COMISSÃO EUROPEIA

Bruxelas, 4.7.2023

COM(2023) 348 final

2023/0202(COD)

Proposta de

REGULAMENTO DO PARLAMENTO EUROPEU E DO CONSELHO

que estabelece normas processuais adicionais relativas à aplicação do Regulamento (UE) 2016/679

EXPOSIÇÃO DE MOTIVOS

1.CONTEXTO DA PROPOSTA

•Razões e objetivos da proposta

·Reclamações: as reclamações são uma fonte de informação essencial para detetar violações das regras em matéria de proteção de dados. As APD têm diferentes interpretações sobre os requisitos de forma de uma reclamação, a participação dos autores das reclamações no procedimento e a rejeição de reclamações. Por exemplo: uma reclamação aceite por algumas APD poderá ser rejeitada por outras pelo facto de fornecer informações insuficientes; algumas APD conferem aos autores das reclamações direitos iguais aos das partes objeto de investigação, enquanto outras não envolvem os autores das reclamações ou fazem-no de forma muito limitada; algumas APD tomam uma decisão formal de rejeição em todas as reclamações que não são objeto de tratamento, ao passo que outras não procedem do mesmo modo. Estas diferenças significam que o tratamento das reclamações e a participação dos respetivos autores variam em função do local onde a reclamação é apresentada ou da APD que é a APD principal para um determinado caso. Consequentemente, atrasam a conclusão da investigação e a apresentação de uma medida de reparação para o titular dos dados em casos transfronteiriços. Na sua resolução sobre o relatório de 2020 da Comissão sobre o RGPD, o Parlamento Europeu destacou a necessidade de clarificar a posição dos autores das reclamações no caso de reclamações transfronteiriças,

·Direitos processuais das partes objeto de investigação: os direitos de defesa das partes objeto de investigação constituem um princípio fundamental do direito da União a respeitar em todas as circunstâncias, em especial nos procedimentos que podem dar origem a sanções elevadas. Tendo em conta a potencial severidade das sanções passíveis de serem impostas, as partes objeto de investigação por violações do RGPD devem beneficiar de garantias semelhantes às previstas em processos de natureza penal. Os direitos processuais das partes objeto de investigação, como o alcance do direito a ser ouvido e o direito de acesso ao processo, variam substancialmente entre os Estados-Membros. A medida em que as partes são ouvidas, o calendário para a audição e os documentos que são fornecidos às partes que lhes permitem exercer o direito a serem ouvidas são elementos relativamente aos quais os Estados-Membros adotam abordagens diferentes. Estas diferentes abordagens nem sempre são compatíveis com o procedimento previsto no artigo 60.º do RGPD, que assenta na presunção de que as partes objeto de investigação exerceram os respetivos direitos processuais antes da apresentação do projeto de decisão pela APD principal. Quando um caso é apresentado ao Comité para resolução de litígios, a medida em que as partes foram ouvidas sobre as questões suscitadas no projeto de decisão e as objeções das APD interessadas podem variar. Além disso, existe uma falta de clareza quanto à medida em que as partes objeto de investigação devem ser ouvidas durante a resolução de litígios pelo Comité nos termos do artigo 65.º do RGPD. A falta de garantia do direito a ser ouvido pode tornar as decisões das APD que constatam violações do RGPD mais vulneráveis a recursos judiciais.

·Cooperação e resolução de litígios: o procedimento de cooperação previsto no artigo 60.º do RGPD encontra-se descrito em traços gerais. Nos casos transfronteiriços, as APD devem proceder à troca de «informações pertinentes» esforçando-se para chegar a um consenso. Quando a APD principal apresentar um projeto de decisão no caso em apreço, outras APD têm a oportunidade de apresentar «objeções pertinentes e fundamentadas». Estas objeções suscitam a possibilidade de resolução de litígios (quando não merecem a concordância da APD principal). Embora o procedimento de resolução de litígios previsto no artigo 65.º do RGPD seja um elemento essencial para assegurar uma interpretação coerente do RGPD, deve ser reservado a casos excecionais em que a cooperação leal entre as APD não tenha obtido consenso. A experiência adquirida com a aplicação do RGPD em casos transfronteiriços mostra que antes da apresentação de um projeto de decisão pela APD principal, a cooperação entre as APD é insuficiente. A falta de cooperação e de consenso suficientes sobre questões fundamentais da investigação nesta fase inicial resultou no envio de vários casos para a resolução de litígios.

Existem disparidades na forma e na estrutura das objeções pertinentes e fundamentadas apresentadas pelas APD interessadas durante o procedimento de cooperação transfronteiriça. Estas diferenças impedem a conclusão eficiente do procedimento de resolução de litígios e a inclusão de todas as APD interessadas no procedimento, em especial as APD dos Estados-Membros de menor dimensão, que dispõem de menos recursos do que as APD dos Estados-Membros de maior dimensão,

·o RGPD não prevê prazos para as várias fases do procedimento de cooperação e resolução de litígios. Tendo em conta a complexidade variável das investigações e o poder discricionário das APD para investigar violações do RGPD, não se mostra conveniente fixar prazos para cada fase do procedimento. No entanto, a imposição de prazos, se for caso disso, contribuirá para evitar atrasos indevidos na conclusão dos casos.

·Formulário de reclamação e posição dos autores das reclamações: a proposta prevê um formulário que especifica as informações exigidas para todas as reclamações nos termos do artigo 77.º do RGPD relativas ao tratamento transfronteiriço e especifica as normas processuais para a participação dos autores das reclamações no procedimento, incluindo o direito de darem a conhecer a sua opinião. Especifica as normas processuais para a rejeição de reclamações em casos transfronteiriços e clarifica os papéis da APD principal e da APD junto da qual a reclamação foi apresentada nos referidos casos. Reconhece a importância e a legalidade da resolução amigável de casos que têm por base reclamações.

·Harmonização específica dos direitos processuais nos casos transfronteiriços: a proposta confere às partes objeto de investigação o direito a serem ouvidas em fases essenciais do procedimento, nomeadamente durante a resolução de litígios pelo Comité, e clarifica o conteúdo do processo administrativo e os direitos de acesso ao processo das partes. A proposta reforça, assim, os direitos de defesa das partes e garante a observância coerente desses direitos, independentemente da APD que lidera a investigação,

·Simplificação da cooperação e resolução de litígios: a proposta dota as APD dos instrumentos necessários para alcançar um consenso, conferindo uma substância adicional ao requisito de as APD cooperarem e partilharem as «informações pertinentes» previstas no artigo 60.º do RGPD. O presente regulamento estabelece um quadro para que todas as APD tenham um impacto significativo num caso transfronteiriço, apresentando a sua opinião numa fase precoce do processo de investigação e recorrendo a todos os instrumentos previstos no RGPD. Fundamentalmente, pretende-se desta forma facilitar a criação de consensos e reduzir a probabilidade de discordância numa fase posterior do processo, o que exigiria o recurso ao mecanismo de resolução de litígios. Em caso de discordância entre as APD sobre a questão fundamental do âmbito da investigação em casos baseados em reclamações, a proposta prevê que o Comité desempenhe um papel na resolução da discordância através da adoção de uma decisão vinculativa urgente. A participação do Comité nesta questão autónoma confere à APD principal a clareza necessária para prosseguir a investigação e assegura que a discordância quanto ao âmbito da investigação não exigirá o recurso ao mecanismo de resolução de litígios previsto no artigo 65.º.

A proposta estabelece requisitos pormenorizados quanto à forma e à estrutura das objeções pertinentes e fundamentadas formuladas pelas APD interessadas, facilitando, assim, a participação efetiva de todas as APD e uma resolução concreta e célere do caso,

·a proposta estabelece prazos processuais para o procedimento de resolução de litígios, especifica as informações a fornecer pela APD principal ao submeter a questão à resolução de litígios e clarifica o papel de todos os intervenientes envolvidos na resolução de litígios (APD principal, APD interessadas e Comité). Desta forma, a proposta facilita a rápida conclusão do procedimento de resolução de litígios para as partes objeto de investigação e os titulares dos dados,

•Coerência com as disposições existentes da mesma política setorial

•Coerência com outras políticas da União

2.BASE JURÍDICA, SUBSIDIARIEDADE E PROPORCIONALIDADE

•Base jurídica

•Subsidiariedade (no caso de competência não exclusiva)

•Proporcionalidade

•Escolha do instrumento

3.RESULTADOS DAS AVALIAÇÕES EX POST, DAS CONSULTAS DAS PARTES INTERESSADAS E DAS AVALIAÇÕES DE IMPACTO

•Avaliações ex post/balanços de qualidade da legislação existente

·procedimentos administrativos nacionais relativos, nomeadamente: aos procedimentos de tratamento de reclamações, aos critérios de admissibilidade de reclamações, à duração dos processos devido a prazos diferentes ou à ausência de quaisquer prazos, ao momento, no processo, em que é concedido o direito a ser ouvido, às informações e à participação dos autores das reclamações durante o processo,

·interpretações de conceitos relacionados com o mecanismo de cooperação, e

·abordagem para o início do procedimento de cooperação, a participação das APD interessadas e a comunicação de informações às mesmas.

•Consultas das partes interessadas

·Comité: o Comité é composto pelas APD, as autoridades responsáveis pela aplicação do RGPD. É responsável, nomeadamente, pela resolução de litígios em casos transfronteiriços nos termos do RGPD. Como tal, a Comissão teve devidamente em conta o contributo do Comité em todas as fases do processo preparatório. Em primeiro lugar, a proposta responde à lista de questões transmitidas à Comissão pelo Comité em outubro de 2022, identificando aspetos do procedimento de aplicação transfronteiriça passíveis de harmonização a nível da UE. A proposta aborda a maior parte das questões identificadas pelo Comité na sua lista. Em certos casos, a Comissão decidiu não resolver as questões identificadas pelo Comité, em especial nos casos em que a Comissão considerou que a questão já foi adequadamente tratada pelo RGPD ou que a mesma deve permanecer ao critério da APD principal ou ser determinada pelo direito nacional. Além disso, a proposta aborda certas questões além das identificadas pelo Comité na sua lista, sempre que tal foi considerado necessário pela Comissão para assegurar o bom funcionamento da aplicação transfronteiriça e o respeito das garantias processuais. A Comissão realizou igualmente consultas específicas sobre aspetos da proposta junto de subgrupos do Comité que se ocupam da cooperação e aplicação transfronteiriça nas reuniões de 21 de março de 2023 e 24 de abril de 2023, a fim de tirar partido dos conhecimentos especializados das APD que lidam com estas questões no seu trabalho quotidiano. O Comité apoiou plenamente a ação da Comissão neste domínio e prestou um contributo valioso à Comissão nas reuniões de março e abril de 2023.

