ISSN 1977-0774

Jornal Oficial

da União Europeia

L 295

European flag  

Edição em língua portuguesa

Legislação

61.° ano
21 de novembro de 2018


Índice

 

I   Atos legislativos

Página

 

 

REGULAMENTOS

 

*

Regulamento (UE) 2018/1724 do Parlamento Europeu e do Conselho, de 2 de outubro de 2018, relativo à criação de uma plataforma digital única para a prestação de acesso a informações, a procedimentos e a serviços de assistência e de resolução de problemas, e que altera o Regulamento (UE) n.o 1024/2012 ( 1 )

1

 

*

Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE ( 1 )

39

 

*

Regulamento (UE) 2018/1726 do Parlamento Europeu e do Conselho, de 14 de novembro de 2018, relativo à Agência da União Europeia para a Gestão Operacional de Sistemas Informáticos de Grande Escala no Espaço de Liberdade, Segurança e Justiça (eu-LISA), que altera o Regulamento (CE) n.o 1987/2006 e a Decisão 2007/533/JAI do Conselho, e que revoga o Regulamento (UE) n.o 1077/2011

99

 

*

Regulamento (UE) 2018/1727 do Parlamento Europeu e do Conselho, de 14 de novembro de 2018, que cria a Agência da União Europeia para a Cooperação Judiciária Penal (Eurojust), e que substitui e revoga a Decisão 2002/187/JAI do Conselho

138

 


 

(1)   Texto relevante para efeitos do EEE.

PT

Os actos cujos títulos são impressos em tipo fino são actos de gestão corrente adoptados no âmbito da política agrícola e que têm, em geral, um período de validade limitado.

Os actos cujos títulos são impressos em tipo negro e precedidos de um asterisco são todos os restantes.


I Atos legislativos

REGULAMENTOS

21.11.2018   

PT

Jornal Oficial da União Europeia

L 295/1


REGULAMENTO (UE) 2018/1724 DO PARLAMENTO EUROPEU E DO CONSELHO

de 2 de outubro de 2018

relativo à criação de uma plataforma digital única para a prestação de acesso a informações, a procedimentos e a serviços de assistência e de resolução de problemas, e que altera o Regulamento (UE) n.o 1024/2012

(Texto relevante para efeitos do EEE)

O PARLAMENTO EUROPEU E O CONSELHO DA UNIÃO EUROPEIA,

Tendo em conta o Tratado sobre o Funcionamento da União Europeia, nomeadamente o artigo 21.o, n.o 2, e o artigo 114.o, n.o 1,

Tendo em conta a proposta da Comissão Europeia,

Após transmissão do projeto de ato legislativo aos parlamentos nacionais,

Tendo em conta o parecer do Comité Económico e Social Europeu (1),

Deliberando de acordo com o processo legislativo ordinário (2),

Considerando o seguinte:

(1)

O mercado interno é uma das conquistas mais importantes da União. Ao permitir que pessoas, bens, serviços e capitais circulem livremente, oferece novas oportunidades aos cidadãos e às empresas. O presente regulamento é um elemento essencial da Estratégia para o Mercado Único, criada pela comunicação da Comissão, de 28 de outubro de 2015, intitulada «Melhorar o Mercado Único: mais oportunidades para os cidadãos e as empresas». Essa estratégia tem como objetivo explorar todo o potencial do mercado interno, permitindo aos cidadãos e às empresas deslocarem-se mais facilmente na União, comercializarem os seus produtos, estabelecerem-se e expandirem as suas atividades além-fronteiras.

(2)

A comunicação da Comissão, de 6 de maio de 2015, intitulada «Estratégia para o Mercado Único Digital na Europa» reconheceu o papel da internet e das tecnologias digitais na transformação da nossa vida e da forma como os cidadãos e as empresas acedem às informações, adquirem conhecimentos, bens e serviços, participam no mercado e trabalham, proporcionando oportunidades para a inovação, o crescimento e o emprego. Essa comunicação, a par de várias resoluções aprovadas pelo Parlamento Europeu, reconheceu que as necessidades dos cidadãos e das empresas no seu próprio país e além-fronteiras poderiam ser satisfeitas de forma mais adequada graças ao alargamento e à integração dos portais, dos sítios Web, das redes, dos serviços e dos sistemas existentes a nível europeu e à sua ligação a diferentes soluções nacionais, criando assim uma plataforma digital única que sirva de ponto de entrada único europeu (a «plataforma»). A comunicação da Comissão, de 19 de abril de 2016, intitulada «Plano de ação europeu (2016-2020) para a administração pública em linha — Acelerar a transformação digital da administração pública», incluiu a plataforma entre as suas ações para 2017. O relatório da Comissão, de 24 de janeiro de 2017, intitulado «Relatório de 2017 sobre a cidadania da UE: Reforçar os direitos dos cidadãos numa União da mudança democrática», considerou a plataforma como uma prioridade para os direitos dos cidadãos da União.

(3)

O Parlamento Europeu e o Conselho apelaram repetidamente à adoção de um pacote de informações e de assistência mais abrangente e mais convivial para ajudar os cidadãos e as empresas a navegar no mercado interno e para reforçar e racionalizar os instrumentos desse mercado a fim de satisfazer melhor as necessidades dos cidadãos e das empresas no âmbito das suas atividades transfronteiriças.

(4)

O presente regulamento responde a esses apelos, proporcionando aos cidadãos e às empresas um fácil acesso à informação, aos procedimentos e aos serviços de assistência e de resolução de problemas de que necessitam para o exercício dos seus direitos no mercado interno. A plataforma poderá contribuir para uma maior transparência das normas e das regras relativas a diversos aspetos da vida das pessoas e das empresas, em áreas como as viagens, a reforma, os estudos, o trabalho, o acesso aos cuidados de saúde, o exercício dos direitos dos consumidores e dos direitos das famílias. Além disso, a plataforma poderá contribuir para melhorar a confiança dos consumidores, para dar resposta à falta de conhecimentos sobre as regras relativas à proteção dos consumidores e ao mercado interno, e para reduzir os custos de conformidade para as empresas. O presente regulamento estabelece uma plataforma convivial e interativa que deverá dirigir os utilizadores para os serviços de assistência mais adequados com base nas suas necessidades. Nesse contexto, a Comissão e os Estados-Membros deverão desempenhar um papel importante para a consecução desses objetivos.

(5)

A plataforma deverá facilitar as interações entre os cidadãos e as empresas, por um lado, e as autoridades competentes, por outro, concedendo acesso a soluções em linha, facilitando as atividades quotidianas dos cidadãos e das empresas e minimizando os obstáculos encontrados no mercado interno. A existência de uma plataforma digital única que conceda acesso em linha a informações exatas e atualizadas e a procedimentos e serviços de assistência e de resolução de problemas poderá sensibilizar os utilizadores para os diferentes serviços existentes em linha, permitindo-lhes poupar tempo e dinheiro.

(6)

O presente regulamento tem três objetivos, a saber: reduzir os encargos administrativos adicionais para os cidadãos e para as empresas que exercem ou desejam exercer os seus direitos no mercado interno, incluindo a livre circulação dos cidadãos, no pleno respeito das regras e dos procedimentos nacionais; eliminar a discriminação; e garantir o funcionamento do mercado interno no que diz respeito à prestação de informações, de procedimentos e de serviços de assistência e de resolução de problemas. Uma vez que o presente regulamento abrange a livre circulação dos cidadãos, o que não pode ser considerado meramente acessório, deverá basear-se no artigo 21.o, n.o 2, e no artigo 114.o, n.o 1, do Tratado sobre o Funcionamento da União Europeia (TFUE).

(7)

Para que os cidadãos e as empresas da União possam exercer o seu direito à livre circulação no mercado interno, a União deverá adotar medidas específicas não discriminatórias que lhes permitam ter fácil acesso a informações suficientemente completas e fiáveis sobre os direitos que lhes são conferidos pelo direito da União e sobre as regras e os procedimentos nacionais aplicáveis que devem respeitar quando se deslocam, vivem, estudam, se estabelecem ou exercem uma atividade profissional noutro Estado-Membro. As informações deverão ser consideradas suficientemente completas, se incluírem todas as informações necessárias para que os utilizadores compreendam quais os seus direitos e obrigações, e identificarem as regras que lhes são aplicáveis relativamente às atividades que pretendem exercer enquanto utilizadores transfronteiriços. As informações deverão ser enunciadas de forma clara, concisa e compreensível e ser funcionais e bem adaptadas ao grupo de utilizadores visado. As informações sobre os procedimentos deverão abranger todas as etapas procedimentais previsíveis que sejam pertinentes para o utilizador. Para os cidadãos e as empresas que se deparam com regimes regulamentares complexos, como os regimes do comércio eletrónico e da economia colaborativa, é importante poder encontrar facilmente as regras aplicáveis e descobrir a forma como estas se aplicam às suas atividades. Por acesso fácil e convivial às informações entende-se a possibilidade de os utilizadores encontrarem facilmente as informações, identificarem facilmente os elementos de informação pertinentes para a sua situação específica e compreenderem facilmente as informações pertinentes. As informações fornecidas a nível nacional não deverão apenas referir-se às regras nacionais que transpõem o direito da União, mas também a quaisquer outras regras nacionais aplicáveis aos utilizadores não transfronteiriços e aos utilizadores transfronteiriços.

(8)

As regras previstas no presente regulamento sobre as informações a fornecer não deverão aplicar-se aos sistemas judiciais nacionais, visto que as informações nesse domínio relevantes para os utilizadores transfronteiriços já estão incluídas no Portal Europeu da Justiça. Em determinadas situações abrangidas pelo presente regulamento, os tribunais deverão ser considerados autoridades competentes, nomeadamente nos casos em que os tribunais façam a gestão dos registos de empresas. Além disso, o princípio da não discriminação deverá aplicar-se igualmente aos procedimentos em linha que dão acesso a procedimentos judiciais.

(9)

É evidente que os cidadãos e as empresas de outros Estados-Membros podem estar em situação de desvantagem devido à sua falta de familiaridade com as regras nacionais e os sistemas administrativos, as diferentes línguas utilizadas e a sua falta de proximidade geográfica em relação às autoridades competentes nos Estados-Membros que não o seu. A forma mais eficaz de reduzir os consequentes obstáculos ao mercado interno é facultar aos utilizadores transfronteiriços e não transfronteiriços o acesso à informação em linha, numa língua que possam compreender, a fim de lhes permitir concluir integralmente em linha os procedimentos para dar cumprimento às regras nacionais, e de lhes oferecer assistência caso as regras e os procedimentos não sejam suficientemente claros ou se deparem com obstáculos ao exercício dos seus direitos.

(10)

Vários atos da União procuraram fornecer soluções, através da criação de balcões únicos setoriais, incluindo os Balcões únicos, criados pela Diretiva 2006/123/CE do Parlamento Europeu e do Conselho (3), que oferecem informações em linha, serviços de assistência e acesso aos procedimentos relevantes para a prestação de serviços, os pontos de contacto para produtos, criados pelo Regulamento (CE) n.o 764/2008 do Parlamento Europeu e do Conselho (4), os Pontos de Contacto para produtos do setor da construção, criados pelo Regulamento (UE) n.o 305/2011 do Parlamento Europeu e do Conselho (5), que facultam o acesso a regras técnicas para produtos específicos, e os centros nacionais de assistência em matéria de qualificações profissionais, criados pela Diretiva 2005/36/CE do Parlamento Europeu e do Conselho (6), que prestam assistência aos profissionais que se deslocam além-fronteiras. Foram igualmente criadas redes, como a dos Centros Europeus do Consumidor, a fim de promover a compreensão dos direitos dos consumidores da União e de prestar assistência no tratamento de reclamações relacionadas com aquisições noutros Estados-Membros no âmbito da rede, quando viajam ou fazem compras em linha. Além disso, a rede SOLVIT, referida na Recomendação 2013/461/UE da Comissão (7), tem por objetivo proporcionar soluções rápidas, eficazes e informais aos indivíduos e às empresas quando os seus direitos no mercado interno são negados pelas autoridades públicas. Por último, foram criados vários portais de informação, como «A sua Europa», em relação ao mercado interno, ou «e-Justice», no domínio da justiça, para informar os utilizadores sobre as regras nacionais e da União.

(11)

Em virtude da natureza setorial desses atos da União, a atual prestação em linha de informação e de serviços de assistência e de resolução de problemas, e a existência de procedimentos em linha para os cidadãos e para as empresas, continua a ser muito fragmentada. Verificam-se discrepâncias na disponibilização das informações e dos procedimentos em linha, falta de qualidade dos serviços e falta de sensibilização para essas informações e para esses serviços de assistência e de resolução de problemas. Os utilizadores transfronteiriços enfrentam igualmente problemas para encontrar esses serviços e para aceder a eles.

(12)

O presente regulamento deverá estabelecer um portal digital único que sirva de ponto de entrada único através do qual os cidadãos e as empresas possam aceder à informação sobre as regras e os requisitos que devem cumprir, por força do direito da União ou do direito nacional. A plataforma deverá simplificar o contacto dos cidadãos e das empresas com os serviços de assistência e de resolução de problemas, estabelecidos a nível da União ou a nível nacional, e tornar esse contacto mais eficaz. A plataforma deverá também facilitar o acesso aos procedimentos em linha e a conclusão dos mesmos. O presente regulamento não deverá afetar de modo algum os direitos e as obrigações consagrados pelo direito da União ou pelo direito nacional nesses domínios. Em relação aos procedimentos enumerados no anexo II do presente regulamento e aos procedimentos previstos nas Diretivas 2005/36/CE e 2006/123/CE e nas Diretivas 2014/24/UE (8) e 2014/25/UE (9) do Parlamento Europeu e do Conselho, o presente regulamento deverá promover a utilização do «princípio da declaração única» e respeitar plenamente o direito fundamental à proteção dos dados pessoais, para efeitos de intercâmbio de elementos de prova entre as autoridades competentes nos diferentes Estados-Membros.

(13)

A plataforma e o seu conteúdo deverão centrar-se no utilizador e deverão ser conviviais. A plataforma deverá procurar evitar sobreposições e deverá fornecer hiperligações para os serviços existentes. A plataforma deverá permitir que os cidadãos e as empresas interajam com os organismos públicos a nível nacional e da União, proporcionando-lhes a oportunidade de exprimir a sua opinião sobre os serviços oferecidos através da plataforma e sobre o funcionamento do mercado interno, em função da sua experiência. A ferramenta de retorno de informação deverá permitir que o utilizador assinale, de um modo que lhe permita manter o anonimato, problemas, deficiências e necessidades, a fim de incentivar a melhoria contínua da qualidade dos serviços.

(14)

O êxito da plataforma dependerá do esforço conjunto da Comissão e dos Estados-Membros. A plataforma deverá incluir uma interface comum do utilizador, integrada no atual portal «A sua Europa» que será gerida pela Comissão. Essa interface deverá conter hiperligações para a informação, os procedimentos e os serviços de assistência ou de resolução de problemas disponíveis nos portais geridos pelas autoridades competentes dos Estados-Membros e pela Comissão. A fim de facilitar a utilização da plataforma, a referida interface comum deverá estar disponível em todas as línguas oficiais das instituições da União («línguas oficiais da União»). O atual portal «A sua Europa» e a sua página principal, adaptada aos requisitos da plataforma, deverão manter a sua abordagem multilingue relativamente às informações fornecidas. O funcionamento da plataforma deverá ser facilitado por ferramentas técnicas criadas pela Comissão em estreita cooperação com os Estados-Membros.

(15)

Na Carta dos balcões únicos eletrónicos, no âmbito da Diretiva 2006/123/CE, aprovada pelo Conselho em 2013, os Estados-Membros assumiram um compromisso voluntário de adotarem uma abordagem centrada no utilizador, no que respeita à prestação de informações através de balcões únicos, a fim de cobrir os aspetos de particular relevância para as empresas, incluindo o IVA, os impostos sobre o rendimento, os requisitos em matéria de segurança social ou de direito do trabalho. Com base na Carta e à luz da experiência adquirida com o portal «A sua Europa», a informação deverá igualmente incluir uma descrição dos serviços de assistência e de resolução de problemas. Os cidadãos e as empresas deverão poder recorrer a esses serviços quando se depararem com problemas relacionados com a compreensão das informações, a aplicação das mesmas à sua situação ou a conclusão de procedimentos.

(16)

O presente regulamento deverá enumerar os domínios de informação relevantes para os cidadãos e as empresas que exercem os seus direitos e cumprem as suas obrigações no âmbito do mercado interno. Nesses domínios, deverão ser fornecidas informações suficientemente completas a nível nacional, incluindo os níveis regional e local, e a nível da União, que expliquem as regras e as obrigações aplicáveis e os procedimentos que os cidadãos e as empresas devem concluir a fim de dar cumprimento a essas regras e obrigações. Para garantir a qualidade dos serviços prestados, a informação disponibilizada na plataforma deverá ser clara, exata e atualizada, a utilização de terminologia complexa deverá ser reduzida ao mínimo e a utilização de acrónimos deverá ser limitada aos que consistam em termos simplificados e facilmente compreensíveis que não impliquem conhecimentos prévios sobre o assunto ou o ramo do direito em questão. Essas informações deverão ser fornecidas de modo a que os utilizadores possam compreender facilmente as regras e os requisitos básicos aplicáveis à sua situação nesses domínios. Os utilizadores deverão igualmente ser informados sobre a falta de regras nacionais, em determinados Estados-Membros, nos domínios de informação enumerados no anexo I, em particular nos domínios sujeitos a regras nacionais noutros Estados-Membros. Essas informações sobre a falta de regras nacionais poderão ser incluídas no portal «A sua Europa».

(17)

Sempre que possível, as informações já recolhidas pela Comissão junto dos Estados-Membros ao abrigo do direito da União em vigor ou de acordos voluntários, por exemplo as informações recolhidas para o portal EURES, estabelecido pelo Regulamento (UE) 2016/589 do Parlamento Europeu e do Conselho (10), para o Portal Europeu da Justiça, estabelecido pela Decisão 2001/470/CE do Conselho (11), ou para a base de dados das profissões regulamentadas, estabelecida pela Diretiva 2005/36/CE, deverão ser utilizadas para abranger parte das informações a disponibilizar aos cidadãos e às empresas a nível da União e a nível nacional nos termos do presente regulamento. Os Estados-Membros não deverão ser obrigados a fornecer, nos respetivos sítios Web nacionais, informações que já estejam disponíveis nas bases de dados pertinentes geridas pela Comissão. Caso os Estados-Membros já sejam obrigados a fornecer informação em linha por força de outros atos da União, como a Diretiva 2014/67/UE do Parlamento Europeu e do Conselho (12), deverá ser suficiente que forneçam hiperligações para a informação existente em linha. o caso de certos domínios que já tenham sido plenamente harmonizados pelo direito da União, por exemplo os direitos dos consumidores, a informação fornecida a nível da União deverá, regra geral, bastar para os utilizadores compreenderem os seus direitos e obrigações relevantes. Nesses casos, só se deverá exigir aos Estados-Membros que prestem informações adicionais sobre os seus procedimentos administrativos e serviços de assistência nacionais ou sobre outras eventuais regras administrativas nacionais, se essas informações forem pertinentes para os utilizadores. As informações sobre os direitos dos consumidores, por exemplo, não deverão afetar o direito contratual, mas sim informar os utilizadores sobre os seus direitos nos termos do direito da União e do direito nacional no contexto de transações comerciais.

(18)

O presente regulamento deverá reforçar a dimensão de mercado interno dos procedimentos em linha e contribuir, assim, para a digitalização do mercado interno, mediante o respeito do princípio geral da não discriminação, nomeadamente em relação ao acesso pelos cidadãos e pelas empresas aos procedimentos em linha já estabelecidos a nível nacional com base no direito da União ou no direito nacional e aos procedimentos que devem ser disponibilizados integralmente em linha nos termos do presente regulamento. Caso um utilizador numa situação estritamente limitada a um Estado-Membro possa aceder a um procedimento em linha, e concluí-lo, nesse Estado-Membro, num domínio abrangido pelo presente regulamento, um utilizador transfronteiriço também deverá poder aceder ao procedimento em linha e concluí-lo, quer através da mesma solução técnica, quer através de uma solução técnica distinta que conduza ao mesmo resultado, sem quaisquer entraves discriminatórios. Esses obstáculos poderão decorrer de soluções concebidas a nível nacional, tais como a utilização de campos de formulários que exijam números de telefone nacionais, prefixos nacionais de números telefónicos ou códigos postais nacionais, o pagamento de taxas que só possa ser feito através de sistemas que não prevejam pagamentos transfronteiriços, a falta de explicações pormenorizadas numa língua compreendida pelos utilizadores transfronteiriços, a impossibilidade de apresentar elementos de prova eletrónicos emanados de autoridades situadas noutro Estado-Membro e a falta de aceitação dos meios eletrónicos de identificação emitidos noutros Estados-Membros. Os Estados-Membros deverão prever soluções para esses obstáculos.

(19)

Nos casos em que os utilizadores concluam procedimentos em linha transfronteiriços, deverão poder receber todas as explicações pertinentes numa língua oficial da União que seja compreendida pelo maior número possível de utilizadores transfronteiriços. Isto não significa que os Estados-Membros tenham que traduzir para essa língua os respetivos formulários administrativos relacionados com o procedimento ou o resultado do mesmo. Todavia, incentiva-se os Estados-Membros a utilizarem soluções técnicas que permitam aos utilizadores concluir os procedimentos, no maior número possível de casos, nessa língua, respeitando simultaneamente as regras dos Estados-Membros relativas à utilização de línguas.

(20)

Os procedimentos nacionais em linha que são pertinentes para permitir aos utilizadores transfronteiriços o exercício dos seus direitos no mercado interno dependem de os utilizadores serem ou não residentes ou estarem ou não estabelecidos no Estado-Membro em causa, ou de pretenderem aceder aos procedimentos desse Estado-Membro, embora sejam residentes ou estejam estabelecidos noutro Estado-Membro. O presente regulamento não deverá impedir os Estados-Membros de exigirem aos utilizadores transfronteiriços residentes ou estabelecidos no seu território que obtenham um número de identificação nacional, a fim de terem acesso aos procedimentos nacionais em linha, desde que tal não represente um encargo ou um custo adicional injustificado para esses utilizadores. Não é necessário disponibilizar integralmente em linha aos utilizadores transfronteiriços que não residem ou nem estão estabelecidos no Estado-Membro em causa os procedimentos nacionais em linha que não sejam pertinentes para o exercício dos seus direitos no mercado interno, por exemplo a inscrição para beneficiar de serviços locais como a recolha do lixo e a concessão de licenças de estacionamento.

(21)

O presente regulamento deverá basear-se no Regulamento (UE) n.o 910/2014 do Parlamento Europeu e do Conselho (13), que define as condições em que um Estado-Membro deve reconhecer determinados meios de identificação eletrónica de pessoas singulares e coletivas sujeitas a um sistema de identificação eletrónica notificado de outro Estado-Membro. O Regulamento (UE) n.o 910/2014 estabelece as condições em que os utilizadores podem utilizar os seus meios de identificação e autenticação eletrónicas para aceder a serviços públicos em linha em situações transfronteiriças. As instituições e os órgãos e organismos da União são incentivados a aceitar meios de identificação e autenticação eletrónicas para os procedimentos pelos quais são responsáveis.

(22)

Vários atos setoriais da União, como as Diretivas, 2005/36/CE, 2006/123/CE, 2014/24/UE e 2014/25/UE exigem que os procedimentos se encontrem integralmente disponíveis em linha. O presente regulamento deverá exigir que sejam disponibilizados integralmente em linha, outros procedimentos de grande importância para a maioria dos cidadãos e das empresas que exercem os seus direitos e cumprem as suas obrigações a nível transfronteiriço.

(23)

A fim de permitir que os cidadãos e as empresas beneficiem diretamente das vantagens do mercado interno sem incorrerem em encargos administrativos adicionais desnecessários, o presente regulamento deverá exigir a plena digitalização da interface do utilizador dos principais procedimentos para os utilizadores transfronteiriços que se encontram enumerados no anexo II do presente regulamento. O presente regulamento deverá também estabelecer os critérios necessários para determinar se um procedimento se encontra integralmente em linha. A obrigação de disponibilizar um procedimento integralmente em linha deverá aplicar-se apenas se esse procedimento existir no Estado-Membro em causa. O presente regulamento não deverá abranger o registo inicial de uma atividade económica nem os procedimentos relativos à constituição de sociedades ou empresas como pessoas coletivas, ou o subsequente registo por parte dessas sociedades ou empresas, uma vez que esses procedimentos requerem uma abordagem abrangente que se destina a facilitar soluções digitais ao longo do ciclo de vida das empresas. Quando as empresas se estabelecem noutro Estado-Membro, são obrigadas a registar-se junto de um regime de segurança social e de seguro a fim de registarem os seus trabalhadores e a pagar as contribuições para ambos os regimes. As empresas podem ter de comunicar as suas atividades económicas, obter licenças ou registar as alterações da sua atividade. Esses procedimentos são comuns às empresas que operam em muitos setores da economia, pelo que é adequado exigir que sejam disponibilizados em linha.

(24)

O presente regulamento deverá precisar o que significa disponibilizar um procedimento integralmente em linha. Um procedimento poderá ser considerado como estando integralmente em linha se o utilizador puder realizar por via eletrónica, à distância e através de um serviço em linha todas as etapas, desde o acesso até à conclusão, interagindo com a autoridade competente («front office»). Esse serviço em linha deverá orientar o utilizador através de uma lista de todos os requisitos a respeitar e de todos os documentos justificativos a apresentar, deverá permitir ao utilizador apresentar as informações e os elementos de prova do cumprimento desses requisitos e deverá fornecer ao utilizador um aviso de receção automático, salvo se o resultado final do procedimento for transmitido imediatamente. Isto não deverá impedir as autoridades competentes de contactarem diretamente os utilizadores, se necessário, para obterem os esclarecimentos adicionais necessários para o procedimento. Sempre que possível, nos termos do direito da União e do direito nacional aplicável, as autoridades competentes deverão também transmitir ao utilizador, por via eletrónica, o resultado final do procedimento, tal como previsto no presente regulamento.

(25)

O presente regulamento não deverá afetar a substância dos procedimentos enumerados no anexo II, estabelecidos a nível nacional, regional ou local, e não prevê regras materiais ou procedimentais nos domínios abrangidos pelo anexo II, nomeadamente o domínio fiscal. O presente regulamento visa estabelecer requisitos técnicos, a fim de assegurar que esses procedimentos, quando existam no Estado-Membro em causa, se encontrem integralmente disponíveis em linha.

(26)

O presente regulamento não deverá afetar as competências das autoridades nacionais nos diferentes procedimentos, incluindo a verificação da exatidão e da validade das informações ou dos elementos de prova apresentados e a verificação da autenticidade, caso os elementos de prova sejam apresentados por meios que não o sistema técnico baseado no «princípio da declaração única». O presente regulamento também não deverá afetar os fluxos de trabalho procedimentais no âmbito das autoridades competentes e entre estas («back office»), independentemente do facto de se encontrarem digitalizados ou não. Sempre que necessário, no âmbito de alguns procedimentos de registo das alterações efetuadas a nível das atividades empresariais, os Estados-Membros deverão continuar a poder exigir a participação de notários ou advogados que possam decidir utilizar meios de verificação tais como a videoconferência ou outros meios em linha que permitam estabelecer uma ligação audiovisual em tempo real. No entanto, essa participação não deverá impedir a conclusão, na íntegra, dos procedimentos de registo de tais alterações em linha.

(27)

Em alguns casos, os utilizadores podem ter de apresentar elementos de prova para comprovar factos que não podem ser determinados por via eletrónica. Entre tais elementos de prova podem contar-se, por exemplo, atestados médicos, atestados de prova de vida, certificados de inspeção técnica de veículos a motor comprovativos do número do quadro do veículo. Desde que tais elementos de prova possam ser apresentados em formato eletrónico, tal requisito não deverá constituir uma exceção ao princípio de que um procedimento deverá estar disponível integralmente em linha. Noutros casos, os utilizadores de um determinado procedimento podem ter de comparecer presencialmente junto de uma autoridade competente no âmbito de um procedimento em linha. Estas exceções, distintas das decorrentes do direito da União, deverão limitar-se a situações justificadas por uma razão imperiosa de interesse público nos domínios da segurança pública, da saúde pública ou da luta contra a fraude. A fim de assegurar a transparência, os Estados-Membros deverão partilhar com a Comissão e os demais Estados-Membros informações sobre essas exceções, os seus fundamentos e as circunstâncias em que podem ser aplicadas. Os Estados-Membros não deverão ser obrigados a comunicar cada caso em que, excecionalmente, tenha sido necessária a presença física, mas sim as disposições nacionais que preveem esse tipo de casos. As melhores práticas adotadas a nível nacional e as evoluções técnicas que permitam aumentar a digitalização neste contexto deverão ser debatidas regularmente no grupo de coordenação da plataforma.

(28)

Em situações transfronteiriças, o procedimento de registo de uma alteração de morada pode implicar dois procedimentos distintos, um no Estado-Membro de origem para solicitar a anulação do registo na morada antiga, e outro no Estado-Membro de destino para solicitar o registo na nova morada. O presente regulamento deverá abranger ambos os procedimentos.

(29)

Uma vez que a digitalização dos requisitos, dos procedimentos e das formalidades relativas ao reconhecimento das qualificações profissionais já está abrangida pela Diretiva 2005/36/CE, o presente regulamento só deverá abranger a digitalização do procedimento de pedido de reconhecimento de diplomas e certificados académicos ou de outros documentos comprovativos da conclusão de cursos por pessoas que pretendam iniciar ou prosseguir estudos ou utilizar um título académico, à margem das formalidades relativas ao reconhecimento das qualificações profissionais.

(30)

O presente regulamento não deverá afetar as regras de coordenação da segurança social previstas nos Regulamentos (CE) n.o 883/2004 (14) e (CE) n.o 987/2009 (15) do Parlamento Europeu e do Conselho, que definem os direitos e as obrigações dos segurados e das instituições de segurança social, bem como os procedimentos aplicáveis no domínio da coordenação da segurança social.

(31)

Foram estabelecidas várias redes e serviços a nível da União e a nível nacional para assistir os cidadãos e as empresas nas suas atividades transfronteiriças. É importante que estes serviços, incluindo os serviços existentes de assistência ou de resolução de problemas estabelecidos a nível da União, tais como os Centros Europeus do Consumidor, A sua Europa — Aconselhamento, a rede SOLVIT, o Helpdesk Direitos de Propriedade Intelectual, «Europe Direct» e a Rede Europeia de Empresas, façam parte da plataforma a fim de garantir que todos os utilizadores potenciais os possam localizar. Os serviços enumerados no anexo III foram estabelecidos por atos vinculativos da União, enquanto outros operam numa base voluntária. Os serviços estabelecidos por atos vinculativos da União deverão estar vinculados aos requisitos de qualidade estabelecidos no presente regulamento, ao passo que os serviços operados numa base voluntária deverão cumprir esses requisitos de qualidade caso devam ser disponibilizados através da plataforma. O âmbito de aplicação e a natureza desses serviços, as disposições relativas à sua governação, os prazos existentes e o caráter voluntário, contratual ou outro com base no qual operam não deverão ser alterados pelo presente regulamento. Por exemplo, se a assistência que prestam é informal, o presente regulamento não deverá ter por efeito transformar essa assistência em aconselhamento jurídico de caráter vinculativo.

(32)

Além disso, os Estados-Membros e a Comissão deverão poder acrescentar à plataforma outros serviços nacionais de assistência ou de resolução de problemas, prestados pelas autoridades competentes ou por entidades privadas ou semiprivadas, ou por organismos públicos, tais como câmaras de comércio ou serviços não governamentais de assistência aos cidadãos, nas condições estabelecidas no presente regulamento. Em princípio, as autoridades competentes deverão ser responsáveis por assistir os cidadãos e as empresas relativamente a quaisquer questões sobre as regras e os procedimentos aplicáveis que não possam ser inteiramente tratadas através de serviços em linha. No entanto, em áreas muito especializadas, e se o serviço prestado por organismos privados ou semiprivados satisfizer as necessidades dos utilizadores, os Estados-Membros podem propor à Comissão que inclua esses serviços na plataforma, desde que estes preencham todas as condições estabelecidas no presente regulamento e que não dupliquem serviços de assistência ou de resolução de problemas já incluídos.

(33)

A fim de ajudar os utilizadores a identificar o serviço apropriado, o presente regulamento deverá incluir uma ferramenta de pesquisa de serviços de assistência que dirija os utilizadores automaticamente para o serviço adequado.

(34)

A conformidade com uma lista mínima de requisitos de qualidade é fundamental para o êxito da plataforma, a fim de assegurar que a prestação de informações e de serviços seja fiável; caso contrário a credibilidade da plataforma no seu conjunto ficaria gravemente comprometida. O objetivo global da conformidade é garantir que a informação ou o serviço sejam apresentados de forma clara e convivial. Cabe aos Estados-Membros determinar o modo como a informação é apresentada ao longo do percurso do utilizador, de modo a cumprir este objetivo. Por exemplo, embora seja útil informar os utilizadores, antes do lançamento de um procedimento, sobre as vias de recurso geralmente disponíveis em caso de resultado negativo do mesmo, é muito mais convivial fornecer as informações específicas sobre as eventuais medidas a tomar nessa eventualidade no final do procedimento.

(35)

A acessibilidade da informação aos utilizadores transfronteiriços pode ser substancialmente melhorada se essa informação estiver disponível numa língua oficial da União amplamente compreendida pelo maior número possível de utilizadores transfronteiriços. Essa língua deverá ser, na maioria dos casos, a língua estrangeira mais amplamente estudada pelos utilizadores em toda a União, mas, em casos específicos, mais especificamente no caso da prestação de informações a nível local por pequenos municípios próximos da fronteira de um Estado-Membro, a língua mais adequada pode ser a utilizada como língua materna pelos utilizadores transfronteiriços no Estado-Membro vizinho. A tradução a partir da língua ou das línguas oficiais do Estado-Membro em causa para uma outra língua oficial da União deverá refletir com exatidão o conteúdo da informação apresentada na língua ou nas línguas de partida. A tradução pode limitar-se às informações de que os utilizadores necessitam para compreender as regras e os requisitos básicos aplicáveis à sua situação. Embora os Estados-Membros devam ser incentivados a traduzir a maior quantidade possível de informações para uma língua oficial da União amplamente compreendida pelo maior número possível de utilizadores transfronteiriços, o volume de informações a traduzir, nos termos do presente regulamento, dependerá dos recursos financeiros disponíveis para esse efeito, em particular os recursos provenientes do orçamento da União. A Comissão deverá adotar as disposições adequadas para assegurar que as traduções sejam fornecidas de forma eficaz aos Estados-Membros, a pedido destes. O grupo de coordenação da plataforma deverá debater e fornecer orientações sobre a língua ou as línguas da União nas quais deverão ser traduzidas essas informações.

(36)

Nos termos da Diretiva (UE) 2016/2102 do Parlamento Europeu e do Conselho (16), os Estados-Membros têm de garantir que os sítios Web dos seus organismos públicos sejam acessíveis em conformidade com os princípios da percetibilidade, da operabilidade, da compreensibilidade e da robustez e que satisfaçam os requisitos estabelecidos na referida diretiva. A Comissão e os Estados-Membros deverão assegurar o respeito da Convenção das Nações Unidas sobre os Direitos das Pessoas com Deficiência, nomeadamente os seus artigos 9.o e 21.o, e, a fim de promover o acesso à informação das pessoas com deficiências intelectuais, deverão ser disponibilizadas, tanto quanto possível e respeitando o princípio da proporcionalidade, alternativas em linguagem de fácil compreensão. Os Estados-Membros, ao ratificar essa convenção, e a União, ao celebrá-la (17), comprometeram-se a tomar medidas adequadas para assegurar às pessoas com deficiência o acesso, em condições de igualdade com as demais pessoas, a novas tecnologias e sistemas de informação e comunicação, incluindo a Internet, facilitando o acesso à informação das pessoas com deficiências intelectuais graças à disponibilização, tanto quanto possível e de forma proporcionada, de alternativas em linguagem de fácil compreensão.

(37)

A Diretiva (UE) 2016/2102 não se aplica aos sítios Web nem às aplicações móveis das instituições e dos órgãos e organismos da União, mas a Comissão deverá assegurar que a interface comum do utilizador e as páginas Web sob a sua responsabilidade que devam ser incluídas na plataforma sejam acessíveis a pessoas com deficiência, o que implica que sejam percetíveis, operáveis, compreensíveis e robustas. O termo «percetibilidade» significa que a informação e os componentes da interface do utilizador devem ser apresentados aos utilizadores de modo a que eles os possam percecionar; o termo «operabilidade» significa que os componentes e a navegação na interface do utilizador devem ser funcionais; o termo «compreensibilidade» significa que a informação e a operação da interface do utilizador devem ser de fácil compreensão; o termo «robustez» significa que os conteúdos devem ser suficientemente robustos para que possam ser interpretados de forma fiável por uma ampla gama de agentes utilizadores, incluindo tecnologias de apoio. A Comissão é convidada a cumprir as normas harmonizadas aplicáveis no que respeita aos termos percetível, operável, compreensível e robusto.

(38)

A fim de facilitar o pagamento das taxas exigidas no âmbito de procedimentos em linha ou para a prestação de serviços de assistência ou de resolução de problemas, os utilizadores transfronteiriços deverão poder recorrer a transferências a crédito ou ao débito direto, tal como especificado no Regulamento (UE) n.o 260/2012 do Parlamento Europeu e do Conselho (18), ou a outros meios de pagamento transfronteiriço habitualmente utilizados, incluindo cartões de débito e cartões de crédito.

(39)

É útil informar os utilizadores sobre a duração prevista de um procedimento. Por conseguinte, os utilizadores deverão ser informados dos prazos aplicáveis ou dos mecanismos de aprovação tácita ou de silêncio administrativo, ou, caso estes não se apliquem, deverão ser informados, pelo menos, da duração média, estimada ou indicativa, do procedimento em causa. Essas estimativas ou indicações deverão servir apenas para ajudar os utilizadores a planearem as suas atividades ou medidas administrativas subsequentes e não deverão produzir qualquer efeito jurídico.

(40)

O presente regulamento deverá também permitir a verificação dos elementos de prova apresentados em formato eletrónico pelos utilizadores, caso sejam apresentados sem selo eletrónico ou certificação da autoridade competente ou caso a ferramenta técnica estabelecida pelo presente regulamento ou outro sistema que permita o intercâmbio direto ou a verificação de elementos de prova entre as autoridades competentes de diferentes Estados-Membros não se encontrem disponíveis. Nesses casos, o presente regulamento deverá prever um mecanismo eficaz de cooperação administrativa entre as autoridades competentes dos Estados-Membros, com base no Sistema de Informação do Mercado Interno («IMI»), criado pelo Regulamento (UE) n.o 1024/2012 do Parlamento Europeu e do Conselho (19). Nesses casos, a decisão da autoridade competente de utilizar o IMI deverá ser voluntária, mas uma vez que a autoridade tenha apresentado o pedido de informações ou de cooperação através do IMI, a autoridade competente requerida deverá ser obrigada a colaborar e a dar uma resposta. O pedido pode ser enviado através do IMI à autoridade competente que emite a prova ou à autoridade central designada pelos Estados-Membros, nos termos das suas regras administrativas. Para evitar uma duplicação desnecessária e uma vez que o Regulamento (UE) 2016/1191 do Parlamento Europeu e do Conselho (20) abrange parte dos elementos de prova relevantes para os procedimentos abrangidos pelo presente regulamento, as disposições de cooperação relativas ao IMI estabelecidas no Regulamento (UE) 2016/1191 podem também ser aplicadas para efeitos de outros elementos de prova exigidos no âmbito dos procedimentos abrangidos pelo presente regulamento. A fim de permitir a participação dos órgãos e dos organismos da União no IMI, o Regulamento (UE) n.o 1024/2012 deverá ser alterado.

(41)

Os serviços em linha prestados pelas autoridades competentes são de importância crucial para melhorar a qualidade e a segurança dos serviços prestados aos cidadãos e às empresas. As administrações públicas nos Estados-Membros recorrem cada vez mais à reutilização de dados, dispensando os cidadãos e as empresas do fornecimento repetido das mesmas informações. A reutilização dos dados deverá ser facilitada no que respeita aos utilizadores transfronteiriços, a fim de reduzir encargos administrativos suplementares.

(42)

A fim de permitir o intercâmbio lícito transfronteiriço de elementos de prova e de informações através da aplicação, à escala da União, do «princípio da declaração única», a aplicação do presente regulamento e do referido princípio deverá respeitar todas as regras aplicáveis em matéria de proteção de dados, incluindo o princípio da minimização dos dados, da exatidão, da limitação da conservação, da integridade e da confidencialidade, da necessidade, da proporcionalidade e da limitação das finalidades. A sua aplicação deverá também respeitar plenamente os princípios da segurança desde a conceção e da privacidade desde a conceção, e respeitar os direitos fundamentais dos indivíduos, incluindo os referentes à equidade e à transparência.

(43)

Os Estados-Membros deverão assegurar que os utilizadores dos procedimentos disponham de informações claras sobre o modo como os dados pessoais que lhes dizem respeito serão tratados, nos termos dos artigos 13.o e 14.o do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (21) e dos artigos 15.o e 16.o do Regulamento (UE) 2018/1725 (22).

(44)

A fim de facilitar a utilização de procedimentos em linha, o presente regulamento deverá, de acordo com o «princípio da declaração única», fornecer a base para a criação e utilização de um sistema técnico plenamente operacional, seguro e protegido para o intercâmbio transfronteiriço automatizado de elementos de prova entre os intervenientes no procedimento, a pedido expresso dos cidadãos e das empresas. Se o intercâmbio de elementos de prova incluir dados pessoais, o pedido deverá ser considerado expresso, se contiver uma indicação voluntária, específica, informada e inequívoca do desejo do indivíduo de trocar os dados pessoais pertinentes, através de uma declaração ou uma ação positiva. Se o utilizador não for a pessoa a quem os dados dizem respeito, o procedimento em linha não deverá afetar os seus direitos ao abrigo do Regulamento (UE) 2016/679. A aplicação transfronteiriça do «princípio da declaração única» deverá significar que os cidadãos e as empresas não têm que fornecer os mesmos dados mais do que uma vez às autoridades públicas e que também deverá ser possível utilizar esses dados, a pedido do utilizador, para efeitos de conclusão de procedimentos transfronteiriços em linha que digam respeito a utilizadores transfronteiriços. A obrigação de a autoridade competente emissora utilizar o sistema técnico para o intercâmbio automatizado de elementos de prova entre os diferentes Estados-Membros só deverá aplicar-se caso as autoridades emitam legalmente, no seu próprio Estado-Membro, elementos de prova num formato eletrónico que permita um tal intercâmbio automatizado.

(45)

Todos os intercâmbios transfronteiriços de elementos de prova deverão ter uma base jurídica adequada, como as Diretivas 2005/36/CE, 2006/123/CE, 2014/24/UE ou 2014/25/UE, ou, no caso dos procedimentos enumerados no anexo II, outros diplomas do direito da União ou do direito nacional aplicáveis.

(46)

O presente regulamento deverá estabelecer, como regra geral, que o intercâmbio automatizado transfronteiriço de elementos de prova se realiza a pedido expresso do utilizador. Contudo, este requisito não deverá aplicar-se caso o direito da União ou o direito nacional aplicável permita o intercâmbio automatizado transfronteiriço de dados sem pedido expresso do utilizador.

(47)

A utilização do sistema técnico estabelecido pelo presente regulamento deverá continuar a ser voluntária, e o utilizador deverá continuar a ser livre de apresentar elementos de prova por outros meios para além do sistema técnico. O utilizador deverá ter a possibilidade de pré-visualizar os elementos de prova e o direito de optar por não proceder ao seu intercâmbio caso, após essa pré-visualização, verifique que as informações não são exatas, estão desatualizadas ou excedem o necessário para o procedimento em causa. Os dados incluídos na pré-visualização não deverão ser conservados para além do estritamente necessário por motivos técnicos.

(48)

O sistema técnico seguro a implantar a fim de permitir o intercâmbio de elementos de prova ao abrigo do presente regulamento deverá igualmente dar garantias às autoridades competentes requerentes de que os elementos de prova foram fornecidos pela autoridade emissora competente. Antes de aceitar as informações prestadas por um utilizador no âmbito de um procedimento, a autoridade competente deverá poder verificar essas informações, em caso de dúvida, e concluir que são exatas.

(49)

Existem alguns elementos constitutivos com capacidades de base que podem ser utilizados para criar o sistema técnico, como o Mecanismo Interligar a Europa, criado pelo Regulamento (UE) n.o 1316/2013 do Parlamento Europeu e do Conselho (23), e a entrega eletrónica (eDelivery) e a identidade eletrónica (eID), que fazem parte desse mecanismo. Esses elementos constitutivos consistem em especificações técnicas, em amostras de software e em serviços de apoio, e visam assegurar a interoperabilidade entre os sistemas de tecnologias de informação e comunicação existentes nos diferentes Estados-Membros para que os cidadãos, as empresas e as administrações públicas, onde quer que se encontrem na União, possam beneficiar de serviços públicos digitais sem descontinuidades.

(50)

O sistema técnico estabelecido pelo presente regulamento deverá estar disponível em complemento de outros sistemas que incluam mecanismos de cooperação entre as autoridades, como o IMI, e não deverá afetar outros sistemas, incluindo o sistema previsto no Regulamento (CE) n.o 987/2009, o Documento Europeu Único de Contratação Pública, nos termos da Diretiva 2014/24/UE, o Intercâmbio Eletrónico de Informações de Segurança Social, nos termos do Regulamento (CE) n.o 987/2009, a carteira profissional europeia, nos termos da Diretiva 2005/36/CE, a interconexão dos registos nacionais e a interconexão dos registos centrais, comerciais e das sociedades, nos termos da Diretiva (UE) 2017/1132 do Parlamento Europeu e do Conselho (24), e a interconexão dos registos de insolvência, nos termos do Regulamento (UE) 2015/848 do Parlamento Europeu e do Conselho (25).

(51)

A fim de assegurar condições uniformes para a aplicação de um sistema técnico que permita o intercâmbio automatizado de elementos de prova, deverão ser atribuídas competências de execução à Comissão para estabelecer, em particular, as especificações técnicas e operacionais de um sistema destinado ao tratamento dos pedidos dos utilizadores de intercâmbio e de transferência de elementos de prova, e as medidas necessárias para garantir a integridade e a confidencialidade da transferência. Essas competências deverão ser exercidas nos termos do Regulamento (UE) n.o 182/2011 do Parlamento Europeu e do Conselho (26).

(52)

A fim de garantir que o sistema técnico ofereça um elevado nível de segurança para a aplicação transfronteiriça do «princípio da declaração única», a Comissão deverá ter devidamente em conta, quando adotar atos de execução que estabeleçam as especificações para esse sistema técnico, as normas e as especificações técnicas elaboradas pelas organizações e pelos organismos europeus e internacionais de normalização, em particular o Comité Europeu de Normalização (CEN), o Instituto Europeu de Normalização das Telecomunicações (ETSI), a Organização Internacional de Normalização (ISO) e a União Internacional das Telecomunicações (UIT), bem como as normas de segurança referidas no artigo 32.o do Regulamento (UE) 2016/679 e no artigo 22.o do Regulamento (UE) 2018/1725.

(53)

Caso seja necessário para assegurar a conceção, a disponibilização, a manutenção, a supervisão, o controlo e a gestão da segurança das partes do sistema técnico pelas quais a Comissão é responsável, a Comissão deverá solicitar o parecer da Autoridade Europeia para a Proteção de Dados.

(54)

As autoridades competentes e a Comissão deverão garantir que as informações, os procedimentos e os serviços sob a sua responsabilidade cumprem os critérios de qualidade. Os coordenadores nacionais nomeados nos termos do presente regulamento e a Comissão deverão supervisionar, a intervalos regulares, o cumprimento dos critérios de qualidade e de segurança a nível nacional e da União, respetivamente, e resolver os problemas que possam surgir. Além disso, os coordenadores nacionais deverão assistir a Comissão no controlo do funcionamento do sistema técnico que permite o intercâmbio transfronteiriço de elementos de prova. O presente regulamento deverá facultar à Comissão uma panóplia de meios para fazer face à deterioração da qualidade dos serviços oferecidos através da plataforma, consoante a gravidade e a persistência dessa deterioração, prevendo, se necessário, a intervenção do grupo de coordenação da plataforma. Tal não deverá afetar a responsabilidade geral da Comissão no que respeita ao controlo da conformidade com o presente regulamento.

(55)

O presente regulamento deverá especificar as principais funcionalidades das ferramentas técnicas em que o funcionamento da plataforma se apoia, nomeadamente a interface comum do utilizador, o repositório de hiperligações e a ferramenta comum de pesquisa de serviços de assistência. A interface comum do utilizador deverá assegurar que os utilizadores possam encontrar facilmente informações, procedimentos e serviços de assistência e de resolução de problemas em sítios Web a nível nacional e da União. Os Estados-Membros e a Comissão deverão ter como objetivo disponibilizar hiperligações para uma única fonte das informações que devem ser prestadas pela plataforma, a fim de evitar confusões entre os utilizadores devido à existência de diferentes fontes, ou de uma duplicação, total ou parcial, de fontes das mesmas informações. Tal não deverá excluir a possibilidade de fornecer hiperligações para as mesmas informações relativas a diferentes zonas geográficas que sejam disponibilizadas pelas autoridades locais ou regionais competentes. Também não deverá impedir uma certa duplicação das informações, caso esta seja inevitável ou desejável, como, por exemplo, caso certos direitos, obrigações e regras da União estejam repetidos ou descritos em páginas Web nacionais, a fim de melhorar a convivialidade. A fim de reduzir ao mínimo a intervenção humana na atualização das hiperligações a utilizar na interface comum do utilizador, deverá ser estabelecida uma ligação direta entre os sistemas técnicos pertinentes dos Estados-Membros e o repositório de hiperligações, sempre que tal seja tecnicamente possível. As ferramentas comuns de apoio às tecnologias da informação e comunicação poderão utilizar o vocabulário dos principais serviços públicos (CPSV) para facilitar a interoperabilidade com os catálogos e a semântica dos serviços nacionais. Os Estados-Membros deverão ser incentivados a utilizar o CPSV, mas são livres de utilizar soluções nacionais. As informações contidas no repositório de hiperligações deverão ser postas à disposição do público num formato com normas abertas de uso corrente e legível por máquina, por exemplo, através de interfaces de programação de aplicações (API), a fim de permitir a sua reutilização.

