RGPD Regulamento

Capítulo I - Disposições Gerais

O texto abaixo já está de acordo com a  Retificação do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016)

Artigo 1 – Objeto e objetivos

  1. O presente regulamento estabelece as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.
  2. O presente regulamento defende os direitos e as liberdades fundamentais das pessoas singulares, nomeadamente o seu direito à proteção dos dados pessoais.
  3. A livre circulação de dados pessoais no interior da União não é restringida nem proibida por motivos relacionados com a proteção das pessoas singulares no que respeita ao tratamento de dados pessoais.

Artigo 2 – Âmbito de aplicação material

  1. O presente regulamento aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados.
  2. O presente regulamento não se aplica ao tratamento de dados pessoais:
    1. Efetuado no exercício de atividades não sujeitas à aplicação do direito da União;
    2. Efetuado pelos Estados-Membros no exercício de atividades abrangidas pelo âmbito de aplicação do título V, capítulo 2, do TUE;
    3. Efetuado por uma pessoa singular no exercício de atividades exclusivamente pessoais ou domésticas;
    4. Efetuado pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou da execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública.
  3. O Regulamento (CE) nº 45/2001 aplica-se ao tratamento de dados pessoais pelas instituições, órgãos, organismos ou agências da União. O Regulamento (CE) nº 45/2001, bem como outros atos jurídicos da União aplicáveis ao tratamento de dados pessoais, são adaptados aos princípios e regras do presente regulamento nos termos previstos no artigo 98º.
  4. O presente regulamento não prejudica a aplicação da Diretiva 2000/31/CE, nomeadamente as normas em matéria de responsabilidade dos prestadores intermediários de serviços previstas nos seus artigos 12º a 15º.

Artigo 3 – Âmbito de aplicação territorial

  1. O presente regulamento aplica-se ao tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento de um responsável pelo tratamento ou de um subcontratante situado no território da União, independentemente de o tratamento ocorrer dentro ou fora da União.
  2. O presente regulamento aplica-se ao tratamento de dados pessoais de titulares que se
    encontrem no território da União, efetuado por um responsável pelo tratamento ou
    subcontratante não estabelecido na União, quando as atividades de tratamento estejam
    relacionadas com:
    1. A oferta de bens ou serviços a esses titulares de dados na União, independentemente da exigência de os titulares dos dados procederem a um pagamento;
    2. O controlo do seu comportamento, desde que esse comportamento tenha lugar na União.
  3. O presente regulamento aplica-se ao tratamento de dados pessoais por um responsável pelo tratamento estabelecido não na União, mas num lugar em que se aplique o direito de um Estado-Membro por força do direito internacional público.

Artigo 4 – Definições

Para efeitos do presente regulamento, entende-se por:

  1. «Dados pessoais», informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;
  2. «Tratamento», uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;
  3. «Limitação do tratamento», a inserção de uma marca nos dados pessoais conservados com o objetivo de limitar o seu tratamento no futuro;
  4. «Definição de perfis», qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados pessoais para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho profissional, a sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocações;
  5. «Pseudonimização», o tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável;
  6. «Ficheiro», qualquer conjunto estruturado de dados pessoais, acessível segundo critérios específicos, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico;
  7. «Responsável pelo tratamento», a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado-Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado-Membro;
  8. «Subcontratante», uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes;
  9. «Destinatário», uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que recebem comunicações de dados pessoais, independentemente de se tratar ou não de um terceiro. Contudo, as autoridades públicas que possam receber dados pessoais no âmbito de inquéritos específicos nos termos do direito da União ou dos Estados-Membros não são consideradas destinatários; o tratamento desses dados por essas autoridades públicas deve cumprir as regras de proteção de dados aplicáveis em função das finalidades do tratamento; 
  10. «Terceiro», a pessoa singular ou coletiva, a autoridade pública, o serviço ou organismo que não seja o titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar os dados pessoais;
  11. «Consentimento» do titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento;
  12. «Violação de dados pessoais», uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento;
  13. «Dados genéticos», os dados pessoais relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa singular que deem informações únicas sobre a fisiologia ou a saúde dessa pessoa singular e que resulta designadamente de uma análise de uma amostra biológica proveniente da pessoa singular em causa;
  14. «Dados biométricos», dados pessoais resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa singular, nomeadamente imagens faciais ou dados dactiloscópicos;
  15. «Dados relativos à saúde», dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde;
  16. «Estabelecimento principal»:
    1. No que se refere a um responsável pelo tratamento com estabelecimentos em vários Estados-Membros, o local onde se encontra a sua administração central na União, a menos que as decisões sobre as finalidades e os meios de tratamento dos dados pessoais sejam tomadas noutro estabelecimento do responsável pelo tratamento na União e este último estabelecimento tenha competência para mandar executar tais decisões, sendo neste caso o estabelecimento que tiver tomado as referidas decisões considerado estabelecimento principal;
    2. No que se refere a um subcontratante com estabelecimentos em vários Estados-Membros, o local onde se encontra a sua administração central na União ou, caso o subcontratante não tenha administração central na União, o estabelecimento do subcontratante na União onde são exercidas as principais atividades de tratamento no contexto das atividades de um estabelecimento do subcontratante, na medida em que se encontre sujeito a obrigações específicas nos termos do presente regulamento; 
  17. «Representante», uma pessoa singular ou coletiva estabelecida na União que, designada por escrito pelo responsável pelo tratamento ou subcontratante, nos termos do artigo 27º, representa o responsável pelo tratamento ou o subcontratante no que se refere às suas obrigações respetivas nos termos do presente regulamento;
  18. «Empresa», uma pessoa singular ou coletiva que, independentemente da sua forma jurídica, exerce uma atividade económica, incluindo as sociedades ou associações que exercem regularmente uma atividade económica;
  19. «Grupo empresarial», um grupo composto pela empresa que exerce o controlo e pelas empresas controladas;
  20. «Regras vinculativas aplicáveis às empresas», as regras internas de proteção de dados pessoais aplicadas por um responsável pelo tratamento ou um subcontratante estabelecido no território de um Estado-Membro para as transferências ou conjuntos de transferências de dados pessoais para um responsável ou subcontratante num ou mais países terceiros, dentro de um grupo empresarial ou de um grupo de empresas envolvidas numa atividade económica conjunta;
  21. «Autoridade de controlo», uma autoridade pública independente criada por um Estado-Membro nos termos do artigo 51º;
  22. «Autoridade de controlo interessada», uma autoridade de controlo afetada pelo tratamento de dados pessoais pelo facto de:
    1. O responsável pelo tratamento ou o subcontratante estar estabelecido no território do Estado-Membro dessa autoridade de controlo;
    2. Os titulares de dados que residem no Estado-Membro dessa autoridade de controlo serem substancialmente afetados, ou suscetíveis de o ser, pelo tratamento dos dados;
    3. Ter sido apresentada uma reclamação junto dessa autoridade de controlo;
  23. «Tratamento transfronteiriço»:
    1. O tratamento de dados pessoais que ocorre no contexto das atividades de estabelecimentos em mais do que um Estado-Membro de um responsável pelo tratamento ou um subcontratante na União, caso o responsável pelo tratamento ou o subcontratante esteja estabelecido em mais do que um Estado-Membro;
    2. O tratamento de dados pessoais que ocorre no contexto das atividades de um único estabelecimento de um responsável pelo tratamento ou de um subcontratante, mas que afeta substancialmente, ou é suscetível de afetar substancialmente, titulares de dados em mais do que um Estados-Membro;
  24. «Objeção pertinente e fundamentada», uma objeção a um projeto de decisão que visa determinar se há violação do presente regulamento ou se a ação prevista relativamente ao responsável pelo tratamento ou ao subcontratante está em conformidade com o presente regulamento, demonstrando claramente a gravidade dos riscos que advêm do projeto de decisão para os direitos e liberdades fundamentais dos titulares dos dados e, eventualmente, para a livre circulação de dados pessoais no território da União;
  25. «Serviços da sociedade da informação», um serviço definido no artigo 1º, nº 1, alínea b), da Diretiva (UE)2015/1535 do Parlamento Europeu e do Conselho;
  26. «Organização internacional», uma organização e os organismos de direito internacional público por ela tutelados, ou outro organismo criado por um acordo celebrado entre dois ou mais países ou com base num acordo dessa natureza.

Capítulo II - Princípios

Artigo 5 – Princípios relativos ao tratamento de dados pessoais

  1. Os dados pessoais são:
    1. Objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados («licitude, lealdade e transparência»);
    2. Recolhidos para finalidades determinadas, explícitas e legítimas e não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades; o tratamento posterior para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, não é considerado incompatível com as finalidades iniciais, em conformidade com o artigo 89º, nº 1 («limitação das finalidades»);
    3. Adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados («minimização dos dados»);
    4. Exatos e atualizados sempre que necessário; devem ser adotadas todas as medidas adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora («exatidão»);
    5. Conservados de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados; os dados pessoais podem ser conservados durante períodos mais longos, desde que sejam tratados exclusivamente para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, em conformidade com o artigo 89º, nº 1, sujeitos à aplicação das medidas técnicas e organizativas adequadas exigidas pelo presente regulamento, a fim de salvaguardar os direitos e liberdades do titular dos dados («limitação da conservação»);
    6. Tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas adequadas («integridade e confidencialidade»);
  2. O responsável pelo tratamento é responsável pelo cumprimento do disposto no nº 1 e tem de poder comprová-lo («responsabilidade»).

Artigo 6 – Licitude do tratamento

  1. O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:
    1. O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas;
    2. O tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados;
    3. O tratamento for necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito;
    4. O tratamento for necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular;
    5. O tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento;
    6. O tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.
    7. O primeiro parágrafo, alínea f), não se aplica ao tratamento de dados efetuado por autoridades públicas na prossecução das suas atribuições por via eletrónica.
  2. Os Estados-Membros podem manter ou aprovar disposições mais específicas com o objetivo de adaptar a aplicação das regras do presente regulamento no que diz respeito ao tratamento de dados para o cumprimento do nº 1, alíneas c) e e), determinando, de forma mais precisa, requisitos específicos para o tratamento e outras medidas destinadas a garantir a licitude e lealdade do tratamento, inclusive para outras situações específicas de tratamento em conformidade com o capítulo IX.
  3. O fundamento jurídico para o tratamento referido no nº 1, alíneas c) e e), é definido:
    1. Pelo direito da União;
    2. Pelo direito do Estado-Membro ao qual o responsável pelo tratamento está sujeito. 
    3. A finalidade do tratamento é determinada com esse fundamento jurídico ou, no que respeita ao tratamento referido no nº 1, alínea e), deve ser necessária ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento. Esse fundamento jurídico pode prever disposições específicas para adaptar a aplicação das regras do presente regulamento, nomeadamente: as condições gerais de licitude do tratamento pelo responsável pelo seu tratamento; os tipos de dados objeto de tratamento; os titulares dos dados em questão; as entidades a que os dados pessoais poderão ser comunicados e para que efeitos; os limites a que as finalidades do tratamento devem obedecer; os prazos de conservação; e as operações e procedimentos de tratamento, incluindo as medidas destinadas a garantir a legalidade e lealdade do tratamento, como as medidas relativas a outras situações específicas de tratamento em conformidade com o capítulo IX. O direito da União ou do Estado-Membro deve responder a um objetivo de interesse público e ser proporcional ao objetivo legítimo prosseguido.
  4. Quando o tratamento para fins que não sejam aqueles para os quais os dados pessoais foram recolhidos não for realizado com base no consentimento do titular dos dados ou em disposições do direito da União ou dos Estados-Membros que constituam uma medida necessária e proporcionada numa sociedade democrática para salvaguardar os objetivos referidos no artigo 23º, nº 1, o responsável pelo tratamento, a fim de verificar se o tratamento para outros fins é compatível com a finalidade para a qual os dados pessoais foram inicialmente recolhidos, tem nomeadamente em conta:
    1. Qualquer ligação entre a finalidade para a qual os dados pessoais foram recolhidos e a finalidade do tratamento posterior;
    2. O contexto em que os dados pessoais foram recolhidos, em particular no que respeita à relação entre os titulares dos dados e o responsável pelo seu tratamento;
    3. A natureza dos dados pessoais, em especial se as categorias especiais de dados pessoais forem tratadas nos termos do artigo 9º, ou se os dados pessoais relacionados com condenações penais e infrações forem tratados nos termos do artigo 10º;
    4. As eventuais consequências do tratamento posterior pretendido para os titulares dos dados;
    5. A existência de salvaguardas adequadas, que podem ser a cifragem ou a pseudonimização.

Artigo 7 – Condições aplicáveis ao consentimento

  1. Quando o tratamento for realizado com base no consentimento, o responsável pelo tratamento deve poder demonstrar que o titular dos dados deu o seu consentimento para o tratamento dos seus dados pessoais.
  2. Se o consentimento do titular dos dados for dado no contexto de uma declaração escrita que diga também respeito a outros assuntos, o pedido de consentimento deve ser apresentado de uma forma que o distinga claramente desses outros assuntos de modo inteligível e de fácil acesso e numa linguagem clara e simples. Não é vinculativa qualquer parte dessa declaração que constitua violação do presente regulamento.
  3. O titular dos dados tem o direito de retirar o seu consentimento a qualquer momento. A retirada do consentimento não compromete a licitude do tratamento efetuado com base no consentimento previamente dado. Antes de dar o seu consentimento, o titular dos dados é informado desse facto. O consentimento deve ser tão fácil de retirar quanto de dar.
  4. Ao avaliar se o consentimento é dado livremente, há que verificar com a máxima atenção se, designadamente, a execução de um contrato, inclusive a prestação de um serviço, está subordinada ao consentimento para o tratamento de dados pessoais que não é necessário para a execução desse contrato.

Artigo 8 – Condições aplicáveis ao consentimento de crianças em relação aos serviços da sociedade da informação

  1. Quando for aplicável o artigo 6º, nº 1, alínea a), no que respeita à oferta direta de serviços da sociedade da informação às crianças, dos dados pessoais de crianças é lícito se elas tiverem pelo menos 16 anos. Caso a criança tenha menos de 16 anos, o tratamento só é lícito se e na medida em que o consentimento seja dado ou autorizado pelos titulares das responsabilidades parentais da criança. (Os Estados-Membros podem dispor no seu direito uma idade inferior para os efeitos referidos, desde que essa idade não seja inferior a 13 anos)
  2. Nesses casos, o responsável pelo tratamento envida todos os esforços adequados para verificar que o consentimento foi dado ou autorizado pelo titular das responsabilidades parentais da criança, tendo em conta a tecnologia disponível.
  3. O disposto no nº 1 não afeta o direito contratual geral dos Estados-Membros, como as disposições que regulam a validade, a formação ou os efeitos de um contrato em relação a uma criança.

Artigo 9 – Tratamento de categorias especiais de dados pessoais

  1. É proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.
  2. O disposto no nº 1 não se aplica se se verificar um dos seguintes casos:
    1. Se o titular dos dados tiver dado o seu consentimento explícito para o tratamento desses dados pessoais para uma ou mais finalidades específicas, exceto se o direito da União ou de um Estado-Membro previr que a proibição a que se refere o nº 1 não pode ser anulada pelo titular dos dados;
    2. Se o tratamento for necessário para efeitos do cumprimento de obrigações e do exercício de direitos específicos do responsável pelo tratamento ou do titular dos dados em matéria de legislação laboral, de segurança social e de proteção social, na medida em que esse tratamento seja permitido pelo direito da União ou dos Estados-Membros ou ainda por uma convenção coletiva nos termos do direito dos Estados-Membros que preveja garantias adequadas dos direitos fundamentais e dos interesses do titular dos dados;
    3. Se o tratamento for necessário para proteger os interesses vitais do titular dos dados ou de outra pessoa singular, no caso de o titular dos dados estar física ou legalmente incapacitado de dar o seu consentimento;
    4. Se o tratamento for efetuado, no âmbito das suas atividades legítimas e mediante garantias adequadas, por uma fundação, associação ou qualquer outro organismo sem fins lucrativos e que prossiga fins políticos, filosóficos, religiosos ou sindicais, e desde que esse tratamento se refira exclusivamente aos membros ou antigos membros desse organismo ou a pessoas que com ele tenham mantido contactos regulares relacionados com os seus objetivos, e que os dados pessoais não sejam divulgados a terceiros sem o consentimento dos seus titulares;
    5. Se o tratamento se referir a dados pessoais que tenham sido manifestamente tornados públicos pelo seu titular;
    6. Se o tratamento for necessário à declaração, ao exercício ou à defesa de um direito num processo judicial ou sempre que os tribunais atuem no exercício da suas função jurisdicional;
    7. Se o tratamento for necessário por motivos de interesse público importante, com base no direito da União ou de um Estado-Membro, que deve ser proporcional ao objetivo visado, respeitar a essência do direito à proteção dos dados pessoais e prever medidas adequadas e específicas que salvaguardem os direitos fundamentais e os interesses do titular dos dados;
    8. Se o tratamento for necessário para efeitos de medicina preventiva ou do trabalho, para a avaliação da capacidade de trabalho do empregado, o diagnóstico médico, a prestação de cuidados ou tratamentos de saúde ou de ação social ou a gestão de sistemas e serviços de saúde ou de ação social com base no direito da União ou dos Estados-Membros ou por força de um contrato com um profissional de saúde, sob reserva das condições e garantias previstas no nº 3;
    9. Se o tratamento for necessário por motivos de interesse público no domínio da saúde pública, tais como a proteção contra ameaças transfronteiriças graves para a saúde ou para assegurar um elevado nível de qualidade e de segurança dos cuidados de saúde e dos medicamentos ou dispositivos médicos, com base no direito da União ou dos Estados-Membros que preveja medidas adequadas e específicas que salvaguardem os direitos e liberdades do titular dos dados, em particular o sigilo profissional;
    10. Se o tratamento for necessário para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, em conformidade com o artigo 89º, nº 1, com base no direito da União ou de um Estado-Membro, que deve ser proporcional ao objetivo visado, respeitar a essência do direito à proteção dos dados pessoais e prever medidas adequadas e específicas para a defesa dos direitos fundamentais e dos interesses do titular dos dados.
    11. Os dados pessoais referidos no nº 1 podem ser tratados para os fins referidos no nº 2, alínea h), se os dados forem tratados por ou sob a responsabilidade de um profissional sujeito à obrigação de sigilo profissional, nos termos do direito da União ou dos Estados-Membros ou de regulamentação estabelecida pelas autoridades nacionais competentes, ou por outra pessoa igualmente sujeita a uma obrigação de confidencialidade ao abrigo do direito da União ou dos Estados-Membros ou de regulamentação estabelecida pelas autoridades nacionais competentes.
    12. Os Estados-Membros podem manter ou impor novas condições, incluindo limitações, no que respeita ao tratamento de dados genéticos, dados biométricos ou dados relativos à saúde.

Artigo 10 – Tratamento de dados pessoais relacionados com condenações penais e infrações

O tratamento de dados pessoais relacionados com condenações penais e infrações ou com medidas de segurança conexas com base no artigo 6º, nº 1, só é efetuado sob o controlo de uma autoridade pública ou se o tratamento for autorizado por disposições do direito da União ou de um Estado-Membro que prevejam garantias adequadas para os direitos e liberdades dos titulares dos dados. Os registos completos das condenações penais só são conservados sob o controlo das autoridades públicas.

Artigo 11 – Tratamento que não exige identificação

  1. Se as finalidades para as quais se proceder ao tratamento de dados pessoais não exigirem ou tiverem deixado de exigir a identificação do titular dos dados por parte do responsável pelo seu tratamento, este último não é obrigado a manter, obter ou tratar informações suplementares para identificar o titular dos dados com o único objetivo de dar cumprimento ao presente regulamento.
  2. Quando, nos casos referidos no nº 1 do presente artigo, o responsável pelo tratamento possa demonstrar que não está em condições de identificar o titular dos dados, informa-o, se possível, desse facto. Nesses casos, os artigos 15º a 20º não são aplicáveis, exceto se o titular dos dados, com a finalidade de exercer os seus direitos ao abrigo dos referidos artigos, fornecer informações adicionais que permitam a sua identificação.

Capítulo III - Direitos do titular dos dados

Artigo 12 – Transparência das informações, das comunicações e das regras para exercício dos direitos dos titulares dos dados

  1. O responsável pelo tratamento toma as medidas adequadas para fornecer ao titular as informações a que se referem os artigos 13º e 14º e qualquer comunicação prevista nos artigos 15º a 22º e 34º a respeito do tratamento, de forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples, em especial quando as informações são dirigidas especificamente a crianças. As informações são prestadas por escrito ou por outros meios, incluindo, se for caso disso, por meios eletrónicos. Se o titular dos dados o solicitar, a informação pode ser prestada oralmente, desde que a identidade do titular seja comprovada por outros meios.
  2. O responsável pelo tratamento facilita o exercício dos direitos do titular dos dados nos termos dos artigos 15º a 22º. Nos casos a que se refere o artigo 11º, nº 2, o responsável pelo tratamento não pode recusar-se a dar seguimento ao pedido do titular no sentido de exercer os seus direitos ao abrigo dos artigos 15º a 22º, exceto se demonstrar que não está em condições de identificar o titular dos dados.
  3. O responsável pelo tratamento fornece ao titular as informações sobre as medidas tomadas, mediante pedido apresentado nos termos dos artigos 15º a 20º, sem demora injustificada e no prazo de um mês a contar da data de receção do pedido. Esse prazo pode ser prorrogado até dois meses, quando for necessário, tendo em conta a complexidade do pedido e o número de pedidos. O responsável pelo tratamento informa o titular dos dados de alguma prorrogação e dos motivos da demora no prazo de um mês a contar da data de receção do pedido. Se o titular dos dados apresentar o pedido por meios eletrónicos, a informação é, sempre que possível, fornecida por meios eletrónicos, salvo pedido em contrário do titular.
  4. Se o responsável pelo tratamento não der seguimento ao pedido apresentado pelo titular dos dados, informa-o sem demora e, o mais tardar, no prazo de um mês a contar da data de receção do pedido, das razões que o levaram a não tomar medidas e da possibilidade de apresentar reclamação a uma autoridade de controlo e intentar ação judicial.
  5. As informações fornecidas nos termos dos artigos 13º e 14º e quaisquer comunicações e medidas tomadas nos termos dos artigos 15º a 22º e 34º são fornecidas a título gratuito. Se os pedidos apresentados por um titular de dados forem manifestamente infundados ou excessivos, nomeadamente devido ao seu caráter repetitivo, o responsável pelo tratamento pode:
    1. Exigir o pagamento de uma taxa razoável tendo em conta os custos administrativos do fornecimento das informações ou da comunicação, ou de tomada das medidas solicitadas;
    2. Recusar-se a dar seguimento ao pedido.
    3. Cabe ao responsável pelo tratamento demonstrar o caráter manifestamente infundado ou excessivo do pedido.
  6. Sem prejuízo do artigo 11º, quando o responsável pelo tratamento tiver dúvidas razoáveis quanto à identidade da pessoa singular que apresenta o pedido a que se referem os artigos 15º a 21º, pode solicitar que lhe sejam fornecidas as informações adicionais que forem necessárias para confirmar a identidade do titular dos dados.
  7. As informações a fornecer pelos titulares dos dados nos termos dos artigos 13º e 14º podem ser dadas em combinação com ícones normalizados a fim de dar, de uma forma facilmente visível, inteligível e claramente legível, uma perspetiva geral significativa do tratamento previsto. Se forem apresentados por via eletrónica, os ícones devem ser de leitura automática.
  8. A Comissão fica habilitada a adotar atos delegados nos termos do artigo 92º, a fim de determinar quais as informações a fornecer por meio dos ícones e os procedimentos aplicáveis ao fornecimento de ícones normalizados.

