interactive GDPR 2016/0679 PT

1. O presente regulamento aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados.

2. O presente regulamento não se aplica ao tratamento de dados pessoais:

a)	Efetuado no exercício de atividades não sujeitas à aplicação do direito da União:

b)	Efetuado pelos Estados-Membros no exercício de atividades abrangidas pelo âmbito de aplicação do título V, capítulo 2, do TUE;

c)	Efetuado por uma pessoa singular no exercício de atividades exclusivamente pessoais ou domésticas;

d)	Efetuado pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou da execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública.

3. O Regulamento (CE) n.o 45/2001 aplica-se ao tratamento de dados pessoais pelas instituições, órgãos, organismos ou agências da União. O Regulamento (CE) n.o 45/2001, bem como outros atos jurídicos da União aplicáveis ao tratamento de dados pessoais, são adaptados aos princípios e regras do presente regulamento nos termos previstos no artigo 98.o.

4. O presente regulamento não prejudica a aplicação da Diretiva 2000/31/CE, nomeadamente as normas em matéria de responsabilidade dos prestadores intermediários de serviços previstas nos seus artigos 12.o a 15.o.

Artigo 6.o

Licitude do tratamento

1. O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:

a)	O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas;

b)	O tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados;

c)	O tratamento for necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito;

d)	O tratamento for necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular;

e)	O tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento;

f)	O tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.

O primeiro parágrafo, alínea f), não se aplica ao tratamento de dados efetuado por autoridades públicas na prossecução das suas atribuições por via eletrónica.

2. Os Estados-Membros podem manter ou aprovar disposições mais específicas com o objetivo de adaptar a aplicação das regras do presente regulamento no que diz respeito ao tratamento de dados para o cumprimento do n.o 1, alíneas c) e e), determinando, de forma mais precisa, requisitos específicos para o tratamento e outras medidas destinadas a garantir a licitude e lealdade do tratamento, inclusive para outras situações específicas de tratamento em conformidade com o capítulo IX.

3. O fundamento jurídico para o tratamento referido no n.o 1, alíneas c) e e), é definido:

a)	Pelo direito da União; ou

b)	Pelo direito do Estado-Membro ao qual o responsável pelo tratamento está sujeito.

A finalidade do tratamento é determinada com esse fundamento jurídico ou, no que respeita ao tratamento referido no n.o 1, alínea e), deve ser necessária ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento. Esse fundamento jurídico pode prever disposições específicas para adaptar a aplicação das regras do presente regulamento, nomeadamente: as condições gerais de licitude do tratamento pelo responsável pelo seu tratamento; os tipos de dados objeto de tratamento; os titulares dos dados em questão; as entidades a que os dados pessoais poderão ser comunicados e para que efeitos; os limites a que as finalidades do tratamento devem obedecer; os prazos de conservação; e as operações e procedimentos de tratamento, incluindo as medidas destinadas a garantir a legalidade e lealdade do tratamento, como as medidas relativas a outras situações específicas de tratamento em conformidade com o capítulo IX. O direito da União ou do Estado-Membro deve responder a um objetivo de interesse público e ser proporcional ao objetivo legítimo prosseguido.

4. Quando o tratamento para fins que não sejam aqueles para os quais os dados pessoais foram recolhidos não for realizado com base no consentimento do titular dos dados ou em disposições do direito da União ou dos Estados-Membros que constituam uma medida necessária e proporcionada numa sociedade democrática para salvaguardar os objetivos referidos no artigo 23.o, n.o 1, o responsável pelo tratamento, a fim de verificar se o tratamento para outros fins é compatível com a finalidade para a qual os dados pessoais foram inicialmente recolhidos, tem nomeadamente em conta:

a)	Qualquer ligação entre a finalidade para a qual os dados pessoais foram recolhidos e a finalidade do tratamento posterior;

b)	O contexto em que os dados pessoais foram recolhidos, em particular no que respeita à relação entre os titulares dos dados e o responsável pelo seu tratamento;

c)	A natureza dos dados pessoais, em especial se as categorias especiais de dados pessoais forem tratadas nos termos do artigo 9.o, ou se os dados pessoais relacionados com condenações penais e infrações forem tratados nos termos do artigo 10.o;

d)	As eventuais consequências do tratamento posterior pretendido para os titulares dos dados;

e)	A existência de salvaguardas adequadas, que podem ser a cifragem ou a pseudonimização.

Artigo 7.o

Condições aplicáveis ao consentimento

1. Quando o tratamento for realizado com base no consentimento, o responsável pelo tratamento deve poder demonstrar que o titular dos dados deu o seu consentimento para o tratamento dos seus dados pessoais.

2. Se o consentimento do titular dos dados for dado no contexto de uma declaração escrita que diga também respeito a outros assuntos, o pedido de consentimento deve ser apresentado de uma forma que o distinga claramente desses outros assuntos de modo inteligível e de fácil acesso e numa linguagem clara e simples. Não é vinculativa qualquer parte dessa declaração que constitua violação do presente regulamento.

3. O titular dos dados tem o direito de retirar o seu consentimento a qualquer momento. A retirada do consentimento não compromete a licitude do tratamento efetuado com base no consentimento previamente dado. Antes de dar o seu consentimento, o titular dos dados é informado desse facto. O consentimento deve ser tão fácil de retirar quanto de dar.

4. Ao avaliar se o consentimento é dado livremente, há que verificar com a máxima atenção se, designadamente, a execução de um contrato, inclusive a prestação de um serviço, está subordinada ao consentimento para o tratamento de dados pessoais que não é necessário para a execução desse contrato.

Artigo 12.o

Transparência das informações, das comunicações e das regras para exercício dos direitos dos titulares dos dados

1. O responsável pelo tratamento toma as medidas adequadas para fornecer ao titular as informações a que se referem os artigos 13.o e 14.o e qualquer comunicação prevista nos artigos 15.o a 22.o e 34.o a respeito do tratamento, de forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples, em especial quando as informações são dirigidas especificamente a crianças. As informações são prestadas por escrito ou por outros meios, incluindo, se for caso disso, por meios eletrónicos. Se o titular dos dados o solicitar, a informação pode ser prestada oralmente, desde que a identidade do titular seja comprovada por outros meios.

2. O responsável pelo tratamento facilita o exercício dos direitos do titular dos dados nos termos dos artigos 15.o a 22.o. Nos casos a que se refere o artigo 11.o, n.o 2, o responsável pelo tratamento não pode recusar-se a dar seguimento ao pedido do titular no sentido de exercer os seus direitos ao abrigo dos artigos 15.o a 22.o, exceto se demonstrar que não está em condições de identificar o titular dos dados.

3. O responsável pelo tratamento fornece ao titular as informações sobre as medidas tomadas, mediante pedido apresentado nos termos dos artigos 15.o a 20.o, sem demora injustificada e no prazo de um mês a contar da data de receção do pedido. Esse prazo pode ser prorrogado até dois meses, quando for necessário, tendo em conta a complexidade do pedido e o número de pedidos. O responsável pelo tratamento informa o titular dos dados de alguma prorrogação e dos motivos da demora no prazo de um mês a contar da data de receção do pedido. Se o titular dos dados apresentar o pedido por meios eletrónicos, a informação é, sempre que possível, fornecida por meios eletrónicos, salvo pedido em contrário do titular.

4. Se o responsável pelo tratamento não der seguimento ao pedido apresentado pelo titular dos dados, informa-o sem demora e, o mais tardar, no prazo de um mês a contar da data de receção do pedido, das razões que o levaram a não tomar medidas e da possibilidade de apresentar reclamação a uma autoridade de controlo e intentar ação judicial.

5. As informações fornecidas nos termos dos artigos 13.o e 14.o e quaisquer comunicações e medidas tomadas nos termos dos artigos 15.o a 22.o e 34.o são fornecidas a título gratuito. Se os pedidos apresentados por um titular de dados forem manifestamente infundados ou excessivos, nomeadamente devido ao seu caráter repetitivo, o responsável pelo tratamento pode:

a)	Exigir o pagamento de uma taxa razoável tendo em conta os custos administrativos do fornecimento das informações ou da comunicação, ou de tomada das medidas solicitadas; ou

b)	Recusar-se a dar seguimento ao pedido.

Cabe ao responsável pelo tratamento demonstrar o caráter manifestamente infundado ou excessivo do pedido.

6. Sem prejuízo do artigo 11.o, quando o responsável pelo tratamento tiver dúvidas razoáveis quanto à identidade da pessoa singular que apresenta o pedido a que se referem os artigos 15.o a 21.o, pode solicitar que lhe sejam fornecidas as informações adicionais que forem necessárias para confirmar a identidade do titular dos dados.

7. As informações a fornecer pelos titulares dos dados nos termos dos artigos 13.o e 14.o podem ser dadas em combinação com ícones normalizados a fim de dar, de uma forma facilmente visível, inteligível e claramente legível, uma perspetiva geral significativa do tratamento previsto. Se forem apresentados por via eletrónica, os ícones devem ser de leitura automática.

8. A Comissão fica habilitada a adotar atos delegados nos termos do artigo 92.o, a fim de determinar quais as informações a fornecer por meio dos ícones e os procedimentos aplicáveis ao fornecimento de ícones normalizados.

Secção 2

Informação e acesso aos dados pessoais

Artigo 23.o

Limitações

1. O direito da União ou dos Estados-Membros a que estejam sujeitos o responsável pelo tratamento ou o seu subcontratante pode limitar por medida legislativa o alcance das obrigações e dos direitos previstos nos artigos 12.o a 22.o e no artigo 34.o, bem como no artigo 5.o, na medida em que tais disposições correspondam aos direitos e obrigações previstos nos artigos 12.o a 22.o, desde que tal limitação respeite a essência dos direitos e liberdades fundamentais e constitua uma medida necessária e proporcionada numa sociedade democrática para assegurar, designadamente:

a)	A segurança do Estado;

A defesa;

c)	A segurança pública;

d)	A prevenção, investigação, deteção ou repressão de infrações penais, ou a execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública;

e)	outros objetivos importantes do interesse público geral da União ou de um Estado-Membro, nomeadamente um interesse económico ou financeiro importante da União ou de um Estado-Membro, incluindo nos domínios monetário, orçamental ou fiscal, da saúde pública e da segurança social;

f)	A defesa da independência judiciária e dos processos judiciais;

g)	A prevenção, investigação, deteção e repressão de violações da deontologia de profissões regulamentadas;

h)	Uma missão de controlo, de inspeção ou de regulamentação associada, ainda que ocasionalmente, ao exercício da autoridade pública, nos casos referidos nas alíneas a) a e) e g);

i)	A defesa do titular dos dados ou dos direitos e liberdades de outrem;

j)	A execução de ações cíveis.

