Processo : 2017/0002(COD)
Ciclo de vida em sessão
Ciclo relativo ao documento : A8-0313/2017

Textos apresentados :

A8-0313/2017

Debates :

PV 12/09/2018 - 13
CRE 12/09/2018 - 13

Votação :

PV 13/09/2018 - 10.5
Declarações de voto

Textos aprovados :

P8_TA(2018)0348

RELATÓRIO     ***I
PDF 990kWORD 174k
19.10.2017
PE 605.954v02-00 A8-0313/2017

sobre a proposta de regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições, órgãos, organismos e agências da União e à livre circulação desses dados e que revoga o Regulamento (CE) n.º 45/2001 e a Decisão n.º 1247/2002/CE

(COM(2017)0008 – C8-0008/2017 – 2017/0002(COD))

Comissão das Liberdades Cívicas, da Justiça e dos Assuntos Internos

Relatora: Cornelia Ernst

ERRATAS/ADENDAS
ALTERAÇÕES
PROJETO DE RESOLUÇÃO LEGISLATIVA DO PARLAMENTO EUROPEU
 EXPOSIÇÃO DE MOTIVOS
 PARECER da Comissão dos Assuntos Jurídicos
 PROCESSO DA COMISSÃO COMPETENTE QUANTO À MATÉRIA DE FUNDO
 VOTAÇÃO NOMINAL FINALNA COMISSÃO COMPETENTE QUANTO À MATÉRIA DE FUNDO

PROJETO DE RESOLUÇÃO LEGISLATIVA DO PARLAMENTO EUROPEU

sobre a proposta de regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições, órgãos, organismos e agências da União e à livre circulação desses dados e que revoga o Regulamento (CE) n.º 45/2001 e a Decisão n.º 1247/2002/CE

(COM(2017)0008 – C8-0008/2017 – 2017/0002(COD))

(Processo legislativo ordinário: primeira leitura)

O Parlamento Europeu,

–  Tendo em conta a proposta da Comissão ao Parlamento e ao Conselho (COM(2017)0008),

–  Tendo em conta o artigo 294.º, n.º 2, e o artigo 16.º, n.º 2, do Tratado sobre o Funcionamento da União Europeia, nos termos dos quais a proposta lhe foi apresentada pela Comissão (C8-0008/2017),

–  Tendo em conta o artigo 294.º, n.º 3, do Tratado sobre o Funcionamento da União Europeia,

–  Tendo em conta os contributos apresentados pela Câmara dos Deputados checa, pelas Cortes Gerais espanholas e pelo Parlamento português sobre o projeto de ato legislativo,

–  Tendo em conta o artigo 59.º do seu Regimento,

–  Tendo em conta o relatório da Comissão das Liberdades Cívicas, da Justiça e dos Assuntos Internos e o parecer da Comissão dos Assuntos Jurídicos (A8-0313/2017),

1.  Aprova a posição em primeira leitura que se segue;

2.  Requer à Comissão que lhe submeta de novo a sua proposta, se a substituir, se a alterar substancialmente ou se pretender alterá-la substancialmente;

3.  Encarrega o seu Presidente de transmitir a posição do Parlamento ao Conselho, à Comissão e aos parlamentos nacionais.

Alteração    1

Proposta de regulamento

Considerando 1

Texto da Comissão

Alteração

(1)  A proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais é um direito fundamental. O artigo 8.º, n.º 1, da Carta dos Direitos Fundamentais da União Europeia («Carta») e o artigo 16.º, n.º 1, do Tratado sobre o Funcionamento da União Europeia (TFUE) estabelecem que todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito.

(1)  A proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais é um direito fundamental. O artigo 8.º, n.º 1, da Carta dos Direitos Fundamentais da União Europeia («Carta») e o artigo 16.º, n.º 1, do Tratado sobre o Funcionamento da União Europeia (TFUE) estabelecem que todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito. Este direito é igualmente garantido pelo artigo 8.º da Convenção Europeia dos Direitos do Homem.

Alteração    2

Proposta de regulamento

Considerando 5

Texto da Comissão

Alteração

(5)  É no interesse de uma abordagem coerente à proteção de dados pessoais em toda a União e da livre circulação de dados pessoais na União, harmonizar o mais possível as normas de proteção de dados adotadas a nível das instituições e organismos da União com as normas de proteção de dados adotadas para o setor público nos Estados-Membros. Sempre que as disposições do presente regulamento sejam baseadas no mesmo conceito que as disposições do Regulamento (UE) 2016/679, essas duas disposições devem ser interpretadas de forma homogénea, sobretudo porque o sistema do presente regulamento deve ser entendido como equivalente ao sistema do Regulamento (UE) 2016/679.

(5)  É no interesse de uma abordagem coerente à proteção de dados pessoais em toda a União e da livre circulação de dados pessoais na União, harmonizar as normas de proteção de dados adotadas a nível das instituições, órgãos, organismos e agências da União com as normas de proteção de dados adotadas para o setor público nos Estados-Membros. Sempre que as disposições do presente regulamento sejam baseadas no mesmo conceito que as disposições do Regulamento (UE) 2016/679, essas duas disposições, em conformidade com a jurisprudência do Tribunal de Justiça da União Europeia1-A, devem ser interpretadas de forma homogénea, sobretudo porque o sistema do presente regulamento deve ser entendido como equivalente ao sistema do Regulamento (UE) 2016/679.

 

_________________

 

1-A Acórdão do Tribunal de Justiça, de 9 de março de 2010, Comissão/Alemanha, C-518/07, ECLI:EU:C:2010:125, n.ºs 26 e 28.

Alteração    3

Proposta de regulamento

Considerando 7-A (novo)

Texto da Comissão

Alteração

 

(7-A)  O quadro jurídico em matéria de proteção de dados com vista ao seu tratamento no decurso de atividades de instituições e organismos da União nos domínios da liberdade, da segurança e da justiça, bem como da política externa e de segurança comum permanece fragmentado e cria incerteza jurídica. Por conseguinte, o presente regulamento deve prever normas harmonizadas para a proteção e a livre circulação de dados pessoais tratados pelas instituições e organismos da União que exercem atividades abrangidas pelo âmbito de aplicação dos Capítulos 4 e 5 do Título V da Parte III do TFUE e do Capítulo 2 do Título V do TUE.

Alteração    4

Proposta de regulamento

Considerando 8

Texto da Comissão

Alteração

(8)  Na Declaração 21 sobre a proteção de dados pessoais no domínio da cooperação judiciária em matéria penal e da cooperação policial, anexada à Ata Final da Conferência Intergovernamental que adotou o Tratado de Lisboa, a conferência reconheceu que, atendendo à especificidade dos domínios em causa, poderão ser necessárias disposições especiais sobre a proteção de dados pessoais e a livre circulação desses dados nos domínios da cooperação judiciária em matéria penal e da cooperação policial, com base no artigo 16.º do TFUE. Por conseguinte, o presente regulamento deve ser aplicado às agências da União que exerçam atividades nos domínios da cooperação judiciária em matéria penal e da cooperação policial, apenas na medida em que o direito da União aplicável a essas agências não contenha normas específicas sobre o tratamento de dados pessoais.

(8)  Na Declaração 21 sobre a proteção de dados pessoais no domínio da cooperação judiciária em matéria penal e da cooperação policial, anexada à Ata Final da Conferência Intergovernamental que adotou o Tratado de Lisboa, a conferência reconheceu que, atendendo à especificidade dos domínios em causa, poderão ser necessárias disposições especiais sobre a proteção de dados pessoais e a livre circulação desses dados nos domínios da cooperação judiciária em matéria penal e da cooperação policial, com base no artigo 16.º do TFUE. Além disso, o domínio da política externa e de segurança comum tem a sua especificidade e regras específicas sobre a proteção de dados pessoais, pelo que podem revelar-se também necessárias disposições específicas sobre a proteção de dados pessoais e a livre circulação desses dados. Por conseguinte, é adequado regulamentar o tratamento de dados pessoais operacionais pelas agências da União estabelecidas com base nos Capítulos 4 e 5 do Título V da Parte III do TFUE e pelas missões referidas no artigo 42.º, n.º 1, e nos artigos 43.º e 44.º do TUE por normas específicas que derrogam várias normas gerais do presente regulamento.

Alteração    5

Proposta de regulamento

Considerando 14

Texto da Comissão

Alteração

(14)  O consentimento do titular dos dados deve ser dado mediante um ato positivo claro que indique uma manifestação de vontade livre, específica, informada e inequívoca de que autoriza o tratamento dos dados que lhe digam respeito, por exemplo mediante uma declaração escrita, inclusive em formato eletrónico, ou uma declaração oral. O consentimento pode ser dado validando uma opção ao visitar um sítio Web na Internet, selecionando os parâmetros técnicos para os serviços da sociedade da informação ou mediante outra declaração ou conduta que indique claramente nesse contexto que aceita o tratamento proposto dos seus dados pessoais. O silêncio, as opções pré-validadas ou a omissão não devem, por conseguinte, constituir um consentimento. O consentimento deve abranger todas as atividades de tratamento realizadas com a mesma finalidade. Nos casos em que o tratamento sirva fins múltiplos, deve ser dado um consentimento para todos esses fins. Se o consentimento tiver de ser dado no seguimento de um pedido apresentado por via eletrónica, esse pedido tem de ser claro e conciso e não pode perturbar desnecessariamente a utilização do serviço para o qual é fornecido.

(14)  O consentimento do titular dos dados deve ser dado mediante um ato positivo claro que indique uma manifestação de vontade livre, específica, informada e inequívoca de que autoriza o tratamento dos dados que lhe digam respeito, por exemplo mediante uma declaração escrita, inclusive em formato eletrónico, ou uma declaração oral. O consentimento pode ser dado validando uma opção ao visitar um sítio Web na Internet, selecionando os parâmetros técnicos para os serviços da sociedade da informação ou mediante outra declaração ou conduta que indique claramente nesse contexto que aceita o tratamento proposto dos seus dados pessoais. O silêncio, as opções pré-validadas ou a omissão não devem, por conseguinte, constituir um consentimento. O consentimento deve abranger todas as atividades de tratamento realizadas com a mesma finalidade. Nos casos em que o tratamento sirva fins múltiplos, deve ser dado um consentimento para todos esses fins. Se o consentimento tiver de ser dado no seguimento de um pedido apresentado por via eletrónica, esse pedido tem de ser claro e conciso e não pode perturbar desnecessariamente a utilização do serviço para o qual é fornecido. Ao mesmo tempo, o titular dos dados deve ter o direito de retirar o seu consentimento a qualquer momento, sem comprometer a licitude do tratamento efetuado com base no consentimento previamente dado.

Alteração    6

Proposta de regulamento

Considerando 15

Texto da Comissão

Alteração

(15)  O tratamento de dados pessoais deve ser efetuado de forma lícita e leal. Deve ser transparente para as pessoas singulares que os dados pessoais que lhes digam respeito são recolhidos, utilizados, consultados ou sujeitos a qualquer outro tipo de tratamento e a medida em que os dados pessoais são ou virão a ser tratados. O princípio da transparência exige que as informações ou comunicações relacionadas com o tratamento desses dados pessoais sejam de fácil acesso e compreensão, e formuladas numa linguagem clara e simples. Esse princípio diz respeito, em particular, às informações fornecidas aos titulares dos dados sobre a identidade do responsável pelo tratamento dos mesmos e as finalidades a que o tratamento se destina, bem como às informações que se destinam a assegurar que seja efetuado com lealdade e transparência em relação às pessoas singulares em causa, bem como a salvaguardar o seu direito a obter a confirmação e a comunicação dos dados pessoais que lhes digam respeito que estão a ser tratados. As pessoas singulares a quem os dados digam respeito devem ser alertadas para os riscos, normas, garantias e direitos associados ao tratamento dos dados pessoais e para os meios de que dispõem para exercer os seus direitos relativamente a esse tratamento. Em especial, as finalidades específicas do tratamento dos dados pessoais devem ser explícitas e legítimas e ser determinadas aquando da recolha dos dados pessoais. Os dados pessoais devem ser adequados, pertinentes e limitados ao necessário para os efeitos para os quais são tratados. Para tal, é necessário assegurar, em especial, que o prazo de conservação dos dados seja limitado ao mínimo. Os dados pessoais apenas devem ser tratados se a finalidade do tratamento não puder ser atingida de forma razoável por outros meios. A fim de assegurar que os dados pessoais são conservados apenas durante o período considerado necessário, o responsável pelo tratamento deve fixar os prazos para o apagamento ou a revisão periódica. Devem ser adotadas todas as medidas razoáveis para que os dados pessoais incorretos sejam retificados ou apagados. Os dados pessoais devem ser tratados de uma forma que garanta a devida segurança e confidencialidade, designadamente para evitar o acesso a dados pessoais e equipamentos utilizados para o seu tratamento ou a sua utilização por pessoas não autorizadas.

(15)  O tratamento de dados pessoais deve ser efetuado de forma lícita e leal e realizado para finalidades bem determinadas e explícitas. Deve ser transparente para as pessoas singulares que os dados pessoais que lhes digam respeito são recolhidos, utilizados, consultados ou sujeitos a qualquer outro tipo de tratamento e a medida em que os dados pessoais são ou virão a ser tratados. O princípio da transparência exige que as informações ou comunicações relacionadas com o tratamento desses dados pessoais sejam de fácil acesso e compreensão, e formuladas numa linguagem clara e simples. Esse princípio diz respeito, em particular, às informações fornecidas aos titulares dos dados sobre a identidade do responsável pelo tratamento dos mesmos e as finalidades a que o tratamento se destina, bem como às informações que se destinam a assegurar que seja efetuado com lealdade e transparência em relação às pessoas singulares em causa, bem como a salvaguardar o seu direito a obter a confirmação e a comunicação dos dados pessoais que lhes digam respeito que estão a ser tratados. As pessoas singulares a quem os dados digam respeito devem ser alertadas para os riscos, normas, garantias e direitos associados ao tratamento dos dados pessoais e para os meios de que dispõem para exercer os seus direitos relativamente a esse tratamento. Em especial, as finalidades específicas do tratamento dos dados pessoais devem ser explícitas e legítimas e ser determinadas aquando da recolha dos dados pessoais. Os dados pessoais devem ser adequados, pertinentes e limitados ao necessário para os efeitos para os quais são tratados. Para tal, é necessário assegurar, em especial, que o prazo de conservação dos dados seja limitado ao mínimo. Os dados pessoais apenas devem ser tratados se a finalidade do tratamento não puder ser atingida de forma razoável por outros meios. A fim de assegurar que os dados pessoais são conservados apenas durante o período considerado necessário, o responsável pelo tratamento deve fixar os prazos para o apagamento ou a revisão periódica. Devem ser adotadas todas as medidas razoáveis para que os dados pessoais incorretos sejam retificados ou apagados. Os dados pessoais devem ser tratados de uma forma que garanta a devida segurança e confidencialidade, designadamente para evitar o acesso a dados pessoais e equipamentos utilizados para o seu tratamento, a sua divulgação por transmissão ou a sua utilização por pessoas não autorizadas.

Alteração    7

Proposta de regulamento

Considerando 18

Texto da Comissão

Alteração

(18)  O direito da União, incluindo as normas internas mencionadas no presente regulamento, deve ser claro e rigoroso e a sua aplicação deve ser previsível para os seus destinatários, em conformidade com a jurisprudência do Tribunal de Justiça da União Europeia e do Tribunal Europeu dos Direitos do Homem.

(18)  O direito da União mencionado no presente regulamento deve ser claro e rigoroso e a sua aplicação deve ser previsível para os seus destinatários, em conformidade com as exigências estabelecidas na Carta e na Convenção Europeia para a Proteção dos Direitos do Homem e das Liberdades Fundamentais.

Alteração    8

Proposta de regulamento

Considerando 20

Texto da Comissão

Alteração

(20)  Sempre que o tratamento tiver por base o consentimento do titular dos dados, o responsável pelo tratamento deve poder demonstrar que o titular deu o seu consentimento a esse tratamento. Em especial, no contexto de uma declaração escrita relativa a outra matéria, devem existir as devidas garantias de que o titular dos dados está plenamente ciente do consentimento dado e do seu alcance. Em conformidade com a Diretiva 93/13/CEE14 do Conselho , é oportuno prever uma declaração de consentimento previamente redigida pelo responsável pelo tratamento de forma compreensível e facilmente acessível, numa linguagem clara e simples e sem cláusulas abusivas. Para efeitos de um consentimento informado, o titular dos dados deve conhecer, pelo menos, a identidade do responsável pelo tratamento e as finalidades do tratamento para as quais os dados se destinam. Não se deve considerar que o consentimento foi dado de livre vontade se o titular dos dados não dispuser de uma escolha verdadeira ou livre ou não puder recusar nem retirar o consentimento sem ser prejudicado.

(20)  Sempre que o tratamento tiver por base o consentimento do titular dos dados, o responsável pelo tratamento deve poder demonstrar que o titular deu o seu consentimento a esse tratamento. Em especial, no contexto de uma declaração escrita relativa a outra matéria, devem existir as devidas garantias de que o titular dos dados está plenamente ciente do consentimento dado e do seu alcance. Em conformidade com a Diretiva 93/13/CEE14 do Conselho , é oportuno prever uma declaração de consentimento previamente redigida pelo responsável pelo tratamento de forma compreensível e facilmente acessível, numa linguagem clara e simples e sem cláusulas abusivas. Para efeitos de um consentimento informado, o titular dos dados deve conhecer, pelo menos, a identidade do responsável pelo tratamento, as finalidades do tratamento para as quais os dados se destinam, bem como as categorias de destinatários dos dados, e ser informado do direito de aceder aos dados e de intervir nos mesmos. Não se deve considerar que o consentimento foi dado de livre vontade se o titular dos dados não dispuser de uma escolha verdadeira ou livre ou não puder recusar nem retirar o consentimento sem ser prejudicado.

_________________

_________________

14 Diretiva 93/13/CEE do Conselho, de 5 de abril de 1993, relativa às cláusulas abusivas nos contratos celebrados com os consumidores (JO L 95 de 21.4.1993, p. 29).

14 Diretiva 93/13/CEE do Conselho, de 5 de abril de 1993, relativa às cláusulas abusivas nos contratos celebrados com os consumidores (JO L 95 de 21.4.1993, p. 29).

Alteração    9

Proposta de regulamento

Considerando 22

Texto da Comissão

Alteração

(22)  Quando os destinatários estabelecidos na União e sujeitos ao disposto no Regulamento (UE) 2016/679 ou na Diretiva (UE) 2016/680, pretendem que lhes sejam transmitidos os seus dados pessoais pelas instituições e organismos da União, devem demonstrar que a transmissão é necessária para a obtenção do seu objetivo, é proporcionada e não excede o necessário para atingir tal objetivo. As instituições e organismos da União devem demonstrar essa necessidade quando estão na origem da transmissão, em conformidade com o princípio da transparência.

(22)  Quando os destinatários estabelecidos na União e sujeitos ao disposto no Regulamento (UE) 2016/679 ou na Diretiva (UE) 2016/680, pretendem que lhes sejam transmitidos os seus dados pessoais pelas instituições e organismos da União, devem apresentar ao responsável pelo tratamento um pedido fundamentado para a respetiva transmissão, o qual deve servir de base para que o referido responsável avalie se essa transmissão é necessária para a obtenção do seu objetivo, é proporcionada e não excede o necessário para atingir tal objetivo. As instituições e organismos da União devem demonstrar essa necessidade quando estão na origem da transmissão, em conformidade com o princípio da transparência.

Alteração    10

Proposta de regulamento

Considerando 23

Texto da Comissão

Alteração

(23)  Merecem proteção específica os dados pessoais que são, pela sua natureza, especialmente sensíveis do ponto de vista dos direitos e liberdades fundamentais, dado que o contexto do tratamento desses dados poderá implicar riscos significativos para os direitos e liberdades fundamentais. Devem incluir-se neste caso os dados pessoais que revelem a origem racial ou étnica, não implicando o uso da expressão «origem racial» no presente regulamento que a União aceita teorias que tentam demonstrar a existência de diferentes raças humanas. O tratamento de fotografias não deve ser considerado sistematicamente um tratamento de categorias especiais de dados pessoais, uma vez que são apenas abrangidas pela definição de dados biométricos quando forem processadas por meios técnicos específicos que permitam a identificação inequívoca ou a autenticação de uma pessoa singular. Para além dos requisitos específicos para o tratamento de dados sensíveis, devem aplicar-se os princípios gerais e outras disposições do presente regulamento, em especial, no que se refere às condições para o tratamento lícito. É oportuno prever expressamente derrogações à proibição geral de tratamento de categorias especiais de dados pessoais, por exemplo, se o titular dos dados der o seu consentimento expresso ou para ter em conta necessidades específicas, designadamente quando o tratamento for efetuado no exercício de atividades legítimas de certas associações ou fundações que tenham por finalidade permitir o exercício das liberdades fundamentais.

(23)  Merecem proteção específica os dados pessoais que são, pela sua natureza, especialmente sensíveis do ponto de vista dos direitos e liberdades fundamentais, dado que o contexto do tratamento desses dados poderá implicar riscos significativos para os direitos e liberdades fundamentais. Tais dados pessoais não devem ser objeto de tratamento, salvo se essa operação for autorizada em casos específicos, definidos no presente regulamento. Devem incluir-se neste caso os dados pessoais que revelem a origem racial ou étnica, não implicando o uso da expressão «origem racial» no presente regulamento que a União aceita teorias que tentam demonstrar a existência de diferentes raças humanas. O tratamento de fotografias não deve ser considerado sistematicamente um tratamento de categorias especiais de dados pessoais, uma vez que são apenas abrangidas pela definição de dados biométricos quando forem processadas por meios técnicos específicos que permitam a identificação inequívoca ou a autenticação de uma pessoa singular. Para além dos requisitos específicos para o tratamento de dados sensíveis, devem aplicar-se os princípios gerais e outras disposições do presente regulamento, em especial, no que se refere às condições para o tratamento lícito. É oportuno prever expressamente derrogações à proibição geral de tratamento de categorias especiais de dados pessoais, por exemplo, se o titular dos dados der o seu consentimento expresso ou para ter em conta necessidades específicas, designadamente quando o tratamento for efetuado no exercício de atividades legítimas de certas associações ou fundações que tenham por finalidade permitir o exercício das liberdades fundamentais.

Alteração    11

Proposta de regulamento

Considerando 23-A (novo)

Texto da Comissão

Alteração

 

(23-A)  As categorias especiais de dados pessoais que merecem uma proteção mais elevada só devem ser objeto de tratamento para fins relacionados com a saúde nos casos em que tal se revele necessário para atingir os objetivos no interesse das pessoas singulares e da sociedade no seu todo, nomeadamente no contexto da gestão dos serviços e sistemas de saúde ou de ação social. Por conseguinte, o presente regulamento deverá estabelecer condições harmonizadas para o tratamento de categorias especiais de dados pessoais relativos à saúde, tendo em conta necessidades específicas, designadamente quando o tratamento desses dados for efetuado para determinadas finalidades ligadas à saúde por pessoas sujeitas a uma obrigação legal de sigilo profissional. O direito da União deverá prever medidas específicas e adequadas com vista à defesa dos direitos fundamentais e dos dados pessoais das pessoas singulares.

