search


interactive GDPR 2016/0679 PT

BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf

2016/0679 PT jump to: cercato: 'substancialmente' . Output generated live by software developed by IusOnDemand srl




whereas substancialmente:


definitions:


cloud tag: and the number of total unique words without stopwords is: 659

 

Artigo 4.o

Definições

Para efeitos do presente regulamento, entende-se por:

1)

«Dados pessoais», informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;

2)

«Tratamento», uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;

3)

«Limitação do tratamento», a inserção de uma marca nos dados pessoais conservados com o objetivo de limitar o seu tratamento no futuro;

4)

«Definição de perfis», qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados pessoais para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho profissional, a sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocações;

5)

«Pseudonimização», o tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável;

6)

«Ficheiro», qualquer conjunto estruturado de dados pessoais, acessível segundo critérios específicos, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico;

7)

«Responsável pelo tratamento», a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado-Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado-Membro;

8)

«Subcontratante», uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes;

9)

«Destinatário», uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que recebem comunicações de dados pessoais, independentemente de se tratar ou não de um terceiro. Contudo, as autoridades públicas que possam receber dados pessoais no âmbito de inquéritos específicos nos termos do direito da União ou dos Estados-Membros não são consideradas destinatários; o tratamento desses dados por essas autoridades públicas deve cumprir as regras de proteção de dados aplicáveis em função das finalidades do tratamento;

10)

«Terceiro», a pessoa singular ou coletiva, a autoridade pública, o serviço ou organismo que não seja o titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar os dados pessoais;

11)

«Consentimento» do titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento;

12)

«Violação de dados pessoais», uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento;

13)

«Dados genéticos», os dados pessoais relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa singular que deem informações únicas sobre a fisiologia ou a saúde dessa pessoa singular e que resulta designadamente de uma análise de uma amostra biológica proveniente da pessoa singular em causa;

14)

«Dados biométricos», dados pessoais resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa singular, nomeadamente imagens faciais ou dados dactiloscópicos;

15)

«Dados relativos à saúde», dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde;

16)

«Estabelecimento principal»:

a)

No que se refere a um responsável pelo tratamento com estabelecimentos em vários Estados-Membros, o local onde se encontra a sua administração central na União, a menos que as decisões sobre as finalidades e os meios de tratamento dos dados pessoais sejam tomadas noutro estabelecimento do responsável pelo tratamento na União e este último estabelecimento tenha competência para mandar executar tais decisões, sendo neste caso o estabelecimento que tiver tomado as referidas decisões considerado estabelecimento principal;

b)

No que se refere a um subcontratante com estabelecimentos em vários Estados-Membros, o local onde se encontra a sua administração central na União ou, caso o subcontratante não tenha administração central na União, o estabelecimento do subcontratante na União onde são exercidas as principais atividades de tratamento no contexto das atividades de um estabelecimento do subcontratante, na medida em que se encontre sujeito a obrigações específicas nos termos do presente regulamento;

17)

«Representante», uma pessoa singular ou coletiva estabelecida na União que, designada por escrito pelo responsável pelo tratamento ou subcontratante, nos termos do artigo 27.o, representa o responsável pelo tratamento ou o subcontratante no que se refere às suas obrigações respetivas nos termos do presente regulamento;

18)

«Empresa», uma pessoa singular ou coletiva que, independentemente da sua forma jurídica, exerce uma atividade económica, incluindo as sociedades ou associações que exercem regularmente uma atividade económica;

19)

«Grupo empresarial», um grupo composto pela empresa que exerce o controlo e pelas empresas controladas;

20)

«Regras vinculativas aplicáveis às empresas», as regras internas de proteção de dados pessoais aplicadas por um responsável pelo tratamento ou um subcontratante estabelecido no território de um Estado-Membro para as transferências ou conjuntos de transferências de dados pessoais para um responsável ou subcontratante num ou mais países terceiros, dentro de um grupo empresarial ou de um grupo de empresas envolvidas numa atividade económica conjunta;

21)

