interactive GDPR 2016/0679 PT

1. Os Estados-Membros, as autoridades de controlo, o Comité e a Comissão promovem a elaboração de códigos de conduta destinados a contribuir para a correta aplicação do presente regulamento, tendo em conta as características dos diferentes setores de tratamento e as necessidades específicas das micro, pequenas e médias empresas.

2. As associações e outros organismos representantes de categorias de responsáveis pelo tratamento ou de subcontratantes podem elaborar códigos de conduta, alterar ou aditar a esses códigos, a fim de especificar a aplicação do presente regulamento, como por exemplo:

a)	O tratamento equitativo e transparente;

b)	Os legítimos interesses dos responsáveis pelo tratamento em contextos específicos;

c)	A recolha de dados pessoais;

d)	A pseudonimização dos dados pessoais;

e)	A informação prestada ao público e aos titulares dos dados;

f)	O exercício dos direitos dos titulares dos dados;

g)	As informações prestadas às crianças e a sua proteção, e o modo pelo qual o consentimento do titular das responsabilidades parentais da criança deve ser obtido;

h)	As medidas e procedimentos a que se referem os artigos 24.o e 25.o e as medidas destinadas a garantir a segurança do tratamento referidas no artigo 30.o;

i)	A notificação de violações de dados pessoais às autoridades de controlo e a comunicação dessas violações de dados pessoais aos titulares dos dados;

j)	A transferência de dados pessoais para países terceiros ou organizações internacionais; ou

k)	As ações extrajudiciais e outros procedimentos de resolução de litígios entre os responsáveis pelo tratamento e os titulares dos dados em relação ao tratamento, sem prejuízo dos direitos dos titulares dos dados nos termos dos artigos 77.o e 79.o.

3. Além dos responsáveis pelo tratamento ou dos subcontratantes sujeitos ao presente regulamento, também os responsáveis pelo tratamento ou subcontratantes que não estão sujeitos ao presente regulamento por força do artigo 3.o podem cumprir códigos de conduta aprovados em conformidade com o n.o 5 do presente artigo e de aplicabilidade geral por força do n.o 9 do presente artigo, de modo a fornecer garantias apropriadas no quadro das transferências dos dados pessoais para países terceiros ou organizações internacionais nos termos referidos no artigo 46.o, n.o 2, alínea e). Os responsáveis pelo tratamento ou os subcontratantes assumem compromissos vinculativos e com força executiva, por meio de instrumentos contratuais ou de outros instrumentos juridicamente vinculativos, no sentido de aplicar as garantias apropriadas, inclusivamente em relação aos direitos dos titulares dos dados.

4. Os códigos de conduta referidos no n.o 2 do presente artigo devem prever procedimentos que permitam ao organismo referido no artigo 41.o, n.o 1, efetuar a supervisão obrigatória do cumprimento das suas disposições por parte dos responsáveis pelo tratamento ou subcontratantes que se comprometam a aplicá-lo, sem prejuízo das funções e competências das autoridades de controlo competentes por força do artigo 55.o ou 56.o.

5. As associações e outros organismos a que se refere o n.o 2 do presente artigo que tencionem elaborar um código de conduta, ou alterar ou aditar a um código existente, apresentam o projeto de código, a alteração ou o aditamento à autoridade de controlo que é competente por força do artigo 55.o. A autoridade de controlo emite um parecer sobre a conformidade do projeto de código de conduta ou da alteração ou do aditamento com o presente regulamento e aprova este projeto, esta alteração ou este aditamento se determinar que são previstas garantias apropriadas suficientes.

6. Se o código de conduta, ou a alteração ou o aditamento for aprovado nos termos do n.o 5, e se o código de conduta em causa não estiver relacionado com atividades de tratamento realizadas em vários Estados-Membros, a autoridade de controlo regista e publica o código.

7. Se o projeto do código de conduta estiver relacionado com atividades de tratamento realizadas em vários Estados-Membros, a autoridade de controlo competente nos termos do artigo 55.o, antes da aprovação, apresenta o projeto do código, a alteração ou o aditamento, pelo procedimento referido no artigo 63.o, ao Comité, que emite um parecer sobre a conformidade do projeto de código de conduta, ou da alteração ou do aditamento, com o presente regulamento, ou, na situação referida no n.o 3 do presente artigo, sobre a previsão de garantias adequadas.

8. Se o parecer a que se refere o n.o 7 confirmar que o projeto do código de conduta, ou a alteração ou o aditamento, está conforme com o presente regulamento ou, na situação referida no n.o 3, prevê garantias adequadas, o Comité apresenta o seu parecer à Comissão.

9. A Comissão pode, através de atos de execução, decidir que os códigos de conduta aprovados, bem como as alterações ou os aditamentos, que lhe sejam apresentados nos termos do n.o 8 do presente artigo, são de aplicabilidade geral na União. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 93.o, n.o 2.

10. A Comissão assegura a publicidade adequada dos códigos aprovados que declarou, mediante decisão, serem de aplicabilidade geral em conformidade com o n.o 9.

11. O Comité recolhe todos os códigos de conduta aprovados, respetivas alterações e respetivos aditamentos num registo e disponibiliza-os ao público pelos meios adequados.

Artigo 43.o

Organismos de certificação

1. Sem prejuízo das atribuições e poderes da autoridade de controlo competente nos termos dos artigos 57.o e 58.o, um organismo de certificação que tenha um nível adequado de competência em matéria de proteção de dados emite e renova a certificação, após informar a autoridade de controlo para que esta possa exercer as suas competências nos termos do artigo 58.o, n.o 2, alínea h), sempre que necessário. Os Estados-Membros asseguram que estes organismos de certificação são acreditados:

a)	Pela autoridade de controlo que é competente nos termos do artigo 55.o ou 56.o;

Pelo organismo nacional de acreditação, designado nos termos do Regulamento (CE) n.o 765/2008 do Parlamento Europeu e do Conselho (20), em conformidade com a norma EN-ISO/IEC 17065/2012 e com os requisitos adicionais estabelecidos pela autoridade de controlo que é competente nos termos do artigo 55.o ou 56.o.