·Grupo de peritos com várias partes interessadas sobre o RGPD: este grupo de peritos foi criado para coadjuvar a Comissão na aplicação do RGPD. É composto por representantes da sociedade civil, empresas, académicos e profissionais da justiça. Este grupo manifestou um amplo apoio à ação da Comissão neste domínio através de uma proposta legislativa. Numa reunião, realizada em 19 de outubro de 2022, decorreu o primeiro debate sobre a lista de outubro de 2022 do Comité e numa segunda reunião, em 21 de abril de 2023, a Comissão procedeu a consultas sobre aspetos específicos da proposta. Dada a grande variedade de partes interessadas representadas neste grupo, a opinião das partes interessadas sobre aspetos específicos da proposta foi variada. Todas as partes interessadas apoiaram o estabelecimento na proposta de um quadro jurídico para a resolução amigável. As ONG congratularam-se com a intenção da Comissão de harmonizar o formulário de reclamação e apoiaram a participação do autor da reclamação no procedimento, fazendo referência às grandes diferenças no tratamento das reclamações nos Estados-Membros. Os grupos do setor representativos dos responsáveis pelo tratamento e dos subcontratantes salientaram a necessidade de conceder às partes objeto de investigação o direito a serem ouvidas e de incentivar a resolução de discordâncias entre as APD numa fase precoce do processo de investigação.

·Grupo de peritos dos Estados-Membros sobre o RGPD: este grupo de peritos serve de fórum para a partilha de opiniões e de informações entre a Comissão e os Estados-Membros sobre a aplicação do RGPD. Antes do início do processo de redação, a Comissão solicitou que os Estados-Membros manifestassem a sua opinião quanto à lista de outubro de 2022 do Comité. De um modo geral, os Estados-Membros apoiaram e acolheram favoravelmente a ideia de uma proposta de iniciativa legislativa destinada a reforçar a aplicação transfronteiriça do RGPD. No entanto, alguns Estados-Membros com normas processuais horizontais aplicáveis a todos os procedimentos administrativos identificaram uma possível interferência com essas normas, em especial no que respeita à harmonização dos direitos das partes a serem ouvidas e à participação dos autores das reclamações no procedimento. Por conseguinte, a Comissão limitou cuidadosamente a harmonização destes aspetos na proposta aos casos transfronteiriços e na medida do necessário para assegurar o bom funcionamento do mecanismo de cooperação e de resolução de litígios. Em 19 de abril de 2023, a Comissão realizou uma reunião específica com o grupo de peritos dos Estados-Membros sobre o RGPD.

•Recolha e utilização de conhecimentos especializados

•Avaliação de impacto

·APD – a iniciativa apoiará o procedimento de cooperação e proporcionará clareza sobre as modalidades e o calendário da cooperação em casos transfronteiriços. Tal permitirá às APD utilizar de forma mais eficiente os seus recursos. Além disso, ao dotar as APD de instrumentos para reforçar a sua cooperação em casos transfronteiriços, a iniciativa facilitará a criação de consensos entre as APD, reduzindo o número de desacordos e promovendo um espírito de cooperação,

·Autores das reclamações e titulares de dados – a simplificação da cooperação entre as APD aquando da aplicação do RGPD apoiará a conclusão atempada das investigações. Tal ajudará a lidar de forma mais eficiente com as violações do RGPD e a proporcionar uma solução rápida ao titular dos dados. Além disso, os autores da reclamação terão a mesma oportunidade de participar no procedimento em casos transfronteiriços, independentemente do local em que a reclamação é apresentada ou da APD que seja a APD principal.

·Partes objeto de investigação – melhorar a cooperação em casos transfronteiriços contribuirá para encurtar as investigações e assegurar a prestação das garantias necessárias, como o direito a ser ouvido e a ter acesso ao processo, garantindo assim a proteção do direito a uma boa administração (artigo 41.º da Carta) e dos direitos de defesa (artigo 48.º da Carta) das partes objeto de investigação. A harmonização destes direitos tornará também mais sólida a decisão final.

·Confiança do público no RGPD – a iniciativa reforçará a confiança do público no RGPD, facilitando uma resolução mais rápida das investigações e reduzindo o número de diferendos entre as APD em casos transfronteiriços,

•Adequação da regulamentação e simplificação

•Direitos fundamentais

4.INCIDÊNCIA ORÇAMENTAL

5.OUTROS ELEMENTOS

•Planos de execução e acompanhamento, avaliação e prestação de informações

•Documentos explicativos (para as diretivas)

•Explicação pormenorizada das disposições específicas da proposta

2023/0202 (COD)

Proposta de

REGULAMENTO DO PARLAMENTO EUROPEU E DO CONSELHO

que estabelece normas processuais adicionais relativas à aplicação do Regulamento (UE) 2016/679

O PARLAMENTO EUROPEU E O CONSELHO DA UNIÃO EUROPEIA,

Tendo em conta o Tratado sobre o Funcionamento da União Europeia, nomeadamente o artigo 16.º,

Tendo em conta a proposta da Comissão Europeia,

Após transmissão do projeto de ato legislativo aos parlamentos nacionais,

Tendo em conta o parecer do Comité Económico e Social Europeu 14 ,

Tendo em conta o parecer do Comité das Regiões 15 ,

Deliberando de acordo com o processo legislativo ordinário,

Considerando o seguinte:

(1)O Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho 16 estabelece um sistema descentralizado de aplicação que visa assegurar a interpretação e a aplicação coerentes do Regulamento (UE) 2016/679 em casos transfronteiriços. Nos casos relativos ao tratamento transfronteiriço de dados pessoais, este sistema exige a cooperação entre as autoridades de controlo num esforço para alcançar um consenso e, caso as autoridades de controlo não consigam alcançar esse consenso, prevê a resolução de litígios pelo Comité Europeu para a Proteção de Dados («Comité»).

(2)A fim de assegurar o funcionamento harmonioso e eficaz do mecanismo de cooperação e de resolução de litígios previsto nos artigos 60.º e 65.º do Regulamento (UE) 2016/679, é necessário estabelecer normas relativas à condução dos processos pelas autoridades de controlo em casos transfronteiriços e pelo Comité durante a resolução de litígios, incluindo o tratamento de reclamações transfronteiriças. É igualmente necessário, por este motivo, estabelecer normas relativas ao exercício do direito a ser ouvido pelas partes objeto de investigação antes da adoção de decisões por parte das autoridades de controlo e, se for caso disso, do Comité.

(3)As reclamações são uma fonte de informação essencial para detetar violações das regras em matéria de proteção de dados. É necessário definir procedimentos claros e eficazes para o tratamento de reclamações em casos transfronteiriços, uma vez que a reclamação pode ser tratada por uma autoridade de controlo diferente daquela a que a reclamação foi apresentada.

(4)Para ser admissível, uma reclamação deve conter determinadas informações específicas. Por conseguinte, é necessário disponibilizar um formulário de reclamação, contribuindo assim para a apresentação dos factos necessários pelos autores das reclamações às autoridades de controlo. As informações especificadas no formulário só devem ser exigidas nos casos de tratamento transfronteiriço na aceção do Regulamento (UE) 2016/679, não obstante a utilização do formulário pelas autoridades de controlo em casos que não digam respeito ao tratamento transfronteiriço. O formulário pode ser apresentado por via eletrónica ou por via postal. A apresentação das informações enumeradas nesse formulário deve constituir uma condição para que uma reclamação relacionada com o tratamento transfronteiriço seja tratada como uma reclamação nos termos do artigo 77.º do Regulamento (UE) 2016/679. Para a admissibilidade de uma reclamação não serão necessárias outras informações adicionais. As autoridades de controlo devem poder facilitar a apresentação de reclamações num formato eletrónico de fácil utilização e tendo em conta as necessidades das pessoas com deficiência, desde que as informações exigidas ao autor da reclamação correspondam às informações exigidas no formulário e não sejam necessárias informações adicionais para considerar a reclamação admissível.

(5)As autoridades de controlo são obrigadas a tomar uma decisão sobre as reclamações num prazo razoável, prazo esse que dependerá das circunstâncias de cada caso e, em especial, do seu contexto, dos diferentes atos do processo observados pela autoridade de controlo principal, da conduta das partes no decurso do processo e da complexidade do caso.

(6)Cada reclamação tratada por uma autoridade de controlo nos termos do artigo 57.º, n.º 1, alínea f), do Regulamento (UE) 2016/679 deve ser investigada com toda a diligência devida, na medida do necessário, tendo em conta que qualquer exercício de poderes por parte da autoridade de controlo deve ser adequado, necessário e proporcionado, a fim de assegurar o cumprimento do Regulamento (UE) 2016/679. Fica ao critério de cada autoridade de controlo competente decidir em que medida uma reclamação deve ser investigada. Ao avaliarem a medida adequada de uma investigação, as autoridades de controlo devem procurar chegar a uma resolução satisfatória para o autor da reclamação, o que pode não exigir necessariamente uma investigação exaustiva de todos os elementos jurídicos e factuais possíveis decorrentes da reclamação, mas que proporciona uma solução eficaz e rápida ao autor da reclamação. A apreciação da extensão das medidas de investigação necessárias pode ser fundamentada pela gravidade da alegada violação, pelo seu caráter sistémico ou reiterado ou pelo facto de, consoante o caso, o autor da reclamação ter igualmente beneficiado dos seus direitos nos termos do artigo 79.º do Regulamento (UE) 2016/679. 

(7)A autoridade de controlo principal deve fornecer à autoridade de controlo à qual foi apresentada a reclamação as informações necessárias sobre o andamento da investigação, a fim de fornecer atualizações ao autor da reclamação.

(8)A autoridade de controlo competente deve facultar ao autor da reclamação o acesso aos documentos com base nos quais a autoridade de controlo chegou a uma conclusão preliminar para rejeitar, no todo ou em parte, a reclamação.

(9)Para que as autoridades de controlo ponham rapidamente termo a violações do Regulamento (UE) 2016/679 e proporcionem uma resolução rápida aos autores das reclamações, as autoridades de controlo devem procurar, se for caso disso, resolver as reclamações através de resolução amigável. O facto de uma reclamação individual ter sido resolvida com recurso à resolução amigável não impede a autoridade de controlo competente de, oficiosamente, dar seguimento a um caso, por exemplo, em caso de violações sistémicas ou reiteradas do Regulamento (UE) 2016/679.  

(10)A fim de garantir o funcionamento eficaz dos mecanismos de cooperação e de coerência previstos no capítulo VII do Regulamento (UE) 2016/679, é importante que os casos transfronteiriços sejam resolvidos em tempo útil e em consonância com o espírito de cooperação leal e eficaz subjacente ao artigo 60.º do Regulamento (UE) 2016/679. É necessário que a autoridade de controlo principal exerça as suas competências no âmbito de uma estreita cooperação com as autoridades de controlo interessadas. Do mesmo modo, as autoridades de controlo interessadas devem participar ativamente na investigação numa fase inicial, procurando chegar a um consenso e tirando pleno partido dos instrumentos previstos no Regulamento (UE) 2016/679.

