, a autoridade de controlo, tendo considerado a probabilidade de a violação de dados pessoais resultar num elevado risco, pode exigir que o referido responsável proceda a essa notificação, ou pode decidir que se encontra preenchida uma das condições referidas no n.o 3.

5.  A comunicação ao titular dos dados referida no n.o 1 do presente artigo pode ser adiada, limitada ou omitida sob reserva das condições e pelos motivos enunciados no artigo 13.o, n.o 3.



Secção 3

Encarregado da proteção de dados

Artigo 32.o

Designação do encarregado da proteção de dados

1.  Os Estados-Membros preveem que o responsável pelo tratamento designe um encarregado da proteção de dados. Os Estados-Membros podem isentar dessa obrigação os tribunais e outras autoridades judiciais independentes no exercício da sua função jurisdicional.

2.  O encarregado da proteção de dados é designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio da legislação e práticas de proteção de dados, bem como na sua capacidade para desempenhar as funções referidas no artigo 34.o.

3.  Pode ser designado um único encarregado da proteção de dados para várias autoridades competentes, tendo em conta a sua dimensão e estrutura organizativa.

4.  Os Estados-Membros preveem que o responsável pelo tratamento dos dados publique os contactos do encarregado da proteção de dados e os comunique à autoridade de controlo.

Artigo 33.o

Cargo de encarregado da proteção de dados

1.  Os Estados-Membros preveem que o responsável pelo tratamento assegure que o encarregado da proteção de dados seja envolvido, de forma adequada e em tempo útil, em todas as questões relacionadas com a proteção de dados pessoais.

2.  O responsável pelo tratamento dos dados apoia o encarregado da proteção de dados no desempenho das funções a que se refere o artigo 34.o, fornecendo-lhe os recursos necessários para o efeito e para a manutenção dos seus conhecimentos, e dando-lhe acesso aos dados pessoais e às operações de tratamento.

Artigo 34.o

Funções do encarregado da proteção de dados

Os Estados-Membros preveem que o responsável pelo tratamento confie ao encarregado da proteção de dados, pelo menos, as seguintes funções:

a) Informar e aconselhar o responsável pelo tratamento dos dados e os empregados que efetuem o tratamento quanto às obrigações que lhes incumbem por força da presente diretiva e a outras disposições da União ou dos Estados-Membros de proteção de dados;

b) Fiscalizar a conformidade com a presente diretiva, com outras disposições da União ou dos Estados-Membros de proteção de dados e com as políticas do responsável pelo tratamento de dados em matéria de proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados e as auditorias correspondentes;

c) Prestar aconselhamento, quando tal lhe for solicitado, no que respeita à avaliação de impacto sobre a proteção de dados e controlar a sua realização nos termos do artigo 27.o;

d) Cooperar com a autoridade de controlo;

e) Ponto de contacto para a autoridade de controlo em assuntos relacionados com o tratamento, incluindo a consulta prévia referida no artigo 28.o, e aconselhar esta autoridade, se for caso disso, sobre qualquer outro assunto.



CAPÍTULO V

Transferências de dados pessoais para países terceiros ou organizações internacionais

Artigo 35.o

Princípios gerais das transferências de dados pessoais

1.  Os Estados-Membros preveem que qualquer transferência, por parte das autoridades competentes, de dados pessoais que sejam ou se destinem a ser objeto de tratamento após transferência para um país terceiro ou uma organização internacional, inclusivamente que se destinem a transferências ulteriores para outro país terceiro ou outra organização internacional, só possa ser efetuada nos termos das disposições nacionais adotadas por força de outras disposições da presente diretiva, se forem preenchidas as condições previstas neste capítulo, a saber:

a) A transferência se necessária para a consecução das finalidades estabelecidas no artigo 1.o, n.o 1;

b) Os dados pessoais serem transferidos para um responsável pelo tratamento no país terceiro ou na organização internacional que seja uma autoridade competente para as finalidades referidas no artigo 1.o, n.o 1;

c) Caso os dados pessoais sejam transmitidos ou disponibilizados por outro Estado-Membro, esse Estado ter dado o seu consentimento prévio à transferência nos termos do seu direito nacional;

d) A Comissão ter adotado uma decisão de adequação nos termos do artigo 36.o ou, na falta dessa decisão de adequação, terem sido apresentadas ou existirem garantias adequadas nos termos do artigo 37.o, ou, na falta de decisão de adequação nos termos do artigo 36.o ou de garantias adequadas nos termos do artigo 37.o, se forem aplicáveis derrogações a situações específicas nos termos do artigo 38.o; e

e) No caso de uma transferência ulterior para um país terceiro ou uma organização internacional, a autoridade competente que realizou a transferência inicial, ou outra autoridade competente do mesmo Estado-Membro, autorizar a transferência ulterior após ter em conta todos os fatores pertinentes, incluindo a gravidade da infração penal, a finalidade para que os dados pessoais foram transferidos inicialmente e o nível de proteção dos dados pessoais no país terceiro ou na organização internacional para os quais os dados pessoais são ulteriormente transferidos.

2.  Os Estados-Membros preveem que as transferências sem consentimento prévio de outro Estado-Membro nos termos do n.o 1, alínea c), só sejam permitidas se a transferência de dados pessoais for necessária para prevenir uma ameaça imediata e grave à segurança pública de um Estado-Membro ou de um país terceiro ou aos interesses essenciais de um Estado-Membro e o consentimento prévio não puder ser obtido em tempo útil. A autoridade responsável por dar o consentimento prévio é informada sem demora.