(56)

A ferramenta de pesquisa da interface comum do utilizador deverá dirigir os utilizadores para as informações de que necessitam, independentemente de estas se encontrarem em páginas Web a nível nacional ou da União. Além disso, enquanto forma alternativa de dirigir os utilizadores para as informações necessárias, continuará a ser útil criar hiperligações entre os sítios ou páginas Web existentes e complementares, simplificando-os e agrupando-os da melhor forma possível, e entre os sítios ou páginas Web a nível nacional ou da União que forneçam acesso a serviços e informações em linha.

(57)

O presente regulamento deverá especificar igualmente critérios de qualidade para a interface comum do utilizador. A Comissão deverá garantir que a interface comum do utilizador cumpra esses requisitos, e essa interface deverá, em especial, estar disponível e acessível em linha através de vários canais e ser fácil de utilizar.

(58)

A fim de assegurar condições uniformes para a aplicação das soluções técnicas em que a plataforma se apoia, deverão ser atribuídas competências de execução à Comissão para estabelecer, se necessário, as normas aplicáveis e os requisitos de interoperabilidade para a pesquisa de informações sobre regras e obrigações, sobre procedimentos e sobre serviços de assistência e de resolução de problemas sob a responsabilidade dos Estados-Membros e da Comissão. Essas competências deverão ser exercidas nos termos do Regulamento (UE) n.o 182/2011.

(59)

O presente regulamento deverá também repartir claramente entre a Comissão e os Estados-Membros a responsabilidade pela conceção, pela disponibilização, pela manutenção e pela segurança das aplicações das tecnologias da informação e comunicação em que a plataforma se apoia. No âmbito das suas funções de manutenção, a Comissão e os Estados-Membros deverão controlar regularmente o funcionamento adequado dessas aplicações.

(60)

A fim de desenvolver o pleno potencial dos diferentes domínios de informação, dos procedimentos e dos serviços de assistência e de resolução de problemas que deverão ser incluídos na plataforma, a sensibilização dos públicos-alvo para a sua existência e para o seu funcionamento deverá ser amplamente melhorada. A sua inclusão na plataforma deverá permitir aos utilizadores encontrar muito mais facilmente as informações, os procedimentos e os serviços de assistência e de resolução de problemas de que necessitam, mesmo quando não estejam familiarizados com eles. Além disso, será necessário realizar atividades de promoção coordenadas, a fim de assegurar que os cidadãos e as empresas de toda a União tomem conhecimento da existência da plataforma e das vantagens que ela proporciona. Essas atividades de promoção deverão incluir a otimização dos motores de pesquisa e outras ações de sensibilização em linha, dado que são as mais eficientes em termos de custos e de potencial para chegar a um público-alvo o mais vasto possível. Para uma eficiência máxima, essas atividades de promoção deverão ser coordenadas no âmbito do grupo de coordenação da plataforma, e os Estados-Membros deverão ajustar os seus esforços de promoção de forma a incluir uma referência à marca comum em todos os contextos pertinentes, podendo as iniciativas nacionais adotar marcas combinadas com a plataforma.

(61)

As instituições, os órgãos e os organismos da União deverão ser incentivados a promover a plataforma incluindo o seu logótipo e hiperligações para a plataforma em todas as páginas Web pertinentes sob a sua responsabilidade.

(62)

A designação através da qual a plataforma deve ser conhecida e promovida junto do público em geral deverá ser «Your Europe». A interface comum do utilizador deverá ser bem visível e fácil de encontrar, sobretudo nas páginas Web nacionais e da União pertinentes. O logótipo da plataforma deverá ser visível nos sítios Web nacionais e da União pertinentes.

(63)

A fim de obter informações adequadas que permitam medir e melhorar o desempenho da plataforma, o presente regulamento deverá exigir que as autoridades competentes e a Comissão recolham e analisem os dados relativos à utilização dos diversos domínios de informação, dos procedimentos e dos serviços oferecidos pela plataforma. A recolha de dados estatísticos sobre os utilizadores (como os dados relativos ao número de visitas de páginas Web específicas, o número de utilizadores num Estado-Membro, em comparação com o número de utilizadores de outros Estados-Membros, os termos de pesquisa utilizados, as páginas Web mais visitadas, as páginas Web de referência, ou o número, a origem e o objeto dos pedidos de assistência) deverá melhorar o funcionamento da plataforma, ajudando a identificar o público-alvo, a realizar atividades de promoção e a melhorar a qualidade dos serviços oferecidos. A recolha desses dados deverá ter em conta a avaliação comparativa anual da administração pública em linha, realizada pela Comissão, a fim de evitar duplicações.

(64)

A fim de assegurar condições uniformes para a execução do presente regulamento, deverão ser atribuídas competências de execução à Comissão para estabelecer regras uniformes sobre o método de recolha e de intercâmbio de dados estatísticos dos utilizadores. Essas competências deverão ser exercidas nos termos do Regulamento (UE) n.o 182/2011.

(65)

A qualidade da plataforma depende da qualidade dos serviços nacionais e da União prestados através dela. Por conseguinte, a qualidade das informações, dos procedimentos e dos serviços de assistência e de resolução de problemas disponibilizados pela plataforma deverá também ser objeto de um controlo regular, através de uma ferramenta de retorno de informação dos utilizadores que os convide a avaliar e a manifestar a sua opinião a respeito da cobertura e da qualidade das informações, dos procedimentos ou dos serviços de assistência e de resolução de problemas que tenham utilizado. Essas reações dos utilizadores deverão ser coligidas numa ferramenta comum a que a Comissão, as autoridades competentes e os coordenadores nacionais deverão ter acesso. A fim de assegurar condições uniformes para a execução do presente regulamento, no que se refere às funcionalidades comuns das ferramentas de retorno de informação dos utilizadores e às disposições relativas à recolha e à partilha das reações dos utilizadores, deverão ser atribuídas competências de execução à Comissão. Essas competências deverão ser exercidas nos termos do Regulamento (UE) n.o 182/2011. A Comissão deverá publicar em linha, em formato anonimizado, resumos dos problemas resultantes das informações, as principais estatísticas sobre os utilizadores e as principais reações dos utilizadores recolhidas nos termos do presente regulamento.

(66)

A plataforma deverá ainda incluir uma ferramenta de retorno de informação que permita aos utilizadores assinalar, voluntariamente e de forma anónima, os problemas e as dificuldades com que se vejam confrontados no exercício dos seus direitos no mercado interno. Essa ferramenta deverá ser considerada um mero complemento dos mecanismos de tratamento de reclamações, uma vez que não pode oferecer uma resposta personalizada aos utilizadores. As reações recolhidas deverão ser combinadas com informações agregadas provenientes dos serviços de assistência e de resolução de problemas sobre os casos que tenham tratado, a fim de obter um panorama geral do mercado interno tal como percebido pelos utilizadores, e de identificar áreas problemáticas com vista a eventuais ações futuras destinadas a melhorar o funcionamento do mercado interno. Esse resumo deverá estar associado às ferramentas de comunicação de informações existentes, tais como o Painel de Avaliação do Mercado Único.

(67)

O direito de os Estados-Membros decidirem quem deverá desempenhar o papel de coordenador nacional não deverá ser afetado pelo presente regulamento. Os Estados-Membros deverão poder adaptar as funções e as responsabilidades dos seus coordenadores nacionais, no que respeita à plataforma, às suas estruturas administrativas internas. Os Estados-Membros deverão poder designar coordenadores nacionais adicionais para executar as tarefas previstas no presente regulamento, individualmente ou em conjunto com outros coordenadores, responsáveis por um departamento da administração ou por uma região geográfica, ou de acordo com outro critério. Os Estados-Membros deverão comunicar à Comissão informações sobre a identidade do coordenador nacional único que designarem para os contactos com a Comissão.

(68)

Deverá ser criado um grupo de coordenação da plataforma, composto pelos coordenadores nacionais e presidido pela Comissão, para facilitar a aplicação do presente regulamento, em especial através do intercâmbio das melhores práticas e da cooperação para melhorar a coerência na apresentação das informações, como exigido pelo presente regulamento. O trabalho do grupo de coordenação da plataforma deverá ter em conta os objetivos estabelecidos no programa de trabalho anual, que a Comissão deverá submeter à sua apreciação. O programa de trabalho anual deverá consistir em orientações ou recomendações sem efeito vinculativo para os Estados-Membros. A pedido do Parlamento Europeu, a Comissão pode decidir convidá-lo a enviar peritos para participarem nas reuniões do grupo de coordenação da plataforma.

(69)

O presente regulamento deverá identificar claramente as partes da plataforma que devem ser financiadas pelo orçamento da União e aquelas que devem ser da responsabilidade dos Estados-Membros. A Comissão deverá ajudar os Estados-Membros a identificar os elementos constitutivos das tecnologias da informação e comunicação reutilizáveis e os financiamentos disponíveis através de vários fundos e programas da União que podem contribuir para cobrir os custos das adaptações e dos aperfeiçoamentos das tecnologias da informação e comunicação necessários a nível nacional para cumprir o disposto no presente regulamento. O orçamento necessário para a aplicação do presente regulamento deverá ser compatível com o quadro financeiro plurianual aplicável.

(70)

Os Estados-Membros são incentivados a reforçar a coordenação, o intercâmbio e a colaboração entre si a fim de aumentar as suas capacidades estratégicas, operacionais e de investigação e desenvolvimento no domínio da cibersegurança, em especial através do sistema de segurança das redes e da informação (SRI) a que se refere a Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho (27), a fim de reforçar a segurança e a resiliência das suas administrações e dos seus serviços públicos. Os Estados-Membros são incentivados a reforçar a segurança das transações e a assegurar um nível de confiança suficiente nos meios eletrónicos, através da utilização do quadro eIDAS, criado pelo Regulamento (UE) n.o 910/2014, e, em especial, de níveis de garantia adequados. Os Estados-Membros podem tomar medidas, de acordo com o direito da União, para assegurar a cibersegurança e para prevenir a fraude de identidade e outras formas de fraude.

(71)

Sempre que a aplicação do presente regulamento implique o tratamento de dados pessoais, esse tratamento deverá ser efetuado em conformidade com o direito da União sobre a proteção dos dados pessoais, em particular o Regulamento (UE) 2016/679 e o Regulamento (UE) 2018/1725. No contexto do presente regulamento, deverá aplicar-se também a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho (28). Nos termos do Regulamento (UE) 2016/679, os Estados-Membros podem manter as condições em vigor ou introduzir novas condições, incluindo limites, respeitantes ao tratamento dos dados relativos à saúde, e podem também prever regras mais específicas sobre o tratamento dos dados pessoais dos trabalhadores no contexto laboral.

(72)

O presente regulamento deverá promover e facilitar a racionalização das disposições relativas à governação dos serviços abrangidos pela plataforma. Para o efeito, a Comissão deverá, em estreita cooperação com os Estados-Membros, rever as disposições em vigor relativas à governação e adaptá-las, se necessário, a fim de evitar duplicações e ineficiências.

(73)

O presente regulamento tem por objetivo garantir aos utilizadores que operam noutros Estados-Membros o acesso em linha a informações fiáveis, completas, acessíveis e inteligíveis, geradas a nível nacional ou da União, sobre os direitos, as regras e as obrigações, a procedimentos em linha plenamente operacionais a nível transfronteiriço e a serviços de assistência e de resolução de problemas. Atendendo a que esse objetivo não pode ser suficientemente alcançado pelos Estados-Membros, mas pode, devido à dimensão e aos efeitos do presente regulamento, ser mais bem alcançado a nível da União, a União pode tomar medidas, em conformidade com o princípio da subsidiariedade consagrado no artigo 5.o do Tratado da União Europeia. Em conformidade com o princípio da proporcionalidade consagrado no mesmo artigo, o presente regulamento não excede o necessário para alcançar esse objetivo.

(74)

A fim de permitir que os Estados-Membros e a Comissão criem e ponham em funcionamento as ferramentas necessárias para dar cumprimento ao presente regulamento, algumas das suas disposições deverão ser aplicáveis dois anos após a sua entrada em vigor. As autoridades municipais deverão dispor de quatro anos após a entrada em vigor do presente regulamento para dar cumprimento ao requisito de fornecer informações relativas às regras, aos procedimentos e aos serviços de assistência e de resolução de problemas sob a sua responsabilidade. As disposições do presente regulamento relativas aos procedimentos que devem ser disponibilizados integralmente em linha, ao acesso transfronteiriço aos procedimentos em linha e ao sistema técnico para o intercâmbio automatizado transfronteiriço de elementos de prova nos termos do «princípio da declaração única» deverão ser aplicadas, o mais tardar, cinco anos após a entrada em vigor do presente regulamento.

(75)

O presente regulamento respeita os direitos fundamentais e observa os princípios reconhecidos, nomeadamente, na Carta dos Direitos Fundamentais da União Europeia, e deverá ser aplicado em conformidade com esses direitos e princípios.

(76)

A Autoridade Europeia para a Proteção de Dados foi consultada nos termos do artigo 28.o, n.o 2, do Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho (29), e emitiu parecer em 1 de agosto de 2017 (30).

ADOTARAM O PRESENTE REGULAMENTO:

CAPÍTULO I

DISPOSIÇÕES GERAIS

Artigo 1.o

Objeto

1.   O presente regulamento estabelece regras para:

a)

A criação e o funcionamento de uma plataforma digital única que oferece aos cidadãos e às empresas um acesso fácil a informações de elevada qualidade, a procedimentos eficazes e a serviços eficientes de assistência e de resolução de problemas no que se refere às regras nacionais e da União aplicáveis aos cidadãos e às empresas que exerçam ou pretendam exercer os seus direitos decorrentes do direito da União no domínio do mercado interno, na aceção do artigo 26.o, n.o 2, do TFUE;

b)

A utilização de procedimentos pelos utilizadores transfronteiriços e a aplicação do «princípio da declaração única» no que se refere aos procedimentos enumerados no anexo II do presente regulamento e aos procedimentos previstos nas Diretivas 2005/36/CE, 2006/123/CE, 2014/24/UE e 2014/25/UE;

c)

A comunicação de informações sobre os obstáculos no mercado interno com base na recolha das reações dos utilizadores e nas estatísticas dos serviços incluídos na plataforma.

2.   Em caso de conflito entre o presente regulamento e as disposições de outros atos da União que regulem aspetos específicos das matérias abrangidas pelo presente regulamento, prevalecem as disposições dos outros atos da União.

3.   O presente regulamento não afeta a substância dos procedimentos estabelecidos a nível da União ou a nível nacional nos domínios por ele abrangidos nem os direitos concedidos através desses procedimentos. Além disso, o presente regulamento não afeta as medidas tomadas em conformidade com o direito da União para garantir a cibersegurança e para prevenir a fraude.

Artigo 2.o

Criação da plataforma digital única

1.   A Comissão e os Estados-Membros criam uma plataforma digital única (a «plataforma») nos termos do presente regulamento. A plataforma consiste numa interface comum do utilizador gerida pela Comissão («interface comum do utilizador»), integrada no portal «A sua Europa», e permite aceder às páginas Web relevantes, da União e nacionais.

2.   A plataforma permite aceder a:

a)

Informações sobre os direitos, as obrigações e as regras estabelecidos no direito da União e no direito nacional que são aplicáveis aos utilizadores que exerçam ou pretendam exercer os seus direitos decorrentes do direito da União no âmbito do mercado interno nos domínios enumerados no anexo I;

b)

Informações sobre os procedimentos em linha e fora de linha e hiperligações para os procedimentos em linha, incluindo os procedimentos abrangidos pelo anexo II, estabelecidos a nível da União ou a nível nacional a fim de permitir que os utilizadores exerçam os direitos e cumpram as obrigações e as regras do mercado interno nos domínios enumerados no anexo I;

c)

Informações sobre, e hiperligações para, os serviços de assistência e de resolução de problemas enumerados no anexo III ou referidos no artigo 7.o a que os cidadãos e as empresas podem recorrer se tiverem dúvidas ou problemas relacionados com os direitos, as obrigações, as regras ou os procedimentos referidos nas alíneas a) e b) do presente número.

3.   A interface comum do utilizador deve ser acessível em todas as línguas oficiais da União.

Artigo 3.o

Definições

Para efeitos do presente regulamento, entende-se por:

1)

«Utilizador», um cidadão da União, uma pessoa singular residente num Estado-Membro ou uma pessoa coletiva que tenha a sua sede social num Estado-Membro, que acede à informação, aos procedimentos ou aos serviços de assistência ou de resolução de problemas a que se refere o artigo 2.o, n.o 2, através da plataforma;

2)

«Utilizador transfronteiriço», um utilizador que se encontra numa situação não confinada, em todos os aspetos, a um único Estado-Membro;

3)

«Procedimento», uma sequência de ações que os utilizadores devem realizar para satisfazer os requisitos, ou para obter da autoridade competente uma decisão, que lhes permitam exercer os seus direitos a que se refere o artigo 2.o, n.o 2, alínea a);

4)

«Autoridade competente», uma autoridade ou uma entidade de um Estado-Membro, estabelecida a nível nacional, regional ou local, com responsabilidades específicas em matéria de informações, de procedimentos e de serviços de assistência e de resolução de problemas abrangidos pelo presente regulamento;

5)

«Elementos de prova», documentos ou dados, nomeadamente textos ou gravações sonoras, visuais ou audiovisuais, independentemente do suporte utilizado, exigidos por uma autoridade competente para comprovar factos ou o cumprimento dos requisitos procedimentais a que se refere o artigo 2.o, n.o 2, alínea b).

CAPÍTULO II

SERVIÇOS OFERECIDOS PELA PLATAFORMA

Artigo 4.o

Acesso à informação

1.   Os Estados-Membros asseguram que os utilizadores tenham fácil acesso em linha, nas suas páginas Web nacionais, às seguintes informações:

a)

Informações sobre os direitos, as obrigações e as regras a que se refere o artigo 2.o, n.o 2, alínea a), decorrentes do direito nacional;

b)

Informações sobre os procedimentos a que se refere o artigo 2.o, n.o 2, alínea b), estabelecidos a nível nacional;

c)

Informações sobre os serviços de assistência e de resolução de problemas a que se refere o artigo 2.o, n.o 2, alínea c), prestados a nível nacional.

2.   A Comissão assegura que o portal «A sua Europa» dê aos utilizadores fácil acesso em linha às seguintes informações:

a)

Informações sobre os direitos, as obrigações e as regras a que se refere o artigo 2.o, n.o 2, alínea a), decorrentes do direito da União;

b)

Informações sobre os procedimentos a que se refere o artigo 2.o, n.o 2, alínea b), estabelecidos a nível da União;

c)

Informações sobre os serviços de assistência e de resolução de problemas a que se refere o artigo 2.o, n.o 2, alínea c), prestados a nível da União.

Artigo 5.o

Acesso a informações não incluídas no anexo I

1.   A Comissão e os Estados-Membros podem fornecer hiperligações para informações não enumeradas no anexo I, prestadas pelas autoridades competentes, pela Comissão ou pelos órgãos ou organismos da União, desde que essas informações sejam abrangidas pelo âmbito da plataforma, tal como definido no artigo 1.o, n.o 1, alínea a), e cumpram os requisitos de qualidade previstos no artigo 9.o.

2.   As hiperligações para as informações a que se refere o n.o 1 do presente artigo são fornecidas nos termos do artigo 19.o, n.os 2 e 3.

3.   Antes de ativar as hiperligações, a Comissão verifica se as condições previstas no n.o 1 estão preenchidas, e consulta o grupo de coordenação da plataforma.

Artigo 6.o

Procedimentos integralmente acessíveis em linha

1.   Os Estados-Membros asseguram que os utilizadores possam aceder aos procedimentos enumerados no anexo II e concluí-los, integralmente em linha, desde que esses procedimentos tenham sido estabelecidos no Estado-Membro em causa.

2.   Os procedimentos a que se refere o n.o 1 são considerados integralmente em linha se:

a)

A identificação dos utilizadores, a prestação das informações, o fornecimento dos elementos de prova, a assinatura e o envio final puderem ser tratados por via eletrónica, à distância, através de um canal de serviço que permita que os utilizadores preencham todos os requisitos relacionados com o procedimento de forma convivial e estruturada;

b)

Os utilizadores receberem um aviso de receção automático, a não ser que o resultado final do procedimento seja transmitido imediatamente;

c)

O resultado final do procedimento for transmitido por via eletrónica ou, caso seja necessário para cumprir o direito da União ou o direito nacional aplicáveis, mediante entrega física; e

d)

Os utilizadores receberem uma notificação eletrónica da conclusão do procedimento.

3.   Se, em casos excecionais justificados por motivos imperiosos de interesse público nos domínios da segurança pública, da saúde pública ou da luta antifraude, o objetivo pretendido não puder ser alcançado integralmente em linha, os Estados-Membros podem exigir que o utilizador compareça presencialmente perante a autoridade competente para uma fase do procedimento. Nesses casos excecionais, os Estados-Membros limitam a presença física ao estritamente necessário e objetivamente justificável, e asseguram que as outras fases do procedimento possam ser integralmente concluídas em linha. Os Estados-Membros asseguram também que os requisitos de presença física não deem lugar à discriminação dos utilizadores transfronteiriços.

4.   Os Estados-Membros notificam e explicam, através de um repositório comum acessível à Comissão e aos outros Estados-Membros, as razões e as circunstâncias em que a presença física pode ser necessária para as fases do procedimento a que se refere o n.o 3, e as razões e as circunstâncias em que em que a entrega física é necessária, tal como referido no n.o 2, alínea c).

5.   O presente artigo não impede os Estados-Membros de oferecer aos utilizadores a possibilidade adicional de aceder aos procedimentos a que se refere o artigo 2.o, n.o 2, alínea b), e de os concluir, por meios distintos dos canais em linha, nem de contactar diretamente os utilizadores.

Artigo 7.o

Acesso aos serviços de assistência e de resolução de problemas

1.   Os Estados-Membros e a Comissão devem assegurar aos utilizadores, incluindo os utilizadores transfronteiriços, o acesso em linha através de diferentes canais aos serviços de assistência e de resolução de problemas a que se refere o artigo 2.o, n.o 2, alínea c).

2.   Os coordenadores nacionais a que se refere o artigo 28.o e a Comissão podem fornecer hiperligações para serviços de assistência e de resolução de problemas oferecidos pelas autoridades competentes, pela Comissão ou pelos órgãos ou organismos da União, não constantes do Anexo III, nos termos do artigo 19.o, n.os 2 e 3, desde que esses serviços cumpram os requisitos de qualidade previstos nos artigos 11.o e 16.o.

3.   Caso tal seja necessário para satisfazer as necessidades dos utilizadores, o coordenador nacional pode propor à Comissão que as hiperligações para os serviços de assistência ou de resolução de problemas fornecidos por organismos privados ou semiprivados sejam incluídas na plataforma, desde que esses serviços:

a)

Prestem informação ou assistência nos domínios e para os fins abrangidos pelo presente regulamento, e sejam complementares em relação aos serviços já incluídos na plataforma;

b)

Sejam oferecidos gratuitamente ou a um preço acessível para as microempresas, para as organizações sem fins lucrativos e para os cidadãos; e

c)

Cumpram os requisitos previstos nos artigos 8.o, 11.o e 16.o.

4.   Se o coordenador nacional propuser a inclusão de uma hiperligação nos termos do n.o 3 do presente artigo, e fornecer essa hiperligação nos termos do artigo 19.o, n.o 3, a Comissão avalia se o serviço a incluir através da hiperligação preenche as condições previstas no n.o 3 do presente artigo e, em caso afirmativo, ativa-a.

Se a Comissão concluir que o serviço a incluir não cumpre as condições previstas no n.o 3, informa o coordenar nacional dos motivos pelos quais não ativou a hiperligação.

Artigo 8.o

Requisitos de qualidade relacionados com o acesso em linha

A Comissão melhora a acessibilidade dos seus sítios Web e das suas páginas Web, através dos quais concede acesso às informações a que se refere o artigo 4.o, n.o 2, e aos serviços de assistência e de resolução de problemas a que se refere o artigo 7.o, tornando-os percetíveis, operáveis, compreensíveis e robustos.

CAPÍTULO III

REQUISITOS DE QUALIDADE

SECÇÃO 1

Requisitos de qualidade relativos às informações sobre os direitos, as obrigações e as regras, sobre os procedimentos e sobre os serviços de assistência e de resolução de problemas

Artigo 9.o

Qualidade das informações sobre os direitos, as obrigações e as regras

1.   Nos casos em que os Estados-Membros e a Comissão sejam responsáveis, nos termos do artigo 4.o, por assegurar o acesso às informações referidas no artigo 2.o, n.o 2, alínea a), garantem que essas informações:

a)

Sejam conviviais, de modo que os utilizadores possam encontrá-las e compreendê-las facilmente, e identificar facilmente as partes dessas informações que são pertinentes para a sua situação específica;

b)

Sejam exatas e suficientemente completas para abranger as matérias que os utilizadores devem conhecer a fim de poderem exercer os seus direitos respeitando plenamente as regras e as obrigações aplicáveis;

c)

Incluam referências, hiperligações para os atos normativos, especificações técnicas e orientações, se for caso disso;

d)

Incluam o nome da autoridade competente ou da entidade responsável pelo seu conteúdo;

e)

Incluam os contactos dos serviços pertinentes de assistência ou de resolução de problemas, nomeadamente um número de telefone, um endereço de correio eletrónico, um formulário de consulta em linha ou outro meio de comunicação eletrónica habitualmente utilizado, mais adequado ao tipo de serviço oferecido e ao público-alvo desse serviço;

f)

Incluam a data da sua última atualização, se aplicável, ou a data da sua publicação, caso não tenham sido atualizadas;

g)

Sejam bem estruturadas e bem apresentadas, de modo que os utilizadores possam encontrar rapidamente os elementos que procuram;

h)

Sejam mantidas sempre atualizadas; e

i)

Sejam redigidas numa linguagem clara e simples, adaptada às necessidades dos utilizadores.

2.   Os Estados-Membros disponibilizam as informações referidas no n.o 1 do presente artigo numa língua oficial da União amplamente compreendida pelo maior número possível de utilizadores transfronteiriços, de acordo com o artigo 12.o.

Artigo 10.o

Qualidade das informações sobre os procedimentos

1.   Para efeitos do cumprimento do artigo 4.o, os Estados-Membros e a Comissão asseguram que os utilizadores, antes de se identificarem para poderem lançar o procedimento, tenham acesso a explicações suficientemente completas, claras e facilmente compreensíveis dos seguintes elementos, se for caso disso, dos procedimentos a que se refere o artigo 2.o, n.o 2, alínea b):

a)

As etapas relevantes do procedimento que os utilizadores devem seguir, incluindo as exceções, ao abrigo do artigo 6.o, n.o 3, à obrigação de os Estados-Membros disponibilizarem os procedimentos integralmente em linha;

b)

O nome da autoridade competente responsável pelo procedimento, incluindo os seus contactos;

c)

Os meios de autenticação, identificação e assinatura para o procedimento;

d)

O tipo e o formato dos elementos de prova que devem ser apresentados;

e)

As vias de recurso e de reparação geralmente disponíveis em caso de litígio com as autoridades competentes;

f)

As taxas aplicáveis e as formas de pagamento em linha;

g)

Os prazos que os utilizadores ou as autoridades competentes devem respeitar e, caso não existam prazos, a duração média, estimada ou indicativa, do tempo necessário para que a autoridade competente conclua o procedimento;

h)

As regras relativas à falta de resposta da autoridade competente e as consequências dessa falta de resposta para os utilizadores, incluindo mecanismos de aprovação tácita ou mecanismos de silêncio administrativo;

i)

As línguas adicionais em que o procedimento pode ser efetuado.

2.   Se não existirem mecanismos de aprovação tácita, mecanismos de silêncio administrativo ou mecanismos semelhantes, as autoridades competentes informam os utilizadores, se for caso disso, dos atrasos, das prorrogações de prazos e das suas consequências.

3.   Se uma explicação referida no n.o 1 já estiver disponível para os utilizadores não transfronteiriços, pode ser utilizada ou reutilizada para efeitos do presente regulamento, desde que abranja também a situação dos utilizadores transfronteiriços, se for caso disso.

4.   Os Estados-Membros disponibilizam as explicações referidas no n.o 1 do presente artigo numa língua oficial da União amplamente compreendida pelo maior número possível de utilizadores transfronteiriços, de acordo com o artigo 12.o.

Artigo 11.o

Qualidade das informações sobre os serviços de assistência e de resolução de problemas

1.   Para efeitos do cumprimento do artigo 4.o, os Estados-Membros e a Comissão asseguram que os utilizadores, antes de apresentarem um pedido de prestação de um dos serviços a que se refere o artigo 2.o, n.o 2, alínea c), tenham acesso a explicações claras e simples dos seguintes elementos:

a)

O tipo, o objetivo e os resultados esperados do serviço prestado;

b)

Os contactos das entidades responsáveis pela prestação do serviço, nomeadamente um número de telefone, um endereço de correio eletrónico, um formulário de consulta em linha ou qualquer outro meio de comunicação eletrónica habitualmente utilizado que seja mais adequado ao tipo de serviço oferecido e ao público-alvo desse serviço;

c)

Se for caso disso, as taxas aplicáveis e as formas de pagamento em linha;

d)

Os prazos a respeitar e, caso não existam prazos, a duração média, ou uma estimativa do tempo necessário para prestar o serviço;

e)

As línguas adicionais em que o pedido pode ser apresentado e que podem ser utilizadas nos contactos subsequentes.

2.   Os Estados-Membros disponibilizam as explicações referidas no n.o 1 do presente artigo numa língua oficial da União amplamente compreendida pelo maior número possível de utilizadores transfronteiriços, de acordo com o artigo 12.o.

Artigo 12.o

Tradução das informações

1.   Se um Estado-Membro não fornecer as informações, explicações e instruções referidas nos artigos 9.o, 10.o e 11.o, e no artigo 13.o, n.o 2, alínea a), numa língua oficial da União amplamente compreendida pelo maior número possível de utilizadores transfronteiriços, solicita traduções nessa língua à Comissão, dentro dos limites disponíveis do orçamento da União a que se refere o artigo 32.o, n.o 1, alínea c).

2.   Os Estados-Membros asseguram que os textos apresentados para tradução ao abrigo do n.o 1 do presente artigo abranjam pelo menos as informações básicas em todos os domínios constantes do anexo I e, caso o orçamento da União o permita, que abranjam também as informações, explicações e instruções referidas nos artigos 9.o, 10.o e 11.o, e no artigo 13.o, n.o 2, alínea a), tendo em conta as principais necessidades dos utilizadores transfronteiriços. Os Estados-Membros fornecem ao repositório de hiperligações a que se refere o artigo 19.o as hiperligações para essas informações traduzidas.

3.   A língua referida no n.o 1 deve ser a língua oficial da União mais amplamente estudada como língua estrangeira pelos utilizadores em toda a União. A título de exceção, caso seja de esperar que as informações, explicações ou instruções a traduzir sejam de interesse preponderante para os utilizadores transfronteiriços provenientes de outro Estado-Membro, a língua referida no n.o 1 pode ser a língua oficial da União utilizada como primeira língua por esses utilizadores transfronteiriços.

4.   Se um Estado-Membro solicitar uma tradução para uma língua oficial da União que não seja a língua mais amplamente estudada como língua estrangeira pelos utilizadores em toda a União, deve fundamentar o seu pedido. Se a Comissão considerar que as condições referidas no n.o 3 para a escolha dessa outra língua não estão cumpridas, pode recusar o pedido, e informa o Estado-Membro dos motivos da recusa.

SECÇÃO 2

Requisitos relacionados com os procedimentos em linha

Artigo 13.o

Acesso transfronteiriço aos procedimentos em linha

1.   Os Estados-Membros asseguram que, se os procedimentos a que se refere o artigo 2.o, n.o 2, alínea b), estabelecidos a nível nacional, forem acessíveis e puderem ser concluídos em linha pelos utilizadores não transfronteiriços, também sejam acessíveis e possam ser concluídos em linha pelos utilizadores transfronteiriços de forma não discriminatória, através da mesma solução técnica ou de uma solução técnica alternativa.

2.   Os Estados-Membros asseguram que, para os procedimentos previstos no n.o 1 do presente artigo, sejam cumpridos pelo menos os seguintes requisitos:

a)

Os utilizadores podem aceder às instruções para completar os procedimentos numa língua oficial da União amplamente compreendida pelo maior número possível de utilizadores transfronteiriços, de acordo com o artigo 12.o;

b)

Os utilizadores transfronteiriços podem fornecer as informações solicitadas, inclusive nos casos em que a estrutura dessas informações seja diferente da estrutura de informações semelhantes no Estado-Membro em causa;

c)

Os utilizadores transfronteiriços podem identificar-se e autenticar-se, assinar ou selar documentos eletronicamente, tal como previsto no Regulamento (UE) n.o 910/2014, em todos os casos em que os utilizadores não transfronteiriços possam também fazê-lo;

d)

Os utilizadores transfronteiriços podem apresentar elementos de prova da conformidade com os requisitos aplicáveis e receber o resultado dos procedimentos em formato eletrónico em todos os casos em que os utilizadores não transfronteiriços possam também fazê-lo;

e)

Se a conclusão de um procedimento implicar um pagamento, os utilizadores podem pagar as taxas em linha através de serviços de pagamento transfronteiriço amplamente acessíveis, sem discriminação com base no local de estabelecimento do prestador do serviço de pagamento, no local de emissão do instrumento de pagamento ou na localização da conta de pagamento na União.

3.   Se o procedimento não exigir identificação ou autenticação eletrónicas, tal como referido no n.o 2, alínea c), e se, nos termos do direito nacional ou das práticas administrativas nacionais, as autoridades competentes puderem aceitar, no que respeita aos utilizadores não transfronteiriços, cópias digitalizadas de elementos de prova de identidade não eletrónicos, tais como bilhetes de identidade ou passaportes, essas autoridades devem aceitar também cópias digitalizadas no que respeita aos utilizadores transfronteiriços.

Artigo 14.o

Sistema técnico para o intercâmbio automatizado transfronteiriço de elementos de prova e aplicação do princípio da declaração única

1.   Para efeitos do intercâmbio de elementos de prova para os procedimentos em linha enumerados no anexo II do presente regulamento e para os procedimentos previstos nas Diretivas 2005/36/CE, 2006/123/CE, 2014/24/UE e 2014/25/UE, a Comissão estabelece, em cooperação com os Estados-Membros, um sistema técnico para o intercâmbio automatizado de elementos de prova entre as autoridades competentes dos diferentes Estados-Membros (o «sistema técnico»).

2.   Se as autoridades competentes emitirem legalmente, no seu Estado-Membro, num formato eletrónico que permita o intercâmbio automatizado, elementos de prova pertinentes para os procedimentos em linha referidos no n.o 1, devem disponibilizar igualmente esses elementos de prova às autoridades requerentes competentes de outros Estados-Membros, num formato eletrónico que permita o intercâmbio automatizado.

3.   O sistema técnico deve, nomeadamente:

a)

Permitir o tratamento dos pedidos de elementos de prova a pedido expresso de um utilizador;

b)

Permitir o tratamento dos pedidos de elementos de prova para acesso ou para intercâmbio;

c)

Permitir o intercâmbio de elementos de prova entre as autoridades competentes;

d)

Permitir o tratamento dos elementos de prova pelas autoridades requerentes competentes;

e)

Assegurar a confidencialidade e a integridade dos elementos de prova;

f)

Permitir que o utilizador pré-visualize os elementos de prova destinados a ser utilizados pela autoridade requerente competente e decida se procede ou não ao intercâmbio dos elementos de prova;

g)

Assegurar um nível de interoperabilidade adequado com os outros sistemas pertinentes;

h)

Assegurar um nível elevado de segurança para a transmissão e o tratamento dos elementos de prova;

i)

Tratar apenas os elementos de prova tecnicamente necessários para o intercâmbio de elementos de prova, e apenas durante o tempo necessário para esse efeito.

4.   A utilização do sistema técnico não é obrigatória para os utilizadores, e só é permitida mediante pedido expresso destes, salvo disposição em contrário no direito da União ou no direito nacional. Os utilizadores podem apresentar elementos de prova diretamente à autoridade requerente competente, sem utilizarem o sistema técnico.

5.   A possibilidade de pré-visualizar os elementos de prova a que se refere o n.o 3, alínea f), do presente artigo não é exigida para os procedimentos em que o intercâmbio automatizado transfronteiriço de dados sem pré-visualização é permitido pelo direito da União ou pelo direito nacional aplicável. Essa possibilidade de pré-visualização não prejudica a obrigação de prestar as informações nos termos dos artigos 13.o e 14.o do Regulamento (UE) 2016/679.

6.   Os Estados-Membros devem integrar o sistema técnico plenamente operacional no âmbito dos procedimentos referidos no n.o 1.

7.   As autoridades competentes responsáveis pelos procedimentos em linha a que se refere o n.o 1 solicitam diretamente os elementos de prova, a pedido expresso, voluntário, específico, informado e inequívoco do utilizador em causa, às autoridades emissoras competentes dos outros Estados-Membros através do sistema técnico. As autoridades emissoras competentes referidas no n.o 2 disponibilizam esses elementos de prova através do mesmo sistema, nos termos do n.o 3, alínea e).

8.   Os elementos de prova disponibilizados à autoridade requerente competente limitam-se ao que foi solicitado, e só podem ser utilizados por essa autoridade para efeitos do procedimento no âmbito do qual foram intercambiados. Para efeitos da autoridade requerente competente, os elementos de prova intercambiados através do sistema técnico são considerados autênticos.

9.   A Comissão adota, até 12 de junho de 2021, atos de execução que definam as especificações técnicas e operacionais do sistema técnico necessário para a aplicação do presente artigo. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 37.o, n.o 2.

10.   Os n.os 1 a 8 não se aplicam aos procedimentos à escala da União que preveem diferentes mecanismos para o intercâmbio de elementos de prova, salvo se o sistema técnico necessário para a aplicação do presente artigo estiver integrado nesses procedimentos, em conformidade com as regras dos atos da União que os estabelecem.

11.   A Comissão e os Estados-Membros são responsáveis pela conceção, pela disponibilização, pela manutenção, pela supervisão, pelo controlo e pela gestão da segurança das suas partes respetivas do sistema técnico.

Artigo 15.o

Verificação dos elementos de prova entre os Estados-Membros

Se o sistema técnico ou outros sistemas utilizados para o intercâmbio ou para a verificação de elementos de prova entre os Estados-Membros não estiverem disponíveis ou não forem aplicáveis, ou se o utilizador não requerer a utilização do sistema técnico, as autoridades competentes cooperam através do Sistema de Informação do Mercado Interno (IMI), caso tal seja necessário para verificar a autenticidade dos elementos de prova apresentados em formato eletrónico pelo utilizador a uma dessas autoridades para efeitos de um procedimento em linha.

SECÇÃO 3

Requisitos de qualidade relativos aos serviços de assistência e de resolução de problemas

Artigo 16.o

Requisitos de qualidade relativos aos serviços de assistência e de resolução de problemas

As autoridades competentes e a Comissão asseguram, no âmbito das respetivas competências, que os serviços de assistência e de resolução de problemas enumerados no anexo III e os serviços incluídos na plataforma nos termos do artigo 7.o, n.os 2, 3 e 4, satisfaçam os seguintes requisitos de qualidade:

a)

São prestados num prazo razoável, tendo em conta a complexidade do pedido;

b)

Se os prazos forem prorrogados, os utilizadores são informados antecipadamente das razões desse facto e do novo prazo fixado;

c)

Caso a prestação de um serviço exija um pagamento, os utilizadores podem pagar taxas em linha através de serviços de pagamento transfronteiriços amplamente acessíveis, sem discriminação com base no local de estabelecimento do prestador do serviço de pagamento, no local de emissão do instrumento de pagamento ou na localização da conta de pagamento na União.

SECÇÃO 4

Controlo da qualidade

Artigo 17.o

Controlo da qualidade

1.   Os coordenadores nacionais a que se refere o artigo 28.o e a Comissão controlam periodicamente, no âmbito das respetivas competências, a conformidade das informações, dos procedimentos e dos serviços de assistência e de resolução de problemas acessíveis através da plataforma com os critérios de qualidade estabelecidos nos artigos 8.o a 13.o e 16.o. Esse controlo é efetuado com base nos dados recolhidos nos termos dos artigos 24.o e 25.o.

2.   Em caso de deterioração da qualidade das informações, dos procedimentos ou dos serviços de assistência e de resolução de problemas a que se refere o n.o 1, prestados pelas autoridades competentes, a Comissão toma, em função da gravidade e da persistência da deterioração, uma ou mais das seguintes medidas:

a)

Informa o coordenador nacional competente e solicita medidas corretivas;

b)

Põe à discussão no grupo de coordenação da plataforma as ações recomendadas para melhorar o cumprimento dos requisitos de qualidade;

c)

Envia uma carta com recomendações ao Estado-Membro em causa;

d)

Desconecta temporariamente da plataforma as informações, o procedimento ou o serviço de assistência ou de resolução de problemas em causa.

3.   Se um serviço de assistência e de resolução de problemas cuja hiperligação seja fornecida nos termos do artigo 7.o, n.o 3, não estiver em conformidade com os requisitos estabelecidos nos artigos 11.o e 16.o, ou deixar se satisfazer as necessidades dos utilizadores, tal como indicado pelos dados recolhidos nos termos dos artigos 24.o e 25.o, a Comissão, após consultar o coordenador nacional competente e, se necessário, o grupo de coordenação da plataforma, pode desconectá-lo da plataforma.

CAPÍTULO IV

SOLUÇÕES TÉCNICAS

Artigo 18.o

Interface comum do utilizador

1.   A Comissão fornece, em estreita cooperação com os Estados-Membros, uma interface comum do utilizador, integrada no portal «A sua Europa», para garantir o bom funcionamento da plataforma.

2.   A interface comum do utilizador deve facultar o acesso às informações, aos procedimentos e aos serviços de assistência e de resolução de problemas através de hiperligações para os sítios Web ou para as páginas Web da União e nacionais relevantes, incluídas no repositório de hiperligações a que se refere o artigo 19.o.

3.   Os Estados-Membros e a Comissão, agindo de acordo com as respetivas funções e responsabilidades, tal como previsto no artigo 4.o, asseguram que as informações sobre as regras e as obrigações, sobre os procedimentos e sobre os serviços de assistência e de resolução de problemas sejam organizadas e marcadas de modo a facilitar a sua pesquisa através da interface comum do utilizador.

4.   A Comissão assegura a conformidade da interface comum do utilizador com os seguintes requisitos de qualidade:

a)

Facilidade de utilização;

b)

Acessibilidade em linha através de diversos aparelhos eletrónicos;

c)

Conceção e otimização para diferentes navegadores Web;

d)

Cumprimento dos seguintes requisitos de acessibilidade em linha: percetibilidade, operabilidade, compreensibilidade e robustez.

5.   A Comissão pode adotar atos de execução que estabeleçam os requisitos de interoperabilidade destinados a facilitar a pesquisa das informações sobre as regras e as obrigações, sobre os procedimentos e sobre os serviços de assistência e de resolução de problemas através da interface comum do utilizador. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 37.o, n.o 2.

Artigo 19.o

Repositório de hiperligações

1.   A Comissão cria e mantém, em estreita cooperação com os Estados-Membros, um repositório eletrónico de hiperligações para as informações, para os procedimentos e para os serviços de assistência e de resolução de problemas a que se refere o artigo 2.o, n.o 2, que permita a conexão entre esses serviços e a interface comum do utilizador.

2.   A Comissão disponibiliza o repositório de hiperligações para as informações, para os procedimentos e para os serviços de assistência e de resolução de problemas nas páginas Web geridas a nível da União, e mantém essas hiperligações exatas e atualizadas.

3.   Os coordenadores nacionais fornecem ao repositório de hiperligações as hiperligações para as informações, para os procedimentos e para os serviços de assistência e de resolução de problemas acessíveis nas páginas Web geridas pelas autoridades competentes, ou por entidades privadas ou semiprivadas, tal como referido no artigo 7.o, n.o 3, e mantêm essas hiperligações exatas e atualizadas.

4.   Caso tal seja tecnicamente possível, as hiperligações referidas no n.o 3 podem ser fornecidas automaticamente entre os sistemas pertinentes dos Estados-Membros e o repositório de hiperligações.

5.   A Comissão disponibiliza ao público as informações incluídas no repositório de hiperligações num formato aberto e legível por máquina.

6.   A Comissão e os coordenadores nacionais asseguram que as hiperligações para as informações, para os procedimentos e para os serviços de assistência e de resolução de problemas oferecidas através da plataforma não contenham duplicações nem sobreposições desnecessárias, totais ou parciais, suscetíveis de induzir em erro os utilizadores.

7.   Caso a disponibilização das informações referida no artigo 4.o esteja prevista noutras disposições do direito da União, a Comissão e os coordenadores nacionais podem fornecer hiperligações para essas informações a fim de cumprirem os requisitos desse artigo.

Artigo 20.o

Ferramenta comum de pesquisa de serviços de assistência

1.   A fim de facilitar o acesso aos serviços de assistência e de resolução de problemas enumerados no anexo III ou referidos no artigo 7.o, n.os 2 e 3, as autoridades competentes e a Comissão asseguram o acesso dos utilizadores a esses serviços através de uma ferramenta comum de pesquisa de serviços de assistência e de resolução de problemas (a «ferramenta comum de pesquisa de serviços de assistência») disponível através da plataforma.

2.   A Comissão concebe e gere a ferramenta comum de pesquisa de serviços de assistência, e decide da estrutura e do formato necessários para fornecer as descrições e os contactos dos serviços de assistência e de resolução de problemas, a fim de que a ferramenta possa funcionar adequadamente.

3.   Os coordenadores nacionais fornecem à Comissão as descrições e os contactos a que se refere o n.o 2.

Artigo 21.o

Responsabilidade pelas aplicações das tecnologias da informação e comunicação da plataforma

1.   A Comissão é responsável pela conceção, pela disponibilização, pelo controlo, pela atualização, pela manutenção, pela segurança e pelo alojamento das seguintes aplicações das tecnologias da informação e comunicação e das seguintes páginas Web:

a)

O portal «A sua Europa», referido no artigo 2.o, n.o 1;

b)

A interface comum do utilizador, referida no artigo 18.o, n.o 1, incluindo o motor de pesquisa ou outras ferramentas das tecnologias da informação e comunicação que permitam a pesquisa de informações e de serviços Web;

c)

O repositório de hiperligações, referido no artigo 19.o, n.o 1;

d)

A ferramenta comum de pesquisa de serviços de assistência, referida no artigo 20.o, n.o 1;

e)

As ferramentas de retorno de informação dos utilizadores, referidas no artigo 25.o, n.o 1, e no artigo 26.o, n.o 1, alínea a).

A Comissão trabalha em estreita cooperação com os Estados-Membros para conceber as aplicações das tecnologias da informação e comunicação.

2.   Os Estados-Membros são responsáveis pela conceção, pela disponibilização, pelo controlo, pela atualização, pela manutenção e pela segurança das aplicações das tecnologias da informação e comunicação relacionadas com os sítios Web e com as páginas Web nacionais por si geridos e ligados à interface comum do utilizador.

CAPÍTULO V

PROMOÇÃO

Artigo 22.o

Designação, logótipo e selo de qualidade

1.   A designação pela qual a plataforma deve ser conhecida e promovida junto do público em geral é «Your Europe».

Até 12 de junho de 2019, a Comissão decide, em estreita colaboração com o grupo de coordenação da plataforma, sobre o logótipo pelo qual a plataforma deve ser conhecida e promovida junto do público em geral.

O logótipo da plataforma e uma hiperligação para a plataforma devem ser visíveis e disponibilizados nos sítios Web relevantes a nível da União e a nível nacional conectados à plataforma.

2.   Como prova do cumprimento dos critérios de qualidade referidos nos artigos 9.o a 11.o, a designação e o logótipo da plataforma servem também de selo de qualidade. Contudo, o logótipo da plataforma só pode ser utilizado como selo de qualidade pelas páginas Web e pelos sítios Web incluídos no repositório de hiperligações a que se refere o artigo 19.o.

Artigo 23.o

Promoção

1.   Os Estados-Membros e a Comissão promovem a sensibilização para a plataforma e a sua utilização junto dos cidadãos e das empresas, e garantem que a plataforma e as suas informações, os seus procedimentos e os seus serviços de assistência e de resolução de problemas sejam visíveis para o público e possam ser facilmente localizados através de motores de busca acessíveis ao público.

2.   Os Estados-Membros e a Comissão coordenam as suas atividades de promoção referidas no n.o 1, e divulgam a plataforma e utilizam o seu logótipo nessas atividades, juntamente com outras marcas, conforme adequado.

3.   Os Estados-Membros e a Comissão asseguram que a plataforma possa ser facilmente localizada através dos sítios Web conexos pelos quais são responsáveis, e que estejam disponíveis em todos os sítios Web relevantes a nível da União e a nível nacional hiperligações claras para a interface comum do utilizador.

4.   Os coordenadores nacionais promovem a plataforma junto das autoridades nacionais competentes.

CAPÍTULO VI

RECOLHA DAS REAÇÕES DOS UTILIZADORES E ESTATÍSTICAS

Artigo 24.o

Estatísticas sobre os utilizadores

1.   As autoridades competentes e a Comissão asseguram a recolha de dados estatísticos sobre as visitas dos utilizadores à plataforma e às páginas Web a ela conectadas de forma que garanta o anonimato dos utilizadores, a fim de melhorar a funcionalidade da plataforma.

2.   As autoridades competentes, os fornecedores de serviços de assistência e de resolução de problemas a que se refere o artigo 7.o, n.o 3, e a Comissão procedem à recolha e ao intercâmbio, de forma agregada, do número, da origem e do objeto dos pedidos feitos aos serviços de assistência e de resolução de problemas, e dos tempos de resposta dos serviços.

3.   Os dados estatísticos recolhidos nos termos dos n.os 1 e 2, respeitantes às informações, aos procedimentos e aos serviços de assistência e de resolução de problemas conectados à plataforma integram-se nas seguintes categorias:

a)

Dados relativos ao número, à origem e ao tipo dos utilizadores da plataforma;

b)

Dados relativos às preferências e ao historial de navegação dos utilizadores;

c)

Dados relativos à facilidade de utilização, à facilidade de localização e à qualidade das informações, dos procedimentos e dos serviços de assistência e de resolução de problemas.

Esses dados são postos à disposição do público num formato aberto, de uso corrente e legível por máquina.

4.   A Comissão adota atos de execução que estabelecem o método de recolha e de intercâmbio dos dados estatísticos sobre os utilizadores a que se referem os n.os 1, 2 e 3 do presente artigo. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 37.o, n.o 2.