(11)É particularmente importante que as autoridades de controlo cheguem a um consenso sobre os principais aspetos da investigação o mais cedo possível e antes da comunicação das alegações às partes objeto de investigação e da adoção do projeto de decisão a que se refere o artigo 60.º do Regulamento (UE) 2016/679, reduzindo assim o número de casos submetidos ao mecanismo de resolução de litígios previsto no artigo 65.º do Regulamento (UE) 2016/679 e, em última análise, assegurando a rápida resolução dos casos transfronteiriços.

(12)A cooperação entre as autoridades de controlo deve assentar num diálogo aberto que permita às autoridades de controlo interessadas ter um impacto significativo no desenrolar da investigação, através da partilha das suas experiências e opiniões com a autoridade de controlo principal, tendo devidamente em conta a margem de apreciação de que cada autoridade de controlo dispõe, incluindo na avaliação da medida adequada para investigar um caso, e as diferentes tradições dos Estados-Membros. Para o efeito, a autoridade de controlo principal deve fornecer às autoridades de controlo interessadas uma exposição sumária das questões essenciais, manifestando a sua opinião preliminar sobre as principais questões de uma investigação. É necessário que a referida exposição sumária seja fornecida numa fase suficientemente inicial para permitir a inclusão efetiva das autoridades de controlo interessadas, mas, ao mesmo tempo, numa fase em que a opinião da autoridade de controlo principal sobre o caso esteja suficientemente amadurecida. As autoridades de controlo interessadas devem poder apresentar as suas observações sobre um amplo conjunto de questões, como o âmbito da investigação e a identificação de apreciações factuais e jurídicas complexas. Dado que o âmbito da investigação determina as matérias que requerem uma investigação por parte da autoridade de controlo principal, as autoridades de controlo devem procurar chegar a um consenso o mais rapidamente possível quanto ao âmbito da investigação.

(13)No interesse de uma cooperação inclusiva e eficaz entre todas as autoridades de controlo interessadas e a autoridade de controlo principal, as observações das autoridades de controlo interessadas devem ser concisas e formuladas em termos suficientemente claros e precisos para serem facilmente compreensíveis para todas as autoridades de controlo. Os argumentos jurídicos devem ser agrupados por referência à parte da exposição sumária das questões essenciais a que dizem respeito. As observações das autoridades de controlo interessadas podem ser completadas por documentos adicionais. No entanto, a mera referência, nas observações de uma autoridade de controlo interessada, a documentos complementares não pode compensar a inexistência de argumentos essenciais de direito ou de facto que devem figurar nas observações. Os elementos essenciais de facto e de direito invocados nesses documentos devem constar das próprias observações, no mínimo, de forma sumária mas igualmente coerente e compreensível.

(14)Os casos que não suscitem questões controversas não exigem um amplo debate entre as autoridades de controlo para se chegar a um consenso, podendo, por conseguinte, ser tratados de forma mais célere. Se nenhuma das autoridades de controlo interessadas apresentar observações sobre a exposição sumária das questões essenciais, a autoridade de controlo principal deve comunicar as conclusões preliminares previstas no artigo 14.º no prazo de nove meses.

(15)As autoridades de controlo devem utilizar todos os meios necessários para chegar a um consenso num espírito de cooperação leal e eficaz. Por conseguinte, se existir uma divergência de opinião entre as autoridades de controlo interessadas e a autoridade de controlo principal no que respeita ao âmbito de uma investigação baseada na reclamação, incluindo as disposições do Regulamento (UE) 2016/679 cuja violação será investigada, ou se as observações das autoridades de controlo interessadas disserem respeito a uma alteração importante na complexa apreciação jurídica ou tecnológica, a autoridade em causa deve utilizar os instrumentos previstos nos artigos 61.º e 62.º do Regulamento (UE) 2016/679.

(16)Se a utilização desses instrumentos não permitir às autoridades de controlo chegar a um consenso quanto ao âmbito de uma investigação baseada numa reclamação, a autoridade de controlo principal deve solicitar uma decisão vinculativa urgente ao Comité nos termos do artigo 66.º, n.º 3, do Regulamento (UE) 2016/679. Para o efeito, é necessário presumir a exigência de urgência. A autoridade de controlo principal deve tirar conclusões adequadas da decisão vinculativa urgente do Comité para efeitos do estabelecimento das conclusões preliminares. A decisão vinculativa urgente do Comité não pode antecipar o resultado da investigação da autoridade de controlo principal nem a eficácia dos direitos das partes objeto da investigação a serem ouvidas. Em especial, o Comité não pode alargar o âmbito da investigação por iniciativa própria.

(17)A fim de permitir ao autor da reclamação exercer o seu direito à ação judicial nos termos do artigo 78.º do Regulamento (UE) 2016/679, a autoridade de controlo deve rejeitar, no todo ou em parte, uma reclamação por meio de uma decisão que possa ser contestada junto de um tribunal nacional.

(18)Os autores das reclamações devem poder expressar a sua opinião antes de ser tomada uma decisão que lese os seus interesses. Por conseguinte, em caso de rejeição, no todo ou em parte, de uma reclamação num caso transfronteiriço, o autor da reclamação deve poder dar a conhecer a sua opinião antes da apresentação de um projeto de decisão nos termos do artigo 60.º, n.º 3, do Regulamento (UE) 2016/679, de um projeto de decisão revisto nos termos do artigo 60.º, n.º 4, do Regulamento (UE) 2016/679 ou de uma decisão vinculativa do Comité nos termos do artigo 65.º, n.º 1, alínea a), do Regulamento (UE) 2016/679. O autor da reclamação pode requerer acesso à versão não confidencial dos documentos que servem de base à decisão de rejeição total ou parcial da reclamação.

(19)É necessário clarificar a repartição de responsabilidades entre a autoridade de controlo principal e a autoridade de controlo à qual foi apresentada a reclamação em caso de rejeição de uma reclamação num caso transfronteiriço. Enquanto ponto de contacto do autor da reclamação durante a investigação, a autoridade de controlo à qual a reclamação foi apresentada deve obter a opinião do autor da reclamação sobre a proposta de rejeição da reclamação e deve ser responsável por todas as comunicações com o autor da reclamação. Todas essas comunicações devem ser partilhadas com a autoridade de controlo principal. Uma vez que, nos termos do artigo 60.º, n.os 8, e 9 do Regulamento (UE) 2016/679, a autoridade de controlo à qual foi apresentada a reclamação é responsável por adotar a decisão final de rejeição da reclamação, essa autoridade de controlo deve igualmente ser responsável pela elaboração do projeto de decisão nos termos do artigo 60.º, n.º 3, do Regulamento (UE) 2016/679.

(20)A aplicação efetiva das normas em matéria de proteção de dados pessoais da União deve ser compatível com o pleno respeito dos direitos de defesa das partes, que constitui um princípio fundamental do direito da União a respeitar em todas as circunstâncias e, em especial, nos processos que podem dar origem a sanções.

(21)A fim de salvaguardar efetivamente o direito a uma boa administração e os direitos de defesa consagrados na Carta dos Direitos Fundamentais da União Europeia («Carta»), incluindo o direito de qualquer pessoa a ser ouvida antes de ser tomada qualquer medida individual que lese os seus interesses, é importante prever regras claras sobre o exercício desse direito.

(22)Importa que as regras relativas ao procedimento administrativo aplicadas pelas autoridades de controlo na aplicação do Regulamento (UE) 2016/679 assegurem que as partes objeto de investigação tenham efetivamente a oportunidade de dar a conhecer a sua opinião sobre a realidade e a pertinência dos factos, objeções e circunstâncias apresentados pela autoridade de controlo ao longo de todo o procedimento, permitindo-lhes, assim, exercer os seus direitos de defesa. As conclusões preliminares apresentam a posição preliminar sobre a alegada violação do Regulamento (UE) 2016/679 na sequência da investigação. Constituem, portanto, uma garantia processual essencial que assegura o respeito do direito a ser ouvido. As partes objeto de investigação devem dispor dos documentos necessários para se defenderem eficazmente e apresentarem as suas observações sobre as alegações contra elas formuladas, tendo, para tal, acesso ao processo administrativo.

(23)As conclusões preliminares definem o âmbito da investigação e, por conseguinte, o âmbito de qualquer futura decisão final [consoante o caso, tomada com base numa decisão vinculativa emitida pelo Comité nos termos do artigo 65.º, n.º 1, alínea a), do Regulamento (UE) 2016/679] que pode ser dirigida aos responsáveis pelo tratamento ou aos subcontratantes. As conclusões preliminares devem ser formuladas de tal forma que, mesmo sucintamente, sejam suficientemente claras para permitir às partes objeto de investigação identificar corretamente a natureza da alegada violação do Regulamento (UE) 2016/679. Considera-se cumprida a obrigação de fornecer às partes objeto de investigação todas as informações que lhes permitam uma defesa adequada sempre que, na decisão final, não se alegue que as partes objeto de investigação cometeram violações diferentes das referidas nas conclusões preliminares e apenas se tome em consideração factos relativamente aos quais as partes objeto de investigação tiveram oportunidade de dar a conhecer a sua opinião. No entanto, a decisão final da autoridade de controlo principal não tem necessariamente de ser uma reprodução das conclusões preliminares. A autoridade de controlo principal deve estar autorizada, na decisão final, a ter em conta as respostas das partes objeto de investigação às conclusões preliminares e, se for caso disso, o projeto de decisão revisto nos termos do artigo 60.º, n.º 5, do Regulamento (UE) 2016/679 e do artigo 65.º, n.º 1, alínea a), decisão que resolve o litígio entre as autoridades de controlo. A autoridade de controlo principal deve poder proceder à sua própria avaliação dos factos e das qualificações jurídicas apresentadas pelas partes objeto de investigação, a fim de renunciar às objeções quando a autoridade de controlo as considerar infundadas ou de completar e reformular os seus argumentos, tanto de facto como de direito, em apoio das objeções que mantém. Por exemplo, a tomada em consideração de um argumento apresentado por uma parte objeto de investigação durante o procedimento administrativo, sem que lhe tenha sido dada a possibilidade de se pronunciar a este respeito antes da adoção da decisão final, não pode, por si só, constituir uma violação dos direitos de defesa.

(24)As partes objeto de investigação devem ter o direito a serem ouvidas antes da apresentação de um projeto de decisão revisto nos termos do artigo 60.º, n.º 5, do Regulamento (UE) 2016/679 ou da adoção de uma decisão vinculativa pelo Comité nos termos do artigo 65.º, n.º 1, alínea a), do Regulamento (UE) 2016/679.  

