interactive GDPR 2016/0679 PT

1. O presente regulamento aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados.

2. O presente regulamento não se aplica ao tratamento de dados pessoais:

a)	Efetuado no exercício de atividades não sujeitas à aplicação do direito da União:

b)	Efetuado pelos Estados-Membros no exercício de atividades abrangidas pelo âmbito de aplicação do título V, capítulo 2, do TUE;

c)	Efetuado por uma pessoa singular no exercício de atividades exclusivamente pessoais ou domésticas;

d)	Efetuado pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou da execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública.

3. O Regulamento (CE) n.o 45/2001 aplica-se ao tratamento de dados pessoais pelas instituições, órgãos, organismos ou agências da União. O Regulamento (CE) n.o 45/2001, bem como outros atos jurídicos da União aplicáveis ao tratamento de dados pessoais, são adaptados aos princípios e regras do presente regulamento nos termos previstos no artigo 98.o.

4. O presente regulamento não prejudica a aplicação da Diretiva 2000/31/CE, nomeadamente as normas em matéria de responsabilidade dos prestadores intermediários de serviços previstas nos seus artigos 12.o a 15.o.

Artigo 8.o

Condições aplicáveis ao consentimento de crianças em relação aos serviços da sociedade da informação

1. Quando for aplicável o artigo 6.o, n.o 1, alínea a), no que respeita à oferta direta de serviços da sociedade da informação às crianças, dos dados pessoais de crianças é lícito se elas tiverem pelo menos 16 anos. Caso a criança tenha menos de 16 anos, o tratamento só é lícito se e na medida em que o consentimento seja dado ou autorizado pelos titulares das responsabilidades parentais da criança.

Os Estados-Membros podem dispor no seu direito uma idade inferior para os efeitos referidos, desde que essa idade não seja inferior a 13 anos.

2. Nesses casos, o responsável pelo tratamento envida todos os esforços adequados para verificar que o consentimento foi dado ou autorizado pelo titular das responsabilidades parentais da criança, tendo em conta a tecnologia disponível.

3. O disposto no n.o 1 não afeta o direito contratual geral dos Estados-Membros, como as disposições que regulam a validade, a formação ou os efeitos de um contrato em relação a uma criança.

Artigo 12.o

Transparência das informações, das comunicações e das regras para exercício dos direitos dos titulares dos dados

1. O responsável pelo tratamento toma as medidas adequadas para fornecer ao titular as informações a que se referem os artigos 13.o e 14.o e qualquer comunicação prevista nos artigos 15.o a 22.o e 34.o a respeito do tratamento, de forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples, em especial quando as informações são dirigidas especificamente a crianças. As informações são prestadas por escrito ou por outros meios, incluindo, se for caso disso, por meios eletrónicos. Se o titular dos dados o solicitar, a informação pode ser prestada oralmente, desde que a identidade do titular seja comprovada por outros meios.

2. O responsável pelo tratamento facilita o exercício dos direitos do titular dos dados nos termos dos artigos 15.o a 22.o. Nos casos a que se refere o artigo 11.o, n.o 2, o responsável pelo tratamento não pode recusar-se a dar seguimento ao pedido do titular no sentido de exercer os seus direitos ao abrigo dos artigos 15.o a 22.o, exceto se demonstrar que não está em condições de identificar o titular dos dados.

3. O responsável pelo tratamento fornece ao titular as informações sobre as medidas tomadas, mediante pedido apresentado nos termos dos artigos 15.o a 20.o, sem demora injustificada e no prazo de um mês a contar da data de receção do pedido. Esse prazo pode ser prorrogado até dois meses, quando for necessário, tendo em conta a complexidade do pedido e o número de pedidos. O responsável pelo tratamento informa o titular dos dados de alguma prorrogação e dos motivos da demora no prazo de um mês a contar da data de receção do pedido. Se o titular dos dados apresentar o pedido por meios eletrónicos, a informação é, sempre que possível, fornecida por meios eletrónicos, salvo pedido em contrário do titular.

4. Se o responsável pelo tratamento não der seguimento ao pedido apresentado pelo titular dos dados, informa-o sem demora e, o mais tardar, no prazo de um mês a contar da data de receção do pedido, das razões que o levaram a não tomar medidas e da possibilidade de apresentar reclamação a uma autoridade de controlo e intentar ação judicial.

5. As informações fornecidas nos termos dos artigos 13.o e 14.o e quaisquer comunicações e medidas tomadas nos termos dos artigos 15.o a 22.o e 34.o são fornecidas a título gratuito. Se os pedidos apresentados por um titular de dados forem manifestamente infundados ou excessivos, nomeadamente devido ao seu caráter repetitivo, o responsável pelo tratamento pode:

a)	Exigir o pagamento de uma taxa razoável tendo em conta os custos administrativos do fornecimento das informações ou da comunicação, ou de tomada das medidas solicitadas; ou

b)	Recusar-se a dar seguimento ao pedido.

Cabe ao responsável pelo tratamento demonstrar o caráter manifestamente infundado ou excessivo do pedido.

6. Sem prejuízo do artigo 11.o, quando o responsável pelo tratamento tiver dúvidas razoáveis quanto à identidade da pessoa singular que apresenta o pedido a que se referem os artigos 15.o a 21.o, pode solicitar que lhe sejam fornecidas as informações adicionais que forem necessárias para confirmar a identidade do titular dos dados.

7. As informações a fornecer pelos titulares dos dados nos termos dos artigos 13.o e 14.o podem ser dadas em combinação com ícones normalizados a fim de dar, de uma forma facilmente visível, inteligível e claramente legível, uma perspetiva geral significativa do tratamento previsto. Se forem apresentados por via eletrónica, os ícones devem ser de leitura automática.

8. A Comissão fica habilitada a adotar atos delegados nos termos do artigo 92.o, a fim de determinar quais as informações a fornecer por meio dos ícones e os procedimentos aplicáveis ao fornecimento de ícones normalizados.

Secção 2

Informação e acesso aos dados pessoais

Artigo 35.o

Avaliação de impacto sobre a proteção de dados

1. Quando um certo tipo de tratamento, em particular que utilize novas tecnologias e tendo em conta a sua natureza, âmbito, contexto e finalidades, for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento procede, antes de iniciar o tratamento, a uma avaliação de impacto das operações de tratamento previstas sobre a proteção de dados pessoais. Se um conjunto de operações de tratamento que apresentar riscos elevados semelhantes, pode ser analisado numa única avaliação.

2. Ao efetuar uma avaliação de impacto sobre a proteção de dados, o responsável pelo tratamento solicita o parecer do encarregado da proteção de dados, nos casos em que este tenha sido designado.

3. A realização de uma avaliação de impacto sobre a proteção de dados a que se refere o n.o 1 é obrigatória nomeadamente em caso de:

Avaliação sistemática e completa dos aspetos pessoais relacionados com pessoas singulares, baseada no tratamento automatizado, incluindo a definição de perfis, sendo com base nela adotadas decisões que produzem efeitos jurídicos relativamente à pessoa singular ou que a afetem significativamente de forma similar;

b)	Operações de tratamento em grande escala de categorias especiais de dados a que se refere o artigo 9.o, n.o 1, ou de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10.o; ou

c)	Controlo sistemático de zonas acessíveis ao público em grande escala.

4. A autoridade de controlo elabora e torna pública uma lista dos tipos de operações de tratamento sujeitos ao requisito de avaliação de impacto sobre a proteção de dados por força do n.o 1. A autoridade de controlo comunica essas listas ao Comité referido no artigo 68.o.

