interactive GDPR 2016/0679 PT

Recolhidos para finalidades determinadas, explícitas e legítimas e não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades; o tratamento posterior para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, não é considerado incompatível com as finalidades iniciais, em conformidade com o artigo 89.o, n.o 1 («limitação das finalidades»);

c)	Adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados («minimização dos dados»);

d)	Exatos e atualizados sempre que necessário; devem ser adotadas todas as medidas adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora («exatidão»);

Conservados de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados; os dados pessoais podem ser conservados durante períodos mais longos, desde que sejam tratados exclusivamente para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, em conformidade com o artigo 89.o, n.o 1, sujeitos à aplicação das medidas técnicas e organizativas adequadas exigidas pelo presente regulamento, a fim de salvaguardar os direitos e liberdades do titular dos dados («limitação da conservação»);

f)	Tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas adequadas («integridade e confidencialidade»);

2. O responsável pelo tratamento é responsável pelo cumprimento do disposto no n.o 1 e tem de poder comprová-lo («responsabilidade»).

Artigo 6.o

Licitude do tratamento

1. O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:

a)	O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas;

b)	O tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados;

c)	O tratamento for necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito;

d)	O tratamento for necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular;

e)	O tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento;

f)	O tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.

O primeiro parágrafo, alínea f), não se aplica ao tratamento de dados efetuado por autoridades públicas na prossecução das suas atribuições por via eletrónica.

2. Os Estados-Membros podem manter ou aprovar disposições mais específicas com o objetivo de adaptar a aplicação das regras do presente regulamento no que diz respeito ao tratamento de dados para o cumprimento do n.o 1, alíneas c) e e), determinando, de forma mais precisa, requisitos específicos para o tratamento e outras medidas destinadas a garantir a licitude e lealdade do tratamento, inclusive para outras situações específicas de tratamento em conformidade com o capítulo IX.

3. O fundamento jurídico para o tratamento referido no n.o 1, alíneas c) e e), é definido:

a)	Pelo direito da União; ou

b)	Pelo direito do Estado-Membro ao qual o responsável pelo tratamento está sujeito.

A finalidade do tratamento é determinada com esse fundamento jurídico ou, no que respeita ao tratamento referido no n.o 1, alínea e), deve ser necessária ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento. Esse fundamento jurídico pode prever disposições específicas para adaptar a aplicação das regras do presente regulamento, nomeadamente: as condições gerais de licitude do tratamento pelo responsável pelo seu tratamento; os tipos de dados objeto de tratamento; os titulares dos dados em questão; as entidades a que os dados pessoais poderão ser comunicados e para que efeitos; os limites a que as finalidades do tratamento devem obedecer; os prazos de conservação; e as operações e procedimentos de tratamento, incluindo as medidas destinadas a garantir a legalidade e lealdade do tratamento, como as medidas relativas a outras situações específicas de tratamento em conformidade com o capítulo IX. O direito da União ou do Estado-Membro deve responder a um objetivo de interesse público e ser proporcional ao objetivo legítimo prosseguido.

4. Quando o tratamento para fins que não sejam aqueles para os quais os dados pessoais foram recolhidos não for realizado com base no consentimento do titular dos dados ou em disposições do direito da União ou dos Estados-Membros que constituam uma medida necessária e proporcionada numa sociedade democrática para salvaguardar os objetivos referidos no artigo 23.o, n.o 1, o responsável pelo tratamento, a fim de verificar se o tratamento para outros fins é compatível com a finalidade para a qual os dados pessoais foram inicialmente recolhidos, tem nomeadamente em conta:

a)	Qualquer ligação entre a finalidade para a qual os dados pessoais foram recolhidos e a finalidade do tratamento posterior;

b)	O contexto em que os dados pessoais foram recolhidos, em particular no que respeita à relação entre os titulares dos dados e o responsável pelo seu tratamento;

c)	A natureza dos dados pessoais, em especial se as categorias especiais de dados pessoais forem tratadas nos termos do artigo 9.o, ou se os dados pessoais relacionados com condenações penais e infrações forem tratados nos termos do artigo 10.o;

d)	As eventuais consequências do tratamento posterior pretendido para os titulares dos dados;

e)	A existência de salvaguardas adequadas, que podem ser a cifragem ou a pseudonimização.

Artigo 8.o

Condições aplicáveis ao consentimento de crianças em relação aos serviços da sociedade da informação

1. Quando for aplicável o artigo 6.o, n.o 1, alínea a), no que respeita à oferta direta de serviços da sociedade da informação às crianças, dos dados pessoais de crianças é lícito se elas tiverem pelo menos 16 anos. Caso a criança tenha menos de 16 anos, o tratamento só é lícito se e na medida em que o consentimento seja dado ou autorizado pelos titulares das responsabilidades parentais da criança.

Os Estados-Membros podem dispor no seu direito uma idade inferior para os efeitos referidos, desde que essa idade não seja inferior a 13 anos.

2. Nesses casos, o responsável pelo tratamento envida todos os esforços adequados para verificar que o consentimento foi dado ou autorizado pelo titular das responsabilidades parentais da criança, tendo em conta a tecnologia disponível.

3. O disposto no n.o 1 não afeta o direito contratual geral dos Estados-Membros, como as disposições que regulam a validade, a formação ou os efeitos de um contrato em relação a uma criança.

Artigo 24.o

Responsabilidade do responsável pelo tratamento

1. Tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento. Essas medidas são revistas e atualizadas consoante as necessidades.

2 Caso sejam proporcionadas em relação às atividades de tratamento, as medidas a que se refere o n.o 1 incluem a aplicação de políticas adequadas em matéria de proteção de dados pelo responsável pelo tratamento.

3. O cumprimento de códigos de conduta aprovados conforme referido no artigo 40.o ou de procedimentos de certificação aprovados conforme referido no artigo 42.o pode ser utilizada como elemento para demonstrar o cumprimento das obrigações do responsável pelo tratamento.

Artigo 26.o

Responsáveis conjuntos pelo tratamento

1. Quando dois ou mais responsáveis pelo tratamento determinem conjuntamente as finalidades e os meios desse tratamento, ambos são responsáveis conjuntos pelo tratamento. Estes determinam, por acordo entre si e de modo transparente as respetivas responsabilidades pelo cumprimento do presente regulamento, nomeadamente no que diz respeito ao exercício dos direitos do titular dos dados e aos respetivos deveres de fornecer as informações referidas nos artigos 13.o e 14.o, a menos e na medida em que as suas responsabilidades respetivas sejam determinadas pelo direito da União ou do Estado-Membro a que se estejam sujeitos. O acordo pode designar um ponto de contacto para os titulares dos dados.

2. O acordo a que se refere o n.o 1 reflete devidamente as funções e relações respetivas dos responsáveis conjuntos pelo tratamento em relação aos titulares dos dados. A essência do acordo é disponibilizada ao titular dos dados.

3. Independentemente dos termos do acordo a que se refere o n.o 1, o titular dos dados pode exercer os direitos que lhe confere o presente regulamento em relação e cada um dos responsáveis pelo tratamento.