2. Os organismos de certificação referidos no n.o 1 são acreditados em conformidade com o mesmo, apenas se:

a)	Tiverem demonstrado que gozam de independência e dispõem dos conhecimentos necessários em relação ao objeto da certificação, de forma satisfatória para a autoridade de controlo competente;

b)	Se tiverem comprometido a respeitar os critérios referidos no artigo 42.o, n.o 5, e aprovados pela autoridade de controlo que é competente por força do artigo 55.o ou 56.o ou pelo Comité por força do artigo 63.o;

c)	Tiverem estabelecido procedimentos para a emissão, revisão periódica e retirada de procedimentos de certificação, selos e marcas de proteção de dados;

Tiverem estabelecido procedimentos e estruturas para tratar reclamações relativas a violações da certificação ou à forma como a certificação tenha sido ou esteja a ser implementada pelo responsável pelo tratamento ou subcontratante, e para tornar estes procedimentos e estruturas transparentes para os titulares dos dados e o público; e

e)	Demonstrarem, de forma satisfatória para a autoridade de controlo competente, que as suas funções e atribuições não implicam um conflito de interesses.

3. A acreditação dos organismos de certificação referida nos n.os 1 e 2 do presente artigo, é efetuada com base nos critérios aprovados pela autoridade de controlo que é competente por força do artigo 55.o ou 56.o ou pelo Comité por força do artigo 63.o. No caso de acreditações nos termos do n.o 1, alínea b), do presente artigo, esses requisitos complementam os requisitos previstos no Regulamento (CE) n.o 765/2008 e as regras técnicas que descrevem os métodos e procedimentos dos organismos de certificação.

4. Os organismos de certificação a que se refere o n.o 1 são responsáveis pela correta avaliação necessária à certificação, ou pela revogação dessa certificação, sem prejuízo da responsabilidade que cabe ao responsável pelo tratamento ou ao subcontratante pelo cumprimento do presente regulamento. A acreditação é emitida por um período máximo de cinco anos e pode ser renovada nas mesmas condições, desde que o organismo de certificação reúna os requisitos estabelecidos no presente artigo.

5. Os organismos de certificação a que se refere o n.o 1 fornecem às autoridades de controlo competentes os motivos que levaram à concessão ou revogação da certificação solicitada.

6. Os requisitos referidos no n.o 3 do presente artigo, e os critérios referidos no artigo 42.o, n.o 5, são publicados pela autoridade de controlo sob uma forma facilmente acessível. As autoridades de controlo também comunicam estes requisitos e estas informações ao Comité. O Comité recolhe todos os procedimentos de certificação e selos de proteção de dados aprovados num registo e disponibiliza-os ao público por todos os meios adequados.

7. Sem prejuízo do capítulo VIII, a autoridade de controlo competente ou o organismo nacional de acreditação revoga uma acreditação do organismo de certificação nos termos do n.o 1 do presente artigo, se as condições para a acreditação não estiverem ou tiverem deixado de estar reunidas, ou se as medidas tomadas pelo organismo de certificação violarem o presente regulamento.

8. A Comissão fica habilitada a adotar atos delegados nos termos do artigo 92.o, a fim de especificar os requisitos a ter em conta relativamente aos procedimentos de certificação em matéria de proteção de dados referidos no artigo 42.o, n.o 1.

9. A Comissão pode adotar atos de execução estabelecendo normas técnicas para os procedimentos de certificação e os selos e marcas em matéria de proteção de dados, e regras para promover e reconhecer esses procedimentos de certificação, selos e marcas. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 93.o, n.o 2.

CAPÍTULO V

Transferências de dados pessoais para países terceiros ou organizações internacionais

Artigo 45.o

Transferências com base numa decisão de adequação

1. Pode ser realizada uma transferência de dados pessoais para um país terceiro ou uma organização internacional se a Comissão tiver decidido que o país terceiro, um território ou um ou mais setores específicos desse país terceiro, ou a organização internacional em causa, assegura um nível de proteção adequado. Esta transferência não exige autorização específica.

2. Ao avaliar a adequação do nível de proteção, a Comissão tem nomeadamente em conta os seguintes elementos:

O primado do Estado de direito, o respeito pelos direitos humanos e liberdades fundamentais, a legislação pertinente em vigor, tanto a geral como a setorial, nomeadamente em matéria de segurança pública, defesa, segurança nacional e direito penal, e respeitante ao acesso das autoridades públicas a dados pessoais, bem como a aplicação dessa legislação e das regras de proteção de dados, das regras profissionais e das medidas de segurança, incluindo as regras para a transferência ulterior de dados pessoais para outro país terceiro ou organização internacional, que são cumpridas nesse país ou por essa organização internacional, e a jurisprudência, bem como os direitos dos titulares dos dados efetivos e oponíveis, e vias de recurso administrativo e judicial para os titulares de dados cujos dados pessoais sejam objeto de transferência;

A existência e o efetivo funcionamento de uma ou mais autoridades de controlo independentes no país terceiro ou às quais esteja sujeita uma organização internacional, responsáveis por assegurar e impor o cumprimento das regras de proteção de dados, e dotadas de poderes coercitivos adequados para assistir e aconselhar os titulares dos dados no exercício dos seus direitos, e cooperar com as autoridades de controlo dos Estados-Membros; e

Os compromissos internacionais assumidos pelo país terceiro ou pela organização internacional em causa, ou outras obrigações decorrentes de convenções ou instrumentos juridicamente vinculativos, bem como da sua participação em sistemas multilaterais ou regionais, em especial em relação à proteção de dados pessoais.

