This document is an excerpt from the EUR-Lex website
Document 52012PC0011
Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)
Proposta de REGULAMENTO DO PARLAMENTO EUROPEU E DO CONSELHO relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (regulamento geral sobre a proteção de dados)
Proposta de REGULAMENTO DO PARLAMENTO EUROPEU E DO CONSELHO relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (regulamento geral sobre a proteção de dados)
/* COM/2012/011 final - 2012/0011 (COD) */
Proposta de REGULAMENTO DO PARLAMENTO EUROPEU E DO CONSELHO relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (regulamento geral sobre a proteção de dados) /* COM/2012/011 final - 2012/0011 (COD) */
EXPOSIÇÃO DE MOTIVOS
1.
CONTEXTO DA PROPOSTA
A presente exposição de motivos apresenta mais
em pormenor o novo quadro jurídico proposto para a proteção dos dados pessoais
na União Europeia, como consagrado na Comunicação COM (2012) 9 final[1]. Este novo quadro jurídico
consiste em duas propostas legislativas: –
uma proposta de regulamento do Parlamento Europeu e
do Conselho relativo à proteção das pessoas singulares no que diz respeito ao
tratamento de dados pessoais e à livre circulação desses dados (regulamento
geral sobre a proteção de dados), e –
uma proposta de diretiva do Parlamento Europeu e do
Conselho relativa à proteção das pessoas singulares no que diz respeito ao
tratamento de dados pessoais pelas autoridades competentes para efeitos de
prevenção, investigação, deteção e repressão de infrações penais ou de execução
de sanções penais, e à livre circulação desses dados[2]. A presente exposição de motivos diz respeito à
proposta de regulamento geral sobre a proteção de dados. A Diretiva 95/46/CE, o instrumento principal
da atual legislação da UE em matéria de proteção de dados pessoais[3], foi adotada em 1995 com dois
objetivos em vista: proteger o direito fundamental à proteção de dados e
assegurar a livre circulação de dados pessoais entre os Estados-Membros. Foi
completada pela Decisão-Quadro 2008/977/JAI, enquanto instrumento geral, a
nível da UE, para a proteção de dados pessoais no âmbito da cooperação policial
e judiciária em matéria penal[4].
A rápida evolução tecnológica criou novos
desafios em matéria de proteção de dados pessoais. A partilha e a recolha de
dados registaram um aumento espetacular. As novas tecnologias permitem às
empresas privadas e às entidades públicas a utilização de dados pessoais numa
escala sem precedentes no exercício das suas atividades. As pessoas
disponibilizam cada vez mais as suas informações pessoais de uma forma pública
e global. As novas tecnologias transformaram a economia e a vida social. Gerar confiança no ambiente em linha é
fundamental para o desenvolvimento económico. A falta de confiança leva os
consumidores a hesitar na compra em linha e no recurso a novos serviços. Isto
pode conduzir a um atraso na inovação e na utilização das novas tecnologias. A proteção de dados pessoais tem, portanto, uma função
central na Agenda Digital para a Europa[5] e, de um modo mais geral, na Estratégia Europa 2020[6]. O artigo 16.º, n.º 1, do Tratado sobre o
Funcionamento da União Europeia (TFUE), introduzido pelo Tratado de Lisboa,
estabelece o princípio de que todas as pessoas têm direito à proteção dos dados
de caráter pessoal que lhes digam respeito. Além
disso, no artigo 16.º, n.º 2, do TFUE, o Tratado de Lisboa introduziu uma base
jurídica específica para a adoção de normas em matéria de proteção de dados
pessoais. O artigo 8.º da Carta dos Direitos Fundamentais da UE consagra a proteção dos dados pessoais como um direito
fundamental. O Conselho Europeu
convidou a Comissão a avaliar o funcionamento dos instrumentos da UE relativos
à proteção de dados e a apresentar, se necessário, iniciativas adicionais,
legislativas e não legislativas[7]. Na sua resolução sobre o Programa de Estocolmo, o Parlamento Europeu[8] acolheu favoravelmente a
proposta de um regime global de proteção de dados na UE e, designadamente,
solicitou a revisão da decisão-quadro. No seu Plano de Ação de aplicação do
Programa de Estocolmo[9],
a Comissão insistiu sobre a necessidade de assegurar a aplicação coerente do
direito fundamental à proteção dos dados pessoais no âmbito de todas as
políticas da União. Na sua Comunicação intitulada «Uma abordagem global da proteção de dados pessoais na União Europeia»[10], a Comissão concluiu que a UE carece de uma política mais ampla e coerente relativa
ao direito fundamental à proteção dos dados pessoais. O atual quadro jurídico continua a ser válido
quanto aos seus objetivos e princípios, mas não permitiu evitar uma
fragmentação na execução da proteção dos dados pessoais na União Europeia, bem
como a insegurança jurídica e o sentimento generalizado na opinião pública de
que subsistem riscos significativos, particularmente nas atividades em linha[11]. É por isso altura de adotar
um quadro jurídico de proteção dos dados mais sólido e coerente na UE, apoiado
por uma aplicação rigorosa das regras, que permita à economia digital
desenvolver-se em todo o mercado interno, às pessoas singulares controlar os
seus próprios dados, bem como reforçar a segurança jurídica e prática para os
operadores económicos e as entidades públicas.
2.
RESULTADOS DAS CONSULTAS DAS PARTES INTERESSADAS E DA AVALIAÇÃO DE
IMPACTO
A presente iniciativa é o resultado de
consultas exaustivas a todas as partes interessadas sobre a oportunidade de uma
revisão do quadro jurídico atual da proteção de dados pessoais, que decorreram
durante mais de dois anos e incluíram, nomeadamente, uma conferência de alto
nível em maio de 2009[12]
e duas fases de consulta pública: –
de 9 de julho a 31 de dezembro de 2009, a «consulta
sobre o quadro jurídico aplicável ao direito fundamental à proteção dos dados
pessoais». A Comissão recebeu 168 respostas, 127 das
quais de pessoas singulares, de organizações e de associações, e 12 de
entidades públicas[13]. –
de 4 de novembro de 2010 a 15 de janeiro de 2011, a
«consulta sobre a abordagem global da Comissão em matéria de proteção dos dados
pessoais na União Europeia». A Comissão obteve 305
respostas, 54 das quais de cidadãos, 31 de entidades públicas e 220 de
organizações privadas, particularmente associações profissionais e organizações
não‑governamentais[14].
Foram também conduzidas consultas específicas
às principais partes interessadas. Organizaram-se eventos específicos, em junho
e julho de 2010, com as autoridades dos Estados-Membros e partes interessadas
do setor privado, bem como com organizações de proteção da privacidade e de
dados e associações de consumidores[15].
Em novembro de 2010, a Vice-Presidente da Comissão Europeia, Viviane Reding,
organizou uma mesa redonda sobre a reforma da proteção de dados. Em 28 de janeiro de 2011 (Dia Europeu da Proteção de Dados), a
Comissão Europeia e o Conselho da Europa organizaram conjuntamente uma
conferência de alto nível, com vista a debater as questões relacionadas com a
reforma do quadro jurídico da UE e a necessidade de adotar regras comuns de
proteção de dados a nível mundial[16].
Foram organizadas duas conferências sobre a proteção de dados pelas
Presidências húngara e polaca do Conselho, entre respetivamente 16 e 17 de
junho de 2011 e em 21 de setembro de 2011. No decurso de 2011 realizaram-se sessões de
trabalho e seminários especializados sobre temas específicos. Em janeiro, a
ENISA[17]
organizou uma sessão de trabalho relativa à notificação de violações de dados
na Europa[18].
Em fevereiro, a Comissão reuniu as autoridades dos Estados‑Membros num
seminário com vista à discussão de questões no domínio da cooperação policial e
judiciária em matéria penal, incluindo a execução da decisão-quadro, enquanto a
Agência dos Direitos Fundamentais realizou uma reunião de consulta às partes
interessadas relativa à «proteção dos dados e privacidade». Foi realizado um debate sobre os aspetos principais da
reforma em 13 de julho de 2011 com as autoridades nacionais de proteção de
dados. Os cidadãos da UE foram consultados através de um inquérito do
Eurobarómetro realizado entre os meses de novembro e dezembro de 2010[19]. Foi igualmente lançado um
conjunto de estudos[20].
O «Grupo de Trabalho do artigo 29.º»[21]
emitiu vários pareceres e contributos úteis para a Comissão[22]. A Autoridade Europeia para a
Proteção de Dados emitiu também um parecer exaustivo relativo às questões
suscitadas na Comunicação da Comissão de novembro de 2010[23]. O Parlamento Europeu aprovou, através da sua
resolução de 6 de julho de 2011, um relatório que apoiava a abordagem da
Comissão quanto à reforma do quadro jurídico da proteção de dados[24]. O Conselho da União Europeia
aprovou, em 24 de fevereiro de 2011, conclusões que apoiam em grande medida a
intenção da Comissão de reformar o quadro da proteção de dados e aprovam muitos
dos elementos da sua abordagem. O Comité Económico e
Social Europeu defendeu igualmente o objetivo da Comissão no sentido de
assegurar uma aplicação mais coerente das regras de proteção de dados da UE[25] em todos os
Estados‑Membros e uma revisão adequada da Diretiva 95/46/CE[26]. Durante as consultas relativas à abordagem
global, uma grande maioria dos interessados concordou que os princípios gerais
se mantêm válidos, mas que existe a necessidade de adaptar o quadro jurídico
atual a fim de responder melhor aos desafios colocados pelo rápido
desenvolvimento das novas tecnologias (especialmente em linha) e pela crescente
globalização, mantendo a neutralidade tecnológica do referido quadro. Tem havido duras críticas contra a atual fragmentação da
proteção dos dados pessoais na União Europeia, em especial dos operadores
económicos, que exigem uma maior segurança jurídica e harmonização das regras
relativas à proteção de dados pessoais. A complexidade das regras relativas a
transferências internacionais de dados pessoais é considerada um obstáculo
importante para as suas operações, uma vez que necessitam frequentemente de
transferir dados pessoais da UE para outras partes do mundo. Em conformidade com a sua
política «Legislar melhor», a Comissão realizou uma avaliação de impacto das
diferentes opções estratégicas. A avaliação de impacto baseou-se nos três
objetivos políticos de melhorar a dimensão «mercado interno» da proteção de
dados, tornar o exercício do direito à proteção de dados pelas pessoas
singulares mais eficaz e criar um quadro global e coerente que abranja todos os
domínios de competência da União Europeia, incluindo a cooperação policial e
judiciária em matéria penal. Foram avaliadas três opções, com diferentes graus
de intervenção: a primeira opção consistia em introduzir pequenas alterações
legislativas e recorrer a comunicações interpretativas e a medidas de apoio,
tais como programas de financiamento e ferramentas técnicas; a segunda opção
consistia num conjunto de disposições legislativas, dedicadas a cada uma das
questões identificadas na avaliação e, a terceira opção, consistia na
centralização da proteção de dados a nível da UE, graças a regras precisas e
pormenorizadas para todos os setores e à criação de uma agência da UE para
acompanhar e controlar a aplicação das disposições. Em conformidade com a
metodologia estabelecida pela Comissão, cada opção foi avaliada, com a ajuda de
um grupo de direção interserviços, quanto à sua eficácia para atingir os
objetivos fixados, ao seu impacto económico sobre as partes interessadas
(incluindo sobre o orçamento das instituições da UE), ao seu impacto e efeitos
sobre os direitos fundamentais. Não foi avaliado o impacto ambiental. Essa
análise do impacto global conduziu ao desenvolvimento da opção preferida, que
se baseia na segunda opção associando‑lhe alguns elementos das outras duas, e é
parte integrante da presente proposta. Segundo a avaliação de impacto, a sua
execução deve conduzir, inter alia, a melhorias consideráveis quanto à
segurança jurídica para os responsáveis pelo tratamento dos dados e os
cidadãos, à redução dos encargos administrativos, à coerência na aplicação da
proteção de dados na União, ao reforço do exercício efetivo pelas pessoas
singulares dos seus direitos em matéria de proteção de dados, à garantia da
proteção de dados pessoais na UE e à eficácia do controlo e da aplicação das
regras em matéria de proteção de dados. Prevê‑se que a execução da opção
preferida contribua para o objetivo da Comissão de simplificação e redução dos
encargos administrativos e os objetivos da Agenda Digital para a Europa, do
Plano de Ação de aplicação do Programa de Estocolmo e da Estratégia Europa
2020. O Comité das avaliações de impacto emitiu um
parecer relativo ao projeto de avaliação de impacto em 9 de setembro de 2011, na sequência do qual esta última foi alterada da seguinte
forma: –
foram clarificados os objetivos do quadro jurídico
atual (em que medida foram ou não atingidos), bem como os objetivos da reforma
prevista; –
foram acrescentados elementos e
explicações/esclarecimentos adicionais à secção sobre a definição dos
problemas; –
foi acrescentada uma secção sobre a
proporcionalidade; –
todos os cálculos e estimativas relacionados com os
encargos administrativos no cenário de base e na opção preferida foram
integralmente reexaminados e revistos, e a relação entre o custo das
notificações e o custo total da fragmentação foram clarificados (incluindo o
Anexo 10); –
os impactos nas micro, pequenas e médias empresas,
particularmente no que diz respeito à designação de um delegado para a proteção
de dados e à realização de avaliações de impacto sobre a proteção de dados,
foram melhor especificados. O relatório da avaliação de impacto e o seu
resumo são publicados juntamente com as propostas.
3.
ELEMENTOS JURÍDICOS DA PROPOSTA
3.1.
Base jurídica
A presente proposta baseia-se no artigo 16.º
do TFUE, que constitui a nova base jurídica para a adoção das regras em matéria
de proteção de dados introduzidas pelo Tratado de Lisboa. Esta disposição permite a adoção de regras relativas à
proteção das pessoas singulares no que diz respeito ao tratamento de dados
pessoais pelos Estados-Membros no exercício de atividades abrangidas pelo
direito da União. Permite igualmente a adoção de regras relacionadas com a
livre circulação de dados pessoais, incluindo os dados pessoais tratados pelos
Estados‑Membros ou por entidades privadas. Um regulamento é considerado o instrumento
jurídico mais adequado para definir o quadro da proteção de dados pessoais na
União. A sua aplicabilidade direta, prevista no
artigo 288.º do TFUE, permitirá reduzir a fragmentação jurídica e proporcionar
maior segurança jurídica, introduzindo um conjunto harmonizado de regras de
base, melhorando a proteção dos direitos fundamentais das pessoas singulares e
contribuindo para o bom funcionamento do mercado interno. A referência ao artigo
114.º, n.º 1, do TFUE é necessária para efeitos da alteração da Diretiva
2002/58/CE, na medida em que a referida diretiva prevê igualmente a proteção
dos interesses legítimos dos assinantes que são pessoas coletivas.
3.2.
Subsidiariedade e proporcionalidade
Segundo o princípio da subsidiariedade (artigo
5.º, n.º 3, do TUE), devem ser adotadas medidas a nível da União apenas se e na
medida em que os objetivos previstos não possam ser suficientemente alcançados
pelos Estados-Membros, podendo, contudo, ser melhor alcançados a nível da
União, devido às dimensões ou aos efeitos da ação proposta. Atendendo aos problemas acima mencionados, a análise da
subsidiariedade indica a necessidade de uma ação a nível da UE pelas seguintes
razões: –
o direito à proteção de dados pessoais, consagrado
no artigo 8.º da Carta dos Direitos Fundamentais, exige o mesmo nível de
proteção dos dados em toda a União. A ausência de
regras comuns na UE criaria o risco de níveis diferentes de proteção nos
Estados-Membros e, portanto, de restrições à circulação de dados pessoais entre
Estados-Membros que aplicam regras divergentes; –
os dados pessoais são transferidos para além das
fronteiras nacionais, tanto internas como externas, a uma velocidade cada vez
maior. Além disso, existem desafios práticos que se
colocam à aplicação da legislação sobre a proteção de dados e a necessidade de
cooperação entre os Estados-Membros e as suas autoridades competentes que deve
ser organizada a nível da UE de forma a assegurar a uniformidade de aplicação
do direito da União. A UE está também melhor posicionada para assegurar, de uma
forma eficaz e coerente, o mesmo nível de proteção às pessoas singulares quando
os seus dados pessoais são transferidos para países terceiros; –
os Estados-Membros não podem, por si só, reduzir os
problemas na situação atual, particularmente os que se devem à fragmentação a
nível das legislações nacionais. Assim, existe
necessidade especial de criação de um quadro harmonizado e coerente que permita
uma transferência transfronteiriça fácil dos dados pessoais na UE, assegurando
simultaneamente a proteção efetiva de todas as pessoas singulares no conjunto
da UE; –
as ações legislativas propostas a nível da UE serão
mais eficazes do que as ações similares adotadas a nível dos Estados-Membros,
devido à natureza e à dimensão dos problemas, que não se restringem a um ou
vários Estados-Membros. O princípio da proporcionalidade exige que
qualquer intervenção seja específica e não exceda o necessário para alcançar os
objetivos definidos. Este princípio orientou a preparação da presente proposta
legislativa, desde a identificação e a avaliação das diferentes opções, até à
sua redação.
3.3.
Resumo das questões relativas aos direitos
fundamentais
O direito à proteção de dados pessoais está
consagrado no artigo 8.º da Carta dos Direitos Fundamentais da UE, no artigo
16.º do TFUE e no artigo 8.º da CEDH. Conforme
salientado pelo Tribunal de Justiça da UE[27], o direito à proteção de dados
pessoais não é absoluto, mas deve ser considerado em relação à sua função na
sociedade[28].
A proteção de dados está profundamente relacionada com o respeito pela vida
privada e familiar, protegido pelo artigo 7.º da Carta. Isto encontra-se
refletido no artigo 1.º, n.º 1, da Diretiva 95/46/CE, que prevê que os
Estados-Membros assegurarão a proteção das liberdades e dos direitos
fundamentais das pessoas singulares, nomeadamente do direito à vida privada, no
que diz respeito ao tratamento de dados pessoais. Os outros direitos fundamentais consagrados na
Carta suscetíveis de serem afetados são os seguintes: a liberdade de expressão
(artigo 11.º da Carta), a liberdade de empresa (artigo 16.º), o direito à
propriedade e, em especial, a proteção da propriedade intelectual (artigo 17.º,
n.º 2), a proibição de discriminação em razão da raça, origem étnica,
características genéticas, religião ou convicções, opiniões políticas ou
outras, deficiência ou orientação sexual (artigo 21.º), os direitos da criança
(artigo 24.º), o direito a um elevado nível de proteção da saúde humana (artigo
35.º); o direito de acesso aos documentos (artigo 42.º); o direito à ação e a
um tribunal imparcial (artigo 47.º).
3.4.
Explicação pormenorizada da proposta
3.4.1.
CAPÍTULO I – DISPOSIÇÕES GERAIS
O artigo 1.º define o objeto do regulamento e,
tal como no artigo 1.º da Diretiva 95/46/CE, estabelece os dois objetivos
prosseguidos. O artigo 2.º estabelece o
âmbito de aplicação material do regulamento. O artigo 3.º estabelece o
âmbito de aplicação territorial do regulamento. O artigo 4.º contém as definições dos termos
utilizados no regulamento. Algumas definições foram
transpostas da Diretiva 95/46/CE, enquanto outras foram alteradas ou
completadas por elementos suplementares ou novos (sobre «violação de dados
pessoais», com base no artigo 2.º, alínea h), da Diretiva 2002/58/CE[29] sobre a Privacidade e comunicações eletrónicas, com a
redação que lhe foi dada pela Diretiva 2009/136/CE[30], «dados genéticos», «dados
biométricos», «dados relativos à saúde», «estabelecimento principal»,
«representante», «empresa», «grupo de empresas», «regras vinculativas para
empresas» e «criança», cuja definição se baseia na Convenção das Nações Unidas
relativa aos Direitos da Criança[31],
e «autoridade de controlo»). Na definição de consentimento é acrescentado o termo «explícito»,
a fim de evitar qualquer paralelismo suscetível de confusão com o consentimento
«inequívoco» e dispor de uma definição única e coerente de consentimento,
garantindo que o titular de dados dá o seu consentimento com todo o
conhecimento de causa.
3.4.2.
CAPÍTULO II – PRINCÍPIOS
O artigo 5.º enuncia os princípios
relacionados com o tratamento de dados pessoais, que correspondem aos previstos
no artigo 6.º da Diretiva 95/46/CE. Os novos
elementos acrescentados são, em especial, o princípio da transparência, a
clarificação do princípio da minimização de dados e a instauração das obrigações
e da responsabilidade global do responsável pelo tratamento. O artigo 6.º define, com
base no artigo 7.º da Diretiva 95/46/CE, os critérios para um tratamento de
dados lícito, que são melhor especificados quanto ao critério do equilíbrio de
interesses e ao respeito das obrigações legais e de interesse público. O artigo 7.º clarifica as
condições para que o consentimento seja válido enquanto fundamento jurídico
para o tratamento lícito. O artigo 8.º estabelece condições
suplementares para a licitude do tratamento de dados pessoais de crianças em
relação a serviços da sociedade da informação que lhes são diretamente
propostos. O artigo 9.º, que se
inspira no artigo 8.º da Diretiva 95/46/CE, prevê uma proibição geral de
tratamento de categorias especiais de dados pessoais e as exceções a esta regra
geral. O artigo 10.º clarifica
que o responsável pelo tratamento não é obrigado a obter informações adicionais
para identificar o titular dos dados para efeitos exclusivos do respeito de
qualquer disposição do presente regulamento.
3.4.3.
CAPÍTULO III - DIREITOS DO TITULAR DOS DADOS
3.4.3.1.
Secção 1 – Transparência e modalidades
O artigo 11.º introduz a obrigação de os
responsáveis pelo tratamento fornecerem informações transparentes, de fácil
acesso e compreensão, que se inspira especialmente na Resolução de Madrid sobre
as normas internacionais em matéria de proteção de dados pessoais e da vida
privada[32].
O artigo 12.º obriga o responsável pelo
tratamento a prever procedimentos e mecanismos para o exercício dos direitos
pelo titular dos dados, incluindo meios para pedidos por via eletrónica que
requeiram resposta à pessoa em causa dentro de um prazo fixado e os motivos da
recusa. O artigo 13.º prevê direitos em relação aos
destinatários, com base no artigo 12.º, alínea c), da Diretiva 95/46/CE, e
aplicáveis a todos os destinatários, incluindo os responsáveis conjuntos pelo
tratamento e os subcontratantes.
3.4.3.2.
Secção 2 – Informações e acesso aos dados
O artigo 14.º descreve mais pormenorizadamente
as obrigações de informação pelo responsável pelo tratamento para com o titular
dos dados e acrescenta, em relação aos artigos 10.º e 11.º da Diretiva
95/46/CE, informações suplementares, incluindo sobre o período de conservação,
o direito de apresentar queixa, as transferências internacionais e a fonte de
origem dos dados. Retoma também as derrogações
previstas na Diretiva 95/46/CE, por exemplo a inexistência de qualquer
obrigação de informação caso o registo ou a comunicação de dados se encontre
expressamente previsto por lei. Tal pode ser aplicado, por exemplo, em
procedimentos das autoridades de concorrência, fiscais ou aduaneiras, ou
serviços competentes em matéria de segurança social. O artigo 15.º prevê o
direito de acesso do titular de dados aos seus dados pessoais, com base no
artigo 12.º, alínea a), da Diretiva 95/46/CE, e acrescenta novos elementos,
tais como prever a informação aos titulares dos dados sobre o período de
conservação, os direitos de retificação, de apagamento e de apresentação de
queixa.
3.4.3.3.
Secção 3 – Retificação e apagamento
O artigo 16.º estabelece o direito do titular
dos dados à retificação, com base no artigo 12.º, alínea b), da Diretiva
95/46/CE. O artigo 17.º confere ao
titular dos dados o direito a ser esquecido e ao apagamento. Desenvolve e
especifica mais detalhadamente o direito de apagamento consagrado no artigo
12.º, alínea b), da Diretiva 95/46/CE, e prevê as condições do direito a ser
esquecido, incluindo a obrigação do responsável pelo tratamento que tornou
públicos os dados pessoais de informar os terceiros sobre o pedido da pessoa em
causa de apagamento de quaisquer ligações para esses dados, ou cópias ou
reproduções que tenham sido efetuadas. Este artigo integra igualmente o direito
à limitação do tratamento em determinados casos, evitando o termo ambíguo de
«bloqueio». O artigo 18.º introduz o direito do titular
dos dados à portabilidade dos dados, ou seja, de transferir dados de um sistema
de tratamento eletrónico para outro, sem que o responsável pelo tratamento se
possa opor. Como condição prévia, e para melhorar o
acesso das pessoas singulares aos dados pessoais que lhe dizem respeito, prevê
o direito de obter esses dados do responsável pelo tratamento num formato
eletrónico estruturado e de utilização corrente.
3.4.3.4.
Secção 4 – Direito de oposição e de definição de
perfis
O artigo 19.º confere ao titular dos dados o
direito de oposição. Tem como base o artigo 14.º da
Diretiva 95/46/CE, com algumas alterações, designadamente quanto ao ónus da
prova e da sua aplicação à comercialização direta. O artigo 20.º é
relativo ao direito de o titular dos dados não ser objeto de uma medida com
base na definição de perfis. Assenta, com as devidas
alterações e garantias adicionais no artigo 15.º, n.º 1, da Diretiva 95/46/CE,
relativo a decisões individuais automatizadas, e tem em consideração a
recomendação do Conselho da Europa sobre a definição de perfis[33].
3.4.3.5.
Secção 5 - Restrições
O artigo 21.º
clarifica os poderes conferidos à União Europeia ou aos Estados-Membros para
manter ou introduzir restrições aos princípios enunciados no artigo 5.º e aos
direitos dos titulares de dados previstos nos artigos 11.º a 20.º e no artigo
32.º. Esta disposição tem por base o artigo 13.º da Diretiva 95/46/CE e os
requisitos decorrentes da Carta dos Direitos Fundamentais e da Convenção
Europeia para a Proteção dos Direitos do Homem e das Liberdades Fundamentais,
conforme interpretado pelo Tribunal de Justiça da UE e o Tribunal Europeu dos
Direitos do Homem.
3.4.4.
CAPÍTULO IV – RESPONSÁVEL PELO TRATAMENTO E
SUBCONTRATANTE
3.4.4.1.
Secção 1 – Obrigações gerais
O artigo 22.º, em resposta ao debate sobre um
«princípio da responsabilidade», descreve pormenorizadamente as obrigações que
incumbem ao responsável pelo tratamento para dar cumprimento ao presente
regulamento e comprovar a sua observância, incluindo através da adoção de
regras internas e mecanismos para este efeito. O artigo 23.º estabelece
as obrigações do responsável pelo tratamento, decorrentes dos princípios de
proteção de dados desde a conceção e de proteção dos dados por defeito. O artigo 24.º relativo aos
responsáveis conjuntos pelo tratamento clarifica as responsabilidades destes
últimos quanto às suas relações internas e face ao titular dos dados. O artigo 25.º obriga, sob
determinadas condições, os responsáveis pelo tratamento não estabelecidos na
União a designar um representante na União sempre que o regulamento for
aplicável às suas atividades de tratamento. O artigo 26.º clarifica a
posição e as obrigações dos subcontratantes, baseando-se parcialmente no artigo
17.º, n.º 2, da Diretiva 95/46/CE, e acrescentando novos elementos,
designadamente que um subcontratante que efetue o tratamento de dados para além
das instruções dadas pelo responsável pelo tratamento deve ser considerado como
responsável conjunto pelo tratamento. O artigo 27.º, relativo ao
tratamento efetuado sob a autoridade do responsável pelo tratamento ou do
subcontratante, baseia-se no artigo 16.º da Diretiva 95/46/CE. O artigo 28.º introduz a
obrigação, para os responsáveis pelo tratamento e os subcontratantes, de
conservar a documentação das operações de tratamento sob a sua
responsabilidade, em vez da notificação geral à autoridade de controlo exigida
pelo artigo 18.º, n.º 1, e artigo 19.º da Diretiva 95/46/CE. O artigo 29.º clarifica as
obrigações que incumbem ao responsável pelo tratamento e ao subcontratante no
âmbito da sua cooperação com a autoridade de controlo.
3.4.4.2.
Secção 2 – Segurança dos dados
O artigo 30.º obriga o responsável pelo
tratamento e o subcontratante a aplicar as medidas adequadas para assegurar a
segurança de tratamento. Tem por base o artigo 17.º, n.º 1, da Diretiva
95/46/CE, e alarga essa obrigação aos subcontratantes, independentemente do
contrato celebrado com o responsável pelo tratamento. Os artigos 31.º e 32.º
introduzem uma obrigação de notificação de violações de dados pessoais,
inspirada na notificação de violações de dados pessoais previstos no artigo
4.º, n.º 3, da Diretiva 2002/58/CE relativa à privacidade e comunicações
eletrónicas.
3.4.4.3.
Secção 3 - Avaliação de impacto da proteção de dados
e autorização prévia
O artigo 33.º introduz a obrigação, para os
responsáveis pelo tratamento e os subcontratantes, de realizar uma avaliação de
impacto sobre a proteção de dados previamente a operações de tratamento de
dados de risco. O artigo 34.º diz respeito
a casos em que é obrigatória a autorização e a consulta da autoridade de
controlo previamente ao tratamento, com base no conceito de controlo prévio
constante do artigo 20.º da Diretiva 95/46/CE.
3.4.4.4.
Secção 4 – Delegado para a proteção de dados
O artigo 35.º introduz a obrigação de designar
um delegado para a proteção de dados para o setor público e, no setor privado,
para as grandes empresas, ou sempre que as atividades de base do responsável
pelo tratamento ou do subcontratante consistam em operações de tratamento de
dados que exijam um controlo regular e sistemático. Esta
disposição baseia-se no artigo 18.º, n.º 2, da Diretiva 95/46/CE, que prevê a
possibilidade dos Estados-Membros introduzirem tal obrigação em vez da
obrigação de notificação geral. O artigo 36.º estabelece a
função do delegado para a proteção de dados. O artigo 37.º prevê as
funções principais do delegado para a proteção de dados.
3.4.4.5.
Secção 5 – Códigos de conduta e certificação
O artigo 38.º diz respeito a códigos de
conduta e, baseando-se no conceito do artigo 27.º, n.º 1, da Diretiva
95/46/CE, clarifica o conteúdo dos códigos de conduta e dos procedimentos,
habilitando a Comissão a decidir sobre a aplicabilidade geral dos códigos de
conduta. O artigo 39.º
introduz a possibilidade de estabelecer mecanismos de certificação, bem como
selos e marcas em matéria de proteção de dados.
3.4.5.
CAPÍTULO V – TRANSFERÊNCIA DE DADOS PESSOAIS PARA
PAÍSES TERCEIROS OU ORGANIZAÇÕES INTERNACIONAIS
O artigo 40.º especifica, como princípio
geral, que o respeito das obrigações constantes desse capítulo é obrigatório
para qualquer transferência de dados pessoais para países terceiros ou
organizações internacionais, incluindo as transferências ulteriores. O artigo 41.º estabelece
os critérios, condições e procedimentos para a adoção de uma decisão da
Comissão sobre a adequação do nível de proteção, tendo por base o artigo 25.º
da Diretiva 95/46/CE. Os critérios considerados para a avaliação, pela
Comissão, de um nível adequado ou inadequado de proteção incluem expressamente
o primado do Estado de direito, a possibilidade de recorrer aos tribunais e um
controlo independente. O artigo confirma agora explicitamente a possibilidade
de a Comissão avaliar o nível de proteção assegurado por um território ou um
setor de tratamento de dados num país terceiro. O artigo 42.º exige que,
para transferências para países terceiros em que não tenha sido adotada pela
Comissão uma decisão sobre a adequação do nível de proteção, sejam apresentadas
garantias adequadas, em especial cláusulas-tipo de proteção de dados, regras
vinculativas para empresas e cláusulas contratuais. A possibilidade de utilizar
cláusulas‑tipo de proteção de dados da Comissão tem por base o artigo 26.º, n.º
4, da Diretiva 95/46/CE. Enquanto novidade, essas cláusulas-tipo de proteção de
dados podem doravante ser também adotadas por uma autoridade de controlo e
declaradas geralmente aplicáveis pela Comissão. As regras vinculativas para
empresas são agora referidas especificamente no articulado. A opção das cláusulas
contratuais permite alguma flexibilidade ao responsável pelo tratamento ou ao
subcontratante, mas está sujeita à autorização prévia de uma autoridade de
controlo. O artigo 43.º descreve mais em pormenor as
condições aplicáveis às transferências graças às regras vinculativas para
empresas, com base nas práticas e requisitos atuais das autoridades de
controlo. O artigo 44.º define e clarifica as
derrogações para as transferências de dados, com base nas disposições
existentes do artigo 26.º da Diretiva 95/46/CE. Esta
disposição é especialmente aplicável às transferências de dados exigidas e
necessárias por razões de proteção de interesses públicos importantes, por
exemplo em casos de transferências internacionais de dados entre autoridades da
concorrência, fiscais ou aduaneiras, ou entre serviços competentes em matéria
de segurança social ou de gestão das atividades de pesca. Além disso, uma
transferência de dados pode, em circunstâncias restritas, justificar-se por um
interesse legítimo do responsável pelo tratamento ou do subcontratante, mas
apenas após ter avaliado e documentado as circunstâncias dessa operação de
transferência. O artigo 45.º prevê expressamente a elaboração
de mecanismos de cooperação internacionais para a proteção de dados pessoais
entre a Comissão e as autoridades de controlo de países terceiros,
particularmente os que se considera que asseguram um nível de proteção
adequado, tendo em conta a recomendação da Organização para a Cooperação e
Desenvolvimento (OCDE), de 12 de junho de 2007, sobre a cooperação
transfronteiriça na aplicação das legislações de proteção da privacidade.
3.4.6.
CAPÍTULO VI - AUTORIDADES DE CONTROLO INDEPENDENTES
3.4.6.1.
Secção 1 – Estatuto Independente
O artigo 46.º obriga os Estados-Membros a
criar autoridades de controlo, com base no artigo 28.º, n.º 1, da Diretiva
95/46/CE, alargando a missão destas autoridades à cooperação mútua e com a
Comissão. O artigo 47.º clarifica as
condições para assegurar a independência das autoridades de controlo, em
aplicação da jurisprudência do Tribunal de Justiça da União Europeia[34], e também com base no artigo 44.º do Regulamento (CE) n.º 45/2001[35]. O artigo 48.º prevê as condições gerais
aplicáveis aos membros da autoridade de controlo, em aplicação da
jurisprudência na matéria[36],
também com base no artigo 42.º, n.os 2 a 6, do Regulamento (CE) 45/2001. O artigo 49.º estabelece
as regras sobre a criação da autoridade de controlo, que os Estados‑Membros
devem estabelecer por via legislativa. O artigo 50.º impõe o sigilo profissional aos
membros e ao pessoal da autoridade de controlo tendo por base o artigo 28.º,
n.º 7, da Diretiva 95/46/CE.
3.4.6.2.
Secção 2 – Funções e poderes
O artigo 51.º estabelece a competência das
autoridades de controlo. A regra geral, baseada no
artigo 28.º, n.º 6, da Diretiva 95/46/CE (competência no território do seu
Estado-Membro), é completada por uma nova competência, a da autoridade
principal, caso um responsável pelo tratamento ou um subcontratante esteja
estabelecido em vários Estados-Membros, por forma a assegurar uma aplicação
uniforme («balcão único»). Os tribunais, ao agirem enquanto autoridade
judiciária, estão isentos de se submeterem à supervisão da autoridade de
controlo, mas não de aplicar as regras materiais sobre a proteção de dados. O artigo 52.º prevê as
funções da autoridade de controlo, incluindo receber e examinar queixas, e
sensibilizar o público para os riscos, regras, garantias e direitos existentes. O artigo 53.º prevê os poderes da autoridade
de controlo, baseando-se em parte no artigo 28.º, n.º 3, da Diretiva 95/46/CE,
e no artigo 47.º do Regulamento (CE) 45/2001, acrescentando-lhe novos
elementos, incluindo o poder de sancionar as infrações de natureza
administrativa. O artigo 54.º obriga as autoridades de
controlo a redigirem relatórios de atividade anuais, com base no artigo 28.º,
n.º 5, da Diretiva 95/46/CE.
3.4.7.
CAPÍTULO VII – COOPERAÇÃO
E COERÊNCIA
3.4.7.1.
Secção 1 - Cooperação
O artigo 55.º introduz regras específicas
sobre a assistência mútua obrigatória, incluindo as consequências pelo
incumprimento de um pedido de outra autoridade de controlo, com base no artigo
28.º, n.º 6, segundo parágrafo, da Diretiva 95/46/CE. O artigo 56.º introduz
regras aplicáveis às operações conjuntas, com base no artigo 17.º da Decisão
2008/615/JAI do Conselho[37], incluindo o direito de as autoridades de controlo participarem nessas
operações.
3.4.7.2.
Secção 2 – Coerência
O artigo 57.º introduz um mecanismo de
controlo da coerência, a fim de assegurar a aplicação uniforme no que respeita
às operações de tratamento de dados que podem visar titulares de dados em
diversos Estados-Membros. O artigo 58.º estabelece
os procedimentos e as condições a respeitar para solicitar o parecer do Comité
Europeu para a Proteção de Dados. O artigo 59.º refere-se aos pareceres da
Comissão relativos a matérias que são examinadas no quadro do mecanismo de
controlo da coerência e que podem quer confirmar o parecer do Comité Europeu
para a Proteção de Dados, quer expressar uma divergência com o mesmo, e
relativos ao projeto de medida transmitido pela autoridade de controlo. Sempre
que a questão é suscitada pelo Comité Europeu para a Proteção de Dados por
força do artigo 58.º, n.º 3, a Comissão poderá exercer o seu poder
discricionário e, se necessário, emitir um parecer. O artigo 60.º refere-se às
decisões da Comissão que exigem da autoridade competente a suspensão do seu
projeto de medida sempre que tal seja necessário para assegurar a correta
aplicação do presente regulamento. O artigo 61.º prevê a possibilidade de adoção
de medidas provisórias, segundo um procedimento urgente. O artigo 62.º estabelece os requisitos para a
adoção dos atos de execução da Comissão no âmbito do mecanismo de controlo da
coerência. O artigo 63.º
prevê a obrigação de executar a medida prevista por uma autoridade de controlo
em todos os Estados-Membros em causa, e estabelece que a aplicação do mecanismo
de controlo da coerência é um requisito prévio para a validade jurídica e a
execução da medida em causa.
3.4.7.3.
Secção 3 – Comité Europeu para a Proteção de Dados
O artigo 64.º cria o Comité Europeu para a
Proteção de Dados, composto pelos diretores das autoridades de controlo de cada
Estado-Membro e da Autoridade Europeia para a Proteção de Dados. O Comité Europeu para a Proteção de Dados substitui o
«Grupo de proteção das pessoas no que diz respeito ao tratamento de dados
pessoais», criado nos termos do artigo 29.º da Diretiva 95/46/CE. O artigo
clarifica que a Comissão não é membro desse Comité, assistindo-lhe, no entanto,
o direito de participar nas suas atividades e de nele estar representada. O artigo 65.º sublinha e
clarifica a independência do Comité Europeu para a Proteção de Dados. O artigo 66.º descreve as funções do Comité
Europeu para a Proteção de Dados, com base no artigo 30.º, n.º 1, da Diretiva
95/46/CE, e prevê elementos adicionais, refletindo o âmbito cada vez maior de
atividades deste comité, dentro e fora da União Europeia. Para poder reagir em situações urgentes, confere à Comissão
a possibilidade de solicitar um parecer dentro de um determinado prazo. O artigo 67.º, com base no artigo 30.º, n.º 6,
da Diretiva 95/46/CE, impõe ao Comité Europeu para a Proteção de Dados e
apresentação de um relatório anual relativo às suas atividades. O artigo 68.º estabelece os processos de
decisão do Comité Europeu para a Proteção de Dados, incluindo a obrigação de
adotar um regulamento interno que deve igualmente determinar as suas
modalidades de funcionamento. O artigo 69.º contém as
disposições relativas ao presidente e aos vice-presidentes do Comité Europeu
para a Proteção de Dados. O artigo 70.º estabelece as funções do
presidente. O artigo 71.º prevê que o secretariado do
Comité Europeu para a Proteção de Dados será assegurado pela Autoridade
Europeia para a Proteção de Dados e especifica as funções desse secretariado. O artigo 72.º estabelece as regras relativas à
confidencialidade.