Alteração    12

Proposta de regulamento

Considerando 24

Texto da Comissão

Alteração

(24)  O tratamento de categorias especiais de dados pessoais pode ser necessário por razões de interesse público nos domínios da saúde pública sem o consentimento do titular dos dados. Esse tratamento deve ser objeto de medidas adequadas e específicas, a fim de defender os direitos e as liberdades das pessoas singulares. Nesse contexto, a noção de «saúde pública» deve ser interpretada segundo a definição constante do Regulamento (CE) n.º 1338/2008 do Parlamento Europeu e do Conselho15, ou seja, todos os elementos relacionados com a saúde, a saber, o estado de saúde, incluindo a morbilidade e a incapacidade, as determinantes desse estado de saúde, as necessidades de cuidados de saúde, os recursos atribuídos aos cuidados de saúde, a prestação de cuidados de saúde e o acesso universal aos mesmos, assim como as despesas e o financiamento dos cuidados de saúde e as causas de mortalidade. Tal tratamento de dados relativos à saúde efetuado por motivos de interesse público não deve ter por resultado que os dados pessoais sejam tratados para outros fins por terceiros.

(24)  O tratamento de categorias especiais de dados pessoais pode ser necessário por razões de interesse público nos domínios da saúde pública sem o consentimento do titular dos dados. Esse tratamento deve ser objeto de medidas adequadas e específicas, a fim de defender os direitos e as liberdades das pessoas singulares. Nesse contexto, a noção de «saúde pública» deve ser interpretada segundo a definição constante do Regulamento (CE) n.º 1338/2008 do Parlamento Europeu e do Conselho15, ou seja, todos os elementos relacionados com a saúde, a saber, o estado de saúde, incluindo a morbilidade e a incapacidade, as determinantes desse estado de saúde, as necessidades de cuidados de saúde, os recursos atribuídos aos cuidados de saúde, a prestação de cuidados de saúde e o acesso universal aos mesmos, assim como as despesas e o financiamento dos cuidados de saúde e as causas de mortalidade. Tal tratamento de dados relativos à saúde efetuado por motivos de interesse público não deve ter por resultado que os dados pessoais sejam tratados para outros fins.

__________________

__________________

15 Regulamento (CE) n.º 1338/2008 do Parlamento Europeu e do Conselho, de 16 de dezembro de 2008, relativo às estatísticas comunitárias sobre saúde pública e saúde e segurança no trabalho (JO L 354 de 31.12.2008, p. 70).

15 Regulamento (CE) n.º 1338/2008 do Parlamento Europeu e do Conselho, de 16 de dezembro de 2008, relativo às estatísticas comunitárias sobre saúde pública e saúde e segurança no trabalho (JO L 354 de 31.12.2008, p. 70).

Alteração    13

Proposta de regulamento

Considerando 37 – parágrafo 1

Texto da Comissão

Alteração

Os atos jurídicos adotados com base nos Tratados ou normas internas das instituições e organismos da União podem impor restrições relativas a princípios específicos e aos direitos de informação, acesso e retificação ou apagamento de dados pessoais, ao direito à portabilidade dos dados, à confidencialidade das comunicações eletrónicas, bem como à comunicação de uma violação de dados pessoais ao titular dos dados e a determinadas obrigações conexas dos responsáveis pelo tratamento, desde que necessárias e proporcionais numa sociedade democrática, para salvaguardar a segurança pública, a prevenção, a investigação e repressão de infração penais ou a execução de sanções penais, incluindo a prevenção de ameaças contra a segurança pública e a sua prevenção, a proteção da vida humana, especialmente em resposta a catástrofes naturais ou provocadas pelo homem, a segurança interna das instituições e organismos da União, outros objetivos importantes de interesse público geral da União ou de um Estado-Membro, nomeadamente um interesse económico ou financeiro importante da União ou de um Estado-Membro, a conservação de registos públicos por motivos de interesse público geral ou a defesa do titular dos dados ou dos direitos e liberdades de outrem, incluindo a proteção social, a saúde pública e os fins humanitários.

Os atos jurídicos adotados com base nos Tratados podem impor restrições relativas a princípios específicos e aos direitos de informação, acesso e retificação ou apagamento de dados pessoais, ao direito à portabilidade dos dados, à confidencialidade das comunicações eletrónicas, bem como à comunicação de uma violação de dados pessoais ao titular dos dados e a determinadas obrigações conexas dos responsáveis pelo tratamento, desde que necessárias e proporcionais numa sociedade democrática, para salvaguardar a segurança pública, a prevenção, a investigação e repressão de infração penais ou a execução de sanções penais, incluindo a prevenção de ameaças contra a segurança pública e a sua prevenção, a proteção da vida humana, especialmente em resposta a catástrofes naturais ou provocadas pelo homem, a segurança interna das instituições e organismos da União, outros objetivos importantes de interesse público geral da União ou de um Estado-Membro, nomeadamente um interesse económico ou financeiro importante da União ou de um Estado-Membro, a conservação de registos públicos por motivos de interesse público geral ou a defesa do titular dos dados ou dos direitos e liberdades de outrem, incluindo a proteção social, a saúde pública e os fins humanitários.

Alteração    14

Proposta de regulamento

Considerando 37 – parágrafo 2

Texto da Comissão

Alteração

Sempre que uma restrição não esteja prevista nos atos jurídicos adotados com base nos Tratados ou nas suas normas internas, as instituições e os organismos da União podem, em casos específicos, impor uma restrição ad hoc relativa aos princípios específicos e aos direitos do titular dos dados, se essa restrição respeitar a essência dos direitos e liberdades fundamentais e, em relação a uma operação de tratamento específica, for necessária e proporcionada numa sociedade democrática para salvaguardar um ou mais objetivos mencionados no n.º 1. A restrição deve ser notificada ao encarregado da proteção de dados. Todas as restrições devem respeitar as exigências estabelecidas na Carta e na Convenção Europeia para a Proteção dos Direitos do Homem e das Liberdades Fundamentais.

Suprimido

Alteração    15

Proposta de regulamento

Considerando 39-A (novo)

Texto da Comissão

Alteração

 

(39-A)  O Regulamento (UE) 2016/679 prevê que os responsáveis pelo tratamento demonstrem a conformidade mediante o cumprimento de procedimentos de certificação aprovados. Do mesmo modo, as instituições e os organismos da União devem poder demonstrar a conformidade com o presente regulamento mediante a obtenção de uma certificação nos termos do artigo 42.º do Regulamento (UE) 2016/679.

Alteração    16

Proposta de regulamento

Considerando 42

Texto da Comissão

Alteração

(42)  A fim de demonstrar a observância do presente regulamento, os responsáveis pelo tratamento devem conservar um registo das atividades de tratamento sob a sua responsabilidade e os subcontratantes devem conservar um registo das categorias de atividades de tratamento sob a sua responsabilidade. As instituições e organismos da União devem ser obrigados a cooperar com a Autoridade Europeia para a Proteção de Dados e a facultar-lhe esses registos, mediante pedido, para fiscalização dessas operações de tratamento. As instituições e organismos da União devem ter condições para estabelecer um registo central dos registos das suas atividades de tratamento. Por motivos de transparência, devem poder igualmente tornar esse registo público.

(42)  A fim de demonstrar a observância do presente regulamento, os responsáveis pelo tratamento devem conservar um registo das atividades de tratamento sob a sua responsabilidade e os subcontratantes devem conservar um registo das categorias de atividades de tratamento sob a sua responsabilidade. As instituições e organismos da União devem ser obrigados a cooperar com a Autoridade Europeia para a Proteção de Dados e a facultar-lhe esses registos, mediante pedido, para fiscalização dessas operações de tratamento. As instituições e organismos da União devem estabelecer um registo central dos registos das suas atividades de tratamento. Por motivos de transparência, devem tornar esse registo público.

Alteração    17

Proposta de regulamento

Considerando 47

Texto da Comissão

Alteração

(47)  O Regulamento (CE) n.º 45/2001 prevê uma obrigação geral do responsável pelo tratamento de notificar o tratamento dos dados pessoais ao encarregado da proteção de dados, que, por seu turno, deve conservar um registo das operações de tratamento notificadas. Além de esta obrigação originar encargos administrativos e financeiros, nem sempre contribuiu para a melhoria da proteção dos dados pessoais. Tais obrigações gerais e indiscriminadas de notificação devem, por isso, ser suprimidas e substituídas por normas e procedimentos eficazes mais centrados nos tipos de operações de tratamento suscetíveis de resultar num elevado risco para os direitos e liberdades das pessoas singulares, devido à sua natureza, âmbito, contexto e finalidades. Esses tipos de operações de tratamento poderão, nomeadamente, envolver a utilização de novas tecnologias, ou pertencer a um novo tipo e não ter sido antecedidas por uma avaliação de impacto sobre a proteção de dados por parte do responsável pelo tratamento, ou ser consideradas necessárias à luz do período decorrido desde o tratamento inicial responsável pelo tratamento. Nesses casos, o responsável pelo tratamento deve proceder, antes do tratamento, a uma avaliação do impacto sobre a proteção de dados, a fim de avaliar a probabilidade ou gravidade particulares do elevado risco, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento e as fontes do risco. Essa avaliação do impacto deve incluir, nomeadamente, as medidas, garantias e procedimentos previstos para atenuar esse risco, assegurar a proteção dos dados pessoais e comprovar a observância do presente regulamento.

(47)  O Regulamento (CE) n.º 45/2001 prevê uma obrigação geral do responsável pelo tratamento de notificar o tratamento dos dados pessoais ao encarregado da proteção de dados, que, por seu turno, conserva um registo das operações de tratamento notificadas. Além desta obrigação geral, devem ser implementados procedimentos e mecanismos eficazes para controlar as operações de tratamento suscetíveis de resultar num elevado risco para os direitos e liberdades das pessoas singulares, devido à sua natureza, âmbito, contexto e finalidades. Esses procedimentos devem também ser implementados, nomeadamente, sempre que os tipos de operações de tratamento envolvam a utilização de novas tecnologias, ou pertençam a um novo tipo e não tenham sido antecedidos por uma avaliação de impacto sobre a proteção de dados por parte do responsável pelo tratamento, ou sejam considerados necessários à luz do período decorrido desde o tratamento inicial responsável pelo tratamento. Nesses casos, o responsável pelo tratamento deve proceder, antes do tratamento, a uma avaliação do impacto sobre a proteção de dados, a fim de avaliar a probabilidade ou gravidade particulares do elevado risco, tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento e as fontes do risco. Essa avaliação do impacto deve incluir, nomeadamente, as medidas, garantias e procedimentos previstos para atenuar esse risco, assegurar a proteção dos dados pessoais e comprovar a observância do presente regulamento.

Alteração    18

Proposta de regulamento

Considerando 50

Texto da Comissão

Alteração

(50)  O Regulamento (UE) 2016/679 instituiu o Comité Europeu para a Proteção de Dados como um organismo independente da União com personalidade jurídica. O Comité deve contribuir para a aplicação coerente do Regulamento (UE) 2016/679 e da Diretiva 2016/680 em toda a União, e igualmente o aconselhamento da Comissão. Simultaneamente, a Autoridade Europeia para a Proteção de Dados deve continuar a exercer as suas funções de supervisão e consultivas relativamente a todas as instituições e organismos da União, incluindo por iniciativa própria ou mediante pedido. A fim de garantir a coerência das normas em matéria de proteção de dados em toda a União, deve ser obrigatória uma consulta por parte da Comissão, após a adoção dos atos legislativos ou durante a preparação dos atos delegados e dos atos de execução, conforme definido nos artigos 289.º, 290.º e 291.º do TFUE, e após a adoção de recomendações e propostas relativas aos acordos com países terceiros e organizações internacionais, tal como previsto no artigo 218.º do TFUE, que têm um impacto no direito à proteção de dados pessoais. Nesses casos, a Comissão deve ser obrigada a consultar a Autoridade Europeia para a Proteção de Dados, exceto quando o Regulamento (UE) 2016/679 prevê uma consulta obrigatória do Comité Europeu para a Proteção de Dados, por exemplo, sobre decisões de adequação ou atos delegados relativos a ícones normalizados e a requisitos aplicáveis aos procedimentos de certificação. Sempre que o ato em questão for particularmente importante para a proteção dos direitos e liberdades das pessoas singulares no que diz respeito ao tratamento de dados pessoais, a Comissão deve ainda poder consultar o Comité Europeu para a Proteção de Dados. Nesses casos, a Autoridade Europeia para a Proteção de Dados deve, enquanto membro do Comité Europeu para a Proteção de Dados, coordenar o seu trabalho com este último a fim de emitirem uma opinião conjunta. A Autoridade Europeia para a Proteção de Dados e, se aplicável, o Comité Europeu para a Proteção de Dados, devem emitir o seu parecer por escrito no prazo de oito semanas. Tal prazo deve ser mais curto em caso de urgência, ou sempre que necessário, por exemplo quando a Comissão estiver a preparar atos delegados ou de execução.

(50)  O Regulamento (UE) 2016/679 instituiu o Comité Europeu para a Proteção de Dados como um organismo independente da União com personalidade jurídica. O Comité deve contribuir para a aplicação coerente do Regulamento (UE) 2016/679 e da Diretiva 2016/680 em toda a União, e igualmente o aconselhamento da Comissão. Simultaneamente, a Autoridade Europeia para a Proteção de Dados deve continuar a exercer as suas funções de supervisão e consultivas relativamente a todas as instituições e organismos da União, incluindo por iniciativa própria ou mediante pedido. A fim de garantir a coerência das normas em matéria de proteção de dados em toda a União, deve ser obrigatória uma consulta por parte da Comissão, aquando da adoção de propostas de ato legislativo ou durante a preparação dos atos delegados e dos atos de execução, conforme definido nos artigos 289.º, 290.º e 291.º do TFUE, e aquando da adoção de recomendações e propostas relativas aos acordos com países terceiros e organizações internacionais, tal como previsto no artigo 218.º do TFUE, que têm um impacto no direito à proteção de dados pessoais. Nesses casos, a Comissão deve ser obrigada a consultar a Autoridade Europeia para a Proteção de Dados, exceto quando o Regulamento (UE) 2016/679 prevê uma consulta obrigatória do Comité Europeu para a Proteção de Dados, por exemplo, sobre decisões de adequação ou atos delegados relativos a ícones normalizados e a requisitos aplicáveis aos procedimentos de certificação. Sempre que o ato em questão for particularmente importante para a proteção dos direitos e liberdades das pessoas singulares no que diz respeito ao tratamento de dados pessoais, a Comissão deve ainda poder consultar o Comité Europeu para a Proteção de Dados. Nesses casos, a Autoridade Europeia para a Proteção de Dados deve, enquanto membro do Comité Europeu para a Proteção de Dados, coordenar o seu trabalho com este último a fim de emitirem uma opinião conjunta. A Autoridade Europeia para a Proteção de Dados e, se aplicável, o Comité Europeu para a Proteção de Dados, devem emitir o seu parecer por escrito no prazo de oito semanas. Tal prazo deve ser mais curto em caso de urgência, ou sempre que necessário, por exemplo quando a Comissão estiver a preparar atos delegados ou de execução.

Alteração    19

Proposta de regulamento

Considerando 50-A (novo)

Texto da Comissão

Alteração

 

(50-A)  Nos termos do disposto no artigo 75.º do Regulamento (UE) 2016/679, a Autoridade Europeia para a Proteção de Dados assegurará o secretariado do Comité Europeu para a Proteção de Dados.

Alteração    20

Proposta de regulamento

Considerando 52

Texto da Comissão

Alteração

(52)  Quando os dados pessoais são transferidos das instituições e organismos da União para responsáveis pelo tratamento, para subcontratantes ou para outros destinatários em países terceiros ou para organizações internacionais, o nível de proteção das pessoas singulares assegurado na União pelo presente regulamento deve continuar a ser garantido, inclusive nos casos de posterior transferência de dados pessoais do país terceiro ou da organização internacional em causa para responsáveis pelo tratamento, subcontratantes desse país terceiro ou de outro, ou para uma organização internacional. Em todo o caso, as transferências para países terceiros e organizações internacionais só podem ser efetuadas no pleno respeito pelo presente regulamento. Apenas poderão ser realizadas transferências se, sob reserva das demais disposições do presente regulamento, as condições constantes das disposições do presente regulamento relativas às transferências de dados pessoais para países terceiros e organizações internacionais forem cumpridas pelo responsável pelo tratamento ou subcontratante.

(52)  Quando os dados pessoais são transferidos das instituições e organismos da União para responsáveis pelo tratamento, para subcontratantes ou para outros destinatários em países terceiros ou para organizações internacionais, deve ser garantido o nível de proteção das pessoas singulares assegurado na União pelo presente regulamento, inclusive nos casos de posterior transferência de dados pessoais do país terceiro ou da organização internacional em causa para responsáveis pelo tratamento, subcontratantes desse país terceiro ou de outro, ou para uma organização internacional. Em todo o caso, as transferências para países terceiros e organizações internacionais só podem ser efetuadas no pleno respeito pelo presente regulamento, pelo Regulamento (UE) 2016/679 e pelos direitos e liberdades fundamentais consagrados na Carta. Apenas poderão ser realizadas transferências se, sob reserva das demais disposições do presente regulamento, as condições constantes das disposições do presente regulamento relativas às transferências de dados pessoais para países terceiros e organizações internacionais forem cumpridas pelo responsável pelo tratamento ou subcontratante.

Alteração    21

Proposta de regulamento

Considerando 53

Texto da Comissão

Alteração

(53)  A Comissão pode decidir, nos termos do artigo 45.º do Regulamento (UE) 2016/679, que um país terceiro, um território ou um setor específico de um país terceiro, ou uma organização internacional, assegura um nível adequado de proteção de dados. Nestes casos, uma instituição ou organismo da União pode realizar transferências de dados pessoais para esse país ou organização internacional sem que para tal seja necessária qualquer outra autorização.

(53)  A Comissão pode decidir, nos termos do artigo 45.º do Regulamento (UE) 2016/679 ou do artigo 36.° da Diretiva (UE) 2016/680, que um país terceiro, um território ou um setor específico de um país terceiro, ou uma organização internacional, assegura um nível adequado de proteção de dados. Nestes casos, uma instituição ou organismo da União pode realizar transferências de dados pessoais para esse país ou organização internacional sem que para tal seja necessária qualquer outra autorização.

Alteração    22

Proposta de regulamento

Considerando 64-A (novo)

Texto da Comissão

Alteração

 

(64-A)  A Comissão propôs alterar o Regulamento (UE) n.º 1024/2012 do Parlamento Europeu e do Conselho, de 25 de outubro de 2012, relativo à cooperação administrativa através do Sistema de Informação do Mercado Interno e que revoga a Decisão 2008/49/CE da Comissão («Regulamento IMI»), para permitir que o Sistema IMI seja utilizado não só pelas autoridades competentes dos Estados-Membros e pela Comissão, mas também por órgãos, organismos e agências da União1-A. Na pendência desta revisão, a Autoridade Europeia para a Proteção de Dados e o Comité Europeu para a Proteção de Dados devem poder utilizar o Sistema de Informação do Mercado Interno para efeitos da cooperação administrativa e do intercâmbio de informações estipulados no Regulamento Geral sobre a Proteção de Dados, tendo em vista a sua entrada em vigor em 25 de maio de 2018.

 

_________________

 

1-A Ver artigo 36.º da Proposta de regulamento do Parlamento Europeu e do Conselho relativo à criação de um Portal Digital Único para a prestação de informação, procedimentos, serviços de assistência e de resolução de problemas, e que altera o Regulamento (UE) n.º 1024/2012, COM(2017) 256 final, 2017/0086 (COD).

Alteração    23

Proposta de regulamento

Considerando 65

Texto da Comissão

Alteração

(65)  Em determinadas situações, o direito da União prevê um modelo de controlo coordenado, partilhado entre a Autoridade Europeia para a Proteção de Dados e as autoridades nacionais de controlo. Além disso, a Autoridade Europeia para a Proteção da Dados é a autoridade de controlo da Europol e, por conseguinte, foi estabelecido um modelo de cooperação específico com as autoridades nacionais de controlo através da criação de um conselho de cooperação com uma função consultiva. Para melhorar o controlo efetivo e a aplicação de normas materiais em matéria de proteção de dados, é oportuno introduzir na União um modelo único e coerente de controlo coordenado. A Comissão deve, portanto, quando apropriado, apresentar propostas legislativas tendo em vista alterar atos jurídicos da União que prevejam um modelo de controlo coordenado, a fim de os alinhar com o modelo de controlo coordenado do presente regulamento. O Comité Europeu para a Proteção de Dados deve constituir uma instância única para garantir a eficácia do controlo coordenado a todos os níveis.

(65)  Em determinadas situações, o direito da União prevê um modelo de controlo coordenado, partilhado entre a Autoridade Europeia para a Proteção de Dados e as autoridades nacionais de controlo. Além disso, a Autoridade Europeia para a Proteção da Dados é a autoridade de controlo da Europol e, por conseguinte, foi estabelecido um modelo de cooperação específico com as autoridades nacionais de controlo através da criação de um conselho de cooperação com uma função consultiva. Para melhorar o controlo efetivo e a aplicação de normas materiais em matéria de proteção de dados, o presente regulamento deve introduzir um modelo único e coerente de controlo coordenado. O Comité Europeu para a Proteção de Dados deve constituir uma instância única para garantir a eficácia do controlo coordenado a todos os níveis.

Alteração    24

Proposta de regulamento

Artigo 1 – n.º 2

Texto da Comissão

Alteração

2.  O presente regulamento protege os direitos e as liberdades fundamentais das pessoas singulares, nomeadamente o seu direito à proteção dos dados pessoais.

2.  O presente regulamento protege os direitos e as liberdades fundamentais das pessoas singulares consagrados na Carta, nomeadamente o seu direito à proteção dos dados pessoais.

Alteração    25

Proposta de regulamento

Artigo 2 – n.º 1

Texto da Comissão

Alteração

1.  O presente regulamento aplica-se ao tratamento de dados pessoais por todas as instituições e organismos da União, na medida em que esse tratamento seja efetuado no exercício de atividades abrangidas total ou parcialmente pelo direito da União.

1.  O presente regulamento aplica-se ao tratamento de dados pessoais por todas as instituições e organismos da União.

Alteração    26

Proposta de regulamento

Artigo 2 – n.º 2-A (novo)

Texto da Comissão

Alteração

 

2-A.  O presente regulamento aplica-se igualmente às agências da União que exercem atividades abrangidas pelo âmbito de aplicação da Parte III, Título V, Capítulos 4 e 5, do TFUE, nomeadamente quando os atos constitutivos dessas agências da União estabelecem um regime autónomo de proteção de dados para o tratamento de dados pessoais operacionais. As disposições relativas ao tratamento específico dos dados pessoais operacionais contidos nos atos constitutivos destas agências são suscetíveis de particularizar e complementar a aplicação do presente regulamento.

Alteração    27

Proposta de regulamento

Artigo 3 – n.º 1 – alínea a)

Texto da Comissão

Alteração

(a)  As definições constantes do Regulamento (UE) 2016/679, com exceção da definição de «responsável pelo tratamento» no artigo 4.º, ponto 7, do regulamento;

(a)  As definições constantes do Regulamento (UE) 2016/679, com exceção da definição de «responsável pelo tratamento» no ponto 7 «estabelecimento principal», ponto 16 «empresa», ponto 18 «grupo empresarial», ponto 19 do artigo 4.° do regulamento; A definição de «comunicação eletrónica» no artigo 4.º, n.º 2, alínea a), do Regulamento (UE) XX/XXXX [Regulamento sobre a privacidade e as comunicações eletrónicas];

Alteração    28

Proposta de regulamento

Artigo 3 – n.º 2 – alínea d-A) (nova)

Texto da Comissão

Alteração

 

(d-A)  «Dados pessoais operacionais», os dados pessoais tratados pelas agências da União estabelecidas com base nos Capítulos 4 e 5 do Título V da Parte III do TFUE e pelas missões referidas no artigo 42.º, n.º 1, e nos artigos 43.º e 44.º do TUE, para efeitos do cumprimento dos objetivos estabelecidos em atos que instituem essas agências ou missões.