Artigo 25.o

Reações dos utilizadores sobre os serviços da plataforma

1.   A fim de recolher informações diretas dos utilizadores sobre o seu grau de satisfação com os serviços prestados através da plataforma e com as informações nela disponibilizadas, a Comissão faculta aos utilizadores, através da plataforma, uma ferramenta convivial de retorno de informação que lhes permita comentar anonimamente, imediatamente após a utilização dos serviços referidos no artigo 2.o, n.o 2, a qualidade e a disponibilidade dos serviços prestados através da plataforma, das informações nela disponibilizadas e da interface comum do utilizador.

2.   As autoridades competentes e a Comissão asseguram que os utilizadores possam aceder à ferramenta a que se refere o n.o 1 em todas as páginas Web que fazem parte da plataforma.

3.   A Comissão, as autoridades competentes e os coordenadores nacionais têm acesso direto às reações dos utilizadores recolhidas através da ferramenta a que se refere o n.o 1, a fim de resolver os problemas suscitados.

4.   As autoridades competentes não são obrigadas a facultar aos utilizadores, nas suas páginas Web que fazem parte da plataforma, acesso à ferramenta de retorno de informação dos utilizadores a que se refere o n.o 1, caso já esteja disponível nas suas páginas Web uma ferramenta do mesmo tipo, com funcionalidades semelhantes à ferramenta de retorno de informação a que se refere o n.o 1, para controlar a qualidade do serviço. As autoridades competentes recolhem as reações dos utilizadores recebidas através da sua própria ferramenta de retorno de informação dos utilizadores, e transmitem-nas à Comissão e aos coordenadores nacionais dos outros Estados-Membros.

5.   A Comissão adota atos de execução que estabeleçam regras para a recolha e a partilha das reações dos utilizadores. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 37.o, n.o 2.

Artigo 26.o

Informações sobre o funcionamento do mercado interno

1.   A Comissão:

a)

Faculta aos utilizadores da plataforma uma ferramenta convivial para assinalarem e reagirem de forma anónima aos problemas com que se deparam no exercício dos seus direitos no mercado interno; e

b)

Recolhe informações agregadas dos serviços de assistência e de resolução de problemas que fazem parte da plataforma sobre o objeto dos pedidos e as respostas.

2.   A Comissão, as autoridades competentes e os coordenadores nacionais têm acesso direto às reações recolhidas nos termos do n.o 1, alínea a).

3.   Os Estados-Membros e a Comissão analisam e investigam os problemas suscitados pelos utilizadores nos termos do presente artigo e, se possível, resolvem-nos de modo adequado.

Artigo 27.o

Resumos em linha

A Comissão publica em linha, de forma anonimizada, resumos dos problemas resultantes das informações recolhidas nos termos do artigo 26.o, n.o 1, dos principais dados estatísticos sobre os utilizadores a que se refere o artigo 24.o e das principais reações dos utilizadores a que se refere o artigo 25.o.

CAPÍTULO VII

GOVERNAÇÃO DA PLATAFORMA

Artigo 28.o

Coordenadores nacionais

1.   Cada Estado-Membro nomeia um coordenador nacional. Para além das suas obrigações nos termos dos artigos 7.o, 17.o, 19.o, 20.o, 23.o e 25.o, os coordenadores nacionais:

a)

Agem como ponto de contacto, no âmbito das suas respetivas administrações, para todas as questões relacionadas com a plataforma;

b)

Promovem a aplicação uniforme dos artigos 9.o a 16.o pelas respetivas autoridades competentes; e

c)

Asseguram que as recomendações a que se refere o artigo 17.o, n.o 2, alínea c), sejam aplicadas de forma adequada.

2.   Cada Estado-Membro pode nomear, de acordo com a sua estrutura administrativa interna, um ou mais coordenadores para desempenhar as funções enumeradas no n.o 1. Um coordenador nacional por cada Estado-Membro é responsável pelos contactos com a Comissão para todas as questões relativas à plataforma.

3.   Os Estados-Membros comunicam aos outros Estados-Membros e à Comissão o nome e os contactos dos seus coordenadores nacionais.

Artigo 29.o

Grupo de coordenação

É criado um grupo de coordenação («grupo de coordenação da plataforma»). O grupo de coordenação da plataforma é composto por um coordenador nacional por cada Estado-Membro e presidido por um representante da Comissão. O grupo de coordenação da plataforma adota o seu regulamento interno. O secretariado do grupo é assegurado pela Comissão.

Artigo 30.o

Funções do grupo de coordenação da plataforma

1.   O grupo de coordenação da plataforma apoia a aplicação do presente regulamento. Em particular, cabe ao grupo de coordenação da plataforma:

a)

Facilitar o intercâmbio e a atualização regular das melhores práticas;

b)

Incentivar a adoção de procedimentos integralmente em linha, para além dos procedimentos incluídos no anexo II do presente regulamento, e de ferramentas de autenticação, identificação e assinatura em linha, nomeadamente as previstas no Regulamento (UE) n.o 910/2014;

c)

Discutir as formas de melhorar a apresentação convivial das informações nos domínios enumerados no anexo I, nomeadamente com base nos dados recolhidos nos termos dos artigos 24.o e 25.o;

d)

Assistir a Comissão na conceção de soluções comuns de tecnologias da informação e comunicação destinadas a apoiar o funcionamento da plataforma;

e)

Discutir o projeto de programa de trabalho anual;

f)

Assistir a Comissão no controlo da execução do programa de trabalho anual;

g)

Discutir as informações adicionais prestadas nos termos do artigo 5.o, a fim de incentivar os outros Estados-Membros a prestarem informações semelhantes, caso tal seja relevante para os utilizadores;

h)

Assistir a Comissão no controlo da conformidade com os requisitos estabelecidos nos artigos 8.o a 16.o, nos termos do artigo 17.o;

i)

Prestar informações sobre a aplicação do artigo 6.o, n.o 1;

j)

Discutir e recomendar às autoridades competentes e à Comissão a adoção de medidas para evitar ou eliminar a duplicação desnecessária dos serviços disponíveis através da plataforma;

k)

Emitir pareceres sobre procedimentos ou medidas para responder eficazmente aos problemas relativos à qualidade dos serviços suscitados pelos utilizadores, e fazer sugestões para a sua melhoria;

l)

Debater a aplicação dos princípios de segurança e de privacidade desde a conceção, no âmbito do presente regulamento;

m)

Discutir questões relacionadas com a recolha das reações dos utilizadores e dos dados estatísticos a que se referem os artigos 24.o e 25.o, tendo em vista a melhoria contínua dos serviços oferecidos a nível da União e a nível nacional;

n)

Discutir questões relacionadas com os requisitos de qualidade dos serviços oferecidos através da plataforma;

o)

Proceder ao intercâmbio de boas práticas e assistir a Comissão na organização, na estruturação e na apresentação dos serviços a que se refere o artigo 2.o, n.o 2, para permitir o bom funcionamento da interface comum do utilizador;

p)

Facilitar a conceção e a execução de atividades coordenadas de promoção;

q)

Cooperar com os organismos de governação ou com as redes de serviços de informação e de serviços de assistência e de resolução de problemas;

r)

Fornecer orientações sobre a língua ou línguas oficiais adicionais da União a utilizar pelas autoridades competentes, nos termos do artigo 9.o, n.o 2, do artigo 10.o, n.o 4, do artigo 11.o, n.o 2, e do artigo 13.o, n.o 2, alínea a).

2.   A Comissão pode consultar o grupo de coordenação da plataforma sobre todas as questões relacionadas com a aplicação do presente regulamento.

Artigo 31.o

Programa de trabalho anual

1.   A Comissão adota o programa de trabalho anual, que especifica, em especial:

a)

As ações destinadas a melhorar a apresentação de informações específicas nos domínios enumerados no anexo I e as ações destinadas a facilitar o cumprimento atempado pelas autoridades competentes, a todos os níveis, incluindo o nível municipal, do requisito de prestação de informações;

b)

As ações para facilitar o cumprimento dos artigos 6.o a 13.o;

c)

As ações necessárias para assegurar o cumprimento uniforme dos requisitos estabelecidos nos artigos 9.o a 12.o;

d)

As atividades relacionadas com a promoção da plataforma, nos termos do artigo 23.o.

2.   Ao elaborar o projeto de programa de trabalho anual, a Comissão tem em conta os dados estatísticos sobre os utilizadores e as suas reações recolhidos nos termos dos artigos 24.o e 25.o, e as sugestões dos Estados-Membros. A Comissão apresenta o projeto de programa de trabalho anual ao grupo de coordenação da plataforma, para debate, antes de o adotar.

CAPÍTULO VIII

DISPOSIÇÕES FINAIS

Artigo 32.o

Despesas

1.   O orçamento geral da União abrange as despesas de:

a)

Conceção e manutenção de ferramentas informáticas e de telecomunicações de apoio à aplicação do presente regulamento a nível da União;

b)

Promoção da plataforma a nível da União;

c)

Tradução das informações, explicações e instruções, nos termos do artigo 12.o, até um limiar máximo anual por Estado-Membro, sem prejuízo de uma possível reafetação, se tal for necessário para permitir a plena utilização do orçamento disponível.

2.   As despesas relacionadas com os portais Web nacionais, com as plataformas de informação, com os serviços de assistência e com os procedimentos estabelecidos a nível dos Estados-Membros são suportadas pelos orçamentos dos Estados-Membros em causa, salvo disposição em contrário no direito da União.

Artigo 33.o

Proteção dos dados pessoais

O tratamento de dados pessoais pelas autoridades competentes no âmbito do presente regulamento respeita o Regulamento (UE) 2016/679. O tratamento de dados pessoais pela Comissão no âmbito do presente regulamento respeita o Regulamento (UE) 2018/1725.

Artigo 34.o

Cooperação com outras redes de informação e assistência

1.   Após consultar os Estados-Membros, a Comissão decide das modalidades de governação informais existentes, adotadas para os serviços de assistência e de resolução de problemas enumerados no anexo III ou para os domínios de informação abrangidos pelo anexo I, que devem passar a ser da responsabilidade do grupo de coordenação da plataforma.

2.   Se os serviços ou as redes de informação e assistência tiverem sido criados por um ato da União juridicamente vinculativo para os domínios de informação abrangidos pelo anexo I, a Comissão coordena os trabalhos do grupo de coordenação da plataforma e dos organismos de governação desses serviços ou redes, a fim de criar sinergias e de evitar duplicações de esforços.

Artigo 35.o

Sistema de Informação do Mercado Interno

1.   O Sistema de Informação do Mercado Interno (IMI), criado pelo Regulamento (UE) n.o 1024/2012, é utilizado para efeitos da aplicação do artigo 6.o, n.o 4, e do artigo 15.o, e em conformidade com esses artigos.

2.   A Comissão pode decidir utilizar o IMI como o repositório eletrónico de hiperligações a que se refere o artigo 19.o, n.o 1.

Artigo 36.o

Apresentação de relatórios e revisão

Até 12 de dezembro de 2022 e, em seguida, de dois em dois anos, a Comissão revê a aplicação do presente regulamento e apresenta ao Parlamento Europeu e ao Conselho um relatório de avaliação sobre o funcionamento da plataforma e sobre o funcionamento do mercado interno com base nos dados estatísticos e nas reações dos utilizadores recolhidos nos termos dos artigos 24.o, 25.o e 26.o. Essa revisão avalia, em especial, o âmbito de aplicação do artigo 14.o, tendo em conta a evolução tecnológica e a evolução do mercado e da legislação no que respeita ao intercâmbio de elementos de prova entre as autoridades competentes.

Artigo 37.o

Procedimento de comité

1.   A Comissão é assistida por um comité. Este comité é um comité na aceção do Regulamento (UE) n.o 182/2011.

2.   Caso se remeta para o presente número, aplica-se o artigo 5.o do Regulamento (UE) n.o 182/2011.

Artigo 38.o

Alteração do Regulamento (UE) n.o 1024/2012

O Regulamento (UE) n.o 1024/2012 é alterado do seguinte modo:

1)

O artigo 1.o passa a ter a seguinte redação:

«Artigo 1.o

Objeto

O presente regulamento estabelece as regras de utilização do Sistema de Informação do Mercado Interno (“IMI”) para efeitos de cooperação administrativa entre os intervenientes no IMI, incluindo o tratamento de dados pessoais.»;

2)

No artigo 3.o, o n.o 1 passa a ter a seguinte redação:

«1.   O IMI é utilizado para o intercâmbio de informações, incluindo dados pessoais, entre os intervenientes no IMI, e para o tratamento dessas informações para efeitos da cooperação administrativa:

a)

Necessária nos termos dos atos enumerados no anexo;

b)

Efetuada no quadro de um projeto-piloto realizado nos termos do artigo 4.o.»;

3)

No artigo 5.o, o segundo parágrafo é alterado do seguinte modo:

a)

A alínea a) passa a ter a seguinte redação:

«a)

“IMI”, a ferramenta eletrónica fornecida pela Comissão para facilitar a cooperação administrativa entre os intervenientes no IMI;»;

b)

A alínea b) passa a ter a seguinte redação:

«b)

“Cooperação administrativa”, a colaboração entre os intervenientes no IMI através do intercâmbio e do tratamento de informações para efeitos de uma melhor aplicação do direito da União;»;

c)

A alínea g) passa a ter a seguinte redação:

«g)

“Intervenientes no IMI”, as autoridades competentes, os coordenadores do IMI, a Comissão e os órgãos e organismos da União;»;

4)

No artigo 8.o, ao n.o 1 é aditada a seguinte alínea:

«f)

Assegurar a coordenação com os órgãos e os organismos da União e facultar-lhes acesso ao IMI.»;

5)

No artigo 9.o, o n.o 4 passa a ter a seguinte redação:

«4.   Os Estados-Membros, a Comissão e os órgãos e organismos da União devem criar os meios adequados para assegurar que os utilizadores do IMI só sejam autorizados a aceder aos dados pessoais tratados no IMI com base no princípio da necessidade de conhecer, e no domínio ou domínios do mercado interno para os quais lhes tenham sido concedidos direitos de acesso nos termos do n.o 3.»;

6)

O artigo 21.o é alterado do seguinte modo:

a)

O n.o 2 passa a ter a seguinte redação:

«2.   A Autoridade Europeia para a Proteção de Dados é competente para supervisionar e assegurar a aplicação do presente regulamento quando a Comissão ou os órgãos e organismos da União, na sua função de intervenientes no IMI, tratarem dados pessoais. Aplicam-se as disposições sobre as competências, os poderes e os deveres referidos nos artigos 57.o e 58.o do Regulamento (UE) 2018/1725 (*1).

(*1)  Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE (JO L 295 de 21.11.2018, p. 39)»;"

b)

O n.o 3 passa a ter a seguinte redação:

«3.   As autoridades nacionais de controlo e a Autoridade Europeia para a Proteção de Dados, agindo no âmbito das respetivas competências, cooperam entre si para assegurar a supervisão coordenada do IMI e da sua utilização pelos intervenientes no IMI, nos termos do artigo 62.o do Regulamento (UE) 2018/1725.»;

c)

O n.o 4 é suprimido;

7)

No artigo 29.o, é suprimido o n.o 1;

8)

Ao anexo, são aditados os seguintes pontos:

«11.

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (*2): artigo 56.o, artigos 60.o a 66.o e artigo 70.o, n.o 1.

12.

Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 2 de outubro de 2018, relativo à criação de um portal digital único para a prestação de acesso a informações, a procedimentos e a serviços de assistência e de resolução de problemas, e que altera o Regulamento (UE) n.o 1024/2012 (*3): artigo 6.o, n.o 4, e artigos 15.o e 19.o.

(*2)  JO L 119 de 4.5.2016, p. 1."

(*3)  JO L 295 de 21.11.2018, p. 39.»."

Artigo 39.o

Entrada em vigor

O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

O artigo 2.o, o artigo 4.o, os artigos 7.o a 12.o, o artigo 16.o, o artigo 17.o, o artigo 18.o, n.os 1 a 4, o artigo 19.o, o artigo 20.o, o artigo 24.o, n.os 1, 2 e 3, o artigo 25.o, n.os 1 a 4, o artigo 26.o e o artigo 27.o aplicam-se a partir de 12 de dezembro de 2020.

O artigo 6.o, o artigo 13.o, o artigo 14.o, n.os 1 a 8 e n.o 10, e o artigo 15.o aplicam-se a partir de 12 de dezembro de 2023.

Sem prejuízo da data de aplicação dos artigos 2.o, 9.o, 10.o e 11.o, as autoridades municipais devem disponibilizar as informações, explicações e instruções a que se referem esses artigos até 12 de dezembro de 2022.

O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.

Feito em Estrasburgo, em 2 de outubro de 2018.

Pelo Parlamento Europeu

O Presidente

A. TAJANI

Pelo Conselho

O Presidente

J. BOGNER-STRAUSS


(1)  JO C 81 de 2.3.2018, p. 88.

(2)  Posição do Parlamento Europeu de 13 de setembro de 2018 (ainda não publicada no Jornal Oficial) e decisão do Conselho de 27 de setembro de 2018.

(3)  Diretiva 2006/123/CE do Parlamento Europeu e do Conselho, de 12 de dezembro de 2006, relativa aos serviços no mercado interno (JO L 376 de 27.12.2006, p. 36).

(4)  Regulamento (CE) n.o 764/2008 do Parlamento Europeu e do Conselho, de 9 de julho de 2008, que estabelece procedimentos para a aplicação de certas regras técnicas nacionais a produtos legalmente comercializados noutro Estado-Membro, e que revoga a Decisão n.o 3052/95/CE (JO L 218 de 13.8.2008, p. 21).

(5)  Regulamento (UE) n.o 305/2011 do Parlamento Europeu e do Conselho, de 9 de março de 2011, que estabelece condições harmonizadas para a comercialização dos produtos de construção e que revoga a Diretiva 89/106/CEE do Conselho (JO L 88 de 4.4.2011, p. 5).

(6)  Diretiva 2005/36/CE do Parlamento Europeu e do Conselho, de 7 de setembro de 2005, relativa ao reconhecimento das qualificações profissionais (JO L 255 de 30.9.2005, p. 22).

(7)  Recomendação 2013/461/UE da Comissão, de 17 de setembro de 2013, sobre os princípios que regem a SOLVIT (JO L 249 de 19.9.2013, p. 10).

(8)  Diretiva 2014/24/UE do Parlamento Europeu e do Conselho, de 26 de fevereiro de 2014, relativa aos contratos públicos e que revoga a Diretiva 2004/18/CE (JO L 94 de 28.3.2014, p. 65).

(9)  Diretiva 2014/25/UE do Parlamento Europeu e do Conselho, de 26 de fevereiro de 2014, relativa aos contratos públicos celebrados pelas entidades que operam nos setores da água, da energia, dos transportes e dos serviços postais e que revoga a Diretiva 2004/17/CE (JO L 94 de 28.3.2014, p. 243).

(10)  Regulamento (UE) 2016/589 do Parlamento Europeu e do Conselho, de 13 de abril de 2016, relativo a uma rede europeia de serviços de emprego (EURES), ao acesso dos trabalhadores a serviços de mobilidade e ao desenvolvimento da integração dos mercados de trabalho, e que altera os Regulamentos (UE) n.o 492/2011 e (UE) n.o 1296/2013 (JO L 107 de 22.4.2016, p. 1).

(11)  Decisão 2001/470/CE do Conselho, de 28 de maio de 2001, que cria uma rede judiciária europeia em matéria civil e comercial (JO L 174 de 27.6.2001, p. 25).

(12)  Diretiva 2014/67/UE do Parlamento Europeu e do Conselho, de 15 de maio de 2014, respeitante à execução da Diretiva 96/71/CE relativa ao destacamento de trabalhadores no âmbito de uma prestação de serviços e que altera o Regulamento (UE) n.o 1024/2012 relativo à cooperação administrativa através do Sistema de Informação do Mercado Interno («Regulamento IMI») (JO L 159 de 28.5.2014, p. 11).

(13)  Regulamento (UE) n.o 910/2014 do Parlamento Europeu e do Conselho, de 23 de julho de 2014, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno e que revoga a Diretiva 1999/93/CE (JO L 257 de 28.8.2014, p. 73).

(14)  Regulamento (CE) n.o 883/2004 do Parlamento Europeu e do Conselho, de 29 de abril de 2004, relativo à coordenação dos sistemas de segurança social (JO L 166 de 30.4.2004, p. 1).

(15)  Regulamento (CE) n.o 987/2009 do Parlamento Europeu e do Conselho, de 16 de setembro de 2009, que estabelece as modalidades de aplicação do Regulamento (CE) n.o 883/2004 relativo à coordenação dos sistemas de segurança social (JO L 284 de 30.10.2009, p. 1).

(16)  Diretiva (UE) 2016/2102 do Parlamento Europeu e do Conselho, de 26 de outubro de 2016, relativa à acessibilidade dos sítios Web e das aplicações móveis de organismos do setor público (JO L 327 de 2.12.2016, p. 1).

(17)  Decisão 2010/48/CE do Conselho, de 26 de novembro de 2009, relativa à celebração, pela Comunidade Europeia, da Convenção das Nações Unidas sobre os Direitos das Pessoas com Deficiência (JO L 23 de 27.1.2010, p. 35).

(18)  Regulamento (UE) n.o 260/2012 do Parlamento Europeu e do Conselho, de 14 de março de 2012, que estabelece requisitos técnicos e de negócio para as transferências a crédito e os débitos diretos em euros e que altera o Regulamento (CE) n.o 924/2009 (JO L 94 de 30.3.2012, p. 22).

(19)  Regulamento (UE) n.o 1024/2012 do Parlamento Europeu e do Conselho, de 25 de outubro de 2012, relativo à cooperação administrativa através do Sistema de Informação do Mercado Interno e que revoga a Decisão 2008/49/CE da Comissão («Regulamento IMI») (JO L 316 de 14.11.2012, p. 1).

(20)  Regulamento (UE) 2016/1191 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativo à promoção da livre circulação dos cidadãos através da simplificação dos requisitos para a apresentação de certos documentos públicos na União Europeia e que altera o Regulamento (UE) n.o 1024/2012 (JO L 200 de 26.7.2016, p. 1).

(21)  Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1).

(22)  Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE (ver página 39 do presente Jornal Oficial).

(23)  Regulamento (UE) n.o 1316/2013 do Parlamento Europeu e do Conselho, de 11 de dezembro de 2013, que cria o Mecanismo Interligar a Europa, altera o Regulamento (UE) n.o 913/2010 e revoga os Regulamentos (CE) n.o 680/2007 e (CE) n.o 67/2010 (JO L 348 de 20.12.2013, p. 129).

(24)  Diretiva (UE) 2017/1132 do Parlamento Europeu e do Conselho, de 14 de junho de 2017, relativa a determinados aspetos do direito das sociedades (JO L 169 de 30.6.2017, p. 46).

(25)  Regulamento (UE) 2015/848 do Parlamento Europeu e do Conselho, de 20 de maio de 2015, relativo aos processos de insolvência (JO L 141 de 5.6.2015, p. 19).

(26)  Regulamento (UE) n.o 182/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os princípios gerais relativos aos mecanismos de controlo pelos Estados-Membros do exercício das competências de execução pela Comissão (JO L 55 de 28.2.2011, p. 13).

(27)  Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União (JO L 194 de 19.7.2016, p. 1).

(28)  Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI do Conselho (JO L 119 de 4.5.2016, p. 89).

(29)  Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000, relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados (JO L 8 de 12.1.2001, p. 1).

(30)  JO C 340 de 11.10.2017, p. 6.


ANEXO I

Lista dos domínios de informação relevantes para os cidadãos e para as empresas no exercício dos seus direitos no mercado interno a que se refere o artigo 2.o, n.o 2, alínea a)

Domínios de informação relevantes para os cidadãos:

Domínio

INFORMAÇÕES SOBRE OS DIREITOS, AS OBRIGAÇÕES E AS REGRAS DECORRENTES DO DIREITO DA UNIÃO E DO DIREITO NACIONAL

A.

Viajar no interior da União

1.

documentos exigidos aos cidadãos da União, aos membros da sua família que não sejam cidadãos da União, aos menores que viajam sozinhos e aos cidadãos de países terceiros que atravessam fronteiras internas da União (bilhete de identidade, visto, passaporte)

2.

direitos e obrigações dos cidadãos que viajam de avião, comboio, navio, autocarro na União e a partir da União, ou que adquirem viagens organizadas ou serviços de viagem conexos

3.

assistência em caso de mobilidade reduzida quando se viaja na União ou a partir da União

4.

transporte de animais, plantas, álcool, tabaco, cigarros ou outras mercadorias quando se viaja na União

5.

voice calling e envio e receção de mensagens eletrónicas e dados eletrónicos na União

B.

Trabalhar e reformar-se na União

1.

procura de emprego noutro Estado-Membro

2.

início de funções profissionais noutro Estado-Membro

3.

reconhecimento das qualificações profissionais para efeitos de emprego noutro Estado-Membro

4.

fiscalidade noutro Estado-Membro

5.

regras sobre a responsabilidade e sobre os seguros obrigatórios associadas à residência ou ao emprego noutro Estado-Membro

6.

termos e condições de trabalho, incluindo os aplicáveis aos trabalhadores destacados, previstos por lei ou por um instrumento com força obrigatória geral (incluindo informações sobre o horário de trabalho, férias pagas, férias anuais, direitos e obrigações relativas às horas extraordinárias, medicina preventiva, rescisão de contratos, demissões e despedimentos)

7.

igualdade de tratamento (regras que proíbem a discriminação no local de trabalho e regras sobre a igualdade de remuneração entre homens e mulheres e sobre a igualdade de remuneração dos trabalhadores com contratos de trabalho a termo e sem termo)

8.

obrigações em matéria de saúde e segurança em relação a diferentes tipos de atividades

9.

direitos e deveres em matéria de segurança social na União, incluindo os direitos e deveres relacionados com a concessão de pensões de reforma

C.

Conduzir na União

1.

transferência de veículos a motor para outro Estado-Membro, a título temporário ou permanente

2.

aquisição e renovação da carta de condução

3.

subscrição de seguro automóvel obrigatório

4.

compra e venda de veículos a motor noutro Estado-Membro

5.

códigos da estrada nacionais e requisitos aplicáveis aos condutores, incluindo as regras gerais para a utilização da infraestrutura rodoviária nacional: taxas baseadas no tempo de utilização (vinhetas), taxas baseadas na distância (portagens) e vinhetas de emissões poluentes

D.

Residir noutro Estado-Membro

1.

mudança temporária ou permanente da residência para outro Estado-Membro

2.

compra e venda de bens imóveis, incluindo as condições e obrigações fiscais e a propriedade ou a utilização desses bens, incluindo o seu uso como residência secundária

3.

participação nas eleições autárquicas e nas eleições para o Parlamento Europeu

4.

requisitos aplicáveis aos cartões de residência dos cidadãos da União e dos membros das suas famílias, incluindo os membros da família que não sejam cidadãos da União

5.

condições aplicáveis à naturalização de nacionais de outro Estado-Membro

6.

regras aplicáveis em caso de morte, incluindo o repatriamento dos restos mortais para outro Estado-Membro

E.

Estudar ou estagiar noutro Estado-Membro

1.

sistema de ensino noutro Estado-Membro, incluindo serviços de educação e de acolhimento na primeira infância, ensino básico e secundário, ensino superior e formação de adultos

2.

voluntariado noutro Estado-Membro

3.

estágios noutro Estado-Membro

4.

investigação noutro Estado-Membro no âmbito de um programa de estudos

F.

Cuidados de saúde

1.

tratamento médico noutro Estado-Membro

2.

compra de produtos farmacêuticos prescritos num Estado-Membro diferente daquele em que a receita médica foi emitida, em linha ou presencialmente

3.

regras sobre seguros de saúde aplicáveis em caso de estadas curtas ou prolongadas noutro Estado-Membro, incluindo o procedimento para requerer um Cartão Europeu de Seguro de Doença

4.

informações gerais sobre os direitos de acesso a medidas públicas de prevenção disponíveis em matéria de cuidados de saúde e sobre a obrigação de participar nessas medidas

5.

serviços prestados através de números nacionais de emergência, incluindo os números 112 e 116

6.

direitos e condições de mudança para um lar residencial

G.

Direitos dos cidadãos e das famílias

1.

nascimento, guarda de filhos menores, responsabilidade parental, regras relativas à gestação de substituição e à adoção, incluindo a adoção pelo cônjuge do progenitor, e obrigações de prestação de alimentos a menores em situação familiar transfronteiriça

2.

casal de nacionalidades diferentes, incluindo casais do mesmo sexo (casamento, parceria civil ou registada, separação, divórcio, regime matrimonial de bens e direitos do casal em união de facto)

3.

regras relativas ao reconhecimento de género

4.

direitos e obrigações em relação à sucessão noutro Estado-Membro, incluindo regras fiscais

5.

direitos e regras aplicáveis em caso de rapto parental transnacional

H.

Direitos do consumidor

1.

compra de bens, de conteúdos digitais ou de serviços (incluindo serviços financeiros) a partir de outro Estado-Membro, em linha ou presencialmente

2.

ser titular de uma conta bancária noutro Estado-Membro

3.

obtenção de serviços de utilidade pública, tais como gás, eletricidade, água, eliminação de resíduos domésticos, telecomunicações e internet

4.

pagamentos, incluindo transferências de crédito, e atrasos em pagamentos transfronteiriços

5.

direitos e garantias dos consumidores relacionados com a compra de bens e serviços, incluindo procedimentos de resolução de litígios e de indemnização em matéria de consumo

6.

segurança dos produtos de consumo

7.

aluguer de veículos a motor

I.

Proteção dos dados pessoais

1.

exercício dos direitos dos titulares dos dados em matéria de proteção de dados pessoais

Domínios de informação relevantes para as empresas:

Domínio

INFORMAÇÕES SOBRE OS DIREITOS, AS OBRIGAÇÕES E AS REGRAS

J.

Constituição, funcionamento e encerramento de uma empresa

1.

registo, alteração da forma jurídica ou encerramento da empresa (formalidades de registo e formas jurídicas para o exercício das atividades empresariais)

2.

transferência de uma empresa para outro Estado-Membro

3.

direitos de propriedade intelectual (pedidos de patentes, registo de marcas comerciais, de desenhos ou de modelos, e obtenção de licenças de reprodução)

4.

lealdade e transparência nas práticas comerciais, incluindo os direitos dos consumidores e as garantias relacionadas com a venda de bens e serviços

5.

oferta de serviços em linha para efetuar pagamentos transfronteiriços no âmbito da venda de bens e serviços em linha

6.

direitos e obrigações decorrentes do direito dos contratos, incluindo juros de mora

7.

processos de insolvência e liquidação de empresas

8.

seguros de crédito

9.

fusão de sociedades ou venda de empresas

10.

responsabilidade civil dos administradores de uma sociedade

11.

regras e obrigações em matéria de tratamento de dados pessoais

K.

Trabalhadores

1.

condições de trabalho previstas por lei ou por um instrumento com força obrigatória geral (incluindo o horário de trabalho, férias pagas, férias anuais, direitos e obrigações relativas às horas extraordinárias, medicina preventiva, rescisão de contratos, demissões e despedimentos)

2.

direitos e deveres em matéria de segurança social na União (inscrição como empregador, registo dos trabalhadores, notificação da cessação dos contratos de trabalho, pagamento das contribuições para a segurança social, direitos e obrigações em matéria de aposentação)

3.

emprego de trabalhadores noutros Estados-Membros (destacamento de trabalhadores, regras relativas à livre prestação de serviços, requisitos de residência para os trabalhadores)

4.

igualdade de tratamento (regras que proíbem a discriminação no local de trabalho, regras sobre a igualdade de remuneração entre homens e mulheres e sobre a igualdade de remuneração de trabalhadores com contratos de trabalho a termo e sem termo)

5.

regras sobre a representação coletiva dos trabalhadores

L.

Impostos

1.

IVA: informações sobre as regras gerais, taxas e isenções, registo e pagamento do IVA, obtenção de reembolsos

2.

impostos especiais sobre o consumo: informações sobre as regras gerais, taxas e isenções, registo para efeitos de impostos especiais sobre o consumo e pagamento de impostos especiais sobre o consumo, obtenção de reembolsos

3.

direitos aduaneiros e outras taxas e direitos cobrados sobre as importações

4.

regime aduaneiro das importações e exportações no âmbito do Código Aduaneiro da União

5.

outros impostos: pagamento, taxas, declarações de impostos

M.

Bens

1.

obtenção da marcação CE

2.

regras e requisitos relativos aos produtos

3.

identificação das regras aplicáveis, especificações técnicas e certificação de produtos

4.

reconhecimento mútuo de produtos não sujeitos às especificações da União

5.

requisitos de classificação, rotulagem e embalagem de produtos químicos perigosos

6.

venda à distância ou fora do estabelecimento comercial: informações a prestar antecipadamente aos clientes, confirmação de contratos por escrito, denúncia de contratos, entrega de bens, outras obrigações específicas

7.

produtos com defeito: direitos e garantias dos consumidores, responsabilidades pós-venda, meios de reparação da parte lesada

8.

certificação e rótulos (EMAS, rótulos energéticos, conceção ecológica, rótulo ecológico da UE)

9.

reciclagem e gestão de resíduos

N.

Serviços

1.

aquisição de licenças ou autorizações para a criação e a gestão de empresas

2.

notificação das autoridades sobre atividades transfronteiriças

3.

reconhecimento de qualificações profissionais, incluindo o ensino e a formação profissionais

O.

Financiamento das empresas

1.

obtenção de acesso ao financiamento a nível da União, incluindo programas de financiamento e subvenções da União

2.

obtenção de acesso ao financiamento a nível nacional

3.

iniciativas dirigidas aos empresários (intercâmbios organizados para novos empresários, programas de tutoria, etc.)

P.

Contratos públicos

1.

participação em concursos públicos: regras e procedimentos

2.

apresentação de propostas em linha em resposta a convites públicos à apresentação de propostas

3.

comunicação de irregularidades em relação aos procedimentos de concurso

Q.

Saúde e segurança no trabalho

1.

obrigações em matéria de saúde e segurança em relação a diferentes tipos de atividades, incluindo a prevenção dos riscos, informação e formação


ANEXO II

Procedimentos referidos no artigo 6.o, n.o 1

Ocorrência

Procedimento

Resultado esperado, sujeito a uma avaliação do pedido pela autoridade competente, nos termos do direito nacional, se for caso disso

Nascimento

Solicitar um comprovativo do registo de nascimento

Comprovativo do registo de nascimento ou certidão de nascimento

Residência

Solicitar um comprovativo de residência

Confirmação do registo no novo endereço

Estudos

Candidatar-se a um financiamento para frequentar o ensino superior, como, por exemplo, bolsas de estudo ou empréstimos, concedidos por um organismo público ou por uma instituição pública

Decisão sobre a candidatura a um financiamento ou aviso de receção

Apresentar um pedido inicial de admissão num estabelecimento público de ensino superior

Confirmação da receção da candidatura

Solicitar o reconhecimento académico de diplomas, certificados ou outros comprovativos de estudos ou cursos efetuados

Decisão sobre o pedido de reconhecimento

Atividade profissional

Apresentar um pedido de determinação da lei aplicável nos termos do Título II do Regulamento (CE) n.o 883/2004 (1)

Decisão sobre a lei aplicável

Notificação das mudanças nas circunstâncias pessoais ou profissionais do beneficiário de prestações de segurança social, se pertinentes para as prestações em causa

Confirmação da receção da notificação dessas mudanças

Solicitar o Cartão Europeu de Seguro de Doença (CESD)

Cartão Europeu de Seguro de Doença (CESD)

Apresentar uma declaração de impostos sobre o rendimento

Confirmação da receção da declaração

Mudança de endereço

Registo de uma mudança de endereço

Confirmação da anulação do registo no endereço anterior e do registo do novo endereço

Registo de um veículo a motor originário de um Estado-Membro, ou previamente registado num Estado-Membro, de acordo com os procedimentos normalizados (2)

Comprovativo do registo de um veículo a motor

Obter vinhetas para a utilização da infraestrutura rodoviária nacional: taxas baseadas no tempo de utilização (vinhetas) e taxas baseadas na distância (portagens) emitidas por um organismo público ou por uma instituição pública

Receção de vinhetas de portagem ou de outros comprovativos de pagamento

Obter vinhetas de emissões poluentes emitidas por um organismo público ou por uma instituição pública

Receção de vinhetas de emissões poluentes ou de outros comprovativos de pagamento

Reforma

Requerer a pensão de reforma ou pensão de reforma antecipada no quadro de um regime obrigatório

Confirmação da receção do requerimento ou da decisão relativa ao requerimento de pensão de reforma ou pensão de reforma antecipada

Solicitar informações sobre os dados relativos à pensão de regimes obrigatórios

Declaração de dados pessoais de pensão

Criação, gestão e liquidação de uma empresa

Notificação da atividade económica, licenças de exercício de atividade, mudança de atividade e cessação de atividade, que não envolvam procedimentos de insolvência ou liquidação, com exclusão do registo inicial de atividade no registo de empresas e com exclusão dos procedimentos relativos à constituição de sociedades ou ao subsequente registo por sociedades ou empresas na aceção do artigo 54.o, n.o 2, do TFUE

Confirmação da receção da notificação ou da mudança, ou do pedido da licença de atividade

Inscrição do empregador (pessoa singular) num regime de pensões e de seguros obrigatório

Confirmação da inscrição ou número de inscrição na segurança social

Inscrição dos trabalhadores num regime de pensões e de seguros obrigatório

Confirmação da inscrição ou número de inscrição na segurança social

Apresentar uma declaração de impostos da empresa

Confirmação da receção da declaração

Notificação da cessação dos contratos de trabalho à segurança social, exceto no caso de procedimentos para a cessação coletiva de contratos de trabalho

Confirmação da receção da notificação

Pagamento das contribuições sociais dos trabalhadores

Recibo ou outra forma de confirmação do pagamento das contribuições sociais dos trabalhadores


(1)  Regulamento (CE) n.o 883/2004 do Parlamento Europeu e do Conselho, de 29 de abril de 2004, relativo à coordenação dos sistemas de segurança social (JO L 166 de 30.4.2004, p. 1).

(2)  São abrangidos os seguintes veículos: a) veículos a motor ou reboques referidos no artigo 3.o da Diretiva 2007/46/CE do Parlamento Europeu e do Conselho (JO L 263 de 9.10.2007, p. 1); e b) veículos a motor de duas ou três rodas, duplas ou não, destinados a circular na estrada, referidos no artigo 1.o do Regulamento (UE) n.o 168/2013 do Parlamento Europeu e do Conselho (JO L 60 de 2.3.2013, p. 52).


ANEXO III

Lista dos serviços de assistência e de resolução de problemas a que se refere o artigo 2.o, n.o 2, alínea c)

1)

Balcões únicos (1)

2)

Pontos de contacto para produtos (2)

3)

Pontos de Contacto para produtos do setor da construção (3)

4)

Centros de assistência nacionais para as qualificações profissionais (4)

5)

Pontos de contacto nacionais para os cuidados de saúde transfronteiriços (5)

6)

Rede europeia de serviços de emprego (EURES) (6)

7)

Resolução de litígios em linha (RLL) (7)


(1)  Diretiva 2006/123/CE do Parlamento Europeu e do Conselho, de 12 de dezembro de 2006, relativa aos serviços no mercado interno (JO L 376 de 27.12.2006, p. 36).

(2)  Regulamento (CE) n.o 764/2008 do Parlamento Europeu e do Conselho, de 9 de julho de 2008, que estabelece procedimentos para a aplicação de certas regras técnicas nacionais a produtos legalmente comercializados noutro Estado-Membro e que revoga a Decisão n.o 3052/95/CE (JO L 218 de 13.8.2008, p. 21).

(3)  Regulamento (UE) n.o 305/2011 do Parlamento Europeu e do Conselho, de 9 de março de 2011, que estabelece condições harmonizadas para a comercialização dos produtos de construção e que revoga a Diretiva 89/106/CEE do Conselho (JO L 88 de 4.4.2011, p. 5).

(4)  Diretiva 2005/36/CE do Parlamento Europeu e do Conselho, de 7 de setembro de 2005, relativa ao reconhecimento das qualificações profissionais (JO L 255 de 30.9.2005, p. 22).

(5)  Diretiva 2011/24/UE do Parlamento Europeu e do Conselho, de 9 de março de 2011, relativa ao exercício dos direitos dos doentes em matéria de cuidados de saúde transfronteiriços (JO L 88 de 4.4.2011, p. 45).

(6)  Regulamento (UE) 2016/589 do Parlamento Europeu e do Conselho, de 13 de abril de 2016, relativo a uma rede europeia de serviços de emprego (EURES), ao acesso dos trabalhadores a serviços de mobilidade e ao desenvolvimento da integração dos mercados de trabalho, e que altera os Regulamentos (UE) n.o 492/2011 e (UE) n.o 1296/2013 (JO L 107 de 22.4.2016, p. 1).

(7)  Regulamento (UE) n.o 524/2013 do Parlamento Europeu e do Conselho, de 21 de maio de 2013, sobre a resolução de litígios de consumo em linha, que altera o Regulamento (CE) n.o 2006/2004 e a Diretiva 2009/22/CE (Regulamento RLL) (JO L 165 de 18.6.2013, p. 1).


21.11.2018   

PT

Jornal Oficial da União Europeia

L 295/39


REGULAMENTO (UE) 2018/1725 DO PARLAMENTO EUROPEU E DO CONSELHO

de 23 de outubro de 2018

relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE

(Texto relevante para efeitos do EEE)

O PARLAMENTO EUROPEU E O CONSELHO DA UNIÃO EUROPEIA,

Tendo em conta o Tratado sobre o Funcionamento da União Europeia, nomeadamente o artigo 16.o, n.o 2,

Tendo em conta a proposta da Comissão Europeia,

Após transmissão do projeto de ato legislativo aos parlamentos nacionais,

Tendo em conta o parecer do Comité Económico e Social Europeu (1),

Deliberando de acordo com o processo legislativo ordinário (2),

Considerando o seguinte:

(1)

A proteção das pessoas singulares, no que diz respeito ao tratamento de dados pessoais, é um direito fundamental. O artigo 8.o, n.o 1, da Carta dos Direitos Fundamentais da União Europeia («Carta») e o artigo 16.o, n.o 1, do Tratado sobre o Funcionamento da União Europeia (TFUE) estabelecem que todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito. Este direito é igualmente garantido pelo artigo 8.o da Convenção Europeia para a Proteção dos Direitos do Homem e das Liberdades Fundamentais.

(2)

O Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho (3) confere às pessoas singulares direitos suscetíveis de proteção judicial, especifica as obrigações em matéria de tratamento de dados dos responsáveis pelo tratamento a nível das instituições e dos órgãos comunitários, e cria uma autoridade de controlo independente, a Autoridade Europeia para a Proteção de Dados, responsável pelo controlo do tratamento de dados pessoais pelas instituições e pelos órgãos da União. Contudo, não se aplica ao tratamento de dados pessoais efetuado no exercício de uma atividade das instituições e dos órgãos da União que se encontre fora do âmbito de aplicação do direito da União.

(3)

O Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (4) e a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho (5) foram adotados em 27 de abril de 2016. Enquanto o regulamento estabelece regras gerais para proteger as pessoas singulares no que diz respeito ao tratamento de dados pessoais e para assegurar a livre circulação de dados pessoais na União, a diretiva estabelece as regras específicas para proteger as pessoas singulares no que diz respeito ao tratamento de dados pessoais e para assegurar a livre circulação de dados pessoais na União nos domínios da cooperação judiciária em matéria penal e da cooperação policial.

(4)

O Regulamento (UE) 2016/679 prevê a adaptação do Regulamento (CE) n.o 45/2001, a fim de garantir um regime de proteção de dados sólido e coerente na União e de permitir a sua aplicação em paralelo com o Regulamento (UE) 2016/679.

(5)

Uma abordagem coerente da proteção dos dados pessoais e a livre circulação dos mesmos na União implicam uma harmonização, tão ampla quanto possível, das regras de proteção de dados adotadas a nível das instituições, dos órgãos e dos organismos da União com as regras de proteção de dados adotadas para o sector público nos Estados-Membros. Sempre que as disposições do presente regulamento sigam os mesmos princípios que as disposições do Regulamento (UE) 2016/679, de acordo com a jurisprudência do Tribunal de Justiça da União Europeia («Tribunal de Justiça»), esses dois conjuntos de disposições deverão ser interpretados de forma homogénea, sobretudo porque o regime do presente regulamento deverá ser entendido como equivalente ao regime do Regulamento (UE) 2016/679.

(6)

As pessoas cujos dados pessoais são tratados por instituições e órgãos da União em qualquer contexto, por exemplo, porque são funcionários dessas instituições e órgãos, deverão ser protegidas. O presente regulamento não deverá aplicar-se ao tratamento de dados pessoais de pessoas falecidas. O presente regulamento não abrange o tratamento de dados pessoais relativos a pessoas coletivas, em especial empresas estabelecidas enquanto pessoas coletivas, incluindo a denominação, a forma jurídica e os dados de contacto da pessoa coletiva.

(7)

A fim de evitar graves riscos de ser contornada, a proteção das pessoas singulares deverá ser neutra em termos tecnológicos, e não deverá depender das técnicas utilizadas.

(8)

O presente regulamento deverá aplicar-se ao tratamento de dados pessoais por todas as instituições e por todos os órgãos e organismos da União. O presente regulamento deverá aplicar-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios distintos dos meios automatizados de dados pessoais contidos em ficheiros ou a eles destinados. Os ficheiros ou os conjuntos de ficheiros, bem como as suas capas, que não estejam estruturados de acordo com critérios específicos, não deverão ser abrangidos pelo âmbito de aplicação do presente regulamento.

(9)

Na Declaração n.o 21 sobre a proteção de dados pessoais no domínio da cooperação judiciária em matéria penal e da cooperação policial, anexada à Ata Final da Conferência Intergovernamental que adotou o Tratado de Lisboa, a conferência reconheceu que, devido à especificidade dos domínios em causa, poderão ser necessárias disposições especiais sobre a proteção de dados pessoais e sobre a livre circulação desses dados nos domínios da cooperação judiciária em matéria penal e da cooperação policial, com base no artigo 16.o do TFUE. Por conseguinte, um capítulo distinto do presente regulamento, consagrado às regras gerais, deverá aplicar-se ao tratamento de dados pessoais operacionais, tais como os dados pessoais tratados para efeitos de investigação criminal pelos órgãos e organismos da União no exercício de atividades nos domínios da cooperação judiciária e penal e da cooperação policial.

(10)

A Diretiva (UE) 2016/680 estabelece regras harmonizadas para a proteção e a livre circulação de dados pessoais tratados para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública. A fim de assegurar o mesmo nível de proteção para as pessoas singulares através de direitos suscetíveis de proteção judicial em toda a União, e de evitar divergências que criem obstáculos ao intercâmbio de dados pessoais entre os órgãos e os organismos da União no exercício de atividades abrangidas pelo âmbito de aplicação da parte III, título V, capítulos 4 ou 5, do TFUE e as autoridades competentes, as regras relativas à proteção e à livre circulação de dados pessoais operacionais tratados por esses órgãos e organismos da União deverão ser coerentes com a Diretiva (UE) 2016/680.

(11)

As regras gerais do capítulo do presente regulamento relativo ao tratamento de dados pessoais operacionais deverão ser aplicáveis sem prejuízo das regras específicas aplicáveis ao tratamento de dados pessoais operacionais pelos órgãos e organismos da União no exercício de atividades abrangidas pelo âmbito de aplicação da parte III, título V, capítulos 4 ou 5, do TFUE. Essas regras específicas deverão ser consideradas lex specialis relativamente às disposições constantes do capítulo do presente regulamento respeitantes ao tratamento de dados pessoais operacionais (lex specialis derogat legi generali). A fim de reduzir a fragmentação jurídica, as regras específicas de proteção de dados aplicáveis ao tratamento de dados pessoais operacionais pelos órgãos e organismos da União no exercício de atividades abrangidas pelo âmbito de aplicação da parte III, título V, capítulos 4 ou 5, do TFUE deverão ser coerentes com os princípios subjacentes ao capítulo do presente regulamento relativo ao tratamento de dados pessoais operacionais, e também com as disposições do presente regulamento relativas ao controlo independente, às vias de recurso, à responsabilidade e às sanções.

(12)

O capítulo do presente regulamento relativo ao tratamento de dados pessoais operacionais deverá aplicar-se aos órgãos e aos organismos da União no exercício de atividades abrangidas pelo âmbito de aplicação da parte III, título V, capítulos 4 ou 5, do TFUE, quer exerçam essas atividades como atribuições principais ou como funções acessórias, para efeitos de prevenção, deteção, investigação ou repressão de infrações penais. No entanto, o presente regulamento não deverá aplicar-se à Europol nem à Procuradoria Europeia até que os atos normativos que criam a Europol e a Procuradoria Europeia sejam alterados a fim de permitir que o capítulo do presente regulamento relativo ao tratamento de dados pessoais operacionais, na sua versão adaptada, lhes seja aplicável.

(13)

A Comissão deverá proceder a um reexame do presente regulamento, em especial do capítulo relativo ao tratamento de dados pessoais operacionais. A Comissão deverá também efetuar um reexame de outros atos normativos adotados com base nos Tratados que regulam o tratamento de dados pessoais operacionais pelos órgãos e organismos da União no exercício de atividades abrangidas pelo âmbito de aplicação da parte III, título V, capítulos 4 ou 5, do TFUE. Após esse reexame, a fim de assegurar uma proteção uniforme e coerente das pessoas singulares no que diz respeito ao tratamento de dados pessoais, a Comissão deverá poder apresentar as propostas legislativas adequadas, incluindo as adaptações necessárias do capítulo do presente regulamento relativo ao tratamento de dados pessoais operacionais, na perspetiva da sua aplicação à Europol e à Procuradoria Europeia. As adaptações deverão ter em conta as disposições relativas ao controlo independente, às vias de recurso, à responsabilidade e às sanções.

(14)

O tratamento de dados pessoais administrativos, tais como os dados relativos ao pessoal, pelos órgãos e organismos da União que exercem atividades abrangidas pelo âmbito de aplicação da parte III, título V, capítulos 4 ou 5, do TFUE, deverá ser abrangido pelo presente regulamento.

(15)

O presente regulamento deverá aplicar-se ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União que exercem atividades abrangidas pelo âmbito de aplicação do título V, capítulo 2, do Tratado da União Europeia (TUE). O presente regulamento não deverá aplicar-se ao tratamento de dados pessoais pelas missões referidas no artigo 42.o, n.o 1, e nos artigos 43.o e 44.o do TUE, que aplicam a política comum de segurança e de defesa. Se for caso disso, deverão ser apresentadas propostas adequadas para regulamentar também o tratamento de dados pessoais no domínio da política comum de segurança e de defesa.