«Autoridade de controlo», uma autoridade pública independente criada por um Estado-Membro nos termos do artigo 51.o;

22)

«Autoridade de controlo interessada», uma autoridade de controlo afetada pelo tratamento de dados pessoais pelo facto de:

a)

O responsável pelo tratamento ou o subcontratante estar estabelecido no território do Estado-Membro dessa autoridade de controlo;

b)

Os titulares de dados que residem no Estado-Membro dessa autoridade de controlo serem substancialmente afetados, ou suscetíveis de o ser, pelo tratamento dos dados; ou

c)

Ter sido apresentada uma reclamação junto dessa autoridade de controlo;

23)

«Tratamento transfronteiriço»:

a)

O tratamento de dados pessoais que ocorre no contexto das atividades de estabelecimentos em mais do que um Estado-Membro de um responsável pelo tratamento ou um subcontratante na União, caso o responsável pelo tratamento ou o subcontratante esteja estabelecido em mais do que um Estado-Membro; ou

b)

O tratamento de dados pessoais que ocorre no contexto das atividades de um único estabelecimento de um responsável pelo tratamento ou de um subcontratante, mas que afeta substancialmente, ou é suscetível de afetar substancialmente, titulares de dados em mais do que um Estados-Membro;

24)

«Objeção pertinente e fundamentada», uma objeção a um projeto de decisão que visa determinar se há violação do presente regulamento ou se a ação prevista relativamente ao responsável pelo tratamento ou ao subcontratante está em conformidade com o presente regulamento, demonstrando claramente a gravidade dos riscos que advêm do projeto de decisão para os direitos e liberdades fundamentais dos titulares dos dados e, eventualmente, para a livre circulação de dados pessoais no território da União;

25)

«Serviços da sociedade da informação», um serviço definido no artigo 1.o, n.o 1, alínea b), da Diretiva (UE) 2015/1535 do Parlamento Europeu e do Conselho (19);

26)

«Organização internacional», uma organização e os organismos de direito internacional público por ela tutelados, ou outro organismo criado por um acordo celebrado entre dois ou mais países ou com base num acordo dessa natureza.

CAPÍTULO II

Princípios

Artigo 35.o

Avaliação de impacto sobre a proteção de dados

1.   Quando um certo tipo de tratamento, em particular que utilize novas tecnologias e tendo em conta a sua natureza, âmbito, contexto e finalidades, for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento procede, antes de iniciar o tratamento, a uma avaliação de impacto das operações de tratamento previstas sobre a proteção de dados pessoais. Se um conjunto de operações de tratamento que apresentar riscos elevados semelhantes, pode ser analisado numa única avaliação.

2.   Ao efetuar uma avaliação de impacto sobre a proteção de dados, o responsável pelo tratamento solicita o parecer do encarregado da proteção de dados, nos casos em que este tenha sido designado.

3.   A realização de uma avaliação de impacto sobre a proteção de dados a que se refere o n.o 1 é obrigatória nomeadamente em caso de:

a)

Avaliação sistemática e completa dos aspetos pessoais relacionados com pessoas singulares, baseada no tratamento automatizado, incluindo a definição de perfis, sendo com base nela adotadas decisões que produzem efeitos jurídicos relativamente à pessoa singular ou que a afetem significativamente de forma similar;

b)

Operações de tratamento em grande escala de categorias especiais de dados a que se refere o artigo 9.o, n.o 1, ou de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10.o; ou

c)

Controlo sistemático de zonas acessíveis ao público em grande escala.

4.   A autoridade de controlo elabora e torna pública uma lista dos tipos de operações de tratamento sujeitos ao requisito de avaliação de impacto sobre a proteção de dados por força do n.o 1. A autoridade de controlo comunica essas listas ao Comité referido no artigo 68.o.

5.   A autoridade de controlo pode também elaborar e tornar pública uma lista dos tipos de operações de tratamento em relação aos quais não é obrigatória uma análise de impacto sobre a proteção de dados. A autoridade de controlo comunica essas listas ao Comité.