Artigo 35.o

Avaliação de impacto sobre a proteção de dados

1. Quando um certo tipo de tratamento, em particular que utilize novas tecnologias e tendo em conta a sua natureza, âmbito, contexto e finalidades, for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento procede, antes de iniciar o tratamento, a uma avaliação de impacto das operações de tratamento previstas sobre a proteção de dados pessoais. Se um conjunto de operações de tratamento que apresentar riscos elevados semelhantes, pode ser analisado numa única avaliação.

2. Ao efetuar uma avaliação de impacto sobre a proteção de dados, o responsável pelo tratamento solicita o parecer do encarregado da proteção de dados, nos casos em que este tenha sido designado.

3. A realização de uma avaliação de impacto sobre a proteção de dados a que se refere o n.o 1 é obrigatória nomeadamente em caso de:

Avaliação sistemática e completa dos aspetos pessoais relacionados com pessoas singulares, baseada no tratamento automatizado, incluindo a definição de perfis, sendo com base nela adotadas decisões que produzem efeitos jurídicos relativamente à pessoa singular ou que a afetem significativamente de forma similar;

b)	Operações de tratamento em grande escala de categorias especiais de dados a que se refere o artigo 9.o, n.o 1, ou de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10.o; ou

c)	Controlo sistemático de zonas acessíveis ao público em grande escala.

4. A autoridade de controlo elabora e torna pública uma lista dos tipos de operações de tratamento sujeitos ao requisito de avaliação de impacto sobre a proteção de dados por força do n.o 1. A autoridade de controlo comunica essas listas ao Comité referido no artigo 68.o.

5. A autoridade de controlo pode também elaborar e tornar pública uma lista dos tipos de operações de tratamento em relação aos quais não é obrigatória uma análise de impacto sobre a proteção de dados. A autoridade de controlo comunica essas listas ao Comité.

6. Antes de adotar as listas a que se referem os n.os 4 e 5, a autoridade de controlo competente aplica o procedimento de controlo da coerência referido no artigo 63.o sempre que essas listas enunciem atividades de tratamento relacionadas com a oferta de bens ou serviços a titulares de dados ou com o controlo do seu comportamento em diversos Estados-Membros, ou possam afetar substancialmente a livre circulação de dados pessoais na União.

7. A avaliação inclui, pelo menos:

a)	Uma descrição sistemática das operações de tratamento previstas e a finalidade do tratamento, inclusive, se for caso disso, os interesses legítimos do responsável pelo tratamento;

b)	Uma avaliação da necessidade e proporcionalidade das operações de tratamento em relação aos objetivos;

c)	Uma avaliação dos riscos para os direitos e liberdades dos titulares dos direitos a que se refere o n.o 1; e

As medidas previstas para fazer face aos riscos, incluindo as garantias, medidas de segurança e procedimentos destinados a assegurar a proteção dos dados pessoais e a demonstrar a conformidade com o presente regulamento, tendo em conta os direitos e os legítimos interesses dos titulares dos dados e de outras pessoas em causa.

8. Ao avaliar o impacto das operações de tratamento efetuadas pelos responsáveis pelo tratamento ou pelos subcontratantes, em especial para efeitos de uma avaliação de impacto sobre a proteção de dados, é tido na devida conta o cumprimento dos códigos de conduta aprovados a que se refere o artigo 40.o por parte desses responsáveis ou subcontratantes.

9. Se for adequado, o responsável pelo tratamento solicita a opinião dos titulares de dados ou dos seus representantes sobre o tratamento previsto, sem prejuízo da defesa dos interesses comerciais ou públicos ou da segurança das operações de tratamento.

10. Se o tratamento efetuado por força do artigo 6.o, n.o 1, alínea c) ou e), tiver por fundamento jurídico o direito da União ou do Estado-Membro a que o responsável pelo tratamento está sujeito, e esse direito regular a operação ou as operações de tratamento específicas em questão, e se já tiver sido realizada uma avaliação de impacto sobre a proteção de dados no âmbito de uma avaliação de impacto geral no contexto da adoção desse fundamento jurídico, não são aplicáveis os n.os 1 a 7, salvo se os Estados-Membros considerarem necessário proceder a essa avaliação antes das atividades de tratamento.

11. Se necessário, o responsável pelo tratamento procede a um controlo para avaliar se o tratamento é realizado em conformidade com a avaliação de impacto sobre a proteção de dados, pelo menos quando haja uma alteração dos riscos que as operações de tratamento representam.

Artigo 36.o

Consulta prévia

1. O responsável pelo tratamento consulta a autoridade de controlo antes de proceder ao tratamento quando a avaliação de impacto sobre a proteção de dados nos termos do artigo 35.o indicar que o tratamento resultaria num elevado risco na ausência das medidas tomadas pelo responsável pelo tratamento para atenuar o risco.

2. Sempre que considerar que o tratamento previsto referido no n.o 1 violaria o disposto no presente regulamento, nomeadamente se o responsável pelo tratamento não tiver identificado ou atenuado suficientemente os riscos, a autoridade de controlo, no prazo máximo de oito semanas a contar da receção do pedido de consulta, dá orientações, por escrito, ao responsável pelo tratamento e, se o houver, ao subcontratante e pode recorrer a todos os seus poderes referidos no artigo 58.o. Esse prazo pode ser prorrogado até seis semanas, tendo em conta a complexidade do tratamento previsto. A autoridade de controlo informa da prorrogação o responsável pelo tratamento ou, se o houver, o subcontratante no prazo de um mês a contar da data de receção do pedido de consulta, juntamente com os motivos do atraso. Esses prazos podem ser suspensos até que a autoridade de controlo tenha obtido as informações que tenha solicitado para efeitos da consulta.

3. Quando consultar a autoridade de controlo nos termos do n.o 1, o responsável pelo tratamento comunica-lhe os seguintes elementos:

a)	Se for aplicável, a repartição de responsabilidades entre o responsável pelo tratamento, os responsáveis conjuntos pelo tratamento e os subcontratantes envolvidos no tratamento, nomeadamente no caso de um tratamento dentro de um grupo empresarial;

b)	As finalidades e os meios do tratamento previsto;

c)	As medidas e garantias previstas para defesa dos direitos e liberdades dos titulares dos dados nos termos do presente regulamento;

d)	Se for aplicável, os contactos do encarregado da proteção de dados;

e)	A avaliação de impacto sobre a proteção de dados prevista no artigo 35.o; e

f)	Quaisquer outras informações solicitadas pela autoridade de controlo.

4. Os Estados-Membros consultam a autoridade de controlo durante a preparação de uma proposta de medida legislativa a adotar por um parlamento nacional ou de uma medida regulamentar baseada nessa medida legislativa, que esteja relacionada com o tratamento de dados.

5. Não obstante o n.o 1, o direito dos Estados-Membros pode exigir que os responsáveis pelo tratamento consultem a autoridade de controlo e dela obtenham uma autorização prévia em relação ao tratamento por um responsável no exercício de uma missão de interesse público, incluindo o tratamento por motivos de proteção social e de saúde pública.