3.  Todas as disposições do presente capítulo são aplicadas de forma a assegurar que não fique comprometido o nível de proteção das pessoas singulares assegurado pela presente diretiva.

Artigo 36.o

Transferências com base numa decisão de adequação

1.  Os Estados-Membros preveem que uma transferência de dados pessoais para um país terceiro ou uma organização internacional possa ser efetuada se a Comissão tiver determinado que o país terceiro, um território ou um ou mais setores específicos desse país terceiro, ou a organização internacional em causa, assegura um nível de proteção adequado. Esta transferência não exige autorização específica.

2.  Ao avaliar a adequação do nível de proteção, a Comissão tem particularmente em conta os seguintes elementos:

a) O primado do Estado de direito, o respeito pelos direitos humanos e liberdades fundamentais, a legislação pertinente em vigor, tanto a geral como a setorial, nomeadamente em matéria de segurança pública, defesa, segurança nacional e direito penal, e respeitante ao acesso das autoridades públicas a dados pessoais, bem como a aplicação desta legislação, das regras de proteção de dados, das regras profissionais e das medidas de segurança relativas à proteção de dados, incluindo as regras para transferência ulterior de dados pessoais para outro país terceiro ou organização internacional, que são cumpridas nesse país ou por essa organização internacional, e a jurisprudência, bem como os direitos dos titulares dos dados efetivos e oponíveis, e meios efetivos de recurso administrativo e judicial para os titulares dos dados cujos dados pessoais sejam objeto de transferência;

b) A existência e o funcionamento efetivo de uma ou mais autoridades de controlo independentes no país terceiro ou às quais esteja sujeita uma organização internacional, responsáveis por assegurar e fazer cumprir as regras de proteção de dados e dotadas de poderes sancionatórios adequados para assistir e aconselhar os titulares dos dados no exercício dos seus direitos, e por cooperar com as autoridades de controlo dos Estados-Membros; e

c) Os compromissos internacionais assumidos pelo país terceiro ou pela organização internacional em causa, ou outras obrigações decorrentes de convenções ou instrumentos juridicamente vinculativos, bem como da sua participação em sistemas multilaterais ou regionais, em especial em relação à proteção de dados pessoais.

3.  Uma vez avaliada a adequação do nível de proteção, a Comissão pode decidir, por meio de um ato de execução, que um país terceiro, um território, um ou mais setores específicos desse país terceiro, ou uma organização internacional, assegura um nível de proteção adequado na aceção do n.o 2 do presente artigo. O ato de execução prevê um processo de avaliação periódica, no mínimo de quatro em quatro anos, que deverá ter em conta todos os desenvolvimentos pertinentes no país terceiro ou na organização internacional. O ato de execução especifica o âmbito de aplicação territorial e setorial e, se existir, identifica a autoridade ou autoridades de controlo a que se refere o n.o 2, alínea b) do presente artigo. O ato de execução é adotado pelo procedimento de exame a que se refere o artigo 58.o, n.o 2.

4.  A Comissão controla, de forma continuada, os desenvolvimentos nos países terceiros e nas organizações internacionais que possam afetar o funcionamento das decisões adotadas nos termos do n.o 3.

5.  A Comissão, sempre que a informação disponível revelar, nomeadamente na sequência da revisão a que se refere o n.o 3 do presente artigo, que um país terceiro, um território ou um ou mais setores específicos de um país terceiro, ou uma organização internacional, deixou de assegurar um nível de proteção adequado na aceção do n.o 2 do presente artigo, na medida do necessário, revoga, altera ou suspende a decisão referida no n.o 3 do presente artigo, por meio de atos de execução sem efeitos retroativos. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 58.o, n.o 2.

Por imperativos de urgência devidamente justificados, a Comissão adota atos de execução imediatamente aplicáveis pelo procedimento a que se refere o artigo 58.o, n.o 3.

6.  A Comissão inicia consultas com o país terceiro ou a organização internacional com vista a remediar a situação que tiver dado origem à decisão adotada nos termos do n.o 5.

7.  Os Estados-Membros preveem que as decisões adotadas nos termos do n.o 5 não prejudicam as transferências de dados pessoais para o país terceiro, o território ou o setor específico desse país terceiro, ou para a organização internacional em causa, nos termos dos artigos 37.o e 38.o.

8.  A Comissão publica no Jornal Oficial da União Europeia e no seu sítio web uma lista dos países terceiros, territórios e setores específicos de um país terceiro e de organizações internacionais relativamente aos quais tenha declarado, mediante decisão, se asseguram ou não um nível de proteção adequado.

Artigo 37.o

Transferências sujeitas a garantias adequadas

1.  Na falta de uma decisão nos termos do artigo 36.o, n.o 3, os Estados-Membros preveem a possibilidade de se transferirem dados pessoais para um país terceiro ou organização internacional se:

a) Tiverem sido apresentadas garantias adequadas no que diz respeito à proteção de dados pessoais mediante um instrumento juridicamente vinculativo; ou

b) O responsável pelo tratamento de dados tiver avaliado todas as circunstâncias inerentes à transferência de dados pessoais e concluído que existem garantias adequadas r no que diz respeito à proteção desses dados.

