(1)

O mercado interno é uma das conquistas mais importantes da União. Ao permitir que pessoas, bens, serviços e capitais circulem livremente, oferece novas oportunidades aos cidadãos e às empresas. O presente regulamento é um elemento essencial da Estratégia para o Mercado Único, criada pela comunicação da Comissão, de 28 de outubro de 2015, intitulada «Melhorar o Mercado Único: mais oportunidades para os cidadãos e as empresas». Essa estratégia tem como objetivo explorar todo o potencial do mercado interno, permitindo aos cidadãos e às empresas deslocarem-se mais facilmente na União, comercializarem os seus produtos, estabelecerem-se e expandirem as suas atividades além-fronteiras.

(2)

A comunicação da Comissão, de 6 de maio de 2015, intitulada «Estratégia para o Mercado Único Digital na Europa» reconheceu o papel da internet e das tecnologias digitais na transformação da nossa vida e da forma como os cidadãos e as empresas acedem às informações, adquirem conhecimentos, bens e serviços, participam no mercado e trabalham, proporcionando oportunidades para a inovação, o crescimento e o emprego. Essa comunicação, a par de várias resoluções aprovadas pelo Parlamento Europeu, reconheceu que as necessidades dos cidadãos e das empresas no seu próprio país e além-fronteiras poderiam ser satisfeitas de forma mais adequada graças ao alargamento e à integração dos portais, dos sítios Web, das redes, dos serviços e dos sistemas existentes a nível europeu e à sua ligação a diferentes soluções nacionais, criando assim uma plataforma digital única que sirva de ponto de entrada único europeu (a «plataforma»). A comunicação da Comissão, de 19 de abril de 2016, intitulada «Plano de ação europeu (2016-2020) para a administração pública em linha — Acelerar a transformação digital da administração pública», incluiu a plataforma entre as suas ações para 2017. O relatório da Comissão, de 24 de janeiro de 2017, intitulado «Relatório de 2017 sobre a cidadania da UE: Reforçar os direitos dos cidadãos numa União da mudança democrática», considerou a plataforma como uma prioridade para os direitos dos cidadãos da União.

(3)

O Parlamento Europeu e o Conselho apelaram repetidamente à adoção de um pacote de informações e de assistência mais abrangente e mais convivial para ajudar os cidadãos e as empresas a navegar no mercado interno e para reforçar e racionalizar os instrumentos desse mercado a fim de satisfazer melhor as necessidades dos cidadãos e das empresas no âmbito das suas atividades transfronteiriças.

(4)

O presente regulamento responde a esses apelos, proporcionando aos cidadãos e às empresas um fácil acesso à informação, aos procedimentos e aos serviços de assistência e de resolução de problemas de que necessitam para o exercício dos seus direitos no mercado interno. A plataforma poderá contribuir para uma maior transparência das normas e das regras relativas a diversos aspetos da vida das pessoas e das empresas, em áreas como as viagens, a reforma, os estudos, o trabalho, o acesso aos cuidados de saúde, o exercício dos direitos dos consumidores e dos direitos das famílias. Além disso, a plataforma poderá contribuir para melhorar a confiança dos consumidores, para dar resposta à falta de conhecimentos sobre as regras relativas à proteção dos consumidores e ao mercado interno, e para reduzir os custos de conformidade para as empresas. O presente regulamento estabelece uma plataforma convivial e interativa que deverá dirigir os utilizadores para os serviços de assistência mais adequados com base nas suas necessidades. Nesse contexto, a Comissão e os Estados-Membros deverão desempenhar um papel importante para a consecução desses objetivos.

(5)

A plataforma deverá facilitar as interações entre os cidadãos e as empresas, por um lado, e as autoridades competentes, por outro, concedendo acesso a soluções em linha, facilitando as atividades quotidianas dos cidadãos e das empresas e minimizando os obstáculos encontrados no mercado interno. A existência de uma plataforma digital única que conceda acesso em linha a informações exatas e atualizadas e a procedimentos e serviços de assistência e de resolução de problemas poderá sensibilizar os utilizadores para os diferentes serviços existentes em linha, permitindo-lhes poupar tempo e dinheiro.

(6)

O presente regulamento tem três objetivos, a saber: reduzir os encargos administrativos adicionais para os cidadãos e para as empresas que exercem ou desejam exercer os seus direitos no mercado interno, incluindo a livre circulação dos cidadãos, no pleno respeito das regras e dos procedimentos nacionais; eliminar a discriminação; e garantir o funcionamento do mercado interno no que diz respeito à prestação de informações, de procedimentos e de serviços de assistência e de resolução de problemas. Uma vez que o presente regulamento abrange a livre circulação dos cidadãos, o que não pode ser considerado meramente acessório, deverá basear-se no artigo 21.o, n.o 2, e no artigo 114.o, n.o 1, do Tratado sobre o Funcionamento da União Europeia (TFUE).

(7)

Para que os cidadãos e as empresas da União possam exercer o seu direito à livre circulação no mercado interno, a União deverá adotar medidas específicas não discriminatórias que lhes permitam ter fácil acesso a informações suficientemente completas e fiáveis sobre os direitos que lhes são conferidos pelo direito da União e sobre as regras e os procedimentos nacionais aplicáveis que devem respeitar quando se deslocam, vivem, estudam, se estabelecem ou exercem uma atividade profissional noutro Estado-Membro. As informações deverão ser consideradas suficientemente completas, se incluírem todas as informações necessárias para que os utilizadores compreendam quais os seus direitos e obrigações, e identificarem as regras que lhes são aplicáveis relativamente às atividades que pretendem exercer enquanto utilizadores transfronteiriços. As informações deverão ser enunciadas de forma clara, concisa e compreensível e ser funcionais e bem adaptadas ao grupo de utilizadores visado. As informações sobre os procedimentos deverão abranger todas as etapas procedimentais previsíveis que sejam pertinentes para o utilizador. Para os cidadãos e as empresas que se deparam com regimes regulamentares complexos, como os regimes do comércio eletrónico e da economia colaborativa, é importante poder encontrar facilmente as regras aplicáveis e descobrir a forma como estas se aplicam às suas atividades. Por acesso fácil e convivial às informações entende-se a possibilidade de os utilizadores encontrarem facilmente as informações, identificarem facilmente os elementos de informação pertinentes para a sua situação específica e compreenderem facilmente as informações pertinentes. As informações fornecidas a nível nacional não deverão apenas referir-se às regras nacionais que transpõem o direito da União, mas também a quaisquer outras regras nacionais aplicáveis aos utilizadores não transfronteiriços e aos utilizadores transfronteiriços.

(8)

As regras previstas no presente regulamento sobre as informações a fornecer não deverão aplicar-se aos sistemas judiciais nacionais, visto que as informações nesse domínio relevantes para os utilizadores transfronteiriços já estão incluídas no Portal Europeu da Justiça. Em determinadas situações abrangidas pelo presente regulamento, os tribunais deverão ser considerados autoridades competentes, nomeadamente nos casos em que os tribunais façam a gestão dos registos de empresas. Além disso, o princípio da não discriminação deverá aplicar-se igualmente aos procedimentos em linha que dão acesso a procedimentos judiciais.

(9)

É evidente que os cidadãos e as empresas de outros Estados-Membros podem estar em situação de desvantagem devido à sua falta de familiaridade com as regras nacionais e os sistemas administrativos, as diferentes línguas utilizadas e a sua falta de proximidade geográfica em relação às autoridades competentes nos Estados-Membros que não o seu. A forma mais eficaz de reduzir os consequentes obstáculos ao mercado interno é facultar aos utilizadores transfronteiriços e não transfronteiriços o acesso à informação em linha, numa língua que possam compreender, a fim de lhes permitir concluir integralmente em linha os procedimentos para dar cumprimento às regras nacionais, e de lhes oferecer assistência caso as regras e os procedimentos não sejam suficientemente claros ou se deparem com obstáculos ao exercício dos seus direitos.

(10)

Vários atos da União procuraram fornecer soluções, através da criação de balcões únicos setoriais, incluindo os Balcões únicos, criados pela Diretiva 2006/123/CE do Parlamento Europeu e do Conselho (3), que oferecem informações em linha, serviços de assistência e acesso aos procedimentos relevantes para a prestação de serviços, os pontos de contacto para produtos, criados pelo Regulamento (CE) n.o 764/2008 do Parlamento Europeu e do Conselho (4), os Pontos de Contacto para produtos do setor da construção, criados pelo Regulamento (UE) n.o 305/2011 do Parlamento Europeu e do Conselho (5), que facultam o acesso a regras técnicas para produtos específicos, e os centros nacionais de assistência em matéria de qualificações profissionais, criados pela Diretiva 2005/36/CE do Parlamento Europeu e do Conselho (6), que prestam assistência aos profissionais que se deslocam além-fronteiras. Foram igualmente criadas redes, como a dos Centros Europeus do Consumidor, a fim de promover a compreensão dos direitos dos consumidores da União e de prestar assistência no tratamento de reclamações relacionadas com aquisições noutros Estados-Membros no âmbito da rede, quando viajam ou fazem compras em linha. Além disso, a rede SOLVIT, referida na Recomendação 2013/461/UE da Comissão (7), tem por objetivo proporcionar soluções rápidas, eficazes e informais aos indivíduos e às empresas quando os seus direitos no mercado interno são negados pelas autoridades públicas. Por último, foram criados vários portais de informação, como «A sua Europa», em relação ao mercado interno, ou «e-Justice», no domínio da justiça, para informar os utilizadores sobre as regras nacionais e da União.

(11)

Em virtude da natureza setorial desses atos da União, a atual prestação em linha de informação e de serviços de assistência e de resolução de problemas, e a existência de procedimentos em linha para os cidadãos e para as empresas, continua a ser muito fragmentada. Verificam-se discrepâncias na disponibilização das informações e dos procedimentos em linha, falta de qualidade dos serviços e falta de sensibilização para essas informações e para esses serviços de assistência e de resolução de problemas. Os utilizadores transfronteiriços enfrentam igualmente problemas para encontrar esses serviços e para aceder a eles.

(12)

O presente regulamento deverá estabelecer um portal digital único que sirva de ponto de entrada único através do qual os cidadãos e as empresas possam aceder à informação sobre as regras e os requisitos que devem cumprir, por força do direito da União ou do direito nacional. A plataforma deverá simplificar o contacto dos cidadãos e das empresas com os serviços de assistência e de resolução de problemas, estabelecidos a nível da União ou a nível nacional, e tornar esse contacto mais eficaz. A plataforma deverá também facilitar o acesso aos procedimentos em linha e a conclusão dos mesmos. O presente regulamento não deverá afetar de modo algum os direitos e as obrigações consagrados pelo direito da União ou pelo direito nacional nesses domínios. Em relação aos procedimentos enumerados no anexo II do presente regulamento e aos procedimentos previstos nas Diretivas 2005/36/CE e 2006/123/CE e nas Diretivas 2014/24/UE (8) e 2014/25/UE (9) do Parlamento Europeu e do Conselho, o presente regulamento deverá promover a utilização do «princípio da declaração única» e respeitar plenamente o direito fundamental à proteção dos dados pessoais, para efeitos de intercâmbio de elementos de prova entre as autoridades competentes nos diferentes Estados-Membros.

(13)

A plataforma e o seu conteúdo deverão centrar-se no utilizador e deverão ser conviviais. A plataforma deverá procurar evitar sobreposições e deverá fornecer hiperligações para os serviços existentes. A plataforma deverá permitir que os cidadãos e as empresas interajam com os organismos públicos a nível nacional e da União, proporcionando-lhes a oportunidade de exprimir a sua opinião sobre os serviços oferecidos através da plataforma e sobre o funcionamento do mercado interno, em função da sua experiência. A ferramenta de retorno de informação deverá permitir que o utilizador assinale, de um modo que lhe permita manter o anonimato, problemas, deficiências e necessidades, a fim de incentivar a melhoria contínua da qualidade dos serviços.

(14)

O êxito da plataforma dependerá do esforço conjunto da Comissão e dos Estados-Membros. A plataforma deverá incluir uma interface comum do utilizador, integrada no atual portal «A sua Europa» que será gerida pela Comissão. Essa interface deverá conter hiperligações para a informação, os procedimentos e os serviços de assistência ou de resolução de problemas disponíveis nos portais geridos pelas autoridades competentes dos Estados-Membros e pela Comissão. A fim de facilitar a utilização da plataforma, a referida interface comum deverá estar disponível em todas as línguas oficiais das instituições da União («línguas oficiais da União»). O atual portal «A sua Europa» e a sua página principal, adaptada aos requisitos da plataforma, deverão manter a sua abordagem multilingue relativamente às informações fornecidas. O funcionamento da plataforma deverá ser facilitado por ferramentas técnicas criadas pela Comissão em estreita cooperação com os Estados-Membros.

(15)

Na Carta dos balcões únicos eletrónicos, no âmbito da Diretiva 2006/123/CE, aprovada pelo Conselho em 2013, os Estados-Membros assumiram um compromisso voluntário de adotarem uma abordagem centrada no utilizador, no que respeita à prestação de informações através de balcões únicos, a fim de cobrir os aspetos de particular relevância para as empresas, incluindo o IVA, os impostos sobre o rendimento, os requisitos em matéria de segurança social ou de direito do trabalho. Com base na Carta e à luz da experiência adquirida com o portal «A sua Europa», a informação deverá igualmente incluir uma descrição dos serviços de assistência e de resolução de problemas. Os cidadãos e as empresas deverão poder recorrer a esses serviços quando se depararem com problemas relacionados com a compreensão das informações, a aplicação das mesmas à sua situação ou a conclusão de procedimentos.

(16)

O presente regulamento deverá enumerar os domínios de informação relevantes para os cidadãos e as empresas que exercem os seus direitos e cumprem as suas obrigações no âmbito do mercado interno. Nesses domínios, deverão ser fornecidas informações suficientemente completas a nível nacional, incluindo os níveis regional e local, e a nível da União, que expliquem as regras e as obrigações aplicáveis e os procedimentos que os cidadãos e as empresas devem concluir a fim de dar cumprimento a essas regras e obrigações. Para garantir a qualidade dos serviços prestados, a informação disponibilizada na plataforma deverá ser clara, exata e atualizada, a utilização de terminologia complexa deverá ser reduzida ao mínimo e a utilização de acrónimos deverá ser limitada aos que consistam em termos simplificados e facilmente compreensíveis que não impliquem conhecimentos prévios sobre o assunto ou o ramo do direito em questão. Essas informações deverão ser fornecidas de modo a que os utilizadores possam compreender facilmente as regras e os requisitos básicos aplicáveis à sua situação nesses domínios. Os utilizadores deverão igualmente ser informados sobre a falta de regras nacionais, em determinados Estados-Membros, nos domínios de informação enumerados no anexo I, em particular nos domínios sujeitos a regras nacionais noutros Estados-Membros. Essas informações sobre a falta de regras nacionais poderão ser incluídas no portal «A sua Europa».

(17)

Sempre que possível, as informações já recolhidas pela Comissão junto dos Estados-Membros ao abrigo do direito da União em vigor ou de acordos voluntários, por exemplo as informações recolhidas para o portal EURES, estabelecido pelo Regulamento (UE) 2016/589 do Parlamento Europeu e do Conselho (10), para o Portal Europeu da Justiça, estabelecido pela Decisão 2001/470/CE do Conselho (11), ou para a base de dados das profissões regulamentadas, estabelecida pela Diretiva 2005/36/CE, deverão ser utilizadas para abranger parte das informações a disponibilizar aos cidadãos e às empresas a nível da União e a nível nacional nos termos do presente regulamento. Os Estados-Membros não deverão ser obrigados a fornecer, nos respetivos sítios Web nacionais, informações que já estejam disponíveis nas bases de dados pertinentes geridas pela Comissão. Caso os Estados-Membros já sejam obrigados a fornecer informação em linha por força de outros atos da União, como a Diretiva 2014/67/UE do Parlamento Europeu e do Conselho (12), deverá ser suficiente que forneçam hiperligações para a informação existente em linha. o caso de certos domínios que já tenham sido plenamente harmonizados pelo direito da União, por exemplo os direitos dos consumidores, a informação fornecida a nível da União deverá, regra geral, bastar para os utilizadores compreenderem os seus direitos e obrigações relevantes. Nesses casos, só se deverá exigir aos Estados-Membros que prestem informações adicionais sobre os seus procedimentos administrativos e serviços de assistência nacionais ou sobre outras eventuais regras administrativas nacionais, se essas informações forem pertinentes para os utilizadores. As informações sobre os direitos dos consumidores, por exemplo, não deverão afetar o direito contratual, mas sim informar os utilizadores sobre os seus direitos nos termos do direito da União e do direito nacional no contexto de transações comerciais.