(25)Deve ser dada aos autores das reclamações a possibilidade de serem associados aos processos instaurados por uma autoridade de controlo com vista a identificar ou clarificar questões relacionadas com uma potencial violação do Regulamento (UE) 2016/679. O facto de uma autoridade de controlo já ter iniciado uma investigação relativa ao objeto da reclamação ou de a tratar no âmbito de uma investigação ex officio posterior à receção da reclamação não impede que o titular dos dados seja qualificado como autor de uma reclamação. No entanto, uma investigação levada a cabo por uma autoridade de controlo sobre uma eventual violação do Regulamento (UE) 2016/679 por parte de um responsável pelo tratamento ou de um subcontratante não constitui um procedimento contraditório entre o autor da reclamação e as partes objeto da investigação. Trata-se de um procedimento iniciado por uma autoridade de controlo, por iniciativa própria ou com base numa reclamação, no exercício das suas funções nos termos do artigo 57.º, n.º 1, do Regulamento (UE) 2016/679. As partes objeto de investigação e o autor da reclamação não se encontram, portanto, na mesma situação processual e o último não pode invocar o direito a uma apreciação equitativa quando a decisão não afeta negativamente a sua situação jurídica. A participação do autor da reclamação no processo contra as partes objeto de investigação não pode comprometer o direito destas partes a serem ouvidas.

(26)Os autores das reclamações devem poder apresentar por escrito a sua opinião sobre as conclusões preliminares. Todavia, não podem ter acesso a segredos comerciais ou outras informações confidenciais a respeito de outros interessados diretos implicados no processo. Os autores das reclamações não podem ser titulares de um direito de acesso generalizado ao processo administrativo.

(27)Ao estabelecerem prazos para as partes objeto de investigação e os autores da reclamação apresentarem a sua opinião sobre as conclusões preliminares, as autoridades de controlo devem ter em conta a complexidade das questões suscitadas nas conclusões preliminares, a fim de assegurar que as partes objeto de investigação e os autores da reclamação tenham a oportunidade suficiente de apresentar, de forma significativa, a sua opinião sobre as questões suscitadas.

(28)A troca de opiniões antes da adoção de um projeto de decisão implica um diálogo aberto e uma ampla troca de opiniões, em que as autoridades de controlo devem envidar todos os esforços para chegar a um consenso sobre o caminho a seguir numa investigação. Em contrapartida, a discordância manifestada em objeções pertinentes e fundamentadas nos termos do artigo 60.º, n.º 4, do Regulamento (UE) 2016/679, que aumenta o potencial de resolução de litígios entre as autoridades de controlo nos termos do artigo 65.º do Regulamento (UE) 2016/679 e atrasa a adoção de uma decisão final pela autoridade de controlo competente, deve ocorrer no caso excecional de as autoridades de controlo não chegarem a um consenso e, se necessário, para assegurar uma interpretação coerente do Regulamento (UE) 2016/679. Estas objeções devem ser utilizadas com moderação, sempre que estejam em causa questões de aplicação coerente do Regulamento (UE) 2016/679, uma vez que qualquer recurso a objeções pertinentes e fundamentadas protela a medida corretiva para o titular dos dados. Uma vez que o âmbito da investigação e os factos pertinentes devem ser determinados antes da comunicação das conclusões preliminares, estas questões não podem ser suscitadas pelas autoridades de controlo interessadas em objeções pertinentes e fundamentadas. Podem, no entanto, ser suscitadas pelas autoridades de controlo interessadas nas suas observações sobre a exposição sumária de questões essenciais nos termos do artigo 9.º, n.º 3, antes de as conclusões preliminares serem comunicadas às partes objeto de investigação.

(29)No interesse de uma conclusão eficiente e inclusiva do procedimento de resolução de litígios, em que todas as autoridades de controlo devem estar em condições de contribuir com a sua opinião e tendo em conta os condicionalismos de tempo durante a resolução de litígios, a forma e a estrutura das objeções pertinentes e fundamentadas devem cumprir determinados requisitos. Por conseguinte, as objeções pertinentes e fundamentadas devem ser limitadas a uma duração determinada, devem identificar claramente a discordância com o projeto de decisão e devem ser formuladas em termos suficientemente claros, coerentes e precisos.

(30)O acesso ao processo administrativo está previsto no âmbito dos direitos de defesa e do direito a uma boa administração consagrados na Carta. Deve ser facultado às partes objeto de investigação quando são notificadas das conclusões preliminares e deve ser fixado o prazo para a apresentação da sua resposta escrita às conclusões preliminares.

(31)Ao concederem acesso ao processo administrativo, é necessário que as autoridades de controlo assegurem a proteção dos segredos comerciais e de outras informações confidenciais. A categoria «outras informações confidenciais» inclui informações que não sejam segredos comerciais, que possam ser consideradas confidenciais, na medida em que a sua divulgação possa prejudicar de forma significativa um responsável pelo tratamento, um subcontratante ou uma pessoa singular. As autoridades de controlo devem poder solicitar às partes objeto de investigação que apresentem ou tenham apresentado documentos ou declarações que identifiquem informações confidenciais.

(32)Quando for necessário recorrer a segredos comerciais ou outras informações confidenciais para provar uma violação, as autoridades de controlo devem determinar, relativamente a cada documento, se a necessidade de divulgação é superior ao prejuízo suscetível de resultar da divulgação.

(33)Ao remeter um assunto para a resolução de litígios nos termos do artigo 65.º do Regulamento (UE) 2016/679, a autoridade de controlo principal deve fornecer ao Comité todas as informações necessárias para lhe permitir avaliar a admissibilidade das objeções pertinentes e fundamentadas e tomar a decisão nos termos do artigo 65.º, n.º 1, alínea a), do Regulamento (UE) 2016/679. Logo que o Comité receba todos os documentos necessários enumerados no artigo 23.º, o presidente do Comité deve proceder ao registo da remessa do assunto em causa, na aceção do artigo 65.º, n.º 2, do Regulamento (UE) 2016/679.

(34)A decisão vinculativa do Comité nos termos do artigo 65.º, n.º 1, alínea a), do Regulamento (UE) 2016/679 deve dizer exclusivamente respeito a questões que conduziram ao desencadeamento da resolução de litígios e ser redigida de forma a permitir à autoridade de controlo principal adotar a sua decisão final com base na decisão do Comité, mantendo ao mesmo tempo o seu poder discricionário.

(35)A fim de simplificar a resolução de litígios entre as autoridades de controlo apresentados ao Comité nos termos do artigo 65.º, n.º 1, alíneas b) e c), do Regulamento (UE) 2016/679, é necessário especificar as normas processuais relativas aos documentos a apresentar ao Comité e em que este deve basear a sua decisão. É igualmente necessário especificar quando o Comité deve registar a submissão da questão à resolução de litígios.

(36)A fim de simplificar o procedimento de adoção de pareceres urgentes e de decisões vinculativas urgentes do Comité nos termos do artigo 66.º, n.º 2, do Regulamento (UE) 2016/679, é necessário especificar as normas processuais relativas ao calendário do pedido de parecer urgente ou decisão vinculativa urgente, aos documentos a apresentar ao Comité e em que este deve basear a sua decisão, a quem deve ser dirigido o parecer ou decisão do Comité e às consequências do parecer ou da decisão do Comité.

(37)Os capítulos III e IV dizem respeito à cooperação entre as autoridades de controlo, aos direitos processuais das partes objeto de investigação e à participação dos autores das reclamações. A fim de garantir a segurança jurídica, essas disposições não devem aplicar-se às investigações já em curso no momento da entrada em vigor do presente regulamento. Devem aplicar-se às investigações ex officios iniciadas após a entrada em vigor do presente regulamento e às investigações que tenham por base reclamações em que a reclamação tenha sido apresentada após a entrada em vigor do presente regulamento. O capítulo V prevê normas processuais para os casos submetidos a resolução de litígios nos termos do artigo 65.º do Regulamento (UE) 2016/679. Também por razões de segurança jurídica, o referido capítulo não deve aplicar-se aos casos que tenham sido objeto de resolução de litígios antes da entrada em vigor do presente regulamento. Deve aplicar-se a todos os casos submetidos a resolução de litígios após a entrada em vigor do presente regulamento.

(38)A Autoridade Europeia para a Proteção de Dados e o Comité Europeu para a Proteção de Dados foram consultados nos termos do artigo 42.º, n.º 2, do Regulamento (UE) 2018/1725 e emitiram parecer conjunto em […],

ADOTARAM O PRESENTE REGULAMENTO:

Capítulo I

Disposições gerais

Artigo 1.º

Objeto

O presente regulamento estabelece normas processuais para o tratamento de reclamações e a realização de investigações, tanto no que diz respeito a reclamações como em relação a casos ex officio, pelas autoridades de controlo no âmbito da aplicação transfronteiriça do Regulamento (UE) 2016/679.

Artigo 2.º

Definições

Para efeitos do presente regulamento, aplicam-se as definições constantes do artigo 4.º do Regulamento (UE) 2016/679.

As seguintes definições são igualmente aplicáveis:

(1)«Partes objeto de investigação», os responsáveis pelo tratamento e/ou subcontratantes investigados por alegada violação do Regulamento (UE) 2016/679 relacionada com o tratamento transfronteiriço;

(2)«Exposição sumária das questões essenciais», a exposição sumária a fornecer pela autoridade de controlo principal às autoridades de controlo interessadas, em que se identificam os principais factos pertinentes e a posição da autoridade de controlo principal sobre o caso;

(3)«Conclusões preliminares», o documento fornecido pela autoridade de controlo principal às partes objeto de investigação, indicando as alegações, os factos pertinentes, os elementos de prova, a análise jurídica e, se for caso disso, as medidas corretivas propostas;

(4)«Objeções consideradas pertinentes e fundamentadas», as objeções que o Comité considerou pertinentes e fundamentadas, na aceção do artigo 4.º, n.º 24, do Regulamento (UE) 2016/679.

Capítulo II

Apresentação e tratamento de reclamações

Artigo 3.º

Reclamações transfronteiriças

1.As reclamações apresentadas com base no Regulamento (UE) 2016/679 que digam respeito a tratamento transfronteiriço devem fornecer as informações exigidas no formulário, tal como estabelecido no anexo. Para a admissibilidade de reclamação não são necessárias outras informações adicionais.

2.A autoridade de controlo à qual foi apresentada a reclamação deve determinar se a reclamação está relacionada com tratamento transfronteiriço.

3.A autoridade de controlo à qual foi apresentada a reclamação deve determinar, no prazo de um mês, se as informações exigidas pelo formulário estão completas.

4.Após avaliar a exaustividade das informações exigidas pelo formulário, a autoridade de controlo à qual a reclamação foi apresentada transmite a reclamação à autoridade de controlo principal.

5.Se o autor da reclamação solicitar a confidencialidade ao apresentar uma reclamação, deve também apresentar uma versão não confidencial da mesma.

6.A autoridade de controlo à qual foi apresentada uma reclamação deve acusar a receção da reclamação no prazo de uma semana. Este aviso de receção não prejudica a apreciação da admissibilidade da reclamação nos termos do n.º 3.