2.  O responsável pelo tratamento informa a autoridade de controlo sobre as categorias de transferências abrangidas pelo n.o 1, alínea b).

3.  As transferências baseadas no n.o 1, alínea b), são documentadas, devendo a documentação ser disponibilizada à autoridade de controlo, a pedido desta, incluindo a data e hora da transferência, informações acerca da autoridade competente que as recebe, a justificação da transferência e os dados pessoais transferidos.

Artigo 38.o

Derrogações aplicáveis a situações específicas

1.  Na falta de uma decisão de adequação nos termos do artigo 36.o ou de garantias adequadas nos termos do artigo 37.o, os Estados-Membros preveem que só se possa efetuar uma transferência ou uma categoria de transferências de dados pessoais para um país terceiro ou uma organização internacional se a transferência for necessária:

a) Para proteger os interesses vitais do titular dos dados ou de outra pessoa;

b) Para salvaguardar os legítimos interesses do titular dos dados caso a legislação do Estado-Membro que transfere os dados pessoais o preveja;

c) Para prevenir uma ameaça imediata e grave contra a segurança pública de um Estado-Membro ou de um país terceiro;

d) Em determinados casos, para a consecução das finalidades estabelecidas no artigo 1.o, n.o 1; ou

e) Num dado caso, para declarar, exercer ou defender num processo judicial um direito relacionado com as finalidades estabelecidas no artigo 1.o, n.o 1.

2.  Os dados pessoais não são transferidos se a autoridade competente que procede à transferência determinar que, aquando da transferência referida no n.o 1, alíneas d) e e), os direitos e liberdades fundamentais do titular dos dados em causa primam sobre o interesse público.

3.  As transferências baseadas no n.o 1 são documentadas, devendo a documentação ser disponibilizada à autoridade de controlo, a pedido desta, incluindo a data e hora da transferência, informações acerca da autoridade competente que as recebe, a justificação da transferência e os dados pessoais transferidos.

Artigo 39.o

Transferências de dados pessoais para destinatários estabelecidos em países terceiros

1.  Em derrogação do artigo 35.o, n.o 1, alínea b), e sem prejuízo de qualquer acordo internacional referido no n.o 2 do presente artigo, o direito da União ou dos Estados-Membros pode prever a possibilidade de, em determinados casos específicos, as autoridades competentes referidas no artigo 3.o, ponto 7), alínea a), transferirem dados pessoais diretamente para destinatários estabelecidos em países terceiros unicamente no caso de serem cumpridas as demais disposições da presente diretiva e preenchidas todas as seguintes condições:

a) A transferência é estritamente necessária a uma função desempenhada pela autoridade competente que efetua a transferência e prevista pelo direito da União ou dos Estados-Membros tendo em vista a consecução das finalidades estabelecidas no artigo 1.o, n.o 1;

b) A autoridade competente que efetua a transferência determina que nenhum direito ou liberdade fundamental do titular dos dados em causa prevalece sobre o interesse público que exige a transferência no caso em apreço;

c) A autoridade competente que efetua a transferência considera que a transferência para uma autoridade que é competente para os efeitos referidos no artigo 1.o, n.o 1, no país terceiro se revela ineficaz ou desadequada, nomeadamente por não ser possível efetuá-la em tempo útil;

d) A autoridade que é competente para os efeitos referidos no artigo 1.o, n.o 1, no país terceiro é informada sem demora injustificada, a menos que tal se revele ineficaz ou inadequado; e

e) A autoridade competente que efetua a transferência informa o destinatário da finalidade ou finalidades específicas para as quais o destinatário apenas pode tratar os dados pessoais, desde que o tratamento seja necessário.

2.  Por «acordo internacional» a que se refere o n.o 1 entende-se um acordo internacional bilateral ou multilateral em vigor entre os Estados-Membros e países terceiros no domínio da cooperação judiciária em matéria penal e da cooperação policial.

3.  A autoridade competente que efetua a transferência informa a autoridade de controlo sobre as transferências abrangidas pelo presente artigo.

4.  As transferências efetuadas nos termos do n.o 1 devem ser documentadas.

Artigo 40.o

Cooperação internacional no domínio da proteção de dados pessoais

Em relação a países terceiros e a organizações internacionais, a Comissão e os Estados-Membros adotam as medidas necessárias destinadas a:

a) Estabelecer procedimentos internacionais de cooperação destinados a facilitar a aplicação efetiva da legislação em matéria de proteção de dados pessoais;

b) Prestar assistência mútua a nível internacional no domínio da aplicação da legislação de proteção de dados pessoais, nomeadamente através da notificação, transmissão das reclamações, assistência na investigação e intercâmbio de informações, sob reserva das garantias adequadas para a proteção dos dados pessoais e outros direitos e liberdades fundamentais;

c) Associar as partes interessadas aos debates e atividades que visem promover a cooperação internacional no âmbito da aplicação da legislação relativa à proteção de dados pessoais;

d) Promover o intercâmbio e a documentação da legislação e das práticas em matéria de proteção de dados pessoais, inclusive sobre conflitos jurisdicionais com países terceiros.