3.4.8.
CAPÍTULO VIII – VIAS DE RECURSO, RESPONSABILIDADE E
SANÇÕES
O artigo 73.º prevê o direito de qualquer
titular de dados apresentar queixa a uma autoridade de controlo, com base no
artigo 28.º, n.º 4, da Diretiva 95/46/CE. Especifica
também os organismos, organizações ou associações que podem apresentar queixa
em nome do titular dos dados ou, em caso de violação de dados pessoais,
independentemente da queixa apresentada por um titular de dados. O artigo 74.º diz respeito
ao direito de recorrer aos tribunais contra uma autoridade de controlo. Tem por
base a disposição geral do artigo 28.º, n.º 3, da Diretiva 95/46/CE e prevê,
especificamente, uma ação judicial a fim de obrigar a autoridade de controlo a
dar seguimento a uma queixa, clarificando a competência dos tribunais do
Estado-Membro em que esteja estabelecida a autoridade de controlo. Prevê também
que a autoridade de controlo do Estado-Membro onde resida o titular dos dados
possa intentar, em nome deste último, uma ação junto dos tribunais de outro
Estado-Membro onde esteja estabelecida a autoridade de controlo competente. O artigo 75.º refere-se ao direito de ação
judicial contra um responsável pelo tratamento ou um subcontratante, com base
no artigo 22.º da Diretiva 95/46/CE, e permite escolher um tribunal no
Estado-Membro em que o requerido está estabelecido ou onde reside o titular dos
dados. Sempre que um processo relativo à mesma
matéria esteja pendente no âmbito do mecanismo de controlo da coerência, o
tribunal pode suspender a instância, exceto em caso de urgência. O artigo 76.º estabelece
regras gerais para os processos judiciais, incluindo o direito de organismos,
organizações ou associações representarem os titulares de dados junto dos
tribunais, o direito das autoridades de controlo de intervirem em processos
judiciais e de informar os tribunais sobre processos paralelos noutro
Estado-Membro, bem como a possibilidade de os tribunais suspenderem, nesse
caso, a instância[38]. Os Estados-Membros são
obrigados a assegurar ações judiciais rápidas[39]. O artigo 77.º diz respeito ao direito de
indemnização e à responsabilidade. Tem por base o
artigo 23.º da Diretiva 95/46/CE, tornando este direito extensível aos danos
causados pelos subcontratantes e clarifica a responsabilidade dos responsáveis
conjuntos pelo tratamento e dos subcontratantes. O artigo 78.º obriga os
Estados-Membros a estabelecerem regras sobre sanções aplicáveis às infrações ao
regulamento e a assegurar a sua execução. O artigo 79.º
obriga cada autoridade de controlo a sancionar as infrações administrativas
enumeradas nesta disposição mediante multas até um determinado montante máximo,
em função das circunstâncias específicas de cada caso.
3.4.9.
CAPÍTULO IX – DISPOSIÇÕES RELATIVAS A SITUAÇÕES
ESPECÍFICAS DE TRATAMENTO DE DADOS
O artigo 80.º obriga os Estados-Membros a
adotarem isenções e derrogações a disposições específicas do regulamento sempre
que necessário para conciliar o direito à proteção de dados pessoais com o
direito à liberdade de expressão. Tem por base o
artigo 9.º da Diretiva 95/46/CE, tal como interpretado pelo Tribunal de Justiça
da UE[40]. O artigo 81.º obriga os Estados-Membros, para
além das condições aplicáveis a categorias especiais de dados, a assegurar
garantias específicas para o tratamento de dados no domínio da saúde. O artigo 82.º autoriza os
Estados-Membros a adotarem legislação específica para o tratamento de dados
pessoais no domínio do emprego. O artigo 83.º estabelece
condições específicas para o tratamento de dados pessoais para efeitos de
investigação histórica, estatística e científica. O artigo 84.º autoriza os
Estados-Membros a adotarem regras específicas sobre o acesso de autoridades de
controlo a dados pessoais e a instalações, sempre que os responsáveis pelo
tratamento dos dados estiverem sujeitos a obrigações de confidencialidade. O artigo 85.º autoriza as igrejas, por força
do artigo 17.º do Tratado sobre o Funcionamento da União Europeia, a
continuarem a aplicar um conjunto completo de regras de proteção de dados, se
forem adaptadas ao presente regulamento.
3.4.10.
CAPÍTULO X – ATOS DELEGADOS E ATOS DE EXECUÇÃO
O artigo 86.º contém as disposições-tipo
aplicáveis ao exercício da delegação nos termos do artigo 290.º do TFUE. Tal permite ao legislador delegar na Comissão o poder de
adotar atos não legislativos de aplicação geral para completar ou alterar
determinados elementos não essenciais de um ato legislativo (atos
quase-legislativos). O artigo 87.º
contém a disposição relativa ao procedimento de comité necessário para conferir
competências de execução à Comissão nos casos em que, em conformidade com o
artigo 291.º do TFUE, são necessárias condições uniformes para a execução de
atos juridicamente vinculativos da União Europeia. Aplica-se
o procedimento de exame.
3.4.11.
CAPÍTULO XI – DISPOSIÇÕES FINAIS
O artigo 88.º revoga a Diretiva 95/46/CE. O artigo 89.º clarifica a
relação com a Diretiva 2002/58/CE (Diretiva sobre a privacidade e as
comunicações eletrónicas). O artigo 90.º obriga a
Comissão a avaliar o regulamento e a apresentar os relatórios correspondentes. O artigo 91.º fixa a data
de entrada em vigor do regulamento e define um período transitório em relação à
data da sua aplicação. 4. INCIDÊNCIA ORÇAMENTAL As incidências orçamentais específicas da
proposta relacionam-se com as atribuições da Autoridade Europeia para a
Proteção de Dados, tal como especificado na ficha financeira legislativa que
acompanha a presente proposta. Essas incidências
exigem uma reprogramação da rubrica 5 do quadro financeiro. A proposta não tem
qualquer incidência sobre as despesas operacionais. A ficha financeira legislativa que acompanha a
presente proposta de regulamento abrange os impactos orçamentais do presente
regulamento e da diretiva relativa à proteção de dados no domínio da cooperação
policial e judiciária.
2012/0011 (COD) Proposta de REGULAMENTO DO PARLAMENTO EUROPEU E DO
CONSELHO relativo à proteção das pessoas singulares no
que diz respeito ao tratamento de dados pessoais e à livre circulação desses
dados (regulamento geral sobre a proteção de dados) (Texto relevante para efeitos do EEE) O PARLAMENTO EUROPEU E O CONSELHO DA
UNIÃO EUROPEIA, Tendo em conta o Tratado sobre o Funcionamento
da União Europeia, nomeadamente o artigo 16.º, n.º 2, e o artigo 114.º, n.º 1, Tendo em conta a proposta da Comissão
Europeia, Após transmissão do projeto de ato legislativo
aos parlamentos nacionais, Tendo em conta o parecer do Comité Económico e
Social Europeu[41], Após consulta da Autoridade Europeia para a
Proteção de Dados[42],
Deliberando de acordo com o processo legislativo
ordinário, Considerando o seguinte: (1)
A proteção das pessoas singulares relativamente ao
tratamento de dados pessoais é um direito fundamental. O artigo 8.º, n.º 1, da
Carta dos Direitos Fundamentais da União Europeia e o artigo 16.º, n.º 1, do Tratado
sobre o Funcionamento da União Europeia estabelecem que todas as pessoas têm
direito à proteção dos dados de caráter pessoal que lhes digam respeito. (2)
O tratamento dos dados pessoais é concebido para
servir as pessoas; os princípios e as regras em matéria de proteção das pessoas
singulares relativamente ao tratamento dos seus dados pessoais devem respeitar,
portanto, independentemente da nacionalidade ou do local de residência dessas
pessoas, os seus direitos e liberdades fundamentais, particularmente o direito
à proteção dos dados pessoais. O tratamento dos dados deve
contribuir para a realização de um espaço de liberdade, segurança e justiça e
de uma união económica, o progresso económico e social, a consolidação e a
convergência das economias a nível do mercado interno e para o bem-estar das
pessoas. (3)
A Diretiva 95/46/CE do Parlamento Europeu e do
Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares
no que diz respeito ao tratamento de dados pessoais e à livre circulação desses
dados[43],
visa harmonizar a proteção dos direitos e das liberdades fundamentais das
pessoas singulares em relação às atividades de tratamento de dados e assegurar
a livre circulação de dados pessoais entre os Estados-Membros. (4)
A integração económica e social resultante do
funcionamento do mercado interno provocou um aumento significativo dos fluxos
transfronteiriços. O intercâmbio de dados entre os intervenientes económicos e
sociais, públicos e privados, intensificou‑se na União Europeia. As autoridades nacionais dos Estados-Membros são chamadas,
por força do direito da União, a colaborar e a trocar entre si dados pessoais,
a fim de poderem desempenhar as suas missões ou executar funções por conta de
uma autoridade de outro Estado-Membro. (5)
A rápida evolução tecnológica e a globalização
criaram novos desafios em matéria de proteção de dados pessoais. A partilha e a
recolha de dados registaram um espetacular aumento. As
novas tecnologias permitem às empresas privadas e às entidades públicas a
utilização de dados pessoais numa escala sem precedentes no exercício das suas
atividades. As pessoas disponibilizam cada vez mais as suas informações
pessoais de uma forma pública e global. As novas tecnologias transformaram a
economia e a vida social, e exigem maior facilidade na livre circulação de
dados na União e na transferência para países terceiros e organizações
internacionais, assegurando simultaneamente um elevado nível de proteção dos
dados pessoais. (6)
Esta evolução exige o estabelecimento de um quadro
de proteção de dados sólido e mais coerente na União, apoiado por uma aplicação
rigorosa das regras, pois é importante gerar confiança para permitir o
desenvolvimento da economia digital no conjunto do mercado interno. As pessoas singulares devem poder controlar a utilização
que é feita dos seus dados pessoais, e deve ser reforçada a segurança jurídica
e prática para as pessoas singulares, os operadores económicos e as autoridades
públicas. (7)
Os objetivos e os princípios da Diretiva 95/46/CE
continuam a ser válidos, mas não evitaram a fragmentação de execução da
proteção dos dados a nível da UE, bem como a insegurança jurídica e o
sentimento generalizado na opinião pública de que subsistem riscos
significativos, particularmente nas atividades em linha. As diferenças entre os
Estados-membros quanto ao nível de proteção dos direitos e das liberdades das
pessoas, nomeadamente do direito à proteção dos dados pessoais, no que respeita
ao tratamento desses dados, podem impedir a livre circulação de dados pessoais
no conjunto da União. Estas diferenças podem, por
conseguinte, constituir um obstáculo ao exercício das atividades económicas a
nível da UE, falsear a concorrência e impedir as autoridades de cumprirem as
obrigações que lhes incumbem por força do direito da União. Estas diferenças
nos níveis de proteção devem-se à existência de disparidades na execução e
aplicação da Diretiva 95/46/CE. (8)
Para assegurar um nível de proteção coerente e
elevado das pessoas singulares e eliminar os obstáculos à circulação de dados
pessoais, o nível de proteção dos direitos e liberdades das pessoas singulares
relativamente ao tratamento desses dados deve ser equivalente em todos os
Estados-Membros. É conveniente assegurar no conjunto
da União a aplicação coerente e homogénea das regras de proteção das liberdades
e dos direitos fundamentais das pessoas singulares no que diz respeito ao
tratamento de dados pessoais. (9)
Uma proteção eficaz dos dados pessoais na União
exige não só o reforço e a especificação dos direitos dos titulares de dados e
das obrigações dos responsáveis pelo tratamento e definição do tratamento de
dados pessoais, mas também poderes equivalentes para controlar e assegurar a
conformidade das regras de proteção dos dados pessoais e sanções equivalentes
para os infratores nos Estados‑Membros. (10)
O artigo 16.º, n.º 2, do Tratado incumbe o
Parlamento Europeu e o Conselho de estabelecerem as normas relativas à proteção
das pessoas singulares no que diz respeito ao tratamento de dados pessoais, bem
como as normas relativas à livre circulação desses dados. (11)
A fim de assegurar um nível coerente de proteção
das pessoas singulares no conjunto da União e evitar que as divergências
constituam um obstáculo à livre circulação de dados no mercado interno, é
necessário um regulamento que assegure a segurança jurídica e a transparência
aos operadores económicos, incluindo as micro, pequenas e médias empresas, que
assegure às pessoas singulares de todos os Estados-Membros um mesmo nível de
direitos suscetíveis de proteção judicial e obrigações e responsabilidades
iguais para os responsáveis pelo tratamento e subcontratantes, que assegure um
controlo coerente do tratamento de dados pessoais, sanções equivalentes em
todos os Estados-Membros, bem como uma cooperação efetiva entre as autoridades
de controlo dos diferentes Estados-Membros. Para ter em conta a situação
particular das micro, pequenas e médias empresas, o presente regulamento inclui
um determinado número de derrogações. Além disso, as instituições e os órgãos
da União, os Estados-Membros e as suas autoridades de controlo são incentivados
a tomar em consideração as necessidades específicas das micro, pequenas e
médias empresas no âmbito de aplicação do presente regulamento. Para definir a
noção de micro, pequenas e médias empresas, é conveniente ter em conta a
Recomendação 2003/361/CE da Comissão, de 6 de maio de 2003, relativa à
definição de micro, pequenas e médias empresas. (12)
A proteção conferida pelo presente regulamento diz
respeito às pessoas singulares, independentemente da sua nacionalidade ou local
de residência, relativamente ao tratamento de dados pessoais. No que respeita ao tratamento de dados relativos a pessoas
coletivas e, em especial, empresas estabelecidas na qualidade de pessoas
coletivas, incluindo a denominação, a forma jurídica e as coordenadas da pessoa
coletiva, a proteção conferida pelo presente regulamento não pode ser invocada.
Tal deve ser igualmente o caso sempre que a denominação da pessoa coletiva
incluir os nomes de uma ou mais pessoas singulares. (13)
A proteção de pessoas singulares deve ser neutra em
termos tecnológicos e independente das técnicas utilizadas, sob a pena de se
correr um sério risco de ser contornada. Deve aplicar-se ao tratamento de dados
pessoais por meios automatizados e manuais se os dados estiverem contidos ou se
forem destinados a um sistema de ficheiros. As pastas ou conjuntos de pastas,
bem como as suas capas, que não estejam estruturadas de acordo com critérios
específicos, não são abrangidos pelo âmbito de aplicação do presente
regulamento. (14)
O presente regulamento não cobre questões de
proteção dos direitos e das liberdades fundamentais ou da livre circulação de
dados relacionados com atividades que se encontrem fora do âmbito de aplicação
do direito da União, nem abrange o tratamento de dados pessoais pelas
instituições, órgãos, organismos ou agências da União, com base no Regulamento
(CE) n.º 45/2001[44],
ou o tratamento de dados pessoais pelos Estados-Membros no exercício de
atividades relacionadas com a política externa e de segurança comum da União. (15)
O presente regulamento não é aplicável ao
tratamento de dados pessoais efetuado por uma pessoa singular no exercício de
atividades exclusivamente pessoais ou domésticas como, por exemplo, trocar
correspondência e manter listas de endereços, sem qualquer fim lucrativo e,
portanto, sem qualquer ligação com uma atividade profissional ou comercial. Tal
isenção também não deve ser aplicável aos responsáveis pelo tratamento de dados
e a subcontratantes que forneçam os meios para o tratamento de dados pessoais
dessas atividades pessoais ou domésticas. (16)
A proteção das pessoas singulares em matéria de
tratamento de dados pessoais pelas autoridades competentes para efeitos de
prevenção, investigação, deteção e repressão de infrações penais ou de execução
de sanções penais, e a livre circulação desses dados, são objeto de um
instrumento jurídico específico a nível da União. Por essa razão, o presente
regulamento não é aplicável às atividades de tratamento para esses efeitos.
Todavia, o tratamento de dados pessoais pelas autoridades competentes ao abrigo
do presente regulamento para os referidos efeitos deve ser regulado por esse
instrumento jurídico mais específico a nível da União (Diretiva XX/YYY). (17)
O presente regulamento não deve prejudicar a
aplicação da Diretiva 2000/31/CE, nomeadamente as normas em matéria de
responsabilidade dos prestadores intermediários de serviços previstas nos seus
artigos 12.º a 15.º. (18)
O presente regulamento permite tomar em
consideração o princípio do direito de acesso público aos documentos oficiais
aquando da aplicação das suas disposições. (19)
Qualquer tratamento de dados pessoais efetuado no
contexto das atividades de um estabelecimento de um responsável pelo
tratamento, ou de um subcontratante, situado na União, deve ser conforme com o
presente regulamento, independentemente de o tratamento em si ser realizado
dentro ou fora da União. O estabelecimento pressupõe
o exercício efetivo e real de uma atividade com base numa instalação estável. A
forma jurídica de tal estabelecimento, quer se trate de uma sucursal ou filial
com personalidade jurídica, não é um fator determinante a este respeito. (20)
A fim de evitar que as pessoas singulares sejam
privadas da proteção que lhes assiste por força do presente regulamento, o
tratamento de dados pessoais de titulares de dados que residam na União por um
responsável pelo tratamento não estabelecido na União deve ser sujeito ao
presente regulamento se as atividades de tratamento estiverem relacionadas com
a oferta de bens ou serviços a esses titulares de dados, ou com o controlo do
seu comportamento. (21)
A fim de determinar se uma atividade de tratamento
pode ser considerada de «controlo do comportamento» de titulares de dados, deve
ser apurado se essas pessoas são seguidas na Internet através de técnicas de
tratamento de dados que consistem em aplicar um «perfil» a uma pessoa singular,
especialmente para adotar decisões relativas a essa pessoa ou analisar ou
prever as suas preferências, o seu comportamento e atitudes. (22)
Sempre que o direito nacional de um Estado-Membro for
aplicável por força do direito internacional público, o presente regulamento é
aplicável igualmente a um responsável pelo tratamento não estabelecido na
União, por exemplo numa missão diplomática ou num posto consular de um
Estado-Membro. (23)
Os princípios de proteção de dados devem aplicar-se
a qualquer informação relativa a uma pessoa singular identificada ou
identificável. Para determinar se uma pessoa é
identificável, importa considerar o conjunto dos meios suscetíveis de serem
razoavelmente utilizados, quer pelo responsável pelo tratamento quer por
qualquer outra pessoa, para identificar a referida pessoa. Os princípios de
proteção de dados não se aplicam a dados tornados de tal forma anónimos que o
titular dos dados já não possa ser identificado. (24)
Ao utilizarem os serviços em linha, as pessoas
singulares podem ser associadas a identificadores em linha, fornecidos pelos
respetivos aparelhos, aplicações, ferramentas e protocolos, tais como endereços
IP (Protocolo Internet) ou testemunhos de conexão (cookie). Estes
identificadores podem deixar vestígios que, em combinação com identificadores
únicos e outras informações recebidas pelos servidores, podem ser utilizadas
para a definição de perfis e a identificação das pessoas. Daí decorre que
números de identificação, dados de localização, identificadores em linha ou
outros elementos específicos não devem ser necessariamente considerados como
dados pessoais em todas as circunstâncias. (25)
O consentimento do titular dos dados deve ser dado
explicitamente, por qualquer forma adequada que permita obter uma manifestação
de vontade livre, específica e informada, sobre os seus desejos, que consista
quer numa declaração quer numa ação positiva clara do titular dos dados
garantindo que dá o seu consentimento com conhecimentos de causa ao tratamento
de dados pessoais, incluindo ao validar uma opção por via informática, ao
visitar um sítio na Internet, ou qualquer outra declaração
ou conduta que indique claramente neste contexto que aceita o tratamento
proposto dos seus dados pessoais. O silêncio ou a
omissão não devem, por conseguinte, constituir um consentimento. O consentimento deve abranger todas as atividades de tratamento realizadas
com a mesma finalidade. Se o consentimento tiver de ser dado no seguimento de um pedido por via
eletrónica, esse pedido tem de ser claro, conciso e não desnecessariamente
perturbador para a utilização do serviço para o qual é fornecido. (26)
Os dados pessoais relativos à saúde devem incluir,
em especial, todos os dados relativos ao estado de saúde de um titular de
dados; informações sobre a inscrição da pessoa para a prestação de serviços de
saúde; informações sobre pagamentos ou a elegibilidade para cuidados de saúde;
um número, símbolo ou sinal particular atribuído a uma pessoa singular para a
identificar de forma inequívoca para fins de cuidados de saúde; qualquer
informação sobre a pessoa recolhida no decurso de uma prestação de serviços de
saúde; informações obtidas a partir de testes ou exames de uma parte do corpo
ou de uma substância corporal, incluindo amostras biológicas; identificação de
uma pessoa enquanto prestador de cuidados de saúde à pessoa singular; ou
quaisquer informações sobre, por exemplo, uma doença, deficiência, risco de
doença, historial clínico, tratamento clínico ou estado físico ou biomédico
atual do titular de dados, independentemente da sua fonte, por exemplo, um
médico ou outro profissional de saúde, um hospital, um aparelho médico ou um
teste de diagnóstico in vitro. (27)
O estabelecimento principal de um responsável pelo
tratamento na União deve ser determinado de acordo com critérios objetivos e
deve pressupor o exercício efetivo e real de atividades de gestão que
determinem as decisões principais quanto às finalidades, condições e meios de
tratamento mediante instalações estáveis. Este critério não deve depender do
facto de o tratamento ser efetivamente realizado nesse local. A existência e
utilização de meios técnicos e de tecnologias para o tratamento de dados
pessoais ou as atividades de tratamento não constituem, em si mesmas, o
referido estabelecimento principal nem são, portanto, um critério definidor de
estabelecimento principal. Entende‑se por estabelecimento principal do
subcontratante, o lugar da sua administração central na União. (28)
Um grupo de empresas deve ser constituído por uma
empresa que exerce o controlo e as empresas controladas, a primeira devendo ser
a que pode exercer uma influência dominante sobre as outras empresas, por
exemplo, em virtude da propriedade, participação financeira ou das regras que a
regem ou da faculdade de fazer aplicar as regras relativas à proteção de dados
pessoais. (29)
As crianças carecem de proteção especial quanto aos
seus dados pessoais, uma vez que podem estar menos cientes dos riscos,
consequências, garantias e direitos relacionados com o tratamento dos seus
dados pessoais. Para determinar quando é que uma
pessoa é considerada uma criança, o presente regulamento deve retomar a
definição estabelecida na Convenção das Nações Unidas sobre os Direitos da
Criança. (30)
Qualquer tratamento de dados pessoais deve ser
efetuado de forma lícita, leal e transparente para com as pessoas em causa. Em
especial, as finalidades específicas do tratamento
devem ser explícitas e legítimas e ser determinadas aquando da recolha dos
dados. Os dados devem ser adequados, pertinentes e limitados ao mínimo
necessário às finalidades de tratamento para as quais se destinam; para tal, os
dados recolhidos não devem ser excessivos e o período de conservação deve ser
limitado ao mínimo. Os dados pessoais apenas devem ser tratados se a finalidade
do tratamento não puder ser atingida por outros meios. Devem ser adotadas todas
as medidas razoáveis para que os dados pessoais inexatos sejam retificados ou
apagados. De forma a assegurar que os dados são conservados apenas durante o
período considerado necessário, o responsável pelo tratamento deve fixar os
prazos para o apagamento ou a revisão periódica. (31)
Para que o tratamento seja lícito, os dados
pessoais devem ser tratados com base no consentimento da pessoa em causa ou
noutro fundamento legítimo, previsto por lei, quer no presente regulamento quer
noutro ato legislativo da União ou de um Estado‑Membro, conforme previsto no
presente regulamento. (32)
Sempre que o tratamento for realizado com base no
consentimento do titular dos dados, recai sobre o responsável pelo tratamento o
ónus de provar o consentimento da pessoa em causa. Em especial, no contexto de uma declaração escrita relativa a outra
matéria, devem existir as devidas garantias de que o titular dos dados está
ciente do consentimento dado com todo o conhecimento de causa. (33)
De forma a assegurar o livre consentimento, deve
ser clarificado que este não constitui um fundamento jurídico válido se a
pessoa não tiver uma verdadeira liberdade de escolha e, consequentemente, não
puder recusar ou retirar o consentimento sem ser prejudicada. (34)
O consentimento não deve constituir um fundamento
jurídico válido para o tratamento de dados pessoais se existir um desequilíbrio
manifesto entre o titular dos dados e o responsável pelo tratamento, especialmente
se o primeiro se encontrar numa situação de dependência em relação ao segundo,
em especial quando os dados pessoais são tratados
pelo seu empregador no contexto da relação laboral. Sempre que o responsável
pelo tratamento é uma autoridade, só haveria desequilíbrio em caso de operações
de tratamento específicas no âmbito das quais a autoridade possa, por força das
suas prerrogativas de poder público, impor uma obrigação. Neste caso, o
consentimento não seria considerado livremente consentido, tendo em conta o
interesse do titular dos dados. (35)
O tratamento deve ser lícito quando se revelar
necessário no contexto de um contrato ou da intenção de celebrar de um
contrato. (36)
Sempre que o tratamento for realizado em
cumprimento de uma obrigação jurídica à qual esteja sujeito o responsável pelo
tratamento, ou se o tratamento for necessário para a execução de uma missão de
interesse público ou exercício de prerrogativas de autoridade pública, o
tratamento deve ter uma base jurídica no direito da União ou na legislação
nacional de um Estado‑Membro que satisfaça as condições impostas pela Carta dos
Direitos Fundamentais da União Europeia relativamente a qualquer restrição aos
direitos e liberdades. Cabe também ao direito da
União ou à legislação nacional determinar se o responsável pelo tratamento que
executa uma missão de interesse público ou exerce prerrogativas de autoridade
pública deve ser uma administração pública ou outra pessoa singular ou coletiva
de direito público, ou de direito privado, por exemplo uma associação
profissional. (37)
O tratamento de dados pessoais deve ser igualmente
considerado lícito quando for necessário à proteção de um interesse essencial à
vida do titular dos dados. (38)
Os interesses legítimos do responsável pelo
tratamento podem constituir um fundamento jurídico para o tratamento, a menos
que prevaleçam os interesses ou os direitos e liberdades fundamentais do
titular dos dados. Este ponto requer uma avaliação
cuidada, particularmente se o titular dos dados for uma criança, uma vez que
estas carecem de proteção especial. O titular dos dados deve ter o direito de
se opor ao tratamento por razões relacionadas com a sua situação específica e
de forma gratuita. A fim de assegurar a transparência, o responsável pelo
tratamento deve ser obrigado a informar explicitamente a pessoa em causa sobre
os interesses legítimos prosseguidos e sobre o direito de se lhe opor, sendo
igualmente obrigado a apresentar fundamentação documentada desses interesses
legítimos. Dado que incumbe ao legislador prever por lei a base jurídica para
autorizar as autoridades a procederem ao tratamento de dados, este fundamento
jurídico não é aplicável aos tratamentos efetuados pelas autoridades públicas
no exercício das suas funções. (39)
O tratamento de dados relativos ao tráfego, na
medida estritamente necessária para assegurar a segurança da rede e das
informações, ou seja, a capacidade de uma rede ou de um sistema informático de
resistir, com um dado nível de confiança, a eventos acidentais ou a ações
maliciosas ou ilícitas que comprometam a disponibilidade, a autenticidade, a
integridade e a confidencialidade de dados conservados ou transmitidos, bem
como a segurança dos serviços conexos oferecidos ou acessíveis através destas
redes e sistemas, pelas autoridades públicas, equipas de intervenção em caso de
emergências informáticas (CERT), equipas de resposta a incidentes no domínio da
segurança informática (CSIRT), fornecedores ou redes de serviços de
comunicações eletrónicas e por fornecedores de tecnologias e serviços de segurança,
constitui um interesse legítimo do responsável pelo tratamento dos dados. Tal
pode incluir, por exemplo, impedir o acesso não autorizado a redes de
comunicações eletrónicas e a distribuição de códigos malévolos e pôr termo a
ataques de «negação de serviço» e a danos causados aos sistemas de comunicações
informáticas e eletrónicas. (40)
O tratamento de dados pessoais para outros fins
apenas deve ser autorizado se for compatível com as finalidades para as quais
os dados foram inicialmente recolhidos, particularmente para fins de
investigação histórica, estatística ou científica. Sempre
que essa outra finalidade não for compatível com a finalidade inicial para a
qual os dados foram recolhidos, o responsável pelo tratamento deve obter o
consentimento do titular dos dados para outra finalidade ou basear esse
tratamento noutro fundamento legítimo para o tratamento lícito, nomeadamente se
estabelecido pelo direito da União ou pela legislação do Estado-Membro a que o
responsável pelo tratamento se encontre sujeito. Em qualquer caso, deve ser
garantida a aplicação dos princípios enunciados pelo presente regulamento e, em
particular, a obrigação de informar o titular dos dados sobre essas outras
finalidades. (41)
Os dados pessoais que sejam, devido à sua natureza,
especialmente sensíveis e vulneráveis relativamente aos direitos fundamentais
ou à privacidade, merecem uma proteção específica. Esses
dados não devem ser objeto de tratamento, salvo se, para o efeito, o titular
dos dados der o seu consentimento expresso. No entanto, devem ser expressamente
previstas derrogações a esta proibição para ter em conta necessidades
específicas, designadamente quando o tratamento for efetuado no exercício de
atividades legítimas de certas associações ou fundações que tenham por
finalidade permitir o exercício das liberdades fundamentais. (42)
As derrogações à proibição de tratamento de
categorias de dados sensíveis devem ser igualmente permitidas se efetuadas
mediante ato legislativo e, sob reserva de garantias adequadas, de forma a
proteger os dados pessoais e outros direitos fundamentais, quando motivos de
interesse geral o justificarem e, em especial, motivos sanitários, incluindo de
saúde pública, proteção social e de gestão de serviços de saúde, designadamente
para assegurar a qualidade e a eficiência dos procedimentos utilizados para
regularizar os pedidos de prestações sociais e de serviços no quadro do regime
de seguro de doença, ou para fins de investigação histórica, estatística ou
científica. (43)
Além disso, o tratamento de dados pessoais pelas
autoridades públicas tendo em vista realizar os objetivos, consagrados no
direito constitucional ou no direito internacional público, de associações
religiosas oficialmente reconhecidas, é efetuado por motivos de interesse
público. (44)
Sempre que, no âmbito do exercício de atividades
eleitorais, o funcionamento do sistema democrático exigir, num Estado-Membro,
que os partidos políticos recolham dados sobre a opinião política das pessoas,
o tratamento desses dados pode ser autorizado por motivos de interesse público
importante, desde que sejam estabelecidas garantias adequadas. (45)
Se os dados tratados pelo responsável pelo
tratamento não lhe permitirem identificar uma pessoa singular, aquele não deve
ser obrigado a obter informações suplementares para identificar o titular dos
dados com a única finalidade de respeitar uma disposição do presente
regulamento. No caso de um pedido de acesso, o responsável pelo tratamento de
dados deve ter a faculdade de solicitar ao titular dos dados informações
adicionais que permitam localizar os dados pessoais procurados por essa pessoa. (46)
O princípio de transparência exige que qualquer
informação destinada ao público ou ao titular dos dados seja de fácil acesso e
compreensão, e formulada numa linguagem clara e simples. Isto é especialmente relevante em situações, como a
publicidade em linha, a proliferação de operadores e a complexidade tecnológica
das práticas, que tornem difícil que a pessoa em causa saiba exatamente se
estão a recolher os seus dados pessoais, por quem e para que fins. Uma vez que
as crianças carecem de proteção especial, sempre que o tratamento lhes seja
especialmente dirigido, qualquer informação e comunicação deve estar redigida
numa linguagem clara e simples de forma a que uma criança a compreenda
facilmente. (47)
Devem ser previstas modalidades para facilitar o
exercício, pelo titular de dados, dos direitos que lhe são conferidos nos
termos do presente regulamento, incluindo mecanismos para solicitar, a título
gratuito, em especial o acesso aos dados, a retificação, a supressão e o
exercício do seu direito de oposição. O responsável
pelo tratamento deve ser obrigado a responder ao titular dos dados dentro de um
prazo estipulado e fundamentar qualquer recusa. (48)
Os princípios de tratamento leal e transparente
exigem que o titular de dados seja informado, em especial, da existência da
operação de tratamento de dados e das suas finalidades, do período de
conservação dos dados, da existência do direito de acesso, da retificação ou de
apagamento, bem como do direito de apresentar uma queixa. Sempre que os dados forem recolhidos junto do titular dos
dados, este deve ser também informado da obrigatoriedade de fornecer esses
dados e das respetivas consequências caso não os faculte. (49)
As informações sobre o tratamento de dados pessoais
devem ser fornecidas ao titular dos dados no momento da sua recolha ou, se a
recolha não foi obtida junto da pessoa em causa, dentro de um prazo, dependendo
das circunstâncias do caso. Sempre que os dados forem
suscetíveis de serem legitimamente comunicados a outro destinatário, o titular
dos dados deve ser informado aquando da primeira comunicação a esse
destinatário. (50)
Todavia, não é necessário impor tal obrigação
quando o titular dos dados já dispuser dessa informação, ou se o registo ou a
comunicação dos dados for expressamente previsto por lei, ou se a informação ao
titular dos dados se revelar impossível de concretizar ou se implicar esforços
desproporcionados. Tal seria o caso de um tratamento
efetuado para efeitos de investigação histórica, estatística ou científica;
para este efeito, pode ser considerado o número de interessados, a antiguidade
dos dados e as eventuais medidas compensatórias adotadas. (51)
Qualquer pessoa deve ter o direito de acesso aos
dados recolhidos sobre si e de exercer facilmente este direito, a fim de
conhecer e verificar a licitude do tratamento. Por conseguinte, cada titular de dados deve ter o direito de conhecer e ser
informado, em especial, das finalidades a que se destinam os dados tratados, da
duração da sua conservação, da identidade dos destinatários, da lógica
subjacente ao tratamento dos dados e das suas consequências eventuais, pelo
menos quando tiver por base a definição de perfis. Este direito não deve
prejudicar os direitos e as liberdades de terceiros, incluindo o segredo
comercial ou a propriedade intelectual e, particularmente, o direito de autor
que protege o suporte lógico. Todavia, estas considerações não devem resultar
na recusa total de prestação de informações ao titular dos dados. (52)
O responsável pelo tratamento deve adotar todas as
medidas razoáveis para verificar a identidade do titular dos dados que solicite
o acesso, em especial no contexto de serviços em linha e
de identificadores em linha. Um responsável pelo tratamento não deve conservar
dados pessoais com a finalidade exclusiva de estar em condições de reagir a
possíveis pedidos. (53)
Qualquer pessoa deve ter o direito a que os dados
que lhe digam respeito sejam retificados e o «direito a ser esquecido» quando a
conservação desses dados não cumprir o disposto no presente regulamento. Em especial, os titulares de dados devem ter o direito a
que os seus dados pessoais sejam apagados e deixem de ser objeto de tratamento
se deixarem de ser necessários para a finalidade para a qual foram recolhidos
ou tratados, sempre que os titulares de dados retirem o seu consentimento ao
tratamento, ou se oponham ao tratamento de dados pessoais que lhes digam
respeito ou se o tratamento dos seus dados pessoais não respeitar o disposto no
presente regulamento. Este direito assume particular importância quando o
titular de dados que deu o consentimento era nesse momento uma criança, não
estando totalmente ciente dos riscos inerentes ao tratamento, e mais tarde
deseja suprimir esses dados pessoais, especialmente na internet. No entanto,
deve ser permitido prolongar a conservação dos dados quando tal se revele
necessário para efeitos de investigação histórica, estatística ou científica,
bem como por motivos de interesse público no domínio da saúde pública, ou de
exercício da liberdade de expressão, se esta for exigida por lei, ou se existir
um motivo para limitar o tratamento dos dados em vez de os apagar. (54)
Para reforçar o «direito a ser esquecido» no
ambiente em linha, o âmbito do direito de apagamento deve também ser alargado
de forma a que um responsável pelo tratamento que tenha tornado públicos os
dados pessoais seja obrigado a informar os terceiros que tratem esses dados que
um titular de dados lhes solicita a supressão de quaisquer ligações para esses
dados pessoais, cópias ou reproduções dos mesmos. De
forma a assegurar esta informação, o responsável pelo tratamento deve adotar
todas as medidas razoáveis, incluindo medidas técnicas, no que respeita aos
dados cuja publicação seja da sua responsabilidade. No que se refere à publicação
de dados pessoais por terceiros, o responsável pelo tratamento é considerado
responsável por essa publicação sempre que tiver autorizado a publicação por
esse terceiro. (55)
Para reforçar melhor o controlo sobre os seus
próprios dados e o seu direito de acesso, os titulares de dados devem ter o
direito, sempre que os dados pessoais sejam objeto de tratamento automatizado
num formato estruturado e de uso corrente, de obter uma cópia dos dados que
lhes digam respeito, igualmente num formato eletrónico de utilização comum. O
titular de dados deve, além disso, ser autorizado a transmitir
os dados que forneceu, de uma aplicação automatizada, como uma rede social,
para outra. Isto aplica-se também se o titular de dados tiver fornecido os
dados a um sistema de tratamento automatizado com base no seu consentimento ou
em cumprimento de um contrato. (56)
No caso de um tratamento de dados pessoais lícito
para proteção dos interesses vitais do titular dos dados, ou por motivos de
interesse público, de exercício da autoridade pública ou de interesse legítimo
de um responsável pelo tratamento, o titular dos dados tem, não obstante, o
direito de se opor ao tratamento de quaisquer dados que lhe digam respeito. Recai sobre o responsável pelo tratamento o ónus de provar
que os seus interesses legítimos prevalecem sobre os interesses ou direitos e
liberdades fundamentais do titular dos dados. (57)
Sempre que os dados pessoais forem objeto de
tratamento para efeitos de comercialização direta, o titular dos dados tem o
direito de se opor a tal tratamento gratuitamente, e que possa ser invocado de
forma simples e efetiva. (58)
Qualquer pessoa singular tem o direito a não ser
objeto de uma medida baseada na definição de perfis através de tratamento
automatizado. No entanto, tais medidas devem ser permitidas se expressamente
autorizadas por lei, se aplicadas no âmbito da celebração ou da execução de um
contrato, ou mediante o consentimento da pessoa em causa. Em qualquer dos
casos, tal tratamento deve ser acompanhado das garantias adequadas, incluindo
uma informação específica do titular dos dados e o direito de obter a
intervenção humana, e que tal medida não diga respeito a uma criança. (59)
A União ou um Estado-Membro podem impor restrições
aos direitos de informação, acesso, retificação, apagamento ou portabilidade
dos dados, de oposição, medidas baseadas na definição de perfis, bem como à
comunicação de uma violação de dados pessoais ao titular dos dados e a
determinadas obrigações conexas dos responsáveis pelo tratamento, desde que
necessárias e proporcionais numa sociedade democrática, para assegurar a segurança
pública, incluindo a proteção da vida humana, especialmente em resposta a
catástrofes naturais ou provocadas pelo homem, para efeitos de prevenção,
investigação e repressão de infrações penais, ou de violação da deontologia de
profissões regulamentadas para efeitos de outros interesses públicos, incluindo
um interesse económico ou financeiro importante da União ou de um Estado‑Membro,
ou para efeitos de proteção do titular de dados ou dos direitos e liberdades de
terceiros. Essas restrições devem respeitar os
requisitos estabelecidos na Carta dos Direitos Fundamentais da União Europeia e
na Convenção Europeia para a Proteção dos Direitos do Homem e das Liberdades
Fundamentais. (60)
Deve ser definida a responsabilidade global do