(18)

O presente regulamento deverá reforçar a dimensão de mercado interno dos procedimentos em linha e contribuir, assim, para a digitalização do mercado interno, mediante o respeito do princípio geral da não discriminação, nomeadamente em relação ao acesso pelos cidadãos e pelas empresas aos procedimentos em linha já estabelecidos a nível nacional com base no direito da União ou no direito nacional e aos procedimentos que devem ser disponibilizados integralmente em linha nos termos do presente regulamento. Caso um utilizador numa situação estritamente limitada a um Estado-Membro possa aceder a um procedimento em linha, e concluí-lo, nesse Estado-Membro, num domínio abrangido pelo presente regulamento, um utilizador transfronteiriço também deverá poder aceder ao procedimento em linha e concluí-lo, quer através da mesma solução técnica, quer através de uma solução técnica distinta que conduza ao mesmo resultado, sem quaisquer entraves discriminatórios. Esses obstáculos poderão decorrer de soluções concebidas a nível nacional, tais como a utilização de campos de formulários que exijam números de telefone nacionais, prefixos nacionais de números telefónicos ou códigos postais nacionais, o pagamento de taxas que só possa ser feito através de sistemas que não prevejam pagamentos transfronteiriços, a falta de explicações pormenorizadas numa língua compreendida pelos utilizadores transfronteiriços, a impossibilidade de apresentar elementos de prova eletrónicos emanados de autoridades situadas noutro Estado-Membro e a falta de aceitação dos meios eletrónicos de identificação emitidos noutros Estados-Membros. Os Estados-Membros deverão prever soluções para esses obstáculos.

(19)

Nos casos em que os utilizadores concluam procedimentos em linha transfronteiriços, deverão poder receber todas as explicações pertinentes numa língua oficial da União que seja compreendida pelo maior número possível de utilizadores transfronteiriços. Isto não significa que os Estados-Membros tenham que traduzir para essa língua os respetivos formulários administrativos relacionados com o procedimento ou o resultado do mesmo. Todavia, incentiva-se os Estados-Membros a utilizarem soluções técnicas que permitam aos utilizadores concluir os procedimentos, no maior número possível de casos, nessa língua, respeitando simultaneamente as regras dos Estados-Membros relativas à utilização de línguas.

(20)

Os procedimentos nacionais em linha que são pertinentes para permitir aos utilizadores transfronteiriços o exercício dos seus direitos no mercado interno dependem de os utilizadores serem ou não residentes ou estarem ou não estabelecidos no Estado-Membro em causa, ou de pretenderem aceder aos procedimentos desse Estado-Membro, embora sejam residentes ou estejam estabelecidos noutro Estado-Membro. O presente regulamento não deverá impedir os Estados-Membros de exigirem aos utilizadores transfronteiriços residentes ou estabelecidos no seu território que obtenham um número de identificação nacional, a fim de terem acesso aos procedimentos nacionais em linha, desde que tal não represente um encargo ou um custo adicional injustificado para esses utilizadores. Não é necessário disponibilizar integralmente em linha aos utilizadores transfronteiriços que não residem ou nem estão estabelecidos no Estado-Membro em causa os procedimentos nacionais em linha que não sejam pertinentes para o exercício dos seus direitos no mercado interno, por exemplo a inscrição para beneficiar de serviços locais como a recolha do lixo e a concessão de licenças de estacionamento.

(21)

O presente regulamento deverá basear-se no Regulamento (UE) n.o 910/2014 do Parlamento Europeu e do Conselho (13), que define as condições em que um Estado-Membro deve reconhecer determinados meios de identificação eletrónica de pessoas singulares e coletivas sujeitas a um sistema de identificação eletrónica notificado de outro Estado-Membro. O Regulamento (UE) n.o 910/2014 estabelece as condições em que os utilizadores podem utilizar os seus meios de identificação e autenticação eletrónicas para aceder a serviços públicos em linha em situações transfronteiriças. As instituições e os órgãos e organismos da União são incentivados a aceitar meios de identificação e autenticação eletrónicas para os procedimentos pelos quais são responsáveis.

(22)

Vários atos setoriais da União, como as Diretivas, 2005/36/CE, 2006/123/CE, 2014/24/UE e 2014/25/UE exigem que os procedimentos se encontrem integralmente disponíveis em linha. O presente regulamento deverá exigir que sejam disponibilizados integralmente em linha, outros procedimentos de grande importância para a maioria dos cidadãos e das empresas que exercem os seus direitos e cumprem as suas obrigações a nível transfronteiriço.

(23)

A fim de permitir que os cidadãos e as empresas beneficiem diretamente das vantagens do mercado interno sem incorrerem em encargos administrativos adicionais desnecessários, o presente regulamento deverá exigir a plena digitalização da interface do utilizador dos principais procedimentos para os utilizadores transfronteiriços que se encontram enumerados no anexo II do presente regulamento. O presente regulamento deverá também estabelecer os critérios necessários para determinar se um procedimento se encontra integralmente em linha. A obrigação de disponibilizar um procedimento integralmente em linha deverá aplicar-se apenas se esse procedimento existir no Estado-Membro em causa. O presente regulamento não deverá abranger o registo inicial de uma atividade económica nem os procedimentos relativos à constituição de sociedades ou empresas como pessoas coletivas, ou o subsequente registo por parte dessas sociedades ou empresas, uma vez que esses procedimentos requerem uma abordagem abrangente que se destina a facilitar soluções digitais ao longo do ciclo de vida das empresas. Quando as empresas se estabelecem noutro Estado-Membro, são obrigadas a registar-se junto de um regime de segurança social e de seguro a fim de registarem os seus trabalhadores e a pagar as contribuições para ambos os regimes. As empresas podem ter de comunicar as suas atividades económicas, obter licenças ou registar as alterações da sua atividade. Esses procedimentos são comuns às empresas que operam em muitos setores da economia, pelo que é adequado exigir que sejam disponibilizados em linha.

(24)

O presente regulamento deverá precisar o que significa disponibilizar um procedimento integralmente em linha. Um procedimento poderá ser considerado como estando integralmente em linha se o utilizador puder realizar por via eletrónica, à distância e através de um serviço em linha todas as etapas, desde o acesso até à conclusão, interagindo com a autoridade competente («front office»). Esse serviço em linha deverá orientar o utilizador através de uma lista de todos os requisitos a respeitar e de todos os documentos justificativos a apresentar, deverá permitir ao utilizador apresentar as informações e os elementos de prova do cumprimento desses requisitos e deverá fornecer ao utilizador um aviso de receção automático, salvo se o resultado final do procedimento for transmitido imediatamente. Isto não deverá impedir as autoridades competentes de contactarem diretamente os utilizadores, se necessário, para obterem os esclarecimentos adicionais necessários para o procedimento. Sempre que possível, nos termos do direito da União e do direito nacional aplicável, as autoridades competentes deverão também transmitir ao utilizador, por via eletrónica, o resultado final do procedimento, tal como previsto no presente regulamento.

(25)

O presente regulamento não deverá afetar a substância dos procedimentos enumerados no anexo II, estabelecidos a nível nacional, regional ou local, e não prevê regras materiais ou procedimentais nos domínios abrangidos pelo anexo II, nomeadamente o domínio fiscal. O presente regulamento visa estabelecer requisitos técnicos, a fim de assegurar que esses procedimentos, quando existam no Estado-Membro em causa, se encontrem integralmente disponíveis em linha.

(26)

O presente regulamento não deverá afetar as competências das autoridades nacionais nos diferentes procedimentos, incluindo a verificação da exatidão e da validade das informações ou dos elementos de prova apresentados e a verificação da autenticidade, caso os elementos de prova sejam apresentados por meios que não o sistema técnico baseado no «princípio da declaração única». O presente regulamento também não deverá afetar os fluxos de trabalho procedimentais no âmbito das autoridades competentes e entre estas («back office»), independentemente do facto de se encontrarem digitalizados ou não. Sempre que necessário, no âmbito de alguns procedimentos de registo das alterações efetuadas a nível das atividades empresariais, os Estados-Membros deverão continuar a poder exigir a participação de notários ou advogados que possam decidir utilizar meios de verificação tais como a videoconferência ou outros meios em linha que permitam estabelecer uma ligação audiovisual em tempo real. No entanto, essa participação não deverá impedir a conclusão, na íntegra, dos procedimentos de registo de tais alterações em linha.

(27)

Em alguns casos, os utilizadores podem ter de apresentar elementos de prova para comprovar factos que não podem ser determinados por via eletrónica. Entre tais elementos de prova podem contar-se, por exemplo, atestados médicos, atestados de prova de vida, certificados de inspeção técnica de veículos a motor comprovativos do número do quadro do veículo. Desde que tais elementos de prova possam ser apresentados em formato eletrónico, tal requisito não deverá constituir uma exceção ao princípio de que um procedimento deverá estar disponível integralmente em linha. Noutros casos, os utilizadores de um determinado procedimento podem ter de comparecer presencialmente junto de uma autoridade competente no âmbito de um procedimento em linha. Estas exceções, distintas das decorrentes do direito da União, deverão limitar-se a situações justificadas por uma razão imperiosa de interesse público nos domínios da segurança pública, da saúde pública ou da luta contra a fraude. A fim de assegurar a transparência, os Estados-Membros deverão partilhar com a Comissão e os demais Estados-Membros informações sobre essas exceções, os seus fundamentos e as circunstâncias em que podem ser aplicadas. Os Estados-Membros não deverão ser obrigados a comunicar cada caso em que, excecionalmente, tenha sido necessária a presença física, mas sim as disposições nacionais que preveem esse tipo de casos. As melhores práticas adotadas a nível nacional e as evoluções técnicas que permitam aumentar a digitalização neste contexto deverão ser debatidas regularmente no grupo de coordenação da plataforma.

(28)

Em situações transfronteiriças, o procedimento de registo de uma alteração de morada pode implicar dois procedimentos distintos, um no Estado-Membro de origem para solicitar a anulação do registo na morada antiga, e outro no Estado-Membro de destino para solicitar o registo na nova morada. O presente regulamento deverá abranger ambos os procedimentos.

(29)

Uma vez que a digitalização dos requisitos, dos procedimentos e das formalidades relativas ao reconhecimento das qualificações profissionais já está abrangida pela Diretiva 2005/36/CE, o presente regulamento só deverá abranger a digitalização do procedimento de pedido de reconhecimento de diplomas e certificados académicos ou de outros documentos comprovativos da conclusão de cursos por pessoas que pretendam iniciar ou prosseguir estudos ou utilizar um título académico, à margem das formalidades relativas ao reconhecimento das qualificações profissionais.

(30)

O presente regulamento não deverá afetar as regras de coordenação da segurança social previstas nos Regulamentos (CE) n.o 883/2004 (14) e (CE) n.o 987/2009 (15) do Parlamento Europeu e do Conselho, que definem os direitos e as obrigações dos segurados e das instituições de segurança social, bem como os procedimentos aplicáveis no domínio da coordenação da segurança social.

(31)

Foram estabelecidas várias redes e serviços a nível da União e a nível nacional para assistir os cidadãos e as empresas nas suas atividades transfronteiriças. É importante que estes serviços, incluindo os serviços existentes de assistência ou de resolução de problemas estabelecidos a nível da União, tais como os Centros Europeus do Consumidor, A sua Europa — Aconselhamento, a rede SOLVIT, o Helpdesk Direitos de Propriedade Intelectual, «Europe Direct» e a Rede Europeia de Empresas, façam parte da plataforma a fim de garantir que todos os utilizadores potenciais os possam localizar. Os serviços enumerados no anexo III foram estabelecidos por atos vinculativos da União, enquanto outros operam numa base voluntária. Os serviços estabelecidos por atos vinculativos da União deverão estar vinculados aos requisitos de qualidade estabelecidos no presente regulamento, ao passo que os serviços operados numa base voluntária deverão cumprir esses requisitos de qualidade caso devam ser disponibilizados através da plataforma. O âmbito de aplicação e a natureza desses serviços, as disposições relativas à sua governação, os prazos existentes e o caráter voluntário, contratual ou outro com base no qual operam não deverão ser alterados pelo presente regulamento. Por exemplo, se a assistência que prestam é informal, o presente regulamento não deverá ter por efeito transformar essa assistência em aconselhamento jurídico de caráter vinculativo.

(32)

Além disso, os Estados-Membros e a Comissão deverão poder acrescentar à plataforma outros serviços nacionais de assistência ou de resolução de problemas, prestados pelas autoridades competentes ou por entidades privadas ou semiprivadas, ou por organismos públicos, tais como câmaras de comércio ou serviços não governamentais de assistência aos cidadãos, nas condições estabelecidas no presente regulamento. Em princípio, as autoridades competentes deverão ser responsáveis por assistir os cidadãos e as empresas relativamente a quaisquer questões sobre as regras e os procedimentos aplicáveis que não possam ser inteiramente tratadas através de serviços em linha. No entanto, em áreas muito especializadas, e se o serviço prestado por organismos privados ou semiprivados satisfizer as necessidades dos utilizadores, os Estados-Membros podem propor à Comissão que inclua esses serviços na plataforma, desde que estes preencham todas as condições estabelecidas no presente regulamento e que não dupliquem serviços de assistência ou de resolução de problemas já incluídos.

(33)

A fim de ajudar os utilizadores a identificar o serviço apropriado, o presente regulamento deverá incluir uma ferramenta de pesquisa de serviços de assistência que dirija os utilizadores automaticamente para o serviço adequado.

(34)

A conformidade com uma lista mínima de requisitos de qualidade é fundamental para o êxito da plataforma, a fim de assegurar que a prestação de informações e de serviços seja fiável; caso contrário a credibilidade da plataforma no seu conjunto ficaria gravemente comprometida. O objetivo global da conformidade é garantir que a informação ou o serviço sejam apresentados de forma clara e convivial. Cabe aos Estados-Membros determinar o modo como a informação é apresentada ao longo do percurso do utilizador, de modo a cumprir este objetivo. Por exemplo, embora seja útil informar os utilizadores, antes do lançamento de um procedimento, sobre as vias de recurso geralmente disponíveis em caso de resultado negativo do mesmo, é muito mais convivial fornecer as informações específicas sobre as eventuais medidas a tomar nessa eventualidade no final do procedimento.

(35)

A acessibilidade da informação aos utilizadores transfronteiriços pode ser substancialmente melhorada se essa informação estiver disponível numa língua oficial da União amplamente compreendida pelo maior número possível de utilizadores transfronteiriços. Essa língua deverá ser, na maioria dos casos, a língua estrangeira mais amplamente estudada pelos utilizadores em toda a União, mas, em casos específicos, mais especificamente no caso da prestação de informações a nível local por pequenos municípios próximos da fronteira de um Estado-Membro, a língua mais adequada pode ser a utilizada como língua materna pelos utilizadores transfronteiriços no Estado-Membro vizinho. A tradução a partir da língua ou das línguas oficiais do Estado-Membro em causa para uma outra língua oficial da União deverá refletir com exatidão o conteúdo da informação apresentada na língua ou nas línguas de partida. A tradução pode limitar-se às informações de que os utilizadores necessitam para compreender as regras e os requisitos básicos aplicáveis à sua situação. Embora os Estados-Membros devam ser incentivados a traduzir a maior quantidade possível de informações para uma língua oficial da União amplamente compreendida pelo maior número possível de utilizadores transfronteiriços, o volume de informações a traduzir, nos termos do presente regulamento, dependerá dos recursos financeiros disponíveis para esse efeito, em particular os recursos provenientes do orçamento da União. A Comissão deverá adotar as disposições adequadas para assegurar que as traduções sejam fornecidas de forma eficaz aos Estados-Membros, a pedido destes. O grupo de coordenação da plataforma deverá debater e fornecer orientações sobre a língua ou as línguas da União nas quais deverão ser traduzidas essas informações.

(36)

Nos termos da Diretiva (UE) 2016/2102 do Parlamento Europeu e do Conselho (16), os Estados-Membros têm de garantir que os sítios Web dos seus organismos públicos sejam acessíveis em conformidade com os princípios da percetibilidade, da operabilidade, da compreensibilidade e da robustez e que satisfaçam os requisitos estabelecidos na referida diretiva. A Comissão e os Estados-Membros deverão assegurar o respeito da Convenção das Nações Unidas sobre os Direitos das Pessoas com Deficiência, nomeadamente os seus artigos 9.o e 21.o, e, a fim de promover o acesso à informação das pessoas com deficiências intelectuais, deverão ser disponibilizadas, tanto quanto possível e respeitando o princípio da proporcionalidade, alternativas em linguagem de fácil compreensão. Os Estados-Membros, ao ratificar essa convenção, e a União, ao celebrá-la (17), comprometeram-se a tomar medidas adequadas para assegurar às pessoas com deficiência o acesso, em condições de igualdade com as demais pessoas, a novas tecnologias e sistemas de informação e comunicação, incluindo a Internet, facilitando o acesso à informação das pessoas com deficiências intelectuais graças à disponibilização, tanto quanto possível e de forma proporcionada, de alternativas em linguagem de fácil compreensão.

(37)

A Diretiva (UE) 2016/2102 não se aplica aos sítios Web nem às aplicações móveis das instituições e dos órgãos e organismos da União, mas a Comissão deverá assegurar que a interface comum do utilizador e as páginas Web sob a sua responsabilidade que devam ser incluídas na plataforma sejam acessíveis a pessoas com deficiência, o que implica que sejam percetíveis, operáveis, compreensíveis e robustas. O termo «percetibilidade» significa que a informação e os componentes da interface do utilizador devem ser apresentados aos utilizadores de modo a que eles os possam percecionar; o termo «operabilidade» significa que os componentes e a navegação na interface do utilizador devem ser funcionais; o termo «compreensibilidade» significa que a informação e a operação da interface do utilizador devem ser de fácil compreensão; o termo «robustez» significa que os conteúdos devem ser suficientemente robustos para que possam ser interpretados de forma fiável por uma ampla gama de agentes utilizadores, incluindo tecnologias de apoio. A Comissão é convidada a cumprir as normas harmonizadas aplicáveis no que respeita aos termos percetível, operável, compreensível e robusto.