(16)

Os princípios da proteção de dados deverão aplicar-se a todas as informações relativas a uma pessoa singular identificada ou identificável. Os dados pessoais que tenham sido pseudonimizados, que possam ser atribuídos a uma pessoa singular mediante a utilização de informações suplementares, deverão ser considerados informações sobre uma pessoa singular identificável. Para determinar se uma pessoa singular é identificável, deverão ser tidos em conta todos os meios que apresentem uma probabilidade razoável de ser utilizados, tais como a seleção, quer pelo responsável pelo tratamento quer por outra pessoa, para identificar direta ou indiretamente a pessoa singular. Para determinar se existe uma probabilidade razoável de os meios serem utilizados para identificar a pessoa singular, deverão ser tidos em conta todos os fatores objetivos, como os custos e o tempo necessário para a identificação, tendo em conta as tecnologias disponíveis à data do tratamento dos dados e a evolução tecnológica. Os princípios da proteção de dados não deverão, pois, aplicar-se às informações anónimas, ou seja, às informações que não digam respeito a uma pessoa singular identificada ou identificável, nem a dados pessoais tornados de tal modo anónimos que o seu titular não seja identificável ou já não possa ser identificado. Por conseguinte, o presente regulamento não diz respeito ao tratamento dessas informações anónimas, inclusive para fins estatísticos ou de investigação.

(17)

A aplicação da pseudonimização aos dados pessoais pode reduzir os riscos para os titulares dos dados em questão e ajudar os responsáveis pelo tratamento e os subcontratantes a cumprir as suas obrigações de proteção de dados. A introdução explícita da «pseudonimização» no presente regulamento não se destina a excluir outras medidas de proteção de dados.

(18)

As pessoas singulares podem ser associadas a identificadores por via eletrónica, fornecidos pelos respetivos aparelhos, aplicações, ferramentas e protocolos, tais como endereços IP (protocolo internet), testemunhos de conexão (cookie) ou outros identificadores, como as etiquetas de identificação por radiofrequência. Estes identificadores podem deixar vestígios que, em especial quando combinados com identificadores únicos e com outras informações recebidas pelos servidores, podem ser utilizados para definir perfis das pessoas singulares e para as identificar.

(19)

O consentimento do titular dos dados deverá ser dado mediante um ato positivo claro que indique uma manifestação de vontade livre, específica, informada e inequívoca de autorizar o tratamento dos dados que lhe digam respeito, por exemplo, mediante uma declaração escrita, inclusive em formato eletrónico, ou uma declaração oral. O consentimento pode ser dado validando uma opção ao visitar um sítio Web na Internet, selecionando os parâmetros técnicos para os serviços da sociedade da informação, ou mediante outra declaração ou conduta que indique claramente, nesse contexto, que o titular dos dados aceita o tratamento proposto dos seus dados pessoais. O silêncio, as opções pré-validadas ou a omissão não deverão, por conseguinte, constituir um consentimento. O consentimento deverá abranger todas as atividades de tratamento realizadas com a mesma finalidade. Nos casos em que o tratamento sirva fins múltiplos, deverá ser dado um consentimento para todos esses fins. Se o consentimento tiver de ser dado na sequência de um pedido apresentado por via eletrónica, o pedido tem de ser claro e conciso, e não pode perturbar desnecessariamente a utilização do serviço em causa. Além disso, o titular dos dados deverá ter o direito de retirar o seu consentimento a qualquer momento, sem comprometer a licitude do tratamento efetuado com base no consentimento previamente dado. A fim de assegurar que o consentimento seja dado de livre vontade, este não deverá constituir um fundamento jurídico válido para o tratamento de dados pessoais em casos específicos em que exista um desequilíbrio manifesto entre o titular dos dados e o responsável pelo seu tratamento, em que seja, portanto, improvável que o consentimento tenha sido dado de livre vontade em todas as circunstâncias associadas à situação específica em causa. Muitas vezes não é possível identificar totalmente a finalidade do tratamento de dados pessoais para efeitos de investigação científica no momento da recolha dos dados. Por conseguinte, os titulares dos dados deverão poder dar o seu consentimento para determinadas áreas de investigação científica, desde que sejam respeitados padrões éticos reconhecidos para a investigação científica. Os titulares dos dados deverão ter a possibilidade de dar o seu consentimento unicamente para determinados domínios de investigação ou partes de projetos de investigação, na medida permitida pela finalidade pretendida.

(20)

O tratamento de dados pessoais deverá ser efetuado de forma lícita e leal. Deverá ser transparente para as pessoas singulares que os dados pessoais que lhes digam respeito são recolhidos, utilizados, consultados ou sujeitos a outros tipos de tratamento, e em que medida é que os dados pessoais são ou virão a ser tratados. O princípio da transparência exige que as informações e as comunicações relacionadas com o tratamento desses dados pessoais sejam de fácil acesso e compreensão, e formuladas numa linguagem clara e simples. Esse princípio diz respeito, em particular, às informações fornecidas aos titulares dos dados sobre a identidade do responsável pelo tratamento e sobre as finalidades a que o tratamento dos dados se destina, e às informações adicionais destinadas a assegurar que o tratamento dos dados seja efetuado com lealdade e transparência em relação às pessoas singulares em causa e salvaguarde o seu direito a obter a confirmação e a comunicação dos dados pessoais tratados que lhes digam respeito. As pessoas singulares deverão ser alertadas para os riscos, para as regras, para as garantias e para os direitos associados ao tratamento dos seus dados pessoais, e para os meios de que dispõem para exercer os seus direitos relativamente a esse tratamento. Em especial, as finalidades específicas do tratamento dos dados pessoais deverão ser explícitas e legítimas, e determinadas aquando da recolha dos dados pessoais. Os dados pessoais deverão ser adequados, pertinentes e limitados ao necessário para as finalidades para as quais são tratados. Para tal, é necessário assegurar, em especial, que o prazo de conservação dos dados seja limitado ao mínimo. Os dados pessoais só deverão ser tratados se a finalidade do seu tratamento não puder ser atingida de forma razoável por outros meios. A fim de assegurar que os dados pessoais sejam conservados apenas durante o período necessário, o responsável pelo tratamento deverá fixar os prazos para o apagamento ou para a revisão periódica. Deverão ser tomadas todas as medidas razoáveis para que os dados pessoais incorretos sejam retificados ou apagados. Os dados pessoais deverão ser tratados de uma forma que garanta a segurança e a confidencialidade adequadas, designadamente para evitar o acesso aos dados pessoais, a sua utilização e o acesso a equipamentos utilizados para o seu tratamento não autorizados, e para evitar a divulgação não autorizada dos dados pessoais aquando da sua transmissão.

(21)

Em conformidade com o princípio da responsabilidade, quando as instituições e os órgãos da União transmitem dados pessoais no interior da mesma instituição ou do mesmo organismo, e o destinatário não faz parte do responsável pelo tratamento, ou a outras instituições ou a outros órgãos da União, deverão verificar se esses dados pessoais são necessários para o desempenho legítimo de funções da competência do destinatário. Em particular, após o pedido do destinatário para a transmissão dos dados pessoais, o responsável pelo tratamento deverá verificar a existência de um motivo relevante para o tratamento lícito dos dados pessoais e a competência do destinatário. O responsável pelo tratamento deverá efetuar também uma avaliação provisória da necessidade de transmitir esses dados. Em caso de dúvida quanto a essa necessidade, o responsável pelo tratamento deverá solicitar informações complementares ao destinatário. O destinatário deverá certificar-se de que a necessidade da transmissão dos dados pode ser verificada posteriormente.

(22)

Para que o tratamento seja lícito, os dados pessoais deverão ser tratados com base na necessidade de desempenho de uma função efetuada no interesse público pelas instituições e pelos órgãos da União, ou no exercício da sua autoridade pública, na necessidade de conformidade com uma obrigação jurídica a que o responsável pelo tratamento dos dados esteja sujeito, ou com outra base legítima, ao abrigo do presente regulamento, incluindo o consentimento do titular dos dados em causa, a necessidade de executar um contrato no qual o titular dos dados seja parte, ou para adotar medidas pré-contratuais a pedido do titular dos dados. O tratamento de dados pessoais para o desempenho de funções de interesse público pelas instituições e pelos órgãos da União inclui o tratamento de dados pessoais necessários à gestão e ao funcionamento dessas instituições e órgãos. O tratamento de dados pessoais deverá também ser considerado lícito quando for necessário à proteção de um interesse essencial à vida do titular dos dados, ou de outra pessoa singular. Em princípio, o tratamento de dados pessoais com base no interesse vital de outra pessoa singular só pode ocorrer quando não puder manifestamente ter como base outro fundamento jurídico. Alguns tipos de tratamento de dados podem servir simultaneamente interesses públicos importantes e os interesses vitais do titular dos dados, como, por exemplo, quando o tratamento dos dados é necessário para fins humanitários, incluindo a monitorização de epidemias e da sua propagação, ou em situações de emergência humanitária, em especial situações de catástrofes naturais e de origem humana.

(23)

O direito da União referido no presente regulamento deverá ser claro e rigoroso, e a sua aplicação deverá ser previsível para os seus destinatários, em conformidade com as exigências estabelecidas na Carta e na Convenção Europeia para a Proteção dos Direitos do Homem e das Liberdades Fundamentais.

(24)

As regras internas referidas no presente regulamento deverão consistir em atos claros e precisos de aplicação geral, destinados a produzir efeitos jurídicos em relação aos titulares dos dados. Essas regras deverão ser adotadas ao mais alto nível de direção das instituições e dos órgãos da União, no âmbito das suas competências e em matérias relacionadas com o seu funcionamento. Essas regras deverão ser publicadas no Jornal Oficial da União Europeia. A aplicação dessas normas deverá ser previsível para os seus destinatários, em conformidade com os requisitos estabelecidos na Carta e na Convenção Europeia para a Proteção dos Direitos do Homem e das Liberdades Fundamentais. Essas regras internas podem assumir a forma de decisões, em particular quando forem adotadas por instituições da União.

(25)

O tratamento de dados pessoais para finalidades distintas daquelas para as quais os dados tenham sido inicialmente recolhidos só deverá ser autorizado se for compatível com as finalidades para as quais os dados pessoais tenham sido inicialmente recolhidos. Nesse caso, não é necessário um fundamento jurídico distinto daquele que permitiu a recolha dos dados pessoais. Se o tratamento for necessário para o exercício de funções de interesse público ou para o exercício da autoridade pública de que o responsável pelo tratamento esteja investido, o direito da União pode determinar e definir as tarefas e as finalidades para as quais o tratamento posterior deverá ser considerado compatível e lícito. As operações de tratamento posterior para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos deverão ser consideradas como operações de tratamento lícito compatível. O fundamento jurídico previsto no direito da União para o tratamento de dados pessoais pode igualmente servir de fundamento jurídico para o tratamento posterior. A fim de apurar se a finalidade de um tratamento posterior é compatível com a finalidade para a qual os dados pessoais foram inicialmente recolhidos, o responsável pelo seu tratamento, após ter cumprido todos os requisitos de licitude do tratamento inicial, deverá ter em atenção, nomeadamente: a existência de uma ligação entre tais finalidades e a finalidade do tratamento posterior previsto; o contexto em que os dados pessoais foram recolhidos, em especial as expectativas razoáveis do titular dos dados quanto à sua posterior utilização, com base na sua relação com o responsável pelo tratamento; a natureza dos dados pessoais; as consequências do tratamento posterior previsto para os titulares dos dados; e a existência de garantias adequadas tanto nas operações de tratamento iniciais como nas operações de tratamento posteriores previstas.

(26)

Caso o tratamento tenha por base o consentimento do titular dos dados, o responsável pelo tratamento deverá poder demonstrar que o titular deu o seu consentimento a esse tratamento. Em especial, no contexto de uma declaração escrita relativa a outra matéria, deverão existir garantias de que o titular dos dados está plenamente ciente do consentimento dado e do seu alcance. Em conformidade com a Diretiva 93/13/CEE do Conselho (6), deverá ser fornecida uma declaração de consentimento previamente redigida pelo responsável pelo tratamento, inteligível e facilmente acessível, numa linguagem clara e simples, e sem cláusulas abusivas. Para efeitos de um consentimento informado, o titular dos dados deverá conhecer, pelo menos, a identidade do responsável pelo tratamento e as finalidades do tratamento para as quais os dados pessoais se destinam. Não deverá considerar-se que o consentimento foi dado de livre vontade se o titular dos dados não dispuser de uma escolha verdadeira ou livre ou não puder recusar nem retirar o consentimento sem ser prejudicado.

(27)

As crianças merecem proteção especial quanto aos seus dados pessoais, uma vez que podem estar menos cientes dos riscos, das consequências e das garantias em questão e dos seus direitos relacionados com o tratamento dos dados pessoais. Essa proteção especial deverá aplicar-se, nomeadamente, à criação de perfis de personalidade; à recolha de dados pessoais relativos às crianças aquando da utilização de serviços disponibilizados diretamente a um menor nos sítios Web das instituições e dos órgãos da União, tais como os serviços de comunicação interpessoal ou de venda de bilhetes em linha; e ao tratamento de dados pessoais com base no consentimento.

(28)

Quando os destinatários, que não sejam instituições ou órgãos da União, estejam estabelecidos na União e pretendam que as instituições e os órgãos da União lhes transmitam dados pessoais, deverão demonstrar que a transmissão é necessária para o exercício de funções de interesse público ou para o exercício da autoridade pública de que estejam investidos. Em alternativa, esses destinatários deverão demonstrar que a transmissão é necessária para uma finalidade específica no interesse público e o responsável pelo tratamento deve determinar se existem motivos para pressupor que os interesses legítimos do titular dos dados possam ser prejudicados. Neste caso, o responsável pelo tratamento deverá sopesar, comprovadamente, os diferentes interesses em jogo, a fim de avaliar se o pedido de transmissão de dados pessoais é proporcionado. As finalidades específicas no interesse público podem dizer respeito à transparência das instituições e dos órgãos da União. Além disso, as instituições e os órgãos da União deverão demonstrar essa necessidade quando estão na origem da transmissão, em conformidade com o princípio da transparência e da boa administração. Os requisitos previstos no presente regulamento para a transmissão a destinatários estabelecidos na União, que não sejam instituições ou órgãos da União, deverão ser entendidos como complementares das condições para o tratamento lícito.

(29)

Merecem proteção específica os dados pessoais que sejam, pela sua natureza, especialmente sensíveis do ponto de vista dos direitos e das liberdades fundamentais, dado que o contexto do tratamento desses dados poderá implicar riscos significativos para os direitos e as liberdades fundamentais. Esses dados pessoais só deverão ser tratados se as condições específicas definidas no presente regulamento estiverem reunidas. Deverão incluir-se neste caso os dados pessoais que revelem a origem racial ou étnica, não implicando o uso da expressão «origem racial» no presente regulamento que a União aceita teorias que tentam demonstrar a existência de diferentes raças humanas. O tratamento de fotografias não deverá ser considerado sistematicamente como um tratamento de categorias especiais de dados pessoais, uma vez que as fotografias só são abrangidas pela definição de dados biométricos quando são processadas por meios técnicos específicos que permitem a identificação inequívoca ou a autenticação de uma pessoa singular. Para além dos requisitos específicos para o tratamento de dados sensíveis, deverão aplicar-se os princípios gerais e outras disposições do presente regulamento, em especial, no que se refere às condições para o tratamento lícito. Deverão ser expressamente previstas derrogações da proibição geral de tratamento de categorias especiais de dados pessoais, por exemplo, se o titular dos dados der o seu consentimento expresso, ou para ter em conta necessidades específicas, designadamente quando o tratamento de dados for efetuado no exercício de atividades legítimas de certas associações ou fundações que tenham por finalidade permitir o exercício das liberdades fundamentais.

(30)

As categorias especiais de dados pessoais que merecem uma proteção mais elevada só deverão ser tratadas para finalidades relacionadas com a saúde nos casos em que tal se revele necessário para atingir essas finalidades no interesse das pessoas singulares e da sociedade no seu todo, nomeadamente no contexto da gestão dos serviços e sistemas de saúde ou de ação social. Por conseguinte, o presente regulamento deverá estabelecer condições harmonizadas para o tratamento de categorias especiais de dados pessoais relativos à saúde, tendo em conta necessidades específicas, designadamente quando o tratamento desses dados for efetuado para determinadas finalidades ligadas à saúde por pessoas sujeitas a uma obrigação legal de sigilo profissional. O direito da União deverá prever medidas específicas adequadas para defender os direitos fundamentais e para proteger os dados pessoais das pessoas singulares.

(31)

O tratamento de categorias especiais de dados pessoais pode ser necessário por razões de interesse público nos domínios da saúde pública sem o consentimento do titular dos dados. Esse tratamento deverá ser objeto de medidas adequadas e específicas, a fim de defender os direitos e as liberdades das pessoas singulares. Nesse contexto, a noção de «saúde pública» deverá ser interpretada segundo a definição constante do Regulamento (CE) n.o 1338/2008 do Parlamento Europeu e do Conselho (7), ou seja, todos os elementos relacionados com a saúde, a saber, o estado de saúde, incluindo a morbilidade e a incapacidade, as determinantes desse estado de saúde, as necessidades de cuidados de saúde, os recursos atribuídos aos cuidados de saúde, a prestação de cuidados de saúde e o acesso universal aos mesmos, assim como as despesas e o financiamento dos cuidados de saúde e as causas de mortalidade. Tal tratamento de dados relativos à saúde efetuado por motivos de interesse público não deverá dar origem a que os dados pessoais sejam tratados para outras finalidades.

(32)

Se os dados pessoais tratados pelo responsável pelo tratamento não lhe permitirem identificar uma pessoa singular, o responsável pelo tratamento não deverá ser obrigado a obter informações suplementares para identificar o titular dos dados com o único objetivo de cumprir uma disposição do presente regulamento. Todavia, o responsável pelo tratamento não deverá recusar-se a receber informações suplementares fornecidas pelo titular dos dados para apoiar o exercício dos seus direitos. A identificação deverá incluir a identificação digital do titular dos dados, por exemplo com recurso a um procedimento de autenticação com os mesmos dados de identificação usados pelo interessado para aceder (log in) ao serviço em linha do responsável pelo tratamento.

(33)

O tratamento de dados pessoais para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos deverá ficar sujeito a garantias adequadas no que respeita aos direitos e às liberdades do titular dos dados, nos termos do presente regulamento. Essas garantias deverão assegurar a existência de medidas técnicas e organizativas que assegurem, nomeadamente, o princípio da minimização dos dados. O tratamento posterior de dados pessoais para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos deverá ser efetuado quando o responsável pelo tratamento tiver avaliado a possibilidade de tais fins serem alcançados por um tipo de tratamento de dados pessoais que não permita ou tenha deixado de permitir a identificação dos titulares dos dados, na condição de existirem as garantias adequadas (como a pseudonimização dos dados pessoais). As instituições e os órgãos da União deverão prever, no direito da União e, eventualmente, em regras internas adotadas pelas instituições e pelos órgãos da União em matérias relacionadas com o seu funcionamento, as garantias apropriadas para o tratamento de dados pessoais para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos.

(34)

Deverão ser previstas regras para facilitar o exercício pelo titular dos dados dos direitos que lhe são conferidos ao abrigo do presente regulamento, incluindo procedimentos para solicitar e, se for o caso, para obter gratuitamente, em especial, o acesso a dados pessoais, a sua retificação ou o seu apagamento, e o exercício do direito de oposição. O responsável pelo tratamento deverá fornecer os meios necessários para que os pedidos possam ser apresentados por via eletrónica, em especial quando os dados sejam também tratados por essa via. O responsável pelo tratamento deverá ser obrigado a responder aos pedidos do titular dos dados sem demora indevida e, o mais tardar, no prazo de um mês, e fundamentar a sua eventual intenção de recusar o pedido.

(35)

Os princípios do tratamento leal e transparente exigem que o titular dos dados seja informado da operação de tratamento de dados e das suas finalidades. O responsável pelo tratamento deverá fornecer ao titular as informações adicionais necessárias para assegurar um tratamento leal e transparente tendo em conta as circunstâncias e o contexto específicos em que os dados pessoais são tratados. Além disso, o titular dos dados deverá ser informado da existência de uma definição de perfis e das suas consequências. Sempre que os dados pessoais forem recolhidos junto do titular dos dados, este deverá ser também informado da eventual obrigatoriedade de fornecer os dados pessoais e das consequências de não os facultar. Essas informações podem ser fornecidas em combinação com ícones normalizados a fim de dar, de modo facilmente visível, inteligível e claramente legível, uma panorâmica útil do tratamento previsto. Se forem apresentados por via eletrónica, os ícones deverão ser de leitura automática.

(36)

As informações sobre o tratamento de dados pessoais relativos ao titular dos dados deverão ser-lhe facultadas no momento da sua recolha junto do titular dos dados ou, se os dados pessoais tiverem sido obtidos a partir de outra fonte, num prazo razoável, consoante as circunstâncias. Sempre que os dados pessoais possam ser legitimamente comunicados a outro destinatário, o titular dos dados deverá ser informado aquando da primeira comunicação dos dados pessoais a esse destinatário. Sempre que o responsável pelo tratamento tiver a intenção de tratar os dados pessoais para uma finalidade diferente daquela para a qual tenham sido recolhidos, deverá facultar ao titular dos dados, antes desse tratamento, informações sobre tal finalidade e outras informações necessárias. Quando não for possível informar o titular dos dados da origem dos dados pessoais por se ter recorrido a várias fontes, deverão ser-lhe facultadas informações genéricas.

(37)

Os titulares dos dados deverão ter o direito de aceder aos dados pessoais recolhidos que lhes digam respeito e de exercer esse direito com facilidade e a intervalos razoáveis, a fim de tomar conhecimento e de verificar a licitude do seu tratamento. Tal inclui o direito de acederem a dados sobre a sua saúde, por exemplo os registos médicos contendo informações como diagnósticos, resultados de exames, avaliações dos médicos e eventuais tratamentos ou intervenções realizados. Cada titular de dados deverá, portanto, ter o direito de conhecer e ser informado, em especial das finalidades para as quais os dados pessoais são tratados, quando possível o período durante o qual os dados são tratados, a identidade dos destinatários dos dados pessoais, a lógica subjacente ao eventual tratamento automático dos dados pessoais e, pelo menos quando tiver por base a definição de perfis, as consequências de tal tratamento. Esse direito não deverá prejudicar os direitos ou as liberdades de terceiros, incluindo o segredo comercial ou a propriedade intelectual e, particularmente, o direito de autor que protege o software. Todavia, tais considerações não deverão implicar a recusa de fornecer ao titular dos dados todas as informações. Quando o responsável pelo tratamento proceder ao tratamento de grande quantidade de informação relativa ao titular dos dados, deverá poder solicitar que, antes de a informação ser fornecida, o titular especifique a que informações ou a que atividades de tratamento se refere o seu pedido.

(38)

Os titulares dos dados deverão ter direito a que os seus dados pessoais sejam retificados e o «direito a serem esquecidos» quando a conservação desses dados violar o presente regulamento ou o direito da União aplicável ao responsável pelo tratamento. Os titulares dos dados deverão ter direito a que os seus dados pessoais sejam apagados e deixem de ser objeto de tratamento se já não forem necessários para a finalidade para a qual foram recolhidos ou tratados, se o titular dos dados tiver retirado o seu consentimento ou se se opuser ao tratamento dos seus dados pessoais ou se o tratamento desses dados não respeitar o disposto no presente regulamento. Tal direito assume particular importância sempre que o titular dos dados tiver dado o seu consentimento quando era criança e não estava totalmente ciente dos riscos inerentes ao tratamento, e mais tarde pretenda suprimir esses dados pessoais, especialmente na Internet. O titular dos dados deverá ter a possibilidade de exercer esse direito independentemente do facto de já ser adulto. No entanto, o prolongamento do prazo de conservação dos dados pessoais deverá ser lícito quando se revele necessário para o exercício do direito da liberdade de expressão e informação, para o cumprimento de uma obrigação jurídica, para o exercício de funções de interesse público ou para o exercício da autoridade pública de que o responsável pelo tratamento está investido, por razões de interesse público no domínio da saúde pública, para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial.

(39)

Para reforçar o «direito a ser esquecido» no ambiente em linha, o direito de apagamento deverá ser alargado de modo a obrigar o responsável pelo tratamento que tenha tornado públicos os dados pessoais a informar os responsáveis que estejam a tratar esses dados pessoais de que devem suprimir as ligações para esses dados pessoais, e as cópias ou reproduções dos mesmos. Ao fazê-lo, esse responsável pelo tratamento deverá tomar medidas razoáveis, tendo em conta a tecnologia disponível e os meios ao seu dispor, incluindo medidas técnicas, para informar os responsáveis que estejam a tratar esses dados do pedido do titular dos dados pessoais.

(40)

Para limitar o tratamento de dados pessoais pode recorrer-se a métodos como a transferência temporária de determinados dados para outro sistema de tratamento, a indisponibilização do acesso a determinados dados pessoais por parte dos utilizadores, ou a retirada temporária de um sítio Web dos dados aí publicados. Nos ficheiros automatizados, as limitações do tratamento deverão, em princípio, ser asseguradas por meios técnicos, de modo a que os dados pessoais não sejam sujeitos a outras operações de tratamento e não possam ser alterados. Deverá indicar-se de forma clara no sistema que o tratamento dos dados pessoais se encontra sujeito a limitações.

(41)

Para reforçar o controlo sobre os seus próprios dados, sempre que o tratamento de dados pessoais for automatizado, o titular dos dados deverá ser igualmente autorizado a receber os dados pessoais que lhe digam respeito que tenha fornecido a um responsável pelo tratamento num formato estruturado, de uso corrente, de leitura automática e interoperável, e a transmiti-los a outro responsável pelo tratamento. Os responsáveis pelo tratamento de dados deverão ser encorajados a desenvolver formatos interoperáveis que permitam a portabilidade dos dados. Esse direito deverá aplicar-se também se o titular dos dados tiver fornecido os dados pessoais com base no seu consentimento ou se o tratamento for necessário para a execução de um contrato. Por conseguinte, esse direito não deverá ser aplicável quando o tratamento de dados pessoais for necessário para o cumprimento de uma obrigação jurídica à qual o responsável pelo tratamento esteja sujeito, para o exercício de funções de interesse público ou o exercício da autoridade pública de que esteja investido o responsável pelo tratamento. O direito do titular dos dados a transmitir ou receber dados pessoais que lhe digam respeito não deverá implicar para os responsáveis pelo tratamento a obrigação de adotar ou manter sistemas de tratamento que sejam tecnicamente compatíveis. Quando um determinado conjunto de dados pessoais diga respeito a mais de um titular, o direito de receber os dados pessoais não deverá prejudicar os direitos e as liberdades de outros titulares de dados nos termos do presente regulamento. Além disso, esse direito não deverá prejudicar o direito dos titulares dos dados a obter o apagamento dos dados pessoais, nem as limitações desse direito estabelecidas no presente regulamento, nem deverá implicar, nomeadamente, o apagamento dos dados pessoais relativos ao titular que este tenha fornecido para execução de um contrato, na medida em que e enquanto os dados pessoais sejam necessários para a execução do referido contrato. Sempre que seja tecnicamente possível, o titular dos dados deverá ter o direito a que os dados pessoais sejam transmitidos diretamente entre os responsáveis pelo tratamento.

(42)

No caso de um tratamento de dados pessoais lícito realizado por ser necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento, o titular dos dados não deverá deixar de ter o direito de se opor ao tratamento dos dados pessoais que digam respeito à sua situação específica. Deverá caber ao responsável pelo tratamento provar que os seus interesses legítimos e imperiosos prevalecem sobre os interesses ou os direitos e as liberdades fundamentais do titular dos dados.

(43)

O titular dos dados deverá ter o direito de não ficar sujeito a uma decisão, que pode incluir uma medida que avalie aspetos pessoais que lhe digam respeito, que se baseie exclusivamente no tratamento automatizado e que produza efeitos jurídicos que lhe digam respeito ou o afetem significativamente de modo similar, como práticas de recrutamento eletrónico sem intervenção humana. Esse tratamento inclui a definição de perfis mediante formas de tratamento automatizado de dados pessoais para avaliar aspetos pessoais relativos a uma pessoa singular, em especial a análise e a previsão de aspetos relacionados com o desempenho profissional, a situação económica, a saúde, as preferências ou os interesses pessoais, a fiabilidade ou o comportamento, a localização ou as deslocações do titular dos dados, quando produza efeitos jurídicos que digam respeito a essa pessoa singular ou a afetem significativamente de forma similar.

Contudo, a tomada de decisões com base nesse tratamento, incluindo a definição de perfis, deverá ser permitida se for expressamente autorizada pelo direito da União. Em qualquer dos casos, tal tratamento deverá ser acompanhado das garantias adequadas, que deverão incluir a informação específica ao titular dos dados e o direito de obter a intervenção humana, de manifestar o seu ponto de vista, de obter uma explicação sobre a decisão tomada na sequência dessa avaliação e de contestar a decisão. Essa medida não deverá dizer respeito a uma criança. A fim de assegurar um tratamento leal e transparente no que diz respeito ao titular dos dados, tendo em conta a especificidade das circunstâncias e o contexto em que os dados pessoais são tratados, o responsável pelo tratamento deverá utilizar procedimentos matemáticos e estatísticos adequados à definição de perfis, aplicar medidas técnicas e organizativas que garantam designadamente que os fatores que introduzem imprecisões nos dados pessoais sejam corrigidos e que o risco de erros seja minimizado, proteger os dados pessoais de modo a ter em conta os riscos potenciais para os interesses e direitos do titular dos dados, prevenir, por exemplo, efeitos discriminatórios contra pessoas singulares em razão da sua origem racial ou étnica, opiniões políticas, religião ou convicções, filiação sindical, estado genético ou de saúde ou orientação sexual, ou o tratamento que se traduza em medidas que venham a ter tais efeitos. O processo automatizado de tomada de decisões e a definição de perfis baseada em categorias especiais de dados pessoais só deverão ser permitidos em condições específicas.

(44)

Os atos normativos adotados com base nos Tratados ou as regras internas adotadas pelas instituições e pelos órgãos da União em matérias relacionadas com o seu funcionamento podem impor limitações relativas a princípios específicos e aos direitos de informação, acesso e retificação ou apagamento de dados pessoais, ao direito à portabilidade dos dados, à confidencialidade dos dados das comunicações eletrónicas, bem como à comunicação de uma violação de dados pessoais ao titular dos dados e a determinadas obrigações conexas dos responsáveis pelo tratamento, desde que tais limitações sejam necessárias e proporcionadas numa sociedade democrática, para salvaguardar a segurança pública e para a prevenção, a investigação e a repressão de infrações penais, ou para a execução de sanções penais. Tal inclui a salvaguarda e a prevenção de ameaças à segurança pública, a proteção da vida humana, especialmente em resposta a catástrofes naturais ou provocadas pelo homem, a segurança interna das instituições e dos órgãos da União, outros objetivos importantes de interesse público geral da União ou de um Estado-Membro, nomeadamente os objetivos da política externa e de segurança comum da União ou um interesse económico ou financeiro importante da União ou de um Estado-Membro, e a conservação de registos públicos por motivos de interesse público geral ou de defesa do titular dos dados ou dos direitos e das liberdades de terceiros, incluindo a proteção social, a saúde pública e os fins humanitários.

(45)

A responsabilidade do responsável pelo tratamento deverá ser estabelecida em relação ao tratamento de dados pessoais realizado por si ou por sua conta. Em especial, o responsável pelo tratamento deverá ser obrigado a executar as medidas que forem adequadas e eficazes e ser capaz de demonstrar a conformidade das atividades de tratamento com o presente regulamento, incluindo a eficácia das medidas. Essas medidas deverão ter em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como o risco que possa implicar para os direitos e as liberdades das pessoas singulares.

(46)

Os riscos para os direitos e as liberdades das pessoas singulares, de probabilidade e gravidade variar, podem resultar de operações de tratamento de dados pessoais suscetíveis de causar danos físicos, materiais ou imateriais, em especial: quando o tratamento possa implicar discriminação, usurpação ou roubo da identidade, perdas financeiras, prejuízo para a reputação, perda de confidencialidade dose dados pessoais protegidos por sigilo profissional, decifração não autorizada da pseudonimização, ou qualquer outro prejuízo significativo de natureza económica ou social; quando os titulares dos dados possam ficar privados dos seus direitos e liberdades ou impedidos do exercício do controlo sobre os respetivos dados pessoais; quando forem tratados dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas e a filiação sindical, bem como dados genéticos ou dados relativos à saúde ou à vida sexual ou a condenações penais e infrações ou medidas de segurança conexas; quando forem avaliados aspetos de natureza pessoal, em particular análises ou previsões de aspetos que digam respeito ao desempenho no trabalho, à situação económica, à saúde, às preferências ou interesses pessoais, à fiabilidade ou comportamento e à localização ou às deslocações das pessoas, a fim de definir ou fazer uso de perfis; quando forem tratados dados relativos a pessoas singulares vulneráveis, em particular crianças; ou quando o tratamento incidir sobre uma grande quantidade de dados pessoais e afetar um grande número de titulares de dados.

(47)

A probabilidade e a gravidade dos riscos para os direitos e as liberdades do titular dos dados deverão ser determinadas por referência à natureza, ao âmbito, ao contexto e às finalidades do tratamento. Os riscos deverão ser aferidos com base numa avaliação objetiva, que determine se as operações de tratamento de dados implicam um risco ou um risco elevado.

(48)

A proteção dos direitos e das liberdades das pessoas singulares relativamente ao tratamento dos seus dados pessoais exige a adoção de medidas técnicas e organizativas adequadas, a fim de assegurar o cumprimento dos requisitos do presente regulamento. Para poder demonstrar a conformidade com o presente regulamento, o responsável pelo tratamento deverá adotar orientações internas e aplicar medidas que respeitem, em especial, os princípios da proteção de dados desde a conceção e da proteção de dados por defeito. Tais medidas poderão incluir a minimização do tratamento de dados pessoais, a pseudonimização de dados pessoais o mais cedo possível, a transparência no que toca às funções e ao tratamento de dados pessoais, a possibilidade de o titular dos dados controlar o tratamento de dados e a possibilidade de o responsável pelo tratamento criar e melhorar medidas de segurança. Os princípios de proteção de dados desde a conceção e, por defeito, deverão também ser tomados em consideração no contexto dos contratos públicos.

(49)

O Regulamento (UE) 2016/679 prevê que os responsáveis pelo tratamento demonstrem a conformidade mediante o cumprimento de procedimentos de certificação aprovados. Do mesmo modo, as instituições e os órgãos da União deverão poder demonstrar a conformidade com o presente regulamento mediante a obtenção de uma certificação nos termos do artigo 42.o do Regulamento (UE) 2016/679.

(50)

A proteção dos direitos e das liberdades dos titulares de dados, bem como a responsabilidade dos responsáveis pelo tratamento e dos subcontratantes, exige uma clara repartição das responsabilidades nos termos do presente regulamento, nomeadamente quando o responsável pelo tratamento determina as finalidades e os meios do tratamento conjuntamente com outros responsáveis, ou quando uma operação de tratamento é efetuada por conta de um responsável pelo tratamento.

(51)

Para assegurar o cumprimento do presente regulamento no que se refere ao tratamento a efetuar pelo subcontratante por conta do responsável pelo tratamento, este, quando confiar atividades de tratamento a um subcontratante, deverá recorrer exclusivamente a subcontratantes que ofereçam garantias suficientes, especialmente em termos de conhecimentos especializados, fiabilidade e recursos, quanto à execução de medidas técnicas e organizativas que cumpram os requisitos do presente regulamento, incluindo no que se refere à segurança do tratamento. A aplicação por subcontratantes que não sejam instituições ou órgãos da União de um código de conduta aprovado ou de um mecanismo de certificação aprovado pode ser utilizada como elemento para demonstrar o cumprimento das obrigações do responsável pelo tratamento. A realização de operações de tratamento de dados por um subcontratante que não seja uma instituição ou órgão da União deverá ser regulada por um contrato, ou, no caso de instituições e órgãos da União que atuem como subcontratantes, por um contrato ou por outro ato normativo ao abrigo do direito da União que vincule o subcontratante ao responsável pelo tratamento, e em que seja estabelecido o objeto e a duração do contrato, a natureza e as finalidades do tratamento, o tipo de dados pessoais e as categorias de titulares dos dados, tendo em conta as funções e as responsabilidades específicas do subcontratante no contexto do tratamento a realizar e o risco em relação aos direitos e às liberdades do titular dos dados. O responsável pelo tratamento e o subcontratante deverão poder optar por um contrato individual ou por cláusulas contratuais-tipo adotadas diretamente pela Comissão, ou pela Autoridade Europeia para a Proteção de Dados e posteriormente pela Comissão. Uma vez concluído o tratamento por conta do responsável pelo tratamento, o subcontratante deverá devolver ou apagar os dados pessoais, consoante a escolha do responsável pelo tratamento, a não ser que a conservação desses dados pessoais seja exigida ao abrigo do direito da União ou do direito do Estado-Membro a que o subcontratante está sujeito.

(52)

A fim de demonstrar a observância do presente regulamento, os responsáveis pelo tratamento deverão conservar um registo das atividades de tratamento sob a sua responsabilidade e os subcontratantes deverão conservar um registo das categorias de atividades de tratamento sob a sua responsabilidade. As instituições e os órgãos da União deverão ser obrigados a cooperar com a Autoridade Europeia para a Proteção de Dados e a facultar-lhe esses registos, mediante pedido, para fiscalização dessas operações de tratamento. A não ser que tal não seja adequado devido à dimensão da instituição ou do órgão da União, as instituições e os órgãos da União deverão ter condições para estabelecer um registo central dos registos das suas atividades de tratamento. Por motivos de transparência, as instituições e os órgãos da União deverão poder igualmente tornar esse registo público.

(53)

A fim de preservar a segurança e evitar o tratamento em violação do presente regulamento, o responsável pelo tratamento, ou o subcontratante, deverá avaliar os riscos que o tratamento implica e aplicar medidas que os atenuem, como a cifragem. Essas medidas deverão garantir um nível de segurança adequado, nomeadamente a confidencialidade, tendo em conta as técnicas mais avançadas e os custos da sua aplicação em função dos riscos e da natureza dos dados pessoais a proteger. Ao avaliar os riscos para a segurança dos dados, deverão ser tidos em conta os riscos apresentados pelo tratamento dos dados pessoais, tais como a destruição, a perda e a alteração acidentais ou ilícitas, e a divulgação ou o acesso não autorizados a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento, riscos esses que podem dar azo, em particular, a danos físicos, materiais ou imateriais.

(54)

As instituições e os órgãos da União deverão garantir a confidencialidade das comunicações eletrónicas prevista no artigo 7.o da Carta. Em especial, as instituições e os órgãos da União deverão garantir a segurança das suas redes de comunicações eletrónicas. As instituições e os órgãos da União deverão proteger as informações relativas ao equipamento terminal dos utilizadores que acedem aos seus sítios Web e às aplicações móveis acessíveis ao público nos termos da Diretiva 2002/58/CE do Parlamento Europeu e do Conselho (8). As instituições e os órgãos da União deverão também proteger os dados pessoais conservados em listas de utilizadores.

(55)

Se não forem adotadas medidas adequadas e oportunas, a violação de dados pessoais pode causar danos físicos, materiais ou imateriais às pessoas singulares. Por conseguinte, logo que o responsável pelo tratamento tenha conhecimento de uma violação de dados pessoais, deverá notificá-la à Autoridade Europeia para a Proteção de Dados, sem demora indevida e, sempre que possível, no prazo de 72 horas após ter tido conhecimento do ocorrido, a não ser que seja capaz de demonstrar, em conformidade com o princípio da responsabilidade, que essa violação não é suscetível de implicar um risco para os direitos e as liberdades das pessoas singulares. Se não for possível efetuar essa notificação no prazo de 72 horas, a notificação deverá ser acompanhada dos motivos do atraso, e as informações poderão ser fornecidas por fases, sem demora indevida. Se esse atraso for justificado, as informações menos sensíveis ou menos específicas sobre a violação deverão ser comunicadas o mais cedo possível, em vez de se resolver totalmente o incidente subjacente antes de efetuar a notificação.

(56)

O responsável pelo tratamento deverá comunicar a violação de dados pessoais ao titular dos dados sem demora indevida, quando for provável que essa violação implique um elevado risco para os direitos e as liberdades da pessoa singular, a fim de lhe permitir tomar as precauções necessárias. A comunicação deverá descrever a natureza da violação dos dados pessoais e dirigir recomendações à pessoa singular em causa para atenuar potenciais efeitos adversos. Essa comunicação aos titulares dos dados deverá ser efetuada logo que seja razoavelmente possível, em estreita cooperação com a Autoridade Europeia para a Proteção de Dados, e em cumprimento das orientações fornecidas por esta ou por outras autoridades competentes, como as autoridades com funções coercivas.

(57)

O Regulamento (CE) n.o 45/2001 prevê uma obrigação geral do responsável pelo tratamento de notificar o tratamento dos dados pessoais ao encarregado da proteção de dados. A não ser que tal não seja adequado devido à dimensão da instituição ou do órgão da União, o encarregado da proteção de dados deve conservar um registo das operações de tratamento notificadas. Além desta obrigação geral, deverão ser estabelecidos procedimentos e mecanismos eficazes para controlar as operações de tratamento suscetíveis de implicar um risco elevado para os direitos e as liberdades das pessoas singulares, devido à natureza, ao âmbito, ao contexto e às finalidades de tais operações. Esses procedimentos deverão ser também aplicados, nomeadamente, caso os tipos de operações de tratamento envolvam a utilização de novas tecnologias, ou pertençam a um novo tipo em relação ao qual nenhuma avaliação de impacto relativa à proteção de dados tenha sido previamente efetuada pelo responsável pelo tratamento, ou se tenham tornado necessários à luz do período decorrido desde o tratamento inicial. Nesses casos, o responsável pelo tratamento deverá proceder, antes do tratamento, a uma avaliação de impacto relativa à proteção de dados, a fim de avaliar a probabilidade ou gravidade particulares do elevado risco, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento e as fontes do risco. Essa avaliação do impacto deverá incluir, nomeadamente, as medidas, as garantias e os procedimentos previstos para atenuar esse risco, assegurar a proteção dos dados pessoais e comprovar a observância do presente regulamento.

(58)

Caso uma avaliação de impacto relativa à proteção de dados indique que o tratamento, na falta de garantias e de medidas e procedimentos de segurança para atenuar os riscos, implica um elevado risco para os direitos e as liberdades das pessoas singulares, e o responsável pelo tratamento considere que o risco não poderá ser atenuado através de medidas razoáveis, tendo em conta as tecnologias disponíveis e os custos de aplicação, a Autoridade Europeia para a Proteção de Dados deverá ser consultada antes de se iniciarem as atividades de tratamento. Esse elevado risco pode resultar de determinados tipos de tratamento, bem como da sua extensão e da sua frequência, os quais podem provocar também danos ou interferências nos direitos e nas liberdades da pessoa singular. A Autoridade Europeia para a Proteção de Dados deverá responder ao pedido de consulta num prazo determinado. Contudo, a falta de reação da Autoridade Europeia para a Proteção de Dados nesse prazo não deverá prejudicar a sua intervenção de acordo com as atribuições e os poderes que lhe são conferidos pelo presente regulamento, incluindo o poder de proibir certas operações de tratamento de dados. No âmbito desse processo de consulta, o resultado de uma avaliação de impacto relativa à proteção de dados efetuada quanto ao tratamento em questão deverá poder ser apresentado à Autoridade Europeia para a Proteção de Dados, em especial as medidas previstas para atenuar o risco para os direitos e as liberdades das pessoas singulares.

(59)

A Autoridade Europeia para a Proteção de Dados deverá ser informada das medidas administrativas e consultada sobre as regras internas adotadas pelas instituições e pelos órgãos da União em matérias relacionadas com o seu funcionamento quando preveem o tratamento de dados pessoais, quando estabelecem condições para as limitações dos direitos dos titulares dos dados ou quando conferem garantias adequadas para os direitos dos titulares dos dados, de forma a assegurar a conformidade do tratamento previsto com o presente regulamento e, nomeadamente, no que se refere à atenuação dos riscos para os titulares dos dados.

(60)

O Regulamento (UE) 2016/679 criou o Comité Europeu para a Proteção de Dados como um organismo independente da União com personalidade jurídica. O Comité deverá contribuir para a aplicação coerente do Regulamento (UE) 2016/679 e da Diretiva (UE) 2016/680 em toda a União, e igualmente o aconselhamento da Comissão. Simultaneamente, a Autoridade Europeia para a Proteção de Dados deverá continuar a exercer as suas funções de supervisão e as suas funções consultivas relativamente a todas as instituições e órgãos da União, por iniciativa própria ou mediante pedido. A fim de assegurar a coerência das regras de proteção de dados em toda a União, quando a Comissão elaborar propostas ou recomendações, deverá esforçar-se por consultar a Autoridade Europeia para a Proteção de Dados. Essa consulta deverá ser obrigatória após a adoção de atos legislativos ou durante a elaboração de atos delegados e de atos de execução, conforme definido nos artigos 289.o, 290.o e 291.o do TFUE, e após a adoção de recomendações e de propostas relativas a acordos com países terceiros e com organizações internacionais, tal como previsto no artigo 218.o do TFUE, com impacto no direito à proteção de dados pessoais. Nesses casos, a Comissão deverá ser obrigada a consultar a Autoridade Europeia para a Proteção de Dados, exceto nos casos em que o Regulamento (UE) 2016/679 preveja a consulta obrigatória do Comité Europeu para a Proteção de Dados, por exemplo, sobre decisões de adequação ou atos delegados relativos a ícones normalizados e requisitos aplicáveis aos procedimentos de certificação. Sempre que o ato em questão for particularmente importante para a proteção dos direitos e das liberdades das pessoas singulares no que diz respeito ao tratamento de dados pessoais, a Comissão deverá ainda poder consultar o Comité Europeu para a Proteção de Dados. Nesses casos, a Autoridade Europeia para a Proteção de Dados, enquanto membro do Comité Europeu para a Proteção de Dados, deverá coordenar o seu trabalho com o Comité tendo em vista a emissão de um parecer comum. A Autoridade Europeia para a Proteção de Dados e, se aplicável, o Comité Europeu para a Proteção de Dados, deverão emitir o seu parecer por escrito no prazo de oito semanas. Tal prazo deverá ser mais curto em casos urgentes, ou sempre que necessário, por exemplo, quando a Comissão estiver a elaborar atos delegados ou de execução.

(61)

Nos termos do artigo 75.o do Regulamento (UE) 2016/679, a Autoridade Europeia para a Proteção de Dados deverá assegurar o secretariado do Comité Europeu para a Proteção de Dados.

(62)

Em todas as instituições e órgãos da União, um encarregado da proteção de dados deverá assegurar que as disposições do presente regulamento sejam aplicadas, e aconselhar os responsáveis pelo tratamento e os subcontratantes no cumprimento das suas obrigações. Esse encarregado deverá ser uma pessoa com conhecimentos especializados sobre a legislação e as práticas em matéria de proteção de dados, que deverão ser determinados, em particular, em função das operações de tratamento de dados realizadas pelo responsável pelo tratamento ou pelo subcontratante e da proteção exigida para os dados pessoais em causa. Esses encarregados da proteção de dados deverão poder desempenhar as suas funções e cumprir os seus deveres de forma independente.

(63)

Quando os dados pessoais são transferidos das instituições e órgãos da União para responsáveis pelo tratamento, subcontratantes ou outros destinatários em países terceiros, ou para organizações internacionais, deverá ser garantido o nível de proteção das pessoas singulares assegurado na União pelo presente regulamento. Deverão aplicar-se as mesmas garantias nos casos de posterior transferência de dados pessoais do país terceiro ou da organização internacional para responsáveis pelo tratamento ou subcontratantes desse ou de outro país terceiro, ou dessa ou de outra organização internacional. Em todo o caso, as transferências para países terceiros e organizações internacionais só podem ser efetuadas no pleno respeito pelo presente regulamento e pelos direitos e liberdades fundamentais consagrados na Carta. Só poderão ser realizadas transferências se, sob reserva das demais disposições do presente regulamento, as condições constantes das disposições do presente regulamento relativas às transferências de dados pessoais para países terceiros e para organizações internacionais forem cumpridas pelo responsável pelo tratamento ou pelo subcontratante.

(64)

A Comissão pode decidir, nos termos do artigo 45.o do Regulamento (UE) 2016/679 ou do artigo 36.o da Diretiva (UE) 2016/680, que um país terceiro, um território ou um setor específico de um país terceiro, ou uma organização internacional, assegurem um nível adequado de proteção de dados. Nesses casos, as instituições ou os órgãos da União podem realizar transferências de dados pessoais para esse país ou para essa organização internacional sem que para tal seja necessária qualquer outra autorização.

(65)

Na falta de uma decisão de adequação, o responsável pelo tratamento ou o subcontratante deverá tomar as medidas necessárias para colmatar a insuficiência da proteção de dados no país terceiro, dando para tal garantias adequadas ao titular dos dados. Tais garantias adequadas podem consistir no recurso a cláusulas-tipo de proteção de dados adotadas pela Comissão, cláusulas-tipo de proteção de dados adotadas pela Autoridade Europeia para a Proteção de Dados ou cláusulas contratuais autorizadas por esta autoridade. Nos casos em que o subcontratante não seja uma instituição ou um órgão da União, essas garantias adequadas podem igualmente consistir em regras vinculativas aplicáveis às empresas, códigos de conduta e mecanismos de certificação utilizados para transferências internacionais ao abrigo do Regulamento (UE) 2016/679. Tais garantias deverão assegurar o cumprimento dos requisitos relativos à proteção de dados e o respeito pelos direitos dos titulares dos dados adequados ao tratamento dos dados no território da União, incluindo a atribuição de direitos oponíveis ao titular de dados e a existência de vias de recurso eficazes, nomeadamente o direito de recurso administrativo ou judicial e o direito à indemnização, na União ou num país terceiro. As garantias deverão estar relacionadas, em especial, com o respeito pelos princípios gerais relativos ao tratamento de dados pessoais e pelos princípios de proteção de dados desde a conceção e por defeito. Também podem ser efetuadas transferências por instituições e órgãos da União para autoridades ou organismos públicos em países terceiros ou para organizações internacionais que tenham deveres e funções correspondentes, nomeadamente com base em disposições a inserir no regime administrativo, por exemplo um memorando de entendimento, que prevejam a existência de direitos efetivos e oponíveis dos titulares dos dados. Deverá ser obtida a autorização da Autoridade Europeia para a Proteção de Dados quando as garantias previstas em regimes administrativos não forem juridicamente vinculativas.

