interactive GDPR 2016/0679 PT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- artigo o 65
- certificação 53
- termos 52
- pelo 44
- tratamento 44
- no 43
- dados 41
- controlo 41
- presente 37
- para 34
- autoridade 31
- regulamento 22
- proteção 19
- responsável 19
- subcontratante 17
- organismo 16
- caso 15
- autoridades 13
- pela 13
- organismos 13
- artigo 13
- procedimentos 13
- competente 12
- não 11
- estados-membros 11
- medidas 11
- pessoais 11
- coimas 10
- referidos 10
- requisitos 10
- a 10
- como 10
- aprovados 9
- disposições 9
- poderes 9
- força 9
- previstas 9
- exercício 9
- artigos o 9
- direito 9
- são 9
- sobre 9
- conformidade 9
- comité 9
- responsáveis 9
- subcontratantes 8
- acreditação 8
- ordenar 8
- suas 8
- critérios 8
Artigo 42.o
Certificação
1. Os Estados-Membros, as autoridades de controlo, o Comité e a Comissão promovem, em especial ao nível da União, a criação de procedimentos de certificação em matéria de proteção de dados, bem como selos e marcas de proteção de dados, para efeitos de comprovação da conformidade das operações de tratamento de responsáveis pelo tratamento e subcontratantes com o presente regulamento. Serão tidas em conta as necessidades específicas das micro, pequenas e médias empresas.
2. Além do cumprimento pelos responsáveis pelo tratamento ou pelos subcontratantes sujeitos ao presente regulamento, os procedimentos de certificação em matéria de proteção de dados, bem como selos ou marcas aprovados de acordo com o n.o 5 do presente artigo também podem ser estabelecidos para efeitos de comprovação da existência de garantias adequadas fornecidas por responsáveis pelo tratamento ou por subcontratantes que não estão sujeitos ao presente regulamento por força do artigo 3.o no quadro das transferências de dados pessoais para países terceiros ou organizações internacionais nos termos referidos no artigo 46.o, n.o 2, alínea f). Os responsáveis pelo tratamento ou os subcontratantes assumem compromissos vinculativos e com força executiva, por meio de instrumentos contratuais ou de outros instrumentos juridicamente vinculativos, no sentido de aplicar as garantias adequadas, inclusivamente em relação aos direitos dos titulares dos dados.
3. A certificação é voluntária e está disponível através de um processo transparente.
4. A certificação prevista no presente artigo não diminui a responsabilidade dos responsáveis pelo tratamento e subcontratantes pelo cumprimento do presente regulamento nem prejudica as funções e competências das autoridades de controlo competentes por força do artigo 55.o ou 56.o.
5. A certificação prevista no presente artigo é emitida pelos organismos de certificação referidos no artigo 43.o ou pela autoridade de controlo competente, com base nos critérios por esta aprovados por força do artigo 58.o, n.o 3, ou pelo Comité por força do artigo 63.o. Caso os critérios sejam aprovados pelo Comité, podem ter como resultado uma certificação comum, o Selo Europeu de Proteção de Dados.
6. Os responsáveis pelo tratamento ou subcontratantes que submetem o seu tratamento ao procedimento de certificação fornecem ao organismo de certificação a que se refere o artigo 43.o, ou, consoante o caso, à autoridade de controlo competente, todo o acesso às suas atividades de tratamento e toda a informação de que haja necessidade para efetuar o procedimento de certificação.
7. A certificação é emitida aos responsáveis pelo tratamento e subcontratantes por um período máximo de três anos e pode ser renovada nas mesmas condições, desde que os requisitos aplicáveis continuem a estar reunidos. A certificação é retirada, consoante o caso, pelos organismos de certificação referidos no artigo 43.o ou pela autoridade de controlo competente, se os requisitos para a certificação não estiverem ou tiverem deixados de estar reunidos.
8. O Comité recolhe todos os procedimentos de certificação e todos os selos e marcas de proteção de dados aprovados num registo e disponibiliza-os ao público por todos os meios adequados.