5. A autoridade de controlo pode também elaborar e tornar pública uma lista dos tipos de operações de tratamento em relação aos quais não é obrigatória uma análise de impacto sobre a proteção de dados. A autoridade de controlo comunica essas listas ao Comité.

6. Antes de adotar as listas a que se referem os n.os 4 e 5, a autoridade de controlo competente aplica o procedimento de controlo da coerência referido no artigo 63.o sempre que essas listas enunciem atividades de tratamento relacionadas com a oferta de bens ou serviços a titulares de dados ou com o controlo do seu comportamento em diversos Estados-Membros, ou possam afetar substancialmente a livre circulação de dados pessoais na União.

7. A avaliação inclui, pelo menos:

a)	Uma descrição sistemática das operações de tratamento previstas e a finalidade do tratamento, inclusive, se for caso disso, os interesses legítimos do responsável pelo tratamento;

b)	Uma avaliação da necessidade e proporcionalidade das operações de tratamento em relação aos objetivos;

c)	Uma avaliação dos riscos para os direitos e liberdades dos titulares dos direitos a que se refere o n.o 1; e

As medidas previstas para fazer face aos riscos, incluindo as garantias, medidas de segurança e procedimentos destinados a assegurar a proteção dos dados pessoais e a demonstrar a conformidade com o presente regulamento, tendo em conta os direitos e os legítimos interesses dos titulares dos dados e de outras pessoas em causa.

8. Ao avaliar o impacto das operações de tratamento efetuadas pelos responsáveis pelo tratamento ou pelos subcontratantes, em especial para efeitos de uma avaliação de impacto sobre a proteção de dados, é tido na devida conta o cumprimento dos códigos de conduta aprovados a que se refere o artigo 40.o por parte desses responsáveis ou subcontratantes.

9. Se for adequado, o responsável pelo tratamento solicita a opinião dos titulares de dados ou dos seus representantes sobre o tratamento previsto, sem prejuízo da defesa dos interesses comerciais ou públicos ou da segurança das operações de tratamento.

10. Se o tratamento efetuado por força do artigo 6.o, n.o 1, alínea c) ou e), tiver por fundamento jurídico o direito da União ou do Estado-Membro a que o responsável pelo tratamento está sujeito, e esse direito regular a operação ou as operações de tratamento específicas em questão, e se já tiver sido realizada uma avaliação de impacto sobre a proteção de dados no âmbito de uma avaliação de impacto geral no contexto da adoção desse fundamento jurídico, não são aplicáveis os n.os 1 a 7, salvo se os Estados-Membros considerarem necessário proceder a essa avaliação antes das atividades de tratamento.

11. Se necessário, o responsável pelo tratamento procede a um controlo para avaliar se o tratamento é realizado em conformidade com a avaliação de impacto sobre a proteção de dados, pelo menos quando haja uma alteração dos riscos que as operações de tratamento representam.

Artigo 40.o

Códigos de conduta

1. Os Estados-Membros, as autoridades de controlo, o Comité e a Comissão promovem a elaboração de códigos de conduta destinados a contribuir para a correta aplicação do presente regulamento, tendo em conta as características dos diferentes setores de tratamento e as necessidades específicas das micro, pequenas e médias empresas.

2. As associações e outros organismos representantes de categorias de responsáveis pelo tratamento ou de subcontratantes podem elaborar códigos de conduta, alterar ou aditar a esses códigos, a fim de especificar a aplicação do presente regulamento, como por exemplo:

a)	O tratamento equitativo e transparente;

b)	Os legítimos interesses dos responsáveis pelo tratamento em contextos específicos;

c)	A recolha de dados pessoais;

d)	A pseudonimização dos dados pessoais;

e)	A informação prestada ao público e aos titulares dos dados;

f)	O exercício dos direitos dos titulares dos dados;

g)	As informações prestadas às crianças e a sua proteção, e o modo pelo qual o consentimento do titular das responsabilidades parentais da criança deve ser obtido;

h)	As medidas e procedimentos a que se referem os artigos 24.o e 25.o e as medidas destinadas a garantir a segurança do tratamento referidas no artigo 30.o;

i)	A notificação de violações de dados pessoais às autoridades de controlo e a comunicação dessas violações de dados pessoais aos titulares dos dados;

j)	A transferência de dados pessoais para países terceiros ou organizações internacionais; ou

k)	As ações extrajudiciais e outros procedimentos de resolução de litígios entre os responsáveis pelo tratamento e os titulares dos dados em relação ao tratamento, sem prejuízo dos direitos dos titulares dos dados nos termos dos artigos 77.o e 79.o.

3. Além dos responsáveis pelo tratamento ou dos subcontratantes sujeitos ao presente regulamento, também os responsáveis pelo tratamento ou subcontratantes que não estão sujeitos ao presente regulamento por força do artigo 3.o podem cumprir códigos de conduta aprovados em conformidade com o n.o 5 do presente artigo e de aplicabilidade geral por força do n.o 9 do presente artigo, de modo a fornecer garantias apropriadas no quadro das transferências dos dados pessoais para países terceiros ou organizações internacionais nos termos referidos no artigo 46.o, n.o 2, alínea e). Os responsáveis pelo tratamento ou os subcontratantes assumem compromissos vinculativos e com força executiva, por meio de instrumentos contratuais ou de outros instrumentos juridicamente vinculativos, no sentido de aplicar as garantias apropriadas, inclusivamente em relação aos direitos dos titulares dos dados.

4. Os códigos de conduta referidos no n.o 2 do presente artigo devem prever procedimentos que permitam ao organismo referido no artigo 41.o, n.o 1, efetuar a supervisão obrigatória do cumprimento das suas disposições por parte dos responsáveis pelo tratamento ou subcontratantes que se comprometam a aplicá-lo, sem prejuízo das funções e competências das autoridades de controlo competentes por força do artigo 55.o ou 56.o.

5. As associações e outros organismos a que se refere o n.o 2 do presente artigo que tencionem elaborar um código de conduta, ou alterar ou aditar a um código existente, apresentam o projeto de código, a alteração ou o aditamento à autoridade de controlo que é competente por força do artigo 55.o. A autoridade de controlo emite um parecer sobre a conformidade do projeto de código de conduta ou da alteração ou do aditamento com o presente regulamento e aprova este projeto, esta alteração ou este aditamento se determinar que são previstas garantias apropriadas suficientes.

6. Se o código de conduta, ou a alteração ou o aditamento for aprovado nos termos do n.o 5, e se o código de conduta em causa não estiver relacionado com atividades de tratamento realizadas em vários Estados-Membros, a autoridade de controlo regista e publica o código.

7. Se o projeto do código de conduta estiver relacionado com atividades de tratamento realizadas em vários Estados-Membros, a autoridade de controlo competente nos termos do artigo 55.o, antes da aprovação, apresenta o projeto do código, a alteração ou o aditamento, pelo procedimento referido no artigo 63.o, ao Comité, que emite um parecer sobre a conformidade do projeto de código de conduta, ou da alteração ou do aditamento, com o presente regulamento, ou, na situação referida no n.o 3 do presente artigo, sobre a previsão de garantias adequadas.

8. Se o parecer a que se refere o n.o 7 confirmar que o projeto do código de conduta, ou a alteração ou o aditamento, está conforme com o presente regulamento ou, na situação referida no n.o 3, prevê garantias adequadas, o Comité apresenta o seu parecer à Comissão.