(38)

A fim de facilitar o pagamento das taxas exigidas no âmbito de procedimentos em linha ou para a prestação de serviços de assistência ou de resolução de problemas, os utilizadores transfronteiriços deverão poder recorrer a transferências a crédito ou ao débito direto, tal como especificado no Regulamento (UE) n.o 260/2012 do Parlamento Europeu e do Conselho (18), ou a outros meios de pagamento transfronteiriço habitualmente utilizados, incluindo cartões de débito e cartões de crédito.

(39)

É útil informar os utilizadores sobre a duração prevista de um procedimento. Por conseguinte, os utilizadores deverão ser informados dos prazos aplicáveis ou dos mecanismos de aprovação tácita ou de silêncio administrativo, ou, caso estes não se apliquem, deverão ser informados, pelo menos, da duração média, estimada ou indicativa, do procedimento em causa. Essas estimativas ou indicações deverão servir apenas para ajudar os utilizadores a planearem as suas atividades ou medidas administrativas subsequentes e não deverão produzir qualquer efeito jurídico.

(40)

O presente regulamento deverá também permitir a verificação dos elementos de prova apresentados em formato eletrónico pelos utilizadores, caso sejam apresentados sem selo eletrónico ou certificação da autoridade competente ou caso a ferramenta técnica estabelecida pelo presente regulamento ou outro sistema que permita o intercâmbio direto ou a verificação de elementos de prova entre as autoridades competentes de diferentes Estados-Membros não se encontrem disponíveis. Nesses casos, o presente regulamento deverá prever um mecanismo eficaz de cooperação administrativa entre as autoridades competentes dos Estados-Membros, com base no Sistema de Informação do Mercado Interno («IMI»), criado pelo Regulamento (UE) n.o 1024/2012 do Parlamento Europeu e do Conselho (19). Nesses casos, a decisão da autoridade competente de utilizar o IMI deverá ser voluntária, mas uma vez que a autoridade tenha apresentado o pedido de informações ou de cooperação através do IMI, a autoridade competente requerida deverá ser obrigada a colaborar e a dar uma resposta. O pedido pode ser enviado através do IMI à autoridade competente que emite a prova ou à autoridade central designada pelos Estados-Membros, nos termos das suas regras administrativas. Para evitar uma duplicação desnecessária e uma vez que o Regulamento (UE) 2016/1191 do Parlamento Europeu e do Conselho (20) abrange parte dos elementos de prova relevantes para os procedimentos abrangidos pelo presente regulamento, as disposições de cooperação relativas ao IMI estabelecidas no Regulamento (UE) 2016/1191 podem também ser aplicadas para efeitos de outros elementos de prova exigidos no âmbito dos procedimentos abrangidos pelo presente regulamento. A fim de permitir a participação dos órgãos e dos organismos da União no IMI, o Regulamento (UE) n.o 1024/2012 deverá ser alterado.

(41)

Os serviços em linha prestados pelas autoridades competentes são de importância crucial para melhorar a qualidade e a segurança dos serviços prestados aos cidadãos e às empresas. As administrações públicas nos Estados-Membros recorrem cada vez mais à reutilização de dados, dispensando os cidadãos e as empresas do fornecimento repetido das mesmas informações. A reutilização dos dados deverá ser facilitada no que respeita aos utilizadores transfronteiriços, a fim de reduzir encargos administrativos suplementares.

(42)

A fim de permitir o intercâmbio lícito transfronteiriço de elementos de prova e de informações através da aplicação, à escala da União, do «princípio da declaração única», a aplicação do presente regulamento e do referido princípio deverá respeitar todas as regras aplicáveis em matéria de proteção de dados, incluindo o princípio da minimização dos dados, da exatidão, da limitação da conservação, da integridade e da confidencialidade, da necessidade, da proporcionalidade e da limitação das finalidades. A sua aplicação deverá também respeitar plenamente os princípios da segurança desde a conceção e da privacidade desde a conceção, e respeitar os direitos fundamentais dos indivíduos, incluindo os referentes à equidade e à transparência.

(43)

Os Estados-Membros deverão assegurar que os utilizadores dos procedimentos disponham de informações claras sobre o modo como os dados pessoais que lhes dizem respeito serão tratados, nos termos dos artigos 13.o e 14.o do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (21) e dos artigos 15.o e 16.o do Regulamento (UE) 2018/1725 (22).

(44)

A fim de facilitar a utilização de procedimentos em linha, o presente regulamento deverá, de acordo com o «princípio da declaração única», fornecer a base para a criação e utilização de um sistema técnico plenamente operacional, seguro e protegido para o intercâmbio transfronteiriço automatizado de elementos de prova entre os intervenientes no procedimento, a pedido expresso dos cidadãos e das empresas. Se o intercâmbio de elementos de prova incluir dados pessoais, o pedido deverá ser considerado expresso, se contiver uma indicação voluntária, específica, informada e inequívoca do desejo do indivíduo de trocar os dados pessoais pertinentes, através de uma declaração ou uma ação positiva. Se o utilizador não for a pessoa a quem os dados dizem respeito, o procedimento em linha não deverá afetar os seus direitos ao abrigo do Regulamento (UE) 2016/679. A aplicação transfronteiriça do «princípio da declaração única» deverá significar que os cidadãos e as empresas não têm que fornecer os mesmos dados mais do que uma vez às autoridades públicas e que também deverá ser possível utilizar esses dados, a pedido do utilizador, para efeitos de conclusão de procedimentos transfronteiriços em linha que digam respeito a utilizadores transfronteiriços. A obrigação de a autoridade competente emissora utilizar o sistema técnico para o intercâmbio automatizado de elementos de prova entre os diferentes Estados-Membros só deverá aplicar-se caso as autoridades emitam legalmente, no seu próprio Estado-Membro, elementos de prova num formato eletrónico que permita um tal intercâmbio automatizado.

(45)

Todos os intercâmbios transfronteiriços de elementos de prova deverão ter uma base jurídica adequada, como as Diretivas 2005/36/CE, 2006/123/CE, 2014/24/UE ou 2014/25/UE, ou, no caso dos procedimentos enumerados no anexo II, outros diplomas do direito da União ou do direito nacional aplicáveis.

(46)

O presente regulamento deverá estabelecer, como regra geral, que o intercâmbio automatizado transfronteiriço de elementos de prova se realiza a pedido expresso do utilizador. Contudo, este requisito não deverá aplicar-se caso o direito da União ou o direito nacional aplicável permita o intercâmbio automatizado transfronteiriço de dados sem pedido expresso do utilizador.

(47)

A utilização do sistema técnico estabelecido pelo presente regulamento deverá continuar a ser voluntária, e o utilizador deverá continuar a ser livre de apresentar elementos de prova por outros meios para além do sistema técnico. O utilizador deverá ter a possibilidade de pré-visualizar os elementos de prova e o direito de optar por não proceder ao seu intercâmbio caso, após essa pré-visualização, verifique que as informações não são exatas, estão desatualizadas ou excedem o necessário para o procedimento em causa. Os dados incluídos na pré-visualização não deverão ser conservados para além do estritamente necessário por motivos técnicos.

(48)

O sistema técnico seguro a implantar a fim de permitir o intercâmbio de elementos de prova ao abrigo do presente regulamento deverá igualmente dar garantias às autoridades competentes requerentes de que os elementos de prova foram fornecidos pela autoridade emissora competente. Antes de aceitar as informações prestadas por um utilizador no âmbito de um procedimento, a autoridade competente deverá poder verificar essas informações, em caso de dúvida, e concluir que são exatas.

(49)

Existem alguns elementos constitutivos com capacidades de base que podem ser utilizados para criar o sistema técnico, como o Mecanismo Interligar a Europa, criado pelo Regulamento (UE) n.o 1316/2013 do Parlamento Europeu e do Conselho (23), e a entrega eletrónica (eDelivery) e a identidade eletrónica (eID), que fazem parte desse mecanismo. Esses elementos constitutivos consistem em especificações técnicas, em amostras de software e em serviços de apoio, e visam assegurar a interoperabilidade entre os sistemas de tecnologias de informação e comunicação existentes nos diferentes Estados-Membros para que os cidadãos, as empresas e as administrações públicas, onde quer que se encontrem na União, possam beneficiar de serviços públicos digitais sem descontinuidades.

(50)

O sistema técnico estabelecido pelo presente regulamento deverá estar disponível em complemento de outros sistemas que incluam mecanismos de cooperação entre as autoridades, como o IMI, e não deverá afetar outros sistemas, incluindo o sistema previsto no Regulamento (CE) n.o 987/2009, o Documento Europeu Único de Contratação Pública, nos termos da Diretiva 2014/24/UE, o Intercâmbio Eletrónico de Informações de Segurança Social, nos termos do Regulamento (CE) n.o 987/2009, a carteira profissional europeia, nos termos da Diretiva 2005/36/CE, a interconexão dos registos nacionais e a interconexão dos registos centrais, comerciais e das sociedades, nos termos da Diretiva (UE) 2017/1132 do Parlamento Europeu e do Conselho (24), e a interconexão dos registos de insolvência, nos termos do Regulamento (UE) 2015/848 do Parlamento Europeu e do Conselho (25).

(51)

A fim de assegurar condições uniformes para a aplicação de um sistema técnico que permita o intercâmbio automatizado de elementos de prova, deverão ser atribuídas competências de execução à Comissão para estabelecer, em particular, as especificações técnicas e operacionais de um sistema destinado ao tratamento dos pedidos dos utilizadores de intercâmbio e de transferência de elementos de prova, e as medidas necessárias para garantir a integridade e a confidencialidade da transferência. Essas competências deverão ser exercidas nos termos do Regulamento (UE) n.o 182/2011 do Parlamento Europeu e do Conselho (26).

(52)

A fim de garantir que o sistema técnico ofereça um elevado nível de segurança para a aplicação transfronteiriça do «princípio da declaração única», a Comissão deverá ter devidamente em conta, quando adotar atos de execução que estabeleçam as especificações para esse sistema técnico, as normas e as especificações técnicas elaboradas pelas organizações e pelos organismos europeus e internacionais de normalização, em particular o Comité Europeu de Normalização (CEN), o Instituto Europeu de Normalização das Telecomunicações (ETSI), a Organização Internacional de Normalização (ISO) e a União Internacional das Telecomunicações (UIT), bem como as normas de segurança referidas no artigo 32.o do Regulamento (UE) 2016/679 e no artigo 22.o do Regulamento (UE) 2018/1725.

(53)

Caso seja necessário para assegurar a conceção, a disponibilização, a manutenção, a supervisão, o controlo e a gestão da segurança das partes do sistema técnico pelas quais a Comissão é responsável, a Comissão deverá solicitar o parecer da Autoridade Europeia para a Proteção de Dados.

(54)

As autoridades competentes e a Comissão deverão garantir que as informações, os procedimentos e os serviços sob a sua responsabilidade cumprem os critérios de qualidade. Os coordenadores nacionais nomeados nos termos do presente regulamento e a Comissão deverão supervisionar, a intervalos regulares, o cumprimento dos critérios de qualidade e de segurança a nível nacional e da União, respetivamente, e resolver os problemas que possam surgir. Além disso, os coordenadores nacionais deverão assistir a Comissão no controlo do funcionamento do sistema técnico que permite o intercâmbio transfronteiriço de elementos de prova. O presente regulamento deverá facultar à Comissão uma panóplia de meios para fazer face à deterioração da qualidade dos serviços oferecidos através da plataforma, consoante a gravidade e a persistência dessa deterioração, prevendo, se necessário, a intervenção do grupo de coordenação da plataforma. Tal não deverá afetar a responsabilidade geral da Comissão no que respeita ao controlo da conformidade com o presente regulamento.

(55)

O presente regulamento deverá especificar as principais funcionalidades das ferramentas técnicas em que o funcionamento da plataforma se apoia, nomeadamente a interface comum do utilizador, o repositório de hiperligações e a ferramenta comum de pesquisa de serviços de assistência. A interface comum do utilizador deverá assegurar que os utilizadores possam encontrar facilmente informações, procedimentos e serviços de assistência e de resolução de problemas em sítios Web a nível nacional e da União. Os Estados-Membros e a Comissão deverão ter como objetivo disponibilizar hiperligações para uma única fonte das informações que devem ser prestadas pela plataforma, a fim de evitar confusões entre os utilizadores devido à existência de diferentes fontes, ou de uma duplicação, total ou parcial, de fontes das mesmas informações. Tal não deverá excluir a possibilidade de fornecer hiperligações para as mesmas informações relativas a diferentes zonas geográficas que sejam disponibilizadas pelas autoridades locais ou regionais competentes. Também não deverá impedir uma certa duplicação das informações, caso esta seja inevitável ou desejável, como, por exemplo, caso certos direitos, obrigações e regras da União estejam repetidos ou descritos em páginas Web nacionais, a fim de melhorar a convivialidade. A fim de reduzir ao mínimo a intervenção humana na atualização das hiperligações a utilizar na interface comum do utilizador, deverá ser estabelecida uma ligação direta entre os sistemas técnicos pertinentes dos Estados-Membros e o repositório de hiperligações, sempre que tal seja tecnicamente possível. As ferramentas comuns de apoio às tecnologias da informação e comunicação poderão utilizar o vocabulário dos principais serviços públicos (CPSV) para facilitar a interoperabilidade com os catálogos e a semântica dos serviços nacionais. Os Estados-Membros deverão ser incentivados a utilizar o CPSV, mas são livres de utilizar soluções nacionais. As informações contidas no repositório de hiperligações deverão ser postas à disposição do público num formato com normas abertas de uso corrente e legível por máquina, por exemplo, através de interfaces de programação de aplicações (API), a fim de permitir a sua reutilização.

(56)

A ferramenta de pesquisa da interface comum do utilizador deverá dirigir os utilizadores para as informações de que necessitam, independentemente de estas se encontrarem em páginas Web a nível nacional ou da União. Além disso, enquanto forma alternativa de dirigir os utilizadores para as informações necessárias, continuará a ser útil criar hiperligações entre os sítios ou páginas Web existentes e complementares, simplificando-os e agrupando-os da melhor forma possível, e entre os sítios ou páginas Web a nível nacional ou da União que forneçam acesso a serviços e informações em linha.

(57)

O presente regulamento deverá especificar igualmente critérios de qualidade para a interface comum do utilizador. A Comissão deverá garantir que a interface comum do utilizador cumpra esses requisitos, e essa interface deverá, em especial, estar disponível e acessível em linha através de vários canais e ser fácil de utilizar.

(58)

A fim de assegurar condições uniformes para a aplicação das soluções técnicas em que a plataforma se apoia, deverão ser atribuídas competências de execução à Comissão para estabelecer, se necessário, as normas aplicáveis e os requisitos de interoperabilidade para a pesquisa de informações sobre regras e obrigações, sobre procedimentos e sobre serviços de assistência e de resolução de problemas sob a responsabilidade dos Estados-Membros e da Comissão. Essas competências deverão ser exercidas nos termos do Regulamento (UE) n.o 182/2011.

(59)

O presente regulamento deverá também repartir claramente entre a Comissão e os Estados-Membros a responsabilidade pela conceção, pela disponibilização, pela manutenção e pela segurança das aplicações das tecnologias da informação e comunicação em que a plataforma se apoia. No âmbito das suas funções de manutenção, a Comissão e os Estados-Membros deverão controlar regularmente o funcionamento adequado dessas aplicações.

(60)

A fim de desenvolver o pleno potencial dos diferentes domínios de informação, dos procedimentos e dos serviços de assistência e de resolução de problemas que deverão ser incluídos na plataforma, a sensibilização dos públicos-alvo para a sua existência e para o seu funcionamento deverá ser amplamente melhorada. A sua inclusão na plataforma deverá permitir aos utilizadores encontrar muito mais facilmente as informações, os procedimentos e os serviços de assistência e de resolução de problemas de que necessitam, mesmo quando não estejam familiarizados com eles. Além disso, será necessário realizar atividades de promoção coordenadas, a fim de assegurar que os cidadãos e as empresas de toda a União tomem conhecimento da existência da plataforma e das vantagens que ela proporciona. Essas atividades de promoção deverão incluir a otimização dos motores de pesquisa e outras ações de sensibilização em linha, dado que são as mais eficientes em termos de custos e de potencial para chegar a um público-alvo o mais vasto possível. Para uma eficiência máxima, essas atividades de promoção deverão ser coordenadas no âmbito do grupo de coordenação da plataforma, e os Estados-Membros deverão ajustar os seus esforços de promoção de forma a incluir uma referência à marca comum em todos os contextos pertinentes, podendo as iniciativas nacionais adotar marcas combinadas com a plataforma.

(61)

As instituições, os órgãos e os organismos da União deverão ser incentivados a promover a plataforma incluindo o seu logótipo e hiperligações para a plataforma em todas as páginas Web pertinentes sob a sua responsabilidade.

(62)

A designação através da qual a plataforma deve ser conhecida e promovida junto do público em geral deverá ser «Your Europe». A interface comum do utilizador deverá ser bem visível e fácil de encontrar, sobretudo nas páginas Web nacionais e da União pertinentes. O logótipo da plataforma deverá ser visível nos sítios Web nacionais e da União pertinentes.