Artigo 4.º

Investigação de reclamações

Ao avaliar em que medida uma reclamação deve ser investigada em cada caso, a autoridade de controlo deve ter em conta todas as circunstâncias relevantes, incluindo todos os seguintes elementos:

(a)A conveniência de proporcionar ao autor da reclamação um recurso efetivo e atempado;

(b)A gravidade da violação alegada;

(c)O caráter sistemático ou reiterado da alegada violação.

Artigo 5.º

Resolução amigável

Uma reclamação é passível de resolução por acordo amigável entre o autor da reclamação e as partes objeto de investigação. Se a autoridade de controlo considerar que foi alcançada uma resolução amigável da reclamação, comunica a resolução proposta ao autor da reclamação. Se o autor da reclamação não levantar objeções à resolução amigável proposta pela autoridade de controlo no prazo de um mês, presume-se que a reclamação foi retirada.

Artigo 6.º

Traduções

1.A autoridade de controlo à qual a reclamação foi apresentada é responsável:

(a)Pela tradução das reclamações e das opiniões dos autores das reclamações para a língua utilizada pela autoridade de controlo principal para efeitos da investigação;

(b)Pela tradução dos documentos fornecidos pela autoridade de controlo principal para a língua utilizada para a comunicação com o autor da reclamação, sempre que tal seja necessário para fornecer esses documentos ao autor da reclamação nos termos do presente regulamento ou do Regulamento (UE) 2016/679.

2.No seu regulamento interno, o Comité determina o procedimento aplicável à tradução das observações ou das objeções pertinentes e fundamentadas expressas pelas autoridades de controlo interessadas numa língua diferente da utilizada pela autoridade de controlo principal para efeitos da investigação.

Capítulo III

Cooperação nos termos do artigo 60.º do Regulamento (UE) 2016/679

Secção 1

Alcançar um consenso na aceção do artigo 60.º, n.º 1, do Regulamento (UE) 2016/679

Artigo 7.º

Cooperação entre as autoridades de controlo

No âmbito da cooperação com vista a alcançar um consenso, conforme previsto no artigo 60.º, n.º 1, do Regulamento (UE) 2016/679, as autoridades de controlo utilizam todos os meios previstos no Regulamento (UE) 2016/679, incluindo a assistência mútua nos termos do artigo 61.º e as operações conjuntas nos termos do artigo 62.º do Regulamento (UE) 2016/679.

As disposições da presente secção dizem respeito às relações entre as autoridades de controlo e não se destinam a conferir direitos às pessoas ou às partes objeto de investigação.

Artigo 8.º

Informações pertinentes na aceção do artigo 60.º, n.os 1 e 3, do Regulamento (UE) 2016/679

1.A autoridade de controlo principal informa regularmente as outras autoridades de controlo interessadas sobre a investigação e faculta-lhes, o mais rapidamente possível, todas as informações pertinentes, logo que disponíveis.

2.As informações pertinentes na aceção do artigo 60.º, n.os 1 e 3, do Regulamento (UE) 2016/679 incluem, se for caso disso:

(a)Informações sobre a abertura de uma investigação relativa a uma alegada violação do Regulamento (UE) 2016/679;

(b)Pedidos de informações nos termos do artigo 58.º, n.º 1, alínea e), do Regulamento (UE) 2016/679;

(c)Informações sobre a utilização dos outros poderes de investigação a que se refere o artigo 58.º, n.º 1, do Regulamento (UE) 2016/679;

(d)Em caso de rejeição prevista da reclamação, os motivos da rejeição da reclamação pela autoridade de controlo principal;

(e)Exposição sumária das questões essenciais numa investigação em conformidade com o artigo 9.º;

(f)Informações relativas às medidas destinadas a estabelecer uma violação do Regulamento (UE) 2016/679 antes da elaboração das conclusões preliminares;

(g)As conclusões preliminares;

(h)A resposta das partes objeto de investigação às conclusões preliminares;

(i)A opinião do autor da reclamação sobre as conclusões preliminares;

(j)Em caso de rejeição de uma reclamação, as observações escritas do autor da reclamação;

(k)Quaisquer medidas pertinentes tomadas pela autoridade de controlo principal após receção da resposta das partes objeto de investigação às conclusões preliminares e antes da apresentação de um projeto de decisão na aceção do artigo 60.º, n.º 3, do Regulamento (UE) 2016/679.

Artigo 9.º

Exposição sumária das questões essenciais

1.Logo que a autoridade de controlo principal tenha formado uma opinião preliminar sobre as principais questões de uma investigação, deve redigir uma exposição sumária das questões essenciais para efeitos de cooperação nos termos do artigo 60.º, n.º 1, do Regulamento (UE) 2016/679.

2.A exposição sumária das questões essenciais deve incluir todos os seguintes elementos:

(a)Os principais factos pertinentes;

(b)Uma identificação preliminar do âmbito da investigação, em especial das disposições do Regulamento (UE) 2016/679 relativas à alegada violação que vai ser objeto de investigação;

(c)Identificação de apreciações jurídicas e tecnológicas complexas que sejam pertinentes para a orientação preliminar da sua avaliação;

(d)Identificação preliminar das potenciais medidas corretivas.

3.As autoridades de controlo interessadas podem apresentar observações sobre a exposição sumária das questões essenciais. Essas observações devem ser apresentadas no prazo de quatro semanas a contar da receção da exposição sumária das questões essenciais.

4.As observações fornecidas nos termos do n.º 3 devem cumprir os seguintes requisitos:

(a)A linguagem utilizada é suficientemente clara e contém termos precisos que permitem à autoridade de controlo principal e, se for caso disso, às autoridades de controlo interessadas elaborar as respetivas posições;

(b)Os argumentos jurídicos são descritos de forma sucinta e agrupados por referência à parte da exposição sumária das questões essenciais a que dizem respeito;

(c)As observações da autoridade de controlo interessada podem ser apoiadas por documentos que podem complementar as observações sobre pontos específicos.

5.O Comité pode especificar no seu regulamento interno as restrições à extensão máxima das observações apresentadas pelas autoridades de controlo interessadas sobre a exposição sumária das questões essenciais.

6.Os casos em que nenhuma das autoridades de controlo interessadas apresentou observações nos termos do n.º 3 do presente artigo são considerados casos não contenciosos. Nesses casos, as conclusões preliminares referidas no artigo 14.º devem ser comunicadas às partes objeto de investigação no prazo de nove meses a contar do termo do prazo previsto no n.º 3 do presente artigo.

Artigo 10.º

Utilização de meios para alcançar um consenso

1.A autoridade de controlo interessada apresenta um pedido à autoridade de controlo principal nos termos do artigo 61.º do Regulamento (UE) 2016/679, do artigo 62.º do Regulamento (UE) 2016/679, ou de ambos, se, na sequência das observações das autoridades de controlo interessadas nos termos do artigo 9.º, n.º 3, uma autoridade de controlo interessada discordar da avaliação da autoridade de controlo principal sobre:

(a)O âmbito da investigação em casos baseados em reclamações, incluindo as disposições do Regulamento (UE) 2016/679 relativas à alegada violação que vai ser investigada;

(b)A orientação preliminar em relação a apreciações jurídicas complexas identificadas pela autoridade de controlo principal nos termos do artigo 9.º, n.º 2, alínea c);

(c)A orientação preliminar em relação a apreciações tecnológicas complexas identificadas pela autoridade de controlo principal nos termos do artigo 9.º, n.º 2, alínea c);

2.O pedido nos termos do n.º 1 deve ser apresentado no prazo de dois meses a contar do termo do prazo referido no artigo 9.º, n.º 3.

3.A autoridade de controlo principal colabora com as autoridades de controlo interessadas tendo por base as suas observações sobre a exposição sumária das questões essenciais e, se for caso disso, em resposta aos pedidos apresentados nos termos dos artigos 61.º e 62.º do Regulamento (UE) 2016/679, com vista a alcançar um consenso. O consenso deve servir de base para a autoridade de controlo principal prosseguir a investigação e redigir as conclusões preliminares ou, se for caso disso, fornecer à autoridade de controlo à qual a reclamação foi apresentada a sua fundamentação para efeitos do artigo 11.º, n.º 2.

4.Se, numa investigação baseada numa reclamação, não existir consenso entre a autoridade de controlo principal e uma ou várias autoridades de controlo interessadas sobre a matéria a que se refere o artigo 9.º, n.º 2, alínea b), do presente regulamento, a autoridade de controlo principal deve solicitar ao Comité uma decisão vinculativa urgente nos termos do artigo 66.º, n.º 3, do Regulamento (UE) 2016/679. Nesse caso, presume-se estarem preenchidas as condições para solicitar uma decisão vinculativa urgente nos termos do artigo 66.º, n.º 3, do Regulamento (UE) 2016/679.

5.Ao requerer uma decisão vinculativa urgente ao Comité nos termos do n.º 4 do presente artigo, a autoridade de controlo principal deve fornecer todos os seguintes elementos:

(a)Os documentos referidos no artigo 9.º, n.º 2, alíneas a) e b);

(b)As observações da autoridade de controlo interessada em discordância com a identificação preliminar pela autoridade de controlo principal do âmbito da investigação.

6.O Comité deve adotar uma decisão vinculativa urgente sobre o âmbito da investigação com base nas observações das autoridades de controlo interessadas e na posição da autoridade de controlo principal sobre essas observações.

Secção 2

Rejeição total ou parcial das reclamações

Artigo 11.º

Direito a ser ouvido do autor da reclamação antes da rejeição total ou parcial de uma reclamação

1.De acordo com o procedimento previsto nos artigos 9.º e 10.º, a autoridade de controlo principal deve comunicar à autoridade de controlo à qual a reclamação foi apresentada os motivos pelos quais considera, a título preliminar, que a reclamação deve ser total ou parcialmente rejeitada.

2.A autoridade de controlo à qual foi apresentada a reclamação deve informar o autor da reclamação dos motivos da rejeição total ou parcial da reclamação e fixar um prazo para o autor da reclamação dar a conhecer a sua opinião por escrito. O prazo não pode ser inferior a três semanas. A autoridade de controlo à qual foi apresentada a reclamação deve informar o autor da reclamação das consequências de não dar a conhecer a sua opinião.

3.Se o autor da reclamação não der a conhecer a sua opinião no prazo fixado pela autoridade de controlo à qual a reclamação foi apresentada, presume-se que a reclamação foi retirada.

4.O autor da reclamação pode requerer o acesso à versão não confidencial dos documentos que servem de base à proposta de rejeição da reclamação.

5.Se o autor da reclamação der a conhecer a sua opinião no prazo fixado pela autoridade de controlo à qual foi apresentada a reclamação e a opinião não conduzir a uma alteração da posição preliminar de que a reclamação deve ser total ou parcialmente rejeitada, a autoridade de controlo à qual a reclamação foi apresentada deve preparar o projeto de decisão nos termos do artigo 60.º, n.º 3, do Regulamento (UE) 2016/679, que a autoridade de controlo principal deve apresentar às outras autoridades de controlo interessadas, nos termos do artigo 60.º, n.º 3, do Regulamento (UE) 2016/679. 