Secção 4

Encarregado da proteção de dados

Artigo 40.o

Códigos de conduta

1. Os Estados-Membros, as autoridades de controlo, o Comité e a Comissão promovem a elaboração de códigos de conduta destinados a contribuir para a correta aplicação do presente regulamento, tendo em conta as características dos diferentes setores de tratamento e as necessidades específicas das micro, pequenas e médias empresas.

2. As associações e outros organismos representantes de categorias de responsáveis pelo tratamento ou de subcontratantes podem elaborar códigos de conduta, alterar ou aditar a esses códigos, a fim de especificar a aplicação do presente regulamento, como por exemplo:

a)	O tratamento equitativo e transparente;

b)	Os legítimos interesses dos responsáveis pelo tratamento em contextos específicos;

c)	A recolha de dados pessoais;

d)	A pseudonimização dos dados pessoais;

e)	A informação prestada ao público e aos titulares dos dados;

f)	O exercício dos direitos dos titulares dos dados;

g)	As informações prestadas às crianças e a sua proteção, e o modo pelo qual o consentimento do titular das responsabilidades parentais da criança deve ser obtido;

h)	As medidas e procedimentos a que se referem os artigos 24.o e 25.o e as medidas destinadas a garantir a segurança do tratamento referidas no artigo 30.o;

i)	A notificação de violações de dados pessoais às autoridades de controlo e a comunicação dessas violações de dados pessoais aos titulares dos dados;

j)	A transferência de dados pessoais para países terceiros ou organizações internacionais; ou

k)	As ações extrajudiciais e outros procedimentos de resolução de litígios entre os responsáveis pelo tratamento e os titulares dos dados em relação ao tratamento, sem prejuízo dos direitos dos titulares dos dados nos termos dos artigos 77.o e 79.o.

3. Além dos responsáveis pelo tratamento ou dos subcontratantes sujeitos ao presente regulamento, também os responsáveis pelo tratamento ou subcontratantes que não estão sujeitos ao presente regulamento por força do artigo 3.o podem cumprir códigos de conduta aprovados em conformidade com o n.o 5 do presente artigo e de aplicabilidade geral por força do n.o 9 do presente artigo, de modo a fornecer garantias apropriadas no quadro das transferências dos dados pessoais para países terceiros ou organizações internacionais nos termos referidos no artigo 46.o, n.o 2, alínea e). Os responsáveis pelo tratamento ou os subcontratantes assumem compromissos vinculativos e com força executiva, por meio de instrumentos contratuais ou de outros instrumentos juridicamente vinculativos, no sentido de aplicar as garantias apropriadas, inclusivamente em relação aos direitos dos titulares dos dados.

4. Os códigos de conduta referidos no n.o 2 do presente artigo devem prever procedimentos que permitam ao organismo referido no artigo 41.o, n.o 1, efetuar a supervisão obrigatória do cumprimento das suas disposições por parte dos responsáveis pelo tratamento ou subcontratantes que se comprometam a aplicá-lo, sem prejuízo das funções e competências das autoridades de controlo competentes por força do artigo 55.o ou 56.o.

5. As associações e outros organismos a que se refere o n.o 2 do presente artigo que tencionem elaborar um código de conduta, ou alterar ou aditar a um código existente, apresentam o projeto de código, a alteração ou o aditamento à autoridade de controlo que é competente por força do artigo 55.o. A autoridade de controlo emite um parecer sobre a conformidade do projeto de código de conduta ou da alteração ou do aditamento com o presente regulamento e aprova este projeto, esta alteração ou este aditamento se determinar que são previstas garantias apropriadas suficientes.

6. Se o código de conduta, ou a alteração ou o aditamento for aprovado nos termos do n.o 5, e se o código de conduta em causa não estiver relacionado com atividades de tratamento realizadas em vários Estados-Membros, a autoridade de controlo regista e publica o código.

7. Se o projeto do código de conduta estiver relacionado com atividades de tratamento realizadas em vários Estados-Membros, a autoridade de controlo competente nos termos do artigo 55.o, antes da aprovação, apresenta o projeto do código, a alteração ou o aditamento, pelo procedimento referido no artigo 63.o, ao Comité, que emite um parecer sobre a conformidade do projeto de código de conduta, ou da alteração ou do aditamento, com o presente regulamento, ou, na situação referida no n.o 3 do presente artigo, sobre a previsão de garantias adequadas.

8. Se o parecer a que se refere o n.o 7 confirmar que o projeto do código de conduta, ou a alteração ou o aditamento, está conforme com o presente regulamento ou, na situação referida no n.o 3, prevê garantias adequadas, o Comité apresenta o seu parecer à Comissão.

9. A Comissão pode, através de atos de execução, decidir que os códigos de conduta aprovados, bem como as alterações ou os aditamentos, que lhe sejam apresentados nos termos do n.o 8 do presente artigo, são de aplicabilidade geral na União. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 93.o, n.o 2.

10. A Comissão assegura a publicidade adequada dos códigos aprovados que declarou, mediante decisão, serem de aplicabilidade geral em conformidade com o n.o 9.

11. O Comité recolhe todos os códigos de conduta aprovados, respetivas alterações e respetivos aditamentos num registo e disponibiliza-os ao público pelos meios adequados.

Artigo 41.o

Supervisão dos códigos de conduta aprovados

1. Sem prejuízo das funções e competências da autoridade de controlo competente ao abrigo dos artigos 57.o e 58.o, a supervisão de conformidade com um código de conduta nos termos do artigo 40.o pode ser efetuada por um organismo que tenha um nível adequado de competência relativamente ao objeto do código e esteja acreditado para o efeito pela autoridade de controlo competente.

2. O organismo a que se refere o n.o 1 pode ser acreditado para supervisão de conformidade com um código de conduta, se:

a)	Tiver demonstrado que goza de independência e dispõe dos conhecimentos necessários em relação ao objeto do código, de forma satisfatória para a autoridade de controlo competente;

b)	Tiver estabelecido procedimentos que lhe permitam avaliar a elegibilidade dos responsáveis pelo tratamento e dos subcontratantes em questão para aplicar o código, verificar se estes respeitam as disposições do mesmo e rever periodicamente o seu funcionamento;

Tiver estabelecido procedimentos e estruturas para tratar reclamações relativas a violações do código ou à forma como o código tenha sido ou esteja a ser aplicado pelo responsável pelo tratamento ou subcontratante, e para tornar estes procedimentos e estruturas transparentes para os titulares dos dados e o público; e

d)	Demonstrar, de forma satisfatória para a autoridade de controlo competente, que as suas funções e atribuições não implicam um conflito de interesses.

3. A autoridade de controlo competente apresenta os projetos de critérios para a acreditação do organismo referido no n.o 1 do presente artigo ao Comité, de acordo com o procedimento de controlo da coerência referido no artigo 63.o.

