Processo : 2012/0011(COD)
Ciclo de vida em sessão
Ciclo relativo ao documento : A7-0402/2013

Textos apresentados :

A7-0402/2013

Debates :

PV 11/03/2014 - 13
CRE 11/03/2014 - 13
PV 13/04/2016 - 15
CRE 13/04/2016 - 15

Votação :

PV 12/03/2014 - 8.5
CRE 12/03/2014 - 8.5

Textos aprovados :

P7_TA(2014)0212

RELATÓRIO     ***I
PDF 3401kWORD 3422k
22 de Novembro de 2013
PE 501.927v05-00 A7-0402/2013

sobre a proposta de regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (regulamento geral de proteção de dados)

(COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))

Comissão das Liberdades Cívicas, da Justiça e dos Assuntos Internos

Relator: Jan Philipp Albrecht

ALTERAÇÕES
PROJETO DE RESOLUÇÃO LEGISLATIVA DO PARLAMENTO EUROPEU
 EXPOSIÇÃO DE MOTIVOS
 PARECER da Comissão do Emprego e dos Assuntos Sociais
 PARECER da Comissão da Indústria, da Investigação e da Energia
 PARECER da Comissão do Mercado Interno e da Proteção dos Consumidores
 PARECER da Comissão dos Assuntos Jurídicos
 PROCESSO

PROJETO DE RESOLUÇÃO LEGISLATIVA DO PARLAMENTO EUROPEU

sobre a proposta de regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (regulamento geral de proteção de dados)

(COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))

(Processo legislativo ordinário: primeira leitura)

O Parlamento Europeu,

–   Tendo em conta a proposta da Comissão ao Parlamento Europeu e ao Conselho (COM(2012)0011),

–   Tendo em conta o n.º 2 do artigo 294.º, o n.º 2 do artigo 16.º e o n.° 1 do artigo 114.° do Tratado sobre o Funcionamento da União Europeia, nos termos dos quais a Comissão apresentou a proposta ao Parlamento (C7-0025/2012),

–   Tendo em conta o artigo 294.º, n.º 3, do Tratado sobre o Funcionamento da União Europeia,

–   Tendo em conta os pareceres fundamentados apresentados, no âmbito do Protocolo n.º 2 relativo à aplicação dos princípios da subsidiariedade e da proporcionalidade, pela Câmara dos Representantes belga, pelo Bundesrat alemão, pelo Senado francês, pela Câmara dos Deputados italiana e pelo Parlamento sueco, segundo os quais o projeto de ato legislativo não respeita o princípio da subsidiariedade,

–   Tendo em conta o parecer do Comité Económico e Social Europeu de 23 de maio de 2012(1),

–   Após consulta ao Comité das Regiões,

–   Tendo em conta o parecer da Autoridade Europeia para a Proteção de Dados, de 7 de março de 2012,

–   Tendo em conta o parecer da Agência Europeia dos Direitos Fundamentais, de 1 de outubro de 2012,

–   Tendo em conta o artigo 55.º do seu Regimento,

–   Tendo em conta o relatório da Comissão das Liberdades Cívicas, da Justiça e dos Assuntos Internos e os pareceres da Comissão do Emprego e dos Assuntos Sociais, da Comissão da Indústria, da Investigação e da Energia, da Comissão do Mercado Interno e da Proteção dos Consumidores e da Comissão dos Assuntos Jurídicos (A7-0402/2013),

1.  Aprova a posição em primeira leitura que se segue;

2.  Requer à Comissão que lhe submeta de novo a sua proposta, se pretender alterá-la substancialmente ou substituí-la por um outro texto;

3.  Encarrega a sua/o seu Presidente de transmitir a posição do Parlamento ao Conselho e à Comissão, bem como aos Parlamentos nacionais.

Alteração 1

Proposta de regulamento

Considerando 14

Texto da Comissão

Alteração

(14) O presente regulamento não cobre questões de proteção dos direitos e das liberdades fundamentais ou da livre circulação de dados relacionados com atividades que se encontrem fora do âmbito de aplicação do direito da União, nem abrange o tratamento de dados pessoais pelas instituições, órgãos, organismos ou agências da União, com base no Regulamento (CE) n.º 45/200144, ou o tratamento de dados pessoais pelos Estados-Membros no exercício de atividades relacionadas com a política externa e de segurança comum da União.

(14) O presente regulamento não cobre questões de proteção dos direitos e das liberdades fundamentais ou da livre circulação de dados relacionados com atividades que se encontrem fora do âmbito de aplicação do direito da União. O Regulamento (CE) n.º 45/2001 do Parlamento Europeu e do Conselho1 deve ser alinhado com o presente regulamento e aplicado em conformidade com o mesmo.

____________

______________

44 JO L 8, 12.1.2001, p. 1.

1 Regulamento (CE) n.º 45/2001 do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais (JO L 8 de 12.1.2001, p. 1).

Alteração  2

Proposta de regulamento

Considerando 15

Texto da Comissão

Alteração

(15) O presente regulamento não é aplicável ao tratamento de dados pessoais efetuado por uma pessoa singular no exercício de atividades exclusivamente pessoais ou domésticas como, por exemplo, trocar correspondência e manter listas de endereços, sem qualquer fim lucrativo e, portanto, sem qualquer ligação com uma atividade profissional ou comercial. Tal isenção também não deve ser aplicável aos responsáveis pelo tratamento de dados e a subcontratantes que forneçam os meios para o tratamento de dados pessoais dessas atividades pessoais ou domésticas.

(15) O presente regulamento não é aplicável ao tratamento de dados pessoais efetuado por uma pessoa singular no exercício de atividades exclusivamente pessoais, familares, ou domésticas como, por exemplo, trocar correspondência e manter listas de endereços, ou uma venda privada, sem qualquer fim lucrativo e, portanto, sem qualquer ligação com uma atividade profissional ou comercial. Todavia, o presente regulamento deve ser aplicável aos responsáveis pelo tratamento de dados e aos subcontratantes que forneçam os meios para o tratamento de dados pessoais dessas atividades pessoais ou domésticas.

Alteração  3

Proposta de regulamento

Considerando 18

Texto da Comissão

Alteração

(18) O presente regulamento permite tomar em consideração o princípio do direito de acesso público aos documentos oficiais aquando da aplicação das suas disposições.

(18) O presente regulamento permite tomar em consideração o princípio do direito de acesso público aos documentos oficiais aquando da aplicação das suas disposições. Os dados pessoais contidos em documentos que estejam na posse de uma autoridade ou entidade pública podem ser divulgados por essa autoridade ou entidade, de acordo com a legislação da União ou do Estado-Membro relativa ao acesso do público aos documentos oficias, o que concilia o direito à proteção de dados com o princípio do acesso do público aos documentos oficiais e representa um equilíbrio justo dos vários interesses envolvidos.

Alteração  4

Proposta de regulamento

Considerando 20

Texto da Comissão

Alteração

(20) A fim de evitar que as pessoas singulares sejam privadas da proteção que lhes assiste por força do presente regulamento, o tratamento de dados pessoais de titulares de dados que residam na União por um responsável pelo tratamento não estabelecido na União deve ser sujeito ao presente regulamento se as atividades de tratamento estiverem relacionadas com a oferta de bens ou serviços a esses titulares de dados, ou com o controlo do seu comportamento.

(20) A fim de evitar que as pessoas singulares sejam privadas da proteção que lhes assiste por força do presente regulamento, o tratamento de dados pessoais de titulares de dados que residam na União por um responsável pelo tratamento não estabelecido na União deve ser sujeito ao presente regulamento se as atividades de tratamento estiverem relacionadas com a oferta de bens ou serviços a esses titulares de dados, independentemente de serem pagos ou não, ou com o controlo do seu comportamento. A fim de determinar se o responsável pelo tratamento dos dados oferece ou não bens ou serviços aos titulares dos dados na União, há que determinar em que medida é evidente a sua intenção de oferecer serviços aos titulares de dados residentes num ou mais Estados-Membros da União.

Alteração  5

Proposta de regulamento

Considerando 21

Texto da Comissão

Alteração

(21) A fim de determinar se uma atividade de tratamento pode ser considerada de «controlo do comportamento» de titulares de dados, deve ser apurado se essas pessoas são seguidas na Internet através de técnicas de tratamento de dados que consistem em aplicar um «perfil» a uma pessoa singular, especialmente para adotar decisões relativas a essa pessoa ou analisar ou prever as suas preferências, o seu comportamento e atitudes.

(21) A fim de determinar se uma atividade de tratamento pode ser considerada de «controlo» de titulares de dados, deve ser apurado se essas pessoas são seguidas, independentemente da origem dos dados, ou se são recolhidos outros dados sobre eles, inclusive a partir de registos públicos e anúncios na União que sejam acessíveis a partir do exterior da União, nomeadamente com a intenção de utilizar ou, potencialmente, vir, em seguida, a utilizar técnicas de tratamento de dados que consistem em aplicar um «perfil» a uma pessoa singular, especialmente para adotar decisões relativas a essa pessoa ou analisar ou prever as suas preferências, o seu comportamento e atitudes.

Alteração  6

Proposta de regulamento

Considerando 23

Texto da Comissão

Alteração

(23) Os princípios de proteção de dados devem aplicar-se a qualquer informação relativa a uma pessoa singular identificada ou identificável. Para determinar se uma pessoa é identificável, importa considerar o conjunto dos meios suscetíveis de serem razoavelmente utilizados, quer pelo responsável pelo tratamento quer por qualquer outra pessoa, para identificar a referida pessoa. Os princípios de proteção de dados não se aplicam a dados tornados de tal forma anónimos que o titular dos dados já não possa ser identificado.

(23) Os princípios da proteção de dados devem aplicar-se a qualquer informação relativa a uma pessoa singular identificada ou identificável. Para determinar se uma pessoa é identificável, importa considerar todos os meios suscetíveis de ser razoavelmente utilizados, quer pelo responsável pelo tratamento quer por qualquer outra pessoa, para identificar direta ou indiretamente a referida pessoa. Para determinar os meios com razoável probabilidade de serem utilizados para identificar a pessoa, importa considerar todos os fatores objetivos, como os custos e o tempo necessários para a identificação, tendo em conta tanto a tecnologia disponível à data do tratamento dos dados como o desenvolvimento tecnológico. Os princípios de proteção de dados não devem por isso ser aplicáveis a dados anónimos, que correspondem às informações não respeitantes a uma pessoa singular identificada ou identificável. O presente regulamento não diz por isso respeito ao tratamento de tais dados anónimos, incluindo para fins estatísticos ou de investigação.

Alteração  7

Proposta de regulamento

Considerando 24

Texto da Comissão

Alteração

(24) Ao utilizarem os serviços em linha, as pessoas singulares podem ser associadas a identificadores em linha, fornecidos pelos respetivos aparelhos, aplicações, ferramentas e protocolos, tais como endereços IP (Protocolo Internet) ou testemunhos de conexão (cookie). Estes identificadores podem deixar vestígios que, em combinação com identificadores únicos e outras informações recebidas pelos servidores, podem ser utilizadas para a definição de perfis e a identificação das pessoas. Daí decorre que números de identificação, dados de localização, identificadores em linha ou outros elementos específicos não devem ser necessariamente considerados como dados pessoais em todas as circunstâncias.

(24) O presente regulamento deve ser aplicável ao tratamento envolvendo identificadores fornecidos por aparelhos, aplicações, ferramentas e protocolos, tais como endereços IP (Protocolo Internet), testemunhos de conexão (cookie) e etiquetas de identificação por radiofrequências (RFID), salvo se esses identificadores não estiverem associados a uma pessoa singular identificada ou identificável.

Alteração  8

Proposta de regulamento

Considerando 25

Texto da Comissão

Alteração

(25) O consentimento do titular dos dados deve ser dado explicitamente, por qualquer forma adequada que permita obter uma manifestação de vontade livre, específica e informada, sobre os seus desejos, que consista quer numa declaração quer numa ação positiva clara do titular dos dados garantindo que dá o seu consentimento com conhecimentos de causa ao tratamento de dados pessoais, incluindo ao validar uma opção por via informática, ao visitar um sítio na Internet, ou qualquer outra declaração ou conduta que indique claramente neste contexto que aceita o tratamento proposto dos seus dados pessoais. O silêncio ou a omissão não devem, por conseguinte, constituir um consentimento. O consentimento deve abranger todas as atividades de tratamento realizadas com a mesma finalidade. Se o consentimento tiver de ser dado no seguimento de um pedido por via eletrónica, esse pedido tem de ser claro, conciso e não desnecessariamente perturbador para a utilização do serviço para o qual é fornecido.

(25) O consentimento do titular dos dados deve ser dado explicitamente, por qualquer forma adequada que permita obter uma manifestação de vontade livre, específica e informada, sobre os seus desejos, que consista quer numa declaração quer numa ação positiva clara resultante da opção efetuada pelo titular dos dados garantindo que dá o seu consentimento com conhecimentos de causa ao tratamento de dados pessoais. Uma ação positiva clara deve incluir a validação de uma opção por via informática ao visitar um sítio na Internet ou qualquer outra declaração ou conduta que indique claramente, neste contexto, a aceitação, por parte do titular dos direitos, do tratamento proposto dos seus dados pessoais. O silêncio, a mera utilização de um serviço ou a omissão não devem, por conseguinte, constituir um consentimento. O consentimento deve abranger todas as atividades de tratamento realizadas com a mesma finalidade. Se o consentimento tiver de ser dado no seguimento de um pedido por via eletrónica, esse pedido tem de ser claro, conciso e não desnecessariamente perturbador para a utilização do serviço para o qual é fornecido.

Alteração  9

Proposta de regulamento

Considerando 29

Texto da Comissão

Alteração

(29) As crianças carecem de proteção especial quanto aos seus dados pessoais, uma vez que podem estar menos cientes dos riscos, consequências, garantias e direitos relacionados com o tratamento dos seus dados pessoais. Para determinar quando é que uma pessoa é considerada uma criança, o presente regulamento deve retomar a definição estabelecida na Convenção das Nações Unidas sobre os Direitos da Criança.

(29) As crianças carecem de proteção especial quanto aos seus dados pessoais, uma vez que podem estar menos cientes dos riscos, consequências, garantias e direitos relacionados com o tratamento dos seus dados pessoais. Sempre que o tratamento for realizado com base no consentimento do titular dos dados no que diz respeito à oferta de bens ou serviços diretamente a uma criança, o consentimento deve ser dado ou autorizado pelo progenitor ou pelo tutor legal dessa criança, se esta tiver menos de 13 anos de idade. Deve ser utilizada uma linguagem apropriada à idade quando o público-alvo são crianças. Devem continuar a ser aplicáveis outros motivos de tratamento de dados lícito, como o interesse público, designadamente para efeitos do tratamento de dados no contexto de serviços preventivos ou de aconselhamento oferecidos diretamente às crianças.

Alteração  10

Proposta de regulamento

Considerando 31

Texto da Comissão

Alteração

(31) Para que o tratamento seja lícito, os dados pessoais devem ser tratados com base no consentimento da pessoa em causa ou noutro fundamento legítimo, previsto por lei, quer no presente regulamento quer noutro ato legislativo da União ou de um Estado-Membro, conforme previsto no presente regulamento.

(31) Para que o tratamento seja lícito, os dados pessoais devem ser tratados com base no consentimento da pessoa em causa ou noutro fundamento legítimo, previsto por lei, quer no presente regulamento quer noutro ato legislativo da União ou de um Estado-Membro, conforme previsto no presente regulamento. No caso de crianças ou de pessoas que não disponham de capacidade jurídica, cabe à legislação pertinente da União ou do Estado-Membro determinar em que condições o consentimento é dado ou autorizado pela pessoa em causa.

Alteração  11

Proposta de regulamento

Considerando 32

Texto da Comissão

Alteração

(32) Sempre que o tratamento for realizado com base no consentimento do titular dos dados, recai sobre o responsável pelo tratamento o ónus de provar o consentimento da pessoa em causa. Em especial, no contexto de uma declaração escrita relativa a outra matéria, devem existir as devidas garantias de que o titular dos dados está ciente do consentimento dado com todo o conhecimento de causa.

(32) Em especial, no contexto de uma declaração escrita relativa a outra matéria, devem existir as devidas garantias de que o titular dos dados está ciente do consentimento dado com todo o conhecimento de causa. Em especial, no contexto de uma declaração escrita relativa a outra matéria, devem existir as devidas garantias de que o titular dos dados está ciente do consentimento dado com todo o conhecimento de causa. Para cumprir com o princípio da minimização dos dados, o ónus da prova não deve implicar a identificação positiva dos titulares dos dados, a menos que tal seja necessário. À semelhança das cláusulas do direito civil (Diretiva 93/13/CEE1), as políticas de proteção de dados devem ser o mais claras e transparentes possível. Não devem conter cláusulas ocultas ou desfavoráveis. Não pode ser dado consentimento para efeitos do tratamento de dados pessoais de terceiros.

 

1 «Diretiva 93/13/CEE do Conselho, de 5 de abril de 1993, relativa às cláusulas abusivas nos contratos celebrados com os consumidores (JO L 95 de 21.4.1993, p. 29).

Alteração  12

Proposta de regulamento

Considerando 33

Texto da Comissão

Alteração

(33) De forma a assegurar o livre consentimento, deve ser clarificado que este não constitui um fundamento jurídico válido se a pessoa não tiver uma verdadeira liberdade de escolha e, consequentemente, não puder recusar ou retirar o consentimento sem ser prejudicada.

(33) De forma a assegurar o livre consentimento, deve ser clarificado que este não constitui um fundamento jurídico válido se a pessoa não tiver uma verdadeira liberdade de escolha e, consequentemente, não puder recusar ou retirar o consentimento sem ser prejudicada. Este é particularmente o caso em que o responsável pelo tratamento é uma autoridade dotada de poderes para impor uma obrigação por força das suas prerrogativas de poder público, não podendo o consentimento ser considerado livre. O recurso a opções predefinidas que o titular de dados tem de modificar para se opor ao processamento, como, por exemplo, caixas previamente assinaladas, não é sinónimo de livre consentimento. Para a utilização de um serviço, não deve ser exigido o consentimento para efeitos do tratamento de dados pessoais suplementares que não sejam necessários. A retirada do consentimento pode viabilizar a cessação ou a não execução de um serviço que dependa dos dados em causa. Se a conclusão da finalidade pretendida não puder ser claramente determinada, o responsável pelo tratamento deve informar o titular dos dados, a intervalos regulares, sobre o tratamento e solicitar a revalidação do seu consentimento.