6.   Antes de adotar as listas a que se referem os n.os 4 e 5, a autoridade de controlo competente aplica o procedimento de controlo da coerência referido no artigo 63.o sempre que essas listas enunciem atividades de tratamento relacionadas com a oferta de bens ou serviços a titulares de dados ou com o controlo do seu comportamento em diversos Estados-Membros, ou possam afetar substancialmente a livre circulação de dados pessoais na União.

7.   A avaliação inclui, pelo menos:

a)

Uma descrição sistemática das operações de tratamento previstas e a finalidade do tratamento, inclusive, se for caso disso, os interesses legítimos do responsável pelo tratamento;

b)

Uma avaliação da necessidade e proporcionalidade das operações de tratamento em relação aos objetivos;

c)

Uma avaliação dos riscos para os direitos e liberdades dos titulares dos direitos a que se refere o n.o 1; e

d)

As medidas previstas para fazer face aos riscos, incluindo as garantias, medidas de segurança e procedimentos destinados a assegurar a proteção dos dados pessoais e a demonstrar a conformidade com o presente regulamento, tendo em conta os direitos e os legítimos interesses dos titulares dos dados e de outras pessoas em causa.

8.   Ao avaliar o impacto das operações de tratamento efetuadas pelos responsáveis pelo tratamento ou pelos subcontratantes, em especial para efeitos de uma avaliação de impacto sobre a proteção de dados, é tido na devida conta o cumprimento dos códigos de conduta aprovados a que se refere o artigo 40.o por parte desses responsáveis ou subcontratantes.

9.   Se for adequado, o responsável pelo tratamento solicita a opinião dos titulares de dados ou dos seus representantes sobre o tratamento previsto, sem prejuízo da defesa dos interesses comerciais ou públicos ou da segurança das operações de tratamento.

10.   Se o tratamento efetuado por força do artigo 6.o, n.o 1, alínea c) ou e), tiver por fundamento jurídico o direito da União ou do Estado-Membro a que o responsável pelo tratamento está sujeito, e esse direito regular a operação ou as operações de tratamento específicas em questão, e se já tiver sido realizada uma avaliação de impacto sobre a proteção de dados no âmbito de uma avaliação de impacto geral no contexto da adoção desse fundamento jurídico, não são aplicáveis os n.os 1 a 7, salvo se os Estados-Membros considerarem necessário proceder a essa avaliação antes das atividades de tratamento.

11.   Se necessário, o responsável pelo tratamento procede a um controlo para avaliar se o tratamento é realizado em conformidade com a avaliação de impacto sobre a proteção de dados, pelo menos quando haja uma alteração dos riscos que as operações de tratamento representam.

Artigo 56.o

Competência da autoridade de controlo principal

1.   Sem prejuízo do disposto no artigo 55.o, a autoridade de controlo do estabelecimento principal ou do estabelecimento único do responsável pelo tratamento ou do subcontratante é competente para agir como autoridade de controlo principal para o tratamento transfronteiriço efetuado pelo referido responsável pelo tratamento ou subcontratante nos termos do artigo 60.o.

2.   Em derrogação do n.o 1, cada autoridade de controlo é competente para tratar reclamações que lhe sejam apresentadas ou a eventuais violações do presente regulamento se a matéria em apreço estiver relacionada apenas com um estabelecimento no seu Estado-Membro ou se afetar substancialmente titulares de dados apenas no seu Estado-Membro.

3.   Nos casos previstos no n.o 2 do presente artigo, a autoridade de controlo informa sem demora do assunto a autoridade de controlo principal. No prazo de três semanas a contar do momento em que tiver sido informada, a autoridade de controlo principal decide se trata o caso, nos termos do artigo 60.o, tendo em conta se há ou não algum estabelecimento do responsável pelo tratamento ou subcontratante no Estado-Membro sobre o qual a autoridade de controlo a tenha informado.