Alteração    29

Proposta de regulamento

Artigo 4 – n.º 1 – parte introdutória

Texto da Comissão

Alteração

1.  Os dados pessoais devem ser:

1.  Os dados pessoais são:

Alteração    30

Proposta de regulamento

Artigo 4 – n.º 1 – alínea d)

Texto da Comissão

Alteração

(d)  Exatos e atualizados sempre que necessário; devem ser adotadas todas as medidas razoáveis para que os dados inexatos ou incompletos, tendo em conta as finalidades para que foram recolhidos ou para que são tratados posteriormente, sejam apagados ou retificados sem demora («exatidão»);

(d)  Exatos e atualizados sempre que necessário; devem ser tomadas todas as medidas razoáveis para que os dados pessoais inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora («exatidão»);

Alteração    31

Proposta de regulamento

Artigo 5 – n.º 2

Texto da Comissão

Alteração

2.  As tarefas referidas no n.º 1, alínea a), devem ser estabelecidas pelo direito da União.

2.  As tarefas referidas no n.º 1, alínea a), devem ser estabelecidas pelo direito da União. O fundamento jurídico para o tratamento referido no n.º 1, alínea b), é definido pelo direito da União ou do Estado-Membro ao qual o responsável pelo tratamento está sujeito.

Alteração    32

Proposta de regulamento

Artigo 8 – título

Texto da Comissão

Alteração

Condições aplicáveis ao consentimento de crianças em relação aos serviços da sociedade da informação

Condições aplicáveis ao consentimento de uma criança em relação aos serviços da sociedade da informação

Alteração    33

Proposta de regulamento

Artigo 8-A (novo)

Texto da Comissão

Alteração

 

Artigo 8.º-A

 

Transferência de dados pessoais entre instituições e organismos da União

 

Sem prejuízo dos artigos 4.º, 5.º, 6.º e 10.º:

 

1. Os dados pessoais só podem ser transferidos dentro de ou entre instituições ou órgãos da União, se forem necessários para o legítimo desempenho de funções da competência do destinatário.

 

2. Se os dados forem transferidos a pedido do destinatário, tanto o responsável pelo tratamento, como o destinatário, assumem a responsabilidade pela legitimidade dessa transferência.

 

O responsável pelo tratamento tem a obrigação de verificar a competência do destinatário e de avaliar provisoriamente a necessidade da transferência desses dados. Em caso de dúvida quanto a essa necessidade, o responsável pelo tratamento pedirá informações complementares ao destinatário.

 

O destinatário zelará por que a necessidade da transferência de dados possa ser posteriormente verificada.

 

3. O destinatário só pode proceder ao tratamento dos dados pessoais para as finalidades para que foram transmitidos.

.

Alteração    34

Proposta de regulamento

Artigo 9 – n.º 1 – parte introdutória

Texto da Comissão

Alteração

1.  Sem prejuízo dos artigos 4.º, 5.º, 6.º e 10.º, os dados pessoais só podem ser transferidos para destinatários estabelecidos na União e abrangidos pelo Regulamento (UE) 2016/679, ou pelo direito nacional adotado de acordo com a Diretiva (UE) 2016/680, se o destinatário demonstrar o seguinte:

1.  Sem prejuízo dos artigos 4.º, 5.º, 6.º, 10.º, 14.º, 15.º, n.º 3, e 16, n.º 4, os dados pessoais só podem ser transferidos para destinatários estabelecidos na União e abrangidos pelo Regulamento (UE) 2016/679, ou pelo direito nacional adotado de acordo com a Diretiva (UE) 2016/680, se o responsável pelo tratamento demonstrar, com base num pedido fundamentado apresentado pelo destinatário, o seguinte:

Alteração    35

Proposta de regulamento

Artigo 9 – n.º 1 – alínea b)

Texto da Comissão

Alteração

(b)  É necessário transmitir os dados, a transmissão é proporcionada para as finalidades a que se destinam e não existem motivos para pressupor que os direitos, liberdades e interesses legítimos do titular dos dados possam vir a ser prejudicados.

(b)  A transmissão é proporcionada e necessária para servir um interesse público, como a transparência ou a boa administração, e não existem motivos para pressupor que os interesses legítimos do titular dos dados possam vir a ser prejudicados, depois de comprovadamente ponderados os diferentes interesses em presença.

Alteração    36

Proposta de regulamento

Artigo 10 – n.º 2 – alínea a)

Texto da Comissão

Alteração

(a)  O titular dos dados deu o seu consentimento explícito ao tratamento desses dados para uma ou mais finalidades específicas, exceto se o direito da União previr que a proibição a que se refere o n.º 1 não pode ser anulada pelo titular dos dados; ou

(a)  O titular dos dados deu o seu consentimento explícito ao tratamento desses dados pessoais para uma ou mais finalidades específicas, exceto se o direito da União previr que a proibição a que se refere o n.º 1 não pode ser anulada pelo titular dos dados; ou

Alteração    37

Proposta de regulamento

Artigo 10 – n.º 3

Texto da Comissão

Alteração

3.  Os dados pessoais referidos no n.º 1 podem ser tratados para os fins referidos no n.º 2, alínea h), se forem tratados por, ou sob a responsabilidade, de um profissional sujeito à obrigação de sigilo profissional, nos termos do direito da União.

3.  Os dados pessoais referidos no n.º 1 podem ser tratados para os fins referidos no n.º 2, alínea h), se forem tratados por, ou sob a responsabilidade, de um profissional sujeito à obrigação de sigilo profissional, nos termos do direito da União ou dos Estados-Membros, ou de regulamentação estabelecida pelas autoridades nacionais competentes, ou por outra pessoa igualmente sujeita a uma obrigação de confidencialidade ao abrigo do direito da União ou dos Estados-Membros, ou de regulamentação estabelecida pelas autoridades nacionais competentes.

Alteração    38

Proposta de regulamento

Artigo 11 – n.º 1

Texto da Comissão

Alteração

O tratamento de dados pessoais relacionados com condenações penais e infrações ou com medidas de segurança conexas, nos termos do artigo 5.º, n.º 1, só é efetuado se o tratamento for autorizado por disposições do direito da União que prevejam garantias adequadas específicas para os direitos e liberdades dos titulares dos dados.

(Não se aplica à versão portuguesa.)

Alteração    39

Proposta de regulamento

Artigo 14 – n.º 5 – parágrafo 1

Texto da Comissão

Alteração

As informações fornecidas nos termos dos artigos 15.º e 16.º e quaisquer comunicações e medidas tomadas nos termos dos artigos 17.º a 24.º e artigo 38.º são fornecidas a título gratuito. Se os pedidos apresentados por um titular de dados forem manifestamente infundados ou excessivos, nomeadamente devido ao seu caráter repetitivo, o responsável pelo tratamento pode recusar dar-lhes seguimento.

As informações fornecidas nos termos dos artigos 15.º e 16.º e quaisquer comunicações e medidas tomadas nos termos dos artigos 17.º a 24.º e artigo 38.º são fornecidas a título gratuito.

Alteração    40

Proposta de regulamento

Artigo 14 – n.º 8

Texto da Comissão

Alteração

8.  Se a Comissão adotar atos delegados, em conformidade com o artigo 12.º, n.º 8 , do Regulamento (UE) 2016/679, a fim de determinar quais as informações a apresentar por meio de ícones e os procedimentos aplicáveis à comunicação de ícones normalizados, as instituições e organismos da União devem, quando apropriado, prestar as informações nos termos dos artigos 15.º e 16.º em combinação com esses ícones normalizados.

8.  A Comissão fica habilitada a adotar atos delegados, em conformidade com o artigo 12.º, n.º 8, do Regulamento (UE) 2016/679, a fim de determinar quais as informações a apresentar por meio de ícones e os procedimentos aplicáveis à comunicação de ícones normalizados; as instituições e organismos da União devem, quando apropriado, prestar as informações nos termos dos artigos 15.º e 16.º em combinação com esses ícones normalizados.

Alteração    41

Proposta de regulamento

Artigo 16 – n.º 5 – alínea b)

Texto da Comissão

Alteração

(b)  Se comprove a impossibilidade de disponibilizar a informação, ou o esforço envolvido seja desproporcionado, nomeadamente para o tratamento para fins de arquivo de interesse público, de investigação científica ou histórica ou para fins estatísticos, e na medida em que a obrigação referida no n.º 1 do presente artigo seja suscetível de impossibilitar ou prejudicar gravemente a concretização dos objetivos desse tratamento;

b)   Se comprove a impossibilidade de disponibilizar a informação, ou o esforço envolvido seja desproporcionado, nomeadamente para o tratamento para fins de arquivo de interesse público, de investigação científica ou histórica ou para fins estatísticos, e na medida em que a obrigação referida no n.º 1 do presente artigo seja suscetível de impossibilitar ou prejudicar gravemente a concretização dos objetivos desse tratamento.

Alteração    42

Proposta de regulamento

Artigo 16 – n.º 5 – alínea c)

Texto da Comissão

Alteração

(c)  A obtenção ou divulgação dos dados esteja expressamente prevista no direito da União; ou

(c)  A obtenção ou divulgação dos dados esteja expressamente prevista no direito da União a que o responsável pelo tratamento estiver sujeito, prevendo medidas adequadas para proteger o interesse legítimo do titular dos dados; ou

Alteração    43

Proposta de regulamento

Artigo 16 – n.º 5 – alínea d)

Texto da Comissão

Alteração

(d)  Os dados pessoais devam permanecer confidenciais em virtude de uma obrigação de sigilo profissional regulamentada pelo direito da União.

(d)  Os dados pessoais devam permanecer confidenciais em virtude de uma obrigação de sigilo profissional regulamentada pelo direito da União, inclusive uma obrigação legal de confidencialidade.

Alteração    44

Proposta de regulamento

Artigo 16 – n.º 5-A (novo)

Texto da Comissão

Alteração

 

5-A.   Nos casos referidos no número 5.°-B, o responsável pelo tratamento toma as medidas adequadas para defender os direitos, liberdades e interesses legítimos do titular dos dados, inclusive através da divulgação da informação ao público;

Alteração    45

Proposta de regulamento

Artigo 20 – n.º 1 – alínea b)

Texto da Comissão

Alteração

(b)   O tratamento for ilícito e o titular dos dados se opuser ao seu apagamento e solicitar, em contrapartida, a limitação da sua utilização;

(b)  O tratamento for ilícito e o titular dos dados se opuser ao apagamento dos dados pessoais e solicitar, em contrapartida, a limitação da sua utilização;

Alteração    46

Proposta de regulamento

Artigo 25 – n.º 1 – parte introdutória

Texto da Comissão

Alteração

1.  Os atos jurídicos adotados com base nos Tratados ou, em matérias relacionadas com o funcionamento das instituições e organismos da União, as normas internas estabelecidas por estes últimos podem limitar a aplicação dos artigos 14.º a 22.º, dos artigos 34.º e 38.º, assim como do artigo 4.º, na medida em que tais disposições correspondam aos direitos e obrigações previstos nos artigos 14.º a 22.º, desde que tal limitação respeite a essência dos direitos e liberdades fundamentais e constitua uma medida necessária e proporcionada numa sociedade democrática para assegurar:

1.  Os atos jurídicos adotados com base nos Tratados podem limitar a aplicação dos artigos 14.º a 22.º e 38.º, assim como do artigo 4.º, na medida em que tais disposições correspondam aos direitos e obrigações previstos nos artigos 14.º a 22.º, desde que tal limitação respeite a essência dos direitos e liberdades fundamentais e constitua uma medida necessária e proporcionada numa sociedade democrática para assegurar:

Alteração    47

Proposta de regulamento

Artigo 25 – n.º 1-A (novo)

Texto da Comissão

Alteração

 

1-A.   Os atos adotados ao abrigo do n.º 1 devem ser claros e rigorosos. A respetiva aplicação deve ser previsível para os respetivos destinatários.

Alteração    48

Proposta de regulamento

Artigo 25 – n.º 1-B (novo)

Texto da Comissão

Alteração

 

1-B.  Em especial, qualquer ato jurídico referido no n.º 1 inclui, se for caso disso, disposições específicas relativas, pelo menos:

 

(a) Às finalidades do tratamento ou às diferentes categorias de tratamento;

 

(b) Às categorias de dados pessoais;

 

(c) Ao alcance da limitação imposta;

 

(d) Às garantias para evitar o abuso ou o acesso, ou transferência, ilícitos;

 

(e) À especificação do responsável pelo tratamento ou às categorias de responsáveis pelo tratamento;

 

(f) Aos prazos de conservação e às garantias aplicáveis, tendo em conta a natureza, o âmbito e os objetivos do tratamento ou das categorias de tratamento;

 

(g) Aos riscos específicos para os direitos e liberdades dos titulares dos dados; e

 

(h) Ao direito dos titulares dos dados a serem informados da limitação, a menos que tal possa prejudicar o objetivo da limitação.

Alteração    49

Proposta de regulamento

Artigo 25 – n.º 2

Texto da Comissão

Alteração

2.  Quando não esteja prevista uma limitação num ato jurídico adotado com base nos Tratados ou numa norma interna, em conformidade com o n.º 1, as instituições e os organismos da União podem limitar a aplicação dos artigos 14.º a 22, dos artigos 34.º e 38.º, assim como do artigo 4.º, na medida em que tais disposições correspondam aos direitos e obrigações previstos nos artigos 14.º a 22.º, se tal limitação respeitar a essência dos direitos e liberdades fundamentais, relativamente a um tratamento específico, e constituir uma medida necessária e proporcionada numa sociedade democrática para assegurar um ou mais dos objetivos referidos no n.º 1. Tal limitação deve ser notificada ao encarregado da proteção de dados competente.

Suprimido

Alteração    50

Proposta de regulamento

Artigo 25 – n.º 3

Texto da Comissão

Alteração

3.  Quando os dados pessoais sejam tratados para fins de investigação científica ou histórica ou para fins estatísticos, o direito da União, bem como eventuais normas internas, podem prever derrogações aos direitos a que se referem os artigos 17.º, 18.º, 20.º e 23.º, sob reserva das condições e garantias previstas no artigo 13.º, na medida em que esses direitos sejam suscetíveis de impossibilitar ou prejudicar gravemente a realização de finalidades específicas e tais derrogações sejam necessárias para a prossecução dessas finalidades.

3.  Quando os dados pessoais sejam tratados para fins de investigação científica ou histórica ou para fins estatísticos, o direito da União pode prever derrogações aos direitos a que se referem os artigos 17.º, 18.º, 20.º e 23.º, sob reserva das condições e garantias previstas no artigo 13.º, na medida em que esses direitos sejam suscetíveis de impossibilitar ou prejudicar gravemente a realização de finalidades específicas e tais derrogações sejam necessárias para a prossecução dessas finalidades.

Alteração    51

Proposta de regulamento

Artigo 25 – n.º 4

Texto da Comissão

Alteração

4.  Quando os dados pessoais sejam tratados para fins de arquivo de interesse público, o direito da União, bem como eventuais normas internas, podem prever derrogações aos direitos a que se referem os artigos 17.º, 18.º, 20.º, 21.º, 22.º e 23.º, sob reserva das condições e garantias previstas no artigo 13.º, na medida em que esses direitos sejam suscetíveis de impossibilitar ou prejudicar gravemente a realização de finalidades específicas e tais derrogações sejam necessárias para a prossecução dessas finalidades.

4.  Quando os dados pessoais sejam tratados para fins de arquivo de interesse público, o direito da União pode prever derrogações aos direitos a que se referem os artigos 17.º, 18.º, 20.º, 21.º, 22.º e 23.º, sob reserva das condições e garantias previstas no artigo 13.º, na medida em que esses direitos sejam suscetíveis de impossibilitar ou prejudicar gravemente a realização de finalidades específicas e tais derrogações sejam necessárias para a prossecução dessas finalidades.

Alteração    52

Proposta de regulamento

Artigo 25 – n.º 5

Texto da Comissão

Alteração

5.  As normas internas referidas nos n.os 1, 3 e 4 devem ser suficientemente claras, precisas e sujeitas a adequada publicação.

Suprimido

Alteração    53

Proposta de regulamento

Artigo 25 – n.º 6

Texto da Comissão

Alteração

6.  Se for imposta uma limitação nos termos dos n.ºs 1 ou 2, o titular dos dados deve ser informado, em conformidade com o direito da União, dos principais motivos de aplicação da limitação e do seu direito de apresentar uma reclamação à Autoridade Europeia para a Proteção de Dados.

6.  Se for imposta uma limitação nos termos do n.º 1, o titular dos dados deve ser informado, em conformidade com o direito da União, dos principais motivos de aplicação da limitação e do seu direito de apresentar uma reclamação à Autoridade Europeia para a Proteção de Dados.

Alteração    54

Proposta de regulamento

Artigo 25 – n.º 7

Texto da Comissão

Alteração

7.  Se for imposta uma limitação, nos termos dos n.ºs 1 ou 2, para negar o acesso ao titular dos dados, a Autoridade Europeia para a Proteção de Dados deve, ao investigar a reclamação, comunicar-lhe unicamente se os dados foram tratados corretamente e, em caso negativo, se foram introduzidas todas as correções necessárias.

7.  Se for imposta uma limitação, nos termos do n.º 1, para negar o acesso ao titular dos dados, a Autoridade Europeia para a Proteção de Dados deve, ao investigar a reclamação, comunicar-lhe unicamente se os dados foram tratados corretamente e, em caso negativo, se foram introduzidas todas as correções necessárias.

Alteração    55

Proposta de regulamento

Artigo 25 – n.º 8

Texto da Comissão

Alteração

8.  A comunicação das informações referidas nos n.ºs  6 e 7, e no artigo 46.º, n.º 2, pode ser adiada, omitida ou recusada se anular o efeito da limitação imposta nos termos dos n.os 1 ou 2.

8.  A comunicação das informações referidas nos n.ºs  6 e 7, e no artigo 46.º, n.º 2, pode ser adiada, omitida ou recusada se anular o efeito da limitação imposta nos termos do n.º 1.

Alteração    56

Proposta de regulamento

Artigo 26 – n.º 2-A (novo)

Texto da Comissão

Alteração

 

2-A.  O cumprimento de procedimentos de certificação aprovados, conforme referidos no artigo 42.º do Regulamento (UE) 2016/679, pode ser utilizado como elemento para demonstrar a conformidade com as obrigações do responsável pelo tratamento.

Alteração    57

Proposta de regulamento

Artigo 27 – n.º 2-A (novo)

Texto da Comissão

Alteração

 

2-A.  Um procedimento de certificação aprovado nos termos do artigo 42.º do Regulamento (UE) 2016/679 pode ser utilizado como elemento para demonstrar a conformidade com as obrigações estabelecidas nos n.ºs 1 e 2 do presente artigo.

Alteração    58

Proposta de regulamento

Artigo 28 – n.º 3

Texto da Comissão

Alteração

3.  O titular dos dados pode exercer os direitos que lhe confere o presente regulamento em relação ou contra um ou mais responsáveis conjuntos pelo tratamento, tendo em conta as funções respetivas determinadas no acordo referido no n.º 1.

3.  Independentemente dos termos do acordo a que se refere o n.º 1, o titular dos dados pode exercer os direitos que lhe confere o presente regulamento em relação e contra cada um dos responsáveis pelo tratamento.

Alteração    59

Proposta de regulamento

Artigo 31 – n.º 5

Texto da Comissão

Alteração

5.  As instituições e organismos da União podem decidir conservar os seus registos de atividades de tratamento num registo central. Nesse caso, podem também decidir tornar o registo acessível ao público.

5.  As instituições e organismos da União devem conservar os seus registos de atividades de tratamento num registo central e tornar o registo acessível ao público.

Alteração    60

Proposta de regulamento

Capítulo IV – secção 2 – título

Texto da Comissão

Alteração

SEGURANÇA DOS DADOS PESSOAIS E CONFIDENCIALIDADE DAS COMUNICAÇÕES ELETRÓNICAS

SEGURANÇA DOS DADOS PESSOAIS

Alteração    61

Proposta de regulamento

Artigo 33 – n.º 3-A (novo)

Texto da Comissão

Alteração

 

3-A.  O cumprimento de um procedimento de certificação aprovado, conforme referido no artigo 42.º do Regulamento (UE) 2016/679, pode ser utilizado como elemento para demonstrar a conformidade com as obrigações estabelecidas no n.º 1 do presente artigo.

Alteração    62

Proposta de regulamento

Artigo 33-A (novo)

Texto da Comissão

Alteração

 

Artigo 33.º-A

 

O cumprimento de um código de conduta aprovado nos termos do artigo 42.º do Regulamento (UE) 2016/679 pode ser utilizado como elemento para demonstrar o cumprimento das obrigações estabelecidas nos n.ºs 1 e 2 do presente artigo.

Alteração    63

Proposta de regulamento

Artigo 34

Texto da Comissão

Alteração

Artigo 34.º

Suprimido

Confidencialidade das comunicações eletrónicas

 

As instituições e os organismos da União devem assegurar a confidencialidade das comunicações eletrónicas, em especial garantindo a segurança das respetivas redes de comunicações eletrónicas.

 

Alteração    64

Proposta de regulamento

Artigo 36

Texto da Comissão

Alteração

Artigo 36.º

Suprimido

Listas de utilizadores

 

1.  Os dados pessoais inseridos em listas de utilizadores e o acesso a essas listas devem limitar-se ao estritamente necessário para os fins específicos das listas.

 

2.  As instituições e os organismos da União devem tomar todas as medidas necessárias para impedir que os dados pessoais incluídos nestas listas, independentemente de serem ou não acessíveis ao público, sejam utilizados para fins de marketing direto.

 

Alteração    65

Proposta de regulamento

Capítulo IV – secção 2-A (novo)

Texto da Comissão

Alteração

 

CONFIDENCIALIDADE DAS COMUNICAÇÕES ELETRÓNICAS

Alteração    66

Proposta de regulamento

Artigo 38-A (novo)

Texto da Comissão

Alteração

 

Artigo 38.º-A

 

Confidencialidade das comunicações eletrónicas

 

As instituições e os organismos da União devem assegurar a confidencialidade das comunicações eletrónicas, em especial garantindo a segurança das respetivas redes de comunicações eletrónicas.

Alteração    67

Proposta de regulamento

Artigo 38-B (novo)

Texto da Comissão

Alteração

 

Artigo 38.º-B

 

Listas de utilizadores

 

1. Os dados pessoais inseridos em listas de utilizadores e o acesso a essas listas devem limitar-se ao estritamente necessário para os fins específicos das listas.

 

2. As instituições e os organismos da União devem tomar todas as medidas necessárias para impedir que os dados pessoais incluídos nestas listas, independentemente de as mesmas serem ou não acessíveis ao público, sejam utilizados para fins de marketing direto.

Alteração    68

Proposta de regulamento

Artigo 41 – parágrafo 1

Texto da Comissão

Alteração

As instituições e os organismos da União devem informar a Autoridade Europeia para a Proteção de Dados da elaboração de medidas administrativas e de normas internas relativas ao tratamento de dados pessoais que envolvam uma instituição ou organismo da União, individualmente ou em conjunto com outros.

As instituições e os organismos da União devem informar a Autoridade Europeia para a Proteção de Dados da elaboração de medidas administrativas relativas ao tratamento de dados pessoais que envolvam uma instituição ou organismo da União, individualmente ou em conjunto com outros.

Alteração    69

Proposta de regulamento

Artigo 42 – n.º 1

Texto da Comissão

Alteração

1.  Após a adoção das propostas de ato legislativo e de recomendações ou de propostas ao Conselho, nos termos do artigo 218.º do TFUE, ou durante a elaboração de atos delegados ou de atos de execução que têm um impacto sobre a proteção dos direitos e liberdades das pessoas singulares no que diz respeito ao tratamento de dados pessoais, a Comissão deve consultar a Autoridade Europeia para a Proteção de Dados.