Alteração  13

Proposta de regulamento

Considerando 34

Texto da Comissão

Alteração

(34) O consentimento não deve constituir um fundamento jurídico válido para o tratamento de dados pessoais se existir um desequilíbrio manifesto entre o titular dos dados e o responsável pelo tratamento, especialmente se o primeiro se encontrar numa situação de dependência em relação ao segundo, em especial quando os dados pessoais são tratados pelo seu empregador no contexto da relação laboral. Sempre que o responsável pelo tratamento é uma autoridade, só haveria desequilíbrio em caso de operações de tratamento específicas no âmbito das quais a autoridade possa, por força das suas prerrogativas de poder público, impor uma obrigação. Neste caso, o consentimento não seria considerado livremente consentido, tendo em conta o interesse do titular dos dados.

Suprimido

Alteração  14

Proposta de regulamento

Considerando 36

Texto da Comissão

Alteração

(36) Sempre que o tratamento for realizado em cumprimento de uma obrigação jurídica à qual esteja sujeito o responsável pelo tratamento, ou se o tratamento for necessário para a execução de uma missão de interesse público ou exercício de prerrogativas de autoridade pública, o tratamento deve ter uma base jurídica no direito da União ou na legislação nacional de um Estado-Membro que satisfaça as condições impostas pela Carta dos Direitos Fundamentais da União Europeia relativamente a qualquer restrição aos direitos e liberdades. Cabe também ao direito da União ou à legislação nacional determinar se o responsável pelo tratamento que executa uma missão de interesse público ou exerce prerrogativas de autoridade pública deve ser uma administração pública ou outra pessoa singular ou coletiva de direito público, ou de direito privado, por exemplo uma associação profissional.

(36) Sempre que o tratamento for realizado em cumprimento de uma obrigação jurídica à qual esteja sujeito o responsável pelo tratamento, ou se o tratamento for necessário para a execução de uma missão de interesse público ou exercício de prerrogativas de autoridade pública, o tratamento deve ter uma base jurídica no direito da União ou na legislação nacional de um Estado-Membro que satisfaça as condições impostas pela Carta dos Direitos Fundamentais da União Europeia relativamente a qualquer restrição aos direitos e liberdades. Isto também deve incluir convenções coletivas reconhecidas ao abrigo da legislação nacional como sendo de aplicabilidade geral. Cabe também ao direito da União ou à legislação nacional determinar se o responsável pelo tratamento que executa uma missão de interesse público ou exerce prerrogativas de autoridade pública deve ser uma administração pública ou outra pessoa singular ou coletiva de direito público, ou de direito privado, por exemplo uma associação profissional.

Alteração  15

Proposta de regulamento

Considerando 38

Texto da Comissão

Alteração

(38) Os interesses legítimos do responsável pelo tratamento podem constituir um fundamento jurídico para o tratamento, a menos que prevaleçam os interesses ou os direitos e liberdades fundamentais do titular dos dados. Este ponto requer uma avaliação cuidada, particularmente se o titular dos dados for uma criança, uma vez que estas carecem de proteção especial. O titular dos dados deve ter o direito de se opor ao tratamento por razões relacionadas com a sua situação específica e de forma gratuita. A fim de assegurar a transparência, o responsável pelo tratamento deve ser obrigado a informar explicitamente a pessoa em causa sobre os interesses legítimos prosseguidos e sobre o direito de se lhe opor, sendo igualmente obrigado a apresentar fundamentação documentada desses interesses legítimos. Dado que incumbe ao legislador prever por lei a base jurídica para autorizar as autoridades a procederem ao tratamento de dados, este fundamento jurídico não é aplicável aos tratamentos efetuados pelas autoridades públicas no exercício das suas funções.

(38) Os interesses legítimos do responsável pelo tratamento dos dados, ou, em caso de divulgação, de terceiros a quem os dados sejam comunicados, podem constituir um fundamento jurídico para o tratamento, desde que satisfaçam as expectativas legítimas do titular dos dados decorrentes da sua relação com o responsável pelo tratamento e que não prevaleçam os interesses ou os direitos e liberdades fundamentais do titular. Este ponto requer uma avaliação cuidada, particularmente se o titular dos dados for uma criança, uma vez que estas carecem de proteção especial. Desde que não prevaleçam os interesses ou os direitos e liberdades fundamentais do titular dos direitos, deve-se considerar que o tratamento limitado a dados sob pseudónimo satisfaz as expectativas legítimas do titular dos dados decorrentes da sua relação com o responsável pelo tratamento. Os interesses legítimos do responsável pelo tratamento podem constituir um fundamento jurídico para o tratamento, a menos que prevaleçam os interesses ou os direitos e liberdades fundamentais do titular dos dados. A fim de assegurar a transparência, o responsável pelo tratamento deve ser obrigado a informar explicitamente a pessoa em causa sobre os interesses legítimos prosseguidos e sobre o direito de se lhe opor, sendo igualmente obrigado a apresentar fundamentação documentada desses interesses legítimos. Os interesses e os direitos fundamentais do titular dos dados podem, em particular, sobrepor-se ao interesse do responsável pelo tratamento de dados, sempre que os dados pessoais sejam tratados em circunstâncias em que os titulares dos dados já não esperam um tratamento adicional. Dado que incumbe ao legislador prever por lei a base jurídica para autorizar as autoridades a procederem ao tratamento de dados, este fundamento jurídico não é aplicável aos tratamentos efetuados pelas autoridades públicas no exercício das suas funções.

Alteração  16

Proposta de regulamento

Considerando 39

Texto da Comissão

Alteração

(39) O tratamento de dados relativos ao tráfego, na medida estritamente necessária para assegurar a segurança da rede e das informações, ou seja, a capacidade de uma rede ou de um sistema informático de resistir, com um dado nível de confiança, a eventos acidentais ou a ações maliciosas ou ilícitas que comprometam a disponibilidade, a autenticidade, a integridade e a confidencialidade de dados conservados ou transmitidos, bem como a segurança dos serviços conexos oferecidos ou acessíveis através destas redes e sistemas, pelas autoridades públicas, equipas de intervenção em caso de emergências informáticas (CERT), equipas de resposta a incidentes no domínio da segurança informática (CSIRT), fornecedores ou redes de serviços de comunicações eletrónicas e por fornecedores de tecnologias e serviços de segurança, constitui um interesse legítimo do responsável pelo tratamento dos dados. Tal pode incluir, por exemplo, impedir o acesso não autorizado a redes de comunicações eletrónicas e a distribuição de códigos malévolos e pôr termo a ataques de «negação de serviço» e a danos causados aos sistemas de comunicações informáticas e eletrónicas.

(39) O tratamento de dados relativos ao tráfego, numa medida que seja estritamente necessária e proporcionada para assegurar a segurança da rede e das informações, ou seja, a capacidade de uma rede ou de um sistema informático de resistir a eventos acidentais ou a ações maliciosas ou ilícitas que comprometam a disponibilidade, a autenticidade, a integridade e a confidencialidade de dados conservados ou transmitidos, bem como a segurança dos serviços conexos oferecidos ou acessíveis através destas redes e sistemas, pelas autoridades públicas, equipas de intervenção em caso de emergências informáticas (CERT), equipas de resposta a incidentes no domínio da segurança informática (CSIRT), fornecedores ou redes de serviços de comunicações eletrónicas e por fornecedores de tecnologias e serviços de segurança, no caso de incidentes específicos, constitui um interesse legítimo do responsável pelo tratamento dos dados. Tal pode incluir, por exemplo, impedir o acesso não autorizado a redes de comunicações eletrónicas e a distribuição de códigos malévolos e pôr termo a ataques de «negação de serviço» e a danos causados aos sistemas de comunicações informáticas e eletrónicas. Este princípio também se aplica ao tratamento de dados pessoais, a fim de restringir o acesso abusivo e o recurso a sistemas de rede ou de informação publicamente disponíveis, como a lista negra de endereços eletrónicos.

Alteração  17

Proposta de regulamento

Considerando 39-A (novo)

Texto da Comissão

Alteração

 

(39-A) Desde que não prevaleçam os interesses ou os direitos e liberdades fundamentais do titular dos direitos, deve-se considerar a prevenção ou limitação dos danos sofridos pelo responsável pelo tratamento realizada no legítimo interesse deste último, ou, em caso de divulgação, do terceiro a quem os dados sejam comunicados, e que satisfaz as expectativas legítimas do titular dos dados decorrentes da sua relação com o responsável pelo tratamento. O mesmo princípio aplica-se também à execução de ações judiciais contra o titular dos dados, como em caso de cobrança judicial ou de indemnização por perdas e danos.

Alteração  18

Proposta de regulamento

Considerando 39-B (novo)

Texto da Comissão

Alteração

 

(39-B) Desde que não prevaleçam os interesses ou os direitos e liberdades fundamentais do titular dos direitos, deve-se considerar o tratamento de dados pessoais para fins de comercialização direta dos seus próprios produtos e serviços similares, ou com o propósito de comercialização postal direta, realizado no legítimo interesse do responsável pelo tratamento dos dados, ou, em caso de divulgação, do terceiro a quem os dados sejam comunicados, e que satisfaz as expectativas legítimas do titular dos dados decorrentes da sua relação com o responsável pelo tratamento, se forem fornecidas informações altamente visíveis sobre o direito de oposição e sobre a origem dos dados pessoais. O tratamento de dados de contacto de empresas deve ser genericamente considerado como realizado no legítimo interesse do responsável pelo tratamento dos dados, ou, em caso de divulgação, do terceiro a quem os dados sejam comunicados, e que satisfaz as expectativas legítimas do titular dos dados decorrentes da sua relação com o responsável pelo tratamento. O mesmo se aplica também ao tratamento de dados pessoais tornados manifestamente públicos pelo titular dos dados.

Alteração  19

Proposta de regulamento

Considerando 40

Texto da Comissão

Alteração

(40) O tratamento de dados pessoais para outros fins apenas deve ser autorizado se for compatível com as finalidades para as quais os dados foram inicialmente recolhidos, particularmente para fins de investigação histórica, estatística ou científica. Sempre que essa outra finalidade não for compatível com a finalidade inicial para a qual os dados foram recolhidos, o responsável pelo tratamento deve obter o consentimento do titular dos dados para outra finalidade ou basear esse tratamento noutro fundamento legítimo para o tratamento lícito, nomeadamente se estabelecido pelo direito da União ou pela legislação do Estado-Membro a que o responsável pelo tratamento se encontre sujeito. Em qualquer caso, deve ser garantida a aplicação dos princípios enunciados pelo presente regulamento e, em particular, a obrigação de informar o titular dos dados sobre essas outras finalidades.

Suprimido

Alteração  20

Proposta de regulamento

Considerando 41

Texto da Comissão

Alteração

(41) Os dados pessoais que sejam, devido à sua natureza, especialmente sensíveis e vulneráveis relativamente aos direitos fundamentais ou à privacidade, merecem uma proteção específica. Esses dados não devem ser objeto de tratamento, salvo se, para o efeito, o titular dos dados der o seu consentimento expresso. No entanto, devem ser expressamente previstas derrogações a esta proibição para ter em conta necessidades específicas, designadamente quando o tratamento for efetuado no exercício de atividades legítimas de certas associações ou fundações que tenham por finalidade permitir o exercício das liberdades fundamentais.

Suprimido

Alteração  21

Proposta de regulamento

Considerando 42

Texto da Comissão

Alteração

(42) As derrogações à proibição de tratamento de categorias de dados sensíveis devem ser igualmente permitidas se efetuadas mediante ato legislativo e, sob reserva de garantias adequadas, de forma a proteger os dados pessoais e outros direitos fundamentais, quando motivos de interesse geral o justificarem e, em especial, motivos sanitários, incluindo de saúde pública, proteção social e de gestão de serviços de saúde, designadamente para assegurar a qualidade e a eficiência dos procedimentos utilizados para regularizar os pedidos de prestações sociais e de serviços no quadro do regime de seguro de doença, ou para fins de investigação histórica, estatística ou científica.

(42) As derrogações à proibição de tratamento de categorias de dados sensíveis devem ser igualmente permitidas se efetuadas mediante ato legislativo e, sob reserva de garantias adequadas, de forma a proteger os dados pessoais e outros direitos fundamentais, quando motivos de interesse geral o justificarem e, em especial, motivos sanitários, incluindo de saúde pública, proteção social e de gestão de serviços de saúde, designadamente para assegurar a qualidade e a eficiência dos procedimentos utilizados para regularizar os pedidos de prestações sociais e de serviços no quadro do regime de seguro de doença, ou para fins de investigação histórica, estatística ou científica, ou ainda para serviços de arquivo.

Alteração  22

Proposta de regulamento

Considerando 45

Texto da Comissão

Alteração

(45) Se os dados tratados pelo responsável pelo tratamento não lhe permitirem identificar uma pessoa singular, aquele não deve ser obrigado a obter informações suplementares para identificar o titular dos dados com a única finalidade de respeitar uma disposição do presente regulamento. No caso de um pedido de acesso, o responsável pelo tratamento de dados deve ter a faculdade de solicitar ao titular dos dados informações adicionais que permitam localizar os dados pessoais procurados por essa pessoa.

(45) Se os dados tratados pelo responsável pelo tratamento não lhe permitirem identificar uma pessoa singular, aquele não deve ser obrigado a obter informações suplementares para identificar o titular dos dados com a única finalidade de respeitar uma disposição do presente regulamento. No caso de um pedido de acesso, o responsável pelo tratamento de dados deve ter a faculdade de solicitar ao titular dos dados informações adicionais que permitam localizar os dados pessoais procurados por essa pessoa. Se for possível ao titular dos dados facultar esses dados, os responsáveis pelo tratamento não devem poder invocar falta de informação para recusar um pedido de acesso.

Alteração  23

Proposta de regulamento

Considerando 47

Texto da Comissão

Alteração

(47) Devem ser previstas modalidades para facilitar o exercício, pelo titular de dados, dos direitos que lhe são conferidos nos termos do presente regulamento, incluindo mecanismos para solicitar, a título gratuito, em especial o acesso aos dados, a retificação, a supressão e o exercício do seu direito de oposição. O responsável pelo tratamento deve ser obrigado a responder ao titular dos dados dentro de um prazo estipulado e fundamentar qualquer recusa.

(47) Devem ser previstas modalidades para facilitar o exercício, pelo titular de dados, dos direitos que lhe são conferidos nos termos do presente regulamento, incluindo mecanismos para obter, a título gratuito, em especial o acesso aos dados, a retificação, a supressão e o exercício do seu direito de oposição. O responsável pelo tratamento deve ser obrigado a responder ao titular dos dados dentro de um prazo razoável e fundamentar qualquer recusa.

Alteração  24

Proposta de regulamento

Considerando 48

Texto da Comissão

Alteração

(48) Os princípios de tratamento leal e transparente exigem que o titular de dados seja informado, em especial, da existência da operação de tratamento de dados e das suas finalidades, do período de conservação dos dados, da existência do direito de acesso, da retificação ou de apagamento, bem como do direito de apresentar uma queixa. Sempre que os dados forem recolhidos junto do titular dos dados, este deve ser também informado da obrigatoriedade de fornecer esses dados e das respetivas consequências caso não os faculte.

(48) Os princípios de tratamento leal e transparente exigem que o titular de dados seja informado, em especial, da existência da operação de tratamento de dados e das suas finalidades, do período de conservação dos dados ou - se tal não for possível - dos critérios usados para definir esse período, da existência do direito de acesso, da retificação ou de apagamento, bem como do direito de apresentar uma queixa. Sempre que os dados forem recolhidos junto do titular dos dados, este deve ser também informado da obrigatoriedade de fornecer esses dados e das respetivas consequências caso não os faculte. Esta informação deve ser facultada ao interessado, ou fazer com que seja facilmente acessível para este, uma vez proporcionada informação simplificada em forma de ícones normalizados. Isto deve também significar que o tratamento dos dados pessoais se processa de forma a permitir que o titular dos dados exerça efetivamente os seus direitos.

Alteração  25

Proposta de regulamento

Considerando 50

Texto da Comissão

Alteração

(50) Todavia, não é necessário impor tal obrigação quando o titular dos dados já dispuser dessa informação, ou se o registo ou a comunicação dos dados for expressamente previsto por lei, ou se a informação ao titular dos dados se revelar impossível de concretizar ou se implicar esforços desproporcionados. Tal seria o caso de um tratamento efetuado para efeitos de investigação histórica, estatística ou científica; para este efeito, pode ser considerado o número de interessados, a antiguidade dos dados e as eventuais medidas compensatórias adotadas.

(50) Todavia, não é necessário impor tal obrigação quando o titular dos dados já conhecer essa informação, ou se o registo ou a comunicação dos dados for expressamente previsto por lei, ou se a informação ao titular dos dados se revelar impossível de concretizar ou implicar um esforço desproporcionado.

Alteração  26

Proposta de regulamento

Considerando 51

Texto da Comissão

Alteração

(51) Qualquer pessoa deve ter o direito de acesso aos dados recolhidos sobre si e de exercer facilmente este direito, a fim de conhecer e verificar a licitude do tratamento. Por conseguinte, cada titular de dados deve ter o direito de conhecer e ser informado, em especial, das finalidades a que se destinam os dados tratados, da duração da sua conservação, da identidade dos destinatários, da lógica subjacente ao tratamento dos dados e das suas consequências eventuais, pelo menos quando tiver por base a definição de perfis. Este direito não deve prejudicar os direitos e as liberdades de terceiros, incluindo o segredo comercial ou a propriedade intelectual e, particularmente, o direito de autor que protege o suporte lógico. Todavia, estas considerações não devem resultar na recusa total de prestação de informações ao titular dos dados.

(51) Qualquer pessoa deve ter o direito de acesso aos dados recolhidos sobre si e de exercer facilmente este direito, a fim de conhecer e verificar a licitude do tratamento. Por conseguinte, cada titular de dados deve ter o direito de conhecer e ser informado, em especial, das finalidades a que se destinam os dados pessoais tratados, da duração estimada da sua conservação, da identidade dos destinatários, da lógica genérica subjacente ao tratamento dos dados pessoais e das suas consequências eventuais. Este direito não deve prejudicar os direitos e as liberdades de terceiros, incluindo o segredo comercial ou a propriedade intelectual como, por exemplo, em relação ao direito de autor que protege o suporte lógico. Todavia, estas considerações não devem resultar na recusa total de prestação de informações ao titular dos dados.