4. Sem prejuízo das funções e competências da autoridade de controlo competente e do disposto no capítulo VIII, o organismo a que se refere o n.o 1 do presente artigo toma, sob reserva das garantias adequadas, as medidas que forem adequadas em caso de violações do código por um responsável pelo tratamento ou por um subcontratante, incluindo a suspensão ou exclusão desse responsável ou subcontratante do código. O referido organismo informa a autoridade de controlo competente dessas medidas e dos motivos que levaram à sua tomada.

5. A autoridade de controlo competente revoga a acreditação do organismo a que se refere o n.o 1 se as condições para a acreditação não estiverem ou tiverem deixado de estar reunidas, ou se as medidas tomadas pelo organismo violarem o presente regulamento.

6. O presente artigo não se aplica ao tratamento realizado por autoridades e organismos públicos.

Artigo 42.o

Certificação

1. Os Estados-Membros, as autoridades de controlo, o Comité e a Comissão promovem, em especial ao nível da União, a criação de procedimentos de certificação em matéria de proteção de dados, bem como selos e marcas de proteção de dados, para efeitos de comprovação da conformidade das operações de tratamento de responsáveis pelo tratamento e subcontratantes com o presente regulamento. Serão tidas em conta as necessidades específicas das micro, pequenas e médias empresas.

2. Além do cumprimento pelos responsáveis pelo tratamento ou pelos subcontratantes sujeitos ao presente regulamento, os procedimentos de certificação em matéria de proteção de dados, bem como selos ou marcas aprovados de acordo com o n.o 5 do presente artigo também podem ser estabelecidos para efeitos de comprovação da existência de garantias adequadas fornecidas por responsáveis pelo tratamento ou por subcontratantes que não estão sujeitos ao presente regulamento por força do artigo 3.o no quadro das transferências de dados pessoais para países terceiros ou organizações internacionais nos termos referidos no artigo 46.o, n.o 2, alínea f). Os responsáveis pelo tratamento ou os subcontratantes assumem compromissos vinculativos e com força executiva, por meio de instrumentos contratuais ou de outros instrumentos juridicamente vinculativos, no sentido de aplicar as garantias adequadas, inclusivamente em relação aos direitos dos titulares dos dados.

3. A certificação é voluntária e está disponível através de um processo transparente.

4. A certificação prevista no presente artigo não diminui a responsabilidade dos responsáveis pelo tratamento e subcontratantes pelo cumprimento do presente regulamento nem prejudica as funções e competências das autoridades de controlo competentes por força do artigo 55.o ou 56.o.

5. A certificação prevista no presente artigo é emitida pelos organismos de certificação referidos no artigo 43.o ou pela autoridade de controlo competente, com base nos critérios por esta aprovados por força do artigo 58.o, n.o 3, ou pelo Comité por força do artigo 63.o. Caso os critérios sejam aprovados pelo Comité, podem ter como resultado uma certificação comum, o Selo Europeu de Proteção de Dados.

6. Os responsáveis pelo tratamento ou subcontratantes que submetem o seu tratamento ao procedimento de certificação fornecem ao organismo de certificação a que se refere o artigo 43.o, ou, consoante o caso, à autoridade de controlo competente, todo o acesso às suas atividades de tratamento e toda a informação de que haja necessidade para efetuar o procedimento de certificação.

7. A certificação é emitida aos responsáveis pelo tratamento e subcontratantes por um período máximo de três anos e pode ser renovada nas mesmas condições, desde que os requisitos aplicáveis continuem a estar reunidos. A certificação é retirada, consoante o caso, pelos organismos de certificação referidos no artigo 43.o ou pela autoridade de controlo competente, se os requisitos para a certificação não estiverem ou tiverem deixados de estar reunidos.

8. O Comité recolhe todos os procedimentos de certificação e todos os selos e marcas de proteção de dados aprovados num registo e disponibiliza-os ao público por todos os meios adequados.

Artigo 43.o

Organismos de certificação

1. Sem prejuízo das atribuições e poderes da autoridade de controlo competente nos termos dos artigos 57.o e 58.o, um organismo de certificação que tenha um nível adequado de competência em matéria de proteção de dados emite e renova a certificação, após informar a autoridade de controlo para que esta possa exercer as suas competências nos termos do artigo 58.o, n.o 2, alínea h), sempre que necessário. Os Estados-Membros asseguram que estes organismos de certificação são acreditados:

a)	Pela autoridade de controlo que é competente nos termos do artigo 55.o ou 56.o;

Pelo organismo nacional de acreditação, designado nos termos do Regulamento (CE) n.o 765/2008 do Parlamento Europeu e do Conselho (20), em conformidade com a norma EN-ISO/IEC 17065/2012 e com os requisitos adicionais estabelecidos pela autoridade de controlo que é competente nos termos do artigo 55.o ou 56.o.

2. Os organismos de certificação referidos no n.o 1 são acreditados em conformidade com o mesmo, apenas se:

a)	Tiverem demonstrado que gozam de independência e dispõem dos conhecimentos necessários em relação ao objeto da certificação, de forma satisfatória para a autoridade de controlo competente;

b)	Se tiverem comprometido a respeitar os critérios referidos no artigo 42.o, n.o 5, e aprovados pela autoridade de controlo que é competente por força do artigo 55.o ou 56.o ou pelo Comité por força do artigo 63.o;

c)	Tiverem estabelecido procedimentos para a emissão, revisão periódica e retirada de procedimentos de certificação, selos e marcas de proteção de dados;

Tiverem estabelecido procedimentos e estruturas para tratar reclamações relativas a violações da certificação ou à forma como a certificação tenha sido ou esteja a ser implementada pelo responsável pelo tratamento ou subcontratante, e para tornar estes procedimentos e estruturas transparentes para os titulares dos dados e o público; e

e)	Demonstrarem, de forma satisfatória para a autoridade de controlo competente, que as suas funções e atribuições não implicam um conflito de interesses.

3. A acreditação dos organismos de certificação referida nos n.os 1 e 2 do presente artigo, é efetuada com base nos critérios aprovados pela autoridade de controlo que é competente por força do artigo 55.o ou 56.o ou pelo Comité por força do artigo 63.o. No caso de acreditações nos termos do n.o 1, alínea b), do presente artigo, esses requisitos complementam os requisitos previstos no Regulamento (CE) n.o 765/2008 e as regras técnicas que descrevem os métodos e procedimentos dos organismos de certificação.

4. Os organismos de certificação a que se refere o n.o 1 são responsáveis pela correta avaliação necessária à certificação, ou pela revogação dessa certificação, sem prejuízo da responsabilidade que cabe ao responsável pelo tratamento ou ao subcontratante pelo cumprimento do presente regulamento. A acreditação é emitida por um período máximo de cinco anos e pode ser renovada nas mesmas condições, desde que o organismo de certificação reúna os requisitos estabelecidos no presente artigo.

5. Os organismos de certificação a que se refere o n.o 1 fornecem às autoridades de controlo competentes os motivos que levaram à concessão ou revogação da certificação solicitada.

6. Os requisitos referidos no n.o 3 do presente artigo, e os critérios referidos no artigo 42.o, n.o 5, são publicados pela autoridade de controlo sob uma forma facilmente acessível. As autoridades de controlo também comunicam estes requisitos e estas informações ao Comité. O Comité recolhe todos os procedimentos de certificação e selos de proteção de dados aprovados num registo e disponibiliza-os ao público por todos os meios adequados.