3. Após avaliar a adequação do nível de proteção, a Comissão pode decidir, através de um ato de execução, que um país terceiro, um território ou um ou mais setores específicos de um país terceiro, ou uma organização internacional, garante um nível de proteção adequado na aceção do n.o 2 do presente artigo. O ato de execução prevê um procedimento de avaliação periódica, no mínimo de quatro em quatro anos, que deverá ter em conta todos os desenvolvimentos pertinentes no país terceiro ou na organização internacional. O ato de execução especifica o âmbito de aplicação territorial e setorial e, se for caso disso, identifica a autoridade ou autoridades de controlo a que se refere o n.o 2, alínea b), do presente artigo. O referido ato de execução é adotado pelo procedimento de exame a que se refere o artigo 93.o, n.o 2.

4. A Comissão controla, de forma continuada, os desenvolvimentos nos países terceiros e nas organizações internacionais que possam afetar o funcionamento das decisões adotadas nos termos do n.o 3 do presente artigo e das decisões adotadas com base no artigo 25.o, n.o 6, da Diretiva 95/46/CE.

5. A Comissão, sempre que a informação disponível revelar, nomeadamente na sequência da revisão a que se refere o n.o 3 do presente artigo, que um país terceiro, um território ou um ou mais setores específicos de um país terceiro, ou uma organização internacional, deixou de assegurar um nível de proteção adequado na aceção do n.o 2 do presente artigo, na medida do necessário, revoga, altera ou suspende a decisão referida no n.o 3 do presente artigo, através de atos de execução, sem efeitos retroativos. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 93.o, n.o 2.

Por imperativos de urgência devidamente justificados, a Comissão adota atos de execução imediatamente aplicáveis pelo procedimento a que se refere o artigo 93.o, n.o 3.

6. A Comissão inicia consultas com o país terceiro ou a organização internacional com vista a corrigir a situação que tiver dado origem à decisão tomada nos termos do n.o 5.

7. As decisões tomadas ao abrigo do n.o 5 do presente artigo não prejudicam as transferências de dados pessoais para o país terceiro, um território ou um ou mais setores específicos desse país terceiro, ou para a organização internacional em causa, nos termos dos artigos 46.o a 49.o.

8. A Comissão publica no Jornal Oficial da União Europeia e no seu sítio web uma lista dos países terceiros, territórios e setores específicos de um país terceiro e de organizações internacionais relativamente aos quais tenha declarado, mediante decisão, se asseguram ou não um nível de proteção adequado.

9. As decisões adotadas pela Comissão com base no artigo 25.o, n.o 6, da Diretiva 95/46/CE permanecem em vigor até que sejam alteradas, substituídas ou revogadas por uma decisão da Comissão adotada em conformidade com o n.o 3 ou o n.o 5 do presente artigo.

Artigo 47.o

Regras vinculativas aplicáveis às empresas

1. Pelo procedimento de controlo da coerência previsto no artigo 63.o, a autoridade de controlo competente aprova regras vinculativas aplicáveis às empresas, que devem:

a)	Ser juridicamente vinculativas e aplicáveis a todas as entidades em causa do grupo empresarial ou do grupo de empresas envolvidas numa atividade económica conjunta, incluindo os seus funcionários, as quais deverão assegurar o seu cumprimento;

b)	Conferir expressamente aos titulares dos dados direitos oponíveis relativamente ao tratamento dos seus dados pessoais; e

c)	Preencher os requisitos estabelecidos no n.o 2.

2. As regras vinculativas aplicáveis às empresas a que se refere o n.o 1 especificam, pelo menos:

a)	A estrutura e os contactos do grupo empresarial ou do grupo de empresas envolvidas numa atividade económica conjunta e de cada uma das entidades que o compõe;

b)	As transferências ou conjunto de transferências de dados, incluindo as categorias de dados pessoais, o tipo de tratamento e suas finalidades, o tipo de titulares de dados afetados e a identificação do país ou países terceiros em questão;

c)	O seu caráter juridicamente vinculativo, a nível interno e externo;

A aplicação dos princípios gerais de proteção de dados, nomeadamente a limitação das finalidades, a minimização dos dados, a limitação dos prazos de conservação, a qualidade dos dados, a proteção dos dados desde a conceção e por defeito, o fundamento jurídico para o tratamento, o tratamento de categorias especiais de dados pessoais, as medidas de garantia da segurança dos dados e os requisitos aplicáveis a transferências posteriores para organismos não abrangidos pelas regras vinculativas aplicáveis às empresas;

Os direitos dos titulares dos dados relativamente ao tratamento e regras de exercício desses direitos, incluindo o direito de não ser objeto de decisões baseadas unicamente no tratamento automatizado, nomeadamente a definição de perfis a que se refere o artigo 22.o, o direito de apresentar uma reclamação à autoridade de controlo competente e aos tribunais competentes dos Estados-Membros nos termos do artigo 79.o, bem como o de obter reparação e, se for caso disso, indemnização pela violação das regras vinculativas aplicáveis às empresas;

A aceitação, por parte do responsável pelo tratamento ou subcontratante estabelecido no território de um Estado-Membro, da responsabilidade por toda e qualquer violação das regras vinculativas aplicáveis às empresas cometida por uma entidade envolvida que não se encontre estabelecida na União; o responsável pelo tratamento ou o subcontratante só pode ser exonerado dessa responsabilidade, no todo ou em parte, mediante prova de que o facto que causou o dano não é imputável à referida entidade;

g)	A forma como as informações sobre as regras vinculativas aplicáveis às empresas, nomeadamente, sobre as disposições referidas nas alíneas d), e) e f) do presente número, são comunicadas aos titulares dos dados para além das informações referidas nos artigos 13.o e 14.o;