Alteração  27

Proposta de regulamento

Considerando 53

Texto da Comissão

Alteração

(53) Qualquer pessoa deve ter o direito a que os dados que lhe digam respeito sejam retificados e o «direito a ser esquecido» quando a conservação desses dados não cumprir o disposto no presente regulamento. Em especial, os titulares de dados devem ter o direito a que os seus dados pessoais sejam apagados e deixem de ser objeto de tratamento se deixarem de ser necessários para a finalidade para a qual foram recolhidos ou tratados, sempre que os titulares de dados retirem o seu consentimento ao tratamento, ou se oponham ao tratamento de dados pessoais que lhes digam respeito ou se o tratamento dos seus dados pessoais não respeitar o disposto no presente regulamento. Este direito assume particular importância quando o titular de dados que deu o consentimento era nesse momento uma criança, não estando totalmente ciente dos riscos inerentes ao tratamento, e mais tarde deseja suprimir esses dados pessoais, especialmente na internet. No entanto, deve ser permitido prolongar a conservação dos dados quando tal se revele necessário para efeitos de investigação histórica, estatística ou científica, bem como por motivos de interesse público no domínio da saúde pública, ou de exercício da liberdade de expressão, se esta for exigida por lei, ou se existir um motivo para limitar o tratamento dos dados em vez de os apagar.

(53) Qualquer pessoa deve ter o direito a que os dados que lhe digam respeito sejam retificados e o «direito ao apagamento de dados» quando a conservação desses dados não cumprir o disposto no presente regulamento. Em especial, os titulares de dados devem ter o direito a que os seus dados pessoais sejam apagados e deixem de ser objeto de tratamento se deixarem de ser necessários para a finalidade para a qual foram recolhidos ou tratados, sempre que os titulares de dados retirem o seu consentimento ao tratamento, ou se oponham ao tratamento de dados pessoais que lhes digam respeito ou se o tratamento dos seus dados pessoais não respeitar o disposto no presente regulamento. No entanto, deve ser permitido prolongar a conservação dos dados quando tal se revele necessário para efeitos de investigação histórica, estatística ou científica, bem como por motivos de interesse público no domínio da saúde pública, ou de exercício da liberdade de expressão, se esta for exigida por lei, ou se existir um motivo para limitar o tratamento dos dados em vez de os apagar. Além disso, o direito ao apagamento não deve ser aplicável sempre que a conservação dos dados pessoais for necessária para a execução de um contrato com o titular dos dados ou sempre que a conservação for feita em virtude de uma obrigação legal.

Alteração  28

Proposta de regulamento

Considerando 54

Texto da Comissão

Alteração

(54) Para reforçar o «direito a ser esquecido» no ambiente em linha, o âmbito do direito de apagamento deve também ser alargado de forma a que um responsável pelo tratamento que tenha tornado públicos os dados pessoais seja obrigado a informar os terceiros que tratem esses dados que um titular de dados lhes solicita a supressão de quaisquer ligações para esses dados pessoais, cópias ou reproduções dos mesmos. De forma a assegurar esta informação, o responsável pelo tratamento deve adotar todas as medidas razoáveis, incluindo medidas técnicas, no que respeita aos dados cuja publicação seja da sua responsabilidade. No que se refere à publicação de dados pessoais por terceiros, o responsável pelo tratamento é considerado responsável por essa publicação sempre que tiver autorizado a publicação por esse terceiro.

(54) Para reforçar o «direito de apagamento dos dados do titular» no ambiente em linha, o âmbito do direito de apagamento deve também ser alargado de forma a que um responsável pelo tratamento que tenha tornado públicos os dados pessoais sem qualquer justificação jurídica seja obrigado a tomar todas as medidas necessárias para que os dados sejam apagados, embora sem prejuízo do direito do titular dos dados a pedir uma indemnização.

Alteração  29

Proposta de regulamento

Considerando 54-A (novo)

Texto da Comissão

Alteração

 

(54-A) Dados contestados pelo titular dos mesmos cuja exatidão ou inexatidão não possa ser determinada devem ser bloqueados até que o assunto seja esclarecido.

Alteração  30

Proposta de regulamento

Considerando 55

Texto da Comissão

Alteração

(55) Para reforçar melhor o controlo sobre os seus próprios dados e o seu direito de acesso, os titulares de dados devem ter o direito, sempre que os dados pessoais sejam objeto de tratamento automatizado num formato estruturado e de uso corrente, de obter uma cópia dos dados que lhes digam respeito, igualmente num formato eletrónico de utilização comum. O titular de dados deve, além disso, ser autorizado a transmitir os dados que forneceu, de uma aplicação automatizada, como uma rede social, para outra. Isto aplica-se também se o titular de dados tiver fornecido os dados a um sistema de tratamento automatizado com base no seu consentimento ou em cumprimento de um contrato.

(55) Para reforçar melhor o controlo sobre os seus próprios dados e o seu direito de acesso, os titulares de dados devem ter o direito, sempre que os dados pessoais sejam objeto de tratamento automatizado num formato estruturado e de uso corrente, de obter uma cópia dos dados que lhes digam respeito, igualmente num formato eletrónico de utilização comum. O titular de dados deve, além disso, ser autorizado a transmitir os dados que forneceu, de uma aplicação automatizada, como uma rede social, para outra. Os responsáveis pelo tratamento de dados devem ser encorajados a desenvolver formatos interoperáveis que permitam a portabilidade dos dados. Isto aplica-se também se o titular de dados tiver fornecido os dados a um sistema de tratamento automatizado com base no seu consentimento ou em cumprimento de um contrato. Os prestadores de serviços da sociedade da informação não devem tornar a transferência desses dados obrigatória para efeitos da prestação dos seus serviços.

Alteração  31

Proposta de regulamento

Considerando 56

Texto da Comissão

Alteração

(56) No caso de um tratamento de dados pessoais lícito para proteção dos interesses vitais do titular dos dados, ou por motivos de interesse público, de exercício da autoridade pública ou de interesse legítimo de um responsável pelo tratamento, o titular dos dados tem, não obstante, o direito de se opor ao tratamento de quaisquer dados que lhe digam respeito. Recai sobre o responsável pelo tratamento o ónus de provar que os seus interesses legítimos prevalecem sobre os interesses ou direitos e liberdades fundamentais do titular dos dados.

(56) No caso de um tratamento de dados pessoais lícito para proteção dos interesses vitais do titular dos dados, ou por motivos de interesse público, de exercício da autoridade pública ou de interesse legítimo de um responsável pelo tratamento, o titular dos dados tem, não obstante, o direito de se opor ao tratamento de quaisquer dados que lhe digam respeito, sem encargos e de um modo que possa ser invocado de forma simples e efetiva. Recai sobre o responsável pelo tratamento o ónus de provar que os seus interesses legítimos prevalecem sobre os interesses ou direitos e liberdades fundamentais do titular dos dados.

Alteração  32

Proposta de regulamento

Considerando 57

Texto da Comissão

Alteração

(57) Sempre que os dados pessoais forem objeto de tratamento para efeitos de comercialização direta, o titular dos dados tem o direito de se opor a tal tratamento gratuitamente, e que possa ser invocado de forma simples e efetiva.

(57) Sempre que o titular dos dados pessoais tenha o direito de se opor ao tratamento, o responsável pelo tratamento deve oferecer-lhe explicitamente essa possibilidade de modo e forma inteligíveis, utilizando uma linguagem clara e simples e distinguir isso de outra informação.

Alteração  33

Proposta de regulamento

Considerando 58

Texto da Comissão

Alteração

(58) Qualquer pessoa singular tem o direito a não ser objeto de uma medida baseada na definição de perfis através de tratamento automatizado. No entanto, tais medidas devem ser permitidas se expressamente autorizadas por lei, se aplicadas no âmbito da celebração ou da execução de um contrato, ou mediante o consentimento da pessoa em causa. Em qualquer dos casos, tal tratamento deve ser acompanhado das garantias adequadas, incluindo uma informação específica do titular dos dados e o direito de obter a intervenção humana, e que tal medida não diga respeito a uma criança.

(58) Sem prejuízo da legalidade do tratamento dos dados, qualquer pessoa singular tem o direito de se opor à definição de perfis. A elaboração de perfis que dê lugar a medidas que produzam efeitos jurídicos que afetem o titular de dados ou que afectem significativamente de modo similar os seus interesses, direitos ou liberdades apenas deve ser permitida se expressamente autorizada por lei, se aplicada no âmbito da celebração ou da execução de um contrato, ou mediante o consentimento da pessoa em causa. Em qualquer dos casos, tal tratamento deve ser acompanhado das garantias adequadas, incluindo uma informação específica do titular dos dados e o direito de obter avaliação humana, e que tal medida não diga respeito a uma criança. Tais medidas não devem conduzir à discriminação de indivíduos em razão da origem racial ou étnica, das opiniões políticas, da religião ou das convicções, da filiação sindical, da orientação sexual ou da identidiade de género.

Alteração  34

Proposta de regulamento

Considerando 58-A (novo)

Texto da Comissão

Alteração

 

(58-A) A elaboração de perfis exclusivamente baseada no tratamento de dados pseudónimos não deve afetar significativamente os interesses, direitos ou as liberdades da pessoa em causa. Quando a elaboração de perfis, quer baseada numa única fonte de dados pseudónimos, quer realizada a partir da agregação de dados pseudónimos provenientes de diferentes fontes, permita ao responsável pelo tratamento atribuir os dados pseudónimos a uma pessoa em concreto, os dados tratados devem deixar de ser considerados pseudónimos.

Alteração  35

Proposta de regulamento

Considerando 59

Texto da Comissão

Alteração

(59) A União ou um Estado-Membro podem impor restrições aos direitos de informação, acesso, retificação, apagamento ou portabilidade dos dados, de oposição, medidas baseadas na definição de perfis, bem como à comunicação de uma violação de dados pessoais ao titular dos dados e a determinadas obrigações conexas dos responsáveis pelo tratamento, desde que necessárias e proporcionais numa sociedade democrática, para assegurar a segurança pública, incluindo a proteção da vida humana, especialmente em resposta a catástrofes naturais ou provocadas pelo homem, para efeitos de prevenção, investigação e repressão de infrações penais, ou de violação da deontologia de profissões regulamentadas para efeitos de outros interesses públicos, incluindo um interesse económico ou financeiro importante da União ou de um Estado-Membro, ou para efeitos de proteção do titular de dados ou dos direitos e liberdades de terceiros. Essas restrições devem respeitar os requisitos estabelecidos na Carta dos Direitos Fundamentais da União Europeia e na Convenção Europeia para a Proteção dos Direitos do Homem e das Liberdades Fundamentais.

(59) A União ou um Estado-Membro podem impor restrições aos direitos de informação, retificação, apagamento ou ao direito de acesso e à obtenção de dados, de oposição, definição de perfis, bem como à comunicação de uma violação de dados pessoais ao titular dos dados e a determinadas obrigações conexas impostas aos responsáveis pelo tratamento, desde que necessárias e proporcionais numa sociedade democrática, para assegurar a segurança pública, incluindo a proteção da vida humana, especialmente em resposta a catástrofes naturais ou provocadas pelo homem, para efeitos de prevenção, investigação e repressão de infrações penais, ou de violação da deontologia de profissões regulamentadas para efeitos de outros interesses públicos, específicos e bem definidos, incluindo um interesse económico ou financeiro importante da União ou de um Estado-Membro, ou para efeitos de proteção do titular dos dados ou dos direitos e liberdades de terceiros. Essas restrições devem respeitar os requisitos estabelecidos na Carta dos Direitos Fundamentais da União Europeia e na Convenção Europeia para a Proteção dos Direitos do Homem e das Liberdades Fundamentais.

Alteração  36

Proposta de regulamento

Considerando 60

Texto da Comissão

Alteração

(60) Deve ser definida a responsabilidade global do responsável por qualquer tratamento de dados pessoais realizado por este ou por sua conta. Em especial, o responsável pelo tratamento deve assegurar e ser obrigado a comprovar que cada operação de tratamento de dados é efetuada em conformidade com o presente regulamento.

(60) Deve ser definida a responsabilidade global do responsável por qualquer tratamento de dados pessoais realizado por este ou por sua conta, em particular no que se refere à documentação, segurança dos dados, avaliações de impacto, ao delegado para a proteção de dados e à supervisão das autoridades responsáveis pela proteção dos dados. Em especial, o responsável pelo tratamento deve assegurar e ser capaz de comprovar que cada operação de tratamento de dados é efetuada em conformidade com o presente regulamento. Tal deve ser verificado por auditores independentes internos ou externos.

Alteração  37

Proposta de regulamento

Considerando 61

Texto da Comissão

Alteração

(61) A proteção dos direitos e liberdades dos titulares dos dados relativamente ao tratamento dos seus dados pessoais exige a tomada de medidas técnicas e organizacionais adequadas, tanto no momento da conceção como no momento da execução do tratamento, para assegurar o cumprimento dos requisitos do presente regulamento. A fim de assegurar e comprovar a conformidade com o presente regulamento, o responsável pelo tratamento deve adotar regras internas e aplicar medidas apropriadas que devem respeitar, em especial, os princípios da proteção de dados desde a conceção e da proteção de dados por defeito.

(61) A proteção dos direitos e liberdades dos titulares dos dados relativamente ao tratamento dos seus dados pessoais exige a tomada de medidas técnicas e organizacionais adequadas, tanto no momento da conceção como no momento da execução do tratamento, para assegurar o cumprimento dos requisitos do presente regulamento. A fim de assegurar e comprovar a conformidade com o presente regulamento, o responsável pelo tratamento deve adotar regras internas e aplicar medidas apropriadas que devem respeitar, em especial, os princípios da proteção de dados desde a conceção e da proteção de dados por defeito. O princípio da proteção de dados desde a conceção obriga a que a proteção de dados seja inserida em todo o ciclo de vida da tecnologia, desde a fase inicial de conceção, até à sua instalação, utilização e eliminação finais. Isto deve abarcar também a responsabilidade pelos produtos e serviços utilizados pelo responsável ou pelo subcontratante. O princípio da proteção de dados por defeito obriga a que as definições de privacidade aplicáveis a serviços e a produtos cumpram, por defeito, os princípios gerais da proteção de dados, tais como a minimização dos dados e a limitação das finalidades.

Alteração  38

Proposta de regulamento

Considerando 62

Texto da Comissão

Alteração

(62) A proteção dos direitos e liberdades dos titulares de dados, bem como a responsabilidade dos responsáveis pelo tratamento e dos subcontratantes, incluindo no que diz respeito à supervisão e às medidas adotadas pelas autoridades de controlo, exige uma clara repartição das responsabilidades nos termos do presente regulamento, nomeadamente quando o responsável pelo tratamento determina as finalidades, as condições e os meios do tratamento conjuntamente com outros responsáveis, ou quando uma operação de tratamento de dados é efetuada por conta de um responsável pelo tratamento.

(62) A proteção dos direitos e liberdades dos titulares de dados, bem como a responsabilidade dos responsáveis pelo tratamento e dos subcontratantes, incluindo no que diz respeito à supervisão e às medidas adotadas pelas autoridades de controlo, exige uma clara repartição das responsabilidades nos termos do presente regulamento, nomeadamente quando o responsável pelo tratamento determina as finalidades, as condições e os meios do tratamento conjuntamente com outros responsáveis, ou quando uma operação de tratamento de dados é efetuada por conta de um responsável pelo tratamento. O acordo entre os responsáveis conjuntos pelo tratamento deve reflectir devidamente as funções dos responsáveis conjuntos pelo tratamento e as suas relações com os titulares dos dados. O tratamento de dados pessoais nos termos do presente Regulamento deve incluir que um responsável pelo tratamento seja autorizado a transmitir os dados a um responsável conjunto pelo tratamento ou a um subcontratante, para efeitos do tratamento de dados em seu nome.

Alteração  39

Proposta de regulamento

Considerando 63

Texto da Comissão

Alteração

(63) Sempre que um responsável pelo tratamento não estabelecido na União Europeia efetue o tratamento de dados pessoais de titulares de dados que residam na União, e cujas atividades de tratamento estejam relacionadas com a oferta de bens ou serviços a essas pessoas, ou com o controlo do seu comportamento, o responsável pelo tratamento deve designar um representante, salvo se tal responsável se encontrar estabelecido num país terceiro que garanta um nível de proteção adequado, ou se o responsável for uma pequena ou média empresa ou uma autoridade ou organismo público, ou se o responsável apenas oferecer a título esporádico bens ou serviços a esses titulares de dados. O representante deve agir por conta do responsável pelo tratamento e deve poder ser contactado por qualquer autoridade de controlo.

(63) Sempre que um responsável pelo tratamento não estabelecido na União Europeia efetue o tratamento de dados pessoais de titulares de dados da União, o responsável pelo tratamento deve designar um representante, salvo se tal responsável se encontrar estabelecido num país terceiro que garanta um nível de proteção adequado, ou se o tratamento de dados pessoais disser respeito a menos que 5000 titulares de dados durante um período de 12 meses consecutivos e não for efetuado em relação a categorias especiais de dados pessoais, ou se for uma autoridade ou organismo público que apenas oferece a título esporádico bens ou serviços a esses titulares de dados. O representante deve agir por conta do responsável pelo tratamento e deve poder ser contactado por qualquer autoridade de controlo.

Alteração  40

Proposta de regulamento

Considerando 64

Texto da Comissão

Alteração

(64) A fim de determinar se o responsável pelo tratamento oferece bens e serviços apenas a título esporádico aos titulares de dados que residam na União, deve ser verificado se resulta do conjunto das suas atividades que a oferta de bens e serviços a essas pessoas é acessória às suas atividades principais.

(64) A fim de determinar se o responsável pelo tratamento oferece bens e serviços apenas a título esporádico aos titulares de dados da União, deve ser verificado se resulta do conjunto das suas atividades que a oferta de bens e serviços a essas pessoas é acessória às suas atividades principais.