CAPÍTULO VI

Autoridades de controlo independentes



Secção 1

Estatuto independente

Artigo 41.o

Autoridade de controlo

1.  Cada Estado-Membro prevê que cabe a uma ou mais autoridades públicas independentes a responsabilidade pela fiscalização da aplicação da presente diretiva, a fim de proteger os direitos e liberdades fundamentais das pessoas singulares relativamente ao tratamento e de facilitar a livre circulação desses dados na União («autoridade de controlo»).

2.  Cada autoridade de controlo contribui para a aplicação coerente da presente diretiva em toda a União. Para esse efeito, as autoridades de controlo cooperam entre si e com a Comissão nos termos do Capítulo VII.

3.  Os Estados-Membros podem prever que uma autoridade de controlo criada pelo Regulamento (UE) 2016/679 seja a autoridade de controlo a que se refere a presente diretiva e assuma as funções de autoridade de controlo a definir nos termos do n.o 1 do presente artigo.

4.  Se for criada mais do que uma autoridade de controlo num Estado-Membro, o Estado-Membro em questão designa a autoridade de controlo que representa as demais no Comité a que se refere o artigo 51.o.

Artigo 42.o

Independência

1.  Os Estados-Membros preveem que cada autoridade de controlo aja com total independência no exercício das suas atribuições e dos poderes que lhe forem atribuídos nos termos da presente diretiva.

2.  Os Estados-Membros preveem que os membros das autoridades de controlo, no desempenho das suas funções e no exercício dos poderes nos termos da presente diretiva, não estejam sujeitos a influências externas, diretas ou indiretas, e não solicitem nem recebam instruções de outrem.

3.  Os membros das autoridades de controlo dos Estados-Membros abstêm-se de qualquer ato incompatível com as suas funções e, durante o seu mandato, não podem desempenhar qualquer atividade profissional incompatível, remunerada ou não.

4.  Os Estados-Membros asseguram que as suas autoridades de controlo disponham dos recursos humanos, técnicos e financeiros, instalações e infraestruturas necessários ao exercício eficaz das suas atribuições e dos seus poderes, designadamente no contexto da assistência mútua, da cooperação e da participação no Comité.

5.  Os Estados-Membros asseguram que as suas autoridades de controlo escolham e disponham do seu próprio pessoal, que ficará sob a direção exclusiva dos membros da autoridade de controlo interessadas.

6.  Os Estados-Membros asseguram que as suas autoridades de controlo fiquem sujeitas a um controlo financeiro que não afete a sua independência e que disponham de orçamentos anuais separados e públicos, que poderão estar integrados no orçamento geral do Estado ou no orçamento nacional.

Artigo 43.o

Condições gerais aplicáveis aos membros da autoridade de controlo

1.  Os Estados-Membros preveem que cada membro das respetivas autoridades de controlo seja nomeado por procedimento transparente:

 pelo Parlamento,

 pelo Governo,

 pelo Chefe de Estado, ou

 por um organismo independente incumbido da nomeação nos termos do direito do Estado-Membro.

2.  Cada membro possui as habilitações, a experiência e os conhecimentos técnicos necessários, nomeadamente no domínio da proteção de dados pessoais, ao desempenho das suas funções e ao exercício dos seus poderes.

3.  As funções de membro da autoridade de controlo cessam findo o seu mandato, com a sua exoneração ou aposentação compulsiva, nos termos do direito do Estado-Membro em causa.

4.  Um membro pode ser exonerado apenas se tiver cometido uma falta grave ou se tiver deixado de cumprir os requisitos previstos para o exercício das suas funções.

Artigo 44.o

Regras aplicáveis à criação da autoridade de controlo

1.  Cada Estado-Membro estabelece por lei:

a) A criação da respetiva autoridade de controlo;

b) As qualificações e condições de elegibilidade necessárias para a nomeação dos membros da respetiva autoridade de controlo;

c) As regras e procedimentos aplicáveis à nomeação dos membros da respetiva autoridade de controlo;

d) A duração do mandato dos membros da respetiva autoridade de controlo, que não deve ser inferior a quatro anos, salvo no caso do primeiro mandato após 6 de maio de 2016, que pode ser mais curta caso seja necessário preservar a independência da autoridade de controlo através de um procedimento de nomeações escalonadas;

e) Se for caso disso, o número máximo, de mandatos dos membros da respetiva autoridade de controlo;

f) As condições que regem as obrigações dos membros e do pessoal da respetiva autoridade de controlo, a proibição das ações, funções e benefícios que com elas são incompatíveis durante o mandato e após o seu termo e as normas que regem a cessação da relação de trabalho.

2.  Os membros e o pessoal de cada autoridade de controlo ficam sujeitos, nos termos do direito da União ou dos Estados-Membros, à obrigação de sigilo profissional, tanto durante o seu mandato como após o seu termo, no que respeita a quaisquer informações confidenciais a que tenham tido acesso no desempenho das suas funções ou no exercício dos seus poderes. Durante o seu mandato, essa obrigação de sigilo profissional aplica-se, em especial, à comunicação por pessoas singulares das violações da presente diretiva.



Secção 2

Competência, atribuições e poderes

Artigo 45.o

Competência

1.  Os Estados-Membros preveem que a respetiva autoridade de controlo seja competente para, no respetivo território, exercer as atribuições e os poderes que lhe são conferidos pela presente diretiva.