(63)

A fim de obter informações adequadas que permitam medir e melhorar o desempenho da plataforma, o presente regulamento deverá exigir que as autoridades competentes e a Comissão recolham e analisem os dados relativos à utilização dos diversos domínios de informação, dos procedimentos e dos serviços oferecidos pela plataforma. A recolha de dados estatísticos sobre os utilizadores (como os dados relativos ao número de visitas de páginas Web específicas, o número de utilizadores num Estado-Membro, em comparação com o número de utilizadores de outros Estados-Membros, os termos de pesquisa utilizados, as páginas Web mais visitadas, as páginas Web de referência, ou o número, a origem e o objeto dos pedidos de assistência) deverá melhorar o funcionamento da plataforma, ajudando a identificar o público-alvo, a realizar atividades de promoção e a melhorar a qualidade dos serviços oferecidos. A recolha desses dados deverá ter em conta a avaliação comparativa anual da administração pública em linha, realizada pela Comissão, a fim de evitar duplicações.

(64)

A fim de assegurar condições uniformes para a execução do presente regulamento, deverão ser atribuídas competências de execução à Comissão para estabelecer regras uniformes sobre o método de recolha e de intercâmbio de dados estatísticos dos utilizadores. Essas competências deverão ser exercidas nos termos do Regulamento (UE) n.o 182/2011.

(65)

A qualidade da plataforma depende da qualidade dos serviços nacionais e da União prestados através dela. Por conseguinte, a qualidade das informações, dos procedimentos e dos serviços de assistência e de resolução de problemas disponibilizados pela plataforma deverá também ser objeto de um controlo regular, através de uma ferramenta de retorno de informação dos utilizadores que os convide a avaliar e a manifestar a sua opinião a respeito da cobertura e da qualidade das informações, dos procedimentos ou dos serviços de assistência e de resolução de problemas que tenham utilizado. Essas reações dos utilizadores deverão ser coligidas numa ferramenta comum a que a Comissão, as autoridades competentes e os coordenadores nacionais deverão ter acesso. A fim de assegurar condições uniformes para a execução do presente regulamento, no que se refere às funcionalidades comuns das ferramentas de retorno de informação dos utilizadores e às disposições relativas à recolha e à partilha das reações dos utilizadores, deverão ser atribuídas competências de execução à Comissão. Essas competências deverão ser exercidas nos termos do Regulamento (UE) n.o 182/2011. A Comissão deverá publicar em linha, em formato anonimizado, resumos dos problemas resultantes das informações, as principais estatísticas sobre os utilizadores e as principais reações dos utilizadores recolhidas nos termos do presente regulamento.

(66)

A plataforma deverá ainda incluir uma ferramenta de retorno de informação que permita aos utilizadores assinalar, voluntariamente e de forma anónima, os problemas e as dificuldades com que se vejam confrontados no exercício dos seus direitos no mercado interno. Essa ferramenta deverá ser considerada um mero complemento dos mecanismos de tratamento de reclamações, uma vez que não pode oferecer uma resposta personalizada aos utilizadores. As reações recolhidas deverão ser combinadas com informações agregadas provenientes dos serviços de assistência e de resolução de problemas sobre os casos que tenham tratado, a fim de obter um panorama geral do mercado interno tal como percebido pelos utilizadores, e de identificar áreas problemáticas com vista a eventuais ações futuras destinadas a melhorar o funcionamento do mercado interno. Esse resumo deverá estar associado às ferramentas de comunicação de informações existentes, tais como o Painel de Avaliação do Mercado Único.

(67)

O direito de os Estados-Membros decidirem quem deverá desempenhar o papel de coordenador nacional não deverá ser afetado pelo presente regulamento. Os Estados-Membros deverão poder adaptar as funções e as responsabilidades dos seus coordenadores nacionais, no que respeita à plataforma, às suas estruturas administrativas internas. Os Estados-Membros deverão poder designar coordenadores nacionais adicionais para executar as tarefas previstas no presente regulamento, individualmente ou em conjunto com outros coordenadores, responsáveis por um departamento da administração ou por uma região geográfica, ou de acordo com outro critério. Os Estados-Membros deverão comunicar à Comissão informações sobre a identidade do coordenador nacional único que designarem para os contactos com a Comissão.

(68)

Deverá ser criado um grupo de coordenação da plataforma, composto pelos coordenadores nacionais e presidido pela Comissão, para facilitar a aplicação do presente regulamento, em especial através do intercâmbio das melhores práticas e da cooperação para melhorar a coerência na apresentação das informações, como exigido pelo presente regulamento. O trabalho do grupo de coordenação da plataforma deverá ter em conta os objetivos estabelecidos no programa de trabalho anual, que a Comissão deverá submeter à sua apreciação. O programa de trabalho anual deverá consistir em orientações ou recomendações sem efeito vinculativo para os Estados-Membros. A pedido do Parlamento Europeu, a Comissão pode decidir convidá-lo a enviar peritos para participarem nas reuniões do grupo de coordenação da plataforma.

(69)

O presente regulamento deverá identificar claramente as partes da plataforma que devem ser financiadas pelo orçamento da União e aquelas que devem ser da responsabilidade dos Estados-Membros. A Comissão deverá ajudar os Estados-Membros a identificar os elementos constitutivos das tecnologias da informação e comunicação reutilizáveis e os financiamentos disponíveis através de vários fundos e programas da União que podem contribuir para cobrir os custos das adaptações e dos aperfeiçoamentos das tecnologias da informação e comunicação necessários a nível nacional para cumprir o disposto no presente regulamento. O orçamento necessário para a aplicação do presente regulamento deverá ser compatível com o quadro financeiro plurianual aplicável.

(70)

Os Estados-Membros são incentivados a reforçar a coordenação, o intercâmbio e a colaboração entre si a fim de aumentar as suas capacidades estratégicas, operacionais e de investigação e desenvolvimento no domínio da cibersegurança, em especial através do sistema de segurança das redes e da informação (SRI) a que se refere a Diretiva (UE) 2016/1148 do Parlamento Europeu e do Conselho (27), a fim de reforçar a segurança e a resiliência das suas administrações e dos seus serviços públicos. Os Estados-Membros são incentivados a reforçar a segurança das transações e a assegurar um nível de confiança suficiente nos meios eletrónicos, através da utilização do quadro eIDAS, criado pelo Regulamento (UE) n.o 910/2014, e, em especial, de níveis de garantia adequados. Os Estados-Membros podem tomar medidas, de acordo com o direito da União, para assegurar a cibersegurança e para prevenir a fraude de identidade e outras formas de fraude.

(71)

Sempre que a aplicação do presente regulamento implique o tratamento de dados pessoais, esse tratamento deverá ser efetuado em conformidade com o direito da União sobre a proteção dos dados pessoais, em particular o Regulamento (UE) 2016/679 e o Regulamento (UE) 2018/1725. No contexto do presente regulamento, deverá aplicar-se também a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho (28). Nos termos do Regulamento (UE) 2016/679, os Estados-Membros podem manter as condições em vigor ou introduzir novas condições, incluindo limites, respeitantes ao tratamento dos dados relativos à saúde, e podem também prever regras mais específicas sobre o tratamento dos dados pessoais dos trabalhadores no contexto laboral.

(72)

O presente regulamento deverá promover e facilitar a racionalização das disposições relativas à governação dos serviços abrangidos pela plataforma. Para o efeito, a Comissão deverá, em estreita cooperação com os Estados-Membros, rever as disposições em vigor relativas à governação e adaptá-las, se necessário, a fim de evitar duplicações e ineficiências.

(73)

O presente regulamento tem por objetivo garantir aos utilizadores que operam noutros Estados-Membros o acesso em linha a informações fiáveis, completas, acessíveis e inteligíveis, geradas a nível nacional ou da União, sobre os direitos, as regras e as obrigações, a procedimentos em linha plenamente operacionais a nível transfronteiriço e a serviços de assistência e de resolução de problemas. Atendendo a que esse objetivo não pode ser suficientemente alcançado pelos Estados-Membros, mas pode, devido à dimensão e aos efeitos do presente regulamento, ser mais bem alcançado a nível da União, a União pode tomar medidas, em conformidade com o princípio da subsidiariedade consagrado no artigo 5.o do Tratado da União Europeia. Em conformidade com o princípio da proporcionalidade consagrado no mesmo artigo, o presente regulamento não excede o necessário para alcançar esse objetivo.

(74)

A fim de permitir que os Estados-Membros e a Comissão criem e ponham em funcionamento as ferramentas necessárias para dar cumprimento ao presente regulamento, algumas das suas disposições deverão ser aplicáveis dois anos após a sua entrada em vigor. As autoridades municipais deverão dispor de quatro anos após a entrada em vigor do presente regulamento para dar cumprimento ao requisito de fornecer informações relativas às regras, aos procedimentos e aos serviços de assistência e de resolução de problemas sob a sua responsabilidade. As disposições do presente regulamento relativas aos procedimentos que devem ser disponibilizados integralmente em linha, ao acesso transfronteiriço aos procedimentos em linha e ao sistema técnico para o intercâmbio automatizado transfronteiriço de elementos de prova nos termos do «princípio da declaração única» deverão ser aplicadas, o mais tardar, cinco anos após a entrada em vigor do presente regulamento.

(75)

O presente regulamento respeita os direitos fundamentais e observa os princípios reconhecidos, nomeadamente, na Carta dos Direitos Fundamentais da União Europeia, e deverá ser aplicado em conformidade com esses direitos e princípios.

(76)

A Autoridade Europeia para a Proteção de Dados foi consultada nos termos do artigo 28.o, n.o 2, do Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho (29), e emitiu parecer em 1 de agosto de 2017 (30).

(1)

A proteção das pessoas singulares, no que diz respeito ao tratamento de dados pessoais, é um direito fundamental. O artigo 8.o, n.o 1, da Carta dos Direitos Fundamentais da União Europeia («Carta») e o artigo 16.o, n.o 1, do Tratado sobre o Funcionamento da União Europeia (TFUE) estabelecem que todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito. Este direito é igualmente garantido pelo artigo 8.o da Convenção Europeia para a Proteção dos Direitos do Homem e das Liberdades Fundamentais.

(2)

O Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho (3) confere às pessoas singulares direitos suscetíveis de proteção judicial, especifica as obrigações em matéria de tratamento de dados dos responsáveis pelo tratamento a nível das instituições e dos órgãos comunitários, e cria uma autoridade de controlo independente, a Autoridade Europeia para a Proteção de Dados, responsável pelo controlo do tratamento de dados pessoais pelas instituições e pelos órgãos da União. Contudo, não se aplica ao tratamento de dados pessoais efetuado no exercício de uma atividade das instituições e dos órgãos da União que se encontre fora do âmbito de aplicação do direito da União.

(3)

O Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (4) e a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho (5) foram adotados em 27 de abril de 2016. Enquanto o regulamento estabelece regras gerais para proteger as pessoas singulares no que diz respeito ao tratamento de dados pessoais e para assegurar a livre circulação de dados pessoais na União, a diretiva estabelece as regras específicas para proteger as pessoas singulares no que diz respeito ao tratamento de dados pessoais e para assegurar a livre circulação de dados pessoais na União nos domínios da cooperação judiciária em matéria penal e da cooperação policial.

(4)

O Regulamento (UE) 2016/679 prevê a adaptação do Regulamento (CE) n.o 45/2001, a fim de garantir um regime de proteção de dados sólido e coerente na União e de permitir a sua aplicação em paralelo com o Regulamento (UE) 2016/679.

(5)

Uma abordagem coerente da proteção dos dados pessoais e a livre circulação dos mesmos na União implicam uma harmonização, tão ampla quanto possível, das regras de proteção de dados adotadas a nível das instituições, dos órgãos e dos organismos da União com as regras de proteção de dados adotadas para o sector público nos Estados-Membros. Sempre que as disposições do presente regulamento sigam os mesmos princípios que as disposições do Regulamento (UE) 2016/679, de acordo com a jurisprudência do Tribunal de Justiça da União Europeia («Tribunal de Justiça»), esses dois conjuntos de disposições deverão ser interpretados de forma homogénea, sobretudo porque o regime do presente regulamento deverá ser entendido como equivalente ao regime do Regulamento (UE) 2016/679.

(6)

As pessoas cujos dados pessoais são tratados por instituições e órgãos da União em qualquer contexto, por exemplo, porque são funcionários dessas instituições e órgãos, deverão ser protegidas. O presente regulamento não deverá aplicar-se ao tratamento de dados pessoais de pessoas falecidas. O presente regulamento não abrange o tratamento de dados pessoais relativos a pessoas coletivas, em especial empresas estabelecidas enquanto pessoas coletivas, incluindo a denominação, a forma jurídica e os dados de contacto da pessoa coletiva.

(7)

A fim de evitar graves riscos de ser contornada, a proteção das pessoas singulares deverá ser neutra em termos tecnológicos, e não deverá depender das técnicas utilizadas.

(8)

O presente regulamento deverá aplicar-se ao tratamento de dados pessoais por todas as instituições e por todos os órgãos e organismos da União. O presente regulamento deverá aplicar-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios distintos dos meios automatizados de dados pessoais contidos em ficheiros ou a eles destinados. Os ficheiros ou os conjuntos de ficheiros, bem como as suas capas, que não estejam estruturados de acordo com critérios específicos, não deverão ser abrangidos pelo âmbito de aplicação do presente regulamento.

(9)

Na Declaração n.o 21 sobre a proteção de dados pessoais no domínio da cooperação judiciária em matéria penal e da cooperação policial, anexada à Ata Final da Conferência Intergovernamental que adotou o Tratado de Lisboa, a conferência reconheceu que, devido à especificidade dos domínios em causa, poderão ser necessárias disposições especiais sobre a proteção de dados pessoais e sobre a livre circulação desses dados nos domínios da cooperação judiciária em matéria penal e da cooperação policial, com base no artigo 16.o do TFUE. Por conseguinte, um capítulo distinto do presente regulamento, consagrado às regras gerais, deverá aplicar-se ao tratamento de dados pessoais operacionais, tais como os dados pessoais tratados para efeitos de investigação criminal pelos órgãos e organismos da União no exercício de atividades nos domínios da cooperação judiciária e penal e da cooperação policial.

(10)

A Diretiva (UE) 2016/680 estabelece regras harmonizadas para a proteção e a livre circulação de dados pessoais tratados para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública. A fim de assegurar o mesmo nível de proteção para as pessoas singulares através de direitos suscetíveis de proteção judicial em toda a União, e de evitar divergências que criem obstáculos ao intercâmbio de dados pessoais entre os órgãos e os organismos da União no exercício de atividades abrangidas pelo âmbito de aplicação da parte III, título V, capítulos 4 ou 5, do TFUE e as autoridades competentes, as regras relativas à proteção e à livre circulação de dados pessoais operacionais tratados por esses órgãos e organismos da União deverão ser coerentes com a Diretiva (UE) 2016/680.

(11)

As regras gerais do capítulo do presente regulamento relativo ao tratamento de dados pessoais operacionais deverão ser aplicáveis sem prejuízo das regras específicas aplicáveis ao tratamento de dados pessoais operacionais pelos órgãos e organismos da União no exercício de atividades abrangidas pelo âmbito de aplicação da parte III, título V, capítulos 4 ou 5, do TFUE. Essas regras específicas deverão ser consideradas lex specialis relativamente às disposições constantes do capítulo do presente regulamento respeitantes ao tratamento de dados pessoais operacionais (lex specialis derogat legi generali). A fim de reduzir a fragmentação jurídica, as regras específicas de proteção de dados aplicáveis ao tratamento de dados pessoais operacionais pelos órgãos e organismos da União no exercício de atividades abrangidas pelo âmbito de aplicação da parte III, título V, capítulos 4 ou 5, do TFUE deverão ser coerentes com os princípios subjacentes ao capítulo do presente regulamento relativo ao tratamento de dados pessoais operacionais, e também com as disposições do presente regulamento relativas ao controlo independente, às vias de recurso, à responsabilidade e às sanções.

(12)

O capítulo do presente regulamento relativo ao tratamento de dados pessoais operacionais deverá aplicar-se aos órgãos e aos organismos da União no exercício de atividades abrangidas pelo âmbito de aplicação da parte III, título V, capítulos 4 ou 5, do TFUE, quer exerçam essas atividades como atribuições principais ou como funções acessórias, para efeitos de prevenção, deteção, investigação ou repressão de infrações penais. No entanto, o presente regulamento não deverá aplicar-se à Europol nem à Procuradoria Europeia até que os atos normativos que criam a Europol e a Procuradoria Europeia sejam alterados a fim de permitir que o capítulo do presente regulamento relativo ao tratamento de dados pessoais operacionais, na sua versão adaptada, lhes seja aplicável.

(13)

A Comissão deverá proceder a um reexame do presente regulamento, em especial do capítulo relativo ao tratamento de dados pessoais operacionais. A Comissão deverá também efetuar um reexame de outros atos normativos adotados com base nos Tratados que regulam o tratamento de dados pessoais operacionais pelos órgãos e organismos da União no exercício de atividades abrangidas pelo âmbito de aplicação da parte III, título V, capítulos 4 ou 5, do TFUE. Após esse reexame, a fim de assegurar uma proteção uniforme e coerente das pessoas singulares no que diz respeito ao tratamento de dados pessoais, a Comissão deverá poder apresentar as propostas legislativas adequadas, incluindo as adaptações necessárias do capítulo do presente regulamento relativo ao tratamento de dados pessoais operacionais, na perspetiva da sua aplicação à Europol e à Procuradoria Europeia. As adaptações deverão ter em conta as disposições relativas ao controlo independente, às vias de recurso, à responsabilidade e às sanções.