9. A Comissão pode, através de atos de execução, decidir que os códigos de conduta aprovados, bem como as alterações ou os aditamentos, que lhe sejam apresentados nos termos do n.o 8 do presente artigo, são de aplicabilidade geral na União. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 93.o, n.o 2.

10. A Comissão assegura a publicidade adequada dos códigos aprovados que declarou, mediante decisão, serem de aplicabilidade geral em conformidade com o n.o 9.

11. O Comité recolhe todos os códigos de conduta aprovados, respetivas alterações e respetivos aditamentos num registo e disponibiliza-os ao público pelos meios adequados.

Artigo 42.o

Certificação

1. Os Estados-Membros, as autoridades de controlo, o Comité e a Comissão promovem, em especial ao nível da União, a criação de procedimentos de certificação em matéria de proteção de dados, bem como selos e marcas de proteção de dados, para efeitos de comprovação da conformidade das operações de tratamento de responsáveis pelo tratamento e subcontratantes com o presente regulamento. Serão tidas em conta as necessidades específicas das micro, pequenas e médias empresas.

2. Além do cumprimento pelos responsáveis pelo tratamento ou pelos subcontratantes sujeitos ao presente regulamento, os procedimentos de certificação em matéria de proteção de dados, bem como selos ou marcas aprovados de acordo com o n.o 5 do presente artigo também podem ser estabelecidos para efeitos de comprovação da existência de garantias adequadas fornecidas por responsáveis pelo tratamento ou por subcontratantes que não estão sujeitos ao presente regulamento por força do artigo 3.o no quadro das transferências de dados pessoais para países terceiros ou organizações internacionais nos termos referidos no artigo 46.o, n.o 2, alínea f). Os responsáveis pelo tratamento ou os subcontratantes assumem compromissos vinculativos e com força executiva, por meio de instrumentos contratuais ou de outros instrumentos juridicamente vinculativos, no sentido de aplicar as garantias adequadas, inclusivamente em relação aos direitos dos titulares dos dados.

3. A certificação é voluntária e está disponível através de um processo transparente.

4. A certificação prevista no presente artigo não diminui a responsabilidade dos responsáveis pelo tratamento e subcontratantes pelo cumprimento do presente regulamento nem prejudica as funções e competências das autoridades de controlo competentes por força do artigo 55.o ou 56.o.

5. A certificação prevista no presente artigo é emitida pelos organismos de certificação referidos no artigo 43.o ou pela autoridade de controlo competente, com base nos critérios por esta aprovados por força do artigo 58.o, n.o 3, ou pelo Comité por força do artigo 63.o. Caso os critérios sejam aprovados pelo Comité, podem ter como resultado uma certificação comum, o Selo Europeu de Proteção de Dados.

6. Os responsáveis pelo tratamento ou subcontratantes que submetem o seu tratamento ao procedimento de certificação fornecem ao organismo de certificação a que se refere o artigo 43.o, ou, consoante o caso, à autoridade de controlo competente, todo o acesso às suas atividades de tratamento e toda a informação de que haja necessidade para efetuar o procedimento de certificação.

7. A certificação é emitida aos responsáveis pelo tratamento e subcontratantes por um período máximo de três anos e pode ser renovada nas mesmas condições, desde que os requisitos aplicáveis continuem a estar reunidos. A certificação é retirada, consoante o caso, pelos organismos de certificação referidos no artigo 43.o ou pela autoridade de controlo competente, se os requisitos para a certificação não estiverem ou tiverem deixados de estar reunidos.

8. O Comité recolhe todos os procedimentos de certificação e todos os selos e marcas de proteção de dados aprovados num registo e disponibiliza-os ao público por todos os meios adequados.

Artigo 45.o

Transferências com base numa decisão de adequação

1. Pode ser realizada uma transferência de dados pessoais para um país terceiro ou uma organização internacional se a Comissão tiver decidido que o país terceiro, um território ou um ou mais setores específicos desse país terceiro, ou a organização internacional em causa, assegura um nível de proteção adequado. Esta transferência não exige autorização específica.

2. Ao avaliar a adequação do nível de proteção, a Comissão tem nomeadamente em conta os seguintes elementos:

O primado do Estado de direito, o respeito pelos direitos humanos e liberdades fundamentais, a legislação pertinente em vigor, tanto a geral como a setorial, nomeadamente em matéria de segurança pública, defesa, segurança nacional e direito penal, e respeitante ao acesso das autoridades públicas a dados pessoais, bem como a aplicação dessa legislação e das regras de proteção de dados, das regras profissionais e das medidas de segurança, incluindo as regras para a transferência ulterior de dados pessoais para outro país terceiro ou organização internacional, que são cumpridas nesse país ou por essa organização internacional, e a jurisprudência, bem como os direitos dos titulares dos dados efetivos e oponíveis, e vias de recurso administrativo e judicial para os titulares de dados cujos dados pessoais sejam objeto de transferência;

A existência e o efetivo funcionamento de uma ou mais autoridades de controlo independentes no país terceiro ou às quais esteja sujeita uma organização internacional, responsáveis por assegurar e impor o cumprimento das regras de proteção de dados, e dotadas de poderes coercitivos adequados para assistir e aconselhar os titulares dos dados no exercício dos seus direitos, e cooperar com as autoridades de controlo dos Estados-Membros; e

Os compromissos internacionais assumidos pelo país terceiro ou pela organização internacional em causa, ou outras obrigações decorrentes de convenções ou instrumentos juridicamente vinculativos, bem como da sua participação em sistemas multilaterais ou regionais, em especial em relação à proteção de dados pessoais.

3. Após avaliar a adequação do nível de proteção, a Comissão pode decidir, através de um ato de execução, que um país terceiro, um território ou um ou mais setores específicos de um país terceiro, ou uma organização internacional, garante um nível de proteção adequado na aceção do n.o 2 do presente artigo. O ato de execução prevê um procedimento de avaliação periódica, no mínimo de quatro em quatro anos, que deverá ter em conta todos os desenvolvimentos pertinentes no país terceiro ou na organização internacional. O ato de execução especifica o âmbito de aplicação territorial e setorial e, se for caso disso, identifica a autoridade ou autoridades de controlo a que se refere o n.o 2, alínea b), do presente artigo. O referido ato de execução é adotado pelo procedimento de exame a que se refere o artigo 93.o, n.o 2.

4. A Comissão controla, de forma continuada, os desenvolvimentos nos países terceiros e nas organizações internacionais que possam afetar o funcionamento das decisões adotadas nos termos do n.o 3 do presente artigo e das decisões adotadas com base no artigo 25.o, n.o 6, da Diretiva 95/46/CE.

5. A Comissão, sempre que a informação disponível revelar, nomeadamente na sequência da revisão a que se refere o n.o 3 do presente artigo, que um país terceiro, um território ou um ou mais setores específicos de um país terceiro, ou uma organização internacional, deixou de assegurar um nível de proteção adequado na aceção do n.o 2 do presente artigo, na medida do necessário, revoga, altera ou suspende a decisão referida no n.o 3 do presente artigo, através de atos de execução, sem efeitos retroativos. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 93.o, n.o 2.

Por imperativos de urgência devidamente justificados, a Comissão adota atos de execução imediatamente aplicáveis pelo procedimento a que se refere o artigo 93.o, n.o 3.

6. A Comissão inicia consultas com o país terceiro ou a organização internacional com vista a corrigir a situação que tiver dado origem à decisão tomada nos termos do n.o 5.