2.  Os Estados-Membros preveem que a respetiva autoridade de controlo não seja responsável pela supervisão de operações de tratamento efetuadas pelos tribunais no exercício da sua função jurisdicional. Os Estados-Membros podem estabelecer que a respetiva autoridade de controlo não tenha competência para supervisionar operações de tratamento efetuadas por outras autoridades judiciais independentes no exercício da sua função jurisdicional

Artigo 46.o

Atribuições

1.  Os Estados-Membros preveem que, no território respetivo, cada autoridade de controlo:

a) Fiscalize e faça aplicar a presente diretiva e as suas medidas de execução;

b) Promova a sensibilização e a compreensão do público relativamente aos riscos, regras, garantias e direitos associados ao tratamento;

c) Aconselhe, nos termos do direito do Estado-Membro, o Parlamento nacional, o Governo e outras instituições e organismos quanto às medidas legislativas e administrativas relacionadas com a proteção dos direitos e liberdades das pessoas singulares em matéria de tratamento;

d) Promova a sensibilização dos responsáveis pelo tratamento e dos subcontratantes para as obrigações que lhes incumbem nos termos da presente diretiva;

e) Se tal lhe for solicitado, preste informações a qualquer titular de dados sobre o exercício dos seus direitos nos termos da presente diretiva e, se adequado, coopere para esse efeito com as autoridades de controlo de outros Estados-Membros;

f) Trate de reclamações apresentadas pelos titulares de dados ou por um organismo, organização ou associação, nos termos do artigo 55.o, e investigue, na medida do necessário, o conteúdo da reclamação, informando o autor da reclamação do andamento e do resultado da investigação num prazo razoável, especialmente se forem necessárias operações de investigação ou de coordenação complementares com outra autoridade de controlo;

g) Verifique a licitude do tratamento nos termos do artigo 17.o e, num prazo razoável, informe o respetivo titular do resultado da verificação, conforme previsto no n.o 3 desse artigo, ou dos motivos que impediram a sua realização;

h) Coopere, nomeadamente partilhando informações, e preste assistência mútua a outras autoridades de controlo, tendo em vista assegurar a coerência da aplicação e da execução da presente diretiva;

i) Conduza investigações sobre a aplicação da presente diretiva, nomeadamente com base em informações recebidas de outra autoridade de controlo ou outra autoridade pública;

j) Acompanhe factos novos relevantes na medida em que tenham incidência na proteção de dados pessoais, particularmente a evolução a nível das tecnologias da informação e comunicação;

k) Preste aconselhamento sobre as operações de tratamento referidas no artigo 28.o;

l) Contribua para as atividades do Comité.

2.  As autoridades de controlo facilitam a apresentação das reclamações previstas no n.o 1, alínea f), tomando certas medidas, como, por exemplo, fornecer formulários para apresentação de reclamações que possam também ser preenchidos eletronicamente, sem excluir outros meios de comunicação.

3.  O exercício das atribuições de cada autoridade de controlo é gratuito para o titular dos dados e para o encarregado da proteção de dados.

4.  Caso os pedidos sejam manifestamente infundados ou excessivos, particularmente devido ao seu caráter recorrente, a autoridade de controlo pode exigir o pagamento de uma taxa razoável, com base nos custos administrativos, ou indeferi-los. Cabe à autoridade de controlo demonstrar o caráter manifestamente infundado ou excessivo do pedido.

Artigo 47.o

Poderes

1.  Cada Estado-Membro prevê, por lei, que a sua autoridade de controlo detenha poderes de investigação efetivos. Esses poderes incluem, pelo menos, o poder de obter do responsável pelo tratamento de dados e do subcontratante autorização de acesso a todos os dados pessoais objeto de tratamento e a todas as informações necessárias ao exercício das suas atribuições.

2.  Cada Estado-Membro prevê, por lei, que a sua autoridade de controlo tenha poderes de correção efetivos, como, por exemplo:

a) Advertir o responsável pelo tratamento de dados ou o subcontratante de que as operações de tratamento previstas são suscetíveis de violar as disposições adotadas por força da presente diretiva;

b) Ordenar ao responsável pelo tratamento de dados ou ao subcontratante que, na medida do necessário, proceda por forma a que as operações de tratamento cumpram as disposições adotadas por força da presente diretiva, de determinada forma e num prazo determinado; em especial, ordenar a retificação ou apagamento dos dados pessoais ou a limitação tratamento nos termos do artigo 16.o;

c) Impor uma limitação temporária ou definitiva, inclusive uma proibição, ao tratamento.

3.  Cada Estado-Membro prevê, por lei, que a sua autoridade de controlo tenha poderes consultivos efetivos para aconselhar o responsável pelo tratamento de dados pelo procedimento de consulta prévia previsto no artigo 28.o e emitir, por iniciativa própria ou a pedido, pareceres dirigidos ao seu Parlamento nacional, ao seu Governo ou, nos termos do direito do Estado-Membro, a outras instituições e organismos, bem como ao público, sobre qualquer questão relacionada com a proteção de dados pessoais.

4.  O exercício dos poderes conferidos à autoridade de controlo nos termos do presente artigo está sujeito a garantias adequadas, incluindo o direito à ação judicial e a um processo equitativo, previstas no direito da União e dos Estados-Membros em conformidade com a Carta.