(14)

O tratamento de dados pessoais administrativos, tais como os dados relativos ao pessoal, pelos órgãos e organismos da União que exercem atividades abrangidas pelo âmbito de aplicação da parte III, título V, capítulos 4 ou 5, do TFUE, deverá ser abrangido pelo presente regulamento.

(15)

O presente regulamento deverá aplicar-se ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União que exercem atividades abrangidas pelo âmbito de aplicação do título V, capítulo 2, do Tratado da União Europeia (TUE). O presente regulamento não deverá aplicar-se ao tratamento de dados pessoais pelas missões referidas no artigo 42.o, n.o 1, e nos artigos 43.o e 44.o do TUE, que aplicam a política comum de segurança e de defesa. Se for caso disso, deverão ser apresentadas propostas adequadas para regulamentar também o tratamento de dados pessoais no domínio da política comum de segurança e de defesa.

(16)

Os princípios da proteção de dados deverão aplicar-se a todas as informações relativas a uma pessoa singular identificada ou identificável. Os dados pessoais que tenham sido pseudonimizados, que possam ser atribuídos a uma pessoa singular mediante a utilização de informações suplementares, deverão ser considerados informações sobre uma pessoa singular identificável. Para determinar se uma pessoa singular é identificável, deverão ser tidos em conta todos os meios que apresentem uma probabilidade razoável de ser utilizados, tais como a seleção, quer pelo responsável pelo tratamento quer por outra pessoa, para identificar direta ou indiretamente a pessoa singular. Para determinar se existe uma probabilidade razoável de os meios serem utilizados para identificar a pessoa singular, deverão ser tidos em conta todos os fatores objetivos, como os custos e o tempo necessário para a identificação, tendo em conta as tecnologias disponíveis à data do tratamento dos dados e a evolução tecnológica. Os princípios da proteção de dados não deverão, pois, aplicar-se às informações anónimas, ou seja, às informações que não digam respeito a uma pessoa singular identificada ou identificável, nem a dados pessoais tornados de tal modo anónimos que o seu titular não seja identificável ou já não possa ser identificado. Por conseguinte, o presente regulamento não diz respeito ao tratamento dessas informações anónimas, inclusive para fins estatísticos ou de investigação.

(17)

A aplicação da pseudonimização aos dados pessoais pode reduzir os riscos para os titulares dos dados em questão e ajudar os responsáveis pelo tratamento e os subcontratantes a cumprir as suas obrigações de proteção de dados. A introdução explícita da «pseudonimização» no presente regulamento não se destina a excluir outras medidas de proteção de dados.

(18)

As pessoas singulares podem ser associadas a identificadores por via eletrónica, fornecidos pelos respetivos aparelhos, aplicações, ferramentas e protocolos, tais como endereços IP (protocolo internet), testemunhos de conexão (cookie) ou outros identificadores, como as etiquetas de identificação por radiofrequência. Estes identificadores podem deixar vestígios que, em especial quando combinados com identificadores únicos e com outras informações recebidas pelos servidores, podem ser utilizados para definir perfis das pessoas singulares e para as identificar.

(19)

O consentimento do titular dos dados deverá ser dado mediante um ato positivo claro que indique uma manifestação de vontade livre, específica, informada e inequívoca de autorizar o tratamento dos dados que lhe digam respeito, por exemplo, mediante uma declaração escrita, inclusive em formato eletrónico, ou uma declaração oral. O consentimento pode ser dado validando uma opção ao visitar um sítio Web na Internet, selecionando os parâmetros técnicos para os serviços da sociedade da informação, ou mediante outra declaração ou conduta que indique claramente, nesse contexto, que o titular dos dados aceita o tratamento proposto dos seus dados pessoais. O silêncio, as opções pré-validadas ou a omissão não deverão, por conseguinte, constituir um consentimento. O consentimento deverá abranger todas as atividades de tratamento realizadas com a mesma finalidade. Nos casos em que o tratamento sirva fins múltiplos, deverá ser dado um consentimento para todos esses fins. Se o consentimento tiver de ser dado na sequência de um pedido apresentado por via eletrónica, o pedido tem de ser claro e conciso, e não pode perturbar desnecessariamente a utilização do serviço em causa. Além disso, o titular dos dados deverá ter o direito de retirar o seu consentimento a qualquer momento, sem comprometer a licitude do tratamento efetuado com base no consentimento previamente dado. A fim de assegurar que o consentimento seja dado de livre vontade, este não deverá constituir um fundamento jurídico válido para o tratamento de dados pessoais em casos específicos em que exista um desequilíbrio manifesto entre o titular dos dados e o responsável pelo seu tratamento, em que seja, portanto, improvável que o consentimento tenha sido dado de livre vontade em todas as circunstâncias associadas à situação específica em causa. Muitas vezes não é possível identificar totalmente a finalidade do tratamento de dados pessoais para efeitos de investigação científica no momento da recolha dos dados. Por conseguinte, os titulares dos dados deverão poder dar o seu consentimento para determinadas áreas de investigação científica, desde que sejam respeitados padrões éticos reconhecidos para a investigação científica. Os titulares dos dados deverão ter a possibilidade de dar o seu consentimento unicamente para determinados domínios de investigação ou partes de projetos de investigação, na medida permitida pela finalidade pretendida.

(20)

O tratamento de dados pessoais deverá ser efetuado de forma lícita e leal. Deverá ser transparente para as pessoas singulares que os dados pessoais que lhes digam respeito são recolhidos, utilizados, consultados ou sujeitos a outros tipos de tratamento, e em que medida é que os dados pessoais são ou virão a ser tratados. O princípio da transparência exige que as informações e as comunicações relacionadas com o tratamento desses dados pessoais sejam de fácil acesso e compreensão, e formuladas numa linguagem clara e simples. Esse princípio diz respeito, em particular, às informações fornecidas aos titulares dos dados sobre a identidade do responsável pelo tratamento e sobre as finalidades a que o tratamento dos dados se destina, e às informações adicionais destinadas a assegurar que o tratamento dos dados seja efetuado com lealdade e transparência em relação às pessoas singulares em causa e salvaguarde o seu direito a obter a confirmação e a comunicação dos dados pessoais tratados que lhes digam respeito. As pessoas singulares deverão ser alertadas para os riscos, para as regras, para as garantias e para os direitos associados ao tratamento dos seus dados pessoais, e para os meios de que dispõem para exercer os seus direitos relativamente a esse tratamento. Em especial, as finalidades específicas do tratamento dos dados pessoais deverão ser explícitas e legítimas, e determinadas aquando da recolha dos dados pessoais. Os dados pessoais deverão ser adequados, pertinentes e limitados ao necessário para as finalidades para as quais são tratados. Para tal, é necessário assegurar, em especial, que o prazo de conservação dos dados seja limitado ao mínimo. Os dados pessoais só deverão ser tratados se a finalidade do seu tratamento não puder ser atingida de forma razoável por outros meios. A fim de assegurar que os dados pessoais sejam conservados apenas durante o período necessário, o responsável pelo tratamento deverá fixar os prazos para o apagamento ou para a revisão periódica. Deverão ser tomadas todas as medidas razoáveis para que os dados pessoais incorretos sejam retificados ou apagados. Os dados pessoais deverão ser tratados de uma forma que garanta a segurança e a confidencialidade adequadas, designadamente para evitar o acesso aos dados pessoais, a sua utilização e o acesso a equipamentos utilizados para o seu tratamento não autorizados, e para evitar a divulgação não autorizada dos dados pessoais aquando da sua transmissão.

(21)

Em conformidade com o princípio da responsabilidade, quando as instituições e os órgãos da União transmitem dados pessoais no interior da mesma instituição ou do mesmo organismo, e o destinatário não faz parte do responsável pelo tratamento, ou a outras instituições ou a outros órgãos da União, deverão verificar se esses dados pessoais são necessários para o desempenho legítimo de funções da competência do destinatário. Em particular, após o pedido do destinatário para a transmissão dos dados pessoais, o responsável pelo tratamento deverá verificar a existência de um motivo relevante para o tratamento lícito dos dados pessoais e a competência do destinatário. O responsável pelo tratamento deverá efetuar também uma avaliação provisória da necessidade de transmitir esses dados. Em caso de dúvida quanto a essa necessidade, o responsável pelo tratamento deverá solicitar informações complementares ao destinatário. O destinatário deverá certificar-se de que a necessidade da transmissão dos dados pode ser verificada posteriormente.

(22)

Para que o tratamento seja lícito, os dados pessoais deverão ser tratados com base na necessidade de desempenho de uma função efetuada no interesse público pelas instituições e pelos órgãos da União, ou no exercício da sua autoridade pública, na necessidade de conformidade com uma obrigação jurídica a que o responsável pelo tratamento dos dados esteja sujeito, ou com outra base legítima, ao abrigo do presente regulamento, incluindo o consentimento do titular dos dados em causa, a necessidade de executar um contrato no qual o titular dos dados seja parte, ou para adotar medidas pré-contratuais a pedido do titular dos dados. O tratamento de dados pessoais para o desempenho de funções de interesse público pelas instituições e pelos órgãos da União inclui o tratamento de dados pessoais necessários à gestão e ao funcionamento dessas instituições e órgãos. O tratamento de dados pessoais deverá também ser considerado lícito quando for necessário à proteção de um interesse essencial à vida do titular dos dados, ou de outra pessoa singular. Em princípio, o tratamento de dados pessoais com base no interesse vital de outra pessoa singular só pode ocorrer quando não puder manifestamente ter como base outro fundamento jurídico. Alguns tipos de tratamento de dados podem servir simultaneamente interesses públicos importantes e os interesses vitais do titular dos dados, como, por exemplo, quando o tratamento dos dados é necessário para fins humanitários, incluindo a monitorização de epidemias e da sua propagação, ou em situações de emergência humanitária, em especial situações de catástrofes naturais e de origem humana.

(23)

O direito da União referido no presente regulamento deverá ser claro e rigoroso, e a sua aplicação deverá ser previsível para os seus destinatários, em conformidade com as exigências estabelecidas na Carta e na Convenção Europeia para a Proteção dos Direitos do Homem e das Liberdades Fundamentais.

(24)

As regras internas referidas no presente regulamento deverão consistir em atos claros e precisos de aplicação geral, destinados a produzir efeitos jurídicos em relação aos titulares dos dados. Essas regras deverão ser adotadas ao mais alto nível de direção das instituições e dos órgãos da União, no âmbito das suas competências e em matérias relacionadas com o seu funcionamento. Essas regras deverão ser publicadas no Jornal Oficial da União Europeia. A aplicação dessas normas deverá ser previsível para os seus destinatários, em conformidade com os requisitos estabelecidos na Carta e na Convenção Europeia para a Proteção dos Direitos do Homem e das Liberdades Fundamentais. Essas regras internas podem assumir a forma de decisões, em particular quando forem adotadas por instituições da União.

(25)

O tratamento de dados pessoais para finalidades distintas daquelas para as quais os dados tenham sido inicialmente recolhidos só deverá ser autorizado se for compatível com as finalidades para as quais os dados pessoais tenham sido inicialmente recolhidos. Nesse caso, não é necessário um fundamento jurídico distinto daquele que permitiu a recolha dos dados pessoais. Se o tratamento for necessário para o exercício de funções de interesse público ou para o exercício da autoridade pública de que o responsável pelo tratamento esteja investido, o direito da União pode determinar e definir as tarefas e as finalidades para as quais o tratamento posterior deverá ser considerado compatível e lícito. As operações de tratamento posterior para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos deverão ser consideradas como operações de tratamento lícito compatível. O fundamento jurídico previsto no direito da União para o tratamento de dados pessoais pode igualmente servir de fundamento jurídico para o tratamento posterior. A fim de apurar se a finalidade de um tratamento posterior é compatível com a finalidade para a qual os dados pessoais foram inicialmente recolhidos, o responsável pelo seu tratamento, após ter cumprido todos os requisitos de licitude do tratamento inicial, deverá ter em atenção, nomeadamente: a existência de uma ligação entre tais finalidades e a finalidade do tratamento posterior previsto; o contexto em que os dados pessoais foram recolhidos, em especial as expectativas razoáveis do titular dos dados quanto à sua posterior utilização, com base na sua relação com o responsável pelo tratamento; a natureza dos dados pessoais; as consequências do tratamento posterior previsto para os titulares dos dados; e a existência de garantias adequadas tanto nas operações de tratamento iniciais como nas operações de tratamento posteriores previstas.

(26)

Caso o tratamento tenha por base o consentimento do titular dos dados, o responsável pelo tratamento deverá poder demonstrar que o titular deu o seu consentimento a esse tratamento. Em especial, no contexto de uma declaração escrita relativa a outra matéria, deverão existir garantias de que o titular dos dados está plenamente ciente do consentimento dado e do seu alcance. Em conformidade com a Diretiva 93/13/CEE do Conselho (6), deverá ser fornecida uma declaração de consentimento previamente redigida pelo responsável pelo tratamento, inteligível e facilmente acessível, numa linguagem clara e simples, e sem cláusulas abusivas. Para efeitos de um consentimento informado, o titular dos dados deverá conhecer, pelo menos, a identidade do responsável pelo tratamento e as finalidades do tratamento para as quais os dados pessoais se destinam. Não deverá considerar-se que o consentimento foi dado de livre vontade se o titular dos dados não dispuser de uma escolha verdadeira ou livre ou não puder recusar nem retirar o consentimento sem ser prejudicado.

(27)

As crianças merecem proteção especial quanto aos seus dados pessoais, uma vez que podem estar menos cientes dos riscos, das consequências e das garantias em questão e dos seus direitos relacionados com o tratamento dos dados pessoais. Essa proteção especial deverá aplicar-se, nomeadamente, à criação de perfis de personalidade; à recolha de dados pessoais relativos às crianças aquando da utilização de serviços disponibilizados diretamente a um menor nos sítios Web das instituições e dos órgãos da União, tais como os serviços de comunicação interpessoal ou de venda de bilhetes em linha; e ao tratamento de dados pessoais com base no consentimento.

(28)

Quando os destinatários, que não sejam instituições ou órgãos da União, estejam estabelecidos na União e pretendam que as instituições e os órgãos da União lhes transmitam dados pessoais, deverão demonstrar que a transmissão é necessária para o exercício de funções de interesse público ou para o exercício da autoridade pública de que estejam investidos. Em alternativa, esses destinatários deverão demonstrar que a transmissão é necessária para uma finalidade específica no interesse público e o responsável pelo tratamento deve determinar se existem motivos para pressupor que os interesses legítimos do titular dos dados possam ser prejudicados. Neste caso, o responsável pelo tratamento deverá sopesar, comprovadamente, os diferentes interesses em jogo, a fim de avaliar se o pedido de transmissão de dados pessoais é proporcionado. As finalidades específicas no interesse público podem dizer respeito à transparência das instituições e dos órgãos da União. Além disso, as instituições e os órgãos da União deverão demonstrar essa necessidade quando estão na origem da transmissão, em conformidade com o princípio da transparência e da boa administração. Os requisitos previstos no presente regulamento para a transmissão a destinatários estabelecidos na União, que não sejam instituições ou órgãos da União, deverão ser entendidos como complementares das condições para o tratamento lícito.

(29)

Merecem proteção específica os dados pessoais que sejam, pela sua natureza, especialmente sensíveis do ponto de vista dos direitos e das liberdades fundamentais, dado que o contexto do tratamento desses dados poderá implicar riscos significativos para os direitos e as liberdades fundamentais. Esses dados pessoais só deverão ser tratados se as condições específicas definidas no presente regulamento estiverem reunidas. Deverão incluir-se neste caso os dados pessoais que revelem a origem racial ou étnica, não implicando o uso da expressão «origem racial» no presente regulamento que a União aceita teorias que tentam demonstrar a existência de diferentes raças humanas. O tratamento de fotografias não deverá ser considerado sistematicamente como um tratamento de categorias especiais de dados pessoais, uma vez que as fotografias só são abrangidas pela definição de dados biométricos quando são processadas por meios técnicos específicos que permitem a identificação inequívoca ou a autenticação de uma pessoa singular. Para além dos requisitos específicos para o tratamento de dados sensíveis, deverão aplicar-se os princípios gerais e outras disposições do presente regulamento, em especial, no que se refere às condições para o tratamento lícito. Deverão ser expressamente previstas derrogações da proibição geral de tratamento de categorias especiais de dados pessoais, por exemplo, se o titular dos dados der o seu consentimento expresso, ou para ter em conta necessidades específicas, designadamente quando o tratamento de dados for efetuado no exercício de atividades legítimas de certas associações ou fundações que tenham por finalidade permitir o exercício das liberdades fundamentais.

(30)

As categorias especiais de dados pessoais que merecem uma proteção mais elevada só deverão ser tratadas para finalidades relacionadas com a saúde nos casos em que tal se revele necessário para atingir essas finalidades no interesse das pessoas singulares e da sociedade no seu todo, nomeadamente no contexto da gestão dos serviços e sistemas de saúde ou de ação social. Por conseguinte, o presente regulamento deverá estabelecer condições harmonizadas para o tratamento de categorias especiais de dados pessoais relativos à saúde, tendo em conta necessidades específicas, designadamente quando o tratamento desses dados for efetuado para determinadas finalidades ligadas à saúde por pessoas sujeitas a uma obrigação legal de sigilo profissional. O direito da União deverá prever medidas específicas adequadas para defender os direitos fundamentais e para proteger os dados pessoais das pessoas singulares.