(66)

A possibilidade de o responsável pelo tratamento ou o subcontratante recorrerem a cláusulas-tipo de proteção de dados adotadas pela Comissão ou pela Autoridade Europeia para a Proteção de Dados não deverá impedi-los de incluir tais cláusulas num contrato mais abrangente, como um contrato entre o subcontratante e outro subcontratante, nem de acrescentar outras cláusulas ou garantias adicionais, desde que não colidam, direta ou indiretamente, com as cláusulas contratuais-tipo adotadas pela Comissão ou pela Autoridade Europeia para a Proteção de Dados, e sem prejuízo dos direitos e das liberdades fundamentais dos titulares dos dados. Os responsáveis pelo tratamento e os subcontratantes deverão ser encorajados a apresentar garantias suplementares através de compromissos contratuais que complementem as cláusulas-tipo de proteção de dados.

(67)

Alguns países terceiros aprovam leis, regulamentos e outros atos jurídicos destinados a regular diretamente as atividades de tratamento pelas instituições e pelos órgãos da União. Pode ser o caso de sentenças de órgãos jurisdicionais ou de decisões de autoridades administrativas de países terceiros que exijam que o responsável pelo tratamento ou o subcontratante transfiram ou divulguem dados pessoais sem fundamento num acordo internacional em vigor entre o país terceiro em causa e a União. Em virtude da sua aplicabilidade extraterritorial, essas leis, regulamentos e outros atos jurídicos podem violar o direito internacional e obstar à realização do objetivo de proteção das pessoas singulares, assegurado na União pelo presente regulamento. As transferências só deverão ser autorizadas quando estiverem preenchidas as condições estabelecidas pelo presente regulamento para as transferências para países terceiros. Pode ser esse o caso, nomeadamente, sempre que a divulgação for necessária por um motivo importante de interesse público, reconhecido pelo direito da União.

(68)

Deverá prever-se a possibilidade de efetuar transferências em situações específicas em que o titular dos dados dê o seu consentimento explícito, em que a transferência seja ocasional e necessária em relação a um contrato ou a um contencioso judicial, independentemente de se tratar de um processo judicial, de um procedimento administrativo ou de um procedimento não judicial, incluindo procedimentos junto de organismos de regulação. Deverá também prever-se a possibilidade de efetuar transferências por motivos importantes de interesse público previstos pelo direito da União, ou se a transferência for efetuada a partir de um registo criado por lei e destinado à consulta do público ou de pessoas com um interesse legítimo. Neste último caso, a transferência não deverá abranger a totalidade dos dados pessoais nem categorias completas de dados pessoais contidos nesse registo, a não ser que tal seja autorizado pelo direito da União, e, quando o registo se destinar a ser consultado por pessoas com um interesse legítimo, a transferência só deverá ser efetuada a pedido dessas pessoas ou, caso estas sejam os destinatários, tendo plenamente em conta os interesses e os direitos fundamentais do titular dos dados.

(69)

Essas derrogações deverão ser aplicáveis, em especial, às transferências de dados exigidas e necessárias por razões importantes de interesse público, nomeadamente em caso de intercâmbio internacional de dados entre instituições e órgãos da União e autoridades da concorrência, administrações fiscais ou aduaneiras, autoridades de supervisão financeira e serviços competentes em matéria de segurança social ou de saúde pública, por exemplo em caso de localização de contactos por doenças contagiosas ou para reduzir e/ou eliminar a dopagem no desporto. Deverão igualmente ser consideradas lícitas as transferências de dados pessoais que sejam necessárias para a proteção de um interesse essencial para os interesses vitais do titular dos dados ou de outra pessoa, nomeadamente a integridade física ou a vida, se o titular dos dados estiver impossibilitado de dar o seu consentimento. Na falta de uma decisão de adequação, o direito da União pode estabelecer expressamente, por razões importantes de interesse público, limites à transferência de categorias específicas de dados para países terceiros ou organizações internacionais. As transferências para uma organização humanitária internacional de dados pessoais de um titular que seja física ou legalmente incapaz de dar o seu consentimento, com vista ao desempenho de missões ao abrigo das Convenções de Genebra, ou para cumprir o direito internacional humanitário aplicável aos conflitos armados, poderão ser consideradas necessárias por uma razão importante de interesse público ou por serem do interesse vital do titular dos dados.

(70)

Em qualquer caso, se a Comissão não tiver tomado uma decisão relativamente ao nível adequado de proteção de dados num determinado país terceiro, o responsável pelo tratamento ou o subcontratante deverá adotar soluções que confiram aos titulares dos dados direitos efetivos e oponíveis quanto ao tratamento dos seus dados na União, após a transferência dos mesmos, que lhes garantam que continuarão a beneficiar dos direitos e das garantias fundamentais.

(71)

No caso de transferências transnacionais de dados pessoais para fora do território da União, o risco de que as pessoas singulares não possam exercer os seus direitos à proteção de dados, nomeadamente para se protegerem da utilização ou da divulgação ilícitas dessas informações, aumenta. Paralelamente, as autoridades nacionais de controlo, incluindo a Autoridade Europeia para a Proteção de Dados, podem não conseguir dar seguimento a reclamações ou realizar investigações relacionadas com atividades exercidas fora das suas fronteiras. Os seus esforços para colaborar no contexto transfronteiriço podem ser também restringidos por poderes preventivos ou de reparação insuficientes, por regimes jurídicos incoerentes e por obstáculos práticos, tais como a limitação de recursos. Por conseguinte, deverá ser promovida uma cooperação mais estreita entre a Autoridade Europeia para a Proteção de Dados e as autoridades nacionais de controlo, a fim de facilitar o intercâmbio de informações com as suas homólogas internacionais.

(72)

A criação pelo Regulamento (CE) n.o 45/2001 da Autoridade Europeia para a Proteção de Dados, que está habilitada a desempenhar as suas funções e a exercer os seus poderes com total independência, constitui um elemento essencial da proteção das pessoas singulares no que diz respeito ao tratamento dos seus dados pessoais. O presente regulamento deverá reforçar e clarificar o seu papel e a sua independência. A Autoridade Europeia para a Proteção de Dados deverá ser uma pessoa que ofereça todas as garantias de independência e que disponha reconhecidamente da experiência e da competência necessárias para o desempenho das funções de Autoridade Europeia para a Proteção de Dados, por exemplo, por ter pertencido às autoridades de controlo criadas ao abrigo do artigo 51.o do Regulamento (UE) 2016/679.

(73)

A fim de assegurar o controlo e a aplicação coerentes das regras de proteção de dados em toda a União, a Autoridade Europeia para a Proteção de Dados tem as mesmas funções e os mesmos poderes efetivos que as autoridades nacionais de controlo, incluindo poderes de investigação, poderes de correção e poderes sancionatórios, e poderes consultivos e de autorização, nomeadamente em caso de reclamações apresentadas por pessoas singulares, poderes para submeter as violações do presente regulamento à apreciação do Tribunal de Justiça e poderes para intentar processos judiciais, em conformidade com o direito primário. Esses poderes deverão incluir o poder de impor uma limitação temporária ou definitiva do tratamento, ou mesmo a sua proibição. A fim de evitar custos supérfluos e inconvenientes excessivos para as pessoas em causa que possam ser prejudicadas, as medidas da Autoridade Europeia para a Proteção de Dados deverão ser adequadas, necessárias e proporcionadas a fim de garantir a conformidade com o presente regulamento, deverão ter em conta as circunstâncias de cada caso concreto e deverão respeitar o direito de todas as pessoas a serem ouvidas antes de serem tomadas. As medidas juridicamente vinculativas da Autoridade Europeia para a Proteção de Dados deverão ser emitidas por escrito, ser claras e inequívocas, indicar a data de emissão, ostentar a assinatura da Autoridade Europeia para a Proteção de Dados, indicar os motivos que as justificam e mencionar o direito de recurso efetivo.

(74)

A competência de controlo da Autoridade Europeia para a Proteção de Dados não deverá abranger o tratamento de dados pessoais efetuado pelo Tribunal de Justiça quando este atue no exercício dos seus poderes jurisdicionais, a fim de assegurar a independência do Tribunal de Justiça no exercício da sua função jurisdicional, nomeadamente a tomada de decisões. Em relação a essas operações de tratamento, o Tribunal de Justiça deverá estabelecer um controlo independente, nos termos do artigo 8.o, n.o 3, da Carta, por exemplo, através de um mecanismo interno.

(75)

As decisões da Autoridade Europeia para a Proteção da Dados relacionadas com exceções, garantias, autorizações e condições relativas a certos tratamentos de dados, tal como definidas no presente regulamento, deverão ser publicadas no relatório de atividades. Independentemente da publicação anual de um relatório de atividades, a Autoridade Europeia para a Proteção da Dados poderá publicar relatórios sobre questões específicas.

(76)

A Autoridade Europeia para a Proteção da Dados deverá cumprir o disposto no Regulamento (CE) n.o 1049/2001 do Parlamento Europeu e do Conselho (9).

(77)

As autoridades nacionais de controlo controlam a aplicação das disposições do Regulamento (UE) 2016/679 e contribuem para a sua aplicação coerente em toda a União, a fim de proteger as pessoas singulares no que diz respeito ao tratamento dos seus dados pessoais e facilitar a livre circulação desses dados a nível do mercado interno. Para reforçar a coerência na aplicação das regras de proteção de dados aplicáveis nos Estados-Membros e das regras de proteção de dados aplicáveis às instituições e aos órgãos da União, a Autoridade Europeia para a Proteção de Dados deverá cooperar de modo eficaz com as autoridades nacionais de controlo.

(78)

Em determinadas situações, o direito da União prevê um modelo de controlo coordenado, partilhado entre a Autoridade Europeia para a Proteção de Dados e as autoridades nacionais de controlo. A Autoridade Europeia para a Proteção da Dados é igualmente a autoridade de controlo da Europol e, para esse efeito, foi estabelecido um modelo de cooperação específico com as autoridades nacionais de controlo através da criação de um conselho de cooperação com uma função consultiva. Para melhorar o controlo efetivo e a aplicação de regras materiais de proteção de dados, deverá ser introduzido na União um modelo único e coerente de controlo coordenado. A Comissão deverá, portanto, apresentar propostas legislativas, quando apropriado, tendo em vista alterar os atos normativos da União que prevejam um modelo de controlo coordenado, a fim de os alinhar pelo modelo de controlo coordenado do presente regulamento. O Comité Europeu para a Proteção de Dados deverá ser uma instância única para garantir a eficácia do controlo coordenado.

(79)

Os titulares dos dados deverão ter o direito de apresentar reclamações à Autoridade Europeia para a Proteção de Dados e o direito de intentar uma ação judicial junto do Tribunal de Justiça, nos termos dos Tratados, se considerarem que os direitos que lhes são conferidos pelo presente regulamento foram violados ou se a Autoridade Europeia para a Proteção de Dados não responder a uma reclamação, a recusar ou a rejeitar, total ou parcialmente, ou não tomar as medidas necessárias para proteger os seus direitos. A investigação decorrente de uma reclamação deverá ser realizada, sob reserva de controlo jurisdicional, na medida adequada ao caso específico. A Autoridade Europeia para a Proteção de Dados deverá informar o titular dos dados da evolução e do resultado da reclamação num prazo razoável. Se o caso exigir a coordenação com outra autoridade nacional de controlo, deverão ser fornecidas informações intercalares ao titular dos dados. A Autoridade Europeia para a Proteção de Dados deverá tomar medidas para facilitar a apresentação de reclamações, nomeadamente fornecendo formulários de reclamação que possam também ser preenchidos eletronicamente, sem excluir outros meios de comunicação.

(80)

As pessoas que tenham sofrido danos materiais ou imateriais devido a uma violação do presente regulamento deverão ter o direito a receber uma indemnização do responsável pelo tratamento ou do subcontratante pelos danos sofridos, nas condições previstas nos Tratados.

(81)

A fim de reforçar o papel de controlo da Autoridade Europeia para a Proteção de Dados e a aplicação efetiva do presente regulamento, a referida autoridade deverá, como medida de último recurso, ter competência para impor coimas. Tais coimas deverão ter por objetivo sancionar a instituição ou o órgão da União — e não pessoas singulares — pela inobservância do presente regulamento, impedir futuras violações do mesmo e promover uma cultura de proteção de dados pessoais no âmbito das instituições e dos órgãos da União. O presente regulamento deverá indicar as infrações sujeitas a coimas, bem como os montantes máximos e os critérios para definir as coimas delas decorrentes. A Autoridade Europeia para a Proteção de Dados deverá determinar o montante máximo da coima em cada caso concreto, tendo em conta todas as circunstâncias relevantes da situação específica, ponderando devidamente a natureza, a gravidade e a duração da infração e as suas consequências, bem como as medidas adotadas para garantir o cumprimento das obrigações constantes do presente regulamento e para prevenir ou atenuar as consequências dessa infração. Aquando da aplicação de uma coima a uma instituição ou a um órgão da União, a Autoridade Europeia para a Proteção de Dados deverá ter em conta a proporcionalidade do montante da coima. O procedimento administrativo para a aplicação de coimas a instituições e órgãos da União deverá respeitar os princípios gerais do direito da União, tal como interpretados pelo Tribunal de Justiça.

(82)

Se o titular dos dados considerar que os direitos que lhe são conferidos pelo presente regulamento foram violados, deverá ter o direito de mandatar um organismo, uma organização ou uma associação sem fins lucrativos que seja constituído ao abrigo do direito da União ou do direito de um Estado-Membro, cujos objetivos estatutários sejam de interesse público e que exerça a sua atividade no domínio da proteção dos dados pessoais, para apresentar uma reclamação em seu nome junto da Autoridade Europeia para a Proteção de Dados. Tal organismo, organização ou associação deverá também poder exercer o direito de intentar ações judiciais ou de obter uma indemnização em nome dos titulares dos dados.

(83)

Os funcionários ou outros agentes da União que não cumpram as obrigações decorrentes do presente regulamento deverão ser passíveis de sanções disciplinares ou de outras medidas, nos termos das regras e dos procedimentos estabelecidos no Estatuto dos Funcionários da União Europeia e do Regime Aplicável aos Outros Agentes da União Europeia, constante do Regulamento (CEE, Euratom, CECA) n.o 259/68 do Conselho (10) («Estatuto dos Funcionários»).

(84)

A fim de assegurar condições uniformes para a execução do presente regulamento, deverão ser atribuídas competências de execução à Comissão. Essas competências deverão ser exercidas nos termos do Regulamento (UE) n.o 182/2011 do Parlamento Europeu e do Conselho (11). O procedimento de exame deverá ser utilizado para a adoção de cláusulas contratuais-tipo entre os responsáveis pelo tratamento e os subcontratantes, e entre os subcontratantes, para a adoção de uma lista das operações de tratamento que requerem a consulta prévia da Autoridade Europeia para a Proteção de Dados pelos responsáveis pelo tratamento de dados pessoais para a execução de uma missão de interesse público e para a adoção de cláusulas contratuais-tipo que estabelecem as garantias adequadas para transferências internacionais.

(85)

As informações confidenciais que a União e as autoridades nacionais de estatística recolhem para a produção de estatísticas oficiais europeias e nacionais deverão ser protegidas. Deverão ser concebidas, elaboradas e divulgadas estatísticas europeias de acordo com os princípios estatísticos enunciados no artigo 338.o, n.o 2, do TFUE. O Regulamento (CE) n.o 223/2009 do Parlamento Europeu e do Conselho (12) prevê especificações suplementares em matéria de segredo estatístico aplicáveis às estatísticas europeias.

(86)

O Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE do Parlamento Europeu, do Conselho e da Comissão (13) deverão ser revogados. As referências ao regulamento e à decisão revogados deverão ser entendidas como referências ao presente regulamento.

(87)

A fim de garantir a plena independência dos membros da autoridade independente de controlo, os mandatos da atual Autoridade Europeia para a Proteção de Dados e da atual Autoridade Adjunta não deverão ser afetados pelo presente regulamento. A atual Autoridade Adjunta deverá permanecer em funções até ao final do seu mandato, a não ser que se verifique uma das condições para a cessação antecipada do mandato da Autoridade Europeia para a Proteção de Dados estabelecidas no presente regulamento. As disposições relevantes do presente regulamento deverão aplicar-se à Autoridade Adjunta até ao termo do seu mandato.

(88)

De acordo com o princípio da proporcionalidade, para alcançar o objetivo fundamental de garantir um nível equivalente de proteção das pessoas singulares no que respeita à proteção dos dados pessoais e à livre circulação de dados pessoais na União, é necessário e conveniente estabelecer regras sobre o tratamento de dados pessoais nas instituições e nos órgãos da União. O presente regulamento não excede o necessário para alcançar os objetivos previstos, nos termos do artigo 5.o, n.o 4, do TUE.

(89)

A Autoridade Europeia para a Proteção de Dados foi consultada nos termos do artigo 28.o, n.o 2, do Regulamento (CE) n.o 45/2001 e emitiu parecer em 15 de março de 2017 (14),

ADOTARAM O PRESENTE REGULAMENTO:

CAPÍTULO I

DISPOSIÇÕES GERAIS

Artigo 1.o

Objeto e objetivos

1.   O presente regulamento estabelece as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos da União, e regras sobre a livre circulação de dados pessoais entre essas instituições e órgãos, ou entre essas instituições e órgãos e outros destinatários estabelecidos na União.

2.   O presente regulamento protege os direitos e as liberdades fundamentais das pessoas singulares, nomeadamente o seu direito à proteção dos dados pessoais.

3.   A Autoridade Europeia para a Proteção de Dados controla a aplicação das disposições do presente regulamento a todas as operações de tratamento efetuadas pelas instituições e pelos órgãos da União.

Artigo 2.o

Âmbito

1.   O presente regulamento aplica-se ao tratamento de dados pessoais por todas as instituições e todos os órgãos da União.

2.   Ao tratamento de dados pessoais operacionais pelos órgãos e pelos organismos da União no exercício de atividades abrangidas pelo âmbito de aplicação da parte III, título V, capítulos 4 ou 5, do TFUE, só se aplicam o artigo 3.o e o capítulo IX do presente regulamento.

3.   O presente regulamento não se aplica ao tratamento de dados pessoais operacionais pela Europol e pela Procuradoria Europeia, antes de o Regulamento (UE) 2016/794 do Parlamento Europeu e do Conselho (15) e o Regulamento (UE) 2017/1939 do Conselho (16) serem adaptados de acordo com o artigo 98.o do presente regulamento.

4.   O presente regulamento não se aplica ao tratamento de dados pessoais pelas missões referidas no artigo 42.o, n.o 1, e nos artigos 43.o e 44.o do TUE.

5.   O presente regulamento aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, e ao tratamento por meios não automatizados de dados pessoais contidos num ficheiro ou a ele destinados.

Artigo 3.o

Definições

Para efeitos do presente regulamento, aplicam-se as seguintes definições:

1)

«Dados pessoais», informações relativas a uma pessoa singular identificada ou identificável («titular dos dados»); é identificável a pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador como, por exemplo, um nome, um número de identificação, dados de localização, identificadores em linha ou um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;

2)

«Dados pessoais operacionais», todos os dados pessoais tratados por órgãos e organismos da União no exercício de atividades abrangidas pelo âmbito de aplicação da parte III, título V, capítulos 4 ou 5, do TFUE, a fim de cumprir os objetivos e de exercer as funções estabelecidos nos atos normativos que criam esses órgãos ou organismos;

3)

«Tratamento», uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;

4)

«Limitação do tratamento», a inserção de uma marca nos dados pessoais conservados a fim de limitar o seu tratamento no futuro;

5)

«Definição de perfis», uma forma de tratamento automatizado de dados pessoais que consiste na sua utilização para avaliar certos aspetos pessoais relativos a uma pessoa singular, nomeadamente, para analisar ou prever aspetos relacionados com o seu desempenho profissional, a sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocações;

6)

«Pseudonimização», o tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sejam sujeitas a medidas técnicas e organizativas destinadas a assegurar que os dados pessoais não sejam atribuídos a uma pessoa singular identificada ou identificável;

7)

«Ficheiro», um conjunto estruturado de dados pessoais, acessível segundo critérios específicos, centralizado, descentralizado ou repartido de modo funcional ou geográfico;

8)

«Responsável pelo tratamento», a instituição ou o órgão da União, ou a direção-geral ou qualquer outra entidade organizativa que, individualmente ou em conjunto com outras entidades, determina as finalidades e os meios de tratamento dos dados pessoais; caso as finalidades e os meios desse tratamento sejam determinados por um ato específico da União, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União;

9)

«Responsáveis pelo tratamento que não sejam instituições ou órgãos da União», os responsáveis pelo tratamento na aceção do artigo 4.o, ponto 7, do Regulamento (UE) 2016/679, e os responsáveis pelo tratamento na aceção do artigo 3.o, ponto 8, da Diretiva (UE) 2016/680;

10)

«Instituições e órgãos da União», as instituições, os órgãos e os organismos da União estabelecidos pelo TUE, pelo TFUE ou pelo Tratado Euratom, ou com base nesses tratados;

11)

«Autoridade competente», uma autoridade pública de um Estado-Membro competente para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, incluindo a salvaguarda da segurança pública e a prevenção de ameaças à segurança pública;

12)

«Subcontratante», uma pessoa singular ou coletiva, uma autoridade pública ou outro organismo que tratam dados pessoais por conta do responsável pelo tratamento;

13)

«Destinatário», uma pessoa singular ou coletiva, uma autoridade pública ou outro organismo que recebem comunicações de dados pessoais, independentemente de se tratar ou não de um terceiro. Contudo, as autoridades públicas que podem receber dados pessoais no âmbito de inquéritos específicos nos termos do direito da União ou do direito dos Estados-Membros não são consideradas destinatários; o tratamento desses dados por essas autoridades públicas deve cumprir as regras de proteção de dados aplicáveis em função das suas finalidades;

14)

«Terceiro», uma pessoa singular ou coletiva, uma autoridade pública, um serviço ou um organismo que não são o titular dos dados, o responsável pelo tratamento, o subcontratante nem as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar dados pessoais;

15)

«Consentimento» do titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante uma declaração ou um ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam tratados;

16)

«Violação de dados pessoais», uma violação da segurança que provoca, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizados a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento;

17)

«Dados genéticos», os dados pessoais relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa singular que dão informações únicas sobre a fisiologia ou a saúde dessa pessoa singular, resultantes, designadamente, da análise de uma amostra biológica proveniente da pessoa singular em causa;

18)

«Dados biométricos», dados pessoais resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitem obter ou confirmar a identificação única dessa pessoa singular, nomeadamente imagens faciais ou dados dactiloscópicos;

19)

«Dados relativos à saúde», dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelam informações sobre o seu estado de saúde;

20)

«Serviço da sociedade da informação», um serviço definido no artigo 1.o, n.o 1, alínea b), da Diretiva (UE) 2015/1535 do Parlamento Europeu e do Conselho (17);

21)

«Organização internacional», uma organização, e os organismos de direito público internacional por ela tutelados, ou outro organismo criado por um acordo celebrado entre dois ou mais países ou com base num tal acordo;

22)

«Autoridade nacional de controlo», uma autoridade pública independente criada por um Estado-Membro nos termos do artigo 51.o do Regulamento (UE) 2016/679 ou nos termos do artigo 41.o da Diretiva (UE) 2016/680;

23)

«Utilizador», uma pessoa singular que utiliza uma rede ou um equipamento terminal operados sob o controlo de uma instituição ou de um órgão da União;

24)

«Lista», uma lista de utilizadores acessível ao público ou uma lista interna de utilizadores disponível numa instituição ou num órgão da União, ou partilhada entre instituições e órgãos da União, em formato eletrónico ou impresso;

25)

«Rede de comunicações eletrónicas», um sistema de transmissão, baseado ou não numa infraestrutura permanente ou numa instalação administrativa centralizada, e, se aplicável, os equipamentos de comutação ou de encaminhamento e outros recursos, nomeadamente os elementos da rede não ativos, que permitem o envio de sinais por cabo, por feixes hertzianos, por meios óticos ou por outros meios eletromagnéticos, incluindo as redes de satélites, as redes terrestres fixas (com comutação de circuitos ou de pacotes, incluindo a internet) e móveis, os sistemas de cabos de eletricidade, na medida em que sejam utilizados para a transmissão de sinais, as redes utilizadas para a radiodifusão sonora e televisiva e as redes de televisão por cabo, independentemente do tipo de informações transmitidas;

26)

«Equipamento terminal», um equipamento terminal tal como definido no artigo 1.o, ponto 1, da Diretiva 2008/63/CE da Comissão (18).

CAPÍTULO II

PRINCÍPIOS GERAIS

Artigo 4.o

Princípios relativos ao tratamento de dados pessoais

1.   Os dados pessoais são:

a)

Tratados de forma lícita, leal e transparente («licitude, lealdade e transparência») em relação ao titular dos dados;

b)

Recolhidos para finalidades determinadas, explícitas e legítimas, e não podem ser tratados posteriormente de uma forma incompatível com essas finalidades; o tratamento posterior para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos não é considerado incompatível com as finalidades iniciais, nos termos do artigo 13.o («limitação das finalidades»);

c)

Adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados («minimização dos dados»);

d)

Exatos e, se necessário, atualizados; devem ser adotadas todas as medidas adequadas para que os dados pessoais inexatos, tendo em conta as finalidades para as quais são tratados, sejam apagados ou retificados sem demora («exatidão»);

e)

Conservados de forma a permitir a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados; os dados pessoais podem ser conservados durante períodos mais longos, desde que sejam tratados exclusivamente para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, nos termos do artigo 13.o, sujeitos à aplicação das medidas técnicas e organizativas adequadas exigidas pelo presente regulamento, a fim de salvaguardar os direitos e as liberdades do titular dos dados («limitação da conservação»);

f)

Tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o tratamento não autorizado ou ilícito e contra a perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas adequadas («integridade e confidencialidade»).

2.   O responsável pelo tratamento dos dados é responsável pelo cumprimento do n.o 1, e deve poder comprová-lo («responsabilidade»).

Artigo 5.o

Licitude do tratamento

1.   O tratamento só é lícito caso, e na medida em que, se verifique pelo menos uma das seguintes situações:

a)

O tratamento é necessário para o exercício de funções de interesse público ou para o exercício da autoridade pública de que a instituição ou o órgão da União estão investidos;

b)

O tratamento é necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento está sujeito;

c)

O tratamento é necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados;

d)

O titular dos dados deu o seu consentimento ao tratamento dos seus dados pessoais para uma ou mais finalidades específicas;

e)

O tratamento é necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular.

2.   O fundamento para o tratamento referido no n.o 1, alíneas a) e b), é estabelecido no direito da União.

Artigo 6.o

Tratamento para outras finalidades compatíveis

Caso o tratamento para finalidades diferentes daquelas para as quais os dados pessoais foram recolhidos não seja realizado com base no consentimento do titular dos dados ou em disposições do direito da União que constituam uma medida necessária e proporcionada numa sociedade democrática para salvaguardar os objetivos referidos no artigo 25.o, n.o 1, o responsável pelo tratamento deve ter em conta, a fim de verificar se o tratamento para outras finalidades é compatível com a finalidade para a qual os dados pessoais foram inicialmente recolhidos, nomeadamente:

a)

As ligações entre a finalidade para a qual os dados pessoais foram recolhidos e a finalidade do tratamento posterior pretendido;

b)

O contexto em que os dados pessoais foram recolhidos, em particular no que respeita à relação entre os titulares dos dados e o responsável pelo seu tratamento;

c)

A natureza dos dados pessoais, em especial se as categorias especiais de dados pessoais forem tratadas nos termos do artigo 10.o, ou se os dados pessoais relacionados com condenações penais e infrações forem tratados nos termos do artigo 11.o;

d)

As eventuais consequências do tratamento posterior pretendido para os titulares dos dados;

e)

A existência de garantias adequadas, que podem ser a cifragem ou a pseudonimização.

Artigo 7.o

Condições aplicáveis ao consentimento

1.   Caso o tratamento seja realizado com base no consentimento, o responsável pelo tratamento deve poder demonstrar que o titular dos dados deu o consentimento ao tratamento dos seus dados pessoais.

2.   Se o consentimento do titular dos dados for dado no contexto de uma declaração escrita que diga também respeito a outras matérias, o pedido de consentimento deve ser apresentado de uma forma que o distinga claramente dessas outras matérias, de modo inteligível e de fácil acesso e numa linguagem clara e simples. Não é vinculativa nenhuma parte dessa declaração que constitua uma violação do presente regulamento.

3.   O titular dos dados tem o direito de retirar o seu consentimento a qualquer momento. A retirada do consentimento não compromete a licitude do tratamento efetuado com base no consentimento previamente dado. Antes de dar o seu consentimento, o titular dos dados é informado desse facto. Deve ser tão fácil retirar o consentimento quanto dá-lo.

4.   Ao avaliar se o consentimento é dado livremente, há que verificar com a máxima atenção se, designadamente, a execução de um contrato, inclusive a prestação de um serviço, está subordinada ao consentimento para o tratamento de dados pessoais que não é necessário para a execução desse contrato.

Artigo 8.o

Condições aplicáveis ao consentimento de crianças em relação aos serviços da sociedade da informação

1.   Caso seja aplicável o artigo 5.o, n.o 1, alínea d), no que respeita à oferta direta de serviços da sociedade da informação a crianças, o tratamento dos dados pessoais de crianças é lícito se a criança tiver pelo menos 13 anos. Se a criança tiver menos de 13 anos, o tratamento só é lícito caso, e na medida em que, o consentimento seja dado ou autorizado pelos titulares da responsabilidade parental da criança.

2.   Nesses casos, o responsável pelo tratamento deve envidar os esforços adequados para verificar se o consentimento foi dado ou autorizado pelo titular da responsabilidade parental da criança, tendo em conta a tecnologia disponível.

3.   O disposto no n.o 1 não afeta o direito contratual geral dos Estados-Membros, nomeadamente as disposições que regulam a validade, a formação ou os efeitos de um contrato em relação a uma criança.

Artigo 9.o

Transmissão de dados pessoais a destinatários estabelecidos na União que não sejam instituições ou órgãos da União

1.   Sem prejuízo dos artigos 4.o a 6.o e 10.o, os dados pessoais só podem ser transferidos para destinatários estabelecidos na União que não sejam instituições ou órgãos da União se o destinatário demonstrar que:

a)

Os dados são necessários para o desempenho de funções de interesse público ou inerentes ao exercício da autoridade pública de que o destinatário se encontra investido; ou

b)

É necessário transmitir os dados para uma finalidade específica no interesse público, e o responsável pelo tratamento estabelecer, caso haja motivos para pressupor que os interesses legítimos do titular dos dados possam vir a ser prejudicados, que a transmissão dos dados pessoais para essa finalidade específica é proporcionada, após ter comprovadamente ponderado os diferentes interesses em jogo.

2.   Caso o responsável pelo tratamento dê início à transmissão nos termos do presente artigo, deve demonstrar que a transmissão de dados pessoais é necessária e proporcionada para as finalidades a que se destina, aplicando os critérios referidos no n.o 1, alíneas a) ou b).

3.   As instituições e os órgãos da União conciliam o direito à proteção dos dados pessoais com o direito de acesso aos documentos, nos termos do direito da União.

Artigo 10.o

Tratamento de categorias especiais de dados pessoais

1.   É proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, e o tratamento de dados genéticos, de dados biométricos para identificar uma pessoa de forma inequívoca, de dados relativos à saúde ou de dados relativos à vida sexual ou à orientação sexual de uma pessoa.

2.   O n.o 1 não se aplica se se verificar um dos seguintes casos:

a)

O titular dos dados deu o seu consentimento explícito ao tratamento desses dados pessoais para uma ou mais finalidades específicas, exceto se o direito da União previr que a proibição a que se refere o n.o 1 não pode ser levantada pelo titular dos dados;

b)

O tratamento é necessário para efeitos do cumprimento de obrigações e do exercício de direitos específicos do responsável pelo tratamento ou do titular dos dados em matéria de legislação laboral, de segurança social e de proteção social, na medida em que esse tratamento seja permitido pelo direito da União, que preveja as garantias adequadas dos direitos fundamentais e dos interesses do titular dos dados;

c)

O tratamento é necessário para proteger interesses vitais do titular dos dados ou de outra pessoa, se o titular dos dados estiver física ou legalmente incapacitado de dar o seu consentimento;

d)

O tratamento é efetuado, no âmbito de atividades legítimas e mediante garantias adequadas, por um organismo sem fins lucrativos que constitua uma entidade integrada numa instituição ou num órgão da União e que tenha fins políticos, filosóficos, religiosos ou sindicais, desde que o tratamento se refira apenas aos membros ou antigos membros desse organismo ou a pessoas que com ele mantenham contactos regulares relacionados com os seus objetivos, e os dados não sejam divulgados a terceiros sem o consentimento dos seus titulares;

e)

O tratamento está relacionado com dados pessoais manifestamente tornados públicos pelo seu titular;

f)

O tratamento é necessário para a declaração, o exercício ou a defesa de um direito num processo judicial ou caso o Tribunal de Justiça atue no exercício da sua função jurisdicional;

g)

O tratamento é necessário por motivos de interesse público importante, com base no direito da União, que deve ser proporcionado em relação ao objetivo visado, deve respeitar a essência do direito à proteção dos dados pessoais e deve prever medidas adequadas e específicas que salvaguardem os direitos fundamentais e os interesses do titular dos dados;

h)

O tratamento é necessário para efeitos de medicina preventiva ou do trabalho, para a avaliação da capacidade de trabalho do empregado, o diagnóstico médico, a prestação de cuidados ou tratamentos de saúde ou de ação social ou a gestão de sistemas e serviços de saúde ou de ação social com base no direito da União, ou por força de um contrato com um profissional de saúde, sob reserva das condições e garantias previstas no n.o 3;

i)

O tratamento é necessário por motivos de interesse público no domínio da saúde pública, tais como a proteção contra ameaças transfronteiriças graves para a saúde ou a obtenção de um elevado nível de qualidade e de segurança dos cuidados de saúde e dos medicamentos ou dispositivos médicos, com base no direito da União, que preveja medidas adequadas e específicas que salvaguardem os direitos e as liberdades do titular dos dados, em particular o sigilo profissional; ou

j)

O tratamento é necessário para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, com base no direito da União, que deve ser proporcionado em relação ao objetivo visado, deve respeitar a essência do direito à proteção dos dados pessoais e deve prever medidas adequadas e específicas que salvaguardem os direitos fundamentais e os interesses do titular dos dados.

3.   Os dados pessoais referidos no n.o 1 podem ser tratados para os fins referidos no n.o 2, alínea h), se forem tratados por, ou sob a responsabilidade, de um profissional sujeito à obrigação de sigilo profissional, nos termos do direito da União ou do direito dos Estados-Membros, ou de regulamentação estabelecida pelas autoridades nacionais competentes, ou por outra pessoa igualmente sujeita a uma obrigação de confidencialidade ao abrigo do direito da União ou do direito dos Estados-Membros, ou de regulamentação estabelecida pelas autoridades nacionais competentes.

Artigo 11.o

Tratamento de dados pessoais relacionados com condenações penais e com infrações

O tratamento de dados pessoais relacionados com condenações penais e com infrações, ou com medidas de segurança conexas, com base no artigo 5.o, n.o 1, só pode ser efetuado sob o controlo de uma autoridade pública, ou se for autorizado por disposições do direito da União que prevejam as garantias adequadas dos direitos e das liberdades dos titulares dos dados.

Artigo 12.o

Tratamento que não exige identificação

1.   Se as finalidades para as quais um responsável pelo tratamento efetua o tratamento de dados pessoais não exigirem ou tiverem deixado de exigir a identificação do titular dos dados, esse responsável não é obrigado a manter, a obter ou a tratar informações suplementares para identificar o titular dos dados apenas para dar cumprimento ao presente regulamento.

2.   Sempre que, nos casos referidos no n.o 1 do presente artigo, o responsável pelo tratamento possa demonstrar que não está em condições de identificar o titular dos dados, informa este último, se possível, desse facto. Nesses casos, os artigos 17.o a 22.o não são aplicáveis, exceto se o titular dos dados fornecer, a fim de exercer os seus direitos ao abrigo dos referidos artigos, informações adicionais que permitam a sua identificação.

Artigo 13.o

Garantias relativas ao tratamento para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos

O tratamento para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos está sujeito às garantias adequadas, nos termos do presente regulamento, dos direitos e das liberdades do titular dos dados. Essas garantias devem assegurar a existência de medidas técnicas e organizativas destinadas a garantir, nomeadamente, o respeito do princípio da minimização de dados. Essas medidas podem incluir a pseudonimização, desde que esses fins possam ser alcançados desse modo. Caso esses fins possam ser atingidos por tratamentos ulteriores que não permitam ou que tenham deixado de permitir a identificação dos titulares dos dados, os referidos fins são atingidos desse modo.

CAPÍTULO III

DIREITOS DO TITULAR DOS DADOS

SECÇÃO 1

Transparência e regras

Artigo 14.o

Transparência das informações e das comunicações e regras para o exercício dos direitos dos titulares dos dados

1.   O responsável pelo tratamento deve tomar as medidas adequadas para fornecer ao titular dos dados as informações a que se referem os artigos 15.o e 16.o, e as comunicações previstas nos artigos 17.o a 24.o e no artigo 35.o relativas ao tratamento dos dados, de forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples, em especial no que diz respeito às informações dirigidas especificamente a crianças. As informações são prestadas por escrito ou por outros meios, nomeadamente, se for caso disso, por meios eletrónicos. Se o titular dos dados o solicitar, as informações podem ser prestadas oralmente, desde que a identidade do titular seja comprovada por outros meios.

2.   O responsável pelo tratamento deve facilitar o exercício dos direitos do titular dos dados, nos termos dos artigos 17.o a 24.o. Nos casos a que se refere o artigo 12.o, n.o 2, o responsável pelo tratamento não pode recusar-se a dar seguimento ao pedido do titular dos dados para exercer os seus direitos ao abrigo dos artigos 17.o a 24.o, exceto se demonstrar que não está em condições de identificar o titular dos dados.

3.   O responsável pelo tratamento deve fornecer ao titular dos dados informações sobre as medidas tomadas na sequência de um pedido apresentado nos termos dos artigos 17.o a 24.o, sem demora indevida e no prazo de um mês a contar da data de receção do pedido. Esse prazo pode ser prorrogado por dois meses, quando for necessário, tendo em conta a complexidade e o número de pedidos. O responsável pelo tratamento deve informar o titular dos dados da prorrogação e dos motivos da demora no prazo de um mês a contar da data de receção do pedido. Se o titular dos dados apresentar o pedido por meios eletrónicos, a informação é, sempre que possível, fornecida por meios eletrónicos, salvo pedido em contrário do titular.

4.   Se o responsável pelo tratamento não der seguimento ao pedido apresentado pelo titular dos dados, informa-o sem demora e, o mais tardar, no prazo de um mês a contar da data de receção do pedido, das razões que o levaram a não tomar medidas e da possibilidade de apresentar uma reclamação à Autoridade Europeia para a Proteção de Dados e de intentar uma ação judicial.

5.   As informações prestadas nos termos dos artigos 15.o e 16.o e as comunicações e as medidas tomadas nos termos dos artigos 17.o a 24.o e do artigo 35.o são fornecidas gratuitamente. Se os pedidos apresentados por um titular de dados forem manifestamente infundados ou excessivos, nomeadamente devido ao seu caráter recorrente, o responsável pelo tratamento pode recusar-se a dar-lhes seguimento. Cabe ao responsável pelo tratamento demonstrar o caráter manifestamente infundado ou excessivo do pedido.

6.   Sem prejuízo do artigo 12.o, caso o responsável pelo tratamento tenha dúvidas razoáveis quanto à identidade da pessoa singular que apresenta o pedido a que se referem os artigos 17.o a 23.o, pode solicitar que lhe sejam fornecidas as informações adicionais necessárias para confirmar a identidade do titular dos dados.

7.   As informações a prestar aos titulares dos dados nos termos dos artigos 15.o e 16.o podem ser combinadas com ícones normalizados, a fim de dar, de forma facilmente visível, inteligível e claramente legível, uma perspetiva geral e coerente do tratamento previsto. Se os ícones forem apresentados por via eletrónica, devem ser de leitura automática.

8.   Caso a Comissão adote atos delegados, nos termos do artigo 12.o, n.o 8, do Regulamento (UE) 2016/679, a fim de determinar as informações que devem ser apresentadas por meio de ícones e os procedimentos aplicáveis à apresentação de ícones normalizados, as instituições e os órgãos da União devem prestar, se apropriado, as informações previstas nos artigos 15.o e 16.o do presente regulamento, em combinação com esses ícones normalizados.

SECÇÃO 2

Informação e acesso aos dados pessoais

Artigo 15.o

Informações a prestar caso os dados pessoais sejam recolhidos junto do titular dos dados

1.   Caso os dados pessoais sejam recolhidos junto do titular dos dados, o responsável pelo tratamento deve prestar-lhe, aquando da recolha dos dados pessoais, todas as informações seguintes:

a)

A identidade e os contactos do responsável pelo tratamento;

b)

Os contactos do encarregado da proteção de dados;

c)

As finalidades do tratamento a que os dados pessoais se destinam, bem como o fundamento jurídico para o tratamento dos dados;

d)

Os destinatários ou as categorias de destinatários dos dados pessoais, se os houver;

e)

Se for caso disso, a intenção do responsável pelo tratamento de transferir dados pessoais para um país terceiro ou para uma organização internacional, e a existência ou não de uma decisão de adequação adotada pela Comissão ou, no caso das transferências referidas no artigo 48.o, a referência às garantias apropriadas ou adequadas e aos meios de obter cópia das mesmas, ou onde foram disponibilizadas.

2.   Para além das informações referidas no n.o 1, aquando da recolha dos dados pessoais, o responsável pelo tratamento deve fornecer ao titular dos dados as seguintes informações adicionais, necessárias para garantir um tratamento dos dados leal e transparente:

a)

O prazo de conservação dos dados pessoais ou, se isso não for possível, os critérios aplicados para fixar esse prazo;

b)

A existência do direito de solicitar ao responsável pelo tratamento o acesso aos dados pessoais que digam respeito ao titular dos dados, bem como a sua retificação ou o seu apagamento, ou a limitação do tratamento no que respeita ao titular dos dados, ou, se aplicável, o direito de se opor ao tratamento ou o direito à portabilidade dos dados;

c)

Se o tratamento dos dados se basear no artigo 5.o, n.o 1, alínea d), ou no artigo 10.o, n.o 2, alínea a), a existência do direito de retirar o consentimento a qualquer momento, sem comprometer a licitude do tratamento efetuado com base no consentimento previamente dado;

d)

O direito de apresentar uma reclamação à Autoridade Europeia para a Proteção de Dados;

e)

Se a comunicação de dados pessoais constitui ou não um requisito legal ou contratual, ou um requisito necessário para celebrar um contrato, e se o titular dos dados está obrigado a fornecer os dados pessoais, e as eventuais consequências de não fornecer esses dados;

f)

A existência de decisões automatizadas, incluindo a definição de perfis, referida no artigo 24.o, n.os 1 e 4, e, pelo menos nesses casos, informações úteis relativas à lógica subjacente, bem como a importância e as consequências previstas desse tratamento para o titular dos dados.

3.   Caso o responsável pelo tratamento tenha a intenção de proceder ao tratamento posterior dos dados pessoais para uma finalidade diferente daquela para a qual os dados foram recolhidos, antes de proceder a esse tratamento posterior, deve prestar ao titular dos dados informações sobre essa finalidade diferente e outras informações pertinentes referidas no n.o 2.

4.   Os n.os 1, 2 e 3 não se aplicam caso, e na medida em que, o titular dos dados já tenha conhecimento das informações em causa.

Artigo 16.o

Informações a prestar caso os dados pessoais não sejam recolhidos junto do titular dos dados

1.   Caso os dados pessoais não sejam recolhidos junto do titular dos dados, o responsável pelo tratamento deve prestar-lhe as seguintes informações:

a)

A identidade e os contactos do responsável pelo tratamento;

b)

Os contactos do encarregado da proteção de dados;

c)

As finalidades do tratamento a que os dados pessoais se destinam, bem como o fundamento jurídico para o tratamento dos dados;

d)

As categorias dos dados pessoais em questão;

e)

Os destinatários ou as categorias de destinatários dos dados pessoais, se os houver;

f)

Se for caso disso, a intenção do responsável pelo tratamento de transferir dados pessoais para um destinatário num país terceiro ou para uma organização internacional, e a existência ou não de uma decisão de adequação adotada pela Comissão ou, no caso das transferências referidas no artigo 48.o, a referência às garantias apropriadas ou adequadas e aos meios de obter cópia das mesmas, ou onde foram disponibilizadas.

2.   Para além das informações referidas no n.o 1, o responsável pelo tratamento deve prestar ao titular dos dados as seguintes informações adicionais, necessárias para garantir um tratamento leal e transparente:

a)

O prazo de conservação dos dados pessoais ou, se isso não for possível, os critérios aplicados para fixar esse prazo;

b)

A existência do direito de solicitar ao responsável pelo tratamento o acesso aos dados pessoais que digam respeito ao titular dos dados, bem como a sua retificação ou o seu apagamento, ou a limitação do tratamento no que respeita ao titular dos dados, ou, se aplicável, o direito de se opor ao tratamento ou o direito à portabilidade dos dados;

c)

Se o tratamento dos dados se basear no artigo 5.o, n.o 1, alínea d), ou no artigo 10.o, n.o 2, alínea a), a existência do direito de retirar o consentimento a qualquer momento, sem comprometer a licitude do tratamento efetuado com base no consentimento previamente dado;

d)

O direito de apresentar uma reclamação à Autoridade Europeia para a Proteção de Dados;

e)

A origem dos dados pessoais e, eventualmente, se provêm de fontes acessíveis ao público;

f)

A existência de decisões automatizadas, incluindo a definição de perfis, referida no artigo 24.o, n.os 1 e 4, e, pelo menos nesses casos, informações úteis relativas à lógica subjacente, bem como a importância e as consequências previstas desse tratamento para o titular dos dados.

3.   O responsável pelo tratamento deve prestar as informações referidas nos n.os 1 e 2:

a)

Num prazo razoável após a obtenção dos dados pessoais, mas o mais tardar no prazo de um mês, tendo em conta as circunstâncias específicas em que estes foram tratados;

b)

Se os dados pessoais se destinarem a ser utilizados para fins de comunicação com o titular dos dados, o mais tardar no momento da primeira comunicação ao titular dos dados; ou

c)

Se estiver prevista a divulgação dos dados pessoais a outro destinatário, o mais tardar aquando da primeira divulgação desses dados.

4.   Caso o responsável pelo tratamento tenha a intenção de proceder ao tratamento posterior dos dados pessoais para uma finalidade diferente daquela para a qual os dados pessoais foram obtidos, antes de proceder a esse tratamento posterior, deve prestar ao titular dos dados informações sobre essa finalidade diferente, e outras informações pertinentes referidas no n.o 2.

5.   Os n.os 1 a 4 não se aplicam caso, e na medida em que:

a)

O titular dos dados já tenha conhecimento das informações;

b)

Se comprove a impossibilidade de disponibilizar as informações, ou o esforço envolvido seja desproporcionado, nomeadamente para o tratamento dos dados para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, e na medida em que a obrigação referida no n.o 1 do presente artigo seja suscetível de impossibilitar ou de prejudicar gravemente a concretização dos objetivos desse tratamento;

c)

A obtenção ou a divulgação dos dados esteja expressamente prevista no direito da União, que preveja medidas adequadas para proteger os interesses legítimos do titular dos dados; ou

d)

Os dados pessoais devam permanecer confidenciais em virtude de uma obrigação de sigilo profissional regulamentada pelo direito da União, inclusive uma obrigação legal de confidencialidade.

6.   Nos casos referidos no n.o 5, alínea b), o responsável pelo tratamento toma as medidas adequadas para defender os direitos, as liberdades e os interesses legítimos do titular dos dados, incluindo a divulgação pública das informações.

Artigo 17.o

Direito de acesso do titular dos dados

1.   O titular dos dados tem o direito de obter do responsável pelo tratamento a confirmação do facto de estarem ou não a ser tratados dados pessoais que lhe dizem respeito, e, em caso afirmativo, o direito de aceder aos seus dados pessoais e às seguintes informações:

a)

As finalidades do tratamento dos dados;

b)

As categorias dos dados pessoais em questão;

c)

Os destinatários ou categorias de destinatários aos quais os dados pessoais foram ou serão divulgados, nomeadamente os destinatários estabelecidos em países terceiros ou pertencentes a organizações internacionais;

d)

Se possível, o prazo previsto de conservação dos dados pessoais ou, se não for possível, os critérios usados para fixar esse prazo;

e)

A existência do direito de solicitar ao responsável pelo tratamento a retificação, o apagamento ou a limitação do tratamento dos dados pessoais no que diz respeito ao titular dos dados, ou do direito de se opor a esse tratamento;

f)

O direito de apresentar uma reclamação à Autoridade Europeia para a Proteção de Dados;

g)

Se os dados não tiverem sido recolhidos junto do titular dos dados, as informações disponíveis sobre a origem desses dados;

h)

A existência de decisões automatizadas, incluindo a definição de perfis, referida no artigo 24.o, n.os 1 e 4, e, pelo menos nesses casos, informações úteis relativas à lógica subjacente, bem como a importância e as consequências previstas desse tratamento para o titular dos dados.

2.   Caso os dados pessoais sejam transferidos para um país terceiro ou para uma organização internacional, o titular dos dados tem o direito de ser informado das garantias adequadas, nos termos do artigo 48.o relativo à transferência de dados.

3.   O responsável pelo tratamento deve facultar uma cópia dos dados pessoais em fase de tratamento. Se o titular dos dados apresentar o pedido por meios eletrónicos, e salvo pedido seu em contrário, as informações são facultadas num formato eletrónico de uso corrente.

4.   O direito de obter uma cópia a que se refere o n.o 3 não pode prejudicar os direitos e as liberdades de terceiros.

SECÇÃO 3

Retificação e apagamento

Artigo 18.o

Direito de retificação

O titular tem o direito de obter, sem demora indevida, do responsável pelo tratamento a retificação dos dados pessoais inexatos que lhe digam respeito. Tendo em conta as finalidades do tratamento, o titular dos dados tem direito a que os seus dados pessoais incompletos sejam completados, inclusive por meio de uma declaração adicional.

