interactive GDPR 2016/0679 PT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- dados 83
- tratamento 69
- artigo o 47
- pelo 46
- termos 38
- responsável 37
- titular 37
- no 31
- para 29
- controlo 26
- pessoais 26
- informações 22
- autoridade 22
- não 21
- presente 21
- medidas 18
- regulamento 17
- proteção 16
- pedido 16
- direito 14
- direitos 14
- sobre 12
- previstas 12
- certificação 12
- pode 12
- artigos o 12
- prazo 11
- subcontratante 10
- meios 9
- exercício 9
- poderes 8
- ordenar 8
- o 8
- violação 8
- outras 7
- são 7
- tendo 7
- comunicação 7
- organismo 7
- estados-membros 7
- consulta 7
- necessário 6
- autoridades 6
- previsto 6
- exigir 6
- medida 6
- incluindo 6
- seguintes 6
- titulares 6
- esse 6
Artigo 11.o
Tratamento que não exige identificação
1. Se as finalidades para as quais se proceder ao tratamento de dados pessoais não exigirem ou tiverem deixado de exigir a identificação do titular dos dados por parte do responsável pelo seu tratamento, este último não é obrigado a manter, obter ou tratar informações suplementares para identificar o titular dos dados com o único objetivo de dar cumprimento ao presente regulamento.
2. Quando, nos casos referidos no n.o 1 do presente artigo, o responsável pelo tratamento possa demonstrar que não está em condições de identificar o titular dos dados, informa-o, se possível, desse facto. Nesses casos, os artigos 15.o a 20.o não são aplicáveis, exceto se o titular dos dados, com a finalidade de exercer os seus direitos ao abrigo dos referidos artigos, fornecer informações adicionais que permitam a sua identificação.
CAPÍTULO III
Direitos do titular dos dados
Artigo 12.o
Transparência das informações, das comunicações e das regras para exercício dos direitos dos titulares dos dados
1. O responsável pelo tratamento toma as medidas adequadas para fornecer ao titular as informações a que se referem os artigos 13.o e 14.o e qualquer comunicação prevista nos artigos 15.o a 22.o e 34.o a respeito do tratamento, de forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples, em especial quando as informações são dirigidas especificamente a crianças. As informações são prestadas por escrito ou por outros meios, incluindo, se for caso disso, por meios eletrónicos. Se o titular dos dados o solicitar, a informação pode ser prestada oralmente, desde que a identidade do titular seja comprovada por outros meios.
2. O responsável pelo tratamento facilita o exercício dos direitos do titular dos dados nos termos dos artigos 15.o a 22.o. Nos casos a que se refere o artigo 11.o, n.o 2, o responsável pelo tratamento não pode recusar-se a dar seguimento ao pedido do titular no sentido de exercer os seus direitos ao abrigo dos artigos 15.o a 22.o, exceto se demonstrar que não está em condições de identificar o titular dos dados.
3. O responsável pelo tratamento fornece ao titular as informações sobre as medidas tomadas, mediante pedido apresentado nos termos dos artigos 15.o a 20.o, sem demora injustificada e no prazo de um mês a contar da data de receção do pedido. Esse prazo pode ser prorrogado até dois meses, quando for necessário, tendo em conta a complexidade do pedido e o número de pedidos. O responsável pelo tratamento informa o titular dos dados de alguma prorrogação e dos motivos da demora no prazo de um mês a contar da data de receção do pedido. Se o titular dos dados apresentar o pedido por meios eletrónicos, a informação é, sempre que possível, fornecida por meios eletrónicos, salvo pedido em contrário do titular.
4. Se o responsável pelo tratamento não der seguimento ao pedido apresentado pelo titular dos dados, informa-o sem demora e, o mais tardar, no prazo de um mês a contar da data de receção do pedido, das razões que o levaram a não tomar medidas e da possibilidade de apresentar reclamação a uma autoridade de controlo e intentar ação judicial.
5. As informações fornecidas nos termos dos artigos 13.o e 14.o e quaisquer comunicações e medidas tomadas nos termos dos artigos 15.o a 22.o e 34.o são fornecidas a título gratuito. Se os pedidos apresentados por um titular de dados forem manifestamente infundados ou excessivos, nomeadamente devido ao seu caráter repetitivo, o responsável pelo tratamento pode:
a) | exigir o pagamento de uma taxa razoável tendo em conta os custos administrativos do fornecimento das informações ou da comunicação, ou de tomada das medidas solicitadas; ou |
b) | Recusar-se a dar seguimento ao pedido. |
Cabe ao responsável pelo tratamento demonstrar o caráter manifestamente infundado ou excessivo do pedido.