(31)

O tratamento de categorias especiais de dados pessoais pode ser necessário por razões de interesse público nos domínios da saúde pública sem o consentimento do titular dos dados. Esse tratamento deverá ser objeto de medidas adequadas e específicas, a fim de defender os direitos e as liberdades das pessoas singulares. Nesse contexto, a noção de «saúde pública» deverá ser interpretada segundo a definição constante do Regulamento (CE) n.o 1338/2008 do Parlamento Europeu e do Conselho (7), ou seja, todos os elementos relacionados com a saúde, a saber, o estado de saúde, incluindo a morbilidade e a incapacidade, as determinantes desse estado de saúde, as necessidades de cuidados de saúde, os recursos atribuídos aos cuidados de saúde, a prestação de cuidados de saúde e o acesso universal aos mesmos, assim como as despesas e o financiamento dos cuidados de saúde e as causas de mortalidade. Tal tratamento de dados relativos à saúde efetuado por motivos de interesse público não deverá dar origem a que os dados pessoais sejam tratados para outras finalidades.

(32)

Se os dados pessoais tratados pelo responsável pelo tratamento não lhe permitirem identificar uma pessoa singular, o responsável pelo tratamento não deverá ser obrigado a obter informações suplementares para identificar o titular dos dados com o único objetivo de cumprir uma disposição do presente regulamento. Todavia, o responsável pelo tratamento não deverá recusar-se a receber informações suplementares fornecidas pelo titular dos dados para apoiar o exercício dos seus direitos. A identificação deverá incluir a identificação digital do titular dos dados, por exemplo com recurso a um procedimento de autenticação com os mesmos dados de identificação usados pelo interessado para aceder (log in) ao serviço em linha do responsável pelo tratamento.

(33)

O tratamento de dados pessoais para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos deverá ficar sujeito a garantias adequadas no que respeita aos direitos e às liberdades do titular dos dados, nos termos do presente regulamento. Essas garantias deverão assegurar a existência de medidas técnicas e organizativas que assegurem, nomeadamente, o princípio da minimização dos dados. O tratamento posterior de dados pessoais para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos deverá ser efetuado quando o responsável pelo tratamento tiver avaliado a possibilidade de tais fins serem alcançados por um tipo de tratamento de dados pessoais que não permita ou tenha deixado de permitir a identificação dos titulares dos dados, na condição de existirem as garantias adequadas (como a pseudonimização dos dados pessoais). As instituições e os órgãos da União deverão prever, no direito da União e, eventualmente, em regras internas adotadas pelas instituições e pelos órgãos da União em matérias relacionadas com o seu funcionamento, as garantias apropriadas para o tratamento de dados pessoais para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos.

(34)

Deverão ser previstas regras para facilitar o exercício pelo titular dos dados dos direitos que lhe são conferidos ao abrigo do presente regulamento, incluindo procedimentos para solicitar e, se for o caso, para obter gratuitamente, em especial, o acesso a dados pessoais, a sua retificação ou o seu apagamento, e o exercício do direito de oposição. O responsável pelo tratamento deverá fornecer os meios necessários para que os pedidos possam ser apresentados por via eletrónica, em especial quando os dados sejam também tratados por essa via. O responsável pelo tratamento deverá ser obrigado a responder aos pedidos do titular dos dados sem demora indevida e, o mais tardar, no prazo de um mês, e fundamentar a sua eventual intenção de recusar o pedido.

(35)

Os princípios do tratamento leal e transparente exigem que o titular dos dados seja informado da operação de tratamento de dados e das suas finalidades. O responsável pelo tratamento deverá fornecer ao titular as informações adicionais necessárias para assegurar um tratamento leal e transparente tendo em conta as circunstâncias e o contexto específicos em que os dados pessoais são tratados. Além disso, o titular dos dados deverá ser informado da existência de uma definição de perfis e das suas consequências. Sempre que os dados pessoais forem recolhidos junto do titular dos dados, este deverá ser também informado da eventual obrigatoriedade de fornecer os dados pessoais e das consequências de não os facultar. Essas informações podem ser fornecidas em combinação com ícones normalizados a fim de dar, de modo facilmente visível, inteligível e claramente legível, uma panorâmica útil do tratamento previsto. Se forem apresentados por via eletrónica, os ícones deverão ser de leitura automática.

(36)

As informações sobre o tratamento de dados pessoais relativos ao titular dos dados deverão ser-lhe facultadas no momento da sua recolha junto do titular dos dados ou, se os dados pessoais tiverem sido obtidos a partir de outra fonte, num prazo razoável, consoante as circunstâncias. Sempre que os dados pessoais possam ser legitimamente comunicados a outro destinatário, o titular dos dados deverá ser informado aquando da primeira comunicação dos dados pessoais a esse destinatário. Sempre que o responsável pelo tratamento tiver a intenção de tratar os dados pessoais para uma finalidade diferente daquela para a qual tenham sido recolhidos, deverá facultar ao titular dos dados, antes desse tratamento, informações sobre tal finalidade e outras informações necessárias. Quando não for possível informar o titular dos dados da origem dos dados pessoais por se ter recorrido a várias fontes, deverão ser-lhe facultadas informações genéricas.

(37)

Os titulares dos dados deverão ter o direito de aceder aos dados pessoais recolhidos que lhes digam respeito e de exercer esse direito com facilidade e a intervalos razoáveis, a fim de tomar conhecimento e de verificar a licitude do seu tratamento. Tal inclui o direito de acederem a dados sobre a sua saúde, por exemplo os registos médicos contendo informações como diagnósticos, resultados de exames, avaliações dos médicos e eventuais tratamentos ou intervenções realizados. Cada titular de dados deverá, portanto, ter o direito de conhecer e ser informado, em especial das finalidades para as quais os dados pessoais são tratados, quando possível o período durante o qual os dados são tratados, a identidade dos destinatários dos dados pessoais, a lógica subjacente ao eventual tratamento automático dos dados pessoais e, pelo menos quando tiver por base a definição de perfis, as consequências de tal tratamento. Esse direito não deverá prejudicar os direitos ou as liberdades de terceiros, incluindo o segredo comercial ou a propriedade intelectual e, particularmente, o direito de autor que protege o software. Todavia, tais considerações não deverão implicar a recusa de fornecer ao titular dos dados todas as informações. Quando o responsável pelo tratamento proceder ao tratamento de grande quantidade de informação relativa ao titular dos dados, deverá poder solicitar que, antes de a informação ser fornecida, o titular especifique a que informações ou a que atividades de tratamento se refere o seu pedido.

(38)

Os titulares dos dados deverão ter direito a que os seus dados pessoais sejam retificados e o «direito a serem esquecidos» quando a conservação desses dados violar o presente regulamento ou o direito da União aplicável ao responsável pelo tratamento. Os titulares dos dados deverão ter direito a que os seus dados pessoais sejam apagados e deixem de ser objeto de tratamento se já não forem necessários para a finalidade para a qual foram recolhidos ou tratados, se o titular dos dados tiver retirado o seu consentimento ou se se opuser ao tratamento dos seus dados pessoais ou se o tratamento desses dados não respeitar o disposto no presente regulamento. Tal direito assume particular importância sempre que o titular dos dados tiver dado o seu consentimento quando era criança e não estava totalmente ciente dos riscos inerentes ao tratamento, e mais tarde pretenda suprimir esses dados pessoais, especialmente na Internet. O titular dos dados deverá ter a possibilidade de exercer esse direito independentemente do facto de já ser adulto. No entanto, o prolongamento do prazo de conservação dos dados pessoais deverá ser lícito quando se revele necessário para o exercício do direito da liberdade de expressão e informação, para o cumprimento de uma obrigação jurídica, para o exercício de funções de interesse público ou para o exercício da autoridade pública de que o responsável pelo tratamento está investido, por razões de interesse público no domínio da saúde pública, para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial.

(39)

Para reforçar o «direito a ser esquecido» no ambiente em linha, o direito de apagamento deverá ser alargado de modo a obrigar o responsável pelo tratamento que tenha tornado públicos os dados pessoais a informar os responsáveis que estejam a tratar esses dados pessoais de que devem suprimir as ligações para esses dados pessoais, e as cópias ou reproduções dos mesmos. Ao fazê-lo, esse responsável pelo tratamento deverá tomar medidas razoáveis, tendo em conta a tecnologia disponível e os meios ao seu dispor, incluindo medidas técnicas, para informar os responsáveis que estejam a tratar esses dados do pedido do titular dos dados pessoais.

(40)

Para limitar o tratamento de dados pessoais pode recorrer-se a métodos como a transferência temporária de determinados dados para outro sistema de tratamento, a indisponibilização do acesso a determinados dados pessoais por parte dos utilizadores, ou a retirada temporária de um sítio Web dos dados aí publicados. Nos ficheiros automatizados, as limitações do tratamento deverão, em princípio, ser asseguradas por meios técnicos, de modo a que os dados pessoais não sejam sujeitos a outras operações de tratamento e não possam ser alterados. Deverá indicar-se de forma clara no sistema que o tratamento dos dados pessoais se encontra sujeito a limitações.

(41)

Para reforçar o controlo sobre os seus próprios dados, sempre que o tratamento de dados pessoais for automatizado, o titular dos dados deverá ser igualmente autorizado a receber os dados pessoais que lhe digam respeito que tenha fornecido a um responsável pelo tratamento num formato estruturado, de uso corrente, de leitura automática e interoperável, e a transmiti-los a outro responsável pelo tratamento. Os responsáveis pelo tratamento de dados deverão ser encorajados a desenvolver formatos interoperáveis que permitam a portabilidade dos dados. Esse direito deverá aplicar-se também se o titular dos dados tiver fornecido os dados pessoais com base no seu consentimento ou se o tratamento for necessário para a execução de um contrato. Por conseguinte, esse direito não deverá ser aplicável quando o tratamento de dados pessoais for necessário para o cumprimento de uma obrigação jurídica à qual o responsável pelo tratamento esteja sujeito, para o exercício de funções de interesse público ou o exercício da autoridade pública de que esteja investido o responsável pelo tratamento. O direito do titular dos dados a transmitir ou receber dados pessoais que lhe digam respeito não deverá implicar para os responsáveis pelo tratamento a obrigação de adotar ou manter sistemas de tratamento que sejam tecnicamente compatíveis. Quando um determinado conjunto de dados pessoais diga respeito a mais de um titular, o direito de receber os dados pessoais não deverá prejudicar os direitos e as liberdades de outros titulares de dados nos termos do presente regulamento. Além disso, esse direito não deverá prejudicar o direito dos titulares dos dados a obter o apagamento dos dados pessoais, nem as limitações desse direito estabelecidas no presente regulamento, nem deverá implicar, nomeadamente, o apagamento dos dados pessoais relativos ao titular que este tenha fornecido para execução de um contrato, na medida em que e enquanto os dados pessoais sejam necessários para a execução do referido contrato. Sempre que seja tecnicamente possível, o titular dos dados deverá ter o direito a que os dados pessoais sejam transmitidos diretamente entre os responsáveis pelo tratamento.

(42)

No caso de um tratamento de dados pessoais lícito realizado por ser necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento, o titular dos dados não deverá deixar de ter o direito de se opor ao tratamento dos dados pessoais que digam respeito à sua situação específica. Deverá caber ao responsável pelo tratamento provar que os seus interesses legítimos e imperiosos prevalecem sobre os interesses ou os direitos e as liberdades fundamentais do titular dos dados.

(43)

O titular dos dados deverá ter o direito de não ficar sujeito a uma decisão, que pode incluir uma medida que avalie aspetos pessoais que lhe digam respeito, que se baseie exclusivamente no tratamento automatizado e que produza efeitos jurídicos que lhe digam respeito ou o afetem significativamente de modo similar, como práticas de recrutamento eletrónico sem intervenção humana. Esse tratamento inclui a definição de perfis mediante formas de tratamento automatizado de dados pessoais para avaliar aspetos pessoais relativos a uma pessoa singular, em especial a análise e a previsão de aspetos relacionados com o desempenho profissional, a situação económica, a saúde, as preferências ou os interesses pessoais, a fiabilidade ou o comportamento, a localização ou as deslocações do titular dos dados, quando produza efeitos jurídicos que digam respeito a essa pessoa singular ou a afetem significativamente de forma similar.

Contudo, a tomada de decisões com base nesse tratamento, incluindo a definição de perfis, deverá ser permitida se for expressamente autorizada pelo direito da União. Em qualquer dos casos, tal tratamento deverá ser acompanhado das garantias adequadas, que deverão incluir a informação específica ao titular dos dados e o direito de obter a intervenção humana, de manifestar o seu ponto de vista, de obter uma explicação sobre a decisão tomada na sequência dessa avaliação e de contestar a decisão. Essa medida não deverá dizer respeito a uma criança. A fim de assegurar um tratamento leal e transparente no que diz respeito ao titular dos dados, tendo em conta a especificidade das circunstâncias e o contexto em que os dados pessoais são tratados, o responsável pelo tratamento deverá utilizar procedimentos matemáticos e estatísticos adequados à definição de perfis, aplicar medidas técnicas e organizativas que garantam designadamente que os fatores que introduzem imprecisões nos dados pessoais sejam corrigidos e que o risco de erros seja minimizado, proteger os dados pessoais de modo a ter em conta os riscos potenciais para os interesses e direitos do titular dos dados, prevenir, por exemplo, efeitos discriminatórios contra pessoas singulares em razão da sua origem racial ou étnica, opiniões políticas, religião ou convicções, filiação sindical, estado genético ou de saúde ou orientação sexual, ou o tratamento que se traduza em medidas que venham a ter tais efeitos. O processo automatizado de tomada de decisões e a definição de perfis baseada em categorias especiais de dados pessoais só deverão ser permitidos em condições específicas.

(44)

Os atos normativos adotados com base nos Tratados ou as regras internas adotadas pelas instituições e pelos órgãos da União em matérias relacionadas com o seu funcionamento podem impor limitações relativas a princípios específicos e aos direitos de informação, acesso e retificação ou apagamento de dados pessoais, ao direito à portabilidade dos dados, à confidencialidade dos dados das comunicações eletrónicas, bem como à comunicação de uma violação de dados pessoais ao titular dos dados e a determinadas obrigações conexas dos responsáveis pelo tratamento, desde que tais limitações sejam necessárias e proporcionadas numa sociedade democrática, para salvaguardar a segurança pública e para a prevenção, a investigação e a repressão de infrações penais, ou para a execução de sanções penais. Tal inclui a salvaguarda e a prevenção de ameaças à segurança pública, a proteção da vida humana, especialmente em resposta a catástrofes naturais ou provocadas pelo homem, a segurança interna das instituições e dos órgãos da União, outros objetivos importantes de interesse público geral da União ou de um Estado-Membro, nomeadamente os objetivos da política externa e de segurança comum da União ou um interesse económico ou financeiro importante da União ou de um Estado-Membro, e a conservação de registos públicos por motivos de interesse público geral ou de defesa do titular dos dados ou dos direitos e das liberdades de terceiros, incluindo a proteção social, a saúde pública e os fins humanitários.

(45)

A responsabilidade do responsável pelo tratamento deverá ser estabelecida em relação ao tratamento de dados pessoais realizado por si ou por sua conta. Em especial, o responsável pelo tratamento deverá ser obrigado a executar as medidas que forem adequadas e eficazes e ser capaz de demonstrar a conformidade das atividades de tratamento com o presente regulamento, incluindo a eficácia das medidas. Essas medidas deverão ter em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como o risco que possa implicar para os direitos e as liberdades das pessoas singulares.

(46)

Os riscos para os direitos e as liberdades das pessoas singulares, de probabilidade e gravidade variar, podem resultar de operações de tratamento de dados pessoais suscetíveis de causar danos físicos, materiais ou imateriais, em especial: quando o tratamento possa implicar discriminação, usurpação ou roubo da identidade, perdas financeiras, prejuízo para a reputação, perda de confidencialidade dose dados pessoais protegidos por sigilo profissional, decifração não autorizada da pseudonimização, ou qualquer outro prejuízo significativo de natureza económica ou social; quando os titulares dos dados possam ficar privados dos seus direitos e liberdades ou impedidos do exercício do controlo sobre os respetivos dados pessoais; quando forem tratados dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas e a filiação sindical, bem como dados genéticos ou dados relativos à saúde ou à vida sexual ou a condenações penais e infrações ou medidas de segurança conexas; quando forem avaliados aspetos de natureza pessoal, em particular análises ou previsões de aspetos que digam respeito ao desempenho no trabalho, à situação económica, à saúde, às preferências ou interesses pessoais, à fiabilidade ou comportamento e à localização ou às deslocações das pessoas, a fim de definir ou fazer uso de perfis; quando forem tratados dados relativos a pessoas singulares vulneráveis, em particular crianças; ou quando o tratamento incidir sobre uma grande quantidade de dados pessoais e afetar um grande número de titulares de dados.

(47)

A probabilidade e a gravidade dos riscos para os direitos e as liberdades do titular dos dados deverão ser determinadas por referência à natureza, ao âmbito, ao contexto e às finalidades do tratamento. Os riscos deverão ser aferidos com base numa avaliação objetiva, que determine se as operações de tratamento de dados implicam um risco ou um risco elevado.