Artigo 13 – Informações a facultar quando os dados pessoais são recolhidos junto do titular

  1. Quando os dados pessoais forem recolhidos junto do titular, o responsável pelo tratamento faculta-lhe, aquando da recolha desses dados pessoais, as seguintes informações:
    1. A identidade e os contactos do responsável pelo tratamento e, se for caso disso, do seu representante;
    2. Os contactos do encarregado da proteção de dados, se for caso disso;
    3. As finalidades do tratamento a que os dados pessoais se destinam, bem como o fundamento jurídico para o tratamento;
    4. Se o tratamento dos dados se basear no artigo 6º, nº 1, alínea f), os interesses legítimos do responsável pelo tratamento ou de um terceiro;
    5. Os destinatários ou categorias de destinatários dos dados pessoais, se os houver;
    6. Se for caso disso, o facto de o responsável pelo tratamento tencionar transferir dados pessoais para um país terceiro ou uma organização internacional, e a existência ou não de uma decisão de adequação adotada pela Comissão ou, no caso das transferências mencionadas nos artigos 46º ou 47º, ou no artigo 49º, nº 1, segundo parágrafo, a referência às garantias apropriadas ou adequadas e aos meios de obter cópia das mesmas, ou onde foram disponibilizadas.
  2. Para além das informações referidas no nº 1, aquando da recolha dos dados pessoais, o responsável pelo tratamento fornece ao titular as seguintes informações adicionais, necessárias para garantir um tratamento equitativo e transparente:
    1. Prazo de conservação dos dados pessoais ou, se não for possível, os critérios usados para definir esse prazo;
    2. A existência do direito de solicitar ao responsável pelo tratamento acesso aos dados pessoais que lhe digam respeito, bem como a sua retificação ou o seu apagamento, e a limitação do tratamento no que disser respeito ao titular dos dados, ou do direito de se opor ao tratamento, bem como do direito à portabilidade dos dados;
    3. Se o tratamento dos dados se basear no artigo 6º, nº 1, alínea a), ou no artigo 9º, nº 2, alínea a), a existência do direito de retirar consentimento em qualquer altura, sem comprometer a licitude do tratamento efetuado com base no consentimento previamente dado;
    4. O direito de apresentar reclamação a uma autoridade de controlo;
    5. Se a comunicação de dados pessoais constitui ou não uma obrigação legal ou contratual, ou um requisito necessário para celebrar um contrato, bem como se o titular está obrigado a fornecer os dados pessoais e as eventuais consequências de não fornecer esses dados;
    6. A existência de decisões automatizadas, incluindo a definição de perfis, referida no artigo 22º, nºs 1 e 4, e, pelo menos nesses casos, informações úteis relativas à lógica subjacente, bem como a importância e as consequências previstas de tal tratamento para o titular dos dados.
  3. Quando o responsável pelo tratamento pessoais tiver a intenção de proceder ao tratamento posterior dos dados pessoais para um fim que não seja aquele para o qual os dados tenham sido recolhidos, antes desse tratamento o responsável fornece ao titular dos dados informações sobre esse fim e quaisquer outras informações pertinentes, nos termos do nº 2.
  4. Os nºs 1, 2 e 3 não se aplicam quando e na medida em que o titular dos dados já tiver conhecimento das informações.

Artigo 14 – Informações a facultar quando os dados pessoais não são recolhidos junto do titular

  1. Quando os dados pessoais não forem recolhidos junto do titular, o responsável pelo tratamento fornece-lhe as seguintes informações:
    1. A identidade e os contactos do responsável pelo tratamento e, se for caso disso, do seu representante;
    2. Os contactos do encarregado da proteção de dados, se for caso disso;
    3. As finalidades do tratamento a que os dados pessoais se destinam, bem como o fundamento jurídico para o tratamento;
    4. As categorias dos dados pessoais em questão;
    5. Os destinatários ou categorias de destinatários dos dados pessoais, se os houver;
    6. Se for caso disso, o facto de o responsável pelo tratamento tencionar transferir dados pessoais para um país terceiro ou uma organização internacional, e a existência ou não de uma decisão de adequação adotada pela Comissão ou, no caso das transferências mencionadas nos artigos 46º ou 47º, ou no artigo 49º, nº 1, segundo parágrafo, a referência às garantias apropriadas ou adequadas e aos meios de obter cópia das mesmas, ou onde foram disponibilizadas;
  2. Para além das informações referidas no nº 1, o responsável pelo tratamento fornece ao titular as seguintes informações, necessárias para lhe garantir um tratamento equitativo e transparente:
    1. Prazo de conservação dos dados pessoais ou, se não for possível, os critérios usados para fixar esse prazo;
    2. Se o tratamento dos dados se basear no artigo 6º, nº 1, alínea f), os interesses legítimos do responsável pelo tratamento ou de um terceiro;
    3. A existência do direito de solicitar ao responsável pelo tratamento o acesso aos dados pessoais que lhe digam respeito, e a retificação ou o apagamento, ou a limitação do tratamentor no que disser respeito ao titular dos dados, e do direito de se opor ao tratamento, bem como do direito à portabilidade dos dados;
    4. Se o tratamento dos dados se basear no artigo 6º, nº 1, alínea a), ou no artigo 9º, nº 2, alínea a), a existência do direito de retirar consentimento em qualquer altura, sem comprometer a licitude do tratamento efetuado com base no consentimento previamente dado;
    5. O direito de apresentar reclamação a uma autoridade de controlo;
    6. A origem dos dados pessoais e, eventualmente, se provêm de fontes acessíveis ao público;
    7. A existência de decisões automatizadas, incluindo a definição de perfis referida no artigo 22º, nºs 1 e 4, e, pelo menos nesses casos, informações úteis relativas à lógica subjacente, bem como a importância e as consequências previstas de tal tratamento para o titular dos dados.
  3. O responsável pelo tratamento comunica as informações referidas nos nºs 1 e 2:
    1. Num prazo razoável após a obtenção dos dados pessoais, mas o mais tardar no prazo de um mês, tendo em conta as circunstâncias específicas em que estes forem tratados;
    2. Se os dados pessoais se destinarem a ser utilizados para fins de comunicação com o titular dos dados, o mais tardar no momento da primeira comunicação ao titular dos dados;
    3. Se estiver prevista a divulgação dos dados pessoais a outro destinatário, o mais tardar aquando da primeira divulgação desses dados.
  4. Quando o responsável pelo tratamento tiver a intenção de proceder ao tratamento posterior dos dados pessoais para um fim que não seja aquele para o qual os dados pessoais tenham sido obtidos, antes desse tratamento o responsável fornece ao titular dos dados informações sobre esse fim e quaisquer outras informações pertinentes referidas no nº 2.
  5. Os nºs 1 a 4 não se aplicam quando e na medida em que:
    1. O titular dos dados já tenha conhecimento das informações;
    2. Se comprove a impossibilidade de disponibilizar a informação, ou que o esforço envolvido seja desproporcionado, nomeadamente para o tratamento para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, sob reserva das condições e garantias previstas no artigo 89º, nº 1, e na medida em que a obrigação referida no nº 1 do presente artigo seja suscetível de tornar impossível ou prejudicar gravemente a obtenção dos objetivos desse tratamento. Nesses casos, o responsável pelo tratamento toma as medidas adequadas para defender os direitos, liberdades e interesses legítimos do titular dos dados, inclusive através da divulgação da informação ao público;
    3. A obtenção ou divulgação dos dados esteja expressamente prevista no direito da União ou do Estado-Membro ao qual o responsável pelo tratamento estiver sujeito, prevendo medidas adequadas para proteger os legítimos interesses do titular dos dados;
    4. Os dados pessoais devam permanecer confidenciais em virtude de uma obrigação de sigilo profissional regulamentada pelo direito da União ou de um Estado-Membro, inclusive uma obrigação legal de confidencialidade.

Artigo 15 – Direito de acesso do titular dos dados

  1. O titular dos dados tem o direito de obter do responsável pelo tratamento a confirmação de que os dados pessoais que lhe digam respeito são ou não objeto de tratamento e, se for esse o caso, o direito de aceder aos seus dados pessoais e às seguintes informações:
    1. As finalidades do tratamento dos dados;
    2. As categorias dos dados pessoais em questão;
    3. Os destinatários ou categorias de destinatários a quem os dados pessoais foram ou serão divulgados, nomeadamente os destinatários estabelecidos em países terceiros ou pertencentes a organizações internacionais;
    4. Se for possível, o prazo previsto de conservação dos dados pessoais, ou, se não for possível, os critérios usados para fixar esse prazo;
    5. A existência do direito de solicitar ao responsável pelo tratamento a retificação, o apagamento ou a limitação do tratamento dos dados pessoais no que diz respeito ao titular dos dados, ou do direito de se opor a esse tratamento;
    6. O direito de apresentar reclamação a uma autoridade de controlo;
    7. Se os dados não tiverem sido recolhidos junto do titular, as informações disponíveis sobre a origem desses dados;
    8. A existência de decisões automatizadas, incluindo a definição de perfis, referida no artigo 22º, nºs 1 e 4, e, pelo menos nesses casos, informações úteis relativas à lógica subjacente, bem como a importância e as consequências previstas de tal tratamento para o titular dos dados.
  2. Quando os dados pessoais forem transferidos para um país terceiro ou uma organização internacional, o titular dos dados tem o direito de ser informado das garantias adequadas, nos termos do artigo 46º relativo à transferência de dados.
  3. O responsável pelo tratamento fornece uma cópia dos dados pessoais em fase de tratamento. Para fornecer outras cópias solicitadas pelo titular dos dados, o responsável pelo tratamento pode exigir o pagamento de uma taxa razoável tendo em conta os custos administrativos. Se o titular dos dados apresentar o pedido por meios eletrónicos, e salvo pedido em contrário do titular dos dados, a informação é fornecida num formato eletrónico de uso corrente.
  4. O direito de obter uma cópia a que se refere o nº 3 não prejudica os direitos e as liberdades de terceiros.

Artigo 16 – Direito de retificação

O titular tem o direito de obter, sem demora injustificada, do responsável pelo tratamento a retificação dos dados pessoais inexatos que lhe digam respeito. Tendo em conta as finalidades do tratamento, o titular dos dados tem direito a que os seus dados pessoais incompletos sejam completados, incluindo por meio de uma declaração adicional.

Artigo 17 – Direito ao apagamento dos dados («direito a ser esquecido»)

  1. O titular tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora injustificada, e este tem a obrigação de apagar os dados pessoais, sem demora injustificada, quando se aplique um dos seguintes motivos:
    1. Os dados pessoais deixaram de ser necessários para a finalidade que motivou a sua recolha ou tratamento;
    2. O titular retira o consentimento em que se baseia o tratamento dos dados nos termos do artigo 6º, nº 1, alínea a), ou do artigo 9º, nº 2, alínea a) e se não existir outro fundamento jurídico para o referido tratamento;
    3. O titular opõe-se ao tratamento nos termos do artigo 21º, nº 1, e não existem interesses legítimos prevalecentes que justifiquem o tratamento, ou o titular opõe-se ao tratamento nos termos do artigo 21º, nº 2;
    4. Os dados pessoais foram tratados ilicitamente;
    5. Os dados pessoais têm de ser apagados para o cumprimento de uma obrigação jurídica decorrente do direito da União ou de um Estado-Membro a que o responsável pelo tratamento esteja sujeito;
    6. Os dados pessoais foram recolhidos no contexto da oferta de serviços da sociedade da informação referida no artigo 8º, nº 1.
  2. Quando o responsável pelo tratamento tiver tornado públicos os dados pessoais e for obrigado a apagá-los nos termos do nº 1, toma as medidas que forem razoáveis, incluindo de caráter técnico, tendo em consideração a tecnologia disponível e os custos da sua aplicação, para informar os responsáveis pelo tratamento efetivo dos dados pessoais de que o titular dos dados lhes solicitou o apagamento das ligações para esses dados pessoais, bem como das cópias ou reproduções dos mesmos.
  3. Os nºs 1 e 2 não se aplicam na medida em que o tratamento se revele necessário:
    1. Ao exercício da liberdade de expressão e de informação;
    2. Ao cumprimento de uma obrigação legal que exija o tratamento prevista pelo direito da União ou de um Estado-Membro a que o responsável esteja sujeito, ao exercício de funções de interesse público ou ao exercício da autoridade pública de que esteja investido o responsável pelo tratamento;
    3. Por motivos de interesse público no domínio da saúde pública, nos termos do artigo 9º, nº 2, alíneas h) e i), bem como do artigo 9º, nº 3;
    4. Para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, nos termos do artigo 89º, nº 1, na medida em que o direito referido no nº 1 seja suscetível de tornar impossível ou prejudicar gravemente a obtenção dos objetivos desse tratamento;
    5. Para efeitos de declaração, exercício ou defesa de um direito num processo judicial.

Artigo 18 – Direito à limitação do tratamento

  1. O titular dos dados tem o direito de obter do responsável pelo tratamento a limitação do tratamento, se se aplicar uma das seguintes situações:
    1. Contestar a exatidão dos dados pessoais, durante um período que permita ao responsável pelo tratamento verificar a sua exatidão;
    2. O tratamento for ilícito e o titular dos dados se opuser ao apagamento dos dados pessoais e solicitar, em contrapartida, a limitação da sua utilização;
    3. O responsável pelo tratamento já não precisar dos dados pessoais para fins de tratamento, mas esses dados sejam requeridos pelo titular para efeitos de declaração, exercício ou defesa de um direito num processo judicial;
    4. Se tiver oposto ao tratamento nos termos do artigo 21º, nº 1, até se verificar que os motivos legítimos do responsável pelo tratamento prevalecem sobre os do titular dos dados.
  2. Quando o tratamento tiver sido limitado nos termos do nº 1, os dados pessoais só podem, à exceção da
    conservação, ser objeto de tratamento com o consentimento do titular, ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial, de defesa dos direitos de outra pessoa singular ou coletiva, ou por motivos ponderosos de interesse público da União ou de um Estado-Membro.
  3. O titular que tiver obtido a limitação do tratamento nos termos do nº 1 é informado pelo responsável pelo
    tratamento antes de ser anulada a limitação ao referido tratamento.

Artigo 19 – Obrigação de notificação da retificação ou apagamento dos dados pessoais ou limitação do tratamento

O responsável pelo tratamento comunica a cada destinatário a quem os dados pessoais tenham sido transmitidos qualquer retificação ou apagamento dos dados pessoais ou limitação do tratamento a que se tenha procedido em conformidade com o artigo 16º, o artigo 17º, nº 1, e o artigo 18º, salvo se tal comunicação se revelar impossível ou implicar um esforço desproporcionado. Se o titular dos dados o solicitar, o responsável pelo tratamento fornece-lhe informações sobre os referidos destinatários.

Artigo 20 – Direito de portabilidade dos dados

  1. O titular dos dados tem o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido a um responsável pelo tratamento, num formato estruturado, de uso corrente e de leitura automática, e o direito de transmitir esses dados a outro responsável pelo tratamento sem que o responsável a quem os dados pessoais foram fornecidos o possa impedir, se:
    1. O tratamento se basear no consentimento dado nos termos do artigo 6º, nº 1, alínea a), ou do artigo 9º, nº 2, alínea a), ou num contrato referido no artigo 6º, nº 1, alínea b);
    2. O tratamento for realizado por meios automatizados.
  2. Ao exercer o seu direito de portabilidade dos dados nos termos do nº 1, o titular dos dados tem o direito a que os dados pessoais sejam transmitidos diretamente entre os responsáveis pelo tratamento, sempre que tal seja tecnicamente possível.
  3. O exercício do direito a que se refere o nº 1 do presente artigo aplica-se sem prejuízo do artigo 17º. Esse direito não se aplica ao tratamento necessário para o exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento.
  4. O direito a que se refere o nº 1 não prejudica os direitos e as liberdades de terceiros.

Artigo 21 – Direito de oposição

  1. O titular dos dados tem o direito de se opor a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito com base no artigo 6º, nº 1, alínea e) ou f), ou no artigo 6º, nº 4, incluindo a definição de perfis com base nessas disposições. O responsável pelo tratamento cessa o tratamento dos dados pessoais, a não ser que apresente razões imperiosas e legítimas para esse tratamento que prevaleçam sobre os interesses, direitos e liberdades do titular dos dados, ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial.
  2. Quando os dados pessoais forem tratados para efeitos de comercialização direta, o titular dos dados tem o direito de se opor a qualquer momento ao tratamento dos dados pessoais que lhe digam respeito para os efeitos da referida comercialização, o que abrange a definição de perfis na medida em que esteja relacionada com a comercialização direta.
  3. Caso o titular dos dados se oponha ao tratamento para efeitos de comercialização direta, os dados pessoais deixam de ser tratados para esse fim.
  4. O mais tardar no momento da primeira comunicação ao titular dos dados, o direito a que se referem os nºs 1 e 2 é explicitamente levado à atenção do titular dos dados e é apresentado de modo claro e distinto de quaisquer outras informações.
  5. No contexto da utilização dos serviços da sociedade da informação, e sem prejuízo da Diretiva 2002/58/CE, o titular dos dados pode exercer o seu direito de oposição por meios automatizados, utilizando especificações técnicas.
  6. Quando os dados pessoais forem tratados para fins de investigação científica ou histórica ou para fins estatísticos, nos termos do artigo 89º, nº 1, o titular dos dados tem o direito de se opor, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito, salvo se o tratamento for necessário para a prossecução de atribuições de interesse público.

Artigo 22 – Decisões individuais automatizadas, incluindo definição de perfis

  1. O titular dos dados tem o direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base no tratamento automatizado, incluindo a definição de perfis, que produza efeitos na sua esfera jurídica ou que o afete significativamente de forma similar.
  2. O nº 1 não se aplica se a decisão:
    1. For necessária para a celebração ou a execução de um contrato entre o titular dos dados e um responsável pelo tratamento;
    2. For autorizada pelo direito da União ou do Estado-Membro a que o responsável pelo tratamento estiver sujeito, e na qual estejam igualmente previstas medidas adequadas para salvaguardar os direitos e liberdades e os legítimos interesses do titular dos dados;
    3. For baseada no consentimento explícito do titular dos dados.
  3. Nos casos a que se referem o nº 2, alíneas a) e c), o responsável pelo tratamento aplica medidas adequadas para salvaguardar os direitos e liberdades e legítimos interesses do titular dos dados, designadamente o direito de, pelo menos, obter intervenção humana por parte do responsável, manifestar o seu ponto de vista e contestar a decisão.
  4. As decisões a que se refere o nº 2 não se baseiam nas categorias especiais de dados pessoais a que se refere o artigo 9º, nº 1, a não ser que o nº 2, alínea a) ou g), do mesmo artigo sejam aplicáveis e sejam aplicadas medidas adequadas para salvaguardar os direitos e liberdades e os legítimos interesses do titular.

Artigo 23 – Limitações

  1. O direito da União ou dos Estados-Membros a que estejam sujeitos o responsável pelo tratamento ou o seu subcontratante pode limitar por medida legislativa o alcance das obrigações e dos direitos previstos nos artigos 12º a 22º e no artigo 34º, bem como no artigo 5º, na medida em que tais disposições correspondam aos direitos e obrigações previstos nos artigos 12º a 22º, desde que tal limitação respeite a essência dos direitos e liberdades fundamentais e constitua uma medida necessária e proporcionada numa sociedade democrática para assegurar, designadamente:
    1. A segurança do Estado;
    2. A defesa;
    3. A segurança pública;
    4. A prevenção, investigação, deteção ou repressão de infrações penais, ou a execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública;
    5. Outros objetivos importantes do interesse público geral da União ou de um Estado-Membro, nomeadamente um interesse económico ou financeiro importante da União ou de um Estado-Membro, incluindo nos domínios monetário, orçamental ou fiscal, da saúde pública e da segurança social;
    6. A defesa da independência judiciária e dos processos judiciais;
    7. A prevenção, investigação, deteção e repressão de violações da deontologia de profissões regulamentadas;
    8. Uma missão de controlo, de inspeção ou de regulamentação associada, ainda que ocasionalmente, ao exercício da autoridade pública, nos casos referidos nas alíneas a) a e) e g);
    9. A defesa do titular dos dados ou dos direitos e liberdades de outrem;
    10. A execução de ações cíveis.
  2. Em especial, as medidas legislativas referidas no nº 1 incluem, quando for relevante, disposições explícitas relativas, pelo menos:
    1. Às finalidades do tratamento ou às diferentes categorias de tratamento;
    2. Às categorias de dados pessoais;
    3. Ao alcance das limitações impostas;
    4. Às garantias para evitar o abuso ou o acesso ou transferência ilícitos;
    5. À especificação do responsável pelo tratamento ou às categorias de responsáveis pelo tratamento;
    6. Aos prazos de conservação e às garantias aplicáveis, tendo em conta a natureza, o âmbito e os objetivos do tratamento ou das categorias de tratamento;
    7. Aos riscos específicos para os direitos e liberdades dos titulares dos dados;
    8. Ao direito dos titulares dos dados a serem informados da limitação, a menos que tal possa prejudicar o objetivo da limitação.

Capítulo IV - Responsável pelo tratamento e subcontratante

Artigo 24 – Responsabilidade do responsável pelo tratamento

  1. Tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento. Essas medidas são revistas e atualizadas consoante as necessidades. 
  2. Caso sejam proporcionadas em relação às atividades de tratamento, as medidas a que se refere o nº 1 incluem a aplicação de políticas adequadas em matéria de proteção de dados pelo responsável pelo tratamento.
  3. O cumprimento de códigos de conduta aprovados conforme referido no artigo 40º ou de procedimentos de certificação aprovados conforme referido no artigo 42º pode ser utilizada como elemento para demonstrar o cumprimento das obrigações do responsável pelo tratamento.