7. Sem prejuízo do capítulo VIII, a autoridade de controlo competente ou o organismo nacional de acreditação revoga uma acreditação do organismo de certificação nos termos do n.o 1 do presente artigo, se as condições para a acreditação não estiverem ou tiverem deixado de estar reunidas, ou se as medidas tomadas pelo organismo de certificação violarem o presente regulamento.

8. A Comissão fica habilitada a adotar atos delegados nos termos do artigo 92.o, a fim de especificar os requisitos a ter em conta relativamente aos procedimentos de certificação em matéria de proteção de dados referidos no artigo 42.o, n.o 1.

9. A Comissão pode adotar atos de execução estabelecendo normas técnicas para os procedimentos de certificação e os selos e marcas em matéria de proteção de dados, e regras para promover e reconhecer esses procedimentos de certificação, selos e marcas. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 93.o, n.o 2.

CAPÍTULO V

Transferências de dados pessoais para países terceiros ou organizações internacionais

Artigo 45.o

Transferências com base numa decisão de adequação

1. Pode ser realizada uma transferência de dados pessoais para um país terceiro ou uma organização internacional se a Comissão tiver decidido que o país terceiro, um território ou um ou mais setores específicos desse país terceiro, ou a organização internacional em causa, assegura um nível de proteção adequado. Esta transferência não exige autorização específica.

2. Ao avaliar a adequação do nível de proteção, a Comissão tem nomeadamente em conta os seguintes elementos:

O primado do Estado de direito, o respeito pelos direitos humanos e liberdades fundamentais, a legislação pertinente em vigor, tanto a geral como a setorial, nomeadamente em matéria de segurança pública, defesa, segurança nacional e direito penal, e respeitante ao acesso das autoridades públicas a dados pessoais, bem como a aplicação dessa legislação e das regras de proteção de dados, das regras profissionais e das medidas de segurança, incluindo as regras para a transferência ulterior de dados pessoais para outro país terceiro ou organização internacional, que são cumpridas nesse país ou por essa organização internacional, e a jurisprudência, bem como os direitos dos titulares dos dados efetivos e oponíveis, e vias de recurso administrativo e judicial para os titulares de dados cujos dados pessoais sejam objeto de transferência;

A existência e o efetivo funcionamento de uma ou mais autoridades de controlo independentes no país terceiro ou às quais esteja sujeita uma organização internacional, responsáveis por assegurar e impor o cumprimento das regras de proteção de dados, e dotadas de poderes coercitivos adequados para assistir e aconselhar os titulares dos dados no exercício dos seus direitos, e cooperar com as autoridades de controlo dos Estados-Membros; e

Os compromissos internacionais assumidos pelo país terceiro ou pela organização internacional em causa, ou outras obrigações decorrentes de convenções ou instrumentos juridicamente vinculativos, bem como da sua participação em sistemas multilaterais ou regionais, em especial em relação à proteção de dados pessoais.

3. Após avaliar a adequação do nível de proteção, a Comissão pode decidir, através de um ato de execução, que um país terceiro, um território ou um ou mais setores específicos de um país terceiro, ou uma organização internacional, garante um nível de proteção adequado na aceção do n.o 2 do presente artigo. O ato de execução prevê um procedimento de avaliação periódica, no mínimo de quatro em quatro anos, que deverá ter em conta todos os desenvolvimentos pertinentes no país terceiro ou na organização internacional. O ato de execução especifica o âmbito de aplicação territorial e setorial e, se for caso disso, identifica a autoridade ou autoridades de controlo a que se refere o n.o 2, alínea b), do presente artigo. O referido ato de execução é adotado pelo procedimento de exame a que se refere o artigo 93.o, n.o 2.

4. A Comissão controla, de forma continuada, os desenvolvimentos nos países terceiros e nas organizações internacionais que possam afetar o funcionamento das decisões adotadas nos termos do n.o 3 do presente artigo e das decisões adotadas com base no artigo 25.o, n.o 6, da Diretiva 95/46/CE.

5. A Comissão, sempre que a informação disponível revelar, nomeadamente na sequência da revisão a que se refere o n.o 3 do presente artigo, que um país terceiro, um território ou um ou mais setores específicos de um país terceiro, ou uma organização internacional, deixou de assegurar um nível de proteção adequado na aceção do n.o 2 do presente artigo, na medida do necessário, revoga, altera ou suspende a decisão referida no n.o 3 do presente artigo, através de atos de execução, sem efeitos retroativos. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 93.o, n.o 2.

Por imperativos de urgência devidamente justificados, a Comissão adota atos de execução imediatamente aplicáveis pelo procedimento a que se refere o artigo 93.o, n.o 3.

6. A Comissão inicia consultas com o país terceiro ou a organização internacional com vista a corrigir a situação que tiver dado origem à decisão tomada nos termos do n.o 5.

7. As decisões tomadas ao abrigo do n.o 5 do presente artigo não prejudicam as transferências de dados pessoais para o país terceiro, um território ou um ou mais setores específicos desse país terceiro, ou para a organização internacional em causa, nos termos dos artigos 46.o a 49.o.

8. A Comissão publica no Jornal Oficial da União Europeia e no seu sítio web uma lista dos países terceiros, territórios e setores específicos de um país terceiro e de organizações internacionais relativamente aos quais tenha declarado, mediante decisão, se asseguram ou não um nível de proteção adequado.

9. As decisões adotadas pela Comissão com base no artigo 25.o, n.o 6, da Diretiva 95/46/CE permanecem em vigor até que sejam alteradas, substituídas ou revogadas por uma decisão da Comissão adotada em conformidade com o n.o 3 ou o n.o 5 do presente artigo.

Artigo 50.o

Cooperação internacional no domínio da proteção de dados pessoais

Em relação a países terceiros e a organizações internacionais, a Comissão e as autoridades de controlo tomam as medidas necessárias para:

a)	Estabelecer regras internacionais de cooperação destinadas a facilitar a aplicação efetiva da legislação em matéria de proteção de dados pessoais;

Prestar assistência mútua a nível internacional no domínio da aplicação da legislação relativa à proteção de dados pessoais, nomeadamente através da notificação, comunicação de reclamações, e assistência na investigação e intercâmbio de informações, sob reserva das garantias adequadas de proteção dos dados pessoais e de outros direitos e liberdades fundamentais;

c)	Associar as partes interessadas aos debates e atividades que visem intensificar a cooperação internacional no âmbito da aplicação da legislação relativa à proteção de dados pessoais;

d)	Promover o intercâmbio e a documentação da legislação e das práticas em matéria de proteção de dados pessoais, nomeadamente no que diz respeito a conflitos jurisdicionais com países terceiros.