As funções de qualquer encarregado da proteção de dados, designado nos termos do artigo 37.o ou de qualquer outra pessoa ou entidade responsável pelo controlo do cumprimento das regras vinculativas aplicáveis às empresas, a nível do grupo empresarial ou do grupo de empresas envolvidas numa atividade económica conjunta, e pela supervisão das ações de formação e do tratamento de reclamações;

i)	Os procedimentos de reclamação;

Os procedimentos existentes no grupo empresarial ou no grupo de empresas envolvidas numa atividade económica conjunta para assegurar a verificação do cumprimento das regras vinculativas aplicáveis às empresas. Esses procedimentos incluem a realização de auditorias sobre a proteção de dados e o recurso a métodos que garantam a adoção de medidas corretivas capazes de preservar os direitos dos respetivos titulares. Os resultados dessa verificação devem ser comunicados à pessoa ou entidade referida na alínea h) e ao Conselho de Administração da empresa ou grupo empresarial que exerce o controlo ou do grupo de empresas envolvidas numa atividade económica conjunta, devendo também ser facultados à autoridade de controlo competente, a pedido desta;

k)	Os procedimentos de elaboração de relatórios e de registo de alterações às regras, bem como de comunicação dessas alterações à autoridade de controlo;

O procedimento de cooperação com a autoridade de controlo para assegurar o cumprimento, por qualquer entidade do grupo empresarial ou do grupo de empresas envolvidas numa atividade económica conjunta, em especial facultando à autoridade de controlo os resultados de verificações das medidas referidas na alínea j);

Os procedimentos de comunicação, à autoridade de controlo competente, de todos os requisitos legais a que uma entidade do grupo empresarial ou do grupo de empresas envolvidas numa atividade económica conjunta esteja sujeita num país terceiro que sejam passíveis de ter forte impacto negativo nas garantias dadas pelas regras vinculativas aplicáveis às empresas; e

n)	Ações de formação especificamente dirigidas a pessoas que tenham, em permanência ou regularmente, acesso a dados de natureza pessoal.

3. A Comissão pode especificar o formato e os procedimentos de intercâmbio de informações entre os responsáveis pelo tratamento, os subcontratantes e as autoridades de controlo no que respeita às regras vinculativas aplicáveis às empresas na aceção do presente artigo. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 93.o, n.o 2.

Artigo 61.o

Assistência mútua

1. As autoridades de controlo prestam entre si informações úteis e assistência mútua a fim de executar e aplicar o presente regulamento de forma coerente, e tomam as medidas para cooperar eficazmente entre si. A assistência mútua abrange, em especial, os pedidos de informação e as medidas de controlo, tais como os pedidos de autorização prévia e de consulta prévia, bem como de inspeção e de investigação.

2. As autoridades de controlo tomam todas as medidas adequadas que forem necessárias para responder a um pedido de outra autoridade de controlo sem demora injustificada e, o mais tardar, um mês após a receção do pedido. Essas medidas podem incluir, particularmente, a transmissão de informações úteis sobre a condução de uma investigação.

3. Os pedidos de assistência incluem todas as informações necessárias, nomeadamente a finalidade e os motivos do pedido. As informações trocadas só podem ser utilizadas para a finalidade para que tiverem sido solicitadas.

4. A autoridade de controlo requerida não pode indeferir o pedido, a não ser que:

a)	Não seja competente relativamente ao assunto do pedido ou às medidas cuja execução lhe é pedida; ou

b)	Dar seguimento ao viole o presente regulamento ou o direito da União ou do Estado-Membro ao qual a autoridade de controlo que recebe o pedido está sujeita.

5. A autoridade de controlo requerida informa a autoridade de controlo requerente dos resultados obtidos ou, consoante o caso, do andamento do pedido ou das medidas tomadas para lhe dar resposta pedido. A autoridade de controlo requerida indica os motivos de indeferimento de um pedido por força do n.o 4.

6. As autoridades de controlo requeridas fornecem, em regra, as informações solicitadas por outras autoridades de controlo por meios eletrónicos, utilizando um formato normalizado.

7. As autoridades de controlo requeridas não cobram taxas pelas medidas por elas tomadas por força de pedidos de assistência mútua. As autoridades de controlo podem acordar regras para a indemnização recíproca de despesas específicas decorrentes da prestação de assistência mútua em circunstâncias excecionais.

8. Quando uma autoridade de controlo não prestar as informações referidas no n.o 5 do presente artigo no prazo de um mês a contar da receção do pedido apresentado por outra autoridade de controlo, a autoridade de controlo requerente pode adotar uma medida provisória no território do respetivo Estado-Membro nos termos do artigo 55.o, n.o 1. Nesse caso, presume-se que é urgente intervir, nos termos do artigo 66.o, n.o 1, e solicitar uma decisão vinculativa urgente ao Comité, nos termos do artigo 66.o, n.o 2.

9. A Comissão pode especificar, por meio de atos de execução, o formato e os procedimentos para a assistência mútua referidos no presente artigo, bem como as regras de intercâmbio por meios eletrónicos de informações entre as autoridades de controlo e entre estas e o Comité, nomeadamente o formato normalizado referido no n.o 6 do presente artigo. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 93.o, n.o 2.