1.  Aquando da adoção de propostas de ato legislativo e recomendações ou de propostas ao Conselho, nos termos do artigo 218.º do TFUE, ou durante a elaboração de atos delegados ou de atos de execução relacionados com a proteção dos direitos e liberdades das pessoas singulares no que diz respeito ao tratamento de dados pessoais, a Comissão deve consultar a Autoridade Europeia para a Proteção de Dados.

Alteração    70

Proposta de regulamento

Artigo 44 – n.º 4

Texto da Comissão

Alteração

4.  O encarregado da proteção de dados pode ser um elemento do pessoal da instituição ou organismo da União, ou exercer as suas funções com base num contrato de prestação de serviços.

4.  O encarregado da proteção de dados deve ser um elemento do pessoal da instituição ou organismo da União. Em circunstâncias excecionais, tendo em conta a sua dimensão, e se as condições estabelecidas no n.º 2 não estiverem preenchidas, as instituições e os órgãos da União podem designar um encarregado da proteção de dados que exerça as suas funções com base num contrato de prestação de serviços.

Alteração    71

Proposta de regulamento

Artigo 45 – n.º 5

Texto da Comissão

Alteração

5.  O encarregado da proteção de dados está vinculado à obrigação de sigilo ou de confidencialidade no exercício das suas funções, em conformidade com o direito da União.

(Não se aplica à versão portuguesa.)  

Alteração    72

Proposta de regulamento

Artigo 46 – n.º 1 – alínea g-A) (nova)

Texto da Comissão

Alteração

 

(g-A)  Assegurar que as operações de tratamento não atentem contra os direitos e liberdades dos titulares dos dados.

Alteração    73

Proposta de regulamento

Artigo 48 – n.º 1

Texto da Comissão

Alteração

1.  Pode ser realizada uma transferência de dados pessoais para um país terceiro ou uma organização internacional se a Comissão tiver decidido, por força do artigo 45.º, n.º 3, do Regulamento (UE) 2016/679, que é garantido um nível de proteção adequado no país terceiro, num território ou num ou mais setores específicos desse país terceiro ou dessa organização internacional, e se os dados pessoais forem transferidos exclusivamente para o desempenho de funções da competência do responsável pelo tratamento.

1.  Pode ser realizada uma transferência de dados pessoais para um país terceiro ou uma organização internacional se a Comissão tiver decidido, por força do artigo 45.º, n.º 3, do Regulamento (UE) 2016/679 ou do artigo 36.º da Diretiva (UE) 2016/680, que é garantido um nível de proteção adequado no país terceiro, num território ou num ou mais setores específicos desse país terceiro ou dessa organização internacional, e se os dados pessoais forem transferidos exclusivamente para o desempenho de funções da competência do responsável pelo tratamento. Esta transferência não exige autorização específica.

Alteração    74

Proposta de regulamento

Artigo 49 – n.º 1

Texto da Comissão

Alteração

1.  Não tendo sido tomada qualquer decisão por força do artigo 45.º, n.º 3, do Regulamento (UE) 2016/679, os responsáveis pelo tratamento ou os subcontratantes só podem transferir dados pessoais para um país terceiro ou uma organização internacional se tiverem apresentado garantias adequadas, e na condição de os titulares dos dados gozarem de direitos oponíveis e de medidas jurídicas corretivas eficazes.

1.  Não tendo sido tomada qualquer decisão por força do artigo 45.º, n.º 3, do Regulamento (UE) 2016/679 ou do artigo 36.º, n.º 3, do Regulamento (UE) 2016/680, no âmbito de aplicação respetivo desses atos legislativos, os responsáveis pelo tratamento ou os subcontratantes só podem transferir dados pessoais para um país terceiro ou uma organização internacional se tiverem apresentado garantias adequadas, e na condição de os titulares dos dados gozarem de direitos oponíveis e de medidas jurídicas corretivas eficazes.

Alteração    75

Proposta de regulamento

Artigo 51 – n.º 1 – parte introdutória

Texto da Comissão

Alteração

1.  Na falta de uma decisão por força do artigo 45.º, n.º 3, do Regulamento (UE) 2016/679, ou de garantias adequadas em conformidade com o artigo 49.º, as transferências ou conjunto de transferências de dados pessoais para países terceiros ou organizações internacionais só são efetuadas caso se verifique uma das seguintes condições:

1.  Na falta de uma decisão por força do artigo 45.º, n.º 3, do Regulamento (UE) 2016/679 ou do artigo 36.º, n.º 3, do Regulamento (UE) 2016/680, no âmbito de aplicação respetivo desses atos legislativos, ou de garantias adequadas em conformidade com o artigo 49.º, as transferências ou conjunto de transferências de dados pessoais para países terceiros ou organizações internacionais só são efetuadas caso se verifique uma das seguintes condições:

Alteração    76

Proposta de regulamento

Artigo 54 – n.º 1

Texto da Comissão

Alteração

1.  O Parlamento Europeu e o Conselho nomeiam, de comum acordo, a Autoridade Europeia para a Proteção de Dados por um período de cinco anos, com base numa lista estabelecida pela Comissão na sequência de um convite público à apresentação de candidaturas. Esse convite público à apresentação de candidaturas permite a todas as pessoas interessadas na União apresentarem as suas candidaturas. A lista de candidatos estabelecida pela Comissão é pública. A comissão competente do Parlamento Europeu, com base na lista elaborada pela Comissão, pode decidir realizar uma audição de forma a poder exprimir a sua preferência.

1.  O Parlamento Europeu e o Conselho nomeiam, de comum acordo, a Autoridade Europeia para a Proteção de Dados por um período de cinco anos, com base numa lista estabelecida conjuntamente pelo Parlamento Europeu, pelo Conselho e pela Comissão na sequência de um convite público à apresentação de candidaturas. Esse convite público à apresentação de candidaturas permite a todas as pessoas interessadas na União apresentarem as suas candidaturas. A lista de candidatos é pública e deve ser constituída, no mínimo, por cinco candidatos. A comissão competente do Parlamento Europeu pode decidir realizar uma audição dos candidatos que integram a lista de forma a poder exprimir a sua preferência.

Alteração    77

Proposta de regulamento

Artigo 54 – n.º 2

Texto da Comissão

Alteração

2.  A lista elaborada pela Comissão, a partir da qual a Autoridade Europeia para a Proteção de Dados é escolhida, deve ser constituída por pessoas que ofereçam todas as garantias de independência e disponham da experiência e competência requeridas para o desempenho das funções de Autoridade Europeia para a Proteção de Dados, por exemplo porque pertencem ou pertenceram às autoridades de controlo instituídas ao abrigo do artigo 41.º do Regulamento (UE) 2016/679.

2.  A lista elaborada conjuntamente pelo Parlamento Europeu, pelo Conselho e pela Comissão, a partir da qual a Autoridade Europeia para a Proteção de Dados é escolhida, deve ser constituída por pessoas que ofereçam todas as garantias de independência e disponham de conhecimentos especializados no domínio da proteção de dados, além da experiência e competência requeridas para o desempenho das funções de Autoridade Europeia para a Proteção de Dados, por exemplo porque pertencem ou pertenceram às autoridades de controlo instituídas ao abrigo do artigo 41.º do Regulamento (UE) 2016/679.

Alteração    78

Proposta de regulamento

Artigo 55 – n.º 4

Texto da Comissão

Alteração

4.  A Autoridade Europeia para a proteção de dados é assistida por um secretariado. Os funcionários e outros agentes do secretariado são nomeados pela Autoridade Europeia para a Proteção de Dados, que é o seu superior hierárquico e de quem dependem exclusivamente. O seu número é aprovado anualmente no âmbito do exercício orçamental.

4.  A Autoridade Europeia para a proteção de dados é assistida por um secretariado. Os funcionários e outros agentes do secretariado são nomeados pela Autoridade Europeia para a Proteção de Dados, que é o seu superior hierárquico e de quem dependem exclusivamente. O seu número é aprovado anualmente no âmbito do exercício orçamental. O artigo 75.º, n.º 2, do Regulamento (UE) 2016/679 é aplicável ao pessoal da Autoridade Europeia para a Proteção de Dados envolvido na prossecução das atribuições conferidas ao Comité Europeu para a Proteção de Dados pelo direito da União.

Alteração    79

Proposta de regulamento

Artigo 59 – n.º 1 – alínea e)

Texto da Comissão

Alteração

(e)  Obter acesso a todas as instalações do responsável pelo tratamento e do subcontratante, incluindo os equipamentos e meios de tratamento de dados, em conformidade com o direito processual da União ou dos Estados-Membros;

(e)  Obter acesso a todas as instalações do responsável pelo tratamento e do subcontratante, incluindo os equipamentos e meios de tratamento de dados, em conformidade com o direito da União;

Alteração    80

Proposta de regulamento

Artigo 59 – n.º 3 – alínea b-A) (nova)

Texto da Comissão

Alteração

 

(b-A)  Autorizar ou não as operações de tratamento referidas no artigo 40.º, n.º 4;

Alteração    81

Proposta de regulamento

Artigo 61 – título

Texto da Comissão

Alteração

Cooperação com as autoridades nacionais de controlo

Cooperação entre a Autoridade Europeia para a Proteção de Dados e as autoridades nacionais de controlo

Alteração    82

Proposta de regulamento

Artigo 61 – parágrafo 1

Texto da Comissão

Alteração

A Autoridade Europeia para a Proteção de Dados deve cooperar com as autoridades de controlo instituídas a título do artigo 41.º do Regulamento (UE) 2016/679 e do artigo 51.º da Diretiva (UE) 2016/680 (doravante «autoridades nacionais de controlo»), bem como com a Autoridade Comum de Controlo, instituída a título do artigo 25.º da Decisão 2009/917/JAI do Conselho , na medida necessária ao cumprimento das suas obrigações respetivas, em especial partilhando informações relevantes, solicitando às autoridades de controlo nacionais que exerçam os seus poderes ou respondendo a pedidos destas autoridades.

A Autoridade Europeia para a Proteção de Dados deve cooperar com as autoridades de controlo instituídas a título do artigo 51.º do Regulamento (UE) 2016/679 e do artigo 41.º da Diretiva (UE) 2016/680 (doravante «autoridades nacionais de controlo»), na medida necessária ao cumprimento das suas obrigações respetivas, em especial partilhando informações relevantes, solicitando às outras autoridades que exerçam os seus poderes ou respondendo a pedidos apresentados entre si.

_________________

 

21 Decisão 2009/917/JAI do Conselho, de 30 de novembro de 2009, relativa à utilização da informática no domínio aduaneiro, JO L 323 de 10.12.2009, pp. 20–30.

 

Alteração    83

Proposta de regulamento

Artigo 61 – parágrafo 1-A (novo)

Texto da Comissão

Alteração

 

A Autoridade Europeia para a Proteção de Dados e o Comité Europeu para a Proteção de Dados podem utilizar o Sistema de Informação do Mercado Interno estabelecido no Regulamento (UE) n.º 1024/2012 do Parlamento Europeu e do Conselho, de 25 de outubro de 2012, relativo à cooperação administrativa através do Sistema de Informação do Mercado Interno e que revoga a Decisão 2008/49/CE da Comissão («Regulamento IMI») para efeitos da cooperação administrativa e do intercâmbio de informações nos termos dos artigos 60.º a 62.º, 64.º, 65.º e 70.º do Regulamento (UE) 2016/679.

Alteração    84

Proposta de regulamento

Artigo 62 – n.º 1

Texto da Comissão

Alteração

1.  Sempre que um ato da União faça referência ao presente artigo, a Autoridade Europeia para a Proteção de Dados deve cooperar ativamente com as autoridades nacionais de controlo, a fim de assegurar uma supervisão eficaz dos sistemas informáticos de grande escala ou das agências da União.

1.  Sempre que um ato da União preveja que a Autoridade Europeia para a Proteção de Dados supervisione o tratamento de dados pessoais a nível da União e as autoridades nacionais de controlo supervisionem o tratamento de dados pessoais a nível nacional, a Autoridade Europeia para a Proteção de Dados e as autoridades nacionais de controlo, agindo no âmbito das respetivas competências, devem cooperar ativamente no âmbito das suas responsabilidades e assegurar uma supervisão eficaz e coordenada dos sistemas informáticos de grande escala ou dos órgãos, organismos e agências da União.

Alteração    85

Proposta de regulamento

Artigo 62 – n.º 2

Texto da Comissão

Alteração

2.  A Autoridade Europeia para a Proteção de Dados, agindo no âmbito das suas competências e responsabilidades, deve partilhar informações relevantes, prestar assistência na realização de auditorias e inspeções, examinar as dificuldades de interpretação ou de aplicação do presente regulamento e de outros atos aplicáveis da União, examinar problemas suscetíveis de resultar do exercício de um controlo independente ou do exercício dos direitos dos titulares dos dados, elaborar propostas harmonizadas para resolver eventuais problemas e sensibilizar o público para os direitos de proteção de dados, se necessário em conjunto com as autoridades nacionais de controlo.

2.  As autoridades em causa, agindo cada uma delas no âmbito das suas competências e responsabilidades, devem partilhar informações relevantes, prestar-se mutuamente assistência na realização de auditorias e inspeções, examinar as dificuldades de interpretação ou de aplicação do presente regulamento e de outros atos aplicáveis da União, examinar problemas suscetíveis de resultar do exercício de um controlo independente ou do exercício dos direitos dos titulares dos dados, elaborar propostas harmonizadas para resolver eventuais problemas e sensibilizar o público para os direitos de proteção de dados, se necessário.

Alteração    86

Proposta de regulamento

Artigo 62 – n.º 3

Texto da Comissão

Alteração

3.  Para os efeitos referidos no n.º 2, a Autoridade Europeia para a Proteção de Dados deve reunir-se com as autoridades nacionais de controlo pelo menos duas vezes por ano no quadro do Comité Europeu para a Proteção de Dados. Os custos e a organização dessas reuniões são suportados pelo Comité Europeu para a Proteção de Dados. O regulamento interno é aprovado na primeira reunião. Outros métodos de trabalho são definidos conjuntamente, em função das necessidades.

3.  Para os efeitos referidos no n.º 2, a Autoridade Europeia para a Proteção de Dados e as autoridades nacionais de controlo devem reunir-se pelo menos duas vezes por ano no quadro do Comité Europeu para a Proteção de Dados. Os custos e a organização dessas reuniões são suportados pelo Comité Europeu para a Proteção de Dados. Para esses efeitos, o Comité Europeu para a Proteção de Dados pode definir outros métodos de trabalho, em função das necessidades.

Alteração    87

Proposta de regulamento

Capítulo VIII-A (novo) – Título

 

Texto da Comissão

Alteração

 

CAPÍTULO VIII-A

 

Tratamento de dados pessoais operacionais

Alteração    88

Proposta de regulamento

Artigo 69-A (novo)

Texto da Comissão

Alteração

 

Artigo 69.º-A (novo)

 

Âmbito de aplicação

 

Em derrogação dos artigos 4.º, 5.°, 6.º, 7.º, 8.º, 10.º, 15.º, 16.º, 17.º, 18.º, 19.º, 20.º, 21.º, 22.º, 23.º, 24.º, 25.º, 41.º, 43.º, 49.º, 50.º e 51.º, as disposições do presente capítulo são aplicáveis ao tratamento de dados operacionais por agências da União estabelecidas com base nos Capítulos 4 e 5 do Título V da Parte III do TFUE e pelas missões referidas no artigo 42.º, n.º 1, e nos artigos 43.º e 44.º do TUE.

 

As disposições relativas ao tratamento específico dos dados pessoais operacionais contidos nos atos constitutivos destas agências são suscetíveis de particularizar e complementar a aplicação do presente regulamento.

Alteração    89

Proposta de regulamento

Artigo 69-B (novo)

Texto da Comissão

Alteração

 

Artigo 69.º-B

 

Princípios relativos ao tratamento de dados pessoais operacionais

 

1.  Os dados pessoais operacionais devem ser:

 

(a)  Objeto de um tratamento lícito e leal («licitude e lealdade»);

 

(b)  Recolhidos para finalidades determinadas, explícitas e legítimas, e não tratados posteriormente de uma forma incompatível com essas finalidades; o tratamento posterior para fins de arquivo de interesse público, de investigação científica ou histórica, ou para fins estatísticos não é considerado incompatível com as finalidades iniciais, desde que as agências e missões da União prevejam garantias adequadas, em especial para assegurar que os dados só sejam tratados para essas finalidades («limitação da finalidade»);

 

(c)  Adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados («minimização dos dados»);

 

(d)  Exatos e atualizados sempre que necessário, devendo ser adotadas todas as medidas adequadas para garantir que os dados pessoais operacionais inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora («exatidão»);

 

(e)  Conservados de forma a permitir a identificação dos titulares de dados apenas durante o período necessário para a prossecução das finalidades para que são tratados;

 

(f) Tratados de uma forma que garanta a segurança dos dados pessoais operacionais, incluindo a proteção contra o tratamento não autorizado ou ilícito e contra a perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas adequadas («integridade e confidencialidade»).

 

2.  As agências e missões da União tornam público um documento que exponha de forma inteligível as disposições relativas ao tratamento de dados pessoais operacionais e os meios à disposição dos titulares de dados para o exercício dos seus direitos.

Alteração    90

Proposta de regulamento

Artigo 69-C (novo)

 

Texto da Comissão

Alteração

 

Artigo 69.º-C

 

Licitude do tratamento

 

O tratamento só é lícito na medida em que seja necessário ao exercício de uma atribuição por agências e missões da União e tenha por base o direito da União. O direito da União que especifica e complementa o presente regulamento no que diz respeito ao tratamento no âmbito do presente capítulo especifica os objetivos do tratamento, os dados pessoais operacionais a tratar e as finalidades do tratamento.

Alteração    91

Proposta de regulamento

Artigo 69-D (novo)

 

Texto da Comissão

Alteração

 

Artigo 69.º-D

 

Distinção entre diferentes categorias de titulares de dados

 

As missões ou agências da União estabelecem uma distinção clara entre os dados pessoais operacionais de diferentes categorias de titulares de dados, tais como:

 

(a)  pessoas que são suspeitas da autoria ou coautoria de uma infração penal da competência das agências ou missões da União, ou que tenham sido condenadas por alguma dessas infrações;

 

(b)  pessoas relativamente às quais haja indícios factuais ou motivos razoáveis para crer que virão a cometer infrações penais da competência das agências ou missões da União;

 

(c)  pessoas que tenham sido vítimas de uma das infrações em causa ou relativamente às quais existam motivos para crer que possam vir a ser vítimas de uma dessas infrações;

 

(d)  pessoas suscetíveis de serem chamadas a testemunhar em investigações penais relacionadas com infrações penais, ou em processos penais subsequentes;

 

(e)  pessoas que possam prestar informações sobre infrações penais; ou

 

(f)  contactos ou associados de uma das pessoas a que se referem as alíneas a) e b).

Alteração    92

Proposta de regulamento

Artigo 69-E (novo)

 

Texto da Comissão

Alteração

 

Artigo 69.º-E

 

Distinção entre dados pessoais operacionais e verificação da qualidade dos dados pessoais operacionais

 

As agências e missões da União estabelecem uma distinção entre os dados pessoais operacionais baseados em factos e os dados pessoais operacionais baseados em apreciações pessoais. As agências e missões da União tratam os dados pessoais operacionais de forma que, se for caso disso, permita a identificação da autoridade que os comunicou ou da respetiva origem. As agências e missões da União asseguram que os dados pessoais operacionais incorretos, incompletos ou desatualizados não são transmitidos nem disponibilizados. Para o efeito, as agências e missões da União verificam a qualidade dos dados pessoais operacionais antes de estes serem transmitidos ou disponibilizados. Em todas as transmissões de dados pessoais operacionais, as agências e missões da União fornecem as informações necessárias para que o destinatário possa apreciar até que ponto esses dados são exatos, completos e fiáveis, e estão atualizados. Caso se verifique que foram transmitidos dados inexatos ou que foram transmitidos dados pessoais operacionais de forma ilícita, o destinatário deve ser informado sem demora. Nesse caso, os dados pessoais operacionais são retificados ou apagados, ou o tratamento é limitado.

Alteração    93

Proposta de regulamento

Artigo 69-F (novo)

 

Texto da Comissão

Alteração

 

Artigo 69.º-F

 

Condições específicas do tratamento

 

Quando as agências e missões da União estabelecem condições específicas de tratamento, informam o destinatário dos dados pessoais operacionais dessas condições e da obrigação de as respeitar. As agências e missões da União respeitam as condições específicas de tratamento impostas ao tratamento realizado por uma autoridade nacional, nos termos do artigo 9.º, n.°s 3 e 4, da Diretiva (UE) 2016/680.

Alteração    94

Proposta de regulamento

Artigo 69-G (novo)

 

Texto da Comissão

Alteração

 

Artigo 69.º-G

 

Transmissão de dados pessoais operacionais a outras instituições e organismos da União

 

As agências e missões da União só transmitem dados pessoais operacionais a outras instituições e organismos da União, se esses dados forem necessários para o desempenho das suas funções ou das agências e missões da União a que se destinam. Se os dados pessoais operacionais forem transmitidos a pedido de outra instituição ou organismo da União, tanto o responsável pelo tratamento como o destinatário assumem a responsabilidade pela legitimidade dessa transferência. As agências e missões da União têm a obrigação de verificar a competência da outra instituição ou organismo da União e de avaliar provisoriamente a necessidade da transmissão. Em caso de dúvida quanto a essa necessidade, as agências e missões da União pedirão informações complementares ao destinatário. Outras instituições e organismos da União zelarão por que a necessidade da transmissão possa ser posteriormente verificada. Outras instituições e organismos da União só podem proceder ao tratamento dos dados pessoais para as finalidades para que foram transmitidos.

Alteração    95

Proposta de regulamento

Artigo 69-H (novo)

 

Texto da Comissão

Alteração

 

Artigo 69.º-H

 

Tratamento de categorias especiais de dados pessoais operacionais

 

O tratamento de dados pessoais operacionais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos destinados a identificar uma pessoa singular de forma inequívoca, dados pessoais operacionais relativos à saúde ou dados pessoais operacionais relativos à vida sexual ou orientação sexual de uma pessoa singular, só é autorizado se for estritamente necessário e proporcionado para fins de prevenção ou de luta contra a criminalidade dentro dos objetivos dessas agências ou missões e se esses dados complementarem outros dados pessoais já tratados por agências e missões da União. É proibida a seleção de um grupo específico de pessoas efetuada unicamente com base nesses dados pessoais. O encarregado da proteção de dados deve ser imediatamente informado da aplicação do presente artigo. Os dados pessoais operacionais referidos no número anterior não devem ser transmitidos a Estados-Membros, organismos da União, países terceiros ou organizações internacionais, exceto se essa transmissão for estritamente necessária e proporcionada em casos individuais relativos a crimes abrangidos pelos objetivos das agências e missões da União e em conformidade com o capítulo V.

Alteração    96

Proposta de regulamento

Artigo 69-I (novo)

 

Texto da Comissão

Alteração

 

Artigo 69.º-I

 

Decisões individuais automatizadas, incluindo definição de perfis

 

O titular dos dados tem o direito de não ficar sujeito a nenhuma decisão tomada pelas agências e missões da União exclusivamente com base no tratamento automatizado, incluindo a definição de perfis, que produza efeitos jurídicos adversos ou que afete significativamente esse titular de forma similar.

Alteração    97

Proposta de regulamento

Artigo 69-J (novo)

 

Texto da Comissão

Alteração

 

Artigo 69.º- J

 

Informações a facultar ou a fornecer ao titular dos dados

 

1.  As agências e missões da União devem facultar ao titular dos dados pelo menos as seguintes informações:

 

(a)  A identidade e os contactos da missão ou agência da União;

 

(b)  Os contactos do encarregado da proteção de dados;

 

(c)  As finalidades do tratamento a que os dados pessoais operacionais se destinam;

 

(d)  O direito de apresentar uma reclamação à Autoridade Europeia para a Proteção de Dados, bem como os contactos desta;

 

(e)  A existência do direito de solicitar às agências e missões da União acesso aos dados pessoais operacionais que lhe digam respeito, bem como a sua retificação ou o seu apagamento, e a limitação do tratamento desses dados.