responsável por qualquer tratamento de dados pessoais realizado por este ou por
sua conta. Em especial, o responsável pelo tratamento deve assegurar e ser
obrigado a comprovar que cada operação de tratamento de dados é efetuada em
conformidade com o presente regulamento. (61)
A proteção dos direitos e liberdades dos titulares
dos dados relativamente ao tratamento dos seus dados pessoais exige a tomada de
medidas técnicas e organizacionais adequadas, tanto no momento da conceção como
no momento da execução do tratamento, para assegurar o cumprimento dos
requisitos do presente regulamento. A fim de
assegurar e comprovar a conformidade com o presente regulamento, o responsável
pelo tratamento deve adotar regras internas e aplicar medidas apropriadas que
devem respeitar, em especial, os princípios da proteção de dados desde a
conceção e da proteção de dados por defeito. (62)
A proteção dos direitos e liberdades dos titulares
de dados, bem como a responsabilidade dos responsáveis pelo tratamento e dos
subcontratantes, incluindo no que diz respeito à supervisão e às medidas adotadas
pelas autoridades de controlo, exige uma clara repartição das responsabilidades
nos termos do presente regulamento, nomeadamente quando o responsável pelo
tratamento determina as finalidades, as condições e os meios do tratamento
conjuntamente com outros responsáveis, ou quando uma operação de tratamento de
dados é efetuada por conta de um responsável pelo tratamento. (63)
Sempre que um responsável pelo tratamento não estabelecido
na União Europeia efetue o tratamento de dados pessoais de titulares de dados
que residam na União, e cujas atividades de tratamento estejam relacionadas com
a oferta de bens ou serviços a essas pessoas, ou com o controlo do seu
comportamento, o responsável pelo tratamento deve designar um representante,
salvo se tal responsável se encontrar estabelecido num país terceiro que
garanta um nível de proteção adequado, ou se o responsável for uma pequena ou
média empresa ou uma autoridade ou organismo público, ou se o responsável
apenas oferecer a título esporádico bens ou serviços a esses titulares de
dados. O representante deve agir por conta do
responsável pelo tratamento e deve poder ser contactado por qualquer autoridade
de controlo. (64)
A fim de determinar se o responsável pelo
tratamento oferece bens e serviços apenas a título esporádico aos titulares de
dados que residam na União, deve ser verificado se resulta do conjunto das suas
atividades que a oferta de bens e serviços a essas pessoas é acessória às suas
atividades principais. (65)
A fim de comprovar a observância do presente
regulamento, o responsável pelo tratamento, ou o subcontratante, deve
documentar cada operação de tratamento de dados. Cada
responsável pelo tratamento e subcontratante devem ser obrigados a cooperar com
a autoridade de controlo e a disponibilizar essa documentação, quando tal lhe
for solicitado, para que possa servir ao controlo dessas operações de
tratamento. (66)
A fim de preservar a segurança e evitar o
tratamento em violação do presente regulamento, o responsável pelo tratamento,
ou o subcontratante, deve avaliar os riscos que o tratamento implica e aplicar
medidas que os atenuem. Estas medidas devem assegurar
um nível de segurança adequado, atendendo aos conhecimentos técnicos disponíveis
e ao custo da sua aplicação em função dos riscos e da natureza dos dados a
proteger. Aquando da adoção de normas técnicas e medidas organizacionais
destinadas a assegurar a segurança do tratamento, a Comissão deve promover a
neutralidade tecnológica, a interoperabilidade e a inovação e, se necessário,
cooperar com os países terceiros. (67)
A violação dos dados pessoais pode, se não forem adotadas
medidas adequadas e oportunas, dar origem a prejuízos económicos e sociais
substanciais, nomeadamente através da usurpação de identidade, para a pessoa em
causa. Assim, logo que o responsável pelo tratamento tenha conhecimento de uma
violação, deve comunicá-la à autoridade de controlo, sem demora injustificada
e, sempre que possível, no prazo de 24 horas. Se não for
possível efetuar essa comunicação no prazo de 24 horas, a notificação deve
fazer-se acompanhar de uma explicação dos motivos da demora. As pessoas
singulares cujos dados pessoais possam ter sido afetados negativamente por tal
violação, devem ser avisadas sem demora injustificada, para que possam tomar as
precauções necessárias. Deve considerar-se que uma violação afeta negativamente
os dados pessoais ou a privacidade de um titular de dados sempre que daí possa
resultar, por exemplo, roubo ou usurpação de identidade, danos físicos,
humilhações ou danos significativos para a reputação. A notificação deve
descrever a natureza da violação de dados pessoais, bem como recomendações ao
titular dos dados para atenuar potenciais efeitos adversos. As pessoas em causa
devem ser notificadas o mais rapidamente possível, em estreita cooperação com a
autoridade de controlo, e em cumprimento das orientações por esta fornecidas ou
por outras autoridades competentes (por exemplo, autoridades de aplicação da
lei). Por exemplo, para que as pessoas em causa possam atenuar um risco
imediato de dano, deve enviar‑se uma notificação rápida aos titulares de dados,
enquanto a necessidade de aplicar medidas adequadas contra violações de dados
recorrentes ou similares poderá justificar um prazo superior. (68)
Para determinar se uma violação de dados pessoais é
notificada à autoridade de controlo e ao titular dos dados sem demora
injustificada, deve ser avaliado se o responsável pelo tratamento executou e
aplicou medidas tecnológicas de proteção e organizativas para apurar
imediatamente a ocorrência de uma violação de dados pessoais e para informar
rapidamente a autoridade de controlo e a pessoa em causa, antes da ocorrência
de danos aos interesses pessoais e económicos, tendo em consideração, em
especial, a natureza e a gravidade da violação de dados pessoais e as
respetivas consequências e efeitos adversos para o titular dos dados. (69)
Ao estabelecer regras pormenorizadas relativamente
ao formato e aos procedimentos aplicáveis à notificação das violações de dados
pessoais, deve ter-se devidamente em conta as circunstâncias da violação,
nomeadamente a existência ou não de proteção dos dados pessoais através de
medidas técnicas de proteção adequadas para reduzir eficazmente a probabilidade
de usurpação da identidade ou outras formas de utilização abusiva. Além disso,
tais regras e procedimentos devem ter em conta os legítimos interesses das
autoridades de aplicação da lei nos casos em que uma divulgação precoce de
informações possa dificultar desnecessariamente a investigação das
circunstâncias de uma violação. (70)
A Diretiva 95/46/CE estabelece uma obrigação geral
de notificação do tratamento de dados pessoais às autoridades de controlo. Além
desta obrigação originar encargos administrativos e financeiros, nem sempre
contribuiu para uma melhoria da proteção dos dados pessoais. Por essa razão, tal obrigação geral deve ser suprimida e
substituída por procedimentos e mecanismos eficazes dirigidos, em alternativa,
para as operações de tratamento suscetíveis de apresentar riscos específicos
para os direitos e liberdades dos titulares de dados, devido à sua natureza,
âmbito ou finalidade. Nesses casos, o responsável pelo tratamento ou o
subcontratante deve proceder, previamente ao tratamento, a uma avaliação de
impacto sobre a proteção de dados, que deve examinar, nomeadamente, as medidas,
garantias e os mecanismos previstos para assegurar a proteção dos dados
pessoais e comprovar a observância do presente regulamento. (71)
Tal deve aplicar‑se, nomeadamente, aos sistemas de
arquivo de grande escala recentemente estabelecidos, que visam o tratamento de
uma grande quantidade de dados pessoais a nível regional, nacional ou
supranacional e que podem afetar um número considerável de titulares de dados. (72)
Em certas circunstâncias pode ser sensato e
económico alargar a avaliação de impacto sobre a proteção de dados para além de
um projeto único, por exemplo se as autoridades ou organismos públicos
pretenderem instituir uma aplicação ou uma plataforma de tratamento comum, ou se
vários responsáveis pelo tratamento planearem introduzir uma aplicação ou um
ambiente de tratamento comum em todo um setor ou segmento profissional, ou uma
atividade horizontal amplamente utilizada. (73)
As avaliações de impacto sobre a proteção de dados
devem ser realizadas por uma autoridade ou um organismo público se essa
avaliação não tiver ainda sido realizada no contexto da adoção da legislação
nacional que regula as atribuições da autoridade ou do organismo público, bem
como a operação ou o conjunto de operações em questão. (74)
Sempre que uma avaliação de impacto sobre a
proteção de dados indicar que as operações de tratamento de dados acarretam um
elevado grau de riscos particulares sobre os direitos e liberdades dos
titulares de dados, como privar essas pessoas de um direito, ou devido à
utilização de novas tecnologias específicas, a autoridade de controlo deve ser
consultada, antes de as operações terem início, sobre um tratamento arriscado
suscetível de não estar em conformidade com o presente regulamento, e de
apresentar propostas para remediar essa situação. Essa
consulta deve igualmente ser efetuada durante os trabalhos de elaboração de uma
medida legislativa pelo parlamento nacional, ou de uma medida baseada nesta
última medida que defina a natureza do tratamento e especifique as garantias
adequadas. (75)
Sempre que o tratamento for efetuado no setor
público, ou se, no setor privado, for efetuado por uma empresa de grande
dimensão, ou cujas atividades principais, independentemente da dimensão da
empresa, impliquem operações de tratamento que exijam controlo regular e
sistemático, o responsável pelo tratamento ou o subcontratante deve ser
assistido por uma pessoa no controlo do respeito, a nível interno, do presente
regulamento. Estes delegados para a proteção de
dados, quer sejam ou não empregados do responsável pelo tratamento, devem estar
em posição de desempenhar as suas funções e atribuições de forma independente. (76)
As associações ou outras entidades que representem
categorias de responsáveis pelo tratamento de dados devem ser incentivadas a
elaborar códigos de conduta, no respeito do presente regulamento, com vista a
facilitar a sua aplicação efetiva, tendo em conta as características
específicas do tratamento efetuado em determinados setores. (77)
A fim de aumentar a transparência e o respeito do
presente regulamento, deve ser encorajada a criação de mecanismos de
certificação, selos e marcas de proteção de dados, que permitam aos titulares
de dados avaliar rapidamente o nível de proteção de dados proporcionado pelos
produtos e serviços em causa. (78)
A circulação transfronteiriça de dados pessoais é
necessária ao desenvolvimento do comércio internacional e da cooperação
internacional. Esse aumento criou novos desafios e
novas preocupações em relação à proteção dos dados pessoais. Todavia, quando os
dados pessoais são transferidos da União para países terceiros ou para
organizações internacionais, o nível de proteção das pessoas singulares
assegurado na União pelo presente regulamento deve continuar a ser garantido. Em
todo o caso, as transferências para países terceiros só podem ser efetuadas no
pleno respeito do presente regulamento. (79)
O presente regulamento não prejudica os acordos
internacionais concluídos entre a União Europeia e países terceiros que regulem
a transferência de dados pessoais, incluindo as garantias adequadas em
benefício dos titulares de dados. (80)
A Comissão pode decidir, com efeitos no conjunto da
União, que determinados países terceiros, um território ou um setor de
tratamento de dados de um país terceiro, ou uma organização internacional,
oferece um nível de proteção de dados adequado, garantindo assim a segurança
jurídica e a homogeneidade a nível da União relativamente a países terceiros ou
organizações internacionais que sejam consideradas aptas a assegurar tal nível
de proteção. Nestes casos, podem realizar-se
transferências de dados pessoais para esses países sem que para tal seja
necessário qualquer outra autorização. (81)
Em conformidade com os valores fundamentais sobre
os quais assenta a União, particularmente a proteção dos direitos humanos, a
Comissão deve, na sua avaliação do país terceiro, ter em consideração em que
medida esse país respeita o primado do Estado de direito, o acesso à justiça e
as regras e normas internacionais no domínio dos direitos humanos. (82)
A Comissão pode igualmente reconhecer que um país
terceiro, um território ou um setor de tratamento de dados de um país terceiro,
ou uma organização internacional, não oferece um nível de proteção de dados
adequado. Se for esse o caso, deve ser proibida a
transferência de dados pessoais para esse país terceiro. Nesse caso, devem ser adotadas
medidas tendo em vista uma consulta entre a Comissão e esse país terceiro ou
organização internacional. (83)
Na falta de uma decisão sobre o nível de proteção adequado,
o responsável pelo tratamento ou o subcontratante deve adotar as medidas
necessárias para colmatar a insuficiência da proteção de dados no país terceiro
através de garantias adequadas a favor do titular de dados. Essas medidas adequadas podem consistir na utilização de
regras vinculativas para empresas, cláusulas-tipo de proteção de dados adotadas
pelas Comissão, cláusulas-tipo de proteção de dados adotadas por uma autoridade
de controlo, ou cláusulas contratuais autorizadas por esta autoridade, ou
outras medidas adequadas e proporcionais justificáveis pelas circunstâncias
inerentes a uma operação ou a um conjunto de operações de transferência de
dados, e sempre que autorizadas por uma autoridade de controlo. (84)
A possibilidade de o responsável pelo tratamento ou
o subcontratante utilizarem cláusulas‑tipo de proteção de dados adotadas pela
Comissão ou por uma autoridade de controlo não os deve impedir de incluírem
estas cláusulas num contrato mais abrangente, nem de acrescentarem outras
cláusulas, desde que não sejam contraditórias, direta ou indiretamente, em
relação às cláusulas contratuais‑tipo adotadas pela Comissão ou por uma
autoridade de controlo, e sem prejuízo dos direitos ou liberdades fundamentais
dos titulares de dados. (85)
Um grupo empresarial deve poder utilizar as regras
vinculativas para empresas aprovadas para as suas transferências internacionais
da União para entidades pertencentes ao mesmo grupo empresarial, desde que essas regras incluam princípios essenciais e direitos
oponíveis visando assegurar garantias adequadas às
transferências ou categorias de transferências de dados pessoais. (86)
É conveniente prever a possibilidade de
transferências em determinadas circunstâncias se o titular dos dados deu o seu
consentimento, se a transferência for necessária em relação a um contrato ou um
processo judicial, se motivos importantes de interesse público previstos pela
legislação União ou de um Estado-Membro o exigirem, ou se a transferência for
efetuada a partir de um registo criado por lei e destinado à consulta do
público ou de pessoas com um interesse legítimo. Neste último caso, a
transferência não deve abranger a totalidade dos dados nem categorias completas
de dados contidos nesse registo e, quando este último se destinar a ser
consultado por pessoas com um interesse legítimo, a transferência apenas deve
ser efetuada a pedido dessas pessoas ou caso sejam os seus destinatários. (87)
Estas derrogações devem ser aplicáveis, em
especial, às transferências de dados exigidas e necessárias à proteção de
interesses públicos importantes, por exemplo em caso de transferências
internacionais de dados entre autoridades de concorrência, fiscais ou
aduaneiras, ou entre serviços competentes em matéria de segurança social, ou em
caso de transferência para as autoridades competentes pela prevenção,
investigação, deteção e repressão de infrações penais. (88)
As transferências que não podem ser classificadas
como frequentes ou maciças são igualmente possíveis para efeitos de prossecução
dos interesses legítimos do responsável pelo tratamento ou do subcontratante,
após terem sido avaliadas todas as circunstâncias associadas à operação de
transferência. Para fins de tratamento com finalidade
de investigação histórica, estatística ou científica, devem ser adotadas em
consideração as expectativas legítimas da sociedade em matéria de progresso dos
conhecimentos. (89)
Em qualquer caso, se a Comissão não tiver tomado
qualquer decisão relativamente ao nível de proteção adequado de dados num país
terceiro, o responsável pelo tratamento ou o subcontratante deve adotar
soluções que ofereçam aos titulares de dados a garantia de que continuarão a
beneficiar dos direitos e garantias fundamentais quanto ao tratamento dos seus
dados na União, após a transferência dos mesmos. (90)
Alguns países terceiros aprovam
leis, regulamentos e outros instrumentos legislativos destinados a regular
diretamente as atividades de tratamento de dados pelas pessoas singulares e
coletivas sob a jurisdição dos Estados-Membros. Em virtude da sua
aplicabilidade extraterritorial, essas leis, regulamentos e outros instrumentos
legislativos podem violar o direito internacional e obstar à realização do
objetivo de proteção das pessoas singulares, assegurado na União Europeia pelo
presente regulamento. As transferências só devem ser autorizadas quando as
condições estabelecidas pelo presente regulamento para as transferências para
os países terceiros estejam preenchidas. Pode ser o caso, nomeadamente, sempre
que a divulgação for necessária por um motivo importante de interesse público, reconhecido
pelo direito da União, ou pelo direito do Estado‑Membro ao qual o responsável
pelos dados está sujeito. As condições para a existência de um motivo
importante de interesse público devem ser precisadas pela Comissão mediante um
ato delegado. (91)
Sempre que os dados pessoais atravessam fronteiras,
há um risco acrescido de que as pessoas singulares não possam exercer os seus
direitos à proteção de dados, nomeadamente para se proteger da utilização
ilícita ou da divulgação dessas informações. Paralelamente,
as autoridades de controlo podem ser incapazes de dar seguimento a queixas ou
conduzir investigações relacionadas com atividades exercidas fora das suas
fronteiras. Os seus esforços para colaborar no contexto transfronteiriço podem
ser também restringidos por poderes preventivos ou medidas de reparação
insuficientes, regimes jurídicos incoerentes e obstáculos práticos, tais como a
limitação de recursos. Por conseguinte, revela-se necessário promover uma
cooperação mais estreita entre as autoridades de controlo da proteção de dados,
a fim de que possam efetuar o intercâmbio de informações e realizar
investigações com as suas homólogas internacionais. (92)
A criação de autoridades de controlo nos
Estados-Membros, que exerçam as suas funções com total independência, constitui
um elemento essencial da proteção das pessoas singulares no que respeita ao
tratamento dos seus dados pessoais. Os Estados-Membros podem criar mais do que
uma autoridade de controlo que traduza a sua estrutura constitucional,
organizacional e administrativa. (93)
Sempre que um Estado-Membro crie várias autoridades
de controlo, deve prever, na sua legislação, mecanismos que garantam a
participação efetiva dessas autoridades de controlo no mecanismo de controlo da
coerência. Esse Estado-Membro deve, em particular,
designar a autoridade de controlo que servirá de ponto de contacto único, para
permitir a participação efetiva dessas autoridades nesse mecanismo, a fim de
assegurar uma cooperação rápida e fácil com outras autoridades de controlo, com
o Comité Europeu para a Proteção de Dados e com a Comissão. (94)
Cada autoridade de controlo deve receber os
recursos financeiros e humanos, as instalações e infraestruturas adequadas,
necessários ao desempenho eficaz das suas funções, incluindo as relacionadas com
a assistência e a cooperação mútuas com outras autoridades de controlo da
União. (95)
As condições gerais aplicáveis aos membros da
autoridade de controlo devem ser definidas por lei em cada Estado-Membro e
devem prever, em especial, que esses membros são nomeados pelo parlamento ou
pelo governo nacional, e incluir disposições sobre a qualificação e funções
desses membros. (96)
As autoridades de controlo devem controlar a
aplicação das disposições do presente regulamento e contribuir para a sua
aplicação coerente em toda a União, a fim de proteger as pessoas singulares
relativamente ao tratamento dos seus dados pessoais e facilitar a livre
circulação desses dados a nível do mercado interno. Para
esse efeito, as autoridades de controlo devem cooperar entre si e com a
Comissão. (97)
Sempre que, na União, o tratamento de dados
pessoais no contexto das atividades de um estabelecimento de um responsável
pelo tratamento ou de um subcontratante ocorre em vários Estados-Membros, é
conveniente que uma única autoridade de controlo tenha a competência para
supervisionar as atividades do responsável pelo tratamento ou do subcontratante
em toda a União e adotar as decisões correspondentes, a fim de favorecer a
aplicação coerente, assegurar segurança jurídica e reduzir os encargos administrativos
para esses responsáveis pelo tratamento e subcontratantes. (98)
A autoridade competente, que atua portanto na
qualidade de balcão único, deve ser a autoridade de controlo do Estado-Membro
no qual o responsável pelo tratamento ou o subcontratante tem o seu
estabelecimento principal. (99)
Embora o presente regulamento se aplique também às
atividades dos tribunais nacionais, a competência das autoridades de controlo
não abrange o tratamento de dados pessoais quando os tribunais atuarem no
âmbito das suas funções jurisdicionais, a fim de assegurar a independência dos
juízes no exercício das suas funções jurisdicionais. Todavia,
esta exceção deve ser estritamente limitada às atividades meramente judiciais
relativas a processos em tribunal e não ser aplicável a outras atividades a que
os juízes possam estar associados por força do direito nacional. (100)
A fim de assegurar o controlo e aplicação coerentes
do presente regulamento no conjunto da União, as autoridades de controlo devem
ter, em cada Estado-Membro, as mesmas funções e poderes efetivos, incluindo os
poderes de investigação, de intervenção juridicamente vinculativa, de
deliberação e de sanção, particularmente em caso de queixas apresentadas por
pessoas singulares, bem como o poder de intervir em processos judiciais. Os
poderes de investigação das autoridades de controlo em matéria de acesso às
instalações devem ser exercidos em conformidade com o direito da União e o
direito nacional. Tal diz especialmente respeito à obrigação de obter
previamente uma autorização judicial. (101) Cada autoridade de controlo deve receber as queixas apresentadas por
qualquer titular de dados e investigar a matéria. A
investigação decorrente de uma queixa deve ser realizada, sujeita a revisão
judicial, na medida adequada ao caso específico. A autoridade de controlo deve
informar a pessoa em causa da evolução e do resultado da queixa num prazo
razoável. Se o caso exigir maior investigação ou a coordenação com outra
autoridade de controlo, devem ser comunicadas informações intermédias ao titular
dos dados. (102)
As atividades de sensibilização das autoridades de
controlo dirigidas ao público devem incluir medidas específicas a favor dos
responsáveis pelo tratamento e subcontratantes, incluindo as micro, pequenas e médias empresas, bem como os titulares
de dados. (103)
As autoridades de controlo devem prestar-se
mutuamente assistência no desempenho das suas funções por forma a assegurar a
execução e aplicação coerentes do presente regulamento no mercado interno. (104) Cada autoridade de controlo pode participar em operações conjuntas
entre autoridades de controlo. A autoridade de
controlo requerida é obrigada a responder ao pedido dentro de um determinado
prazo. (105)
A fim de assegurar a aplicação coerente do presente
regulamento em toda a União, deve ser criado um mecanismo de controlo da
coerência para enquadrar a cooperação entre as próprias autoridades de controlo
e a Comissão. Este mecanismo deve ser aplicável,
nomeadamente, sempre que uma autoridade de controlo previr adotar uma medida em
relação a operações de tratamento que estão relacionadas com a oferta de bens
ou serviços aos titulares de dados em diversos Estados-Membros, ou com o
controlo dessas pessoas, ou suscetíveis de afetar substancialmente a livre
circulação de dados pessoais. Aplica-se igualmente sempre que uma autoridade de
controlo ou a Comissão solicitar que essa matéria seja tratada no âmbito do
mecanismo de controlo da coerência. Este mecanismo não deve prejudicar medidas
eventualmente adotadas pela Comissão no exercício das suas competências nos
termos dos Tratados. (106)
Em aplicação do mecanismo de controlo da coerência,
o Comité Europeu para a Proteção de Dados deve emitir um parecer, dentro de um
determinado prazo, se a maioria simples dos seus membros assim o decidir ou se
for para tal solicitado por qualquer autoridade de controlo ou pela Comissão. (107)
A fim de assegurar o respeito do presente
regulamento, a Comissão pode emitir um parecer sobre esta matéria, ou uma
decisão que solicite à autoridade de controlo a suspensão do seu projeto de
medida. (108)
Pode ser urgente agir, a fim de proteger os
interesses dos titulares de dados, em especial quando existir perigo de
impedimento considerável do exercício de um direito da pessoa em causa. Por
essa razão, a autoridade de controlo deve poder adotar medidas provisórias,
válidas por um período específico, aquando da aplicação do mecanismo de
controlo da coerência. (109) A aplicação deste mecanismo deve condicionar a validade jurídica e
execução da decisão correspondente por uma autoridade de controlo. Noutros casos com dimensão transfronteiriça, a assistência
mútua e as investigações conjuntas podem ser realizadas entre as autoridades de
controlo em causa, bilateral ou multilateralmente, sem para o efeito ser
necessário ativar o mecanismo de controlo da coerência. (110)
A nível da União, deve ser criado um Comité Europeu
para a Proteção de Dados. Este Comité deve substituir
o Grupo de Trabalho sobre a proteção das pessoas no que diz respeito ao
tratamento de dados pessoais instituído pelo artigo 29.º da Diretiva 95/46/CE.
Deve ser composto por um diretor da autoridade de controlo de cada
Estado-Membro e da Autoridade Europeia para a Proteção de Dados. A Comissão
deve participar nas suas atividades. O Comité Europeu para a Proteção de Dados
deve contribuir para a aplicação coerente do presente regulamento em toda a
União, nomeadamente no aconselhamento da Comissão e na promoção da cooperação
das autoridades de controlo no conjunto da União. O Comité Europeu para a
Proteção de Dados deve ser independente no exercício das suas funções. (111) Qualquer titular de dados deve ter o direito de apresentar uma queixa à
autoridade de controlo em qualquer Estado-Membro e dispor do direito de ação
judicial se considerar que os direitos que lhe confere o presente regulamento
foram violados, se a autoridade de controlo não responder à queixa ou não agir
conforme necessário para proteger os seus direitos. (112)
Qualquer organismo, organização ou associação que
vise proteger os direitos e interesses dos titulares de dados no que respeita à
proteção dos seus dados, e seja constituído ao abrigo do direito de um
Estado-Membro, deve poder apresentar uma queixa junto de uma autoridade de
controlo ou exercer o direito de ação judicial em nome das pessoas em causa, ou
apresentar, independentemente da queixa apresentada pela pessoa em causa, uma
queixa em seu próprio nome, sempre que considere ter ocorrido uma violação de
dados pessoais. (113)
Qualquer pessoa, singular ou coletiva, deve ter o
direito a ação judicial contra as decisões que lhes digam respeito emitidas por
uma autoridade de controlo. As ações contra uma autoridade de controlo devem
ser intentadas nos tribunais do Estado‑Membro no território do qual se encontra
estabelecida a autoridade de controlo. (114) A fim de reforçar a proteção judicial do titular dos dados em situações
em que a autoridade de controlo competente se encontra estabelecida noutro
Estado-Membro diferente do de residência da pessoa em causa, esta última pode
solicitar a qualquer organismo, organização ou associação que vise proteger os
direitos e interesses dos titulares de dados relativamente à proteção dos seus
dados, que intente uma ação por sua conta contra essa autoridade de controlo no
tribunal competente do outro Estado‑Membro. (115)
Quando a autoridade de controlo competente
estabelecida noutro Estado-Membro não adotar as medidas necessárias ou o fizer
de forma insuficiente em relação a uma queixa, o titular dos dados pode
solicitar à autoridade de controlo do Estado-Membro da sua residência habitual
que intente uma ação contra a autoridade de controlo em falta no tribunal
competente do outro Estado-Membro. A autoridade de
controlo requerida pode decidir, sem prejuízo de ação judicial, se é ou não
adequado responder a esse pedido. (116)
No que diz respeito a ações intentadas contra o
responsável pelo tratamento ou o subcontratante, o requerente pode optar entre
intentar a ação nos tribunais do Estado‑Membro em que está estabelecido o
responsável pelo tratamento ou o subcontratante, ou nos tribunais do
Estado-Membro de residência da pessoa em causa, salvo se o responsável pelo
tratamento for uma autoridade atuando no exercício dos seus poderes públicos. (117)
Se existirem indicações de que correm processos
paralelos em tribunais de diferentes Estados-Membros, esses tribunais têm a
obrigação de se contactarem mutuamente. Os tribunais têm a possibilidade de
suspender um processo quando um processo paralelo estiver pendente noutro
Estado-Membro. Os Estados-Membros devem assegurar que as ações judiciais, para
que sejam eficazes, permitam a adoção rápida de medidas visando a reparação ou
a prevenção de uma violação prevista no presente regulamento. (118)
Qualquer dano de que uma pessoa possa ser vítima em
virtude de um tratamento ilícito deve ser ressarcido pelo responsável pelo
tratamento, ou pelo subcontratante, que no entanto pode ser exonerado da sua
responsabilidade se provar que o facto que causou o dano não lhe é imputável,
nomeadamente se provar que o dano é imputável à pessoa em causa ou em caso de
força maior. (119) Devem ser aplicadas sanções a qualquer pessoa, de direito privado ou de
direito público, que não respeite o disposto no presente regulamento. Os Estados-Membros devem assegurar que as sanções sejam
efetivas, proporcionadas e dissuasivas, e adotar todas as medidas necessárias à
sua aplicação. (120)
A fim de reforçar e harmonizar as sanções
administrativas aplicáveis em caso de infração ao presente regulamento, cada
autoridade de controlo deve ter competência para sancionar as infrações
administrativas. O presente regulamento deve definir
essas infrações e o montante máximo das multas administrativas daí decorrentes,
que deve ser fixado, para cada caso, proporcionalmente à situação específica, e
tendo em devida conta, em particular, a natureza, a gravidade e a duração da
violação. O mecanismo de controlo da coerência pode ser utilizado para resolver
as divergências de aplicação das sanções administrativas. (121)
O tratamento de dados pessoais para fins unicamente
jornalísticos ou de expressão artística ou literária deve beneficiar de uma
derrogação a determinadas disposições do presente regulamento, desde que tal
seja necessário para conciliar o direito à proteção dos dados pessoais com o
direito à liberdade de expressão, nomeadamente o direito à liberdade de receber
e transmitir informações, tal como garantido, em especial, pelo artigo 11.º da
Carta dos Direitos Fundamentais da União Europeia. Tal
é aplicável, em especial, ao tratamento de dados pessoais no domínio do
audiovisual e em arquivos de notícias e bibliotecas de imprensa escrita. Por
conseguinte, os Estados-Membros devem adotar medidas legislativas que prevejam
as isenções e derrogações necessárias para efeitos de equilíbrio destes
direitos fundamentais. Tais isenções e derrogações devem ser adotadas pelos
Estados-Membros em relação aos princípios gerais, aos direitos do titular de
dados, ao responsável pelo tratamento e ao subcontratante, à transferência de
dados para países terceiros ou para organizações internacionais, às autoridades
de controlo independentes e à cooperação e à coerência. Tal não deve levar, no entanto,
os Estados-Membros a prever isenções às outras disposições do presente
regulamento. Para ter em conta a importância do direito à liberdade de
expressão em qualquer sociedade democrática, há que interpretar de forma ampla
as noções associadas a esta liberdade, como por exemplo o jornalismo. Por
conseguinte, para efeitos das isenções e derrogações a estabelecer por força do
presente regulamento, os Estados‑Membros deveriam qualificar como
«jornalísticas» as atividades que tenham por objeto comunicar ao público
informações, opiniões ou ideias, qualquer que seja o suporte utilizado para as
transmitir. É conveniente não limitar essa categoria unicamente às atividades
das empresas de comunicação social e incluir tanto as empresas que prosseguem
fins lucrativos como as que os não prosseguem. (122) O tratamento de dados pessoais relativos à saúde, enquanto categoria
especial de dados que merece uma proteção mais elevada, pode ser frequentemente
justificado por diversos motivos legítimos, no interesse das pessoas e da
sociedade como um todo, nomeadamente quando se trata de assegurar a
continuidade dos cuidados de saúde além-fronteiras. Por
conseguinte, o presente regulamento deve prever condições harmonizadas para o
tratamento de dados pessoais relativos à saúde, sujeito a garantias específicas
e adequadas com vista à proteção dos direitos fundamentais e dos dados pessoais
das pessoas singulares. Aqui se inclui o seu direito de acederem aos dados
pessoais sobre a sua saúde, por exemplo os dados dos registos médicos com
informações como diagnósticos, resultados de exames, avaliações dos médicos e
quaisquer intervenções ou tratamentos realizados. (123)
O tratamento de dados pessoais relativos à saúde
pode ser necessário por razões de interesse público nos domínios da saúde pública,
sem o consentimento do titular dos dados. Neste contexto, a noção de «saúde
pública» é interpretada segundo a definição prevista no Regulamento (CE) n.º
1338/2008 do Parlamento Europeu e do Conselho, de 16 de dezembro de 2008,
relativo às estatísticas da União sobre saúde pública e saúde e segurança no
trabalho, e designa todos os elementos relacionados com a saúde, a saber, o
estado de saúde, incluindo a morbilidade e a incapacidade, as determinantes
desse estado de saúde, as necessidades de cuidados de saúde, os recursos
atribuídos aos cuidados de saúde, a prestação de cuidados de saúde e o acesso
universal aos mesmos, assim como as despesas e o financiamento dos cuidados de
saúde, e as causas de mortalidade. Esses tratamentos de dados pessoais sobre a
saúde autorizados por motivos de interesse público não devem ter por resultado
serem tratados para outros fins por terceiros, nomeadamente empregadores,
companhias de seguros e entidades bancárias. (124)
Os princípios gerais de proteção das pessoas
singulares no que respeita ao tratamento de dados pessoais também devem ser
aplicáveis no domínio do emprego. Por conseguinte, a
fim de regulamentar o tratamento de dados pessoais dos trabalhadores neste
contexto, os Estados-Membros devem poder adotar, nos limites do presente
regulamento, disposições legislativas específicas relativas ao tratamento de
dados pessoais no setor laboral. (125)
O tratamento de dados pessoais para fins de
investigação histórica, estatística ou científica deve, para que seja lícito,
igualmente respeitar outras legislações relevantes, tal como a relativa aos
testes clínicos. (126) Para efeitos do presente regulamento, a noção de investigação
científica deve incluir a investigação fundamental, a investigação aplicada e a
investigação financiada pelo setor privado e, além disso, deve ter em conta o
objetivo da União mencionado no artigo 179.º, n.º 1, do Tratado sobre o
Funcionamento da União Europeia, que consiste em realizar um espaço europeu da
investigação. (127)
No que se refere aos poderes das autoridades de
controlo para obter, junto do responsável pelo tratamento ou do subcontratante,
o acesso aos dados pessoais e o acesso às suas instalações, os Estados-Membros
podem adotar por lei, nos limites do presente regulamento, regras específicas visando preservar o sigilo profissional
ou outras obrigações equivalentes, desde que tal seja necessário para conciliar
o direito à proteção dos dados pessoais e uma obrigação de sigilo profissional. (128)
O presente regulamento respeita e não afeta o
estatuto de que beneficiam, ao abrigo do direito nacional, as igrejas e
associações ou comunidades religiosas nos Estados‑Membros, reconhecido pelo
artigo 17.º do Tratado sobre o Funcionamento da União Europeia.
Consequentemente, se uma igreja de um Estado-Membro aplicar, à data da entrada
em vigor do presente regulamento, um conjunto completo de regras relacionadas
com a proteção das pessoas singulares relativamente ao tratamento de dados
pessoais, estas regras existentes devem continuar a ser aplicadas, desde que
sejam conformes com o presente regulamento. Essas igrejas e associações
religiosas devem ser obrigadas a criar uma autoridade de controlo totalmente
independente. (129) Por forma a cumprir os objetivos do presente regulamento, nomeadamente
proteger os direitos e liberdades fundamentais das pessoas singulares e, em
especial, o seu direito à proteção dos dados pessoais, e assegurar a livre
circulação desses dados na União, o poder de adotar atos em conformidade com o
artigo 290.º do Tratado sobre o Funcionamento da União Europeia deve ser
delegado na Comissão. Em especial, devem ser adotados
atos delegados em relação à licitude do tratamento; à especificação dos
critérios e condições aplicáveis ao consentimento das crianças; ao tratamento
de categorias especiais de dados; à especificação dos critérios e condições
aplicáveis aos pedidos manifestamente abusivos e às taxas pelo exercício de
direitos do titular dos dados; aos critérios e requisitos aplicáveis às
informações do titular dos dados e ao direito de acesso; ao direito a ser esquecido
e ao apagamento de dados; às medidas com base na definição de perfis; aos
critérios e requisitos em relação à responsabilidade do responsável pelo
tratamento e à proteção de dados desde a conceção e por defeito; aos
subcontratantes; aos critérios e requisitos específicos para a documentação e a
segurança do tratamento; aos critérios e requisitos para determinar uma
violação de dados pessoais e notificá-la à autoridade de controlo, e às
circunstâncias em que uma violação de dados pessoais é suscetível de prejudicar
o titular dos dados; aos critérios e condições que determinam operações de
tratamento que necessitem de uma avaliação de impacto sobre a proteção de
dados; aos critérios e requisitos para determinar o grau elevado de risco
específico que careçam de consulta prévia; à designação e atribuições do
delegado para a proteção dos dados; aos códigos de conduta; aos critérios e
requisitos aplicáveis aos mecanismos de certificação; aos critérios e
mecanismos para as transferências através de regras vinculativas para empresas;
às derrogações relativas às transferências; às sanções administrativas; ao
tratamento para fins de saúde; ao tratamento de dados no domínio laboral e ao
tratamento de dados para fins de investigação histórica, estatística e científica.
É especialmente importante que a Comissão proceda a consultas adequadas ao
longo dos seus trabalhos preparatórios, incluindo a nível de peritos. A
Comissão, aquando da preparação e elaboração dos atos delegados, deve assegurar
uma transmissão simultânea, em tempo útil e em devida forma, dos documentos
relevantes ao Parlamento Europeu e ao Conselho. (130)
Por forma a assegurar condições uniformes para a
execução do presente regulamento devem ser conferidas competências de execução
à Comissão para que defina os formulários normalizados relativos ao tratamento
de dados pessoais das crianças; procedimentos e formulários normalizados para o
exercício dos direitos dos titulares de dados; procedimentos e formulários
normalizados em relação ao direito de acesso e ao direito à portabilidade dos
dados; formulários normalizados em relação à responsabilidade do responsável
pelo tratamento em matéria de proteção de dados desde a conceção e por defeito,
e à documentação; requisitos específicos para a segurança do tratamento de
dados; procedimentos e formulários normalizados para a notificação de violações
de dados pessoais à autoridade de controlo e para a comunicação da violação de
dados pessoais ao titular dos dados; critérios e procedimentos para a avaliação
de impacto sobre a proteção de dados; formulários e procedimentos de
autorização prévia e de consulta prévia; normas técnicas e mecanismos de
certificação; o nível de proteção adequado assegurado por um país terceiro, por
um território ou por um setor de tratamento de dados nesse país terceiro, ou
uma organização internacional; divulgações não autorizadas pelo direito da
União; assistência mútua; operações conjuntas; e decisões nos termos do
mecanismo de controlo da coerência. Estas competências devem ser exercidas nos
termos do Regulamento (UE) n.º 182/2011 do Parlamento Europeu e do Conselho, de
16 de fevereiro de 2011, que estabelece as regras e os princípios gerais
relativos aos mecanismos de controlo pelos Estados-Membros do exercício das
competências de execução pela Comissão[45].