Artigo 19.o

Direito ao apagamento dos dados («direito a ser esquecido»)

1.   O titular dos dados tem o direito de obter, sem demora indevida, do responsável pelo tratamento o apagamento dos seus dados pessoais, e o responsável pelo tratamento tem a obrigação de apagar os dados pessoais, sem demora indevida, caso se aplique um dos seguintes motivos:

a)

Os dados pessoais deixaram de ser necessários para a finalidade que motivou a sua recolha ou tratamento;

b)

O titular dos dados retira o consentimento em que se baseia o tratamento dos dados nos termos do artigo 5.o, n.o 1, alínea d), ou do artigo 10.o, n.o 2, alínea a), e não existe outro fundamento jurídico para o referido tratamento;

c)

O titular dos dados opõe-se ao tratamento nos termos do artigo 23.o, n.o 1, e não existem interesses legítimos prevalecentes que justifiquem o tratamento dos dados;

d)

Os dados pessoais foram tratados ilicitamente;

e)

Os dados pessoais têm de ser apagados a fim de dar cumprimento a uma obrigação jurídica a que o responsável pelo tratamento está sujeito;

f)

Os dados pessoais foram recolhidos no contexto da oferta de serviços da sociedade da informação referidos no artigo 8.o, n.o 1.

2.   Caso o responsável pelo tratamento tenha tornado públicos os dados pessoais e seja obrigado a apagá-los nos termos do n.o 1, deve tomar as medidas que sejam razoáveis, nomeadamente de caráter técnico, tendo em consideração as tecnologias disponíveis e os custos da sua aplicação, para informar os responsáveis pelo tratamento, ou os responsáveis pelo tratamento que não sejam instituições ou órgãos da União, que efetuam o tratamento dos dados pessoais, de que o titular dos dados lhes solicitou o apagamento das ligações para esses dados pessoais, ou das cópias ou reproduções dos mesmos.

3.   Os n.os 1 e 2 não se aplicam na medida em que o tratamento dos dados seja necessário:

a)

Para o exercício da liberdade de expressão e de informação;

b)

Para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito, para o exercício de funções de interesse público ou para o exercício da autoridade pública de que o responsável pelo tratamento esteja investido;

c)

Por motivos de interesse público no domínio da saúde pública, nos termos do artigo 10.o, n.o 2, alíneas h) e i), e do artigo 10.o, n.o 3;

d)

Para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, na medida em que o direito referido no n.o 1 seja suscetível de impossibilitar ou de prejudicar gravemente a concretização dos objetivos desse tratamento; ou

e)

Para efeitos de declaração, de exercício ou de defesa de um direito num processo judicial.

Artigo 20.o

Direito à limitação do tratamento

1.   O titular dos dados tem o direito de obter do responsável pelo tratamento a limitação do tratamento, caso se verifique uma das seguintes situações:

a)

A exatidão dos dados pessoais é contestada pelo titular dos dados, durante um período que permita ao responsável pelo tratamento verificar a exatidão dos dados pessoais, incluindo a sua exaustividade;

b)

O tratamento é ilícito e o titular dos dados opõe-se ao apagamento dos dados pessoais e solicita, em contrapartida, a limitação da sua utilização;

c)

O responsável pelo tratamento já não necessita dos dados pessoais para fins de tratamento, mas os dados são requeridos pelo titular para efeitos de declaração, exercício ou defesa de um direito num processo judicial;

d)

O titular opôs-se ao tratamento dos dados nos termos do artigo 23.o, n.o 1, até que se verifique se os motivos legítimos do responsável pelo tratamento prevalecem sobre os motivos do titular dos dados.

2.   Caso o tratamento tenha sido limitado nos termos do n.o 1, os dados pessoais só podem ser tratados, com exceção da conservação, com o consentimento do titular, ou para efeitos de declaração, de exercício ou de defesa de um direito num processo judicial, de defesa dos direitos de outra pessoa singular ou coletiva, ou por motivos importantes de interesse público da União ou de um Estado-Membro.

3.   O titular dos dados que tenha obtido a limitação do tratamento dos dados nos termos do n.o 1 é informado pelo responsável pelo tratamento antes de a limitação do referido tratamento ser levantada.

4.   Nos ficheiros automatizados, a limitação do tratamento deve ser, em princípio, assegurada por meios técnicos. O facto de os dados pessoais estarem sujeitos a limitações deve ser indicado no sistema de forma que seja bem claro que os dados pessoais não podem ser utilizados.

Artigo 21.o

Obrigação de notificação da retificação ou do apagamento dos dados pessoais e da limitação do tratamento

O responsável pelo tratamento deve comunicar a cada destinatário ao qual os dados pessoais tenham sido transmitidos a retificação ou o apagamento dos dados pessoais ou a limitação do tratamento realizada nos termos do artigo 18.o, do artigo 19.o, n.o 1, e do artigo 20.o, salvo se essa comunicação se revelar impossível ou implicar um esforço desproporcionado. Se o titular dos dados o solicitar, o responsável pelo tratamento fornece-lhe informações sobre os referidos destinatários.

Artigo 22.o

Direito de portabilidade dos dados

1.   O titular dos dados tem o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido a um responsável pelo tratamento, num formato estruturado, de uso corrente e de leitura automática, e o direito de os transmitir a outro responsável pelo tratamento sem que o responsável ao qual os dados pessoais foram fornecidos possa impedi-lo de o fazer, caso o tratamento:

a)

Se baseie no consentimento dado nos termos do artigo 5.o, n.o 1, alínea d), ou do artigo 10.o, n.o 2, alínea a), ou num contrato nos termos do artigo 5.o, n.o 1, alínea c); e

b)

Seja realizado por meios automatizados.

2.   Ao exercer o seu direito de portabilidade dos dados nos termos do n.o 1, o titular dos dados tem o direito a que os dados pessoais sejam transmitidos diretamente de um responsável pelo tratamento para outro, ou para responsáveis pelo tratamento que não sejam instituições ou órgãos da União, caso tal seja tecnicamente possível.

3.   O exercício do direito a que se refere o n.o 1 do presente artigo aplica-se sem prejuízo do artigo 19.o. Esse direito não se aplica ao tratamento necessário para o exercício de funções de interesse público nem ao exercício da autoridade pública de que o responsável pelo tratamento esteja investido.

4.   O direito a que se refere o n.o 1 não pode prejudicar os direitos e as liberdades de terceiros.

SECÇÃO 4

Direito de oposição e decisões individuais automatizadas

Artigo 23.o

Direito de oposição

1.   O titular dos dados tem o direito de se opor a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito com base no artigo 5.o, n.o 1, alínea a), incluindo a definição de perfis com base nessa disposição. O responsável pelo tratamento deve cessar o tratamento dos dados pessoais, salvo se apresentar razões imperiosas e legítimas para esse tratamento que prevaleçam sobre os interesses, os direitos e as liberdades do titular dos dados, ou para efeitos de declaração, de exercício ou de defesa de um direito num processo judicial.

2.   O mais tardar no momento da primeira comunicação ao titular dos dados, o direito a que se refere o n.o 1 deve ser-lhe explicitamente comunicado, e apresentado de modo claro e destacado de outras informações.

3.   Sem prejuízo dos artigos 36.o e 37.o, no contexto da utilização dos serviços da sociedade da informação, o titular dos dados pode exercer o seu direito de oposição por meios automatizados, utilizando especificações técnicas.

4.   Caso os dados pessoais sejam tratados para fins de investigação científica ou histórica, ou para fins estatísticos, o titular dos dados tem o direito de se opor, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito, salvo se o tratamento for necessário por razões de interesse público.

Artigo 24.o

Decisões individuais automatizadas, incluindo a definição de perfis

1.   O titular dos dados tem o direito de não ficar sujeito a decisões tomadas exclusivamente com base no tratamento automatizado de dados, incluindo a definição de perfis, que produzam efeitos na sua esfera jurídica ou que o afetem significativamente de forma similar.

2.   O n.o 1 não se aplica se a decisão:

a)

For necessária para a celebração ou para a execução de um contrato entre o titular dos dados e o responsável pelo tratamento;

b)

For autorizada pelo direito da União, o qual prevê também medidas adequadas para salvaguardar os direitos, as liberdades e os interesses legítimos do titular dos dados; ou

c)

Se basear no consentimento explícito do titular dos dados.

3.   Nos casos referidos no n.o 2, alíneas a) e c), o responsável pelo tratamento deve aplicar medidas adequadas para salvaguardar os direitos, as liberdades e os interesses legítimos do titular dos dados, pelo menos o direito de obter a intervenção humana do responsável pelo tratamento, de manifestar o seu ponto de vista e de contestar a decisão.

4.   As decisões referidas o n.o 2 do presente artigo não podem basear-se nas categorias especiais de dados pessoais a que se refere o artigo 10.o, n.o 1, salvo caso se aplique o n.o 2, alínea a) ou g), desse artigo, e existam medidas adequadas para salvaguardar os direitos, as liberdades e os interesses legítimos do titular.

SECÇÃO 5

Limitações

Artigo 25.o

Limitações

1.   Os atos normativos adotados com base nos tratados ou, em matérias relacionadas com o funcionamento das instituições e dos órgãos da União, as regras internas estabelecidas por estes últimos podem limitar a aplicação dos artigos 14.o a 22.o, dos artigos 35.o e 36.o, e do artigo 4.o, na medida em que as disposições deste artigo correspondam aos direitos e às obrigações previstos nos artigos 14.o a 22.o, desde que tal limitação respeite a essência dos direitos e das liberdades fundamentais e constitua uma medida necessária e proporcionada numa sociedade democrática para salvaguardar:

a)

A segurança nacional, a segurança pública e a defesa dos Estados-Membros;

b)

A prevenção, a investigação, a deteção e a repressão de infrações penais, ou a execução de sanções penais, incluindo a salvaguarda da segurança pública e a prevenção de ameaças à segurança pública;

c)

Outros objetivos importantes de interesse público geral da União ou de um Estado-Membro, nomeadamente os objetivos da política externa e de segurança comum da União, ou um interesse económico ou financeiro importante da União ou de um Estado-Membro, inclusive de ordem monetária, orçamental e fiscal, de saúde pública e de segurança social;

d)

A segurança interna das instituições e dos órgãos da União, incluindo as suas redes de comunicações eletrónicas;

e)

A defesa da independência judiciária e dos processos judiciais;

f)

A prevenção, a investigação, a deteção e a repressão de violações da deontologia das profissões regulamentadas;

g)

Uma missão de controlo, de inspeção ou de regulamentação associada, ainda que ocasionalmente, ao exercício da autoridade pública, nos casos referidos nas alíneas a) a c);

h)

A defesa do titular dos dados ou dos direitos e liberdades de terceiros;

i)

A execução de ações cíveis.

2.   Em especial, os atos normativos e as regras internas a que se refere o n.o 1 incluem disposições explícitas, se tal for relevante, relativas:

a)

Às finalidades do tratamento ou às diferentes categorias de tratamento;

b)

Às categorias de dados pessoais;

c)

Ao alcance das limitações impostas;

d)

Às garantias para evitar o abuso ou o acesso ou transferência ilícitos;

e)

À especificação do responsável pelo tratamento ou às categorias de responsáveis pelo tratamento;

f)

Aos prazos de conservação e às garantias aplicáveis, tendo em conta a natureza, o âmbito e os objetivos do tratamento ou das categorias de tratamento; e

g)

Aos riscos para os direitos e para as liberdades dos titulares dos dados.

3.   Caso os dados pessoais sejam tratados para fins de investigação científica ou histórica ou para fins estatísticos, o direito da União, que pode incluir regras internas adotadas pelas instituições e pelos órgãos da União em matérias relacionadas com o seu funcionamento, pode prever derrogações dos direitos a que se referem os artigos 17.o, 18.o, 20.o e 23.o, sob reserva das condições e das garantias previstas no artigo 13.o, na medida em que esses direitos sejam suscetíveis de impossibilitar ou de prejudicar gravemente a consecução de finalidades específicas, e essas derrogações sejam necessárias para a consecução dessas finalidades.

4.   Caso os dados pessoais sejam tratados para fins de arquivo de interesse público, o direito da União, que pode incluir regras internas adotadas pelas instituições e pelos órgãos da União em matérias relacionadas com o seu funcionamento, pode prever derrogações dos direitos a que se referem os artigos 17.o, 18.o, 20.o, 21.o, 22.o e 23.o, sob reserva das condições e das garantias previstas no artigo 13.o, na medida em que esses direitos sejam suscetíveis de impossibilitar ou de prejudicar gravemente a consecução de finalidades específicas, e essas derrogações sejam necessárias para a consecução dessas finalidades.

5.   As regras internas referidas nos n.os 1, 3 e 4 devem constituir atos claros e precisos de aplicação geral, destinados a produzir efeitos jurídicos em relação aos titulares dos dados, adotados ao mais alto nível de direção das instituições e dos órgãos da União e sujeitos a publicação no Jornal Oficial da União Europeia.

6.   Se for imposta uma limitação nos termos do n.o 1, o titular dos dados deve ser informado, nos termos do direito da União, dos principais motivos de aplicação da limitação e do seu direito de apresentar uma reclamação à Autoridade Europeia para a Proteção de Dados.

7.   Caso seja invocada uma limitação imposta nos termos do n.o 1 para recusar o acesso ao titular dos dados, a Autoridade Europeia para a Proteção de Dados, ao investigar a reclamação, comunica-lhe unicamente se os dados foram tratados corretamente e, em caso negativo, se as correções necessárias foram introduzidas.

8.   A comunicação das informações referida nos n.os 6 e 7 do presente artigo e no artigo 45.o, n.o 2, pode ser adiada, omitida ou recusada caso se presuma que anule o efeito da limitação imposta nos termos do n.o 1 do presente artigo.

CAPÍTULO IV

RESPONSÁVEIS PELO TRATAMENTO E SUBCONTRATANTES

SECÇÃO 1

Obrigações gerais

Artigo 26.o

Responsabilidade dos responsáveis pelo tratamento

1.   Tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos, de probabilidade e gravidade variáveis, para os direitos e as liberdades das pessoas singulares, o responsável pelo tratamento deve aplicar as medidas técnicas e organizativas adequadas para assegurar e para poder comprovar que o tratamento é realizado em conformidade com o presente regulamento. Essas medidas são revistas e atualizadas consoante as necessidades.

2.   Caso sejam proporcionadas em relação às atividades de tratamento, as medidas a que se refere o n.o 1 incluem a aplicação de medidas adequadas em matéria de proteção de dados pelo responsável pelo tratamento.

3.   O cumprimento de procedimentos de certificação aprovados a que se refere o artigo 42.o do Regulamento (UE) 2016/679 pode ser utilizado como um elemento demonstrativo do cumprimento das obrigações do responsável pelo tratamento.

Artigo 27.o

Proteção de dados desde a conceção e por defeito

1.   Tendo em conta as técnicas mais avançadas, os custos da sua aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos decorrentes do tratamento para os direitos e as liberdades das pessoas singulares, de probabilidade e gravidade variáveis, o responsável pelo tratamento deve aplicar, tanto no momento da definição dos meios de tratamento como durante o próprio tratamento, as medidas técnicas e organizativas adequadas, como a pseudonimização, destinadas a pôr efetivamente em prática os princípios da proteção de dados, como a minimização, e a integrar as garantias necessárias no tratamento a fim de cumprir os requisitos do presente regulamento e de proteger os direitos dos titulares dos dados.

2.   O responsável pelo tratamento deve aplicar medidas técnicas e organizativas adequadas para assegurar que, por defeito, só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento. Essa obrigação aplica-se à quantidade de dados pessoais recolhidos, à extensão do seu tratamento, ao seu prazo de conservação e à sua acessibilidade. Em especial, essas medidas asseguram que, por defeito, os dados pessoais não sejam disponibilizados sem intervenção humana a um número indeterminado de pessoas singulares.

3.   O cumprimento de procedimentos de certificação aprovados nos termos do artigo 42.o do Regulamento (UE) 2016/679 pode ser utilizado como um elemento demonstrativo do cumprimento das obrigações estabelecidas nos n.os 1 e 2 do presente artigo.

Artigo 28.o

Responsáveis conjuntos pelo tratamento

1.   Caso dois ou mais responsáveis pelo tratamento, ou um ou mais responsáveis pelo tratamento juntamente com um ou mais responsáveis pelo tratamento que não sejam instituições ou órgãos da União, determinem em conjunto as finalidades e os meios do tratamento, são considerados responsáveis conjuntos pelo tratamento. Os responsáveis conjuntos pelo tratamento determinam, por acordo entre si e de modo transparente, as respetivas responsabilidades pelo cumprimento das suas obrigações em matéria de proteção de dados, nomeadamente no que diz respeito ao exercício dos direitos do titular dos dados e aos seus deveres de prestar as informações referidas nos artigos 15.o e 16.o, a não ser e na medida em que as suas responsabilidades respetivas sejam determinadas pelo direito da União ou pelo direito do Estado-Membro a que estão sujeitos. No referido acordo, pode ser designado um ponto de contacto para os titulares dos dados.

2.   O acordo a que se refere o n.o 1 deve refletir devidamente as funções e as relações respetivas dos responsáveis conjuntos pelo tratamento em relação aos titulares dos dados. O teor do acordo deve ser disponibilizado ao titular dos dados.

3.   Independentemente dos termos do acordo a que se refere o n.o 1, o titular dos dados pode exercer os direitos que o presente regulamento lhe confere em relação a, e contra, cada um dos responsáveis pelo tratamento.

Artigo 29.o

Subcontratantes

1.   Caso o tratamento dos dados seja efetuado por sua conta, o responsável pelo tratamento deve recorrer apenas a subcontratantes que apresentem garantias suficientes de execução de medidas técnicas e organizativas adequadas de tal forma que o tratamento satisfaça os requisitos do presente regulamento e assegure a defesa dos direitos do titular dos dados.

2.   O subcontratante não pode contratar outro subcontratante sem autorização escrita prévia, específica ou geral, do responsável pelo tratamento. Em caso de autorização geral por escrito, o subcontratante deve informar o responsável pelo tratamento das alterações pretendidas quanto ao aumento do número ou à substituição de outros subcontratantes, dando assim ao responsável pelo tratamento a oportunidade de se opor a essas alterações.

3.   O tratamento por subcontratação é regulado por contrato ou por outro ato normativo ao abrigo do direito da União ou do direito dos Estados-Membros, que vincule o subcontratante ao responsável pelo tratamento, estabeleça o objeto e a duração do tratamento, a sua natureza e a sua finalidade, o tipo de dados pessoais e as categorias dos titulares dos dados, e as obrigações e os direitos do responsável pelo tratamento. Esse contrato, ou outro ato normativo, deve estipular, em especial, que o subcontratante:

a)

Trata os dados pessoais apenas mediante instruções documentadas do responsável pelo tratamento, nomeadamente no que respeita às transferências de dados pessoais para países terceiros ou para organizações internacionais, salvo se for obrigado a fazê-lo pelo direito da União ou pelo direito do Estado-Membro a que está sujeito; nesse caso, o subcontratante informa o responsável pelo tratamento desse requisito jurídico antes do tratamento, salvo se a lei proibir tal informação por motivos importantes de interesse público;

b)

Assegura que as pessoas autorizadas a tratar os dados pessoais assumiram um compromisso de confidencialidade ou estão sujeitas às obrigações legais de confidencialidade adequadas;

c)

Adota todas as medidas exigidas nos termos do artigo 33.o;

d)

Respeita as condições a que se referem os n.os 2 e 4 para contratar outro subcontratante;

e)

Tendo em conta a natureza do tratamento, e na medida do possível, presta assistência ao responsável pelo tratamento através de medidas técnicas e organizativas adequadas destinadas a permitir que este cumpra a sua obrigação de dar resposta aos pedidos dos titulares dos dados para o exercício dos seus direitos previstos no capítulo III;

f)

Presta assistência ao responsável pelo tratamento para assegurar o cumprimento das obrigações previstas nos artigos 33.o a 41.o, tendo em conta a natureza do tratamento e as informações ao seu dispor;

g)

Consoante a escolha do responsável pelo tratamento, apaga todos os dados pessoais ou devolve-lhos uma vez concluída a prestação de serviços relacionados com o tratamento, e apaga as cópias existentes, salvo se a conservação dos dados pessoais for exigida ao abrigo do direito da União ou do direito dos Estados-Membros;

h)

Disponibiliza ao responsável pelo tratamento todas as informações necessárias para demonstrar o cumprimento das obrigações previstas no presente artigo e facilita e contribui para as auditorias, incluindo as inspeções, realizadas pelo responsável pelo tratamento ou por outro auditor por ele mandatado.

No que diz respeito ao primeiro parágrafo, alínea h), o subcontratante deve informar imediatamente o responsável pelo tratamento se, no seu entender, alguma instrução violar o presente regulamento ou outras disposições do direito da União ou do direito dos Estados-Membros em matéria de proteção de dados.

4.   Caso o subcontratante contrate outro subcontratante para realizar operações específicas de tratamento por conta do responsável pelo tratamento, são impostas a esse outro subcontratante, por contrato ou por outro ato normativo ao abrigo do direito da União ou do direito dos Estados-Membros, as mesmas obrigações em matéria de proteção de dados que as estabelecidas no contrato ou noutro ato normativo entre o responsável pelo tratamento e o subcontratante, referidas no n.o 3, em particular a obrigação de apresentar garantias suficientes de aplicar as medidas técnicas e organizativas adequadas de forma que o tratamento satisfaça os requisitos do presente regulamento. Se esse outro subcontratante não cumprir as suas obrigações em matéria de proteção de dados, o subcontratante inicial continua a ser plenamente responsável perante o responsável pelo tratamento pelo cumprimento das obrigações desse outro subcontratante.

5.   Caso o subcontratante não seja uma instituição ou um órgão da União, o cumprimento de um código de conduta aprovado a que se refere o artigo 40.o, n.o 5, do Regulamento (UE) 2016/679, ou de um procedimento de certificação aprovado a que se refere o artigo 42.o do Regulamento (UE) 2016/679, pode ser utilizado como um elemento demonstrativo das garantias suficientes referidas nos n.os 1 e 4 do presente artigo.

6.   Sem prejuízo da existência de um contrato entre o responsável pelo tratamento e o subcontratante, o contrato ou o outro ato normativo referidos nos n.os 3 e 4 do presente artigo podem basear-se, total ou parcialmente, nas cláusulas contratuais-tipo referidas nos n.os 7 e 8 do presente artigo, inclusive caso façam parte de uma certificação concedida ao subcontratante que não seja uma instituição ou um órgão da União ao abrigo do artigo 42.o do Regulamento (UE) 2016/679.

7.   A Comissão pode estabelecer cláusulas contratuais-tipo para as matérias referidas nos n.os 3 e 4 do presente artigo pelo procedimento de exame a que se refere o artigo 96.o, n.o 2.

8.   A Autoridade Europeia para a Proteção de Dados pode adotar cláusulas contratuais-tipo para as matérias referidas nos n.os 3 e 4.

9.   O contrato ou o outro ato normativo a que se referem os n.os 3 e 4 é feito por escrito, inclusive em formato eletrónico.

10.   Sem prejuízo dos artigos 65.o e 66.o, o subcontratante que, em violação do presente regulamento, determine as finalidades e os meios de tratamento, é considerado responsável pelo tratamento no que respeita ao tratamento em questão.

Artigo 30.o

Tratamento sob a autoridade do responsável pelo tratamento ou do subcontratante

O subcontratante ou qualquer pessoa que, agindo sob a autoridade do responsável pelo tratamento ou do subcontratante, tenha acesso a dados pessoais, não procede ao tratamento desses dados a não ser por instrução do responsável pelo tratamento, salvo se a tal for obrigado pelo direito da União ou pelo direito dos Estados-Membros.

Artigo 31.o

Registos das atividades de tratamento

1.   Cada responsável pelo tratamento deve conservar um registo de todas as atividades de tratamento sob a sua responsabilidade. Desse registo devem constar todas as informações seguintes:

a)

O nome e os contactos do responsável pelo tratamento, do encarregado da proteção de dados e, se for caso disso, do subcontratante e do responsável conjunto pelo tratamento;

b)

As finalidades do tratamento dos dados;

c)

A descrição das categorias de titulares de dados e das categorias de dados pessoais;

d)

As categorias de destinatários a quem os dados pessoais foram ou serão divulgados, incluindo os destinatários estabelecidos em Estados-Membros ou em países terceiros, ou pertencentes a organizações internacionais;

e)

Se for aplicável, as transferências de dados pessoais para um país terceiro ou para uma organização internacional, incluindo a identificação desse país terceiro ou dessa organização internacional, e a documentação que comprove a existência das garantias adequadas;

f)

Se possível, os prazos previstos para o apagamento das diferentes categorias de dados;

g)

Se possível, uma descrição geral das medidas técnicas e organizativas no domínio da segurança referidas no artigo 33.o.

2.   Cada subcontratante deve conservar um registo de todas as categorias de atividades de tratamento realizadas em nome de um responsável pelo tratamento, do qual constem:

a)

O nome e os contactos do subcontratante ou subcontratantes e de cada responsável pelo tratamento em nome do qual o subcontratante atua, e do encarregado da proteção de dados;

b)

As categorias de tratamentos efetuados em nome de cada responsável pelo tratamento;

c)

Se for aplicável, as transferências de dados pessoais para um país terceiro ou para uma organização internacional, incluindo a identificação desse país terceiro ou dessa organização internacional, e a documentação que comprove a existência das garantias adequadas;

d)

Se possível, uma descrição geral das medidas técnicas e organizativas no domínio da segurança referidas no artigo 33.o.

3.   Os registos a que se referem os n.os 1 e 2 são feitos por escrito, inclusive em formato eletrónico.

4.   As instituições e os órgãos da União disponibilizam os registos, a pedido, à Autoridade Europeia para a Proteção de Dados.

5.   A não ser que tal não seja adequado devido à dimensão da instituição ou do órgão da União, as instituições e os órgãos da União conservam os seus registos de atividades de tratamento num registo central. O registo é acessível ao público.

Artigo 32.o

Cooperação com a Autoridade Europeia para a Proteção de Dados

As instituições e os órgãos da União cooperam, a pedido, com a Autoridade Europeia para a Proteção de Dados no exercício das suas funções.

SECÇÃO 2

Segurança dos dados pessoais

Artigo 33.o

Segurança do tratamento

1.   Tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variáveis, para os direitos e as liberdades das pessoas singulares, o responsável pelo tratamento e o subcontratante aplicam medidas técnicas e organizativas apropriadas para assegurar um nível de segurança adequado ao risco, nomeadamente, conforme adequado:

a)

A pseudonimização e a cifragem dos dados pessoais;

b)

A capacidade de assegurar a confidencialidade, a integridade, a disponibilidade e a resiliência permanentes dos sistemas e dos serviços de tratamento;

c)

A capacidade de restabelecer atempadamente a disponibilidade e o acesso aos dados pessoais em caso de incidente físico ou técnico;

d)

Um processo para testar, apreciar e avaliar periodicamente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento.

2.   Ao avaliar o nível de segurança adequado, devem ser tidos em conta, designadamente, os riscos apresentados pelo tratamento, em particular os riscos decorrentes da destruição, da perda e da alteração acidentais ou ilícitas dos dados, e da divulgação ou do acesso não autorizados dos dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.

3.   O responsável pelo tratamento e o subcontratante devem tomar medidas para assegurar que as pessoas singulares que, agindo sob a autoridade do responsável pelo tratamento ou do subcontratante, tenham acesso a dados pessoais, só procedam ao seu tratamento mediante instruções do responsável pelo tratamento, salvo se a tal forem obrigadas pelo direito da União.

4.   O cumprimento de um procedimento de certificação aprovado a que se refere o artigo 42.o do Regulamento (UE) 2016/679 pode ser utilizado como um elemento demonstrativo do cumprimento das obrigações estabelecidas no n.o 1 do presente artigo.

Artigo 34.o

Notificação de violações dos dados pessoais à Autoridade Europeia para a Proteção de Dados

1.   Em caso de violação de dados pessoais, o responsável pelo tratamento notifica desse facto a Autoridade Europeia para a Proteção de Dados sem demora indevida e, se possível, no prazo de 72 horas após ter tido conhecimento da violação, salvo se essa violação não for suscetível de constituir um risco para os direitos e para as liberdades das pessoas singulares. Caso não seja feita no prazo de 72 horas, a notificação à Autoridade Europeia para a Proteção de Dados deve ser acompanhada dos motivos do atraso.

2.   O subcontratante deve notificar o responsável pelo tratamento sem demora indevida após tomar conhecimento de uma violação de dados pessoais.

3.   A notificação referida no n.o 1 deve, pelo menos:

a)

Descrever a natureza da violação de dados pessoais, incluindo, se possível, as categorias e o número aproximado de titulares de dados afetados, e as categorias e o número aproximado de registos de dados pessoais em causa;

b)

Comunicar o nome e os contactos do encarregado da proteção de dados;

c)

Descrever as consequências prováveis da violação de dados pessoais;

d)

Descrever as medidas adotadas ou propostas pelo responsável pelo tratamento para reparar a violação de dados pessoais, incluindo, se for caso disso, medidas para atenuar os seus eventuais efeitos negativos.

4.   Caso, e na medida em que, não seja possível comunicar todas as informações ao mesmo tempo, as informações podem ser comunicadas por fases, sem demora indevida.

5.   O responsável pelo tratamento deve informar o encarregado da proteção de dados acerca da violação de dados pessoais.

6.   O responsável pelo tratamento deve documentar todas as violações de dados pessoais, incluindo os factos relacionados com a violação, os seus efeitos e as medidas de reparação adotadas. Essa documentação deve permitir à Autoridade Europeia para a Proteção de Dados verificar o respeito do presente artigo.

Artigo 35.o

Comunicação de violações de dados pessoais ao titular dos dados

1.   Caso uma violação de dados pessoais seja suscetível de constituir um elevado risco para os direitos e para as liberdades das pessoas singulares, o responsável pelo tratamento deve comunicá-la ao titular dos dados sem demora indevida.

2.   A comunicação ao titular dos dados a que se refere o n.o 1 do presente artigo deve descrever em linguagem clara e simples a natureza da violação de dados pessoais e incluir, pelo menos, as informações e as medidas referidas no artigo 34.o, n.o 3, alíneas b), c) e d).

3.   A comunicação ao titular dos dados a que se refere o n.o 1 não é obrigatória caso esteja satisfeita uma das seguintes condições:

a)

O responsável pelo tratamento aplicou medidas técnicas e organizativas de proteção adequadas aos dados pessoais afetados pela violação, nomeadamente medidas como, por exemplo, a cifragem, que tornam os dados pessoais incompreensíveis para as pessoas não autorizadas a aceder a esses dados;

b)

O responsável pelo tratamento tomou medidas subsequentes que asseguram que o elevado risco para os direitos e para as liberdades dos titulares dos dados a que se refere o n.o 1 já não é suscetível de se concretizar;

c)

A comunicação implicaria um esforço desproporcionado. Nesse caso, é feita uma comunicação pública, ou tomada uma medida semelhante, através da qual os titulares dos dados são informados de forma igualmente eficaz.

4.   Se o responsável pelo tratamento ainda não tiver comunicado a violação de dados pessoais ao titular dos dados, a Autoridade Europeia para a Proteção de Dados, tendo avaliado a probabilidade de a violação de dados pessoais implicar um elevado risco, pode exigir-lhe que proceda a essa comunicação, ou pode constatar que está satisfeita uma das condições referidas no n.o 3.

SECÇÃO 3

Confidencialidade das comunicações eletrónicas

Artigo 36.o

Confidencialidade das comunicações eletrónicas

As instituições e os órgãos da União devem assegurar a confidencialidade das comunicações eletrónicas, em especial garantindo a segurança das respetivas redes de comunicações eletrónicas.

Artigo 37.o

Proteção das informações transmitidas aos equipamentos terminais dos utilizadores, neles conservadas e com eles relacionadas, e das informações tratadas e recolhidas através desses equipamentos

As instituições e os órgãos da União devem proteger as informações transmitidas aos equipamentos terminais dos utilizadores que acedem aos seus sítios Web e a aplicações móveis acessíveis ao público, conservadas nesses equipamentos e com eles relacionadas, e das informações tratadas e recolhidas através desses equipamentos, nos termos do artigo 5.o, n.o 3, da Diretiva 2002/58/CE.

Artigo 38.o

Listas de utilizadores

1.   Os dados pessoais inseridos em listas de utilizadores e o acesso a essas listas devem limitar-se ao estritamente necessário para os fins específicos das listas.

2.   As instituições e os órgãos da União devem tomar todas as medidas necessárias para impedir que os dados pessoais incluídos nessas listas, independentemente de as mesmas serem ou não acessíveis ao público, sejam utilizados para fins de marketing direto.

SECÇÃO 4

Avaliação de impacto relativa à proteção de dados e consulta prévia

Artigo 39.o

Avaliação de impacto relativa à proteção de dados

1.   Caso um tipo de tratamento, em particular, um tipo de tratamento que utilize novas tecnologias, seja suscetível de constituir um elevado risco para os direitos e as liberdades das pessoas singulares, o responsável pelo tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento, deve proceder, antes de iniciar o tratamento, a uma avaliação do impacto das operações de tratamento previstas na proteção de dados pessoais. Se um conjunto de operações de tratamento apresentar riscos elevados semelhantes, pode ser objeto de uma única e mesma avaliação.

2.   Ao efetuar uma avaliação de impacto relativa à proteção de dados, o responsável pelo tratamento deve solicitar o parecer do encarregado da proteção de dados.

3.   A realização de uma avaliação de impacto relativa à proteção de dados a que se refere o n.o 1 é obrigatória, nomeadamente, em caso de:

a)

Uma avaliação sistemática aprofundada dos aspetos pessoais relacionados com pessoas singulares baseada no tratamento automatizado, incluindo a definição de perfis, com base na qual são adotadas decisões que produzem efeitos jurídicos relativamente à pessoa singular ou que a afetem significativamente de forma similar;

b)

Um tratamento em grande escala de categorias especiais de dados a que se refere o artigo 10.o, ou de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 11.o; ou

c)

Um controlo sistemático em grande escala de uma zona acessível ao público.

4.   A Autoridade Europeia para a Proteção de Dados deve estabelecer e tornar pública uma lista dos tipos de operações de tratamento sujeitos ao requisito de avaliação de impacto relativa à proteção de dados nos termos do n.o 1.

5.   A Autoridade Europeia para a Proteção de Dados pode também estabelecer e tornar pública uma lista dos tipos de operações de tratamento em relação aos quais a avaliação de impacto relativa à proteção de dados não é obrigatória.

6.   Antes de adotar as listas referidas nos n.os 4 e 5 do presente artigo, a Autoridade Europeia para a Proteção de Dados solicita que o Comité Europeu para a Proteção de Dados criado pelo artigo 68.o do Regulamento (UE) 2016/679 analise essas listas nos termos do artigo 70.o, n.o 1, alínea e), desse regulamento, caso se refiram a operações de tratamento efetuadas por um responsável pelo tratamento que atue em conjunto com um ou mais responsáveis pelo tratamento que não sejam uma instituição ou um organismo da União.

7.   A avaliação deve incluir, pelo menos:

a)

Uma descrição sistemática das operações de tratamento previstas e das finalidades do tratamento;

b)

Uma avaliação da necessidade e da proporcionalidade das operações de tratamento em relação às finalidades;

c)

Uma avaliação dos riscos para os direitos e as liberdades dos titulares de dados a que se refere o n.o 1; e

d)

As medidas previstas para fazer face aos riscos, incluindo as garantias, as medidas de segurança e os procedimentos destinados a assegurar a proteção dos dados pessoais e a demonstrar a conformidade com o presente regulamento, tendo em conta os direitos e os interesses legítimos dos titulares dos dados e de outras pessoas afetadas.

8.   Ao avaliar o impacto das operações de tratamento efetuadas pelos subcontratantes, em especial para efeitos de uma avaliação de impacto relativa à proteção de dados, deve ser tido em devida conta o respeito dos códigos de conduta aprovados a que se refere o artigo 40.o do Regulamento (UE) 2016/679 pelos subcontratantes em causa que não sejam instituições ou órgãos da União.

9.   Se for adequado, o responsável pelo tratamento deve solicitar a opinião dos titulares de dados ou dos seus representantes sobre o tratamento previsto, sem prejuízo da defesa dos interesses públicos ou da segurança das operações de tratamento.

10.   Se o tratamento efetuado por força do artigo 5.o, n.o 1, alíneas a) ou b), tiver por fundamento jurídico um ato normativo adotado com base nos Tratados, e esse ato regular a operação ou conjuntos de operações de tratamento específicas em questão, e se já tiver sido realizada uma avaliação de impacto geral da proteção dos dados antes da adoção desse ato normativo, não se aplicam os n.os 1 a 6 do presente artigo, salvo disposição em contrário prevista nesse ato normativo.

11.   Se necessário, o responsável pelo tratamento deve proceder a um controlo para avaliar se o tratamento é realizado em conformidade com a avaliação de impacto relativa à proteção de dados, pelo menos quando existir uma alteração do risco representado pelas operações de tratamento.

Artigo 40.o

Consulta prévia

1.   O responsável pelo tratamento deve consultar a Autoridade Europeia para a Proteção de Dados antes de proceder ao tratamento, caso uma avaliação de impacto relativa à proteção de dados, efetuada nos termos do artigo 39.o, indique que o tratamento, na falta de garantias, de medidas e de procedimentos de segurança para atenuar os riscos, constitui um elevado risco para os direitos e as liberdades das pessoas singulares, e o responsável pelo tratamento considere que o risco não poderá ser atenuado através de meios razoáveis, tendo em conta as tecnologias disponíveis e os custos de aplicação. O responsável pelo tratamento deve solicitar o parecer do encarregado da proteção de dados sobre a necessidade da consulta prévia.

2.   Caso a Autoridade Europeia para a Proteção de Dados considere que o tratamento previsto a que se refere o n.o 1 violaria o presente regulamento, nomeadamente se o responsável pelo tratamento não tiver identificado ou atenuado suficientemente os riscos, deve emitir orientações por escrito, no prazo máximo de oito semanas a contar da receção do pedido de consulta, destinadas ao responsável pelo tratamento e, se aplicável, ao subcontratante, e pode recorrer a todos os seus poderes referidos no artigo 58.o. Esse prazo pode ser prorrogado por seis semanas, tendo em conta a complexidade do tratamento previsto. A Autoridade Europeia para a Proteção de Dados deve informar da prorrogação o responsável pelo tratamento e, se aplicável, o subcontratante, no prazo de um mês a contar da data de receção do pedido de consulta, indicando os motivos do atraso. Esses prazos podem ser suspensos até a Autoridade Europeia para a Proteção de Dados ter obtido as informações solicitadas para os efeitos da consulta.

3.   Quando consultar a Autoridade Europeia para a Proteção de Dados nos termos do n.o 1, o responsável pelo tratamento deve comunicar-lhe os seguintes elementos:

a)

Se for aplicável, a repartição de responsabilidades entre o responsável pelo tratamento, os responsáveis conjuntos pelo tratamento e os subcontratantes envolvidos no tratamento;

b)

As finalidades e os meios do tratamento previsto;

c)

As medidas e garantias previstas para a defesa dos direitos e liberdades dos titulares dos dados nos termos do presente regulamento;

d)

Os contactos do encarregado da proteção de dados;

e)

A avaliação de impacto relativa à proteção de dados prevista no artigo 39.o; e

f)

Outras informações solicitadas pela Autoridade Europeia para a Proteção de Dados.

4.   A Comissão pode elaborar, mediante um ato de execução, uma lista de casos em que os responsáveis pelo tratamento devem consultar a Autoridade Europeia para a Proteção de Dados e dela obter a autorização prévia no que diz respeito ao tratamento de dados pessoais efetuado no exercício de uma missão de interesse público por um responsável pelo tratamento, incluindo o tratamento desses dados por motivos de proteção social e de saúde pública.

SECÇÃO 5

Informação e consulta legislativa

Artigo 41.o

Informação e consulta

1.   As instituições e os órgãos da União devem informar a Autoridade Europeia para a Proteção de Dados da elaboração de medidas administrativas e de regras internas relativas ao tratamento de dados pessoais por uma instituição ou por um órgão da União, quer individualmente quer conjuntamente.

2.   Quando elaborarem as regras internas referidas no artigo 25.o, as instituições e os órgãos da União devem consultar a Autoridade Europeia para a Proteção de Dados.

Artigo 42.o

Consulta legislativa

1.   Após ter adotado propostas de atos legislativos, recomendações ou propostas ao Conselho nos termos do artigo 218.o do TFUE, ou quando elaborar atos delegados ou atos de execução, a Comissão deve consultar a Autoridade Europeia para a Proteção de Dados caso exista um impacto na proteção dos direitos e das liberdades das pessoas singulares no que diz respeito ao tratamento de dados pessoais.

2.   Caso um ato referido no n.o 1 tenha particular importância para a proteção dos direitos e das liberdades das pessoas singulares no que diz respeito ao tratamento de dados pessoais, a Comissão pode consultar também o Comité Europeu para a Proteção de Dados. Nesses casos, a Autoridade Europeia para a Proteção de Dados e o Comité Europeu para a Proteção de Dados devem coordenar o seu trabalho, para emitir um parecer comum.

3.   O parecer referido nos n.os 1 e 2 é emitido por escrito no prazo de oito semanas a contar da receção do pedido de consulta referido nos n.os 1 e 2. Em casos urgentes, ou sempre que necessário, a Comissão pode reduzir esse prazo.

4.   O presente artigo não se aplica quando a Comissão é obrigada, por força do Regulamento (UE) 2016/679, a consultar o Comité Europeu para a Proteção de Dados.

SECÇÃO 6

Encarregado da proteção de dados

Artigo 43.o

Designação do encarregado da proteção de dados

1.   Cada instituição ou órgão da União deve designar um encarregado da proteção de dados.

2.   As instituições e os órgãos da União podem designar um único encarregado da proteção de dados para várias instituições e órgãos, tendo em conta a sua dimensão e a sua estrutura organizativa.

3.   O encarregado da proteção de dados é designado com base nas suas qualidades profissionais e, em particular, nos seus conhecimentos especializados no domínio do direito e das práticas em matéria de proteção de dados, bem como na sua capacidade para desempenhar as funções referidas no artigo 45.o.

4.   O encarregado da proteção de dados deve ser um membro do pessoal da instituição ou do órgão da União. Tendo em conta a sua dimensão, e se a opção prevista no n.o 2 não for exercida, as instituições e os órgãos da União podem designar um encarregado da proteção de dados que exerça as suas funções com base num contrato de prestação de serviços.

5.   As instituições e os órgãos da União publicam os contactos do encarregado da proteção de dados e comunicam-nos à Autoridade Europeia para a Proteção de Dados.

Artigo 44.o

Posição do encarregado da proteção de dados

1.   As instituições e os órgãos da União devem assegurar que o encarregado da proteção de dados seja envolvido, de forma adequada e atempada, em todas as matérias relacionadas com a proteção de dados pessoais.

2.   As instituições e os órgãos da União devem apoiar o encarregado da proteção de dados no exercício das funções referidas no artigo 45.o, fornecendo-lhe os recursos necessários para desempenhar essas funções e para aceder aos dados pessoais e às operações de tratamento, e para manter os seus conhecimentos especializados.

3.   As instituições e os órgãos da União devem assegurar que o encarregado da proteção de dados não receba instruções no que diz respeito ao exercício dessas funções. O encarregado da proteção de dados não pode ser destituído nem penalizado pelo responsável pelo tratamento ou pelo subcontratante pelo exercício das suas funções. O encarregado da proteção de dados reporta diretamente ao mais alto nível da direção do responsável pelo tratamento ou do subcontratante.

4.   Os titulares dos dados podem contactar o encarregado da proteção de dados sobre todas matérias relacionadas com o tratamento dos seus dados pessoais e com o exercício dos direitos que lhes são conferidos pelo presente regulamento.

5.   O encarregado da proteção de dados e o seu pessoal estão vinculados à obrigação de sigilo ou de confidencialidade no exercício das suas funções, em conformidade com o direito da União.

6.   O encarregado da proteção de dados pode exercer outras funções e atribuições. O responsável pelo tratamento ou o subcontratante devem assegurar que essas funções e atribuições não deem origem a conflitos de interesses.

7.   O encarregado da proteção de dados pode ser consultado sobre qualquer questão relativa à interpretação ou à aplicação do presente regulamento pelo responsável pelo tratamento e pelo subcontratante, pelo Comité do Pessoal ou por qualquer outra pessoa singular, sem que estes tenham que recorrer às vias oficiais. Ninguém pode ser prejudicado por uma questão levada ao conhecimento do encarregado da proteção de dados competente por alegadamente constituir uma violação do presente regulamento.

8.   O encarregado da proteção de dados é designado por um período de três a cinco anos, e o seu mandato é renovável. O encarregado da proteção de dados pode ser destituído pela instituição ou pelo órgão da União que o nomeou se tiver deixado de preencher as condições exigidas para o exercício das suas funções, e unicamente com o acordo da Autoridade Europeia para a Proteção de Dados.

9.   Após a designação do encarregado da proteção de dados, o seu nome é comunicado à Autoridade Europeia para a Proteção de Dados pela instituição ou pelo órgão da União que o tenha designado.

Artigo 45.o

Funções do encarregado da proteção de dados

1.   O encarregado da proteção de dados tem as seguintes funções:

a)

Informar e aconselhar o responsável pelo tratamento ou o subcontratante, e os membros do pessoal que tratam os dados, a respeito das suas obrigações nos termos do presente regulamento e de outras disposições de proteção de dados da União;

b)

Garantir de forma independente a aplicação interna do presente regulamento; controlar o cumprimento do presente regulamento, de outras disposições aplicáveis do direito da União relativas à proteção de dados e das regras internas do responsável pelo tratamento ou do subcontratante em matéria de proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e a formação do pessoal envolvido nas operações de tratamento, e as auditorias correspondentes;

c)

Garantir que os titulares dos dados sejam informados dos seus direitos e deveres nos termos do presente regulamento;

d)

Prestar aconselhamento, quando tal lhe for solicitado, sobre a necessidade de notificar ou comunicar uma violação de dados pessoais, nos termos dos artigos 34.o e 35.o;

e)

Prestar aconselhamento, quando tal lhe for solicitado, no que diz respeito à avaliação de impacto relativa à proteção de dados, e controlar a sua realização nos termos do artigo 39.o; e consultar a Autoridade Europeia para a Proteção de Dados em caso de dúvida quanto à necessidade de uma avaliação de impacto relativa à proteção de dados;

f)

Prestar aconselhamento, quando tal lhe for solicitado, sobre a necessidade de consulta prévia da Autoridade Europeia para a Proteção de Dados nos termos do artigo 40.o; e consultar a Autoridade Europeia para a Proteção de Dados em caso de dúvida quanto à necessidade de consulta prévia;

g)

Responder aos pedidos da Autoridade Europeia para a Proteção de Dados; no âmbito da sua esfera de competência, cooperar com a Autoridade Europeia para a Proteção de Dados e consultá-la, a seu pedido ou por iniciativa própria;

h)

Assegurar que as operações de tratamento não atentem contra os direitos e as liberdades dos titulares dos dados.

2.   O encarregado da proteção de dados pode emitir recomendações dirigidas ao responsável pelo tratamento e ao subcontratante a fim de melhorar concretamente a proteção de dados, e aconselhá-los sobre matérias relativas à aplicação das disposições relativas à proteção de dados. Além disso, por iniciativa própria ou a pedido do responsável pelo tratamento ou do subcontratante, do comité de pessoal ou de qualquer pessoa, pode investigar questões e factos diretamente relacionados com as suas funções de que tenha tido conhecimento e, se necessário, informar a pessoa que solicitou a investigação ou o responsável pelo tratamento ou o subcontratante.

3.   Devem ser adotadas disposições de execução complementares respeitantes ao encarregado da proteção de dados por cada instituição ou órgão da União. Essas disposições de execução devem incidir em especial sobre as funções e as competências do encarregado da proteção de dados.

CAPÍTULO V

TRANSFERÊNCIAS DE DADOS PESSOAIS PARA PAÍSES TERCEIROS OU ORGANIZAÇÕES INTERNACIONAIS

Artigo 46.o

Princípio geral das transferências

As transferências de dados pessoais, que sejam ou venham a ser objeto de tratamento após a transferência para um país terceiro ou para uma organização internacional, só são realizadas se, sem prejuízo das outras disposições do presente regulamento, as condições estabelecidas no presente capítulo forem respeitadas pelo responsável pelo tratamento e pelo subcontratante, inclusivamente no que diz respeito às transferências ulteriores de dados pessoais do país terceiro ou da organização internacional para outro país terceiro ou para outra organização internacional. Todas as disposições do presente capítulo devem ser aplicadas de forma a assegurar que o nível de proteção das pessoas singulares garantido pelo presente regulamento não seja comprometido.

Artigo 47.o

Transferências com base numa decisão de adequação

1.   Pode ser realizada uma transferência de dados pessoais para um país terceiro ou para uma organização internacional se a Comissão tiver decidido, por força do artigo 45.o, n.o 3, do Regulamento (UE) 2016/679 ou do artigo 36.o, n.o 3, da Diretiva (UE) 2016/680, que o país terceiro, um território ou um setor ou setores específicos desse país terceiro, ou a organização internacional em causa, garantem um nível de proteção adequado, e se os dados pessoais forem transferidos exclusivamente para o desempenho de funções da competência do responsável pelo tratamento.

2.   As instituições e os órgãos da União devem informar a Comissão e a Autoridade Europeia para a Proteção de Dados dos casos em que consideram que um país terceiro, um território, um setor ou setores específicos de um país terceiro, ou uma organização internacional não garantem um nível de proteção adequado nos termos do n.o 1.

3.   As instituições e os órgãos da União devem tomar as medidas necessárias para dar cumprimento às decisões tomadas pela Comissão, caso esta estabeleça, ao abrigo do artigo 45.o, n.os 3 ou 5, do Regulamento (UE) 2016/679, ou do artigo 36.o, n.os 3 ou 5, da Diretiva (UE) 2016/680, que um país terceiro, um território ou um ou mais setores específicos de um país terceiro, ou uma organização internacional, asseguram ou deixaram de assegurar um nível de proteção adequado.

Artigo 48.o

Transferências sujeitas a garantias adequadas

1.   Na falta de uma decisão nos termos do artigo 45.o, n.o 3, do Regulamento (UE) 2016/679 ou do artigo 36.o, n.o 3, da Diretiva (UE) 2016/680, os responsáveis pelo tratamento ou os subcontratantes só podem transferir dados pessoais para um país terceiro ou para uma organização internacional se tiverem apresentado garantias adequadas, e na condição de os titulares dos dados gozarem de direitos oponíveis e de medidas jurídicas corretivas eficazes.