CAPÍTULO VI

Autoridades de controlo independentes

Secção 1

Estatuto independente

Artigo 54.o

Regras aplicáveis à constituição da autoridade de controlo

1. Os Estados-Membros estabelecem, por via legislativa:

a)	A constituição de cada autoridade de controlo;

b)	As qualificações e as condições de elegibilidade necessárias para a nomeação dos membros de cada autoridade de controlo;

c)	As regras e os procedimentos de nomeação dos membros de cada autoridade de controlo;

A duração do mandato dos membros de cada autoridade de controlo, que não será inferior a quatro anos, salvo no caso do primeiro mandato após 24 de maio de 2016, e ser mais curta quando for necessário proteger a independência da autoridade de controlo através de um procedimento de nomeações escalonadas;

e)	Se, e em caso afirmativo, por quantos mandatos os membros de cada autoridade de controlo podem ser renomeados;

f)	As condições que regem as obrigações dos membros e do pessoal de cada autoridade de controlo, a proibição das ações, funções e benefícios que com elas são incompatíveis durante o mandato e após o seu termo e as regras que regem a cessação da relação de trabalho.

2. Os membros e o pessoal de cada autoridade de controlo ficam sujeitos, nos termos do direito da União ou dos Estados-Membros, à obrigação de sigilo profissional, tanto durante o mandato como após o seu termo, quanto a quaisquer informações confidenciais a que tenham tido acesso no desempenho das suas funções ou exercício dos seus poderes. Durante o seu mandato, essa obrigação de sigilo profissional aplica-se, em especial, à comunicação por pessoas singulares de violações do presente regulamento.

Secção 2

Competência, atribuições e poderes

Artigo 88.o

Tratamento no contexto laboral

1. Os Estados-Membros podem estabelecer, no seu ordenamento jurídico ou em convenções coletivas, normas mais específicas para garantir a defesa dos direitos e liberdades no que respeita ao tratamento de dados pessoais dos trabalhadores no contexto laboral, nomeadamente para efeitos de recrutamento, execução do contrato de trabalho, incluindo o cumprimento das obrigações previstas no ordenamento jurídico ou em convenções coletivas, de gestão, planeamento e organização do trabalho, de igualdade e diversidade no local de trabalho, de saúde e segurança no trabalho, de proteção dos bens do empregador ou do cliente e para efeitos do exercício e gozo, individual ou coletivo, dos direitos e benefícios relacionados com o emprego, bem como para efeitos de cessação da relação de trabalho.

2. As normas referidas incluem medidas adequadas e específicas para salvaguardar a dignidade, os interesses legítimos e os direitos fundamentais do titular dos dados, com especial relevo para a transparência do tratamento de dados, a transferência de dados pessoais num grupo empresarial ou num grupo de empresas envolvidas numa atividade económica conjunta e os sistemas de controlo no local de trabalho.

3. Os Estados-Membros notificam a Comissão das disposições de direito interno que adotarem nos termos do n.o 1, até 25 de maio de 2018 e, sem demora, de qualquer alteração subsequente das mesmas.

Artigo 95.o

relação com a Diretiva 2002/58/CE

O presente regulamento não impõe obrigações suplementares a pessoas singulares ou coletivas no que respeita ao tratamento no contexto da prestação de serviços de comunicações eletrónicas disponíveis nas redes públicas de comunicações na União em matérias que estejam sujeitas a obrigações específicas com o mesmo objetivo estabelecidas na Diretiva 2002/58/CE.

Artigo 96.o

relação com acordos celebrados anteriormente

Os acordos internacionais celebrados pelos Estados-Membros antes de 24 de maio de 2016, que impliquem a transferência de dados pessoais para países terceiros ou organizações internacionais e que sejam conformes com o direito da União aplicável antes dessa data, permanecem em vigor até serem alterados, substituídos ou revogados.

whereas

(3) A Diretiva 95/46/CE do Parlamento Europeu e do Conselho (4) visa harmonizar a defesa dos direitos e das liberdades fundamentais das pessoas singulares em relação às atividades de tratamento de dados e assegurar a livre circulação de dados pessoais entre os Estados-Membros.

- = -

(4) O tratamento dos dados pessoais deverá ser concebido para servir as pessoas.
O direito à proteção de dados pessoais não é absoluto; deve ser considerado em relação à sua função na sociedade e ser equilibrado com outros direitos fundamentais, em conformidade com o princípio da proporcionalidade.
O presente regulamento respeita todos os direitos fundamentais e observa as liberdade e os princípios reconhecidos na Carta, consagrados nos Tratados, nomeadamente o respeito pela vida privada e familiar, pelo domicílio e pelas comunicações, a proteção dos dados pessoais, a liberdade de pensamento, de consciência e de religião, a liberdade de expressão e de informação, a liberdade de empresa, o direito à ação e a um tribunal imparcial, e a diversidade cultural, religiosa e linguística.

- = -

(38) As crianças merecem proteção especial quanto aos seus dados pessoais, uma vez que podem estar menos cientes dos riscos, consequências e garantias em questão e dos seus direitos relacionados com o tratamento dos dados pessoais.
Essa proteção específica deverá aplicar-se, nomeadamente, à utilização de dados pessoais de crianças para efeitos de comercialização ou de criação de perfis de personalidade ou de utilizador, bem como à recolha de dados pessoais em relação às crianças aquando da utilização de serviços disponibilizados diretamente às crianças.
O consentimento do titular das responsabilidades parentais não deverá ser necessário no contexto de serviços preventivos ou de aconselhamento oferecidos diretamente a uma criança.

- = -

(47) Os interesses legítimos dos responsáveis pelo tratamento, incluindo os dos responsáveis a quem os dados pessoais possam ser comunicados, ou de terceiros, podem constituir um fundamento jurídico para o tratamento, desde que não prevaleçam os interesses ou os direitos e liberdades fundamentais do titular, tomando em conta as expectativas razoáveis dos titulares dos dados baseadas na relação com o responsável.
Poderá haver um interesse legítimo, por exemplo, quando existir uma relação relevante e apropriada entre o titular dos dados e o responsável pelo tratamento, em situações como aquela em que o titular dos dados é cliente ou está ao serviço do responsável pelo tratamento.
De qualquer modo, a existência de um interesse legítimo requer uma avaliação cuidada, nomeadamente da questão de saber se o titular dos dados pode razoavelmente prever, no momento e no contexto em que os dados pessoais são recolhidos, que esses poderão vir a ser tratados com essa finalidade.
Os interesses e os direitos fundamentais do titular dos dados podem, em particular, sobrepor-se ao interesse do responsável pelo tratamento, quando que os dados pessoais sejam tratados em circunstâncias em que os seus titulares já não esperam um tratamento adicional.
Dado que incumbe ao legislador prever por lei o fundamento jurídico para autorizar as autoridades a procederem ao tratamento de dados pessoais, esse fundamento jurídico não deverá ser aplicável aos tratamentos efetuados pelas autoridades públicas na prossecução das suas atribuições.
O tratamento de dados pessoais estritamente necessário aos objetivos de prevenção e controlo da fraude constitui igualmente um interesse legítimo do responsável pelo seu tratamento.
Poderá considerar-se de interesse legítimo o tratamento de dados pessoais efetuado para efeitos de comercialização direta.