Artigo 25 – Proteção de dados desde a conceção e por defeito

  1. Tendo em conta as técnicas mais avançadas, os custos da sua aplicação, e a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos decorrentes do tratamento para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica, tanto no momento de definição dos meios de tratamento como no momento do próprio tratamento, as medidas técnicas e organizativas adequadas, como a pseudonimização, destinadas a aplicar com eficácia os princípios da proteção de dados, tais como a minimização, e a incluir as garantias necessárias no tratamento, de uma forma que este cumpra os requisitos do presente regulamento e proteja os direitos dos titulares dos dados. 
  2. O responsável pelo tratamento aplica medidas técnicas e organizativas para assegurar que, por defeito, só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento. Essa obrigação aplica-se à quantidade de dados pessoais recolhidos, à extensão do seu tratamento, ao seu prazo de conservação e à sua acessibilidade. Em especial, essas medidas asseguram que, por defeito, os dados pessoais não sejam disponibilizados sem intervenção humana a um número indeterminado de pessoas singulares.
  3. Pode ser utilizado como elemento para demonstrar o cumprimento das obrigações estabelecidas nos nºs 1 e 2 do presente artigo, um procedimento de certificação aprovado nos termos do artigo 42º.

Artigo 26 – Responsáveis conjuntos pelo tratamento

  1. Quando dois ou mais responsáveis pelo tratamento determinem conjuntamente as finalidades e os meios desse tratamento, ambos são responsáveis conjuntos pelo tratamento. Estes determinam, por acordo entre si e de modo transparente as respetivas responsabilidades pelo cumprimento do presente regulamento, nomeadamente no que diz respeito ao exercício dos direitos do titular dos dados e aos respetivos deveres de fornecer as informações referidas nos artigos 13º e 14º, a menos e na medida em que as suas responsabilidades respetivas sejam determinadas pelo direito da União ou do Estado-Membro a que se estejam sujeitos. O acordo pode designar um ponto de contacto para os titulares dos dados. 
  2. O acordo a que se refere o nº 1 reflete devidamente as funções e relações respetivas dos responsáveis conjuntos pelo tratamento em relação aos titulares dos dados. A essência do acordo é disponibilizada ao titular dos dados.
  3. Independentemente dos termos do acordo a que se refere o nº 1, o titular dos dados pode exercer os direitos que lhe confere o presente regulamento em relação e cada um dos responsáveis pelo tratamento.

Artigo 27 – Representantes dos responsáveis pelo tratamento ou dos subcontratantes não estabelecidos na União

  1. Se for aplicável o artigo 3º, nº 2, o responsável pelo tratamento ou o subcontratante designa por escrito um representante seu na União.
  2. A obrigação a que se refere o nº 1 do presente artigo não se aplica:
    1. Às operações de tratamento que sejam ocasionais, não abranjam o tratamento, em grande escala, de categorias especiais de dados a que se refere o artigo 9º, nº 1, ou o tratamento de dados pessoais relativos a condenações penais e infrações referido no artigo 10º, e não seja suscetível de implicar riscos para os direitos e liberdades das pessoas singulares, tendo em conta a natureza, o contexto, o âmbito e as finalidades do tratamento;
    2. Às autoridades ou organismos públicos;
  3. O representante deve estar estabelecido num dos Estados-Membros onde se encontram os titulares dos dados cujos dados pessoais são objeto do tratamento no contexto da oferta que lhes é feita de bens ou serviços ou cujo comportamento é controlado.
  4. Para efeitos do cumprimento do presente regulamento, o representante é mandatado pelo responsável pelo tratamento ou pelo subcontratante para ser contactado em complemento ou em substituição do responsável pelo tratamento ou do subcontratante, em especial por autoridades de controlo e por titulares, relativamente a todas as questões relacionadas com o tratamento.
  5. A designação de um representante pelo responsável pelo tratamento ou pelo subcontratante não prejudica as ações judiciais que possam vir a ser intentadas contra o próprio responsável pelo tratamento ou o próprio subcontratante.

Artigo 28 – Subcontratante

  1. Quando o tratamento dos dados for efetuado por sua conta, o responsável pelo tratamento recorre apenas a subcontratantes que apresentem garantias suficientes de execução de medidas técnicas e organizativas adequadas de uma forma que o tratamento satisfaça os requisitos do presente regulamento e assegure a defesa dos direitos do titular dos dados.
  2. O subcontratante não contrata outro subcontratante sem que o responsável pelo tratamento tenha dado, previamente e por escrito, autorização específica ou geral. Em caso de autorização geral por escrito, o subcontratante informa o responsável pelo tratamento de quaisquer alterações pretendidas quanto ao aumento do número ou à substituição de outros subcontratantes, dando assim ao responsável pelo tratamento a oportunidade de se opor a tais alterações.
  3. O tratamento em subcontratação é regulado por contrato ou outro ato normativo ao abrigo do direito da União ou dos Estados-Membros, que vincule o subcontratante ao responsável pelo tratamento, estabeleça o objeto e a duração do tratamento, a natureza e finalidade do tratamento, o tipo de dados pessoais e as categorias dos titulares dos dados, e as obrigações e direitos do responsável pelo tratamento. Esse contrato ou outro ato normativo estipulam, designadamente, que o subcontratante:
    1. Trata os dados pessoais apenas mediante instruções documentadas do responsável pelo tratamento, incluindo no que respeita às transferências de dados para países terceiros ou organizações internacionais, a menos que seja obrigado a fazê-lo pelo direito da União ou do Estado-Membro a que está sujeito, informando nesse caso o responsável pelo tratamento desse requisito jurídico antes do tratamento, salvo se a lei proibir tal informação por motivos importantes de interesse público;
    2. Assegura que as pessoas autorizadas a tratar os dados pessoais assumiram um compromisso de confidencialidade ou estão sujeitas a adequadas obrigações legais de confidencialidade;
    3. Adota todas as medidas exigidas nos termos do artigo 32º;
    4. Respeita as condições a que se referem os nºs 2 e 4 para contratar outro subcontratante;
    5. Toma em conta a natureza do tratamento, e na medida do possível, presta assistência ao responsável pelo tratamento através de medidas técnicas e organizativas adequadas, para permitir que este cumpra a sua obrigação de dar resposta aos pedidos dos titulares dos dados tendo em vista o exercício dos seus direitos previstos no capítulo III;
    6. Presta assistência ao responsável pelo tratamento no sentido de assegurar o cumprimento das obrigações previstas nos artigos 32º a 36º, tendo em conta a natureza do tratamento e a informação ao dispor do subcontratante;
    7. Consoante a escolha do responsável pelo tratamento, apaga ou devolve-lhe todos os dados pessoais depois de concluída a prestação de serviços relacionados com o tratamento, apagando as cópias existentes, a menos que a conservação dos dados seja exigida ao abrigo do direito da União ou dos Estados-Membros;
    8. Disponibiliza ao responsável pelo tratamento todas as informações necessárias para demonstrar o cumprimento das obrigações previstas no presente artigo e facilita e contribui para as auditorias, inclusive as inspeções, conduzidas pelo responsável pelo tratamento ou por outro auditor por este mandatado.
    9. No que diz respeito ao primeiro parágrafo, alínea h), o subcontratante informa imediatamente o responsável pelo tratamento se, no seu entender, alguma instrução violar o presente regulamento ou outras disposições do direito da União ou dos Estados-Membros em matéria de proteção de dados.
  4. Se o subcontratante contratar outro subcontratante para a realização de operações específicas de tratamento de dados por conta do responsável pelo tratamento, são impostas a esse outro subcontratante, por contrato ou outro ato normativo ao abrigo do direito da União ou dos Estados-Membros, as mesmas obrigações em matéria de proteção de dados que as estabelecidas no contrato ou outro ato normativo entre o responsável pelo tratamento e o subcontratante, referidas no nº 3, em particular a obrigação de apresentar garantias suficientes de execução de medidas técnicas e organizativas adequadas de uma forma que o tratamento seja conforme com os requisitos do presente regulamento. Se esse outro subcontratante não cumprir as suas obrigações em matéria de proteção de dados, o subcontratante inicial continua a ser plenamente responsável, perante o responsável pelo tratamento, pelo cumprimento das obrigações desse outro subcontratante.
  5. O facto de o subcontratante cumprir um código de conduta aprovado conforme referido no artigo 40º ou um procedimento de certificação aprovado conforme referido no artigo 42º pode ser utilizado como elemento para demonstrar as garantias suficientes a que se referem os nºs 1 e 4 do presente artigo.
  6. Sem prejuízo de um eventual contrato individual entre o responsável pelo tratamento e o subcontratante, o contrato ou outro ato normativo referidos nos nºs 3 e 4 do presente artigo podem ser baseados, totalmente ou em parte, nas cláusulas contratuais-tipo referidas nos nºs 7 e 8 do presente artigo, inclusivamente quando fazem parte de uma certificação concedida ao responsável pelo tratamento ou ao subcontratante por força dos artigos 42º e 43º.
  7. A Comissão pode estabelecer cláusulas contratuais-tipo para as matérias referidas nos nºs 3 e 4 do presente artigo pelo procedimento de exame a que se refere o artigo 93º, nº 2.
  8. A autoridade de controlo pode estabelecer cláusulas contratuais-tipo para as matérias referidas nos nºs 3 e 4 do presente artigo e de acordo com o procedimento de controlo da coerência referido no artigo 63º.
  9. O contrato ou outro ato normativo a que se referem os nºs 3 e 4 devem ser feitos por escrito, incluindo em formato eletrónico.
  10. Sem prejuízo do disposto nos artigos 82º, 83º e 84º, o subcontratante que, em violação do presente regulamento, determinar as finalidades e os meios de tratamento, é considerado responsável pelo tratamento no que respeita ao tratamento em questão.

Artigo 29 – Tratamento sob a autoridade do responsável pelo tratamento ou do subcontratante

O subcontratante ou qualquer pessoa que, agindo sob a autoridade do responsável pelo tratamento ou do subcontratante, tenha acesso a dados pessoais, não procede ao tratamento desses dados exceto por instrução do responsável pelo tratamento, salvo se a tal for obrigado por força do direito da União ou dos Estados-Membros.

Artigo 30 – Registos das atividades de tratamento

  1. Cada responsável pelo tratamento e, sendo caso disso, o seu representante conserva um registo de todas as atividades de tratamento sob a sua responsabilidade. Desse registo constam todas seguintes informações:
    1. O nome e os contactos do responsável pelo tratamento e, sendo caso disso, de qualquer responsável conjunto pelo tratamento, do representante do responsável pelo tratamento e do encarregado da proteção de dados;
    2. As finalidades do tratamento dos dados;
    3. A descrição das categorias de titulares de dados e das categorias de dados pessoais;
    4. As categorias de destinatários a quem os dados pessoais foram ou serão divulgados, incluindo os destinatários estabelecidos em países terceiros ou organizações internacionais;
    5. Se for aplicável, as transferências de dados pessoais para países terceiros ou organizações internacionais, incluindo a identificação desses países terceiros ou organizações internacionais e, no caso das transferências referidas no artigo 49º, nº 1, segundo parágrafo, a documentação que comprove a existência das garantias adequadas;
    6. Se possível, os prazos previstos para o apagamento das diferentes categorias de dados;
    7. Se possível, uma descrição geral das medidas técnicas e organizativas no domínio da segurança referidas no artigo 32º, nº 1.
  2. Cada subcontratante e, sendo caso disso, o representante deste, conserva um registo de todas as categorias de atividades de tratamento realizadas em nome de um responsável pelo tratamento, do qual constará:
    1. O nome e contactos do subcontratante ou subcontratantes e de cada responsável pelo tratamento em nome do qual o subcontratante atua, bem como, sendo caso disso do representante do responsável pelo tratamento ou do subcontratante e do encarregado da proteção de dados;
    2. As categorias de tratamentos de dados pessoais efetuados em nome de cada responsável pelo tratamento;
    3. Se for aplicável, as transferências de dados pessoais para países terceiros ou organizações internacionais, incluindo a identificação desses países terceiros ou organizações internacionais e, no caso das transferências referidas no artigo 49º, nº 1, segundo parágrafo, a documentação que comprove a existência das garantias adequadas;
    4. Se possível, uma descrição geral das medidas técnicas e organizativas no domínio da segurança referidas no artigo 32º, nº 1.
  3. Os registos a que se referem os nºs 1 e 2 são efetuados por escrito, incluindo em formato eletrónico.
  4. O responsável pelo tratamento e, sendo caso disso, o subcontratante, o representante do responsável pelo tratamento ou do subcontratante, disponibilizam, a pedido, o registo à autoridade de controlo.
  5. As obrigações a que se referem os nºs 1 e 2 não se aplicam às empresas ou organizações com menos de
    250 trabalhadores, a menos que o tratamento efetuado seja suscetível de implicar um risco para os direitos e liberdades do titular dos dados, não seja ocasional ou abranja as categorias especiais de dados a que se refere o artigo 9º, nº 1, ou dados pessoais relativos a condenações penais e infrações referido no artigo 10º.

Artigo 31 – Cooperação com a autoridade de controlo

O responsável pelo tratamento e o subcontratante e, sendo caso disso, os seus representantes cooperam com a autoridade de controlo, a pedido desta, na prossecução das suas atribuições.

Artigo 32 – Segurança do tratamento

  1. Tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade variável, para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento e o subcontratante aplicam as medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco, incluindo, consoante o que for adequado:
    1. A pseudonimização e a cifragem dos dados pessoais;
    2. A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento;
    3. A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico;
    4. Um processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento.
  2. Ao avaliar o nível de segurança adequado, devem ser tidos em conta, designadamente, os riscos apresentados pelo tratamento, em particular devido à destruição, perda e alteração acidentais ou ilícitas, e à divulgação ou ao acesso não autorizados, de dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
  3. O cumprimento de um código de conduta aprovado conforme referido no artigo 40º ou de um procedimento de certificação aprovado conforme referido no artigo 42º pode ser utilizado como elemento para demonstrar o cumprimento das obrigações estabelecidas no nº 1 do presente artigo.
  4. O responsável pelo tratamento e o subcontratante tomam medidas para assegurar que qualquer pessoa singular que, agindo sob a autoridade do responsável pelo tratamento ou do subcontratante, tenha acesso a dados pessoais, só procede ao seu tratamento mediante instruções do responsável pelo tratamento, exceto se tal lhe for exigido pelo direito da União ou de um Estado-Membro.

Artigo 33 – Notificação de uma violação de dados pessoais à autoridade de controlo

  1. Em caso de violação de dados pessoais, o responsável pelo tratamento notifica desse facto a autoridade de controlo competente nos termos do artigo 55º, sem demora injustificada e, sempre que possível, até 72 horas após ter tido conhecimento da mesma, a menos que a violação dos dados pessoais não seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares. Se a notificação à autoridade de controlo não for transmitida no prazo de 72 horas, é acompanhada dos motivos do atraso.
  2. O subcontratante notifica o responsável pelo tratamento sem demora injustificada após ter conhecimento de uma violação de dados pessoais.
  3. A notificação referida no nº 1 deve, pelo menos:
    1. Descrever a natureza da violação dos dados pessoais incluindo, se possível, as categorias e o número aproximado de titulares de dados afetados, bem como as categorias e o número aproximado de registos de dados pessoais em causa;
    2. Comunicar o nome e os contactos do encarregado da proteção de dados ou de outro ponto de contacto onde possam ser obtidas mais informações;
    3. Descrever as consequências prováveis da violação de dados pessoais;
    4. Descrever as medidas adotadas ou propostas pelo responsável pelo tratamento para reparar a violação de dados pessoais, inclusive, se for caso disso, medidas para atenuar os seus eventuais efeitos negativos;
  4. Caso, e na medida em que não seja possível fornecer todas as informações ao mesmo tempo, estas podem ser fornecidas por fases, sem demora injustificada.
  5. O responsável pelo tratamento documenta quaisquer violações de dados pessoais, compreendendo os factos relacionados com as mesmas, os respetivos efeitos e a medida de reparação adotada. Essa documentação deve permitir à autoridade de controlo verificar o cumprimento do disposto no presente artigo.

Artigo 34 – Comunicação de uma violação de dados pessoais ao titular dos dados

  1. Quando a violação dos dados pessoais for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento comunica a violação de dados pessoais ao titular dos dados sem demora injustificada. 
  2. A comunicação ao titular dos dados a que se refere o nº 1 do presente artigo descreve em linguagem clara e simples a natureza da violação dos dados pessoais e fornece, pelo menos, as informações e medidas previstas no artigo 33º, nº 3, alíneas b), c) e d).
  3. A comunicação ao titular dos dados a que se refere o nº 1 não é exigida se for preenchida uma das seguintes condições:
    1. O responsável pelo tratamento tiver aplicado medidas de proteção adequadas, tanto técnicas como organizativas, e essas medidas tiverem sido aplicadas aos dados pessoais afetados pela violação de dados pessoais, especialmente medidas que tornem os dados pessoais incompreensíveis para qualquer pessoa não autorizada a aceder a esses dados, tais como a cifragem;
    2. O responsável pelo tratamento tiver tomado medidas subsequentes que assegurem que o elevado risco para os direitos e liberdades dos titulares dos dados a que se refere o nº 1 já não é suscetível de se concretizar;
    3. Implicar um esforço desproporcionado. Nesse caso, é feita uma comunicação pública ou tomada uma medida semelhante através da qual os titulares dos dados são informados de forma igualmente eficaz.
  4. Se o responsável pelo tratamento não tiver já comunicado a violação de dados pessoais ao titular dos dados, a autoridade de controlo, tendo considerado a probabilidade de a violação de dados pessoais resultar num elevado risco, pode exigir-lhe que proceda a essa notificação ou pode constatar que se encontram preenchidas as condições referidas no nº 3.

Artigo 35 – Avaliação de impacto sobre a proteção de dados

  1. Quando um certo tipo de tratamento, em particular que utilize novas tecnologias e tendo em conta a sua natureza, âmbito, contexto e finalidades, for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento procede, antes de iniciar o tratamento, a uma avaliação de impacto das operações de tratamento previstas sobre a proteção de dados pessoais. Se um conjunto de operações de tratamento que apresentar riscos elevados semelhantes, pode ser analisado numa única avaliação.
  2. Ao efetuar uma avaliação de impacto sobre a proteção de dados, o responsável pelo tratamento solicita o parecer do encarregado da proteção de dados, nos casos em que este tenha sido designado.
  3. A realização de uma avaliação de impacto sobre a proteção de dados a que se refere o nº 1 é obrigatória nomeadamente em caso de:
    1. Avaliação sistemática e completa dos aspetos pessoais relacionados com pessoas singulares, baseada no tratamento automatizado, incluindo a definição de perfis, sendo com base nela adotadas decisões que produzem efeitos jurídicos relativamente à pessoa singular ou que a afetem significativamente de forma similar;
    2. Operações de tratamento em grande escala de categorias especiais de dados a que se refere o artigo 9º, nº 1, ou de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10º;
    3. Controlo sistemático de zonas acessíveis ao público em grande escala.
  4. A autoridade de controlo elabora e torna pública uma lista dos tipos de operações de tratamento sujeitos ao requisito de avaliação de impacto sobre a proteção de dados por força do nº 1. A autoridade de controlo comunica essas listas ao Comité referido no artigo 68º.
  5. A autoridade de controlo pode também elaborar e tornar pública uma lista dos tipos de operações de tratamento em relação aos quais não é obrigatória uma análise de impacto sobre a proteção de dados. A autoridade de controlo comunica essas listas ao Comité.
  6. Antes de adotar as listas a que se referem os nºs 4 e 5, a autoridade de controlo competente aplica o procedimento de controlo da coerência referido no artigo 63º sempre que essas listas enunciem atividades de tratamento relacionadas com a oferta de bens ou serviços a titulares de dados ou com o controlo do seu comportamento em diversos Estados-Membros, ou possam afetar substancialmente a livre circulação de dados pessoais na União.
  7. A avaliação inclui, pelo menos:
    1. Uma descrição sistemática das operações de tratamento previstas e a finalidade do tratamento, inclusive, se for caso disso, os interesses legítimos do responsável pelo tratamento;
    2. Uma avaliação da necessidade e proporcionalidade das operações de tratamento em relação aos objetivos;
    3. Uma avaliação dos riscos para os direitos e liberdades dos titulares dos direitos a que se refere o nº 1;
    4. As medidas previstas para fazer face aos riscos, incluindo as garantias, medidas de segurança e procedimentos destinados a assegurar a proteção dos dados pessoais e a demonstrar a conformidade com o presente regulamento, tendo em conta os direitos e os legítimos interesses dos titulares dos dados e de outras pessoas em causa.
  8. Ao avaliar o impacto das operações de tratamento efetuadas pelos responsáveis pelo tratamento ou pelos subcontratantes, em especial para efeitos de uma avaliação de impacto sobre a proteção de dados, é tido na devida conta o cumprimento dos códigos de conduta aprovados a que se refere o artigo 40º por parte desses responsáveis ou subcontratantes.
  9. Se for adequado, o responsável pelo tratamento solicita a opinião dos titulares de dados ou dos seus representantes sobre o tratamento previsto, sem prejuízo da defesa dos interesses comerciais ou públicos ou da segurança das operações de tratamento.
  10. Se o tratamento efetuado por força do artigo 6º, nº 1, alínea c) ou e), tiver por fundamento jurídico o direito da União ou do Estado-Membro a que o responsável pelo tratamento está sujeito, e esse direito regular a operação ou as operações de tratamento específicas em questão, e se já tiver sido realizada uma avaliação de impacto sobre a proteção de dados no âmbito de uma avaliação de impacto geral no contexto da adoção desse fundamento jurídico, não são aplicáveis os nºs 1 a 7, salvo se os Estados-Membros considerarem necessário proceder a essa avaliação antes das atividades de tratamento.
  11. Se necessário, o responsável pelo tratamento procede a um controlo para avaliar se o tratamento é realizado em conformidade com a avaliação de impacto sobre a proteção de dados, pelo menos quando haja uma alteração dos riscos que as operações de tratamento representam.