Artigo 12.º

Projeto de decisão revisto que rejeita total ou parcialmente uma reclamação

1.Se a autoridade de controlo principal considerar que o projeto de decisão revisto na aceção do artigo 60.º, n.º 5, do Regulamento (UE) 2016/679 apresenta elementos relativamente aos quais o autor da reclamação deve ter a oportunidade de dar a conhecer a sua opinião, a autoridade de controlo à qual foi apresentada a reclamação deve, antes da apresentação do projeto de decisão revisto nos termos do artigo 60.º, n.º 5, do Regulamento (UE) 2016/679, conceder ao autor da reclamação a possibilidade de dar a conhecer a sua opinião sobre esses novos elementos.

2.A autoridade de controlo à qual foi apresentada a reclamação deve fixar um prazo para o autor da reclamação dar a conhecer a sua opinião.

Artigo 13.º

Decisão que rejeita total ou parcialmente uma reclamação

Ao adotar uma decisão de rejeição total ou parcial de uma reclamação em conformidade com o artigo 60.º, n.º 8, do Regulamento (UE) 2016/679, a autoridade de controlo à qual a reclamação foi apresentada deve informar o autor da reclamação de que dispõe do recurso judicial previsto pelo artigo 78.º do Regulamento (UE) 2016/679.

Secção 3

Decisões dirigidas aos responsáveis pelo tratamento e aos subcontratantes

Artigo 14.º

Conclusões preliminares e resposta

1.Se a autoridade de controlo principal tencionar apresentar um projeto de decisão, na aceção do artigo 60.º, n.º 3, do Regulamento (UE) 2016/679, às outras autoridades de controlo interessadas que constatem uma violação do Regulamento (UE) 2016/679, deve elaborar um projeto de conclusões preliminares.

2.As conclusões preliminares devem apresentar as alegações de forma exaustiva e suficientemente clara para que as partes objeto de investigação possam tomar conhecimento da conduta investigada pela autoridade de controlo principal. Em especial, devem expor claramente todos os factos e toda a apreciação jurídica contra as partes objeto de investigação, para que estas possam expressar a sua opinião sobre os factos e as conclusões jurídicas que a autoridade de controlo principal tenciona estabelecer no projeto de decisão, na aceção do artigo 60.º, n.º 3, do Regulamento (UE) 2016/679, e enumerar todos os elementos de prova em que esta última se baseia.

As conclusões preliminares indicam as medidas corretivas que a autoridade de controlo principal tenciona utilizar.

Se a autoridade de controlo principal tencionar aplicar uma coima, deve enumerar nas conclusões preliminares os elementos pertinentes em que se baseia no cálculo da coima. Em especial, a autoridade de controlo principal deve enumerar os factos e as questões de direito essenciais que podem resultar na aplicação da coima e os elementos enumerados no artigo 83.º, n.º 2, do Regulamento (UE) 2016/679, incluindo quaisquer circunstâncias agravantes ou atenuantes que devem ser tidas em conta.

3.Cabe à autoridade de controlo principal notificar as conclusões preliminares a cada uma das partes objeto de investigação.

4.Ao notificar as conclusões preliminares às partes objeto de investigação, a autoridade de controlo principal deve fixar um prazo para essas partes apresentarem a sua opinião por escrito. A autoridade de controlo principal não é obrigada a ter em conta opiniões por escrito recebidas após o termo desse prazo.

5.Ao notificar as conclusões preliminares às partes objeto de investigação, a autoridade de controlo principal deve facultar-lhes o acesso ao processo administrativo nos termos do artigo 20.º.

6.As partes objeto de investigação podem, na sua resposta escrita às conclusões preliminares, expor todos os factos e argumentos jurídicos de que tenham conhecimento e que sejam pertinentes para a sua defesa contra as alegações da autoridade de controlo principal. Devem juntar todos os documentos relevantes que façam prova dos factos alegados. No seu projeto de decisão, a autoridade de controlo principal deve tratar apenas as alegações, incluindo os factos e a apreciação jurídica com base nesses factos, relativamente às quais tenha sido dada às partes objeto de investigação a oportunidade de apresentarem as suas observações.

Artigo 15.º

Transmissão das conclusões preliminares aos autores das reclamações

1.Se a autoridade de controlo principal emitir conclusões preliminares relativas a uma questão relativamente à qual tenha recebido uma reclamação, a autoridade de controlo à qual foi apresentada a reclamação deve fornecer ao autor da reclamação uma versão não confidencial das conclusões preliminares e fixar um prazo para o autor da reclamação dar a conhecer a sua opinião por escrito.

2.O n.º 1 aplica-se igualmente quando uma autoridade de controlo, se for caso disso, tratar várias reclamações em conjunto, dividir as reclamações em várias partes ou exercer, por qualquer outra forma, o seu poder discricionário no que respeita ao âmbito da investigação, conforme estabelecido nas conclusões preliminares.

3.Sempre que a autoridade de controlo principal considerar que é necessário fornecer ao autor da reclamação os documentos incluídos no processo administrativo para que este possa dar a conhecer eficazmente a sua opinião sobre as conclusões preliminares, a autoridade de controlo à qual a reclamação foi apresentada deve facultar ao autor da reclamação a versão não confidencial desses documentos ao apresentar as conclusões preliminares nos termos do n.º 1.

4.A versão não confidencial das conclusões preliminares deve ser facultada ao autor da reclamação apenas para efeitos da investigação concreta em que as conclusões preliminares foram emitidas.

5.Antes de receber a versão não confidencial das conclusões preliminares e quaisquer documentos fornecidos nos termos do n.º 3, o autor da reclamação deve enviar à autoridade de controlo principal uma declaração de confidencialidade, na qual o autor da reclamação se compromete a não divulgar quaisquer informações ou apreciações efetuadas na versão não confidencial das conclusões preliminares nem a utilizar essas conclusões para outros fins que não a investigação concreta em que essas conclusões foram emitidas.

Artigo 16.º

Adoção da decisão final

Após apresentar o projeto de decisão às autoridades de controlo interessadas nos termos do artigo 60.º, n.º 3, do Regulamento (UE) 2016/679 e se nenhuma das autoridades de controlo interessadas tiver formulado objeções ao projeto de decisão nos prazos referidos no artigo 60.º, n.os 4 e 5, do Regulamento (UE) 2016/679, a autoridade de controlo principal deve adotar e notificar a sua decisão nos termos do artigo 60.º, n.º 7, do Regulamento (UE) 2016/679 ao estabelecimento principal ou ao estabelecimento único do responsável pelo tratamento ou do subcontratante, consoante o caso, e informa as autoridades de controlo interessadas e o Comité da decisão em questão, incluindo uma exposição sumária dos factos e dos motivos pertinentes.

Artigo 17.º

Direito a ser ouvido em relação ao projeto de decisão revisto

1.Se a autoridade de controlo principal considerar que o projeto de decisão revisto na aceção do artigo 60.º, n.º 5, do Regulamento (UE) 2016/679 apresenta elementos relativamente aos quais as partes objeto de investigação devem ter a oportunidade de dar a conhecer a sua opinião, a autoridade de controlo principal deve, antes da apresentação do projeto de decisão revisto nos termos do artigo 60.º, n.º 5, do Regulamento (UE) 2016/679, conceder às partes objeto de investigação a possibilidade de darem a conhecer a sua opinião sobre esses novos elementos.

2.A autoridade de controlo principal deve fixar um prazo para as partes objeto de investigação darem a conhecer a sua opinião.

Secção 4

Objeções pertinentes e fundamentadas

Artigo 18.º

Objeções pertinentes e fundamentadas

1.As objeções pertinentes e fundamentadas na aceção do artigo 4.º, ponto 24, do Regulamento (UE) 2016/679:

(a)Devem basear-se exclusivamente em elementos factuais incluídos no projeto de decisão; e

(b)Não podem alterar o âmbito das alegações, invocando pontos que correspondem à identificação de alegações adicionais de violação do Regulamento (UE) 2016/679 ou alterando a natureza intrínseca das alegações suscitadas.

2.A forma e a estrutura das objeções pertinentes e fundamentadas devem satisfazer todos os seguintes requisitos:

(a)A extensão de cada objeção pertinente e fundamentada e a posição da autoridade de controlo principal relativamente a essa objeção não podem exceder três páginas nem incluir anexos. Nos casos que envolvam questões jurídicas particularmente complexas, a extensão máxima pode ser aumentada para seis páginas, exceto se o Comité aceitar circunstâncias específicas que justifiquem uma maior extensão;

(b)A discordância da autoridade de controlo interessada em relação ao projeto de decisão deve estar expressa no início da objeção pertinente e fundamentada e deve ser formulada em termos suficientemente claros, coerentes e precisos para permitir à autoridade de controlo principal e, se for caso disso, às autoridades de controlo interessadas elaborarem as suas posições e para permitir ao Comité resolver eficazmente o litígio;

(c)Os argumentos jurídicos são descritos e agrupados por referência ao dispositivo do projeto de decisão a que dizem respeito. Cada argumento ou grupo de argumentos deve, em geral, ser precedido de uma declaração sumária.

Capítulo IV

Acesso ao processo administrativo e tratamento das informações confidenciais

Artigo 19.º

Conteúdo do processo administrativo

1.O processo administrativo de uma investigação relativa a uma alegada violação do Regulamento (UE) 2016/679 é constituído por todos os documentos obtidos, apresentados e/ou reunidos pela autoridade de controlo principal durante a investigação.

2.No decurso da investigação de uma alegada violação do Regulamento (UE) 2016/679, a autoridade de controlo principal pode devolver à parte junto da qual foram obtidos documentos que, na sequência de uma análise mais aprofundada, se revelem alheios ao objeto da investigação. Após a devolução, estes documentos deixam de fazer parte do processo administrativo.

3.O direito de acesso ao processo administrativo não abrange a correspondência e a troca de opiniões entre a autoridade de controlo principal e as autoridades de controlo interessadas. As informações trocadas entre as autoridades de controlo para efeitos de investigação de um caso individual são documentos internos e não acessíveis às partes objeto de investigação nem ao autor da reclamação.

4.O acesso às objeções pertinentes e fundamentadas, nos termos do artigo 60.º, n.º 4, do Regulamento (UE) 2016/679, deve ser facultado em conformidade com o artigo 24.º. 

Artigo 20.º

Acesso ao processo administrativo e utilização de documentos

1.A autoridade de controlo principal deve conceder acesso ao processo administrativo às partes objeto de investigação, permitindo-lhes exercer o seu direito a serem ouvidas. O acesso ao processo administrativo é concedido depois de a autoridade de controlo principal notificar as conclusões preliminares às partes objeto de investigação.

2.O processo administrativo deve incluir todos os documentos, incriminatórios e ilibatórios, incluindo os factos e documentos do conhecimento das partes objeto de investigação.