Alteração  41

Proposta de regulamento

Considerando 65

Texto da Comissão

Alteração

(65) A fim de comprovar a observância do presente regulamento, o responsável pelo tratamento, ou o subcontratante, deve documentar cada operação de tratamento de dados. Cada responsável pelo tratamento e subcontratante devem ser obrigados a cooperar com a autoridade de controlo e a disponibilizar essa documentação, quando tal lhe for solicitado, para que possa servir ao controlo dessas operações de tratamento.

(65) A fim de poder comprovar a observância do presente regulamento, o responsável pelo tratamento, ou o subcontratante, deve conservar a documentação necessária, de molde a cumprir os requisitos previstos no presente Regulamento. Cada responsável pelo tratamento e subcontratante devem ser obrigados a cooperar com a autoridade de controlo e a disponibilizar essa documentação, quando tal lhe for solicitado, para que possa servir à avaliação do cumprimento do presente regulamento. No entanto, deve dar-se igual ênfase e importância às boas práticas e ao cumprimento, e não apenas à conclusão da documentação.

Alteração  42

Proposta de regulamento

Considerando 66

Texto da Comissão

Alteração

(66) A fim de preservar a segurança e evitar o tratamento em violação do presente regulamento, o responsável pelo tratamento, ou o subcontratante, deve avaliar os riscos que o tratamento implica e aplicar medidas que os atenuem. Estas medidas devem assegurar um nível de segurança adequado, atendendo aos conhecimentos técnicos disponíveis e ao custo da sua aplicação em função dos riscos e da natureza dos dados a proteger. Aquando da adoção de normas técnicas e medidas organizacionais destinadas a assegurar a segurança do tratamento, a Comissão deve promover a neutralidade tecnológica, a interoperabilidade e a inovação e, se necessário, cooperar com os países terceiros.

(66) A fim de preservar a segurança e evitar o tratamento em violação do presente regulamento, o responsável pelo tratamento, ou o subcontratante, deve avaliar os riscos que o tratamento implica e aplicar medidas que os atenuem. Estas medidas devem assegurar um nível de segurança adequado, atendendo aos conhecimentos técnicos disponíveis e ao custo da sua aplicação em função dos riscos e da natureza dos dados a proteger. Aquando da adoção de normas técnicas e medidas organizacionais destinadas a assegurar a segurança do tratamento, há que promover a neutralidade tecnológica, a interoperabilidade e a inovação e, se necessário, encorajar a cooperação com os países terceiros.

Alteração  43

Proposta de regulamento

Considerando 67

Texto da Comissão

Alteração

(67) A violação dos dados pessoais pode, se não forem adotadas medidas adequadas e oportunas, dar origem a prejuízos económicos e sociais substanciais, nomeadamente através da usurpação de identidade, para a pessoa em causa. Assim, logo que o responsável pelo tratamento tenha conhecimento de uma violação, deve comunicá-la à autoridade de controlo, sem demora injustificada e, sempre que possível, no prazo de 24 horas. Se não for possível efetuar essa comunicação no prazo de 24 horas, a notificação deve fazer-se acompanhar de uma explicação dos motivos da demora. As pessoas singulares cujos dados pessoais possam ter sido afetados negativamente por tal violação, devem ser avisadas sem demora injustificada, para que possam tomar as precauções necessárias. Deve considerar-se que uma violação afeta negativamente os dados pessoais ou a privacidade de um titular de dados sempre que daí possa resultar, por exemplo, roubo ou usurpação de identidade, danos físicos, humilhações ou danos significativos para a reputação. A notificação deve descrever a natureza da violação de dados pessoais, bem como recomendações ao titular dos dados para atenuar potenciais efeitos adversos. As pessoas em causa devem ser notificadas o mais rapidamente possível, em estreita cooperação com a autoridade de controlo, e em cumprimento das orientações por esta fornecidas ou por outras autoridades competentes (por exemplo, autoridades de aplicação da lei). Por exemplo, para que as pessoas em causa possam atenuar um risco imediato de dano, deve enviar-se uma notificação rápida aos titulares de dados, enquanto a necessidade de aplicar medidas adequadas contra violações de dados recorrentes ou similares poderá justificar um prazo superior.

(67) A violação dos dados pessoais pode, se não forem adotadas medidas adequadas e oportunas, dar origem a prejuízos económicos e sociais substanciais, nomeadamente através da usurpação de identidade, para a pessoa em causa. Assim, o responsável pelo tratamento deve comunicar a violação à autoridade de controlo, sem demora injustificada, devendo presumir-se para o efeito um prazo não superior a 72 horas. Se aplicável, a notificação deve fazer-se acompanhar de uma explicação dos motivos da demora. As pessoas singulares cujos dados pessoais possam ter sido afetados negativamente por tal violação, devem ser avisadas sem demora injustificada, para que possam tomar as precauções necessárias. Deve considerar-se que uma violação afeta negativamente os dados pessoais ou a privacidade de um titular de dados sempre que daí possa resultar, por exemplo, roubo ou usurpação de identidade, danos físicos, humilhações ou danos significativos para a reputação. A notificação deve descrever a natureza da violação de dados pessoais, bem como recomendações ao titular dos dados para atenuar potenciais efeitos adversos. As pessoas em causa devem ser notificadas o mais rapidamente possível, em estreita cooperação com a autoridade de controlo, e em cumprimento das orientações por esta fornecidas ou por outras autoridades competentes (por exemplo, autoridades de aplicação da lei). Por exemplo, para que as pessoas em causa possam atenuar um risco imediato de dano, deve enviar-se uma notificação rápida aos titulares de dados, enquanto a necessidade de aplicar medidas adequadas contra violações de dados recorrentes ou similares poderá justificar um prazo superior.

Alteração  44

Proposta de regulamento

Considerando 71-A (novo)

Texto da Comissão

Alteração

 

(71-A) As avaliações de impacto constituem um elemento essencial de qualquer quadro sustentável em matéria de proteção de dados, pois garantem que as empresas tenham conhecimento, à partida, de todas as eventuais consequências das suas operações de tratamento de dados. Se as avaliações de impacto forem rigorosas, a possibilidade de uma violação de dados ou de uma operação de atentado à privacidade pode ser fundamentalmente limitada. As avaliações do impacto na proteção dos dados devem, por conseguinte, ter em conta a gestão dos dados pessoais ao longo de todo o seu ciclo de vida, ou seja, desde a recolha até ao tratamento e eliminação dos mesmos, descrevendo detalhadamente as operações de tratamento de dados previstas, os riscos para os direitos e as liberdades dos titulares de dados, as medidas previstas para fazer face aos riscos, as garantias, as medidas de segurança e os mecanismos para assegurar o respeito do presente regulamento.

Alteração  45

Proposta de regulamento

Considerando 71-B (novo)

Texto da Comissão

Alteração

 

(71-B) Os responsáveis pelo tratamento devem centrar-se na proteção dos dados pessoais ao longo de todo o seu ciclo de vida, ou seja, desde a recolha até ao tratamento e eliminação dos mesmos, investindo, desde o início, num quadro de gestão sustentável dos dados e assegurando o seu acompanhamento através de um mecanismo global de controlo de conformidade.

Alteração  46

Proposta de regulamento

Considerando 73

Texto da Comissão

Alteração

(73) As avaliações de impacto sobre a proteção de dados devem ser realizadas por uma autoridade ou um organismo público se essa avaliação não tiver ainda sido realizada no contexto da adoção da legislação nacional que regula as atribuições da autoridade ou do organismo público, bem como a operação ou o conjunto de operações em questão.

Suprimido

Alteração  47

Proposta de regulamento

Considerando 74

Texto da Comissão

Alteração

(74) Sempre que uma avaliação de impacto sobre a proteção de dados indicar que as operações de tratamento de dados acarretam um elevado grau de riscos particulares sobre os direitos e liberdades dos titulares de dados, como privar essas pessoas de um direito, ou devido à utilização de novas tecnologias específicas, a autoridade de controlo deve ser consultada, antes de as operações terem início, sobre um tratamento arriscado suscetível de não estar em conformidade com o presente regulamento, e de apresentar propostas para remediar essa situação. Essa consulta deve igualmente ser efetuada durante os trabalhos de elaboração de uma medida legislativa pelo parlamento nacional, ou de uma medida baseada nesta última medida que defina a natureza do tratamento e especifique as garantias adequadas.

(74) Sempre que uma avaliação de impacto sobre a proteção de dados indicar que as operações de tratamento de dados acarretam um elevado grau de riscos particulares sobre os direitos e liberdades dos titulares de dados, como privar essas pessoas de um direito, ou devido à utilização de novas tecnologias específicas, o delegado para a proteção de dados ou a autoridade de controlo deve ser consultada, antes de as operações terem início, sobre um tratamento arriscado suscetível de não estar em conformidade com o presente regulamento, e de apresentar propostas para remediar essa situação. A consulta da autoridade de controlo deve igualmente ser efetuada durante os trabalhos de elaboração de uma medida legislativa pelo parlamento nacional, ou de uma medida baseada nesta última medida que defina a natureza do tratamento e especifique as garantias adequadas.

Alteração  48

Proposta de regulamento

Considerando 74-A (novo)

Texto da Comissão

Alteração

 

(74-A) As avaliações de impacto só podem ser úteis se os responsáveis pelo tratamento de dados se assegurarem de que respeitam os compromissos inicialmente estabelecidos nessas avaliações. Os responsáveis pelo tratamento devem, por conseguinte, efetuar análises regulares do cumprimento das disposições relativas à proteção dos dados que demonstrem que os mecanismos de tratamento de dados existentes respeitam os compromissos assumidos na avaliação do impacto na proteção dos dados. Estas análises devem igualmente demonstrar a capacidade do responsável pelo tratamento para respeitar as escolhas autónomas dos titulares de dados. Além disso, se, no âmbito destas análises, forem encontradas incoerências quanto à conformidade, estas devem ser sublinhadas e apresentadas recomendações sobre o modo de assegurar o pleno respeito.

Alteração  49

Proposta de regulamento

Considerando 75

Texto da Comissão

Alteração

(75) Sempre que o tratamento for efetuado no setor público, ou se, no setor privado, for efetuado por uma empresa de grande dimensão, ou cujas atividades principais, independentemente da dimensão da empresa, impliquem operações de tratamento que exijam controlo regular e sistemático, o responsável pelo tratamento ou o subcontratante deve ser assistido por uma pessoa no controlo do respeito, a nível interno, do presente regulamento. Estes delegados para a proteção de dados, quer sejam ou não empregados do responsável pelo tratamento, devem estar em posição de desempenhar as suas funções e atribuições de forma independente.

(75) Sempre que o tratamento for efetuado no setor público, ou se, no setor privado, disser respeito a mais de 5000 titulares de dados por ano, ou cujas atividades principais, independentemente da dimensão da empresa, impliquem operações de tratamento de dados sensíveis ou operações de tratamento que exijam controlo regular e sistemático, o responsável pelo tratamento ou o subcontratante deve ser assistido por uma pessoa no controlo do respeito, a nível interno, do presente regulamento. Ao determinar se os dados sobre um grande número de titulares de dados são ou não objeto de tratamento, não devem ser tidos em conta os dados arquivados de acesso restrito, no sentido de que não estão sujeitos ao acesso normal nem às operações de processamento do responsável pelo tratamento e que já não podem ser alterados. Estes delegados para a proteção de dados, quer sejam ou não empregados do responsável pelo tratamento e quer desempenhem ou não essa tarefa a tempo inteiro, devem estar em posição de desempenhar as suas funções e atribuições de forma independente e beneficiar de uma proteção especial contra o despedimento. A responsabilidade final deve incumbir à direção do organismo. O delegado para a proteção de dados deve, nomeadamente, ser consultado antes da conceção, da adjudicação, do desenvolvimento e da criação de sistemas de tratamento automatizado de dados pessoais, para garantir os princípios da privacidade desde a conceção e por defeito.

Alteração  50

Proposta de regulamento

Considerando 75-A (novo)

Texto da Comissão

Alteração

 

(75-A) O delegado para a proteção de dados deve ter, no mínimo, as seguintes qualificações: amplo conhecimento do conteúdo e da aplicação da legislação em matéria de proteção de dados, inclusive medidas técnicas, de organização e procedimentos; domínio dos requisitos técnicos em matéria de privacidade, desde a conceção, privacidade por defeito e segurança de dados; conhecimentos específicos do setor, de acordo com a dimensão do responsável pelo tratamento e do subcontratante e com a sensibilidade dos dados a tratar; capacidade de efetuar inspeções, consultas, elaborar documentação e proceder à análise de arquivos; capacidade para trabalhar com os representantes dos trabalhadores. O responsável pelo tratamento deve permitir a participação do delegado de proteção de dados em ações de formação avançadas, de molde a manter atualizados os conhecimentos especializados necessários ao desempenho das suas funções. A nomeação do delegado para a proteção de dados não requer necessariamente a ocupação desse assalariado a tempo inteiro.

Alteração  51

Proposta de regulamento

Considerando 76

Texto da Comissão

Alteração

(76) As associações ou outras entidades que representem categorias de responsáveis pelo tratamento de dados devem ser incentivadas a elaborar códigos de conduta, no respeito do presente regulamento, com vista a facilitar a sua aplicação efetiva, tendo em conta as características específicas do tratamento efetuado em determinados setores.

(76) As associações ou outras entidades que representem categorias de responsáveis pelo tratamento de dados devem ser incentivadas, após a consulta dos representantes dos trabalhadores, a elaborar códigos de conduta, no respeito do presente regulamento, com vista a facilitar a sua aplicação efetiva, tendo em conta as características específicas do tratamento efetuado em determinados setores. Tais códigos devem facilitar o respeito do presente regulamento por parte do setor.

Alteração  52

Proposta de regulamento

Considerando 77

Texto da Comissão

Alteração

(77) A fim de aumentar a transparência e o respeito do presente regulamento, deve ser encorajada a criação de mecanismos de certificação, selos e marcas de proteção de dados, que permitam aos titulares de dados avaliar rapidamente o nível de proteção de dados proporcionado pelos produtos e serviços em causa.

(77) A fim de aumentar a transparência e o respeito do presente regulamento, deve ser encorajada a criação de mecanismos de certificação, selos e marcas normalizadas de proteção de dados, que permitam aos titulares de dados avaliar rapidamente, de forma fiável e verificável, o nível de proteção de dados proporcionado pelos produtos e serviços em causa. O “Selo Europeu para a Proteção de Dados” deve ser criado à escala europeia para gerar confiança junto dos titulares de dados, certeza jurídica junto dos responsáveis pelo tratamento e, ao mesmo tempo, para exportar as normas europeias de proteção de dados, permitindo que empresas não europeias entrem mais facilmente nos mercados europeus se estiverem certificadas.

Alteração  53

Proposta de regulamento

Considerando 79

Texto da Comissão

Alteração

(79) O presente regulamento não prejudica os acordos internacionais concluídos entre a União Europeia e países terceiros que regulem a transferência de dados pessoais, incluindo as garantias adequadas em benefício dos titulares de dados.

(79) O presente regulamento não prejudica os acordos internacionais concluídos entre a União Europeia e países terceiros que regulem a transferência de dados pessoais, incluindo as garantias adequadas em benefício dos titulares de dados, assegurando um nível de proteção equivalente para os direitos fundamentais dos cidadãos.

Alteração  54

Proposta de regulamento

Considerando 80

Texto da Comissão

Alteração

(80) A Comissão pode decidir, com efeitos no conjunto da União, que determinados países terceiros, um território ou um setor de tratamento de dados de um país terceiro, ou uma organização internacional, oferece um nível de proteção de dados adequado, garantindo assim a segurança jurídica e a homogeneidade a nível da União relativamente a países terceiros ou organizações internacionais que sejam consideradas aptas a assegurar tal nível de proteção. Nestes casos, podem realizar-se transferências de dados pessoais para esses países sem que para tal seja necessário qualquer outra autorização.

(80) A Comissão pode decidir, com efeitos no conjunto da União, que determinados países terceiros, um território ou um setor de tratamento de dados de um país terceiro, ou uma organização internacional, oferece um nível de proteção de dados adequado, garantindo assim a segurança jurídica e a homogeneidade a nível da União relativamente a países terceiros ou organizações internacionais que sejam consideradas aptas a assegurar tal nível de proteção. A Comissão pode igualmente decidir, após notificação e apresentação de justificação exaustiva ao país terceiro, revogar essa decisão.

Alteração  55

Proposta de regulamento

Considerando 82

Texto da Comissão

Alteração

(82) A Comissão pode igualmente reconhecer que um país terceiro, um território ou um setor de tratamento de dados de um país terceiro, ou uma organização internacional, não oferece um nível de proteção de dados adequado. Se for esse o caso, deve ser proibida a transferência de dados pessoais para esse país terceiro. Nesse caso, devem ser adotadas medidas tendo em vista uma consulta entre a Comissão e esse país terceiro ou organização internacional.

(82) A Comissão pode igualmente reconhecer que um país terceiro, um território ou um setor de tratamento de dados de um país terceiro, ou uma organização internacional, não oferece um nível de proteção de dados adequado. Qualquer legislação que permita um acesso extraterritorial aos dados pessoais tratados na União, sem autorização nos termos da legislação da União ou dos Estados-Membros, deve considerar tal possibilidade como indicativa de falta de adequação. Se for esse o caso, deve ser proibida a transferência de dados pessoais para esse país terceiro. Nesse caso, devem ser adotadas medidas tendo em vista uma consulta entre a Comissão e esse país terceiro ou organização internacional.

Alteração  56

Proposta de regulamento

Considerando 83

Texto da Comissão

Alteração

(83) Na falta de uma decisão sobre o nível de proteção adequado, o responsável pelo tratamento ou o subcontratante deve adotar as medidas necessárias para colmatar a insuficiência da proteção de dados no país terceiro através de garantias adequadas a favor do titular de dados. Essas medidas adequadas podem consistir na utilização de regras vinculativas para empresas, cláusulas-tipo de proteção de dados adotadas pelas Comissão, cláusulas-tipo de proteção de dados adotadas por uma autoridade de controlo, ou cláusulas contratuais autorizadas por esta autoridade, ou outras medidas adequadas e proporcionais justificáveis pelas circunstâncias inerentes a uma operação ou a um conjunto de operações de transferência de dados, e sempre que autorizadas por uma autoridade de controlo.