Artigo 36 – Consulta prévia

  1. O responsável pelo tratamento consulta a autoridade de controlo antes de proceder ao tratamento quando a avaliação de impacto sobre a proteção de dados nos termos do artigo 35º indicar que o tratamento resultaria num elevado risco na ausência das medidas tomadas pelo responsável pelo tratamento para atenuar o risco.
  2. Sempre que considerar que o tratamento previsto referido no nº 1 violaria o disposto no presente regulamento, nomeadamente se o responsável pelo tratamento não tiver identificado ou atenuado suficientemente os riscos, a autoridade de controlo, no prazo máximo de oito semanas a contar da receção do pedido de consulta, dá orientações, por escrito, ao responsável pelo tratamento e, se o houver, ao subcontratante e pode recorrer a todos os seus poderes referidos no artigo 58º. Esse prazo pode ser prorrogado até seis semanas, tendo em conta a complexidade do tratamento previsto. A autoridade de controlo informa da prorrogação o responsável pelo tratamento ou, se o houver, o subcontratante no prazo de um mês a contar da data de receção do pedido de consulta, juntamente com os motivos do atraso. Esses prazos podem ser suspensos até que a autoridade de controlo tenha obtido as informações que tenha solicitado para efeitos da consulta.
  3. Quando consultar a autoridade de controlo nos termos do nº 1, o responsável pelo tratamento comunica-lhe os seguintes elementos:
    1. Se for aplicável, a repartição de responsabilidades entre o responsável pelo tratamento, os responsáveis conjuntos pelo tratamento e os subcontratantes envolvidos no tratamento, nomeadamente no caso de um tratamento dentro de um grupo empresarial;
    2. As finalidades e os meios do tratamento previsto;
    3. As medidas e garantias previstas para defesa dos direitos e liberdades dos titulares dos dados nos termos do presente regulamento;
    4. Se for aplicável, os contactos do encarregado da proteção de dados;
    5. A avaliação de impacto sobre a proteção de dados prevista no artigo 35º;
    6. Quaisquer outras informações solicitadas pela autoridade de controlo.
  4. Os Estados-Membros consultam a autoridade de controlo durante a preparação de uma proposta de medida legislativa a adotar por um parlamento nacional ou de uma medida regulamentar baseada nessa medida legislativa, que esteja relacionada com o tratamento de dados.
  5. Não obstante o nº 1, o direito dos Estados-Membros pode exigir que os responsáveis pelo tratamento consultem a autoridade de controlo e dela obtenham uma autorização prévia em relação ao tratamento por um responsável no exercício de uma missão de interesse público, incluindo o tratamento por motivos de proteção social e de saúde pública.

Artigo 37 – Designação do encarregado da proteção de dados

  1. O responsável pelo tratamento e o subcontratante designam um encarregado da proteção de dados sempre que:
    1. O tratamento for efetuado por uma autoridade ou um organismo público, excetuando os tribunais no exercício da sua função jurisdicional;
    2. As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala;
    3. As atividades principais do responsável pelo tratamento ou do subcontratante consistam em
      operações de tratamento em grande escala de categorias especiais de dados nos termos do
      artigo 9.º ou de dados pessoais relacionados com condenações penais e infrações a que se
      refere o artigo 10.º.
  2. Um grupo empresarial pode também designar um único encarregado da proteção de dados desde que haja um encarregado da proteção de dados que seja facilmente acessível a partir de cada estabelecimento.
  3. Quando o responsável pelo tratamento ou o subcontratante for uma autoridade ou um organismo público, pode ser designado um único encarregado da proteção de dados para várias dessas autoridades ou organismos, tendo em conta a respetiva estrutura organizacional e dimensão.
  4. Em casos diferentes dos visados no nº 1, o responsável pelo tratamento ou o subcontratante ou as associações e outros organismos que representem categorias de responsáveis pelo tratamento ou de subcontratantes podem, ou, se tal lhes for exigido pelo direito da União ou dos Estados-Membros, designar um encarregado da proteção de dados. O encarregado da proteção de dados pode agir em nome das associações e de outros organismos que representem os responsáveis pelo tratamento ou os subcontratantes.
  5. O encarregado da proteção de dados é designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados, bem como na sua capacidade para desempenhar as funções referidas no artigo 39º.
  6. O encarregado da proteção de dados pode ser um elemento do pessoal da entidade responsável pelo tratamento ou do subcontratante, ou exercer as suas funções com base num contrato de prestação de serviços.
  7. O responsável pelo tratamento ou o subcontratante publica os contactos do encarregado da proteção de dados e comunica-os à autoridade de controlo.

Artigo 38 – Posição do encarregado da proteção de dados

  1. O responsável pelo tratamento e o subcontratante asseguram que o encarregado da proteção de dados seja envolvido, de forma adequada e em tempo útil, a todas as questões relacionadas com a proteção de dados pessoais.
  2. O responsável pelo tratamento e o subcontratante apoia o encarregado da proteção de dados no exercício das funções a que se refere o artigo 39º, fornecendo-lhe os recursos necessários ao desempenho dessas funções e à manutenção dos seus conhecimentos, bem como dando-lhe acesso aos dados pessoais e às operações de tratamento.
  3. O responsável pelo tratamento e o subcontratante asseguram que da proteção de dados não recebe instruções relativamente ao exercício das suas funções. O encarregado não pode ser destituído nem penalizado pelo responsável pelo tratamento ou pelo subcontratante pelo facto de exercer as suas funções. O encarregado da proteção de dados informa diretamente a direção ao mais alto nível do responsável pelo tratamento ou do subcontratante.
  4. Os titulares dos dados podem contactar o encarregado da proteção de dados sobre todas questões relacionadas com o tratamento dos seus dados pessoais e com o exercício dos direitos que lhe são conferidos pelo presente regulamento.
  5. O encarregado da proteção de dados está vinculado à obrigação de sigilo ou de confidencialidade no exercício das suas funções, em conformidade com o direito da União ou dos Estados-Membros.
  6. O encarregado da proteção de dados pode exercer outras funções e atribuições. O responsável pelo tratamento ou o subcontratante assegura que essas funções e atribuições não resultam num conflito de interesses.

Artigo 39 – Funções do encarregado da proteção de dados

  1. O encarregado da proteção de dados tem, pelo menos, as seguintes funções:
    1. Informa e aconselha o responsável pelo tratamento ou o subcontratante, bem como os trabalhadores que tratem os dados, a respeito das suas obrigações nos termos do presente regulamento e de outras disposições de proteção de dados da União ou dos Estados-Membros;
    2. Controla a conformidade com o presente regulamento, com outras disposições de proteção de dados da União ou dos Estados-Membros e com as políticas do responsável pelo tratamento ou do subcontratante relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a sensibilização e formação do pessoal implicado nas operações de tratamento de dados, e as auditorias correspondentes;
    3. Presta aconselhamento, quando tal lhe for solicitado, no que respeita à avaliação de impacto sobre a proteção de dados e controla a sua realização nos termos do artigo 35º;
    4. Coopera com a autoridade de controlo;
    5. Ponto de contacto para a autoridade de controlo sobre questões relacionadas com o tratamento, incluindo a consulta prévia a que se refere o artigo 36º, e consulta, sendo caso disso, esta autoridade sobre qualquer outro assunto.
  2. No desempenho das suas funções, o encarregado da proteção de dados tem em devida consideração os riscos associados às operações de tratamento, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento.

Artigo 40 – Códigos de conduta

  1. Os Estados-Membros, as autoridades de controlo, o Comité e a Comissão promovem a elaboração de códigos de conduta destinados a contribuir para a correta aplicação do presente regulamento, tendo em conta as características dos diferentes setores de tratamento e as necessidades específicas das micro, pequenas e médias empresas.
  2. As associações e outros organismos representantes de categorias de responsáveis pelo tratamento ou de subcontratantes podem elaborar códigos de conduta, alterar ou aditar a esses códigos, a fim de especificar a aplicação do presente regulamento, como por exemplo:
    1. O tratamento equitativo e transparente;
    2. Os legítimos interesses dos responsáveis pelo tratamento em contextos específicos;
    3. A recolha de dados pessoais;
    4. A pseudonimização dos dados pessoais;
    5. A informação prestada ao público e aos titulares dos dados;
    6. O exercício dos direitos dos titulares dos dados;
    7. As informações prestadas às crianças e a sua proteção, e o modo pelo qual o consentimento do titular das responsabilidades parentais da criança deve ser obtido;
    8. As medidas e procedimentos a que se referem os artigos 24º e 25º e as medidas destinadas a garantir a segurança do tratamento referidas no artigo 30º;
    9. A notificação de violações de dados pessoais às autoridades de controlo e a comunicação dessas violações de dados pessoais aos titulares dos dados;
    10. A transferência de dados pessoais para países terceiros ou organizações internacionais;
    11. As ações extrajudiciais e outros procedimentos de resolução de litígios entre os responsáveis pelo tratamento e os titulares dos dados em relação ao tratamento, sem prejuízo dos direitos dos titulares dos dados nos termos dos artigos 77º e 79º.
  3. Além dos responsáveis pelo tratamento ou dos subcontratantes sujeitos ao presente regulamento, também os responsáveis pelo tratamento ou subcontratantes que não estão sujeitos ao presente regulamento por força do artigo 3º podem cumprir códigos de conduta aprovados em conformidade com o nº 5 do presente artigo e de aplicabilidade geral por força do nº 9 do presente artigo, de modo a fornecer garantias apropriadas no quadro das transferências dos dados pessoais para países terceiros ou organizações internacionais nos termos referidos no artigo 46º, nº 2, alínea e). Os responsáveis pelo tratamento ou os subcontratantes assumem compromissos vinculativos e com força executiva, por meio de instrumentos contratuais ou de outros instrumentos juridicamente vinculativos, no sentido de aplicar as garantias apropriadas, inclusivamente em relação aos direitos dos titulares dos dados.
  4. Os códigos de conduta referidos no nº 2 do presente artigo devem prever procedimentos que permitam ao organismo referido no artigo 41º, nº 1, efetuar a supervisão obrigatória do cumprimento das suas disposições por parte dos responsáveis pelo tratamento ou subcontratantes que se comprometam a aplicá-lo, sem prejuízo das funções e competências das autoridades de controlo competentes por força do artigo 55º ou 56º.
  5. As associações e outros organismos a que se refere o nº 2 do presente artigo que tencionem elaborar um código de conduta, ou alterar ou aditar a um código existente, apresentam o projeto de código, a alteração ou o aditamento à autoridade de controlo que é competente por força do artigo 55º. A autoridade de controlo emite um parecer sobre a conformidade do projeto de código de conduta ou da alteração ou do aditamento com o presente regulamento e aprova este projeto, esta alteração ou este aditamento se determinar que são previstas garantias apropriadas suficientes.
  6. Se o código de conduta, ou a alteração ou o aditamento for aprovado nos termos do nº 5, e se o código de conduta em causa não estiver relacionado com atividades de tratamento realizadas em vários Estados-Membros, a autoridade de controlo regista e publica o código.
  7. Se o projeto do código de conduta estiver relacionado com atividades de tratamento realizadas em vários Estados-Membros, a autoridade de controlo competente nos termos do artigo 55º, antes da aprovação, apresenta o projeto do código, a alteração ou o aditamento, pelo procedimento referido no artigo 63º, ao Comité, que emite um parecer sobre a conformidade do projeto de código de conduta, ou da alteração ou do aditamento, com o presente regulamento, ou, na situação referida no nº 3 do presente artigo, sobre a previsão de garantias adequadas.
  8. Se o parecer a que se refere o nº 7 confirmar que o projeto do código de conduta, ou a alteração ou o aditamento, está conforme com o presente regulamento ou, na situação referida no nº 3, prevê garantias adequadas, o Comité apresenta o seu parecer à Comissão.
  9. A Comissão pode, através de atos de execução, decidir que os códigos de conduta aprovados, bem como as alterações ou os aditamentos, que lhe sejam apresentados nos termos do nº 8 do presente artigo, são de aplicabilidade geral na União. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 93º, nº 2.
  10. A Comissão assegura a publicidade adequada dos códigos aprovados que declarou, mediante decisão, serem de aplicabilidade geral em conformidade com o nº 9.
  11. O Comité recolhe todos os códigos de conduta aprovados, respetivas alterações e respetivos aditamentos num registo e disponibiliza-os ao público pelos meios adequados.

Artigo 41 – Supervisão dos códigos de conduta aprovados

  1. Sem prejuízo das funções e competências da autoridade de controlo competente ao abrigo dos artigos 57º e 58º, a supervisão de conformidade com um código de conduta nos termos do artigo 40º pode ser efetuada por um organismo que tenha um nível adequado de competência relativamente ao objeto do código e esteja acreditado para o efeito pela autoridade de controlo competente.
  2. O organismo a que se refere o nº 1 pode ser acreditado para supervisão de conformidade com um código de conduta, se:
    1. Tiver demonstrado que goza de independência e dispõe dos conhecimentos necessários em relação ao objeto do código, de forma satisfatória para a autoridade de controlo competente;
    2. Tiver estabelecido procedimentos que lhe permitam avaliar a elegibilidade dos responsáveis pelo tratamento e dos subcontratantes em questão para aplicar o código, verificar se estes respeitam as disposições do mesmo e rever periodicamente o seu funcionamento;
    3. Tiver estabelecido procedimentos e estruturas para tratar reclamações relativas a violações do código ou à forma como o código tenha sido ou esteja a ser aplicado pelo responsável pelo tratamento ou subcontratante, e para tornar estes procedimentos e estruturas transparentes para os titulares dos dados e o público;
    4. Demonstrar, de forma satisfatória para a autoridade de controlo competente, que as suas funções e atribuições não implicam um conflito de interesses.
  3. A autoridade de controlo competente apresenta os projetos de requisitos para a acreditação
    do organismo referido no n.º 1 do presente artigo ao Comité, de acordo com o procedimento
    de controlo da coerência referido no artigo 63º.
  4. Sem prejuízo das funções e competências da autoridade de controlo competente e do disposto no capítulo VIII, o organismo a que se refere o  nº 1 do presente artigo toma, sob reserva das garantias adequadas, as medidas que forem adequadas em caso de violações do código por um responsável pelo tratamento ou por um subcontratante, incluindo a suspensão ou exclusão desse responsável ou subcontratante do código. O referido organismo informa a autoridade de controlo competente dessas medidas e dos motivos que levaram à sua tomada.
  5. A autoridade de controlo competente revoga a acreditação do organismo a que se refere o n.º 1 se os requisitos para a acreditação não estiverem ou tiverem deixado de estar reunidas, ou se as medidas tomadas pelo organismo violarem o presente regulamento.
  6. O presente artigo não se aplica ao tratamento realizado por autoridades e organismos públicos.

Artigo 42 – Certificação

  1. Os Estados-Membros, as autoridades de controlo, o Comité e a Comissão promovem, em especial ao nível da União, a criação de procedimentos de certificação em matéria de proteção de dados, bem como selos e marcas de proteção de dados, para efeitos de comprovação da conformidade das operações de tratamento de responsáveis pelo tratamento e subcontratantes com o presente regulamento. Serão tidas em conta as necessidades específicas das micro, pequenas e médias empresas.
  2. Além do cumprimento pelos responsáveis pelo tratamento ou pelos subcontratantes sujeitos ao presente
    regulamento, os procedimentos de certificação em matéria de proteção de dados, bem como selos ou marcas aprovados de acordo com o nº 5 do presente artigo também podem ser estabelecidos para efeitos de comprovação da existência de garantias adequadas fornecidas por responsáveis pelo tratamento ou por subcontratantes que não estão sujeitos ao presente regulamento por força do artigo 3º no quadro das transferências de dados pessoais para países terceiros ou organizações internacionais nos termos referidos no artigo 46º, nº 2, alínea f). Os responsáveis pelo tratamento ou os subcontratantes assumem compromissos vinculativos e com força executiva, por meio de instrumentos contratuais ou de outros instrumentos juridicamente vinculativos, no sentido de aplicar as garantias adequadas, inclusivamente em relação aos direitos dos titulares dos dados.
  3. A certificação é voluntária e está disponível através de um processo transparente.
  4. A certificação prevista no presente artigo não diminui a responsabilidade dos responsáveis pelo tratamento e subcontratantes pelo cumprimento do presente regulamento nem prejudica as funções e competências das autoridades de controlo competentes por força do artigo 55º ou 56º.
  5. A certificação prevista no presente artigo é emitida pelos organismos de certificação referidos no artigo 43º ou pela autoridade de controlo competente, com base nos critérios por esta aprovados por força do artigo 58º, nº 3, ou pelo Comité por força do artigo 63º. Caso os critérios sejam aprovados pelo Comité, podem ter como resultado uma certificação comum, o Selo Europeu de Proteção de Dados.
  6. Os responsáveis pelo tratamento ou subcontratantes que submetem o seu tratamento ao procedimento de
    certificação fornecem ao organismo de certificação a que se refere o artigo 43º, ou, consoante o caso, à autoridade de controlo competente, todo o acesso às suas atividades de tratamento e toda a informação de que haja necessidade para efetuar o procedimento de certificação.
  7. A certificação é emitida aos responsáveis pelo tratamento e subcontratantes por um período
    máximo de três anos e pode ser renovada nas mesmas condições, desde que os critérios
    aplicáveis continuem a estar reunidos. A certificação é retirada, consoante o caso, pelos
    organismos de certificação referidos no artigo 43.º ou pela autoridade de controlo
    competente, se os critérios para a certificação não estiverem ou tiverem deixado de estar
    reunidos.
  8. O Comité recolhe todos os procedimentos de certificação e todos os selos e marcas de proteção de dados aprovados num registo e disponibiliza-os ao público por todos os meios adequados.

Artigo 43 – Organismos de certificação

  1. Sem prejuízo das atribuições e poderes da autoridade de controlo competente nos termos dos artigos 57º e 58º, um organismo de certificação que tenha um nível adequado de competência em matéria de proteção de dados emite e renova a certificação, após informar a autoridade de controlo para que esta possa exercer as suas competências nos termos do artigo 58º, nº 2, alínea h), sempre que necessário. Os Estados-Membros asseguram que estes organismos de certificação são acreditados:
    1. Pela autoridade de controlo que é competente nos termos do artigo 55º ou 56º;
    2. Pelo organismo nacional de acreditação, designado nos termos do Regulamento (CE) nº 765/2008 do Parlamento Europeu e do Conselho, em conformidade com a norma EN-ISO/IEC 17065/2012 e com os requisitos adicionais estabelecidos pela autoridade de controlo que é competente nos termos do artigo 55º ou 56º.
  2. Os organismos de certificação referidos no nº 1 são acreditados em conformidade com o mesmo, apenas se:
    1. Tiverem demonstrado que gozam de independência e dispõem dos conhecimentos necessários em relação ao objeto da certificação, de forma satisfatória para a autoridade de controlo competente;
    2. Se tiverem comprometido a respeitar os critérios referidos no artigo 42º, nº 5, e aprovados pela autoridade de controlo que é competente por força do artigo 55º ou 56º ou pelo Comité por força do artigo 63º;
    3. Tiverem estabelecido procedimentos para a emissão, revisão periódica e retirada de procedimentos de certificação, selos e marcas de proteção de dados;
    4. Tiverem estabelecido procedimentos e estruturas para tratar reclamações relativas a violações da certificação ou à forma como a certificação tenha sido ou esteja a ser implementada pelo responsável pelo tratamento ou subcontratante, e para tornar estes procedimentos e estruturas transparentes para os titulares dos dados e o público;
    5. Demonstrarem, de forma satisfatória para a autoridade de controlo competente, que as suas funções e atribuições não implicam um conflito de interesses.
  3. A acreditação dos organismos de certificação referida nos nºs 1 e 2 do presente artigo é
    efetuada com base nos requisitos aprovados pela autoridade de controlo que é competente
    por força do artigo 55.º ou do artigo 56.º ou pelo Comité por força do artigo 63º. No caso de acreditações nos termos do nº 1, alínea b), do presente artigo, esses requisitos complementam os requisitos previstos no Regulamento (CE) nº 765/2008 e as regras técnicas que descrevem os métodos e procedimentos dos organismos de certificação.
  4. Os organismos de certificação a que se refere o nº 1 são responsáveis pela correta avaliação necessária à certificação, ou pela revogação dessa certificação, sem prejuízo da responsabilidade que cabe ao responsável pelo tratamento ou ao subcontratante pelo cumprimento do presente regulamento. A acreditação é emitida por um período máximo de cinco anos e pode ser renovada nas mesmas condições, desde que o organismo de certificação reúna os requisitos estabelecidos no presente artigo.
  5. Os organismos de certificação a que se refere o nº 1 fornecem às autoridades de controlo competentes os motivos que levaram à concessão ou revogação da certificação solicitada.
  6. Os requisitos referidos no n.º 3 do presente artigo, e os critérios referidos no artigo 42.º,
    n.º 5, são publicados pela autoridade de controlo sob uma forma facilmente acessível. As autoridades de controlo também comunicam estes requisitos e estas informações ao Comité.
  7. Sem prejuízo do capítulo VIII, a autoridade de controlo competente ou o organismo nacional de acreditação revoga uma acreditação do organismo de certificação nos termos do nº 1 do presente artigo, se as condições para a acreditação não estiverem ou tiverem deixado de estar reunidas, ou se as medidas tomadas pelo organismo de certificação violarem o presente regulamento.
  8. A Comissão fica habilitada a adotar atos delegados nos termos do artigo 92º, a fim de especificar os requisitos a ter em conta relativamente aos procedimentos de certificação em matéria de proteção de dados referidos no artigo 42º, nº 1.
  9. A Comissão pode adotar atos de execução estabelecendo normas técnicas para os procedimentos de certificação e os selos e marcas em matéria de proteção de dados, e regras para promover e reconhecer esses procedimentos de certificação, selos e marcas. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 93º, nº 2.

Capítulo V - Transferências de dados pessoais para países terceiros ou organizações internacionais

Artigo 44 – Princípio geral das transferências

Qualquer transferência de dados pessoais que sejam ou venham a ser objeto de tratamento após transferência para um país terceiro ou uma organização internacional só é realizada se, sem prejuízo das outras disposições do presente regulamento, as condições estabelecidas no presente capítulo forem respeitadas pelo responsável pelo tratamento e pelo subcontratante, inclusivamente no que diz respeito às transferências ulteriores de dados pessoais do país terceiro ou da organização internacional para outro país terceiro ou outra organização internacional. Todas as disposições do presente capítulo são aplicadas de forma a assegurar que não é comprometido o nível de proteção das pessoas singulares garantido pelo presente regulamento.