4.   Quando a autoridade de controlo principal decide tratar o caso, aplica-se o procedimento previsto no artigo 60.o. A autoridade de controlo que tiver informado a autoridade de controlo principal pode apresentar a esta última um projeto de decisão. A autoridade de controlo principal tem esse projeto na melhor conta quando prepara o projeto de decisão referido no artigo 60.o, n.o 3.

5.   Caso a autoridade de controlo principal decida não tratar o caso, é a autoridade de controlo que a informou que o trata, nos termos dos artigos 61.o e 62.o.

6.   A autoridade de controlo principal é o único interlocutor do responsável pelo tratamento ou do subcontratante no tratamento transfronteiriço efetuado pelo referido responsável pelo tratamento ou subcontratante.

Artigo 62.o

Operações conjuntas das autoridades de controlo

1.   As autoridades de controlo conduzem, sempre que conveniente, operações conjuntas, incluindo investigações e medidas de execução conjuntas nas quais participem membros ou pessoal das autoridades de controlo de outros Estados-Membros.

2.   Nos casos em que o responsável pelo tratamento ou o subcontratante tenha estabelecimentos em vários Estados-Membros ou nos casos em que haja um número significativo de titulares de dados em mais do que um Estado-Membro que sejam suscetíveis de ser substancialmente afetados pelas operações de tratamento, uma autoridade de controlo de cada um desses Estados-Membros tem direito a participar nas operações conjuntas. A autoridade de controlo competente nos termos do artigo 56.o, n.o 1 ou n.o 4, convida a autoridade de controlo de cada um desses Estados-Membros a participar nas operações conjuntas e responde sem demora ao pedido de um autoridade de controlo para participar.

3.   As autoridades de controlo podem, nos termos do direito do seu Estado-Membro, e com a autorização da autoridade de controlo de origem, conferir poderes, nomeadamente poderes de investigação, aos membros ou ao pessoal da autoridade de controlo de origem implicados nas operações conjuntas ou, na medida em que o direito do Estado-Membro da autoridade de controlo de acolhimento o permita, autorizar os membros ou o pessoal da autoridade de controlo de origem a exercer os seus poderes de investigação nos termos do direito do Estado-Membro da autoridade de controlo de origem. Esses poderes de investigação podem ser exercidos apenas sob a orientação e na presença de membros ou pessoal da autoridade de controlo de acolhimento. Os membros ou pessoal da autoridade de controlo de origem estão sujeitos ao direito do Estado-Membro da autoridade de controlo de acolhimento.

4.   Se, nos termos do n.o 1, o pessoal da autoridade de controlo de origem exercer atividades noutro Estado-Membro, o Estado-Membro da autoridade de controlo de acolhimento assume a responsabilidade pelos seus atos, incluindo a responsabilidade por quaisquer danos por ele causados no decurso de tais atividades, de acordo com o direito do Estado-Membro em cujo território atuam.

5.   O Estado-Membro em cujo território forem causados os danos indemniza-os nas condições aplicáveis aos danos causados pelo seu próprio pessoal. O Estado-Membro da autoridade de controlo de origem cujo pessoal tenha causado danos a qualquer pessoa no território de outro Estado-Membro reembolsa integralmente esse outro Estado-Membro das somas que tenha pago aos seus representantes legais.

6.   Sem prejuízo do exercício dos seus direitos perante terceiros e com exceção do disposto no n.o 5, cada Estado-Membro renuncia, no caso previsto no n.o 1, a solicitar a outro Estado-Membro o reembolso do montante dos danos referido no n.o 4.

7.   Sempre que se tencione efetuar uma operação conjunta e uma autoridade de controlo não cumprir, no prazo de um mês, a obrigação estabelecida n.o 2, segunda frase, do presente artigo, as outras autoridades de controlo podem adotar uma medida provisória no território do respetivo Estado-Membro em conformidade com o artigo 55.o. Nesse caso, presume-se que é urgente intervir, nos termos do artigo 66.o, n.o 1, e solicitar um parecer ou uma decisão vinculativa urgente ao Comité, nos termos do artigo 66.o, n.o 2.

Secção 2

Coerência


whereas

dal 2004 diritto e informatica