 

2.  Para além das informações a que se refere o n.º 1, as agências e missões da União fornecem ao titular dos dados, em determinados casos, as seguintes informações adicionais, a fim de lhe permitir exercer os seus direitos:

 

(a)  O fundamento jurídico do tratamento;

 

(b)  O prazo de conservação dos dados pessoais operacionais ou, se tal não for possível, os critérios usados para definir esse período;

 

(c)  As categorias de destinatários dos dados pessoais operacionais, inclusive nos países terceiros ou nas organizações internacionais;

 

(d)  Se for caso disso, informações adicionais, especialmente se os dados pessoais operacionais forem recolhidos sem conhecimento do seu titular.

 

3.  As agências e missões da União podem atrasar, restringir ou omitir a comunicação das informações ao titular dos dados nos termos do n.º 2, se e enquanto tais medidas estiverem previstas num ato jurídico adotado com base nos Tratados e constituírem medidas necessárias e proporcionadas numa sociedade democrática, tendo devidamente em conta os direitos fundamentais e os interesses legítimos das pessoas singulares em causa, a fim de:

 

(a)  Evitar prejudicar os inquéritos, as investigações ou os procedimentos oficiais ou judiciais;

 

(b)  Evitar prejudicar a prevenção, deteção, investigação ou repressão de infrações penais ou a execução de sanções penais;

 

(c)  Proteger a segurança pública dos Estados-Membros;

 

(d)  Proteger a segurança nacional dos Estados-Membros;

 

(e)  Proteger os direitos e as liberdades de terceiros.

Alteração    98

Proposta de regulamento

Artigo 69-K (novo)

 

Texto da Comissão

Alteração

 

Artigo 69.º- K

 

Direito de acesso do titular dos dados

 

O titular dos dados tem o direito de obter das agências e missões da União a confirmação de que os dados pessoais operacionais que lhe digam respeito estão ou não a ser objeto de tratamento e o direito de aceder às seguintes informações:

 

(a)  As finalidades e o fundamento jurídico do tratamento;

 

(b)  As categorias dos dados pessoais operacionais em questão;

 

(c)  Os destinatários ou as categorias de destinatários aos quais os dados pessoais operacionais foram divulgados, especialmente se se tratar de destinatários de países terceiros ou de organizações internacionais;

 

(d)  O período previsto de conservação dos dados pessoais operacionais;

 

(e)  A existência do direito de solicitar ao responsável pelo tratamento a retificação, o apagamento ou a limitação do tratamento dos dados pessoais operacionais no que diz respeito ao titular dos dados;

 

(f)  O direito de apresentar uma reclamação à Autoridade Europeia para a Proteção de Dados, bem como os contactos desta;

 

(g)  A comunicação dos dados pessoais operacionais em fase de tratamento e quaisquer informações disponíveis sobre a origem desses dados.

Alteração    99

Proposta de regulamento

Artigo 69-L (novo)

 

Texto da Comissão

Alteração

 

Artigo 69.º - L

 

Limitações do direito de acesso

 

1.  As agências e missões da União podem limitar, total ou parcialmente, o direito de acesso do titular dos dados, se e enquanto tal limitação, total ou parcial, estiver prevista num ato jurídico adotado com base nos Tratados e constituir uma medida necessária e proporcionada numa sociedade democrática, tendo devidamente em conta os direitos fundamentais e os interesses legítimos das pessoas singulares em causa, a fim de:

 

(a)  Evitar prejudicar os inquéritos, as investigações ou os procedimentos oficiais ou judiciais;

 

(b)  Evitar prejudicar a prevenção, deteção, investigação ou repressão de infrações penais ou a execução de sanções penais;

 

(c)  Proteger a segurança pública dos Estados-Membros;

 

(d)  Proteger a segurança nacional dos Estados-Membros;

 

(f)  Proteger os direitos e as liberdades de terceiros.

 

2.  Nos casos a que se refere o n.º 1, as agências e missões da União informam por escrito o titular dos dados, sem demora injustificada, de todos os casos de recusa ou limitação de acesso, e dos motivos da recusa ou da limitação. Essa informação pode ser omitida, caso a sua prestação possa prejudicar uma das finalidades enunciadas no n.º 1. As agências e missões da União informam o titular dos dados da possibilidade de apresentar uma reclamação à Autoridade Europeia para a Proteção de Dados e de intentar uma ação judicial no Tribunal de Justiça da União Europeia. As agências e missões da União devem detalhar os motivos de facto ou de direito em que a sua decisão se baseou. Essa informação deve ser facultada à Autoridade Europeia para a Proteção de Dados a pedido desta.

Alteração    100

Proposta de regulamento

Artigo 69-M (novo)

 

Texto da Comissão

Alteração

 

Artigo 69.º - M

 

Direito de retificação ou apagamento dos dados pessoais operacionais e limitação do tratamento

 

1.  O titular dos dados tem o direito de obter das agências e missões da União, sem demora injustificada, a retificação dos dados pessoais operacionais inexatos que lhe digam respeito. Tendo em conta as finalidades do tratamento, o titular dos dados tem direito a que os seus dados pessoais operacionais incompletos sejam completados, inclusive por meio de uma declaração adicional. As agências e missões da União devem apagar os dados pessoais operacionais sem demora injustificada, e o titular dos dados deve ter o direito de obter das agências e missões da União o apagamento dos dados pessoais operacionais que lhe digam respeito sem demora injustificada, caso o tratamento infrinja os artigos 68.º-B, 69.º-C ou 69.º-H, ou caso os dados pessoais operacionais tenham de ser apagados a fim de cumprir uma obrigação legal a que as agências e missões da União estejam sujeitas.

 

 

(a)  O titular dos dados conteste a exatidão dos dados pessoais, e a sua exatidão ou inexatidão não possa ser apurada; ou

 

(b)  Os dados pessoais tenham de ser conservados para efeitos de prova.

 

2.  Caso o tratamento seja limitado nos termos do primeiro parágrafo, alínea a), as agências e missões da União informam o titular dos dados antes de anular a limitação do tratamento. Os dados limitados só devem ser tratados para a finalidade que impediu o seu apagamento.

 

3.  As agências e missões da União informam por escrito o titular dos dados de todos os casos de recusa da retificação ou do apagamento de dados pessoais operacionais ou da limitação do tratamento, e dos motivos da recusa. As agências e missões da União podem limitar, total ou parcialmente, a obrigação de fornecer essas informações, na medida em que tal limitação constitua uma medida necessária e proporcionada numa sociedade democrática, tendo devidamente em conta os direitos fundamentais e os interesses legítimos das pessoas singulares em causa, a fim de:

 

(a)  Evitar prejudicar os inquéritos, as investigações ou os procedimentos oficiais ou judiciais;

 

(b)  Evitar prejudicar a prevenção, deteção, investigação ou repressão de infrações penais ou a execução de sanções penais;

 

(c)  Proteger a segurança pública dos Estados-Membros;

 

(d)  Proteger a segurança nacional dos Estados-Membros;

 

(f)  Proteger os direitos e as liberdades de terceiros.

 

4.  As agências e missões da União informam o titular dos dados da possibilidade de apresentar uma queixa à Autoridade Europeia para a Proteção de Dados e de intentar uma ação judicial no Tribunal de Justiça da União Europeia.

 

5.  As agências e missões da União comunicam a retificação de dados pessoais inexatos à autoridade competente que está na origem dos dados pessoais operacionais inexatos.

 

6.  Caso os dados pessoais operacionais tenham sido retificados ou apagados ou o tratamento tenha sido limitado nos termos dos n.ºs 1, 2 e 3, as agências e missões da União notificam os destinatários e informam-nos de que devem retificar ou apagar os dados pessoais operacionais ou limitar o tratamento dos dados pessoais operacionais sob a sua responsabilidade.

Alteração    101

Proposta de regulamento

Artigo 69-N (novo)

 

Texto da Comissão

Alteração

 

Artigo 69.º- N

 

Exercício dos direitos pelo titular dos dados e verificação pela Autoridade Europeia para a Proteção de Dados

 

Nos casos referidos nos artigos 69.º-J, n.º 3, 69.º-K e 69.º-M, n.º 4, os direitos do titular dos dados podem igualmente ser exercidos através da Autoridade Europeia para a Proteção de Dados.

 

As agências e missões da União informam o titular dos dados da possibilidade de exercer os seus direitos através da Autoridade Europeia para a Proteção de Dados, nos termos do n.º 1.

 

Se for exercido o direito referido no n.º 1, a Autoridade Europeia para a Proteção de Dados informa, pelo menos, o titular dos dados de que procedeu a todas as verificações necessárias ou a um reexame. A Autoridade Europeia para a Proteção de Dados informa também o titular dos dados sobre o seu direito de intentar uma ação judicial no Tribunal de Justiça da União Europeia.

Alteração    102

Proposta de regulamento

Artigo 69-O (novo)

 

Texto da Comissão

Alteração

 

Artigo 69.º-O

 

Registo cronológico

 

As agências e missões da União devem conservar em sistemas de tratamento automatizado registos cronológicos de qualquer uma das seguintes operações de tratamento: recolha, alteração, consulta, divulgação – incluindo transferências –, interconexão e apagamento de dados pessoais operacionais.

 

Os registos cronológicos das operações de consulta e divulgação permitem determinar o motivo, a data e a hora dessas operações, a identificação da pessoa que consultou ou divulgou os dados pessoais operacionais e, na medida do possível, a identidade dos destinatários desses dados pessoais operacionais. As informações só serão utilizadas para efeitos do controlo da proteção de dados e para garantir o tratamento adequado dos dados, bem como a respetiva integridade e segurança. Não é possível modificar esses registos cronológicos. Os registos cronológicos serão apagados ao fim de três anos, salvo se continuarem a ser necessários para controlos em curso. As agências e missões da União disponibilizam os registos cronológicos à Autoridade Europeia para a Proteção de Dados, a pedido desta.

Alteração    103

Proposta de regulamento

Artigo 69-P (novo)

 

Texto da Comissão

Alteração

 

Artigo 69.º- P

 

Transferências de dados pessoais operacionais para países terceiros ou organizações internacionais

 

1  Sob reserva de qualquer restrição imposta nos termos do artigo 69.º-L, as agências ou missões da União podem transferir dados pessoais operacionais para as autoridades de países terceiros ou para organizações internacionais, na medida do necessário ao exercício das atribuições das agências ou missões da União, com base num dos seguintes elementos:

 

(a)  Uma decisão da Comissão, adotada nos termos do artigo 36.º da Diretiva (UE) 2016/680, que estabeleça que o país terceiro ou um território ou um setor de tratamento de dados nesse país terceiro, ou a organização internacional em causa assegura um nível de proteção adequado (decisão de adequação);

 

(b)  Um acordo internacional concluído entre a União e esse país terceiro ou organização internacional, nos termos do artigo 218.º do TFUE, que estabeleça garantias suficientes respeitantes à proteção da privacidade e dos direitos e liberdades fundamentais dos indivíduos;

 

(c)  Um acordo de cooperação que preveja o intercâmbio de dados pessoais operacionais, concluído antes da data de aplicação do ato que estabelece essas agências da União, entre as agências ou missões da União e esse país terceiro, ou essa organização internacional, nos termos do artigo 23.º da Decisão 2009/371/JAI. As agências e missões da União podem celebrar convénios administrativos para dar execução aos referidos acordos ou a decisões de adequação.

 

2.  Se for caso disso, o Diretor Executivo informa o Conselho de Administração sobre o intercâmbio de dados pessoais operacionais efetuado com base em decisões de adequação a que se refere o n.º 1, alínea a).

 

3.  As agências e missões da União publicam no seu sítio da Internet e mantêm atualizadas uma lista das decisões de adequação, dos acordos, dos convénios administrativos e de outros instrumentos relacionados com a transferência de dados pessoais operacionais nos termos do n.º 1.

 

4.  Até 14 de junho de 2021, a Comissão avalia as disposições constantes dos acordos de cooperação referidos no n.º 1, alínea c), em particular as relativas à proteção de dados. A Comissão informa o Parlamento Europeu e o Conselho do resultado dessa avaliação e, se necessário, pode apresentar ao Conselho uma recomendação de decisão que autorize a abertura de negociações para a celebração de um acordo internacional a que se refere o n.º 1, alínea b).

 

5.  Em derrogação do disposto no n.º 1, o Diretor Executivo pode autorizar, se for caso disso, a transferência de dados pessoais operacionais para países terceiros ou organizações internacionais caso a caso, desde que a transferência seja:

 

(a)  necessária para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular;

 

(b)  necessária para salvaguardar os legítimos interesses do titular dos dados, caso a legislação do Estado-Membro que transfere os dados pessoais o preveja;

 

(c)  essencial para a prevenção de uma ameaça imediata e grave contra a segurança pública de um Estado-Membro ou de um país terceiro;

 

(d)  necessária em casos particulares para efeitos da prevenção, investigação, deteção ou repressão de infrações penais ou de execução de sanções penais; ou

 

(e)  necessária em casos particulares para efeitos de declaração, exercício ou defesa de um direito num processo judicial relacionado com a prevenção, investigação, deteção ou repressão de uma infração penal específica ou a execução de uma sanção penal específica.

 

Os dados pessoais operacionais não são transferidos se o Diretor Executivo determinar que, no caso da transferência referida no n.º 1, alíneas d) e e), os direitos e liberdades fundamentais do titular dos dados em causa primam sobre o interesse público.

 

As derrogações previstas no presente número não são aplicáveis a transferências sistemáticas, em bloco ou estruturais.

 

6.  Em derrogação do disposto no n.º 1, o Conselho de Administração pode, com o acordo da AEPD, autorizar, se for caso disso, por um período não superior a um ano, que pode ser prorrogado, um conjunto de transferências em conformidade com o n.º 5, alíneas a) a e), tendo em conta a existência de garantias adequadas no que se refere à proteção da privacidade e dos direitos e liberdades fundamentais das pessoas singulares. Essa autorização é devidamente justificada e documentada.

 

7.  O Diretor Executivo informa o mais rapidamente possível o Conselho Executivo e a Autoridade Europeia para a Proteção de Dados dos casos em que aplicou o disposto no n.º 5.

 

8.  As agências e missões da União conservam registos pormenorizados de todas as transferências de dados realizadas ao abrigo do presente artigo.

Alteração    104

Proposta de regulamento

Capítulo IX-A (novo) – Título

Texto da Comissão

Alteração

 

Capítulo IX-A

 

Reexame

Alteração    105

Proposta de regulamento

Artigo 70-A (novo)

Texto da Comissão

Alteração

 

Artigo 70.º-A

 

Cláusula de reexame

 

1.  O mais tardar em 1 de junho de 2021 e, posteriormente, de cinco em cinco anos, a Comissão apresenta ao Parlamento Europeu um relatório sobre a aplicação do presente regulamento, acompanhado, se necessário, de propostas legislativas adequadas.

 

2.  A avaliação ex post referida no n.º 1 prestará especial atenção à adequação do âmbito de aplicação do presente regulamento, à coerência com outros atos legislativos no domínio da proteção de dados e avaliará, nomeadamente, a aplicação do capítulo V do presente regulamento.

 

3.  O mais tardar em 1 de junho de 2021 e, posteriormente, de cinco em cinco anos, a Comissão apresentará ao Parlamento Europeu um relatório sobre a aplicação do capítulo VIII do presente regulamento e as infrações cometidas e as sanções aplicadas.

Justificação

À luz de uma melhor legislação e, em particular, da utilização eficaz das avaliações ex post para captar todo o ciclo legislativo, é de particular interesse acompanhar a transposição, aplicação e execução do direito da UE e, em termos mais gerais, acompanhar o impacto, o funcionamento e a eficácia do seu direito. Serve este propósito uma cláusula de reexame abrangente, que solicite uma avaliação adequada da aplicação do regulamento, do seu âmbito de aplicação e da derrogação de poderes prevista, bem como a imposição de obrigações de prestação de informações proporcionadas.

Alteração    106

Proposta de regulamento

Artigo 70-B (novo)

Texto da Comissão

Alteração

 

Artigo 70.º- B

 

Reexame dos atos jurídicos da União

 

Até 25 de maio de 2021, a Comissão reexamina outros atos jurídicos adotados com base nos Tratados que regulam o tratamento dos dados pessoais, nomeadamente pelas agências instituídas ao abrigo dos Capítulos 4 e 5 do Título V da Parte III do TFUE, a fim de avaliar a necessidade de os harmonizar com o presente regulamento e apresentar, se for caso disso, as propostas necessárias à alteração desses atos de forma a assegurar uma abordagem coerente da proteção de dados pessoais no âmbito do presente regulamento.

Alteração    107

Proposta de regulamento

Artigo 71-A (novo)

Texto da Comissão

Alteração

 

Artigo 71.º-A

 

Alterações ao Regulamento (CE) n.° 1987/2006

 

O Regulamento (UE) n.º 1987/2006 do Parlamento Europeu e do Conselho1-A é alterado do seguinte modo:

 

O artigo 46.º passa a ter a seguinte redação:

 

«As autoridades nacionais de supervisão e a AEPD, agindo no âmbito das respetivas competências, cooperam entre si nos termos do artigo 62.º do [novo Regulamento n.º 45/2001]».

 

_________________

 

1-A Regulamento (CE) n.° 1987/2006 do Parlamento Europeu e do Conselho, de 20 de dezembro de 2006, relativo ao estabelecimento, ao funcionamento e à utilização do Sistema de Informação de Schengen de segunda geração (SIS II) (JO L 381 de 28.12.2006, p. 4).

Alteração    108

Proposta de regulamento

Artigo 71-B (novo)

Texto da Comissão

Alteração

 

Artigo 71.º-B

 

Alterações à Decisão 2002/533/JAI do Conselho

 

A Decisão 2007/533/PESC do Conselho1-A é alterada do seguinte modo:

 

O artigo 62.º passa a ter a seguinte redação:

 

«As autoridades nacionais de supervisão e a AEPD, agindo no âmbito das respetivas competências, cooperam entre si nos termos do artigo 62.º do [novo Regulamento n.º 45/2001]».

 

_________________

 

1-A Decisão 2007/533/JAI1b do Conselho, de 12 de junho de 2007, relativa ao estabelecimento, ao funcionamento e à utilização do Sistema de Informação Schengen de segunda geração (SIS II) (JO L 205 de 7.8.2007, p. 63).

Alteração    109

Proposta de regulamento

Artigo 71-C (novo)

Texto da Comissão

Alteração

 

Artigo 71.º- C

 

Alterações ao Regulamento (CE) n.° 767/2008

 

O Regulamento (CE) n.º 767/2008 do Parlamento Europeu e do Conselho1-A é alterado do seguinte modo:

 

O artigo 43.º passa a ter a seguinte redação:

 

«As autoridades nacionais de supervisão e a AEPD, agindo no âmbito das respetivas competências, cooperam entre si nos termos do artigo 62.º do [novo Regulamento n.º 45/2001]».

 

_________________

 

1-A Regulamento (CE) n.º 767/2008 do Parlamento Europeu e do Conselho, de 9 de Julho de 2008, relativo ao Sistema de Informação sobre Vistos (VIS) e ao intercâmbio de dados entre os Estados-Membros sobre os vistos de curta duração (Regulamento VIS), JO L 218 de 13.8.2008, p. 60.

Alteração    110

Proposta de regulamento

Artigo 71-D (novo)

Texto da Comissão

Alteração

 

Artigo 71.º- D

 

Alterações ao Regulamento do Conselho (CE) n.º 515/97

 

O Regulamento (CE) n.º 515/97 do Conselho1-A é alterado do seguinte modo:

 

No artigo 37.º, o n.º 4 passa a ter a seguinte redação:

 

«As autoridades nacionais de supervisão e a AEPD, agindo no âmbito das respetivas competências, cooperam entre si nos termos do artigo 62.º do [novo Regulamento n.º 45/2001]».

 

_________________

 

1-A Regulamento (CE) n.º 515/97 do Conselho, de 13 de março de 1997, relativo à assistência mútua entre as autoridades administrativas dos Estados-Membros e à colaboração entre estas e a Comissão, tendo em vista assegurar a correta aplicação das regulamentações aduaneira e agrícola (JO L 82 de 22.3.1997, p. 1).

Alteração    111

Proposta de regulamento

Artigo 71-E (novo)

Texto da Comissão

Alteração

 

Artigo 71.º- E

 

Alterações à Decisão 2002/917/JAI do Conselho

 

A Decisão 2009/917/PESC do Conselho1-A é alterada do seguinte modo:

 

(1)  É suprimido o artigo 25.°.

 

(2)  No artigo 26.°, os n.ºs 2 e 3 passam a ter a seguinte redação:

 

«As autoridades nacionais de supervisão e a AEPD, agindo no âmbito das respetivas competências, cooperam entre si nos termos do artigo 62.º do [novo Regulamento n.º 45/2001]».

 

_________________

 

1-A Decisão 2009/917/JAI do Conselho, de 30 de novembro de 2009, relativa à utilização da informática no domínio aduaneiro (JO L 323 de 10.12.2009, p. 20).

Alteração    112

Proposta de regulamento

Artigo 71-F (novo)

Texto da Comissão

Alteração

 

Artigo 71.º- F

 

Alterações ao Regulamento (UE) n.º 1024/2012

 

O Regulamento (UE) n.º 1024/2012 do Parlamento Europeu e do Conselho1-A é alterado do seguinte modo:

 

No artigo 21.°, são suprimidos os n.ºs 3 e 4.

 

_________________

 

1-A Regulamento (UE) n.º 1024/2012 do Parlamento Europeu e do Conselho, de 25 de outubro de 2012, relativo à cooperação administrativa através do Sistema de Informação do Mercado Interno e que revoga a Decisão 2008/49/CE da Comissão («Regulamento IMI») (JO L 316 de 14.11.2012, p. 1).

Alteração    113

Proposta de regulamento

Artigo 71-G (novo)

Texto da Comissão

Alteração

 

Artigo 71.º-G

 

Alterações ao Regulamento de Execução (UE) 2015/2447 da Comissão

 

O Regulamento de Execução (UE) 2015/24471-A da Comissão é alterado do seguinte modo:

 

No artigo 83.º, é suprimido o n.º 8.

 

_________________

 

1-ARegulamento de Execução (UE) 2015/2447 da Comissão, de 24 de novembro de 2015, que estabelece as regras de execução de determinadas disposições do Regulamento (UE) n.º 952/2013 do Parlamento Europeu e do Conselho que estabelece o Código Aduaneiro da União (JO L 343 de 29.12.2015, p. 558).

Alteração    114

Proposta de regulamento

Artigo 71-H (novo)

Texto da Comissão

Alteração

 

Artigo 71.º- H

 

Alterações ao Regulamento (UE) n.º 2016/794

 

O Regulamento (UE) n.º 2016/794 do Parlamento Europeu e do Conselho1-A é alterado do seguinte modo:

 

(1)  São suprimidos os artigos 25.°, 28.°, 30.°, 36.°, 37.°, 40.°, 41.° e 46.°;

 

(2)  O artigo 44.º passa a ter a seguinte redação:

 

«As autoridades nacionais de supervisão e a AEPD, agindo no âmbito das respetivas competências, cooperam entre si nos termos do artigo 62.º do [novo Regulamento n.º 45/2001]».

 

_________________

 

1-A Regulamento (UE) 2016/794 do Parlamento Europeu e do Conselho, de 11 de maio de 2016, que cria a Agência da União Europeia para a Cooperação Policial (Europol) e que substitui e revoga as Decisões 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI e 2009/968/JAI do Conselho (JO L 135 de 24.5.2016, p. 53).