Artigo 45 – Transferências com base numa decisão de adequação

  1. Pode ser realizada uma transferência de dados pessoais para um país terceiro ou uma organização internacional se a Comissão tiver decidido que o país terceiro, um território ou um ou mais setores específicos desse país terceiro, ou a organização internacional em causa, assegura um nível de proteção adequado. Esta transferência não exige autorização específica.
  2. Ao avaliar a adequação do nível de proteção, a Comissão tem nomeadamente em conta os seguintes elementos:
    1. O primado do Estado de direito, o respeito pelos direitos humanos e liberdades fundamentais, a legislação pertinente em vigor, tanto a geral como a setorial, nomeadamente em matéria de segurança pública, defesa, segurança nacional e direito penal, e respeitante ao acesso das autoridades públicas a dados pessoais, bem como a aplicação dessa legislação e das regras de proteção de dados, das regras profissionais e das medidas de segurança, incluindo as regras
      para a transferência ulterior de dados pessoais para outro país terceiro ou organização internacional, que são cumpridas nesse país ou por essa organização internacional, e a jurisprudência, bem como os direitos dos titulares dos dados efetivos e oponíveis, e vias de recurso administrativo e judicial para os titulares de dados cujos dados pessoais sejam objeto de transferência;
    2. A existência e o efetivo funcionamento de uma ou mais autoridades de controlo independentes no país terceiro ou às quais esteja sujeita uma organização internacional, responsáveis por assegurar e impor o cumprimento das regras de proteção de dados, e dotadas de poderes coercitivos adequados para assistir e aconselhar os titulares dos dados no exercício dos seus direitos, e cooperar com as autoridades de controlo dos Estados-Membros;
    3. Os compromissos internacionais assumidos pelo país terceiro ou pela organização internacional em causa, ou outras obrigações decorrentes de convenções ou instrumentos juridicamente vinculativos, bem como da sua participação em sistemas multilaterais ou regionais, em especial em relação à proteção de dados pessoais.
  3. Após avaliar a adequação do nível de proteção, a Comissão pode decidir, através de um ato de execução, que um país terceiro, um território ou um ou mais setores específicos de um país terceiro, ou uma organização internacional, garante um nível de proteção adequado na aceção do nº 2 do presente artigo. O ato de execução prevê um procedimento de avaliação periódica, no mínimo de quatro em quatro anos, que deverá ter em conta todos os desenvolvimentos pertinentes no país terceiro ou na organização internacional. O ato de execução especifica o âmbito de aplicação territorial e setorial e, se for caso disso, identifica a autoridade ou autoridades de controlo a que se refere o nº 2, alínea b), do presente artigo. O referido ato de execução é adotado pelo procedimento de exame a que se refere o artigo 93º, nº 2.
  4. A Comissão controla, de forma continuada, os desenvolvimentos nos países terceiros e nas organizações internacionais que possam afetar o funcionamento das decisões adotadas nos termos do nº 3 do presente artigo e das decisões adotadas com base no artigo 25º, nº 6, da Diretiva 95/46/CE.
  5. A Comissão, sempre que a informação disponível revelar, nomeadamente na sequência da revisão a que se refere o nº 3 do presente artigo, que um país terceiro, um território ou um ou mais setores específicos de um país terceiro, ou uma organização internacional, deixou de assegurar um nível de proteção adequado na aceção do nº 2 do presente artigo, na medida do necessário, revoga, altera ou suspende a decisão referida no nº 3 do presente artigo, através de atos de execução, sem efeitos retroativos. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 93º, nº 2. Por imperativos de urgência devidamente justificados, a Comissão adota atos de execução imediatamente aplicáveis pelo procedimento a que se refere o artigo 93º, nº 3.
  6. A Comissão inicia consultas com o país terceiro ou a organização internacional com vista a corrigir a situação que tiver dado origem à decisão tomada nos termos do nº 5.
  7. As decisões tomadas ao abrigo do nº 5 do presente artigo não prejudicam as transferências de dados pessoais para o país terceiro, um território ou um ou mais setores específicos desse país terceiro, ou para a organização internacional em causa, nos termos dos artigos 46º a 49º.
  8. A Comissão publica no Jornal Oficial da União Europeia e no seu sítio web uma lista dos países terceiros, territórios e setores específicos de um país terceiro e de organizações internacionais relativamente aos quais tenha declarado, mediante decisão, se asseguram ou não um nível de proteção adequado.
  9. As decisões adotadas pela Comissão com base no artigo 25º, nº 6, da Diretiva 95/46/CE permanecem em vigor até que sejam alteradas, substituídas ou revogadas por uma decisão da Comissão adotada em conformidade com o nº 3 ou o nº 5 do presente artigo.

Artigo 46 – Transferências sujeitas a garantias adequadas

  1. Não tendo sido tomada qualquer decisão nos termos do artigo 45º, nº 3, os responsáveis pelo tratamento ou subcontratantes só podem transferir dados pessoais para um país terceiro ou uma organização internacional se tiverem apresentado garantias adequadas, e na condição de os titulares dos dados gozarem de direitos oponíveis e de medidas jurídicas corretivas eficazes.
  2. Podem ser previstas as garantias adequadas referidas no nº 1, sem requerer nenhuma autorização específica de uma autoridade de controlo, por meio de:
    1. Um instrumento juridicamente vinculativo e com força executiva entre autoridades ou organismos públicos;
    2. Regras vinculativas aplicáveis às empresas em conformidade com o artigo 47º;
    3. Cláusulas-tipo de proteção de dados adotadas pela Comissão pelo procedimento de exame referido no artigo 93º, nº 2;
    4. Um código de conduta, aprovado nos termos do artigo 40º, acompanhado de compromissos vinculativos e com força executiva assumidos pelos responsáveis pelo tratamento ou pelos subcontratantes no país terceiro no sentido de aplicarem as garantias adequadas, nomeadamente no que respeita aos direitos dos titulares dos dados;
    5. Um procedimento de certificação, aprovado nos termos do artigo 42º, acompanhado de compromissos vinculativos e com força executiva assumidos pelos responsáveis pelo tratamento ou pelos subcontratantes no país terceiro no sentido de aplicarem as garantias adequadas, nomeadamente no que respeita aos direitos dos titulares dos dados.
  3. Sob reserva de autorização da autoridade de controlo competente, podem também ser previstas as garantias adequadas referidas no nº 1, nomeadamente por meio de:
    1. Cláusulas contratuais entre os responsáveis pelo tratamento ou subcontratantes e os responsáveis pelo tratamento, subcontratantes ou destinatários dos dados pessoais no país terceiro ou organização internacional;
    2. Disposições a inserir nos acordos administrativos entre as autoridades ou organismos públicos que contemplem os direitos efetivos e oponíveis dos titulares dos dados.
  4. A autoridade de controlo aplica o procedimento de controlo da coerência a que se refere o artigo 63º nos casos enunciados no nº 3 do presente artigo.
  5. As autorizações concedidas por um Estado-Membro ou uma autoridade de controlo com base no artigo 26º, nº 2, da Diretiva 95/46/CE continuam válidas até que a mesma autoridade de controlo as altere, substitua ou revogue, caso seja necessário. As decisões adotadas pela Comissão com base no artigo 26º, nº 4, da Diretiva 95/46/CE permanecem em vigor até que sejam alteradas, substituídas ou revogadas, caso seja necessário, por uma decisão da Comissão adotada em conformidade com o nº 2 do presente artigo.

Artigo 47 – Regras vinculativas aplicáveis às empresas

  1. Pelo procedimento de controlo da coerência previsto no artigo 63º, a autoridade de controlo competente aprova regras vinculativas aplicáveis às empresas, que devem:
    1. Ser juridicamente vinculativas e aplicáveis a todas as entidades em causa do grupo empresarial ou do grupo de empresas envolvidas numa atividade económica conjunta, incluindo os seus funcionários, as quais deverão assegurar o seu cumprimento;
    2. Conferir expressamente aos titulares dos dados direitos oponíveis relativamente ao tratamento dos seus dados pessoais;
    3. Preencher os requisitos estabelecidos no nº 2.
  2. As regras vinculativas aplicáveis às empresas a que se refere o nº 1 especificam, pelo menos:
    1. A estrutura e os contactos do grupo empresarial ou do grupo de empresas envolvidas numa atividade económica conjunta e de cada uma das entidades que o compõe;
    2. As transferências ou conjunto de transferências de dados, incluindo as categorias de dados pessoais, o tipo de tratamento e suas finalidades, o tipo de titulares de dados afetados e a identificação do país ou países terceiros em questão;
    3. O seu caráter juridicamente vinculativo, a nível interno e externo;
    4. A aplicação dos princípios gerais de proteção de dados, nomeadamente a limitação das finalidades, a minimização dos dados, a limitação dos prazos de conservação, a qualidade dos dados, a proteção dos dados desde a conceção e por defeito, o fundamento jurídico para o tratamento, o tratamento de categorias especiais de dados pessoais, as medidas de garantia da segurança dos dados e os requisitos aplicáveis a transferências posteriores para organismos não abrangidos pelas regras vinculativas aplicáveis às empresas;
    5. Os direitos dos titulares dos dados relativamente ao tratamento e regras de exercício desses direitos, incluindo o direito de não ser objeto de decisões baseadas unicamente no tratamento automatizado, nomeadamente a definição de perfis a que se refere o artigo 22º, o direito de apresentar uma reclamação à autoridade de controlo competente e aos tribunais competentes dos Estados-Membros nos termos do artigo 79º, bem como o de obter reparação e, se for caso disso, indemnização pela violação das regras vinculativas aplicáveis às empresas;
    6. A aceitação, por parte do responsável pelo tratamento ou subcontratante estabelecido no território de um Estado-Membro, da responsabilidade por toda e qualquer violação das regras vinculativas aplicáveis às empresas cometida por uma entidade envolvida que não se encontre estabelecida na União; o responsável pelo tratamento ou o subcontratante só pode ser exonerado dessa responsabilidade, no todo ou em parte, mediante prova de que o facto que causou o dano não é imputável à referida entidade;
    7. A forma como as informações sobre as regras vinculativas aplicáveis às empresas, nomeadamente, sobre as disposições referidas nas alíneas d), e) e f) do presente número, são comunicadas aos titulares dos dados para além das informações referidas nos artigos 13º e 14º;
    8. As funções de qualquer encarregado da proteção de dados, designado nos termos do artigo 37º ou de qualquer outra pessoa ou entidade responsável pelo controlo do cumprimento das regras vinculativas aplicáveis às empresas, a nível do grupo empresarial ou do grupo de empresas envolvidas numa atividade económica conjunta, e pela supervisão das ações de formação e do tratamento de reclamações;
    9. Os procedimentos de reclamação;
    10. Os procedimentos existentes no grupo empresarial ou no grupo de empresas envolvidas numa atividade económica conjunta para assegurar a verificação do cumprimento das regras vinculativas aplicáveis às empresas. Esses procedimentos incluem a realização de auditorias sobre a proteção de dados e o recurso a métodos que garantam a adoção de medidas corretivas capazes de preservar os direitos dos respetivos titulares. Os resultados dessa verificação devem ser comunicados à pessoa ou entidade referida na alínea h) e ao Conselho de Administração da empresa ou grupo empresarial que exerce o controlo ou do grupo de empresas envolvidas numa atividade económica conjunta, devendo também ser facultados à autoridade de controlo competente, a pedido desta;
    11. Os procedimentos de elaboração de relatórios e de registo de alterações às regras, bem como de comunicação dessas alterações à autoridade de controlo;
    12. O procedimento de cooperação com a autoridade de controlo para assegurar o cumprimento, por qualquer entidade do grupo empresarial ou do grupo de empresas envolvidas numa atividade económica conjunta, em especial facultando à autoridade de controlo os resultados de verificações das medidas referidas na alínea j);
    13. Os procedimentos de comunicação, à autoridade de controlo competente, de todos os requisitos legais a que uma entidade do grupo empresarial ou do grupo de empresas envolvidas numa atividade económica conjunta esteja sujeita num país terceiro que sejam passíveis de ter forte impacto negativo nas garantias dadas pelas regras vinculativas aplicáveis às empresas;
    14. Ações de formação especificamente dirigidas a pessoas que tenham, em permanência ou regularmente, acesso a dados de natureza pessoal.
    15. A Comissão pode especificar o formato e os procedimentos de intercâmbio de informações entre os responsáveis pelo tratamento, os subcontratantes e as autoridades de controlo no que respeita às regras vinculativas aplicáveis às empresas na aceção do presente artigo. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 93º, nº 2.

Artigo 48 – Transferências ou divulgações não autorizadas pelo direito da União

As decisões judiciais e as decisões de autoridades administrativas de um país terceiro que exijam que o responsável pelo tratamento ou o subcontratante transfiram ou divulguem dados pessoais só são reconhecidas ou executadas se tiverem como base um acordo internacional, como um acordo de assistência judiciária mútua, em vigor entre o país terceiro em causa e a União ou um dos Estados-Membros, sem prejuízo de outros motivos de transferência nos termos do presente capítulo.

Artigo 49 – Derrogações para situações específicas

  1. Na falta de uma decisão de adequação nos termos do artigo 45º, nº 3, ou de garantias adequadas nos termos do artigo 46º, designadamente de regras vinculativas aplicáveis às empresas, as transferências ou conjunto de transferências de dados pessoais para países terceiros ou organizações internacionais só são efetuadas caso se verifique uma das seguintes condições:
    1. O titular dos dados tiver explicitamente dado o seu consentimento à transferência prevista, após ter sido informado dos possíveis riscos de tais transferências para si próprio devido à falta de uma decisão de adequação e das garantias adequadas;
    2. A transferência for necessária para a execução de um contrato entre o titular dos dados e o responsável pelo tratamento ou de diligências prévias à formação do contrato decididas a pedido do titular dos dados;
    3. A transferência for necessária para a celebração ou execução de um contrato, celebrado no interesse do titular dos dados, entre o responsável pelo seu tratamento e outra pessoa singular ou coletiva;
    4. A transferência for necessária por importantes razões de interesse público;
    5. A transferência for necessária à declaração, ao exercício ou à defesa de um direito num processo judicial;
    6. A transferência for necessária para proteger interesses vitais do titular dos dados ou de outras pessoas, se esse titular estiver física ou legalmente incapaz de dar o seu consentimento;
    7. A transferência for realizada a partir de um registo que, nos termos do direito da União ou do Estado-Membro, se destine a informar o público e se encontre aberto à consulta do público em geral ou de qualquer pessoa que possa provar nela ter um interesse legítimo, mas apenas na medida em que as condições de consulta estabelecidas no direito da União ou de um Estado-Membro se encontrem preenchidas nesse caso concreto.
    8. Quando uma transferência não puder basear-se no disposto no artigo 45º ou 46º, incluindo nas regras vinculativas aplicáveis às empresas, e não for aplicável nenhuma das derrogações previstas para as situações específicas a que se refere o primeiro parágrafo do presente número, a transferência para um país terceiro ou uma organização internacional só pode ser efetuada se não for repetitiva, apenas disser respeito a um número limitado de titulares dos dados, for necessária para efeitos dos interesses legítimos visados pelo responsável pelo seu tratamento, desde que a tais interesses não se sobreponham os interesses ou os direitos e liberdades do titular dos dados, e o responsável pelo tratamento tiver ponderado todas as circunstâncias relativas à transferência de dados e, com base nessa avaliação, tiver apresentado garantias adequadas no que respeita à proteção de dados pessoais. O responsável pelo tratamento informa da transferência a autoridade de controlo. Para além de fornecer a informação referida nos artigos 13º e 14º, o responsável pelo tratamento presta informações ao titular dos dados sobre a transferência e os interesses legítimos visados.
  2. As transferências efetuadas nos termos do nº 1, primeiro parágrafo, alínea g), não envolvem a totalidade dos dados pessoais nem categorias completas de dados pessoais constantes do registo. Quando o registo se destinar a ser consultado por pessoas com um interesse legítimo, as transferências só podem ser efetuadas a pedido dessas pessoas ou se forem elas os seus destinatários.
  3. O nº 1, primeiro parágrafo, alíneas a), b) e c), e segundo parágrafo, não é aplicável a atividades levadas a cabo por autoridades públicas no exercício dos seus poderes.
  4. O interesse público referido no nº 1, primeiro parágrafo, alínea d), é reconhecido pelo direito da União ou pelo direito do Estado-Membro a que o responsável pelo tratamento se encontre sujeito.
  5. Na falta de uma decisão de adequação, o direito da União ou de um Estado-Membro podem, por razões
    importantes de interesse público, estabelecer expressamente limites à transferência de categorias específicas de dados para países terceiros ou organizações internacionais. Os Estados-Membros notificam a Comissão dessas disposições.
  6. O responsável pelo tratamento ou o subcontratante documenta a avaliação, bem como as garantias adequadas referidas no nº 1, segundo parágrafo, do presente artigo, nos registos a que se refere o artigo 30º.

Artigo 50 – Cooperação internacional no domínio da proteção de dados pessoais

Em relação a países terceiros e a organizações internacionais, a Comissão e as autoridades de controlo tomam as medidas necessárias para: 

  1. Estabelecer regras internacionais de cooperação destinadas a facilitar a aplicação efetiva da legislação em matéria de proteção de dados pessoais;
  2. Prestar assistência mútua a nível internacional no domínio da aplicação da legislação relativa à proteção de dados pessoais, nomeadamente através da notificação, comunicação de reclamações, e assistência na investigação e intercâmbio de informações, sob reserva das garantias adequadas de proteção dos dados pessoais e de outros direitos e liberdades fundamentais;
  3. Associar as partes interessadas aos debates e atividades que visem intensificar a cooperação internacional no âmbito da aplicação da legislação relativa à proteção de dados pessoais;
  4. Promover o intercâmbio e a documentação da legislação e das práticas em matéria de proteção de dados pessoais, nomeadamente no que diz respeito a conflitos jurisdicionais com países terceiros.

Capítulo VI - Autoridades de controlo independentes

Artigo 51 – Autoridade de controlo

  1. Os Estados-Membros estabelecem que cabe a uma ou mais autoridades públicas independentes a responsabilidade pela fiscalização da aplicação do presente regulamento, a fim de defender os direitos e liberdades fundamentais das pessoas singulares relativamente ao tratamento e facilitar a livre circulação desses dados na União («autoridade de controlo»). 
  2. As autoridades de controlo contribuem para a aplicação coerente do presente regulamento em toda a União. Para esse efeito, as autoridades de controlo cooperam entre si e com a Comissão, nos termos do capítulo VII.
  3. Quando estiverem estabelecidas mais do que uma autoridade de controlo num Estado-Membro, este determina qual a autoridade de controlo que deve representar essas autoridades no Comité e estabelece disposições para assegurar que as regras relativas ao procedimento de controlo da coerência referido no artigo 63.o, sejam cumpridas pelas autoridades.
  4. Os Estados-Membros notificam a Comissão das disposições do direito nacional que adotarem nos termos do presente capítulo, até 25 de maio de 2018 e, sem demora, de qualquer alteração posterior a essas mesmas disposições.

Artigo 52 – Independência

  1. As autoridades de controlo agem com total independência no na prossecução das suas atribuições e no exercício dos poderes que lhe são atribuídos nos termos do presente regulamento. 
  2. Os membros das autoridades de controlo não estão sujeitos a influências externas, diretas ou indiretas no
    desempenho das suas funções e no exercício dos seus poderes nos termos do presente regulamento, e não solicitam nem recebem instruções de outrem.
  3. Os membros da autoridade de controlo abstêm-se de qualquer ato incompatível com as suas funções e, durante o seu mandato, não podem desempenhar nenhuma atividade, remunerada ou não, que com elas seja incompatível.
  4. Os Estados-Membros asseguram que cada autoridade de controlo disponha dos recursos humanos, técnicos e financeiros, instalações e infraestruturas necessários à prossecução eficaz das suas atribuições e ao exercício dos seus poderes, incluindo as executadas no contexto da assistência mútua, da cooperação e da participação no Comité.
  5. Os Estados-Membros asseguram que cada autoridade de controlo selecione e disponha do seu próprio pessoal, que ficará sob a direção exclusiva dos membros da autoridade de controlo interessada.
  6. Os Estados-Membros asseguram que cada autoridade de controlo fique sujeita a um controlo financeiro que não afeta a sua independência e que disponha de orçamentos anuais separados e públicos, que poderão estar integrados no orçamento geral do Estado ou nacional.

Artigo 53 – Condições gerais aplicáveis aos membros da autoridade de controlo

  1. Os Estados-Membros estabelecem que cada membro das respetivas autoridades de controlo seja nomeado por procedimento transparente:
    1. pelo Parlamento,
    2. pelo Governo,
    3. pelo Chefe de Estado, ou
    4. por um organismo independente incumbido da nomeação nos termos do direito do Estado-Membro.
  2. Cada membro possui as habilitações, a experiência e os conhecimentos técnicos necessários, nomeadamente no domínio da proteção de dados pessoais, ao desempenho das suas funções e ao exercício dos seus poderes.
  3. As funções dos membros da autoridade de controlo cessam findo o seu mandato, com a sua exoneração ou aposentação compulsiva, nos termos do direito do Estado-Membro em causa.
  4. Os membros da autoridade de controlo só são exonerados se tiverem cometido uma falta grave ou se tiverem deixado de cumprir as condições exigidas para o exercício das suas funções

Artigo 54 – Regras aplicáveis à constituição da autoridade de controlo

  1. Os Estados-Membros estabelecem, por via legislativa:
    1. A constituição de cada autoridade de controlo;
    2. As qualificações e as condições de elegibilidade necessárias para a nomeação dos membros de cada autoridade de controlo;
    3. As regras e os procedimentos de nomeação dos membros de cada autoridade de controlo;
    4. A duração do mandato dos membros de cada autoridade de controlo, que não será inferior a quatro anos, salvo no caso do primeiro mandato após 24 de maio de 2016, e ser mais curta quando for necessário proteger a independência da autoridade de controlo através de um procedimento de nomeações escalonadas;
    5. Se, e em caso afirmativo, por quantos mandatos os membros de cada autoridade de controlo podem ser renomeados;
    6. As condições que regem as obrigações dos membros e do pessoal de cada autoridade de controlo, a proibição das ações, funções e benefícios que com elas são incompatíveis durante o mandato e após o seu termo e as regras que regem a cessação da relação de trabalho.
  2. Os membros e o pessoal de cada autoridade de controlo ficam sujeitos, nos termos do direito da União ou dos Estados-Membros, à obrigação de sigilo profissional, tanto durante o mandato como após o seu termo, quanto a quaisquer informações confidenciais a que tenham tido acesso no desempenho das suas funções ou exercício dos seus poderes. Durante o seu mandato, essa obrigação de sigilo profissional aplica-se, em especial, à comunicação por pessoas singulares de violações do presente regulamento.

Artigo 55 – Competência

  1. As autoridades de controlo são competentes para prosseguir as atribuições e exercer os poderes que lhes são conferidos pelo presente regulamento no território do seu próprio Estado-Membro.
  2. Quando o tratamento for efetuado por autoridades públicas ou por organismos privados que atuem ao abrigo do artigo 6º, nº 1, alínea c) ou e), é competente a autoridade de controlo do Estado-Membro em causa. Nesses casos, não é aplicável o artigo 56º.
  3. As autoridades de controlo não têm competência para controlar operações de tratamento efetuadas por tribunais que atuem no exercício da sua função jurisdicional.