7. As decisões tomadas ao abrigo do n.o 5 do presente artigo não prejudicam as transferências de dados pessoais para o país terceiro, um território ou um ou mais setores específicos desse país terceiro, ou para a organização internacional em causa, nos termos dos artigos 46.o a 49.o.

8. A Comissão publica no Jornal Oficial da União Europeia e no seu sítio web uma lista dos países terceiros, territórios e setores específicos de um país terceiro e de organizações internacionais relativamente aos quais tenha declarado, mediante decisão, se asseguram ou não um nível de proteção adequado.

9. As decisões adotadas pela Comissão com base no artigo 25.o, n.o 6, da Diretiva 95/46/CE permanecem em vigor até que sejam alteradas, substituídas ou revogadas por uma decisão da Comissão adotada em conformidade com o n.o 3 ou o n.o 5 do presente artigo.

Artigo 46.o

Transferências sujeitas a garantias adequadas

1. Não tendo sido tomada qualquer decisão nos termos do artigo 45.o, n.o 3, os responsáveis pelo tratamento ou subcontratantes só podem transferir dados pessoais para um país terceiro ou uma organização internacional se tiverem apresentado garantias adequadas, e na condição de os titulares dos dados gozarem de direitos oponíveis e de medidas jurídicas corretivas eficazes.

2. Podem ser previstas as garantias adequadas referidas no n.o 1, sem requerer nenhuma autorização específica de uma autoridade de controlo, por meio de:

a)	Um instrumento juridicamente vinculativo e com força executiva entre autoridades ou organismos públicos;

b)	Regras vinculativas aplicáveis às empresas em conformidade com o artigo 47.o;

c)	Cláusulas-tipo de proteção de dados adotadas pela Comissão pelo procedimento de exame referido no artigo 93.o, n.o 2;

d)	Cláusulas-tipo de proteção de dados adotadas por uma autoridade de controlo e aprovadas pela Comissão pelo procedimento de exame referido no artigo 93.o, n.o 2;

Um código de conduta, aprovado nos termos do artigo 40.o, acompanhado de compromissos vinculativos e com força executiva assumidos pelos responsáveis pelo tratamento ou pelos subcontratantes no país terceiro no sentido de aplicarem as garantias adequadas, nomeadamente no que respeita aos direitos dos titulares dos dados; ou

Um procedimento de certificação, aprovado nos termos do artigo 42.o, acompanhado de compromissos vinculativos e com força executiva assumidos pelos responsáveis pelo tratamento ou pelos subcontratantes no país terceiro no sentido de aplicarem as garantias adequadas, nomeadamente no que respeita aos direitos dos titulares dos dados.

3. Sob reserva de autorização da autoridade de controlo competente, podem também ser previstas as garantias adequadas referidas no n.o 1, nomeadamente por meio de:

a)	Cláusulas contratuais entre os responsáveis pelo tratamento ou subcontratantes e os responsáveis pelo tratamento, subcontratantes ou destinatários dos dados pessoais no país terceiro ou organização internacional; ou

b)	Disposições a inserir nos acordos administrativos entre as autoridades ou organismos públicos que contemplem os direitos efetivos e oponíveis dos titulares dos dados.

4. A autoridade de controlo aplica o procedimento de controlo da coerência a que se refere o artigo 63.o nos casos enunciados no n.o 3 do presente artigo.

5. As autorizações concedidas por um Estado-Membro ou uma autoridade de controlo com base no artigo 26.o, n.o 2, da Diretiva 95/46/CE continuam válidas até que a mesma autoridade de controlo as altere, substitua ou revogue, caso seja necessário. As decisões adotadas pela Comissão com base no artigo 26.o, n.o 4, da Diretiva 95/46/CE permanecem em vigor até que sejam alteradas, substituídas ou revogadas, caso seja necessário, por uma decisão da Comissão adotada em conformidade com o n.o 2 do presente artigo.

Artigo 62.o

Operações conjuntas das autoridades de controlo

1. As autoridades de controlo conduzem, sempre que conveniente, operações conjuntas, incluindo investigações e medidas de execução conjuntas nas quais participem membros ou pessoal das autoridades de controlo de outros Estados-Membros.

2. Nos casos em que o responsável pelo tratamento ou o subcontratante tenha estabelecimentos em vários Estados-Membros ou nos casos em que haja um número significativo de titulares de dados em mais do que um Estado-Membro que sejam suscetíveis de ser substancialmente afetados pelas operações de tratamento, uma autoridade de controlo de cada um desses Estados-Membros tem direito a participar nas operações conjuntas. A autoridade de controlo competente nos termos do artigo 56.o, n.o 1 ou n.o 4, convida a autoridade de controlo de cada um desses Estados-Membros a participar nas operações conjuntas e responde sem demora ao pedido de um autoridade de controlo para participar.

3. As autoridades de controlo podem, nos termos do direito do seu Estado-Membro, e com a autorização da autoridade de controlo de origem, conferir poderes, nomeadamente poderes de investigação, aos membros ou ao pessoal da autoridade de controlo de origem implicados nas operações conjuntas ou, na medida em que o direito do Estado-Membro da autoridade de controlo de acolhimento o permita, autorizar os membros ou o pessoal da autoridade de controlo de origem a exercer os seus poderes de investigação nos termos do direito do Estado-Membro da autoridade de controlo de origem. Esses poderes de investigação podem ser exercidos apenas sob a orientação e na presença de membros ou pessoal da autoridade de controlo de acolhimento. Os membros ou pessoal da autoridade de controlo de origem estão sujeitos ao direito do Estado-Membro da autoridade de controlo de acolhimento.

4. Se, nos termos do n.o 1, o pessoal da autoridade de controlo de origem exercer atividades noutro Estado-Membro, o Estado-Membro da autoridade de controlo de acolhimento assume a responsabilidade pelos seus atos, incluindo a responsabilidade por quaisquer danos por ele causados no decurso de tais atividades, de acordo com o direito do Estado-Membro em cujo território atuam.

5. O Estado-Membro em cujo território forem causados os danos indemniza-os nas condições aplicáveis aos danos causados pelo seu próprio pessoal. O Estado-Membro da autoridade de controlo de origem cujo pessoal tenha causado danos a qualquer pessoa no território de outro Estado-Membro reembolsa integralmente esse outro Estado-Membro das somas que tenha pago aos seus representantes legais.

6. Sem prejuízo do exercício dos seus direitos perante terceiros e com exceção do disposto no n.o 5, cada Estado-Membro renuncia, no caso previsto no n.o 1, a solicitar a outro Estado-Membro o reembolso do montante dos danos referido no n.o 4.

7. Sempre que se tencione efetuar uma operação conjunta e uma autoridade de controlo não cumprir, no prazo de um mês, a obrigação estabelecida n.o 2, segunda frase, do presente artigo, as outras autoridades de controlo podem adotar uma medida provisória no território do respetivo Estado-Membro em conformidade com o artigo 55.o. Nesse caso, presume-se que é urgente intervir, nos termos do artigo 66.o, n.o 1, e solicitar um parecer ou uma decisão vinculativa urgente ao Comité, nos termos do artigo 66.o, n.o 2.

Secção 2

Coerência

Artigo 68.o

Comité Europeu para a Proteção de Dados

1. O Comité Europeu para a Proteção de Dados («Comité») é criado enquanto organismo da União e está dotado de personalidade jurídica.

2. O Comité é representado pelo seu presidente.

3. O Comité é composto pelo diretor de uma autoridade de controlo de cada Estado-Membro e da Autoridade Europeia para a Proteção de Dados, ou pelos respetivos representantes.