2.   As garantias adequadas a que se refere o n.o 1 podem ser previstas, sem autorização específica da Autoridade Europeia para a Proteção de Dados, por meio de:

a)

Um instrumento juridicamente vinculativo e com força executiva entre autoridades ou organismos públicos;

b)

Cláusulas-tipo de proteção de dados adotadas pela Comissão pelo procedimento de exame a que se refere o artigo 96.o, n.o 2;

c)

Cláusulas-tipo de proteção de dados adotadas pela Autoridade Europeia para a Proteção de Dados e aprovadas pela Comissão pelo procedimento de exame a que se refere o artigo 96.o, n.o 2;

d)

Nos casos em que o subcontratante não é uma instituição ou um órgão da União, regras vinculativas aplicáveis às empresas, códigos de conduta ou procedimentos de certificação, ao abrigo do artigo 46.o, n.o 2, alíneas b), e) e f), do Regulamento (UE) 2016/679.

3.   Sob reserva de autorização da Autoridade Europeia para a Proteção de Dados, as garantias adequadas a que se refere o n.o 1 podem também ser previstas, nomeadamente, por meio de:

a)

Cláusulas contratuais entre o responsável pelo tratamento ou o subcontratante e o responsável pelo tratamento, o subcontratante ou o destinatário dos dados pessoais no país terceiro ou na organização internacional; ou

b)

Disposições a inserir nos acordos administrativos entre as autoridades ou organismos públicos que contemplem os direitos efetivos e oponíveis dos titulares dos dados.

4.   As autorizações concedidas pela Autoridade Europeia para a Proteção de Dados com base no artigo 9.o, n.o 7, do Regulamento (CE) n.o 45/2001 mantêm-se válidas até à sua alteração, substituição ou revogação, se necessário, pela Autoridade Europeia para a Proteção de Dados.

5.   As instituições e os órgãos da União devem informar a Autoridade Europeia para a Proteção de Dados das categorias de casos em que o presente artigo foi aplicado.

Artigo 49.o

Transferências ou divulgações não autorizadas pelo direito da União

As decisões judiciais e as decisões de autoridades administrativas de um país terceiro que exijam que o responsável pelo tratamento ou o subcontratante transfiram ou divulguem dados pessoais só são reconhecidas ou executadas se tiverem por base um acordo internacional, como, por exemplo, um acordo de assistência judiciária mútua, em vigor entre o país terceiro em causa e a União, sem prejuízo de outros motivos de transferência em conformidade com o presente capítulo.

Artigo 50.o

Derrogações em situações específicas

1.   Na falta de uma decisão de adequação nos termos do artigo 45.o, n.o 3, do Regulamento (UE) 2016/679 ou do artigo 36.o, n.o 3, da Diretiva (UE) 2016/680, ou de garantias adequadas nos termos do artigo 48.o do presente regulamento, uma transferência ou um conjunto de transferências de dados pessoais para um país terceiro ou para uma organização internacional só são efetuadas caso se verifique uma das seguintes condições:

a)

O titular dos dados deu o seu consentimento explícito à transferência prevista, após ter sido informado dos possíveis riscos de tais transferências para si próprio devido à falta de uma decisão de adequação e das garantias adequadas;

b)

A transferência é necessária para a execução de um contrato entre o titular dos dados e o responsável pelo tratamento ou para a aplicação de diligências prévias à formação do contrato decididas a pedido do titular dos dados;

c)

A transferência é necessária para a celebração ou para a execução de um contrato, celebrado no interesse do titular dos dados, entre o responsável pelo tratamento e outra pessoa singular ou coletiva;

d)

A transferência é necessária por razões importantes de interesse público;

e)

A transferência é necessária para a declaração, o exercício ou a defesa de um direito num processo judicial;

f)

A transferência é necessária para proteger os interesses vitais do titular dos dados ou de outras pessoas, se o titular dos dados estiver física ou legalmente incapaz de dar o seu consentimento; ou

g)

A transferência é realizada a partir de um registo que, nos termos do direito da União, se destina à informação do público e se encontra aberto à consulta do público ou de qualquer pessoa que possa provar um interesse legítimo, mas apenas na medida em que as condições estabelecidas para a consulta no direito da União sejam cumpridas no caso concreto.

2.   As alíneas a), b), e c) do n.o 1 não são aplicáveis a atividades executadas por instituições e órgãos da União no exercício dos seus poderes públicos.

3.   O interesse público referido no n.o 1, alínea d), deve ser reconhecido no direito da União.

4.   Uma transferência efetuada nos termos do n.o 1, alínea g), não pode envolver a totalidade dos dados pessoais nem categorias completas de dados pessoais constantes do registo, a não ser que seja autorizada pelo direito da União. Quando o registo se destinar a ser consultado por pessoas com um interesse legítimo, as transferências só podem ser efetuadas a pedido dessas pessoas, ou se forem elas os seus destinatários.

5.   Na falta de uma decisão de adequação, o direito da União pode estabelecer expressamente, por razões importantes de interesse público, limites à transferência de categorias específicas de dados pessoais para países terceiros ou para organizações internacionais.

6.   As instituições e os órgãos da União devem informar a Autoridade Europeia para a Proteção de Dados das categorias de casos em que o presente artigo foi aplicado.

Artigo 51.o

Cooperação internacional no domínio da proteção de dados pessoais

Em relação a países terceiros e a organizações internacionais, a Autoridade Europeia para a Proteção de Dados, em cooperação com a Comissão e com o Comité Europeu para a Proteção de Dados, deve tomar as medidas necessárias para:

a)

Estabelecer normas internacionais de cooperação destinadas a facilitar a aplicação efetiva da legislação relativa à proteção de dados pessoais;

b)

Prestar assistência mútua a nível internacional no domínio da aplicação da legislação relativa à proteção de dados pessoais, nomeadamente através da notificação, comunicação de reclamações, assistência na investigação e intercâmbio de informações, sob reserva das garantias adequadas de proteção dos dados pessoais e de outros direitos e liberdades fundamentais;

c)

Associar as partes interessadas aos debates e às atividades que visem intensificar a cooperação internacional no âmbito da aplicação da legislação relativa à proteção de dados pessoais;

d)

Promover o intercâmbio e a documentação da legislação e das práticas relativas à proteção de dados pessoais, inclusive no que diz respeito a conflitos de competência com países terceiros.

CAPÍTULO VI

AUTORIDADE EUROPEIA PARA A PROTEÇÃO DE DADOS

Artigo 52.o

Autoridade Europeia para a Proteção de Dados

1.   É criada a Autoridade Europeia para a Proteção de Dados.

2.   No que diz respeito ao tratamento de dados pessoais, a Autoridade Europeia para a Proteção de Dados é encarregada de assegurar que os direitos e as liberdades fundamentais das pessoas singulares, especialmente o direito à proteção de dados, sejam respeitados pelas instituições e pelos órgãos da União.

3.   A Autoridade Europeia para a Proteção de Dados é encarregada do controlo e da aplicação das disposições do presente regulamento e de qualquer outro ato da União relativo à proteção dos direitos e das liberdades fundamentais das pessoas singulares no que diz respeito ao tratamento de dados pessoais por uma instituição ou um órgão da União, bem como do aconselhamento das instituições e dos órgãos da União e dos titulares dos dados sobre todas as questões relativas ao tratamento de dados pessoais. Para esses fins, a Autoridade Europeia para a Proteção de Dados exerce as atribuições previstas no artigo 57.o e os poderes conferidos pelo artigo 58.o.

4.   O Regulamento (CE) n.o 1049/2001 é aplicável aos documentos detidos pela Autoridade Europeia para a Proteção de Dados. A Autoridade Europeia para a Proteção de Dados adota as regras de aplicação do Regulamento (CE) n.o 1049/2001 no que diz respeito a esses documentos.

Artigo 53.o

Nomeação da Autoridade Europeia para a Proteção de Dados

1.   O Parlamento Europeu e o Conselho nomeiam, de comum acordo e por um período de cinco anos, a Autoridade Europeia para a Proteção de Dados, com base numa lista estabelecida pela Comissão na sequência de um convite público à apresentação de candidaturas. Esse convite público à apresentação de candidaturas permite a todas as pessoas interessadas na União apresentarem as suas candidaturas. A lista de candidatos elaborada pela Comissão é pública e deve ser constituída, no mínimo, por três candidatos. Com base na lista elaborada pela Comissão, a comissão competente do Parlamento Europeu pode decidir realizar uma audição que lhe permita exprimir a sua preferência.

2.   A lista de candidatos referida no n.o 1 deve ser constituída por pessoas que ofereçam todas as garantias de independência e que disponham de conhecimentos especializados no domínio da proteção de dados, além da experiência e da competência requeridas para o desempenho das funções de Autoridade Europeia para a Proteção de Dados.

3.   O mandato da Autoridade Europeia para a Proteção de Dados é renovável uma vez.

4.   As funções da Autoridade Europeia para a Proteção de Dados cessam nas seguintes circunstâncias:

a)

Em caso de substituição da Autoridade Europeia para a Proteção de Dados;

b)

Em caso de exoneração da Autoridade Europeia para a Proteção de Dados;

c)

Em caso de demissão ou de aposentação compulsiva da Autoridade Europeia para a Proteção de Dados.

5.   A Autoridade Europeia para a Proteção de Dados pode ser declarada demissionária ou privada do seu direito à pensão ou a outros benefícios equivalentes por decisão do Tribunal de Justiça, a pedido do Parlamento Europeu, do Conselho ou da Comissão, se deixar de preencher os requisitos necessários ao exercício das suas funções ou tiver cometido uma falta grave.

6.   Nos casos de substituição regular ou de exoneração voluntária, a Autoridade Europeia para a Proteção de Dados permanece, no entanto, em funções até que se proceda à sua substituição.

7.   Os artigos 11.o a 14.o e 17.o do Protocolo relativo aos Privilégios e Imunidades da União Europeia são igualmente aplicáveis à Autoridade Europeia para a Proteção de Dados.

Artigo 54.o

Estatuto e condições gerais do exercício das funções da Autoridade Europeia para a Proteção de Dados, e recursos humanos e financeiros

1.   A Autoridade Europeia para a Proteção de Dados é considerada equiparada a um juiz do Tribunal de Justiça no que se refere à determinação da remuneração, dos subsídios, da pensão de reforma e de quaisquer outros benefícios equivalentes à remuneração que lhe sejam devidos.

2.   A autoridade orçamental deve assegurar que a Autoridade Europeia para a Proteção de Dados disponha dos recursos humanos e financeiros necessários para o desempenho das suas funções.

3.   O orçamento da Autoridade Europeia para a Proteção de Dados deve figurar numa rubrica específica da secção relativa às despesas administrativas do orçamento geral da União.

4.   A Autoridade Europeia para a Proteção de Dados é assistida por um secretariado. Os funcionários e outros agentes do secretariado são nomeados pela Autoridade Europeia para a Proteção de Dados, que é o seu superior hierárquico, e dependem exclusivamente dela. O seu número é aprovado anualmente no âmbito do exercício orçamental. O artigo 75.o, n.o 2, do Regulamento (UE) 2016/679 é aplicável ao pessoal da Autoridade Europeia para a Proteção de Dados que desempenha as atribuições conferidas ao Comité Europeu para a Proteção de Dados pelo direito da União.

5.   Os funcionários e outros agentes do secretariado da Autoridade Europeia para a Proteção de Dados estão sujeitos às regras e à regulamentação aplicáveis aos funcionários e outros agentes da União.

6.   A Autoridade Europeia para a Proteção de Dados tem sede em Bruxelas.

Artigo 55.o

Independência

1.   A Autoridade Europeia para a Proteção de Dados desempenha as suas funções e exerce os seus poderes com total independência, nos termos do presente regulamento.

2.   A Autoridade Europeia para a Proteção de Dados não está sujeita a influências externas, diretas ou indiretas, no desempenho das suas funções e no exercício dos seus poderes nos termos do presente regulamento, e não solicita nem recebe instruções de terceiros.

3.   A Autoridade Europeia para a Proteção de Dados deve abster-se de praticar atos incompatíveis com as suas atribuições e, durante o seu mandato, não pode exercer outras atividades profissionais, remuneradas ou não.

4.   Após a cessação do seu mandato, a Autoridade Europeia para a Proteção de Dados deve agir com integridade e discrição relativamente à aceitação de funções e benefícios.

Artigo 56.o

Sigilo profissional

A Autoridade Europeia para a Proteção de Dados e o seu pessoal ficam sujeitos, durante o respetivo mandato e após a cessação deste, à obrigação de sigilo profissional quanto às informações confidenciais a que tenham tido acesso no desempenho das suas funções.

Artigo 57.o

Atribuições

1.   Sem prejuízo de outras atribuições previstas nos termos do presente regulamento, a Autoridade Europeia para a Proteção de Dados:

a)

Controla e garante a aplicação do presente regulamento pelas instituições e pelos órgãos da União, com exceção do tratamento de dados pessoais pelo Tribunal de Justiça no exercício das suas funções jurisdicionais;

b)

Promove a sensibilização do público e a sua compreensão dos riscos, das regras, das garantias e dos direitos associados ao tratamento. As atividades especificamente dirigidas às crianças devem ser objeto de especial atenção;

c)

Promove a sensibilização dos responsáveis pelo tratamento e dos subcontratantes para as suas obrigações nos termos do presente regulamento;

d)

Se lhe for solicitado, presta informações aos titulares dos dados sobre o exercício dos seus direitos nos termos do presente regulamento e, se necessário, coopera com as autoridades nacionais de controlo para esse efeito;

e)

Trata as reclamações apresentadas pelos titulares dos dados ou por organismos, organizações ou associações nos termos do artigo 67.o, investiga, na medida do necessário, o conteúdo das reclamações, e informa os seus autores do andamento e do resultado das investigações num prazo razoável, em especial se forem necessárias operações de investigação ou de coordenação complementares com outras autoridades de controlo;

f)

Realiza investigações sobre a aplicação do presente regulamento, nomeadamente com base em informações recebidas de outras autoridades de controlo ou de outras autoridades públicas;

g)

Presta aconselhamento, por iniciativa própria ou mediante pedido, a todas as instituições e órgãos da União sobre medidas legislativas e administrativas relacionadas com a proteção dos direitos e das liberdades das pessoas singulares no que diz respeito ao tratamento de dados pessoais;

h)

Acompanha factos novos relevantes, na medida em que tenham incidência na proteção dos dados pessoais, nomeadamente a evolução a nível das tecnologias da informação e das comunicações;

i)

Adota as cláusulas contratuais-tipo previstas no artigo 29.o, n.o 8, e no artigo 48.o, n.o 2, alínea c);

j)

Estabelece e conserva uma lista relativamente ao requisito de avaliação de impacto relativa à proteção de dados, nos termos do artigo 39.o, n.o 4;

k)

Participa nas atividades do Comité Europeu para a Proteção de Dados;

l)

Assegura o secretariado do Comité Europeu para a Proteção de Dados, nos termos do artigo 75.o do Regulamento (UE) 2016/679;

m)

Presta aconselhamento sobre o tratamento a que se refere o artigo 40.o, n.o 2;

n)

Autoriza as cláusulas contratuais e as disposições referidas no artigo 48.o, n.o 3;

o)

Conserva registos internos das violações do presente regulamento e das medidas tomadas nos termos do artigo 58.o, n.o 2;

p)

Executa outras tarefas relacionadas com a proteção de dados pessoais; e

q)

Elabora o seu regulamento interno.

2.   A Autoridade Europeia para a Proteção de Dados facilita a apresentação das reclamações previstas no n.o 1, alínea e), disponibilizando um formulário de reclamações que possa ser preenchido eletronicamente, sem excluir outros meios de comunicação.

3.   O exercício das atribuições da Autoridade Europeia para a Proteção de Dados é gratuito para o titular dos dados.

4.   Caso os pedidos sejam manifestamente infundados ou excessivos, nomeadamente devido ao seu caráter repetitivo, a Autoridade Europeia para a Proteção de Dados pode recusar-se a dar-lhes seguimento. Cabe à Autoridade Europeia para a Proteção de Dados demonstrar o caráter manifestamente infundado ou excessivo dos pedidos.

Artigo 58.o

Poderes

1.   A Autoridade Europeia para a Proteção de Dados dispõe dos seguintes poderes de investigação:

a)

Ordenar que o responsável pelo tratamento e o subcontratante lhe forneçam as informações de que necessite para o desempenho das suas funções;

b)

Realizar investigações sob a forma de auditorias sobre a proteção de dados;

c)

Notificar o responsável pelo tratamento ou o subcontratante de alegadas violações do presente regulamento;

d)

Obter, do responsável pelo tratamento e do subcontratante, acesso a todos os dados pessoais e a todas as informações necessárias ao desempenho das suas funções;

e)

Obter acesso a todas as instalações do responsável pelo tratamento e do subcontratante, incluindo os seus equipamentos e os seus meios de tratamento de dados, nos termos do direito da União.

2.   A Autoridade Europeia para a Proteção de Dados dispõe dos seguintes poderes de correção:

a)

Advertir o responsável pelo tratamento ou o subcontratante de que as operações de tratamento previstas são suscetíveis de violar as disposições do presente regulamento;

b)

Repreender o responsável pelo tratamento ou o subcontratante caso as operações de tratamento tenham violado as disposições do presente regulamento;

c)

Submeter questões ao responsável pelo tratamento ou ao subcontratante em causa e, se necessário, ao Parlamento Europeu, ao Conselho e à Comissão;

d)

Ordenar que o responsável pelo tratamento ou o subcontratante satisfaçam os pedidos apresentados pelos titulares dos dados para poderem exercer os seus direitos nos termos do presente regulamento;

e)

Ordenar que o responsável pelo tratamento ou o subcontratante tomem medidas para que as operações de tratamento cumpram as disposições do presente regulamento, se necessário, de uma forma específica e num prazo específico;

f)

Ordenar que o responsável pelo tratamento comunique aos titulares dos dados as violações dos seus dados pessoais;

g)

Impor uma limitação temporária ou definitiva ao tratamento, incluindo a sua proibição;

h)

Ordenar a retificação ou o apagamento de dados pessoais ou a limitação do tratamento nos termos dos artigos 18.o, 19.o e 20.o, bem como a notificação dessas medidas aos destinatários aos quais os dados pessoais tenham sido divulgados nos termos do artigo 19.o, n.o 2, e do artigo 21.o;

i)

Impor coimas nos termos do artigo 66.o em caso de desrespeito, por uma instituição ou por um órgão da União, de qualquer das medidas referidas nas alíneas d) a h) e j) do presente número, em função das circunstâncias de cada caso;

j)

Ordenar a suspensão dos fluxos de dados para um destinatário num Estado-Membro ou num país terceiro, ou para uma organização internacional.

3.   A Autoridade Europeia para a Proteção de Dados dispõe dos seguintes poderes de autorização e consultivos:

a)

Aconselhar os titulares dos dados sobre o exercício dos seus direitos;

b)

Aconselhar o responsável pelo tratamento, pelo procedimento de consulta prévia referido no artigo 40.o, e nos termos do artigo 41.o, n.o 2;

c)

Emitir, por iniciativa própria ou mediante pedido, pareceres dirigidos às instituições e aos órgãos da União, e ao público, sobre questões relacionadas com a proteção de dados pessoais;

d)

Adotar as cláusulas-tipo de proteção de dados previstas no artigo 29.o, n.o 8, e no artigo 48.o, n.o 2, alínea c);

e)

Autorizar as cláusulas contratuais referidas no artigo 48.o, n.o 3, alínea a);

f)

Autorizar os acordos administrativos referidos no artigo 48.o, n.o 3, alínea b);

g)

Autorizar operações de tratamento de acordo comos atos de execução adotados nos termos do artigo 40.o, n.o 4.

4.   A Autoridade Europeia para a Proteção de Dados dispõe do poder de submeter questões à apreciação do Tribunal de Justiça nas condições previstas nos Tratados e de intervir em processos judiciais intentados junto do Tribunal de Justiça.

5.   O exercício dos poderes conferidos à Autoridade Europeia para a Proteção de Dados nos termos do presente artigo está subordinado a garantias adequadas, incluindo o direito a ações judiciais efetivas e a processos equitativos, previsto no direito da União.

Artigo 59.o

Dever de resposta do responsável pelo tratamento e do subcontratante às alegações

Caso a Autoridade Europeia para a Proteção de Dados exerça os poderes previstos no artigo 58.o, n.o 2, alíneas a), b) e c), o responsável pelo tratamento ou o subcontratante em causa devem comunicar-lhe a sua opinião, num prazo razoável a fixar por aquela autoridade, tendo em conta as circunstâncias de cada caso. A resposta deve incluir igualmente uma descrição das medidas tomadas, caso existam, em resposta às observações da Autoridade Europeia para a Proteção de Dados.

Artigo 60.o

Relatório de atividades

1.   A Autoridade Europeia para a Proteção de Dados apresenta um relatório anual de atividades ao Parlamento Europeu, ao Conselho e à Comissão e, simultaneamente, torna-o público.

2.   A Autoridade Europeia para a Proteção de Dados transmite o relatório referido no n.o 1 às restantes instituições e órgãos da União, os quais podem apresentar observações tendo em vista um eventual exame do relatório pelo Parlamento Europeu.

CAPÍTULO VII

COOPERAÇÃO E COERÊNCIA

Artigo 61.o

Cooperação entre a Autoridade Europeia para a Proteção de Dados e as autoridades nacionais de controlo

A Autoridade Europeia para a Proteção de Dados deve cooperar com as autoridades nacionais de controlo e com a Autoridade Comum de Controlo criada nos termos do artigo 25.o da Decisão 2009/917/JAI do Conselho (19), na medida do necessário para o exercício das respetivas funções, em especial partilhando as informações relevantes, solicitando mutuamente o exercício dos poderes respetivos e respondendo aos pedidos que tenham trocado entre si.

Artigo 62.o

Supervisão coordenada da Autoridade Europeia para a Proteção de Dados e das autoridades nacionais de controlo

1.   Caso um ato da União faça referência ao presente artigo, a Autoridade Europeia para a Proteção de Dados e as autoridades nacionais de controlo, agindo no âmbito das respetivas competências, devem cooperar ativamente no âmbito das suas responsabilidades para assegurar uma supervisão eficaz dos sistemas informáticos de grande escala e dos órgãos e organismos da União.

2.   Se necessário, as autoridades em causa, agindo no âmbito das respetivas competências e responsabilidades, devem partilhar as informações relevantes, prestar assistência mútua na realização de auditorias e inspeções, examinar as dificuldades de interpretação ou de aplicação do presente regulamento e de outros atos aplicáveis da União, examinar problemas relacionados com o exercício de uma supervisão independente ou com o exercício dos direitos dos titulares dos dados, elaborar propostas harmonizadas para resolver problemas e promover a sensibilização para os direitos da proteção dos dados.

3.   Para os efeitos previstos no n.o 2, a Autoridade Europeia para a Proteção de Dados e as autoridades nacionais de controlo devem reunir-se pelo menos duas vezes por ano no quadro do Comité Europeu para a Proteção de Dados. Para esse efeito, o Comité Europeu para a Proteção de Dados pode definir outros métodos de trabalho, em função das necessidades.

4.   O Comité Europeu para a Proteção de Dados apresenta, de dois em dois anos, ao Parlamento Europeu, ao Conselho e à Comissão um relatório comum relativo às atividades de supervisão coordenada.

CAPÍTULO VIII

VIAS DE RECURSO, RESPONSABILIDADE E SANÇÕES

Artigo 63.o

Direito de apresentar reclamações à Autoridade Europeia para a Proteção de Dados

1.   Sem prejuízo de outras vias de recurso judicial, administrativo ou extrajudicial, os titulares dos dados têm o direito de apresentar reclamações à Autoridade Europeia para a Proteção de Dados se considerarem que o tratamento dos seus dados pessoais constitui uma violação do presente regulamento.

2.   A Autoridade Europeia para a Proteção de Dados deve informar o autor da reclamação do andamento e do resultado da reclamação apresentada, nomeadamente da possibilidade de intentar uma ação judicial ao abrigo do artigo 64.o.

3.   Se a Autoridade Europeia para a Proteção de Dados não tratar uma reclamação ou não informar o titular dos dados, no prazo de três meses, sobre o andamento ou sobre o resultado da reclamação, considera-se que adotou uma decisão negativa.

Artigo 64.o

Direito à ação judicial

1.   O Tribunal de Justiça é competente para apreciar todos os litígios relacionados com o disposto no presente regulamento, incluindo ações de indemnização.

2.   Os recursos contra as decisões da Autoridade Europeia para a Proteção de Dados, incluindo as decisões previstas no artigo 63.o, n.o 3, são interpostos no Tribunal de Justiça.

3.   O Tribunal de Justiça tem competência de plena jurisdição para decidir sobre os recursos interpostos contra as coimas referidas no artigo 66.o. O Tribunal de Justiça pode anular, reduzir ou aumentar as referidas coimas dentro dos limites do artigo 66.o.

Artigo 65.o

Direito de indemnização

Qualquer pessoa que tenha sofrido danos materiais ou imateriais devido a uma violação do presente regulamento tem direito a receber uma indemnização da instituição ou do órgão da União pelos danos causados, sob reserva das condições previstas nos Tratados.

Artigo 66.o

Coimas

1.   A Autoridade Europeia para a Proteção de Dados pode impor coimas às instituições e aos órgãos da União, em função das circunstâncias de cada caso, se uma instituição ou um órgão da União não cumprir uma ordem da Autoridade Europeia para a Proteção de Dados nos termos do artigo 58.o, n.o 2, alíneas d) a h) e j). Ao decidir da imposição de uma coima e do montante da mesma, devem ser tidos em conta, em cada caso, os seguintes elementos:

a)

A natureza, a gravidade e a duração da infração, tendo em conta a natureza, o âmbito ou o objetivo do tratamento em causa, bem como o número de titulares de dados afetados e o nível dos danos sofridos;

b)

As medidas tomadas pela instituição ou pelo órgão da União para atenuar os danos sofridos pelos titulares dos dados;

c)

O grau de responsabilidade da instituição ou do órgão da União, tendo em conta as medidas técnicas e organizativas que aplicaram por força dos artigos 27.o e 33.o;

d)

A existência de violações similares anteriormente cometidas pela instituição ou pelo órgão da União em causa;

e)

O grau de cooperação com a Autoridade Europeia para a Proteção de Dados a fim de sanar a violação e de atenuar os seus eventuais efeitos negativos;

f)

As categorias de dados pessoais afetadas pela violação;

g)

A forma como a Autoridade Europeia para a Proteção de Dados tomou conhecimento da infração, em especial se a instituição ou o órgão da União a notificaram e, em caso afirmativo, em que medida o fizeram;

h)

O cumprimento das medidas a que se refere o artigo 58.o previamente impostas à instituição ou ao órgão da União em causa relativamente à mesma matéria. O procedimento que leva à imposição de coimas deve ser executado num prazo razoável, em função das circunstâncias de cada caso e tendo em conta as medidas e os procedimentos relevantes referidos no artigo 69.o.

2.   Nos termos dos artigos 8.o, 12.o, 27.o a 35.o, 39.o, 40.o, 43.o, 44.o e 45.o, a violação das obrigações pela instituição ou pelo órgão da União deve ser sujeita, nos termos do n.o 1 do presente artigo, a coimas de um montante máximo de 25 000 EUR por infração, e de um montante total de 250 000 EUR por ano.

3.   Nos termos do n.o 1, a violação das seguintes disposições pela instituição ou pelo órgão da União deve ser sujeita a coimas de um montante máximo de 50 000 EUR por infração, e de um montante total de 500 000 EUR por ano:

a)

Os princípios básicos do tratamento, incluindo as condições aplicáveis ao consentimento, por força dos artigos 4.o, 5.o, 7.o e 10.o;

b)

Os direitos dos titulares dos dados, por força dos artigos 14.o a 24.o;

c)

As transferências de dados pessoais para um destinatário num país terceiro ou para uma organização internacional, por força dos artigos 46.o a 50.o.

4.   Se uma instituição ou um órgão da União violarem, no âmbito da mesma operação de tratamento ou de operações de tratamento ligadas ou contínuas, várias disposições do presente regulamento ou várias vezes a mesma disposição, o montante total da coima não pode exceder o montante fixado para a infração mais grave.

5.   Antes de tomar uma decisão ao abrigo do presente artigo, a Autoridade Europeia para a Proteção de Dados deve conceder à instituição ou ao órgão da União que são alvo do procedimento por si aplicado, a oportunidade de se pronunciarem sobre as objeções que formulou. A Autoridade Europeia para a Proteção de Dados deve basear as suas decisões unicamente nas objeções relativamente às quais as partes em causa puderam apresentar as suas observações. Os autores das reclamações devem ser estreitamente associados ao procedimento.

6.   Os direitos de defesa das partes interessadas devem ser plenamente respeitados durante o procedimento. As partes interessadas devem ter o direito de aceder ao processo da Autoridade Europeia para a Proteção de Dados, sob reserva do interesse legítimo das pessoas ou das empresas relativamente à proteção dos seus dados pessoais ou dos seus segredos comerciais.

7.   Os fundos recolhidos em resultado da imposição das coimas previstas no presente artigo constituem receitas do orçamento geral da União.

Artigo 67.o

Representação dos titulares dos dados

O titular dos dados tem o direito de mandatar um organismo, uma organização ou uma associação sem fins lucrativos, devidamente constituídos ao abrigo do direito da União ou de um Estado-Membro, cujos objetivos estatutários sejam de interesse público e cuja atividade incida sobre a proteção dos direitos e das liberdades dos titulares de dados, no que diz respeito à proteção dos seus dados pessoais, para apresentar em seu nome uma reclamação à Autoridade Europeia para a Proteção de Dados, para exercer em seu nome os direitos referidos nos artigos 63.o e 64.o, e para exercer em seu nome o direito de receber uma indemnização referido no artigo 65.o.

Artigo 68.o

Reclamações apresentadas pelos funcionários da União

Qualquer pessoa ao serviço de uma instituição ou de um órgão da União pode apresentar uma reclamação à Autoridade Europeia para a Proteção de Dados relativa a uma alegada violação das disposições do presente regulamento, inclusive sem passar pelas vias oficiais. Ninguém pode ser prejudicado por ter apresentado uma reclamação à Autoridade Europeia para a Proteção de Dados alegando tal violação.

Artigo 69.o

Sanções

O incumprimento, intencional ou negligente, das obrigações estabelecidas no presente regulamento por um funcionário ou por outro agente da União é passível de sanções disciplinares ou de outras sanções, nos termos do Estatuto dos Funcionários.

CAPÍTULO IX

TRATAMENTO DE DADOS PESSOAIS OPERACIONAIS POR ÓRGÃOS E ORGANISMOS DA UNIÃO NO EXERCÍCIO DE ATIVIDADES ABRANGIDAS PELO ÂMBITO DE APLICAÇÃO DA PARTE III, TÍTULO V, CAPÍTULOS 4 OU 5, DO TFUE

Artigo 70.o

Âmbito de aplicação do capítulo

O presente capítulo aplica-se apenas ao tratamento de dados pessoais operacionais por órgãos e organismos da União no exercício de atividades abrangidas pelo âmbito de aplicação da parte III, título V, capítulos 4 ou 5, do TFUE, sem prejuízo das regras específicas de proteção de dados aplicáveis a esses órgãos e organismos da União.

Artigo 71.o

Princípios relativos ao tratamento dos dados pessoais operacionais

1.   Os dados pessoais operacionais são:

a)

Tratados de forma lícita e leal («licitude e lealdade»);

b)

Recolhidos para finalidades específicas, explícitas e legítimas, e não tratados de forma incompatível com essas finalidades («limitação das finalidades»);

c)

Adequados, pertinentes e não excessivos relativamente às finalidades para as quais são tratados («minimização dos dados»);

d)

Exatos e, se necessário, atualizados; devem ser tomadas todas as medidas adequadas para que os dados pessoais operacionais inexatos, tendo em conta as finalidades para as quais são tratados, sejam apagados ou retificados sem demora («exatidão»);

e)

Conservados de forma a permitir a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados («limitação da conservação»);

f)

Tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o tratamento não autorizado ou ilícito e contra a perda, destruição ou danificação acidental, adotando medidas técnicas ou organizativas adequadas («integridade e confidencialidade»).

2.   É permitido o tratamento pelo mesmo ou por outro responsável pelo tratamento para as finalidades previstas no ato normativo que cria o órgão ou o organismo da União, que sejam diferentes das finalidades para as quais os dados pessoais operacionais foram recolhidos, desde que:

a)

O responsável pelo tratamento esteja autorizado a tratar esses dados pessoais operacionais com essa finalidade, nos termos do direito da União; e

b)

O tratamento seja necessário e proporcionado para essa outra finalidade, nos termos do direito da União.

3.   O tratamento pelo mesmo ou por outro responsável pelo tratamento pode incluir o arquivo de interesse público e a utilização científica, estatística ou histórica dos dados para as finalidades previstas no ato normativo que cria o órgão ou o organismo da União, sob reserva de garantias adequadas dos direitos e liberdades do titular dos dados.

4.   O responsável pelo tratamento é responsável pelo cumprimento dos n.os 1, 2 e 3, e deve poder comprová-lo.

Artigo 72.o

Licitude do tratamento dos dados pessoais operacionais

1.   O tratamento de dados pessoais operacionais só é lícito se e na medida em que for necessário para o desempenho de uma função pelos órgãos e organismos da União no exercício de atividades abrangidas pelo âmbito de aplicação da parte III, título V, capítulos 4 ou 5, do TFUE, e tiver por base o direito da União.

2.   Os atos normativos específicos da União que regulam o tratamento abrangido pelo âmbito do presente capítulo devem especificar, pelo menos, os objetivos do tratamento, os dados pessoais operacionais a tratar, as finalidades do tratamento e os prazos aplicáveis à conservação dos dados pessoais operacionais e à revisão periódica da necessidade de prolongar a conservação dos dados pessoais operacionais.

Artigo 73.o

Distinção entre as diferentes categorias de titulares de dados

O responsável pelo tratamento estabelece, se aplicável e na medida do possível, uma distinção clara entre os dados pessoais das diferentes categorias de titulares de dados, tais como as categorias constantes dos atos normativos que criam os órgãos e os organismos da União.

Artigo 74.o

Distinção entre os dados pessoais operacionais e verificação da sua qualidade

1.   O responsável pelo tratamento estabelece, na medida do possível, uma distinção entre os dados pessoais operacionais baseados em factos e os dados pessoais operacionais baseados em apreciações pessoais.

2.   O responsável pelo tratamento toma todas as medidas razoáveis para garantir que os dados pessoais operacionais inexatos, incompletos ou desatualizados não sejam transmitidos nem disponibilizados. Para esse efeito, o responsável pelo tratamento verifica, na medida do possível e caso seja pertinente, a qualidade dos dados pessoais operacionais antes de estes serem transmitidos ou disponibilizados, por exemplo, consultando a autoridade competente da qual os dados provêm. Na medida do possível, em todas as transmissões de dados pessoais operacionais, o responsável pelo tratamento fornece as informações necessárias que permitam ao destinatário apreciar até que ponto os dados pessoais operacionais são exatos, completos e fiáveis, e estão atualizados.

3.   Caso se verifique que foram transmitidos dados pessoais operacionais inexatos ou que foram transmitidos dados pessoais operacionais de forma ilícita, o destinatário deve ser informado sem demora. Neste caso, os dados pessoais operacionais em causa são retificados ou apagados, ou o seu tratamento é limitado nos termos do artigo 82.o.

Artigo 75.o

Condições específicas do tratamento

1.   Quando o direito da União aplicável ao responsável pelo tratamento que transmite os dados estabelece condições específicas de tratamento, o responsável pelo tratamento informa o destinatário dos dados pessoais operacionais dessas condições e da obrigação de as respeitar.

2.   O responsável pelo tratamento respeita as condições específicas de tratamento previstas pela autoridade competente que transmite os dados, nos termos do artigo 9.o, n.os 3 e 4, da Diretiva (UE) 2016/680.

Artigo 76.o

Tratamento de categorias especiais de dados pessoais operacionais

1.   O tratamento de dados pessoais operacionais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas ou a filiação sindical, e o tratamento de dados genéticos, de dados biométricos destinados a identificar uma pessoa singular de forma inequívoca, de dados pessoais operacionais relativos à saúde ou relativos à vida sexual ou à orientação sexual de uma pessoa só são autorizados se forem estritamente necessários para fins operacionais, no âmbito do mandato do órgão ou do organismo da União em causa, e se estiverem sujeitos a garantias adequadas dos direitos e das liberdades do titular dos dados. É proibida a discriminação de pessoas singulares com base nesses dados pessoais.

2.   O encarregado da proteção de dados deve ser informado sem demora indevida da aplicação do presente artigo.

Artigo 77.o

Decisões individuais automatizadas, incluindo a definição de perfis

1.   São proibidas as decisões baseadas exclusivamente no tratamento automatizado de dados, incluindo a definição de perfis, que produzam efeitos adversos na esfera jurídica do titular dos dados ou que o afetem de forma significativa, salvo se forem autorizadas pelo direito da União ao qual o responsável pelo tratamento está sujeito e desde que esse direito preveja garantias adequadas dos direitos e das liberdades do titular dos dados, pelo menos o direito de obter a intervenção humana do responsável pelo tratamento.

2.   As decisões a que se refere o n.o 1 do presente artigo não se baseiam nas categorias especiais de dados pessoais a que se refere o artigo 76.o, salvo se forem aplicadas medidas adequadas para salvaguardar os direitos, as liberdades e os legítimos interesses do titular dos dados.

3.   Em conformidade com o direito da União, são proibidas as definições de perfis que conduzam à discriminação de pessoas singulares com base nas categorias especiais de dados pessoais a que se refere o artigo 76.o.

Artigo 78.o

Comunicação e regras de exercício dos direitos dos titulares dos dados

1.   O responsável pelo tratamento toma todas as medidas razoáveis para fornecer ao titular dos dados as informações a que se refere o artigo 79.o e efetua as comunicações relativas aos artigos 80.o a 84.o e 92.o a respeito do tratamento de uma forma concisa, inteligível e de fácil acesso, utilizando uma linguagem clara e simples. As informações são fornecidas pelos meios adequados, inclusive eletrónicos. Em regra geral, o responsável pelo tratamento fornece as informações na mesma forma que o pedido.

2.   O responsável pelo tratamento facilita o exercício dos direitos do titular dos dados, nos termos dos artigos 79.o a 84.o.

3.   O responsável pelo tratamento informa o titular dos dados por escrito sobre a resposta dada ao seu pedido sem demora indevida e, em qualquer caso, no prazo máximo de três meses após a receção do pedido do titular dos dados.

4.   O responsável pelo tratamento fornece as informações previstas nos termos do artigo 79.o, e informações sobre as comunicações efetuadas ou sobre as medidas tomadas ao abrigo dos artigos 80.o a 84.o e 92.o, gratuitamente. Caso os pedidos apresentados por um titular de dados sejam manifestamente infundados ou excessivos, nomeadamente devido ao seu caráter recorrente, o responsável pelo tratamento pode recusar dar-lhes seguimento. Cabe ao responsável pelo tratamento demonstrar o caráter manifestamente infundado ou excessivo do pedido.

5.   Se o responsável pelo tratamento tiver dúvidas razoáveis quanto à identidade da pessoa singular que apresenta um pedido referido nos artigos 80.o ou 82.o, pode solicitar que lhe sejam fornecidas informações adicionais necessárias para confirmar a identidade do titular dos dados.

Artigo 79.o

Informações a facultar ou a prestar ao titular dos dados

1.   O responsável pelo tratamento faculta ao titular dos dados, pelo menos, as seguintes informações:

a)

A identidade e os contactos do órgão ou organismo da União;

b)

Os contactos do encarregado da proteção de dados;

c)

As finalidades do tratamento a que os dados pessoais operacionais se destinam;

d)

O direito de apresentar reclamações à Autoridade Europeia para a Proteção de Dados, e os contactos da Autoridade;

e)

O direito de solicitar ao responsável pelo tratamento acesso aos dados pessoais operacionais que lhe digam respeito, bem como a retificação ou o apagamento dos dados e a limitação do seu tratamento.

2.   Para além das informações a que se refere o n.o 1, o responsável pelo tratamento presta ao titular dos dados, nos casos específicos previstos no direito da União, as seguintes informações adicionais a fim de lhe permitir exercer os seus direitos:

a)

O fundamento jurídico do tratamento;

b)

O prazo de conservação dos dados pessoais operacionais ou, se tal não for possível, os critérios usados para estabelecer esse prazo;

c)

Se aplicável, as categorias de destinatários dos dados pessoais operacionais; inclusive nos países terceiros ou nas organizações internacionais;

d)

Se for caso disso, informações adicionais, especialmente se os dados pessoais operacionais forem recolhidos sem conhecimento do seu titular.

3.   O responsável pelos dados pode adiar, limitar ou omitir a prestação das informações a que se refere o n.o 2 aos titulares dos dados se e enquanto essas medidas constituírem medidas necessárias e proporcionadas numa sociedade democrática, tendo devidamente em conta os direitos fundamentais e os interesses legítimos das pessoas singulares em causa, a fim de:

a)

Evitar prejudicar os inquéritos, as investigações ou os procedimentos oficiais ou judiciais;

b)

Evitar prejudicar a prevenção, deteção, investigação ou repressão de infrações penais, ou a execução de sanções penais;

c)

Proteger a segurança pública dos Estados-Membros;

d)

Proteger a segurança nacional dos Estados-Membros;

e)

Proteger os direitos e as liberdades de terceiros, nomeadamente as vítimas e as testemunhas.

Artigo 80.o

Direito de acesso do titular dos dados

O titular dos dados tem o direito de obter do responsável pelo tratamento a confirmação de que os dados pessoais operacionais que lhe digam respeito estão ou não a ser tratados e, em caso afirmativo, tem o direito de aceder aos dados pessoais operacionais e às seguintes informações:

a)

As finalidades e o fundamento jurídico do tratamento;

b)

As categorias de dados pessoais operacionais em questão;

c)

Os destinatários ou as categorias de destinatários aos quais os dados pessoais operacionais foram divulgados, especialmente se se tratar de destinatários de países terceiros ou de organizações internacionais;

d)

Se possível, o prazo previsto de conservação dos dados pessoais operacionais ou, se não for possível, os critérios usados para fixar esse prazo;

e)

O direito de solicitar ao responsável pelo tratamento a retificação ou o apagamento dos dados pessoais operacionais ou a limitação do tratamento dos dados pessoais operacionais que lhe digam respeito;

f)

O direito de apresentar reclamações à Autoridade Europeia para a Proteção de Dados, e os contactos da Autoridade;

g)

A comunicação dos dados pessoais operacionais sujeitos a tratamento e das informações disponíveis sobre a origem dos dados.

Artigo 81.o

Limitações do direito de acesso

1.   O responsável pelo tratamento pode limitar, total ou parcialmente, o direito de acesso do titular dos dados, se e enquanto essa limitação, total ou parcial, constituir uma medida necessária e proporcionada numa sociedade democrática, tendo devidamente em conta os direitos fundamentais e os interesses legítimos da pessoa singular em causa, a fim de:

a)

Evitar prejudicar os inquéritos, as investigações ou os procedimentos oficiais ou judiciais;

b)

Evitar prejudicar a prevenção, a deteção, a investigação ou a repressão de infrações penais, ou a execução de sanções penais;

c)

Proteger a segurança pública dos Estados-Membros;

d)

Proteger a segurança nacional dos Estados-Membros;

e)

Proteger os direitos e as liberdades de terceiros, nomeadamente as vítimas e as testemunhas.

2.   Nos casos a que se refere o n.o 1, o responsável pelo tratamento informa por escrito o titular dos dados, sem demora indevida, de todos os casos de recusa ou limitação de acesso, e dos motivos da recusa ou da limitação. Essa informação pode ser omitida, caso a sua prestação possa prejudicar uma das finalidades enunciadas no n.o 1. O responsável pelo tratamento informa o titular dos dados da possibilidade de apresentar reclamações à Autoridade Europeia para a Proteção de Dados ou de intentar uma ação judicial junto do Tribunal de Justiça. O responsável pelo tratamento documenta os motivos de facto ou de direito em que a sua decisão se baseou. Essa informação deve ser facultada à Autoridade Europeia para a Proteção de Dados, a pedido desta.

Artigo 82.o

Direito de retificação ou apagamento dos dados pessoais operacionais e limitação do tratamento

1.   O titular dos dados tem o direito de obter do responsável pelo tratamento, sem demora indevida, a retificação dos dados pessoais operacionais inexatos que lhe digam respeito. Tendo em conta as finalidades do tratamento, o titular dos dados tem o direito de que os seus dados pessoais operacionais incompletos sejam completados, inclusive por meio de uma declaração adicional.

2.   O responsável pelo tratamento apaga os dados pessoais operacionais sem demora indevida, e o titular dos dados tem o direito de obter do responsável pelo tratamento o apagamento, sem demora indevida, dos dados pessoais operacionais que lhe digam respeito caso o tratamento viole o artigo 71.o, o artigo 72.o, n.o 1, ou o artigo 76.o, ou caso os dados pessoais operacionais devam ser apagados em cumprimento de uma obrigação legal a que o responsável pelo tratamento esteja sujeito.

3.   Em vez de proceder ao apagamento, o responsável pelo tratamento limita o tratamento dos dados caso:

a)

O titular dos dados conteste a exatidão dos dados pessoais, e a sua exatidão ou inexatidão não possa ser apurada; ou

b)

Os dados pessoais tenham de ser conservados para efeitos de prova.

Caso o tratamento seja limitado nos termos do primeiro parágrafo, alínea a), o responsável pelo tratamento informa o titular dos dados antes de levantar a limitação do tratamento dos dados.

Os dados limitados só podem ser tratados para as finalidades que impediram o seu apagamento.

4.   O responsável pelo tratamento informa por escrito o titular dos dados da recusa de retificação ou de apagamento de dados pessoais operacionais, ou da limitação do seu tratamento, e dos motivos da recusa. O responsável pelo tratamento pode limitar, total ou parcialmente, o fornecimento dessas informações, na medida em que tal limitação constitua uma medida necessária e proporcionada numa sociedade democrática, tendo devidamente em conta os direitos fundamentais e os interesses legítimos da pessoa singular em causa, a fim de:

a)

Evitar prejudicar os inquéritos, as investigações ou os procedimentos oficiais ou judiciais;

b)

Evitar prejudicar a prevenção, a investigação, a deteção ou a repressão de infrações penais, ou a execução de sanções penais;

c)

Proteger a segurança pública dos Estados-Membros;

d)

Proteger a segurança nacional dos Estados-Membros;

e)

Proteger os direitos e as liberdades de terceiros, nomeadamente as vítimas e as testemunhas.

O responsável pelo tratamento informa o titular dos dados da possibilidade de apresentar reclamações à Autoridade Europeia para a Proteção de Dados e de intentar uma ação judicial junto do Tribunal de Justiça.

5.   O responsável pelo tratamento comunica a retificação dos dados pessoais operacionais inexatos à autoridade competente da qual provieram os dados pessoais operacionais inexatos.

6.   Quando os dados pessoais operacionais tenham sido retificados ou apagados, ou o seu tratamento tenha sido limitado nos termos dos n.os 1, 2 ou 3, o responsável pelo tratamento notifica os destinatários e informa-os de que devem retificar ou apagar os dados pessoais operacionais, ou limitar o tratamento dos dados pessoais operacionais sob a sua responsabilidade.

Artigo 83.o

Direito de acesso no âmbito de investigações e ações penais

Caso os dados pessoais operacionais provenham de uma autoridade competente, os órgãos e os organismos da União, antes de adotarem uma decisão sobre o direito de acesso do titular de dados, devem verificar junto da autoridade competente em causa se esses dados pessoais constam de uma decisão judicial ou de um registo criminal, ou de um processo tratado no âmbito de uma investigação ou de uma ação penal no Estado-Membro dessa autoridade competente. Se for esse o caso, deve ser tomada uma decisão relativa ao direito de acesso, em consulta e em estreita cooperação com a autoridade competente em causa.

Artigo 84.o

Exercício dos direitos do titular dos dados e verificação da Autoridade Europeia para a Proteção de Dados

1.   Nos casos referidos no artigo 79.o, n.o 3, no artigo 81.o e no artigo 82.o, n.o 4, os direitos do titular dos dados podem igualmente ser exercidos através da Autoridade Europeia para a Proteção de Dados.

2.   O responsável pelo tratamento informa o titular dos dados da possibilidade de exercer os seus direitos através da Autoridade Europeia para a Proteção de Dados, nos termos do n.o 1.

3.   Caso o direito referido no n.o 1 seja exercido, a Autoridade Europeia para a Proteção de Dados informa, pelo menos, o titular dos dados de que procedeu a todas as verificações necessárias, ou a uma revisão. A Autoridade Europeia para a Proteção de Dados informa também o titular dos dados sobre o seu direito de intentar uma ação judicial junto do Tribunal de Justiça.

Artigo 85.o

Proteção de dados desde a conceção e por defeito

1.   Tendo em conta as técnicas mais avançadas, os custos de execução e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variáveis, para os direitos e as liberdades das pessoas singulares suscitados pelo tratamento, o responsável pelo tratamento deve aplicar, tanto no momento da definição dos meios de tratamento como durante o próprio tratamento, as medidas técnicas e organizativas adequadas, como a pseudonimização, destinadas a pôr efetivamente em prática os princípios da proteção de dados, como a minimização, a fim de integrar as garantias necessárias no tratamento, de modo a cumprir os requisitos previstos no presente regulamento e no ato normativo que o cria, e a proteger os direitos dos titulares dos dados.

2.   O responsável pelo tratamento aplica as medidas técnicas e organizativas adequadas para garantir que, por defeito, só sejam tratados os dados pessoais operacionais que sejam adequados, pertinentes e não excessivos em relação à finalidade do tratamento. Essa obrigação aplica-se à quantidade de dados pessoais operacionais recolhidos, à extensão do seu tratamento, ao seu prazo de conservação e à sua acessibilidade. Em especial, essas medidas asseguram que, por defeito, os dados pessoais operacionais não sejam disponibilizados sem intervenção humana a um número indeterminado de pessoas singulares.

Artigo 86.o

Responsáveis conjuntos pelo tratamento

1.   Caso dois ou mais responsáveis pelo tratamento ou um ou mais responsáveis pelo tratamento, juntamente com um ou mais responsáveis pelo tratamento que não sejam instituições ou órgãos da União, determinem conjuntamente as finalidades e os meios do tratamento, são considerados responsáveis conjuntos pelo tratamento. Os responsáveis conjuntos pelo tratamento determinam, por acordo entre si e de modo transparente, as respetivas responsabilidades pelo cumprimento das suas obrigações em matéria de proteção de dados, nomeadamente no que diz respeito ao exercício dos direitos do titular dos dados e aos respetivos deveres de prestar as informações referidas no artigo 79.o, a não ser e na medida em que as suas responsabilidades respetivas sejam determinadas pelo direito da União ou pelo direito do Estado-Membro a que estão sujeitos. No referido acordo, pode ser designado um ponto de contacto para os titulares dos dados.