Artigo 56 – Competência da autoridade de controlo principal

  1. Sem prejuízo do disposto no artigo 55º, a autoridade de controlo do estabelecimento principal ou do estabelecimento único do responsável pelo tratamento ou do subcontratante é competente para agir como autoridade de controlo principal para o tratamento transfronteiriço efetuado pelo referido responsável pelo tratamento ou subcontratante nos termos do artigo 60º.
  2. Em derrogação do nº 1, cada autoridade de controlo é competente para tratar reclamações que lhe sejam apresentadas ou a eventuais violações do presente regulamento se a matéria em apreço estiver relacionada apenas com um estabelecimento no seu Estado-Membro ou se afetar substancialmente titulares de dados apenas no seu Estado-Membro.
  3. Nos casos previstos no nº 2 do presente artigo, a autoridade de controlo informa sem demora do assunto a autoridade de controlo principal. No prazo de três semanas a contar do momento em que tiver sido informada, a autoridade de controlo principal decide se trata o caso, nos termos do artigo 60º, tendo em conta se há ou não algum estabelecimento do responsável pelo tratamento ou subcontratante no Estado-Membro sobre o qual a autoridade de controlo a tenha informado.
  4. Quando a autoridade de controlo principal decide tratar o caso, aplica-se o procedimento previsto no artigo 60º. A autoridade de controlo que tiver informado a autoridade de controlo principal pode apresentar a esta última um projeto de decisão. A autoridade de controlo principal tem esse projeto na melhor conta quando prepara o projeto de decisão referido no artigo 60º, nº 3.
  5. Caso a autoridade de controlo principal decida não tratar o caso, é a autoridade de controlo que a informou que o trata, nos termos dos artigos 61º e 62º.
  6. A autoridade de controlo principal é o único interlocutor do responsável pelo tratamento ou do subcontratante no tratamento transfronteiriço efetuado pelo referido responsável pelo tratamento ou subcontratante.

Artigo 57 – Atribuições

  1. Sem prejuízo de outras atribuições previstas nos termos do presente regulamento, cada autoridade de controlo, no território respetivo:
    1. Controla e executa a aplicação do presente regulamento;
    2. Promove a sensibilização e a compreensão do público relativamente aos riscos, às regras, às garantias e aos direitos associados ao tratamento. As atividades especificamente dirigidas às crianças devem ser alvo de uma atenção especial;
    3. Aconselha, em conformidade com o direito do Estado-Membro, o Parlamento nacional, o Governo e outras instituições e organismos a respeito das medidas legislativas e administrativas relacionadas com a defesa dos direitos e liberdades das pessoas singulares no que diz respeito ao tratamento;
    4. Promove a sensibilização dos responsáveis pelo tratamento e dos subcontratantes para as suas obrigações nos termos do presente regulamento;
    5. Se lhe for solicitado, presta informações a qualquer titular de dados sobre o exercício dos seus direitos nos termos do presente regulamento e, se necessário, coopera com as autoridades de controlo de outros Estados-Membros para esse efeito;
    6. Trata as reclamações apresentadas por qualquer titular de dados, ou organismo, organização ou associação nos termos do artigo 80º, e investigar, na medida do necessário, o conteúdo da reclamação e informar o autor da reclamação do andamento e do resultado da investigação num prazo razoável, em especial se forem necessárias operações de investigação ou de coordenação complementares com outra autoridade de controlo;
    7. Coopera, incluindo partilhando informações e prestando assistência mútua a outras autoridades de controlo, tendo em vista assegurar a coerência da aplicação e da execução do presente regulamento;
    8. Conduz investigações sobre a aplicação do presente regulamento, incluindo com base em informações recebidas de outra autoridade de controlo ou outra autoridade pública;
    9. Acompanha factos novos relevantes, na medida em que tenham incidência na proteção de dados pessoais, nomeadamente a evolução a nível das tecnologias da informação e das comunicações e das práticas comerciais;
    10. Adota as cláusulas contratuais-tipo previstas no artigo 28º, nº 8, e no artigo 46º, nº 2, alínea d);
    11. Elabora e conserva uma lista associada à exigência de realizar uma avaliação do impacto sobre a proteção de dados, nos termos do artigo 35º, nº 4;
    12. Dá orientações sobre as operações de tratamento previstas no artigo 36º, nº 2;
    13. Incentiva a elaboração de códigos de conduta nos termos do artigo 40º, nº 1, dá parecer sobre eles e aprova os que preveem garantias suficientes, nos termos do artigo 40º, nº 5;
    14. Incentiva o estabelecimento de procedimentos de certificação de proteção de dados, e de selos e marcas de proteção de dados, nos termos do artigo 42º, nº 1, e aprova os critérios de certificação nos termos do artigo 42º, nº 5;
    15. Se necessário, procede a uma revisão periódica das certificações emitidas, nos termos do artigo 42º, nº 7;
    16. Redige e publica os critérios de acreditação de um organismo para monitorizar códigos de
      conduta nos termos do artigo 41º e de um organismo de certificação nos termos do artigo
      43º;
    17. Conduz o processo de acreditação de um organismo para monitorizar códigos de conduta nos termos do artigo 41º e de um organismo de certificação nos termos do artigo 43º;
    18. Autoriza as cláusulas contratuais e disposições previstas no artigo 46º, nº 3;
    19. Aprova as regras vinculativas aplicáveis às empresas nos termos do artigo 47º;
    20. Contribui para as atividades do Comité;
    21. Conserva registos internos de violações do presente regulamento e das medidas tomadas nos termos do artigo 58º, nº 2;
    22. Desempenha quaisquer outras tarefas relacionadas com a proteção de dados pessoais.
  2. As autoridades de controlo facilitam a apresentação das reclamações previstas no nº 1, alínea f), tomando medidas como disponibilizar formulários de reclamação que possam também ser preenchidos eletronicamente, sem excluir outros meios de comunicação.
  3. A prossecução das atribuições de cada autoridade de controlo é gratuita para o titular dos dados e, sendo caso disso, para o encarregado da proteção de dados.
  4. Quando os pedidos forem manifestamente infundados ou excessivos, particularmente devido ao seu caráter recorrente, a autoridade de controlo pode exigir o pagamento de uma taxa razoável tendo em conta os custos administrativos ou pode indeferi-los. Cabe à autoridade de controlo demonstrar o caráter manifestamente infundado ou excessivo dos pedidos.

Artigo 58 – Poderes

  1. Cada autoridade de controlo dispõe dos seguintes poderes de investigação:
    1. Ordenar que o responsável pelo tratamento e o subcontratante e, se existir, o seu representante, lhe forneçam as informações de que necessite para o desempenho das suas funções;
    2. Realizar investigações sob a forma de auditorias sobre a proteção de dados;
    3. Rever as certificações emitidas nos termos do artigo 42º, nº 7;
    4. Notificar o responsável pelo tratamento ou o subcontratante de alegadas violações do presente regulamento;
    5. Obter, da parte do responsável pelo tratamento e do subcontratante, acesso a todos os dados pessoais e a todas as informações necessárias ao exercício das suas funções;
    6. Obter acesso a todas as instalações do responsável pelo tratamento e do subcontratante, incluindo os equipamentos e meios de tratamento de dados, em conformidade com o direito processual da União ou dos Estados-Membros.
  2. Cada autoridade de controlo dispõe dos seguintes poderes de correção:
    1. Fazer advertências ao responsável pelo tratamento ou ao subcontratante no sentido de que as operações de tratamento previstas são suscetíveis de violar as disposições do presente regulamento;
    2. Fazer repreensões ao responsável pelo tratamento ou ao subcontratante sempre que as operações de tratamento tiverem violado as disposições do presente regulamento;
    3. Ordenar ao responsável pelo tratamento ou ao subcontratante que satisfaça os pedidos de exercício de direitos apresentados pelo titular dos dados nos termos do presente regulamento;
    4. Ordenar ao responsável pelo tratamento ou ao subcontratante que tome medidas para que as operações de tratamento cumpram as disposições do presente regulamento e, se necessário, de uma forma específica e dentro de um prazo determinado;
    5. Ordenar ao responsável pelo tratamento que comunique ao titular dos dados uma violação de dados pessoais;
    6. Impor uma limitação temporária ou definitiva ao tratamento de dados, ou mesmo a sua proibição;
    7. Ordenar a retificação ou o apagamento de dados pessoais ou a limitação do tratamento nos termos dos artigos 16º, 17º e 18º, bem como a notificação dessas medidas aos destinatários a quem tenham sido divulgados os dados pessoais nos termos do artigo 17º, nº 2, e do artigo 19º;
    8. Retirar a certificação ou ordenar ao organismo de certificação que retire uma certificação emitida nos termos dos artigos 42º e 43º, ou ordenar ao organismo de certificação que não emita uma certificação se os requisitos de certificação não estiverem ou deixarem de estar cumpridos;
    9. Impor uma coima nos termos do artigo 83º, para além ou em vez das medidas referidas no presente número, consoante as circunstâncias de cada caso;
    10. Ordenar a suspensão do envio de dados para destinatários em países terceiros ou para organizações internacionais.
  3. Cada autoridade de controlo dispõe dos seguintes poderes consultivos e de autorização:
    1. Aconselhar o responsável pelo tratamento, pelo procedimento de consulta prévia referido no artigo 36º;
    2. Emitir, por iniciativa própria ou se lhe for solicitado, pareceres dirigidos ao Parlamento nacional, ao Governo do Estado-Membro ou, nos termos do direito do Estado-Membro, a outras instituições e organismos, bem como ao público, sobre qualquer assunto relacionado com a proteção de dados pessoais;
    3. Autorizar o tratamento previsto no artigo 36º, nº 5, se a lei do Estado-Membro exigir tal autorização prévia;
    4. Emitir pareceres e aprovar projetos de códigos de conduta nos termos do artigo 40º, nº 5;
    5. Acreditar organismos de certificação nos termos do artigo 43º;
    6. Emitir certificações e aprovar os critérios de certificação nos termos do artigo 42º, nº 5;
    7. Adotar as cláusulas-tipo de proteção de dados previstas no artigo 28º, nº 8, e no artigo 46º, nº 2, alínea d);
    8. Autorizar as cláusulas contratuais previstas no artigo 46º, nº 3, alínea a);
    9. Autorizar os acordos administrativos previstos no artigo 46º, nº 3, alínea b);
    10. Aprovar as regras vinculativas aplicáveis às empresas nos termos do artigo 47º.
    11. O exercício dos poderes conferidos à autoridade de controlo nos termos do presente artigo está sujeito a garantias adequadas, que incluem o direito à ação judicial efetiva e a um processo equitativo, previstas no direito da União e dos Estados-Membros, em conformidade com a Carta.
    12. Os Estados-Membros estabelecem por lei que as suas autoridades de controlo estão habilitadas a levar as violações do presente regulamento ao conhecimento das autoridades judiciais e, se necessário, a intentar ou de outro modo intervir em processos judiciais, a fim de fazer aplicar as disposições do presente regulamento.
    13. Os Estados-Membros podem estabelecer por lei que as suas autoridades de controlo terão outros poderes para além dos previstos nos nºs 1, 2 e 3. O exercício desses poderes não deve prejudicar o efetivo funcionamento do capítulo VII.

Artigo 59 – Relatórios de atividades

As autoridades de controlo elaboram um relatório anual de atividades, que pode incluir uma lista dos tipos de violação notificadas e dos tipos de medidas tomadas nos termos do artigo 58º, nº 2. Os relatórios são apresentados ao Parlamento nacional, ao Governo e às outras autoridades designadas no direito do Estado-Membro. Os relatórios são disponibilizados ao público, à Comissão e ao Comité.

CAPÍTULO VII - Cooperação e coerência

Artigo 60 – Cooperação entre a autoridade de controlo principal e as outras autoridades de controlo interessadas

  1. A autoridade de controlo principal coopera com as outras autoridades de controlo interessadas nos termos do presente artigo para procurar alcançar um consenso. A autoridade de controlo principal e as autoridades de controlo interessadas trocam entre si todas as informações pertinentes.
  2. A autoridade de controlo principal pode a qualquer momento solicitar que as outras autoridades de controlo interessadas prestem assistência mútua nos termos do artigo 61º e pode realizar operações conjuntas nos termos do artigo 62º, nomeadamente para proceder a investigações ou monitorizar a execução de medidas relativas a responsáveis pelo tratamento ou subcontratantes estabelecidos noutros Estados-Membros
  3. A autoridade de controlo principal comunica sem demora as informações pertinentes sobre o assunto às outras autoridades de controlo interessadas. Envia sem demora um projeto de decisão às outras autoridades de controlo interessadas para que emitam parecer e toma as suas posições em devida consideração.
  4. Quando uma das outras autoridades de controlo interessadas expressa uma objeção pertinente e fundamentada ao projeto de decisão no prazo de quatro semanas após ter sido consultada nos termos do nº 3 do presente artigo, a autoridade de controlo principal, caso não dê seguimento à objeção ou caso entenda que esta não é pertinente ou fundamentada, remete o assunto para o procedimento de controlo da coerência referido no artigo 63º.
  5. Se a autoridade de controlo principal pretender dar seguimento à objeção pertinente e fundamentada apresentada, envia às outras autoridades de controlo interessadas um projeto de decisão revisto para que emitam parecer. Esse projeto de decisão revisto é sujeito ao procedimento mencionado no nº 4 no prazo de duas semanas.
  6. Se nenhuma das outras autoridades de controlo interessadas se tiver oposto ao projeto de decisão apresentado pela autoridade de controlo principal no prazo referido nos nºs 4 e 5, considera-se que a autoridade de controlo principal e as autoridades de controlo interessadas estão de acordo com esse projeto de decisão e ficam por ela vinculadas.
  7. A autoridade de controlo principal adota a decisão e dela notifica o estabelecimento principal ou o estabelecimento único do responsável pelo tratamento ou do subcontratante, consoante o caso, e informa as outras autoridades de controlo interessadas e o Comité da decisão em causa, incluindo um sumário dos factos e motivos pertinentes. A autoridade de controlo à qual tenha sido apresentada uma reclamação, informa da decisão o autor da reclamação.
  8. Em derrogação do nº 7, se for recusada ou rejeitada uma reclamação, a autoridade de controlo à qual a reclamação tiver sido apresentada adota a decisão, notifica o autor da reclamação e informa desse facto o responsável pelo tratamento.
  9. Se a autoridade de controlo principal e as autoridades de controlo interessadas estiverem de acordo em recusar ou rejeitar determinadas partes de uma reclamação e tomar medidas relativamente a outras partes da mesma reclamação, é adotada uma decisão separada para cada uma dessas partes da matéria. A autoridade de controlo principal adota a decisão na parte respeitante às medidas relativas ao responsável pelo tratamento e informa desse facto o estabelecimento principal ou o estabelecimento único do responsável pelo tratamento ou do subcontratante no território do seu Estado-Membro, informando desse facto o autor da reclamação, enquanto a autoridade de controlo do autor da reclamação adota a decisão na parte relativa à recusa ou à rejeição da referida reclamação e notifica o autor da reclamação, informando desse facto o responsável pelo tratamento ou o subcontratante.
  10. Após ter sido notificado da decisão da autoridade de controlo principal nos termos dos nºs 7 e 9, o responsável pelo tratamento ou o subcontratante tomam as medidas necessárias para garantir o cumprimento da decisão no que se refere às atividades de tratamento no contexto de todos os seus estabelecimentos na União. O responsável pelo tratamento ou o subcontratante comunica as medidas tomadas para fazer cumprir a decisão à autoridade de controlo principal, que informa as outras autoridades de controlo interessadas.
  11. Se, em circunstâncias excecionais, alguma autoridade de controlo interessada tiver razões para considerar que existe uma necessidade urgente de agir para defender os interesses dos titulares dos dados, aplica-se o procedimento de urgência referido no artigo 66º.
  12. A autoridade de controlo principal e as outras autoridades de controlo interessadas trocam entre si as informações necessárias nos termos do presente artigo por meios eletrónicos, utilizando um formato normalizado.

Artigo 61 – Assistência mútua

  1. As autoridades de controlo prestam entre si informações úteis e assistência mútua a fim de executar e aplicar o presente regulamento de forma coerente, e tomam as medidas para cooperar eficazmente entre si. A assistência mútua abrange, em especial, os pedidos de informação e as medidas de controlo, tais como os pedidos de autorização prévia e de consulta prévia, bem como de inspeção e de investigação.
  2. As autoridades de controlo tomam todas as medidas adequadas que forem necessárias para responder a um pedido de outra autoridade de controlo sem demora injustificada e, o mais tardar, um mês após a receção do pedido. Essas medidas podem incluir, particularmente, a transmissão de informações úteis sobre a condução de uma investigação.
  3. Os pedidos de assistência incluem todas as informações necessárias, nomeadamente a finalidade e os motivos do pedido. As informações trocadas só podem ser utilizadas para a finalidade para que tiverem sido solicitadas.
  4. A autoridade de controlo requerida não pode indeferir o pedido, a não ser que:
    1. Não seja competente relativamente ao assunto do pedido ou às medidas cuja execução lhe é pedida;
    2. Dar seguimento ao viole o presente regulamento ou o direito da União ou do Estado-Membro ao qual a autoridade de controlo que recebe o pedido está sujeita.
  5. A autoridade de controlo requerida informa a autoridade de controlo requerente dos resultados obtidos ou, consoante o caso, do andamento do pedido ou das medidas tomadas para lhe dar resposta pedido. A autoridade de controlo requerida indica os motivos de indeferimento de um pedido por força do nº 4.
  6. As autoridades de controlo requeridas fornecem, em regra, as informações solicitadas por outras autoridades de controlo por meios eletrónicos, utilizando um formato normalizado.
  7. As autoridades de controlo requeridas não cobram taxas pelas medidas por elas tomadas por força de pedidos de assistência mútua. As autoridades de controlo podem acordar regras para a indemnização recíproca de despesas específicas decorrentes da prestação de assistência mútua em circunstâncias excecionais.
  8. Quando uma autoridade de controlo não prestar as informações referidas no nº 5 do presente artigo no prazo de um mês a contar da receção do pedido apresentado por outra autoridade de controlo, a autoridade de controlo requerente pode adotar uma medida provisória no território do respetivo Estado-Membro nos termos do artigo 55º, nº 1. Nesse caso, presume-se que é urgente intervir, nos termos do artigo 66º, nº 1, e solicitar uma decisão vinculativa urgente ao Comité, nos termos do artigo 66º, nº 2.
  9. A Comissão pode especificar, por meio de atos de execução, o formato e os procedimentos para a assistência mútua referidos no presente artigo, bem como as regras de intercâmbio por meios eletrónicos de informações entre as autoridades de controlo e entre estas e o Comité, nomeadamente o formato normalizado referido no nº 6 do presente artigo. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 93º, nº 2.

Artigo 62 – Operações conjuntas das autoridades de controlo

  1. As autoridades de controlo conduzem, sempre que conveniente, operações conjuntas, incluindo investigações e medidas de execução conjuntas nas quais participem membros ou pessoal das autoridades de controlo de outros Estados-Membros
  2. Nos casos em que o responsável pelo tratamento ou o subcontratante tenha estabelecimentos em vários Estados-Membros ou nos casos em que haja um número significativo de titulares de dados em mais do que um Estado-Membro que sejam suscetíveis de ser substancialmente afetados pelas operações de tratamento, uma autoridade de controlo de cada um desses Estados-Membros tem direito a participar nas operações conjuntas. A autoridade de controlo competente nos termos do artigo 56º, nº 1 ou nº 4, convida a autoridade de controlo de cada um desses Estados-Membros a participar nas operações conjuntas e responde sem demora ao pedido de um autoridade de controlo para participar.
  3. As autoridades de controlo podem, nos termos do direito do seu Estado-Membro, e com a autorização da autoridade de controlo de origem, conferir poderes, nomeadamente poderes de investigação, aos membros ou ao pessoal da autoridade de controlo de origem implicados nas operações conjuntas ou, na medida em que o direito do Estado-Membro da autoridade de controlo de acolhimento o permita, autorizar os membros ou o pessoal da autoridade de controlo de origem a exercer os seus poderes de investigação nos termos do direito do Estado-Membro da autoridade de controlo de origem. Esses poderes de investigação podem ser exercidos apenas sob a orientação e na presença de membros ou pessoal da autoridade de controlo de acolhimento. Os membros ou pessoal da autoridade de controlo de origem estão sujeitos ao direito do Estado-Membro da autoridade de controlo de acolhimento.
  4. Se, nos termos do nº 1, o pessoal da autoridade de controlo de origem exercer atividades noutro Estado-Membro, o Estado-Membro da autoridade de controlo de acolhimento assume a responsabilidade pelos seus atos, incluindo a responsabilidade por quaisquer danos por ele causados no decurso de tais atividades, de acordo com o direito do Estado-Membro em cujo território atuam.
  5. O Estado-Membro em cujo território forem causados os danos indemniza-os nas condições aplicáveis aos danos causados pelo seu próprio pessoal. O Estado-Membro da autoridade de controlo de origem cujo pessoal tenha causad danos a qualquer pessoa no território de outro Estado-Membro reembolsa integralmente esse outro Estado-Membro das somas que tenha pago aos seus representantes legais.
  6. Sem prejuízo do exercício dos seus direitos perante terceiros e com exceção do disposto no nº 5, cada Estado-Membro renuncia, no caso previsto no nº 1, a solicitar a outro Estado-Membro o reembolso do montante dos danos referido no nº 4.
  7. Sempre que se tencione efetuar uma operação conjunta e uma autoridade de controlo não cumprir, no prazo de um mês, a obrigação estabelecida nº 2, segunda frase, do presente artigo, as outras autoridades de controlo podem adotar uma medida provisória no território do respetivo Estado-Membro em conformidade com o artigo 55º. Nesse caso, presume-se que é urgente intervir, nos termos do artigo 66º, nº 1, e solicitar um parecer ou uma decisão vinculativa urgente ao Comité, nos termos do artigo 66º, nº 2.

Artigo 63 – Procedimento de controlo da coerência

A fim de contribuir para a aplicação coerente do presente regulamento em toda a União, as autoridades de controlo cooperam entre si e, quando for relevante, com a Comissão, através do procedimento de controlo da coerência previsto na presente secção.