2. Em especial, as medidas legislativas referidas no n.o 1 incluem, quando for relevante, disposições explícitas relativas, pelo menos:

a)	Às finalidades do tratamento ou às diferentes categorias de tratamento;

b)	Às categorias de dados pessoais;

c)	Ao alcance das limitações impostas;

d)	Às garantias para evitar o abuso ou o acesso ou transferência ilícitos;

e)	À especificação do responsável pelo tratamento ou às categorias de responsáveis pelo tratamento;

f)	Aos prazos de conservação e às garantias aplicáveis, tendo em conta a natureza, o âmbito e os objetivos do tratamento ou das categorias de tratamento;

g)	Aos riscos específicos para os direitos e liberdades dos titulares dos dados; e

h)	Ao direito dos titulares dos dados a serem informados da limitação, a menos que tal possa prejudicar o objetivo da limitação.

CAPÍTULO IV

Responsável pelo tratamento e subcontratante

Secção 1

Obrigações gerais

Artigo 28.o

Subcontratante

1. Quando o tratamento dos dados for efetuado por sua conta, o responsável pelo tratamento recorre apenas a subcontratantes que apresentem garantias suficientes de execução de medidas técnicas e organizativas adequadas de uma forma que o tratamento satisfaça os requisitos do presente regulamento e assegure a defesa dos direitos do titular dos dados.

2. O subcontratante não contrata outro subcontratante sem que o responsável pelo tratamento tenha dado, previamente e por escrito, autorização específica ou geral. Em caso de autorização geral por escrito, o subcontratante informa o responsável pelo tratamento de quaisquer alterações pretendidas quanto ao aumento do número ou à substituição de outros subcontratantes, dando assim ao responsável pelo tratamento a oportunidade de se opor a tais alterações.

3. O tratamento em subcontratação é regulado por contrato ou outro ato normativo ao abrigo do direito da União ou dos Estados-Membros, que vincule o subcontratante ao responsável pelo tratamento, estabeleça o objeto e a duração do tratamento, a natureza e finalidade do tratamento, o tipo de dados pessoais e as categorias dos titulares dos dados, e as obrigações e direitos do responsável pelo tratamento. Esse contrato ou outro ato normativo estipulam, designadamente, que o subcontratante:

Trata os dados pessoais apenas mediante instruções documentadas do responsável pelo tratamento, incluindo no que respeita às transferências de dados para países terceiros ou organizações internacionais, a menos que seja obrigado a fazê-lo pelo direito da União ou do Estado-Membro a que está sujeito, informando nesse caso o responsável pelo tratamento desse requisito jurídico antes do tratamento, salvo se a lei proibir tal informação por motivos importantes de interesse público;

b)	Assegura que as pessoas autorizadas a tratar os dados pessoais assumiram um compromisso de confidencialidade ou estão sujeitas a adequadas obrigações legais de confidencialidade;

c)	Adota todas as medidas exigidas nos termos do artigo 32.o;

d)	Respeita as condições a que se referem os n.os 2 e 4 para contratar outro subcontratante;

Toma em conta a natureza do tratamento, e na medida do possível, presta assistência ao responsável pelo tratamento através de medidas técnicas e organizativas adequadas, para permitir que este cumpra a sua obrigação de dar resposta aos pedidos dos titulares dos dados tendo em vista o exercício dos seus direitos previstos no capítulo III;

f)	Presta assistência ao responsável pelo tratamento no sentido de assegurar o cumprimento das obrigações previstas nos artigos 32.o a 36.o, tendo em conta a natureza do tratamento e a informação ao dispor do subcontratante;

Consoante a escolha do responsável pelo tratamento, apaga ou devolve-lhe todos os dados pessoais depois de concluída a prestação de serviços relacionados com o tratamento, apagando as cópias existentes, a menos que a conservação dos dados seja exigida ao abrigo do direito da União ou dos Estados-Membros; e

Disponibiliza ao responsável pelo tratamento todas as informações necessárias para demonstrar o cumprimento das obrigações previstas no presente artigo e facilita e contribui para as auditorias, inclusive as inspeções, conduzidas pelo responsável pelo tratamento ou por outro auditor por este mandatado.

No que diz respeito ao primeiro parágrafo, alínea h), o subcontratante informa imediatamente o responsável pelo tratamento se, no seu entender, alguma instrução violar o presente regulamento ou outras disposições do direito da União ou dos Estados-Membros em matéria de proteção de dados.

4. Se o subcontratante contratar outro subcontratante para a realização de operações específicas de tratamento de dados por conta do responsável pelo tratamento, são impostas a esse outro subcontratante, por contrato ou outro ato normativo ao abrigo do direito da União ou dos Estados-Membros, as mesmas obrigações em matéria de proteção de dados que as estabelecidas no contrato ou outro ato normativo entre o responsável pelo tratamento e o subcontratante, referidas no n.o 3, em particular a obrigação de apresentar garantias suficientes de execução de medidas técnicas e organizativas adequadas de uma forma que o tratamento seja conforme com os requisitos do presente regulamento. Se esse outro subcontratante não cumprir as suas obrigações em matéria de proteção de dados, o subcontratante inicial continua a ser plenamente responsável, perante o responsável pelo tratamento, pelo cumprimento das obrigações desse outro subcontratante.

5. O facto de o subcontratante cumprir um código de conduta aprovado conforme referido no artigo 40.o ou um procedimento de certificação aprovado conforme referido no artigo 42.o pode ser utilizado como elemento para demonstrar as garantias suficientes a que se referem os n.os 1 e 4 do presente artigo.

6. Sem prejuízo de um eventual contrato individual entre o responsável pelo tratamento e o subcontratante, o contrato ou outro ato normativo referidos nos n.os 3 e 4 do presente artigo podem ser baseados, totalmente ou em parte, nas cláusulas contratuais-tipo referidas nos n.os 7 e 8 do presente artigo, inclusivamente quando fazem parte de uma certificação concedida ao responsável pelo tratamento ou ao subcontratante por força dos artigos 42.o e 43.o.

7. A Comissão pode estabelecer cláusulas contratuais-tipo para as matérias referidas nos n.os 3 e 4 do presente artigo pelo procedimento de exame a que se refere o artigo 93.o, n.o 2.

8. A autoridade de controlo pode estabelecer cláusulas contratuais-tipo para as matérias referidas nos n.os 3 e 4 do presente artigo e de acordo com o procedimento de controlo da coerência referido no artigo 63.o.

9. O contrato ou outro ato normativo a que se referem os n.os 3 e 4 devem ser feitos por escrito, incluindo em formato eletrónico.

10. Sem prejuízo do disposto nos artigos 82.o, 83.o e 84.o, o subcontratante que, em violação do presente regulamento, determinar as finalidades e os meios de tratamento, é considerado responsável pelo tratamento no que respeita ao tratamento em questão.

Artigo 37.o

Designação do encarregado da proteção de dados

1. O responsável pelo tratamento e o subcontratante designam um encarregado da proteção de dados sempre que:

a)	O tratamento for efetuado por uma autoridade ou um organismo público, excetuando os tribunais no exercício da sua função jurisdicional;

b)	As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou

c)	As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados nos termos do artigo 9.o e de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10.o.

2. Um grupo empresarial pode também designar um único encarregado da proteção de dados desde que haja um encarregado da proteção de dados que seja facilmente acessível a partir de cada estabelecimento.

3. Quando o responsável pelo tratamento ou o subcontratante for uma autoridade ou um organismo público, pode ser designado um único encarregado da proteção de dados para várias dessas autoridades ou organismos, tendo em conta a respetiva estrutura organizacional e dimensão.

4. Em casos diferentes dos visados no n.o 1, o responsável pelo tratamento ou o subcontratante ou as associações e outros organismos que representem categorias de responsáveis pelo tratamento ou de subcontratantes podem, ou, se tal lhes for exigido pelo direito da União ou dos Estados-Membros, designar um encarregado da proteção de dados. O encarregado da proteção de dados pode agir em nome das associações e de outros organismos que representem os responsáveis pelo tratamento ou os subcontratantes.

5. O encarregado da proteção de dados é designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados, bem como na sua capacidade para desempenhar as funções referidas no artigo 39.o.

6. O encarregado da proteção de dados pode ser um elemento do pessoal da entidade responsável pelo tratamento ou do subcontratante, ou exercer as suas funções com base num contrato de prestação de serviços.

7. O responsável pelo tratamento ou o subcontratante publica os contactos do encarregado da proteção de dados e comunica-os à autoridade de controlo.

Artigo 40.o

Códigos de conduta

1. Os Estados-Membros, as autoridades de controlo, o Comité e a Comissão promovem a elaboração de códigos de conduta destinados a contribuir para a correta aplicação do presente regulamento, tendo em conta as características dos diferentes setores de tratamento e as necessidades específicas das micro, pequenas e médias empresas.

2. As associações e outros organismos representantes de categorias de responsáveis pelo tratamento ou de subcontratantes podem elaborar códigos de conduta, alterar ou aditar a esses códigos, a fim de especificar a aplicação do presente regulamento, como por exemplo:

a)	O tratamento equitativo e transparente;

b)	Os legítimos interesses dos responsáveis pelo tratamento em contextos específicos;

c)	A recolha de dados pessoais;

d)	A pseudonimização dos dados pessoais;

e)	A informação prestada ao público e aos titulares dos dados;

f)	O exercício dos direitos dos titulares dos dados;

g)	As informações prestadas às crianças e a sua proteção, e o modo pelo qual o consentimento do titular das responsabilidades parentais da criança deve ser obtido;

h)	As medidas e procedimentos a que se referem os artigos 24.o e 25.o e as medidas destinadas a garantir a segurança do tratamento referidas no artigo 30.o;

i)	A notificação de violações de dados pessoais às autoridades de controlo e a comunicação dessas violações de dados pessoais aos titulares dos dados;

j)	A transferência de dados pessoais para países terceiros ou organizações internacionais; ou

k)	As ações extrajudiciais e outros procedimentos de resolução de litígios entre os responsáveis pelo tratamento e os titulares dos dados em relação ao tratamento, sem prejuízo dos direitos dos titulares dos dados nos termos dos artigos 77.o e 79.o.

3. Além dos responsáveis pelo tratamento ou dos subcontratantes sujeitos ao presente regulamento, também os responsáveis pelo tratamento ou subcontratantes que não estão sujeitos ao presente regulamento por força do artigo 3.o podem cumprir códigos de conduta aprovados em conformidade com o n.o 5 do presente artigo e de aplicabilidade geral por força do n.o 9 do presente artigo, de modo a fornecer garantias apropriadas no quadro das transferências dos dados pessoais para países terceiros ou organizações internacionais nos termos referidos no artigo 46.o, n.o 2, alínea e). Os responsáveis pelo tratamento ou os subcontratantes assumem compromissos vinculativos e com força executiva, por meio de instrumentos contratuais ou de outros instrumentos juridicamente vinculativos, no sentido de aplicar as garantias apropriadas, inclusivamente em relação aos direitos dos titulares dos dados.

4. Os códigos de conduta referidos no n.o 2 do presente artigo devem prever procedimentos que permitam ao organismo referido no artigo 41.o, n.o 1, efetuar a supervisão obrigatória do cumprimento das suas disposições por parte dos responsáveis pelo tratamento ou subcontratantes que se comprometam a aplicá-lo, sem prejuízo das funções e competências das autoridades de controlo competentes por força do artigo 55.o ou 56.o.