Alteração    115

Proposta de regulamento

Artigo 71-I (novo)

Texto da Comissão

Alteração

 

Artigo 71.º - I

 

Alterações ao Regulamento (UE) 2017/XX do Conselho

 

O Regulamento (UE) n.º 2017/... do Conselho1-A é alterado do seguinte modo:

 

1.  São suprimidos os artigos 36.º-E, 36.º-F, 37.º, 37.º-B, 37.º-C, 37.º-CC, 37.º-CCC, 37.º-D, 37.º-E, 37.º-F, 37.º-G, 37.º-H, 37.º-I, 37.º-J, 37.º-K, 37.º-N, 37.º-O, 41.º, 41.º-A, 41.º-B, 43.º-A, 43.º-B, 43.º-C, 43.ºD, 43.º-E e 46.º.

 

(2)  O artigo 45.º passa a ter a seguinte redação:

 

«As autoridades nacionais de supervisão e a AEPD, agindo no âmbito das respetivas competências, cooperam entre si nos termos do artigo 62.º do [novo Regulamento n.º 45/2001]».

 

_________________

 

1-A Regulamento (UE) 2017/... do Conselho de... que dá execução a uma cooperação reforçada para a instituição da Procuradoria Europeia (JO L...).

Alteração    116

Proposta de regulamento

Artigo 71-J (novo)

Texto da Comissão

Alteração

 

Artigo 71.º- J

 

Alterações ao Regulamento (UE) 2017/XX do Conselho

 

O Regulamento (UE) 2017/... do Parlamento Europeu e do Conselho1-A é alterado do seguinte modo:

 

(1)  São suprimidos os artigos 27.°, 29.°, 30.°, 36.°, 31.°, 33.°, 36.° e 37.°.

 

(2)  O artigo 35.º passa a ter a seguinte redação:

 

«As autoridades nacionais de supervisão e a AEPD, agindo no âmbito das respetivas competências, cooperam entre si nos termos do artigo 62.º do [novo Regulamento n.º 45/2001]».

 

_________________

 

1-A Regulamento (UE) 2017/... do Parlamento Europeu e do Conselho que cria a Agência Europeia para a Cooperação Judiciária Penal (Eurojust) (JO L).

Alteração    117

Proposta de regulamento

Artigo 71-K (novo)

Texto da Comissão

Alteração

 

Artigo 71.º- K

 

Alterações ao Regulamento (UE) 2017/XX relativo ao Eurodac

 

O Regulamento (UE) 2017/... do Parlamento Europeu e do Conselho1-A é alterado do seguinte modo:

 

(1)  São suprimidos os artigos 29.°, 30.°, 31.° 39.°.

 

(2)  O artigo 34.º passa a ter a seguinte redação:

 

«As autoridades nacionais de supervisão e a AEPD, agindo no âmbito das respetivas competências, cooperam entre si nos termos do artigo 62.º do [novo Regulamento n.º 45/2001]».

 

_________________

 

1-A Regulamento (UE) 2017/... do Parlamento Europeu e do Conselho relativo à criação do sistema "Eurodac" de comparação de dados biométricos para efeitos da aplicação efetiva do [Regulamento (UE) n.º 604/2013, que estabelece os critérios e mecanismos de determinação do Estado-Membro responsável pela análise de um pedido de proteção internacional apresentado num dos Estados-Membros por um nacional de um país terceiro ou por um apátrida], de identificação de nacionais de países terceiros ou de apátridas em situação irregular, e de pedidos de comparação com os dados Eurodac apresentados pelas autoridades responsáveis dos Estados-Membros e pela Europol para fins de aplicação da lei (JO L)


EXPOSIÇÃO DE MOTIVOS

I.  Contexto da proposta

O artigo 16.º, n.º 1, do Tratado sobre o Funcionamento da União Europeia (TFUE), tal como introduzido pelo Tratado de Lisboa, estabelece o princípio de que todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito. Além disso, no artigo 16.º, n.º 2, do TFUE, o Tratado de Lisboa introduziu uma base jurídica específica para a adoção de normas em matéria de proteção de dados pessoais. O artigo 8.º da Carta dos Direitos Fundamentais da União Europeia consagra a proteção de dados pessoais como um direito fundamental e o artigo 7.º consagra o direito de todas as pessoas ao respeito pela sua vida privada e familiar, pelo seu domicílio e pelas suas comunicações.

O direito à proteção de dados pessoais também se aplica ao tratamento de dados pessoais por parte de instituições, órgãos, organismos e agências da UE. O Regulamento (CE) n.º 45/2001, o ato principal da atual legislação da UE em matéria de proteção de dados nas instituições da UE, foi adotado em 2001 com dois objetivos: assegurar o direito fundamental à proteção de dados e assegurar a livre circulação de dados pessoais na União. O referido regulamento foi completado pela Decisão n.º 1247/2002/CE.

Em 27 de abril de 2016, o Parlamento Europeu e o Conselho adotaram o Regulamento Geral sobre a Proteção de Dados, Regulamento (UE) 2016/679 («RGPD»), que será aplicável a partir de 25 de maio de 2018. Este regulamento estabelece, no seu artigo 98.º, que o Regulamento (CE) n.º 45/2001 seja adaptado de acordo com os princípios e normas estabelecidos no RGPD para fornecer um quadro de proteção de dados sólido e coerente na União e para possibilitar que ambos os instrumentos sejam aplicados em simultâneo. Também em 27 de abril de 2016, o Parlamento Europeu e o Conselho adotaram a Diretiva (UE) 2016/680 («Diretiva») relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados. Esta diretiva estabelece um quadro geral para a proteção dos dados pessoais no domínio da aplicação da lei. O seu artigo 62.º exige que a legislação da União que regula o tratamento dos dados pessoais pelas autoridades competentes seja adaptada à diretiva. No entanto, algumas agências da União que operam no domínio da aplicação da lei continuam a ter regimes autónomos para a proteção dos dados pessoais.

É considerado consistente com a abordagem coerente da proteção de dados pessoais na União visando alinhar, na medida do possível, as normas de proteção de dados aplicadas pelas instituições, órgãos, organismos e agências da União com as normas de proteção de dados aplicadas a nível dos Estados-Membros. Sempre que as disposições da proposta sejam baseadas no mesmo conceito que as disposições do RGPD, essas duas disposições devem ser interpretadas homogeneamente, sobretudo porque o sistema da proposta deve ser considerado como equivalente ao sistema do RGPD.

O reexame do Regulamento (CE) n.º 45/2001 («Regulamento») também tem em consideração os resultados dos inquéritos e das consultas às partes interessadas, bem como o estudo de avaliação sobre a sua utilização ao longo dos últimos 15 anos.

II.  Alterações propostas pela relatora

De um modo geral, a relatora considera que a revisão proposta constitui um importante passo no sentido da harmonização das normas de proteção de dados e proporciona uma base sólida para trabalhar.

No entanto, lamenta que a Comissão Europeia não tenha optado por um verdadeiro instrumento único que abrangesse todas as operações de tratamento de dados de todos os órgãos, agências e instituições da União, perdendo assim uma oportunidade histórica de criar uma norma sólida e uniforme para a proteção do direito fundamental à proteção de dados. A relatora considera que os cidadãos da União merecem essa norma clara e uniforme e, nesse sentido, propôs que se clarificasse o âmbito de aplicação do Regulamento.

A fim de garantir um quadro sólido e coerente para a proteção de dados em toda a União, o Regulamento deve ser aplicável a todo o tipo de tratamento de dados pessoais realizado por qualquer instituição, órgão, organismo ou agência da União. Ao mesmo tempo, a relatora reconhece que, em 27 de abril de 2016, o legislador optou por uma abordagem dupla no que se refere ao tratamento para efeitos de aplicação da lei. Na medida em que o tratamento de dados pessoais para efeitos de aplicação da lei pelas agências da União seja compatível com as normas estabelecidas na Diretiva (UE) 2016/680, os regimes autónomos para determinadas agências devem continuar a aplicar-se até que sejam harmonizados com o Regulamento.

A relatora também procedeu a um alinhamento rigoroso desta revisão do Regulamento com o RGPR, a fim de uniformizar o mais possível os dois textos, dando assim expressão à ideia de que a União está sujeita às mesmas normas que os Estados-Membros no que se refere à proteção de dados. Por conseguinte, a relatora apresentou uma série de alterações destinadas a uniformizar os dois instrumentos. As divergências entre o Regulamento e o RGPD devem ser bem fundamentadas e reduzidas ao mínimo.

Nos últimos anos, no que se refere à relação entre o Regulamento (CE) n.º 45/2001 e o Regulamento (CE) n.º 1049/2001, o Tribunal de Justiça da União Europeia («TJUE») considerou, em vários processos, que é necessário alcançar um equilíbrio entre os dois direitos fundamentais e apelou implicitamente ao legislador para que esclarecesse melhor o nexo entre o artigo 4.º do Regulamento (CE) n.º 1049/2001 e o artigo 8.º (atualmente artigo 9.º) do Regulamento (CE) n.º 45/2001. Na sua abordagem, a relatora optou por introduzir no texto vários elementos dos recentes processos judiciais – Bavarian Lager, Dennekamp, ClientEarth – que, essencialmente, apresentam os elementos da atual jurisprudência do TJUE e visam especificar alguns aspetos abordados pelo TJUE e pelo próprio advogado-geral nos diversos veredictos.

No que se refere ao exercício dos direitos do titular dos dados, o RGPD exige que as limitações ao exercício desses direitos se baseiem em atos jurídicos. Consequentemente, a relatora propõe que se suprima a possibilidade de as instituições, órgãos, organismos e agências da União limitarem o exercício dos direitos dos titulares de dados por meio de regulamentos internos.

Nos termos do Regulamento (CE) n.º 45/2001, os responsáveis pela proteção de dados («RPD») das instituições da União devem manter um registo das atividades de tratamento. No entender da relatora, existe um valor acrescentado em obrigar as instituições, órgãos, organismos e agências da UE a manter um registo central das operações de tratamento. Os titulares dos dados devem poder consultar esse registo por intermédio do RPD.

O RGPD prevê a possibilidade de os responsáveis pelo tratamento demonstrarem a conformidade com o Regulamento mediante o cumprimento de procedimentos de certificação ou códigos de conduta aprovados. Embora considere que os códigos de conduta não são adequados para a administração pública, a relatora propõe que se introduzam as disposições necessárias para que os responsáveis pelo tratamento ao abrigo do Regulamento demonstrem a conformidade mediante o cumprimento de mecanismos de certificação aprovados.

A relatora acredita no enorme contributo da Autoridade Europeia para a Proteção de Dados («AEPD») para o cumprimento das disposições do Regulamento e, como tal, manteve a redação do Regulamento (CE) n.º 45/2001 para permitir à Comissão consultar a AEPD nas fases preparatórias da adoção de uma proposta, deixando-lhe margem de manobra suficiente e respeitando assim o seu direito de iniciativa. A relatora observa que a supervisão independente das normas de proteção de dados é uma exigência dos Tratados. Nessa conformidade, todas as instituições e órgãos, incluindo o Tribunal de Justiça, devem ser sujeitos a uma supervisão independente pela AEPD. A fim de salvaguardar a independência da AEPD, a relatora propõe uma ligeira alteração ao procedimento de nomeação.

A proposta da Comissão inclui disposições relativas à confidencialidade das comunicações. A relatora considera que, em geral, a legislação da União nesta matéria deve aplicar-se também às instituições, órgãos, organismos e agências da União. Apenas devem ser incluídas neste contexto regras adicionais que visem especificar e complementar o quadro geral, as quais devem fazer parte de uma secção separada do texto.

Por último, a relatora congratula-se com a inclusão da possibilidade de a AEPD impor coimas às instituições, órgãos e agências da União que não cumpram as disposições estritas do Regulamento, desse modo enviando um forte sinal aos titulares dos dados e submetendo a União à mesma elevada obrigação moral e legal que as administrações dos Estados-Membros.


PARECER da Comissão dos Assuntos Jurídicos (5.10.2017)

dirigido à Comissão das Liberdades Cívicas, da Justiça e dos Assuntos Internos

sobre a proposta de regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições, órgãos, organismos e agências da União e à livre circulação desses dados e que revoga o Regulamento (CE) n.º 45/2001 e a Decisão n.º 1247/2002/CE

(COM(2017)0008 – C8-0008/2017 – 2017/0002(COD))

Relator de parecer: Angel Dzhambazki

JUSTIFICAÇÃO SUCINTA

O princípio de que todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito é instituído pelo artigo 16.º, n.º 1, do Tratado sobre o Funcionamento da União Europeia (TFUE). O artigo 16.º, n.º 2, do TFUE estabelece uma base jurídica específica para a adoção de regras em matéria de proteção de dados. Esta base é completada pelo artigo 8.º da Carta dos Direitos Fundamentais da União Europeia que consagra a proteção de dados pessoais como um direito fundamental.

O direito à proteção de dados pessoais também se aplica ao tratamento de dados pessoais por parte de instituições, órgãos, organismos e agências da UE. O Regulamento (CE) n.º 45/2001, o ato principal da atual legislação da UE em matéria de proteção de dados nas instituições da UE, foi adotado em 2001 com dois objetivos: assegurar o direito fundamental à proteção de dados e garantir a livre circulação de dados pessoais na União.

O Parlamento Europeu e o Conselho adotaram em 27 de abril de 2016 o Regulamento (UE) n.º 2016/697 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, e que revoga a Diretiva 95/46/CE (Regulamento geral sobre a proteção de dados). O Regulamento geral sobre a proteção de dados entrará em vigor em 25 de maio de 2018. Este regulamento prevê uma adaptação do Regulamento (CE) n.º 45/2001 de acordo com os princípios e normas estabelecidos no Regulamento (UE) 2016/679 no sentido de fornecer um quadro de proteção de dados sólido e coerente na União e de permitir que ambos os instrumentos sejam aplicados em simultâneo.

Na sua proposta, a Comissão inscreveu as alterações necessárias para uma adaptação justa e equilibrada do Regulamento Geral sobre a Proteção de Dados. Contudo, há um ponto - a idade de consentimento para menores - em que, de forma injustificada, a proposta se afasta do Regulamento Geral sobre a Proteção de Dados.

ALTERAÇÕES

A Comissão dos Assuntos Jurídicos insta a Comissão das Liberdades Cívicas, da Justiça e dos Assuntos Internos, competente quanto à matéria de fundo, a ter em conta as seguintes alterações:

Alteração    1

Proposta de regulamento

Considerando 1

Texto da Comissão

Alteração

(1)  A proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais é um direito fundamental. O artigo 8.º, n.º 1, da Carta dos Direitos Fundamentais da União Europeia («Carta») e o artigo 16.º, n.º 1, do Tratado sobre o Funcionamento da União Europeia (TFUE) estabelecem que todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito.

(1)  A proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais é um direito fundamental. O artigo 8.º, n.º 1, da Carta dos Direitos Fundamentais da União Europeia («Carta») e o artigo 16.º, n.º 1, do Tratado sobre o Funcionamento da União Europeia (TFUE) estabelecem que todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito. Este direito é igualmente garantido pelo artigo 8.º da Convenção Europeia dos Direitos do Homem.

Alteração    2

Proposta de regulamento

Considerando 2

Texto da Comissão

Alteração

(2)  O Regulamento (CE) n.º 45/2001 do Parlamento Europeu e do Conselho11 confere às pessoas singulares direitos suscetíveis de proteção judicial, especifica as obrigações em matéria de tratamento de dados dos responsáveis pelo tratamento a nível das instituições e órgãos comunitários, e cria uma autoridade de controlo independente, a Autoridade Europeia para a Proteção de Dados, responsável pelo controlo do tratamento de dados pessoais pelas instituições e órgãos da União. Contudo, não se aplica ao tratamento de dados pessoais efetuado no exercício de uma atividade das instituições e órgãos da União que se encontre fora do âmbito de aplicação do direito da União.

(2)  O Regulamento (CE) n.º 45/2001 do Parlamento Europeu e do Conselho11 confere às pessoas singulares direitos suscetíveis de proteção judicial, especifica as obrigações em matéria de tratamento de dados dos responsáveis pelo tratamento a nível das instituições e órgãos comunitários, e cria uma autoridade de controlo independente, a Autoridade Europeia para a Proteção de Dados, responsável pelo controlo do tratamento de dados pessoais pelas instituições e órgãos da União. Ao mesmo tempo, o Regulamento (CE) n.º 45/2001 procura alcançar dois objetivos: salvaguardar o direito fundamental à proteção de dados e assegurar a livre circulação de dados pessoais na União. Contudo, não se aplica ao tratamento de dados pessoais efetuado no exercício de uma atividade das instituições e órgãos da União que se encontre fora do âmbito de aplicação do direito da União.

_________________

_______________

11 Regulamento (CE) n.º 45/2001 do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados (JO L 8 de 12.1.2001, p. 1).

11 Regulamento (CE) n.º 45/2001 do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados (JO L 8 de 12.1.2001, p. 1).

Alteração    3

Proposta de regulamento

Considerando 5

Texto da Comissão

Alteração

(5)  É no interesse de uma abordagem coerente à proteção de dados pessoais em toda a União e da livre circulação de dados pessoais na União, harmonizar o mais possível as normas de proteção de dados adotadas a nível das instituições e organismos da União com as normas de proteção de dados adotadas para o sector público nos Estados-Membros. Sempre que as disposições do presente regulamento sejam baseadas no mesmo conceito que as disposições do Regulamento (UE) 2016/679, essas duas disposições devem ser interpretadas de forma homogénea, sobretudo porque o sistema do presente regulamento deve ser entendido como equivalente ao sistema do Regulamento (UE) 2016/679.

(5)  É no interesse de uma abordagem coerente à proteção de dados pessoais em toda a União e da livre circulação de dados pessoais na União, harmonizar as normas de proteção de dados adotadas a nível das instituições, órgãos, organismos e agências da União com as normas de proteção de dados adotadas para o setor público nos Estados-Membros. Sempre que as disposições do presente regulamento sejam baseadas no mesmo conceito que as disposições do Regulamento (UE) 2016/679, essas duas disposições, em conformidade com a jurisprudência do Tribunal de Justiça da União Europeia1-A, devem ser interpretadas de forma homogénea, sobretudo porque o sistema do presente regulamento deve ser entendido como equivalente ao sistema do Regulamento (UE) 2016/679.

 

_________________

 

1-A Acórdão do Tribunal de Justiça, de 9 de março de 2010, Comissão/Alemanha, C-518/07, ECLI:EU:C:2010:125, n.os 26 e 28.

Alteração    4

Proposta de regulamento

Considerando 10

Texto da Comissão

Alteração

(10)  Sempre que que o ato que cria uma agência da União que exerce atividades abrangidas pelo âmbito de aplicação dos capítulos 4 e 5 do título V do Tratado estabelece um regime autónomo de proteção de dados para o tratamento de dados pessoais operacionais, esses regimes não devem ser afetados pelo presente regulamento. Contudo, a Comissão deve, nos termos do artigo 62.º da Diretiva (UE) 2016/680, até 6 de maio de 2019, avaliar os atos da União que regulam o tratamento efetuado pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou da execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública e, quando necessário, apresentar as propostas necessárias à alteração desses atos de forma a assegurar uma abordagem coerente da proteção de dados pessoais no domínio da cooperação judiciária em matéria penal e da cooperação policial.

(10)  Sempre que o ato que cria uma agência da União que exerce atividades abrangidas pelo âmbito de aplicação dos capítulos 4 e 5 do título V do Tratado estabelece um regime autónomo de proteção de dados para o tratamento de dados pessoais operacionais, esses regimes não devem ser afetados pelo presente regulamento, desde que sejam compatíveis com as disposições do Regulamento (UE) 2016/679. Contudo, a Comissão deve, nos termos do artigo 62.º da Diretiva (UE) 2016/680, até 6 de maio de 2019, avaliar os atos da União que regulam o tratamento efetuado pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou da execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública e, quando necessário, apresentar as propostas necessárias à alteração desses atos de forma a assegurar uma abordagem coerente da proteção de dados pessoais no domínio da cooperação judiciária em matéria penal e da cooperação policial.

Justificação

Qualquer regime de proteção de dados deve ser coerente com o Regulamento Geral sobre a Proteção de Dados.

Alteração    5

Proposta de regulamento

Considerando 14

Texto da Comissão

Alteração

(14)  O consentimento do titular dos dados deve ser dado mediante um ato positivo claro que indique uma manifestação de vontade livre, específica, informada e inequívoca de que autoriza o tratamento dos dados que lhe digam respeito, por exemplo mediante uma declaração escrita, inclusive em formato eletrónico, ou uma declaração oral. O consentimento pode ser dado validando uma opção ao visitar um sítio Web na Internet, selecionando os parâmetros técnicos para os serviços da sociedade da informação ou mediante outra declaração ou conduta que indique claramente nesse contexto que aceita o tratamento proposto dos seus dados pessoais. O silêncio, as opções pré-validadas ou a omissão não devem, por conseguinte, constituir um consentimento. O consentimento deve abranger todas as atividades de tratamento realizadas com a mesma finalidade. Nos casos em que o tratamento sirva fins múltiplos, deve ser dado um consentimento para todos esses fins. Se o consentimento tiver de ser dado no seguimento de um pedido apresentado por via eletrónica, esse pedido tem de ser claro e conciso e não pode perturbar desnecessariamente a utilização do serviço para o qual é fornecido.

(14)  O consentimento do titular dos dados deve ser dado mediante um ato positivo claro que indique uma manifestação de vontade livre, específica, informada e inequívoca de que autoriza o tratamento dos dados que lhe digam respeito, por exemplo mediante uma declaração escrita, inclusive em formato eletrónico, ou uma declaração oral. O consentimento pode ser dado validando uma opção ao visitar um sítio Web na Internet, selecionando os parâmetros técnicos para os serviços da sociedade da informação ou mediante outra declaração ou conduta que indique claramente nesse contexto que aceita o tratamento proposto dos seus dados pessoais. O silêncio, as opções pré-validadas ou a omissão não devem, por conseguinte, constituir um consentimento. O consentimento deve abranger todas as atividades de tratamento realizadas com a mesma finalidade. Nos casos em que o tratamento sirva fins múltiplos, deve ser dado um consentimento para todos esses fins. Se o consentimento tiver de ser dado no seguimento de um pedido apresentado por via eletrónica, esse pedido tem de ser claro e conciso e não pode perturbar desnecessariamente a utilização do serviço para o qual é fornecido. Contudo, o titular dos dados deve ter o direito de retirar o seu consentimento a qualquer momento, sem comprometer a licitude do tratamento efetuado com base no consentimento previamente dado.

Alteração    6

Proposta de regulamento

Considerando 18

Texto da Comissão

Alteração

(18)  O direito da União, incluindo as normas internas mencionadas no presente regulamento, deve ser claro e rigoroso e a sua aplicação deve ser previsível para os seus destinatários, em conformidade com a jurisprudência do Tribunal de Justiça da União Europeia e do Tribunal Europeu dos Direitos do Homem.

(18)  O direito da União deve ser claro e rigoroso e a sua aplicação deve ser previsível para os seus destinatários, em conformidade com a jurisprudência do Tribunal de Justiça da União Europeia e do Tribunal Europeu dos Direitos do Homem.