Artigo 64 – Parecer do Comité

  1. O Comité emite parecer sempre que uma autoridade de controlo competente tenha a intenção de adotar uma das medidas a seguir enunciadas. Para esse efeito, a autoridade de controlo competente envia o projeto de decisão ao Comité, quando esta:
    1. Vise a adoção de uma lista das operações de tratamento sujeitas à exigência de proceder a uma avaliação do impacto sobre a proteção dos dados, nos termos do artigo 35º, nº 4;
    2. Incida sobre uma questão, prevista no artigo 40º, nº 7, de saber se um projeto de código de conduta ou uma alteração ou aditamento a um código de conduta está em conformidade com o presente regulamento;
    3. Vise aprovar os requisitos de acreditação de um organismo nos termos do artigo 41.º, n.º 3, de um organismo de certificação nos termos do artigo 43.º, n.º 3, ou os critérios de certificação previstos no artigo 42.º, n.º 5;”
    4. Vise determinar as cláusulas-tipo de proteção de dados referidas no artigo 46º, nº 2, alínea d), e no artigo 28º, nº 8;
    5. Vise autorizar as cláusulas contratuais previstas no artigo 46º, nº 3, alínea a);
    6. Vise aprovar regras vinculativas aplicáveis às empresas na aceção do artigo 47º.
  2. As autoridades de controlo, o presidente do Comité ou a Comissão podem solicitar que o Comité analise qualquer assunto de aplicação geral ou que produza efeitos em mais do que um Estado-Membro, com vista a obter um parecer, nomeadamente se a autoridade de controlo competente não cumprir as obrigações em matéria de assistência mútua previstas no artigo 61º ou de operações conjuntas previstas no artigo 62º.
  3. Nos casos referidos nos nºs 1 e 2, o Comité emite parecer sobre o assunto que lhe é apresentado, a não ser que tenha já antes emitido parecer sobre o mesmo assunto. Esse parecer é adotado no prazo de oito semanas por maioria simples dos membros que compõem o Comité. Esse prazo pode ser prorrogado por mais seis semanas, em virtude da complexidade do assunto em apreço. Para efeitos do projeto de decisão referido no nº 1 e enviado aos membros do Comité nos termos do nº 5, considera-se que os membros que não tenham levantado objeções dentro de um prazo razoável fixado pelo presidente estão de acordo com o projeto de decisão.
  4. As autoridades de controlo e a Comissão comunicam sem demora injustificada, por via eletrónica, ao Comité, utilizando um formato normalizado, as informações que forem pertinentes, incluindo, consoante o caso, um resumo dos factos, o projeto de decisão, os motivos que tornam necessário adotar tal medida, bem como as posições das outras autoridades de controlo interessadas.
  5. O presidente do Comité informa sem demora injustificada, por via eletrónica:
    1. Os membros do Comité e a Comissão de quaisquer informações pertinentes que lhe tenham sido comunicadas, utilizando um formato normalizado. Se necessário, o Secretariado do Comité fornece traduções das informações pertinentes;
    2. A autoridade de controlo referida, consoante o caso, nos nºs 1 e 2 e a Comissão do parecer e torna-o público.
  6. As autoridades de controlo competentes referidas no n.º 1 não adotam os projetos de decisão no decurso do prazo referido no n.º 3.
  7. As autoridades de controlo competentes referidas no n.º 1 têm na melhor conta o parecer do Comité e, no prazo de duas semanas a contar da receção do parecer, comunica por via eletrónica ao presidente do Comité se tenciona manter ou alterar o projeto de decisão e, se existir, o projeto de decisão alterado, utilizando um formato normalizado.
  8. Quando as autoridades de controlo competentes referidas no n.º 1 informarem o presidente do Comité, no prazo referido no n.º 7 do presente artigo, de que não têm intenção de seguir o parecer do Comité, no todo ou em parte, apresentando os motivos pertinentes de tal decisão, aplica-se o artigo 65.º, n.º 1.

Artigo 65 – Resolução de litígios pelo Comité

  1. A fim de assegurar a aplicação correta e coerente do presente regulamento em cada caso, o Comité adota uma decisão vinculativa nos seguintes casos:
    1. Quando, num dos casos referidos no artigo 60.º, n.º 4, a autoridade de controlo interessada tiver suscitado uma objeção pertinente e fundamentada a um projeto de decisão da autoridade de controlo principal e esta não tiver seguido a objeção ou tiver rejeitado essa objeção por carecer de pertinência ou de fundamento. A decisão vinculativa diz respeito a todos os assuntos sobre que incida a referida objeção pertinente e fundamentada, sobretudo à questão de saber se há violação do presente regulamento;
    2. Quando haja posições divergentes sobre a questão de saber qual das autoridades de controlo interessadas é competente para o estabelecimento principal;
    3. Quando a autoridade de controlo competente não solicitar o parecer do Comité nos casos referidos no artigo 64º, nº 1, ou não seguir o parecer do Comité emitido nos termos do artigo 64º. Nesse caso, qualquer autoridade de controlo interessada, ou a Comissão, pode remeter o assunto para o Comité.
  2. A decisão a que se refere o nº 1 é adotada por maioria de dois terços dos membros do Comité, no prazo de um mês a contar da data em que o assunto lhe é remetido. Este prazo pode ser prorrogado por mais um mês em virtude da complexidade do assunto em apreço. A decisão referida no nº 1 é fundamentada e dirigida à autoridade de controlo principal, bem como a todas as autoridades de controlo interessadas, e é vinculativa para as partes.
  3. Se não o puder fazer nos prazos referidos no nº 2, o Comité adota a decisão no prazo de duas semanas a contar do termo do segundo mês a que se refere o nº 2, por maioria simples dos membros que o compõem. Se houver empate na votação, a decisão é adotada pelo voto qualificado do presidente.
  4. As autoridades de controlo interessadas não adotam decisão sobre a matéria submetida à apreciação do Comité nos termos do nº 1 enquanto estiver a decorrer o prazo referido nos nºs 2 e 3.
  5. O presidente do Comité informa, sem demora injustificada, as autoridades de controlo interessadas da decisão a que se refere o nº 1. Do facto informa a Comissão. A decisão é imediatamente publicada no sítio web do Comité, depois de a autoridade de controlo ter notificado a decisão final a que se refere o nº 6.
  6. Sem demora injustificada e o mais tardar um mês depois de o Comité ter notificado a sua decisão, a autoridade de controlo principal ou, consoante o caso, a autoridade de controlo à qual tiver sido apresentada a reclamação adota a decisão final com base na decisão a que se refere o nº 1 do presente artigo. A autoridade de controlo principal ou, consoante o caso, a autoridade de controlo à qual tiver sido apresentada a reclamação, informa o Comité da data em que a decisão final é notificada, respetivamente, ao responsável pelo tratamento ou ao subcontratante e ao titular. A decisão final das autoridades de controlo interessadas é adotada nos termos do artigo 60º, nºs 7, 8 e 9. A decisão final remete para a decisão a que se refere o nº 1 do presente artigo e especifica que a decisão referida no nº 1 é publicada no sítio web do Comité nos termos do nº 5 do presente artigo. A decisão final é acompanhada da decisão a que se refere o nº 1 do presente artigo.

Artigo 66 – Procedimento de urgência

  1. Em circunstâncias excecionais, quando a autoridade de controlo interessada considerar que é urgente intervir a fim de defender os direitos e liberdades dos titulares dos dados, pode, em derrogação do procedimento de controlo da coerência referido nos artigos 63º, 64º e 65º ou do procedimento a que se refere o artigo 60º, adotar imediatamente medidas provisórias destinadas a produzir efeitos legais no seu próprio território, válidas por um período determinado que não seja superior a três meses. A autoridade de controlo dá sem demora conhecimento dessas medidas e dos motivos que a levaram a adotá-la às outras autoridades de controlo interessadas, ao Comité e à Comissão.
  2. Quando a autoridade de controlo tiver tomado uma medida nos termos do nº 1 e considerar necessário adotar urgentemente medidas definitivas, pode solicitar um parecer urgente ou uma decisão vinculativa urgente ao Comité, fundamentando o seu pedido de parecer ou decisão.
  3. As autoridades de controlo podem solicitar um parecer urgente ou uma decisão vinculativa urgente, conforme o caso, ao Comité, quando a autoridade de controlo competente não tiver tomado nenhuma medida adequada numa situação que exija uma iniciativa urgente para defender os direitos e liberdades dos titulares dos dados, apresentando os motivos por que pede parecer ou decisão, e por que há necessidade urgente de agir.
  4. Em derrogação do artigo 64º, nº 3, e do artigo 65º, nº 2, os pareceres urgentes ou decisões vinculativas urgentes a que se referem os nºs 2 e 3 do presente artigo são adotados no prazo de duas semanas por maioria simples dos membros do Comité.

Artigo 67 – Troca de informações

Comissão pode adotar atos de execução de aplicação geral a fim de especificar as regras de intercâmbio eletrónico de informações entre as autoridades de controlo e entre estas e o Comité, nomeadamente o formato normalizado referido no artigo 64º.
Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 93º, nº 2.

Artigo 68 – Comité Europeu para a Proteção de Dados

  1. O Comité Europeu para a Proteção de Dados («Comité») é criado enquanto organismo da União e está dotado de personalidade jurídica.
  2. O Comité é representado pelo seu presidente.
  3. O Comité é composto pelo diretor de uma autoridade de controlo de cada Estado-Membro e da Autoridade Europeia para a Proteção de Dados, ou pelos respetivos representantes.
  4. Quando, num determinado Estado-Membro, haja mais do que uma autoridade de controlo com responsabilidade pelo controlo da aplicação do presente regulamento, é nomeado um representante comum nos termos do direito desse Estado-Membro.
  5. A Comissão tem o direito de participar nas atividades e reuniões do Comité, sem direito de voto. A Comissão designa um representante. O presidente do Comité informa a Comissão das atividades do Comité.
  6. Nos casos referidos no artigo 65º, a Autoridade Europeia para a Proteção de Dados apenas tem direito de voto nas decisões que digam respeito a princípios e normas aplicáveis às instituições, órgãos, organismos e agências da União que correspondam, em substância, às do presente regulamento.

Artigo 69 – Independência

  1. O Comité é independente na prossecução das suas atribuições ou no exercício dos seus poderes, nos termos dos artigos 70º e 71º.
  2. Sem prejuízo dos pedidos da Comissão referidos no artigo 70.º, n.º 1, alínea b), e n.º 2, o Comité não solicita nem recebe instruções de outrem na prossecução das suas atribuições ou no exercício dos seus poderes.

Artigo 70 – Atribuições do Comité

  1. O Comité assegura a aplicação coerente do presente regulamento. Para o efeito, o Comité exerce, por iniciativa própria ou, nos casos pertinentes, a pedido da Comissão, as seguintes atividades:
    1. Controla e assegura a correta aplicação do presente regulamento nos casos previstos nos artigos 64º e 65º, sem prejuízo das funções das autoridades nacionais de controlo;
    2. Aconselha a Comissão em todas as questões relacionadas com a proteção de dados pessoais na União, nomeadamente em qualquer projeto de alteração ao presente regulamento;
    3. Aconselha a Comissão sobre o formato e os procedimentos de intercâmbio de informações entre os responsáveis pelo tratamento, os subcontratantes e as autoridades de controlo no que respeita às regras vinculativas aplicáveis às empresas;
    4. Emite diretrizes, recomendações e melhores práticas para os procedimentos de apagamento de ligações para os dados pessoais, de cópias ou reproduções desses dados existentes em serviços de comunicação acessíveis ao público, tal como previsto no artigo 17º, nº 2;
    5. Analisa, por iniciativa própria, a pedido de um dos seus membros da Comissão, qualquer questão relativa à aplicação do presente regulamento e emite diretrizes, recomendações e melhores práticas, a fim de incentivar a aplicação coerente do presente regulamento;
    6. Emite diretrizes, recomendações e melhores práticas nos termos da alínea e) do presente número, para definir mais concretamente os critérios e condições aplicáveis às decisões baseadas na definição de perfis, nos termos do artigo 22º, nº 2;
    7. Emite diretrizes, recomendações e melhores práticas nos termos da alínea e) do presente número, para definir violações de dados pessoais e determinar a demora injustificada a que se refere o artigo 33º, nºs 1 e 2, bem como as circunstâncias particulares em que o responsável pelo tratamento ou o subcontratante é obrigado a notificar a violação de dados pessoais;
    8. Emite diretrizes, recomendações e melhores práticas nos termos da alínea e) do presente número, a respeito das circunstâncias em que as violações de dados pessoais são suscetíveis de resultar num risco elevado para os direitos e liberdades das pessoas singulares a que se refere o artigo 34º, nº 1;
    9. Emite diretrizes, recomendações e melhores práticas nos termos da alínea e) do presente número, para definir mais concretamente os critérios e requisitos aplicáveis às transferências de dados baseadas em regras vinculativas aplicáveis às empresas aceites pelos responsáveis pelo tratamento e em regras vinculativas aplicáveis às empresas aceites pelos subcontratantes, e outros requisitos necessários para assegurar a proteção dos dados pessoais dos titulares dos dados em causa a que se refere o artigo 47º;
    10. Emite diretrizes, recomendações e melhores práticas nos termos da alínea e) do presente número para definir mais concretamente os critérios e requisitos aplicáveis à transferência de dados efetuadas com base no artigo 49º, nº 1;
    11. Elabora diretrizes dirigidas às autoridades de controlo em matéria de aplicação das medidas a que se refere o artigo 58º, nºs 1, 2 e 3, e de fixação de coimas nos termos do artigo 83º;
    12. Examina a aplicação prática das diretrizes, recomendações e melhores práticas;
    13. Emite diretrizes, recomendações e melhores práticas nos termos da alínea e) do presente número para definir procedimentos comuns para a comunicação por pessoas singulares de violações do presente regulamento, nos termos do artigo 54º, nº 2;
    14. Incentiva a elaboração de códigos de conduta e a criação de procedimentos de certificação, bem como de selos e marcas de proteção dos dados nos termos dos artigos 40º e 42º;
    15. Aprova os critérios de certificação nos termos do artigo 42.º, n.º 5, e conserva um registo público de procedimentos de certificação e de selos e marcas de proteção de dados nos termos do artigo 42.º, n.º 8, e dos responsáveis pelo tratamento ou subcontratantes certificados, estabelecidos em países terceiros, nos termos do artigo 42.º, n.º 7;
    16. Aprova os requisitos referidos no artigo 43.º, n.º 3, para acreditação dos organismos de certificação referidos no artigo 43.º;
    17. Dá parecer à Comissão a respeito dos requisitos de certificação a que se refere o artigo 43º, nº 8;
    18. Dá parecer à Comissão sobre os símbolos a que se refere o artigo 12º, nº 7;
    19. Dá parecer à Comissão para a avaliação da adequação do nível de proteção num país terceiro ou organização
      internacional, e também para avaliar se um país terceiro, um território ou um ou mais setores específicos desse país terceiro, ou uma organização internacional, deixou de garantir um nível adequado de proteção. Para esse efeito, a Comissão fornece ao Comité toda a documentação necessária, inclusive a correspondência com o Governo do país terceiro, relativamente a esse país terceiro, território ou setor específico, ou com a organização internacional;
    20. Emite pareceres relativos aos projetos de decisão das autoridades de controlo nos termos do procedimento de controlo da coerência referido no artigo 64º, nº 1, sobre os assuntos apresentados nos termos do artigo 64º, nº 2, e emite decisões vinculativas nos termos do artigo 65º, incluindo nos casos referidos no artigo 66º;
    21. Promover a cooperação e o intercâmbio bilateral e plurilateral efetivo de informações e as melhores práticas entre as autoridades de controlo;
    22. Promover programas de formação comuns e facilitar o intercâmbio de pessoal entre as autoridades de controlo, e, se necessário, com as autoridades de controlo de países terceiros ou com organizações internacionais;
    23. Promover o intercâmbio de conhecimentos e de documentação sobre as práticas e a legislação no domínio da proteção de dados com autoridades de controlo de todo o mundo;
    24. Emitir pareceres sobre os códigos de conduta elaborados a nível da União nos termos do artigo 40º, nº 9;
    25. Conservar um registo eletrónico, acessível ao público, das decisões tomadas pelas autoridades de controlo e pelos tribunais sobre questões tratadas no âmbito do procedimento de controlo da coerência.
  2. Quando a Comissão consultar o Comité, pode indicar um prazo para a formulação do parecer, tendo em conta a urgência do assunto.
  3. O Comité dirige os seus pareceres, diretrizes e melhores práticas à Comissão e ao comité referido no artigo 93º, e procede à sua publicação.
  4. Quando for caso disso, o Comité consulta as partes interessadas e dá-lhes a oportunidade de formular observações, num prazo razoável. Sem prejuízo do artigo 76º, o Comité torna públicos os resultados do processo de consulta.

Artigo 71 – Relatórios

  1. O Comité elabora um relatório anual sobre a proteção das pessoas singulares no que diz respeito ao tratamento na União e, quando for relevante, em países terceiros e organizações internacionais. O relatório é tornado público e enviado ao Parlamento Europeu, ao Conselho e à Comissão.
  2. O relatório anual inclui uma análise da aplicação prática das diretrizes, recomendações e melhores práticas a que se refere o artigo 70º, nº 1, alínea l), bem como das decisões vinculativas a que se refere o artigo 65º.

Artigo 72 – Procedimento

  1. Salvo disposição em contrário do presente regulamento, o Comité decide por maioria simples dos seus membros.
  2. O Comité adota o seu regulamento interno por maioria de dois terços dos membros que o compõem e determina as suas regras de funcionamento.

Artigo 73 – Presidente

  1. O Comité elege de entre os seus membros, por maioria simples, um presidente e dois vice-presidentes.
  2. O mandato do presidente e dos vice-presidentes tem a duração de cinco anos e é renovável uma vez.

Artigo 74 – Funções do presidente

  1. O presidente tem as seguintes funções:
    1. Convoca as reuniões do Comité e prepara a respetiva ordem de trabalhos;
    2. Comunica as decisões adotadas pelo Comité nos termos do artigo 65º à autoridade de controlo principal e às autoridades de controlo interessadas;
    3. Assegura o exercício das atribuições do Comité dentro dos prazos previstos, nomeadamente no que respeita ao procedimento de controlo da coerência referido no artigo 63º.
  2. O Comité estabelece a repartição de funções entre o presidente e os vice-presidentes no seu regulamento interno.

Artigo 75 – Secretariado

  1. O Comité dispõe de um secretariado disponibilizado pela Autoridade Europeia para a Proteção de Dados.
  2. O secretariado desempenha as suas funções sob a direção exclusiva do presidente do Comité.
  3. O pessoal da Autoridade Europeia para a Proteção de Dados envolvido na prossecução das atribuições conferidas ao Comité pelo presente regulamento está sujeito a uma hierarquia distinta do pessoal envolvido na prossecução das atribuições conferidas à Autoridade Europeia para a Proteção de Dados.
  4. Quando for caso disso, o Comité e a Autoridade Europeia para a Proteção de Dados elaboram e publicam um memorando de entendimento que dê execução ao presente artigo e defina os termos da sua cooperação, aplicável ao pessoal da Autoridade Europeia para a Proteção de Dados envolvido na prossecução das atribuições conferidas ao Comité pelo presente regulamento.
  5. O secretariado fornece ao Comité apoio de caráter analítico, administrativo e logístico.
  6. O secretariado é responsável, em especial:
    1. Pela gestão corrente do Comité;
    2. Pela comunicação entre os membros do Comité, o seu presidente e a Comissão;
    3. Pela comunicação com outras instituições e o público;
    4. Pelo recurso a meios eletrónicos para a comunicação interna e externa;
    5. Pela tradução de informações pertinentes;
    6. Pela preparação e acompanhamento das reuniões do Comité;
    7. Pela preparação, redação e publicação dos pareceres, das decisões em matéria de resolução de litígios entre autoridades de controlo e de outros textos adotados pelo Comité.

Artigo 76 – Confidencialidade

  1. Os debates do Comité são confidenciais quando o Comité o considerar necessário, nos termos do seu regulamento interno.
  2. O acesso aos documentos apresentados aos membros do Comité, aos peritos e aos representantes de países terceiros é regido pelo Regulamento (CE) nº 1049/2001 do Parlamento Europeu e do Conselho.

Capítulo VIII - Vias de recurso, responsabilidade e sanções

Artigo 77 – Direito de apresentar reclamação a uma autoridade de controlo

  1. Sem prejuízo de qualquer outra via de recurso administrativo ou judicial, todos os titulares de dados têm direito a apresentar reclamação a uma autoridade de controlo, em especial no Estado-Membro da sua residência habitual, do seu local de trabalho ou do local onde foi alegadamente praticada a infração, se o titular dos dados considerar que o tratamento dos dados pessoais que lhe diga respeito viola o presente regulamento.
  2. A autoridade de controlo à qual tiver sido apresentada a reclamação informa o autor da reclamação sobre o andamento e o resultado da reclamação, inclusive sobre a possibilidade de intentar ação judicial nos termos do artigo 78º.

Artigo 78 – Direito à ação judicial contra uma autoridade de controlo

  1. Sem prejuízo de qualquer outra via de recurso administrativo ou extrajudicial, todas as pessoas singulares ou coletivas têm direito à ação judicial contra as decisões juridicamente vinculativas das autoridades de controlo que lhes digam respeito.
  2. Sem prejuízo de qualquer outra via de recurso administrativo ou extrajudicial, os titulares dos dados têm direito à ação judicial se a autoridade de controlo competente nos termos dos artigos 55º e 56º não tratar a reclamação ou não informar o titular dos dados, no prazo de três meses, sobre o andamento ou o resultado da reclamação que tenha apresentado nos termos do artigo 77º.
  3. Os recursos contra as autoridades de controlo são interpostos nos tribunais do Estado-Membro em cujo território se encontrem estabelecidas.
  4. Quando for interposto recurso de uma decisão de uma autoridade de controlo que tenha sido precedida de um parecer ou uma decisão do Comité no âmbito do procedimento de controlo da coerência, a autoridade de controlo transmite esse parecer ou decisão ao tribunal.

Artigo 79 – Direito à ação judicial contra um responsável pelo tratamento ou um subcontratante

  1. Sem prejuízo de qualquer outra via de recurso administrativo ou extrajudicial, nomeadamente o direito de apresentar reclamação a uma autoridade de controlo, nos termos do artigo 77º, todos os titulares de dados têm direito à ação judicial se considerarem ter havido violação dos direitos que lhes assistem nos termos do presente regulamento, na sequência do tratamento dos seus dados pessoais efetuado em violação do referido regulamento.
  2. Os recursos contra os responsáveis pelo tratamento ou os subcontratantes são propostos nos tribunais do Estado-Membro em que tenham estabelecimento. Em alternativa, os recursos podem ser interpostos nos tribunais do Estado-Membro em que o titular dos dados tenha a sua residência habitual, salvo se o responsável pelo tratamento ou o subcontratante for uma autoridade de um Estado-Membro no exercício dos seus poderes públicos.