(83) Na falta de uma decisão sobre o nível de proteção adequado, o responsável pelo tratamento ou o subcontratante deve adotar as medidas necessárias para colmatar a insuficiência da proteção de dados no país terceiro através de garantias adequadas a favor do titular de dados. Essas medidas adequadas podem consistir na utilização de regras vinculativas para empresas, cláusulas-tipo de proteção de dados adotadas pelas Comissão, cláusulas-tipo de proteção de dados adotadas por uma autoridade de controlo, ou cláusulas contratuais autorizadas por esta autoridade. Essas garantias adequadas devem assegurar o mesmo respeito pelos direitos dos titulares de dados como no âmbito do tratamento no interior da UE, em particular no que diz respeito à limitação da finalidade, ao direito de acesso, à retificação, ao apagamento e à indemnização. Estas garantias devem, em particular, assegurar a observância dos princípios do tratamento de dados pessoais, a salvaguarda dos direitos do respetivo titular e estabelecer mecanismos de recurso eficazes, garantir a observância dos princípios da proteção de dados desde a conceção e por defeito, e assegurar a existência de um delegado para a proteção de dados.

Alteração  57

Proposta de regulamento

Considerando 84

Texto da Comissão

Alteração

(84) A possibilidade de o responsável pelo tratamento ou o subcontratante utilizarem cláusulas-tipo de proteção de dados adotadas pela Comissão ou por uma autoridade de controlo não os deve impedir de incluírem estas cláusulas num contrato mais abrangente, nem de acrescentarem outras cláusulas, desde que não sejam contraditórias, direta ou indiretamente, em relação às cláusulas contratuais-tipo adotadas pela Comissão ou por uma autoridade de controlo, e sem prejuízo dos direitos ou liberdades fundamentais dos titulares de dados.

(84) A possibilidade de o responsável pelo tratamento ou o subcontratante utilizarem cláusulas-tipo de proteção de dados adotadas pela Comissão ou por uma autoridade de controlo não os deve impedir de incluírem estas cláusulas num contrato mais abrangente, nem de acrescentarem outras cláusulas, ou garantias adicionais, desde que não sejam contraditórias, direta ou indiretamente, em relação às cláusulas contratuais-tipo adotadas pela Comissão ou por uma autoridade de controlo, e sem prejuízo dos direitos ou liberdades fundamentais dos titulares de dados. As cláusulas-tipo de proteção de dados adotadas pela Comissão podem abranger diferentes situações, designadamente, transferências de responsáveis pelo tratamento estabelecidos na União Europeia para responsáveis pelo tratamento estabelecidos fora dela, e de responsáveis pelo tratamento estabelecidos na União Europeia para subcontratantes, incluindo subcontratantes ulteriores, estabelecidos fora da União Europeia. Os responsáveis pelo tratamento e os subcontratantes devem ser encorajados a apresentar garantias ainda mais sólidas, através de compromissos contratuais adicionais que complementem as cláusulas-tipo de proteção.

Alteração  58

Proposta de regulamento

Considerando 85

Texto da Comissão

Alteração

(85) Um grupo empresarial deve poder utilizar as regras vinculativas para empresas aprovadas para as suas transferências internacionais da União para entidades pertencentes ao mesmo grupo empresarial, desde que essas regras incluam princípios essenciais e direitos oponíveis visando assegurar garantias adequadas às transferências ou categorias de transferências de dados pessoais.

(85) Um grupo empresarial deve poder utilizar as regras vinculativas para empresas aprovadas para as suas transferências internacionais da União para entidades pertencentes ao mesmo grupo empresarial, desde que essas regras incluam todos os princípios essenciais e direitos oponíveis visando assegurar garantias adequadas às transferências ou categorias de transferências de dados pessoais.

Alteração  59

Proposta de regulamento

Considerando 86

Texto da Comissão

Alteração

(86) É conveniente prever a possibilidade de transferências em determinadas circunstâncias se o titular dos dados deu o seu consentimento, se a transferência for necessária em relação a um contrato ou um processo judicial, se motivos importantes de interesse público previstos pela legislação União ou de um Estado-Membro o exigirem, ou se a transferência for efetuada a partir de um registo criado por lei e destinado à consulta do público ou de pessoas com um interesse legítimo. Neste último caso, a transferência não deve abranger a totalidade dos dados nem categorias completas de dados contidos nesse registo e, quando este último se destinar a ser consultado por pessoas com um interesse legítimo, a transferência apenas deve ser efetuada a pedido dessas pessoas ou caso sejam os seus destinatários.

(86) É conveniente prever a possibilidade de transferências em determinadas circunstâncias se o titular dos dados deu o seu consentimento, se a transferência for necessária em relação a um contrato ou um processo judicial, se motivos importantes de interesse público previstos pela legislação União ou de um Estado-Membro o exigirem, ou se a transferência for efetuada a partir de um registo criado por lei e destinado à consulta do público ou de pessoas com um interesse legítimo. Neste último caso, a transferência não deve abranger a totalidade dos dados nem categorias completas de dados contidos nesse registo e, quando este último se destinar a ser consultado por pessoas com um interesse legítimo, a transferência apenas deve ser efetuada a pedido dessas pessoas ou caso sejam os seus destinatários, tendo plenamente em conta os interesses e os direitos fundamentais do titular de dados.

Alteração  60

Proposta de regulamento

Considerando 87

Texto da Comissão

Alteração

(87) Estas derrogações devem ser aplicáveis, em especial, às transferências de dados exigidas e necessárias à proteção de interesses públicos importantes, por exemplo em caso de transferências internacionais de dados entre autoridades de concorrência, fiscais ou aduaneiras, ou entre serviços competentes em matéria de segurança social, ou em caso de transferência para as autoridades competentes pela prevenção, investigação, deteção e repressão de infrações penais.

(87) Estas derrogações devem ser aplicáveis, em especial, às transferências de dados exigidas e necessárias à proteção de interesses públicos importantes, por exemplo em caso de transferências internacionais de dados entre autoridades de concorrência, fiscais ou aduaneiras, ou entre serviços competentes em matéria de segurança social ou saúde pública, ou em caso de transferência para as autoridades públicas competentes, responsáveis pela prevenção, investigação, deteção e repressão de infrações penais, incluindo a prevenção do branqueamento de capitais e o combate ao financiamento do terrorismo. Deve igualmente ser considerada legal a transferência de dados pessoais que seja necessária para a proteção de um interesse essencial da vida do titular dos dados ou de outra pessoa, se o titular estiver impossibilitado de dar o seu consentimento. A transferência de dados pessoais por motivos de interesse público tão importantes só deve ocorrer ocasionalmente. Em cada caso, convém proceder a uma avaliação cuidadosa de todas as circunstâncias da transferência.

Alteração  61

Proposta de regulamento

Considerando 88

Texto da Comissão

Alteração

(88) As transferências que não podem ser classificadas como frequentes ou maciças são igualmente possíveis para efeitos de prossecução dos interesses legítimos do responsável pelo tratamento ou do subcontratante, após terem sido avaliadas todas as circunstâncias associadas à operação de transferência. Para fins de tratamento com finalidade de investigação histórica, estatística ou científica, devem ser adotadas em consideração as expectativas legítimas da sociedade em matéria de progresso dos conhecimentos.

(88) Para fins de tratamento com finalidade de investigação histórica, estatística ou científica, devem ser adotadas em consideração as expectativas legítimas da sociedade em matéria de progresso dos conhecimentos.

Alteração  62

Proposta de regulamento

Considerando 89

Texto da Comissão

Alteração

(89) Em qualquer caso, se a Comissão não tiver tomado qualquer decisão relativamente ao nível de proteção adequado de dados num país terceiro, o responsável pelo tratamento ou o subcontratante deve adotar soluções que ofereçam aos titulares de dados a garantia de que continuarão a beneficiar dos direitos e garantias fundamentais quanto ao tratamento dos seus dados na União, após a transferência dos mesmos.

(89) Em qualquer caso, se a Comissão não tiver tomado qualquer decisão relativamente ao nível de proteção adequado de dados num país terceiro, o responsável pelo tratamento ou o subcontratante deve adotar soluções que ofereçam aos titulares de dados a garantia juridicamente vinculativa de que continuarão a beneficiar dos direitos e garantias fundamentais quanto ao tratamento dos seus dados na União, após a transferência dos mesmos, na medida em que não se trata de um tratamento em grande escala, repetitivo e estrutural. Essa garantia deve incluir o ressarcimento financeiro em casos de perda ou de acesso ou tratamento não autorizados dos dados, e a obrigação, independentemente da legislação nacional, de fornecer detalhes completos sobre todo o acesso aos dados por parte das autoridades públicas no país terceiro.

Alteração  63

Proposta de regulamento

Considerando 90

Texto da Comissão

Alteração

(90) Alguns países terceiros aprovam leis, regulamentos e outros instrumentos legislativos destinados a regular diretamente as atividades de tratamento de dados pelas pessoas singulares e coletivas sob a jurisdição dos Estados-Membros. Em virtude da sua aplicabilidade extraterritorial, essas leis, regulamentos e outros instrumentos legislativos podem violar o direito internacional e obstar à realização do objetivo de proteção das pessoas singulares, assegurado na União Europeia pelo presente regulamento. . As transferências só devem ser autorizadas quando as condições estabelecidas pelo presente regulamento para as transferências para os países terceiros estejam preenchidas. Pode ser o caso, nomeadamente, sempre que a divulgação for necessária por um motivo importante de interesse público, reconhecido pelo direito da União, ou pelo direito do Estado-Membro ao qual o responsável pelos dados está sujeito. As condições para a existência de um motivo importante de interesse público devem ser precisadas pela Comissão mediante um ato delegado.

(90) Alguns países terceiros aprovam leis, regulamentos e outros instrumentos legislativos destinados a regular diretamente as atividades de tratamento de dados pelas pessoas singulares e coletivas sob a jurisdição dos Estados-Membros. Em virtude da sua aplicabilidade extraterritorial, essas leis, regulamentos e outros instrumentos legislativos podem violar o direito internacional e obstar à realização do objetivo de proteção das pessoas singulares, assegurado na União Europeia pelo presente regulamento. As transferências só devem ser autorizadas quando as condições estabelecidas pelo presente regulamento para as transferências para os países terceiros estejam preenchidas. Pode ser o caso, nomeadamente, sempre que a divulgação for necessária por um motivo importante de interesse público, reconhecido pelo direito da União, ou pelo direito do Estado-Membro ao qual o responsável pelos dados está sujeito. As condições para a existência de um motivo importante de interesse público devem ser precisadas pela Comissão mediante um ato delegado. Nos casos em que os responsáveis pelo tratamento ou os subcontratantes se vejam confrontados com exigências de conformidade contraditórias entre a jurisdição da UE, por um lado, e a de um país terceiro, por outro, a Comissão deve velar por que a legislação da UE prevaleça em todas as circunstâncias. A Comissão deve fornecer orientações e assistência ao responsável pelo tratamento e ao subcontratante, bem como procurar resolver os conflitos de jurisdição com o país terceiro em questão.

Alteração  64

Proposta de regulamento

Considerando 92

Texto da Comissão

Alteração

(92) A criação de autoridades de controlo nos Estados-Membros, que exerçam as suas funções com total independência, constitui um elemento essencial da proteção das pessoas singulares no que respeita ao tratamento dos seus dados pessoais. Os Estados-Membros podem criar mais do que uma autoridade de controlo que traduza a sua estrutura constitucional, organizacional e administrativa.

(92) A criação de autoridades de controlo nos Estados-Membros, que exerçam as suas funções com total independência, constitui um elemento essencial da proteção das pessoas singulares no que respeita ao tratamento dos seus dados pessoais. Os Estados-Membros podem criar mais do que uma autoridade de controlo que traduza a sua estrutura constitucional, organizacional e administrativa. Uma autoridade deve dispor dos recursos financeiros e do pessoal adequados para desempenhar plenamente o seu papel, tendo em conta o número de habitantes e a quantidade de dados pessoais objeto de tratamento.

Alteração  65

Proposta de regulamento

Considerando 94

Texto da Comissão

Alteração

(94) Cada autoridade de controlo deve receber os recursos financeiros e humanos, as instalações e infraestruturas adequadas, necessários ao desempenho eficaz das suas funções, incluindo as relacionadas com a assistência e a cooperação mútuas com outras autoridades de controlo da União.

(94) Cada autoridade de controlo deve receber os recursos financeiros e humanos e, em particular, garantir as competências técnicas e jurídicas adequadas do seu pessoal, as instalações e infraestruturas adequadas que são necessários ao desempenho eficaz das suas funções, incluindo as relacionadas com a assistência e a cooperação mútuas com outras autoridades de controlo da União.

Alteração  66

Proposta de regulamento

Considerando 95

Texto da Comissão

Alteração

(95) As condições gerais aplicáveis aos membros da autoridade de controlo devem ser definidas por lei em cada Estado-Membro e devem prever, em especial, que esses membros são nomeados pelo parlamento ou pelo governo nacional, e incluir disposições sobre a qualificação e funções desses membros.

(95) As condições gerais aplicáveis aos membros da autoridade de controlo devem ser definidas por lei em cada Estado-Membro e devem prever, em especial, que esses membros são nomeados pelo parlamento ou pelo governo nacional, tomando as medidas necessárias para minimizar a possibilidade de interferência política, e incluir disposições sobre a qualificação, a ausência de conflitos de interesses e funções desses membros.

Alteração  67

Proposta de regulamento

Considerando 97

Texto da Comissão

Alteração

(97) Sempre que, na União, o tratamento de dados pessoais no contexto das atividades de um estabelecimento de um responsável pelo tratamento ou de um subcontratante ocorre em vários Estados-Membros, é conveniente que uma única autoridade de controlo tenha a competência para supervisionar as atividades do responsável pelo tratamento ou do subcontratante em toda a União e adotar as decisões correspondentes, a fim de favorecer a aplicação coerente, assegurar segurança jurídica e reduzir os encargos administrativos para esses responsáveis pelo tratamento e subcontratantes.

(97) Sempre que, na União, o tratamento de dados pessoais no contexto das atividades de um estabelecimento de um responsável pelo tratamento ou de um subcontratante ocorre em vários Estados-Membros, é conveniente que uma única autoridade de controlo sirva de ponto de contacto e constitua a principal autoridade responsável em matéria de controlo do responsável pelo tratamento ou do subcontratante em toda a União e que adote as decisões correspondentes, a fim de favorecer a aplicação coerente, assegurar segurança jurídica e reduzir os encargos administrativos para esses responsáveis pelo tratamento e subcontratantes.

Alteração  68

Proposta de regulamento

Considerando 98

Texto da Comissão

Alteração

(98) A autoridade competente, que atua portanto na qualidade de balcão único, deve ser a autoridade de controlo do Estado-Membro no qual o responsável pelo tratamento ou o subcontratante tem o seu estabelecimento principal.

(98) A autoridade principal, que atua portanto na qualidade de balcão único, deve ser a autoridade de controlo do Estado-Membro no qual o responsável pelo tratamento ou o subcontratante tem o seu estabelecimento principal ou esteja representado. O Comité Europeu da Proteção de Dados pode designar a autoridade principal através do mecanismo de controlo da coerência, em certos casos, a pedido de uma autoridade competente.

Alteração  69

Proposta de regulamento

Considerando 98-A (novo)

Texto da Comissão

Alteração

 

(98-A) As pessoas cujos dados pessoais são tratados por um responsável ou um subcontratante noutro Estado Membro devem poder apresentar queixa à autoridade de controlo da sua escolha. A autoridade principal de proteção de dados deve coordenar o seu trabalho com o das demais autoridades implicadas.

Alteração  70

Proposta de regulamento

Considerando 101

Texto da Comissão

Alteração

(101) Cada autoridade de controlo deve receber as queixas apresentadas por qualquer titular de dados e investigar a matéria. A investigação decorrente de uma queixa deve ser realizada, sujeita a revisão judicial, na medida adequada ao caso específico. A autoridade de controlo deve informar a pessoa em causa da evolução e do resultado da queixa num prazo razoável. Se o caso exigir maior investigação ou a coordenação com outra autoridade de controlo, devem ser comunicadas informações intermédias ao titular dos dados.

(101) Cada autoridade de controlo deve receber as queixas apresentadas por qualquer titular de dados ou associação que age no interesse público e investigar a matéria. A investigação decorrente de uma queixa deve ser realizada, sujeita a revisão judicial, na medida adequada ao caso específico. A autoridade de controlo deve informar a pessoa ou a associação em causa da evolução e do resultado da queixa num prazo razoável. Se o caso exigir maior investigação ou a coordenação com outra autoridade de controlo, devem ser comunicadas informações intermédias ao titular dos dados.

Alteração  71

Proposta de regulamento

Considerando 105

Texto da Comissão

Alteração

(105) A fim de assegurar a aplicação coerente do presente regulamento em toda a União, deve ser criado um mecanismo de controlo da coerência para enquadrar a cooperação entre as próprias autoridades de controlo e a Comissão. Este mecanismo deve ser aplicável, nomeadamente, sempre que uma autoridade de controlo previr adotar uma medida em relação a operações de tratamento que estão relacionadas com a oferta de bens ou serviços aos titulares de dados em diversos Estados-Membros, ou com o controlo dessas pessoas, ou suscetíveis de afetar substancialmente a livre circulação de dados pessoais. Aplica-se igualmente sempre que uma autoridade de controlo ou a Comissão solicitar que essa matéria seja tratada no âmbito do mecanismo de controlo da coerência. Este mecanismo não deve prejudicar medidas eventualmente adotadas pela Comissão no exercício das suas competências nos termos dos Tratados.

(105) A fim de assegurar a aplicação coerente do presente regulamento em toda a União, deve ser criado um mecanismo de controlo da coerência para enquadrar a cooperação entre as próprias autoridades de controlo e a Comissão. Este mecanismo deve ser aplicável, nomeadamente, sempre que uma autoridade de controlo previr adotar uma medida em relação a operações de tratamento que estão relacionadas com a oferta de bens ou serviços aos titulares de dados em diversos Estados-Membros, ou com o controlo dessas pessoas, ou suscetíveis de afetar substancialmente a livre circulação de dados pessoais. Aplica-se igualmente sempre que uma autoridade de controlo ou a Comissão solicitar que essa matéria seja tratada no âmbito do mecanismo de controlo da coerência. Além disso, os titulares dos dados devem ter o direito de obter coerência, se considerarem que uma medida tomada por uma autoridade de proteção de dados de um Estado-Membro não cumpriu este critério. Este mecanismo não deve prejudicar medidas eventualmente adotadas pela Comissão no exercício das suas competências nos termos dos Tratados.