Alteração    7

Proposta de regulamento

Considerando 23

Texto da Comissão

Alteração

(23)  Merecem proteção específica os dados pessoais que são, pela sua natureza, especialmente sensíveis do ponto de vista dos direitos e das liberdades fundamentais, dado que o contexto do tratamento desses dados poderá implicar riscos significativos para os direitos e as liberdades fundamentais. Devem incluir-se neste caso os dados pessoais que revelem a origem racial ou étnica, não implicando o uso da expressão «origem racial» no presente regulamento que a União aceita teorias que tentam demonstrar a existência de diferentes raças humanas. O tratamento de fotografias não deve ser considerado sistematicamente um tratamento de categorias especiais de dados pessoais, uma vez que são apenas abrangidas pela definição de dados biométricos quando forem processadas por meios técnicos específicos que permitam a identificação inequívoca ou a autenticação de uma pessoa singular. Para além dos requisitos específicos para o tratamento de dados sensíveis, devem aplicar-se os princípios gerais e outras disposições do presente regulamento, em especial, no que se refere às condições para o tratamento lícito. É oportuno prever expressamente derrogações à proibição geral de tratamento de categorias especiais de dados pessoais, por exemplo, se o titular dos dados der o seu consentimento expresso ou para ter em conta necessidades específicas, designadamente quando o tratamento for efetuado no exercício de atividades legítimas de certas associações ou fundações que tenham por finalidade permitir o exercício das liberdades fundamentais.

(23)  Merecem proteção específica os dados pessoais que são, pela sua natureza, especialmente sensíveis do ponto de vista dos direitos e das liberdades fundamentais, dado que o contexto do tratamento desses dados poderá implicar riscos significativos para os direitos e as liberdades fundamentais. Tais dados pessoais não devem ser objeto de tratamento, salvo se essa operação for autorizada em casos específicos tal como definidos no presente regulamento. Devem incluir-se neste caso os dados pessoais que revelem a origem racial ou étnica, não implicando o uso da expressão «origem racial» no presente regulamento que a União aceita teorias que tentam demonstrar a existência de diferentes raças humanas. O tratamento de fotografias não deve ser considerado sistematicamente um tratamento de categorias especiais de dados pessoais, uma vez que são apenas abrangidas pela definição de dados biométricos quando forem processadas por meios técnicos específicos que permitam a identificação inequívoca ou a autenticação de uma pessoa singular. Para além dos requisitos específicos para o tratamento de dados sensíveis, devem aplicar-se os princípios gerais e outras disposições do presente regulamento, em especial, no que se refere às condições para o tratamento lícito. É oportuno prever expressamente derrogações à proibição geral de tratamento de categorias especiais de dados pessoais, por exemplo, se o titular dos dados der o seu consentimento expresso ou para ter em conta necessidades específicas, designadamente quando o tratamento for efetuado no exercício de atividades legítimas de certas associações ou fundações que tenham por finalidade permitir o exercício das liberdades fundamentais.

Alteração    8

Proposta de regulamento

Considerando 23-A (novo)

Texto da Comissão

Alteração

 

(23-A)  As categorias especiais de dados pessoais que merecem uma proteção mais elevada só deverão ser objeto de tratamento para fins relacionados com a saúde nos casos em que tal se revele necessário para atingir os objetivos no interesse das pessoas singulares e da sociedade no seu todo, nomeadamente no contexto da gestão dos serviços e sistemas de saúde ou de ação social. Por conseguinte, o presente regulamento deverá estabelecer condições harmonizadas para o tratamento de categorias especiais de dados pessoais relativos à saúde, tendo em conta necessidades específicas, designadamente quando o tratamento desses dados for efetuado para determinadas finalidades ligadas à saúde por pessoas sujeitas a uma obrigação legal de sigilo profissional. O direito da União deverá prever medidas específicas e adequadas com vista à defesa dos direitos fundamentais e dos dados pessoais das pessoas singulares.

Alteração    9

Proposta de regulamento

Considerando 24

Texto da Comissão

Alteração

(24)  O tratamento de categorias especiais de dados pessoais pode ser necessário por razões de interesse público nos domínios da saúde pública sem o consentimento do titular dos dados. Esse tratamento deve ser objeto de medidas adequadas e específicas, a fim de defender os direitos e as liberdades das pessoas singulares. Nesse contexto, a noção de «saúde pública» deve ser interpretada segundo a definição constante do Regulamento (CE) n.º 1338/2008 do Parlamento Europeu e do Conselho15, ou seja, todos os elementos relacionados com a saúde, a saber, o estado de saúde, incluindo a morbilidade e a incapacidade, as determinantes desse estado de saúde, as necessidades de cuidados de saúde, os recursos atribuídos aos cuidados de saúde, a prestação de cuidados de saúde e o acesso universal aos mesmos, assim como as despesas e o financiamento dos cuidados de saúde e as causas de mortalidade. Tal tratamento de dados relativos à saúde efetuado por motivos de interesse público não deve ter por resultado que os dados pessoais sejam tratados para outros fins por terceiros.

(24)  O tratamento de categorias especiais de dados pessoais pode ser necessário por razões de interesse público nos domínios da saúde pública sem o consentimento do titular dos dados. Esse tratamento deve ser objeto de medidas proporcionadas, adequadas e específicas, a fim de defender os direitos e as liberdades das pessoas singulares. Nesse contexto, a noção de «saúde pública» deve ser interpretada segundo a definição constante do Regulamento (CE) n.º 1338/2008 do Parlamento Europeu e do Conselho15, ou seja, todos os elementos relacionados com a saúde, a saber, o estado de saúde, incluindo a morbilidade e a incapacidade, as determinantes desse estado de saúde, as necessidades de cuidados de saúde, os recursos atribuídos aos cuidados de saúde, a prestação de cuidados de saúde e o acesso universal aos mesmos, assim como as despesas e o financiamento dos cuidados de saúde e as causas de mortalidade. Tal tratamento de dados relativos à saúde efetuado por motivos de interesse público não deve conduzir a qualquer tratamento posterior para outros fins.

_________________

_________________

15 Regulamento (CE) n.º 1338/2008 do Parlamento Europeu e do Conselho, de 16 de dezembro de 2008, relativo às estatísticas comunitárias sobre saúde pública e saúde e segurança no trabalho (JO L 354 de 31.12.2008, p. 70).

15 Regulamento (CE) n.º 1338/2008 do Parlamento Europeu e do Conselho, de 16 de dezembro de 2008, relativo às estatísticas comunitárias sobre saúde pública e saúde e segurança no trabalho (JO L 354 de 31.12.2008, p. 70).

Justificação

Os dados relativos à saúde são especialmente sensíveis e é necessário restringir especificamente o tratamento de tais dados sensíveis ao mínimo indispensável. Tais dados não podem, em particular, acabar na posse de terceiros que procederiam ao seu tratamento posterior.

Alteração    10

Proposta de regulamento

Considerando 37 – parágrafo 1

Texto da Comissão

Alteração

Os atos jurídicos adotados com base nos Tratados ou normas internas das instituições e organismos da União podem impor restrições relativas a princípios específicos e aos direitos de informação, acesso e retificação ou apagamento de dados pessoais, ao direito à portabilidade dos dados, à confidencialidade das comunicações eletrónicas, bem como à comunicação de uma violação de dados pessoais ao titular dos dados e a determinadas obrigações conexas dos responsáveis pelo tratamento, desde que necessárias e proporcionais numa sociedade democrática, para salvaguardar a segurança pública, a prevenção, a investigação e repressão de infração penais ou a execução de sanções penais, incluindo a prevenção de ameaças contra a segurança pública e a sua prevenção, a proteção da vida humana, especialmente em resposta a catástrofes naturais ou provocadas pelo homem, a segurança interna das instituições e organismos da União, outros objetivos importantes de interesse público geral da União ou de um Estado-Membro, nomeadamente um interesse económico ou financeiro importante da União ou de um Estado-Membro, a conservação de registos públicos por motivos de interesse público geral ou a defesa do titular dos dados ou dos direitos e liberdades de outrem, incluindo a proteção social, a saúde pública e os fins humanitários.

Os atos jurídicos adotados com base nos Tratados podem impor restrições relativas a princípios específicos e aos direitos de informação, acesso e retificação ou apagamento de dados pessoais, ao direito à portabilidade dos dados, à confidencialidade das comunicações eletrónicas, bem como à comunicação de uma violação de dados pessoais ao titular dos dados e a determinadas obrigações conexas dos responsáveis pelo tratamento, desde que necessárias e proporcionais numa sociedade democrática, para salvaguardar a segurança pública, a prevenção, a investigação e repressão de infração penais ou a execução de sanções penais, incluindo a prevenção de ameaças contra a segurança pública e a sua prevenção, a proteção da vida humana, especialmente em resposta a catástrofes naturais ou provocadas pelo homem, a segurança interna das instituições e organismos da União, outros objetivos importantes de interesse público geral da União ou de um Estado-Membro, nomeadamente um interesse económico ou financeiro importante da União ou de um Estado-Membro, a conservação de registos públicos por motivos de interesse público geral ou a defesa do titular dos dados ou dos direitos e liberdades de outrem, incluindo a proteção social, a saúde pública e os fins humanitários.

Alteração    11

Proposta de regulamento

Considerando 37 – parágrafo 2

Texto da Comissão

Alteração

Sempre que uma restrição não esteja prevista nos atos jurídicos adotados com base nos Tratados ou nas suas normas internas, as instituições e organismos da União podem, em casos específicos, impor uma restrição ad hoc relativa aos princípios específicos e aos direitos do titular dos dados, se essa restrição respeitar a essência dos direitos e liberdades fundamentais e, em relação a uma operação de tratamento específica, for necessária e proporcionada numa sociedade democrática para salvaguardar um ou mais objetivos mencionados no n.º 1. A restrição deve ser notificada ao encarregado da proteção de dados. Todas as restrições devem respeitar as exigências estabelecidas na Carta e na Convenção Europeia para a Proteção dos Direitos do Homem e das Liberdades Fundamentais.

Suprimido

Alteração    12

Proposta de regulamento

Considerando 42

Texto da Comissão

Alteração

(42)  A fim de demonstrar a observância do presente regulamento, os responsáveis pelo tratamento devem conservar um registo das atividades de tratamento sob a sua responsabilidade e os subcontratantes devem conservar um registo das categorias de atividades de tratamento sob a sua responsabilidade. As instituições e organismos da União devem ser obrigados a cooperar com a Autoridade Europeia para a Proteção de Dados e a facultar-lhe esses registos, mediante pedido, para fiscalização dessas operações de tratamento. As instituições e organismos da União devem ter condições para estabelecer um registo central dos registos das suas atividades de tratamento. Por motivos de transparência, devem poder igualmente tornar esse registo público.

(42)  A fim de demonstrar a observância do presente regulamento, os responsáveis pelo tratamento devem conservar um registo das atividades de tratamento sob a sua responsabilidade e os subcontratantes devem conservar um registo das categorias de atividades de tratamento sob a sua responsabilidade. As instituições e organismos da União devem ser obrigados a cooperar com a Autoridade Europeia para a Proteção de Dados e a facultar-lhe esses registos, mediante pedido, para fiscalização dessas operações de tratamento. As instituições e organismos da União devem ter condições para estabelecer um registo central dos registos das suas atividades de tratamento. Por motivos de transparência, devem tornar esse registo público. Os titulares dos dados devem ter a possibilidade de consultar esse registo por intermédio do encarregado da proteção de dados do responsável pelo tratamento.

Alteração    13

Proposta de regulamento

Considerando 46

Texto da Comissão

Alteração

(46)  O responsável pelo tratamento deve informar, sem demora injustificada, o titular dos dados da violação de dados pessoais quando for provável que desta resulte um elevado risco para os direitos e liberdades da pessoa singular, a fim de lhe permitir tomar as precauções necessárias. A comunicação deve descrever a natureza da violação de dados pessoais e dirigir recomendações à pessoa singular em causa para atenuar potenciais efeitos adversos. Essa comunicação aos titulares dos dados deve ser efetuada logo que seja razoavelmente possível, em estreita cooperação com a Autoridade Europeia para a Proteção de Dados, e em cumprimento das orientações fornecidas por esta ou por outras autoridades competentes, como as autoridades com funções coercivas.

(46)  O responsável pelo tratamento deve informar, sem demora injustificada, o titular dos dados da violação de dados pessoais quando for provável que desta resulte um elevado risco para os direitos e liberdades da pessoa singular, a fim de lhe permitir tomar as precauções necessárias. A comunicação deve ser confidencial e deve descrever a natureza da violação de dados pessoais e dirigir recomendações à pessoa singular em causa para atenuar potenciais efeitos adversos. Essa comunicação aos titulares dos dados deve ser efetuada logo que seja razoavelmente possível, em estreita cooperação com a Autoridade Europeia para a Proteção de Dados, e em cumprimento das orientações fornecidas por esta ou por outras autoridades competentes, como as autoridades com funções coercivas.

Alteração    14

Proposta de regulamento

Considerando 52

Texto da Comissão

Alteração

(52)  Quando os dados pessoais são transferidos das instituições e organismos da União para responsáveis pelo tratamento, para subcontratantes ou para outros destinatários em países terceiros ou para organizações internacionais, o nível de proteção das pessoas singulares assegurado na União pelo presente regulamento deve continuar a ser garantido, inclusive nos casos de posterior transferência de dados pessoais do país terceiro ou da organização internacional em causa para responsáveis pelo tratamento, subcontratantes desse país terceiro ou de outro, ou para uma organização internacional. Em todo o caso, as transferências para países terceiros e organizações internacionais só podem ser efetuadas no pleno respeito pelo presente regulamento. Apenas poderão ser realizadas transferências se, sob reserva das demais disposições do presente regulamento, as condições constantes das disposições do presente regulamento relativas às transferências de dados pessoais para países terceiros e organizações internacionais forem cumpridas pelo responsável pelo tratamento ou subcontratante.

(52)  Quando os dados pessoais são transferidos das instituições e organismos da União para responsáveis pelo tratamento, para subcontratantes ou para outros destinatários em países terceiros ou para organizações internacionais, o nível de proteção das pessoas singulares assegurado na União pelo presente regulamento deve ser garantido, inclusive nos casos de posterior transferência de dados pessoais do país terceiro ou da organização internacional em causa para responsáveis pelo tratamento, subcontratantes desse país terceiro ou de outro, ou para uma organização internacional. Em todo o caso, as transferências para países terceiros e organizações internacionais só podem ser efetuadas no pleno respeito pelo presente regulamento, pelo Regulamento (UE) 2016/679 e pelos direitos e liberdades fundamentais consagrados na Carta. Apenas poderão ser realizadas transferências se, sob reserva das demais disposições do presente regulamento, as condições constantes das disposições do presente regulamento relativas às transferências de dados pessoais para países terceiros e organizações internacionais forem cumpridas pelo responsável pelo tratamento ou subcontratante.

Alteração    15

Proposta de regulamento

Considerando 54

Texto da Comissão

Alteração

(54)  Na falta de uma decisão sobre o nível de proteção adequado, o responsável pelo tratamento ou o subcontratante deve adotar as medidas necessárias para colmatar a insuficiência da proteção de dados no país terceiro dando para tal garantias adequadas ao titular dos dados. Tais garantias adequadas podem consistir no recurso a cláusulas-tipo de proteção de dados adotadas pela Comissão, cláusulas-tipo de proteção de dados adotadas pela Autoridade Europeia para a Proteção de Dados ou cláusulas contratuais autorizadas por esta autoridade. Nos casos em que o subcontratante não é uma instituição ou organismo da União, essas garantias adequadas podem igualmente consistir em regras vinculativas aplicáveis às empresas, códigos de conduta e mecanismos de certificação utilizados para transferências internacionais ao abrigo do Regulamento (UE) 2016/679. Tais garantias devem assegurar o cumprimento dos requisitos relativos à proteção de dados e o respeito pelos direitos dos titulares dos dados adequados ao tratamento no território da União, incluindo a existência de direitos do titular de dados e de medidas jurídicas corretivas eficazes, nomeadamente o direito de recurso administrativo ou judicial e de exigir indemnização, quer no território da União quer num país terceiro. Devem estar relacionadas, em especial, com o respeito pelos princípios gerais relativos ao tratamento de dados pessoais e pelos princípios de proteção de dados desde a conceção e por defeito. Também podem ser efetuadas transferências por instituições e organismos da União para autoridades ou organismos públicos em países terceiros ou para organizações internacionais que tenham deveres e funções correspondentes, nomeadamente com base em disposições a inserir no regime administrativo, por exemplo um memorando de entendimento, que prevejam a existência de direitos efetivos e oponíveis dos titulares dos dados. Deve ser obtida a autorização da Autoridade Europeia para a Proteção de Dados quando as garantias previstas em regimes administrativos não forem juridicamente vinculativas.

Suprimido

Alteração    16

Proposta de regulamento

Artigo 1 – n.º 1

Texto da Comissão

Alteração

1.  O presente regulamento estabelece normas em matéria de proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais por instituições, órgãos, organismos e agências, bem como normas sobre a livre circulação de dados pessoais entre eles ou entre eles e destinatários estabelecidos na União e abrangidos pelo Regulamento (UE) 2016/67918, ou pelas disposições do direito nacional adotadas de acordo com a Diretiva (UE) 2016/68019.

1.  O presente regulamento estabelece normas em matéria de proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais por instituições, órgãos, organismos e agências, bem como normas sobre a livre circulação de dados pessoais entre eles ou entre eles e destinatários estabelecidos na União.

_________________

 

18 Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (Texto relevante para efeitos do EEE), JO L 119 de 4.5.2016, pp. 1-88.

 

19 Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI, JO L 119 de 4.5.2016, pp. 89-131.

 

Alteração    17

Proposta de regulamento

Artigo 1 – n.º 2

Texto da Comissão

Alteração

2.  O presente regulamento protege os direitos e as liberdades fundamentais das pessoas singulares, nomeadamente o seu direito à proteção dos dados pessoais.

2.  O presente regulamento protege os direitos e as liberdades fundamentais das pessoas singulares consagrados na Carta, nomeadamente o seu direito à proteção dos dados pessoais.

Alteração    18

Proposta de regulamento

Artigo 2 – n.º 2-A (novo)

Texto da Comissão

Alteração

 

2-A.  O presente regulamento aplica-se igualmente às agências da União que exercem atividades abrangidas pelo âmbito de aplicação da parte III, título V, capítulos 4 e 5, do TFUE, nomeadamente quando os atos constitutivos dessas agências da União estabelecem um regime autónomo de proteção de dados para o tratamento de dados pessoais operacionais. As disposições do presente regulamento prevalecem sobre as disposições contrárias dos atos constitutivos dessas agências da União.

Alteração    19

Proposta de regulamento

Artigo 4 – n.º 1 – alínea d)

Texto da Comissão

Alteração

(d)  Exatos e atualizados sempre que necessário; devem ser adotadas todas as medidas razoáveis para que os dados inexatos ou incompletos, tendo em conta as finalidades para que foram recolhidos ou para que são tratados posteriormente, sejam apagados ou retificados sem demora («exatidão»);

(d)  Exatos e atualizados sempre que necessário; devem ser adotadas todas as medidas razoáveis para que os dados pessoais inexatos ou incompletos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora («exatidão»);

Alteração    20

Proposta de regulamento

Artigo 8 – título

Texto da Comissão

Alteração

Condições aplicáveis ao consentimento de crianças em relação aos serviços da sociedade da informação

Condições aplicáveis ao consentimento da criança em relação aos serviços da sociedade da informação

Justificação

Este termo é igualmente utilizado no artigo 8.º do Regulamento Geral sobre a Proteção de Dados e deve ser aqui utilizado consistentemente.

Alteração    21

Proposta de regulamento

Artigo 8 – n.º 1

 

Texto da Comissão

Alteração

(1)  Sempre que for aplicável o artigo 5.º, n.º 1, alínea d), no que respeita à oferta direta de serviços da sociedade da informação às crianças, o tratamento dos dados pessoais de crianças é lícito se tiverem pelo menos 13 anos. Caso a criança tenha menos de 13 anos, o tratamento só é lícito se, e na medida em que, o consentimento seja dado ou autorizado pelos titulares da responsabilidade parental da criança.

(1)  Sempre que for aplicável o artigo 5.º, n.º 1, alínea d), no que respeita à oferta direta de serviços da sociedade da informação às crianças, o tratamento dos dados pessoais de crianças é lícito se tiverem pelo menos 16 anos. Caso a criança tenha menos de 16 anos, o tratamento só é lícito se, e na medida em que, o consentimento seja dado ou autorizado pelos titulares da responsabilidade parental da criança.

Alteração    22

Proposta de regulamento

Artigo 9 – título

Texto da Comissão

Alteração

Transmissões de dados pessoais a destinatários diferentes das instituições e organismos da União estabelecidos na União e abrangidos pelo Regulamento (UE) 2016/679 ou pela Diretiva (UE) 2016/680

Transmissões de dados pessoais a destinatários diferentes das instituições e organismos da União estabelecidos na União

Alteração    23

Proposta de regulamento

Artigo 9 – n.º 1 – alínea b)

Texto da Comissão

Alteração

(b)  É necessário transmitir os dados, a transmissão é proporcionada para as finalidades a que se destinam e não existem motivos para pressupor que os direitos, liberdades e interesses legítimos do titular dos dados possam vir a ser prejudicados.

(b)  É estritamente necessário transmitir os dados tendo em conta os objetivos do destinatário e não existem motivos para pressupor que os direitos, liberdades e interesses legítimos do titular dos dados possam vir a ser prejudicados pela transferência de dados solicitada ou pela utilização posterior que é razoavelmente de esperar desses dados pessoais pelo destinatário.

Alteração    24

Proposta de regulamento

Artigo 11 – parágrafo 1

Texto da Comissão

Alteração

O tratamento de dados pessoais relacionados com condenações penais e infrações ou com medidas de segurança conexas, nos termos do artigo 5.º, n.º 1, só é efetuado se o tratamento for autorizado por disposições do direito da União que prevejam garantias adequadas específicas para os direitos e liberdades dos titulares dos dados.

(Não se aplica à versão portuguesa.)

Alteração    25

Proposta de regulamento

Artigo 16 – n.º 5 – alínea b)

Texto da Comissão

Alteração

(b)  Se comprove a impossibilidade de disponibilizar a informação, ou o esforço envolvido seja desproporcionado, nomeadamente para o tratamento para fins de arquivo de interesse público, de investigação científica ou histórica ou para fins estatísticos, e na medida em que a obrigação referida no n.º 1 do presente artigo seja suscetível de impossibilitar ou prejudicar gravemente a concretização dos objetivos desse tratamento;

(b)  Se comprove a impossibilidade de disponibilizar a informação, ou o esforço envolvido seja desproporcionado, nomeadamente para o tratamento para fins de arquivo de interesse público, de investigação científica ou histórica ou para fins estatísticos, e na medida em que a obrigação referida no n.º 1 do presente artigo seja suscetível de impossibilitar ou prejudicar gravemente a concretização dos objetivos desse tratamento. Nesses casos, o responsável pelo tratamento toma as medidas adequadas para defender os direitos, liberdades e interesses legítimos do titular dos dados, inclusive através da divulgação da informação ao público;

Alteração    26

Proposta de regulamento

Artigo 25 – n.º 1 – parte introdutória

Texto da Comissão

Alteração

1.  Os atos jurídicos adotados com base nos Tratados ou, em matérias relacionadas com o funcionamento das instituições e organismos da União, as normas internas estabelecidas por estes últimos podem limitar a aplicação dos artigos 14.º a 22.º, dos artigos 34.º e 38.º, assim como do artigo 4.º, na medida em que tais disposições correspondam aos direitos e obrigações previstos nos artigos 14.º a 22.º, desde que tal limitação respeite a essência dos direitos e liberdades fundamentais e constitua uma medida necessária e proporcionada numa sociedade democrática para assegurar:

1.  Os atos jurídicos adotados com base nos Tratados podem limitar a aplicação dos artigos 14.º a 22.º, 34.o e 38.º, assim como do artigo 4.º, na medida em que tais disposições correspondam aos direitos e obrigações previstos nos artigos 14.º a 22.º, desde que tal limitação respeite a essência dos direitos e liberdades fundamentais e constitua uma medida necessária e proporcionada numa sociedade democrática para assegurar:

Justificação

A alteração procura alinhar as disposições do presente regulamento com as disposições do Regulamento Geral sobre a Proteção de Dados, na sequência do parecer da AEPD.