Neste contexto, a Comissão deve prever medidas específicas para as micro,
pequenas e médias empresas. (131) O procedimento de exame deve ser utilizado para a adoção de formulários
normalizados específicos relativos à obtenção do consentimento de uma criança;
procedimentos e formulários normalizados para o exercício dos direitos dos
titulares de dados; procedimentos e formulários normalizados para as
informações do titular de dados; procedimentos e formulários normalizados para
o direito de acesso e o direito à portabilidade dos dados; formulários
normalizados relativos à responsabilidade do responsável pelo tratamento em
matéria de proteção de dados desde a conceção e por defeito e de documentação;
requisitos específicos para a segurança do tratamento; procedimentos e
formulários normalizados para a notificação de violações de dados pessoais à
autoridade de controlo e para a comunicação de uma violação de dados pessoais
ao titular dos dados; critérios e procedimentos para a avaliação de impacto sobre
a proteção de dados; formulários e procedimentos para a autorização prévia e a
consulta prévia; normas técnicas e mecanismos de certificação; o nível de
proteção adequado prestado por um país terceiro, um território ou por um setor
de tratamento de dados nesse país terceiro ou por uma organização
internacional; divulgações não autorizadas pelo direito da UE; assistência
mútua; operações conjuntas; e para a adoção de decisões nos termos do mecanismo
de controlo da coerência, dado que o âmbito de aplicação destes atos é geral. (132) A Comissão deve adotar atos de execução imediatamente aplicáveis
quando, em casos devidamente fundamentados relacionados com um país terceiro,
um território ou um setor de tratamento de dados nesse país terceiro, ou uma
organização internacional, que não assegure um nível de proteção adequado, e
relacionados com matérias comunicadas pelas autoridades de controlo no quadro
do mecanismo de controlo da coerência, imperativos urgentes assim o exigirem. (133)
Dado que os objetivos do presente regulamento,
designadamente assegurar um nível equivalente de proteção das pessoas
singulares e a livre circulação de dados na União, não podem ser
suficientemente realizados pelos Estados-Membros e podem, em razão da dimensão
e dos efeitos da ação, ser melhor realizados a nível da União, esta última pode
adotar medidas, em conformidade com o princípio da subsidiariedade consagrado
no artigo 5.º do Tratado da União Europeia. Em conformidade com o princípio da
proporcionalidade consagrado no mesmo artigo, o presente regulamento não excede
o necessário para atingir esse objetivo. (134)
A Diretiva 95/46/CE é revogada pelo presente
regulamento. Todavia, as decisões da Comissão que foram adotadas e as
autorizações que foram emitidas pelas autoridades de controlo com base da
Diretiva 95/46/CE, permanecem em vigor. (135) O presente regulamento aplica-se a todas as matérias relacionadas com a
proteção dos direitos e das liberdades fundamentais em relação ao tratamento de
dados pessoais, não sujeitas a obrigações específicas, com o mesmo objetivo,
enunciadas na Diretiva 2002/58/CE, incluindo as obrigações que incumbem ao
responsável pelo tratamento e os direitos das pessoas singulares. A fim de
clarificar a relação entre o presente regulamento e a Diretiva 2002/58/CE, esta
última deve alterada em conformidade. (136)
No que diz respeito à Islândia e à Noruega, o
presente regulamento constitui um desenvolvimento das disposições do acervo de
Schengen, na medida em que é aplicável ao tratamento de dados pessoais pelas
autoridades que participam na execução desse acervo, na aceção do Acordo
celebrado entre o Conselho da União Europeia e a República da Islândia e o
Reino da Noruega, relativo à associação desses Estados à execução, à aplicação
e ao desenvolvimento do acervo de Schengen[46].
(137)
No que diz respeito à Suíça, o presente regulamento
constitui um desenvolvimento das disposições do acervo de Schengen, na medida
em que é aplicável ao tratamento de dados pessoais pelas autoridades que
participam na execução desse acervo, na aceção do Acordo entre a União
Europeia, a Comunidade Europeia e a Confederação Suíça relativo à associação da
Confederação Suíça à execução, à aplicação e ao desenvolvimento do acervo de
Schengen[47].
(138)
No que diz respeito ao Liechtenstein, o presente
regulamento constitui um desenvolvimento das disposições do acervo de Schengen,
na medida em que é aplicável ao tratamento de dados pessoais pelas autoridades
que participam na execução desse acervo, na aceção do Protocolo entre a União
Europeia, a Comunidade Europeia, a Confederação Suíça e o Principado do
Liechtenstein relativo à adesão do Principado do Liechtenstein ao Acordo entre
a União Europeia, a Comunidade Europeia e a Confederação Suíça relativo à
associação da Confederação Suíça à execução, aplicação e ao desenvolvimento do acervo
de Schengen[48]. (139) Tendo em conta que, como o Tribunal de Justiça da União Europeia
sublinhou, o direito à proteção de dados não é absoluto, mas deve ser
considerado em relação à sua função na sociedade e ser equilibrado com outros
direitos fundamentais, em conformidade com o princípio da proporcionalidade, o
presente regulamento respeita os direitos fundamentais e observa os princípios
reconhecidos na Carta dos Direitos Fundamentais da União Europeia, consagrados
nos Tratados, nomeadamente o direito ao respeito da vida privada e familiar, o
direito ao respeito do domicílio e das comunicações, o direito à proteção dos
dados pessoais, o direito à liberdade de pensamento, de consciência e de
religião, o direito à liberdade de expressão e de informação, o direito à
liberdade de empresa, o direito de ação efetiva e a um processo equitativo, bem
como o respeito da diversidade cultural, religiosa e linguística, ADOTARAM O PRESENTE REGULAMENTO: CAPÍTULO I DISPOSIÇÕES GERAIS Artigo 1.º
Objeto e objetivos 1. O presente regulamento
estabelece as regras relativas à proteção das pessoas singulares no que diz
respeito ao tratamento de dados pessoais e à livre circulação desses dados. 2. O
presente regulamento protege os direitos e as liberdades fundamentais das
pessoas singulares e, em especial, o seu direito à proteção dos dados pessoais.
3. A livre circulação de dados
pessoais na União não é restringida nem proibida por motivos relacionados com a
proteção das pessoas singulares no que respeita ao tratamento de dados
pessoais. Artigo 2.º
Âmbito de aplicação material 1. O presente regulamento
aplica-se ao tratamento de dados pessoais por meios total ou parcialmente
automatizados, bem como ao tratamento por meios não automatizados de dados
pessoais contidos num ficheiro ou a ele destinados. 2. O presente regulamento não se
aplica ao tratamento de dados pessoais: a) Efetuado no exercício de atividades não
sujeitas à aplicação do direito da União, nomeadamente no que se refere à
segurança nacional; b) Efetuado pelas instituições, órgãos e
agências da União; c) Efetuados pelos Estados-Membros no
exercício de atividades abrangidas pelo âmbito de aplicação do Capítulo 2 do
Tratado da União Europeia; d) Efetuado por uma pessoa singular sem fins
lucrativos no exercício de atividades exclusivamente pessoais ou domésticas; e) Efetuado pelas autoridades competentes
para efeitos de prevenção, investigação, deteção e repressão de infrações
penais ou de execução de sanções penais. 3. O presente regulamento
aplica-se sem prejuízo da Diretiva 2000/31/CE, em especial as disposições dos
artigos 12.º a 15.º da referida diretiva, que estabelecem as regras em matéria
de responsabilidade dos prestadores intermediários de serviços. Artigo 3.º
Âmbito de aplicação territorial 1. O presente regulamento
aplica-se ao tratamento de dados pessoais efetuado no contexto das atividades
de um estabelecimento de um responsável pelo tratamento ou de um subcontratante
situado no território da União. 2. O presente regulamento
aplica-se ao tratamento de dados pessoais de titulares de dados residentes no
território da União, por um responsável pelo tratamento não estabelecido na
União, cujas atividade de tratamento estejam relacionadas com: a) A oferta de bens ou serviços a esses
titulares de dados na União; ou b) O controlo do seu
comportamento. 3. O presente regulamento
aplica-se ao tratamento de dados pessoais por um responsável pelo tratamento
não estabelecido na União, mas num lugar em que se aplique o direito nacional
de um Estado-Membro por força do direito internacional público. Artigo 4.º
Definições Para efeitos do presente regulamento,
entende-se por: (1)
«Titular de dados», uma pessoa singular
identificada ou identificável, direta ou indiretamente, por meios com razoável
probabilidade de serem utilizados pelo responsável pelo tratamento ou por
qualquer outra pessoa singular ou coletiva, nomeadamente por referência a um
número de identificação, a dados de localização, a um identificador em linha ou
a um ou mais elementos específicos próprios à sua identidade física,
fisiológica, genética, psíquica, económica, cultural ou social; (2)
«Dados pessoais», qualquer informação relativa a um
titular de dados; (3)
«Tratamento de dados pessoais»,
qualquer operação ou conjunto de operações efetuadas sobre dados pessoais, com
ou sem meios automatizados, tais como a recolha, o registo, a organização, a
estruturação, a conservação, a adaptação ou a alteração, a recuperação, a
consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra
forma de disponibilização, a comparação ou interconexão, o apagamento ou a
destruição; (4)
«Ficheiro», qualquer conjunto
estruturado de dados pessoais, acessível segundo critérios específicos, quer
seja centralizado, descentralizado ou repartido de modo funcional ou
geográfico; (5)
«Responsável pelo
tratamento», a pessoa singular ou coletiva, a autoridade
pública, a agência ou qualquer outro órgão que, por si ou em conjunto,
determina as finalidades, as condições e os meios de tratamento de dados
pessoais; sempre que as finalidades, as condições e os meios de tratamento
sejam determinados pelo direito da União ou pela legislação dos Estados
Membros, o responsável pelo tratamento ou os critérios específicos aplicáveis à
sua nomeação podem ser indicados pelo direito da União ou pela legislação de um
Estado-Membro; (6)
«Subcontratante», a pessoa singular ou coletiva, a autoridade pública, serviço ou
qualquer outro organismo que trata os dados pessoais por conta do responsável
pelo tratamento; (7)
«Destinatário», a pessoa
singular ou coletiva, a autoridade pública, serviço ou qualquer outro organismo
que receba comunicações de dados pessoais; (8)
«Consentimento do titular de
dados», qualquer manifestação de vontade, livre, específica, informada e
explícita, pela qual a pessoa em causa aceita, mediante uma declaração ou um
ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam
objeto de tratamento; (9)
«Violação de dados
pessoais», uma violação da segurança que provoca, de modo
acidental ou ilícito, a destruição, a perda, a alteração, a divulgação, ou o
acesso, não autorizados, de dados pessoais transmitidos, conservados ou
tratados de outro modo; (10)
«Dados genéticos», todos os
dados, independentemente do tipo, relacionados com as características de uma
pessoa singular que são hereditárias ou adquiridas numa fase precoce do seu
desenvolvimento pré-natal; (11)
«Dados biométricos», quaisquer
dados relativos às características físicas, fisiológicas ou comportamentais de
uma pessoa singular que permitam a sua identificação única, nomeadamente
imagens faciais ou dados dactiloscópicos; (12)
«Dados relativos à saúde»,
quaisquer informações relacionadas com a saúde física ou psíquica de uma pessoa
singular, ou com a prestação de serviços de saúde a essa pessoa; (13)
«Estabelecimento principal», no
que se refere ao responsável pelo tratamento, o local do seu estabelecimento na
União onde são adotadas as principais decisões quanto às finalidades, condições
e meios para o tratamento de dados pessoais; se não forem adotadas quaisquer
decisões relativas às finalidades, condições e meios na União, o
estabelecimento principal é o local onde são exercidas as atividades de
tratamento principais no contexto das atividades de um estabelecimento de um
responsável pelo tratamento na União. No que se refere ao subcontratante, o «estabelecimento
principal» é o local da sua administração central na União; (14)
«Representante», a pessoa
singular ou coletiva estabelecida na União, expressamente designada pelo
responsável pelo tratamento, que atua em nome deste último e a quem se pode
dirigir qualquer autoridade de controlo e outras entidades na União, no
contexto das obrigações do responsável pelo tratamento nos termos do presente
regulamento; (15)
«Empresa», qualquer entidade
que, independentemente da sua forma jurídica, exerce uma atividade económica,
incluindo, nomeadamente, as pessoas singulares e coletivas, as sociedades ou
associações que exercem regularmente uma atividade económica; (16)
«Grupo de empresas», um grupo
composto pela empresa que exerce o controlo e pelas empresas controladas; (17)
«Regras vinculativas para empresas», regras
internas de proteção de dados pessoais que aplica um responsável pelo
tratamento ou um subcontratante estabelecido no território de um Estado-Membro
da União para as transferências ou um conjunto de transferências de dados
pessoais para um responsável ou subcontratante num ou mais países terceiros,
dentro de um grupo de empresas; (18)
«Criança», qualquer pessoa com
menos de 18 anos; (19)
«Autoridade de controlo», autoridade pública
instituída por um Estado-Membro em conformidade com o artigo 46.º. CAPÍTULO II
PRINCÍPIOS Artigo 5.º
Princípios relativos ao tratamento de dados pessoais Os dados pessoais devem ser: a) Objeto de um tratamento lícito, leal e
transparente em relação ao titular dos dados; b) Recolhidos para
finalidades determinadas, explícitas e legítimas e não serem posteriormente
tratados de forma incompatível com essas finalidades; c) Adequados,
pertinentes e limitados ao mínimo necessário relativamente às finalidades para
que são tratados; só devem ser tratados se e desde que as finalidades não
puderem ser alcançadas através do tratamento de informações que não envolvam
dados pessoais; d) Exatos e atualizados;
devem ser adotadas todas as medidas razoáveis para que os dados inexatos, tendo
em conta as finalidades para que são tratados, sejam apagados ou retificados
sem demora; e) Conservados de forma
a permitir a identificação dos titulares de dados apenas durante o período
necessário para a prossecução das finalidades para que são tratados; os dados
pessoais podem ser conservados durante períodos mais longos, desde que sejam
tratados exclusivamente para fins de investigação histórica, estatística ou
científica, em conformidade com as regras e condições do artigo 83.º, e se for
efetuada uma revisão periódica para avaliar a necessidade de os conservar; f) Tratados sob a autoridade e
responsabilidade do responsável pelo tratamento, que deve assegurar e
demonstrar a conformidade de cada operação de tratamento com as disposições do
presente regulamento. Artigo 6.º
Licitude do tratamento 1. O tratamento de dados pessoais só é
lícito se e na medida em que se verifique pelo menos uma das seguintes
situações: a) O titular dos dados tiver dado o seu
consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades
específicas; b) O tratamento for
necessário para a execução de um contrato no qual o titular
dos dados é parte ou para diligências pré‑contratuais
a pedido do titular dos dados; c) O tratamento for
necessário para o respeito de uma obrigação jurídica a que o responsável pelo
tratamento esteja sujeito; d) O tratamento for
necessário para a proteção de interesses vitais do titular
dos dados; e) O tratamento for
necessário ao exercício de funções de interesse público ou ao exercício da
autoridade pública de que está investido o responsável pelo tratamento; f) O tratamento for necessário para
prosseguir interesses legítimos do responsável pelo tratamento, desde que não
prevaleçam os interesses relacionados com os direitos e liberdades fundamentais
do titular dos dados que exijam uma proteção de dados pessoais, em especial se
a pessoa em causa for uma criança. Tal não se aplica ao tratamento de dados
efetuado por autoridades públicas no exercício das suas funções. 2. O tratamento de dados
pessoais necessário para fins de investigação histórica, estatística ou
científica é lícito, sob reserva das condições e garantias previstas no artigo
83.º. 3. O fundamento jurídico do
tratamento referido no n.º 1, alíneas c) e e), deve ser previsto: a) Pelo direito da União; ou b) Pela legislação do Estado-Membro à qual o
responsável pelo tratamento está sujeito. A legislação do Estado-Membro deve respeitar um
objetivo de interesse público ou ser necessária para proteger os direitos e
liberdades das pessoas, ser conforme com o conteúdo essencial do direito à
proteção de dados pessoais e ser proporcional ao objetivo legítimo prosseguido. 4. Sempre que a finalidade do
tratamento ulterior não for compatível com aquela para a qual os dados pessoais
foram recolhidos, o tratamento deve ter como fundamento jurídico pelo menos um
dos motivos referidos no n.º 1, alíneas a) a e). Tal é aplicável, em especial,
a qualquer alteração das cláusulas e condições gerais de um contrato. 5. São
atribuídas competências à Comissão para adotar atos delegados em conformidade
com o artigo 86.º, a fim de melhor especificar as condições previstas no n.º 1,
alínea f), para os vários setores e situações em matéria de tratamento de
dados, incluindo quanto ao tratamento de dados pessoais relativos a crianças. Artigo 7.º
Condições para o consentimento 1. Incumbe ao responsável pelo
tratamento o ónus de provar o consentimento do titular dos dados ao tratamento
dos seus dados pessoais para finalidades específicas. 2. Se o
consentimento do titular dos dados for dado no contexto de uma declaração escrita que diga também respeito
a outra matéria, a exigência do consentimento deve ser apresentada de uma forma
que a distinga dessa outra matéria. 3. O titular dos dados tem o direito de retirar o
seu consentimento a qualquer momento. A retirada do consentimento não
compromete a licitude do tratamento efetuado com base no consentimento
previamente dado. 4. O
consentimento não constitui um fundamento jurídico válido para o tratamento se
existir um desequilíbrio significativo entre a posição do
titular dos dados e o responsável pelo tratamento. Artigo 8.º
Tratamento de dados pessoais relativos às crianças 1. Para efeitos do presente
regulamento, no que respeita à oferta de serviços da sociedade da informação às
crianças, o tratamento de dados pessoais de uma criança com idade inferior a 13
anos só é lícito se, e na medida em que, para tal o consentimento seja dado ou
autorizado pelo progenitor ou pelo titular da guarda dessa criança. O responsável pelo tratamento deve envidar todos os
esforços razoáveis para obter um consentimento verificável, tendo em conta os
meios técnicos disponíveis. 2. O disposto no n.º 1 não
prejudica o direito contratual geral dos Estados-Membros, como as disposições
que regulam a validade, a formação ou os efeitos de um contrato em relação a
uma criança. 3. São atribuídas competências à
Comissão para adotar atos delegados em conformidade com o artigo 86.º, a fim
especificar mais concretamente os critérios e requisitos aplicáveis à obtenção
do consentimento verificável referido no n.º 1. Ao
fazê-lo, a Comissão deve prever medidas específicas para as micro, pequenas e
médias empresas. 4. A
Comissão pode estabelecer formulários normalizados para os métodos específicos
de obtenção do consentimento verificável referido no n.º 1. Os atos de execução
correspondentes são adotados em conformidade com o procedimento de exame
referido no artigo 87.º, n.º 2. Artigo 9.º
Tratamento de categorias especiais de dados pessoais 1. É proibido o tratamento de
dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as
convicções religiosas ou filosóficas, a filiação sindical, bem como o
tratamento de dados genéticos ou dados relativos à saúde ou à orientação sexual
ou a condenações penais ou medidas de segurança conexas. 2. O n.º 1 não se aplica quando: a) O titular dos
dados tiver dado o seu consentimento para o tratamento desses dados pessoais,
sem prejuízo do disposto nos artigos 7.º e 8.º, exceto se o direito da União ou
a legislação de um Estado-Membro previr que a proibição a que se refere o n.º 1
não pode ser afastada pelo titular dos dados; ou b) O tratamento for necessário para o
cumprimento de obrigações e o exercício de direitos específicos do responsável
pelo tratamento em matéria de direito laboral, na medida em que seja permitido
pelo direito da União ou pela legislação de um Estado-Membro,
mediante garantias adequadas; ou c) O tratamento for necessário para proteger
interesses vitais do titular dos dados ou de outra pessoa, se o titular dos dados estiver física ou legalmente incapacitado de dar o seu
consentimento; ou d) O tratamento for efetuado, no âmbito de
atividades lícitas e mediante garantias adequadas, por uma fundação, associação
ou qualquer outro organismo sem fins lucrativos e que prossiga fins políticos,
filosóficos, religiosos ou sindicais, desde que aquele tratamento se refira
apenas aos membros ou antigos membros desse organismo ou a pessoas que com ele
mantenham contactos regulares relacionados com os seus objetivos, e que os
dados não sejam divulgados a terceiros sem o consentimento dos titulares de
dados; ou e) O tratamento se referir a dados pessoais
manifestamente tornados públicos pelo seu titular; ou f) O tratamento for necessário à
declaração, ao exercício ou à defesa de um direito num processo judicial; ou g) O tratamento for necessário ao exercício
de uma missão de interesse público, com base no direito da União ou na
legislação de um Estado-Membro, que deve prever medidas adequadas à proteção
dos interesses legítimos do titular dos dados; ou h) O tratamento de dados relativos à saúde
for necessário para fins no domínio da saúde, sob reserva das condições e
garantias previstas no artigo 81.º; ou i) O tratamento for necessário para fins de
investigação histórica, estatística ou científica, sob reserva das condições e
garantias previstas no artigo 83.º; ou j) O tratamento de dados relacionados com
condenações penais ou outras medidas de segurança conexas for efetuado sob o
controlo de uma autoridade, ou se o tratamento for necessário ao respeito de
uma obrigação jurídica ou regulamentar à qual o responsável pelo tratamento
está sujeito ou à execução de uma missão efetuada por motivos importantes de
interesse público, na medida em que esse tratamento seja autorizado pelo direito da União ou pela legislação de um Estado-Membro
que preveja garantias adequadas. O registo completo das condenações penais só
pode ser conservado sob o controlo das autoridades públicas. 3. São
atribuídas competências à Comissão para adotar atos delegados em conformidade
com artigo 86.º, a fim de a especificar mais concretamente os critérios, as
condições e garantias adequados aplicáveis ao tratamento das categorias de
dados especiais a que se refere o n.º 1, bem como as derrogações previstas no
n.º 2. Artigo 10.º
Tratamento que não permite a identificação Se os dados tratados por um responsável pelo
tratamento não lhe permitirem identificar uma pessoa singular, esse responsável
não é obrigado a obter informações adicionais para identificar o titular dos
dados com o único objetivo de respeitar uma disposição do presente regulamento. CAPÍTULO III
DIREITOS DO TITULAR DOS DADOS SECÇÃO 1
TRANSPARÊNCIA
E MODALIDADES Artigo 11.º
Transparência das informações e das comunicações 1. O responsável pelo tratamento
deve aplicar regras transparentes e de fácil acesso relativamente ao tratamento
de dados pessoais e ao exercício dos direitos pelos titulares de dados. 2. O responsável pelo tratamento
deve fornecer quaisquer informações e comunicações relativas ao tratamento de
dados pessoais ao titular dos dados de forma inteligível, numa linguagem clara
e simples, adaptada à pessoa em causa, em especial quando as informações são
dirigidas especificamente a uma criança. Artigo 12.º
Procedimentos e mecanismos previstos para o exercício
dos direitos dos titulares de dados 1. O responsável pelo tratamento
deve estabelecer os procedimentos de informação previstos no artigo 14.º, e os
procedimentos de exercício dos direitos dos titulares de dados referidos no
artigo 13.º, e nos artigos 15.º a 19.º. Deve prever,
nomeadamente, mecanismos destinados a facilitar os pedidos sobre as medidas
previstas no artigo 13.º, e nos artigos 15.º a 19.º. Sempre que os dados
pessoais forem objeto de tratamento automatizado, o responsável pelo tratamento
deve igualmente prever meios para a apresentação de pedidos por via eletrónica. 2. O responsável pelo tratamento
deve informar o titular dos dados sem demora e, o
mais tardar, no prazo de um mês a contar da data
de receção do pedido, da eventual adoção de uma medida nos termos do
artigo 13.º, e dos artigos 15.º a 19.º, bem como fornecer as informações
solicitadas. Este prazo pode ser prorrogado mais um
mês, caso vários titulares de dados exerçam os seus direitos e a sua cooperação
seja necessária, numa medida razoável, para impedir um esforço injustificado e
desproporcionado por parte do responsável pelo tratamento. As informações devem
revestir a forma escrita. Se o titular dos dados apresentar o pedido por via eletrónica, a informação deve ser prestada
por meios eletrónicos, salvo se solicitado de outra forma pela pessoa em causa.
3. Se o responsável pelo
tratamento recusar adotar as medidas solicitadas pelo titular dos dados, deve
informar a pessoa em causa das razões da recusa, das possibilidades de
apresentar uma queixa à autoridade de controlo e de interpor uma ação judicial.
4. As informações e as medidas adotadas
relativamente a pedidos referidos no n.º 1 são gratuitas. Se os pedidos forem manifestamente abusivos, particularmente
devido ao seu caráter repetitivo, o responsável pelo tratamento pode exigir o
pagamento de uma taxa para fornecer informações ou adotar as medidas
solicitadas, podendo também abster‑se de adotar as medidas solicitadas. Nesse
caso, incumbe ao responsável pelo tratamento o ónus de provar o caráter
manifestamente abusivo do pedido. 5. São atribuídas competências à
Comissão para adotar atos delegados em conformidade com o artigo 86.º, a fim de
especificar mais concretamente os critérios e as condições aplicáveis aos
pedidos manifestamente abusivos e às taxas referidas no n.º 4. 6. A
Comissão pode elaborar formulários e procedimentos normalizados para a
comunicação referida no n.º 2, incluindo sob forma eletrónica. Ao fazê‑lo, a
Comissão deve adotar as medidas adequadas em relação às micro, pequenas e
médias empresas. Os atos de execução correspondentes são adotados em
conformidade com o procedimento de exame referido no artigo 87.º, n.º 2. Artigo 13.º
Direitos relativos aos destinatários O responsável pelo tratamento comunica a cada
destinatário a quem tenham sido transmitidos os dados qualquer retificação ou
apagamento efetuado em conformidade com os artigos 16.º e 17.º, salvo se tal comunicação se revelar impossível ou implicar um
esforço desproporcionado. SECÇÃO
2
INFORMAÇÃO
E ACESSO AOS DADOS Artigo 14.º
Informação do titular dos dados 1. Sempre que os dados pessoais
de uma pessoa forem recolhidos, o responsável pelo tratamento deve fornecer ao
titular dos dados pelo menos as seguintes informações: (a) Identidade e contactos do responsável
pelo tratamento e, se for caso disso, do representante desse responsável e do
delegado para a proteção de dados; (b) Finalidades do
tratamento a que os dados pessoais se destinam, incluindo as cláusulas e
condições gerais do contrato, se o tratamento se basear no artigo 6.º, n.º1,
alínea b), bem como os interesses legítimos prosseguidos pelo responsável pelo
tratamento, se o tratamento se basear no artigo 6.º, n.º 1, alínea f); (c) Período de conservação dos dados pessoais;
(d) Existência do direito
de solicitar ao responsável pelo tratamento o acesso aos dados pessoais que lhe
digam respeito, e a sua retificação ou apagamento, ou de se opor ao seu
tratamento; (e) Direito de apresentar
uma queixa à autoridade de controlo e de obter os contactos desta autoridade; (f) Destinatários ou
categorias de destinatários dos dados pessoais; (g) Se for caso disso, a
intenção de o responsável pelo tratamento transferir os dados para um país
terceiro ou uma organização internacional, e o nível de proteção assegurado por
esse país terceiro ou organização internacional, em referência a uma decisão
sobre o nível de proteção adequado adotada pela Comissão; (h) Quaisquer outras informações necessárias
para assegurar à pessoa em causa um tratamento leal, tendo em conta as
circunstâncias específicas em que os dados pessoais são recolhidos. 2. Sempre que os dados pessoais
tiverem sido recolhidos junto do titular de dados, o responsável pelo
tratamento deve informá-lo, para além da informação referida no n.º 1, do
caráter obrigatório ou facultativo de fornecer os dados pessoais, bem como das
eventuais consequências de não fornecer esses dados. 3. Sempre
que os dados não tiverem sido recolhidos junto do titular de dados, o
responsável pelo tratamento deve informá-lo, para além da informação referida
no n.º 1, da origem dos dados pessoais. 4. O responsável pelo tratamento
deve comunicar as informações referidas nos n.os 1, 2 e 3: (a) No momento da recolha dos dados pessoais
junto do titular de dados; ou (b) Sempre que os dados
não forem recolhidos junto do titular de dados, no momento do seu registo ou num prazo razoável após a
recolha dos dados, tendo em conta as circunstâncias específicas em que foram
recolhidos ou de outra forma tratados ou, se estiver prevista a divulgação dos
dados a outro destinatário, o mais tardar aquando da primeira divulgação desses
dados. 5. Os n.os 1 a 4 não se
aplicam sempre que: (a) O titular de dados já tiver conhecimento
das informações referidas nos n.os 1, 2 e 3; ou (b) Os dados não forem
recolhidos junto do titular de dados e a comunicação dessas informações se revelar impossível ou
implicar um esforço desproporcionado; ou (c) Os dados não forem
recolhidos junto do titular de dados e o registo ou a divulgação dos dados for expressamente
prevista por lei; (d) Os dados não foram
recolhidos junto do titular de dados e a comunicação
dessas informações prejudicar os direitos e liberdades de outras pessoas, tal
como definidos no direito da União ou na legislação dos Estados‑Membros, em
conformidade com o artigo 21.º. 6. No caso referido no n.º 5,
alínea b), o responsável pelo tratamento deve adotar as medidas adequadas para
proteger os interesses legítimos do titular dos dados. 7. São
atribuídas competências à Comissão para adotar atos delegados em conformidade
com o artigo 86.º, a fim de melhor especificar os critérios aplicáveis às
categorias de destinatários referidos no n.º 1, alínea f), os requisitos para
informar sobre as possibilidades de acesso referidas no n.º 1, alínea g), os
critérios aplicáveis à obtenção de informações suplementares necessárias
referidas no n.º 1 alínea h), para domínios e situações específicos, bem como
as condições e garantias adequadas para as exceções previstas no n.º 5, alínea
b). Ao fazê‑lo, a Comissão deve adotar as medidas adequadas em relação às
micro, pequenas e médias empresas. 8. A
Comissão pode prever formulários normalizados para a comunicação das
informações referidas nos n.os 1 a 3, tendo em
consideração as características e necessidades específicas dos diversos setores
e situações de tratamento de dados, se for caso disso. Os atos de execução
correspondentes são adotados em conformidade com o procedimento de exame
referido no artigo 87.º, n.º 2. Artigo 15.º
Direito de acesso do titular dos dados 1. O titular dos dados pode
obter do responsável pelo tratamento, a qualquer momento e mediante pedido,
confirmação de que os dados pessoais que lhe digam respeito são ou não objeto
de tratamento. Sempre que esses dados forem objeto de
tratamento, o responsável pelo tratamento deve fornecer as seguintes
informações: (a) Finalidades do tratamento; (b) Categorias de dados pessoais envolvidos; (c) Destinatários ou
categorias de destinatários a quem os dados pessoais serão ou foram divulgados,
em especial quando os destinatários estão estabelecidos em países terceiros; (d) Período de
conservação dos dados pessoais; (e) Existência do direito
de solicitar ao responsável pelo tratamento a retificação ou o apagamento de
dados pessoais que lhe digam respeito, ou de se opor ao tratamento desses dados
pessoais; (f) Direito de
apresentar uma queixa à autoridade de controlo e de obter os contactos desta
autoridade; (g) Comunicação dos dados
pessoais em fase de tratamento e quaisquer informações disponíveis sobre a
origem desses dados; (h) Importância e consequências previstas de tal
tratamento, pelo menos no caso das medidas referidas no artigo 20.º. 2. O titular dos dados tem o
direito de obter do responsável pelo tratamento a comunicação dos dados pessoais
em fase de tratamento. Sempre que o titular dos
direitos apresentar o pedido por via eletrónica, a informação deve ser
fornecida por meios eletrónicos, salvo se solicitado de outra forma pela pessoa
em causa. 3. São atribuídas competências à
Comissão para adotar atos delegados em conformidade
com o artigo 86.º, a fim especificar mais concretamente os critérios e as
condições aplicáveis à comunicação ao titular de dados do conteúdo dos dados pessoais referidos no n.º 1, alínea
g). 4. A
Comissão pode elaborar formulários e procedimentos normalizados para o pedido e
a concessão de acesso às informações referidas no n.º 1, incluindo para
verificação da identidade do titular dos dados e
a comunicação dos dados pessoais à pessoa em causa, tendo em consideração
especificidades e necessidades de diversos setores e situações de tratamento de
dados. Os atos de execução correspondentes são adotados em conformidade com o
procedimento de exame referido no artigo 87.º, n.º 2. SECÇÃO 3 RETIFICAÇÃO E APAGAMENTO Artigo 16.º
Direito de retificação O titular dos dados tem o direito de obter do
responsável pelo tratamento a retificação dos dados pessoais inexatos que lhe
digam respeito. O titular dos dados tem o direito de obter,
nomeadamente através de uma declaração retificativa adicional, que os seus
dados pessoais incompletos sejam completados. Artigo 17.º
Direito a ser esquecido e ao apagamento 1.
O titular dos dados tem o direito de obter do
responsável pelo tratamento o apagamento de dados pessoais que lhe digam respeito
e a cessação da comunicação ulterior desses dados, especialmente em relação a
dados pessoais que tenham sido disponibilizados pelo titular dos dados quando
ainda era uma criança, sempre que se aplique um dos motivos seguintes: (a) Os dados deixaram de ser necessários em
relação à finalidade que motivou a sua recolha ou tratamento; (b) O titular dos dados retira o consentimento
sobre o qual é baseado o tratamento nos termos do artigo 6.º, n.º 1, alínea a),
ou se o período de conservação consentido tiver terminado e não existir outro
fundamento jurídico para o tratamento dos dados; (c) O titular dos dados opõe‑se ao tratamento de
dados pessoais nos termos do artigo 19.º; (d) O tratamento dos dados não respeita o
presente regulamento por outros motivos. 2. Sempre que o responsável pelo
tratamento referido no n.º 1 tiver tornado públicos os dados pessoais, deve adotar
todas as medidas razoáveis, incluindo
de caráter técnico, em relação aos dados publicados sob a
sua responsabilidade, tendo em vista informar os terceiros
que tratam esses dados que um titular de dados lhe solicita o apagamento de
quaisquer ligações para esses dados pessoais, cópias ou reproduções desses
dados. Se o responsável pelo tratamento tiver
autorizado um terceiro a publicar dados pessoais, o
primeiro é considerado responsável por essa publicação. 3. O responsável pelo tratamento
deve efetuar o apagamento sem demora, salvo quando a conservação dos dados seja
necessária: (a) Ao exercício do
direito de liberdade de expressão nos termos do artigo 80.º; (b) Por motivos de interesse público no
domínio da saúde pública, nos termos do artigo 81.º; (c) Para fins de
investigação histórica, estatística ou científica, nos termos do artigo 83.º; (d) Para
o cumprimento de uma obrigação jurídica de conservação de dados pessoais
prevista pelo direito da União ou pela legislação de um Estado-Membro à qual o
responsável pelo tratamento esteja sujeito; a legislação do Estado‑Membro deve
responder a um objetivo de interesse público, respeitar o conteúdo essencial do
direito à proteção de dados pessoais e ser proporcional ao objetivo legítimo
prosseguido; (e) Nos casos referidos
no n.º 4. 4. Em vez de proceder ao
apagamento, o responsável pelo tratamento deve restringir o tratamento de dados
pessoais sempre que: (a) A sua exatidão for contestada pelo
titular dos dados, durante um período que permita ao responsável pelo
tratamento verificar a exatidão dos dados; (b) Já não precisar dos dados pessoais para o
desempenho das suas funções, mas esses dados tenham de ser conservados para
efeitos de prova; (c) O tratamento for
ilícito e o titular dos dados se opuser ao seu apagamento e solicitar, em
contrapartida, a limitação da sua utilização; (d) O titular dos dados solicitar a transmissão dos
dados pessoais para outro sistema de tratamento automatizado, nos termos do
artigo 18.º, n.º 2. 5. À exceção da sua conservação,
os dados pessoais referidos no n.º 4 só podem ser objeto de tratamento para
efeitos de prova, ou com o consentimento do titular dos dados, ou para proteção
dos direitos de outra pessoa, singular ou coletiva, ou por um motivo de
interesse público. 6. Sempre
que o tratamento de dados pessoais for limitado nos termos do n.º 4, o
responsável pelo tratamento informa o titular dos dados antes de anular a
limitação ao tratamento. 7. O responsável pelo tratamento
deve aplicar mecanismos para assegurar o respeito dos prazos estipulados para o
apagamento dos dados pessoais e/ou para a fiscalização periódica da necessidade
de conservar esses dados. 8. Se o apagamento for efetuado,
o responsável pelo tratamento não pode realizar qualquer outro tratamento dos
dados pessoais em causa. 9. São
atribuídas competências à Comissão para adotar atos delegados em conformidade
com o artigo 86.º, a fim de especificar mais concretamente: (a) Os critérios e requisitos para a
aplicação do n.º 1 em setores e situações específicos que envolvam o tratamento
de dados; (b) As condições para o
apagamento de ligações para esses dados, cópias ou reproduções destes dados
existentes em serviços de comunicação acessíveis ao público, tal como previsto
no n.º 2; (c) Os critérios e
condições aplicáveis à limitação do tratamento de dados pessoais referidos n.º
4. Artigo 18.º
Direito de portabilidade dos dados 1. Sempre que os dados pessoais
forem objeto de tratamento eletrónico num formato estruturado e de utilização
corrente, o titular dos dados tem o direito de obter do responsável pelo
tratamento uma cópia dos dados sujeitos a tratamento sob um formato eletrónico
e estruturado de utilização corrente e que permita utilização posterior pela
pessoa em causa. 2. Se o titular dos dados tiver
fornecido dados pessoais e o tratamento tiver por base o consentimento ou um
contrato, a pessoa em causa tem o direito de transmitir esses dados pessoais e
quaisquer outras informações que forneceu e que são conservadas por um sistema
de tratamento automatizado, para outro sistema, sob um formato eletrónico de
uso corrente, sem que o responsável pelo tratamento a quem os dados são
retirados o possa impedir. 3. A Comissão pode especificar o
formato eletrónico referido no n.º 1, bem como estabelecer normas técnicas,
modalidades e procedimentos para a transmissão de dados pessoais, nos termos do
n.º 2. Os atos de execução correspondentes são
adotados em conformidade com o procedimento de exame referido no artigo 87.º,
n.º 2. SECÇÃO 4 DIREITO
DE OPOSIÇÃO E DEFINIÇÃO DE PERFIS Artigo 19.º
Direito de oposição 1. O titular dos dados tem o
direito de se opor em qualquer momento, por motivos relacionados com a sua situação
particular, ao tratamento dos seus dados pessoais com base no artigo 6.º, n.º
1, alíneas d), e) e f), salvo se o responsável pelo tratamento apresentar
razões imperiosas e legítimas que prevaleçam sobre os interesses ou direitos e
liberdades fundamentais da pessoa em causa. 2. Sempre que os dados pessoais
são tratados para efeitos de comercialização direta, o titular dos dados tem o
direito de se opor ao tratamento dos seus dados pessoais tendo em vista essa
comercialização. Este direito deve ser explicitamente comunicado ao titular dos
dados de forma compreensível e deve ser claramente distinguido de outras
informações. 3. Se for mantida a oposição nos
termos dos n.os 1 e 2, o responsável pelo tratamento deixa de utilizar ou tratar de
outra forma os dados pessoais em causa. Artigo 20.º
Medidas baseadas na definição de perfis 1. Qualquer pessoa singular tem
o direito de não ficar sujeita a uma medida que produza efeitos na sua esfera
jurídica ou que a afete de modo significativo, tomada exclusivamente com base
num tratamento automatizado de dados destinado a avaliar determinados aspetos
da sua personalidade, ou a analisar ou prever, em especial, a sua capacidade
profissional, situação financeira, localização, saúde, preferências pessoais,
fiabilidade ou comportamento. 2.
Sob reserva das outras disposições do presente regulamento, uma pessoa só pode ser
sujeita a uma medida do tipo referido no n.º 1, se o tratamento: (a) For efetuado no âmbito da celebração ou
da execução de um contrato, sempre que o pedido de celebração ou execução do
contrato, apresentado pelo titular dos dados, tiver sido satisfeito ou se
tiverem sido apresentadas medidas adequadas para assegurar a proteção dos
interesses legítimos da pessoa em causa, designadamente o direito de obter intervenção
humana; ou (b) For expressamente
autorizada por força da legislação da União ou de um Estado-Membro que
estabeleça também medidas adequadas que garantam a defesa dos legítimos
interesses da pessoa em causa; ou (c) Tiver por base o
consentimento do titular dos dados, sob reserva das condições estabelecidas no artigo 7.º, e de garantias
adequadas. 3.