5. As associações e outros organismos a que se refere o n.o 2 do presente artigo que tencionem elaborar um código de conduta, ou alterar ou aditar a um código existente, apresentam o projeto de código, a alteração ou o aditamento à autoridade de controlo que é competente por força do artigo 55.o. A autoridade de controlo emite um parecer sobre a conformidade do projeto de código de conduta ou da alteração ou do aditamento com o presente regulamento e aprova este projeto, esta alteração ou este aditamento se determinar que são previstas garantias apropriadas suficientes.

6. Se o código de conduta, ou a alteração ou o aditamento for aprovado nos termos do n.o 5, e se o código de conduta em causa não estiver relacionado com atividades de tratamento realizadas em vários Estados-Membros, a autoridade de controlo regista e publica o código.

7. Se o projeto do código de conduta estiver relacionado com atividades de tratamento realizadas em vários Estados-Membros, a autoridade de controlo competente nos termos do artigo 55.o, antes da aprovação, apresenta o projeto do código, a alteração ou o aditamento, pelo procedimento referido no artigo 63.o, ao Comité, que emite um parecer sobre a conformidade do projeto de código de conduta, ou da alteração ou do aditamento, com o presente regulamento, ou, na situação referida no n.o 3 do presente artigo, sobre a previsão de garantias adequadas.

8. Se o parecer a que se refere o n.o 7 confirmar que o projeto do código de conduta, ou a alteração ou o aditamento, está conforme com o presente regulamento ou, na situação referida no n.o 3, prevê garantias adequadas, o Comité apresenta o seu parecer à Comissão.

9. A Comissão pode, através de atos de execução, decidir que os códigos de conduta aprovados, bem como as alterações ou os aditamentos, que lhe sejam apresentados nos termos do n.o 8 do presente artigo, são de aplicabilidade geral na União. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 93.o, n.o 2.

10. A Comissão assegura a publicidade adequada dos códigos aprovados que declarou, mediante decisão, serem de aplicabilidade geral em conformidade com o n.o 9.

11. O Comité recolhe todos os códigos de conduta aprovados, respetivas alterações e respetivos aditamentos num registo e disponibiliza-os ao público pelos meios adequados.

Artigo 42.o

Certificação

1. Os Estados-Membros, as autoridades de controlo, o Comité e a Comissão promovem, em especial ao nível da União, a criação de procedimentos de certificação em matéria de proteção de dados, bem como selos e marcas de proteção de dados, para efeitos de comprovação da conformidade das operações de tratamento de responsáveis pelo tratamento e subcontratantes com o presente regulamento. Serão tidas em conta as necessidades específicas das micro, pequenas e médias empresas.

2. Além do cumprimento pelos responsáveis pelo tratamento ou pelos subcontratantes sujeitos ao presente regulamento, os procedimentos de certificação em matéria de proteção de dados, bem como selos ou marcas aprovados de acordo com o n.o 5 do presente artigo também podem ser estabelecidos para efeitos de comprovação da existência de garantias adequadas fornecidas por responsáveis pelo tratamento ou por subcontratantes que não estão sujeitos ao presente regulamento por força do artigo 3.o no quadro das transferências de dados pessoais para países terceiros ou organizações internacionais nos termos referidos no artigo 46.o, n.o 2, alínea f). Os responsáveis pelo tratamento ou os subcontratantes assumem compromissos vinculativos e com força executiva, por meio de instrumentos contratuais ou de outros instrumentos juridicamente vinculativos, no sentido de aplicar as garantias adequadas, inclusivamente em relação aos direitos dos titulares dos dados.

3. A certificação é voluntária e está disponível através de um processo transparente.

4. A certificação prevista no presente artigo não diminui a responsabilidade dos responsáveis pelo tratamento e subcontratantes pelo cumprimento do presente regulamento nem prejudica as funções e competências das autoridades de controlo competentes por força do artigo 55.o ou 56.o.

5. A certificação prevista no presente artigo é emitida pelos organismos de certificação referidos no artigo 43.o ou pela autoridade de controlo competente, com base nos critérios por esta aprovados por força do artigo 58.o, n.o 3, ou pelo Comité por força do artigo 63.o. Caso os critérios sejam aprovados pelo Comité, podem ter como resultado uma certificação comum, o Selo Europeu de Proteção de Dados.

6. Os responsáveis pelo tratamento ou subcontratantes que submetem o seu tratamento ao procedimento de certificação fornecem ao organismo de certificação a que se refere o artigo 43.o, ou, consoante o caso, à autoridade de controlo competente, todo o acesso às suas atividades de tratamento e toda a informação de que haja necessidade para efetuar o procedimento de certificação.

7. A certificação é emitida aos responsáveis pelo tratamento e subcontratantes por um período máximo de três anos e pode ser renovada nas mesmas condições, desde que os requisitos aplicáveis continuem a estar reunidos. A certificação é retirada, consoante o caso, pelos organismos de certificação referidos no artigo 43.o ou pela autoridade de controlo competente, se os requisitos para a certificação não estiverem ou tiverem deixados de estar reunidos.

8. O Comité recolhe todos os procedimentos de certificação e todos os selos e marcas de proteção de dados aprovados num registo e disponibiliza-os ao público por todos os meios adequados.

Artigo 48.o

Transferências ou divulgações não autorizadas pelo direito da União

As decisões judiciais e as decisões de autoridades administrativas de um país terceiro que exijam que o responsável pelo tratamento ou o subcontratante transfiram ou divulguem dados pessoais só são reconhecidas ou executadas se tiverem como base um acordo internacional, como um acordo de assistência judiciária mútua, em vigor entre o país terceiro em causa e a União ou um dos Estados-Membros, sem prejuízo de outros motivos de transferência nos termos do presente capítulo.

Artigo 50.o

Cooperação internacional no domínio da proteção de dados pessoais

Em relação a países terceiros e a organizações internacionais, a Comissão e as autoridades de controlo tomam as medidas necessárias para:

a)	Estabelecer regras internacionais de cooperação destinadas a facilitar a aplicação efetiva da legislação em matéria de proteção de dados pessoais;

Prestar assistência mútua a nível internacional no domínio da aplicação da legislação relativa à proteção de dados pessoais, nomeadamente através da notificação, comunicação de reclamações, e assistência na investigação e intercâmbio de informações, sob reserva das garantias adequadas de proteção dos dados pessoais e de outros direitos e liberdades fundamentais;

c)	Associar as partes interessadas aos debates e atividades que visem intensificar a cooperação internacional no âmbito da aplicação da legislação relativa à proteção de dados pessoais;

d)	Promover o intercâmbio e a documentação da legislação e das práticas em matéria de proteção de dados pessoais, nomeadamente no que diz respeito a conflitos jurisdicionais com países terceiros.

CAPÍTULO VI

Autoridades de controlo independentes

Secção 1

Estatuto independente

Artigo 57.o

Atribuições

1. Sem prejuízo de outras atribuições previstas nos termos do presente regulamento, cada autoridade de controlo, no território respetivo:

a)	Controla e executa a aplicação do presente regulamento;

b)	Promove a sensibilização e a compreensão do público relativamente aos riscos, às regras, às garantias e aos direitos associados ao tratamento. As atividades especificamente dirigidas às crianças devem ser alvo de uma atenção especial;

c)	Aconselha, em conformidade com o direito do Estado-Membro, o Parlamento nacional, o Governo e outras instituições e organismos a respeito das medidas legislativas e administrativas relacionadas com a defesa dos direitos e liberdades das pessoas singulares no que diz respeito ao tratamento;

d)	Promove a sensibilização dos responsáveis pelo tratamento e dos subcontratantes para as suas obrigações nos termos do presente regulamento;

e)	Se lhe for solicitado, presta informações a qualquer titular de dados sobre o exercício dos seus direitos nos termos do presente regulamento e, se necessário, coopera com as autoridades de controlo de outros Estados-Membros para esse efeito;

Trata as reclamações apresentadas por qualquer titular de dados, ou organismo, organização ou associação nos termos do artigo 80.o, e investigar, na medida do necessário, o conteúdo da reclamação e informar o autor da reclamação do andamento e do resultado da investigação num prazo razoável, em especial se forem necessárias operações de investigação ou de coordenação complementares com outra autoridade de controlo;

g)	Coopera, incluindo partilhando informações e prestando assistência mútua a outras autoridades de controlo, tendo em vista assegurar a coerência da aplicação e da execução do presente regulamento;

h)	Conduz investigações sobre a aplicação do presente regulamento, incluindo com base em informações recebidas de outra autoridade de controlo ou outra autoridade pública;

i)	Acompanha factos novos relevantes, na medida em que tenham incidência na proteção de dados pessoais, nomeadamente a evolução a nível das tecnologias da informação e das comunicações e das práticas comerciais;

j)	Adota as cláusulas contratuais-tipo previstas no artigo 28.o, n.o 8, e no artigo 46.o, n.o 2, alínea d);

k)	Elabora e conserva uma lista associada à exigência de realizar uma avaliação do impacto sobre a proteção de dados, nos termos do artigo 35.o, n.o 4;

l)	Dá orientações sobre as operações de tratamento previstas no artigo 36.o, n.o 2;

m)	Incentiva a elaboração de códigos de conduta nos termos do artigo 40.o, n.o 1, dá parecer sobre eles e aprova os que preveem garantias suficientes, nos termos do artigo 40.o, n.o 5;

n)	Incentiva o estabelecimento de procedimentos de certificação de proteção de dados, e de selos e marcas de proteção de dados, nos termos do artigo 42.o, n.o 1, e aprova os critérios de certificação nos termos do artigo 42.o, n.o 5;

o)	Se necessário, procede a uma revisão periódica das certificações emitidas, nos termos do artigo 42.o, n.o 7;

p)	Redige e publica os critérios de acreditação de um organismo para monitorizar códigos de conduta nos termos do artigo 41.o e de um organismo de certificação nos termos do artigo 43.o;

q)	Conduz o processo de acreditação de um organismo para monitorizar códigos de conduta nos termos do artigo 41.o e de um organismo de certificação nos termos do artigo 43.o;

r)	Autoriza as cláusulas contratuais e disposições previstas no artigo 46.o, n.o 3;

s)	Aprova as regras vinculativas aplicáveis às empresas nos termos do artigo 47.o;

t)	Contribui para as atividades do Comité;

u)	Conserva registos internos de violações do presente regulamento e das medidas tomadas nos termos do artigo 58.o, n.o 2; e

v)	Desempenha quaisquer outras tarefas relacionadas com a proteção de dados pessoais.

2. As autoridades de controlo facilitam a apresentação das reclamações previstas no n.o 1, alínea f), tomando medidas como disponibilizar formulários de reclamação que possam também ser preenchidos eletronicamente, sem excluir outros meios de comunicação.

3. A prossecução das atribuições de cada autoridade de controlo é gratuita para o titular dos dados e, sendo caso disso, para o encarregado da proteção de dados.