Artigo 43.o
Organismos de certificação
1. Sem prejuízo das atribuições e poderes da autoridade de controlo competente nos termos dos artigos 57.o e 58.o, um organismo de certificação que tenha um nível adequado de competência em matéria de proteção de dados emite e renova a certificação, após informar a autoridade de controlo para que esta possa exercer as suas competências nos termos do artigo 58.o, n.o 2, alínea h), sempre que necessário. Os Estados-Membros asseguram que estes organismos de certificação são acreditados:
| a) | Pela autoridade de controlo que é competente nos termos do artigo 55.o ou 56.o; |
| b) | Pelo organismo nacional de acreditação, designado nos termos do Regulamento (CE) n.o 765/2008 do Parlamento Europeu e do Conselho (20), em conformidade com a norma EN-ISO/IEC 17065/2012 e com os requisitos adicionais estabelecidos pela autoridade de controlo que é competente nos termos do artigo 55.o ou 56.o. |
2. Os organismos de certificação referidos no n.o 1 são acreditados em conformidade com o mesmo, apenas se:
| a) | Tiverem demonstrado que gozam de independência e dispõem dos conhecimentos necessários em relação ao objeto da certificação, de forma satisfatória para a autoridade de controlo competente; |
| b) | Se tiverem comprometido a respeitar os critérios referidos no artigo 42.o, n.o 5, e aprovados pela autoridade de controlo que é competente por força do artigo 55.o ou 56.o ou pelo Comité por força do artigo 63.o; |
| c) | Tiverem estabelecido procedimentos para a emissão, revisão periódica e retirada de procedimentos de certificação, selos e marcas de proteção de dados; |
| d) | Tiverem estabelecido procedimentos e estruturas para tratar reclamações relativas a violações da certificação ou à forma como a certificação tenha sido ou esteja a ser implementada pelo responsável pelo tratamento ou subcontratante, e para tornar estes procedimentos e estruturas transparentes para os titulares dos dados e o público; e |
| e) | Demonstrarem, de forma satisfatória para a autoridade de controlo competente, que as suas funções e atribuições não implicam um conflito de interesses. |
3. A acreditação dos organismos de certificação referida nos n.os 1 e 2 do presente artigo, é efetuada com base nos critérios aprovados pela autoridade de controlo que é competente por força do artigo 55.o ou 56.o ou pelo Comité por força do artigo 63.o. No caso de acreditações nos termos do n.o 1, alínea b), do presente artigo, esses requisitos complementam os requisitos previstos no Regulamento (CE) n.o 765/2008 e as regras técnicas que descrevem os métodos e procedimentos dos organismos de certificação.
4. Os organismos de certificação a que se refere o n.o 1 são responsáveis pela correta avaliação necessária à certificação, ou pela revogação dessa certificação, sem prejuízo da responsabilidade que cabe ao responsável pelo tratamento ou ao subcontratante pelo cumprimento do presente regulamento. A acreditação é emitida por um período máximo de cinco anos e pode ser renovada nas mesmas condições, desde que o organismo de certificação reúna os requisitos estabelecidos no presente artigo.
5. Os organismos de certificação a que se refere o n.o 1 fornecem às autoridades de controlo competentes os motivos que levaram à concessão ou revogação da certificação solicitada.
6. Os requisitos referidos no n.o 3 do presente artigo, e os critérios referidos no artigo 42.o, n.o 5, são publicados pela autoridade de controlo sob uma forma facilmente acessível. As autoridades de controlo também comunicam estes requisitos e estas informações ao Comité. O Comité recolhe todos os procedimentos de certificação e selos de proteção de dados aprovados num registo e disponibiliza-os ao público por todos os meios adequados.
7. Sem prejuízo do capítulo VIII, a autoridade de controlo competente ou o organismo nacional de acreditação revoga uma acreditação do organismo de certificação nos termos do n.o 1 do presente artigo, se as condições para a acreditação não estiverem ou tiverem deixado de estar reunidas, ou se as medidas tomadas pelo organismo de certificação violarem o presente regulamento.
8. A Comissão fica habilitada a adotar atos delegados nos termos do artigo 92.o, a fim de especificar os requisitos a ter em conta relativamente aos procedimentos de certificação em matéria de proteção de dados referidos no artigo 42.o, n.o 1.
9. A Comissão pode adotar atos de execução estabelecendo normas técnicas para os procedimentos de certificação e os selos e marcas em matéria de proteção de dados, e regras para promover e reconhecer esses procedimentos de certificação, selos e marcas. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 93.o, n.o 2.
CAPÍTULO V
Transferências de dados pessoais para países terceiros ou organizações internacionais
Artigo 57.o
Atribuições
1. Sem prejuízo de outras atribuições previstas nos termos do presente regulamento, cada autoridade de controlo, no território respetivo:
| a) | Controla e executa a aplicação do presente regulamento; |
| b) | Promove a sensibilização e a compreensão do público relativamente aos riscos, às regras, às garantias e aos direitos associados ao tratamento. As atividades especificamente dirigidas às crianças devem ser alvo de uma atenção especial; |
| c) | Aconselha, em conformidade com o direito do Estado-Membro, o Parlamento nacional, o Governo e outras instituições e organismos a respeito das medidas legislativas e administrativas relacionadas com a defesa dos direitos e liberdades das pessoas singulares no que diz respeito ao tratamento; |
| d) | Promove a sensibilização dos responsáveis pelo tratamento e dos subcontratantes para as suas obrigações nos termos do presente regulamento; |
| e) | Se lhe for solicitado, presta informações a qualquer titular de dados sobre o exercício dos seus direitos nos termos do presente regulamento e, se necessário, coopera com as autoridades de controlo de outros Estados-Membros para esse efeito; |
| f) | Trata as reclamações apresentadas por qualquer titular de dados, ou organismo, organização ou associação nos termos do artigo 80.o, e investigar, na medida do necessário, o conteúdo da reclamação e informar o autor da reclamação do andamento e do resultado da investigação num prazo razoável, em especial se forem necessárias operações de investigação ou de coordenação complementares com outra autoridade de controlo; |
| g) | Coopera, incluindo partilhando informações e prestando assistência mútua a outras autoridades de controlo, tendo em vista assegurar a coerência da aplicação e da execução do presente regulamento; |
| h) | Conduz investigações sobre a aplicação do presente regulamento, incluindo com base em informações recebidas de outra autoridade de controlo ou outra autoridade pública; |
| i) | Acompanha factos novos relevantes, na medida em que tenham incidência na proteção de dados pessoais, nomeadamente a evolução a nível das tecnologias da informação e das comunicações e das práticas comerciais; |
| j) | Adota as cláusulas contratuais-tipo previstas no artigo 28.o, n.o 8, e no artigo 46.o, n.o 2, alínea d); |
| k) | Elabora e conserva uma lista associada à exigência de realizar uma avaliação do impacto sobre a proteção de dados, nos termos do artigo 35.o, n.o 4; |
| l) | Dá orientações sobre as operações de tratamento previstas no artigo 36.o, n.o 2; |
| m) | Incentiva a elaboração de códigos de conduta nos termos do artigo 40.o, n.o 1, dá parecer sobre eles e aprova os que preveem garantias suficientes, nos termos do artigo 40.o, n.o 5; |
| n) | Incentiva o estabelecimento de procedimentos de certificação de proteção de dados, e de selos e marcas de proteção de dados, nos termos do artigo 42.o, n.o 1, e aprova os critérios de certificação nos termos do artigo 42.o, n.o 5; |
| o) | Se necessário, procede a uma revisão periódica das certificações emitidas, nos termos do artigo 42.o, n.o 7; |
| p) | Redige e publica os critérios de acreditação de um organismo para monitorizar códigos de conduta nos termos do artigo 41.o e de um organismo de certificação nos termos do artigo 43.o; |
| q) | Conduz o processo de acreditação de um organismo para monitorizar códigos de conduta nos termos do artigo 41.o e de um organismo de certificação nos termos do artigo 43.o; |
| r) | Autoriza as cláusulas contratuais e disposições previstas no artigo 46.o, n.o 3; |
| s) | Aprova as regras vinculativas aplicáveis às empresas nos termos do artigo 47.o; |
| t) | Contribui para as atividades do Comité; |
| u) | Conserva registos internos de violações do presente regulamento e das medidas tomadas nos termos do artigo 58.o, n.o 2; e |
| v) | Desempenha quaisquer outras tarefas relacionadas com a proteção de dados pessoais. |
2. As autoridades de controlo facilitam a apresentação das reclamações previstas no n.o 1, alínea f), tomando medidas como disponibilizar formulários de reclamação que possam também ser preenchidos eletronicamente, sem excluir outros meios de comunicação.
3. A prossecução das atribuições de cada autoridade de controlo é gratuita para o titular dos dados e, sendo caso disso, para o encarregado da proteção de dados.
4. Quando os pedidos forem manifestamente infundados ou excessivos, particularmente devido ao seu caráter recorrente, a autoridade de controlo pode exigir o pagamento de uma taxa razoável tendo em conta os custos administrativos ou pode indeferi-los. Cabe à autoridade de controlo demonstrar o caráter manifestamente infundado ou excessivo dos pedidos.
Artigo 58.o
Poderes
1. Cada autoridade de controlo dispõe dos seguintes poderes de investigação:
| a) | Ordenar que o responsável pelo tratamento e o subcontratante e, se existir, o seu representante, lhe forneçam as informações de que necessite para o desempenho das suas funções; |
| b) | Realizar investigações sob a forma de auditorias sobre a proteção de dados; |
| c) | Rever as certificações emitidas nos termos do artigo 42.o, n.o 7; |
| d) | Notificar o responsável pelo tratamento ou o subcontratante de alegadas violações do presente regulamento; |
| e) | Obter, da parte do responsável pelo tratamento e do subcontratante, acesso a todos os dados pessoais e a todas as informações necessárias ao exercício das suas funções; |
| f) | Obter acesso a todas as instalações do responsável pelo tratamento e do subcontratante, incluindo os equipamentos e meios de tratamento de dados, em conformidade com o direito processual da União ou dos Estados-Membros. |
2. Cada autoridade de controlo dispõe dos seguintes poderes de correção:
| a) | Fazer advertências ao responsável pelo tratamento ou ao subcontratante no sentido de que as operações de tratamento previstas são suscetíveis de violar as disposições do presente regulamento; |
| b) | Fazer repreensões ao responsável pelo tratamento ou ao subcontratante sempre que as operações de tratamento tiverem violado as disposições do presente regulamento; |
| c) | Ordenar ao responsável pelo tratamento ou ao subcontratante que satisfaça os pedidos de exercício de direitos apresentados pelo titular dos dados nos termos do presente regulamento; |
| d) | Ordenar ao responsável pelo tratamento ou ao subcontratante que tome medidas para que as operações de tratamento cumpram as disposições do presente regulamento e, se necessário, de uma forma específica e dentro de um prazo determinado; |
| e) | Ordenar ao responsável pelo tratamento que comunique ao titular dos dados uma violação de dados pessoais; |
| f) | Impor uma limitação temporária ou definitiva ao tratamento de dados, ou mesmo a sua proibição; |
| g) | Ordenar a retificação ou o apagamento de dados pessoais ou a limitação do tratamento nos termos dos artigos 16.o, 17.o e 18.o, bem como a notificação dessas medidas aos destinatários a quem tenham sido divulgados os dados pessoais nos termos do artigo 17.o, n.o 2, e do artigo 19.o; |
| h) | Retirar a certificação ou ordenar ao organismo de certificação que retire uma certificação emitida nos termos dos artigos 42.o e 43.o, ou ordenar ao organismo de certificação que não emita uma certificação se os requisitos de certificação não estiverem ou deixarem de estar cumpridos; |
| i) | Impor uma coima nos termos do artigo 83.o, para além ou em vez das medidas referidas no presente número, consoante as circunstâncias de cada caso; |
| j) | Ordenar a suspensão do envio de dados para destinatários em países terceiros ou para organizações internacionais. |
3. Cada autoridade de controlo dispõe dos seguintes poderes consultivos e de autorização:
| a) | Aconselhar o responsável pelo tratamento, pelo procedimento de consulta prévia referido no artigo 36.o; |
| b) | Emitir, por iniciativa própria ou se lhe for solicitado, pareceres dirigidos ao Parlamento nacional, ao Governo do Estado-Membro ou, nos termos do direito do Estado-Membro, a outras instituições e organismos, bem como ao público, sobre qualquer assunto relacionado com a proteção de dados pessoais; |
| c) | Autorizar o tratamento previsto no artigo 36.o, n.o 5, se a lei do Estado-Membro exigir tal autorização prévia; |