6. Sem prejuízo do artigo 11.o, quando o responsável pelo tratamento tiver dúvidas razoáveis quanto à identidade da pessoa singular que apresenta o pedido a que se referem os artigos 15.o a 21.o, pode solicitar que lhe sejam fornecidas as informações adicionais que forem necessárias para confirmar a identidade do titular dos dados.
7. As informações a fornecer pelos titulares dos dados nos termos dos artigos 13.o e 14.o podem ser dadas em combinação com ícones normalizados a fim de dar, de uma forma facilmente visível, inteligível e claramente legível, uma perspetiva geral significativa do tratamento previsto. Se forem apresentados por via eletrónica, os ícones devem ser de leitura automática.
8. A Comissão fica habilitada a adotar atos delegados nos termos do artigo 92.o, a fim de determinar quais as informações a fornecer por meio dos ícones e os procedimentos aplicáveis ao fornecimento de ícones normalizados.
Artigo 15.o
Direito de acesso do titular dos dados
1. O titular dos dados tem o direito de obter do responsável pelo tratamento a confirmação de que os dados pessoais que lhe digam respeito são ou não objeto de tratamento e, se for esse o caso, o direito de aceder aos seus dados pessoais e às seguintes informações:
a) | As finalidades do tratamento dos dados; |
b) | As categorias dos dados pessoais em questão; |
c) | Os destinatários ou categorias de destinatários a quem os dados pessoais foram ou serão divulgados, nomeadamente os destinatários estabelecidos em países terceiros ou pertencentes a organizações internacionais; |
d) | Se for possível, o prazo previsto de conservação dos dados pessoais, ou, se não for possível, os critérios usados para fixar esse prazo; |
e) | A existência do direito de solicitar ao responsável pelo tratamento a retificação, o apagamento ou a limitação do tratamento dos dados pessoais no que diz respeito ao titular dos dados, ou do direito de se opor a esse tratamento; |
f) | O direito de apresentar reclamação a uma autoridade de controlo; |
g) | Se os dados não tiverem sido recolhidos junto do titular, as informações disponíveis sobre a origem desses dados; |
h) | A existência de decisões automatizadas, incluindo a definição de perfis, referida no artigo 22.o, n.os 1 e 4, e, pelo menos nesses casos, informações úteis relativas à lógica subjacente, bem como a importância e as consequências previstas de tal tratamento para o titular dos dados. |
2. Quando os dados pessoais forem transferidos para um país terceiro ou uma organização internacional, o titular dos dados tem o direito de ser informado das garantias adequadas, nos termos do artigo 46.o relativo à transferência de dados.
3. O responsável pelo tratamento fornece uma cópia dos dados pessoais em fase de tratamento. Para fornecer outras cópias solicitadas pelo titular dos dados, o responsável pelo tratamento pode exigir o pagamento de uma taxa razoável tendo em conta os custos administrativos. Se o titular dos dados apresentar o pedido por meios eletrónicos, e salvo pedido em contrário do titular dos dados, a informação é fornecida num formato eletrónico de uso corrente.
4. O direito de obter uma cópia a que se refere o n.o 3 não prejudica os direitos e as liberdades de terceiros.
Artigo 34.o
Comunicação de uma violação de dados pessoais ao titular dos dados
1. Quando a violação dos dados pessoais for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento comunica a violação de dados pessoais ao titular dos dados sem demora injustificada.
2. A comunicação ao titular dos dados a que se refere o n.o 1 do presente artigo descreve em linguagem clara e simples a natureza da violação dos dados pessoais e fornece, pelo menos, as informações e medidas previstas no artigo 33.o, n.o 3, alíneas b), c) e d).
3. A comunicação ao titular dos dados a que se refere o n.o 1 não é exigida se for preenchida uma das seguintes condições:
a) | O responsável pelo tratamento tiver aplicado medidas de proteção adequadas, tanto técnicas como organizativas, e essas medidas tiverem sido aplicadas aos dados pessoais afetados pela violação de dados pessoais, especialmente medidas que tornem os dados pessoais incompreensíveis para qualquer pessoa não autorizada a aceder a esses dados, tais como a cifragem; |
b) | O responsável pelo tratamento tiver tomado medidas subsequentes que assegurem que o elevado risco para os direitos e liberdades dos titulares dos dados a que se refere o n.o 1 já não é suscetível de se concretizar; ou |
c) | Implicar um esforço desproporcionado. Nesse caso, é feita uma comunicação pública ou tomada uma medida semelhante através da qual os titulares dos dados são informados de forma igualmente eficaz. |
4. Se o responsável pelo tratamento não tiver já comunicado a violação de dados pessoais ao titular dos dados, a autoridade de controlo, tendo considerado a probabilidade de a violação de dados pessoais resultar num elevado risco, pode exigir-lhe que proceda a essa notificação ou pode constatar que se encontram preenchidas as condições referidas no n.o 3.
Artigo 36.o
Consulta prévia
1. O responsável pelo tratamento consulta a autoridade de controlo antes de proceder ao tratamento quando a avaliação de impacto sobre a proteção de dados nos termos do artigo 35.o indicar que o tratamento resultaria num elevado risco na ausência das medidas tomadas pelo responsável pelo tratamento para atenuar o risco.
2. Sempre que considerar que o tratamento previsto referido no n.o 1 violaria o disposto no presente regulamento, nomeadamente se o responsável pelo tratamento não tiver identificado ou atenuado suficientemente os riscos, a autoridade de controlo, no prazo máximo de oito semanas a contar da receção do pedido de consulta, dá orientações, por escrito, ao responsável pelo tratamento e, se o houver, ao subcontratante e pode recorrer a todos os seus poderes referidos no artigo 58.o. Esse prazo pode ser prorrogado até seis semanas, tendo em conta a complexidade do tratamento previsto. A autoridade de controlo informa da prorrogação o responsável pelo tratamento ou, se o houver, o subcontratante no prazo de um mês a contar da data de receção do pedido de consulta, juntamente com os motivos do atraso. Esses prazos podem ser suspensos até que a autoridade de controlo tenha obtido as informações que tenha solicitado para efeitos da consulta.
3. Quando consultar a autoridade de controlo nos termos do n.o 1, o responsável pelo tratamento comunica-lhe os seguintes elementos:
a) | Se for aplicável, a repartição de responsabilidades entre o responsável pelo tratamento, os responsáveis conjuntos pelo tratamento e os subcontratantes envolvidos no tratamento, nomeadamente no caso de um tratamento dentro de um grupo empresarial; |
b) | As finalidades e os meios do tratamento previsto; |
c) | As medidas e garantias previstas para defesa dos direitos e liberdades dos titulares dos dados nos termos do presente regulamento; |
d) | Se for aplicável, os contactos do encarregado da proteção de dados; |
e) | A avaliação de impacto sobre a proteção de dados prevista no artigo 35.o; e |
f) | Quaisquer outras informações solicitadas pela autoridade de controlo. |
4. Os Estados-Membros consultam a autoridade de controlo durante a preparação de uma proposta de medida legislativa a adotar por um parlamento nacional ou de uma medida regulamentar baseada nessa medida legislativa, que esteja relacionada com o tratamento de dados.
5. Não obstante o n.o 1, o direito dos Estados-Membros pode exigir que os responsáveis pelo tratamento consultem a autoridade de controlo e dela obtenham uma autorização prévia em relação ao tratamento por um responsável no exercício de uma missão de interesse público, incluindo o tratamento por motivos de proteção social e de saúde pública.
Artigo 57.o
Atribuições
1. Sem prejuízo de outras atribuições previstas nos termos do presente regulamento, cada autoridade de controlo, no território respetivo:
a) | Controla e executa a aplicação do presente regulamento; |
b) | Promove a sensibilização e a compreensão do público relativamente aos riscos, às regras, às garantias e aos direitos associados ao tratamento. As atividades especificamente dirigidas às crianças devem ser alvo de uma atenção especial; |
c) | Aconselha, em conformidade com o direito do Estado-Membro, o Parlamento nacional, o Governo e outras instituições e organismos a respeito das medidas legislativas e administrativas relacionadas com a defesa dos direitos e liberdades das pessoas singulares no que diz respeito ao tratamento; |
d) | Promove a sensibilização dos responsáveis pelo tratamento e dos subcontratantes para as suas obrigações nos termos do presente regulamento; |
e) | Se lhe for solicitado, presta informações a qualquer titular de dados sobre o exercício dos seus direitos nos termos do presente regulamento e, se necessário, coopera com as autoridades de controlo de outros Estados-Membros para esse efeito; |
f) | Trata as reclamações apresentadas por qualquer titular de dados, ou organismo, organização ou associação nos termos do artigo 80.o, e investigar, na medida do necessário, o conteúdo da reclamação e informar o autor da reclamação do andamento e do resultado da investigação num prazo razoável, em especial se forem necessárias operações de investigação ou de coordenação complementares com outra autoridade de controlo; |
g) | Coopera, incluindo partilhando informações e prestando assistência mútua a outras autoridades de controlo, tendo em vista assegurar a coerência da aplicação e da execução do presente regulamento; |
h) | Conduz investigações sobre a aplicação do presente regulamento, incluindo com base em informações recebidas de outra autoridade de controlo ou outra autoridade pública; |
i) | Acompanha factos novos relevantes, na medida em que tenham incidência na proteção de dados pessoais, nomeadamente a evolução a nível das tecnologias da informação e das comunicações e das práticas comerciais; |
j) | Adota as cláusulas contratuais-tipo previstas no artigo 28.o, n.o 8, e no artigo 46.o, n.o 2, alínea d); |
k) | Elabora e conserva uma lista associada à exigência de realizar uma avaliação do impacto sobre a proteção de dados, nos termos do artigo 35.o, n.o 4; |
l) | Dá orientações sobre as operações de tratamento previstas no artigo 36.o, n.o 2; |
m) | Incentiva a elaboração de códigos de conduta nos termos do artigo 40.o, n.o 1, dá parecer sobre eles e aprova os que preveem garantias suficientes, nos termos do artigo 40.o, n.o 5; |
n) | Incentiva o estabelecimento de procedimentos de certificação de proteção de dados, e de selos e marcas de proteção de dados, nos termos do artigo 42.o, n.o 1, e aprova os critérios de certificação nos termos do artigo 42.o, n.o 5; |
o) | Se necessário, procede a uma revisão periódica das certificações emitidas, nos termos do artigo 42.o, n.o 7; |
p) | Redige e publica os critérios de acreditação de um organismo para monitorizar códigos de conduta nos termos do artigo 41.o e de um organismo de certificação nos termos do artigo 43.o; |
q) | Conduz o processo de acreditação de um organismo para monitorizar códigos de conduta nos termos do artigo 41.o e de um organismo de certificação nos termos do artigo 43.o; |
r) | Autoriza as cláusulas contratuais e disposições previstas no artigo 46.o, n.o 3; |
s) | Aprova as regras vinculativas aplicáveis às empresas nos termos do artigo 47.o; |
t) | Contribui para as atividades do Comité; |
u) | Conserva registos internos de violações do presente regulamento e das medidas tomadas nos termos do artigo 58.o, n.o 2; e |
v) | Desempenha quaisquer outras tarefas relacionadas com a proteção de dados pessoais. |
2. As autoridades de controlo facilitam a apresentação das reclamações previstas no n.o 1, alínea f), tomando medidas como disponibilizar formulários de reclamação que possam também ser preenchidos eletronicamente, sem excluir outros meios de comunicação.
3. A prossecução das atribuições de cada autoridade de controlo é gratuita para o titular dos dados e, sendo caso disso, para o encarregado da proteção de dados.
4. Quando os pedidos forem manifestamente infundados ou excessivos, particularmente devido ao seu caráter recorrente, a autoridade de controlo pode exigir o pagamento de uma taxa razoável tendo em conta os custos administrativos ou pode indeferi-los. Cabe à autoridade de controlo demonstrar o caráter manifestamente infundado ou excessivo dos pedidos.
Artigo 58.o
Poderes
1. Cada autoridade de controlo dispõe dos seguintes poderes de investigação:
a) | Ordenar que o responsável pelo tratamento e o subcontratante e, se existir, o seu representante, lhe forneçam as informações de que necessite para o desempenho das suas funções; |
b) | Realizar investigações sob a forma de auditorias sobre a proteção de dados; |
c) | Rever as certificações emitidas nos termos do artigo 42.o, n.o 7; |
d) | Notificar o responsável pelo tratamento ou o subcontratante de alegadas violações do presente regulamento; |
e) | Obter, da parte do responsável pelo tratamento e do subcontratante, acesso a todos os dados pessoais e a todas as informações necessárias ao exercício das suas funções; |
f) | Obter acesso a todas as instalações do responsável pelo tratamento e do subcontratante, incluindo os equipamentos e meios de tratamento de dados, em conformidade com o direito processual da União ou dos Estados-Membros. |
2. Cada autoridade de controlo dispõe dos seguintes poderes de correção:
a) | Fazer advertências ao responsável pelo tratamento ou ao subcontratante no sentido de que as operações de tratamento previstas são suscetíveis de violar as disposições do presente regulamento; |
b) | Fazer repreensões ao responsável pelo tratamento ou ao subcontratante sempre que as operações de tratamento tiverem violado as disposições do presente regulamento; |
c) | Ordenar ao responsável pelo tratamento ou ao subcontratante que satisfaça os pedidos de exercício de direitos apresentados pelo titular dos dados nos termos do presente regulamento; |
d) | Ordenar ao responsável pelo tratamento ou ao subcontratante que tome medidas para que as operações de tratamento cumpram as disposições do presente regulamento e, se necessário, de uma forma específica e dentro de um prazo determinado; |
e) | Ordenar ao responsável pelo tratamento que comunique ao titular dos dados uma violação de dados pessoais; |
f) | Impor uma limitação temporária ou definitiva ao tratamento de dados, ou mesmo a sua proibição; |
g) | Ordenar a retificação ou o apagamento de dados pessoais ou a limitação do tratamento nos termos dos artigos 16.o, 17.o e 18.o, bem como a notificação dessas medidas aos destinatários a quem tenham sido divulgados os dados pessoais nos termos do artigo 17.o, n.o 2, e do artigo 19.o; |
h) | Retirar a certificação ou ordenar ao organismo de certificação que retire uma certificação emitida nos termos dos artigos 42.o e 43.o, ou ordenar ao organismo de certificação que não emita uma certificação se os requisitos de certificação não estiverem ou deixarem de estar cumpridos; |
i) | Impor uma coima nos termos do artigo 83.o, para além ou em vez das medidas referidas no presente número, consoante as circunstâncias de cada caso; |
j) | Ordenar a suspensão do envio de dados para destinatários em países terceiros ou para organizações internacionais. |
3. Cada autoridade de controlo dispõe dos seguintes poderes consultivos e de autorização:
a) | Aconselhar o responsável pelo tratamento, pelo procedimento de consulta prévia referido no artigo 36.o; |
b) | Emitir, por iniciativa própria ou se lhe for solicitado, pareceres dirigidos ao Parlamento nacional, ao Governo do Estado-Membro ou, nos termos do direito do Estado-Membro, a outras instituições e organismos, bem como ao público, sobre qualquer assunto relacionado com a proteção de dados pessoais; |
c) | Autorizar o tratamento previsto no artigo 36.o, n.o 5, se a lei do Estado-Membro exigir tal autorização prévia; |
d) | Emitir pareceres e aprovar projetos de códigos de conduta nos termos do artigo 40.o, n.o 5; |
e) | Acreditar organismos de certificação nos termos do artigo 43.o; |
f) | Emitir certificações e aprovar os critérios de certificação nos termos do artigo 42.o, n.o 5; |
g) | Adotar as cláusulas-tipo de proteção de dados previstas no artigo 28.o, n.o 8, e no artigo 46.o, n.o 2, alínea d); |
h) | Autorizar as cláusulas contratuais previstas no artigo 46.o, n.o 3, alínea a); |
i) | Autorizar os acordos administrativos previstos no artigo 46.o, n.o 3, alínea b); |
j) | Aprovar as regras vinculativas aplicáveis às empresas nos termos do artigo 47.o. |
4. O exercício dos poderes conferidos à autoridade de controlo nos termos do presente artigo está sujeito a garantias adequadas, que incluem o direito à ação judicial efetiva e a um processo equitativo, previstas no direito da União e dos Estados-Membros, em conformidade com a Carta.
5. Os Estados-Membros estabelecem por lei que as suas autoridades de controlo estão habilitadas a levar as violações do presente regulamento ao conhecimento das autoridades judiciais e, se necessário, a intentar ou de outro modo intervir em processos judiciais, a fim de fazer aplicar as disposições do presente regulamento.
6. Os Estados-Membros podem estabelecer por lei que as suas autoridades de controlo terão outros poderes para além dos previstos nos n.os 1, 2 e 3. O exercício desses poderes não deve prejudicar o efetivo funcionamento do capítulo VII.
whereas
dal 2004 diritto e informatica