4. Quando, num determinado Estado-Membro, haja mais do que uma autoridade de controlo com responsabilidade pelo controlo da aplicação do presente regulamento, é nomeado um representante comum nos termos do direito desse Estado-Membro.

5. A Comissão tem o direito de participar nas atividades e reuniões do Comité, sem direito de voto. A Comissão designa um representante. O presidente do Comité informa a Comissão das atividades do Comité.

6. Nos casos referidos no artigo 65.o, a Autoridade Europeia para a Proteção de Dados apenas tem direito de voto nas decisões que digam respeito a princípios e normas aplicáveis às instituições, órgãos, organismos e agências da União que correspondam, em substância, às do presente regulamento.

Artigo 70.o

Atribuições do Comité

1. O Comité assegura a aplicação coerente do presente regulamento. Para o efeito, o Comité exerce, por iniciativa própria ou, nos casos pertinentes, a pedido da Comissão, as seguintes atividades:

a)	Controla e assegura a correta aplicação do presente regulamento nos casos previstos nos artigos 64.o e 65.o, sem prejuízo das funções das autoridades nacionais de controlo;

b)	Aconselha a Comissão em todas as questões relacionadas com a proteção de dados pessoais na União, nomeadamente em qualquer projeto de alteração ao presente regulamento;

c)	Aconselha a Comissão sobre o formato e os procedimentos de intercâmbio de informações entre os responsáveis pelo tratamento, os subcontratantes e as autoridades de controlo no que respeita às regras vinculativas aplicáveis às empresas;

d)	Emite diretrizes, recomendações e melhores práticas para os procedimentos de apagamento de ligações para os dados pessoais, de cópias ou reproduções desses dados existentes em serviços de comunicação acessíveis ao público, tal como previsto no artigo 17.o, n.o 2;

e)	Analisa, por iniciativa própria, a pedido de um dos seus membros da Comissão, qualquer questão relativa à aplicação do presente regulamento e emite diretrizes, recomendações e melhores práticas, a fim de incentivar a aplicação coerente do presente regulamento;

f)	Emite diretrizes, recomendações e melhores práticas nos termos da alínea e) do presente número, para definir mais concretamente os critérios e condições aplicáveis às decisões baseadas na definição de perfis, nos termos do artigo 22.o, n.o 2;

Emite diretrizes, recomendações e melhores práticas nos termos da alínea e) do presente número, para definir violações de dados pessoais e determinar a demora injustificada a que se refere o artigo 33.o, n.os 1 e 2, bem como as circunstâncias particulares em que o responsável pelo tratamento ou o subcontratante é obrigado a notificar a violação de dados pessoais;

Emite diretrizes, recomendações e melhores práticas nos termos da alínea e) do presente número, a respeito das circunstâncias em que as violações de dados pessoais são suscetíveis de resultar num risco elevado para os direitos e liberdades das pessoas singulares a que se refere o artigo 34.o, n.o 1;

Emite diretrizes, recomendações e melhores práticas nos termos da alínea e) do presente número, para definir mais concretamente os critérios e requisitos aplicáveis às transferências de dados baseadas em regras vinculativas aplicáveis às empresas aceites pelos responsáveis pelo tratamento e em regras vinculativas aplicáveis às empresas aceites pelos subcontratantes, e outros requisitos necessários para assegurar a proteção dos dados pessoais dos titulares dos dados em causa a que se refere o artigo 47.o;

j)	Emite diretrizes, recomendações e melhores práticas nos termos da alínea e) do presente número para definir mais concretamente os critérios e requisitos aplicáveis à transferência de dados efetuadas com base no artigo 49.o, n.o 1;

k)	Elabora diretrizes dirigidas às autoridades de controlo em matéria de aplicação das medidas a que se refere o artigo 58.o, n.os 1, 2 e 3, e de fixação de coimas nos termos do artigo 83.o;

l)	Examina a aplicação prática das diretrizes, recomendações e melhores práticas referidas nas alíneas e) e f);

m)	Emite diretrizes, recomendações e melhores práticas nos termos da alínea e) do presente número para definir procedimentos comuns para a comunicação por pessoas singulares de violações do presente regulamento, nos termos do artigo 54.o, n.o 2;

n)	Incentiva a elaboração de códigos de conduta e a criação de procedimentos de certificação, bem como de selos e marcas de proteção dos dados nos termos dos artigos 40.o e 42.o;

Procede à acreditação dos organismos de certificação e à respetiva revisão periódica nos termos do artigo 43.o e conserva um registo público de organismos acreditados, nos termos do artigo 43.o, n.o 6, e de responsáveis pelo tratamento ou subcontratantes acreditados, estabelecidos em países terceiros, nos termos do artigo 42.o, n.o 7;

p)	Especifica os requisitos referidos no artigo 43.o, n.o 3, para acreditação dos organismos de certificação nos termos do artigo 42.o;

q)	Dá parecer à Comissão a respeito dos requisitos de certificação a que se refere o artigo 43.o, n.o 8;

r)	Dá parecer à Comissão sobre os símbolos a que se refere o artigo 12.o, n.o 7;

Dá parecer à Comissão para a avaliação da adequação do nível de proteção num país terceiro ou organização internacional, e também para avaliar se um país terceiro, um território ou um ou mais setores específicos desse país terceiro, ou uma organização internacional, deixou de garantir um nível adequado de proteção. Para esse efeito, a Comissão fornece ao Comité toda a documentação necessária, inclusive a correspondência com o Governo do país terceiro, relativamente a esse país terceiro, território ou setor específico, ou com a organização internacional;

Emite pareceres relativos aos projetos de decisão das autoridades de controlo nos termos do procedimento de controlo da coerência referido no artigo 64.o, n.o 1, sobre os assuntos apresentados nos termos do artigo 64.o, n.o 2, e emite decisões vinculativas nos termos do artigo 65.o, incluindo nos casos referidos no artigo 66.o;

u)	Promover a cooperação e o intercâmbio bilateral e plurilateral efetivo de informações e as melhores práticas entre as autoridades de controlo;

v)	Promover programas de formação comuns e facilitar o intercâmbio de pessoal entre as autoridades de controlo, e, se necessário, com as autoridades de controlo de países terceiros ou com organizações internacionais;

w)	Promover o intercâmbio de conhecimentos e de documentação sobre as práticas e a legislação no domínio da proteção de dados com autoridades de controlo de todo o mundo;

x)	Emitir pareceres sobre os códigos de conduta elaborados a nível da União nos termos do artigo 40.o, n.o 9; e

y)	Conservar um registo eletrónico, acessível ao público, das decisões tomadas pelas autoridades de controlo e pelos tribunais sobre questões tratadas no âmbito do procedimento de controlo da coerência.

2. Quando a Comissão consultar o Comité, pode indicar um prazo para a formulação do parecer, tendo em conta a urgência do assunto.

3. O Comité dirige os seus pareceres, diretrizes e melhores práticas à Comissão e ao comité referido no artigo 93.o, e procede à sua publicação.

4. Quando for caso disso, o Comité consulta as partes interessadas e dá-lhes a oportunidade de formular observações, num prazo razoável. Sem prejuízo do artigo 76.o, o Comité torna públicos os resultados do processo de consulta.

Artigo 82.o

Direito de indemnização e responsabilidade

1. Qualquer pessoa que tenha sofrido danos materiais ou imateriais devido a uma violação do presente regulamento tem direito a receber uma indemnização do responsável pelo tratamento ou do subcontratante pelos danos sofridos.