Artigo 80 – Representação dos titulares dos dados

  1. O titular dos dados tem o direito de mandatar um organismo, organização ou associação sem fins lucrativos, que esteja devidamente constituído ao abrigo do direito de um Estado-Membro, cujos objetivos estatutários sejam do interesse público e cuja atividade abranja a defesa dos direitos e liberdades do titular dos dados no que respeita à proteção dos seus dados pessoais, para, em seu nome, apresentar reclamação, exercer os direitos previstos nos artigos 77º, 78º e 79º, e exercer o direito de receber uma indemnização referido no artigo 82º, se tal estiver previsto no direito do Estado-Membro.
  2. Os Estados-Membros podem prever que o organismo, a organização ou a associação referidos no nº 1 do presente artigo, independentemente de um mandato conferido pelo titular dos dados, tenham nesse Estado-Membro direito a apresentar uma reclamação à autoridade de controlo competente nos termos do artigo 77º e a exercer os direitos a que se referem os artigos 78º e 79º, caso considerem que os direitos do titular dos dados, nos termos do presente regulamento, foram violados em virtude do tratamento.

Artigo 81 – Suspensão do processo

  1. Caso um tribunal de um Estado-Membro tenha informações sobre um processo pendente num tribunal de outro Estado-Membro, relativo ao mesmo assunto no que se refere às atividades de tratamento do mesmo responsável pelo tratamento ou subcontratante, deve contactar o referido tribunal desse outro Estado-Membro a fim de confirmar a existência de tal processo.
  2. Caso esteja pendente num tribunal de outro Estado-Membro um processo relativo ao mesmo assunto no que se refere às atividades de tratamento do mesmo responsável pelo tratamento ou subcontratante, o tribunal onde a ação foi intentada em segundo lugar pode suspender o seu processo.
  3. Caso o referido processo esteja pendente em primeira instância, o tribunal onde a ação foi intentada em segundo lugar pode igualmente declinar a sua competência, a pedido de uma das partes, se o órgão jurisdicional onde a ação foi intentada em primeiro lugar for competente para conhecer dos pedidos em questão e a sua lei permitir a respetiva apensação.

Artigo 82 – Direito de indemnização e responsabilidade

  1. Qualquer pessoa que tenha sofrido danos materiais ou imateriais devido a uma violação do presente regulamento tem direito a receber uma indemnização do responsável pelo tratamento ou do subcontratante pelos danos sofridos.
  2. Qualquer responsável pelo tratamento que esteja envolvido no tratamento é responsável pelos danos causados por um tratamento que viole o presente regulamento. O subcontratante é responsável pelos danos causados pelo tratamento apenas se não tiver cumprido as obrigações decorrentes do presente regulamento dirigidas especificamente aos subcontratantes ou se não tiver seguido as instruções lícitas do responsável pelo tratamento.
  3. O responsável pelo tratamento ou o subcontratante fica isento de responsabilidade nos termos do nº 2, se provar que não é de modo algum responsável pelo evento que deu origem aos danos.
  4. Quando mais do que um responsável pelo tratamento ou subcontratante, ou um responsável pelo tratamento e um subcontratante, estejam envolvidos no mesmo tratamento e sejam, nos termos dos nºs 2 e 3, responsáveis por eventuais danos causados pelo tratamento, cada responsável pelo tratamento ou subcontratante é responsável pela totalidade dos danos, a fim de assegurar a efetiva indemnização do titular dos dados.
  5. Quando tenha pago, em conformidade com o nº 4, uma indemnização integral pelos danos sofridos, um responsável pelo tratamento ou um subcontratante tem o direito de reclamar a outros responsáveis pelo tratamento ou subcontratantes envolvidos no mesmo tratamento a parte da indemnização correspondente à respetiva parte de responsabilidade pelo dano em conformidade com as condições previstas no nº 2.
  6. Os processos judiciais para exercer o direito de receber uma indemnização são apresentados perante os tribunais competentes nos termos do direito do Estado-Membro a que se refere o artigo 79º, nº 2.

Artigo 83 – Condições gerais para a aplicação de coimas

  1. Cada autoridade de controlo assegura que a aplicação de coimas nos termos do presente artigo relativamente a violações do presente regulamento a que se referem os nºs 4, 5 e 6 é, em cada caso individual, efetiva, proporcionada e dissuasiva.
  2. Consoante as circunstâncias de cada caso, as coimas são aplicadas para além ou em vez das medidas referidas no artigo 58º, nº 2, alíneas a) a h) e j). Ao decidir sobre a aplicação de uma coima e sobre o montante da coima em cada caso individual, é tido em devida consideração o seguinte:
    1. A natureza, a gravidade e a duração da infração tendo em conta a natureza, o âmbito ou o objetivo do tratamento de dados em causa, bem como o número de titulares de dados afetados e o nível de danos por eles sofridos;
    2. O caráter intencional ou negligente da infração;
    3. A iniciativa tomada pelo responsável pelo tratamento ou pelo subcontratante para atenuar os danos sofridos pelos titulares;
    4. O grau de responsabilidade do responsável pelo tratamento ou do subcontratante tendo em conta as medidas técnicas ou organizativas por eles implementadas nos termos dos artigos 25º e 32º;
    5. Quaisquer infrações pertinentes anteriormente cometidas pelo responsável pelo tratamento ou pelo subcontratante;
    6. O grau de cooperação com a autoridade de controlo, a fim de sanar a infração e atenuar os seus eventuais efeitos negativos;
    7. As categorias específicas de dados pessoais afetadas pela infração;
    8. A forma como a autoridade de controlo tomou conhecimento da infração, em especial se o responsável pelo tratamento ou o subcontratante a notificaram, e em caso afirmativo, em que medida o fizeram;
    9. O cumprimento das medidas a que se refere o artigo 58º, nº 2, caso as mesmas tenham sido previamente impostas ao responsável pelo tratamento ou ao subcontratante em causa relativamente à mesma matéria;
    10. O cumprimento de códigos de conduta aprovados nos termos do artigo 40º ou de procedimento de certificação aprovados nos termos do artigo 42º;
    11. Qualquer outro fator agravante ou atenuante aplicável às circunstâncias do caso, como os benefícios financeiros obtidos ou as perdas evitadas, direta ou indiretamente, por intermédio da infração.
  3. Se o responsável pelo tratamento ou o subcontratante violar, intencionalmente ou por negligência, no âmbito das mesmas operações de tratamento ou de operações ligadas entre si, várias disposições do presente regulamento, o montante total da coima não pode exceder o montante especificado para a violação mais grave.
  4. A violação das disposições a seguir enumeradas está sujeita, em conformidade com o nº 2, a coimas até 10 000 000 EUR ou, no caso de uma empresa, até 2 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado:
    1. As obrigações do responsável pelo tratamento e do subcontratante nos termos dos artigos 8º, 11º, 25º a 39º e 42º e 43º;
    2. As obrigações do organismo de certificação nos termos dos artigos 42º e 43º;
    3. As obrigações do organismo de supervisão nos termos do artigo 41º, nº 4;
  5. A violação das disposições a seguir enumeradas está sujeita, em conformidade com o nº 2, a coimas até 20 000 000 EUR ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado:
    1. Os princípios básicos do tratamento, incluindo as condições de consentimento, nos termos dos artigos 5º, 6º, 7º e 9º;
    2. Os direitos dos titulares dos dados nos termos dos artigos 12º a 22º;
    3. As transferências de dados pessoais para um destinatário num país terceiro ou uma organização internacional nos termos dos artigos 44º a 49º;
    4. As obrigações nos termos do direito do Estado-Membro adotado ao abrigo do capítulo IX;
    5. O incumprimento de uma ordem de limitação, temporária ou definitiva, relativa ao tratamento ou à suspensão de fluxos de dados, emitida pela autoridade de controlo nos termos do artigo 58º, nº 2, ou o facto de não facultar acesso, em violação do artigo 58º, nº 1.
    6. O incumprimento de uma ordem emitida pela autoridade de controlo a que se refere o artigo 58º, nº 2, está sujeito, em conformidade com o nº 2 do presente artigo, a coimas até 20 000 000 EUR ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante mais elevado.
    7. Sem prejuízo dos poderes de correção das autoridades de controlo nos termos do artigo 58º, nº 2, os Estados-Membros podem prever normas que permitam determinar se e em que medida as coimas podem ser aplicadas às autoridades e organismos públicos estabelecidos no seu território.
    8. O exercício das competências que lhe são atribuídas pelo presente artigo por parte da autoridade de controlo fica sujeito às garantias processuais adequadas nos termos do direito da União e dos Estados-Membros, incluindo o direito à ação judicial e a um processo equitativo.
    9. Quando o sistema jurídico dos Estados-Membros não preveja coimas, pode aplicar-se o presente artigo de modo a que a coima seja proposta pela autoridade de controlo competente e imposta pelos tribunais nacionais competentes, garantindo ao mesmo tempo que estas medidas jurídicas corretivas são eficazes e têm um efeito equivalente às coimas impostas pelas autoridades de controlo. Em todo o caso, as coimas impostas devem ser efetivas, proporcionadas e dissuasivas. Os referidos Estados-Membros notificam a Comissão das disposições de direito interno que adotarem nos termos do presente número até 25 de maio de 2018 e, sem demora, de qualquer alteração subsequente das mesmas.

Artigo 84 – Sanções

  1. Os Estados-Membros estabelecem as regras relativas às outras sanções aplicáveis em caso de violação do disposto no presente regulamento, nomeadamente às violações que não são sujeitas a coimas nos termos do artigo 7983º, e tomam todas as medidas necessárias para garantir a sua aplicação. As sanções previstas devem ser efetivas, proporcionadas e dissuasivas.
  2. Os Estados-Membros notificam a Comissão das disposições do direito interno que adotarem nos termos do nº 1, até 25 de maio de 2018 e, sem demora, de qualquer alteração subsequente das mesmas.

Capítulo IX - Disposições relativas a situações específicas de tratamento

Artigo 85 – Tratamento e liberdade de expressão e de informação

  1. Os Estados-Membros conciliam por lei o direito à proteção de dados pessoais nos termos do presente regulamento com o direito à liberdade de expressão e de informação, incluindo o tratamento para fins jornalísticos e para fins de expressão académica, artística ou literária.
  2. Para o tratamento efetuado para fins jornalísticos ou para fins de expressão académica, artística ou literária, os Estados-Membros estabelecem isenções ou derrogações do capítulo II (princípios), do capítulo III (direitos do titular dos dados), do capítulo IV (responsável pelo tratamento e subcontratante), do capítulo V (transferência de dados pessoais para países terceiros e organizações internacionais), do capítulo VI (autoridades de controlo independentes), do capítulo VII (cooperação e coerência) e do capítulo IX (situações específicas de tratamento de dados) se tais isenções ou derrogações forem necessárias para conciliar o direito à proteção de dados pessoais com a liberdade de expressão e de informação.
  3. Os Estados-Membros notificam a Comissão das disposições de direito interno que adotarem nos termos do nº 2 e, sem demora, de qualquer alteração subsequente das mesmas.

Artigo 86 – Tratamento e acesso do público aos documentos oficiais

Os dados pessoais que constem de documentos oficiais na posse de uma autoridade pública ou de um organismo público ou privado para a prossecução de atribuições de interesse público podem ser divulgados pela autoridade ou organismo nos termos do direito da União ou do Estado-Membro que for aplicável à autoridade ou organismo público, a fim de conciliar o acesso do público a documentos oficiais com o direito à proteção dos dados pessoais nos termos do presente regulamento. 

Artigo 87 – Tratamento do número de identificação nacional

Os Estados-Membros podem determinar em pormenor as condições específicas aplicáveis ao tratamento de um número de identificação nacional ou de qualquer outro elemento de identificação de aplicação geral. Nesse caso, o número de identificação nacional ou qualquer outro elemento de identificação de aplicação geral é exclusivamente utilizado mediante garantias adequadas dos direitos e liberdades do titular dos dados nos termos do presente regulamento.

Artigo 88 – Tratamento no contexto laboral

  1. Os Estados-Membros podem estabelecer, no seu ordenamento jurídico ou em convenções coletivas, normas mais específicas para garantir a defesa dos direitos e liberdades no que respeita ao tratamento de dados pessoais dos trabalhadores no contexto laboral, nomeadamente para efeitos de recrutamento, execução do contrato de trabalho, incluindo o cumprimento das obrigações previstas no ordenamento jurídico ou em convenções coletivas, de gestão, planeamento e organização do trabalho, de igualdade e diversidade no local de trabalho, de saúde e segurança no trabalho, de proteção dos bens do empregador ou do cliente e para efeitos do exercício e gozo, individual ou coletivo, dos direitos e benefícios relacionados com o emprego, bem como para efeitos de cessação da relação de trabalho.
  2. As normas referidas incluem medidas adequadas e específicas para salvaguardar a dignidade, os interesses legítimos e os direitos fundamentais do titular dos dados, com especial relevo para a transparência do tratamento de dados, a transferência de dados pessoais num grupo empresarial ou num grupo de empresas envolvidas numa atividade económica conjunta e os sistemas de controlo no local de trabalho.
  3. Os Estados-Membros notificam a Comissão das disposições de direito interno que adotarem nos termos do nº 1, até 25 de maio de 2018 e, sem demora, de qualquer alteração subsequente das mesmas.

Artigo 89 – Garantias e derrogações relativas ao tratamento para fins de arquivo de interesse público ou para fins de investigação científica ou histórica ou para fins estatísticos

  1. O tratamento para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, está sujeito a garantias adequadas, nos termos do presente regulamento, para os direitos e liberdades do titular dos dados. Essas garantias asseguram a adoção de medidas técnicas e organizativas a fim de assegurar, nomeadamente, o respeito do princípio da minimização dos dados. Essas medidas podem incluir a pseudonimização, desde que os fins visados possam ser atingidos desse modo. Sempre que esses fins possam ser atingidos por novos tratamentos que não permitam, ou já não permitam, a identificação dos titulares dos dados, os referidos fins são atingidos desse modo.
  2. Quando os dados pessoais sejam tratados para fins de investigação científica ou histórica ou para fins estatísticos, o direito da União ou dos Estados-Membros pode prever derrogações aos direitos a que se referem os artigos 15º, 16º, 18º e 21º, sob reserva das condições e garantias previstas no nº 1 do presente artigo, na medida em que esses direitos sejam suscetíveis de tornar impossível ou prejudicar gravemente a realização dos fins específicos e que tais derrogações sejam necessárias para a prossecução desses fins.
  3. Quando os dados pessoais sejam tratados para fins de arquivo de interesse público, o direito da União ou dos Estados-Membros pode prever derrogações aos direitos a que se referem os artigos 15º, 16º, 18º, 19º, 20º e 21º, sob reserva das condições e garantias previstas no nº 1 do presente artigo, na medida em que esses direitos sejam suscetíveis de tornar impossível ou prejudicar gravemente a realização dos fins específicos e que tais derrogações sejam necessárias para a prossecução desses fins.
  4. Quando o tratamento de dados previsto no nºs 2 e 3 também se destine, simultaneamente, a outros fins, as derrogações aplicam-se apenas ao tratamento de dados para os fins previstos nesses números.

Artigo 90 – Obrigações de sigilo

  1. Os Estados-Membros podem adotar normas específicas para estabelecer os poderes das autoridades de controlo previstos no artigo 58º, nº 1, alíneas e) e f), relativamente a responsáveis pelo tratamento ou a subcontratantes sujeitos, nos termos do direito da União ou do Estado-Membro ou de normas instituídas pelos organismos nacionais
    competentes, a uma obrigação de sigilo profissional ou a outras obrigações de sigilo equivalentes, caso tal seja necessário e proporcionado para conciliar o direito à proteção de dados pessoais com a obrigação de sigilo. Essas normas são aplicáveis apenas no que diz respeito aos dados pessoais que o responsável pelo seu tratamento ou o subcontratante tenha recebido, ou que tenha recolhido no âmbito de uma atividade abrangida por essa obrigação de sigilo ou em resultado da mesma.
  2. Os Estados-Membros notificam a Comissão das normas que adotarem nos termos do nº 1, até 25 de maio de 2018 e, sem demora, de qualquer alteração subsequente das mesmas.

Artigo 91 – Normas vigentes em matéria de proteção dos dados das igrejas e associações religiosas

  1. Quando, num Estado-Membro, as igrejas e associações ou comunidades religiosas apliquem, à data da entrada em vigor do presente regulamento, um conjunto completo de normas relativas à proteção das pessoas singulares relativamente ao tratamento, tais normas podem continuar a ser aplicadas, desde que cumpram o presente regulamento.
  2. As igrejas e associações religiosas que apliquem um conjunto completo de normas nos termos do nº 1 do presente artigo ficam sujeitas à supervisão de uma autoridade de controlo independente que pode ser específico, desde que cumpra as condições estabelecidas no capítulo VI do presente regulamento.

Capítulo X - Atos delegados e atos de execução

Artigo 92 – Exercício da delegação

  1. O poder de adotar atos delegados é conferido à Comissão nas condições estabelecidas no presente artigo.
  2. O poder de adotar atos delegados referido no artigo 12º, nº 8, e no artigo 43º, nº 8, é conferido à Comissão por tempo indeterminado a contar de 24 de maio de 2016.
  3. A delegação de poderes referida no artigo 12º, nº 8, e no artigo 43º, nº 8, pode ser revogada em qualquer momento pelo Parlamento Europeu ou pelo Conselho. A decisão de revogação põe termo à delegação dos poderes nela especificados. A decisão de revogação produz efeitos a partir do dia seguinte ao da sua publicação no Jornal Oficial da União Europeia ou de uma data posterior nela especificada. A decisão de revogação não afeta os atos delegados já em vigor.
  4. Assim que adotar um ato delegado, a Comissão notifica-o simultaneamente ao Parlamento Europeu e ao Conselho.
  5. Os atos delegados adotados nos termos do artigo 12º, nº 8, e do artigo 43º, nº 8, só entram em vigor se não tiverem sido formuladas objeções pelo Parlamento Europeu ou pelo Conselho no prazo de três meses a contar da notificação do ato ao Parlamento Europeu e ao Conselho, ou se, antes do termo desse prazo, o Parlamento Europeu e o Conselho tiverem informado a Comissão de que não têm objeções a formular. O referido prazo é prorrogável por três meses por iniciativa do Parlamento Europeu ou do Conselho.

Artigo 93 – Procedimento de comité

  1. A Comissão é assistida por um comité. Esse comité é um comité na aceção do Regulamento (UE) nº 182/2011.
  2. Caso se remeta para o presente número, aplica-se o artigo 5º do Regulamento (UE) nº 182/2011.
  3. Caso se remeta para o presente número, aplica-se o artigo 8º do Regulamento (UE) nº 182/2011, em conjugação com o seu artigo 5º.

Capítulo XI - Disposições finais

Artigo 94 – Revogação da Diretiva 95/46/CE

  1. A Diretiva 95/46/CE é revogada com efeitos a partir de 25 de maio de 2018.
  2. As remissões para a diretiva revogada são consideradas remissões para presente regulamento. As referências ao Grupo de proteção das pessoas no que diz respeito ao tratamento de dados pessoais, criado pelo artigo 29º da Diretiva 95/46/CE, são consideradas referências ao Comité Europeu para a Proteção de Dados criado pelo presente regulamento.

Artigo 95 – Relação com a Diretiva 2002/58/CE

O presente regulamento não impõe obrigações suplementares a pessoas singulares ou coletivas no que respeita ao tratamento no contexto da prestação de serviços de comunicações eletrónicas disponíveis nas redes públicas de comunicações na União em matérias que estejam sujeitas a obrigações específicas com o mesmo objetivo estabelecidas na Diretiva 2002/58/CE.

Artigo 96 – Relação com acordos celebrados anteriormente

Os acordos internacionais celebrados pelos Estados-Membros antes de 24 de maio de 2016, que impliquem a transferência de dados pessoais para países terceiros ou organizações internacionais e que sejam conformes com o direito da União aplicável antes dessa data, permanecem em vigor até serem alterados, substituídos ou revogados.

Artigo 97 – Relatórios da Comissão

  1. Até 25 de maio de 2020 e subsequentemente de quatro anos em quatro anos, a Comissão apresenta ao Parlamento Europeu e ao Conselho um relatório sobre a avaliação e revisão do presente regulamento. Os relatórios são tornados públicos.
  2. No contexto das avaliações e revisões referidas no nº 1, a Comissão examina, nomeadamente, a aplicação e o funcionamento do:
    1. Capítulo V sobre a transferência de dados pessoas para países terceiros ou organizações internacionais, com especial destaque para as decisões adotadas nos termos do artigo 45º, nº 3, do presente regulamento, e as decisões adotadas com base no artigo 25º, nº 6, da Diretiva 95/46/CE;
    2. Capítulo VII sobre cooperação e coerência.
  3. Para o efeito do nº 1, a Comissão pode solicitar informações aos Estados-Membros e às autoridades de controlo.
  4. Ao efetuar as avaliações e as revisões a que se referem os nºs 1 e 2, a Comissão tem em consideração as posições e as conclusões a que tenham chegado o Parlamento Europeu, o Conselho e outros organismos ou fontes pertinentes.
  5. Se necessário, a Comissão apresenta propostas adequadas com vista à alteração do presente regulamento atendendo, em especial, à evolução das tecnologias da informação e aos progressos da Sociedade da Informação.

Artigo 98 – Revisão de outros atos jurídicos da União em matéria de proteção de dados

Se necessário, a Comissão apresenta propostas legislativas com vista à alteração de outros atos jurídicos da União sobre a proteção dos dados pessoais, a fim de assegurar uma proteção uniforme e coerente das pessoas singulares no que diz respeito ao tratamento. Tal incide nomeadamente sobre as normas relativas à proteção das pessoas singulares no que diz respeito ao tratamento pelas instituições, órgãos, organismos e agências da União e a livre circulação desses dados.

Artigo 99 – Entrada em vigor e aplicação

  1. O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.
  2. O presente regulamento é aplicável a partir de 25 de maio de 2018. O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.

Controle de Revisões

3 de maio de 2018 – Retificação do Regulamento (UE, Euratom) 2018/673 do Parlamento Europeu e do Conselho, de 3 de maio de 2018, que altera o Regulamento (UE, Euratom) n.o 1141/2014 relativo ao estatuto e ao financiamento dos partidos políticos europeus e das fundações políticas europeias ( JO L 114 I de 4.5.2018 )

 

27 de abril de 2016 – Retificação do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) ( JO L 119 de 4.5.2016 )

 

27 de abril de 2016 – Retificação da Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI do Conselho ( JO L 119 de 4.5.2016 )

 

13 de dezembro de 2017 – Retificação do Regulamento (UE) 2017/2396 do Parlamento Europeu e do Conselho, de 13 de dezembro de 2017, que altera os Regulamentos (UE) n.o 1316/2013 e (UE) 2015/1017 no que se refere à prorrogação da vigência do Fundo Europeu para Investimentos Estratégicos e à introdução de melhorias técnicas nesse Fundo e na Plataforma Europeia de Aconselhamento ao Investimento ( JO L 345 de 27.12.2017 )

 

4 de maio de 2016  – Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados.