interactive GDPR 2016/0679 PT
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- tratamento 45
- dados 38
- controlo 36
- artigo o 33
- para 30
- pelo 29
- no 22
- autoridade 21
- empresas 20
- responsável 20
- termos 18
- medidas 18
- presente 17
- grupo 16
- regras 16
- aplicáveis 15
- direitos 14
- vinculativas 13
- não 12
- informações 12
- subcontratante 12
- como 12
- pessoais 11
- pedido 11
- autoridades 11
- direito 10
- regulamento 10
- certificação 9
- proteção 9
- numa 9
- ordenar 8
- estado-membro 8
- atividade 8
- conjunta 8
- procedimentos 8
- envolvidas 8
- económica 8
- empresarial 8
- disposições 8
- estados-membros 8
- limitação 7
- incluindo 7
- execução 7
- assistência 7
- poderes 7
- referidas 7
- exercício 7
- cumprimento 7
- união 7
- titulares 7
Artigo 23.o
Limitações
1. O direito da União ou dos Estados-Membros a que estejam sujeitos o responsável pelo tratamento ou o seu subcontratante pode limitar por medida legislativa o alcance das obrigações e dos direitos previstos nos artigos 12.o a 22.o e no artigo 34.o, bem como no artigo 5.o, na medida em que tais disposições correspondam aos direitos e obrigações previstos nos artigos 12.o a 22.o, desde que tal limitação respeite a essência dos direitos e liberdades fundamentais e constitua uma medida necessária e proporcionada numa sociedade democrática para assegurar, designadamente:
| a) | A segurança do Estado; |
| b) | A defesa; |
| c) | A segurança pública; |
| d) | A prevenção, investigação, deteção ou repressão de infrações penais, ou a execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública; |
| e) | Outros objetivos importantes do interesse público geral da União ou de um Estado-Membro, nomeadamente um interesse económico ou financeiro importante da União ou de um Estado-Membro, incluindo nos domínios monetário, orçamental ou fiscal, da saúde pública e da segurança social; |
| f) | A defesa da independência judiciária e dos processos judiciais; |
| g) | A prevenção, investigação, deteção e repressão de violações da deontologia de profissões regulamentadas; |
| h) | Uma missão de controlo, de inspeção ou de regulamentação associada, ainda que ocasionalmente, ao exercício da autoridade pública, nos casos referidos nas alíneas a) a e) e g); |
| i) | A defesa do titular dos dados ou dos direitos e liberdades de outrem; |
| j) | A execução de ações cíveis. |
2. Em especial, as medidas legislativas referidas no n.o 1 incluem, quando for relevante, disposições explícitas relativas, pelo menos:
| a) | Às finalidades do tratamento ou às diferentes categorias de tratamento; |
| b) | Às categorias de dados pessoais; |
| c) | Ao alcance das limitações impostas; |
| d) | Às garantias para evitar o abuso ou o acesso ou transferência ilícitos; |
| e) | À especificação do responsável pelo tratamento ou às categorias de responsáveis pelo tratamento; |
| f) | Aos prazos de conservação e às garantias aplicáveis, tendo em conta a natureza, o âmbito e os objetivos do tratamento ou das categorias de tratamento; |
| g) | Aos riscos específicos para os direitos e liberdades dos titulares dos dados; e |
| h) | Ao direito dos titulares dos dados a serem informados da limitação, a menos que tal possa prejudicar o objetivo da limitação. |
CAPÍTULO IV
Responsável pelo tratamento e subcontratante
Artigo 24.o
Responsabilidade do responsável pelo tratamento
1. Tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento. Essas medidas são revistas e atualizadas consoante as necessidades.
2 Caso sejam proporcionadas em relação às atividades de tratamento, as medidas a que se refere o n.o 1 incluem a aplicação de políticas adequadas em matéria de proteção de dados pelo responsável pelo tratamento.
3. O cumprimento de códigos de conduta aprovados conforme referido no artigo 40.o ou de procedimentos de certificação aprovados conforme referido no artigo 42.o pode ser utilizada como elemento para demonstrar o cumprimento das obrigações do responsável pelo tratamento.
Artigo 47.o
Regras vinculativas aplicáveis às empresas
1. Pelo procedimento de controlo da coerência previsto no artigo 63.o, a autoridade de controlo competente aprova regras vinculativas aplicáveis às empresas, que devem:
| a) | Ser juridicamente vinculativas e aplicáveis a todas as entidades em causa do grupo empresarial ou do grupo de empresas envolvidas numa atividade económica conjunta, incluindo os seus funcionários, as quais deverão assegurar o seu cumprimento; |
| b) | Conferir expressamente aos titulares dos dados direitos oponíveis relativamente ao tratamento dos seus dados pessoais; e |
| c) | Preencher os requisitos estabelecidos no n.o 2. |
2. As regras vinculativas aplicáveis às empresas a que se refere o n.o 1 especificam, pelo menos:
| a) | A estrutura e os contactos do grupo empresarial ou do grupo de empresas envolvidas numa atividade económica conjunta e de cada uma das entidades que o compõe; |
| b) | As transferências ou conjunto de transferências de dados, incluindo as categorias de dados pessoais, o tipo de tratamento e suas finalidades, o tipo de titulares de dados afetados e a identificação do país ou países terceiros em questão; |
| c) | O seu caráter juridicamente vinculativo, a nível interno e externo; |
| d) | A aplicação dos princípios gerais de proteção de dados, nomeadamente a limitação das finalidades, a minimização dos dados, a limitação dos prazos de conservação, a qualidade dos dados, a proteção dos dados desde a conceção e por defeito, o fundamento jurídico para o tratamento, o tratamento de categorias especiais de dados pessoais, as medidas de garantia da segurança dos dados e os requisitos aplicáveis a transferências posteriores para organismos não abrangidos pelas regras vinculativas aplicáveis às empresas; |
| e) | Os direitos dos titulares dos dados relativamente ao tratamento e regras de exercício desses direitos, incluindo o direito de não ser objeto de decisões baseadas unicamente no tratamento automatizado, nomeadamente a definição de perfis a que se refere o artigo 22.o, o direito de apresentar uma reclamação à autoridade de controlo competente e aos tribunais competentes dos Estados-Membros nos termos do artigo 79.o, bem como o de obter reparação e, se for caso disso, indemnização pela violação das regras vinculativas aplicáveis às empresas; |
| f) | A aceitação, por parte do responsável pelo tratamento ou subcontratante estabelecido no território de um Estado-Membro, da responsabilidade por toda e qualquer violação das regras vinculativas aplicáveis às empresas cometida por uma entidade envolvida que não se encontre estabelecida na União; o responsável pelo tratamento ou o subcontratante só pode ser exonerado dessa responsabilidade, no todo ou em parte, mediante prova de que o facto que causou o dano não é imputável à referida entidade; |
| g) | A forma como as informações sobre as regras vinculativas aplicáveis às empresas, nomeadamente, sobre as disposições referidas nas alíneas d), e) e f) do presente número, são comunicadas aos titulares dos dados para além das informações referidas nos artigos 13.o e 14.o; |
| h) | As funções de qualquer encarregado da proteção de dados, designado nos termos do artigo 37.o ou de qualquer outra pessoa ou entidade responsável pelo controlo do cumprimento das regras vinculativas aplicáveis às empresas, a nível do grupo empresarial ou do grupo de empresas envolvidas numa atividade económica conjunta, e pela supervisão das ações de formação e do tratamento de reclamações; |
| i) | Os procedimentos de reclamação; |
| j) | Os procedimentos existentes no grupo empresarial ou no grupo de empresas envolvidas numa atividade económica conjunta para assegurar a verificação do cumprimento das regras vinculativas aplicáveis às empresas. Esses procedimentos incluem a realização de auditorias sobre a proteção de dados e o recurso a métodos que garantam a adoção de medidas corretivas capazes de preservar os direitos dos respetivos titulares. Os resultados dessa verificação devem ser comunicados à pessoa ou entidade referida na alínea h) e ao Conselho de Administração da empresa ou grupo empresarial que exerce o controlo ou do grupo de empresas envolvidas numa atividade económica conjunta, devendo também ser facultados à autoridade de controlo competente, a pedido desta; |
| k) | Os procedimentos de elaboração de relatórios e de registo de alterações às regras, bem como de comunicação dessas alterações à autoridade de controlo; |
| l) | O procedimento de cooperação com a autoridade de controlo para assegurar o cumprimento, por qualquer entidade do grupo empresarial ou do grupo de empresas envolvidas numa atividade económica conjunta, em especial facultando à autoridade de controlo os resultados de verificações das medidas referidas na alínea j); |
| m) | Os procedimentos de comunicação, à autoridade de controlo competente, de todos os requisitos legais a que uma entidade do grupo empresarial ou do grupo de empresas envolvidas numa atividade económica conjunta esteja sujeita num país terceiro que sejam passíveis de ter forte impacto negativo nas garantias dadas pelas regras vinculativas aplicáveis às empresas; e |
| n) | Ações de formação especificamente dirigidas a pessoas que tenham, em permanência ou regularmente, acesso a dados de natureza pessoal. |
3. A Comissão pode especificar o formato e os procedimentos de intercâmbio de informações entre os responsáveis pelo tratamento, os subcontratantes e as autoridades de controlo no que respeita às regras vinculativas aplicáveis às empresas na aceção do presente artigo. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 93.o, n.o 2.
Artigo 58.o
Poderes
1. Cada autoridade de controlo dispõe dos seguintes poderes de investigação:
| a) | Ordenar que o responsável pelo tratamento e o subcontratante e, se existir, o seu representante, lhe forneçam as informações de que necessite para o desempenho das suas funções; |
| b) | Realizar investigações sob a forma de auditorias sobre a proteção de dados; |
| c) | Rever as certificações emitidas nos termos do artigo 42.o, n.o 7; |
| d) | Notificar o responsável pelo tratamento ou o subcontratante de alegadas violações do presente regulamento; |
| e) | Obter, da parte do responsável pelo tratamento e do subcontratante, acesso a todos os dados pessoais e a todas as informações necessárias ao exercício das suas funções; |
| f) | Obter acesso a todas as instalações do responsável pelo tratamento e do subcontratante, incluindo os equipamentos e meios de tratamento de dados, em conformidade com o direito processual da União ou dos Estados-Membros. |
2. Cada autoridade de controlo dispõe dos seguintes poderes de correção:
| a) | Fazer advertências ao responsável pelo tratamento ou ao subcontratante no sentido de que as operações de tratamento previstas são suscetíveis de violar as disposições do presente regulamento; |
| b) | Fazer repreensões ao responsável pelo tratamento ou ao subcontratante sempre que as operações de tratamento tiverem violado as disposições do presente regulamento; |
| c) | Ordenar ao responsável pelo tratamento ou ao subcontratante que satisfaça os pedidos de exercício de direitos apresentados pelo titular dos dados nos termos do presente regulamento; |
| d) | Ordenar ao responsável pelo tratamento ou ao subcontratante que tome medidas para que as operações de tratamento cumpram as disposições do presente regulamento e, se necessário, de uma forma específica e dentro de um prazo determinado; |
| e) | Ordenar ao responsável pelo tratamento que comunique ao titular dos dados uma violação de dados pessoais; |
| f) | Impor uma limitação temporária ou definitiva ao tratamento de dados, ou mesmo a sua proibição; |
| g) | Ordenar a retificação ou o apagamento de dados pessoais ou a limitação do tratamento nos termos dos artigos 16.o, 17.o e 18.o, bem como a notificação dessas medidas aos destinatários a quem tenham sido divulgados os dados pessoais nos termos do artigo 17.o, n.o 2, e do artigo 19.o; |
| h) | Retirar a certificação ou ordenar ao organismo de certificação que retire uma certificação emitida nos termos dos artigos 42.o e 43.o, ou ordenar ao organismo de certificação que não emita uma certificação se os requisitos de certificação não estiverem ou deixarem de estar cumpridos; |
| i) | Impor uma coima nos termos do artigo 83.o, para além ou em vez das medidas referidas no presente número, consoante as circunstâncias de cada caso; |
| j) | Ordenar a suspensão do envio de dados para destinatários em países terceiros ou para organizações internacionais. |
3. Cada autoridade de controlo dispõe dos seguintes poderes consultivos e de autorização:
| a) | Aconselhar o responsável pelo tratamento, pelo procedimento de consulta prévia referido no artigo 36.o; |
| b) | Emitir, por iniciativa própria ou se lhe for solicitado, pareceres dirigidos ao Parlamento nacional, ao Governo do Estado-Membro ou, nos termos do direito do Estado-Membro, a outras instituições e organismos, bem como ao público, sobre qualquer assunto relacionado com a proteção de dados pessoais; |
| c) | Autorizar o tratamento previsto no artigo 36.o, n.o 5, se a lei do Estado-Membro exigir tal autorização prévia; |
| d) | Emitir pareceres e aprovar projetos de códigos de conduta nos termos do artigo 40.o, n.o 5; |
| e) | Acreditar organismos de certificação nos termos do artigo 43.o; |
| f) | Emitir certificações e aprovar os critérios de certificação nos termos do artigo 42.o, n.o 5; |
| g) | Adotar as cláusulas-tipo de proteção de dados previstas no artigo 28.o, n.o 8, e no artigo 46.o, n.o 2, alínea d); |
| h) | Autorizar as cláusulas contratuais previstas no artigo 46.o, n.o 3, alínea a); |
| i) | Autorizar os acordos administrativos previstos no artigo 46.o, n.o 3, alínea b); |
| j) | Aprovar as regras vinculativas aplicáveis às empresas nos termos do artigo 47.o. |
4. O exercício dos poderes conferidos à autoridade de controlo nos termos do presente artigo está sujeito a garantias adequadas, que incluem o direito à ação judicial efetiva e a um processo equitativo, previstas no direito da União e dos Estados-Membros, em conformidade com a Carta.
5. Os Estados-Membros estabelecem por lei que as suas autoridades de controlo estão habilitadas a levar as violações do presente regulamento ao conhecimento das autoridades judiciais e, se necessário, a intentar ou de outro modo intervir em processos judiciais, a fim de fazer aplicar as disposições do presente regulamento.
6. Os Estados-Membros podem estabelecer por lei que as suas autoridades de controlo terão outros poderes para além dos previstos nos n.os 1, 2 e 3. O exercício desses poderes não deve prejudicar o efetivo funcionamento do capítulo VII.
Artigo 61.o
Assistência mútua
1. As autoridades de controlo prestam entre si informações úteis e assistência mútua a fim de executar e aplicar o presente regulamento de forma coerente, e tomam as medidas para cooperar eficazmente entre si. A assistência mútua abrange, em especial, os pedidos de informação e as medidas de controlo, tais como os pedidos de autorização prévia e de consulta prévia, bem como de inspeção e de investigação.
2. As autoridades de controlo tomam todas as medidas adequadas que forem necessárias para responder a um pedido de outra autoridade de controlo sem demora injustificada e, o mais tardar, um mês após a receção do pedido. Essas medidas podem incluir, particularmente, a transmissão de informações úteis sobre a condução de uma investigação.
3. Os pedidos de assistência incluem todas as informações necessárias, nomeadamente a finalidade e os motivos do pedido. As informações trocadas só podem ser utilizadas para a finalidade para que tiverem sido solicitadas.
4. A autoridade de controlo requerida não pode indeferir o pedido, a não ser que:
| a) | Não seja competente relativamente ao assunto do pedido ou às medidas cuja execução lhe é pedida; ou |
| b) | Dar seguimento ao viole o presente regulamento ou o direito da União ou do Estado-Membro ao qual a autoridade de controlo que recebe o pedido está sujeita. |
5. A autoridade de controlo requerida informa a autoridade de controlo requerente dos resultados obtidos ou, consoante o caso, do andamento do pedido ou das medidas tomadas para lhe dar resposta pedido. A autoridade de controlo requerida indica os motivos de indeferimento de um pedido por força do n.o 4.
6. As autoridades de controlo requeridas fornecem, em regra, as informações solicitadas por outras autoridades de controlo por meios eletrónicos, utilizando um formato normalizado.
7. As autoridades de controlo requeridas não cobram taxas pelas medidas por elas tomadas por força de pedidos de assistência mútua. As autoridades de controlo podem acordar regras para a indemnização recíproca de despesas específicas decorrentes da prestação de assistência mútua em circunstâncias excecionais.
8. Quando uma autoridade de controlo não prestar as informações referidas no n.o 5 do presente artigo no prazo de um mês a contar da receção do pedido apresentado por outra autoridade de controlo, a autoridade de controlo requerente pode adotar uma medida provisória no território do respetivo Estado-Membro nos termos do artigo 55.o, n.o 1. Nesse caso, presume-se que é urgente intervir, nos termos do artigo 66.o, n.o 1, e solicitar uma decisão vinculativa urgente ao Comité, nos termos do artigo 66.o, n.o 2.
9. A Comissão pode especificar, por meio de atos de execução, o formato e os procedimentos para a assistência mútua referidos no presente artigo, bem como as regras de intercâmbio por meios eletrónicos de informações entre as autoridades de controlo e entre estas e o Comité, nomeadamente o formato normalizado referido no n.o 6 do presente artigo. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 93.o, n.o 2.
Artigo 88.o
Tratamento no contexto laboral
1. Os Estados-Membros podem estabelecer, no seu ordenamento jurídico ou em convenções coletivas, normas mais específicas para garantir a defesa dos direitos e liberdades no que respeita ao tratamento de dados pessoais dos trabalhadores no contexto laboral, nomeadamente para efeitos de recrutamento, execução do contrato de trabalho, incluindo o cumprimento das obrigações previstas no ordenamento jurídico ou em convenções coletivas, de gestão, planeamento e organização do trabalho, de igualdade e diversidade no local de trabalho, de saúde e segurança no trabalho, de proteção dos bens do empregador ou do cliente e para efeitos do exercício e gozo, individual ou coletivo, dos direitos e benefícios relacionados com o emprego, bem como para efeitos de cessação da relação de trabalho.
2. As normas referidas incluem medidas adequadas e específicas para salvaguardar a dignidade, os interesses legítimos e os direitos fundamentais do titular dos dados, com especial relevo para a transparência do tratamento de dados, a transferência de dados pessoais num grupo empresarial ou num grupo de empresas envolvidas numa atividade económica conjunta e os sistemas de controlo no local de trabalho.
3. Os Estados-Membros notificam a Comissão das disposições de direito interno que adotarem nos termos do n.o 1, até 25 de maio de 2018 e, sem demora, de qualquer alteração subsequente das mesmas.
whereas
dal 2004 diritto e informatica