2. Qualquer responsável pelo tratamento que esteja envolvido no tratamento é responsável pelos danos causados por um tratamento que viole o presente regulamento. O subcontratante é responsável pelos danos causados pelo tratamento apenas se não tiver cumprido as obrigações decorrentes do presente regulamento dirigidas especificamente aos subcontratantes ou se não tiver seguido as instruções lícitas do responsável pelo tratamento.

3. O responsável pelo tratamento ou o subcontratante fica isento de responsabilidade nos termos do n.o 2, se provar que não é de modo algum responsável pelo evento que deu origem aos danos.

4. Quando mais do que um responsável pelo tratamento ou subcontratante, ou um responsável pelo tratamento e um subcontratante, estejam envolvidos no mesmo tratamento e sejam, nos termos dos n.os 2 e 3, responsáveis por eventuais danos causados pelo tratamento, cada responsável pelo tratamento ou subcontratante é responsável pela totalidade dos danos, a fim de assegurar a efetiva indemnização do titular dos dados.

5. Quando tenha pago, em conformidade com o n.o 4, uma indemnização integral pelos danos sofridos, um responsável pelo tratamento ou um subcontratante tem o direito de reclamar a outros responsáveis pelo tratamento ou subcontratantes envolvidos no mesmo tratamento a parte da indemnização correspondente à respetiva parte de responsabilidade pelo dano em conformidade com as condições previstas no n.o 2.

6. Os processos judiciais para exercer o direito de receber uma indemnização são apresentados perante os tribunais competentes nos termos do direito do Estado-Membro a que se refere o artigo 79.o, n.o 2.

Artigo 83.o

Condições gerais para a aplicação de coimas

1. Cada autoridade de controlo assegura que a aplicação de coimas nos termos do presente artigo relativamente a violações do presente regulamento a que se referem os n.os 4, 5 e 6 é, em cada caso individual, efetiva, proporcionada e dissuasiva.

2. Consoante as circunstâncias de cada caso, as coimas são aplicadas para além ou em vez das medidas referidas no artigo 58.o, n.o 2, alíneas a) a h) e j). Ao decidir sobre a aplicação de uma coima e sobre o montante da coima em cada caso individual, é tido em devida consideração o seguinte:

a)	A natureza, a gravidade e a duração da infração tendo em conta a natureza, o âmbito ou o objetivo do tratamento de dados em causa, bem como o número de titulares de dados afetados e o nível de danos por eles sofridos;

b)	O caráter intencional ou negligente da infração;

c)	A iniciativa tomada pelo responsável pelo tratamento ou pelo subcontratante para atenuar os danos sofridos pelos titulares;

d)	O grau de responsabilidade do responsável pelo tratamento ou do subcontratante tendo em conta as medidas técnicas ou organizativas por eles implementadas nos termos dos artigos 25.o e 32.o;

e)	Quaisquer infrações pertinentes anteriormente cometidas pelo responsável pelo tratamento ou pelo subcontratante;

f)	O grau de cooperação com a autoridade de controlo, a fim de sanar a infração e atenuar os seus eventuais efeitos negativos;

g)	As categorias específicas de dados pessoais afetadas pela infração;

h)	A forma como a autoridade de controlo tomou conhecimento da infração, em especial se o responsável pelo tratamento ou o subcontratante a notificaram, e em caso afirmativo, em que medida o fizeram;

i)	O cumprimento das medidas a que se refere o artigo 58.o, n.o 2, caso as mesmas tenham sido previamente impostas ao responsável pelo tratamento ou ao subcontratante em causa relativamente à mesma matéria;

j)	O cumprimento de códigos de conduta aprovados nos termos do artigo 40.o ou de procedimento de certificação aprovados nos termos do artigo 42.o; e

k)	Qualquer outro fator agravante ou atenuante aplicável às circunstâncias do caso, como os benefícios financeiros obtidos ou as perdas evitadas, direta ou indiretamente, por intermédio da infração.

3. Se o responsável pelo tratamento ou o subcontratante violar, intencionalmente ou por negligência, no âmbito das mesmas operações de tratamento ou de operações ligadas entre si, várias disposições do presente regulamento, o montante total da coima não pode exceder o montante especificado para a violação mais grave.

4. A violação das disposições a seguir enumeradas está sujeita, em conformidade com o n.o 2, a coimas até 10 000 000 EUR ou, no caso de uma empresa, até 2 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado:

a)	As obrigações do responsável pelo tratamento e do subcontratante nos termos dos artigos 8.o, 11.o, 25.o a 39.o e 42.o e 43.o;

b)	As obrigações do organismo de certificação nos termos dos artigos 42.o e 43.o;

c)	As obrigações do organismo de supervisão nos termos do artigo 41.o, n.o 4;

5. A violação das disposições a seguir enumeradas está sujeita, em conformidade com o n.o 2, a coimas até 20 000 000 EUR ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado:

a)	Os princípios básicos do tratamento, incluindo as condições de consentimento, nos termos dos artigos 5.o, 6.o, 7.o e 9.o;

b)	Os direitos dos titulares dos dados nos termos dos artigos 12.o a 22.o;

c)	As transferências de dados pessoais para um destinatário num país terceiro ou uma organização internacional nos termos dos artigos 44.o a 49.o;

d)	As obrigações nos termos do direito do Estado-Membro adotado ao abrigo do capítulo IX;

e)	O incumprimento de uma ordem de limitação, temporária ou definitiva, relativa ao tratamento ou à suspensão de fluxos de dados, emitida pela autoridade de controlo nos termos do artigo 58.o, n.o 2, ou o facto de não facultar acesso, em violação do artigo 58.o, n.o 1.

6. O incumprimento de uma ordem emitida pela autoridade de controlo a que se refere o artigo 58.o, n.o 2, está sujeito, em conformidade com o n.o 2 do presente artigo, a coimas até 20 000 000 EUR ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o montante mais elevado.

7. Sem prejuízo dos poderes de correção das autoridades de controlo nos termos do artigo 58.o, n.o 2, os Estados-Membros podem prever normas que permitam determinar se e em que medida as coimas podem ser aplicadas às autoridades e organismos públicos estabelecidos no seu território.

8. O exercício das competências que lhe são atribuídas pelo presente artigo por parte da autoridade de controlo fica sujeito às garantias processuais adequadas nos termos do direito da União e dos Estados-Membros, incluindo o direito à ação judicial e a um processo equitativo.

9. Quando o sistema jurídico dos Estados-Membros não preveja coimas, pode aplicar-se o presente artigo de modo a que a coima seja proposta pela autoridade de controlo competente e imposta pelos tribunais nacionais competentes, garantindo ao mesmo tempo que estas medidas jurídicas corretivas são eficazes e têm um efeito equivalente às coimas impostas pelas autoridades de controlo. Em todo o caso, as coimas impostas devem ser efetivas, proporcionadas e dissuasivas. Os referidos Estados-Membros notificam a Comissão das disposições de direito interno que adotarem nos termos do presente número até 25 de maio de 2018 e, sem demora, de qualquer alteração subsequente das mesmas.