Artigo 64.o

Parecer do Comité

1. O Comité emite parecer sempre que uma autoridade de controlo competente tenha a intenção de adotar uma das medidas a seguir enunciadas. Para esse efeito, a autoridade de controlo competente envia o projeto de decisão ao Comité, quando esta:

a)	Vise a adoção de uma lista das operações de tratamento sujeitas à exigência de proceder a uma avaliação do impacto sobre a proteção dos dados, nos termos do artigo 35.o, n.o 4;

b)	Incida sobre uma questão, prevista no artigo 40.o, n.o 7, de saber se um projeto de código de conduta ou uma alteração ou aditamento a um código de conduta está em conformidade com o presente regulamento;

c)	Vise aprovar os critérios de acreditação de um organismo nos termos do artigo 41.o, n.o 3, ou um organismo de certificação nos termos do artigo 43.o, n.o 3;

d)	Vise determinar as cláusulas-tipo de proteção de dados referidas no artigo 46.o, n.o 2, alínea d), e no artigo 28.o, n.o 8;

e)	Vise autorizar as cláusulas contratuais previstas no artigo 46.o, n.o 3, alínea a); ou

f)	Vise aprovar regras vinculativas aplicáveis às empresas na aceção do artigo 47.o.

2. As autoridades de controlo, o presidente do Comité ou a Comissão podem solicitar que o Comité analise qualquer assunto de aplicação geral ou que produza efeitos em mais do que um Estado-Membro, com vista a obter um parecer, nomeadamente se a autoridade de controlo competente não cumprir as obrigações em matéria de assistência mútua previstas no artigo 61.o ou de operações conjuntas previstas no artigo 62.o.

3. Nos casos referidos nos n.os 1 e 2, o Comité emite parecer sobre o assunto que lhe é apresentado, a não ser que tenha já antes emitido parecer sobre o mesmo assunto. Esse parecer é adotado no prazo de oito semanas por maioria simples dos membros que compõem o Comité. Esse prazo pode ser prorrogado por mais seis semanas, em virtude da complexidade do assunto em apreço. Para efeitos do projeto de decisão referido no n.o 1 e enviado aos membros do Comité nos termos do n.o 5, considera-se que os membros que não tenham levantado objeções dentro de um prazo razoável fixado pelo presidente estão de acordo com o projeto de decisão.

4. As autoridades de controlo e a Comissão comunicam sem demora injustificada, por via eletrónica, ao Comité, utilizando um formato normalizado, as informações que forem pertinentes, incluindo, consoante o caso, um resumo dos factos, o projeto de decisão, os motivos que tornam necessário adotar tal medida, bem como as posições das outras autoridades de controlo interessadas.

5. O presidente do Comité informa sem demora injustificada, por via eletrónica:

a)	Os membros do Comité e a Comissão de quaisquer informações pertinentes que lhe tenham sido comunicadas, utilizando um formato normalizado. Se necessário, o Secretariado do Comité fornece traduções das informações pertinentes; e

b)	A autoridade de controlo referida, consoante o caso, nos n.os 1 e 2 e a Comissão do parecer e torna-o público.

6. As autoridades de controlo competentes não adotam os projetos de decisão referidos no n.o 1 no decurso do prazo referido no n.o 3.

7. A autoridade de controlo referida no n.o 1 tem na melhor conta o parecer do Comité e, no prazo de duas semanas a contar da receção do parecer, comunica por via eletrónica ao presidente do Comité se tenciona manter ou alterar o projeto de decisão e, se existir, o projeto de decisão alterado, utilizando um formato normalizado.

8. Quando as autoridades de controlo interessadas informarem o presidente do Comité, no prazo referido no n.o 7 do presente artigo, de que não têm intenção de seguir o parecer do Comité, no todo ou em parte, apresentando os motivos pertinentes de tal decisão, aplica-se o artigo 65.o, n.o 1.

Artigo 66.o

Procedimento de urgência

1. Em circunstâncias excecionais, quando a autoridade de controlo interessada considerar que é urgente intervir a fim de defender os direitos e liberdades dos titulares dos dados, pode, em derrogação do procedimento de controlo da coerência referido nos artigos 63.o, 64.o e 65.o ou do procedimento a que se refere o artigo 60.o, adotar imediatamente medidas provisórias destinadas a produzir efeitos legais no seu próprio território, válidas por um período determinado que não seja superior a três meses. A autoridade de controlo dá sem demora conhecimento dessas medidas e dos motivos que a levaram a adotá-la às outras autoridades de controlo interessadas, ao Comité e à Comissão.

2. Quando a autoridade de controlo tiver tomado uma medida nos termos do n.o 1 e considerar necessário adotar urgentemente medidas definitivas, pode solicitar um parecer urgente ou uma decisão vinculativa urgente ao Comité, fundamentando o seu pedido de parecer ou decisão.

3. As autoridades de controlo podem solicitar um parecer urgente ou uma decisão vinculativa urgente, conforme o caso, ao Comité, quando a autoridade de controlo competente não tiver tomado nenhuma medida adequada numa situação que exija uma iniciativa urgente para defender os direitos e liberdades dos titulares dos dados, apresentando os motivos por que pede parecer ou decisão, e por que há necessidade urgente de agir.

4. Em derrogação do artigo 64.o, n.o 3, e do artigo 65.o, n.o 2, os pareceres urgentes ou decisões vinculativas urgentes a que se referem os n.os 2 e 3 do presente artigo são adotados no prazo de duas semanas por maioria simples dos membros do Comité.

Artigo 67.o

Troca de informações

Comissão pode adotar atos de execução de aplicação geral a fim de especificar as regras de intercâmbio eletrónico de informações entre as autoridades de controlo e entre estas e o Comité, nomeadamente o formato normalizado referido no artigo 64.o.

Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 93.o, n.o 2.

Secção 3

Comité europeu para a proteção de dados

Artigo 68.o

Comité Europeu para a Proteção de Dados

1. O Comité Europeu para a Proteção de Dados («Comité») é criado enquanto organismo da União e está dotado de personalidade jurídica.