2.   O acordo a que se refere o n.o 1 deve refletir devidamente as funções e as relações respetivas dos responsáveis conjuntos pelo tratamento em relação ao titular dos dados. O teor do acordo deve ser disponibilizado ao titular dos dados.

3.   Independentemente dos termos do acordo a que se refere o n.o 1, o titular dos dados pode exercer os direitos que o presente regulamento lhe confere em relação e contra cada um dos responsáveis pelo tratamento.

Artigo 87.o

Subcontratantes

1.   Caso o tratamento dos dados seja efetuado por sua conta, o responsável pelo tratamento deve recorrer apenas a subcontratantes que apresentem garantias suficientes de execução de medidas técnicas e organizativas adequadas de tal forma que o tratamento satisfaça os requisitos previstos no presente regulamento e no ato normativo que cria o responsável pelo tratamento, e assegure a defesa dos direitos do titular dos dados.

2.   O subcontratante não pode contratar outro subcontratante sem a autorização escrita prévia, específica ou geral, do responsável pelo tratamento. Em caso de autorização geral por escrito, o subcontratante deve informar o responsável pelo tratamento das alterações pretendidas quanto ao aumento do número ou à substituição de outros subcontratantes, dando assim ao responsável pelo tratamento a oportunidade de se opor a essas alterações.

3.   O tratamento em subcontratação é regulado por contrato, ou por outro ato normativo ao abrigo do direito da União ou de um Estado-Membro, que vincula o subcontratante ao responsável pelo tratamento, estabelece o objeto e a duração do tratamento, a sua natureza e a sua finalidade, o tipo de dados pessoais operacionais e as categorias dos titulares dos dados, e as obrigações e os direitos do responsável pelo tratamento. Esse contrato, ou o outro ato normativo, deve estipular, em especial, que o subcontratante:

a)

Só age de acordo com instruções do responsável pelo tratamento;

b)

Assegura que as pessoas autorizadas a tratar os dados pessoais operacionais assumiram um compromisso de confidencialidade ou estão sujeitas às obrigações legais de confidencialidade adequadas;

c)

Presta assistência ao responsável pelo tratamento por todos os meios adequados, de modo a assegurar o cumprimento das disposições relativas aos direitos do titular dos dados;

d)

Consoante a escolha do responsável pelo tratamento, apaga ou devolve-lhe todos os dados pessoais operacionais depois de concluída a prestação dos serviços relacionados com o tratamento, e apaga as cópias existentes, a não ser que a conservação dos dados pessoais operacionais seja exigida ao abrigo do direito da União ou de um Estado-Membro;

e)

Disponibiliza ao responsável pelo tratamento todas as informações necessárias para demonstrar o cumprimento das obrigações previstas no presente artigo;

f)

Respeita as condições referidas no n.o 2 no presente número na contratação de outro subcontratante.

4.   O contrato ou o outro ato normativo a que se refere o n.o 3 é feito por escrito, inclusive em formato eletrónico.

5.   Se, em violação do presente regulamento ou do ato normativo que cria o responsável pelo tratamento, o subcontratante determinar as finalidades e os meios do tratamento, é considerado responsável pelo tratamento em relação ao tratamento em causa.

Artigo 88.o

Registo cronológico

1.   O responsável pelo tratamento conserva registos cronológicos de todas as seguintes operações de tratamento em sistemas automatizados de tratamento: recolha, alteração, consulta, divulgação — incluindo transferências –, interconexão e apagamento de dados pessoais operacionais. Os registos cronológicos das operações de consulta e divulgação permitem determinar o motivo, a data e a hora dessas operações, a identificação da pessoa que consultou ou divulgou os dados pessoais operacionais e, na medida do possível, a identidade dos destinatários desses dados pessoais operacionais.

2.   Os registos cronológicos são utilizados exclusivamente para efeitos de verificação da licitude do tratamento, de autocontrolo e de garantia da integridade e segurança dos dados pessoais operacionais, e para ações penais. Os registos cronológicos são apagados ao fim de três anos, salvo se forem necessários para controlos em curso.

3.   O responsável pelo tratamento disponibiliza, a pedido, os registos cronológicos ao seu encarregado da proteção de dados e à Autoridade Europeia para a Proteção de Dados.

Artigo 89.o

Avaliação de impacto relativa à proteção de dados

1.   Caso um tipo de tratamento, em particular que utilize novas tecnologias, tendo em conta a natureza, o âmbito, o contexto e as finalidades desse tratamento, seja suscetível de constituir um elevado risco para os direitos e as liberdades das pessoas singulares, o responsável pelo tratamento deve proceder, antes de iniciar o tratamento, uma avaliação do impacto das operações de tratamento previstas sobre a proteção dos dados pessoais operacionais.

2.   A avaliação a que se refere o n.o 1 inclui pelo menos uma descrição geral das operações de tratamento previstas, uma avaliação dos riscos para os direitos e as liberdades dos titulares dos dados, as medidas previstas para fazer face a esses riscos, as garantias, as medidas de segurança e os mecanismos para assegurar a proteção dos dados pessoais operacionais e para demonstrar a conformidade com as regras de proteção de dados, tendo em conta os direitos e os legítimos interesses dos titulares dos dados e de outras pessoas afetadas.

Artigo 90.o

Consulta prévia da Autoridade Europeia para a Proteção de Dados

1.   O responsável pelo tratamento consulta a Autoridade Europeia para a Proteção de Dados antes de proceder a um tratamento que fará parte de um novo sistema de ficheiro a criar, caso:

a)

A avaliação de impacto relativa à proteção de dados ao abrigo do artigo 89.o indique que o tratamento constituiria um elevado risco na falta de medidas tomadas pelo responsável pelo tratamento para atenuar o risco; ou

b)

O tipo de tratamento implique, especialmente no caso de se utilizarem novas tecnologias, novos mecanismos ou novos procedimentos, um elevado risco para os direitos e as liberdades dos titulares dos dados.

2.   A Autoridade Europeia para a Proteção de Dados elabora uma lista das operações de tratamento sujeitas a consulta prévia nos termos do n.o 1.

3.   O responsável pelo tratamento fornece à Autoridade Europeia para a Proteção de Dados a avaliação de impacto relativa à proteção de dados a que se refere o artigo 89.o e, quando lhe for solicitado, outras informações que permitam à Autoridade Europeia para a Proteção de Dados avaliar a conformidade do tratamento e, nomeadamente, os riscos para a proteção dos dados pessoais operacionais do titular dos dados e as respetivas garantias.

4.   Caso a Autoridade Europeia para a Proteção de Dados considere que o tratamento previsto referido no n.o 1 violaria o presente regulamento ou o ato normativo que cria o órgão ou o organismo da União, nomeadamente se o responsável pelo tratamento não tiver identificado ou atenuado suficientemente os riscos, deve emitir orientações por escrito, no prazo máximo de seis semanas a contar da receção do pedido de consulta, destinadas ao responsável pelo tratamento. Esse prazo pode ser prorrogado por um mês, tendo em conta a complexidade do tratamento previsto. A Autoridade Europeia para a Proteção de Dados informa o responsável pelo tratamento da prorrogação no prazo de um mês a contar da data de receção do pedido de consulta, e indica os motivos do atraso.

Artigo 91.o

Segurança do tratamento dos dados pessoais operacionais

1.   O responsável pelo tratamento e o subcontratante, tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos, de probabilidade e gravidade variáveis, para os direitos e as liberdades das pessoas singulares, aplicam as medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco, em especial no que respeita ao tratamento das categorias especiais de dados pessoais operacionais.

2.   No que diz respeito ao tratamento automatizado de dados, o responsável pelo tratamento e o subcontratante, na sequência de uma avaliação dos riscos, aplicam medidas para os seguintes efeitos:

a)

Impedir o acesso de pessoas não autorizadas ao equipamento utilizado para o tratamento de dados (controlo de acesso ao equipamento);

b)

Impedir que os suportes de dados possam ser lidos, copiados, alterados ou retirados sem autorização (controlo dos suportes de dados);

c)

Impedir a introdução não autorizada de dados pessoais operacionais e a inspeção, alteração ou apagamento não autorizados de dados pessoais operacionais conservados (controlo de conservação);

d)

Impedir que os sistemas de tratamento automatizado de dados sejam utilizados por pessoas não autorizadas por meio de equipamentos de comunicação de dados (controlo dos utilizadores);

e)

Assegurar que as pessoas autorizadas a utilizar um sistema de tratamento automatizado de dados só tenham acesso aos dados pessoais operacionais abrangidos pela sua autorização de acesso (controlo do acesso aos dados);

f)

Assegurar que possa ser verificado e determinado a que organismos os dados pessoais operacionais foram ou podem ser transmitidos ou facultados recorrendo à comunicação de dados (controlo da comunicação);

g)

Assegurar que possa ser verificado e determinado a posteriori quais os dados pessoais operacionais introduzidos nos sistemas de tratamento automatizado de dados, e quando e por quem foram introduzidos (controlo da introdução);

h)

Impedir que os dados pessoais operacionais possam ser lidos, copiados, alterados ou suprimidos sem autorização durante a sua transmissão e durante o transporte de suportes de dados (controlo do transporte dos dados);

i)

Assegurar que os sistemas utilizados possam ser restaurados em caso de interrupção (recuperação);

j)

Assegurar que as funções do sistema funcionem, que os erros de funcionamento sejam assinalados (fiabilidade) e que os dados pessoais operacionais conservados não possam ser falseados por um disfuncionamento do sistema (integridade).

Artigo 92.o

Notificação de violações de dados pessoais à Autoridade Europeia para a Proteção de Dados

1.   Em caso de violação de dados pessoais, o responsável pelo tratamento deve notificar desse facto a Autoridade Europeia para a Proteção de Dados sem demora indevida e, se possível, no prazo máximo de 72 horas após ter tido conhecimento da mesma, salvo se tal violação não for suscetível de constituir um risco para os direitos e as liberdades das pessoas singulares. Se não for transmitida no prazo de 72 horas, a notificação à Autoridade Europeia para a Proteção de Dados deve ser acompanhada dos motivos do atraso.

2.   A notificação referida no n.o 1 deve, pelo menos:

a)

Descrever a natureza da violação de dados pessoais, incluindo, se possível e adequado, as categorias e o número aproximado de titulares dos dados afetados, bem como as categorias e o número aproximado dos registos de dados pessoais operacionais em causa;

b)

Comunicar o nome e os contactos do encarregado da proteção de dados;

c)

Descrever as consequências prováveis da violação de dados pessoais;

d)

Descrever as medidas tomadas ou propostas pelo responsável pelo tratamento para reparar a violação de dados pessoais, incluindo, se for caso disso, medidas para atenuar os seus eventuais efeitos negativos.

3.   Caso e na medida em que não seja possível comunicar todas as informações referidas no n.o 2 ao mesmo tempo, as informações podem ser comunicadas por fases, sem demora indevida.

4.   O responsável pelo tratamento documenta todas as violações de dados pessoais referidas no n.o 1, incluindo os factos relacionados com a violação, os seus efeitos e as medidas de reparação adotadas. Essa documentação deve permitir à Autoridade Europeia para a Proteção de Dados verificar o respeito do presente artigo.

5.   Caso a violação de dados pessoais envolva dados pessoais operacionais transmitidos pelas autoridades competentes ou a elas destinados, o responsável pelo tratamento comunica as informações referidas no n.o 2 às autoridades competentes em causa sem demora indevida.

Artigo 93.o

Comunicação de violações de dados pessoais ao titular dos dados

1.   Caso uma violação de dados pessoais seja suscetível de constituir um elevado risco para os direitos e as liberdades das pessoas singulares, o responsável pelo tratamento deve comunicar a violação ao titular dos dados sem demora indevida.

2.   A comunicação ao titular dos dados a que se refere o n.o 1 do presente artigo deve descrever, em linguagem clara e simples, a natureza da violação de dados pessoais e incluir, pelo menos, as informações e as recomendações previstas no artigo 92.o, n.o 2, alíneas b), c) e d).

3.   A comunicação ao titular dos dados a que se refere o n.o 1 não é exigida caso uma das seguintes condições esteja satisfeita:

a)

O responsável pelo tratamento aplicou medidas de proteção adequadas, tanto técnicas como organizativas, e essas medidas foram aplicadas aos dados pessoais operacionais afetados pela violação de dados pessoais, especialmente medidas que tornam os dados pessoais operacionais incompreensíveis para as pessoas não autorizadas a aceder a esses dados, como, por exemplo, a cifragem;

b)

O responsável pelo tratamento tomou medidas subsequentes que asseguram que o elevado risco para os direitos e as liberdades dos titulares a que se refere o n.o 1 já não é suscetível de se concretizar;

c)

A comunicação implicaria um esforço desproporcionado. Nesse caso, é feita uma comunicação pública ou tomada uma medida semelhante através da qual os titulares dos dados são informados de forma igualmente eficaz.

4.   Se o responsável pelo tratamento ainda não tiver comunicado a violação de dados pessoais ao titular dos dados, a Autoridade Europeia para a Proteção de Dados, tendo considerado a probabilidade de a violação de dados pessoais constituir um elevado risco, pode exigir-lhe que proceda a essa notificação, ou pode constatar que uma das condições referidas no n.o 3 está preenchida.

5.   A comunicação ao titular dos dados referida no n.o 1 do presente artigo pode ser adiada, limitada ou omitida, sob reserva das condições e pelos motivos a que se refere o artigo 79.o, n.o 3.

Artigo 94.o

Transferências de dados pessoais operacionais para países terceiros ou para organizações internacionais

1.   Sob reserva das limitações e das condições estabelecidas nos atos normativos que criam o órgão ou o organismo da União, o responsável pelo tratamento pode transferir dados pessoais operacionais para uma autoridade de um país terceiro ou para uma organização internacional, na medida em que essa transmissão seja necessária para o exercício das suas funções, e apenas nos casos em que as condições previstas no presente artigo sejam respeitadas, a saber:

a)

A Comissão adotou uma decisão de adequação nos termos do artigo 36.o, n.o 3, da Diretiva (UE) 2016/680, que estabelece que o país terceiro ou um território ou um setor de tratamento nesse país terceiro, ou a organização internacional em causa, asseguram um nível de proteção adequado;

b)

Na falta de uma decisão de adequação da Comissão nos termos da alínea a), foi celebrado um acordo internacional entre a União e esse país terceiro ou essa organização internacional, nos termos do artigo 218.o do TFUE, estabelecendo garantias suficientes respeitantes à proteção da privacidade e dos direitos e liberdades fundamentais das pessoas;

c)

Na falta de uma decisão de adequação da Comissão nos termos da alínea a) ou de um acordo internacional nos termos da alínea b), foi celebrado um acordo de cooperação entre o órgão ou organismo da União e o país terceiro em causa que permite o intercâmbio de dados pessoais operacionais, antes da data de aplicação do ato normativo que cria esse órgão ou organismo da União.

2.   Os atos normativos que criam os órgãos e os organismos da União podem manter ou introduzir disposições mais específicas sobre as condições aplicáveis às transferências internacionais de dados pessoais operacionais, em especial sobre as transferências com garantias adequadas e derrogações aplicáveis a situações específicas.

3.   O responsável pelo tratamento publica no seu sítio Web, e mantém atualizada, uma lista das decisões de adequação referidas no n.o 1, alínea a), dos acordos, dos convénios administrativos e de outros instrumentos relacionados com a transferência de dados pessoais operacionais nos termos do n.o 1.

4.   O responsável pelo tratamento conserva registos pormenorizados de todas as transferências realizadas ao abrigo do presente artigo.

Artigo 95.o

Confidencialidade dos inquéritos judiciais e das ações penais

Os atos normativos que criam os órgãos e os organismos da União que exercem atividades abrangidas pelo âmbito de aplicação da parte III, título V, capítulos 4 ou 5, do TFUE podem obrigar a Autoridade Europeia para a Proteção de Dados a ter na melhor conta a confidencialidade dos inquéritos judiciais e das ações penais no exercício dos seus poderes de supervisão, nos termos do direito da União ou do direito dos Estados-Membros.

CAPÍTULO X

ATOS DE EXECUÇÃO

Artigo 96.o

Procedimento de comité

1.   A Comissão é assistida pelo comité criado pelo artigo 93.o do Regulamento (UE) 2016/679. Esse comité é um comité na aceção do Regulamento (UE) n.o 182/2011.

2.   Caso se remeta para o presente número, aplica-se o artigo 5.o do Regulamento (UE) n.o 182/2011.

CAPÍTULO XI

REEXAME

Artigo 97.o

Cláusula de reexame

O mais tardar em 30 de abril de 2022 e, em seguida, de cinco em cinco anos, a Comissão apresenta ao Parlamento Europeu e ao Conselho um relatório sobre a aplicação do presente regulamento, acompanhado, se necessário, de propostas legislativas adequadas.

Artigo 98.o

Reexame dos atos normativos da União

1.   Até 30 de abril de 2022, a Comissão deve efetuar um reexame dos atos normativos adotados com base nos Tratados que regulam o tratamento dos dados pessoais operacionais pelos órgãos e organismos da União no exercício de atividades abrangidas pelo âmbito de aplicação da parte III, título V, capítulos 4 ou 5, do TFUE, a fim de:

a)

Avaliar a sua coerência com a Diretiva (UE) 2016/680 e com o capítulo IX do presente regulamento;

b)

Identificar divergências suscetíveis de criar obstáculos ao intercâmbio de dados pessoais operacionais entre os órgãos e os organismos da União quando exercem atividades nesses domínios e as autoridades competentes; e

c)

Identificar divergências suscetíveis de gerar a fragmentação jurídica da legislação sobre a proteção de dados na União.

2.   Com base nesse reexame, a fim de assegurar uma proteção uniforme e coerente das pessoas singulares no que diz respeito ao tratamento, a Comissão pode apresentar propostas legislativas adequadas, nomeadamente na perspetiva da aplicação do capítulo IX do presente regulamento, à Europol e à Procuradoria Europeia, que incluam, se necessário, adaptações do capítulo IX do presente regulamento.

CAPÍTULO XII

DISPOSIÇÕES FINAIS

Artigo 99.o

Revogação do Regulamento (CE) n.o 45/2001 e da Decisão n.o 1247/2002/CE

O Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE são revogados com efeitos a partir de 11 de dezembro de 2018. As remissões para o regulamento e para a decisão revogados devem entender-se como sendo feitas para o presente regulamento.

Artigo 100.o

Medidas transitórias

1.   O presente regulamento não obsta à aplicação da Decisão 2014/886/UE do Parlamento Europeu e do Conselho (20) nem aos mandatos atuais da Autoridade Europeia para a Proteção de Dados e da Autoridade Adjunta.

2.   A Autoridade Adjunta é considerada equiparada ao Secretário do Tribunal de Justiça no que se refere à determinação da remuneração, subsídios, pensão de reforma e outros benefícios equivalentes à remuneração que lhe sejam devidos.

3.   O artigo 53.o, n.os 4, 5 e 7, e os artigos 55.o e 56.o do presente regulamento, são aplicáveis à atual Autoridade Adjunta até ao termo do seu mandato.

4.   A Autoridade Adjunta assiste a Autoridade Europeia para a Proteção de Dados no desempenho das suas funções, e substitui-a em caso de ausência ou de impedimento, até ao termo do atual mandato da Autoridade Adjunta.

Artigo 101.o

Entrada em vigor e aplicação

1.   O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

2.   No entanto, o presente regulamento é aplicável ao tratamento de dados pessoais pela Eurojust a partir de 12 de dezembro de 2019.

O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.

Feito em Estrasburgo, 23 de outubro de 2018.

Pelo Parlamento Europeu

O Presidente

A. TAJANI

Pelo Conselho

A Presidente

K. EDTSTADLER


(1)  JO C 288 de 31.8.2017, p. 107.

(2)  Posição do Parlamento Europeu de 13 de setembro de 2018 (ainda não publicada no Jornal Oficial) e decisão do Conselho de 11 de outubro de 2018.

(3)  Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados (JO L 8 de 12.1.2001, p. 1).

(4)  Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1).

(5)  Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI do Conselho (JO L 119 de 4.5.2016, p. 89).

(6)  Diretiva 93/13/CEE do Conselho, de 5 de abril de 1993, relativa às cláusulas abusivas nos contratos celebrados com os consumidores (JO L 95 de 21.4.1993, p. 29).

(7)  Regulamento (CE) n.o 1338/2008 do Parlamento Europeu e do Conselho, de 16 de dezembro de 2008, relativo às estatísticas comunitárias sobre saúde pública e saúde e segurança no trabalho (JO L 354 de 31.12.2008, p. 70).

(8)  Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no sector das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) (JO L 201 de 31.7.2002, p. 37).

(9)  Regulamento (CE) n.o 1049/2001 do Parlamento Europeu e do Conselho, de 30 de maio de 2001, relativo ao acesso do público aos documentos do Parlamento Europeu, do Conselho e da Comissão (JO L 145 de 31.5.2001, p. 43).

(10)  JO L 56 de 4.3.1968, p. 1.

(11)  Regulamento (UE) n.o 182/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os princípios gerais relativos aos mecanismos de controlo pelos Estados-Membros do exercício das competências de execução pela Comissão (JO L 55 de 28.2.2011, p. 13).

(12)  Regulamento (CE) n.o 223/2009 do Parlamento Europeu e do Conselho, de 11 de março de 2009, relativo às Estatísticas Europeias e que revoga o Regulamento (CE, Euratom) n.o 1101/2008 relativo à transmissão de informações abrangidas pelo segredo estatístico ao Serviço de Estatística das Comunidades Europeias, o Regulamento (CE) n.o 322/97 do Conselho relativo às estatísticas comunitárias e a Decisão 89/382/CEE, Euratom do Conselho que cria o Comité do Programa Estatístico das Comunidades Europeias (JO L 87 de 31.3.2009, p. 164).

(13)  Decisão n.o 1247/2002/CE do Parlamento Europeu, do Conselho e da Comissão, de 1 de julho de 2002, relativa ao estatuto e às condições gerais de exercício de funções da autoridade europeia para a proteção de dados (JO L 183 de 12.7.2002, p. 1).

(14)  JO C 164 de 24.5.2017, p. 2.

(15)  Regulamento (UE) 2016/794 do Parlamento Europeu e do Conselho, de 11 de maio de 2016, que cria a Agência da União Europeia para a Cooperação Policial (Europol) e que substitui e revoga as Decisões 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI e 2009/968/JAI do Conselho (JO L 135 de 24.5.2016, p. 53).

(16)  Regulamento (UE) 2017/1939 do Conselho, de 12 de outubro de 2017, que dá execução a uma cooperação reforçada para a instituição da Procuradoria Europeia (JO L 283 de 31.10.2017, p. 1).

(17)  Diretiva (UE) 2015/1535 do Parlamento Europeu e do Conselho, de 9 de setembro de 2015, relativa a um procedimento de informação no domínio das regulamentações técnicas e das regras relativas aos serviços da sociedade da informação (JO L 241 de 17.9.2015, p. 1).

(18)  Diretiva 2008/63/CE da Comissão, de 20 de junho de 2008, relativa à concorrência nos mercados de equipamentos terminais de telecomunicações (JO L 162 de 21.6.2008, p. 20).

(19)  Decisão 2009/917/JAI do Conselho, de 30 de novembro de 2009, relativa à utilização da informática no domínio aduaneiro (JO L 323 de 10.12.2009, p. 20).

(20)  Decisão 2014/886/UE do Parlamento Europeu e do Conselho, de 4 de dezembro de 2014, relativa à nomeação da Autoridade Europeia para a Proteção de Dados e da Autoridade Adjunta (JO L 351 de 9.12.2014, p. 9).


21.11.2018   

PT

Jornal Oficial da União Europeia

L 295/99


REGULAMENTO (UE) 2018/1726 DO PARLAMENTO EUROPEU E DO CONSELHO

de 14 de novembro de 2018

relativo à Agência da União Europeia para a Gestão Operacional de Sistemas Informáticos de Grande Escala no Espaço de Liberdade, Segurança e Justiça (eu-LISA), que altera o Regulamento (CE) n.o 1987/2006 e a Decisão 2007/533/JAI do Conselho, e que revoga o Regulamento (UE) n.o 1077/2011

O PARLAMENTO EUROPEU E O CONSELHO DA UNIÃO EUROPEIA,

Tendo em conta o Tratado sobre o Funcionamento da União Europeia, nomeadamente o artigo 74.o, o artigo 77.o, n.o 2, alíneas a) e b), o artigo 78.o, n.o 2, alínea e), o artigo 79.o, n.o 2, alínea c), o artigo 82.o, n.o 1, alínea d), o artigo 85.o, n.o 1, o artigo 87.o, n.o 2, alínea a), e o artigo 88.o, n.o 2,

Tendo em conta a proposta da Comissão Europeia,

Após transmissão do projeto de ato legislativo aos parlamentos nacionais,

Deliberando de acordo com o processo legislativo ordinário (1),

Considerando o seguinte:

(1)

O Sistema de Informação de Schengen (SIS II) foi criado pelo Regulamento (CE) n.o 1987/2006 do Parlamento Europeu e do Conselho (2) e pela Decisão 2007/533/JAI do Conselho (3). O Regulamento (CE) n.o 1987/2006 e a Decisão 2007/533/JAI estabelecem que, durante um período transitório, a Comissão é responsável pela gestão operacional do sistema central do SIS II («SIS II central»). Decorrido esse período transitório, esta responsabilidade, bem como a responsabilidade por certos aspetos da infraestrutura de comunicação, deve ser assumida por uma autoridade de gestão.

(2)

O Sistema de Informação sobre Vistos (VIS) foi criado pela Decisão 2004/512/CE do Conselho (4). O Regulamento (CE) n.o 767/2008 do Parlamento Europeu e do Conselho (5) estabelece que, durante um período transitório, a Comissão é responsável pela gestão operacional do VIS. Decorrido esse período transitório, a responsabilidade pela gestão operacional do VIS central e das interfaces nacionais, bem como por certos aspetos da infraestrutura de comunicação, deve ser assumida por uma autoridade de gestão.

(3)

O Eurodac foi criado pelo Regulamento (CE) n.o 2725/2000 do Conselho (6). O Regulamento (CE) n.o 407/2002 do Conselho (7) estabeleceu as necessárias regras de execução. Esses atos jurídicos foram revogados e substituídos pelo Regulamento (UE) n.o 603/2013 do Parlamento Europeu e do Conselho (8), com efeitos a partir de 20 de julho de 2015.

(4)

A Agência Europeia para a Gestão Operacional de Sistemas Informáticos de Grande Escala no Espaço de Liberdade, Segurança e Justiça, geralmente designada por eu-LISA, foi criada pelo Regulamento (UE) n.o 1077/2011 do Parlamento Europeu e do Conselho (9) a fim de assegurar a gestão operacional do SIS, do VIS e do Eurodac, e de certos aspetos das suas infraestruturas de comunicação, e, eventualmente, da gestão operacional de outros sistemas informáticos de grande escala no espaço de liberdade, segurança e justiça, sob reserva da adoção de atos jurídicos distintos da União. O Regulamento (UE) n.o 1077/2011 foi alterado pelo Regulamento (UE) n.o 603/2013 a fim de refletir as alterações introduzidas no Eurodac.

(5)

Tendo em conta a necessidade de dispor de autonomia jurídica, administrativa e financeira, a autoridade de gestão foi criada sob a forma de agência reguladora («Agência»), com personalidade jurídica. Conforme acordado, a sua sede foi fixada em Taline, Estónia. Contudo, dado que as funções relacionadas com o desenvolvimento técnico e com a preparação da gestão operacional do SIS II e do VIS já eram executadas em Estrasburgo, França, e que as instalações de salvaguarda desses sistemas se situavam em Sankt Johann im Pongau, Áustria, e atendendo à localização dos sistemas SIS II e VIS, que foi determinada pelos atos jurídicos aplicáveis da União, a atual disposição deverá continuar. Essas duas instalações também deverão a continuar a ser os locais, respetivamente, onde as funções relacionadas com a gestão operacional do Eurodac são executadas e onde as instalações de salvaguarda do Eurodac estão situadas. Estas duas instalações também deverão ser os locais, respetivamente, do desenvolvimento técnico e gestão operacional de outros sistemas informáticos de grande escala no espaço de liberdade, segurança e justiça, e das instalações de salvaguarda capazes de assegurar o funcionamento de um sistema informático de grande escala no caso de este falhar. A fim de maximizar a possibilidade de utilização da instalação de salvaguarda, esta instalação também poderá ser utilizada para operar sistemas simultaneamente, mantendo a sua capacidade de assegurar o seu funcionamento em caso de falha de um ou mais sistemas. Devido aos elevados níveis de segurança e disponibilidade e à importância capital dos sistemas, caso a capacidade de acolhimento nas instalações técnicas existentes se torne insuficiente, o Conselho de Administração da Agência («Conselho de Administração») deverá poder propor, se tal se justificar com base numa avaliação de impacto independente e numa análise de custo-benefício, a criação de uma segunda instalação técnica distinta em Estrasburgo ou em Sankt Johann im Pongau, ou em ambos os locais, que possa ser necessária, a fim de acolher os sistemas. O Conselho de Administração deverá consultar a Comissão e ter em conta os seus pontos de vista antes de notificar o Parlamento Europeu e o Conselho («autoridade orçamental») da sua intenção de executar qualquer projeto imobiliário.

(6)

Desde que assumiu as suas responsabilidades, em 1 de dezembro de 2012, a Agência assumiu as funções relativas ao VIS cometidas à autoridade de gestão pelo Regulamento (CE) n.o 767/2008 e pela Decisão 2008/633/JAI do Conselho (10). Em abril de 2013, a Agência assumiu ainda as funções relativas ao SIS II cometidas à autoridade de gestão pelo Regulamento (CE) n.o 1987/2006 e pela Decisão 2007/533/JAI, após a entrada em funcionamento do SIS II e, em junho de 2013, assumiu as funções relativas ao Eurodac cometidas à Comissão, em conformidade com os Regulamentos (CE) n.o 2725/2000 e (CE) n.o 407/2002.

(7)

A primeira avaliação do trabalho da Agência, baseada numa avaliação externa independente e realizada no período de 2015 a 2016, concluiu que a Agência assegura eficazmente a gestão operacional dos sistemas informáticos de grande escala e outras funções que lhe foram confiadas, mas concluiu também que são necessárias algumas alterações ao Regulamento (UE) n.o 1077/2011, tais como a transferência para a Agência das tarefas inerentes à infraestrutura de comunicação que continuam a ser asseguradas pela Comissão. Com base nessa avaliação externa, e na evolução política, jurídica e factual, a Comissão propôs, nomeadamente no seu relatório de 29 de junho de 2017 sobre o funcionamento da Agência Europeia para a gestão operacional de sistemas informáticos de grande escala no espaço de liberdade, segurança e justiça (eu-LISA) («relatório de avaliação»), que o mandato da Agência fosse alargado para abranger as funções decorrentes da adoção, pelos colegisladores, das propostas legislativas que confiam novos sistemas à Agência e as funções referidas na Comunicação da Comissão de 6 de abril de 2016 intitulada «Sistemas de informação mais sólidos e mais inteligentes para controlar as fronteiras e garantir a segurança», no relatório final do grupo de peritos de alto nível sobre sistemas de informação e interoperabilidade, de 11 de maio de 2017, e na Comunicação da Comissão de 16 de maio de 2017 intitulada «Sétimo relatório sobre os progressos alcançados rumo à criação de uma união da segurança genuína e eficaz», sob reserva da adoção dos atos jurídicos pertinentes da União, sempre que necessário. Em particular, a Agência deverá ser encarregada da criação de soluções de interoperabilidade definida na Comunicação de 6 de abril de 2016 como a capacidade dos sistemas de informação para trocar dados e permitir a partilha de informações.

Sempre que for pertinente, as ações realizadas no domínio da interoperabilidade deverão orientar-se pela Comunicação da Comissão de 23 de março de 2017, intitulada «Quadro Europeu de Interoperabilidade — Estratégia de Implementação». O anexo 2 dessa comunicação contém orientações gerais, recomendações e boas práticas para alcançar a interoperabilidade ou, pelo menos, para criar um ambiente que permita uma melhor interoperabilidade na conceção, execução e gestão de serviços públicos europeus.

(8)

O relatório de avaliação concluiu igualmente que o mandato da Agência deverá ser alargado a fim de lhe permitir prestar aos Estados-Membros aconselhamento sobre a ligação dos sistemas nacionais aos sistemas centrais dos sistemas informáticos de grande escala por si geridos («sistemas»), bem como assistência e apoio ad hoc, sempre que solicitado, e prestar aos serviços da Comissão assistência e apoio sobre questões técnicas relacionadas com os novos sistemas.

(9)

A Agência deverá ser encarregada da conceção, do desenvolvimento e da gestão operacional do Sistema de Entrada/Saída (SES), criado pelo Regulamento (UE) 2017/2226 do Parlamento Europeu e do Conselho (11).

(10)

A Agência também deverá ser encarregada da gestão operacional da DubliNet, um canal seguro de transmissão eletrónica separado, criada ao abrigo do artigo 18.o do Regulamento (CE) n.o 1560/2003 da Comissão (12), que as autoridades dos Estados-Membros competentes em matéria de asilo deverão utilizar para o intercâmbio de informações sobre os requerentes de proteção internacional.

(11)

A Agência deverá ser igualmente encarregada da conceção, do desenvolvimento e da gestão operacional do Sistema Europeu de Informação e Autorização de Viagem (ETIAS), criado pelo Regulamento (UE) 2018/1240 do Parlamento Europeu e do Conselho (13).

(12)

A atribuição principal da Agência deverá continuar a ser o desempenho das funções de gestão operacional do SIS II, do VIS, do Eurodac, do SES, da DubliNet, do ETIAS e, caso venha a ser decidido, de outros sistemas informáticos de grande escala no espaço de liberdade, segurança e justiça. A Agência também deverá ser responsável pelas medidas técnicas decorrentes das funções não normativas que lhe foram confiadas. Essas responsabilidades não deverão prejudicar as funções normativas, que são da competência exclusiva da Comissão, ou desta assistida por um comité, nos termos dos respetivos atos jurídicos da União que regem os sistemas.

(13)

A Agência deverá estar apta a aplicar soluções técnicas a fim de cumprir os requisitos de disponibilidade contemplados nos atos jurídicos da União que regem os sistemas, respeitando simultaneamente na íntegra as disposições específicas desses atos no que se refere à arquitetura técnica dos respetivos sistemas. Caso essas soluções técnicas exijam a duplicação de um sistema ou a duplicação dos componentes de um sistema, deverão ser realizadas uma avaliação de impacto e uma análise de custo-benefício independentes, e o Conselho de Administração deverá tomar uma decisão após consultar a Comissão. A avaliação também deverá incluir uma análise das necessidades em termos de capacidade de acolhimento das instalações técnicas existentes relacionadas com o desenvolvimento das referidas soluções técnicas e os possíveis riscos do atual quadro operacional.

(14)

Já não se justifica que a Comissão mantenha determinadas atribuições relacionadas com a infraestrutura de comunicação dos sistemas, pelo que essas atribuições deverão ser transferidas para a Agência, a fim de aumentar a coerência da gestão da infraestrutura de comunicação. Contudo, no que se refere aos sistemas que utilizam o EuroDomain, uma infraestrutura de telecomunicações segura fornecida pelo TESTA-ng (Serviços Telemáticos Transeuropeus Seguros entre Administrações) e criada como parte do Programa ISA estabelecido pela Decisão n.o 922/2009/CE do Parlamento Europeu e do Conselho (14), e que teve continuação como parte do Programa ISA2 estabelecido pela Decisão (UE) 2015/2240 do Parlamento Europeu e do Conselho (15), as atribuições relacionadas com a execução orçamental, a aquisição e renovação, e as questões contratuais deverão manter-se na alçada da Comissão.

(15)

A Agência deverá poder confiar as atribuições relativas ao fornecimento, instalação, manutenção e monitorização de infraestruturas de comunicação a entidades ou organismos externos de direito privado, em conformidade com o Regulamento (UE, Euratom) 2018/1046 do Parlamento Europeu e do Conselho (16). A Agência deverá dispor de recursos orçamentais e humanos suficientes para poder limitar o mais possível a necessidade de subcontratar as suas atribuições e as suas funções a entidades ou organismos externos de direito privado.

(16)

A Agência deverá continuar a desempenhar as atribuições relacionadas com a formação sobre a utilização técnica do SIS II, do VIS, do Eurodac e de outros sistemas que lhe sejam confiados no futuro.

(17)

A fim de contribuir para a elaboração, a nível da União, de políticas no domínio da migração e da segurança baseadas em dados concretos, e para o acompanhamento do bom funcionamento dos sistemas informáticos, a Agência deverá compilar e publicar estatísticas, e elaborar relatórios estatísticos e disponibilizá-los aos intervenientes pertinentes, em conformidade com os atos jurídicos da União que regem os sistemas, por exemplo, a fim de acompanhar a aplicação do Regulamento (UE) n.o 1053/2013 do Conselho (17), e para efeitos da realização de análises de risco e de avaliações de vulnerabilidade, em conformidade com o Regulamento (UE) 2016/1624 do Parlamento Europeu e do Conselho (18).

(18)

Deverá ser possível atribuir à Agência a responsabilidade pela conceção, pelo desenvolvimento e pela gestão operacional de outros sistemas informáticos de grande escala em aplicação dos artigos 67.o a 89.o do Tratado sobre o Funcionamento da União Europeia (TFUE). Podem considerar-se exemplos desse tipo de sistemas o sistema centralizado de identificação dos Estados-Membros que possui informações sobre condenações de nacionais de países terceiros e apátridas que completa e apoia o Sistema Europeu de Informação sobre Registos Criminais («sistema ECRIS-TCN») ou o sistema informatizado para o intercâmbio transfronteiriço de processos civis e penais (e-CODEX). Contudo, tais sistemas só deverão ser confiados à Agência através de atos jurídicos subsequentes e distintos da União, precedidos de uma avaliação de impacto.

(19)

O mandato da Agência no que diz respeito à investigação deverá ser alargado, a fim de aumentar a sua capacidade de tomar a iniciativa e de sugerir as alterações técnicas pertinentes e necessárias no âmbito dos sistemas. A Agência deverá poder não só acompanhar as atividades de investigação pertinentes para a gestão operacional dos sistemas, mas também poder contribuir para a execução das partes pertinentes do Programa-Quadro de Investigação e Inovação da União Europeia, caso a Comissão delegue as respetivas competências na Agência. A Agência deverá prestar informações, pelo menos uma vez por ano, sobre esse acompanhamento ao Parlamento Europeu, ao Conselho e, no que respeita ao tratamento de dados pessoais, à Autoridade Europeia para a Proteção de Dados.

(20)

A Comissão deverá poder atribuir à Agência a responsabilidade pela realização de projetos-piloto de natureza experimental concebidos para avaliar a viabilidade e a utilidade de uma ação, que possam ser executados sem um ato de base, em conformidade com o Regulamento (UE, Euratom) 2018/1046. Além disso, a Comissão deverá poder atribuir à Agência funções de execução orçamental relativas a provas de conceito, financiadas pelo instrumento de apoio financeiro em matéria de fronteiras externas e de vistos, criado pelo Regulamento (UE) n.o 515/2014 do Parlamento Europeu e do Conselho (19), em conformidade com o Regulamento (UE, Euratom) 2018/1046, após informar o Parlamento Europeu. A Agência também deverá poder planear e executar atividades de ensaio referentes às matérias estritamente abrangidas pelo presente regulamento e pelos atos jurídicos da União que regem a criação, o desenvolvimento, o funcionamento e a utilização dos sistemas, tais como os ensaios de conceitos de virtualização. Quando encarregada da realização de um projeto-piloto, a Agência deverá prestar especial atenção à Estratégia de Gestão de Informação da União Europeia.

(21)

A Agência deverá prestar aconselhamento aos Estados Membros, a pedido destes, no que se refere à ligação dos sistemas nacionais aos sistemas centrais prevista nos atos jurídicos da União que regem os sistemas.

(22)

A Agência deverá igualmente prestar apoio ad hoc aos Estados-Membros, a pedido destes e sob reserva do procedimento estabelecido no presente regulamento, sempre que surjam desafios ou necessidades de segurança e migração extraordinários. Em especial, um Estado-Membro deverá poder solicitar e contar com reforços operacionais e técnicos sempre que enfrente desafios migratórios específicos e desproporcionados, em zonas específicas das suas fronteiras externas, caracterizados por grandes fluxos de imigração. Estes reforços deverão ser prestados nos centros de registo por equipas de apoio à gestão da migração, constituídas por peritos das agências da União pertinentes. Em caso de necessidade, neste contexto, do apoio da Agência em questões relacionadas com os sistemas, o pedido de apoio deverá ser enviado pelo Estado-Membro em causa à Comissão, que, após analisar se esse apoio é efetivamente justificado, deverá transmitir sem demora o pedido de apoio à Agência. A Agência por sua vez deverá informar o Conselho de Administração sobre esses pedidos. A Comissão deverá igualmente controlar se a Agência dá resposta atempada aos pedidos de apoio ad hoc. O relatório anual de atividades da Agência deverá informar pormenorizadamente sobre as ações levadas a cabo pela Agência para prestar apoio ad hoc aos Estados-Membros e sobre os custos associados.

(23)

A Agência deverá igualmente apoiar os serviços da Comissão em questões técnicas relacionadas com os sistemas, atuais ou novos, sempre que tal lhe for solicitado, em particular para a elaboração de novas propostas sobre sistemas informáticos de grande escala a confiar à Agência.

(24)

Deverá prever-se a possibilidade de um grupo de Estados-Membros cometer à Agência as atribuições de conceção, gestão ou acolhimento de uma componente informática comum, a fim de os auxiliar na execução das componentes técnicas dos deveres impostos por atos jurídicos da União em matéria de sistemas informáticos descentralizados no domínio do espaço de liberdade, de segurança e de justiça, sem prejuízo das obrigações dos referidos Estados-Membros nos termos dos atos jurídicos da União aplicáveis, nomeadamente no que diz respeito à arquitetura desses sistemas. A concretização dessa possibilidade deverá carecer da aprovação prévia da Comissão, ser objeto de decisão favorável do Conselho de Administração, ser refletida num acordo de delegação entre os Estados-Membros em causa e a Agência, e ser totalmente financiada pelos Estados-Membros em causa. A Agência deverá informar o Parlamento Europeu e o Conselho sobre o acordo de delegação aprovado e quaisquer alterações ao mesmo. Os outros Estados-Membros deverão poder participar nas referidas soluções informáticas comuns, desde que essa possibilidade esteja estipulada no acordo de delegação e sejam efetuadas as necessárias alterações ao mesmo. Esta tarefa não deverá afetar negativamente a gestão operacional dos sistemas pela Agência.

(25)

Confiar à Agência a gestão operacional de sistemas informáticos de grande escala no espaço de liberdade, segurança e justiça não deverá afetar as afetar as regras específicas aplicáveis a esses sistemas. Em particular, deverão ser plenamente aplicáveis as regras específicas que regem a finalidade, os direitos de acesso, as medidas de segurança e outros requisitos de proteção dos dados de cada um dos referidos sistemas.

(26)

A fim de acompanhar eficazmente o funcionamento da Agência, os Estados-Membros e a Comissão deverão estar representados no Conselho de Administração. Deverão ser atribuídas ao Conselho de Administração as competências necessárias, nomeadamente para adotar o programa de trabalho anual, para desempenhar as suas funções referentes ao orçamento da Agência, para adotar as regras financeiras aplicáveis à Agência e para estabelecer o processo de tomada de decisão sobre as funções operacionais da Agência, que o diretor-executivo deve seguir. O Conselho de Administração deverá executar essas funções de forma eficiente e transparente. Após a organização de um processo de seleção adequado pela Comissão e depois da audição dos candidatos propostos na comissão ou comissões competentes do Parlamento Europeu, o Conselho de Administração deverá igualmente nomear um diretor-executivo.

(27)

Considerando que o número de sistemas informáticos de grande escala confiados à Agência terá aumentado significativamente até 2020, e que as atribuições da Agência estão a ser consideravelmente reforçadas, haverá um correspondente aumento significativo do pessoal da Agência até 2020. Por conseguinte, deverá ser criado um cargo de diretor-executivo adjunto da Agência, tendo também em conta que as atribuições relacionadas com o desenvolvimento e a gestão operacional dos sistemas exigirão uma supervisão acrescida e específica e que a sede e as instalações técnicas da Agência estão repartidas por três Estados-Membros. O diretor-executivo adjunto deverá ser nomeado pelo Conselho de Administração.

(28)

A Agência deverá reger-se e funcionar tendo em conta os princípios da abordagem comum relativa às agências descentralizadas da União, adotada em 19 de julho de 2012 pelo Parlamento Europeu, pelo Conselho e pela Comissão.

(29)

No que diz respeito ao SIS II, a Agência da União Europeia para a Cooperação Policial (Europol) e a Unidade Europeia de Cooperação Judiciária (Eurojust), que têm ambas direito de acesso e de consulta direta dos dados inseridos no SIS II por força da Decisão 2007/533/JAI, deverão ter o estatuto de observadora nas reuniões do Conselho de Administração quando figure na ordem de trabalhos uma questão relativa à aplicação dessa decisão. A Agência Europeia da Guarda de Fronteiras e Costeira, que tem direito de acesso e de consulta do SIS II por força do Regulamento (UE) 2016/1624, deverá ter o estatuto de observadora nas reuniões do Conselho de Administração quando figure na ordem de trabalhos uma questão relativa à aplicação desse regulamento. A Europol, a Eurojust e a Agência Europeia da Guarda de Fronteiras e Costeira deverão, cada uma, poder nomear um representante para o Grupo Consultivo do SIS II criado nos termos do presente regulamento.

(30)

No que diz respeito ao VIS, a Europol deverá ter o estatuto de observadora nas reuniões do Conselho de Administração quando figure na ordem de trabalhos uma questão relativa à aplicação da Decisão 2008/633/JAI. A Europol deverá poder nomear um representante para o Grupo Consultivo do VIS criado nos termos do presente regulamento.

(31)

No que diz respeito ao Eurodac, a Europol deverá ter o estatuto de observadora nas reuniões do Conselho de Administração quando figure na ordem de trabalhos uma questão relativa à aplicação do Regulamento (UE) n.o 603/2013. A Europol deverá poder nomear um representante para o Grupo Consultivo do Eurodac criado nos termos do presente regulamento.

(32)

No que diz respeito ao SES, a Europol deverá ter o estatuto de observadora nas reuniões do Conselho de Administração quando figure na ordem de trabalhos uma questão atinente ao Regulamento (UE) 2017/2226.

(33)

No que diz respeito ao ETIAS, a Europol deverá ter o estatuto de observadora nas reuniões do Conselho de Administração quando figure na ordem de trabalhos uma questão atinente ao Regulamento (UE) 2018/1240. A Agência Europeia da Guarda de Fronteiras e Costeira deverá ter o estatuto de observadora nas reuniões do Conselho de Administração quando figure na ordem de trabalhos uma questão atinente ao ETIAS relativa à aplicação desse regulamento. A Europol e a Agência Europeia da Guarda de Fronteiras e Costeira deverão poder nomear um representante para o Grupo Consultivo do SES-ETIAS criado nos termos do presente regulamento.

(34)

Caso os Estados-Membros estejam vinculados, nos termos do direito da União, por qualquer ato jurídico da União que reja a criação, o desenvolvimento, o funcionamento e a utilização de um sistema informático de grande escala, deverão ter direito de voto no Conselho de Administração sobre esse sistema. A Dinamarca também deverá ter direito de voto sobre um sistema informático de grande escala se, ao abrigo do artigo 4.o do Protocolo n.o 22, relativo à posição da Dinamarca, anexo ao Tratado de União Europeia (TUE) e ao TFUE, decidir transpor para o seu direito interno o ato jurídico da União que rege a criação, o desenvolvimento, o funcionamento e a utilização desse sistema.

(35)

Se os Estados-Membros estiverem vinculados, nos termos do direito da União, por qualquer ato jurídico da União que reja a criação, o desenvolvimento, o funcionamento e a utilização de um sistema informático de grande escala, deverão nomear um membro para o grupo consultivo desse sistema. Além disso, se, ao abrigo do artigo 4.o do Protocolo n.o 22, a Dinamarca decidir transpor para o seu direito interno o ato jurídico da União que rege a criação, o desenvolvimento, o funcionamento e a utilização de um sistema informático de grande escala, deverá este Estado-Membro nomear um membro para o grupo consultivo desse sistema. Os grupos consultivos deverão cooperar entre si sempre que necessário.

(36)

A fim de assegurar a sua plena autonomia e independência e de lhe permitir realizar devidamente os objetivos e de desempenhar as atribuições cometidas pelo presente regulamento, deverá ser atribuído à Agência um orçamento próprio e adequado, financiado pelo orçamento geral da União. O financiamento da Agência deverá ser objeto de um acordo entre o Parlamento Europeu e o Conselho, nos termos do ponto 31 do Acordo Interinstitucional, de 2 de dezembro de 2013, entre o Parlamento Europeu, o Conselho e a Comissão, sobre a disciplina orçamental, a cooperação em matéria orçamental e a boa gestão financeira (20). Deverão aplicar-se os processos orçamentais e de quitação da União. A auditoria das contas, assim como da legalidade e da regularidade das transações subjacentes, deverá ser realizada pelo Tribunal de Contas.

(37)

Para efeitos do cumprimento da sua missão e na medida do necessário para o desempenho das suas funções, a Agência deverá ser autorizada a cooperar com instituições, órgãos e organismos da União, em particular, os criados no espaço de liberdade, segurança e justiça, nos domínios abrangidos pelo presente regulamento e pelos atos jurídicos da União que regem a criação, o desenvolvimento, o funcionamento e a utilização dos sistemas no quadro de acordos de trabalho celebrados em conformidade com o direito e a política da União, e no âmbito das respetivas competências. Caso esteja previsto num ato jurídico da União, a Agência também deverá poder cooperar com organizações internacionais e outras entidades pertinentes, assim como deverá poder celebrar acordos de trabalho para o efeito. Esses acordos de trabalho deverão ser previamente aprovados pela Comissão e ser autorizados pelo Conselho de Administração. Sempre que necessário, a Agência deverá consultar a Agência Europeia para a Segurança das Redes e da Informação (ENISA), criada pelo Regulamento (CE) n.o 526/2013 do Parlamento Europeu e do Conselho (21), e seguir as suas recomendações sobre a segurança da informação e da rede.

(38)

Ao assegurar o desenvolvimento e a gestão operacional de sistemas, a Agência deverá respeitar as normas europeias e internacionais, tomando por referência as normas profissionais mais elevadas, em particular a Estratégia de Gestão de Informação da União Europeia.