- = -

(50) O tratamento de dados pessoais para outros fins que não aqueles para os quais os dados pessoais tenham sido inicialmente recolhidos apenas deverá ser autorizado se for compatível com as finalidades para as quais os dados pessoais tenham sido inicialmente recolhidos.
Nesse caso, não é necessário um fundamento jurídico distinto do que permitiu a recolha dos dados pessoais.
Se o tratamento for necessário para o exercício de funções de interesse público ou o exercício da autoridade pública de que está investido o responsável pelo tratamento, o direito da União ou dos Estados-Membros pode determinar e definir as tarefas e finalidades para as quais o tratamento posterior deverá ser considerado compatível e lícito.
As operações de tratamento posterior para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, deverão ser consideradas tratamento lícito compatível.
O fundamento jurídico previsto no direito da União ou dos Estados-Membros para o tratamento dos dados pessoais pode igualmente servir de fundamento jurídico para o tratamento posterior.
A fim de apurar se a finalidade de uma nova operação de tratamento dos dados é ou não compatível com a finalidade para que os dados pessoais foram inicialmente recolhidos, o responsável pelo seu tratamento, após ter cumprido todos os requisitos para a licitude do tratamento inicial, deverá ter em atenção, entre outros aspetos, a existência de uma ligação entre a primeira finalidade e aquela a que se destina a nova operação de tratamento que se pretende efetuar, o contexto em que os dados pessoais foram recolhidos, em especial as expectativas razoáveis do titular dos dados quanto à sua posterior utilização, baseadas na sua relação com o responsável pelo tratamento; a natureza dos dados pessoais; as consequências que o posterior tratamento dos dados pode ter para o seu titular; e a existência de garantias adequadas tanto no tratamento inicial como nas outras operações de tratamento previstas.

- = -

(68) Para reforçar o controlo sobre os seus próprios dados, sempre que o tratamento de dados pessoais for automatizado, o titular dos dados deverá ser autorizado a receber os dados pessoais que lhe digam respeito, que tenha fornecido a um responsável pelo tratamento num formato estruturado, de uso corrente, de leitura automática e interoperável, e a transmiti-los a outro responsável.
Os responsáveis pelo tratamento de dados deverão ser encorajados a desenvolver formatos interoperáveis que permitam a portabilidade dos dados.
Esse direito deverá aplicar-se também se o titular dos dados tiver fornecido os dados pessoais com base no seu consentimento ou se o tratamento for necessário para o cumprimento de um contrato.
Não deverá ser aplicável se o tratamento se basear num fundamento jurídico que não seja o consentimento ou um contrato.
Por natureza própria, esse direito não deverá ser exercido em relação aos responsáveis pelo tratamento que tratem dados pessoais na prossecução das suas atribuições públicas.
Por conseguinte, esse direito não deverá ser aplicável quando o tratamento de dados pessoais for necessário para o cumprimento de uma obrigação jurídica à qual o responsável esteja sujeito, para o exercício de atribuições de interesse público ou para o exercício da autoridade pública de que esteja investido o responsável pelo tratamento.
O direito do titular dos dados a transmitir ou receber dados pessoais que lhe digam respeito não deverá implicar para os responsáveis pelo tratamento a obrigação de adotar ou manter sistemas de tratamento que sejam tecnicamente compatíveis.
Quando um determinado conjunto de dados pessoais disser respeito a mais de um titular, o direito de receber os dados pessoais não deverá prejudicar os direitos e liberdades de outros titulares de dados nos termos do presente regulamento.
Além disso, esse direito também não deverá prejudicar o direito dos titulares dos dados a obter o apagamento dos dados pessoais nem as restrições a esse direito estabelecidas no presente regulamento e, nomeadamente, não deverá implicar o apagamento dos dados pessoais relativos ao titular que este tenha fornecido para execução de um contrato, na medida em que e enquanto os dados pessoais forem necessários para a execução do referido contrato.
Sempre que seja tecnicamente possível, o titular dos dados deverá ter o direito a que os dados pessoais sejam transmitidos diretamente entre os responsáveis pelo tratamento.

- = -

(81) Para assegurar o cumprimento do presente regulamento no que se refere ao tratamento a efetuar pelo subcontratante por conta do responsável pelo tratamento, este, quando confiar atividades de tratamento a um subcontratante, deverá recorrer exclusivamente a subcontratantes que ofereçam garantias suficientes, especialmente em termos de conhecimentos especializados, fiabilidade e recursos, quanto à execução de medidas técnicas e organizativas que cumpram os requisitos do presente regulamento, nomeadamente no que se refere à segurança do tratamento.
O facto de o subcontratante cumprir um código de conduta aprovado ou um procedimento de certificação aprovado poderá ser utilizado como elemento para demonstrar o cumprimento das obrigações do responsável pelo tratamento.
A realização de operações de tratamento de dados em subcontratação deverá ser regulada por um contrato ou por outro ato normativo ao abrigo do direito da União ou dos Estados-Membros, que vincule o subcontratante ao responsável pelo tratamento e em que seja estabelecido o objeto e a duração do contrato, a natureza e as finalidades do tratamento, o tipo de dados pessoais e as categorias dos titulares dos dados, tendo em conta as tarefas e responsabilidades específicas do subcontratante no contexto do tratamento a realizar e o risco em relação aos direitos e liberdades do titular dos dados.
O responsável pelo tratamento e o subcontratante poderão optar por utilizar um contrato individual ou cláusulas contratuais-tipo que são adotadas quer diretamente pela Comissão quer por uma autoridade de controlo em conformidade com o procedimento de controlo da coerência e adotadas posteriormente pela Comissão.
Após concluído o tratamento por conta do responsável pelo tratamento, o subcontratante deverá, consoante a escolha do primeiro, devolver ou apagar os dados pessoais, a menos que seja exigida a conservação dos dados pessoais ao abrigo do direito da União ou do Estado-Membro a que o subcontratante está sujeito.

- = -

(101) A circulação de dados pessoais, com origem e destino quer a países não pertencentes à União quer a organizações internacionais, é necessária ao desenvolvimento do comércio e da cooperação internacionais.
O aumento dessa circulação criou novos desafios e novas preocupações em relação à proteção dos dados pessoais.
Todavia, quando os dados pessoais são transferidos da União para responsáveis pelo tratamento, para subcontratantes ou para outros destinatários em países terceiros ou para organizações internacionais, o nível de proteção das pessoas singulares assegurado na União pelo presente regulamento deverá continuar a ser garantido, inclusive nos casos de posterior transferência de dados pessoais do país terceiro ou da organização internacional em causa para responsáveis pelo tratamento, subcontratantes desse país terceiro ou de outro, ou para uma organização internacional.
Em todo o caso, as transferências para países terceiros e organizações internacionais só podem ser efetuadas no pleno respeito pelo presente regulamento.
Só poderão ser realizadas transferências se, sob reserva das demais disposições do presente regulamento, as condições constantes das disposições do presente regulamento relativas a transferências de dados pessoais para países terceiros e organizações internacionais forem cumpridas pelo responsável pelo tratamento ou subcontratante.