O tratamento automatizado dos dados pessoais
destinado a avaliar determinados aspetos pessoais próprios a uma pessoa
singular não se deve basear exclusivamente nas categorias especiais de dados
pessoais referidas no artigo 9.º. 5. Nos casos previstos no n.º 2,
as informações a fornecer pelo responsável pelo tratamento nos termos do artigo
14.º devem incluir informações quanto à existência de tratamento para uma
medida como a referida no n.º 1, e os efeitos previstos desse tratamento sobre
o titular dos dados. 6. São atribuídas competências à
Comissão para adotar atos delegados nos termos do artigo 86.º, a fim de
especificar mais concretamente os critérios e as condições aplicáveis a medidas
adequadas que garantam a defesa dos legítimos interesses do titular dos dados,
em conformidade com o n.º 2. SECÇÃO 5
LIMITAÇÕES Artigo 21.º
Limitações 1. A legislação da União ou dos
Estados-Membros pode limitar, mediante disposições legislativas, o alcance das
obrigações e dos direitos previstos no artigo 5.º, alíneas a) a e), nos artigos
11.º a 20.º, e no artigo 32.º, desde que tal limitação constitua uma medida
necessária e proporcionada numa sociedade democrática para assegurar: (a) A segurança pública; (b) A prevenção, investigação, deteção e
repressão de infrações penais; (c) Outros interesses
públicos da União ou de um Estado-Membro, nomeadamente um interesse económico
ou financeiro importante da União ou de um Estado-Membro, incluindo nos
domínios monetário, orçamental ou fiscal, bem como a proteção da estabilidade e
integridade dos mercados; (d) A prevenção, investigação, deteção e
repressão de violações da deontologia de profissões regulamentadas; (e) Uma missão de controlo, de inspeção ou de
regulamentação associada, ainda que ocasionalmente, ao exercício da autoridade
pública, nos casos referidos nas alíneas a), b), c) e d); (f) A proteção do titular dos dados ou dos
direitos e liberdades de outrem. 2. Qualquer medida legislativa
referida no n.º 1 deve, nomeadamente, incluir disposições explícitas relativas,
pelo menos, às finalidades do tratamento e às modalidades de identificação do
responsável pelo tratamento. CAPÍTULO IV RESPONSÁVEL PELO
TRATAMENTO E SUBCONTRATANTE SECÇÃO
1
OBRIGAÇÕES
GERAIS Artigo 22.º
Obrigações do responsável pelo tratamento 1. O responsável pelo tratamento
adota regras internas e executa as medidas adequadas para assegurar, e
conseguir comprovar, que o tratamento dos dados pessoais é realizado em
conformidade com o presente regulamento. 2. As
medidas referidas no n.º 1 incluem, nomeadamente: (a)
Conservar a documentação, nos termos do artigo
28.º; (b)
Aplicar os requisitos de segurança previstos no
artigo 30.º; (c)
Realizar uma avaliação de
impacto sobre a proteção de dados, nos termos do artigo 33.º; (d)
Respeitar as obrigações
relativas à autorização ou consulta prévias da autoridade de controlo, nos
termos do artigo 34.º, n.os 1 e
2; (e)
Designar um delegado para a
proteção de dados, nos termos do artigo 35.º, n.º 1. 3. O responsável pelo tratamento deve aplicar mecanismos para
verificar a eficácia das medidas referidas nos n.os 1 e 2. Sob reserva da sua proporcionalidade, essa
verificação deve ser realizada por auditores independentes internos ou
externos. 4. São atribuídas competências à
Comissão para adotar atos delegados nos termos do artigo 86.º, a fim de
especificar mais concretamente os critérios e requisitos adicionais aplicáveis
às medidas adequadas referidas no n.º 1, para além das referidas no n.º 2, às
condições de verificação e mecanismos de auditoria referidos no n.º 3 e aos
critérios de proporcionalidade previstos no n.º 3, e considerar a adoção de medidas específicas para as micro, pequenas e médias empresas. Artigo 23.º
Proteção de dados desde a conceção e por defeito 1. Tendo em conta as técnicas mais recentes e os custos da sua
aplicação, o responsável pelo tratamento aplica, tanto no momento de definição
dos meios de tratamento como no momento do próprio tratamento, as medidas e os
procedimentos técnicos e organizativos apropriados para que o tratamento seja
conforme com os requisitos do presente regulamento e garanta a proteção dos
direitos do titular dos dados. 2. O responsável pelo tratamento
aplica mecanismos que garantam, por defeito, que apenas são tratados os dados
pessoais necessários para cada finalidade específica do tratamento e,
especialmente, que não são recolhidos ou conservados para além do mínimo
necessário para essas finalidades, tanto em termos da quantidade de dados, como
da duração da sua conservação. Em especial, esses
mecanismos devem assegurar que, por defeito, os dados pessoais não sejam
disponibilizados a um número indeterminado de pessoas singulares. 3. São
atribuídas competências à Comissão para adotar atos
delegados nos termos do artigo 86.º, a fim de especificar mais concretamente os
critérios e as exigências aplicáveis às medidas e aos mecanismos adequados
referidos nos n.os 1 e 2, em especial quanto à proteção de dados
desde a conceção aplicáveis ao conjunto dos setores, produtos e serviços. 4. A
Comissão pode estabelecer normas técnicas para as exigências definidas nos n.os 1 e 2. Os atos de execução correspondentes são adotados em
conformidade com o procedimento de exame referido no artigo 87.º, n.º 2. Artigo 24.º
Responsáveis conjuntos pelo
tratamento Sempre que um responsável pelo tratamento
definir, em conjunto com outros, as finalidades, as condições e os meios do
tratamento de dados pessoais, os responsáveis conjuntos pelo tratamento devem
definir, por acordo, as respetivas obrigações, a fim de respeitarem as
disposições adotadas em conformidade com o presente regulamento, nomeadamente
no que diz respeito aos procedimentos e mecanismos que regulam o exercício de
direitos do titular dos dados. Artigo 25.º
Representantes dos responsáveis pelo tratamento não
estabelecidos na União 1. Na situação referida no
artigo 3.º, n.º 2, o responsável pelo tratamento designa um representante na
União. 2. Esta obrigação não se aplica
a: (a) Um responsável pelo tratamento
estabelecido num país terceiro sempre que a Comissão tenha decidido que o país
terceiro assegura um nível de proteção adequado nos termos do artigo 41.º; ou (b) Uma empresa com menos de 250
trabalhadores; ou (c) Uma autoridade ou um organismo público;
ou (d) Um responsável pelo tratamento que
ofereça ocasionalmente bens ou serviços a titulares de dados residentes na
União. 3. O representante deve estar
estabelecido num dos Estados-Membros em que residam os titulares de dados
pessoais que são objeto de tratamento no contexto da oferta que lhes é feita de
bens ou serviços, ou cujo comportamento é controlado. 4. A designação de um
representante pelo responsável pelo tratamento
não prejudica as ações judiciais que possam vir a ser intentadas contra
o próprio responsável pelo tratamento. Artigo 26.º
Subcontratante 1. Sempre que o tratamento de
dados for efetuado por sua conta, o responsável pelo tratamento escolhe um
subcontratante que apresente garantias suficientes de execução das medidas e
procedimentos técnicos e organizativos apropriados, de forma a que esse
tratamento seja conforme com os requisitos do presente regulamento e garanta a
proteção dos direitos do titular de dados, nomeadamente quanto às medidas de
segurança técnica e medidas organizativas que regulam o procedimento a
realizar, devendo o responsável pelo tratamento assegurar o cumprimento dessas
medidas. 2. A
realização de operações de tratamento em subcontratação deve ser regulada por
um contrato ou outro ato jurídico que vincule o subcontratante ao responsável
pelo tratamento e que preveja, designadamente, que o subcontratante: (a) Atuará apenas mediante instruções do
responsável pelo tratamento, em especial quando a transferência de dados
pessoais utilizados for proibida; (b) Empregará apenas
pessoal que assumiu um compromisso de confidencialidade ou que se encontre
sujeito às obrigações de confidencialidade previstas na legislação; (c) Adotará
todas as medidas exigidas nos termos do artigo 30.º; (d) Recrutará
outro subcontratante apenas mediante autorização prévia do responsável pelo
tratamento; (e) Na
medida do possível, tendo em conta a natureza do tratamento, estabelecerá,
mediante acordo com o responsável pelo tratamento, os requisitos técnicos e
organizativos necessários para permitir ao responsável pelo tratamento cumprir
a sua obrigação de dar resposta aos pedidos dos titulares de dados, tendo em
vista o exercício dos seus direitos previstos no Capítulo III; (f) Prestará assistência ao responsável pelo
tratamento no sentido de garantir o cumprimento das obrigações previstas nos
artigos 30.º a 34.º. (g) Findo o tratamento, entregará todos os
resultados ao responsável pelo tratamento e não procederá a qualquer outro
tratamento dos dados pessoais; (h) Disponibilizará ao
responsável pelo tratamento e à autoridade de controlo todas as informações
necessárias para verificar o cumprimento das obrigações previstas no presente
artigo. 3. O responsável pelo tratamento
e o subcontratante conservam um documento escrito com as instruções do
responsável pelo tratamento e as obrigações do subcontratante referidas no n.º
2. 4. Se um subcontratante proceder
ao tratamento de dados pessoais de forma diferente da que foi definida nas
instruções do responsável pelo tratamento, o subcontratante é considerado responsável
pelo tratamento quanto a esse tratamento, ficando sujeito às disposições
aplicáveis aos responsáveis conjuntos pelo tratamento estabelecidas no artigo
24.º. 5. São atribuídas competências à
Comissão para adotar atos delegados nos termos do artigo 86.º, a fim de
especificar mais concretamente os critérios e requisitos aplicáveis às
responsabilidades, funções e atribuições de um subcontratante, em conformidade
com o n.º 1, bem como às condições que facilitem o tratamento de dados pessoais
a nível de um grupo de empresas, em especial para efeitos para efeitos de
controlo e de apresentação de relatórios. Artigo 27.º
Tratamento sob a autoridade do responsável pelo
tratamento e do subcontratante O subcontratante, bem como qualquer pessoa
que, agindo sob a autoridade do responsável pelo tratamento ou do
subcontratante, tenha acesso a dados pessoais, só pode proceder ao seu
tratamento mediante instruções do responsável pelo tratamento, exceto se tal
for exigido pela legislação da União ou de um Estado-Membro. Artigo 28.º
Documentação 1. Cada responsável pelo
tratamento e cada subcontratante, bem como, caso exista, o representante do
responsável pelo tratamento, mantêm a documentação de todas as operações de
tratamento de dados efetuadas sob a sua responsabilidade. 2. Essa
documentação deve consistir, pelo menos, nas seguintes informações: (a) Nome e contactos do responsável pelo
tratamento, ou de qualquer responsável conjunto pelo tratamento ou
subcontratante conjunto e, caso exista, do representante; (b) Nome e contactos do
responsável pela proteção dos dados, caso existam; (c) Finalidades do
tratamento, incluindo os interesses legítimos do responsável pelo tratamento,
sempre que o tratamento se basear no artigo 6.º, n.º 1, alínea f); (d) Descrição das categorias
de titulares de dados e das categorias de dados pessoais que lhes digam
respeito; (e) Destinatários ou
categorias de destinatários dos dados pessoais, incluindo os responsáveis pelo
tratamento a quem são comunicados esses dados pessoais para efeitos dos
interesses legítimos que prosseguem; (f) Se for caso disso,
as transferências de dados para um país terceiro ou uma organização
internacional, incluindo o nome desse país terceiro ou dessa organização
internacional e, no caso de transferências referidas no artigo 44.º, n.º 1,
alínea h), a documentação que comprove a existência das garantias adequadas; (g) Uma indicação geral
dos prazos fixados para o apagamento das diferentes categorias de dados; (h) Descrição dos
mecanismos referidos no artigo 22.º, n.º 3; 3. O responsável pelo tratamento
e o subcontratante, bem como, caso exista, o representante do responsável pelo
tratamento, disponibilizam a documentação existente à autoridade de controlo,
quando por esta solicitado. 4. As obrigações referidas nos
n.ºs 1 e 2 não se aplicam aos responsáveis pelo tratamento e aos
subcontratantes seguintes: a) Pessoas singulares que tratem dados
pessoais sem qualquer fim comercial; ou b) Empresas ou organismos com mais de 250
assalariados que tratem dados pessoais unicamente no âmbito de uma atividade
acessória da sua atividade principal. 5. São atribuídas competências à
Comissão para adotar atos delegados nos termos do artigo 86.º, a fim de
especificar mais concretamente os critérios e requisitos aplicáveis à documentação
referida no n.º 1, para ter em conta, nomeadamente, as obrigações do
responsável pelo tratamento e do subcontratante e, caso exista, do
representante do responsável pelo tratamento. 6. A Comissão pode elaborar
formulários normalizados para a documentação referida no n.º 1. Os atos de execução correspondentes são adotados em
conformidade com o procedimento de exame referido no artigo 87.º, n.º 2. Artigo 29.º
Cooperação com a autoridade de controlo 1. O responsável pelo tratamento e o subcontratante,
bem como, caso exista, o representante do
responsável pelo tratamento, cooperam, mediante pedido, com a autoridade de
controlo no exercício das suas funções, particularmente no fornecimento das
informações referidas no artigo 53.º, n.º 2, alínea a), e facultando-lhe o
acesso previsto na alínea b) desse número. 2. Sempre que a autoridade de controlo exerça os poderes que
lhe são conferidos por força do artigo 53.º, n.º 2, o responsável pelo tratamento e o
subcontratante devem responder à autoridade de controlo num prazo razoável a
fixar por esta última. A resposta inclui uma
descrição das medidas adotadas e dos resultados obtidos, tendo em conta as
observações formuladas pela autoridade de controlo. SECÇÃO
2
SEGURANÇA
DOS DADOS Artigo 30.º
Segurança do tratamento 1. O responsável pelo tratamento
e o subcontratante aplicam as medidas técnicas e organizativas necessárias para
assegurar um nível de segurança adaptado aos riscos que o tratamento representa
e à natureza dos dados pessoais a proteger, atendendo às técnicas mais recentes
e aos custos resultantes da sua aplicação. 2. O
responsável pelo tratamento e o subcontratante adotam, na sequência de uma
avaliação de riscos, as medidas referidas no n.º 1 para proteger os dados
pessoais contra a destruição acidental ou ilícita e a perda acidental, e para
evitar qualquer forma de tratamento ilícito, em especial a divulgação, a
difusão, ou o acesso, não autorizados, ou a alteração de dados pessoais. 3. São atribuídas competências à
Comissão para adotar atos delegados em conformidade com o artigo 86.º, a fim de
especificar mais concretamente os critérios e as condições aplicáveis às
medidas técnicas e organizativas referidas nos n.os 1 e 2, incluindo
determinar em que consistem as técnicas mais recentes, para setores específicos
e em situações específicas de tratamento de dados, nomeadamente atendendo à
evolução das técnicas e a soluções de proteção da privacidade e dos dados desde
a conceção, bem como por defeito, salvo se for aplicável o n.º 4. 4. A Comissão pode adotar,
sempre que necessário, atos de execução, a fim de especificar os requisitos
previstos nos n.os 1 a 2 em diversas situações, tendo particularmente em vista: (a) Impedir o acesso de pessoas não
autorizadas aos dados pessoais; (b) Impedir qualquer forma não autorizada de
divulgação, leitura, reprodução, alteração, apagamento ou retirada de dados; (c) Assegurar a verificação da licitude das
operações de tratamento de dados. Os atos de execução correspondentes são adotados
em conformidade com o procedimento de exame referido no artigo 87.º, n.º 2. Artigo 31.º
Notificação da violação de
dados pessoais à autoridade de controlo 1. Em caso de violação de dados
pessoais, o responsável pelo tratamento notifica desse facto a autoridade de
controlo, sem demora injustificada e, sempre que possível, o mais tardar 24
horas após ter tido conhecimento da mesma. Caso a
notificação à autoridade de controlo não seja transmitida no prazo de 24 horas,
deve ser acompanhada de uma justificação razoável. 2. Nos termos do artigo 26.º,
n.º 2, alínea f), o subcontratante alerta e informa o responsável pelo
tratamento imediatamente após a deteção de uma violação de dados pessoais. 3. A notificação referida no n.º
1 deve, pelo menos: (a) Descrever a natureza de violação dos
dados pessoais, incluindo as categorias e o número de titulares de dados
afetados, bem como as categorias e o número de registos de dados em causa; (b) Comunicar a
identidade e os contactos do delegado para a proteção de dados ou de outro
ponto de contacto onde possam ser obtidas informações adicionais; (c) Recomendar medidas
destinadas a atenuar os eventuais efeitos adversos da violação de dados
pessoais; (d) Descrever as
consequências da violação de dados pessoais; (e) Descrever as medidas
propostas ou adotadas pelo responsável pelo tratamento para remediar a violação
de dados pessoais. 4. O
responsável pelo tratamento documenta qualquer violação de dados pessoais,
incluindo os factos relacionados com a mesma, os respetivos efeitos e a medida
de reparação adotada. Essa documentação deve permitir à autoridade de controlo
verificar o respeito do disposto no presente artigo. A documentação deve
incluir apenas as informações necessárias para esse efeito. 5. São atribuídas competências à
Comissão para adotar atos delegados nos termos do artigo 86.º, a fim de
especificar mais concretamente os critérios e requisitos aplicáveis à
determinação da violação de dados referida nos n.os 1 e 2, e às
circunstâncias particulares em que um responsável pelo tratamento e um
subcontratante são obrigados a notificar a violação de dados pessoais. 6. A Comissão pode definir um formato normalizado para essa
notificação à autoridade de controlo, os procedimentos aplicáveis ao requisito
de notificação, bem como o formulário e as modalidades para a documentação
referida no n.º 4, incluindo os prazos para o apagamento das informações aí
contidas. Os atos de execução correspondentes são
adotados em conformidade com o procedimento de exame referido no artigo 87.º,
n.º 2. Artigo 32.º
Comunicação de uma violação de
dados pessoais ao titular dos dados 1. Sempre que a violação de
dados pessoais for suscetível de afetar negativamente a proteção dos dados
pessoais ou a privacidade do titular dos dados, o responsável pelo tratamento,
após a notificação a que se refere o artigo 31.º, comunica a violação de dados
pessoais à pessoa em causa sem demora injustificada. 2. A
comunicação ao titular dos dados referida no n.º 1 deve descrever a natureza da
violação dos dados pessoais e incluir, pelo menos, as informações e
recomendações previstas no artigo 31.º, n.º 3, alíneas b) e c). 3. A
comunicação de uma violação de dados pessoais ao seu titular não é exigida se o
responsável pelo tratamento demonstrar cabalmente, a contento da autoridade de
controlo, que tomou as medidas de proteção tecnológica adequadas e que estas foram
aplicadas aos dados a que a violação diz respeito. Essas medidas de proteção tecnológica devem tornar os dados
incompreensíveis para qualquer pessoa que não esteja autorizada a aceder a
esses dados. 4. Sem prejuízo da obrigação que
incumbe ao responsável pelo tratamento de comunicar ao titular dos dados a
violação dos seus dados pessoais, se o primeiro não tiver já comunicado a
violação de dados pessoais à pessoa em causa, a autoridade de controlo,
atendendo aos efeitos negativos prováveis dessa violação, pode exigir que
proceda a essa notificação. 5. São atribuídas competências à
Comissão para adotar atos delegados nos termos do artigo 86.º, a fim de
especificar mais concretamente os critérios e requisitos aplicáveis às
circunstâncias em que uma violação de dados pessoais seja suscetível de afetar
negativamente os dados pessoais, tal como referido no n.º 1. 6. A
Comissão pode definir o formato da comunicação ao titular dos dados referida no
n.º 1 e os procedimentos aplicáveis a essa comunicação. Os atos de execução
correspondentes são adotados em conformidade com o procedimento de exame
referido no artigo 87.º, n.º 2. SECÇÃO 3
AVALIAÇÃO
DE IMPACTO SOBRE A PROTEÇÃO DE DADOS E AUTORIZAÇÃO PRÉVIA Artigo 33.º
Avaliação de impacto sobre
a proteção de dados 1. Sempre que as operações de
tratamento apresentem riscos específicos para os direitos e liberdades dos
titulares de dados em virtude da sua natureza, do seu âmbito ou da sua
finalidade, o responsável pelo tratamento ou o subcontratante, atuando em nome
do responsável pelo tratamento, efetuam uma avaliação de impacto das operações
de tratamento previstas sobre a proteção de dados pessoais. 2. As
seguintes operações de tratamento, em especial, apresentam os riscos
específicos referidos no n.º 1: (a) A avaliação sistemática e completa dos
aspetos pessoais relacionados com uma pessoa singular, ou visando analisar ou
prever, nomeadamente, a sua situação financeira, localização, saúde,
preferências pessoais, fiabilidade ou comportamento, baseada num processo
automatizado e com base na qual são adotadas
medidas que produzem efeitos jurídicos relativamente à pessoa em causa ou que a
afetam de forma significativa; (b) O tratamento de informações sobre a orientação
sexual, saúde, raça e origem étnica, ou destinadas à prestação de cuidados de
saúde, investigações epidemiológicas, ou inquéritos relativos a doenças mentais
ou infecciosas, sempre que os dados forem tratados com vista a adotar medidas
ou decisões em grande escala visando pessoas específicas; (c) O controlo de zonas
acessíveis ao público, nomeadamente ao utilizar mecanismos ótico-eletrónicos
(videovigilância) em grande escala; (d) Os dados pessoais em
sistemas de arquivo de grande dimensão relativos a crianças, o tratamento de
dados genéticos ou dados biométricos; (e) Outras operações de
tratamento para as quais é obrigatória a consulta da autoridade de controlo nos
termos do artigo 34.º, n.º 2, alínea b). 3. A avaliação deve incluir,
pelo menos, uma descrição geral das operações de tratamento de dados previstas,
uma avaliação dos riscos sobre os direitos e liberdades dos titulares de dados,
as medidas previstas para fazer face aos riscos, as garantias, medidas de
segurança e mecanismos para assegurar a proteção dos dados pessoais e
demonstrar a conformidade com o presente regulamento, tendo em conta os
direitos e os legítimos interesses das pessoas em causa e de terceiros. 4. O
responsável pelo tratamento solicita a opinião dos titulares de dados ou dos
seus representantes sobre o tratamento previsto, sem prejuízo da proteção dos
interesses comerciais ou públicos ou da segurança das operações de tratamento
de dados. 5. Sempre que o responsável pelo
tratamento for uma autoridade ou um organismo público e o tratamento for
realizado em execução de uma obrigação jurídica, em conformidade com o artigo
6.º, n.º 1, alínea a), que preveja regras e procedimentos relativos aos
tratamentos e regulados pelo direito da União, não são aplicáveis os n.os 1 a 4, salvo se
os Estados-Membros considerarem necessário realizar essa avaliação previamente
às atividades de tratamento. 6. São
atribuídas competências à Comissão para adotar atos delegados nos termos do
artigo 86.º, a fim de especificar mais concretamente os critérios e condições
aplicáveis às operações de tratamento de dados que possam apresentar os riscos
específicos referidos nos n.os 1 e 2, bem como os
requisitos aplicáveis à avaliação referida no n.º 3, incluindo as condições de
redimensionabilidade, de verificação e de auditoria. Ao fazê-lo, a Comissão
deve considerar a adoção de medidas específicas, em
especial para as micro, pequenas e médias empresas. 7. A Comissão pode definir
normas e procedimentos para a realização, verificação e auditoria da avaliação
referida no n.º 3. Os atos de execução
correspondentes são adotados em conformidade com o procedimento de exame
referido no artigo 87.º, n.º 2. Artigo 34.º
Autorização prévia e
consulta prévia 1. O responsável pelo tratamento
ou o subcontratante, consoante o caso, deve obter uma autorização da autoridade
de controlo antes de proceder ao tratamento de dados pessoais, a fim de assegurar a conformidade do tratamento
previsto com o regulamento e, nomeadamente, atenuar os riscos para os titulares
de dados, sempre que um responsável pelo tratamento ou um subcontratante
adote cláusulas contratuais como as previstas no artigo 42.º, n.º 2, alínea d),
ou não assegure as garantias adequadas num instrumento juridicamente
vinculativo, tal como previsto no artigo 42.º, n.º 5, que regule a
transferência de dados pessoais para um país terceiro ou uma organização
internacional. 2. O responsável pelo tratamento
ou o subcontratante, agindo por conta do responsável pelo tratamento, consulta
a autoridade de controlo antes de proceder ao tratamento de dados pessoais, a
fim de assegurar a conformidade do tratamento previsto com o presente
regulamento e, nomeadamente, atenuar os riscos para os titulares de dados,
sempre que: (a) Uma avaliação de impacto sobre a proteção
de dados, como prevista no artigo 33.º, indicar que as operações de tratamento,
devido à sua natureza, âmbito ou finalidade, podem apresentar um elevado nível
de riscos específicos; ou (b) A autoridade de
controlo considerar necessário realizar uma consulta prévia sobre operações de
tratamento suscetíveis de apresentar riscos específicos para os direitos e
liberdades dos titulares de dados devido à sua natureza, âmbito e/ou
finalidades, e que tenham sido especificadas em conformidade com o n.º 4. 3. Sempre que a autoridade de
controlo for de opinião que o tratamento a efetuar não cumpre o disposto no
presente regulamento, em especial se os riscos não se encontrarem
suficientemente identificados ou atenuados, proíbe o tratamento previsto e
apresenta propostas adequadas para remediar essa falta de conformidade. 4. A
autoridade de controlo deve elaborar e tornar pública uma lista das operações
de tratamento sujeitas a consulta prévia nos termos do n.º 2, alínea b). A
autoridade de controlo comunica essa lista aos responsáveis pelo tratamento e
ao Comité Europeu para a Proteção de Dados. 5. Sempre
que a lista prevista no n.º 4 envolver atividades de tratamento relacionadas
com a oferta de bens ou serviços a titulares de dados em diversos
Estados-Membros, ou o controlo do seu comportamento, ou que possam afetar
substancialmente a livre circulação de dados pessoais na União, a autoridade de
controlo aplica o mecanismo de controlo da coerência referido no artigo 57.º
previamente à adoção da lista. 6. O responsável pelo tratamento
ou o subcontratante fornece à autoridade de controlo a avaliação de impacto
sobre a proteção de dados prevista no artigo 33.º e,
quando solicitado, qualquer outra informação que permita à autoridade de
controlo avaliar a conformidade do tratamento e, nomeadamente, os riscos para a
proteção dos dados pessoais do titular dos dados e as respetivas garantias. 7. Os
Estados-Membros devem consultar a autoridade de controlo no quadro da
preparação de uma medida legislativa a adotar pelo parlamento nacional, ou de
uma medida baseada nessa medida legislativa, que defina a natureza do
tratamento, a fim de assegurar a conformidade do tratamento previsto com o presente regulamento e, em especial,
atenuar os riscos que comporta para os titulares de dados. 8. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o
artigo 86.º, a fim de melhor especificar os critérios e requisitos aplicáveis à
determinação do nível elevado de risco específico referido no n.º 2, alínea b). 9. A Comissão pode estabelecer
formulários e procedimentos normalizados para as autorizações e consultas
prévias referidas nos n.os 1 e 2, bem como formulários e procedimentos normalizados para a
informação das autoridades de controlo a título do n.º 6. Os atos de execução correspondentes são adotados em
conformidade com o procedimento de exame referido no artigo 87.º, n.º 2. SECÇÃO
4
DELEGADO
PARA A PROTEÇÃO DE DADOS Artigo 35.º
Designação do delegado para a proteção de dados 1. O responsável pelo tratamento
e o subcontratante designam um delegado para a proteção de dados sempre que: (a) O tratamento for efetuado por uma
autoridade ou um organismo público; ou (b) O tratamento for
efetuado por uma empresa com 250 assalariados ou mais; ou (c) As atividades
principais do responsável pelo tratamento ou do subcontratante consistiam em
operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade,
exijam um controlo regular e sistemático dos titulares de dados. 2. No caso referido no n.º 1,
alínea b), um grupo de empresas pode designar um delegado para a proteção de
dados. 3. Sempre que o responsável pelo
tratamento ou o subcontratante for uma autoridade ou um organismo público, o
delegado para a proteção de dados pode ser designado para várias das suas
entidades, atendendo à estrutura organizacional da autoridade ou do organismo
público. 4. Em
casos diferentes dos visados no n.º 1, o responsável pelo tratamento ou o
subcontratante ou as associações e outros organismos que representem categorias
de responsáveis pelo tratamento ou de subcontratantes podem designar um
delegado para a proteção de dados. 5. O
responsável pelo tratamento ou o subcontratante designam o delegado para a
proteção de dados com base nas suas qualidades profissionais e, em especial,
nos seus conhecimentos especializados no domínio da legislação e das práticas a
nível da proteção de dados, e na sua capacidade para cumprir as funções
referidas no artigo 37.º. O nível de conhecimentos especializados necessários é
determinado, em particular, em função do tratamento de dados realizado e da
proteção exigida para os dados pessoais tratados pelo responsável pelo
tratamento ou pelo subcontratante. 6. O
responsável pelo tratamento ou o subcontratante deve assegurar que quaisquer
outras funções profissionais que incumbem ao delegado para a proteção de dados
sejam compatíveis com as atribuições e funções dessa pessoa na qualidade de
delegado para a proteção de dados e não impliquem um conflito de interesses. 7. O
responsável pelo tratamento ou o subcontratante designam um delegado para a
proteção de dados pelo período mínimo de dois anos. O mandato do delegado para
a proteção de dados pode ser renovado. No decurso do seu mandato, o delegado
para a proteção de dados apenas pode ser exonerado se tiver deixado de cumprir
as condições exigidas para o exercício das suas funções. 8. O
delegado para a proteção de dados pode ser um assalariado do responsável pelo
tratamento ou do subcontratante, ou exercer as suas funções com base num
contrato de prestação de serviços. 9. O
responsável pelo tratamento ou o subcontratante comunica o nome e os contactos
do delegado para a proteção de dados à autoridade de controlo e ao público. 10. Os
titulares de dados têm o direito de contactar o delegado para a proteção de
dados sobre todos os assuntos relacionados com o tratamento dos seus dados
pessoais e de solicitar o exercício dos direitos que lhe confere o presente
regulamento. 11. São
atribuídas competências à Comissão para adotar atos delegados nos termos do
artigo 86.º, a fim de especificar mais concretamente os critérios e requisitos
aplicáveis às atividades principais do responsável pelo tratamento ou do
subcontratante, referidas no n.º 1, alínea c), bem como os critérios aplicáveis
às qualidades profissionais do delegado para a proteção de dados referidas no
n.º 5. Artigo 36.º
Função do delegado para a proteção de dados 1. O responsável pelo tratamento
ou o subcontratante assegura que o delegado para a proteção de dados seja
associado, de forma adequada e em tempo útil, a todas as matérias relacionadas
com a proteção de dados pessoais. 2. O
responsável pelo tratamento ou o subcontratante assegura que o delegado para a
proteção de dados exerce as suas funções e atribuições de forma independente,
não recebendo quaisquer instruções relativas ao exercício da sua função. O
delegado para a proteção de dados tem o dever de informar diretamente a direção
do responsável pelo tratamento ou do subcontratante. 3. O
responsável pelo tratamento ou o subcontratante apoia o delegado para a
proteção de dados no exercício das suas funções e deve fornecer pessoal,
instalações, equipamentos e quaisquer outros recursos necessários ao exercício
das funções e atribuições referidas no artigo 37.º Artigo 37.º
Atribuições do delegado para
a proteção de dados 1. O responsável pelo tratamento
ou o subcontratante confia ao delegado para a proteção de dados, pelo menos, as
seguintes atribuições: (a) Informar e aconselhar o responsável pelo
tratamento ou o subcontratante sobre as suas obrigações nos termos do presente
regulamento, e conservar documentação sobre esta atividade e as respostas
recebidas; (b) Controlar a execução
e a aplicação das regras internas do responsável pelo tratamento ou do
subcontratante relativas à proteção de dados pessoais, incluindo a repartição
de responsabilidades, a formação do pessoal envolvido nas operações de
tratamento de dados, e as auditorias correspondentes; (c) Controlar a execução
e a aplicação do presente regulamento, em especial quanto aos requisitos
relacionados com a proteção de dados desde a conceção, a proteção de dados por
defeito e a segurança de dados, bem como às informações dos titulares de dados
e exame dos pedidos para exercer os seus direitos nos termos do presente
regulamento; (d) Assegurar que a documentação
referida no artigo 28.º é conservada; (e) Controlar a
documentação, a notificação e a comunicação relativas a violações de dados
pessoais, nos termos dos artigos 31.º e 32.º; (f) Acompanhar a
realização da avaliação de impacto sobre a proteção de dados pelo responsável
pelo tratamento ou pelo subcontratante, bem como os pedidos de autorização
prévia ou de consulta prévia, se necessário, nos termos dos artigos 33.º e
34.º; (g) Acompanhar a resposta
aos pedidos da autoridade de controlo e, no âmbito da competência do delegado
para a proteção de dados, cooperar com a autoridade de controlo, a pedido desta
ou por iniciativa do próprio delegado para a proteção de dados; (h) Atuar como ponto de
contacto para a autoridade de controlo sobre assuntos relacionados com o
tratamento, e consultar esta autoridade, se for caso disso, por sua própria
iniciativa. 2. São atribuídas competências à
Comissão para adotar atos delegados em conformidade com o artigo 86.º, a fim de
especificar mais concretamente os critérios e requisitos aplicáveis às
atribuições, certificação, estatuto, competências e recursos do delegado para a
proteção de dados referidos no n.º 1. SECÇÃO
5
CÓDIGOS DE CONDUTA E CERTIFICAÇÃO Artigo 38.º
Códigos de conduta 1. Os Estados-Membros, as autoridades
de controlo e a Comissão devem promover a elaboração de códigos de conduta
destinados a contribuir para a correta aplicação
do presente regulamento, em função das características dos diferentes setores
de tratamento de dados, em especial no que se refere a: (a) Tratamento de
dados leal e transparente; (b) Recolha de
dados; (c) Informação do
público e dos titulares de dados; (d) Pedidos dos
titulares de dados no exercício dos seus direitos; (e) Informações
e proteção das crianças; (f) Transferências
de dados para países terceiros ou organizações internacionais; (g) Mecanismos
de controlo e de garantia do respeito do código pelos responsáveis pelo
tratamento que a ele adiram; (h) Ações
extrajudiciais e outros procedimentos de resolução de litígios entre os
responsáveis pelo tratamento e os titulares de dados em relação ao tratamento
de dados pessoais, sem prejuízo dos direitos dos titulares de dados nos termos
dos artigos 73.º e 75.º 2. As associações e outros
organismos que representem categorias de responsáveis pelo tratamento ou
subcontratantes num Estado-Membro que tencionem elaborar códigos de conduta ou
alterar ou prorrogar os códigos de conduta existentes, podem submetê-los ao
parecer da autoridade de controlo desse Estado-Membro. A
autoridade de controlo pode emitir um parecer sobre a conformidade com o
presente regulamento do projeto de código de conduta ou da alteração. A
autoridade de controlo deve solicitar a opinião dos titulares de dados ou dos
seus representantes sobre esses projetos. 3. As associações
e outros organismos representativos de categorias de responsáveis pelo
tratamento em vários Estados-Membros podem submeter à Comissão projetos de
códigos de conduta, bem como alterações ou prorrogações dos códigos de conduta
existentes. 4. São
atribuídas competências à Comissão para adotar atos de execução a fim de
declarar, mediante decisão, que os códigos de conduta, bem como as alterações
ou prorrogações aos códigos de conduta existentes que lhe sejam apresentados
nos termos do n.º 3, são de aplicabilidade geral na União. Os atos de execução correspondentes são
adotados em conformidade com o procedimento de exame estabelecido no artigo
87.º, n.º 2. 5. A Comissão assegura a
publicidade adequada dos códigos que, mediante decisão, declarou serem de
aplicabilidade geral em conformidade com o n.º 4. Artigo 39.º
Certificação 1. Os
Estados-Membros e a Comissão devem promover, em especial a nível europeu, a
criação de mecanismos de certificação em matéria de proteção de dados, bem como
selos e marcas de proteção de dados, que permitam aos titulares de dados
avaliar rapidamente o nível de proteção de dados fornecido pelos responsáveis
pelo tratamento e subcontratantes. Os mecanismos de
certificação em matéria de proteção de dados devem contribuir para a correta aplicação do presente regulamento, tendo em
conta as características dos vários setores e das diferentes operações de
tratamento de dados. 2. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o
artigo 86.º, a fim de especificar mais concretamente os critérios e requisitos
aplicáveis aos mecanismos de certificação em matéria de proteção de dados referidos no n.º 1, incluindo as condições de concessão e
revogação, bem como os requisitos em matéria de reconhecimento na União e nos
países terceiros. 3. A
Comissão pode estabelecer normas técnicas para os mecanismos de certificação,
bem como selos e marcas em matéria de proteção de dados, e mecanismos para
promover e reconhecer os mecanismos de certificação e selos e marcas de
proteção de dados. Os atos de execução
correspondentes são adotados em conformidade com o procedimento de exame
estabelecido no artigo 87.º, n.º 2. CAPÍTULO V
TRANSFERÊNCIA DE DADOS PESSOAIS PARA PAÍSES TERCEIROS OU ORGANIZAÇÕES
INTERNACIONAIS Artigo 40.º
Princípio geral das transferências Qualquer transferência de dados pessoais que
seja ou venha a ser objeto de tratamento após transferência para um país
terceiro ou uma organização internacional só pode ser realizada se, sem
prejuízo das outras disposições do presente regulamento, as condições
estabelecidas no presente capítulo forem respeitadas pelo responsável pelo
tratamento e pelo subcontratante, incluindo para as transferências ulteriores
de dados pessoais do país terceiro ou da organização internacional para outro
país terceiro ou outra organização internacional. Artigo 41.º