4. Quando os pedidos forem manifestamente infundados ou excessivos, particularmente devido ao seu caráter recorrente, a autoridade de controlo pode exigir o pagamento de uma taxa razoável tendo em conta os custos administrativos ou pode indeferi-los. Cabe à autoridade de controlo demonstrar o caráter manifestamente infundado ou excessivo dos pedidos.

Artigo 58.o

Poderes

1. Cada autoridade de controlo dispõe dos seguintes poderes de investigação:

a)	Ordenar que o responsável pelo tratamento e o subcontratante e, se existir, o seu representante, lhe forneçam as informações de que necessite para o desempenho das suas funções;

b)	Realizar investigações sob a forma de auditorias sobre a proteção de dados;

c)	Rever as certificações emitidas nos termos do artigo 42.o, n.o 7;

d)	Notificar o responsável pelo tratamento ou o subcontratante de alegadas violações do presente regulamento;

e)	Obter, da parte do responsável pelo tratamento e do subcontratante, acesso a todos os dados pessoais e a todas as informações necessárias ao exercício das suas funções;

f)	Obter acesso a todas as instalações do responsável pelo tratamento e do subcontratante, incluindo os equipamentos e meios de tratamento de dados, em conformidade com o direito processual da União ou dos Estados-Membros.

2. Cada autoridade de controlo dispõe dos seguintes poderes de correção:

a)	Fazer advertências ao responsável pelo tratamento ou ao subcontratante no sentido de que as operações de tratamento previstas são suscetíveis de violar as disposições do presente regulamento;

b)	Fazer repreensões ao responsável pelo tratamento ou ao subcontratante sempre que as operações de tratamento tiverem violado as disposições do presente regulamento;

c)	Ordenar ao responsável pelo tratamento ou ao subcontratante que satisfaça os pedidos de exercício de direitos apresentados pelo titular dos dados nos termos do presente regulamento;

d)	Ordenar ao responsável pelo tratamento ou ao subcontratante que tome medidas para que as operações de tratamento cumpram as disposições do presente regulamento e, se necessário, de uma forma específica e dentro de um prazo determinado;

e)	Ordenar ao responsável pelo tratamento que comunique ao titular dos dados uma violação de dados pessoais;

f)	Impor uma limitação temporária ou definitiva ao tratamento de dados, ou mesmo a sua proibição;

g)	Ordenar a retificação ou o apagamento de dados pessoais ou a limitação do tratamento nos termos dos artigos 16.o, 17.o e 18.o, bem como a notificação dessas medidas aos destinatários a quem tenham sido divulgados os dados pessoais nos termos do artigo 17.o, n.o 2, e do artigo 19.o;

h)	Retirar a certificação ou ordenar ao organismo de certificação que retire uma certificação emitida nos termos dos artigos 42.o e 43.o, ou ordenar ao organismo de certificação que não emita uma certificação se os requisitos de certificação não estiverem ou deixarem de estar cumpridos;

i)	Impor uma coima nos termos do artigo 83.o, para além ou em vez das medidas referidas no presente número, consoante as circunstâncias de cada caso;

j)	Ordenar a suspensão do envio de dados para destinatários em países terceiros ou para organizações internacionais.

3. Cada autoridade de controlo dispõe dos seguintes poderes consultivos e de autorização:

a)	Aconselhar o responsável pelo tratamento, pelo procedimento de consulta prévia referido no artigo 36.o;

b)	Emitir, por iniciativa própria ou se lhe for solicitado, pareceres dirigidos ao Parlamento nacional, ao Governo do Estado-Membro ou, nos termos do direito do Estado-Membro, a outras instituições e organismos, bem como ao público, sobre qualquer assunto relacionado com a proteção de dados pessoais;

c)	Autorizar o tratamento previsto no artigo 36.o, n.o 5, se a lei do Estado-Membro exigir tal autorização prévia;

d)	Emitir pareceres e aprovar projetos de códigos de conduta nos termos do artigo 40.o, n.o 5;

e)	Acreditar organismos de certificação nos termos do artigo 43.o;

f)	Emitir certificações e aprovar os critérios de certificação nos termos do artigo 42.o, n.o 5;

g)	Adotar as cláusulas-tipo de proteção de dados previstas no artigo 28.o, n.o 8, e no artigo 46.o, n.o 2, alínea d);

h)	Autorizar as cláusulas contratuais previstas no artigo 46.o, n.o 3, alínea a);

i)	Autorizar os acordos administrativos previstos no artigo 46.o, n.o 3, alínea b);

j)	Aprovar as regras vinculativas aplicáveis às empresas nos termos do artigo 47.o.

4. O exercício dos poderes conferidos à autoridade de controlo nos termos do presente artigo está sujeito a garantias adequadas, que incluem o direito à ação judicial efetiva e a um processo equitativo, previstas no direito da União e dos Estados-Membros, em conformidade com a Carta.

5. Os Estados-Membros estabelecem por lei que as suas autoridades de controlo estão habilitadas a levar as violações do presente regulamento ao conhecimento das autoridades judiciais e, se necessário, a intentar ou de outro modo intervir em processos judiciais, a fim de fazer aplicar as disposições do presente regulamento.

6. Os Estados-Membros podem estabelecer por lei que as suas autoridades de controlo terão outros poderes para além dos previstos nos n.os 1, 2 e 3. O exercício desses poderes não deve prejudicar o efetivo funcionamento do capítulo VII.

Artigo 60.o

Cooperação entre a autoridade de controlo principal e as outras autoridades de controlo interessadas

1. A autoridade de controlo principal coopera com as outras autoridades de controlo interessadas nos termos do presente artigo para procurar alcançar um consenso. A autoridade de controlo principal e as autoridades de controlo interessadas trocam entre si todas as informações pertinentes.

2. A autoridade de controlo principal pode a qualquer momento solicitar que as outras autoridades de controlo interessadas prestem assistência mútua nos termos do artigo 61.o e pode realizar operações conjuntas nos termos do artigo 62.o, nomeadamente para proceder a investigações ou monitorizar a execução de medidas relativas a responsáveis pelo tratamento ou subcontratantes estabelecidos noutros Estados-Membros.

3. A autoridade de controlo principal comunica sem demora as informações pertinentes sobre o assunto às outras autoridades de controlo interessadas. Envia sem demora um projeto de decisão às outras autoridades de controlo interessadas para que emitam parecer e toma as suas posições em devida consideração.

4. Quando uma das outras autoridades de controlo interessadas expressa uma objeção pertinente e fundamentada ao projeto de decisão no prazo de quatro semanas após ter sido consultada nos termos do n.o 3 do presente artigo, a autoridade de controlo principal, caso não dê seguimento à objeção ou caso entenda que esta não é pertinente ou fundamentada, remete o assunto para o procedimento de controlo da coerência referido no artigo 63.o.

5. Se a autoridade de controlo principal pretender dar seguimento à objeção pertinente e fundamentada apresentada, envia às outras autoridades de controlo interessadas um projeto de decisão revisto para que emitam parecer. Esse projeto de decisão revisto é sujeito ao procedimento mencionado no n.o 4 no prazo de duas semanas.

6. Se nenhuma das outras autoridades de controlo interessadas se tiver oposto ao projeto de decisão apresentado pela autoridade de controlo principal no prazo referido nos n.os 4 e 5, considera-se que a autoridade de controlo principal e as autoridades de controlo interessadas estão de acordo com esse projeto de decisão e ficam por ela vinculadas.

7. A autoridade de controlo principal adota a decisão e dela notifica o estabelecimento principal ou o estabelecimento único do responsável pelo tratamento ou do subcontratante, consoante o caso, e informa as outras autoridades de controlo interessadas e o Comité da decisão em causa, incluindo um sumário dos factos e motivos pertinentes. A autoridade de controlo à qual tenha sido apresentada uma reclamação, informa da decisão o autor da reclamação.

8. Em derrogação do n.o 7, se for recusada ou rejeitada uma reclamação, a autoridade de controlo à qual a reclamação tiver sido apresentada adota a decisão, notifica o autor da reclamação e informa desse facto o responsável pelo tratamento.

9. Se a autoridade de controlo principal e as autoridades de controlo interessadas estiverem de acordo em recusar ou rejeitar determinadas partes de uma reclamação e tomar medidas relativamente a outras partes da mesma reclamação, é adotada uma decisão separada para cada uma dessas partes da matéria. A autoridade de controlo principal adota a decisão na parte respeitante às medidas relativas ao responsável pelo tratamento e informa desse facto o estabelecimento principal ou o estabelecimento único do responsável pelo tratamento ou do subcontratante no território do seu Estado-Membro, informando desse facto o autor da reclamação, enquanto a autoridade de controlo do autor da reclamação adota a decisão na parte relativa à recusa ou à rejeição da referida reclamação e notifica o autor da reclamação, informando desse facto o responsável pelo tratamento ou o subcontratante.

10. Após ter sido notificado da decisão da autoridade de controlo principal nos termos dos n.os 7 e 9, o responsável pelo tratamento ou o subcontratante tomam as medidas necessárias para garantir o cumprimento da decisão no que se refere às atividades de tratamento no contexto de todos os seus estabelecimentos na União. O responsável pelo tratamento ou o subcontratante comunica as medidas tomadas para fazer cumprir a decisão à autoridade de controlo principal, que informa as outras autoridades de controlo interessadas.

11. Se, em circunstâncias excecionais, alguma autoridade de controlo interessada tiver razões para considerar que existe uma necessidade urgente de agir para defender os interesses dos titulares dos dados, aplica-se o procedimento de urgência referido no artigo 66.o.

12. A autoridade de controlo principal e as outras autoridades de controlo interessadas trocam entre si as informações necessárias nos termos do presente artigo por meios eletrónicos, utilizando um formato normalizado.

Artigo 62.o

Operações conjuntas das autoridades de controlo

1. As autoridades de controlo conduzem, sempre que conveniente, operações conjuntas, incluindo investigações e medidas de execução conjuntas nas quais participem membros ou pessoal das autoridades de controlo de outros Estados-Membros.

2. Nos casos em que o responsável pelo tratamento ou o subcontratante tenha estabelecimentos em vários Estados-Membros ou nos casos em que haja um número significativo de titulares de dados em mais do que um Estado-Membro que sejam suscetíveis de ser substancialmente afetados pelas operações de tratamento, uma autoridade de controlo de cada um desses Estados-Membros tem direito a participar nas operações conjuntas. A autoridade de controlo competente nos termos do artigo 56.o, n.o 1 ou n.o 4, convida a autoridade de controlo de cada um desses Estados-Membros a participar nas operações conjuntas e responde sem demora ao pedido de um autoridade de controlo para participar.

3. As autoridades de controlo podem, nos termos do direito do seu Estado-Membro, e com a autorização da autoridade de controlo de origem, conferir poderes, nomeadamente poderes de investigação, aos membros ou ao pessoal da autoridade de controlo de origem implicados nas operações conjuntas ou, na medida em que o direito do Estado-Membro da autoridade de controlo de acolhimento o permita, autorizar os membros ou o pessoal da autoridade de controlo de origem a exercer os seus poderes de investigação nos termos do direito do Estado-Membro da autoridade de controlo de origem. Esses poderes de investigação podem ser exercidos apenas sob a orientação e na presença de membros ou pessoal da autoridade de controlo de acolhimento. Os membros ou pessoal da autoridade de controlo de origem estão sujeitos ao direito do Estado-Membro da autoridade de controlo de acolhimento.

4. Se, nos termos do n.o 1, o pessoal da autoridade de controlo de origem exercer atividades noutro Estado-Membro, o Estado-Membro da autoridade de controlo de acolhimento assume a responsabilidade pelos seus atos, incluindo a responsabilidade por quaisquer danos por ele causados no decurso de tais atividades, de acordo com o direito do Estado-Membro em cujo território atuam.

5. O Estado-Membro em cujo território forem causados os danos indemniza-os nas condições aplicáveis aos danos causados pelo seu próprio pessoal. O Estado-Membro da autoridade de controlo de origem cujo pessoal tenha causado danos a qualquer pessoa no território de outro Estado-Membro reembolsa integralmente esse outro Estado-Membro das somas que tenha pago aos seus representantes legais.

6. Sem prejuízo do exercício dos seus direitos perante terceiros e com exceção do disposto no n.o 5, cada Estado-Membro renuncia, no caso previsto no n.o 1, a solicitar a outro Estado-Membro o reembolso do montante dos danos referido no n.o 4.

7. Sempre que se tencione efetuar uma operação conjunta e uma autoridade de controlo não cumprir, no prazo de um mês, a obrigação estabelecida n.o 2, segunda frase, do presente artigo, as outras autoridades de controlo podem adotar uma medida provisória no território do respetivo Estado-Membro em conformidade com o artigo 55.o. Nesse caso, presume-se que é urgente intervir, nos termos do artigo 66.o, n.o 1, e solicitar um parecer ou uma decisão vinculativa urgente ao Comité, nos termos do artigo 66.o, n.o 2.

Secção 2

Coerência

Artigo 70.o

Atribuições do Comité

1. O Comité assegura a aplicação coerente do presente regulamento. Para o efeito, o Comité exerce, por iniciativa própria ou, nos casos pertinentes, a pedido da Comissão, as seguintes atividades:

a)	Controla e assegura a correta aplicação do presente regulamento nos casos previstos nos artigos 64.o e 65.o, sem prejuízo das funções das autoridades nacionais de controlo;

b)	Aconselha a Comissão em todas as questões relacionadas com a proteção de dados pessoais na União, nomeadamente em qualquer projeto de alteração ao presente regulamento;

c)	Aconselha a Comissão sobre o formato e os procedimentos de intercâmbio de informações entre os responsáveis pelo tratamento, os subcontratantes e as autoridades de controlo no que respeita às regras vinculativas aplicáveis às empresas;

d)	Emite diretrizes, recomendações e melhores práticas para os procedimentos de apagamento de ligações para os dados pessoais, de cópias ou reproduções desses dados existentes em serviços de comunicação acessíveis ao público, tal como previsto no artigo 17.o, n.o 2;

e)	Analisa, por iniciativa própria, a pedido de um dos seus membros da Comissão, qualquer questão relativa à aplicação do presente regulamento e emite diretrizes, recomendações e melhores práticas, a fim de incentivar a aplicação coerente do presente regulamento;

f)	Emite diretrizes, recomendações e melhores práticas nos termos da alínea e) do presente número, para definir mais concretamente os critérios e condições aplicáveis às decisões baseadas na definição de perfis, nos termos do artigo 22.o, n.o 2;

Emite diretrizes, recomendações e melhores práticas nos termos da alínea e) do presente número, para definir violações de dados pessoais e determinar a demora injustificada a que se refere o artigo 33.o, n.os 1 e 2, bem como as circunstâncias particulares em que o responsável pelo tratamento ou o subcontratante é obrigado a notificar a violação de dados pessoais;

Emite diretrizes, recomendações e melhores práticas nos termos da alínea e) do presente número, a respeito das circunstâncias em que as violações de dados pessoais são suscetíveis de resultar num risco elevado para os direitos e liberdades das pessoas singulares a que se refere o artigo 34.o, n.o 1;

Emite diretrizes, recomendações e melhores práticas nos termos da alínea e) do presente número, para definir mais concretamente os critérios e requisitos aplicáveis às transferências de dados baseadas em regras vinculativas aplicáveis às empresas aceites pelos responsáveis pelo tratamento e em regras vinculativas aplicáveis às empresas aceites pelos subcontratantes, e outros requisitos necessários para assegurar a proteção dos dados pessoais dos titulares dos dados em causa a que se refere o artigo 47.o;

j)	Emite diretrizes, recomendações e melhores práticas nos termos da alínea e) do presente número para definir mais concretamente os critérios e requisitos aplicáveis à transferência de dados efetuadas com base no artigo 49.o, n.o 1;

k)	Elabora diretrizes dirigidas às autoridades de controlo em matéria de aplicação das medidas a que se refere o artigo 58.o, n.os 1, 2 e 3, e de fixação de coimas nos termos do artigo 83.o;

l)	Examina a aplicação prática das diretrizes, recomendações e melhores práticas referidas nas alíneas e) e f);

m)	Emite diretrizes, recomendações e melhores práticas nos termos da alínea e) do presente número para definir procedimentos comuns para a comunicação por pessoas singulares de violações do presente regulamento, nos termos do artigo 54.o, n.o 2;

n)	Incentiva a elaboração de códigos de conduta e a criação de procedimentos de certificação, bem como de selos e marcas de proteção dos dados nos termos dos artigos 40.o e 42.o;

Procede à acreditação dos organismos de certificação e à respetiva revisão periódica nos termos do artigo 43.o e conserva um registo público de organismos acreditados, nos termos do artigo 43.o, n.o 6, e de responsáveis pelo tratamento ou subcontratantes acreditados, estabelecidos em países terceiros, nos termos do artigo 42.o, n.o 7;

p)	Especifica os requisitos referidos no artigo 43.o, n.o 3, para acreditação dos organismos de certificação nos termos do artigo 42.o;

q)	Dá parecer à Comissão a respeito dos requisitos de certificação a que se refere o artigo 43.o, n.o 8;

r)	Dá parecer à Comissão sobre os símbolos a que se refere o artigo 12.o, n.o 7;

Dá parecer à Comissão para a avaliação da adequação do nível de proteção num país terceiro ou organização internacional, e também para avaliar se um país terceiro, um território ou um ou mais setores específicos desse país terceiro, ou uma organização internacional, deixou de garantir um nível adequado de proteção. Para esse efeito, a Comissão fornece ao Comité toda a documentação necessária, inclusive a correspondência com o Governo do país terceiro, relativamente a esse país terceiro, território ou setor específico, ou com a organização internacional;

Emite pareceres relativos aos projetos de decisão das autoridades de controlo nos termos do procedimento de controlo da coerência referido no artigo 64.o, n.o 1, sobre os assuntos apresentados nos termos do artigo 64.o, n.o 2, e emite decisões vinculativas nos termos do artigo 65.o, incluindo nos casos referidos no artigo 66.o;

u)	Promover a cooperação e o intercâmbio bilateral e plurilateral efetivo de informações e as melhores práticas entre as autoridades de controlo;

v)	Promover programas de formação comuns e facilitar o intercâmbio de pessoal entre as autoridades de controlo, e, se necessário, com as autoridades de controlo de países terceiros ou com organizações internacionais;

w)	Promover o intercâmbio de conhecimentos e de documentação sobre as práticas e a legislação no domínio da proteção de dados com autoridades de controlo de todo o mundo;

x)	Emitir pareceres sobre os códigos de conduta elaborados a nível da União nos termos do artigo 40.o, n.o 9; e

y)	Conservar um registo eletrónico, acessível ao público, das decisões tomadas pelas autoridades de controlo e pelos tribunais sobre questões tratadas no âmbito do procedimento de controlo da coerência.

2. Quando a Comissão consultar o Comité, pode indicar um prazo para a formulação do parecer, tendo em conta a urgência do assunto.

3. O Comité dirige os seus pareceres, diretrizes e melhores práticas à Comissão e ao comité referido no artigo 93.o, e procede à sua publicação.

4. Quando for caso disso, o Comité consulta as partes interessadas e dá-lhes a oportunidade de formular observações, num prazo razoável. Sem prejuízo do artigo 76.o, o Comité torna públicos os resultados do processo de consulta.

Artigo 75.o

Secretariado

1. O Comité dispõe de um secretariado disponibilizado pela Autoridade Europeia para a Proteção de Dados.

2. O secretariado desempenha as suas funções sob a direção exclusiva do presidente do Comité.

3. O pessoal da Autoridade Europeia para a Proteção de Dados envolvido na prossecução das atribuições conferidas ao Comité pelo presente regulamento está sujeito a uma hierarquia distinta do pessoal envolvido na prossecução das atribuições conferidas à Autoridade Europeia para a Proteção de Dados.

4. Quando for caso disso, o Comité e a Autoridade Europeia para a Proteção de Dados elaboram e publicam um memorando de entendimento que dê execução ao presente artigo e defina os termos da sua cooperação, aplicável ao pessoal da Autoridade Europeia para a Proteção de Dados envolvido na prossecução das atribuições conferidas ao Comité pelo presente regulamento.

5. O secretariado fornece ao Comité apoio de caráter analítico, administrativo e logístico.

6. O secretariado é responsável, em especial:

a)	Pela gestão corrente do Comité;

b)	Pela comunicação entre os membros do Comité, o seu presidente e a Comissão;

c)	Pela comunicação com outras instituições e o público;

d)	Pelo recurso a meios eletrónicos para a comunicação interna e externa;

e)	Pela tradução de informações pertinentes;

f)	Pela preparação e acompanhamento das reuniões do Comité;

g)	Pela preparação, redação e publicação dos pareceres, das decisões em matéria de resolução de litígios entre autoridades de controlo e de outros textos adotados pelo Comité.

Artigo 82.o

Direito de indemnização e responsabilidade

1. Qualquer pessoa que tenha sofrido danos materiais ou imateriais devido a uma violação do presente regulamento tem direito a receber uma indemnização do responsável pelo tratamento ou do subcontratante pelos danos sofridos.

2. Qualquer responsável pelo tratamento que esteja envolvido no tratamento é responsável pelos danos causados por um tratamento que viole o presente regulamento. O subcontratante é responsável pelos danos causados pelo tratamento apenas se não tiver cumprido as obrigações decorrentes do presente regulamento dirigidas especificamente aos subcontratantes ou se não tiver seguido as instruções lícitas do responsável pelo tratamento.

3. O responsável pelo tratamento ou o subcontratante fica isento de responsabilidade nos termos do n.o 2, se provar que não é de modo algum responsável pelo evento que deu origem aos danos.

4. Quando mais do que um responsável pelo tratamento ou subcontratante, ou um responsável pelo tratamento e um subcontratante, estejam envolvidos no mesmo tratamento e sejam, nos termos dos n.os 2 e 3, responsáveis por eventuais danos causados pelo tratamento, cada responsável pelo tratamento ou subcontratante é responsável pela totalidade dos danos, a fim de assegurar a efetiva indemnização do titular dos dados.

5. Quando tenha pago, em conformidade com o n.o 4, uma indemnização integral pelos danos sofridos, um responsável pelo tratamento ou um subcontratante tem o direito de reclamar a outros responsáveis pelo tratamento ou subcontratantes envolvidos no mesmo tratamento a parte da indemnização correspondente à respetiva parte de responsabilidade pelo dano em conformidade com as condições previstas no n.o 2.

6. Os processos judiciais para exercer o direito de receber uma indemnização são apresentados perante os tribunais competentes nos termos do direito do Estado-Membro a que se refere o artigo 79.o, n.o 2.

Artigo 89.o

Garantias e derrogações relativas ao tratamento para fins de arquivo de interesse público ou para fins de investigação científica ou histórica ou para fins estatísticos

1. O tratamento para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, está sujeito a garantias adequadas, nos termos do presente regulamento, para os direitos e liberdades do titular dos dados. Essas garantias asseguram a adoção de medidas técnicas e organizativas a fim de assegurar, nomeadamente, o respeito do princípio da minimização dos dados. Essas medidas podem incluir a pseudonimização, desde que os fins visados possam ser atingidos desse modo. Sempre que esses fins possam ser atingidos por novos tratamentos que não permitam, ou já não permitam, a identificação dos titulares dos dados, os referidos fins são atingidos desse modo.

2. Quando os dados pessoais sejam tratados para fins de investigação científica ou histórica ou para fins estatísticos, o direito da União ou dos Estados-Membros pode prever derrogações aos direitos a que se referem os artigos 15.o, 16.o, 18.o e 21.o, sob reserva das condições e garantias previstas no n.o 1 do presente artigo, na medida em que esses direitos sejam suscetíveis de tornar impossível ou prejudicar gravemente a realização dos fins específicos e que tais derrogações sejam necessárias para a prossecução desses fins.

3. Quando os dados pessoais sejam tratados para fins de arquivo de interesse público, o direito da União ou dos Estados-Membros pode prever derrogações aos direitos a que se referem os artigos 15.o, 16.o, 18.o, 19.o, 20.o e 21.o, sob reserva das condições e garantias previstas no n.o 1 do presente artigo, na medida em que esses direitos sejam suscetíveis de tornar impossível ou prejudicar gravemente a realização dos fins específicos e que tais derrogações sejam necessárias para a prossecução desses fins.

4. Quando o tratamento de dados previsto no n.os 2 e 3 também se destine, simultaneamente, a outros fins, as derrogações aplicam-se apenas ao tratamento de dados para os fins previstos nesses números.

Artigo 97.o

Relatórios da Comissão

1. Até 25 de maio de 2020 e subsequentemente de quatro anos em quatro anos, a Comissão apresenta ao Parlamento Europeu e ao Conselho um relatório sobre a avaliação e revisão do presente regulamento. Os relatórios são tornados públicos.

2. No contexto das avaliações e revisões referidas no n.o 1, a Comissão examina, nomeadamente, a aplicação e o funcionamento do:

a)	Capítulo V sobre a transferência de dados pessoas para países terceiros ou organizações internacionais, com especial destaque para as decisões adotadas nos termos do artigo 45.o, n.o 3, do presente regulamento, e as decisões adotadas com base no artigo 25.o, n.o 6, da Diretiva 95/46/CE;

b)	Capítulo VII sobre cooperação e coerência.

3. Para o efeito do n.o 1, a Comissão pode solicitar informações aos Estados-Membros e às autoridades de controlo.

4. Ao efetuar as avaliações e as revisões a que se referem os n.os 1 e 2, a Comissão tem em consideração as posições e as conclusões a que tenham chegado o Parlamento Europeu, o Conselho e outros organismos ou fontes pertinentes.

5. Se necessário, a Comissão apresenta propostas adequadas com vista à alteração do presente regulamento atendendo, em especial, à evolução das tecnologias da informação e aos progressos da Sociedade da Informação.

Artigo 98.o

Revisão de outros atos jurídicos da União em matéria de proteção de dados

Se necessário, a Comissão apresenta propostas legislativas com vista à alteração de outros atos jurídicos da União sobre a proteção dos dados pessoais, a fim de assegurar uma proteção uniforme e coerente das pessoas singulares no que diz respeito ao tratamento. Tal incide nomeadamente sobre as normas relativas à proteção das pessoas singulares no que diz respeito ao tratamento pelas instituições, órgãos, organismos e agências da União e a livre circulação desses dados.

whereas

(4) O tratamento dos dados pessoais deverá ser concebido para servir as pessoas.
O direito à proteção de dados pessoais não é absoluto; deve ser considerado em relação à sua função na sociedade e ser equilibrado com outros direitos fundamentais, em conformidade com o princípio da proporcionalidade.
O presente regulamento respeita todos os direitos fundamentais e observa as liberdade e os princípios reconhecidos na Carta, consagrados nos Tratados, nomeadamente o respeito pela vida privada e familiar, pelo domicílio e pelas comunicações, a proteção dos dados pessoais, a liberdade de pensamento, de consciência e de religião, a liberdade de expressão e de informação, a liberdade de empresa, o direito à ação e a um tribunal imparcial, e a diversidade cultural, religiosa e linguística.

- = -

(17) O Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho (6) é aplicável ao tratamento de dados pessoais pelas instituições, órgãos, organismos ou agências da União.
O Regulamento (CE) n.o 45/2001, bem como outros atos jurídicos da União aplicáveis ao tratamento de dados pessoais, deverão ser adaptados aos princípios e regras estabelecidos pelo presente regulamento e aplicados à luz do mesmo.
A fim de proporcionar um quadro de proteção de dados sólido e coerente na União, e após a adoção do presente regulamento, deverão ser realizadas as necessárias adaptações do Regulamento (CE) n.o 45/2001, a fim de permitir a aplicação em simultâneo com o presente regulamento.

- = -

(19) A proteção das pessoas singulares em matéria de tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou da execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública, e de livre circulação desses dados, é objeto de um ato jurídico da União específico.
O presente regulamento não deverá, por isso, ser aplicável às atividades de tratamento para esses efeitos.
Todavia, os dados pessoais tratados pelas autoridades competentes ao abrigo do presente regulamento deverão ser regulados, quando forem usados para os efeitos referidos, por um ato jurídico da União mais específico, a saber, a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho (7).
Os Estados-Membros podem confiar às autoridades competentes na aceção da Diretiva (UE) 2016/680 funções não necessariamente a executar para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou da execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública, de modo a que o tratamento dos dados pessoais para esses outros efeitos, na medida em que se insira na esfera do direito da União, seja abrangido pelo âmbito de aplicação do presente regulamento.

- = -

(30) As pessoas singulares podem ser associadas a identificadores por via eletrónica, fornecidos pelos respetivos aparelhos, aplicações, ferramentas e protocolos, tais como endereços IP (protocolo internet) ou testemunhos de conexão (cookie) ou outros identificadores, como as etiquetas de identificação por radiofrequência.
Estes identificadores podem deixar vestígios que, em especial quando combinados com identificadores únicos e outras informações recebidas pelos servidores, podem ser utilizados para a definição de perfis e a identificação das pessoas singulares.

- = -

(39) O tratamento de dados pessoais deverá ser efetuado de forma lícita e equitativa.
Deverá ser transparente para as pessoas singulares que os dados pessoais que lhes dizem respeito são recolhidos, utilizados, consultados ou sujeitos a qualquer outro tipo de tratamento e a medida em que os dados pessoais são ou virão a ser tratados.
O princípio da transparência exige que as informações ou comunicações relacionadas com o tratamento desses dados pessoais sejam de fácil acesso e compreensão, e formuladas numa linguagem clara e simples.
Esse princípio diz respeito, em particular, às informações fornecidas aos titulares dos dados sobre a identidade do responsável pelo tratamento dos mesmos e os fins a que o tratamento se destina, bem como às informações que se destinam a assegurar que seja efetuado com equidade e transparência para com as pessoas singulares em causa, bem como a salvaguardar o seu direito a obter a confirmação e a comunicação dos dados pessoais que lhes dizem respeito que estão a ser tratados.
As pessoas singulares a quem os dados dizem respeito deverão ser alertadas para os riscos, regras, garantias e direitos associados ao tratamento dos dados pessoais e para os meios de que dispõem para exercer os seus direitos relativamente a esse tratamento.
Em especial, as finalidades específicas do tratamento dos dados pessoais deverão ser explícitas e legítimas e ser determinadas aquando da recolha dos dados pessoais.
Os dados pessoais deverão ser adequados, pertinentes e limitados ao necessário para os efeitos para os quais são tratados.
Para isso, é necessário assegurar que o prazo de conservação dos dados seja limitado ao mínimo.
Os dados pessoais apenas deverão ser tratados se a finalidade do tratamento não puder ser atingida de forma razoável por outros meios.
A fim de assegurar que os dados pessoais sejam conservados apenas durante o período considerado necessário, o responsável pelo tratamento deverá fixar os prazos para o apagamento ou a revisão periódica.
Deverão ser adotadas todas as medidas razoáveis para que os dados pessoais inexatos sejam retificados ou apagados.
Os dados pessoais deverão ser tratados de uma forma que garanta a devida segurança e confidencialidade, incluindo para evitar o acesso a dados pessoais e equipamento utilizado para o seu tratamento, ou a utilização dos mesmos, por pessoas não autorizadas.

- = -

(50) O tratamento de dados pessoais para outros fins que não aqueles para os quais os dados pessoais tenham sido inicialmente recolhidos apenas deverá ser autorizado se for compatível com as finalidades para as quais os dados pessoais tenham sido inicialmente recolhidos.
Nesse caso, não é necessário um fundamento jurídico distinto do que permitiu a recolha dos dados pessoais.
Se o tratamento for necessário para o exercício de funções de interesse público ou o exercício da autoridade pública de que está investido o responsável pelo tratamento, o direito da União ou dos Estados-Membros pode determinar e definir as tarefas e finalidades para as quais o tratamento posterior deverá ser considerado compatível e lícito.
As operações de tratamento posterior para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, deverão ser consideradas tratamento lícito compatível.
O fundamento jurídico previsto no direito da União ou dos Estados-Membros para o tratamento dos dados pessoais pode igualmente servir de fundamento jurídico para o tratamento posterior.
A fim de apurar se a finalidade de uma nova operação de tratamento dos dados é ou não compatível com a finalidade para que os dados pessoais foram inicialmente recolhidos, o responsável pelo seu tratamento, após ter cumprido todos os requisitos para a licitude do tratamento inicial, deverá ter em atenção, entre outros aspetos, a existência de uma ligação entre a primeira finalidade e aquela a que se destina a nova operação de tratamento que se pretende efetuar, o contexto em que os dados pessoais foram recolhidos, em especial as expectativas razoáveis do titular dos dados quanto à sua posterior utilização, baseadas na sua relação com o responsável pelo tratamento; a natureza dos dados pessoais; as consequências que o posterior tratamento dos dados pode ter para o seu titular; e a existência de garantias adequadas tanto no tratamento inicial como nas outras operações de tratamento previstas.

- = -

(52) As derrogações à proibição de tratamento de categorias especiais de dados pessoais deverão ser igualmente permitidas quando estiverem previstas no direito da União ou dos Estados-Membros esujeitas a salvaguardas adequadas, de forma a proteger os dados pessoais e outros direitos fundamentais, casotal seja do interesse público, nomeadamente o tratamento de dados pessoais em matéria de direito laboral, de direito de proteção social, incluindo as pensões, e para fins de segurança, monitorização e alerta em matéria de saúde, prevenção ou controlo de doenças transmissíveis e outras ameaças graves para a saúde.
Essas derrogações poderão ser previstas por motivos sanitários, incluindo de saúde pública e de gestão de serviços de saúde, designadamente para assegurar a qualidade e a eficiência em termos de custos dos procedimentos utilizados para regularizar os pedidos de prestações sociais e de serviços no quadro do regime de seguro de saúde, ou para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos.
Uma derrogação deverá também permitir o tratamento desses dados pessoais quando tal for necessário à declaração, ao exercício ou à defesa de um direito, independentemente de se tratar de um processo judicial ou de um processo administrativo ou extrajudicial.

- = -

(54) O tratamento de categorias especiais de dados pessoais pode ser necessário por razões de interesse público nos domínios da saúde pública, sem o consentimento do titular dos dados.
Esse tratamento deverá ser objeto de medidas adequadas e específicas, a fim de defender os direitos e liberdades das pessoas singulares.
Neste contexto, a noção de «saúde pública» deverá ser interpretada segundo a definição constante do Regulamento (CE) n.o 1338/2008 do Parlamento Europeu e do Conselho (11), ou seja, todos os elementos relacionados com a saúde, a saber, o estado de saúde, incluindo a morbilidade e a incapacidade, as determinantes desse estado de saúde, as necessidades de cuidados de saúde, os recursos atribuídos aos cuidados de saúde, a prestação de cuidados de saúde e o acesso universal aos mesmos, assim como as despesas e o financiamento dos cuidados de saúde, e as causas de mortalidade.
Tais atividades de tratamento de dados sobre a saúde autorizadas por motivos de interesse público não deverão ter por resultado que os dados sejam tratados para outros fins por terceiros, como os empregadores ou as companhias de seguros e entidades bancárias.

- = -

(68) Para reforçar o controlo sobre os seus próprios dados, sempre que o tratamento de dados pessoais for automatizado, o titular dos dados deverá ser autorizado a receber os dados pessoais que lhe digam respeito, que tenha fornecido a um responsável pelo tratamento num formato estruturado, de uso corrente, de leitura automática e interoperável, e a transmiti-los a outro responsável.
Os responsáveis pelo tratamento de dados deverão ser encorajados a desenvolver formatos interoperáveis que permitam a portabilidade dos dados.
Esse direito deverá aplicar-se também se o titular dos dados tiver fornecido os dados pessoais com base no seu consentimento ou se o tratamento for necessário para o cumprimento de um contrato.
Não deverá ser aplicável se o tratamento se basear num fundamento jurídico que não seja o consentimento ou um contrato.
Por natureza própria, esse direito não deverá ser exercido em relação aos responsáveis pelo tratamento que tratem dados pessoais na prossecução das suas atribuições públicas.
Por conseguinte, esse direito não deverá ser aplicável quando o tratamento de dados pessoais for necessário para o cumprimento de uma obrigação jurídica à qual o responsável esteja sujeito, para o exercício de atribuições de interesse público ou para o exercício da autoridade pública de que esteja investido o responsável pelo tratamento.
O direito do titular dos dados a transmitir ou receber dados pessoais que lhe digam respeito não deverá implicar para os responsáveis pelo tratamento a obrigação de adotar ou manter sistemas de tratamento que sejam tecnicamente compatíveis.
Quando um determinado conjunto de dados pessoais disser respeito a mais de um titular, o direito de receber os dados pessoais não deverá prejudicar os direitos e liberdades de outros titulares de dados nos termos do presente regulamento.
Além disso, esse direito também não deverá prejudicar o direito dos titulares dos dados a obter o apagamento dos dados pessoais nem as restrições a esse direito estabelecidas no presente regulamento e, nomeadamente, não deverá implicar o apagamento dos dados pessoais relativos ao titular que este tenha fornecido para execução de um contrato, na medida em que e enquanto os dados pessoais forem necessários para a execução do referido contrato.
Sempre que seja tecnicamente possível, o titular dos dados deverá ter o direito a que os dados pessoais sejam transmitidos diretamente entre os responsáveis pelo tratamento.

- = -

(73) O direito da União ou dos Estados-Membros podem impor restrições relativas a princípios específicos e aos direitos de informação, acesso e retificação ou apagamento de dados pessoais e ao direito à portabilidade dos dados, ao direito de oposição, às decisões baseadas na definição de perfis, bem como à comunicação de uma violação de dados pessoais ao titular dos dados, e a determinadas obrigações conexas dos responsáveis pelo tratamento, na medida em que sejam necessárias e proporcionadas numa sociedade democrática para garantir a segurança pública, incluindo a proteção da vida humana, especialmente em resposta a catástrofes naturais ou provocadas pelo homem, para a prevenção, a investigação e a repressão de infrações penais ou a execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública ou violações da deontologia de profissões regulamentadas, para outros objetivos importantes de interesse público geral da União ou de um Estado-Membro, nomeadamente um interesse económico ou financeiro importante da União ou de um Estado-Membro, para a conservação de registos públicos por motivos de interesse público geral, para posterior tratamento de dados pessoais arquivados para a prestação de informações específicas relacionadas com o comportamento político no âmbito de antigos regimes totalitários ou para efeitos de defesa do titular dos dados ou dos direitos e liberdades de terceiros, incluindo a proteção social, a saúde pública e os fins humanitários.
Essas restrições deverão respeitar as exigências estabelecidas na Carta e na Convenção Europeia para a Proteção dos Direitos do Homem e das Liberdades Fundamentais.

- = -

(75) O risco para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, poderá resultar de operações de tratamento de dados pessoais suscetíveis de causar danos físicos, materiais ou imateriais, em especial quando o tratamento possa dar origem à discriminação, à usurpação ou roubo da identidade, a perdas financeiras, prejuízos para a reputação, perdas de confidencialidade de dados pessoais protegidos por sigilo profissional, à inversão não autorizada da pseudonimização, ou a quaisquer outros prejuízos importantes de natureza económica ou social; quando os titulares dos dados possam ficar privados dos seus direitos e liberdades ou impedidos do exercício do controlo sobre os respetivos dados pessoais; quando forem tratados dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas e a filiação sindical, bem como dados genéticos ou dados relativos à saúde ou à vida sexual ou a condenações penais e infrações ou medidas de segurança conexas; quando forem avaliados aspetos de natureza pessoal, em particular análises ou previsões de aspetos que digam respeito ao desempenho no trabalho, à situação económica, à saúde, às preferências ou interesses pessoais, à fiabilidade ou comportamento e à localização ou às deslocações das pessoas, a fim de definir ou fazer uso de perfis; quando forem tratados dados relativos a pessoas singulares vulneráveis, em particular crianças; ou quando o tratamento incidir sobre uma grande quantidade de dados pessoais e afetar um grande número de titulares de dados.

- = -

(79) A defesa dos direitos e liberdades dos titulares dos dados, bem como a responsabilidade dos responsáveis pelo seu tratamento e dos subcontratantes, incluindo no que diz respeito à supervisão e às medidas adotadas pelas autoridades de controlo, exigem uma clara repartição das responsabilidades nos termos do presente regulamento, nomeadamente quando o responsável pelo tratamento determina as finalidades e os meios do tratamento conjuntamente com outros responsáveis, ou quando uma operação de tratamento de dados é efetuada por conta de um responsável pelo tratamento.

- = -

(99) Durante o processo de elaboração de um código de conduta, ou na sua alteração ou aditamento, as associações e outros organismos representantes de categorias de responsáveis pelo tratamento ou de subcontratantes deverão consultar as partes interessadas, nomeadamente os titulares dos dados, se possível, e ter em conta os contributos recebidos e as opiniões expressas em resposta a essas consultas.

- = -

(101) A circulação de dados pessoais, com origem e destino quer a países não pertencentes à União quer a organizações internacionais, é necessária ao desenvolvimento do comércio e da cooperação internacionais.
O aumento dessa circulação criou novos desafios e novas preocupações em relação à proteção dos dados pessoais.
Todavia, quando os dados pessoais são transferidos da União para responsáveis pelo tratamento, para subcontratantes ou para outros destinatários em países terceiros ou para organizações internacionais, o nível de proteção das pessoas singulares assegurado na União pelo presente regulamento deverá continuar a ser garantido, inclusive nos casos de posterior transferência de dados pessoais do país terceiro ou da organização internacional em causa para responsáveis pelo tratamento, subcontratantes desse país terceiro ou de outro, ou para uma organização internacional.
Em todo o caso, as transferências para países terceiros e organizações internacionais só podem ser efetuadas no pleno respeito pelo presente regulamento.
Só poderão ser realizadas transferências se, sob reserva das demais disposições do presente regulamento, as condições constantes das disposições do presente regulamento relativas a transferências de dados pessoais para países terceiros e organizações internacionais forem cumpridas pelo responsável pelo tratamento ou subcontratante.

- = -

(106) A Comissão deverá controlar a eficácia das decisões sobre o nível de proteção assegurado num país terceiro, num território ou num setor específico de um país terceiro, ou numa organização internacional, e acompanhar a eficácia das decisões adotadas com base no artigo 25.o, n.o 6, ou no artigo 26.o, n.o 4, da Diretiva 95/46/CE.
Nas suas decisões de adequação, a Comissão deverá prever um procedimento de avaliação periódica da aplicação destas.
Essa revisão periódica deverá ser feita em consulta com o país terceiro ou a organização internacional em questão e ter em conta todos os desenvolvimentos pertinentes verificados no país terceiro ou organização internacional.
Para efeitos de controlo e de realização das revisões periódicas, a Comissão deverá ter em consideração os pontos de vista e as conclusões a que tenham chegado o Parlamento Europeu e o Conselho, bem como outros organismos e fontes pertinentes.
A Comissão deverá avaliar, num prazo razoável, a eficácia destas últimas decisões e comunicar quaisquer resultados pertinentes ao comité na aceção do Regulamento (UE) n.o 182/2011 do Parlamento Europeu e do Conselho (12), tal como estabelecido no presente regulamento, ao Parlamento Europeu e ao Conselho.