3.As conclusões da autoridade de controlo principal no projeto de decisão nos termos do artigo 60.º, n.º 3, do Regulamento (UE) 2016/679 e na decisão final nos termos do artigo 60.º, n.º 7, do Regulamento (UE) 2016/679 só podem basear-se em documentos citados nas conclusões preliminares ou em relação aos quais as partes objeto de investigação tenham tido a oportunidade de dar a conhecer a sua opinião.

4.Os documentos obtidos através do acesso ao processo administrativo nos termos do presente artigo só podem ser utilizados para efeitos de processos judiciais ou administrativos para a aplicação do Regulamento (UE) 2016/679 no caso específico para o qual esses documentos foram fornecidos.

Artigo 21.º

Identificação e proteção de informações confidenciais

1.Salvo disposição em contrário do presente regulamento, as informações recolhidas ou obtidas por uma autoridade de controlo em casos transfronteiriços nos termos do Regulamento (UE) 2016/679, incluindo qualquer documento que contenha essas informações, não podem ser comunicadas nem tornadas acessíveis pela autoridade de controlo na medida em que contenham segredos comerciais ou outras informações confidenciais de qualquer pessoa.

2.As informações recolhidas ou obtidas por uma autoridade de controlo em casos transfronteiriços nos termos do Regulamento (UE) 2016/679, incluindo qualquer documento que contenha essas informações, são excluídas dos pedidos de acesso nos termos da legislação sobre o acesso do público a documentos oficiais enquanto o processo estiver em curso.

3.Ao comunicar as conclusões preliminares às partes objeto de investigação e ao facultar acesso ao processo administrativo com base no artigo 20.º, a autoridade de controlo principal deve assegurar que as partes objeto de investigação às quais é dado acesso a informações que contenham segredos comerciais ou outras informações confidenciais tratam essas informações com o maior respeito pela sua confidencialidade e que essas informações não são utilizadas em detrimento de quem forneceu as informações. Em função do grau de confidencialidade das informações, a autoridade de controlo principal deve adotar as disposições adequadas para assegurar a plena aplicação dos direitos de defesa das partes objeto de investigação, tendo devidamente em conta a confidencialidade das informações.

4.Uma entidade que apresente informações que considere confidenciais deve identificar claramente as informações que considera confidenciais, justificando a confidencialidade alegada. A entidade deve fornecer uma versão não confidencial autónoma dos elementos apresentados.

5.Sem prejuízo do disposto no n.º 4, a autoridade de controlo principal pode exigir que as partes objeto de investigação ou qualquer outra parte que apresente documentos nos termos do Regulamento (UE) 2016/679 identifiquem os documentos ou as partes de documentos que considerem conter segredos comerciais ou outras informações confidenciais que lhes digam respeito e identifiquem as partes relativamente às quais esses documentos devem ser considerados confidenciais.

6.A autoridade de controlo principal pode fixar um prazo para as partes objeto de investigação e qualquer outra parte que apresente um pedido de confidencialidade para:

(a)Fundamentar os respetivos pedidos de segredos comerciais e outras informações confidenciais para cada documento ou parte de documento, declaração ou parte de declaração;

(b)Fornecer uma versão não confidencial dos documentos e das declarações, nos quais se expurgam os segredos comerciais e outras informações confidenciais;

(c)Fornecer uma descrição concisa e não confidencial de cada elemento de informação expurgado.

7.Se as partes objeto de investigação ou qualquer outra parte não cumprirem o disposto nos n.os 4 e 5, a autoridade de controlo principal pode considerar que os documentos ou declarações em causa não contêm segredos comerciais ou outras informações confidenciais.

Capítulo V

Resolução de litígios

Artigo 22.º

Transmissão para o mecanismo de resolução de litígios nos termos do artigo 65.º do Regulamento (UE) 2016/679

1.Se a autoridade de controlo principal não concordar com as objeções pertinentes e fundamentadas ou considerar que as objeções não são pertinentes ou fundamentadas, deve submeter o assunto ao mecanismo de resolução de litígios previsto no artigo 65.º do Regulamento (UE) 2016/679.

2.Ao remeter o assunto para o mecanismo de resolução de litígios, a autoridade de controlo principal deve fornecer ao Comité todos os documentos seguintes:

(a)O projeto de decisão ou o projeto de decisão revisto sujeito às objeções pertinentes e fundamentadas;

(b)Uma exposição sumária dos factos pertinentes;

(c)As conclusões preliminares;

(d)A opinião escrita das partes objeto de investigação, consoante o caso, nos termos dos artigos 14.º e 17.º;

(e)A opinião escrita dos autores das reclamações, consoante o caso, nos termos dos artigos 11.º, 12.º e 15.º;

(f)As objeções pertinentes e fundamentadas que não mereceram a concordância da autoridade de controlo principal;

(g)As razões pelas quais a autoridade de controlo principal não concordou com as objeções pertinentes e fundamentadas ou considerou que as objeções não eram pertinentes ou fundamentadas.

3.No prazo de quatro semanas a contar da receção dos documentos enumerados no n.º 2, o Comité determina quais as objeções que considera pertinentes e fundamentadas.

Artigo 23.º

Registo relativo a uma decisão nos termos do artigo 65.º, n.º 1, alínea a), do Regulamento (UE) 2016/679

O presidente do Comité deve proceder ao registo da transmissão de uma questão para o mecanismo de resolução de litígios nos termos do artigo 65.º, n.º 1, alínea a), do Regulamento (UE) 2016/679, o mais tardar uma semana após ter recebido todos os seguintes documentos:

(a)O projeto de decisão ou o projeto de decisão revisto sujeito às objeções pertinentes e fundamentadas;

(b)Uma exposição sumária dos factos pertinentes;

(c)A opinião escrita das partes objeto de investigação, consoante o caso, nos termos dos artigos 14.º e 17.º;

(d)A opinião escrita dos autores das reclamações, consoante o caso, nos termos dos artigos 11.º, 12.º e 15.º;

(e)As objeções consideradas pertinentes e fundamentadas;

(f)As razões pelas quais a autoridade de controlo principal não deu seguimento às objeções consideradas pertinentes e fundamentadas.

Artigo 24.º

Exposição de motivos anterior à adoção da decisão nos termos do artigo 65.º, n.º 1, alínea a), do Regulamento (UE) 2016/679

1.Antes de adotar a decisão vinculativa nos termos do artigo 65.º, n.º 1, alínea a), do Regulamento (UE) 2016/679, o presidente do Comité deve, através da autoridade de controlo principal, facultar às partes objeto de investigação e/ou, em caso de rejeição total ou parcial de uma reclamação, ao autor da reclamação, uma exposição de motivos na qual se explica a fundamentação que o Comité tenciona adotar na sua decisão. Caso o Comité tencione adotar uma decisão vinculativa que exija que a autoridade de controlo principal altere o seu projeto de decisão ou o projeto de decisão revisto, cabe ao Comité decidir se essa exposição de motivos deve ser acompanhada das objeções consideradas pertinentes e fundamentadas com base nas quais o Comité tenciona adotar a sua decisão.

2.As partes objeto de investigação e/ou, em caso de rejeição total ou parcial de uma reclamação, o autor da reclamação dispõem do prazo de uma semana, a contar da data de receção da exposição de motivos a que se refere o n.º 1, para dar a conhecer a sua opinião.

3.O prazo previsto no n.º 2 deve ser prorrogado por uma semana se o Comité prorrogar o prazo para a adoção da decisão vinculativa em conformidade com o artigo 65.º, n.º 2, do Regulamento (UE) 2016/679.

4.O prazo para a adoção da decisão vinculativa do Comité previsto no artigo 65.º, n.º 2, do Regulamento (UE) 2016/679 suspende-se durante os prazos previstos nos n.os 2 e 3.

Artigo 25.º

Procedimento relativo à decisão nos termos do artigo 65.º, n.º 1, alínea b), do Regulamento (UE) 2016/679

1.Ao submeter uma matéria à apreciação do Comité nos termos do artigo 65.º, n.º 1, alínea b), do Regulamento (UE) 2016/679, a autoridade de controlo que submete a matéria no que respeita à competência do estabelecimento principal deve fornecer ao Comité todos os seguintes documentos:

(a)Uma exposição sumária dos factos pertinentes;

(b)A apreciação destes factos no que respeita às condições previstas no artigo 56.º, n.º 1, do Regulamento (UE) 2016/679;

(c)A opinião do responsável pelo tratamento ou do subcontratante cujo estabelecimento principal é objeto da transmissão;

(d)A opinião de outras autoridades de controlo interessadas na transmissão;

(e)Qualquer outro documento ou informação que a autoridade de controlo que procede ao envio considere pertinente e necessário para alcançar a resolução da questão.

2.O presidente do Comité regista a transmissão o mais tardar uma semana após a receção dos documentos a que se refere o n.º 1.

Artigo 26.º

Procedimento relativo à decisão nos termos do artigo 65.º, n.º 1, alínea c), do Regulamento (UE) 2016/679

1.Ao submeter uma matéria à apreciação do Comité nos termos do artigo 65.º, n.º 1, alínea c), do Regulamento (UE) 2016/679, a autoridade de controlo que submete a matéria ou a Comissão deve fornecer ao Comité todos os seguintes documentos:

(a)Uma exposição sumária dos factos pertinentes;

(b)O parecer, consoante o caso, emitido pelo Comité nos termos do artigo 64.º do Regulamento (UE) 2016/679;

(c)A opinião da autoridade de controlo que submeteu a questão ou da Comissão sobre se, consoante o caso, uma autoridade de controlo tinha de comunicar o projeto de decisão ao Comité nos termos do artigo 64.º, n.º 1, do Regulamento (UE) 2016/679, ou sobre se uma autoridade de controlo não adotou um parecer do Comité emitido nos termos do artigo 64.º do Regulamento (UE) 2016/679.

2.O presidente do Comité deve solicitar os seguintes documentos:

(a)A opinião da autoridade de controlo que alegadamente não cumpriu a obrigação de comunicar um projeto de decisão ao Comité ou não adotou um parecer do Comité;

(b)Qualquer outro documento ou informação que a autoridade de controlo considere pertinente e necessário para encontrar uma resolução sobre a matéria.

Se uma autoridade de controlo declarar a necessidade de apresentar a sua opinião sobre a questão transmitida, deve fazê-lo no prazo de duas semanas a contar da data da submissão da questão a que se refere o n.º 1.

3.O presidente do Comité regista a transmissão o mais tardar uma semana a contar da data da receção dos documentos a que se referem os n.os 1 e 2.