5.  Cada Estado-Membro prevê, por lei, que a sua autoridade de controlo tenha o poder de apresentar as violações das disposições adotadas por força da presente diretiva ao conhecimento das autoridades judiciais e, se adequado, de intentar ou de outro modo intervir em processos judiciais, a fim de fazer aplicar as disposições adotadas por força da presente diretiva.

Artigo 48.o

Comunicação das violações

Os Estados-Membros preveem que as autoridades competentes aplicam procedimentos eficazes para incentivar a comunicação confidencial das violações da presente diretiva.

Artigo 49.o

Relatório de atividades

Cada autoridade de controlo elabora um relatório anual de atividades, que pode incluir uma lista dos tipos de violações notificadas e dos tipos de sanções aplicadas. Esses relatórios são apresentados ao Parlamento nacional, ao Governo e às outras autoridades designadas pelo direito do Estado-Membro. Os relatório são disponibilizados ao público, à Comissão e ao Comité.



CAPÍTULO VII

Cooperação

Artigo 50.o

Assistência mútua

1.  Os Estados-Membros preveem que as suas autoridades de controlo prestem entre si informações relevantes e assistência mútua a fim de executar e aplicar a presente diretiva de forma coerente, e ponham em prática medidas para cooperar eficazmente entre si. A assistência mútua abrange, em especial, os pedidos de informação e as medidas de controlo, como os pedidos de consulta, inspeção e investigação.

2.  Os Estados-Membros preveem que cada autoridade de controlo tome todas as medidas adequadas para responder aos pedidos de outra autoridade de controlo sem demora injustificada e, o mais tardar, um mês após a receção do pedido. Essas medidas podem incluir, particularmente, a transmissão de informações úteis sobre a condução de uma investigação.

3.  Os pedidos de assistência inclui todas as informações necessárias, nomeadamente a finalidade e os motivos do pedido. As informações trocadas só são utilizadas para a finalidade para que tenham sido solicitadas.

4.  A autoridade de controlo requerida não pode indeferir um pedido, salvo se:

a) Não for competente em razão do objeto do pedido ou das medidas cuja execução lhe é solicitada; ou

b) O deferimento do pedido viole a presente diretiva ou o direito da União ou do Estado-Membro ao qual a autoridade de controlo que recebe o pedido esteja sujeita.

5.  A autoridade de controlo requerida informa a autoridade de controlo requerente dos resultados obtidos ou, consoante o caso, do andamento do pedido ou das medidas tomadas para lhe dar resposta. A autoridade de controlo requerida deve fundamentar a decisão de indeferir o pedido nos termos do n.o 4.

6.  As autoridades de controlo requeridas fornecem, em regra, as informações solicitadas por outras autoridades de controlo por meios eletrónicos, utilizando um formato normalizado.

7.  As autoridades de controlo requeridas não cobram taxas pelas medidas por elas tomadas por força de pedidos de assistência mútua. As autoridades de controlo podem acordar regras para a indemnização recíproca de despesas específicas decorrentes da prestação de assistência mútua em circunstâncias excecionais.

8.  A Comissão pode especificar, por atos de execução, o formato e os procedimentos de assistência mútua referidos no presente artigo, bem como as regras de intercâmbio eletrónico de informações entre as autoridades de controlo e entre estas e o Comité. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 58.o, n.o 2.

Artigo 51.o

Atribuições do Comité

1.  O Comité criado pelo Regulamento (UE) 2016/679 exerce as seguintes atribuições no que diz respeito ao tratamento no âmbito de aplicação da presente diretiva:

a) Aconselhar a Comissão em todas as questões relacionadas com a proteção de dados pessoais na União, nomeadamente em qualquer projeto de alteração da presente diretiva;

b) Analisar, por iniciativa própria ou a pedido de um dos seus membros ou da Comissão, qualquer questão relativa à aplicação da presente diretiva e emitir diretrizes, recomendações e boas práticas a fim de incentivar a aplicação coerente da presente diretiva;

c) Elaborar diretrizes dirigidas às autoridades de controlo em matéria de aplicação das medidas referidas no artigo 47.o, n.os 1 e 3;

d) Emitir diretrizes, recomendações e boas práticas em conformidade com a alínea b) do presente parágrafo, aplicáveis à determinação das violações de dados pessoais e da demora injustificada referidas no artigo 30.o, n.os 1 e 2, e às circunstâncias particulares em que um responsável pelo tratamento ou um subcontratante é obrigado a notificar a violação de dados pessoais;

e) Emitir diretrizes, recomendações e boas práticas em conformidade com a alínea b) do presente parágrafo em relação às circunstâncias em que uma violação de dados pessoais é suscetível de resultar num elevado risco para os direitos e liberdades das pessoas singulares a que se refere o artigo 31.o, n.o 1;

▼C1

f) Examinar a aplicação prática das diretrizes, recomendações e boas práticas;

▼B

g) Dar parecer à Comissão tendo em vista avaliar a adequação do nível de proteção num país terceiro ou organização internacional e também avaliar se um país terceiro, o território ou a organização internacional ou o setor específico deixou de garantir um nível de proteção adequado;

h) Promover a cooperação e o intercâmbio bilateral e multilateral efetivo de informações e melhores práticas entre as autoridades de controlo;

i) Promover programas de formação comuns e facilitar o intercâmbio de pessoal entre autoridades de controlo, bem como, se necessário, com as autoridades de controlo de países terceiros ou organizações internacionais;

j) Promover o intercâmbio de conhecimentos e documentação sobre direito e práticas de proteção de dados com autoridades de controlo de todo o mundo.