Transferências acompanhadas de uma decisão de adequação 1. Uma transferência pode ser
realizada se a Comissão tiver decidido que o país terceiro, ou um território ou
um setor de tratamento nesse país terceiro, ou a organização internacional em
causa, assegura um nível de proteção adequado. Essa
transferência não exige qualquer autorização suplementar. 2. Ao
avaliar o nível de proteção adequado, a Comissão deve ter em conta os seguintes
elementos: (a) O primado do Estado de direito, a
legislação relevante em vigor, geral ou setorial, incluindo no que respeita à segurança
pública, à defesa, à segurança nacional e ao direito penal, às regras
profissionais e às medidas de segurança que são respeitadas nesse país ou por
essa organização internacional, bem como a existência de direitos efetivos e
oponíveis, incluindo vias de recurso administrativo e judicial para os
titulares de dados, nomeadamente para as pessoas residentes na União cujos
dados pessoais sejam objeto de transferência; (b) A existência e o
funcionamento efetivo de uma ou mais autoridades de controlo independentes no
país terceiro ou na organização internacional em causa, responsáveis por
assegurar o respeito das regras de proteção de dados, assistir e aconselhar os
titulares de dados no exercício dos seus direitos, e cooperar com as
autoridades de controlo da União e dos Estados-Membros; e (c) Os compromissos
internacionais assumidos pelo país terceiro ou pela organização internacional. 3. A Comissão pode decidir que
um país terceiro, um território, ou um setor de tratamento dentro desse país
terceiro, ou uma organização internacional, garante um nível de proteção
adequado na aceção do n.º 2. Os atos de execução correspondentes
são adotados em conformidade com o procedimento de exame referido no artigo
87.º, n.º 2. 4. O ato de
execução deve especificar o âmbito de aplicação geográfico e setorial e, se for
caso disso, identificar a autoridade de controlo referida no n.º 2, alínea b). 5. A
Comissão pode decidir que um país terceiro, um território ou um setor de
tratamento nesse país terceiro, ou uma organização internacional, não assegura
um nível de proteção adequado na aceção do n.º 2, em especial nos casos em que a
legislação relevante, quer de caráter geral ou setorial, em vigor no país
terceiro ou na organização internacional, não assegura direitos efetivos e
oponíveis, incluindo vias de recurso administrativo e judicial para os
titulares de dados, nomeadamente para as pessoas residentes no território da
União cujos dados pessoais sejam objeto de transferência. Os atos de execução
correspondentes são adotados em conformidade com o procedimento de exame
referido no artigo 87.º, n.º 2 ou, em casos de extrema urgência para as pessoas
singulares no que se refere ao seu direito de proteção de dados pessoais, em
conformidade com o procedimento referido no artigo 87.º, n.º 3. 6. Sempre que a Comissão adote
uma decisão por força do n.º 5, qualquer transferência de dados pessoais para o
país terceiro, um território ou um setor de tratamento nesse país terceiro, ou
organização internacional em causa, é proibida, sem prejuízo dos artigos 42.º a
44.º. Em momento oportuno, a Comissão deve encetar
negociações com o país terceiro ou a organização internacional, com vista a
remediar a situação resultante da decisão adotada nos termos do n.º 5. 7. A
Comissão publica no Jornal Oficial da União Europeia uma lista dos
países terceiros, territórios e setores de tratamento num país terceiro e de
organizações internacionais relativamente aos quais tenha declarado, mediante
decisão, que asseguram ou não um nível de proteção adequado. 8. As decisões adotadas pela
Comissão com base no artigo 25, n.º 6, ou no artigo 26.º, n.º 4, da Diretiva 95/46/CE,
permanecem em vigor até à sua alteração, substituição ou revogação pela
Comissão. Artigo 42.º
Transferências mediante garantias adequadas 1. Sempre que a Comissão não
tenha tomado qualquer decisão nos termos do artigo 41.º, um responsável pelo tratamento
ou um subcontratante só pode transferir dados pessoais para um país terceiro ou
uma organização internacional se tiver apresentado garantias adequadas quanto à
proteção de dados pessoais num instrumento juridicamente vinculativo. 2. As
garantias adequadas referidas no n.º 1 devem ser previstas, nomeadamente, em: (a) Regras vinculativas para empresas em
conformidade com o artigo 43.º; ou (b) Cláusulas-tipo de
proteção de dados adotadas pela Comissão. Os atos de execução correspondentes
são adotados em conformidade com o procedimento de exame referido no artigo
87.º, n.º 2; ou (c) Cláusulas-tipo de proteção de dados
adotadas por uma autoridade de controlo em conformidade com o mecanismo de
controlo da coerência previsto no artigo 57.º, se declaradas de aplicabilidade
geral pela Comissão nos termos do artigo 62.º, n.º 1, alínea b); ou (d) Cláusulas contratuais
entre o responsável pelo tratamento ou o subcontratante e o destinatário dos
dados, aprovadas por uma autoridade de controlo em conformidade com o n.º 4. 3 Uma transferência realizada
com base em cláusulas-tipo de proteção de dados, ou regras vinculativas para
empresas, referidas no n.º 2, alíneas a), b) ou c), não necessita de qualquer
outra autorização. 4. Sempre
que uma transferência tiver por base cláusulas contratuais como as referidas no
n.º 2, alínea d), o responsável pelo tratamento ou o subcontratante deve obter
a autorização prévia das cláusulas contratuais, em conformidade com o artigo
34.º, n.º 1, alínea a), pela autoridade de controlo. Se a transferência estiver
relacionada com atividades de tratamento relativas a titulares de dados noutro
Estado-Membro, ou possam prejudicar substancialmente a livre circulação de
dados pessoais na União, a autoridade de controlo aplica o mecanismo de
controlo da coerência referido no artigo 57.º. 5. Sempre que as garantias
adequadas para a proteção de dados pessoais não estiverem previstas num
instrumento juridicamente vinculativo, o responsável pelo tratamento ou o
subcontratante deve obter a autorização prévia da transferência ou de um
conjunto de transferências, ou prever a inserção de disposições no quadro de um
regime administrativo que estabeleça a base para a transferência em causa. Essa autorização por parte da autoridade de controlo deve
respeitar o artigo 34.º, n.º 1, alínea a). Se a transferência estiver
relacionada com atividades de tratamento relativas a titulares de dados noutro
Estado-Membro, ou possam prejudicar substancialmente a livre circulação de
dados pessoais na União, a autoridade de controlo aplica o mecanismo de
controlo da coerência referido no artigo 57.º. As autorizações por uma
autoridade de controlo com base no artigo 26.º, n.º 2, da Diretiva 95/46/CE
permanecem em vigor até à sua alteração, substituição ou revogação pela mesma
autoridade de controlo. Artigo 43.º
Transferências mediante regras vinculativas para
empresas 1. Uma autoridade de controlo,
em conformidade com o mecanismo de controlo de coerência previsto no artigo
58.º, aprova as regras vinculativas para empresas, desde que estas: (a) Sejam juridicamente vinculativas e
aplicáveis a todas as entidades do grupo de empresas do responsável pelo
tratamento ou do subcontratante, incluindo os seus assalariados, que deverão
assegurar o seu respeito; (b) Confiram expressamente
direitos aos titulares de dados; (c) Respeitem os
requisitos estabelecidos no n.º 2. 2. As regras vinculativas para
empresas devem, pelo menos, especificar: (a) A estrutura e os contactos do grupo de
empresas e das entidades que o compõem; (b) As transferências ou
conjunto de transferências de dados, incluindo as categorias de dados pessoais,
o tipo de tratamento e as finalidades, o tipo de titulares de dados afetado e a
identificação do país ou países terceiros em questão; (c) O seu caráter
juridicamente vinculativo, a nível interno e externo; (d) Os princípios gerais
de proteção de dados, nomeadamente a limitação das finalidades, a qualidade dos
dados, a base jurídica para o tratamento, o tratamento de dados pessoais
sensíveis, as medidas de garantia da segurança dos dados e os requisitos para
transferências ulteriores para organizações que não se encontrem vinculadas
pelas medidas em causa; (e) Os direitos dos
titulares de dados e os mecanismos de exercício desses direitos, incluindo o
direito de não ser objeto de uma medida baseada na definição de perfis nos
termos do artigo 20.º, o direito de apresentar uma queixa à autoridade de
controlo competente e aos tribunais competentes dos Estados-Membros nos termos
do artigo 75.º, n.º 2, e obter uma reparação e, se for caso disso, uma
indemnização pela violação das regras vinculativas para empresas; (f) A aceitação, pelo
responsável pelo tratamento ou pelo subcontratante estabelecido no território
de um Estado-Membro, da responsabilidade por qualquer violação às regras
vinculativas para empresas por qualquer entidade do grupo de empresas não
estabelecido na União; o responsável pelo tratamento ou o subcontratante só
pode ser exonerado dessa responsabilidade, no todo ou em parte, se provar que o
facto que causou o dano não é imputável a essa entidade; (g) A forma como as informações sobre as
regras vinculativas para empresas, nomeadamente relativas às disposições
referidas nas alíneas d), e) e f), são comunicadas aos titulares de dados nos
termos do artigo 11.º; (h) As
atribuições do delegado para a proteção de dados, designado nos termos do
artigo 35.º, incluindo o controlo do respeito das regras vinculativas para
empresas, a nível do grupo de empresas, bem como a supervisão de ações de
formação e do tratamento de queixas; (i) Os mecanismos existentes no grupo de
empresas com vista a assegurar a verificação do respeito das regras
vinculativas para empresas; (j) Os mecanismos de elaboração de
relatórios e de registo de alterações introduzidas às regras internas e para a
comunicação dessas alterações à autoridade de controlo; (k) O mecanismo de
cooperação com a autoridade de controlo para assegurar o respeito, por qualquer
entidade do grupo de empresas, em especial disponibilizando à autoridade de
controlo os resultados da verificação das medidas referidas na alínea i). 3. São atribuídas competências à
Comissão para adotar atos delegados em conformidade com o artigo 86.º, a fim de
especificar mais concretamente os critérios e as condições aplicáveis às regras
vinculativas para empresas na aceção do presente artigo, nomeadamente quanto
aos critérios aplicáveis à respetiva aprovação, à aplicação do n.º 2, alíneas
b), d), e) e f), às regras vinculativas para empresas às quais aderem
subcontratantes, e aos requisitos necessários para assegurar a proteção de
dados pessoais dos titulares de dados. 4. A Comissão pode especificar o formato e os procedimentos
para o intercâmbio eletrónico de informações entre os responsáveis pelo
tratamento, os subcontratantes e as autoridades de controlo, em relação às
regras vinculativas para empresas na aceção do presente artigo. Os atos de execução correspondentes são adotados em
conformidade com o procedimento de exame previsto no artigo 87.º, n.º 2. Artigo 44.º
Derrogações 1. Na falta de uma decisão de
adequação nos termos do artigo 41.º, ou de garantias adequadas nos termos do
artigo 42.º, uma transferência ou um conjunto de transferências de dados
pessoais para um país terceiro ou uma organização internacional só pode ser
efetuada se: (a) O titular dos dados tiver dado o seu
consentimento à transferência prevista, após ter sido informado dos riscos que
essa transferência acarreta devido à falta de uma decisão de adequação e das
garantias adequadas; ou (b) A transferência for
necessária para a execução de um contrato entre o titular dos dados e o
responsável pelo tratamento ou de diligências prévias à formação do contrato
decididas a pedido da pessoa em causa; ou (c) A transferência for
necessária para a celebração ou execução de um contrato acordado, no interesse
do titular dos dados, entre o responsável pelo tratamento e outra pessoa
singular ou coletiva; ou (d) A transferência for necessária por
motivos importantes de interesse público; ou (e) A transferência for necessária à declaração,
ao exercício ou à defesa de um direito num processo judicial; ou (f) A transferência for necessária para
proteger os interesses vitais do titular dos dados ou de outra pessoa, se esse titular estiver física ou legalmente incapaz
de dar o seu consentimento; ou (g) A transferência for realizada a partir de
um registo público que, nos termos da legislação União ou de um Estado-Membro,
se destine à informação do público e se encontre aberto à consulta do público
em geral ou de qualquer pessoa que possa provar um interesse legítimo, na
medida em que as condições estabelecidas no direito da União ou de um
Estado-Membro para a consulta estejam preenchidas no caso concreto; ou (h) A transferência for necessária para
efeitos dos interesses legítimos do responsável pelo tratamento ou do
subcontratante, que não seja qualificada como frequente ou maciça e que o
responsável pelo tratamento ou o subcontratante tenha avaliado todas as
circunstâncias relativas à operação de transferência de dados ou ao conjunto de
operações de transferência de dados e, com base nessa avaliação, tiver
apresentado garantias adequadas quanto à proteção de dados pessoais, se for
caso disso. 2. Uma transferência efetuada
nos termos do n.º 1, alínea g), não deve envolver a totalidade dos dados
pessoais nem categorias completas de dados pessoais constantes do registo. Sempre que o registo se destinar a ser consultado por
pessoas com um interesse legítimo, a transferência apenas pode ser efetuada a
pedido dessas pessoas ou caso sejam elas os seus destinatários. 3. Sempre
que o tratamento tiver por base o n.º 1, alínea h), o responsável pelo
tratamento ou o subcontratante deve atender especialmente à natureza dos dados,
à finalidade e à duração do tratamento ou tratamentos previstos, bem como à
situação no país de origem, no país terceiro e no país de destino final, e
apresentar as garantias adequadas relativamente à proteção de dados pessoais,
se for caso disso. 4. As
alíneas b), c) e h) do n.º 1 não são aplicáveis a atividades executadas por
autoridades no exercício dos seus poderes públicos. 5. O
interesse público referido no n.º 1, alínea d), deve ser reconhecido pelo
direito da União ou do Estado-Membro ao qual o responsável pelo tratamento se
encontre sujeito. 6. O responsável pelo tratamento
ou o subcontratante deve documentar, nos termos do artigo 28.º, a avaliação e
as garantias adequadas apresentadas, referidas no n.º 1, alínea h), e informa a
autoridade de controlo da transferência. 7. São
atribuídas competências à Comissão para adotar atos delegados em conformidade
com o artigo 86.º, a fim de especificar mais concretamente os «motivos
importantes de interesse público» na aceção do n.º 1, alínea d), bem como os
critérios e requisitos aplicáveis às garantias adequadas referidos no n.º 1,
alínea h). Artigo 45.º
Cooperação internacional no domínio da proteção de
dados pessoais 1. Em relação a países terceiros
e a organizações internacionais, a Comissão e as autoridades de controlo devem adotar
as medidas necessárias para: (a) Elaborar mecanismos de cooperação
internacionais eficazes visando facilitar a aplicação da legislação relativa à
proteção de dados pessoais; (b) Prestar assistência
mútua a nível internacional no domínio da aplicação da legislação de proteção
de dados pessoais, incluindo através da notificação, transmissão das queixas,
assistência na investigação e intercâmbio de informações, sob reserva das
garantias adequadas para a proteção dos dados pessoais e outros direitos e
liberdades fundamentais; (c) Associar as partes
interessadas relevantes nas discussões e atividades com vista à promoção da
cooperação internacional na aplicação da legislação relativa à proteção de
dados pessoais; (d) Promover o
intercâmbio e a documentação da legislação e das práticas em matéria de proteção
de dados pessoais. 2. Para efeitos da aplicação do
n.º 1, a Comissão deve adotar as medidas necessárias para intensificar as
relações com os países terceiros ou as organizações internacionais e, em
especial, as suas autoridades de controlo, sempre que a Comissão tiver
declarado, mediante decisão, que asseguram um nível de proteção adequado na
aceção do artigo 41.º, n.º 3. CAPÍTULO VI
AUTORIDADES DE CONTROLO
INDEPENDENTES SECÇÃO
1
ESTATUTO
INDEPENDENTE Artigo 46.º
Autoridade de controlo 1. Cada Estado-Membro deve
estabelecer que uma ou mais autoridades públicas sejam responsáveis pela
fiscalização da aplicação do presente regulamento e por contribuir para a sua
aplicação coerente no conjunto da União, a fim de proteger os direitos e
liberdades fundamentais das pessoas singulares relativamente ao tratamento dos
seus dados pessoais e facilitar a livre circulação desses dados na União. Para esse efeito, as autoridades de controlo devem cooperar
entre si e com a Comissão. 2. Sempre que um Estado-Membro
institui várias autoridades de controlo, deve designar aquela que funciona como
ponto de contacto único tendo em vista uma participação efetiva dessas
autoridades no Comité Europeu para a Proteção de Dados, e estabelecer o
mecanismo para assegurar o respeito, pelas outras autoridades, das regras
relativas ao mecanismo de controlo da coerência referido no artigo 57.º. 3. Cada Estado-Membro notifica a
Comissão das disposições do direito nacional que adotar por força deste
capítulo, o mais tardar na data fixada no artigo 92.º, n.º 2 e, sem demora,
qualquer alteração posterior às mesmas. Artigo 47.º
Independência 1. A autoridade de controlo
exerce com total independência as funções que lhe forem atribuídas. 2. Os
membros da autoridade de controlo, no exercício das suas funções, não solicitam
nem aceitam instruções de outrem. 3. Os
membros da autoridade de controlo devem abster-se de qualquer ato incompatível
com as suas funções e, durante o seu mandato, não podem desempenhar qualquer
atividade profissional, remunerada ou não. 4. Após
cessarem as suas funções, os membros da autoridade de controlo devem agir com
integridade e discrição relativamente à aceitação de determinadas funções e
benefícios. 5. Cada
Estado-Membro assegura que a autoridade de controlo disponha de recursos
humanos, técnicos e financeiros apropriados, bem como de instalações e
infraestruturas, necessários à execução eficaz das suas funções e poderes,
incluindo as executadas no contexto de assistência mútua, da cooperação e da
participação no Comité Europeu para a Proteção de Dados. 6 Cada
Estado-Membro assegura que a autoridade de controlo disponha do seu próprio
pessoal, que é designado pelo diretor da autoridade de controlo e está sujeito
às suas ordens. 7. Os
Estados-Membros asseguram que a autoridade de controlo fica sujeita a um
controlo financeiro que não afete a sua independência. Os Estados-Membros
garantem que a autoridade de controlo disponha de orçamentos anuais próprios.
Os orçamentos serão objeto de publicação. Artigo 48.º
Condições gerais aplicáveis aos membros da autoridade
de controlo 1. Os Estados-Membros
estabelecem que os membros da autoridade de controlo são nomeados pelos respetivos
parlamentos ou governos. 2. Os membros são escolhidos
entre as pessoas que ofereçam todas as garantias de independência e cuja
experiência e conhecimentos técnicos necessários para o exercício das suas
funções, em especial no domínio da proteção de dados pessoais, seja comprovada. 3. As funções de um membro
cessam findo o termo do seu mandato, demissão ou destituição, nos termos do n.º
5. 4. Um membro
pode ser declarado demissionário ou privado do seu direito à pensão ou a outros
benefícios equivalentes por decisão de um tribunal nacional competente se
deixar de preencher os requisitos necessários ao exercício das suas funções ou
tiver cometido uma falta grave. 5. Um
membro, cujo mandato termine, ou que se demita, deve continuar a exercer as
suas funções até à nomeação de um novo membro. Artigo 49.º
Regras relativas à constituição da autoridade de controlo Cada
Estado-Membro estabelece por via legislativa, nos limites do presente
regulamento: (a) A constituição e o estatuto da autoridade
de controlo; (b) As qualificações, a
experiência e as competências para o exercício das funções de membro da
autoridade de controlo; (c) As regras e os
procedimentos para a nomeação dos membros da autoridade de controlo, bem como
as regras relativas a ações ou atividades profissionais incompatíveis com a
função; (d) A duração do mandato
dos membros da autoridade de controlo, que não pode ser inferior a quatro anos,
salvo no que se refere ao primeiro mandato após a entrada em vigor do presente
regulamento, que pode ter uma duração mais curta quando for necessário proteger
a independência da autoridade de controlo através de um procedimento de
nomeações escalonadas; (e) O caráter renovável
ou não do mandato dos membros da autoridade de controlo; (f) O estatuto e as
condições comuns que regulam as funções dos membros e do pessoal da autoridade
de controlo; (g) As regras e os
procedimentos relativos à cessação das funções dos membros da autoridade de
controlo, incluindo quando deixem de preencher os requisitos necessários ao
exercício das suas funções ou se tiverem cometido uma falta grave. Artigo 50.º
Sigilo profissional Os membros e o pessoal da autoridade de
controlo ficam sujeitos, durante o respetivo mandato e após a sua cessação, à
obrigação de sigilo profissional quanto a quaisquer informações confidenciais a
que tenham tido acesso no desempenho das suas funções oficiais. SECÇÃO
2
FUNÇÕES
E PODERES Artigo 51.º
Competência 1. Cada autoridade de controlo
exerce, no território do seu Estado-Membro, os poderes que lhe são conferidos
em conformidade com o presente regulamento. 2. Sempre
que o tratamento de dados pessoais ocorrer no contexto das atividades de um
responsável pelo tratamento ou de um subcontratante estabelecido na União, e o
responsável pelo tratamento ou o subcontratante estiver estabelecido em vários
Estados-Membros, a autoridade de controlo do Estado-Membro onde se situar o
estabelecimento principal do responsável pelo tratamento ou do subcontratante é
competente para controlar as atividades de tratamento do responsável pelo
tratamento ou do subcontratante em todos os Estados-Membros, sem prejuízo do
disposto no Capítulo VII do presente regulamento. 3. A
autoridade de controlo não tem competência para controlar operações de
tratamento efetuadas por tribunais que atuem no exercício da sua função
jurisdicional. Artigo 52.º
Funções 1. Incumbe à autoridade de
controlo: (a) Controlar e assegurar a aplicação do
presente regulamento; (b) Receber as queixas
apresentadas por qualquer titular de dados ou por uma associação que o
represente nos termos do artigo 73.º, examinar a matéria, na medida do
necessário, e informar a pessoa em causa ou a associação do andamento e do
resultado da queixa num prazo razoável, em especial se forem necessárias
operações de investigação ou de coordenação complementares com outra autoridade
de controlo; (c) Partilhar informações
com outras autoridades de controlo, prestar‑lhes assistência mútua e assegurar
a coerência de aplicação e execução do presente regulamento; (d) Conduzir
investigações por sua própria iniciativa ou com base numa queixa ou a pedido de
outra autoridade de controlo, e informar o titular dos dados, num prazo
razoável, do resultado das operações de investigação, caso aquele tenha
apresentado queixa a esta autoridade de controlo; (e) Acompanhar factos
novos relevantes, na medida em que tenham incidência na proteção de dados
pessoais, particularmente a evolução a nível das tecnologias da informação e
das comunicações e das práticas comerciais; (f) Ser consultada pelas
instituições e organismos do Estado-Membro quanto a medidas legislativas e
administrativas relacionadas com a proteção dos direitos e liberdades no que
diz respeito ao tratamento de dados pessoais; (g) Autorizar e ser
consultada relativamente às operações de tratamento referidas no artigo 34.º (h) Emitir pareceres sobre projetos de
códigos de conduta, nos termos do artigo 38.º, n.º 2; (i) Aprovar as regras
vinculativas para empresas, nos termos do artigo 43.º; (j) Participar nas
atividades do Comité Europeu para a Proteção de Dados. 2. Cada autoridade de controlo
deve promover a sensibilização do público para os riscos, regras, garantias e
direitos associados ao tratamento de dados pessoais. As atividades
especificamente dirigidas para as crianças devem ser objeto de uma atenção
especial. 3. A
autoridade de controlo deve, a pedido, aconselhar qualquer titular de dados
sobre o exercício dos seus direitos decorrentes do presente regulamento e, se
for caso disso, coopera com as autoridades de controlo de outros
Estados-Membros para esse efeito. 4. No que respeita às queixas
referidas no n.º 1, alínea b), a autoridade de controlo deve fornecer um
formulário de queixa, que possa ser preenchido eletronicamente, sem excluir
outros meios de comunicação. 5. O exercício das funções da
autoridade de controlo é gratuito para o titular dos dados. 6. Sempre
que os pedidos sejam manifestamente abusivos, particularmente devido ao seu
caráter repetitivo, a autoridade de controlo pode exigir o pagamento de uma
taxa, ou não adotar as medidas solicitadas pelo titular dos dados. Incumbe à
autoridade de controlo o ónus de provar o caráter manifestamente abusivo do
pedido. Artigo 53.º
Poderes 1. Cada autoridade de controlo
está habilitada a: (a) Notificar o responsável pelo tratamento
ou o subcontratante de uma alegada violação das disposições que regulam o
tratamento de dados pessoais e, se for caso disso, ordenar que o responsável
pelo tratamento ou o subcontratante sanem essa violação, através de medidas
específicas, a fim de melhorar a proteção do titular dos dados; (b) Ordenar ao
responsável pelo tratamento ou ao subcontratante que satisfaça os pedidos de
exercício de direitos apresentados pelo titular dos dados previstos no presente
regulamento; (c) Ordenar que o
responsável pelo tratamento ou o subcontratante e, se for caso disso, o
representante, forneça quaisquer informações pertinentes para o exercício das
suas funções; (d) Assegurar o respeito da autorização
prévia e da consulta prévia referidas no artigo 34.º; (e) Dirigir advertências
ou admoestações ao responsável pelo tratamento ou ao subcontratante; (f) Ordenar a retificação,
o apagamento ou a destruição de todos os dados que tenham sido objeto de
tratamento em violação do disposto no presente regulamento, bem como a
notificação dessas medidas a terceiros a quem tenham sido divulgados os dados; (g) Proibir temporária ou
definitivamente um tratamento de dados; (h) Suspender o
intercâmbio de dados com um destinatário num país terceiro ou com uma
organização internacional; (i) Emitir pareceres
sobre qualquer questão relacionada com a proteção de dados pessoais; (j) Informar o
parlamento nacional, o governo e outras instituições políticas, bem como o
público, sobre qualquer assunto relacionado com a proteção de dados pessoais. 2. Cada autoridade de controlo
tem o poder de investigação para obter do responsável pelo tratamento ou do
subcontratante: (a) O acesso a todos os dados pessoais e a
todas as informações necessárias ao exercício das suas funções; (b) O acesso a todas as suas instalações,
incluindo a qualquer equipamento e meios de tratamento de dados, se existir um
motivo razoável para presumir que aí é exercida uma atividade contrária ao
presente regulamento. Os poderes referidos na alínea b) são exercidos em
conformidade com o direito da União e dos Estados‑Membros. 3. Cada autoridade de controlo é
competente para levar ao conhecimento das autoridades judiciais a violação do
presente regulamento e para intervir em processos judiciais, em especial nos
termos do artigo 74.º, n.º 4, e do artigo 75.º, n.º 2. 4. Cada
autoridade de controlo é competente para sancionar as infrações
administrativas, em especial as referidas no artigo 79.º, n.os 4, 5 e 6. Artigo 54.º
Relatório de atividades Cada autoridade de controlo elabora um
relatório anual de atividades. O relatório é apresentado ao parlamento nacional
e tornado público e disponibilizado à Comissão e ao Comité Europeu para a
Proteção de Dados. CAPÍTULO VII COOPERAÇÃO E COERÊNCIA SECÇÃO 1
COOPERAÇÃO Artigo 55.º
Assistência mútua 1. As autoridades de controlo
devem comunicar entre si qualquer informação útil e prestar assistência mútua a
fim de executar e aplicar o presente regulamento de forma coerente, bem como
adotar medidas para cooperarem eficazmente entre si. A
assistência mútua inclui, em especial, pedidos de informação e medidas de
controlo, tais como pedidos de autorização prévia e de consulta prévia,
inspeções e comunicação rápida de informações sobre a abertura de dossiês e a
sua evolução sempre que titulares de dados noutros Estados‑Membros possam ser
afetados por operações de tratamento. 2. Cada
autoridade de controlo deve adotar todas as medidas adequadas necessárias para
satisfazer o pedido de outra autoridade de controlo sem demora e, o mais
tardar, um mês após a receção do pedido. Essas medidas podem incluir,
particularmente, a transmissão de informações úteis sobre o desenrolar de um
inquérito ou medidas de execução para fazer cessar ou proibir operações de
tratamento de dados contrárias ao presente regulamento. 3. O pedido
de assistência deve incluir todas as informações necessárias, incluindo a
finalidade e as razões do pedido. As informações trocadas só devem ser
utilizadas para os efeitos para que foram solicitadas. 4. Uma
autoridade de controlo à qual tenha sido dirigido um pedido não pode recusar
dar‑lhe cumprimento, salvo se: (a) Não for competente para examinar o
pedido; ou (b) Dar seguimento ao pedido for incompatível
com o disposto no presente regulamento. 5. A autoridade de controlo
requerida deve informar a autoridade de controlo requerente dos resultados
obtidos ou, consoante o caso, do andamento do dossiê ou das medidas adotadas
para satisfazer o pedido da autoridade de controlo requerente. 6. As autoridades de controlo devem fornecer as informações
solicitadas por outras autoridades de controlo através de meios eletrónicos, e
dentro do prazo mais curto possível, mediante a utilização
de um formato normalizado. 7. Não é cobrada qualquer taxa
por qualquer medida tomada na sequência de um pedido de assistência mútua. 8. Sempre
que uma autoridade de controlo não adotar medidas no prazo de um mês a contar
da data do pedido de outra autoridade de controlo, a autoridade de controlo
requerente pode adotar medidas provisórias no território do seu Estado-Membro,
em conformidade com o artigo 51.º, n.º 1, e deve apresentar a matéria ao Comité
Europeu para a Proteção de Dados, em conformidade com o procedimento previsto
no artigo 57.º. 9. A autoridade de controlo deve
especificar o período de validade da medida provisória adotada. Esse período
não pode ser superior a três meses. A autoridade de controlo comunica essas
medidas sem demora e devidamente fundamentadas ao Comité Europeu para a
Proteção de Dados e à Comissão. 10. A Comissão pode especificar o
formato e os procedimentos para a assistência mútua referidos neste artigo, bem
como as modalidades de intercâmbio eletrónico de informações entre as
autoridades de controlo e entre as autoridades de controlo e o Comité Europeu
para a Proteção de Dados, nomeadamente o formato normalizado referido no n.º 6.
Os atos de execução correspondentes são adotados em
conformidade com o procedimento de exame referido no artigo 87.º, n.º 2. Artigo 56.º
Operações conjuntas das
autoridades de controlo 1. A fim de intensificar a
cooperação e a assistência mútua, as autoridades de controlo devem realizar
missões de investigação conjuntas, medidas de execução conjuntas e outras
operações conjuntas nas quais participem membros ou pessoal pertencente às
autoridades de controlo de outros Estados-Membros. 2. Nos casos em que as operações
de tratamento possam prejudicar titulares de dados em vários Estados-Membros, uma autoridade de controlo de cada
um dos Estados‑Membros em causa tem o direito de
participar nas missões de investigação conjuntas ou nas operações conjuntas,
consoante o caso. A autoridade de controlo competente convida a autoridade de
controlo de cada Estado-Membro a participar nas missões de
investigação conjuntas ou nas operações conjuntas em causa na respetiva
operação e responde rapidamente ao pedido da autoridade de controlo que
pretenda participar nas operações. 3. Cada autoridade de controlo pode, na qualidade de autoridade de controlo do Estado‑Membro de
acolhimento, em conformidade com o seu direito nacional, e com a autorização da autoridade de controlo do Estado‑Membro de origem, confiar poderes de execução, nomeadamente missões de investigação,
aos membros ou ao pessoal da autoridade de controlo do Estado‑Membro de origem envolvidos nas operações conjuntas ou
autorizar, na medida em que a legislação nacional da autoridade
de controlo do Estado‑Membro de acolhimento o permita, os
membros ou o pessoal da autoridade de controlo do Estado‑Membro de origem a exercer os seus poderes de execução, em
conformidade com a legislação nacional da autoridade de
controlo do Estado‑Membro de origem. Esses poderes podem ser exercidos apenas sob a orientação e,
em regra, na presença de membros ou pessoal da autoridade
controlo do Estado‑Membro de acolhimento. Os membros ou
pessoal da autoridade de controlo do
Estado‑Membro de origem estão sujeitos ao direito nacional da autoridade de controlo do Estado‑Membro de
acolhimento. A autoridade de controlo
do Estado‑Membro de acolhimento assume a responsabilidade pelos seus atos. 4. As autoridades de controlo devem estabelecer as
modalidades práticas de ações de cooperação específicas. 5. Sempre que uma autoridade de
controlo não cumprir, no prazo de um mês, a obrigação estabelecida no n.º 2, as
outras autoridades de controlo são competentes para adotar uma medida
provisória no território do seu Estado-Membro, nos termos do artigo 51.º, n.º
1. 6. A autoridade de controlo deve
especificar o período de validade da medida provisória referida no n.º 5. Esse período não pode ser superior a três meses. A
autoridade de controlo comunica essas medidas sem demora e devidamente
fundamentadas ao Comité Europeu para a Proteção de Dados e à Comissão, e
apresenta essa matéria no âmbito do mecanismo referido no artigo 57.º. SECÇÃO 2
Coerência Artigo 57.º
Mecanismo de controlo da coerência Para os efeitos previstos no artigo 46.º, n.º
1, as autoridades de controlo devem cooperar entre si e com a Comissão no
âmbito do mecanismo de controlo da coerência previsto na presente secção. Artigo 58.º
Parecer do Comité Europeu para a Proteção de Dados 1. Antes da adotar uma medida
referida no n.º 2, qualquer autoridade de controlo comunica o projeto de medida
ao Comité Europeu para a Proteção de Dados e à Comissão. 2. A obrigação estabelecida no
n.º 1 aplica-se a uma medida destinada a produzir efeitos
jurídicos e que: (a) Esteja relacionada com atividades de
tratamento associadas à oferta de bens ou serviços a titulares de dados em
vários Estados-Membros, ou com controlo do seu comportamento; ou (b) Possa prejudicar sensivelmente a livre
circulação de dados pessoais na União Europeia; ou (c) Vise adotar uma lista
de operações de tratamento de dados sujeitas a consulta prévia, nos termos do
artigo 34.º, n.º 5; ou (d) Vise determinar
cláusulas-tipo de proteção de dados referidas no artigo 42.º, n.º 2, alínea c);
ou (e) Vise autorizar
cláusulas contratuais conforme referidas no artigo 42.º, n.º 2, alínea d); ou (f) Vise aprovar regras
vinculativas para empresas na aceção do artigo 43.º. 3. Qualquer autoridade de
controlo ou o Comité Europeu para a Proteção de Dados pode
solicitar que qualquer matéria seja tratada através do mecanismo de controlo da
coerência, em especial se uma autoridade de controlo não
submeter para exame um projeto de medida referido no n.º 2, ou não cumprir as
obrigações de assistência mútua nos termos do artigo 55.º, ou as operações
conjuntas nos termos do artigo 56.º. 4. A fim de assegurar a
aplicação correta e coerente do presente regulamento, a
Comissão pode solicitar que qualquer matéria seja tratada através do mecanismo
de controlo da coerência. 5. As
autoridades de controlo e a Comissão comunicam por
via eletrónica, utilizando um formato normalizado, quaisquer
informações pertinentes incluindo, consoante o caso, um resumo dos factos, o
projeto de medida e os motivos que tornaram necessário adotar tal medida. 6. O
presidente do Comité Europeu para a Proteção de Dados informa de imediato por via eletrónica, utilizando
um formato normalizado, os membros deste comité e a
Comissão sobre quaisquer informações pertinentes que lhe tenham sido
comunicadas. O presidente do Comité
Europeu para a Proteção de Dados deve comunicar, se necessário, traduções das
informações pertinentes. 7. O Comité
Europeu para a Proteção de Dados emite um parecer sobre o assunto se os seus
membros assim o decidirem por maioria simples, ou se qualquer autoridade de
controlo ou a Comissão assim o solicitarem, no prazo de uma semana após a
comunicação das informações pertinentes nos termos do n.º 5. O parecer é
adotado no prazo de um mês por maioria simples dos membros do Comité Europeu
para a Proteção de Dados. O presidente do Comité Europeu para a Proteção de
Dados informa do parecer, sem demora injustificada, a autoridade de controlo
referida, consoante o caso, no n.º
1 ou no n.º 3, a Comissão e a autoridade de controlo competente nos termos do
artigo 51.º, e torna-o público. 8. A
autoridade de controlo referida no n.º 1 e a autoridade de controlo competente
por força do artigo 51.º têm em conta o parecer do Comité Europeu para a
Proteção de Dados e, no prazo de duas semanas a contar da data da comunicação
do parecer pelo presidente do referido comité, comunicam por
via eletrónica ao presidente do Comité Europeu para a
Proteção de Dados e à Comissão se mantêm ou alteram o projeto de medida e, se
for caso disso, o projeto de medida alterado, utilizando
para o efeito um formato normalizado. Artigo 59.º
Parecer da Comissão 1. No prazo de dez semanas a
contar da data em que a questão foi suscitada nos termos do artigo 58.º, ou o
mais tardar no prazo de seis semanas no caso previsto no artigo 61.º, a
Comissão pode adotar, a fim de assegurar a aplicação correta e coerente do
presente regulamento, um parecer relativo às questões suscitadas nos termos dos
artigos 58.º ou 61.º 2. Sempre
que a Comissão tiver adotado um parecer em conformidade com o n.º 1, a
autoridade de controlo em causa deve ter na melhor conta esse parecer e
informar a Comissão e o Comité Europeu para a Proteção de Dados da sua intenção
de manter ou alterar o seu projeto de medida. 3. Durante o
período referido no n.º 1, a autoridade de controlo abstém-se de adotar o projeto
de medida. 4. Sempre
que a autoridade de controlo em causa não pretenda conformar‑se com o parecer
da Comissão, deve deste facto informar a Comissão e o Comité Europeu para a
Proteção de Dados no prazo referido no n.º 1, e apresentar a devida justificação.