2. O Comité é representado pelo seu presidente.

3. O Comité é composto pelo diretor de uma autoridade de controlo de cada Estado-Membro e da Autoridade Europeia para a Proteção de Dados, ou pelos respetivos representantes.

4. Quando, num determinado Estado-Membro, haja mais do que uma autoridade de controlo com responsabilidade pelo controlo da aplicação do presente regulamento, é nomeado um representante comum nos termos do direito desse Estado-Membro.

5. A Comissão tem o direito de participar nas atividades e reuniões do Comité, sem direito de voto. A Comissão designa um representante. O presidente do Comité informa a Comissão das atividades do Comité.

6. Nos casos referidos no artigo 65.o, a Autoridade Europeia para a Proteção de Dados apenas tem direito de voto nas decisões que digam respeito a princípios e normas aplicáveis às instituições, órgãos, organismos e agências da União que correspondam, em substância, às do presente regulamento.

Artigo 75.o

Secretariado

1. O Comité dispõe de um secretariado disponibilizado pela Autoridade Europeia para a Proteção de Dados.

2. O secretariado desempenha as suas funções sob a direção exclusiva do presidente do Comité.

3. O pessoal da Autoridade Europeia para a Proteção de Dados envolvido na prossecução das atribuições conferidas ao Comité pelo presente regulamento está sujeito a uma hierarquia distinta do pessoal envolvido na prossecução das atribuições conferidas à Autoridade Europeia para a Proteção de Dados.

4. Quando for caso disso, o Comité e a Autoridade Europeia para a Proteção de Dados elaboram e publicam um memorando de entendimento que dê execução ao presente artigo e defina os termos da sua cooperação, aplicável ao pessoal da Autoridade Europeia para a Proteção de Dados envolvido na prossecução das atribuições conferidas ao Comité pelo presente regulamento.

5. O secretariado fornece ao Comité apoio de caráter analítico, administrativo e logístico.

6. O secretariado é responsável, em especial:

a)	Pela gestão corrente do Comité;

b)	Pela comunicação entre os membros do Comité, o seu presidente e a Comissão;

c)	Pela comunicação com outras instituições e o público;

d)	Pelo recurso a meios eletrónicos para a comunicação interna e externa;

e)	Pela tradução de informações pertinentes;

f)	Pela preparação e acompanhamento das reuniões do Comité;

g)	Pela preparação, redação e publicação dos pareceres, das decisões em matéria de resolução de litígios entre autoridades de controlo e de outros textos adotados pelo Comité.

Artigo 83.o

Condições gerais para a aplicação de coimas

1. Cada autoridade de controlo assegura que a aplicação de coimas nos termos do presente artigo relativamente a violações do presente regulamento a que se referem os n.os 4, 5 e 6 é, em cada caso individual, efetiva, proporcionada e dissuasiva.

2. Consoante as circunstâncias de cada caso, as coimas são aplicadas para além ou em vez das medidas referidas no artigo 58.o, n.o 2, alíneas a) a h) e j). Ao decidir sobre a aplicação de uma coima e sobre o montante da coima em cada caso individual, é tido em devida consideração o seguinte:

a)	A natureza, a gravidade e a duração da infração tendo em conta a natureza, o âmbito ou o objetivo do tratamento de dados em causa, bem como o número de titulares de dados afetados e o nível de danos por eles sofridos;

b)	O caráter intencional ou negligente da infração;

c)	A iniciativa tomada pelo responsável pelo tratamento ou pelo subcontratante para atenuar os danos sofridos pelos titulares;

d)	O grau de responsabilidade do responsável pelo tratamento ou do subcontratante tendo em conta as medidas técnicas ou organizativas por eles implementadas nos termos dos artigos 25.o e 32.o;

e)	Quaisquer infrações pertinentes anteriormente cometidas pelo responsável pelo tratamento ou pelo subcontratante;

f)	O grau de cooperação com a autoridade de controlo, a fim de sanar a infração e atenuar os seus eventuais efeitos negativos;

g)	As categorias específicas de dados pessoais afetadas pela infração;

h)	A forma como a autoridade de controlo tomou conhecimento da infração, em especial se o responsável pelo tratamento ou o subcontratante a notificaram, e em caso afirmativo, em que medida o fizeram;

i)	O cumprimento das medidas a que se refere o artigo 58.o, n.o 2, caso as mesmas tenham sido previamente impostas ao responsável pelo tratamento ou ao subcontratante em causa relativamente à mesma matéria;

j)	O cumprimento de códigos de conduta aprovados nos termos do artigo 40.o ou de procedimento de certificação aprovados nos termos do artigo 42.o; e

k)	Qualquer outro fator agravante ou atenuante aplicável às circunstâncias do caso, como os benefícios financeiros obtidos ou as perdas evitadas, direta ou indiretamente, por intermédio da infração.

3. Se o responsável pelo tratamento ou o subcontratante violar, intencionalmente ou por negligência, no âmbito das mesmas operações de tratamento ou de operações ligadas entre si, várias disposições do presente regulamento, o montante total da coima não pode exceder o montante especificado para a violação mais grave.