- = -

(111) Deverá prever-se a possibilidade de efetuar transferências em determinadas circunstâncias em que o titular dos dados dê o seu consentimento explícito, em que a transferência seja ocasional e necessária em relação a um contrato ou a um contencioso judicial, independentemente de se tratar de um processo judicial, de um processo administrativo ou de um qualquer procedimento não judicial, incluindo procedimentos junto de organismos de regulação.
Deverá também estar prevista a possibilidade de efetuar transferências no caso de motivos importantes de interesse público previstos pelo direito da União ou de um Estado-Membro o exigirem, ou se a transferência for efetuada a partir de um registo criado por lei e destinado à consulta por parte do público ou de pessoas com um interesse legítimo.
Neste último caso, a transferência não deverá abranger a totalidade dos dados nem categorias completas de dados pessoais contidos nesse registo e, quando este último se destinar a ser consultado por pessoas com um interesse legítimo, a transferência apenas deverá ser efetuada a pedido dessas pessoas ou, caso sejam os seus destinatários, tendo plenamente em conta os interesses e os direitos fundamentais do titular dos dados.

- = -

(135) A fim de assegurar a aplicação coerente do presente regulamento em toda a União, deverá ser criado um procedimento de controlo da coerência e para a cooperação entre as autoridades de controlo.
Esse procedimento deverá ser aplicável, nomeadamente, quando uma autoridade de controlo tenciona adotar uma medida que vise produzir efeitos legais em relação a operações de tratamento que afetem substancialmente um número significativo de titulares de dados em vários Estados-Membros.
Deverá aplicar-se igualmente sempre que uma autoridade de controlo interessada, ou a Comissão, solicitar que essa matéria seja tratada no âmbito do procedimento de controlo da coerência.
Esse procedimento não deverá prejudicar medidas que a Comissão possa tomar no exercício das suas competências nos termos dos Tratados.

- = -

(143) Todas as pessoas singulares ou coletivas têm o direito de interpor recurso de anulação das decisões do Comité para o Tribunal de Justiça nas condições previstas no artigo 263.o do TFUE.
Enquanto destinatárias dessas decisões, as autoridades de controlo interessadas que as pretendam contestar têm de interpor recurso no prazo de dois meses a contar da sua notificação, em conformidade com o artigo 263.o do TFUE.
Se as decisões do Comité disserem direta e individualmente respeito a um responsável pelo tratamento, um subcontratante ou ao autor da reclamação, este pode interpor recurso de anulação dessas decisões no prazo de dois meses a contar da sua publicação no sítio web do Comité, em conformidade com o artigo 263.o do TFUE.
Sem prejuízo do direito que lhes assiste ao abrigo do artigo 263.o do TFUE, todas as pessoas, singulares ou coletivas, deverão ter direito a interpor junto dos tribunais nacionais competentes recurso efetivo das decisões das autoridades de controlo que produzam efeitos jurídicos em relação a essas pessoas.
Tais decisões dizem respeito, em especial, ao exercício de poderes de investigação, correção e autorização pelas autoridades de controlo ou à recusa ou rejeição de reclamações.
Porém, o direito a um recurso judicial efetivo não abrange medidas tomadas pelas autoridades de controlo que não sejam juridicamente vinculativas, como os pareceres emitidos ou o aconselhamento prestado pela autoridade de controlo.
Os recursos intepostos contra as autoridades de controlo deverão ser intepostos nos tribunais do Estado-Membro em cujo território se encontrem estabelecidas e obedecer às disposições processuais desse Estado-Membro.
Estes tribunais deverão ter jurisdição plena, incluindo o poder de analisar todas as questões de facto e de direito relevantes para o litígio.

- = -

(155) O direito do Estado-Membro ou as convenções coletivas (incluindo «acordos setoriais») podem prever regras específicas para o tratamento de dados pessoais dos trabalhadores no contexto laboral, nomeadamente no que respeita às condições em que os dados pessoais podem ser tratados no contexto laboral, com base no consentimento do assalariado, para efeitos de recrutamento, execução do contrato de trabalho, incluindo o cumprimento das obrigações previstas por lei ou por convenções coletivas, de gestão, planeamento e organização do trabalho, de igualdade e diversidade no trabalho, de saúde e segurança no trabalho, e para efeitos de exercício e gozo, individual ou coletivo, dos direitos e benefícios relacionados com o emprego, bem como para efeitos de cessação da relação de trabalho.

- = -

(157) Combinando informações provenientes dos registos, os investigadores podem obter novos conhecimentos de grande valor relativamente a problemas médicos generalizados, como as doenças cardiovasculares, o cancro e a depressão.
Com base nos registos, os resultados da investigação podem ser melhorados, já que assentam numa população mais ampla.
No âmbito das ciências sociais, a investigação com base em registos permite que os investigadores adquiram conhecimentos essenciais sobre a correlação a longo prazo entre uma série de condições sociais, como o desemprego e o ensino, e outras condições de vida.
Os resultados da investigação obtidos através de registos fornecem conhecimentos sólidos e de elevada qualidade, que podem servir de base para a elaboração e a execução de políticas assentes no conhecimento, para melhorar a qualidade de vida de uma quantidade de pessoas e a eficácia dos serviços sociais.
A fim de facilitar a investigação científica, os dados pessoais podem ser tratados para fins de investigação científica, sob reserva do estabelecimento de condições e garantias adequadas no direito da União ou dos Estados-Membros.

- = -

(166) A fim de cumprir os objetivos do presente regulamento, a saber, defender os direitos e liberdades fundamentais das pessoas singulares, nomeadamente o seu direito à proteção dos dados pessoais, e assegurar a livre circulação desses dados na União, o poder de adotar atos nos termos do artigo 290.o do TFUE deverá ser delegado na Comissão.
Em especial, deverão ser adotados atos delegados em relação aos critérios e requisitos aplicáveis aos procedimentos de certificação, às informações a fornecer por meio de ícones normalizados e aos procedimentos aplicáveis ao fornecimentos de tais ícones. É especialmente importante que a Comissão proceda a consultas adequadas ao longo dos seus trabalhos preparatórios, incluindo a nível de peritos.
A Comissão, aquando da preparação e elaboração dos atos delegados, deverá assegurar o envio simultâneo, em tempo útil e em devida forma, dos documentos relevantes ao Parlamento Europeu e ao Conselho.

- = -

(173) O presente regulamento deverá aplicar-se a todas as matérias relacionadas com a defesa dos direitos e das liberdades fundamentais em relação ao tratamento de dados pessoais, não sujeitas a obrigações específicas com o mesmo objetivo, enunciadas na Diretiva 2002/58/CE do Parlamento Europeu e do Conselho (18), incluindo as obrigações que incumbem ao responsável pelo tratamento e os direitos das pessoas singulares.
A fim de clarificar a relação entre o presente regulamento e a Diretiva 2002/58/CE, esta última deverá ser alterada em conformidade.
Uma vez adotado o presente regulamento, a Diretiva 2002/58/CE deverá ser revista, em especial a fim de assegurar a coerência com o presente regulamento,

- = -

dal 2004 diritto e informatica