- = -

(113) As transferências que possam ser classificadas como não repetitivas e que apenas digam respeito a um número limitado de titulares de dados podem igualmente ser admitidas para efeitos dos interesses legítimos imperiosos visados pelo responsável pelo tratamento, desde que a tais interesses não se sobreponham os interesses ou os direitos e liberdades do titular dos dados e desde que o responsável pelo tratamento destes tenha avaliado todas as circunstâncias associadas à operação de transferência.
O responsável pelo tratamento deverá atender especialmente à natureza dos dados pessoais, à finalidade e à duração da operação ou operações de tratamento previstas, bem como à situação vigente no país de origem, no país terceiro e no país de destino final, e deverá apresentar as garantias adequadas para defender os direitos e liberdades fundamentais das pessoas singulares relativamente ao tratamento dos seus dados pessoais.
Tais transferências só deverão ser possíveis em raros casos em que não se aplique nenhum dos outros motivos de transferência.
Para fins de investigação científica ou histórica ou fins estatísticos, deverão ser tidas em consideração as expectativas legítimas da sociedade em matéria de avanço do conhecimento.
O responsável pelo tratamento deverá informar da transferência a autoridade de controlo e o titular dos dados.

- = -

(115) Alguns países terceiros aprovam leis, regulamentos e outros atos normativos destinados a regular diretamente as atividades de tratamento pelas pessoas singulares e coletivas sob a jurisdição dos Estados-Membros.
Pode ser o caso de sentenças de órgãos jurisdicionais ou de decisões de autoridades administrativas de países terceiros que exijam que o responsável pelo tratamento ou subcontratante transfira ou divulgue dados pessoais sem fundamento em nenhum acordo internacional, como seja um acordo de assistência judiciária mútua, em vigor entre o país terceiro em causa e a União ou um dos Estados-Membros.
Em virtude da sua aplicabilidade extraterritorial, essas leis, regulamentos e outros atos normativos podem violar o direito internacional e obstar à realização do objetivo de proteção das pessoas singulares, assegurado na União Europeia pelo presente regulamento.
As transferências só deverão ser autorizadas quando estejam preenchidas as condições estabelecidas pelo presente regulamento para as transferências para os países terceiros.
Pode ser esse o caso, nomeadamente, sempre que a divulgação for necessária por um motivo importante de interesse público, reconhecido pelo direito da União ou dos Estados-Membros ao qual o responsável pelo tratamento está sujeito.

- = -

(131) Nos casos em que as funções de autoridade principal de controlo devessem ser exercidas por outra autoridade de controlo relativamente às atividades de tratamento do responsável pelo tratamento ou do subcontratante, mas em que o conteúdo concreto da reclamação ou a eventual violação diga respeito apenas às atividades de tratamento do responsável ou do subcontratante realizadas no Estado-Membro onde tenha sido apresentada a reclamação ou detetada a eventual infração, e o assunto não afete nem seja suscetível de afetar substancialmente titulares de dados noutros Estados-Membros, a autoridade de controlo que recebe uma reclamação, deteta ou é de outro modo informada de situações que impliquem eventuais violações do presente regulamento deverá procurar obter um acordo amigável.
Se tal não lhe for possível, deverá exercer todos os poderes de que dispõe.
Deverão ficar abrangidas: as atividades de tratamento específicas realizadas no território do Estado-Membro da autoridade de controlo ou que digam respeito a titulares de dados em território desse Estado-Membro; as atividades de tratamento realizadas no contexto de uma oferta de bens ou serviços destinados especificamente a titulares de dados no território do Estado-Membro da autoridade de controlo; ou as atividades de tratamento que tenham de ser analisadas tomando em consideração as obrigações legais aplicáveis ao abrigo do direito do Estado-Membro.

- = -

(138) A aplicação desse procedimento deverá ser condição de legalidade das medidas tomadas pelas autoridades de controlo que visem produzir efeitos legais nos casos em que a sua aplicação seja obrigatória.
Noutros casos com dimensão transfronteiras, deverá ser aplicado o procedimento de cooperação entre a autoridade de controlo principal e as autoridades de controlo interessadas e a assistência mútua e as operações conjuntas poderão ser realizadas entre as autoridades de controlo interessadas, bilateral ou multilateralmente, sem desencadear o procedimento de controlo da coerência.

- = -

(141) Os titulares dos dados deverão ter direito a apresentar reclamação a uma única autoridade de controlo única, particularmente no Estado-Membro da sua residência habitual, e direito a uma ação judicial efetiva, nos termos do artigo 47.o da Carta, se considerarem que os direitos que lhes são conferidos pelo presente regulamento foram violados ou se a autoridade de controlo não responder a uma reclamação, a recusar ou rejeitar, total ou parcialmente, ou não tomar as iniciativas necessárias para proteger os seus direitos.
A investigação decorrente de uma reclamação deverá ser realizada, sob reserva de controlo jursidicional, na medida adequada ao caso específico.
A autoridade de controlo deverá informar o titular dos dados do andamento e do resultado da reclamação num prazo razoável.
Se o caso exigir maior investigação ou a coordenação com outra autoridade de controlo, deverão ser comunicadas informações intermédias ao titular dos dados.
As autoridades de controlo deverão tomar medidas para facilitar a apresentação de reclamações, nomeadamente fornecendo formulários de reclamação que possam também ser preenchidos eletronicamente, sem excluir outros meios de comunicação.

- = -

(146) O responsável pelo tratamento ou o subcontratante deverão reparar quaisquer danos de que alguém possa ser vítima em virtude de um tratamento que viole o presente regulamentoresponsável pelo tratamento.
O responsável pelo tratamento ou o subcontratante pode ser exonerado da responsabilidade se provar que o facto que causou o dano não lhe é de modo algum imputável.
O conceito de dano deverá ser interpretado em sentido lato à luz da jurisprudência do Tribunal de Justiça, de uma forma que reflita plenamente os objetivos do presente regulamento.
Tal não prejudica os pedidos de indemnização por danos provocados pela violação de outras regras do direito da União ou dos Estados-Membros.
Os tratamentos que violem o presente regulamentoabrangem igualmente os que violem os atos delegados e de execução adotados nos termos do presente regulamento e o direito dos Estados-Membros que dê execução a regras do presente regulamento.
Os titulares dos dados deverão ser integral e efetivamente indemnizados pelos danos que tenham sofrido.
Sempre que os responsáveis pelo tratamento ou os subcontratantes estiverem envolvidos no mesmo tratamento, cada um deles deverá ser responsabilizado pela totalidade dos danos causados.
Porém, se os processos forem associados a um mesmo processo judicial, em conformidade com o direito dos Estados-Membros, a indemnização poderá ser repartida em função da responsabilidade que caiba a cada responsável pelo tratamento ou subcontratante pelos danos causados em virtude do tratamento efetuado, na condição de ficar assegurada a indemnização integral e efetiva do titular dos dados pelos danos que tenha sofrido.
Qualquer responsável pelo tratamento ou subcontratante que tenha pago uma indemnização integral, pode posteriormente intentar uma ação de regresso contra outros responsáveis pelo tratamento ou subcontratantes envolvidos no mesmo tratamento.

- = -

(148) A fim de reforçar a execução das regras do presente regulamento, deverão ser impostas sanções, incluindo coimas, por violação do presente regulamento, para além, ou em substituição, das medidas adequadas que venham a ser impostas pela autoridade de controlo nos termos do presente regulamento.
Em caso de infração menor, ou se o montante da coima suscetível de ser imposta constituir um encargo desproporcionado para uma pessoa singular, pode ser feita uma repreensão em vez de ser aplicada uma coima.
Importa, porém, ter em devida conta a natureza, gravidade e duração da infração, o seu caráter doloso, as medidas tomadas para atenuar os danos sofridos, o grau de responsabilidade ou eventuais infrações anteriores, a via pela qual a infração chegou ao conhecimento da autoridade de controlo, o cumprimento das medidas ordenadas contra o responsável pelo tratamento ou subcontratante,o cumprimento de um código de conduta ou quaisquer outros fatores agravantes ou atenuantes.
A imposição de sanções, incluindo coimas, deverá estar sujeita às garantias processuais adequadas em conformidade com os princípios gerais do direito da União e a Carta, incluindo a proteção jurídica eficaz e um processo equitativo.

- = -

(150) A fim de reforçar e harmonizar as sanções administrativas para violações sdo presente regulamento, as autoridades de controlo deverão ter competência para impor coimas.
O presente regulamento deverá definir as violações e o montante máximo e o critério de fixação do valor das coimas daí decorrentes, que deverá ser determinado pela autoridade de controlo competente, em cada caso individual, tendo em conta todas as circunstâncias relevantes da situação específica, ponderando devidamente, em particular, a natureza, a gravidade e a duração da violação e das suas consequências e as medidas tomadas para garantir o cumprimento das obrigações constantes do presente regulamento e para prevenir ou atenuar as consequências da infração.
Sempre que forem impostas coimas a empresas, estas deverão ser entendidas como empresas nos termos dos artigos 101.o e 102.o do TFUE para esse efeito.
Sempre que forem impostas coimas a pessoas que não sejam empresas, a autoridade de supervisão deverá ter em conta o nível geral de rendimentos no Estado-Membro, bem como a situação económica da pessoa em questão, no momento de estabelecer o montante adequado da coima.
O procedimento de controlo da coerência pode ser utilizado igualmente para a promoção de uma aplicação coerente das coimas.
Deverá caber aos Estados-Membros determinar se as autoridades públicas deverão estar sujeitas a coimas, e em que medida.
A imposição de uma coima ou o envio de um aviso não afetam o exercício de outros poderes das autoridades de controlo ou a aplicação de outras sanções previstas no presente regulamento.

- = -

(152) Sempre que o presente regulamento não harmonize sanções administrativas, ou se necessário noutros casos, por exemplo, em caso de infrações graves às disposições do presente regulamento, os Estados-Membros deverão criar um sistema que preveja sanções efetivas, proporcionadas e dissuasivas.
A natureza das sanções, penal ou administrativa, deverá ser determinada pelo direito do Estado-Membro.

- = -

(154) O presente regulamento permite tomar em consideração o princípio do direito de acesso do público aos documentos oficiais na aplicação do mesmo.
O acesso do público aos documentos oficiais pode ser considerado de interesse público.
Os dados pessoais que constem de documentos na posse dessas autoridades públicas ou organismos públicos deverão poder ser divulgados publicamente por tais autoridades ou organismos, se a divulgação estiver prevista no direito da União ou do Estado-Membro que lhes for aplicável.
Essas legislações deverão conciliar o acesso do público aos documentos oficiais e a reutilização da informação do setor público com o direito à proteção dos dados pessoais e podem pois prever a necessária conciliação com esse mesmo direito nos termos do presente regulamento.
A referência a autoridades e organismos públicos deverá incluir, nesse contexto, todas as autoridades ou outros organismos abrangidos pelo direito do Estado-Membro relativo ao acesso do público aos documentos.
A Diretiva 2033/98/CE do Parlamento Europeu e do Conselho (14) não modifica nem de modo algum afeta o nível de proteção das pessoas singulares relativamente ao tratamento de dados pessoais nos termos das disposições do direito da União ou do Estado-Membro, nem altera, em particular, as obrigações e direitos estabelecidos no presente regulamento.
Em particular, a referida diretiva não deverá ser aplicável a documentos não acessíveis ou de acesso restrito por força dos regimes de acesso por motivos de proteção de dados pessoais nem a partes de documentos acessíveis por força desses regimes que contenham dados pessoais cuja reutilização tenha sido prevista na lei como incompatível com o direito relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais.

- = -

dal 2004 diritto e informatica