4. A violação das disposições a seguir enumeradas está sujeita, em conformidade com o n.o 2, a coimas até 10 000 000 EUR ou, no caso de uma empresa, até 2 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado:

a)	As obrigações do responsável pelo tratamento e do subcontratante nos termos dos artigos 8.o, 11.o, 25.o a 39.o e 42.o e 43.o;

b)	As obrigações do organismo de certificação nos termos dos artigos 42.o e 43.o;

c)	As obrigações do organismo de supervisão nos termos do artigo 41.o, n.o 4;

5. A violação das disposições a seguir enumeradas está sujeita, em conformidade com o n.o 2, a coimas até 20 000 000 EUR ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado:

a)	Os princípios básicos do tratamento, incluindo as condições de consentimento, nos termos dos artigos 5.o, 6.o, 7.o e 9.o;

b)	Os direitos dos titulares dos dados nos termos dos artigos 12.o a 22.o;

c)	As transferências de dados pessoais para um destinatário num país terceiro ou uma organização internacional nos termos dos artigos 44.o a 49.o;

d)	As obrigações nos termos do direito do Estado-Membro adotado ao abrigo do capítulo IX;

e)	O incumprimento de uma ordem de limitação, temporária ou definitiva, relativa ao tratamento ou à suspensão de fluxos de dados, emitida pela autoridade de controlo nos termos do artigo 58.o, n.o 2, ou o facto de não facultar acesso, em violação do artigo 58.o, n.o 1.

6. O incumprimento de uma ordem emitida pela autoridade de controlo a que se refere o artigo 58.o, n.o 2, está sujeito, em conformidade com o n.o 2 do presente artigo, a coimas até 20 000 000 EUR ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante mais elevado.

7. Sem prejuízo dos poderes de correção das autoridades de controlo nos termos do artigo 58.o, n.o 2, os Estados-Membros podem prever normas que permitam determinar se e em que medida as coimas podem ser aplicadas às autoridades e organismos públicos estabelecidos no seu território.

8. O exercício das competências que lhe são atribuídas pelo presente artigo por parte da autoridade de controlo fica sujeito às garantias processuais adequadas nos termos do direito da União e dos Estados-Membros, incluindo o direito à ação judicial e a um processo equitativo.

9. Quando o sistema jurídico dos Estados-Membros não preveja coimas, pode aplicar-se o presente artigo de modo a que a coima seja proposta pela autoridade de controlo competente e imposta pelos tribunais nacionais competentes, garantindo ao mesmo tempo que estas medidas jurídicas corretivas são eficazes e têm um efeito equivalente às coimas impostas pelas autoridades de controlo. Em todo o caso, as coimas impostas devem ser efetivas, proporcionadas e dissuasivas. Os referidos Estados-Membros notificam a Comissão das disposições de direito interno que adotarem nos termos do presente número até 25 de maio de 2018 e, sem demora, de qualquer alteração subsequente das mesmas.

Artigo 92.o

Exercício da delegação

1. O poder de adotar atos delegados é conferido à Comissão nas condições estabelecidas no presente artigo.

2. O poder de adotar atos delegados referido no artigo 12.o, n.o 8, e no artigo 43.o, n.o 8, é conferido à Comissão por tempo indeterminado a contar de 24 de maio de 2016.

3. A delegação de poderes referida no artigo 12.o, n.o 8, e no artigo 43.o, n.o 8, pode ser revogada em qualquer momento pelo Parlamento Europeu ou pelo Conselho. A decisão de revogação põe termo à delegação dos poderes nela especificados. A decisão de revogação produz efeitos a partir do dia seguinte ao da sua publicação no Jornal Oficial da União Europeia ou de uma data posterior nela especificada. A decisão de revogação não afeta os atos delegados já em vigor.

4. Assim que adotar um ato delegado, a Comissão notifica-o simultaneamente ao Parlamento Europeu e ao Conselho.

5. Os atos delegados adotados nos termos do artigo 12.o, n.o 8, e do artigo 43.o, n.o 8, só entram em vigor se não tiverem sido formuladas objeções pelo Parlamento Europeu ou pelo Conselho no prazo de três meses a contar da notificação do ato ao Parlamento Europeu e ao Conselho, ou se, antes do termo desse prazo, o Parlamento Europeu e o Conselho tiverem informado a Comissão de que não têm objeções a formular. O referido prazo é prorrogável por três meses por iniciativa do Parlamento Europeu ou do Conselho.

whereas

(41) Caso o presente regulamento se refira a um fundamento jurídico ou a uma medida legislativa, não se trata necessariamente de um ato legislativo adotado por um parlamento, sem prejuízo dos requisitos que decorram da ordem constitucional do Estado-Membro em causa.
No entanto, esse fundamento jurídico ou essa medida legislativa deverão ser claros e precisos e a sua aplicação deverá ser previsível para os seus destinatários, em conformidade com a jurisprudência do Tribunal de Justiça da União Europeia («Tribunal de Justiça») e pelo Tribunal Europeu dos Direitos do Homem.

- = -

(129) A fim de assegurar o controlo e a aplicação coerentes do presente regulamento em toda a União, as autoridades de controlo deverão ter, em cada Estado-Membro, as mesmas funções e poderes efetivos, incluindo poderes de investigação, poderes de correção e de sanção, e poderes consultivos e de autorização, nomeadamente em caso de reclamação apresentada por pessoas singulares, sem prejuízo dos poderes das autoridades competentes para o exercício da ação penal ao abrigo do direito do Estado-Membro, tendo em vista levar as violações ao presente regulamento ao conhecimento das autoridades judiciais e intervir em processos judiciais.
Essas competências deverão incluir o poder de impor uma limitação temporário ou definitiva ao tratamento, ou mesmo a sua proibição.
Os Estados-Membros podem estabelecer outras funções relacionadas com a proteção de dados pessoais ao abrigo do presente regulamento.
Os poderes das autoridades de controlo deverão ser exercidos em conformidade com as garantias processuais adequadas previstas no direito da União e do Estado-Membro, com imparcialidade, com equidade e num prazo razoável.
Em particular, cada medida deverá ser adequada, necessária e proporcionada a fim de garantir a conformidade com o presente regulamento, tendo em conta as circunstâncias de cada caso concreto, respeitar o direito de todas as pessoas a serem ouvidas antes de ser tomada qualquer medida individual que as prejudique, e evitar custos supérfluos e inconvenientes excessivos para as pessoas em causa.
Os poderes de investigação em matéria de acesso às instalações deverão ser exercidos em conformidade com os requisitos específicos do direito processual do Estado-Membro, como, por exemplo, a obrigação de obter autorização judicial prévia.
As medidas juridicamente vinculativas da autoridade de controlo deverão ser emitidas por escrito, claras e inequívocas, indicar a autoridade de controlo que as emitiu e a data de emissão, ostentar a assinatura do diretor ou do membro da autoridade de controlo por eles autorizada, indicar os motivos que as justifica e mencionar o direito de recurso efetivo.
Tal não deverá impedir que sejam estabelecidos requisitos suplementares nos termos do direito processual do Estado-Membro.
A adoção de uma decisâo juridicamente vinculativa pode dar origem a controlo jurisdicional nos Estados-Membros da autoridade de controlo que tenha adotado a decisão.