Capítulo VI

Procedimento de urgência

Artigo 27.º

Pareceres urgentes nos termos do artigo 66.º, n.º 2, do Regulamento (UE) 2016/679

1.O pedido de parecer urgente do Comité nos termos do artigo 66.º, n.º 2, do Regulamento (UE) 2016/679 deve ser apresentado o mais tardar três semanas antes da data de caducidade das medidas provisórias adotadas nos termos do artigo 66.º, n.º 1, do Regulamento (UE) 2016/679 e deve conter todos os seguintes elementos:

(a)Uma exposição sumária dos factos pertinentes;

(b)Uma descrição da medida provisória adotada no seu próprio território, da sua duração e dos motivos da sua adoção, incluindo a justificação da necessidade urgente de agir para proteger os direitos e liberdades dos titulares dos dados;

(c)Uma justificação da necessidade urgente de adotar medidas definitivas no território do Estado-Membro da autoridade de controlo requerente, incluindo uma explicação da natureza excecional das circunstâncias que exigem a adoção das medidas em causa.

2.O parecer urgente do Comité é dirigido à autoridade de controlo que apresentou o pedido. Deve ser semelhante a um parecer na aceção do artigo 64.º, n.º 1, do Regulamento (UE) 2016/679 e permitir à autoridade requerente manter ou alterar a sua medida provisória em conformidade com as obrigações previstas no artigo 64.º, n.º 7, do Regulamento (UE) 2016/679.

Artigo 28.º

Decisões urgentes nos termos do artigo 66.º, n.º 2, do Regulamento (UE) 2016/679

1.O pedido de decisão urgente do Comité nos termos do artigo 66.º, n.º 2, do Regulamento (UE) 2016/679 deve ser apresentado, o mais tardar, três semanas antes da data de caducidade das medidas provisórias adotadas nos termos do artigo 61.º, n.º 8, do artigo 62.º, n.º 7, ou do artigo 66.º, n.º 1, do Regulamento (UE) 2016/679. Esse pedido deve conter todos os seguintes elementos:

(a)Uma exposição sumária dos factos pertinentes;

(b)A medida provisória adotada no território do Estado-Membro da autoridade de controlo que solicita a decisão, a sua duração e os motivos para a adoção das medidas provisórias, em especial a justificação da necessidade urgente de agir para proteger os direitos e liberdades dos titulares dos dados;

(c)Informações sobre quaisquer medidas de investigação tomadas no seu próprio território e respostas recebidas do estabelecimento local das partes objeto da investigação ou quaisquer outras informações na posse da autoridade de controlo requerente;

(d)Uma justificação da necessidade urgente de adotar medidas definitivas no território da autoridade de controlo requerente, tendo em conta a natureza excecional das circunstâncias que exigem a adoção da medida definitiva, ou a prova de que uma autoridade de controlo não respondeu a um pedido nos termos do artigo 61.º, n.º 3, ou do artigo 62.º, n.º 2, do Regulamento (UE) 2016/679;

(e)Se a autoridade de controlo requerente não for a autoridade de controlo principal, a opinião da autoridade de controlo principal;

(f)Se for caso disso, a opinião do estabelecimento local das partes objeto de investigação contra o qual foram adotadas medidas provisórias nos termos do artigo 66.º, n.º 1, do Regulamento (UE) 2016/679.

2.A decisão urgente a que se refere o n.º 1 é dirigida à autoridade de controlo que apresentou o pedido e permite à autoridade requerente manter ou alterar a respetiva medida provisória.

3.Se o Comité adotar uma decisão vinculativa urgente indicando que devem ser adotadas medidas definitivas, a autoridade de controlo destinatária da decisão deve adotar essas medidas antes da data de caducidade das medidas provisórias adotadas nos termos do artigo 66.º, n.º 1, do Regulamento (UE) 2016/679.

4.A autoridade de controlo que apresentou o pedido a que se refere o n.º 1 deve notificar a sua decisão sobre as medidas definitivas ao estabelecimento do responsável pelo tratamento ou subcontratante no território do seu Estado-Membro e informa o Comité. Se a autoridade de controlo principal não for a autoridade requerente, a autoridade requerente deve informar a autoridade de controlo principal da medida definitiva.

5.Se a decisão vinculativa urgente indicar que não é urgente adotar medidas definitivas, as autoridades principais e de controlo em causa devem observar o procedimento previsto no artigo 60.º do Regulamento (UE) 2016/679.

Capítulo VII

Disposições gerais e finais

Artigo 29.º

Início dos prazos e definição de dia útil

1.Os prazos previstos ou fixados pelas autoridades de controlo nos termos do Regulamento (UE) 2016/679 são calculados em conformidade com o Regulamento (CEE, Euratom) n.º 1182/71 do Conselho 17 .

2.Os prazos começam a correr no dia útil seguinte à data da ocorrência do acontecimento a que faz referência a disposição aplicável do Regulamento (UE) 2016/679 ou do presente regulamento.

Artigo 30.º

Disposições transitórias

Os capítulos III e IV aplicam-se às investigações ex officio iniciadas após a entrada em vigor do presente regulamento e às investigações baseadas em reclamações em que a reclamação tenha sido apresentada após a data de entrada em vigor do presente regulamento.

O capítulo V aplica-se a todos os casos submetidos a ao mecanismo de resolução de litígios nos termos do artigo 65.º do Regulamento (UE) 2016/679 após a entrada em vigor do presente regulamento.

Artigo 31.º

Entrada em vigor

O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.

Feito em Bruxelas, em

(1)    Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1).

(2)    Comunicação da Comissão ao Parlamento Europeu e ao Conselho intitulada «A proteção de dados enquanto pilar da capacitação dos cidadãos e a abordagem da UE para a transição digital – dois anos de aplicação do Regulamento Geral sobre a Proteção de Dados» [COM(2020) 264 final].

(3)    Resolução do Parlamento Europeu, de 25 de março de 2021, sobre o relatório de avaliação da Comissão sobre a execução do Regulamento Geral sobre a Proteção de Dados dois anos após a sua aplicação [2020/2717(RSP)].

(4)     https://edpb.europa.eu/our-work-tools/our-documents/statements/statement-enforcement-cooperation_en .

(5)     https://edpb.europa.eu/system/files/2022-10/edpb_letter_out2022-0069_to_the_eu_commission_on_procedural_aspects_en_0.pdf .

(6)     https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=pt&do=groupDetail.groupDetail&groupID=3537 .

(7)     https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=pt&do=groupDetail.groupDetail&groupID=3461 .

(8)     https://commission.europa.eu/strategy-documents/commission-work-programme/commission-work-programme-2023_en .

(9)    Comunicação da Comissão ao Parlamento Europeu e ao Conselho intitulada «A proteção de dados enquanto pilar da capacitação dos cidadãos e a abordagem da UE para a transição digital – dois anos de aplicação do Regulamento Geral sobre a Proteção de Dados» [COM(2020) 264 final].

(10)    Documento de trabalho dos serviços da Comissão que acompanha a Comunicação da Comissão ao Parlamento Europeu e ao Conselho intitulada «A proteção de dados enquanto pilar da capacitação dos cidadãos e a abordagem da UE para a transição digital – dois anos de aplicação do Regulamento Geral sobre a Proteção de Dados» [SWD(2020) 115 final].

(11)    Resolução do Parlamento Europeu, de 25 de março de 2021, sobre o relatório de avaliação da Comissão sobre a execução do Regulamento Geral sobre a Proteção de Dados dois anos após a sua aplicação [2020/2717(RSP)].

(12)     https://edpb.europa.eu/our-work-tools/our-documents/statements/statement-enforcement-cooperation_en .

(13)     https://edpb.europa.eu/system/files/2022-10/edpb_letter_out2022-0069_to_the_eu_commission_on_procedural_aspects_en_0.pdf .

(14)    JO C  de , p. .

(15)    JO C  de , p. .

(16)    Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1).

(17)    Regulamento (CEE, Euratom) n.º 1182/71 do Conselho, de 3 de junho de 1971, relativo à determinação das regras aplicáveis aos prazos, às datas e aos termos (JO L 124 de 8.6.1971, p. 1).

COMISSÃO EUROPEIA

Bruxelas, 4.7.2023

COM(2023) 348 final

ANEXO

da Proposta de

REGULAMENTO DO PARLAMENTO EUROPEU E DO CONSELHO

que estabelece normas processuais adicionais relativas à aplicação do Regulamento (UE) 2016/679

ANEXO

Reclamação apresentada nos termos do artigo 3.º 1

Parte A: Informações obrigatórias

1.Identificação da pessoa ou entidade que apresenta a reclamação Se o autor da reclamação for uma pessoa singular, queira facultar um meio de identificação 2 . Se a reclamação for apresentada por um organismo a que se refere o artigo 80.º do Regulamento (UE) 2016/679, queira facultar prova de que o organismo foi devidamente constituído em conformidade com a legislação de um Estado-Membro. Se a reclamação for apresentada com base no artigo 80.º, n.º 1, do Regulamento 2016/679, queira facultar prova de que o organismo que apresenta a reclamação atua com base no mandato de um titular de dados.

2.Dados de contacto 3 Se a reclamação for enviada por via eletrónica, endereço de correio eletrónico. Se a reclamação for enviada por via postal, endereço postal. Número de telefone.

3.Entidade cujo tratamento dos dados pessoais que lhe dizem respeito viola o Regulamento (UE) 2016/679 Queira facultar todas as informações de que dispõe para facilitar a identificação da entidade objeto da sua reclamação.

4.Objeto da reclamação Queira descrever os factos a partir dos quais, na sua opinião, os seus dados pessoais são ou foram objeto de tratamento em violação do Regulamento (UE) 2016/679 (RGPD). Queira indicar, em especial, o contexto em que os seus dados pessoais foram tratados.

Parte B: Informações complementares

Se possível, queira indicar as disposições do Regulamento (UE) 2016/679 (RGPD) que considera terem sido violadas pela entidade que trata os seus dados pessoais. Queira especificar se contactou a entidade mencionada no ponto 3 da parte A antes de apresentar a reclamação e descreva o resultado de tais ações. Queira anexar, se possível, anexe toda a correspondência pertinente entre si e a entidade. Queira especificar se deu início a outros processos administrativos e/ou judiciais relativos ao objeto da sua reclamação. Em caso afirmativo, queira apresentar uma explicação do estatuto e, se for caso disso, do resultado dessas ações. Queira apresentar toda a documentação de que dispõe sobre os factos descritos na reclamação [por exemplo, cópia dos documentos que atestam a relação com o responsável pelo tratamento dos dados (por exemplo, faturas, contratos); cópia de quaisquer mensagens comerciais ou mensagens de correio eletrónico; imagens, fotografias ou capturas de ecrã; relatórios de peritos; depoimentos de testemunhas; relatórios de inspeções].

Parte C: Declaração e assinatura

Queira confirmar que as informações prestadas no presente formulário são prestadas de boa-fé. Data e assinatura.

(1)    A reclamação deve ser preenchida e enviada por via eletrónica ou preenchida e enviada à autoridade de controlo por via postal.

(2)    Por exemplo, passaporte, carta de condução, documento nacional de identidade.

(3)    Caso um organismo a que se refere o artigo 80.º do Regulamento (UE) 2016/679 apresente uma reclamação, devem ser fornecidas todas as informações referidas no ponto 2.