Neste caso, o projeto de medida não deve ser aprovado durante um prazo
suplementar de um mês. Artigo 60.º
Suspensão de um projeto de medida 1. No prazo de um mês a contar
da comunicação referida no artigo 59.º, n.º 4, e se a Comissão tiver sérias dúvidas
quanto a saber se o projeto de medida permite assegurar a aplicação correta do
presente regulamento ou se, pelo contrário, resulta numa aplicação incoerente
do mesmo, a Comissão pode adotar uma decisão fundamentada a impor à autoridade
de controlo a suspensão da adoção do projeto de medida, tendo em consideração o
parecer emitido pelo Comité Europeu para a Proteção de Dados nos termos do
artigo 58.º, n.º 7, ou do artigo 61.º, n.º 2, sempre que tal se revele
necessário para: (a) Aproximar as posições divergentes da
autoridade de controlo e do Comité Europeu para a Proteção de Dados, se o mesmo
ainda se afigurar possível; ou (b) Adotar uma medida nos termos do artigo
62.º, n.º 1, alínea a). 2. A Comissão deve especificar o
prazo da suspensão, que não pode ser superior a 12 meses. 3. Durante o período referido no
n.º 2, a autoridade de controlo não pode adotar o projeto de medida. Artigo 61.º
Procedimento de urgência 1. Em circunstâncias
excecionais, sempre que uma autoridade de controlo considere que é urgente
intervir a fim de proteger os interesses de titulares de dados, em especial
quando existir o risco de impedimento considerável do exercício de um direito
da pessoa em causa através de uma alteração da situação existente, ou para
evitar inconvenientes superiores ou por outras razões, pode, através da
derrogação do procedimento previsto no artigo 58.º, adotar imediatamente
medidas provisórias com um determinado período de validade. A autoridade de controlo comunica essas medidas sem demora
e devidamente fundamentadas ao Comité Europeu para a Proteção de Dados e à
Comissão. 2. Sempre que a autoridade de controlo tiver tomado uma medida
nos termos do n.º 1, e considerar necessário adotar urgentemente medidas
definitivas, pode solicitar um parecer urgente ao Comité Europeu para a
Proteção de Dados, fundamentando o seu pedido, incluindo os motivos da urgência
de medidas definitivas. 3. Qualquer autoridade de
controlo pode solicitar um parecer urgente sempre que a autoridade de controlo
competente não tiver tomado uma medida adequada numa situação que careça de
ação urgente em que é necessário proteger os interesses dos titulares de dados,
apresentando os motivos para o pedido de parecer, incluindo os motivos da
urgência de ação imediata. 4. Por derrogação do artigo
58.º, n.º 7, um parecer urgente referido nos n.os 2 e 3 é adotado no prazo
de duas semanas por maioria simples dos membros do Comité Europeu para a
Proteção de Dados. Artigo 62.º
Atos de execução 1. A Comissão pode adotar atos
de execução para: (a) Decidir sobre a aplicação correta do
presente regulamento em conformidade com os seus objetivos e requisitos
relativamente a matérias comunicadas pelas autoridades de controlo nos termos
do artigo 58.º ou do artigo 61.º, a respeito de uma matéria em relação à qual
tenha sido adotada uma decisão fundamentada nos termos do artigo 60.º, n.º 1,
ou a respeito de uma matéria em relação à qual uma autoridade de controlo omita
submeter um projeto de medida e tenha indicado que tenciona não se conformar
com o parecer da Comissão adotado nos termos do artigo 59.º; (b) Decidir, no prazo fixado no artigo 59.º,
n.º 1, sobre a aplicabilidade geral de projetos de cláusulas-tipo de proteção
de dados, tal como referidas no artigo 58.º, n.º 2, alínea d); (c) Especificar o formato
e os procedimentos para a aplicação do mecanismo de controlo da coerência
previsto na presente secção; (d) Especificar as
modalidades de intercâmbio eletrónico de informações entre as autoridades de
controlo e entre estas autoridades de controlo e o Comité Europeu para a
Proteção de Dados, nomeadamente o formato normalizado referido no artigo 58.º, n.os 5, 6 e 8. Os atos de execução correspondentes são adotados
em conformidade com o procedimento de exame referido no artigo 87.º, n.º 2. 2. Por imperativos urgentes
devidamente justificados relacionados com os interesses de titulares de dados
referidos no n.º 1, alínea a), a Comissão pode adotar atos de execução
imediatamente aplicáveis, em conformidade com o procedimento referido no artigo
87.º, n.º 3. Esses atos permanecem em vigor por um
período não superior a 12 meses. 3. A falta
ou a adoção de uma medida nos termos da presente secção não prejudica qualquer
outra medida adotada pela Comissão ao abrigo dos Tratados. Artigo 63.º
Aplicação 1. Para efeitos do presente
regulamento, uma medida de execução da autoridade de controlo de um
Estado-Membro deve ser aplicada em todos os Estados-Membros em causa. 2. Sempre
que uma autoridade de controlo omitir apresentar um projeto de medida para
exame do mecanismo de controlo da coerência em violação do artigo 58.º, n.os 1 a 5, a medida da autoridade de controlo não será
juridicamente válida nem terá força executória. Secção
3
Comité
Europeu para a Proteção de Dados Artigo 64.º
Comité Europeu para a Proteção de Dados 1. É criado um Comité Europeu
para a Proteção de Dados. 2. O Comité
Europeu para a Proteção de Dados é composto pelo diretor de uma autoridade de
controlo de cada Estado-Membro e da Autoridade Europeia para a Proteção de
Dados. 3. Sempre
que, num Estado-Membro, mais do que uma autoridade de controlo seja responsável
pelo controlo da aplicação do disposto no presente regulamento, essas
autoridades devem designar o diretor de uma delas como representante comum. 4. A
Comissão tem o direito de participar nas atividades e reuniões do Comité
Europeu para a Proteção de Dados e designa um representante. O presidente do
Comité Europeu para a Proteção de Dados informa, sem demora, a Comissão de
todas as atividades do Comité Europeu para a Proteção de Dados. Artigo 65.º
Independência 1. O Comité Europeu para a
Proteção de Dados é independente no exercício das suas funções, nos termos dos
artigos 66.º e 67.º. 2. Sem
prejuízo dos pedidos da Comissão referidos no artigo 66.º, n.º 1, alínea b), e
n.º 2, o Comité Europeu para a Proteção de Dados, no exercício das suas
funções, não solicita nem recebe instruções de outrem. Artigo 66.º
Atribuições do Comité
Europeu para a Proteção de Dados 1. O Comité Europeu para a
Proteção de Dados deve assegurar a aplicação coerente do presente regulamento. Para o efeito, o Comité Europeu para a Proteção de Dados,
por sua iniciativa ou a pedido da Comissão, deve em especial: (a) Aconselhar a Comissão sobre qualquer
questão relacionada com a proteção de dados pessoais na União, nomeadamente
sobre qualquer projeto de alteração do presente regulamento; (b) Analisar, por sua
própria iniciativa, ou a pedido de um dos seus membros, ou a pedido da
Comissão, qualquer questão relativa à aplicação do presente regulamento e
emitir diretrizes, recomendações e boas práticas destinadas às autoridades de
controlo, a fim de incentivar a aplicação coerente do presente regulamento; (c) Examinar a aplicação
prática das diretrizes, recomendações e boas práticas referidas na alínea b) e
informar regularmente a Comissão sobre esta matéria; (d) Emitir pareceres
relativos aos projetos de decisão das autoridades de controlo nos termos do
mecanismo de controlo da coerência referido no artigo 57.º; (e) Promover a cooperação
e o intercâmbio bilateral e plurilateral efetivo de informações e práticas
entre as autoridades de controlo; (f) Promover programas
de formação comuns e facilitar o intercâmbio de pessoal entre as autoridades de
controlo, bem como com as autoridades de controlo de países terceiros ou de
organizações internacionais, se for caso disso; (g) Promover o
intercâmbio de conhecimentos e de documentação em relação a práticas e
legislação no domínio da proteção de dados com autoridades de controlo de todos
os países. 2. Sempre que a Comissão consultar
o Comité Europeu para a Proteção de Dados pode fixar um prazo para a formulação
do referido parecer, tendo em conta a urgência da questão. 3. O Comité
Europeu para a Proteção de Dados transmite os seus pareceres, diretrizes e boas
práticas à Comissão e ao comité referido no artigo 87.º, e procede à sua
publicação. 4. A
Comissão informa o Comité Europeu para a Proteção de Dados das medidas adotadas
na sequência de pareceres, diretrizes, recomendações e boas práticas emitidos
pelo referido comité. Artigo 67.º
Relatórios 1. O Comité Europeu para a
Proteção de Dados informa a Comissão, regularmente e em tempo útil, sobre o
resultado das suas atividades. Deve elaborar um
relatório anual sobre a situação da proteção das pessoas singulares no que diz
respeito ao tratamento de dados pessoais na União e em países terceiros. O relatório deve incluir o exame da aplicação
prática das diretrizes, recomendações e boas práticas referidas no artigo 66.º,
n.º 1, alínea c). 2. O relatório é publicado e
transmitido ao Parlamento Europeu, ao Conselho e à Comissão. Artigo 68.º
Procedimento 1. O Comité Europeu para a
Proteção de Dados toma as suas decisões por maioria simples dos seus membros. 2. O Comité
Europeu para a Proteção de Dados adota o seu regulamento interno e determina as
suas modalidades de funcionamento. Em especial, adota disposições relativas à
continuação do exercício de funções aquando do termo do mandato de um membro ou
em caso de demissão de um membro, à criação de subgrupos para temas ou setores
específicos e aos procedimentos que aplica relativamente ao mecanismo de
controlo da coerência referido no artigo 57.º. Artigo 69.º
Presidente 1. O Comité Europeu para a
Proteção de Dados elege um presidente e dois vice‑presidentes entre os seus
membros. Um dos vice-presidentes é a Autoridade
Europeia para a Proteção de Dados, salvo se tiver sido eleita presidente. 2. O mandato do presidente e dos
vice-presidentes tem a duração de cinco anos e é renovável. Artigo 70.º
Funções do presidente 1. O presidente tem as seguintes
funções: (a) Convocar as
reuniões do Comité Europeu para a Proteção de Dados e preparar a respetiva
ordem do dia; (b) Assegurar o
exercício, dentro dos prazos, das funções do Comité Europeu para a Proteção de
Dados, em especial em relação ao mecanismo de controlo da coerência referido no
artigo 57.º. 2. O Comité Europeu para a
Proteção de Dados estabelece no seu regulamento interno a repartição de funções
entre o presidente e os vice-presidentes. Artigo 71.º
Secretariado 1. O Comité Europeu para a
Proteção de Dados é assistido por um secretariado. Este é assegurado pela Autoridade Europeia para a Proteção de Dados. 2. O
secretariado fornece, sob a direção do presidente, apoio de caráter analítico,
administrativo e logístico ao Comité Europeu para a Proteção de Dados. 3. O secretariado é responsável,
em especial: (a) Pela gestão corrente do Comité Europeu
para a Proteção de Dados; (b) Pela comunicação
entre os membros do Comité Europeu para a Proteção de Dados, o seu presidente e
a Comissão, e pela comunicação com outras instituições e o público; (c) Pelo recurso a meios
eletrónicos para a comunicação interna e externa; (d) Pela tradução de
informações pertinentes; (e) Pela preparação e
acompanhamento das reuniões do Comité Europeu para a Proteção de Dados; (f) Pela preparação,
redação e publicação dos pareceres e outros textos adotados pelo Comité Europeu
para a Proteção de Dados. Artigo 73.º
Confidencialidade 1. Os debates do Comité Europeu
para a Proteção de Dados são confidenciais. 2. Os documentos
apresentados aos membros do Comité Europeu para a Proteção de Dados, aos
peritos e aos representantes de países terceiros são confidenciais, salvo se
for concedido acesso a esses documentos nos termos do Regulamento n.º
1049/2001, ou se o Comité Europeu para a Proteção de Dados os tornar públicos
de outro modo. 3. Os
membros do Comité Europeu para a Proteção de Dados, bem como os peritos e os
representantes de países terceiros têm de respeitar as obrigações de
confidencialidade previstas no presente artigo. O presidente assegura que os
peritos e os representantes de países terceiros sejam informados dos requisitos
que são obrigados a respeitar em matéria de confidencialidade. CAPÍTULO VIII VIAS DE RECURSO, RESPONSABILIDADE E SANÇÕES Artigo 73.º
Direito de apresentar queixa a uma autoridade de
controlo 1. Sem prejuízo de qualquer
outra via de recurso administrativo ou judicial, todos os titulares de dados
têm o direito de apresentar queixa a uma autoridade de controlo em qualquer
Estado-Membro se considerarem que o tratamento dos seus dados pessoais não
respeita o presente regulamento. 2. Qualquer organismo, organização ou associação que vise
proteger os direitos e interesses dos titulares de dados em relação à proteção
dos seus dados pessoais e que esteja devidamente constituído ao abrigo do
direito de um Estado-Membro, tem o direito de apresentar queixa a uma
autoridade de controlo em qualquer Estado‑Membro por conta de uma ou mais
pessoas em causa, se considerar que os direitos de que beneficia um titular de
dados por força do presente regulamento foram violados na sequência do
tratamento dos seus dados pessoais. 3. Independentemente de uma queixa do titular dos dados,
qualquer organismo, organização ou associação referidos no n.º 2 tem o direito
de apresentar queixa a uma autoridade de controlo em qualquer Estado-Membro, se
considerar ter havido uma violação de dados pessoais. Artigo 74.º
Direito de ação judicial
contra uma autoridade de controlo 1. Qualquer pessoa singular ou coletiva tem o direito de ação judicial
contra todas as decisões de uma autoridade competente que lhe digam respeito. 2. Qualquer
titular de dados tem o direito de ação judicial a fim de obrigar a autoridade
de controlo a dar seguimento a uma queixa, na falta de uma decisão necessária
para proteger os seus direitos, ou se a autoridade de controlo não informar a
pessoa em causa, no prazo de três meses, sobre o andamento ou o resultado da
sua queixa nos termos do artigo 52.º, n.º 1, alínea b). 3. As ações contra uma autoridade
de controlo são intentadas nos tribunais do Estado‑Membro em cujo território se
encontra estabelecida a autoridade de controlo. 4. Qualquer titular de dados
afetado por uma decisão de uma autoridade de controlo de um Estado-Membro
diferente daquela da sua residência habitual, pode solicitar à autoridade de
controlo do Estado-Membro onde reside habitualmente que intente uma ação em seu
nome contra a autoridade de controlo competente do outro Estado‑Membro. 5. Os
Estados-Membros executam as decisões definitivas proferidas pelos tribunais
referidos no presente artigo. Artigo 75.º
Direito de ação judicial contra um responsável pelo
tratamento ou um subcontratante 1. Sem prejuízo de uma via de recurso
administrativo disponível, nomeadamente o direito de apresentar queixa a uma
autoridade de controlo, previsto no artigo 73.º, qualquer pessoa singular tem o
direito de ação judicial se considerar ter havido violação dos direitos que lhe
assistem nos termos do presente regulamento, na sequência do tratamento dos
seus dados pessoais, efetuado em violação do referido regulamento. 2. A ação judicial
contra um responsável pelo tratamento ou um subcontratante é intentada nos
tribunais do Estado-Membro em que o responsável pelo tratamento ou o
subcontratante dispõe de um estabelecimento. Em alternativa, tal ação pode ser intentada
nos tribunais do Estado-Membro em que o titular dos dados tem a sua residência
habitual, salvo se o responsável pelo tratamento for uma autoridade no
exercício das suas prerrogativas de poder público. 3. Sempre
que estiver a decorrer um procedimento no quadro do mecanismo de controlo da
coerência, previsto no artigo 58.º, que diga respeito à mesma medida, decisão
ou prática, um tribunal pode suspender a instância, salvo se a urgência da
matéria para a proteção dos direitos do titular dos dados não permitir aguardar
pelo resultado do procedimento em curso no quadro do mecanismo de controlo da
coerência. 4. Os
Estados-Membros executam as decisões definitivas proferidas pelos tribunais
referidos no presente artigo. Artigo 76.º
Regras comuns para os procedimentos judiciais 1. Qualquer organismo,
organização ou associação referido no artigo 73.º, n.º 2, está habilitado a
exercer os direitos previstos nos artigos 74.º e 75.º, por conta de um ou mais
titulares de dados. 2. Cada
autoridade de controlo tem o direito de intervir em processos judiciais e intentar
uma ação num tribunal, a fim de fazer aplicar o disposto no presente
regulamento ou assegurar a coerência da proteção de dados pessoais na União. 3. Sempre que um tribunal
competente de um Estado-Membro tiver motivos razoáveis para considerar que
corre um processo paralelo noutro Estado-Membro, esse tribunal deve contactar o
tribunal competente do primeiro Estado-Membro para obter a confirmação da existência
desse processo paralelo. 4. Sempre que um processo
paralelo num Estado-Membro disser respeito à mesma medida, decisão ou prática,
o tribunal pode suspender a instância. 5. Os Estados-Membros devem
assegurar que as vias de recurso disponíveis no direito nacional permitam a
adoção rápida de medidas, incluindo medidas provisórias, destinadas a pôr termo
a alegadas infrações e a evitar outros prejuízos para os interesses em causa. Artigo 77.º
Direito de indemnização e responsabilidade 1. Qualquer pessoa que tenha
sofrido um prejuízo devido ao tratamento ilícito ou outro ato incompatível com
o presente regulamento, tem o direito de receber uma indemnização do
responsável pelo tratamento ou do subcontratante pelo prejuízo sofrido. 2. Sempre
que vários responsáveis pelo tratamento ou subcontratantes estiverem envolvidos
no tratamento de dados, cada um deles é conjunta e solidariamente responsável
pelo montante total dos danos. 3. O responsável pelo tratamento
ou o subcontratante pode ser exonerado dessa responsabilidade, total ou
parcialmente, se provar que o facto que causou o dano não lhe é imputável. Artigo 78.º
Sanções 1. Os Estados-Membros
estabelecem as disposições relativas às sanções aplicáveis a infrações ao
disposto no presente regulamento e tomam todas as medidas necessárias para
assegurar a sua execução, incluindo quando o responsável pelo tratamento não
respeitou a obrigação de designar um representante. As
sanções previstas devem ser efetivas, proporcionadas e dissuasivas. 2. Sempre
que o responsável pelo tratamento tiver designado um representante, as sanções
são aplicadas ao representante, sem prejuízo de quaisquer sanções que possam
vir a ser aplicadas contra o responsável pelo tratamento. 3. Cada Estado-Membro notifica à
Comissão as disposições do direito nacional que adotar por força do n.º 1, o
mais tardar na data fixada no artigo 91.º, n.º 2 e, sem demora, qualquer
alteração subsequente das mesmas. Artigo 79.º
Sanções administrativas 1. Cada autoridade de controlo
deve estar habilitada a aplicar sanções administrativas em conformidade com o
presente artigo. 2. A sanção administrativa deve
ser, em cada caso, efetiva, proporcionada e dissuasiva. O montante da sanção
administrativa é fixado tendo devidamente em conta a natureza, a gravidade e a
duração da violação, o caráter intencional ou negligente da infração, o grau de
responsabilidade da pessoa singular ou coletiva em causa e as infrações por ela
anteriormente cometidas, as medidas técnicas e organizativas e os procedimentos
aplicados nos termos do artigo 23.º, bem como o grau de cooperação com a
autoridade de controlo a fim de sanar a violação. 3. Em caso de uma primeira e não
intencional inobservância do presente regulamento, pode ser emitida uma
advertência por escrito não sendo aplicável qualquer sanção, sempre que: (f)
Uma pessoa singular proceda ao tratamento de dados
sem fins comerciais; ou (g)
Uma empresa ou uma organização com menos de 250
assalariados proceda ao tratamento de dados exclusivamente como atividade
acessória das suas atividades principais. 4. A
autoridade de controlo aplica uma multa até 250 000 EUR ou, no caso de uma
empresa, até 0,5% do seu volume de negócios mundial anual, a quem, de forma
intencional ou negligente: (h)
Não estabeleça os mecanismos que permitam aos
titulares de dados apresentar pedidos ou não responda atempadamente ou não o
faça no formato exigido às pessoas em causa, nos termos do artigo 12.º, n.os 1 e 2; (i)
Cobre uma taxa pelas informações ou respostas aos
pedidos dos titulares de dados, em violação do artigo 12.º, n.º 4; 5. A autoridade de controlo
aplica uma multa até 500 000 EUR ou, no caso de uma empresa, até 1% do seu
volume de negócios mundial anual, a quem, de forma intencional ou negligente: (a) Não forneça as informações, forneça
informações incompletas ou não forneça as informações de forma suficientemente
transparente ao titular dos dados, nos termos dos artigos 11.º, 12.º, n.º 3 e
artigo 14.º; (b) Não faculte o acesso
ao titular dos dados, não retifique os dados pessoais nos termos dos artigos
15.º e 16.º, ou não comunique as informações relevantes ao destinatário, nos
termos do artigo 13.º; (c) Não respeite o
direito a ser esquecido ou de apagamento, não aplique mecanismos para assegurar
o cumprimento dos prazos ou não tome todas as medidas necessárias para informar
terceiros do pedido do titular de dados de apagamento de quaisquer ligações, cópia ou reprodução dos dados pessoais, nos
termos do artigo 17.º; (d) Não forneça uma cópia
dos dados pessoais em formato eletrónico ou impeça o titular dos dados de
transferir os seus dados pessoais para outra aplicação, em violação do artigo
18.º; (e) Não defina, ou não
defina de forma suficiente, as obrigações dos responsáveis conjuntos pelo
tratamento, nos termos do artigo 24.º; (f) Não conserve, ou não
o faça de forma suficiente, a documentação nos termos do artigo 28.º, do artigo
31.º, n.º 4, e do artigo 44.º, n.º 3; (g) Não respeite, nos
casos que não envolvam categorias especiais de dados, nos termos dos artigos
80.º, 82.º e 83.º, as regras em matéria de liberdade de expressão, as regras
sobre o tratamento de dados pessoais em matéria laboral ou as condições para o
tratamento de dados para fins de investigação histórica, estatística e
científica. 6. A autoridade de controlo
aplica uma multa até 1 000 000 EUR ou, no caso de uma empresa,
até 2% do seu volume de negócios mundial anual, a quem, de forma intencional ou
negligente: (a) Proceda ao tratamento de dados pessoais
sem fundamento jurídico ou sem fundamento jurídico suficiente para esse fim ou
não cumpra as condições relativas ao consentimento, nos termos dos artigos 6.º,
7.º e 8.º; (b) Proceda ao tratamento
de categorias especiais de dados em violação dos artigos 9.º e 81.º; (c) Não respeite uma
oposição ou não se conforme com a obrigação prevista no artigo 19.º; (d) Não respeite as
condições relativas a medidas baseadas na definição de perfis, nos termos do
artigo 20.º; (e) Não
adote regras internas ou não execute medidas adequadas para assegurar e
comprovar o respeito das obrigações previstas nos artigos 22.º, 23.º e 30.º; (f) Não
designe um representante, nos termos do artigo 25.º; (g) Efetue
ou dê instruções para o tratamento de dados pessoais em violação das obrigações
relacionadas com o tratamento por conta de um responsável, nos termos dos
artigos 26.º e 27.º; (h) Não assinale ou
não notifique uma violação de dados pessoais, ou não notifique de forma
atempada ou completa a violação de dados à autoridade de controlo ou ao titular
dos dados, nos termos dos artigos 31.º e 32.º; (i) Não realize
uma avaliação de impacto sobre a proteção de dados ou efetue o tratamento de
dados pessoais sem autorização prévia ou consulta prévia da autoridade de
controlo, nos termos dos artigos 33.º e 34.º; (j) Não designe um
delegado para a proteção de dados ou não assegure as condições para o
cumprimento das suas funções, nos termos dos artigos 35.º, 36.º e 37.º; (l) Utilize
indevidamente um selo ou uma marca de proteção de dados na aceção do artigo
39.º; (m) Efetue ou dê
instruções para efetuar uma transferência de dados para um país terceiro ou uma
organização internacional que não seja autorizada por uma decisão de adequação,
ou por garantias adequadas, ou por uma derrogação, nos termos dos artigos 40.º
a 44.º; (n) Não respeite uma
ordem de proibição, temporária ou definitiva, relativa ao tratamento ou à
suspensão de fluxos de dados, emitida pela autoridade de controlo, nos termos
do artigo 53.º, n.º 1; (o) Não respeite as obrigações de
assistência, de resposta ou de prestação de informações pertinentes à
autoridade de controlo, ou de lhe facultar o acesso às instalações, nos termos
do artigo 28.º, n.º 3, do artigo 29.º, do artigo 34.º, n.º 6 e do artigo 53.º,
n.º 2; (p) Não respeite as regras de proteção do
sigilo profissional, nos termos do artigo 84.º. 7. São
atribuídas competências à Comissão para adotar atos delegados em conformidade
com o artigo 86.º, a fim de atualizar os montantes das multas administrativas
previstas nos n.os 4, 5
e 6, tendo em conta os critérios referidos no n.º 2. CAPÍTULO IX
DISPOSIÇÕES RELATIVAS A SITUAÇÕES ESPECÍFICAS
DE TRATAMENTO DE DADOS Artigo 80.º
Tratamento de dados pessoais e liberdade de expressão 1. Os
Estados-Membros devem estabelecer isenções ou derrogações às disposições sobre
os princípios gerais do Capítulo II, os direitos do titular dos dados do
Capítulo III, o responsável pelo tratamento e o subcontratante do Capítulo IV,
a transferência de dados pessoais para países terceiros e organizações
internacionais do Capítulo V, as autoridades de controlo independentes do
Capítulo VI e a cooperação e a coerência do Capítulo VII, para os tratamentos
de dados pessoais efetuados para fins exclusivamente jornalísticos ou de
expressão artística ou literária, desde que sejam necessárias para conciliar o
direito à proteção de dados pessoais com as regras que regem a liberdade de
expressão. 2. Cada Estado-Membro notifica à
Comissão as disposições de direito interno que adote nos termos do n.º 1, o
mais tardar na data prevista no artigo 91.º, n.º 2 e, sem demora, qualquer
alteração subsequente das mesmas. Artigo 81.º
Tratamento de dados pessoais relativos à saúde 1. Nos limites do presente
regulamento, e em conformidade com o artigo 9.º, n.º 2, alínea h), o tratamento
de dados pessoais relativos à saúde deve ter por base o direito da União ou a
legislação de um Estado-Membro, que deve prever medidas adequadas e específicas
que garantam os interesses legítimos do titular de dados, e ser necessário: (a) Para efeitos de medicina preventiva ou do
trabalho, diagnósticos médicos, prestação de cuidados de saúde ou tratamentos
médicos, ou gestão de serviços da saúde e sempre que o tratamento desses dados
for efetuado por um profissional da saúde sujeito ao segredo profissional, ou
por outra pessoa igualmente sujeita a uma obrigação de confidencialidade equivalente,
ao abrigo da legislação ou regulamentação do Estado-Membro estabelecida pelas
autoridades nacionais competentes; ou (b) Por
razões de interesse público no domínio da saúde pública, tais como a proteção
contra ameaças transfronteiriças graves para a saúde, ou para assegurar um
elevado nível de qualidade e segurança, nomeadamente para os medicamentos ou os
equipamentos médicos; ou (c) Por outras
razões de interesse público em domínios como a segurança social, em especial
para assegurar a qualidade e a rentabilidade quanto aos métodos utilizados para
regularizar pedidos de prestações e de serviços no regime de seguro de doença. 2. O
tratamento de dados pessoais no domínio da saúde que se revele necessário para
fins de investigação histórica, estatística ou científica, como a criação de
registos de doentes para melhoria de diagnósticos, distinguir entre tipos de
doenças semelhantes e elaborar estudos para terapias, estão sujeitos às
condições e garantias previstas no artigo 83.º. 3. São
atribuídas competências à Comissão para adotar atos delegados em conformidade
com o artigo 86.º, a fim de especificar mais concretamente outras razões de
interesse público no domínio da saúde pública na aceção do n.º 1, alínea b),
bem como o tratamento de dados pessoais para os efeitos referidos no n.º 1. Artigo 82.º
Tratamento de dados em matéria de emprego 1. Nos limites do presente
regulamento, os Estados-Membros podem adotar,
por via legislativa, regras específicas para o tratamento de dados pessoais dos
assalariados no contexto laboral, nomeadamente para efeitos de
recrutamento, celebração do contrato de trabalho, incluindo o respeito das
obrigações previstas por lei ou por convenções coletivas, gestão, planeamento e
organização do trabalho, saúde e segurança no trabalho, para efeitos de
exercício e gozo, individual ou coletivo, dos direitos e benefícios relacionado
com o emprego, bem como para efeitos de cessação da relação de trabalho. 2. Cada
Estado-Membro notifica à Comissão essas disposições do direito nacional que adote
nos termos do n.º 1, o mais tardar na data prevista no artigo 91.º, n.º 2 e,
sem demora, qualquer alteração subsequente das mesmas. 3. São
atribuídas competências à Comissão para adotar atos delegados em conformidade
com o artigo 86.º, a fim de especificar mais concretamente os critérios e os
requisitos aplicáveis às garantias relativas ao tratamento de dados pessoais
para os efeitos previstos no n.º 1. Artigo 83.º
Tratamento para fins de investigação histórica,
estatística e científica 1. Nos limites do presente
regulamento, os dados pessoais só podem ser objeto de tratamento para fins de
investigação histórica, estatística ou científica se: (a) Não for possível alcançar esses fins de
outro modo através do tratamento de dados que não permita ou tenha deixado de
permitir a identificação da pessoa em causa; (b) Os dados que permitem
ligar informações a um titular de dados identificado ou identificável forem
conservados separados de outras informações, desde que esses fins possam ser
atingidos deste modo. 2. Os organismos
que efetuem investigações históricas, estatísticas ou
científicas só podem publicar ou divulgar dados pessoais
se: (c) O titular dos dados tiver dado o seu
consentimento, sem prejuízo das condições estabelecidas no artigo 7.º; (b) A publicação dos
dados pessoais for necessária para a apresentação de resultados da investigação
ou para facilitar a investigação, desde que os interesses ou os direitos e
liberdades fundamentais do titular dos dados não prevaleçam sobre o interesse
da investigação; (c) O titular dos dados
tiver disponibilizado publicamente os dados. 3. São atribuídas competências à
Comissão para adotar atos delegados em conformidade com o artigo 86.º, a fim de
especificar mais concretamente os critérios e os requisitos aplicáveis ao
tratamento de dados pessoais para os efeitos referidos nos n.os 1 e 2, bem como
quaisquer restrições necessárias dos direitos de informação e de acesso do
titular dos dados, e especificar mais detalhadamente as condições e garantias
aplicáveis aos direitos do titular dos dados nas circunstâncias em causa. Artigo 84.º
Obrigações de sigilo 1. Nos limites do presente
regulamento, os Estados-Membros podem adotar regras específicas para
estabelecer os poderes de investigação das autoridades de controlo previstos no
artigo 53.º, n.º 2, relativamente a responsáveis pelo tratamento ou a
subcontratantes sujeitos, ao abrigo de legislação nacional ou de regras
adotadas pelas autoridades nacionais competentes, a uma obrigação de sigilo
profissional ou outras obrigações de sigilo equivalentes, sempre que estas se revelem necessárias e
proporcionais para conciliar direito de proteção de dados pessoais com a
obrigação de sigilo. Estas regras são aplicáveis
apenas no que diz respeito aos dados pessoais recebidos pelo responsável pelo
tratamento ou pelo subcontratante, ou que este tenha recolhido no âmbito de uma
atividade abrangida por essa obrigação de sigilo. 2. Cada Estado-Membro notifica a
Comissão das disposições que adotar nos termos do n.º 1, o mais tardar na data
prevista no artigo 91.º, n.º 2 e, sem demora, qualquer alteração subsequente
das mesmas. Artigo 85.º
Regras existentes sobre a proteção de dados das igrejas
e associações religiosas 1. Sempre que, num
Estado-Membro, as igrejas e associações ou comunidades religiosas apliquem, à
data de entrada em vigor do presente regulamento, um conjunto completo de
regras relacionadas com a proteção das pessoas singulares relativamente ao
tratamento de dados pessoais, essas regras podem continuar a ser aplicadas, desde
que conformes com o disposto no presente regulamento. 2. As
igrejas e associações religiosas que apliquem um conjunto completo de regras
nos termos do n.º 1, devem prever a criação de uma autoridade de controlo
independente, nos termos do Capítulo VI do presente regulamento. CAPÍTULO
X
ATOS DELEGADOS E ATOS DE EXECUÇÃO
Artigo 86.º
Exercício de delegação 1. É conferido à Comissão o
poder de adotar atos delegados, sob reserva das condições estabelecidas no
presente artigo. 2. A delegação de poderes a que
se refere o artigo 6.º, n.º 5, o artigo 8.º, n.º 3, o artigo 9.º, n.º 3, o
artigo 12.º, n.º 5, o artigo 14.º, n.º 7, o artigo 15.º, n.º 3, o artigo 17.º,
n.º 9, o artigo 20.º, n.º 6, o artigo 22.º, n.º 4, o artigo 23.º, n.º 3, o
artigo 26.º, n.º 5, o artigo 28.º, n.º 5, o artigo 30.º, n.º 3, o artigo 31.º,
n.º 5, o artigo 32.º, n.º 5, o artigo 33.º, n.º 6, o artigo 34.º, n.º 8, o
artigo 35.º, n.º 11, o artigo 37.º, n.º 2, o artigo 39.º, n.º 2, o artigo 43.º,
n.º 3, o artigo 44.º, n.º 7, o artigo 79.º, n.º 6, o artigo 81.º, n.º 3, o
artigo 82.º, n.º 3 e o artigo 83.º, n.º 3, é conferida à Comissão por um
período indeterminado a contar da data de entrada em vigor do presente
regulamento. 3. A delegação de poderes a que se refere o artigo 6.º, n.º 5,
o artigo 8.º, n.º 3, o artigo 9.º, n.º 3, o artigo 12.º, n.º 5, o artigo 14.º,
n.º 7, o artigo 15.º, n.º 3, o artigo 17.º, n.º 9, o artigo 20.º, n.º 6, o
artigo 22.º, n.º 4, o artigo 23.º, n.º 3, o artigo 26.º, n.º 5, o artigo 28.º,
n.º 5, o artigo 30.º, n.º 3, o artigo 31.º, n.º 5, o artigo 32.º, n.º 5, o
artigo 33.º, n.º 6, o artigo 34.º, n.º 8, o artigo 35.º, n.º 11, o artigo 37.º,
n.º 2, o artigo 39.º, n.º 2, o artigo 43.º, n.º 3, o artigo 44.º, n.º 7, o
artigo 79.º, n.º 6, o artigo 81.º, n.º 3, o artigo 82.º, n.º 3 e o artigo 83.º,
n.º 3, pode ser revogada a qualquer momento pelo Parlamento Europeu ou pelo
Conselho. A decisão de revogação põe termo à
delegação dos poderes nela especificados. A revogação produz efeitos no dia
seguinte ao da sua publicação no Jornal Oficial da União Europeia ou
numa data posterior nela especificada. A decisão de revogação não prejudica a
validade dos atos delegados já em vigor. 4. Logo que adote um ato delegado, a Comissão notifica-o
simultaneamente ao Parlamento Europeu e ao Conselho. 5. Um
ato delegado adotado em conformidade com o artigo 6.º, n.º 5, o artigo 8.º, n.º
3, o artigo 9.º, n.º 3, o artigo 12.º, n.º 5, o artigo 14.º, n.º 7, o artigo
15.º, n.º 3, o artigo 17.º, n.º 9, o artigo 20.º, n.º 6, o artigo 22.º, n.º 4,
o artigo 23.º, n.º 3, o artigo 26.º, n.º 5, o artigo 28.º, n.º 5, o artigo
30.º, n.º 3, o artigo 31.º, n.º 5, o artigo 32.º, n.º 5, o artigo 33.º, n.º 6,
o artigo 34.º, n.º 8, o artigo 35.º, n.º 11, o artigo 37.º, n.º 2, o artigo
39.º, n.º 2, o artigo 43.º, n.º 3, o artigo 44.º, n.º 7, o artigo 79.º, n.º 6,
o artigo 81.º, n.º 3, o artigo 82.º, n.º 3 e o artigo 83.º, n.º 3, só pode
entrar em vigor se não forem formuladas objeções pelo Parlamento Europeu ou
pelo Conselho no prazo de dois meses a contar da notificação desse ato ao
Parlamento Europeu e ao Conselho ou se, antes do termo do referido prazo, o
Parlamento Europeu e o Conselho tiverem informado a Comissão de que não
pretendem formular objeções. Esse prazo é prorrogável
por dois meses por iniciativa do Parlamento Europeu ou do Conselho. Artigo 87.º
Procedimento de comité 1. A Comissão é assistida por um
comité. Esse comité é um comité na aceção do
Regulamento (UE) n.º 182/2011. 2. Sempre que se faça
referência ao presente número, é aplicável o artigo 5.º do Regulamento (UE) n.º
182/2011. 3. Sempre que se faça
referência ao presente número, é aplicável o artigo 8.º do Regulamento (UE) n.º
182/2011 em conjugação com o seu artigo 5.º. CAPÍTULO XI DISPOSIÇÕES FINAIS Artigo 88.º
Revogação da Diretiva
95/46/CE 1. A Diretiva 95/46/CE é
revogada. 2. As referências à diretiva revogada são consideradas como referências
ao presente regulamento. As referências ao
Grupo de trabalho de proteção das pessoas singulares no que diz respeito ao
tratamento de dados pessoais, criado pelo artigo 29.º da Diretiva 95/46/CE, são
consideradas como referências ao Comité Europeu para a Proteção de Dados criado
pelo presente regulamento. Artigo 89.º
Relação com a Diretiva 2002/58/CE e alteração da mesma 1. O presente regulamento não
impõe obrigações suplementares a pessoas singulares ou coletivas no que
respeita ao tratamento de dados pessoais no contexto da prestação de serviços
de comunicações eletrónicas publicamente disponíveis nas redes públicas de
comunicações na União em matérias que estejam sujeitas a obrigações específicas
com o mesmo objetivo estabelecido na Diretiva 2002/58/CE. 2. O artigo 1.º, n.º 2, da
Diretiva 2002/58/CE é suprimido. Artigo 90.º
Avaliação A Comissão apresenta periodicamente ao
Parlamento Europeu e ao Conselho relatórios sobre a avaliação e reexame do
presente regulamento. O primeiro relatório deve ser
apresentado o mais tardar quatro anos após a entrada em vigor do presente
regulamento. Os relatórios subsequentes devem ser apresentados com uma
periodicidade de quatro anos. A Comissão apresentará, se necessário, propostas
adequadas com vista à alteração do presente regulamento e à sua adaptação a
outros instrumentos jurídicos atendendo, em especial, à evolução das
tecnologias das informações e aos progressos da sociedade da informação. Os
relatórios são objeto de publicação. Artigo 91.º
Entrada em vigor e aplicação 1. O presente regulamento entra
em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da
União Europeia. 2. O
presente regulamento é aplicável [dois anos a contar da data referida no n.º
1]. O presente regulamento é obrigatório
em todos os seus elementos e diretamente aplicável em todos os Estados-Membros. Feito em Bruxelas, em 25.1.2012 Pelo Parlamento Europeu Pelo
Conselho O Presidente O
Presidente FICHA FINANCEIRA LEGISLATIVA 1. CONTEXTO DA PROPOSTA/INICIATIVA 1.1. Denominação da proposta/iniciativa 1.2. Domínio(s)
de intervenção envolvido(s) de acordo com a estrutura ABM/ABB 1.3. Natureza
da proposta/iniciativa 1.4. Objetivo(s)
1.5. Justificação
da proposta/iniciativa 1.6. Duração
da ação e impacto financeiro 1.7. Modalidade(s)
de gestão prevista(s) 2. MEDIDAS DE GESTÃO 2.1. Disposições
em matéria de acompanhamento e prestação de informações 2.2. Sistema
de gestão e de controlo 2.3. Medidas
de prevenção de fraudes e irregularidades 3. IMPACTO FINANCEIRO ESTIMADO DA
PROPOSTA/INICIATIVA 3.1 Rubrica(s)
do quadro financeiro plurianual e rubrica(s) orçamental(is) de despesas
envolvida(s) 3.2 Impacto
estimado nas despesas 3.2 Síntese do impacto
estimado nas despesas 3.2.2. Impacto estimado nas
dotações operacionais 3.2.3. Impacto estimado nas
dotações de natureza administrativa 3.2.4. Compatibilidade com
o atual quadro financeiro plurianual 3.2.5. Participação de
terceiros no financiamento 3.3. Impacto estimado nas receitas FICHA
FINANCEIRA LEGISLATIVA
1.
CONTEXTO DA PROPOSTA/INICIATIVA
A presente ficha financeira indica de forma mais
detalhada os requisitos em termos de despesas administrativas, a fim de executar
a reforma da proteção de dados, conforme explicado na avaliação de impacto
correspondente. A reforma inclui duas propostas legislativas, um regulamento
geral de proteção de dados e uma diretiva relativa à proteção das pessoas
singulares em matéria de tratamento de dados pessoais pelas autoridades
competentes para efeitos de prevenção, investigação, deteção e repressão de
infrações penais ou de execução de sanções penais. A presente ficha financeira
abrange a incidência orçamental de ambos os instrumentos legislativos. Em conformidade com a repartição de funções, são
necessários recursos para a Comissão e para a Autoridade Europeia de Proteção
de Dados. No que se refere à Comissão, os recursos
necessários já se encontram incluídos nas perspetivas financeiras propostas
para 2014-2020. A proteção de dados é um dos objetivos do programa «Direitos e
Cidadania», que apoia igualmente medidas para a aplicação do quadro jurídico. As dotações administrativas que incluem necessidades de
pessoal estão englobadas no orçamento administrativo para a DG JUST. No que se refere à AEPD, será necessário ter em
conta os recursos necessários nos respetivos orçamentos anuais para a AEPD. Os
recursos encontram-se descritos mais pormenorizadamente no anexo da presente
ficha financeira. A fim de atribuir os recursos necessários para as novas
funções do Comité Europeu para a Proteção de Dados, cujo secretariado será
assegurado pela AEPD, é necessário reformular a rubrica 5 das perspetivas
financeiras para 2014-2020.
1.1.
Denominação da proposta/iniciativa
Proposta
de regulamento do Parlamento Europeu e do Conselho relativo à proteção das
pessoas singulares no que diz respeito ao tratamento de dados pessoais e à
livre circulação desses dados (regulamento geral de proteção de dados). Proposta
de diretiva do Parlamento Europeu e do Conselho relativa à proteção das pessoas
singulares no que diz respeito ao tratamento de dados pessoais pelas
autoridades competentes para efeitos de prevenção, investigação, deteção e de
repressão de infrações penais ou de execução de sanções penais, e à livre
circulação desses dados.
1.2.
Domínio(s) de intervenção envolvido(s) de
acordo com a estrutura ABM/ABB[49]
Justiça
- Proteção de dados pessoais A
incidência orçamental diz respeito à Comissão e à AEPD. A incidência sobre o
orçamento da Comissão encontra-se pormenorizada nas tabelas da presente ficha
financeira. As despesas operacionais fazem parte do «Programa Direitos e
Cidadania» e foram contempladas na ficha financeira para esse programa, uma vez
que as despesas administrativas estão incluídas na verba para a DG Justiça. Os elementos respeitantes à AEPD são apresentados no Anexo.
1.3.
Natureza da proposta/iniciativa
¨ A proposta/iniciativa
refere-se a uma nova ação ¨ A proposta/iniciativa
refere-se a uma nova ação na sequência de um
projeto-piloto/ação preparatória[50]
þ A proposta/iniciativa refere-se à prorrogação
de uma ação existente ¨ A proposta/iniciativa
refere-se a uma ação reorientada para uma nova
ação
1.4.
Objetivos
1.4.1.
Objetivo) estratégico(s) plurianual(ais) da Comissão
visado(s) pela proposta/iniciativa
A reforma visa cumprir
os objetivos originais propostos, tendo em consideração os novos
desenvolvimentos e desafios, ou seja: - Aumentar a eficácia do
direito fundamental à proteção de dados e permitir às pessoas o controlo dos
seus próprios dados, particularmente no contexto da evolução tecnológica e da
globalização crescente; -
Reforçar a dimensão do «mercado interno» na evolução da proteção de dados,
através da redução da fragmentação, do reforço da coerência e da simplificação
do quadro regulamentar, eliminando custos supérfluos e reduzindo os encargos
administrativos. Além disso, a entrada em
vigor do Tratado de Lisboa e, particularmente, a introdução de uma nova base
jurídica (artigo 16.º do TFUE) permite conseguir um novo objetivo, ou seja: - Criar um quadro de
proteção de dados abrangente que engloba vários domínios.