- = -

(139) A fim de promover a aplicação coerente do presente regulamento, o Comité deverá ser um órgão independente da União.
Para atingir os seus objetivos, o Comité deverá ser dotado de personalidade jurídica.
O Comité é representado pelo seu presidente.
Este Comité deverá substituir o Grupo de Trabalho sobre a proteção das pessoas no que diz respeito ao tratamento de dados pessoais instituído pelo artigo 29.o da Diretiva 95/46/CE.
Deverá ser composto pelo diretor de uma autoridade de controlo de cada Estado-Membro e da Autoridade Europeia para a Proteção de Dados ou pelos seus representantes.
A Comissão deverá participar nas atividades do Comité, mas sem direito de voto, e a Autoridade Europeia para a Proteção de Dados deverá também participar nas suas atividades com direito de voto em casos particulares.
O Comité deverá contribuir para a aplicação coerente do presente regulamento em toda a União, incluindo mediante o aconselhamento da Comissão, nomeadamente no que respeita ao nível de proteção em países terceiros ou em organizações internacionais, e mediante a promoção da cooperação das autoridades de controlo em toda a União.
O Comité deverá ser independente no prossecução das suas atribuições.

- = -

(146) O responsável pelo tratamento ou o subcontratante deverão reparar quaisquer danos de que alguém possa ser vítima em virtude de um tratamento que viole o presente regulamentoresponsável pelo tratamento.
O responsável pelo tratamento ou o subcontratante pode ser exonerado da responsabilidade se provar que o facto que causou o dano não lhe é de modo algum imputável.
O conceito de dano deverá ser interpretado em sentido lato à luz da jurisprudência do Tribunal de Justiça, de uma forma que reflita plenamente os objetivos do presente regulamento.
Tal não prejudica os pedidos de indemnização por danos provocados pela violação de outras regras do direito da União ou dos Estados-Membros.
Os tratamentos que violem o presente regulamentoabrangem igualmente os que violem os atos delegados e de execução adotados nos termos do presente regulamento e o direito dos Estados-Membros que dê execução a regras do presente regulamento.
Os titulares dos dados deverão ser integral e efetivamente indemnizados pelos danos que tenham sofrido.
Sempre que os responsáveis pelo tratamento ou os subcontratantes estiverem envolvidos no mesmo tratamento, cada um deles deverá ser responsabilizado pela totalidade dos danos causados.
Porém, se os processos forem associados a um mesmo processo judicial, em conformidade com o direito dos Estados-Membros, a indemnização poderá ser repartida em função da responsabilidade que caiba a cada responsável pelo tratamento ou subcontratante pelos danos causados em virtude do tratamento efetuado, na condição de ficar assegurada a indemnização integral e efetiva do titular dos dados pelos danos que tenha sofrido.
Qualquer responsável pelo tratamento ou subcontratante que tenha pago uma indemnização integral, pode posteriormente intentar uma ação de regresso contra outros responsáveis pelo tratamento ou subcontratantes envolvidos no mesmo tratamento.

- = -

(166) A fim de cumprir os objetivos do presente regulamento, a saber, defender os direitos e liberdades fundamentais das pessoas singulares, nomeadamente o seu direito à proteção dos dados pessoais, e assegurar a livre circulação desses dados na União, o poder de adotar atos nos termos do artigo 290.o do TFUE deverá ser delegado na Comissão.
Em especial, deverão ser adotados atos delegados em relação aos critérios e requisitos aplicáveis aos procedimentos de certificação, às informações a fornecer por meio de ícones normalizados e aos procedimentos aplicáveis ao fornecimentos de tais ícones. É especialmente importante que a Comissão proceda a consultas adequadas ao longo dos seus trabalhos preparatórios, incluindo a nível de peritos.
A Comissão, aquando da preparação e elaboração dos atos delegados, deverá assegurar o envio simultâneo, em tempo útil e em devida forma, dos documentos relevantes ao Parlamento Europeu e ao Conselho.

- = -

(173) O presente regulamento deverá aplicar-se a todas as matérias relacionadas com a defesa dos direitos e das liberdades fundamentais em relação ao tratamento de dados pessoais, não sujeitas a obrigações específicas com o mesmo objetivo, enunciadas na Diretiva 2002/58/CE do Parlamento Europeu e do Conselho (18), incluindo as obrigações que incumbem ao responsável pelo tratamento e os direitos das pessoas singulares.
A fim de clarificar a relação entre o presente regulamento e a Diretiva 2002/58/CE, esta última deverá ser alterada em conformidade.
Uma vez adotado o presente regulamento, a Diretiva 2002/58/CE deverá ser revista, em especial a fim de assegurar a coerência com o presente regulamento,

- = -

dal 2004 diritto e informatica