(48)

A proteção dos direitos e das liberdades das pessoas singulares relativamente ao tratamento dos seus dados pessoais exige a adoção de medidas técnicas e organizativas adequadas, a fim de assegurar o cumprimento dos requisitos do presente regulamento. Para poder demonstrar a conformidade com o presente regulamento, o responsável pelo tratamento deverá adotar orientações internas e aplicar medidas que respeitem, em especial, os princípios da proteção de dados desde a conceção e da proteção de dados por defeito. Tais medidas poderão incluir a minimização do tratamento de dados pessoais, a pseudonimização de dados pessoais o mais cedo possível, a transparência no que toca às funções e ao tratamento de dados pessoais, a possibilidade de o titular dos dados controlar o tratamento de dados e a possibilidade de o responsável pelo tratamento criar e melhorar medidas de segurança. Os princípios de proteção de dados desde a conceção e, por defeito, deverão também ser tomados em consideração no contexto dos contratos públicos.

(49)

O Regulamento (UE) 2016/679 prevê que os responsáveis pelo tratamento demonstrem a conformidade mediante o cumprimento de procedimentos de certificação aprovados. Do mesmo modo, as instituições e os órgãos da União deverão poder demonstrar a conformidade com o presente regulamento mediante a obtenção de uma certificação nos termos do artigo 42.o do Regulamento (UE) 2016/679.

(50)

A proteção dos direitos e das liberdades dos titulares de dados, bem como a responsabilidade dos responsáveis pelo tratamento e dos subcontratantes, exige uma clara repartição das responsabilidades nos termos do presente regulamento, nomeadamente quando o responsável pelo tratamento determina as finalidades e os meios do tratamento conjuntamente com outros responsáveis, ou quando uma operação de tratamento é efetuada por conta de um responsável pelo tratamento.

(51)

Para assegurar o cumprimento do presente regulamento no que se refere ao tratamento a efetuar pelo subcontratante por conta do responsável pelo tratamento, este, quando confiar atividades de tratamento a um subcontratante, deverá recorrer exclusivamente a subcontratantes que ofereçam garantias suficientes, especialmente em termos de conhecimentos especializados, fiabilidade e recursos, quanto à execução de medidas técnicas e organizativas que cumpram os requisitos do presente regulamento, incluindo no que se refere à segurança do tratamento. A aplicação por subcontratantes que não sejam instituições ou órgãos da União de um código de conduta aprovado ou de um mecanismo de certificação aprovado pode ser utilizada como elemento para demonstrar o cumprimento das obrigações do responsável pelo tratamento. A realização de operações de tratamento de dados por um subcontratante que não seja uma instituição ou órgão da União deverá ser regulada por um contrato, ou, no caso de instituições e órgãos da União que atuem como subcontratantes, por um contrato ou por outro ato normativo ao abrigo do direito da União que vincule o subcontratante ao responsável pelo tratamento, e em que seja estabelecido o objeto e a duração do contrato, a natureza e as finalidades do tratamento, o tipo de dados pessoais e as categorias de titulares dos dados, tendo em conta as funções e as responsabilidades específicas do subcontratante no contexto do tratamento a realizar e o risco em relação aos direitos e às liberdades do titular dos dados. O responsável pelo tratamento e o subcontratante deverão poder optar por um contrato individual ou por cláusulas contratuais-tipo adotadas diretamente pela Comissão, ou pela Autoridade Europeia para a Proteção de Dados e posteriormente pela Comissão. Uma vez concluído o tratamento por conta do responsável pelo tratamento, o subcontratante deverá devolver ou apagar os dados pessoais, consoante a escolha do responsável pelo tratamento, a não ser que a conservação desses dados pessoais seja exigida ao abrigo do direito da União ou do direito do Estado-Membro a que o subcontratante está sujeito.

(52)

A fim de demonstrar a observância do presente regulamento, os responsáveis pelo tratamento deverão conservar um registo das atividades de tratamento sob a sua responsabilidade e os subcontratantes deverão conservar um registo das categorias de atividades de tratamento sob a sua responsabilidade. As instituições e os órgãos da União deverão ser obrigados a cooperar com a Autoridade Europeia para a Proteção de Dados e a facultar-lhe esses registos, mediante pedido, para fiscalização dessas operações de tratamento. A não ser que tal não seja adequado devido à dimensão da instituição ou do órgão da União, as instituições e os órgãos da União deverão ter condições para estabelecer um registo central dos registos das suas atividades de tratamento. Por motivos de transparência, as instituições e os órgãos da União deverão poder igualmente tornar esse registo público.

(53)

A fim de preservar a segurança e evitar o tratamento em violação do presente regulamento, o responsável pelo tratamento, ou o subcontratante, deverá avaliar os riscos que o tratamento implica e aplicar medidas que os atenuem, como a cifragem. Essas medidas deverão garantir um nível de segurança adequado, nomeadamente a confidencialidade, tendo em conta as técnicas mais avançadas e os custos da sua aplicação em função dos riscos e da natureza dos dados pessoais a proteger. Ao avaliar os riscos para a segurança dos dados, deverão ser tidos em conta os riscos apresentados pelo tratamento dos dados pessoais, tais como a destruição, a perda e a alteração acidentais ou ilícitas, e a divulgação ou o acesso não autorizados a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento, riscos esses que podem dar azo, em particular, a danos físicos, materiais ou imateriais.

(54)

As instituições e os órgãos da União deverão garantir a confidencialidade das comunicações eletrónicas prevista no artigo 7.o da Carta. Em especial, as instituições e os órgãos da União deverão garantir a segurança das suas redes de comunicações eletrónicas. As instituições e os órgãos da União deverão proteger as informações relativas ao equipamento terminal dos utilizadores que acedem aos seus sítios Web e às aplicações móveis acessíveis ao público nos termos da Diretiva 2002/58/CE do Parlamento Europeu e do Conselho (8). As instituições e os órgãos da União deverão também proteger os dados pessoais conservados em listas de utilizadores.

(55)

Se não forem adotadas medidas adequadas e oportunas, a violação de dados pessoais pode causar danos físicos, materiais ou imateriais às pessoas singulares. Por conseguinte, logo que o responsável pelo tratamento tenha conhecimento de uma violação de dados pessoais, deverá notificá-la à Autoridade Europeia para a Proteção de Dados, sem demora indevida e, sempre que possível, no prazo de 72 horas após ter tido conhecimento do ocorrido, a não ser que seja capaz de demonstrar, em conformidade com o princípio da responsabilidade, que essa violação não é suscetível de implicar um risco para os direitos e as liberdades das pessoas singulares. Se não for possível efetuar essa notificação no prazo de 72 horas, a notificação deverá ser acompanhada dos motivos do atraso, e as informações poderão ser fornecidas por fases, sem demora indevida. Se esse atraso for justificado, as informações menos sensíveis ou menos específicas sobre a violação deverão ser comunicadas o mais cedo possível, em vez de se resolver totalmente o incidente subjacente antes de efetuar a notificação.

(56)

O responsável pelo tratamento deverá comunicar a violação de dados pessoais ao titular dos dados sem demora indevida, quando for provável que essa violação implique um elevado risco para os direitos e as liberdades da pessoa singular, a fim de lhe permitir tomar as precauções necessárias. A comunicação deverá descrever a natureza da violação dos dados pessoais e dirigir recomendações à pessoa singular em causa para atenuar potenciais efeitos adversos. Essa comunicação aos titulares dos dados deverá ser efetuada logo que seja razoavelmente possível, em estreita cooperação com a Autoridade Europeia para a Proteção de Dados, e em cumprimento das orientações fornecidas por esta ou por outras autoridades competentes, como as autoridades com funções coercivas.

(57)

O Regulamento (CE) n.o 45/2001 prevê uma obrigação geral do responsável pelo tratamento de notificar o tratamento dos dados pessoais ao encarregado da proteção de dados. A não ser que tal não seja adequado devido à dimensão da instituição ou do órgão da União, o encarregado da proteção de dados deve conservar um registo das operações de tratamento notificadas. Além desta obrigação geral, deverão ser estabelecidos procedimentos e mecanismos eficazes para controlar as operações de tratamento suscetíveis de implicar um risco elevado para os direitos e as liberdades das pessoas singulares, devido à natureza, ao âmbito, ao contexto e às finalidades de tais operações. Esses procedimentos deverão ser também aplicados, nomeadamente, caso os tipos de operações de tratamento envolvam a utilização de novas tecnologias, ou pertençam a um novo tipo em relação ao qual nenhuma avaliação de impacto relativa à proteção de dados tenha sido previamente efetuada pelo responsável pelo tratamento, ou se tenham tornado necessários à luz do período decorrido desde o tratamento inicial. Nesses casos, o responsável pelo tratamento deverá proceder, antes do tratamento, a uma avaliação de impacto relativa à proteção de dados, a fim de avaliar a probabilidade ou gravidade particulares do elevado risco, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento e as fontes do risco. Essa avaliação do impacto deverá incluir, nomeadamente, as medidas, as garantias e os procedimentos previstos para atenuar esse risco, assegurar a proteção dos dados pessoais e comprovar a observância do presente regulamento.

(58)

Caso uma avaliação de impacto relativa à proteção de dados indique que o tratamento, na falta de garantias e de medidas e procedimentos de segurança para atenuar os riscos, implica um elevado risco para os direitos e as liberdades das pessoas singulares, e o responsável pelo tratamento considere que o risco não poderá ser atenuado através de medidas razoáveis, tendo em conta as tecnologias disponíveis e os custos de aplicação, a Autoridade Europeia para a Proteção de Dados deverá ser consultada antes de se iniciarem as atividades de tratamento. Esse elevado risco pode resultar de determinados tipos de tratamento, bem como da sua extensão e da sua frequência, os quais podem provocar também danos ou interferências nos direitos e nas liberdades da pessoa singular. A Autoridade Europeia para a Proteção de Dados deverá responder ao pedido de consulta num prazo determinado. Contudo, a falta de reação da Autoridade Europeia para a Proteção de Dados nesse prazo não deverá prejudicar a sua intervenção de acordo com as atribuições e os poderes que lhe são conferidos pelo presente regulamento, incluindo o poder de proibir certas operações de tratamento de dados. No âmbito desse processo de consulta, o resultado de uma avaliação de impacto relativa à proteção de dados efetuada quanto ao tratamento em questão deverá poder ser apresentado à Autoridade Europeia para a Proteção de Dados, em especial as medidas previstas para atenuar o risco para os direitos e as liberdades das pessoas singulares.

(59)

A Autoridade Europeia para a Proteção de Dados deverá ser informada das medidas administrativas e consultada sobre as regras internas adotadas pelas instituições e pelos órgãos da União em matérias relacionadas com o seu funcionamento quando preveem o tratamento de dados pessoais, quando estabelecem condições para as limitações dos direitos dos titulares dos dados ou quando conferem garantias adequadas para os direitos dos titulares dos dados, de forma a assegurar a conformidade do tratamento previsto com o presente regulamento e, nomeadamente, no que se refere à atenuação dos riscos para os titulares dos dados.

(60)

O Regulamento (UE) 2016/679 criou o Comité Europeu para a Proteção de Dados como um organismo independente da União com personalidade jurídica. O Comité deverá contribuir para a aplicação coerente do Regulamento (UE) 2016/679 e da Diretiva (UE) 2016/680 em toda a União, e igualmente o aconselhamento da Comissão. Simultaneamente, a Autoridade Europeia para a Proteção de Dados deverá continuar a exercer as suas funções de supervisão e as suas funções consultivas relativamente a todas as instituições e órgãos da União, por iniciativa própria ou mediante pedido. A fim de assegurar a coerência das regras de proteção de dados em toda a União, quando a Comissão elaborar propostas ou recomendações, deverá esforçar-se por consultar a Autoridade Europeia para a Proteção de Dados. Essa consulta deverá ser obrigatória após a adoção de atos legislativos ou durante a elaboração de atos delegados e de atos de execução, conforme definido nos artigos 289.o, 290.o e 291.o do TFUE, e após a adoção de recomendações e de propostas relativas a acordos com países terceiros e com organizações internacionais, tal como previsto no artigo 218.o do TFUE, com impacto no direito à proteção de dados pessoais. Nesses casos, a Comissão deverá ser obrigada a consultar a Autoridade Europeia para a Proteção de Dados, exceto nos casos em que o Regulamento (UE) 2016/679 preveja a consulta obrigatória do Comité Europeu para a Proteção de Dados, por exemplo, sobre decisões de adequação ou atos delegados relativos a ícones normalizados e requisitos aplicáveis aos procedimentos de certificação. Sempre que o ato em questão for particularmente importante para a proteção dos direitos e das liberdades das pessoas singulares no que diz respeito ao tratamento de dados pessoais, a Comissão deverá ainda poder consultar o Comité Europeu para a Proteção de Dados. Nesses casos, a Autoridade Europeia para a Proteção de Dados, enquanto membro do Comité Europeu para a Proteção de Dados, deverá coordenar o seu trabalho com o Comité tendo em vista a emissão de um parecer comum. A Autoridade Europeia para a Proteção de Dados e, se aplicável, o Comité Europeu para a Proteção de Dados, deverão emitir o seu parecer por escrito no prazo de oito semanas. Tal prazo deverá ser mais curto em casos urgentes, ou sempre que necessário, por exemplo, quando a Comissão estiver a elaborar atos delegados ou de execução.

(61)

Nos termos do artigo 75.o do Regulamento (UE) 2016/679, a Autoridade Europeia para a Proteção de Dados deverá assegurar o secretariado do Comité Europeu para a Proteção de Dados.

(62)

Em todas as instituições e órgãos da União, um encarregado da proteção de dados deverá assegurar que as disposições do presente regulamento sejam aplicadas, e aconselhar os responsáveis pelo tratamento e os subcontratantes no cumprimento das suas obrigações. Esse encarregado deverá ser uma pessoa com conhecimentos especializados sobre a legislação e as práticas em matéria de proteção de dados, que deverão ser determinados, em particular, em função das operações de tratamento de dados realizadas pelo responsável pelo tratamento ou pelo subcontratante e da proteção exigida para os dados pessoais em causa. Esses encarregados da proteção de dados deverão poder desempenhar as suas funções e cumprir os seus deveres de forma independente.

(63)

Quando os dados pessoais são transferidos das instituições e órgãos da União para responsáveis pelo tratamento, subcontratantes ou outros destinatários em países terceiros, ou para organizações internacionais, deverá ser garantido o nível de proteção das pessoas singulares assegurado na União pelo presente regulamento. Deverão aplicar-se as mesmas garantias nos casos de posterior transferência de dados pessoais do país terceiro ou da organização internacional para responsáveis pelo tratamento ou subcontratantes desse ou de outro país terceiro, ou dessa ou de outra organização internacional. Em todo o caso, as transferências para países terceiros e organizações internacionais só podem ser efetuadas no pleno respeito pelo presente regulamento e pelos direitos e liberdades fundamentais consagrados na Carta. Só poderão ser realizadas transferências se, sob reserva das demais disposições do presente regulamento, as condições constantes das disposições do presente regulamento relativas às transferências de dados pessoais para países terceiros e para organizações internacionais forem cumpridas pelo responsável pelo tratamento ou pelo subcontratante.

(64)

A Comissão pode decidir, nos termos do artigo 45.o do Regulamento (UE) 2016/679 ou do artigo 36.o da Diretiva (UE) 2016/680, que um país terceiro, um território ou um setor específico de um país terceiro, ou uma organização internacional, assegurem um nível adequado de proteção de dados. Nesses casos, as instituições ou os órgãos da União podem realizar transferências de dados pessoais para esse país ou para essa organização internacional sem que para tal seja necessária qualquer outra autorização.

(65)

Na falta de uma decisão de adequação, o responsável pelo tratamento ou o subcontratante deverá tomar as medidas necessárias para colmatar a insuficiência da proteção de dados no país terceiro, dando para tal garantias adequadas ao titular dos dados. Tais garantias adequadas podem consistir no recurso a cláusulas-tipo de proteção de dados adotadas pela Comissão, cláusulas-tipo de proteção de dados adotadas pela Autoridade Europeia para a Proteção de Dados ou cláusulas contratuais autorizadas por esta autoridade. Nos casos em que o subcontratante não seja uma instituição ou um órgão da União, essas garantias adequadas podem igualmente consistir em regras vinculativas aplicáveis às empresas, códigos de conduta e mecanismos de certificação utilizados para transferências internacionais ao abrigo do Regulamento (UE) 2016/679. Tais garantias deverão assegurar o cumprimento dos requisitos relativos à proteção de dados e o respeito pelos direitos dos titulares dos dados adequados ao tratamento dos dados no território da União, incluindo a atribuição de direitos oponíveis ao titular de dados e a existência de vias de recurso eficazes, nomeadamente o direito de recurso administrativo ou judicial e o direito à indemnização, na União ou num país terceiro. As garantias deverão estar relacionadas, em especial, com o respeito pelos princípios gerais relativos ao tratamento de dados pessoais e pelos princípios de proteção de dados desde a conceção e por defeito. Também podem ser efetuadas transferências por instituições e órgãos da União para autoridades ou organismos públicos em países terceiros ou para organizações internacionais que tenham deveres e funções correspondentes, nomeadamente com base em disposições a inserir no regime administrativo, por exemplo um memorando de entendimento, que prevejam a existência de direitos efetivos e oponíveis dos titulares dos dados. Deverá ser obtida a autorização da Autoridade Europeia para a Proteção de Dados quando as garantias previstas em regimes administrativos não forem juridicamente vinculativas.