Alteração 72

Proposta de regulamento

Considerando 106-A (novo)

Texto da Comissão

Alteração

 

(106-A) A fim de assegurar a aplicação coerente do presente regulamento, o Comité Europeu para a Proteção de Dados pode, em casos isolados, adotar uma decisão vinculativa para as autoridades de controlo competentes.

Alteração  73

Proposta de regulamento

Considerando 107

Texto da Comissão

Alteração

(107) A fim de assegurar o respeito do presente regulamento, a Comissão pode emitir um parecer sobre esta matéria, ou uma decisão que solicite à autoridade de controlo a suspensão do seu projeto de medida.

Suprimido

Alteração  74

Proposta de regulamento

Considerando 110

Texto da Comissão

Alteração

(110) A nível da União, deve ser criado um Comité Europeu para a Proteção de Dados. Este Comité deve substituir o Grupo de Trabalho sobre a proteção das pessoas no que diz respeito ao tratamento de dados pessoais instituído pelo artigo 29.º da Diretiva 95/46/CE. Deve ser composto por um diretor da autoridade de controlo de cada Estado-Membro e da Autoridade Europeia para a Proteção de Dados. A Comissão deve participar nas suas atividades. O Comité Europeu para a Proteção de Dados deve contribuir para a aplicação coerente do presente regulamento em toda a União, nomeadamente no aconselhamento da Comissão e na promoção da cooperação das autoridades de controlo no conjunto da União. O Comité Europeu para a Proteção de Dados deve ser independente no exercício das suas funções.

(110) A nível da União, deve ser criado um Comité Europeu para a Proteção de Dados. Este Comité deve substituir o Grupo de Trabalho sobre a proteção das pessoas no que diz respeito ao tratamento de dados pessoais instituído pelo artigo 29.º da Diretiva 95/46/CE. Deve ser composto por um diretor da autoridade de controlo de cada Estado-Membro e da Autoridade Europeia para a Proteção de Dados. O Comité Europeu para a Proteção de Dados deve contribuir para a aplicação coerente do presente regulamento em toda a União, nomeadamente no aconselhamento das instituições da União Europeia e na promoção da cooperação das autoridades de controlo no conjunto da União, incluindo a coordenação de operações conjuntas. O Comité Europeu para a Proteção de Dados deve ser independente no exercício das suas funções. O Comité Europeu para a Proteção de Dados deve reforçar o diálogo com as partes interessadas em causa, tais como as associações de titulares de dados, as associações de consumidores e outras partes interessadas e peritos relevantes.

Alteração  75

Proposta de regulamento

Considerando 111

Texto da Comissão

Alteração

(111) Qualquer titular de dados deve ter o direito de apresentar uma queixa à autoridade de controlo em qualquer Estado-Membro e dispor do direito de ação judicial se considerar que os direitos que lhe confere o presente regulamento foram violados, se a autoridade de controlo não responder à queixa ou não agir conforme necessário para proteger os seus direitos.

(111) O titular de dados deve ter o direito de apresentar uma queixa à autoridade de controlo em qualquer Estado-Membro e dispor do direito de ação judicial efetiva, em conformidade com o artigo 47.° da Carta dos Direitos Fundamentais, se considerar que os direitos que lhe confere o presente regulamento foram violados, se a autoridade de controlo não responder à queixa ou não agir conforme necessário para proteger os seus direitos.

Alteração  76

Proposta de regulamento

Considerando 112

Texto da Comissão

Alteração

(112) Qualquer organismo, organização ou associação que vise proteger os direitos e interesses dos titulares de dados no que respeita à proteção dos seus dados, e seja constituído ao abrigo do direito de um Estado-Membro, deve poder apresentar uma queixa junto de uma autoridade de controlo ou exercer o direito de ação judicial em nome das pessoas em causa, ou apresentar, independentemente da queixa apresentada pela pessoa em causa, uma queixa em seu próprio nome, sempre que considere ter ocorrido uma violação de dados pessoais.

(112) Qualquer organismo, organização ou associação que age no interesse público e que seja constituído ao abrigo do direito de um Estado-Membro deve poder apresentar uma queixa junto de uma autoridade de controlo,em nome dos interessados e com o consentimento destes, ou exercer o direito de ação judicial, se foi autorizado pelos titulares de dados, ou apresentar, independentemente da queixa apresentada pela pessoa em causa, uma queixa em seu próprio nome, sempre que considere ter ocorrido uma violação do presente regulamento.

Alteração       77

Proposta de regulamento

Considerando 114

Texto da Comissão

Alteração

(114) A fim de reforçar a proteção judicial do titular dos dados em situações em que a autoridade de controlo competente se encontra estabelecida noutro Estado-Membro diferente do de residência da pessoa em causa, esta última pode solicitar a qualquer organismo, organização ou associação que vise proteger os direitos e interesses dos titulares de dados relativamente à proteção dos seus dados, que intente uma ação por sua conta contra essa autoridade de controlo no tribunal competente do outro Estado-Membro.

(114) A fim de reforçar a proteção judicial do titular dos dados em situações em que a autoridade de controlo competente se encontra estabelecida noutro Estado-Membro diferente do de residência da pessoa em causa, esta última pode mandatar qualquer organismo, organização ou associação que age no interesse público a que intente uma ação por sua conta contra essa autoridade de controlo no tribunal competente do outro Estado-Membro.

Alteração  78

Proposta de regulamento

Considerando 115

Texto da Comissão

Alteração

(115) Quando a autoridade de controlo competente estabelecida noutro Estado-Membro não adotar as medidas necessárias ou o fizer de forma insuficiente em relação a uma queixa, o titular dos dados pode solicitar à autoridade de controlo do Estado-Membro da sua residência habitual que intente uma ação contra a autoridade de controlo em falta no tribunal competente do outro Estado-Membro. A autoridade de controlo requerida pode decidir, sem prejuízo de ação judicial, se é ou não adequado responder a esse pedido.

(115) Quando a autoridade de controlo competente estabelecida noutro Estado-Membro não adotar as medidas necessárias ou o fizer de forma insuficiente em relação a uma queixa, o titular dos dados pode solicitar à autoridade de controlo do Estado-Membro da sua residência habitual que intente uma ação contra a autoridade de controlo em falta no tribunal competente do outro Estado-Membro. Isto não se aplica aos residentes em países terceiros. A autoridade de controlo requerida pode decidir, sem prejuízo de ação judicial, se é ou não adequado responder a esse pedido.

Alteração 79

Proposta de regulamento

Considerando 116

Texto da Comissão

Alteração

(116) No que diz respeito a ações intentadas contra o responsável pelo tratamento ou o subcontratante, o requerente pode optar entre intentar a ação nos tribunais do Estado-Membro em que está estabelecido o responsável pelo tratamento ou o subcontratante, ou nos tribunais do Estado-Membro de residência da pessoa em causa, salvo se o responsável pelo tratamento for uma autoridade atuando no exercício dos seus poderes públicos.

(116) No que diz respeito a ações intentadas contra o responsável pelo tratamento ou o subcontratante, o requerente pode optar entre intentar a ação nos tribunais do Estado-Membro em que está estabelecido o responsável pelo tratamento ou o subcontratante, ou, em caso de residência no território da UE, nos tribunais do Estado-Membro de residência da pessoa em causa, salvo se o responsável pelo tratamento for uma autoridade da União Europeia ou de um Estado-Membro atuando no exercício dos seus poderes públicos.

Alteração  80

Proposta de regulamento

Considerando 118

Texto da Comissão

Alteração

(118) Qualquer dano de que uma pessoa possa ser vítima em virtude de um tratamento ilícito deve ser ressarcido pelo responsável pelo tratamento, ou pelo subcontratante, que no entanto pode ser exonerado da sua responsabilidade se provar que o facto que causou o dano não lhe é imputável, nomeadamente se provar que o dano é imputável à pessoa em causa ou em caso de força maior.

(118) Qualquer dano, pecuniário ou não, de que uma pessoa possa ser vítima em resultado de um tratamento ilícito deve ser ressarcido pelo responsável pelo tratamento, ou pelo subcontratante, que no entanto pode ser exonerado da sua responsabilidade apenas se provar que o facto causador do dano não lhe é imputável, nomeadamente se provar que o dano é imputável à pessoa em causa ou em caso de força maior.

Alteração  81

Proposta de regulamento

Considerando 119

Texto da Comissão

Alteração

(119) Devem ser aplicadas sanções a qualquer pessoa, de direito privado ou de direito público, que não respeite o disposto no presente regulamento. Os Estados-Membros devem assegurar que as sanções sejam efetivas, proporcionadas e dissuasivas, e adotar todas as medidas necessárias à sua aplicação.

(119) Devem ser aplicadas sanções a qualquer pessoa, de direito privado ou de direito público, que não respeite o disposto no presente regulamento. Os Estados-Membros devem assegurar que as sanções sejam efetivas, proporcionadas e dissuasivas, e adotar todas as medidas necessárias à sua aplicação. As regras em matéria de sanções devem estar sujeitas a salvaguardas processuais adequadas, em conformidade com os princípios gerais da legislação da União e da Carta dos Direitos Fundamentais da União Europeia, incluindo as relativas ao direito a um efectivo recurso judicial, a um processo adequado e ao princípio ne bis in idem.

Alteração  82

Proposta de regulamento

Considerando 119-A (novo)

Texto da Comissão

Alteração

 

(119-A) Ao aplicarem as sanções, os Estados-Membros devem respeitar plenamente as garantias processuais adequadas, incluindo o direito a uma ação judicial eficaz, o direito a um processo justo e o princípio "ne bis in idem".

Alteração  83

Proposta de regulamento

Considerando 121

Texto da Comissão

Alteração

(121) O tratamento de dados pessoais para fins unicamente jornalísticos ou de expressão artística ou literária deve beneficiar de uma derrogação a determinadas disposições do presente regulamento, desde que tal seja necessário para conciliar o direito à proteção dos dados pessoais com o direito à liberdade de expressão, nomeadamente o direito à liberdade de receber e transmitir informações, tal como garantido, em especial, pelo artigo 11.º da Carta dos Direitos Fundamentais da União Europeia. Tal é aplicável, em especial, ao tratamento de dados pessoais no domínio do audiovisual e em arquivos de notícias e bibliotecas de imprensa escrita. Por conseguinte, os Estados-Membros devem adotar medidas legislativas que prevejam as isenções e derrogações necessárias para efeitos de equilíbrio destes direitos fundamentais. Tais isenções e derrogações devem ser adotadas pelos Estados-Membros em relação aos princípios gerais, aos direitos do titular de dados, ao responsável pelo tratamento e ao subcontratante, à transferência de dados para países terceiros ou para organizações internacionais, às autoridades de controlo independentes e à cooperação e à coerência. Tal não deve levar, no entanto, os Estados-Membros a prever isenções às outras disposições do presente regulamento. Para ter em conta a importância do direito à liberdade de expressão em qualquer sociedade democrática, há que interpretar de forma ampla as noções associadas a esta liberdade, como por exemplo o jornalismo. Por conseguinte, para efeitos das isenções e derrogações a estabelecer por força do presente regulamento, os Estados-Membros deveriam qualificar como «jornalísticas» as atividades que tenham por objeto comunicar ao público informações, opiniões ou ideias, qualquer que seja o suporte utilizado para as transmitir. É conveniente não limitar essa categoria unicamente às atividades das empresas de comunicação social e incluir tanto as empresas que prosseguem fins lucrativos como as que os não prosseguem.

(121) Sempre que necessário, devem ser previstas isenções ou derrogações a determinadas disposições do presente regulamento para o tratamento de dados pessoais, desde que tal seja necessário para conciliar o direito à proteção dos dados pessoais com o direito à liberdade de expressão, nomeadamente o direito à liberdade de receber e transmitir informações, tal como garantido, em especial, pelo artigo 11.º da Carta dos Direitos Fundamentais da União Europeia. Por conseguinte, os Estados-Membros devem adotar medidas legislativas que prevejam as isenções e derrogações necessárias para efeitos de equilíbrio destes direitos fundamentais. Tais isenções e derrogações devem ser adotadas pelos Estados-Membros em relação aos princípios gerais, aos direitos do titular de dados, ao responsável pelo tratamento e ao subcontratante, à transferência de dados para países terceiros ou para organizações internacionais, às autoridades de controlo independentes e à cooperação, à coerência e a situações específicas de tratamento de dados. Tal não deve levar, no entanto, os Estados-Membros a prever isenções às outras disposições do presente regulamento. Para ter em conta a importância do direito à liberdade de expressão em qualquer sociedade democrática, há que interpretar de forma ampla as noções associadas a esta liberdade, a fim de cobrir todas as atividades que tenham por objeto comunicar ao público informações, opiniões ou ideias, qualquer que seja o suporte utilizado para as transmitir, tendo em conta também o desenvolvimento tecnológico. É conveniente não limitar essa categoria unicamente às atividades das empresas de comunicação social e incluir tanto as empresas que prosseguem fins lucrativos como as que os não prosseguem.

Alteração  84

Proposta de regulamento

Considerando 122-A (novo)

Texto da Comissão

Alteração

 

(122-A) Um profissional que efetue o tratamento de dados pessoais relativos à saúde deve receber, se possível, dados anónimos ou sob pseudónimo, deixando o conhecimento da identidade apenas ao médico de clínica geral ou ao especialista que solicitou o tratamento dos dados.

Alteração  85

Proposta de regulamento

Considerando 123

Texto da Comissão

Alteração

(123) O tratamento de dados pessoais relativos à saúde pode ser necessário por razões de interesse público nos domínios da saúde pública, sem o consentimento do titular dos dados. Neste contexto, a noção de «saúde pública» é interpretada segundo a definição prevista no Regulamento (CE) n.º 1338/2008 do Parlamento Europeu e do Conselho, de 16 de dezembro de 2008, relativo às estatísticas da União sobre saúde pública e saúde e segurança no trabalho, e designa todos os elementos relacionados com a saúde, a saber, o estado de saúde, incluindo a morbilidade e a incapacidade, as determinantes desse estado de saúde, as necessidades de cuidados de saúde, os recursos atribuídos aos cuidados de saúde, a prestação de cuidados de saúde e o acesso universal aos mesmos, assim como as despesas e o financiamento dos cuidados de saúde, e as causas de mortalidade. Esses tratamentos de dados pessoais sobre a saúde autorizados por motivos de interesse público não devem ter por resultado serem tratados para outros fins por terceiros, nomeadamente empregadores, companhias de seguros e entidades bancárias.

(123) O tratamento de dados pessoais relativos à saúde pode ser necessário por razões de interesse público nos domínios da saúde pública, sem o consentimento do titular dos dados. Neste contexto, a noção de «saúde pública» é interpretada segundo a definição prevista no Regulamento (CE) n.º 1338/2008 do Parlamento Europeu e do Conselho1, e designa todos os elementos relacionados com a saúde, a saber, o estado de saúde, incluindo a morbilidade e a incapacidade, as determinantes desse estado de saúde, as necessidades de cuidados de saúde, os recursos atribuídos aos cuidados de saúde, a prestação de cuidados de saúde e o acesso universal aos mesmos, assim como as despesas e o financiamento dos cuidados de saúde, e as causas de mortalidade.

 

1 Regulamento (CE) n.º 1338/2008 do Parlamento Europeu e do Conselho, de 16 de dezembro de 2008, relativo às estatísticas comunitárias sobre saúde pública e saúde e segurança no trabalho (JO L 354 de 31.12.2008, p. 70).

Alteração  86

Proposta de regulamento

Considerando 123-A (novo)

Texto da Comissão

Alteração

 

(123-A) O tratamento de dados pessoais relativos à saúde, enquanto categoria especial de dados, pode ser necessário para fins de investigação histórica, estatística ou científica. Por isso, o presente regulamento prevê uma isenção à disposição de consentimento nos casos de investigação que satisfazem um interesse público excecional.

Alteração  87

Proposta de regulamento

Considerando 124

Texto da Comissão

Alteração

(124) Os princípios gerais de proteção das pessoas singulares no que respeita ao tratamento de dados pessoais também devem ser aplicáveis no domínio do emprego. Por conseguinte, a fim de regulamentar o tratamento de dados pessoais dos trabalhadores neste contexto, os Estados-Membros devem poder adotar, nos limites do presente regulamento, disposições legislativas específicas relativas ao tratamento de dados pessoais no setor laboral.

(124) Os princípios gerais de proteção das pessoas singulares no que respeita ao tratamento de dados pessoais também devem ser aplicáveis no domínio do emprego e da segurança social. Os Estados-Membros devem poder regulamentar o tratamento de dados pessoais dos trabalhadores no contexto do emprego e o tratamento de dados pessoais no contexto da segurança social, de acordo com as normas e os padrões mínimos definidos no âmbito do presente regulamento. Na medida em que exista, no Estado-Membro em causa, uma base legal que permita regulamentar os aspetos que relevam das relações laborais através de um acordo entre os representantes dos trabalhadores e a direção da empresa ou da empresa dominante de um grupo de empresas (acordo coletivo) ou nos termos da Diretiva 2009/38/CE do Parlamento Europeu e do Conselho1, o tratamento de dados pessoais num contexto laboral deve também poder ser regulamentado através de um acordo dessa natureza.

 

1 Diretiva 2009/38/CE do Parlamento Europeu e do Conselho, de 6 de maio de 2009, relativa à instituição de um Conselho de Empresa Europeu ou de um procedimento de informação e consulta dos trabalhadores nas empresas ou grupos de empresas de dimensão comunitária (JO L 122 de 16.5.2009, p. 28).

Alteração  88

Proposta de regulamento

Considerando 125-A (novo)

Texto da Comissão

Alteração

 

(125-A) Os dados pessoais podem igualmente ser submetidos a tratamento posterior por serviços de arquivo que têm por função principal ou obrigação legal recolher, conservar, informar sobre, explorar e difundir arquivos no interesse geral. Os Estados-Membros devem conciliar o direito à proteção dos dados pessoais com a regulamentação aplicável aos arquivos e ao acesso dos cidadãos às informações administrativas. Os Estados-Membros incentivam a elaboração, em especial por parte do grupo dos arquivos europeus, de regras para garantir a confidencialidade dos dados em relação a terceiros e a autenticidade, integridade e conservação adequada dos dados.