Alteração    27

Proposta de regulamento

Artigo 25 – n.º 1 – alínea d)

 

Texto da Comissão

Alteração

(d)   A segurança interna das instituições e organismos da União, incluindo das respetivas redes de comunicação eletrónicas;

(d)   A segurança interna das instituições e organismos da União, incluindo das respetivas TI e redes de comunicação eletrónicas;

Alteração    28

Proposta de regulamento

Artigo 25 – n.º 1-A (novo)

Texto da Comissão

Alteração

 

1-A.  Em especial, qualquer ato jurídico referido no n.º 1 inclui, quando for relevante, disposições explícitas relativas, pelo menos:

 

(a)   Às finalidades do tratamento ou às diferentes categorias de tratamento;

 

(b)   Às categorias de dados pessoais;

 

(c)   Ao alcance da limitação imposta;

 

(d)   Às garantias para evitar o abuso ou o acesso, ou transferência, ilícitos;

 

(e)   À especificação do responsável pelo tratamento ou às categorias de responsáveis pelo tratamento;

 

(f)   Aos prazos de conservação e às garantias aplicáveis, tendo em conta a natureza, o âmbito e os objetivos do tratamento ou das categorias de tratamento;

 

(g)   Aos riscos específicos para os direitos e liberdades dos titulares dos dados; e

 

(h)   Ao direito dos titulares dos dados a serem informados da limitação, a menos que tal possa prejudicar o objetivo da limitação.

Alteração    29

Proposta de regulamento

Artigo 25 – n.º 2

Texto da Comissão

Alteração

2.  Quando não esteja prevista uma limitação num ato jurídico adotado com base nos Tratados ou numa norma interna, em conformidade com o n.º 1, as instituições e organismos da União podem limitar a aplicação dos artigos 14.º a 22, dos artigos 34.º e 38.º, assim como do artigo 4.º, na medida em que tais disposições correspondam aos direitos e obrigações previstos nos artigos 14.º a 22.º, se tal limitação respeitar a essência dos direitos e liberdades fundamentais, relativamente a um tratamento específico, e constituir uma medida necessária e proporcionada numa sociedade democrática para assegurar um ou mais dos objetivos referidos no n.º 1. Tal limitação deve ser notificada ao encarregado da proteção de dados competente.

Suprimido

Alteração    30

Proposta de regulamento

Artigo 25 – n.º 3

Texto da Comissão

Alteração

3.  Quando os dados pessoais sejam tratados para fins de investigação científica ou histórica ou para fins estatísticos, o direito da União, bem como eventuais normas internas, podem prever derrogações aos direitos a que se referem os artigos 17.º, 18.º, 20.º e 23.º, sob reserva das condições e garantias previstas no artigo 13.º, na medida em que esses direitos sejam suscetíveis de impossibilitar ou prejudicar gravemente a realização de finalidades específicas e tais derrogações sejam necessárias para a prossecução dessas finalidades.

3.  Quando os dados pessoais sejam tratados para fins de investigação científica ou histórica ou para fins estatísticos, o direito da União pode prever derrogações aos direitos a que se referem os artigos 17.º, 18.º, 20.º e 23.º, sob reserva das condições e garantias previstas no artigo 13.º, na medida em que esses direitos sejam suscetíveis de impossibilitar ou prejudicar gravemente a realização de finalidades específicas e tais derrogações sejam necessárias para a prossecução dessas finalidades.

Alteração    31

Proposta de regulamento

Artigo 25 – n.º 4

Texto da Comissão

Alteração

4.  Quando os dados pessoais sejam tratados para fins de arquivo de interesse público, o direito da União, bem como eventuais normas internas, podem prever derrogações aos direitos a que se referem os artigos 17.º, 18.º, 20.º, 21.º, 22.º e 23.º, sob reserva das condições e garantias previstas no artigo 13.º, na medida em que esses direitos sejam suscetíveis de impossibilitar ou prejudicar gravemente a realização de finalidades específicas e tais derrogações sejam necessárias para a prossecução dessas finalidades.

4.  Quando os dados pessoais sejam tratados para fins de arquivo de interesse público, o direito da União pode prever derrogações aos direitos a que se referem os artigos 17.º, 18.º, 20.º, 21.º, 22.º e 23.º, sob reserva das condições e garantias previstas no artigo 13.º, na medida em que esses direitos sejam suscetíveis de impossibilitar ou prejudicar gravemente a realização de finalidades específicas e tais derrogações sejam necessárias para a prossecução dessas finalidades.

Alteração    32

Proposta de regulamento

Artigo 25 – n.º 5

Texto da Comissão

Alteração

5.  As normas internas referidas nos n.os 1, 3 e 4 devem ser suficientemente claras, precisas e sujeitas a adequada publicação.

Suprimido

Alteração    33

Proposta de regulamento

Artigo 25 – n.º 6

Texto da Comissão

Alteração

6.  Se for imposta uma limitação nos termos dos n.os 1 ou 2, o titular dos dados deve ser informado, em conformidade com o direito da União, dos principais motivos de aplicação da limitação e do seu direito de apresentar uma reclamação à Autoridade Europeia para a Proteção de Dados.

6.  Se for imposta uma limitação nos termos do n.º 1, o titular dos dados deve ser informado, em conformidade com o direito da União, dos principais motivos de aplicação da limitação e do seu direito de apresentar uma reclamação à Autoridade Europeia para a Proteção de Dados.

Alteração    34

Proposta de regulamento

Artigo 25 – n.º 7

Texto da Comissão

Alteração

7.  Se for imposta uma limitação, nos termos dos n.os 1 ou 2, para negar o acesso ao titular dos dados, a Autoridade Europeia para a Proteção de Dados deve, ao investigar a reclamação, comunicar-lhe unicamente se os dados foram tratados corretamente e, em caso negativo, se foram introduzidas todas as correções necessárias.

7.  Se for imposta uma limitação, nos termos do n.º 1, para negar o acesso ao titular dos dados, a Autoridade Europeia para a Proteção de Dados deve, ao investigar a reclamação, comunicar-lhe unicamente se os dados foram tratados corretamente e, em caso negativo, se foram introduzidas todas as correções necessárias.

Alteração    35

Proposta de regulamento

Artigo 25 – n.º 8

Texto da Comissão

Alteração

8.  A comunicação das informações referidas nos n.os 6 e 7, e no artigo 46.º, n.º 2, pode ser adiada, omitida ou recusada se anular o efeito da limitação imposta nos termos dos n.os 1 ou 2.

8.  A comunicação das informações referidas nos n.os 6 e 7, e no artigo 46.º, n.º 2, pode ser adiada, omitida ou recusada se anular o efeito da limitação imposta nos termos do n.º 1.

Alteração    36

Proposta de regulamento

Artigo 31 – n.º 5

Texto da Comissão

Alteração

(5)  As instituições e organismos da União podem decidir conservar os seus registos de atividades de tratamento num registo central. Nesse caso, podem também decidir tornar o registo acessível ao público.

(5)  As instituições e organismos da União devem conservar os seus registos de atividades de tratamento num registo central Por motivos de transparência, devem também tornar o registo acessível ao público, de modo que os titulares dos dados o possam consultar, sem que essa consulta prejudique os direitos de outros titulares de dados.

Alteração    37

Proposta de regulamento

Artigo 31 – n.º 5-A (novo)

Texto da Comissão

Alteração

 

5-A.  Os titulares dos dados devem poder consultar o registo central referido no n.º 5 por intermédio do encarregado da proteção de dados do responsável pelo tratamento.

Alteração    38

Proposta de regulamento

Artigo 34 – parágrafo 1

Texto da Comissão

Alteração

As instituições e organismos da União devem assegurar a confidencialidade das comunicações eletrónicas, em especial garantindo a segurança das respetivas redes de comunicações eletrónicas.

As instituições e organismos da União devem assegurar a confidencialidade das comunicações eletrónicas, em conformidade com o Regulamento (UE) 2017/XXXX.

Justificação

A proposta legislativa específica relativa à confidencialidade das comunicações eletrónicas será o regulamento com base na proposta COM(2017)0010 da Comissão, pelo que o mesmo deve ser referido.

Alteração    39

Proposta de regulamento

Artigo 36

Texto da Comissão

Alteração

Artigo 36.º

Suprimido

Listas de utilizadores

 

1.   Os dados pessoais inseridos em listas de utilizadores e o acesso a essas listas devem limitar-se ao estritamente necessário para os fins específicos das listas.

 

2.   As instituições e organismos da União devem tomar todas as medidas necessárias para impedir que os dados pessoais incluídos nestas listas, independentemente de serem ou não acessíveis ao público, sejam utilizados para fins de marketing direto.

 

Alteração    40

Proposta de regulamento

Artigo 42 – n.º 2

Texto da Comissão

Alteração

2.  Sempre que um ato referido no n.º 1 tem uma importância particular para a proteção dos direitos e liberdades das pessoas singulares no que diz respeito ao tratamento de dados pessoais, a Comissão pode consultar igualmente o Comité Europeu para a Proteção de Dados. Nesses casos, a Autoridade Europeia para a Proteção de Dados e o Comité Europeu para a Proteção de Dados devem coordenar o seu trabalho para emitirem um parecer conjunto.

2.  Sempre que um ato referido no n.º 1 tem uma importância particular para a proteção dos direitos e liberdades das pessoas singulares no que diz respeito ao tratamento de dados pessoais, a Comissão deve consultar igualmente o Comité Europeu para a Proteção de Dados. Nesses casos, a Autoridade Europeia para a Proteção de Dados e o Comité Europeu para a Proteção de Dados devem coordenar o seu trabalho para emitirem um parecer conjunto.

Alteração    41

Proposta de regulamento

Artigo 44 – n.º 4

Texto da Comissão

Alteração

4.  O encarregado da proteção de dados pode ser um elemento do pessoal da instituição ou organismo da União, ou exercer as suas funções com base num contrato de prestação de serviços.

4.  O encarregado da proteção de dados deve ser um elemento do pessoal da instituição, organismo, órgão ou agência da União.

Justificação

A subcontratação de um encarregado da proteção de dados parece não ser adequada para uma instituição da União.

Alteração    42

Proposta de regulamento

Artigo 46 – n.º 1 – alínea b-A) (nova)

Texto da Comissão

Alteração

 

b-A)  Assegurar que as operações de tratamento não atentem contra os direitos e liberdades fundamentais dos titulares dos dados.

Alteração    43

Proposta de regulamento

Artigo 48 – n.º 1

Texto da Comissão

Alteração

1.  Pode ser realizada uma transferência de dados pessoais para um país terceiro ou uma organização internacional se a Comissão tiver decidido, por força do artigo 45.º, n.º 3, do Regulamento (UE) 2016/679, que é garantido um nível de proteção adequado no país terceiro, num território ou num ou mais sectores específicos desse país terceiro ou dessa organização internacional, e se os dados pessoais forem transferidos exclusivamente para o desempenho de funções da competência do responsável pelo tratamento.

1.  Pode ser realizada uma transferência de dados pessoais para um país terceiro ou uma organização internacional se a Comissão tiver adotado um ato de execução, por força do artigo 45.º, n.º 3, do Regulamento (UE) 2016/679, que prevê que é garantido um nível de proteção adequado no país terceiro, num território ou num ou mais sectores específicos desse país terceiro ou dessa organização internacional, e se os dados pessoais forem transferidos exclusivamente para o desempenho de funções da competência do responsável pelo tratamento. O ato de execução prevê um procedimento de avaliação periódica, no mínimo de quatro em quatro anos, que deverá ter em conta todos os desenvolvimentos pertinentes no país terceiro ou na organização internacional. O ato de execução indica ainda o âmbito de aplicação territorial e setorial e identifica a autoridade de controlo. É aplicável o capítulo V do Regulamento (UE) 2016/679.

Justificação

As normas em matéria de transferência de dados pessoais para países terceiros ou instituições de países terceiros devem ser coerentes com as normas pertinentes estabelecidas no Regulamento Geral sobre a Proteção de Dados, a fim de não criar lacunas ou incoerências jurídicas. Nomeadamente, o procedimento de avaliação deve ser salientado.

Alteração    44

Proposta de regulamento

Artigo 54 – n.º 1

Texto da Comissão

Alteração

1.  O Parlamento Europeu e o Conselho nomeiam, de comum acordo, a Autoridade Europeia para a Proteção de Dados por um período de cinco anos, com base numa lista estabelecida pela Comissão na sequência de um convite público à apresentação de candidaturas. Esse convite público à apresentação de candidaturas permite a todas as pessoas interessadas na União apresentarem as suas candidaturas. A lista de candidatos estabelecida pela Comissão é pública. A comissão competente do Parlamento Europeu, com base na lista elaborada pela Comissão, pode decidir realizar uma audição de forma a poder exprimir a sua preferência.

1.  O Parlamento Europeu e o Conselho nomeiam, de comum acordo, a Autoridade Europeia para a Proteção de Dados por um período de cinco anos, com base numa lista estabelecida conjuntamente pelo Parlamento Europeu, pelo Conselho e pela Comissão na sequência de um convite público à apresentação de candidaturas. Esse convite público à apresentação de candidaturas permite a todas as pessoas interessadas na União apresentarem as suas candidaturas. A lista de candidatos é pública e deve ser constituída, no mínimo, por cinco candidatos. A comissão competente do Parlamento Europeu pode decidir realizar uma audição dos candidatos de forma a poder exprimir a sua preferência.

Alteração    45

Proposta de regulamento

Artigo 54 – n.º 2

Texto da Comissão

Alteração

2.  A lista elaborada pela Comissão, a partir da qual a Autoridade Europeia para a Proteção de Dados é escolhida, deve ser constituída por pessoas que ofereçam todas as garantias de independência e disponham da experiência e competência requeridas para o desempenho das funções de Autoridade Europeia para a Proteção de Dados, por exemplo porque pertencem ou pertenceram às autoridades de controlo instituídas ao abrigo do artigo 41.º do Regulamento (UE) 2016/679.

2.  A lista elaborada conjuntamente pelo Parlamento Europeu, pelo Conselho e pela Comissão, a partir da qual a Autoridade Europeia para a Proteção de Dados é escolhida, deve ser constituída por pessoas que ofereçam todas as garantias de independência e disponham de conhecimentos especializados no domínio da proteção de dados, além da experiência e competência requeridas para o desempenho das funções de Autoridade Europeia para a Proteção de Dados, por exemplo porque pertencem ou pertenceram às autoridades de controlo instituídas ao abrigo do artigo 41.º do Regulamento  (UE) 2016/679.

Alteração    46

Proposta de regulamento

Artigo 63 – n.º 1-A (novo)

Texto da Comissão

Alteração

 

1-A.  Nos casos em que o titular dos dados é uma criança, os Estados-Membros preveem garantias específicas, nomeadamente no que diz respeito à assistência judiciária.

Justificação

As crianças podem ser mais vulneráveis do que os adultos, pelo que devem ser previstas cláusulas de salvaguarda específicas nos Estados-Membros, nomeadamente no que se refere à proteção jurídica, para assegurar os direitos das crianças.

Alteração    47

Proposta de regulamento

Capítulo IX-A (novo)

Texto da Comissão

Alteração

 

CAPÍTULO IX-A

 

Artigo 70.º

 

Cláusula de reexame

 

1.   O mais tardar em 1 de junho de 2021 e, posteriormente, de cinco em cinco anos, a Comissão apresenta ao Parlamento Europeu um relatório sobre a aplicação do presente regulamento, acompanhado, se necessário, de propostas legislativas adequadas.

 

2.   A avaliação ex post referida no n.º 1 deve prestar especial atenção à adequação do âmbito de aplicação do presente regulamento, à coerência com outros atos legislativos no domínio da proteção de dados e avaliar, nomeadamente, a aplicação do capítulo V do presente regulamento.

 

3.   O mais tardar em 1 de junho de 2021 e, posteriormente, de cinco em cinco anos, a Comissão apresenta ao Parlamento Europeu um relatório sobre a aplicação do capítulo VIII do presente regulamento e as infrações cometidas e as sanções aplicadas.

Justificação

À luz de uma melhor legislação e, em especial, da utilização eficaz das avaliações ex post para captar todo o ciclo legislativo, é de particular interesse acompanhar a transposição, aplicação e execução do direito da UE e, em termos mais gerais, acompanhar o impacto, o funcionamento e a eficácia do seu direito. Uma cláusula de reexame abrangente, que solicite uma avaliação adequada da aplicação do regulamento, do seu âmbito de aplicação e da derrogação de poderes prevista, bem como a imposição de obrigações de prestação de informações proporcionadas, serve este propósito.

Alteração    48

Proposta de regulamento

Artigo 72-A (novo)

Texto da Comissão

Alteração

 

Artigo 72.º

 

Reexame dos atos jurídicos da União

 

Até 25 de maio de 2021, a Comissão reexamina outros atos jurídicos adotados com base nos Tratados que regulam o tratamento dos dados pessoais, nomeadamente pelas agências instituídas ao abrigo dos Capítulos 4 e 5 do Título V da Parte III do TFUE, a fim de avaliar a necessidade de os harmonizar com o presente regulamento e apresentar, se for caso disso, as propostas necessárias à alteração desses atos de forma a assegurar uma abordagem coerente da proteção de dados pessoais no âmbito do presente regulamento.

PROCESSO DA COMISSÃO ENCARREGADA DE EMITIR PARECER

Título

Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições, órgãos, organismos e agências da União e à livre circulação desses dados

Referências

COM(2017)0008 – C8-0008/2017 – 2017/0002(COD)

Comissão competente quanto ao fundo

       Data de comunicação em sessão

LIBE

3.4.2017

 

 

 

Parecer emitido por

       Data de comunicação em sessão

JURI

3.4.2017

Relator(a) de parecer

       Data de designação

Angel Dzhambazki

28.2.2017

Exame em comissão

13.7.2017

7.9.2017

 

 

Data de aprovação

2.10.2017

 

 

 

Resultado da votação final

+:

–:

0:

17

0

4

Deputados presentes no momento da votação final

Max Andersson, Joëlle Bergeron, Marie-Christine Boutonnet, Jean-Marie Cavada, Mary Honeyball, Sylvia-Yvonne Kaufmann, Gilles Lebreton, Jiří Maštálka, Emil Radev, Julia Reda, Evelyn Regner, Pavel Svoboda, József Szájer, Axel Voss, Francis Zammit Dimech, Tadeusz Zwiefka

Suplentes presentes no momento da votação final

Isabella Adinolfi, Jens Rohde, Virginie Rozière, Tiemo Wölken

Suplentes (art. 200.º, n.º 2) presentes no momento da votação final

Arne Lietz

VOTAÇÃO NOMINAL FINAL NA COMISSÃO ENCARREGADA DE EMITIR PARECER

17

+

ALDE

EFDD

PPE

S&D

VERTS/ALE

Jean-Marie Cavada, Jens Rohde

Joëlle Bergeron

Emil Radev, Pavel Svoboda, József Szájer, Axel Voss, Francis Zammit Dimech, Tadeusz Zwiefka

Mary Honeyball, Sylvia-Yvonne Kaufmann, Arne Lietz, Evelyn Regner, Virginie Rozière, Tiemo Wölken

Max Andersson, Julia Reda

0

-

 

 

4

0

EFDD

ENF

GUE/NGL

Isabella Adinolfi

Marie-Christine Boutonnet, Gilles Lebreton

Jiri Mastálka

Legenda dos símbolos utilizados:

+  :  a favor

-  :  contra

0  :  abstenções


PROCESSO DA COMISSÃO COMPETENTE QUANTO À MATÉRIA DE FUNDO

Título

Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições, órgãos, organismos e agências da União e à livre circulação desses dados

Referências

COM(2017)0008 – C8-0008/2017 – 2017/0002(COD)

Data de apresentação ao PE

12.1.2017

 

 

 

Comissão competente quanto ao fundo

       Data de comunicação em sessão

LIBE

3.4.2017

 

 

 

Comissões encarregadas de emitir parecer

       Data de comunicação em sessão

BUDG

3.4.2017

JURI

3.4.2017

 

 

Comissões que não emitiram parecer

       Data da decisão

BUDG

26.1.2017

 

 

 

Relatores

       Data de designação

Cornelia Ernst

9.3.2017

 

 

 

Exame em comissão

30.3.2017

21.6.2017

28.9.2017

12.10.2017

Data de aprovação

12.10.2017

 

 

 

Resultado da votação final

+:

–:

0:

45

7

6

Deputados presentes no momento da votação final

Asim Ahmedov Ademov, Jan Philipp Albrecht, Gerard Batten, Heinz K. Becker, Malin Björk, Michał Boni, Caterina Chinnici, Rachida Dati, Frank Engel, Cornelia Ernst, Laura Ferrara, Raymond Finch, Lorenzo Fontana, Kinga Gál, Ana Gomes, Nathalie Griesbeck, Sylvie Guillaume, Sophia in ‘t Veld, Dietmar Köster, Barbara Kudrycka, Cécile Kashetu Kyenge, Marju Lauristin, Juan Fernando López Aguilar, Monica Macovei, Roberta Metsola, Louis Michel, Claude Moraes, József Nagy, Soraya Post, Judith Sargentini, Birgit Sippel, Branislav Škripek, Csaba Sógor, Traian Ungureanu, Bodil Valero, Marie-Christine Vergiat, Udo Voigt, Kristina Winberg, Tomáš Zdechovský, Auke Zijlstra

Suplentes presentes no momento da votação final

Carlos Coelho, Ignazio Corrao, Gérard Deprez, Anna Hedh, Marek Jurek, Sylvia-Yvonne Kaufmann, Ska Keller, Andrejs Mamikins, Barbara Spinelli, Anders Primdahl Vistisen, Axel Voss

Suplentes (art. 200.º, n.º 2) presentes no momento da votação final

Beatriz Becerra Basterrechea, Czesław Hoc, Christelle Lechevalier, Olle Ludvigsson, Maria Noichl, Stanisław Ożóg, José Ignacio Salafranca Sánchez-Neyra

Data de entrega

23.10.2017


VOTAÇÃO NOMINAL FINALNA COMISSÃO COMPETENTE QUANTO À MATÉRIA DE FUNDO

45

+

ALDE

Beatriz Becerra Basterrechea, Gérard Deprez, Nathalie Griesbeck, Sophia in 't Veld, Louis Michel

EFDD

Ignazio Corrao, Laura Ferrara

GUE/NGL

Malin Björk, Cornelia Ernst, Barbara Spinelli, Marie-Christine Vergiat

PPE

Asim Ahmedov Ademov, Heinz K. Becker, Michał Boni, Carlos Coelho,Rachida Dati, Frank Engel, Kinga Gál, Barbara Kudrycka, Roberta Metsola, József Nagy, José Ignacio Salafranca Sánchez-Neyra, Csaba Sógor, Traian Ungureanu, Axel Voss, Tomáš Zdechovský

S&D

Caterina Chinnici, Ana Gomes, Sylvie Guillaume, Anna Hedh, Sylvia-Yvonne Kaufmann, Cécile Kashetu Kyenge, Dietmar Köster, Marju Lauristin, Olle Ludvigsson, Juan Fernando López Aguilar, Andrejs Mamikins, Claude Moraes, Maria Noichl, Soraya Post, Birgit Sippel

VERTS/ALE

Jan Philipp Albrecht, Ska Keller, Judith Sargentini, Bodil Valero

7

-

ECR

Czesław Hoc, Marek Jurek, Monica Macovei, Stanisław Ożóg, Anders Primdahl Vistisen, Branislav Škripek

ENF

Auke Zijlstra

6

 

0

EFDD

Gerard Batten, Raymond Finch, Kristina Winberg

ENF

Lorenzo Fontana, Christelle Lechevalier

NI

Udo Voigt

Legenda dos símbolos utilizados:

+  :  votos a favor

-  :  votos contra

0  :  abstenções

Advertência jurídica