(66)

A possibilidade de o responsável pelo tratamento ou o subcontratante recorrerem a cláusulas-tipo de proteção de dados adotadas pela Comissão ou pela Autoridade Europeia para a Proteção de Dados não deverá impedi-los de incluir tais cláusulas num contrato mais abrangente, como um contrato entre o subcontratante e outro subcontratante, nem de acrescentar outras cláusulas ou garantias adicionais, desde que não colidam, direta ou indiretamente, com as cláusulas contratuais-tipo adotadas pela Comissão ou pela Autoridade Europeia para a Proteção de Dados, e sem prejuízo dos direitos e das liberdades fundamentais dos titulares dos dados. Os responsáveis pelo tratamento e os subcontratantes deverão ser encorajados a apresentar garantias suplementares através de compromissos contratuais que complementem as cláusulas-tipo de proteção de dados.

(67)

Alguns países terceiros aprovam leis, regulamentos e outros atos jurídicos destinados a regular diretamente as atividades de tratamento pelas instituições e pelos órgãos da União. Pode ser o caso de sentenças de órgãos jurisdicionais ou de decisões de autoridades administrativas de países terceiros que exijam que o responsável pelo tratamento ou o subcontratante transfiram ou divulguem dados pessoais sem fundamento num acordo internacional em vigor entre o país terceiro em causa e a União. Em virtude da sua aplicabilidade extraterritorial, essas leis, regulamentos e outros atos jurídicos podem violar o direito internacional e obstar à realização do objetivo de proteção das pessoas singulares, assegurado na União pelo presente regulamento. As transferências só deverão ser autorizadas quando estiverem preenchidas as condições estabelecidas pelo presente regulamento para as transferências para países terceiros. Pode ser esse o caso, nomeadamente, sempre que a divulgação for necessária por um motivo importante de interesse público, reconhecido pelo direito da União.

(68)

Deverá prever-se a possibilidade de efetuar transferências em situações específicas em que o titular dos dados dê o seu consentimento explícito, em que a transferência seja ocasional e necessária em relação a um contrato ou a um contencioso judicial, independentemente de se tratar de um processo judicial, de um procedimento administrativo ou de um procedimento não judicial, incluindo procedimentos junto de organismos de regulação. Deverá também prever-se a possibilidade de efetuar transferências por motivos importantes de interesse público previstos pelo direito da União, ou se a transferência for efetuada a partir de um registo criado por lei e destinado à consulta do público ou de pessoas com um interesse legítimo. Neste último caso, a transferência não deverá abranger a totalidade dos dados pessoais nem categorias completas de dados pessoais contidos nesse registo, a não ser que tal seja autorizado pelo direito da União, e, quando o registo se destinar a ser consultado por pessoas com um interesse legítimo, a transferência só deverá ser efetuada a pedido dessas pessoas ou, caso estas sejam os destinatários, tendo plenamente em conta os interesses e os direitos fundamentais do titular dos dados.

(69)

Essas derrogações deverão ser aplicáveis, em especial, às transferências de dados exigidas e necessárias por razões importantes de interesse público, nomeadamente em caso de intercâmbio internacional de dados entre instituições e órgãos da União e autoridades da concorrência, administrações fiscais ou aduaneiras, autoridades de supervisão financeira e serviços competentes em matéria de segurança social ou de saúde pública, por exemplo em caso de localização de contactos por doenças contagiosas ou para reduzir e/ou eliminar a dopagem no desporto. Deverão igualmente ser consideradas lícitas as transferências de dados pessoais que sejam necessárias para a proteção de um interesse essencial para os interesses vitais do titular dos dados ou de outra pessoa, nomeadamente a integridade física ou a vida, se o titular dos dados estiver impossibilitado de dar o seu consentimento. Na falta de uma decisão de adequação, o direito da União pode estabelecer expressamente, por razões importantes de interesse público, limites à transferência de categorias específicas de dados para países terceiros ou organizações internacionais. As transferências para uma organização humanitária internacional de dados pessoais de um titular que seja física ou legalmente incapaz de dar o seu consentimento, com vista ao desempenho de missões ao abrigo das Convenções de Genebra, ou para cumprir o direito internacional humanitário aplicável aos conflitos armados, poderão ser consideradas necessárias por uma razão importante de interesse público ou por serem do interesse vital do titular dos dados.

(70)

Em qualquer caso, se a Comissão não tiver tomado uma decisão relativamente ao nível adequado de proteção de dados num determinado país terceiro, o responsável pelo tratamento ou o subcontratante deverá adotar soluções que confiram aos titulares dos dados direitos efetivos e oponíveis quanto ao tratamento dos seus dados na União, após a transferência dos mesmos, que lhes garantam que continuarão a beneficiar dos direitos e das garantias fundamentais.

(71)

No caso de transferências transnacionais de dados pessoais para fora do território da União, o risco de que as pessoas singulares não possam exercer os seus direitos à proteção de dados, nomeadamente para se protegerem da utilização ou da divulgação ilícitas dessas informações, aumenta. Paralelamente, as autoridades nacionais de controlo, incluindo a Autoridade Europeia para a Proteção de Dados, podem não conseguir dar seguimento a reclamações ou realizar investigações relacionadas com atividades exercidas fora das suas fronteiras. Os seus esforços para colaborar no contexto transfronteiriço podem ser também restringidos por poderes preventivos ou de reparação insuficientes, por regimes jurídicos incoerentes e por obstáculos práticos, tais como a limitação de recursos. Por conseguinte, deverá ser promovida uma cooperação mais estreita entre a Autoridade Europeia para a Proteção de Dados e as autoridades nacionais de controlo, a fim de facilitar o intercâmbio de informações com as suas homólogas internacionais.

(72)

A criação pelo Regulamento (CE) n.o 45/2001 da Autoridade Europeia para a Proteção de Dados, que está habilitada a desempenhar as suas funções e a exercer os seus poderes com total independência, constitui um elemento essencial da proteção das pessoas singulares no que diz respeito ao tratamento dos seus dados pessoais. O presente regulamento deverá reforçar e clarificar o seu papel e a sua independência. A Autoridade Europeia para a Proteção de Dados deverá ser uma pessoa que ofereça todas as garantias de independência e que disponha reconhecidamente da experiência e da competência necessárias para o desempenho das funções de Autoridade Europeia para a Proteção de Dados, por exemplo, por ter pertencido às autoridades de controlo criadas ao abrigo do artigo 51.o do Regulamento (UE) 2016/679.

(73)

A fim de assegurar o controlo e a aplicação coerentes das regras de proteção de dados em toda a União, a Autoridade Europeia para a Proteção de Dados tem as mesmas funções e os mesmos poderes efetivos que as autoridades nacionais de controlo, incluindo poderes de investigação, poderes de correção e poderes sancionatórios, e poderes consultivos e de autorização, nomeadamente em caso de reclamações apresentadas por pessoas singulares, poderes para submeter as violações do presente regulamento à apreciação do Tribunal de Justiça e poderes para intentar processos judiciais, em conformidade com o direito primário. Esses poderes deverão incluir o poder de impor uma limitação temporária ou definitiva do tratamento, ou mesmo a sua proibição. A fim de evitar custos supérfluos e inconvenientes excessivos para as pessoas em causa que possam ser prejudicadas, as medidas da Autoridade Europeia para a Proteção de Dados deverão ser adequadas, necessárias e proporcionadas a fim de garantir a conformidade com o presente regulamento, deverão ter em conta as circunstâncias de cada caso concreto e deverão respeitar o direito de todas as pessoas a serem ouvidas antes de serem tomadas. As medidas juridicamente vinculativas da Autoridade Europeia para a Proteção de Dados deverão ser emitidas por escrito, ser claras e inequívocas, indicar a data de emissão, ostentar a assinatura da Autoridade Europeia para a Proteção de Dados, indicar os motivos que as justificam e mencionar o direito de recurso efetivo.

(74)

A competência de controlo da Autoridade Europeia para a Proteção de Dados não deverá abranger o tratamento de dados pessoais efetuado pelo Tribunal de Justiça quando este atue no exercício dos seus poderes jurisdicionais, a fim de assegurar a independência do Tribunal de Justiça no exercício da sua função jurisdicional, nomeadamente a tomada de decisões. Em relação a essas operações de tratamento, o Tribunal de Justiça deverá estabelecer um controlo independente, nos termos do artigo 8.o, n.o 3, da Carta, por exemplo, através de um mecanismo interno.

(75)

As decisões da Autoridade Europeia para a Proteção da Dados relacionadas com exceções, garantias, autorizações e condições relativas a certos tratamentos de dados, tal como definidas no presente regulamento, deverão ser publicadas no relatório de atividades. Independentemente da publicação anual de um relatório de atividades, a Autoridade Europeia para a Proteção da Dados poderá publicar relatórios sobre questões específicas.

(76)

A Autoridade Europeia para a Proteção da Dados deverá cumprir o disposto no Regulamento (CE) n.o 1049/2001 do Parlamento Europeu e do Conselho (9).

(77)

As autoridades nacionais de controlo controlam a aplicação das disposições do Regulamento (UE) 2016/679 e contribuem para a sua aplicação coerente em toda a União, a fim de proteger as pessoas singulares no que diz respeito ao tratamento dos seus dados pessoais e facilitar a livre circulação desses dados a nível do mercado interno. Para reforçar a coerência na aplicação das regras de proteção de dados aplicáveis nos Estados-Membros e das regras de proteção de dados aplicáveis às instituições e aos órgãos da União, a Autoridade Europeia para a Proteção de Dados deverá cooperar de modo eficaz com as autoridades nacionais de controlo.

(78)

Em determinadas situações, o direito da União prevê um modelo de controlo coordenado, partilhado entre a Autoridade Europeia para a Proteção de Dados e as autoridades nacionais de controlo. A Autoridade Europeia para a Proteção da Dados é igualmente a autoridade de controlo da Europol e, para esse efeito, foi estabelecido um modelo de cooperação específico com as autoridades nacionais de controlo através da criação de um conselho de cooperação com uma função consultiva. Para melhorar o controlo efetivo e a aplicação de regras materiais de proteção de dados, deverá ser introduzido na União um modelo único e coerente de controlo coordenado. A Comissão deverá, portanto, apresentar propostas legislativas, quando apropriado, tendo em vista alterar os atos normativos da União que prevejam um modelo de controlo coordenado, a fim de os alinhar pelo modelo de controlo coordenado do presente regulamento. O Comité Europeu para a Proteção de Dados deverá ser uma instância única para garantir a eficácia do controlo coordenado.

(79)

Os titulares dos dados deverão ter o direito de apresentar reclamações à Autoridade Europeia para a Proteção de Dados e o direito de intentar uma ação judicial junto do Tribunal de Justiça, nos termos dos Tratados, se considerarem que os direitos que lhes são conferidos pelo presente regulamento foram violados ou se a Autoridade Europeia para a Proteção de Dados não responder a uma reclamação, a recusar ou a rejeitar, total ou parcialmente, ou não tomar as medidas necessárias para proteger os seus direitos. A investigação decorrente de uma reclamação deverá ser realizada, sob reserva de controlo jurisdicional, na medida adequada ao caso específico. A Autoridade Europeia para a Proteção de Dados deverá informar o titular dos dados da evolução e do resultado da reclamação num prazo razoável. Se o caso exigir a coordenação com outra autoridade nacional de controlo, deverão ser fornecidas informações intercalares ao titular dos dados. A Autoridade Europeia para a Proteção de Dados deverá tomar medidas para facilitar a apresentação de reclamações, nomeadamente fornecendo formulários de reclamação que possam também ser preenchidos eletronicamente, sem excluir outros meios de comunicação.

(80)

As pessoas que tenham sofrido danos materiais ou imateriais devido a uma violação do presente regulamento deverão ter o direito a receber uma indemnização do responsável pelo tratamento ou do subcontratante pelos danos sofridos, nas condições previstas nos Tratados.

(81)

A fim de reforçar o papel de controlo da Autoridade Europeia para a Proteção de Dados e a aplicação efetiva do presente regulamento, a referida autoridade deverá, como medida de último recurso, ter competência para impor coimas. Tais coimas deverão ter por objetivo sancionar a instituição ou o órgão da União — e não pessoas singulares — pela inobservância do presente regulamento, impedir futuras violações do mesmo e promover uma cultura de proteção de dados pessoais no âmbito das instituições e dos órgãos da União. O presente regulamento deverá indicar as infrações sujeitas a coimas, bem como os montantes máximos e os critérios para definir as coimas delas decorrentes. A Autoridade Europeia para a Proteção de Dados deverá determinar o montante máximo da coima em cada caso concreto, tendo em conta todas as circunstâncias relevantes da situação específica, ponderando devidamente a natureza, a gravidade e a duração da infração e as suas consequências, bem como as medidas adotadas para garantir o cumprimento das obrigações constantes do presente regulamento e para prevenir ou atenuar as consequências dessa infração. Aquando da aplicação de uma coima a uma instituição ou a um órgão da União, a Autoridade Europeia para a Proteção de Dados deverá ter em conta a proporcionalidade do montante da coima. O procedimento administrativo para a aplicação de coimas a instituições e órgãos da União deverá respeitar os princípios gerais do direito da União, tal como interpretados pelo Tribunal de Justiça.

(82)

Se o titular dos dados considerar que os direitos que lhe são conferidos pelo presente regulamento foram violados, deverá ter o direito de mandatar um organismo, uma organização ou uma associação sem fins lucrativos que seja constituído ao abrigo do direito da União ou do direito de um Estado-Membro, cujos objetivos estatutários sejam de interesse público e que exerça a sua atividade no domínio da proteção dos dados pessoais, para apresentar uma reclamação em seu nome junto da Autoridade Europeia para a Proteção de Dados. Tal organismo, organização ou associação deverá também poder exercer o direito de intentar ações judiciais ou de obter uma indemnização em nome dos titulares dos dados.

(83)

Os funcionários ou outros agentes da União que não cumpram as obrigações decorrentes do presente regulamento deverão ser passíveis de sanções disciplinares ou de outras medidas, nos termos das regras e dos procedimentos estabelecidos no Estatuto dos Funcionários da União Europeia e do Regime Aplicável aos Outros Agentes da União Europeia, constante do Regulamento (CEE, Euratom, CECA) n.o 259/68 do Conselho (10) («Estatuto dos Funcionários»).

(84)

A fim de assegurar condições uniformes para a execução do presente regulamento, deverão ser atribuídas competências de execução à Comissão. Essas competências deverão ser exercidas nos termos do Regulamento (UE) n.o 182/2011 do Parlamento Europeu e do Conselho (11). O procedimento de exame deverá ser utilizado para a adoção de cláusulas contratuais-tipo entre os responsáveis pelo tratamento e os subcontratantes, e entre os subcontratantes, para a adoção de uma lista das operações de tratamento que requerem a consulta prévia da Autoridade Europeia para a Proteção de Dados pelos responsáveis pelo tratamento de dados pessoais para a execução de uma missão de interesse público e para a adoção de cláusulas contratuais-tipo que estabelecem as garantias adequadas para transferências internacionais.

(85)

As informações confidenciais que a União e as autoridades nacionais de estatística recolhem para a produção de estatísticas oficiais europeias e nacionais deverão ser protegidas. Deverão ser concebidas, elaboradas e divulgadas estatísticas europeias de acordo com os princípios estatísticos enunciados no artigo 338.o, n.o 2, do TFUE. O Regulamento (CE) n.o 223/2009 do Parlamento Europeu e do Conselho (12) prevê especificações suplementares em matéria de segredo estatístico aplicáveis às estatísticas europeias.

(86)

O Regulamento (CE) n.o 45/2001 e a Decisão n.o 1247/2002/CE do Parlamento Europeu, do Conselho e da Comissão (13) deverão ser revogados. As referências ao regulamento e à decisão revogados deverão ser entendidas como referências ao presente regulamento.

(87)

A fim de garantir a plena independência dos membros da autoridade independente de controlo, os mandatos da atual Autoridade Europeia para a Proteção de Dados e da atual Autoridade Adjunta não deverão ser afetados pelo presente regulamento. A atual Autoridade Adjunta deverá permanecer em funções até ao final do seu mandato, a não ser que se verifique uma das condições para a cessação antecipada do mandato da Autoridade Europeia para a Proteção de Dados estabelecidas no presente regulamento. As disposições relevantes do presente regulamento deverão aplicar-se à Autoridade Adjunta até ao termo do seu mandato.

(88)

De acordo com o princípio da proporcionalidade, para alcançar o objetivo fundamental de garantir um nível equivalente de proteção das pessoas singulares no que respeita à proteção dos dados pessoais e à livre circulação de dados pessoais na União, é necessário e conveniente estabelecer regras sobre o tratamento de dados pessoais nas instituições e nos órgãos da União. O presente regulamento não excede o necessário para alcançar os objetivos previstos, nos termos do artigo 5.o, n.o 4, do TUE.

(89)

A Autoridade Europeia para a Proteção de Dados foi consultada nos termos do artigo 28.o, n.o 2, do Regulamento (CE) n.o 45/2001 e emitiu parecer em 15 de março de 2017 (14),