Alteração       89

Proposta de regulamento

Considerando 126

Texto da Comissão

Alteração

(126) Para efeitos do presente regulamento, a noção de investigação científica deve incluir a investigação fundamental, a investigação aplicada e a investigação financiada pelo setor privado e, além disso, deve ter em conta o objetivo da União mencionado no artigo 179.º, n.º 1, do Tratado sobre o Funcionamento da União Europeia, que consiste em realizar um espaço europeu da investigação.

(126) Para efeitos do presente regulamento, a noção de investigação científica deve incluir a investigação fundamental, a investigação aplicada e a investigação financiada pelo setor privado e, além disso, deve ter em conta o objetivo da União mencionado no artigo 179.º, n.º 1, do Tratado sobre o Funcionamento da União Europeia, que consiste em realizar um espaço europeu da investigação. O tratamento de dados pessoais para fins de investigação histórica, estatística ou científica não pode resultar no tratamento de dados pessoais para fins diferentes, exceto se o titular dos dados der o seu consentimento ou com base na legislação da União ou dos Estados-Membros.

Alteração  90

Proposta de regulamento

Considerando 128

Texto da Comissão

Alteração

(128) O presente regulamento respeita e não afeta o estatuto de que beneficiam, ao abrigo do direito nacional, as igrejas e associações ou comunidades religiosas nos Estados-Membros, reconhecido pelo artigo 17.º do Tratado sobre o Funcionamento da União Europeia. Consequentemente, se uma igreja de um Estado-Membro aplicar, à data da entrada em vigor do presente regulamento, um conjunto completo de regras relacionadas com a proteção das pessoas singulares relativamente ao tratamento de dados pessoais, estas regras existentes devem continuar a ser aplicadas, desde que sejam conformes com o presente regulamento. Essas igrejas e associações religiosas devem ser obrigadas a criar uma autoridade de controlo totalmente independente.

(128) O presente regulamento respeita e não afeta o estatuto de que beneficiam, ao abrigo do direito nacional, as igrejas e associações ou comunidades religiosas nos Estados-Membros, reconhecido pelo artigo 17.º do Tratado sobre o Funcionamento da União Europeia. Consequentemente, se uma igreja de um Estado-Membro aplicar, à data da entrada em vigor do presente regulamento, regras adequadas relacionadas com a proteção das pessoas singulares relativamente ao tratamento de dados pessoais, estas regras existentes devem continuar a ser aplicadas, desde que sejam harmonizadas com o presente regulamento e reconhecidas como conformes.

Alteração  91

Proposta de regulamento

Considerando 129

Texto da Comissão

Alteração

(129) Por forma a cumprir os objetivos do presente regulamento, nomeadamente proteger os direitos e liberdades fundamentais das pessoas singulares e, em especial, o seu direito à proteção dos dados pessoais, e assegurar a livre circulação desses dados na União, o poder de adotar atos em conformidade com o artigo 290.º do Tratado sobre o Funcionamento da União Europeia deve ser delegado na Comissão. Em especial, devem ser adotados atos delegados em relação à licitude do tratamento; à especificação dos critérios e condições aplicáveis ao consentimento das crianças; ao tratamento de categorias especiais de dados; à especificação dos critérios e condições aplicáveis aos pedidos manifestamente abusivos e às taxas pelo exercício de direitos do titular dos dados; aos critérios e requisitos aplicáveis às informações do titular dos dados e ao direito de acesso; ao direito a ser esquecido e ao apagamento de dados; às medidas com base na definição de perfis; aos critérios e requisitos em relação à responsabilidade do responsável pelo tratamento e à proteção de dados desde a conceção e por defeito; aos subcontratantes; aos critérios e requisitos específicos para a documentação e a segurança do tratamento; aos critérios e requisitos para determinar uma violação de dados pessoais e notificá-la à autoridade de controlo, e às circunstâncias em que uma violação de dados pessoais é suscetível de prejudicar o titular dos dados; aos critérios e condições que determinam operações de tratamento que necessitem de uma avaliação de impacto sobre a proteção de dados; aos critérios e requisitos para determinar o grau elevado de risco específico que careçam de consulta prévia; à designação e atribuições do delegado para a proteção dos dados; aos códigos de conduta; aos critérios e requisitos aplicáveis aos mecanismos de certificação; aos critérios e mecanismos para as transferências através de regras vinculativas para empresas; às derrogações relativas às transferências; às sanções administrativas; ao tratamento para fins de saúde; ao tratamento de dados no domínio laboral e ao tratamento de dados para fins de investigação histórica, estatística e científica. É especialmente importante que a Comissão proceda a consultas adequadas ao longo dos seus trabalhos preparatórios, incluindo a nível de peritos. A Comissão, aquando da preparação e elaboração dos atos delegados, deve assegurar uma transmissão simultânea, em tempo útil e em devida forma, dos documentos relevantes ao Parlamento Europeu e ao Conselho.

(129) Por forma a cumprir os objetivos do presente regulamento, nomeadamente proteger os direitos e liberdades fundamentais das pessoas singulares e, em especial, o seu direito à proteção dos dados pessoais, e assegurar a livre circulação desses dados na União, o poder de adotar atos em conformidade com o artigo 290.º do Tratado sobre o Funcionamento da União Europeia deve ser delegado na Comissão. Em especial, devem ser adotados atos delegados em relação à especificação das condições do modo de informação por meio de símbolos; ao direito ao apagamento de dados; à declaração dos códigos de conduta em conformidade com o regulamento; aos critérios e requisitos aplicáveis aos mecanismos de certificação; o nível adequado de proteção prestado por um país terceiro ou uma organização internacional; aos critérios e mecanismos para as transferências através de regras vinculativas para empresas; às sanções administrativas; ao tratamento para fins de saúde e ao tratamento de dados no domínio laboral. É especialmente importante que a Comissão proceda a consultas adequadas ao longo dos seus trabalhos preparatórios, incluindo a nível de peritos, em particular com o Comité Europeu para a Proteção de Dados. A Comissão, aquando da preparação e elaboração dos atos delegados, deve assegurar uma transmissão simultânea, em tempo útil e em devida forma, dos documentos relevantes ao Parlamento Europeu e ao Conselho.

Alteração  92

Proposta de regulamento

Considerando 130

Texto da Comissão

Alteração

(130) Por forma a assegurar condições uniformes para a execução do presente regulamento devem ser conferidas competências de execução à Comissão para que defina os formulários normalizados relativos ao tratamento de dados pessoais das crianças; procedimentos e formulários normalizados para o exercício dos direitos dos titulares de dados; procedimentos e formulários normalizados para as informações do titular de dados; procedimentos e formulários normalizados em relação ao direito de acesso e ao direito à portabilidade dos dados; formulários normalizados relativos à responsabilidade do responsável pelo tratamento em matéria de proteção de dados desde a conceção e por defeito e de documentação; requisitos específicos para a segurança do tratamento; procedimentos e formulários normalizados para a notificação de violações de dados pessoais à autoridade de controlo e para a comunicação de uma violação de dados pessoais ao titular dos dados; critérios e procedimentos para a avaliação de impacto sobre a proteção de dados; formulários e procedimentos para a autorização prévia e a consulta prévia; normas técnicas e mecanismos de certificação; o nível de proteção adequado prestado por um país terceiro, um território ou por um setor de tratamento de dados nesse país terceiro ou por uma organização internacional; divulgações não autorizadas pelo direito da UE; assistência mútua; operações conjuntas; e decisões nos termos do mecanismo de controlo da coerência. Estas competências devem ser exercidas nos termos do Regulamento (UE) n.º 182/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os princípios gerais relativos aos mecanismos de controlo pelos Estados-Membros do exercício das competências de execução pela Comissão. Neste contexto, a Comissão deve prever medidas específicas para as micro, pequenas e médias empresas.

(130) Por forma a assegurar condições uniformes para a execução do presente regulamento devem ser conferidas competências de execução à Comissão para que defina os formulários normalizados relativos a métodos específicos para obter o consentimento verificável relativamente ao tratamento de dados pessoais das crianças; formulários normalizados para comunicar com os titulares de dados sobre o exercício dos direitos; formulários normalizados para as informações do titular de dados; formulários normalizados em relação ao direito de acesso, incluindo a comunicação de dados pessoais ao titular de dados; formulários normalizados relativos à documentação a manter pelo responsável pelo tratamento e o subcontratante; o formulário normalizado para a notificação de violações de dados pessoais à autoridade de controlo e para a documentação de uma violação de dados pessoais; formulários para a consulta prévia e a informação da autoridade de controlo; Estas competências devem ser exercidas nos termos do Regulamento (UE) n.º 182/2011 do Parlamento Europeu e do Conselho1. Neste contexto, a Comissão deve prever medidas específicas para as micro, pequenas e médias empresas.

 

1 Regulamento (UE) n.º 182/2011 do Parlamento Europeu e do Conselho de 16 de fevereiro de 2011 que estabelece as regras e os princípios gerais relativos aos mecanismos de controlo pelos Estados-Membros do exercício das competências de execução pela Comissão. Neste contexto, a Comissão deve prever medidas específicas para as micro, pequenas e médias empresas.

Alteração  93

Proposta de regulamento

Considerando 131

Texto da Comissão

Alteração

(131) O procedimento de exame deve ser utilizado para a adoção de formulários normalizados específicos relativos à obtenção do consentimento de uma criança; procedimentos e formulários normalizados para o exercício dos direitos dos titulares de dados; procedimentos e formulários normalizados para as informações do titular de dados; procedimentos e formulários normalizados para o direito de acesso e o direito à portabilidade dos dados; formulários normalizados relativos à responsabilidade do responsável pelo tratamento em matéria de proteção de dados desde a conceção e por defeito e de documentação; requisitos específicos para a segurança do tratamento; procedimentos e formulários normalizados para a notificação de violações de dados pessoais à autoridade de controlo e para a comunicação de uma violação de dados pessoais ao titular dos dados; critérios e procedimentos para a avaliação de impacto sobre a proteção de dados; formulários e procedimentos para a autorização prévia e a consulta prévia; normas técnicas e mecanismos de certificação; o nível de proteção adequado prestado por um país terceiro, um território ou por um setor de tratamento de dados nesse país terceiro ou por uma organização internacional; divulgações não autorizadas pelo direito da UE; assistência mútua; operações conjuntas; e para a adoção de decisões nos termos do mecanismo de controlo da coerência, dado que o âmbito de aplicação destes atos é geral.

(131) O procedimento de exame deve ser utilizado para a adoção de formulários normalizados específicos: adoção de formulários normalizados específicos para a obtenção do consentimento verificável relativamente ao tratamento de dados pessoais de uma criança; formulários normalizados para comunicar com os titulares de dados sobre o exercício dos direitos; formulários normalizados para as informações do titular de dados; formulários normalizados em relação ao direito de acesso, incluindo a comunicação de dados pessoais ao titular de dados; formulários normalizados relativos à documentação a manter pelo responsável pelo tratamento e o subcontratante; o formulário normalizado para a notificação de violações de dados pessoais à autoridade de controlo e para a documentação de uma violação de dados pessoais; formulários para a consulta prévia e a informação da autoridade de controlo, dado que o âmbito de aplicação destes atos é geral.

Alteração  94

Proposta de regulamento

Considerando 132

Texto da Comissão

Alteração

(132) A Comissão deve adotar atos de execução imediatamente aplicáveis quando, em casos devidamente fundamentados relacionados com um país terceiro, um território ou um setor de tratamento de dados nesse país terceiro, ou uma organização internacional, que não assegure um nível de proteção adequado, e relacionados com matérias comunicadas pelas autoridades de controlo no quadro do mecanismo de controlo da coerência, imperativos urgentes assim o exigirem.

Suprimido

Alteração       95

Proposta de regulamento

Considerando 134

Texto da Comissão

Alteração

(134) A Diretiva 95/46/CE é revogada pelo presente regulamento. Todavia, as decisões da Comissão que foram adotadas e as autorizações que foram emitidas pelas autoridades de controlo com base da Diretiva 95/46/CE, permanecem em vigor.

(134) A Diretiva 95/46/CE é revogada pelo presente regulamento. Todavia, as decisões da Comissão que foram adotadas e as autorizações que foram emitidas pelas autoridades de controlo com base da Diretiva 95/46/CE, permanecem em vigor. As decisões da Comissão e as autorizações que foram emitidas pelas autoridades de controlo relativas às transferências de dados pessoais para países terceiros nos termos do artigo 41.º, n.º 8, devem permanecer em vigor durante um período de transição de cinco anos após a entrada em vigor do presente regulamento, salvo no caso da sua alteração, substituição ou revogação pela Comissão antes do final deste período.

Alteração  96

Proposta de regulamento

Artigo 2

Texto da Comissão

Alteração

Âmbito de aplicação material

Âmbito de aplicação material

1. O presente regulamento aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos num ficheiro ou a ele destinados.

1. O presente regulamento aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, independentemente dos métodos de tratamento, bem como ao tratamento por meios não automatizados de dados pessoais contidos num ficheiro ou a ele destinados.

2. O presente regulamento não se aplica ao tratamento de dados pessoais:

2. O presente regulamento não se aplica ao tratamento de dados pessoais:

(a) Efetuado no exercício de atividades não sujeitas à aplicação do direito da União, nomeadamente no que se refere à segurança nacional;

(a) Efetuado no exercício de atividades não sujeitas à aplicação do direito da União;

(b) Efetuado pelas instituições, órgãos e agências da União;

 

(c) Efetuados pelos Estados-Membros no exercício de atividades abrangidas pelo âmbito de aplicação do Capítulo 2 do Tratado da União Europeia;

(c) Efetuados pelos Estados-Membros no exercício de atividades abrangidas pelo âmbito de aplicação do Capítulo 2 do Título V do Tratado da União Europeia;

(d) Efetuado por uma pessoa singular sem fins lucrativos no exercício de atividades exclusivamente pessoais ou domésticas;

(d) efetuado por uma pessoa singular no exercício de atividades exclusivamente pessoais ou domésticas; esta isenção também se aplica a uma publicação de dados pessoais quando se pode razoavelmente prever que eles apenas serão acessíveis a um número limitado de pessoas;

(e) Efetuado pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais.

(e) Efetuado pelas autoridades públicas competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais.

3. O presente regulamento aplica-se sem prejuízo da Diretiva 2000/31/CE, em especial as disposições dos artigos 12.º a 15.º da referida diretiva, que estabelecem as regras em matéria de responsabilidade dos prestadores intermediários de serviços.

3. O presente regulamento aplica-se sem prejuízo da Diretiva 2000/31/CE, em especial as disposições dos artigos 12.º a 15.º da referida diretiva, que estabelecem as regras em matéria de responsabilidade dos prestadores intermediários de serviços.

Alteração  97

Proposta de regulamento

Artigo 3

Texto da Comissão

Alteração

Âmbito de aplicação territorial

Âmbito de aplicação territorial

1. O presente regulamento aplica-se ao tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento de um responsável pelo tratamento ou de um subcontratante situado no território da União.

1. O presente regulamento aplica-se ao tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento de um responsável pelo tratamento ou de um subcontratante situado no território da União, quer o tratamento ocorra ou não na União.

2. O presente regulamento aplica-se ao tratamento de dados pessoais de titulares de dados residentes no território da União, por um responsável pelo tratamento não estabelecido na União, cujas atividade de tratamento estejam relacionadas com:

2. O presente regulamento aplica-se ao tratamento de dados pessoais de titulares de dados no território da União, por um responsável pelo tratamento ou um subcontratante não estabelecido na União, cujas atividade de tratamento estejam relacionadas com:

(a) A oferta de bens ou serviços a esses titulares de dados na União; ou

(a) A oferta de bens ou serviços a esses titulares de dados na União, independentemente da necessidade de os titulares de dados procederem a um pagamento; ou

(b) O controlo do seu comportamento.

(b) O controlo desses titulares de dados.

3. O presente regulamento aplica-se ao tratamento de dados pessoais por um responsável pelo tratamento não estabelecido na União, mas num lugar em que se aplique o direito nacional de um Estado-Membro por força do direito internacional público.

3. O presente regulamento aplica-se ao tratamento de dados pessoais por um responsável pelo tratamento não estabelecido na União, mas num lugar em que se aplique o direito nacional de um Estado-Membro por força do direito internacional público.