| d) | Emitir pareceres e aprovar projetos de códigos de conduta nos termos do artigo 40.o, n.o 5; |
| e) | Acreditar organismos de certificação nos termos do artigo 43.o; |
| f) | Emitir certificações e aprovar os critérios de certificação nos termos do artigo 42.o, n.o 5; |
| g) | Adotar as cláusulas-tipo de proteção de dados previstas no artigo 28.o, n.o 8, e no artigo 46.o, n.o 2, alínea d); |
| h) | Autorizar as cláusulas contratuais previstas no artigo 46.o, n.o 3, alínea a); |
| i) | Autorizar os acordos administrativos previstos no artigo 46.o, n.o 3, alínea b); |
| j) | Aprovar as regras vinculativas aplicáveis às empresas nos termos do artigo 47.o. |
4. O exercício dos poderes conferidos à autoridade de controlo nos termos do presente artigo está sujeito a garantias adequadas, que incluem o direito à ação judicial efetiva e a um processo equitativo, previstas no direito da União e dos Estados-Membros, em conformidade com a Carta.
5. Os Estados-Membros estabelecem por lei que as suas autoridades de controlo estão habilitadas a levar as violações do presente regulamento ao conhecimento das autoridades judiciais e, se necessário, a intentar ou de outro modo intervir em processos judiciais, a fim de fazer aplicar as disposições do presente regulamento.
6. Os Estados-Membros podem estabelecer por lei que as suas autoridades de controlo terão outros poderes para além dos previstos nos n.os 1, 2 e 3. O exercício desses poderes não deve prejudicar o efetivo funcionamento do capítulo VII.
Artigo 83.o
Condições gerais para a aplicação de coimas
1. Cada autoridade de controlo assegura que a aplicação de coimas nos termos do presente artigo relativamente a violações do presente regulamento a que se referem os n.os 4, 5 e 6 é, em cada caso individual, efetiva, proporcionada e dissuasiva.
2. Consoante as circunstâncias de cada caso, as coimas são aplicadas para além ou em vez das medidas referidas no artigo 58.o, n.o 2, alíneas a) a h) e j). Ao decidir sobre a aplicação de uma coima e sobre o montante da coima em cada caso individual, é tido em devida consideração o seguinte:
| a) | A natureza, a gravidade e a duração da infração tendo em conta a natureza, o âmbito ou o objetivo do tratamento de dados em causa, bem como o número de titulares de dados afetados e o nível de danos por eles sofridos; |
| b) | O caráter intencional ou negligente da infração; |
| c) | A iniciativa tomada pelo responsável pelo tratamento ou pelo subcontratante para atenuar os danos sofridos pelos titulares; |
| d) | O grau de responsabilidade do responsável pelo tratamento ou do subcontratante tendo em conta as medidas técnicas ou organizativas por eles implementadas nos termos dos artigos 25.o e 32.o; |
| e) | Quaisquer infrações pertinentes anteriormente cometidas pelo responsável pelo tratamento ou pelo subcontratante; |
| f) | O grau de cooperação com a autoridade de controlo, a fim de sanar a infração e atenuar os seus eventuais efeitos negativos; |
| g) | As categorias específicas de dados pessoais afetadas pela infração; |
| h) | A forma como a autoridade de controlo tomou conhecimento da infração, em especial se o responsável pelo tratamento ou o subcontratante a notificaram, e em caso afirmativo, em que medida o fizeram; |
| i) | O cumprimento das medidas a que se refere o artigo 58.o, n.o 2, caso as mesmas tenham sido previamente impostas ao responsável pelo tratamento ou ao subcontratante em causa relativamente à mesma matéria; |
| j) | O cumprimento de códigos de conduta aprovados nos termos do artigo 40.o ou de procedimento de certificação aprovados nos termos do artigo 42.o; e |
| k) | Qualquer outro fator agravante ou atenuante aplicável às circunstâncias do caso, como os benefícios financeiros obtidos ou as perdas evitadas, direta ou indiretamente, por intermédio da infração. |
3. Se o responsável pelo tratamento ou o subcontratante violar, intencionalmente ou por negligência, no âmbito das mesmas operações de tratamento ou de operações ligadas entre si, várias disposições do presente regulamento, o montante total da coima não pode exceder o montante especificado para a violação mais grave.