Para efeitos do primeiro parágrafo, da alínea g), a Comissão fornece ao Comité toda a documentação necessária, incluindo a correspondência com o governo do país terceiro, o território ou o setor específico nesse país terceiro, ou com a organização internacional.

2.  Se consultar o Comité, a Comissão pode fixar um prazo para tal, tendo em conta a urgência do assunto.

3.  O Comité transmite os seus pareceres, diretrizes, recomendações e melhores práticas à Comissão e ao comité referido no artigo 58.o, n.o 1, e procede à sua publicação.

4.  A Comissão informa o Comité das medidas tomadas na sequência dos pareceres, diretrizes, recomendações e melhores práticas por ele emitidos.



CAPÍTULO VIII

Vias de recurso, responsabilidade e sanções

Artigo 52.o

Direito de apresentar reclamação a uma autoridade de controlo

1.  Sem prejuízo de qualquer outra via de recurso administrativo ou judicial, os Estados-Membros preveem que todos os titulares de dados têm o direito de apresentar reclamação a uma autoridade de controlo única, se o titular dos dados considerar que o tratamento dos dados pessoais que lhe diz respeito viola as disposições adotadas por força da presente diretiva.

2.  Os Estados-Membros preveem que, se a reclamação não for apresentada à autoridade de controlo competente nos termos do artigo 45.o, n.o 1, a autoridade de controlo a que é apresentada a transmita, sem demora injustificada, à autoridade de controlo competente. O titular dos dados é informado dessa transmissão.

3.  Os Estados-Membros preveem que a autoridade de controlo à qual a reclamação é apresentada preste assistência complementar a pedido do titular dos dados.

4.  O titular dos dados é informado pela autoridade de controlo competente do andamento e do resultado da reclamação apresentada, nomeadamente da possibilidade de intentar ação judicial nos termos do artigo 53.o.

Artigo 53.o

Direito de intentar ação judicial contra uma autoridade de controlo

1.  Sem prejuízo de qualquer outra via de recurso administrativo ou extrajudicial, os Estados-Membros preveem que as pessoas singulares ou coletivas tenham o direito de intentar ação judicial contra qualquer decisão juridicamente vinculativa tomada por uma autoridade de controlo que lhes diga respeito.

2.  Sem prejuízo de qualquer outra via de recurso administrativo ou extrajudicial, todos os titulares de dados têm o direito de intentar ação judicial se a autoridade de controlo competente nos termos do artigo 45.o, n.o 1, não atender à reclamação ou não informar o titular dos dados, no prazo de três meses, do andamento ou do resultado da reclamação apresentada nos termos do artigo 52.o.

3.  Os Estados-Membros preveem que os recursos contra uma autoridade de controlo sejam interpostos nos tribunais do Estado-Membro em cujo território essa autoridade se encontre estabelecida.

Artigo 54.o

Direito de intentar uma ação judicial contra um responsável pelo tratamento de dados ou um subcontratante

Sem prejuízo de qualquer via de recurso administrativo ou extrajudicial disponível, nomeadamente o direito de apresentar reclamação junto de uma autoridade de controlo nos termos do artigo 52.o, os Estados-Membros preveem que os titulares dos dados têm o direito de intentar ação judicial se considerarem ter havido violação dos direitos que lhes assistem nos termos das disposições adotadas por força da presente diretiva na sequência de um tratamento dos seus dados pessoais que não cumpra tais disposições.

Artigo 55.o

Representação dos titulares dos dados

Os Estados-Membros preveem, nos termos do direito processual dos Estados-Membros, que o titular dos dados tem o direito de mandatar um organismo, organização ou associação, sem fins lucrativos, devidamente constituído nos termos do direito de um Estado-Membro, cujos objetivos estatutários sejam do interesse público e cuja atividade abranja a proteção dos direitos e liberdades dos titulares de dados no que respeita à proteção dos seus dados pessoais, para apresentar reclamação em seu nome e exercer também em seu nome os direitos previstos nos artigos 52.o, 53.o e 54.o.

Artigo 56.o

Direito de indemnização

Os Estados-Membros preveem que qualquer pessoa que tenha sofrido danos materiais ou morais causados por uma operação de tratamento ilícito de dados ou por qualquer outro ato que viole as disposições nacionais adotadas por força da presente diretiva tem direito a receber do responsável pelo tratamento de dados ou de qualquer outra autoridade competente nos termos do direito dos Estados-Membros uma indemnização pelos danos sofridos.

Artigo 57.o

Sanções

Os Estados-Membros estabelecem regras respeitantes às sanções aplicáveis às violações das disposições adotadas por força da presente diretiva e tomam todas as medidas necessárias para assegurar a sua aplicação. As sanções previstas devem ser eficazes, proporcionadas e dissuasivas.



CAPÍTULO IX

Atos de execução

Artigo 58.o

Procedimento de comité

1.  A Comissão é assistida pelo comité criado pelo artigo 93.o do Regulamento (UE) 2016/679. Esse comité é um comité na aceção do Regulamento (UE) n.o 182/2011.