1.4.2.
Objetivo(s) específico(s) e atividade(s) ABM/ABB em
causa
Objetivo específico n.º 1 Assegurar a aplicação
coerente das regras de proteção de dados Objetivo específico n.º 2 Racionalizar o sistema de
governação para ajudar a assegurar uma aplicação mais coerente Atividade(s) ABM/ABB em
causa […]
1.4.3.
Resultado(s) e impacto esperados
Especificar os efeitos
que a proposta/iniciativa deve ter nos beneficiários/na população visada. No
que diz respeito aos responsáveis pelo tratamento dos dados, tanto as entidades
públicas como privadas beneficiarão de maior segurança jurídica graças à
harmonização e clarificação das regras e dos procedimentos da União em matéria
de proteção de dados, favorecendo a igualdade de condições e garantindo uma
aplicação coerente das regras de proteção de dados, bem como uma redução
significativa dos encargos administrativos. As
pessoas singulares beneficiarão de um maior controlo sobre os seus dados
pessoais, aumentando a sua confiança no ambiente digital, e permanecerão
protegidas, mesmo quando os seus dados forem objeto de tratamento no
estrangeiro. Beneficiarão igualmente de uma responsabilidade reforçada por
parte de quem efetua o tratamento dos dados pessoais. Um
sistema de proteção de dados global também cobrirá os domínios policiais e
judiciários, incluindo e indo além do antigo terceiro pilar.
1.4.4.
Indicadores de resultados e de impacto
Especificar os
indicadores que permitem acompanhar a execução da proposta/iniciativa. (cf. avaliação de
impacto, ponto 8) Os indicadores serão
avaliados periodicamente e devem incluir os seguintes elementos: • Tempo e custos
despendidos pelos responsáveis pelo tratamento de dados com o cumprimento da
legislação «noutros Estados-Membros» • Recursos
atribuídos às autoridades de proteção de dados • Delegados
para a proteção de dados designados em entidades públicas e privadas • Utilização
feita da avaliação de impacto sobre a proteção de dados • Número
de queixas apresentadas por titulares de dados e indemnizações recebidas pelas
pessoas em causa • Número
de casos conducentes à acusação de responsáveis pelo tratamento de dados • Multas
aplicadas aos responsáveis pelo tratamento de dados por violação da proteção
dos dados.
1.5.
Justificação da proposta/iniciativa
1.5.1.
Necessidade(s) a satisfazer a curto ou a longo
prazo
As atuais divergências na execução, interpretação e
aplicação da diretiva pelos Estados-Membros limitam o funcionamento do
mercado interno e a cooperação entre as autoridades relativamente às políticas
da União. Este facto vai contra o objetivo fundamental da diretiva de
facilitar a livre circulação de dados pessoais no mercado interno. A rapidez da
evolução das novas tecnologias e a globalização agravam ainda mais este
problema. As pessoas beneficiam de direitos em matéria de proteção
de dados diferentes devido à fragmentação e à execução e aplicação incoerentes
nos diferentes Estados-Membros. Além disso, frequentemente as pessoas não
conhecem nem controlam o que acontece aos seus dados pessoais e, por
isso, não exercem os seus direitos de forma efetiva.
1.5.2.
Valor acrescentado da participação da UE
Os
Estados-Membros não podem reduzir os problemas que se colocam na situação
atual. É particularmente o caso dos problemas
decorrentes da fragmentação das legislações nacionais de aplicação do quadro
regulamentar de proteção de dados da UE. Assim, existem fortes razões que
justificam um quadro jurídico para a proteção de dados a nível da União. Existe
uma necessidade especial de criação de um quadro harmonizado e coerente que
permita a adequada transferência transfronteiriça de dados pessoais na UE,
garantindo simultaneamente a proteção efetiva a todas as pessoas singulares no
conjunto da UE.
1.5.3.
Lições tiradas de experiências anteriores
semelhantes
A
presente proposta tem por base a experiência com a Diretiva 95/46/CE e responde
aos problemas decorrentes da transposição fragmentada e da execução da referida
diretiva, que impediram a concretização dos seus objetivos, ou seja, um elevado
nível de proteção de dados e um mercado único para proteção de dados.
1.5.4.
Coerência e eventual sinergia com outros
instrumentos relevantes
O presente pacote de
reforma de proteção de dados visa estabelecer um quadro de proteção de dados
sólido, coerente e moderno a nível da UE, neutro do ponto de vista tecnológico,
e que seja suficientemente protetor para as futuras décadas. Deve beneficiar as
pessoas - ao reforçar os seus direitos de proteção de dados, particularmente no
ambiente digital - e deve simplificar o ambiente jurídico para as empresas e o
setor público, estimulando assim o desenvolvimento da economia digital no
mercado interno da UE e para além das suas fronteiras, em linha com os
objetivos da Estratégia Europa 2020. A parte essencial do
pacote de reforma legislativa da proteção de dados é constituída por: – Um regulamento
que substitui a Diretiva 95/46/CE; – Uma diretiva
relativa à proteção das pessoas singulares no que respeita ao tratamento de
dados pessoais pelas autoridades competentes para efeitos de prevenção,
deteção, investigação e repressão de infrações penais ou de execução de sanções
penais, e a livre circulação desses dados. Estas propostas
legislativas são acompanhadas de um relatório relativo à execução, pelos
Estados-Membros, do que é atualmente o principal instrumento da UE no domínio
da cooperação policial e judiciária em matéria penal, a Decisão-Quadro
2008/977/JAI.
1.6.
Duração da ação e impacto financeiro
¨ Proposta/iniciativa de duração
limitada 1.
¨ Proposta/iniciativa com efeitos entre [DD/MM]AAAA e [DD/MM]AAAA 2.
¨ Impacto financeiro no período compreendido entre AAAA e AAAA þ Proposta/iniciativa de duração
ilimitada 1.
Aplicação com um período de arranque entre 2014 e
2016, 2.
seguido de um período de aplicação a ritmo de
cruzeiro.
1.7.
Modalidade(s) de gestão prevista(s)[51]
þ Gestão centralizada direta por parte da Comissão ¨ Gestão centralizada indireta por delegação de funções de execução: 3.
¨ nas agências de execução 4.
¨ nos organismos criados pelas Comunidades[52] 5. ¨ nos organismos
nacionais do setor público/organismos com missão de serviço público 3.
¨ nas pessoas encarregadas da execução de ações específicas nos termos
do Título V do Tratado da União Europeia, identificadas no ato de base
pertinente na aceção do artigo 49.º do Regulamento Financeiro ¨ Gestão partilhada
com os Estados-Membros ¨ Gestão descentralizada com países terceiros ¨ Gestão conjunta com
organizações internacionais (especificar) Se for indicada mais de uma modalidade de gestão, queira
especificar na secção «Observações». Observações //
2.
MEDIDAS DE GESTÃO
2.1.
Disposições em matéria de acompanhamento e
prestação de informações
Especificar a
periodicidade e as condições A
primeira avaliação deve ter lugar três anos após a entrada em vigor dos
instrumentos. Está incluída nos instrumentos uma cláusula de reexame explícita,
com base na qual a Comissão deve avaliar a execução. A Comissão deve,
subsequentemente, prestar informações ao Parlamento Europeu e ao Conselho,
relativas à avaliação efetuada. São necessárias avaliações posteriores, que
devem ter lugar cada quatro anos. Deve ser aplicada a metodologia de avaliação
da Comissão. Estas avaliações devem ser efetuadas com a ajuda de estudos
específicos relativos à execução dos instrumentos, questionários a autoridades
nacionais de proteção de dados, debates com especialistas, sessões de trabalho,
inquéritos do Eurobarómetro, entre outros.
2.2.
Sistema de gestão e de controlo
2.2.1.
Risco(s) identificado(s)
Para acompanhar as
propostas de regulamento e de diretiva, foi efetuada uma avaliação de impacto
da reforma do quadro legislativo para a proteção de dados na UE. O
novo instrumento jurídico introduz um mecanismo de controlo da coerência, que
assegura que as autoridades de controlo independentes nos Estados-Membros aplicam
o quadro de uma forma consistente e coerente. O mecanismo funcionará através de
um comité constituído por diretores das autoridades nacionais de controlo e da
Autoridade Europeia para a Proteção de Dados (AEPD), e que substituirá o atual
Grupo de Trabalho do artigo 29.º. A Autoridade Europeia para a Proteção de
Dados assegurará o secretariado desse comité. No
caso de eventuais decisões divergentes das autoridades dos Estados-Membros, o
Comité para a Proteção de Dados deve ser consultado a fim de emitir um parecer
sobre a matéria. Se este procedimento falhar, ou se uma autoridade de controlo
recusar seguir o parecer, a Comissão poderá, a fim de assegurar a aplicação
correta e coerente do presente regulamento, emitir um parecer ou, se
necessário, adotar uma decisão, sempre que tenha sérias dúvidas sobre se o
projeto de medida assegurará a correta aplicação do presente regulamento ou se
resultará numa aplicação incoerente. O
mecanismo de controlo da coerência requer recursos adicionais para a AEPD (12
ETC e dotações administrativas e operacionais adequadas, por exemplo para
operações e sistemas TI) no que respeita ao secretariado e para a Comissão (5
ETC e dotações administrativas e operacionais correspondentes) no que respeita
ao tratamento de casos de coerência.
2.2.2.
Meio(s) de controlo previsto(s)
Os
meios de controlo existentes aplicados pela AEPD e pela Comissão cobrirão as
dotações adicionais.
2.3.
Medidas de prevenção de fraudes e irregularidades
Especificar as medidas de prevenção e de proteção existentes ou previstas
As medidas existentes de
prevenção de fraudes aplicadas pela AEPD e pela Comissão cobrirão as dotações
adicionais.
3.
IMPACTO FINANCEIRO ESTIMADO DA PROPOSTA/INICIATIVA
3.1.
Rubrica(s) do quadro financeiro plurianual e
rubrica(s) orçamental(is) de despesas envolvida(s)
1.
Rubricas orçamentais existentes Pela ordem das rubricas do quadro financeiro
plurianual e das respetivas rubricas orçamentais. Rubrica do quadro financeiro plurianual || Rubrica orçamental || Tipo de despesas || Participação Número [Descrição………………………...……….] || DD/DND ([53]) || dos países EFTA[54] || dos países candidatos[55] || de países terceiros || na aceção do artigo 18.º, n.º 1, alínea a), do Regulamento Financeiro || || || || || ||
3.2.
Impacto estimado nas despesas
3.2.1.
Síntese do impacto estimado nas despesas
Em
milhões de EUR (3 casas decimais) Rubrica do quadro financeiro plurianual || Número || || || || Ano N[56]= 2014 || Ano N+1 || Ano N+2 || Ano N+3 || ... inserir o número de anos necessários para refletir a duração do impacto (ver ponto 1.6) || TOTAL Dotações operacionais || || || || || || || || Número da rubrica orçamental || Autorizações || (1) || || || || || || || || Pagamentos || (2) || || || || || || || || Número da rubrica orçamental || Autorizações || (1a) || || || || || || || || Pagamentos || (2a) || || || || || || || || Dotações de natureza administrativa financiadas a partir da dotação de programas específicos[57] || || || || || || || || Número da rubrica orçamental || || (3) || || || || || || || || TOTAL das dotações para a DG || Autorizações || =1+1a +3 || || || || || || || || Pagamentos || =2+2a+3 || || || || || || || || TOTAL das dotações operacionais || Autorizações || (4) || || || || || || || || Pagamentos || (5) || || || || || || || || TOTAL das dotações de natureza administrativa financiadas a partir da dotação de programas específicos || (6) || || || || || || || || TOTAL das dotações no âmbito da RUBRICA 3 do quadro financeiro plurianual || Autorizações || =4+ 6 || || || || || || || || Pagamentos || =5+ 6 || || || || || || || || Se o impacto da proposta/iniciativa incidir sobre mais
de uma rubrica: TOTAL das dotações operacionais || Autorizações || (4) || || || || || || || || Pagamentos || (5) || || || || || || || || TOTAL das dotações de natureza administrativa financiadas a partir da dotação de programas específicos || (6) || || || || || || || || TOTAL das dotações no âmbito da RUBRICAS 1 a 4 do quadro financeiro plurianual (quantia de referência) || Autorizações || =4+ 6 || || || || || || || || Pagamentos || =5+ 6 || || || || || || || || Rubrica do quadro financeiro plurianual || 5 || «Despesas administrativas» Em milhões de EUR (3 casas decimais) || || || Ano N= 2014 || Ano 2015 || Ano 2016 || Ano 2017 || Ano 2018 || Ano 2019 || Ano 2020 || TOTAL DG: JUST || Recursos humanos || || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 20,454 Outras despesas administrativas || || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 3,885 TOTAL DG JUST || || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339 TOTAL das dotações no âmbito da RUBRICA 5 do quadro financeiro plurianual || (Total das autorizações = Total dos pagamentos || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339 Milhões de euros (3 casas decimais) || || || Ano N[58] || Ano N+1 || Ano N+2 || Ano N+3 || ... inserir o número de anos necessário para refletir a duração do impacto (ver ponto 1.6) || TOTAL TOTAL das dotações no âmbito da RUBRICAS 1 a 5 do quadro financeiro plurianual || Autorizações || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339 Pagamentos || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339
3.2.2.
Impacto estimado nas dotações operacionais
6.
þ A proposta/iniciativa não acarreta a utilização de dotações de
natureza operacional Um elevado nível de proteção de dados pessoais
é também um dos objetivos do Programa «Direitos e Cidadania». 7.
¨ A proposta/iniciativa acarreta a utilização de dotações operacionais,
tal como explicitado seguidamente: Dotações de autorização em milhões de EUR (3 casas
decimais) Indicar os objetivos e as realizações ò || || || Ano N=2014 || Ano N+1 || Ano N+2 || Ano N+3 || ... inserir o número de anos necessários para refletir a duração do impacto (ver ponto 1.6) || TOTAL REALIZAÇÕES Tipo de realizações[59] || Custo médio da realização || Número de realizações || Custo || Número de realizações || Custo || Número de realizações || Custo || Número de realizações || Custo || Número de realizações || Custo || Número de realizações || Custo || Número de realizações || Custo || Número total de realizações || Total custo OBJETIVO ESPECÍFICO N.º 1 || - Realizações || Dossiês[60] || || || || || || || || || || || || || || || || || Subtotal dos objetivos específicos N.° 1 || || || || || || || || || || || || || || || || OBJETIVO ESPECÍFICO N.º 2 || - Realizações || Casos[61] || || || || || || || || || || || || || || || || || Subtotal do objetivo específico n.° 2 || || || || || || || || || || || || || || || || CUSTO TOTAL || || || || || || || || || || || || || || || ||
3.2.3.
Impacto estimado nas dotações de natureza
administrativa
3.2.3.1.
Síntese
8.
¨ A proposta/iniciativa não acarreta a utilização de dotações de
natureza administrativa 9.
þ A proposta/iniciativa não acarreta a utilização de dotações de
natureza administrativa, tal como explicitado seguidamente: Em milhões de EUR (3
casas decimais) || Ano N [62] 2014 || Ano 2015 || Ano 2016 || Ano 2017 || Ano 2018 || Ano 2019 || Ano 2020 || TOTAL RUBRICA 5 do quadro financeiro plurianual || || || || || || || || Recursos humanos || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 20,454 Outras despesas administrativas || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 3,885 Subtotal RUBRICA 5 do quadro financeiro plurianual || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339 Com exclusão da RUBRICA 5[63] do quadro financeiro plurianual || || || || || || || || Recursos humanos || || || || || || || || Outras despesas de natureza administrativa || || || || || || || || Subtotal com exclusão da RUBRICA 5 do quadro financeiro plurianual || || || || || || || || TOTAL || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339
3.2.3.2.
Necessidades estimadas de recursos humanos
10.
¨ A proposta/iniciativa não acarreta a utilização de recursos
humanos 11.
þ A proposta/iniciativa acarreta a utilização de recursos
humanos, tal como explicitado seguidamente: As estimativas devem ser expressas em números
inteiros (ou, no máximo, com uma casa decimal) || Ano 2014 || Ano 2015 || Ano 2016 || Ano 2017 || Ano 2018 || Ano 2019 || Ano 2020 Lugares do quadro de pessoal (funcionários e agentes temporários) XX 01 01 01 (na sede e nos gabinetes de representação da Comissão) || 22 || 22 || 22 || 22 || 22 || 22 || 22 XX 01 01 02 (nas delegações) || || || || || || || Pessoal externo (em equivalente a tempo completo) ETC)[64] XX 01 02 01 (AC, TT, PND da dotação global) || 2 || 2 || 2 || 2 || 2 || 2 || 2 XX 01 02 02 (AC, TT, JPD, AL E PND nas delegações) || || || || || || || XX 01 04 aa [65] || - na sede[66] || || || || || || || - nas delegações || || || || || || || XX 01 05 02 (AC, TT, PND relativamente à investigação indireta) || || || || || || || 10 01 05 02 (AC, TT, PND relativamente à investigação direta) || || || || || || || Outra rubrica orçamental (a especificar) || || || || || || || TOTAL || 24 || 24 || 24 || 24 || 24 || 24 || 24 XX constitui o
domínio de intervenção ou título em causa Com a reforma, a
Comissão terá de desempenhar novas funções no domínio da proteção das pessoas
singulares no que respeita ao tratamento de dados pessoais, para além das
atualmente desempenhadas. As funções adicionais consistem principalmente na
execução do novo mecanismo de controlo da coerência que irá assegurar a
aplicação coerente e harmonizada da legislação relativa à proteção de dados, a
avaliação do nível de adequação de países terceiros, em relação à qual a
Comissão será a única responsável, e na preparação de medidas de execução e
atos delegados. As outras funções atualmente desempenhadas pela Comissão (por
exemplo, a elaboração de políticas, controlo da transposição, ações de
sensibilização, gestão de queixas, etc.) mantêm‑se inalteradas. As necessidades de recursos
humanos devem ser cobertas pelos efetivos da DG já afetados à gestão da ação
e/ou reafetados internamente a nível da DG, completadas, caso necessário, por
eventuais dotações adicionais que sejam atribuídas à DG gestora no quadro do
processo anual de atribuição e no limite das disponibilidades orçamentais. Descrição das tarefas
a executar: Funcionários e agentes temporários || Responsáveis pelos dossiês, que tratem o mecanismo de controlo da coerência, para assegurar a uniformidade da execução das regras de proteção de dados da UE. As funções incluem investigação e análise de casos apresentados para decisão pelas autoridades dos Estados-Membros, negociação com os Estados-Membros e preparação das decisões da Comissão. Com base na experiência recente, podem surgir anualmente entre 5 a 10 casos de recurso ao mecanismo de controlo da coerência. O tratamento de pedidos sobre o nível de adequação exige interação direta com o país requerente, por exemplo a gestão de estudos de peritos sobre as condições no país, avaliação das condições, preparação das decisões relevantes da Comissão e do procedimento, incluindo do comité que assiste a Comissão e quaisquer organismos especializados, se adequado. Com base na experiência atual, preveem-se até 4 pedidos sobre o nível de adequação por ano. O procedimento de adoção de medidas de execução inclui medidas preparatórias, como documentos de análise, consultas de investigação e públicas, bem como a elaboração do atual instrumento e gestão do processo de negociação nos comités relevantes e outros grupos, e contactos com as partes interessadas em geral. Nos domínios que exigem uma orientação mais precisa, podem ser tratadas até três medidas de execução por ano, enquanto o procedimento pode levar até 24 meses, dependendo do grau de intensidade das consultas. Pessoal externo || Apoio administrativo e de secretariado
3.2.4.
Compatibilidade com o atual quadro financeiro
plurianual
12.
¨ Proposta/iniciativa é compatível com o próximo quadro
financeiro plurianual 13.
þ A proposta/iniciativa requer uma reprogramação da rubrica
pertinente do quadro financeiro plurianual O quadro
seguinte indica o montante dos recursos financeiros da AEPD necessários
anualmente para a execução das suas novas funções de assegurar os serviços de
secretariado do Comité Europeu para a Proteção de Dados e os procedimentos e
instrumentos conexos durante o período do próximo quadro financeiro, para além
dos já incluídos na previsão. Ano || 2014 || 2015 || 2016 || 2017 || 2018 || 2019 || 2020 || TOTAL Pessoal, etc. || 1,555 || 1,555 || 1,543 || 1,543 || 1,543 || 1,543 || 1,543 || 10,823 Operações || 0,850 || 1,500 || 1,900 || 1,900 || 1,500 || 1,200 || 1,400 || 10,250 TOTAL || 2,405 || 3,055 || 3,443 || 3,443 || 3,043 || 2,743 || 2,943 || 21,073 14.
¨ A proposta/iniciativa requer a mobilização do Instrumento de
Flexibilidade ou a revisão do quadro financeiro plurianual[67].
3.2.5.
Participação de terceiros no financiamento
15.
þA proposta/iniciativa não prevê o cofinanciamento por terceiros 16.
¨A proposta/iniciativa prevê o cofinanciamento estimado seguinte: Dotações em milhões de EUR (3 casas decimais) || Ano N || Ano N+1 || Ano N+2 || Ano N+3 || ... inserir o número de anos necessários para refletir a duração do impacto (ver ponto 1.6) || TOTAL Especificar o organismo de cofinanciamento || || || || || || || || TOTAL das dotações cofinanciadas || || || || || || || ||
3.3.
Impacto estimado nas receitas
17.
þ A proposta/iniciativa não tem impacto financeiro nas receitas. 18.
¨ A proposta/iniciativa tem o impacto financeiro a seguir
descrito: ·
¨ nos recursos próprios ·
¨ nas receitas diversas Milhões de euros (3 casas decimais) Rubrica orçamental das receitas: || Dotações disponíveis para o exercício em curso || Impacto da proposta/iniciativa[68] Ano N || Ano N+1 || Ano N+2 || Ano N+3 || ... inserir o número de colunas necessárias para refletir a duração do impacto (ver ponto 1.6) || || || || || || || || Relativamente
às receitas diversas que serão afetadas, especificar a(s) rubrica(s)
orçamental(is) de despesas envolvida(s) Especificar
o método de cálculo do impacto nas receitas Anexo da
ficha financeira legislativa da proposta de regulamento do Parlamento Europeu e
do Conselho relativo à proteção das pessoas singulares no que diz respeito ao
tratamento de dados pessoais. Metodologia aplicada
e principais pressupostos de base Os custos relacionados
com as novas funções a desempenhar pela Autoridade Europeia para a Proteção de
Dados (AEPD) resultantes das duas propostas foram calculados para despesas com
pessoal com base nas despesas atualmente incorridas pela Comissão para funções
similares. A AEPD assegurará o
secretariado do Comité Europeu para a Proteção de Dados, que substitui o Grupo
de Trabalho do artigo 29.º. Com base na atual carga de trabalho para esta
função, conclui-se a necessidade de 3 ETC adicionais, a acrescerem às despesas
administrativas e operacionais. Esta carga de trabalho terá início a contar da
data de entrada em vigor do regulamento. Além disso, a AEPD terá
uma função a nível do mecanismo de controlo da coerência, que irá exigir 5 ETC,
e do desenvolvimento e funcionamento de uma ferramenta de TI comum para as
autoridades nacionais de proteção de dados, que irá exigir 2 funcionários
adicionais. O
cálculo do aumento no orçamento de pessoal necessário para os primeiros sete
anos é apresentado mais
pormenorizadamente no quadro que se segue. Um segundo quadro apresenta o
orçamento operacional necessário. Estes elementos serão refletidos no Orçamento
da UE na Secção IX (AEPD). Tipo de Custo || Cálculo || Valor (em milhares) 2014 || 2015 || 2016 || 2017 || 2018 || 2019 || 2020 || TOTAL Vencimentos e subsídios || || || || || || || || || - do presidente da AEPD || || 0,300 || 0,300 || 0,300 || 0,300 || 0,300 || 0,300 || 0,300 || 2,100 - dos funcionários e agentes temporários || =7*0,127 || 0,889 || 0,889 || 0,889 || 0,889 || 0,889 || 0,889 || 0,889 || 6,223 - dos PND || =1*0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,511 - dos agentes contratuais || =2*0,064 || 0,128 || 0,128 || 0,128 || 0,128 || 0,128 || 0,128 || 0,128 || 0,896 Despesas relacionadas com o recrutamento || =10*0,005 || 0,025 || 0,025 || 0,013 || 0,013 || 0,013 || 0,013 || 0,013 || 0,113 Despesas de deslocação em serviço || || 0,090 || 0,090 || 0,090 || 0,090 || 0,090 || 0,090 || 0,090 || 0,630 Outras despesas, formação || =10*0,005 || 0,050 || 0,050 || 0,050 || 0,050 || 0,050 || 0,050 || 0,050 || 0,350 Total despesas administrativas || || 1,555 || 1,555 || 1,543 || 1,543 || 1,543 || 1,543 || 1,543 || 10,823 Descrição das tarefas a executar: Funcionários e agentes temporários || Funcionários responsáveis pelo secretariado do Comité para a Proteção de Dados. Além das funções de apoio logístico, incluindo em matéria orçamental e contratual, tal inclui a preparação de ordens de trabalho e convites aos peritos, investigação sobre assuntos constantes das ordens do dia do comité, gestão dos documentos relacionados com o trabalho do comité, incluindo os requisitos relevantes de proteção de dados, confidencialidade e acesso público. Incluindo todos os subgrupos e grupos de peritos, podem ter de ser organizadas anualmente até 50 reuniões e procedimentos de decisão. Responsáveis pelos dossiês, que tratem o mecanismo de controlo da coerência de proteção de dados, para assegurar a uniformidade da aplicação das regras de proteção de dados na UE. As funções incluem investigação e análise de casos apresentados pelas autoridades dos Estados-Membros, negociação com os Estados-Membros e preparação das decisões da Comissão. Com base na experiência recente, podem surgir anualmente entre 5 a 10 casos de recurso ao mecanismo de controlo da coerência. A ferramenta informática simplificará a interação operacional entre as autoridades nacionais de proteção de dados e os responsáveis pelo tratamento dos dados obrigados a partilhar informações com as autoridades. O(s) membro(s) do pessoal responsável(is) assegurarão o controlo de qualidade, a gestão do projeto e o acompanhamento orçamental dos processos informáticos sobre os requisitos de conceção, execução e funcionamento dos sistemas. Pessoal externo || Apoio administrativo e de secretariado Despesas da AEPD
relacionadas com funções específicas Indicar os objetivos e as realizações ò || || || Ano N=2014 || Ano N+1 || Ano N+2 || Ano N+3 || Inserir o número de anos necessários para refletir a duração do impacto (ver ponto 1.6) || TOTAL REALIZAÇÕES Tipo de realizações[69] || Custo médio da realização || Número de realizações || Custo || Número de realizações || Custo || Número de realizações || Custo || Número de realizações || Custo || Número de realizações || Custo || Número de realizações || Custo || Número de realizações || Custo || Número de realizações || Total custo OBJETIVO ESPECÍFICO N.º 1[70] || Secretariado do Comité para a Proteção de dados - Realização || Casos[71] || 0.010 || 30 || 0.300 || 40 || 0.400 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 320 || 3.200 Subtotal dos objetivos específicos N.° 1 || 30 || 0.300 || 40 || 0.400 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 320 || 3.200 OBJETIVO ESPECÍFICO N.º 2 || Mecanismo de coerência - Realização || Dossiês[72] || 0.050 || 5 || 0.250 || 10 || 0.500 || 10 || 0.500 || 10 || 0.500 || 8 || 0.400 || 8 || 0.400 || 8 || 0.400 || 59 || 2.950 Subtotal do objetivo específico n.° 2 || 5 || 0.250 || 10 || 0.500 || 10 || 0.500 || 10 || 0.500 || 8 || 0.400 || 8 || 0.400 || 8 || 0.400 || 59 || 2.950 OBJETIVO ESPECÍFICO N.º 3 || Ferramenta TI comum para as autoridades nacionais de proteção de dados (AEPD) - Realização || Casos[73] || 0.100 || 3 || 0.300 || 6 || 0.600 || 9 || 0.900 || 9 || 0.900 || 6 || 0.600 || 3 || 0.300 || 5 || 0.500 || 41 || 4.100 Subtotal do objetivo específico N.° 3 || 3 || 0.300 || 6 || 0.600 || 9 || 0.900 || 9 || 0.900 || 6 || 0.600 || 3 || 0.300 || 5 || 0.500 || 41 || 4.100 CUSTO TOTAL || 38 || 0.850 || 56 || 1.500 || 69 || 1.900 || 69 || 1.900 || 64 || 1.500 || 61 || 1.200 || 63 || 1.400 || 420 || 10.250 [1] «Proteção da privacidade num mundo interligado - Um
quadro europeu de proteção de dados para o século XXI» COM(2012) 9 final. [2] COM(2012) 10 final. [3] Diretiva 95/46/CE do Parlamento Europeu e do Conselho,
de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz
respeito ao tratamento de dados pessoais e à livre circulação desses dados, JO
L 281 de 23.11.1995, p. 31. [4] Decisão-Quadro 2008/977/JAI do Conselho, de 27 de
novembro de 2008, relativa à proteção dos dados pessoais tratados no âmbito da
cooperação policial e judiciária em matéria penal, JO L 350 de 30.12.2008, p.
60 (a seguir designada «decisão-quadro»). [5] COM(2010) 245 final. [6] COM(2010) 2020 final. [7] «O Programa de Estocolmo - Uma Europa aberta e segura
que sirva e proteja os cidadãos», JO C 115 de 4.5.2010, p. 1. [8] Resolução do Parlamento Europeu relativa à Comunicação
da Comissão ao Parlamento Europeu e ao Conselho – Um espaço de liberdade,
segurança e justiça ao serviço dos cidadãos – Programa de Estocolmo, adotada em
25 de novembro de 2009 (P7_TA (2009)0090). [9] COM(2010) 171 final. [10] COM(2010) 609. [11] Eurobarómetro especial (EB) 359, Data Protection and
Electronic Identity in the EU (2011):
http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf. [12] http://ec.europa.eu/justice/newsroom/data-protection/events/090519_en.htm. [13] Os contributos não confidenciais podem ser consultados no
sítio web da Comissão: http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm. [14] Os contributos não confidenciais podem ser consultados no
sítio web da Comissão: http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm. [15] http://ec.europa.eu/justice/newsroom/data-protection/events/100701_en.htm. [16] http://www.coe.int/t/dghl/standardsetting/dataprotection/Data_protection_day2011_en.asp. [17] Agência Europeia para a Segurança das Redes e da
Informação, que trata de questões de segurança relacionadas com redes de
comunicação e sistemas de informação. [18] Consultar http://www.enisa.europa.eu/act/it/data-breach-notification/. [19] Eurobarómetro Especial (EB) 359, Data
Protection and Electronic Identity in the EU (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf. [20] Ver o estudo sobre os benefícios económicos das
tecnologias de proteção da privacidade e consultar também o estudo comparativo
sobre as abordagens diferentes relativamente aos novos desafios em matéria de
privacidade, em especial à luz dos desenvolvimentos tecnológicos, janeiro de
2010 (http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).
[21] O Grupo de Trabalho foi criado em 1996 (por força do
artigo 29.º da Diretiva 95/46/CE). Tem natureza consultiva e é composto por
representantes das autoridades nacionais de controlo em matéria de proteção de
dados, da Autoridade Europeia para a Proteção de Dados (AEPD) e da Comissão.
Para mais informações sobre as suas atividades, consultar http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm. [22] Consultar, em especial, os seguintes pareceres: relativo
ao «Futuro da Privacidade» (2009, WP 168); relativo aos conceitos de
«responsável pelo tratamento» e «subcontratante» (1/2010, WP 169); relativo a
publicidade comportamental em linha (2/2010, WP 171); relativo ao princípio da
responsabilidade (3/2010, WP 173); relativo à legislação aplicável (8/2010, WP
179); e relativo ao consentimento (15/2011, WP 187). A pedido da Comissão, adotou
também os três seguintes documentos sobre notificações dados sensíveis e a
execução prática do n.º 6 do artigo 28.º da Diretiva relativa à proteção de
dados. Estes documentos podem ser consultados em:
http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm [23] Disponível no sítio web da AEPD: http://www.edps.europa.eu/EDPSWEB/. [24] Resolução do PE, de 6 de julho de 2011, relativa a uma
abordagem global sobre a proteção dos dados pessoais na União Europeia
(2011/2025(INI), http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA-2011-0323&language=EN&ring=A7-2011-0244
(relator: DPE Axel Voss (PPE/DE). [25] SEC(2012)72. [26] CESE 999/2011. [27] Tribunal de Justiça da União Europeia, acórdão de
9.11.2010 nos processos apensos C-92/09 e C-93/09, Volker e Markus Schecke e
Eifert (Coletânea 2010, p. I-0000). [28] Nos termos do artigo 52.º, n.º 1, da Carta, podem ser
impostas restrições ao exercício do direito à proteção de dados desde que sejam
previstas por lei e respeitem o conteúdo essencial desse direito e liberdade;
na observância do princípio da proporcionalidade, essas restrições só podem ser
introduzidas se forem necessárias e corresponderem efetivamente a objetivos de
interesse geral reconhecidos pela União, ou à necessidade de proteção dos
direitos e liberdades de terceiros. [29] Diretiva 2002/58/CE do Parlamento Europeu e do Conselho,
de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção
da privacidade no setor das comunicações eletrónicas, JO L 201 de 31.7.2002, p.
37. [30] Diretiva 2009/136/CE do Parlamento Europeu e do Conselho,
de 25 de novembro de 2009, que altera a Diretiva 2002/22/CE relativa ao serviço
universal e aos direitos dos utilizadores em matéria de redes e serviços de
comunicações eletrónicas, a Diretiva 2002/58/CE relativa ao tratamento de dados
pessoais e à proteção da privacidade no setor das comunicações eletrónicas e o
Regulamento (CE) n.° 2006/2004 relativo à cooperação entre as autoridades
nacionais responsáveis pela aplicação da legislação de defesa do consumidor
(Texto relevante para efeitos do EEE); JO L 337 de 18.12.2009, p. 11 [31] Adotada e aberta para assinatura, ratificação e adesão
pela Resolução 44/25 da Assembleia Geral das Nações Unidas de 20.11.1989. [32] Adotado pela Conferência Internacional dos Comissários
para a Proteção dos Dados e da Vida Privada, em 5 de novembro de 2009. Ver também artigo 13.º, n.º 3, da proposta de regulamento
relativo a um direito europeu comum da compra e venda (COM(2011) 635 final. [33] CM/Rec (2010) 13. [34] Tribunal de Justiça da União Europeia, Acórdão de 9 de
março de 2010 no processo C-518/07, Comissão/Alemanha (Coletânea 2010, p.
I-1885). [35] Regulamento (CE) n.º 45/2001 do Parlamento Europeu e do
Conselho, de 18 de dezembro de 2000, relativo à proteção das pessoas singulares
no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos
órgãos da União e à livre circulação desses dados; JO L 8 de 12.1.2001, p. 1. [36] Referida na nota 34. [37] Decisão 2008/615/JAI do Conselho, de 23 de junho de 2008,
relativa ao aprofundamento da cooperação transfronteiras, em particular no domínio
da luta contra o terrorismo e a criminalidade transfronteiras, JO L 210 de
6.8.2008, p. 1. [38] Com base no artigo 5.º, n.º 1, da Decisão-Quadro
2009/948/JAI do Conselho, de 30 de novembro de 2009, relativa à prevenção e
resolução de conflitos de exercício de competência em processo penal, JO L 328
de 15.12.2009, p. 42; e no artigo 13.º, n.º 1 do Regulamento (CE) n.º 1/2003 do
Conselho, de 16 de dezembro de 2002, relativo à execução da regulamentação de
concorrência estabelecida nos artigos 81.º e 82.º do Tratado, JO L 1 de
4.1.2003, p. 1. [39] Com base no artigo 18.º, n.º 1, da Diretiva 2000/31/CE do
Parlamento Europeu e do Conselho de 8 de junho de 2000, relativa a certos
aspetos legais dos serviços da sociedade de informação, em especial do comércio
eletrónico, no mercado interno («Diretiva sobre o comércio eletrónico»), JO L
178 de 17.7.2000, p. 1. [40] Ver, por exemplo, para a interpretação, [do Tribunal de Justiça da
UE, acórdão de 16 de dezembro de 2008, no processo C-73/07, Satakunnan
Markkinapörssi e Satamedia (Colectânea 2008, p. I-9831). [41] JO C , , p. . [42] JO C , , p. . [43] JO L 281 de 23.11.1995, p. 31. [44] JO L 8 de 12.1.2001, p. 1. [45] Regulamento (UE) n.º 182/2011 do Parlamento Europeu e do
Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os princípios
gerais relativos aos mecanismos de controlo pelos Estados-Membros do exercício
das competências de execução pela Comissão, JO L 55 de 28.2.2011, p. 13. [46] JO L 176 de 10.7.1999, p. 36. [47] JO L 53 de 27.2.2008, p. 52. [48] JO L 160 de 18.6.2011, p. 19. [49] ABM: Activity Based Management (gestão por atividades) –
ABB: Activity Based Budgeting (orçamentação por atividades). [50] Referido no artigo 49.º, n.º 6, alínea a) ou b), do
Regulamento Financeiro. [51] Podem ser encontrados mais pormenores sobre modalidades de
gestão e referência ao Regulamento Financeiro no sítio web do BudgWeb: http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html [52] Referido no artigo 185.º do Regulamento Financeiro. [53] DD = dotações diferenciadas/DND = dotações não
diferenciadas [54] EFTA: Associação Europeia de Comércio Livre [55] Países candidatos e, se for caso disso, países candidatos
potenciais dos Balcãs Ocidentais [56] O ano N é o do início da aplicação da proposta/iniciativa. [57] Assistência técnica e/ou administrativa e despesas de
apoio à execução de programas e/ou ações da UE (antigas rubricas «BA»), bem
como investigação direta e indireta [58] O ano N é o do início da aplicação da proposta/iniciativa. [59] As realizações dizem respeito aos produtos fornecidos e
aos serviços prestados (exemplo: número de intercâmbios de estudantes
financiados, número de quilómetros de estradas construídas, etc.) [60] Pareceres, decisões, procedimentos, reuniões do Comité. [61] Casos tratados ao abrigo do mecanismo de controlo da
coerência [62] O ano N é o do início da aplicação da proposta/iniciativa. [63] Assistência técnica e/ou administrativa e despesas de
apoio à aplicação de programas e/ou ações da UE (antigas rubricas «BA»), bem
como investigação direta e indireta [64] AC = agente contratual; TT = trabalhador temporário; JPD =
jovem perito nas delegações; AL = agente local; PND = perito nacional
destacado. [65] Dentro do
limite para o pessoal externo previsto nas dotações
operacionais (antigas rubricas «BA»). [66] Essencialmente os fundos estruturais, o Fundo
Europeu Agrícola de Desenvolvimento Rural (FEADER) e o Fundo Europeu das Pescas
(FEP). [67] Ver pontos 19 e 24 do Acordo Interinstitucional. [68] No que diz respeito aos recursos próprios tradicionais
(direitos aduaneiros e quotizações sobre o açúcar), as quantias indicadas devem
ser apresentadas em termos líquidos, isto é, quantias brutas após dedução de 25
% a título de despesas de cobrança. [69] As realizações dizem respeito aos produtos fornecidos e
aos serviços prestados (exemplo: número de intercâmbios de estudantes
financiados, número de quilómetros de estradas construídas, etc.). [70] Conforme consta na Secção 1.4.2. «Objetivo(s)
específico(s)...» [71] Casos tratados ao abrigo do mecanismo de controlo da coerência. [72] Pareceres, decisões, procedimentos, reuniões do Comité. [73] Os montantes totais para cada ano preveem os esforços necessários
para o desenvolvimento e funcionamento das ferramentas TI.