4. A violação das disposições a seguir enumeradas está sujeita, em conformidade com o n.o 2, a coimas até 10 000 000 EUR ou, no caso de uma empresa, até 2 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado:
| a) | As obrigações do responsável pelo tratamento e do subcontratante nos termos dos artigos 8.o, 11.o, 25.o a 39.o e 42.o e 43.o; |
| b) | As obrigações do organismo de certificação nos termos dos artigos 42.o e 43.o; |
| c) | As obrigações do organismo de supervisão nos termos do artigo 41.o, n.o 4; |
5. A violação das disposições a seguir enumeradas está sujeita, em conformidade com o n.o 2, a coimas até 20 000 000 EUR ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado:
| a) | Os princípios básicos do tratamento, incluindo as condições de consentimento, nos termos dos artigos 5.o, 6.o, 7.o e 9.o; |
| b) | Os direitos dos titulares dos dados nos termos dos artigos 12.o a 22.o; |
| c) | As transferências de dados pessoais para um destinatário num país terceiro ou uma organização internacional nos termos dos artigos 44.o a 49.o; |
| d) | As obrigações nos termos do direito do Estado-Membro adotado ao abrigo do capítulo IX; |
| e) | O incumprimento de uma ordem de limitação, temporária ou definitiva, relativa ao tratamento ou à suspensão de fluxos de dados, emitida pela autoridade de controlo nos termos do artigo 58.o, n.o 2, ou o facto de não facultar acesso, em violação do artigo 58.o, n.o 1. |
6. O incumprimento de uma ordem emitida pela autoridade de controlo a que se refere o artigo 58.o, n.o 2, está sujeito, em conformidade com o n.o 2 do presente artigo, a coimas até 20 000 000 EUR ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante mais elevado.
7. Sem prejuízo dos poderes de correção das autoridades de controlo nos termos do artigo 58.o, n.o 2, os Estados-Membros podem prever normas que permitam determinar se e em que medida as coimas podem ser aplicadas às autoridades e organismos públicos estabelecidos no seu território.
8. O exercício das competências que lhe são atribuídas pelo presente artigo por parte da autoridade de controlo fica sujeito às garantias processuais adequadas nos termos do direito da União e dos Estados-Membros, incluindo o direito à ação judicial e a um processo equitativo.
9. Quando o sistema jurídico dos Estados-Membros não preveja coimas, pode aplicar-se o presente artigo de modo a que a coima seja proposta pela autoridade de controlo competente e imposta pelos tribunais nacionais competentes, garantindo ao mesmo tempo que estas medidas jurídicas corretivas são eficazes e têm um efeito equivalente às coimas impostas pelas autoridades de controlo. Em todo o caso, as coimas impostas devem ser efetivas, proporcionadas e dissuasivas. Os referidos Estados-Membros notificam a Comissão das disposições de direito interno que adotarem nos termos do presente número até 25 de maio de 2018 e, sem demora, de qualquer alteração subsequente das mesmas.
whereas
dal 2004 diritto e informatica