2.  Caso se remeta para o presente número, aplica-se o artigo 5.o do Regulamento (UE) n.o 182/2011.

3.  Caso se remeta para o presente número, aplica-se o artigo 8.o do Regulamento (UE) n.o 182/2011, em conjugação com o seu artigo 5.o.



CAPÍTULO X

Disposições finais

Artigo 59.o

Revogação da Decisão-Quadro 2008/977/JAI

1.  A Decisão-Quadro 2008/977/JAI é revogada com efeitos a partir de 6 de maio de 2018.

2.  As remissões para a decisão revogada a que se refere o n.o 1 entendem-se como sendo feitas para a presente diretiva.

Artigo 60.o

Atos jurídicos da União em vigor

As disposições específicas de proteção de dados pessoais, previstas em atos jurídicos da União adotados antes de 6 de maio de 2016 no domínio da cooperação judiciária em matéria penal e da cooperação policial, que regulam o tratamento entre os Estados-Membros e o acesso das autoridades designadas dos Estados-Membros aos sistemas de informação criados, por força dos Tratados, no âmbito da presente diretiva mantêm-se inalteradas.

Artigo 61.o

Relação com acordos internacionais celebrados anteriormente no domínio da cooperação judiciária em matéria penal e da cooperação policial

Os acordos internacionais que impliquem a transferência de dados pessoais para países terceiros ou para organizações internacionais, celebrados pelos Estados-Membros antes de 6 de maio de 2016, e que sejam conformes com o direito da União tal como aplicável antes dessa data, continuam a vigorar até serem alterados, substituídos ou revogados.

Artigo 62.o

Relatórios da Comissão

1.  Até 6 de maio de 2022 e, posteriormente, de quatro em quatro anos, a Comissão apresenta ao Parlamento Europeu e ao Conselho um relatório sobre a avaliação e a revisão da presente diretiva. Os relatórios devem ser tornados públicos.

2.  No âmbito das avaliações e revisões a que se refere o n.o 1, a Comissão examina, em particular, a aplicação e o funcionamento do Capítulo V sobre a transferência de dados pessoais para países terceiros ou organizações internacionais, em especial no que diz respeito às decisões adotadas nos termos do artigo 36.o, n.o 3, e do artigo 39.o.

3.  Para os efeitos dos n.os 1 e 2, a Comissão pode solicitar informações aos Estados-Membros e às autoridades de controlo.

4.  Ao proceder às avaliações e revisões a que se referem os n.os 1 e 2, a Comissão tem em consideração as posições e conclusões a que tenham chegado o Parlamento Europeu, o Conselho e outros organismos e fontes pertinentes.

5.  Se necessário, a Comissão apresenta propostas adequadas com vista à alteração da presente diretiva atendendo, em especial, à evolução das tecnologias da informação e aos progressos da sociedade da informação e à harmonização de outros instrumentos jurídicos.

6.  Até 6 de maio de 2019, a Comissão reexamina outros atos jurídicos adotados pela União que regulam o tratamento pelas autoridades competentes para efeitos do artigo 1.o, n.o 1, designadamente os referidos no artigo 60.o, a fim de avaliar a necessidade de os harmonizar com a presente diretiva e apresenta, se for caso disso, as propostas necessárias à alteração desses atos de forma a assegurar uma abordagem coerente da proteção de dados pessoais no âmbito da presente diretiva.

Artigo 63.o

Transposição

1.  Os Estados-Membros adotam e publicam, até 6 de maio de 2018, as disposições legislativas, regulamentares e administrativas necessárias para dar cumprimento à presente diretiva. Os Estados-Membros comunicam imediatamente à Comissão o texto dessas disposições. Os Estados-Membros aplicam as referidas disposições a partir de 6 de maio de 2018.

Quando os Estados-Membros adotarem essas disposições, estas incluem uma referência à presente diretiva ou são acompanhadas dessa referência aquando da sua publicação oficial. As modalidades dessa referência são estabelecidas pelos Estados-Membros.

2.  Em derrogação do n.o 1, um Estado-Membro pode estabelecer que, excecionalmente, quando o esforço envolvido for desproporcionado, os sistemas de tratamento automatizado estabelecidos antes de 6 de maio de 2016 seja tornado conforme com o artigo 25.o, n.o 1, até 6 de maio de 2023.

3.  Em derrogação dos n.os 1 e 2 do presente artigo, um Estado-Membro pode, em circunstâncias excecionais, tornar um sistema de tratamento automatizado, referido no n.o 2 do presente artigo, conforme com o artigo 25.o, n.o 1, num prazo fixado após o período a que se refere o n.o 2 do presente artigo, caso, de outra forma, sejam causadas graves dificuldades ao funcionamento desse sistema de tratamento automatizado. O Estado-Membro em causa notifica a Comissão dos motivos para essas graves dificuldades e dos motivos para o prazo especificado em que tornará esse particular sistema de tratamento automatizado conforme com o artigo 25.o, n.o 1. O prazo fixado não pode, em caso algum, ir além de 6 de maio de 2026.

4.  Os Estados-Membros comunicam à Comissão o texto das principais disposições de direito interno que adotarem no domínio abrangido pela presente diretiva.

Artigo 64.o

Entrada em vigor

A presente diretiva entra em vigor no dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

Artigo 65.o

Destinatários

Os destinatários da presente diretiva são os Estados-Membros.

Top