Artigo 90.o

Obrigações de sigilo

1. Os Estados-Membros podem adotar normas específicas para estabelecer os poderes das autoridades de controlo previstos no artigo 58.o, n.o 1, alíneas e) e f), relativamente a responsáveis pelo tratamento ou a subcontratantes sujeitos, nos termos do direito da União ou do Estado-Membro ou de normas instituídas pelos organismos nacionais competentes, a uma obrigação de sigilo profissional ou a outras obrigações de sigilo equivalentes, caso tal seja necessário e proporcionado para conciliar o direito à proteção de dados pessoais com a obrigação de sigilo. Essas normas são aplicáveis apenas no que diz respeito aos dados pessoais que o responsável pelo seu tratamento ou o subcontratante tenha recebido, ou que tenha recolhido no âmbito de uma atividade abrangida por essa obrigação de sigilo ou em resultado da mesma.

2. Os Estados-Membros notificam a Comissão das normas que adotarem nos termos do n.o 1, até 25 de maio de 2018 e, sem demora, de qualquer alteração subsequente das mesmas.

Artigo 96.o

Relação com acordos celebrados anteriormente

Os acordos internacionais celebrados pelos Estados-Membros antes de 24 de maio de 2016, que impliquem a transferência de dados pessoais para países terceiros ou organizações internacionais e que sejam conformes com o direito da União aplicável antes dessa data, permanecem em vigor até serem alterados, substituídos ou revogados.

Artigo 99.o

Entrada em vigor e aplicação

1. O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

2. O presente regulamento é aplicável a partir de 25 de maio de 2018.

O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.

Feito em Bruxelas, em 27 de abril de 2016.

Pelo Parlamento Europeu

O Presidente

M. SCHULZ

Pelo Conselho

A Presidente

J.A. HENNIS-PLASSCHAERT

(1) JO C 229 de 31.7.2012, p. 90.

(2) JO C 391 de 18.12.2012, p. 127.

(3) Posição do Parlamento Europeu de 12 de março de 2014 (ainda não publicada no Jornal Oficial) e posição do Conselho em primeira leitura de 8 de abril de 2016 (ainda não publicada no Jornal Oficial). Posição do Parlamento Europeu de 14 de abril de 2016.

(4) Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO L 281 de 23.11.1995, p. 31).

(5) Recomendação 2003/361/CE da Comissão, de 6 de maio de 2003, relativa à definição de micro, pequenas e médias empresas (JO L 124 de 20.5.2003, p. 36).

(6) Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados (JO L 8 de 12.1.2001, p. 1).

(7) Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados e que revoga a Decisão-Quadro 2008/977/JAI do Conselho (ver página 89 do presente Jornal Oficial).

(8) Diretiva 2000/31/CE do Parlamento Europeu e do Conselho, de 8 de junho de 2000, relativa a certos aspetos legais dos serviços da sociedade de informação, em especial do comércio eletrónico, no mercado interno («Diretiva sobre o comércio eletrónico») (JO L 178 de 17.7.2000, p. 1).

(9) Diretiva 2011/24/UE do Parlamento Europeu e do Conselho, de 9 de março de 2011, relativa ao exercício dos direitos dos doentes em matéria de cuidados de saúde transfronteiriços (JO L 88 de 4.4.2011, p. 45).

(10) Diretiva 93/13/CEE do Conselho, de 5 de abril de 1993, relativa às cláusulas abusivas nos contratos celebrados com os consumidores (JO L 95 de 21.4.1993, p. 29).

(11) Regulamento (CE) n.o 1338/2008 do Parlamento Europeu e do Conselho, de 16 de dezembro de 2008, relativo às estatísticas comunitárias sobre saúde pública e saúde e segurança no trabalho (JO L 354 de 31.12.2008, p. 70).

(12) Regulamento (UE) n.o 182/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os princípios gerais relativos aos mecanismos de controlo pelos Estados-Membros do exercício das competências de execução pela Comissão (JO L 55 de 28.2.2011, p. 13).

(13) Regulamento (UE) n.o 1215/2012 do Parlamento Europeu e do Conselho, de 12 de dezembro de 2012, relativo à competência judiciária, ao reconhecimento e à execução de decisões em matéria civil e comercial (JO L 351 de 20.12.2012, p. 1).

(14) Diretiva 2003/98/CE do Parlamento Europeu e do Conselho, de 17 de novembro de 2003, relativa à reutilização de informações do setor público (JO L 345 de 31.12.2003, p. 90).

(15) Regulamento (UE) n.o 536/2014 do Parlamento Europeu e do Conselho, de 16 de abril de 2014, relativo aos ensaios clínicos de medicamentos para uso humano e que revoga a Diretiva 2001/20/CE (JO L 158 de 27.5.2014, p. 1).

(16) Regulamento (CE) n.o 223/2009 do Parlamento Europeu e do Conselho, de 11 de março de 2009, relativo às Estatísticas Europeias e que revoga o Regulamento (CE, Euratom) n.o 1101/2008 relativo à transmissão de informações abrangidas pelo segredo estatístico ao Serviço de Estatística das Comunidades Europeias, o Regulamento (CE) n.o 322/97 do Conselho relativo às estatísticas comunitárias e a Decisão 89/382/CEE, Euratom do Conselho que cria o Comité do Programa Estatístico das Comunidades Europeias (JO L 87 de 31.3.2009, p. 164).

(17) JO C 192 de 30.6.2012, p. 7.

(18) Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) (JO L 201 de 31.7.2002, p. 37).

(19) Diretiva (UE) 2015/1535 do Parlamento Europeu e do Conselho, de 9 de setembro de 2015, relativa a um procedimento de informação no domínio das regulamentações técnicas e das regras relativas aos serviços da sociedade da informação (JO L 241 de 17.9.2015, p. 1).

(20) Regulamento (CE) n.o 765/2008 do Parlamento Europeu e do Conselho, de 9 de julho de 2008, que estabelece os requisitos de acreditação e fiscalização do mercado relativos à comercialização de produtos, e que revoga o Regulamento (CEE) n.o 339/93 (JO L 218 de 13.8.2008, p. 30).

(21) Regulamento (CE) n.o 1049/2001 do Parlamento Europeu e do Conselho, de 30 de maio de 2001, relativo ao acesso do público aos documentos do Parlamento Europeu, do Conselho e da Comissão (JO L 145 de 31.5.2001, p. 43).

whereas

(16) O presente regulamento não se aplica às questões de defesa dos direitos e das liberdades fundamentais ou da livre circulação de dados pessoais relacionados com atividades que se encontrem fora do âmbito de aplicação do direito da União, como as que se prendem com a segurança nacional.
O presente regulamento não se aplica ao tratamento de dados pessoais pelos Estados-Membros no exercício de atividades relacionadas com a política externa e de segurança comum da União.

- = -

(20) Na medida em que o presente regulamento é igualmente aplicável, entre outras, às atividades dos tribunais e de outras autoridades judiciais, poderá determinar-se no direito da União ou dos Estados-Membros quais as operações e os procedimentos a seguir pelos tribunais e outras autoridades judiciais para o tratamento de dados pessoais.
A competência das autoridades de controlo não abrange o tratamento de dados pessoais efetuado pelos tribunais no exercício da sua função jurisdicional, a fim de assegurar a independência do poder judicial no exercício da sua função jurisdicional, nomeadamente a tomada de decisões.
Deverá ser possível confiar o controlo de tais operações de tratamento de dados a organismos específicos no âmbito do sistema judicial do Estado-Membro, que deverão, nomeadamente, assegurar o cumprimento das regras do presente regulamento, reforçar a sensibilização os membros do poder judicial para as obrigações que lhe são impostas pelo presente regulamento e tratar reclamações relativas às operações de tratamento dos dados.

- = -

(30) As pessoas singulares podem ser associadas a identificadores por via eletrónica, fornecidos pelos respetivos aparelhos, aplicações, ferramentas e protocolos, tais como endereços IP (protocolo internet) ou testemunhos de conexão (cookie) ou outros identificadores, como as etiquetas de identificação por radiofrequência.
Estes identificadores podem deixar vestígios que, em especial quando combinados com identificadores únicos e outras informações recebidas pelos servidores, podem ser utilizados para a definição de perfis e a identificação das pessoas singulares.

- = -

(77) As orientações sobre a execução de medidas adequadas e sobre a comprovação de conformidade pelos responsáveis pelo tratamento ou subcontratantes, em especial no que diz respeito à identificação dos riscos relacionados com o tratamento, à sua avaliação em termos de origem, natureza, probabilidade e gravidade, bem como à identificação das melhores práticas para a atenuação dos riscos, poderão ser obtidas nomeadamente recorrendo a códigos de conduta aprovados, a certificações aprovadas, às orientações fornecidas pelo Comité ou às indicações fornecidas por um encarregado da proteção de dados.
O Comité poderá emitir igualmente orientações sobre operações de tratamento de dados que não sejam suscetíveis de resultar num elevado risco para os direitos e liberdades das pessoas singulares e indicar quais as medidas adequadas em tais casos para diminuir esse risco.

- = -

(100) A fim de reforçar a transparência e o cumprimento do presente regulamento, deverá ser encorajada a criação de procedimentos de certificação e selos e marcas de proteção de dados, que permitam aos titulares avaliar rapidamente o nível de proteção de dados proporcionado pelos produtos e serviços em causa.

- = -

(108) Na falta de uma decisão sobre o nível de proteção adequado, o responsável pelo tratamento ou o subcontratante deverá adotar as medidas necessárias para colmatar a insuficiência da proteção de dados no país terceiro dando para tal garantias adequadas ao titular dos dados.
Tais garantias adequadas podem consistir no recurso a regras vinculativas aplicáveis às empresas, cláusulas-tipo de proteção de dados adotadas pela Comissão, cláusulas-tipo de proteção de dados adotadas por uma autoridade de controlo, ou cláusulas contratuais autorizadas por esta autoridade.
Essas medidas deverão assegurar o cumprimento dos requisitos relativos à proteção de dados e o respeito pelos direitos dos titulares dos dados adequados ao tratamento no território da União, incluindo a existência de direitos do titular de dados e de medidas jurídicas corretivas eficazes, nomeadamente o direito de recurso administrativo ou judicial e de exigir indemnização, quer no território da União quer num país terceiro.
Deverão estar relacionadas, em especial, com o respeito pelos princípios gerais relativos ao tratamento de dados pessoais e pelos princípios de proteção de dados desde a conceção e por defeito.
Também podem ser efetuadas transferências por autoridades ou organismos públicos para autoridades ou organismos públicos em países terceiros ou para organizações internacionais que tenham deveres e funções correspondentes, nomeadamente com base em disposições a inserir no regime administrativo, como seja um memorando de entendimento, que prevejam a existência de direitos efetivos e oponíveis dos titulares dos dados.
Deverá ser obtida a autorização da autoridade de controlo competente quando as garantias previstas em regimes administrativos não forem juridicamente vinculativas.

- = -

(139) A fim de promover a aplicação coerente do presente regulamento, o Comité deverá ser um órgão independente da União.
Para atingir os seus objetivos, o Comité deverá ser dotado de personalidade jurídica.
O Comité é representado pelo seu presidente.
Este Comité deverá substituir o Grupo de Trabalho sobre a proteção das pessoas no que diz respeito ao tratamento de dados pessoais instituído pelo artigo 29.o da Diretiva 95/46/CE.
Deverá ser composto pelo diretor de uma autoridade de controlo de cada Estado-Membro e da Autoridade Europeia para a Proteção de Dados ou pelos seus representantes.
A Comissão deverá participar nas atividades do Comité, mas sem direito de voto, e a Autoridade Europeia para a Proteção de Dados deverá também participar nas suas atividades com direito de voto em casos particulares.
O Comité deverá contribuir para a aplicação coerente do presente regulamento em toda a União, incluindo mediante o aconselhamento da Comissão, nomeadamente no que respeita ao nível de proteção em países terceiros ou em organizações internacionais, e mediante a promoção da cooperação das autoridades de controlo em toda a União.
O Comité deverá ser independente no prossecução das suas atribuições.

- = -

(146) O responsável pelo tratamento ou o subcontratante deverão reparar quaisquer danos de que alguém possa ser vítima em virtude de um tratamento que viole o presente regulamentoresponsável pelo tratamento.
O responsável pelo tratamento ou o subcontratante pode ser exonerado da responsabilidade se provar que o facto que causou o dano não lhe é de modo algum imputável.
O conceito de dano deverá ser interpretado em sentido lato à luz da jurisprudência do Tribunal de Justiça, de uma forma que reflita plenamente os objetivos do presente regulamento.
Tal não prejudica os pedidos de indemnização por danos provocados pela violação de outras regras do direito da União ou dos Estados-Membros.
Os tratamentos que violem o presente regulamentoabrangem igualmente os que violem os atos delegados e de execução adotados nos termos do presente regulamento e o direito dos Estados-Membros que dê execução a regras do presente regulamento.
Os titulares dos dados deverão ser integral e efetivamente indemnizados pelos danos que tenham sofrido.
Sempre que os responsáveis pelo tratamento ou os subcontratantes estiverem envolvidos no mesmo tratamento, cada um deles deverá ser responsabilizado pela totalidade dos danos causados.
Porém, se os processos forem associados a um mesmo processo judicial, em conformidade com o direito dos Estados-Membros, a indemnização poderá ser repartida em função da responsabilidade que caiba a cada responsável pelo tratamento ou subcontratante pelos danos causados em virtude do tratamento efetuado, na condição de ficar assegurada a indemnização integral e efetiva do titular dos dados pelos danos que tenha sofrido.
Qualquer responsável pelo tratamento ou subcontratante que tenha pago uma indemnização integral, pode posteriormente intentar uma ação de regresso contra outros responsáveis pelo tratamento ou subcontratantes envolvidos no mesmo tratamento.

- = -

(151) Os sistemas jurídicos da Dinamarca e da Estónia não conhecem as coimas tal como são previstas no presente regulamento.
As regras relativas às coimas podem ser aplicadas de modo que a coima seja imposta, na Dinamarca, pelos tribunais nacionais competentes como sanção penal e, na Estónia, pela autoridade de controlo no âmbito de um processo por infração menor, na condição de tal aplicação das regras nestes Estados-Membros ter um efeito equivalente às coimas impostas pelas autoridades de controlo.
Por esse motivo, os tribunais nacionais competentes deverão ter em conta a recomendação da autoridade de controlo que propõe a coima.
Em todo o caso, as coimas impostas deverão ser efetivas, proporcionadas e dissuasivas.

- = -

(170) Atendendo a que o objetivo do presente regulamento, a saber, assegurar um nível equivalente de proteção das pessoas singulares e a livre circulação de dados pessoais na União, não pode ser suficientemente alcançado pelos Estados-Membros e pode, devido à dimensão e aos efeitos da ação, ser mais bem alcançado ao nível da União, a União pode adotar medidas em conformidade com o princípio da subsidiariedade consagrado no artigo 5.o do Tratado da União Europeia (TUE).
Em conformidade com o princípio da proporcionalidade consagrado no mesmo artigo, o presente regulamento não excede o necessário para alcançar esse objetivo.

- = -

dal 2004 diritto e informatica