Alteração  98

Proposta de regulamento

Artigo 4

Texto da Comissão

Alteração

Definições

Definições

Para efeitos do presente regulamento, entende-se por:

Para efeitos do presente regulamento, entende-se por:

(1) «Titular de dados», uma pessoa singular identificada ou identificável, direta ou indiretamente, por meios com razoável probabilidade de serem utilizados pelo responsável pelo tratamento ou por qualquer outra pessoa singular ou coletiva, nomeadamente por referência a um número de identificação, a dados de localização, a um identificador em linha ou a um ou mais elementos específicos próprios à sua identidade física, fisiológica, genética, psíquica, económica, cultural ou social;

 

(2) «Dados pessoais», qualquer informação relativa a um titular de dados;

(2) «Dados pessoais», qualquer informação relativa a uma pessoa singular identificada ou identificável («titular de dados»). É considerada identificável a pessoa que possa ser identificada, direta ou indiretamente, nomeadamente por referência a um identificador, tal como o nome, um número de identificação, dados de localização, um identificador único, ou a um ou mais elementos específicos da identidade física, fisiológica, genética, psíquica, económica, cultural, social ou de género dessa pessoa;

 

(2-A) «Dados sob pseudónimo», os dados pessoais que não possam ser atribuídos a um titular de dados específico sem recorrer a informações adicionais, enquanto essas informações adicionais forem mantidas separadamente e sujeitas a medidas técnicas e organizativas para garantir essa impossibilidade de atribuição;

 

(2-B) «dados cifrados», dados pessoais que, através de medidas tecnológicas de proteção, são tornados ininteligíveis para qualquer pessoa que não esteja autorizada a aceder aos mesmos;

(3) «Tratamento de dados pessoais», qualquer operação ou conjunto de operações efetuadas sobre dados pessoais, com ou sem meios automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou a alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, o apagamento ou a destruição;

(3) «Tratamento de dados pessoais», qualquer operação ou conjunto de operações efetuadas sobre dados pessoais, com ou sem meios automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou a alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, o apagamento ou a destruição;

 

(3-A) «Definição de perfis», qualquer forma de tratamento automatizado de dados pessoais destinado a avaliar determinados aspetos pessoais relativos a uma pessoa singular ou a analisar ou prever em particular o seu desempenho profissional, a sua situação económica, localização, saúde, preferências pessoais, fiabilidade ou comportamento;

(4) «Ficheiro», qualquer conjunto estruturado de dados pessoais, acessível segundo critérios específicos, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico;

(4) «Ficheiro», qualquer conjunto estruturado de dados pessoais, acessível segundo critérios específicos, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico;

(5) «Responsável pelo tratamento», a pessoa singular ou coletiva, a autoridade pública, a agência ou qualquer outro órgão que, por si ou em conjunto, determina as finalidades, as condições e os meios de tratamento de dados pessoais; sempre que as finalidades, as condições e os meios de tratamento sejam determinados pelo direito da União ou pela legislação dos Estados Membros, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser indicados pelo direito da União ou pela legislação de um Estado-Membro;

(5) «Responsável pelo tratamento», a pessoa singular ou coletiva, a autoridade pública, a agência ou qualquer outro órgão que, por si ou em conjunto, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios de tratamento sejam determinados pelo direito da União ou pela legislação dos Estados Membros, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser indicados pelo direito da União ou pela legislação de um Estado-Membro;

(6) «Subcontratante», a pessoa singular ou coletiva, a autoridade pública, serviço ou qualquer outro organismo que trata os dados pessoais por conta do responsável pelo tratamento;

(6) «Subcontratante», a pessoa singular ou coletiva, a autoridade pública, serviço ou qualquer outro organismo que trata os dados pessoais por conta do responsável pelo tratamento;

(7) «Destinatário», a pessoa singular ou coletiva, a autoridade pública, serviço ou qualquer outro organismo que receba comunicações de dados pessoais;

(7) «Destinatário», a pessoa singular ou coletiva, a autoridade pública, serviço ou qualquer outro organismo que receba comunicações de dados pessoais;

 

(7-A) «Terceiro», a pessoa singular ou coletiva, a autoridade pública, o serviço ou qualquer outro organismo que não o titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar os dados;

(8) «Consentimento do titular de dados», qualquer manifestação de vontade, livre, específica, informada e explícita, pela qual a pessoa em causa aceita, mediante uma declaração ou um ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento;

(8) «Consentimento do titular de dados», qualquer manifestação de vontade, livre, específica, informada e explícita, pela qual a pessoa em causa aceita, mediante uma declaração ou um ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento;

(9) «Violação de dados pessoais», uma violação da segurança que provoca, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação, ou o acesso, não autorizados, de dados pessoais transmitidos, conservados ou tratados de outro modo;

(9) «Violação de dados pessoais», a destruição, a perda, a alteração, de modo acidental ou ilícito, a divulgação, ou o acesso, não autorizados, de dados pessoais transmitidos, conservados ou tratados de outro modo;

(10) «Dados genéticos», todos os dados, independentemente do tipo, relacionados com as características de uma pessoa singular que são hereditárias ou adquiridas numa fase precoce do seu desenvolvimento pré-natal;

(10) «Dados genéticos», todos os dados pessoais relacionados com as características genéticas de uma pessoa singular que são hereditárias ou adquiridas, resultantes da análise de uma amostra biológica da pessoa em causa, nomeadamente da análise de cromossomas, ácido desoxirribonucleico (ADN), ácido ribonucleico (ARN) ou qualquer outro elemento que permita obter informações equivalentes;

(11) «Dados biométricos», quaisquer dados relativos às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam a sua identificação única, nomeadamente imagens faciais ou dados dactiloscópicos;

(11) «Dados biométricos», quaisquer dados pessoais relativos às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam a sua identificação única, nomeadamente imagens faciais ou dados dactiloscópicos;

(12) «Dados relativos à saúde», quaisquer informações relacionadas com a saúde física ou psíquica de uma pessoa singular, ou com a prestação de serviços de saúde a essa pessoa;

(12) «Dados relativos à saúde», quaisquer dados pessoais relacionados com a saúde física ou psíquica de uma pessoa singular, ou com a prestação de serviços de saúde a essa pessoa;

(13) «Estabelecimento principal», no que se refere ao responsável pelo tratamento, o local do seu estabelecimento na União onde são adotadas as principais decisões quanto às finalidades, condições e meios para o tratamento de dados pessoais; se não forem adotadas quaisquer decisões relativas às finalidades, condições e meios na União, o estabelecimento principal é o local onde são exercidas as atividades de tratamento principais no contexto das atividades de um estabelecimento de um responsável pelo tratamento na União. No que se refere ao subcontratante, o «estabelecimento principal» é o local da sua administração central na União;

(13) «Estabelecimento principal», o local do estabelecimento da empresa ou do grupo de empresas na União, independentemente de ser responsável ou subcontratante, onde são adotadas as principais decisões quanto às finalidades, condições e meios para o tratamento de dados pessoais. Podem ser considerados, entre outros, os seguintes critérios objetivos: a localização da sede do responsável ou do subcontratante; a localização da entidade num grupo de empresas mais bem posicionado em termos de funções de gestão e de responsabilidades administrativas para abordar e aplicar as regras definidas no presente regulamento; o local onde decorre o exercício efetivo e real das atividades de gestão que determinam o tratamento de dados mediante uma instalação estável;

(14) «Representante», a pessoa singular ou coletiva estabelecida na União, expressamente designada pelo responsável pelo tratamento, que atua em nome deste último e a quem se pode dirigir qualquer autoridade de controlo e outras entidades na União, no contexto das obrigações do responsável pelo tratamento nos termos do presente regulamento;

(14) «Representante», a pessoa singular ou coletiva estabelecida na União, expressamente designada pelo responsável pelo tratamento, que representa este último no contexto das obrigações do responsável pelo tratamento nos termos do presente regulamento;

(15) «Empresa», qualquer entidade que, independentemente da sua forma jurídica, exerce uma atividade económica, incluindo, nomeadamente, as pessoas singulares e coletivas, as sociedades ou associações que exercem regularmente uma atividade económica;

(15) «Empresa», qualquer entidade que, independentemente da sua forma jurídica, exerce uma atividade económica, incluindo, nomeadamente, as pessoas singulares e coletivas, as sociedades ou associações que exercem regularmente uma atividade económica;

(16) «Grupo de empresas», um grupo composto pela empresa que exerce o controlo e pelas empresas controladas;

(16) «Grupo de empresas», um grupo composto pela empresa que exerce o controlo e pelas empresas controladas;

(17) «Regras vinculativas para empresas», regras internas de proteção de dados pessoais que aplica um responsável pelo tratamento ou um subcontratante estabelecido no território de um Estado-Membro da União para as transferências ou um conjunto de transferências de dados pessoais para um responsável ou subcontratante num ou mais países terceiros, dentro de um grupo de empresas;

(17) «Regras vinculativas para empresas», regras internas de proteção de dados pessoais que aplica um responsável pelo tratamento ou um subcontratante estabelecido no território de um Estado-Membro da União para as transferências ou um conjunto de transferências de dados pessoais para um responsável ou subcontratante num ou mais países terceiros, dentro de um grupo de empresas;

(18) «Criança», qualquer pessoa com menos de 18 anos;

(18) «Criança», qualquer pessoa com menos de 18 anos;

(19) «Autoridade de controlo», autoridade pública instituída por um Estado-Membro em conformidade com o artigo 46.º.

(19) «Autoridade de controlo», autoridade pública instituída por um Estado-Membro em conformidade com o artigo 46.º.

Alteração  99

Proposta de regulamento

Artigo 5

Texto da Comissão

Alteração

Princípios relativos ao tratamento de dados pessoais

Princípios relativos ao tratamento de dados pessoais

1. Os dados pessoais devem ser:

1. Os dados pessoais serão:

(a) Objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados;

(a) Objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados (licitude, lealdade e transparência);

(b) Recolhidos para finalidades determinadas, explícitas e legítimas e não serem posteriormente tratados de forma incompatível com essas finalidades;

(b) Recolhidos para finalidades determinadas, explícitas e legítimas e não posteriormente tratados de forma incompatível com essas finalidades (limitação da finalidade);

(c) Adequados, pertinentes e limitados ao mínimo necessário relativamente às finalidades para que são tratados; só devem ser tratados se e desde que as finalidades não puderem ser alcançadas através do tratamento de informações que não envolvam dados pessoais;

(c) Adequados, pertinentes e limitados ao mínimo necessário relativamente às finalidades para que são tratados; só são tratados se e desde que as finalidades não puderem ser alcançadas através do tratamento de informações anónimas que não envolvam dados pessoais (minimização dos dados);

(d) Exatos e atualizados; devem ser adotadas todas as medidas razoáveis para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora;

(d) Exatos e, quando for necessário, atualizados; devem ser adotadas todas as medidas razoáveis para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora (exatidão);

(e) Conservados de forma a permitir a identificação dos titulares de dados apenas durante o período necessário para a prossecução das finalidades para que são tratados; os dados pessoais podem ser conservados durante períodos mais longos, desde que sejam tratados exclusivamente para fins de investigação histórica, estatística ou científica, em conformidade com as regras e condições do artigo 83.º, e se for efetuada uma revisão periódica para avaliar a necessidade de os conservar;

(e) Conservados de forma a permitir direta ou indiretamente a identificação dos titulares de dados apenas durante o período necessário para a prossecução das finalidades para que são tratados; os dados pessoais podem ser conservados durante períodos mais longos, desde que sejam tratados exclusivamente para fins de investigação histórica, estatística ou científica ou de arquivo, em conformidade com as regras e condições do artigo 83.º e 83.º-A, e se for efetuada uma revisão periódica para avaliar a necessidade de os conservar e ainda se forem tomadas medidas técnicas e organizativas adequadas para limitar o acesso aos dados apenas para estes fins (minimização dos dados);

 

(e-A) Tratados de forma a permitir efetivamente que o titular dos dados exerça efetivamente os seus direitos (eficácia).

 

(e-B) Tratados de forma a protegê-los contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando medidas técnicas ou organizativas adequadas (integridade);

f) Tratados sob a autoridade e responsabilidade do responsável pelo tratamento, que deve assegurar e demonstrar a conformidade de cada operação de tratamento com as disposições do presente regulamento.

f) Tratados sob a autoridade e responsabilidade do responsável pelo tratamento, que deve assegurar e ser capaz de demonstrar a conformidade com as disposições do presente regulamento (responsabilidade).

Alteração       100

Proposta de regulamento

Artigo 6

Texto da Comissão

Alteração

Licitude do tratamento

Licitude do tratamento

1. O tratamento de dados pessoais só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:

1. O tratamento de dados pessoais só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:

(a) O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas;

(a) O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas;

(b) O tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte ou para diligências pré-contratuais a pedido do titular dos dados;

(b) O tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte ou para diligências pré-contratuais a pedido do titular dos dados;

(c) O tratamento for necessário para o respeito de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito;

(c) O tratamento for necessário para o respeito de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito;

(d) O tratamento for necessário para a proteção de interesses vitais do titular dos dados;

(d) O tratamento for necessário para a proteção de interesses vitais do titular dos dados;

(e) O tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento;

(e) O tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento;

f) O tratamento for necessário para prosseguir interesses legítimos do responsável pelo tratamento, desde que não prevaleçam os interesses relacionados com os direitos e liberdades fundamentais do titular dos dados que exijam uma proteção de dados pessoais, em especial se a pessoa em causa for uma criança. Tal não se aplica ao tratamento de dados efetuado por autoridades públicas no exercício das suas funções.

f) O tratamento for necessário para prosseguir interesses legítimos do responsável pelo tratamento ou, em caso de divulgação, dos terceiros a quem os dados sejam comunicados, e que satisfaçam as expectativas razoáveis do titular dos dados com base na sua relação com o responsável pelo tratamento, desde que não prevaleçam os interesses relacionados com os direitos e liberdades fundamentais do titular dos dados que exijam uma proteção de dados pessoais. Tal não se aplica ao tratamento de dados efetuado por autoridades públicas no exercício das suas funções.

2. O tratamento de dados pessoais necessário para fins de investigação histórica, estatística ou científica é lícito, sob reserva das condições e garantias previstas no artigo 83.º.

2. O tratamento de dados pessoais necessário para fins de investigação histórica, estatística ou científica é lícito, sob reserva das condições e garantias previstas no artigo 83.º.

3. O fundamento jurídico do tratamento referido no n.º 1, alíneas c) e e), deve ser previsto:

3. O fundamento jurídico do tratamento referido no n.º 1, alíneas c) e e), deve ser previsto:

(a) Pelo direito da União; ou

(a) Pelo direito da União; ou

(b) Pela legislação do Estado-Membro à qual o responsável pelo tratamento está sujeito.

(b) Pela legislação do Estado-Membro à qual o responsável pelo tratamento está sujeito.

A legislação do Estado-Membro deve respeitar um objetivo de interesse público ou ser necessária para proteger os direitos e liberdades das pessoas, ser conforme com o conteúdo essencial do direito à proteção de dados pessoais e ser proporcional ao objetivo legítimo prosseguido.

A legislação do Estado-Membro deve respeitar um objetivo de interesse público ou ser necessária para proteger os direitos e liberdades das pessoas, ser conforme com o conteúdo essencial do direito à proteção de dados pessoais e ser proporcional ao objetivo legítimo prosseguido. Dentro dos limites do presente regulamento, a legislação do Estado-Membro pode prever normas específicas aplicáveis à licitude do tratamento, em especial relativas ao responsável pelo tratamento, à finalidade e à limitação da finalidade do tratamento, ao tipo de dados e aos titulares dos dados, às operações e aos processos de tratamento, aos destinatários, assim como ao período de conservação.

4. Sempre que a finalidade do tratamento ulterior não for compatível com aquela para a qual os dados pessoais foram recolhidos, o tratamento deve ter como fundamento jurídico pelo menos um dos motivos referidos no n.º 1, alíneas a) a e). Tal é aplicável, em especial, a qualquer alteração das cláusulas e condições gerais de um contrato.

 

5. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o artigo 86.º, a fim de melhor especificar as condições previstas no n.º 1, alínea f), para os vários setores e situações em matéria de tratamento de dados, incluindo quanto ao tratamento de dados pessoais relativos a crianças.

 

Alteração  101

Proposta de regulamento

Artigo 7

Texto da Comissão

Alteração

Condições para o consentimento

Condições para o consentimento

1. Incumbe ao responsável pelo tratamento o ónus de provar o consentimento do titular dos dados ao tratamento dos seus dados pessoais para finalidades específicas.

1. Quando o tratamento se basear no consentimento, incumbe ao responsável pelo tratamento o ónus de provar o consentimento do titular dos dados ao tratamento dos seus dados pessoais para finalidades específicas.

2. Se o consentimento do titular dos dados for dado no contexto de uma declaração escrita que diga também respeito a outra matéria, a exigência do consentimento deve ser apresentada de uma forma que a distinga dessa outra matéria.

2. Se o consentimento do titular dos dados for dado no contexto de uma declaração escrita que diga também respeito a outra matéria, a exigência do consentimento deve ser apresentada de uma forma que a distinga claramente dessa outra matéria. As cláusulas relativas ao consentimento do titular dos dados que violem parcialmente este regulamento são consideradas nulas e sem efeito.

3. O titular dos dados tem o direito de retirar o seu consentimento a qualquer momento. A retirada do consentimento não compromete a licitude do tratamento efetuado com base no consentimento previamente dado.

3. Não obstante outros fundamentos jurídicos para o tratamento, o titular dos dados tem o direito de retirar o seu consentimento a qualquer momento. A retirada do consentimento não compromete a licitude do tratamento efetuado com base no consentimento previamente dado. Deve ser tão fácil retirar o consentimento como dá-lo. O titular dos dados deve ser informado pelo responsável pelo tratamento se a retirada do consentimento puder dar lugar à rescisão dos serviços fornecidos ou da relação com o responsável pelo tratamento.

4. O consentimento não constitui um fundamento jurídico válido para o tratamento se existir um desequilíbrio significativo entre a posição do titular dos dados e o responsável pelo tratamento.

4. O consentimento é limitado pelos fins e perde a sua validade logo que o fim deixar de existir ou o tratamento dos dados pessoais deixar de ser necessário para a realização do fim para que foram recolhidos inicialmente. A execução de um contrato ou a prestação de um serviço não podem ser condicionadas ao consentimento ao tratamento de dados que não são necessários à execução do contrato ou à prestação do serviço nos termos do artigo 6.º, n.º 1, alínea b).

Alteração       102

Proposta de regulamento

Artigo 8

Texto da Comissão

Alteração

Tratamento de dados pessoais relativos às crianças

Tratamento de dados pessoais relativos às crianças

1. Para efeitos do presente regulamento, no que respeita à oferta de serviços da sociedade da informação às crianças, o tratamento de dados pessoais de uma criança com idade inferior a 13 anos só é lícito se, e na medida em que, para tal o consentimento seja dado ou autorizado pelo progenitor ou pelo titular da guarda dessa criança. O responsável pelo tratamento deve envidar todos os esforços razoáveis para obter um consentimento verificável, tendo em conta os meios técnicos disponíveis.

1. Para efeitos do presente regulamento, no que respeita à oferta de bens ou serviços às crianças, o tratamento de dados pessoais de uma criança com idade inferior a 13 anos só é lícito se, e na medida em que, para tal o consentimento seja dado ou autorizado pelo progenitor ou pelo tutor legal dessa criança. O responsável pelo tratamento deve envidar todos os esforços razoáveis para verificar esse consentimento, tendo em conta os meios técnicos disponíveis, sem causar um tratamento de dados desnecessário.

 

1-A. As informações prestadas às crianças, pais ou tutores legais para exprimirem o consentimento - incluindo sobre a recolha e utilização de dados pessoais pelo responsável pelo tratamento - devem ser prestadas numa linguagem clara e adequada ao público visado.

2. O disposto no n.º 1 não prejudica o direito contratual geral dos Estados-Membros, como as disposições que regulam a validade, a formação ou os efeitos de um contrato em relação a uma criança.

2. O disposto no n.º 1 não prejudica o direito contratual geral dos Estados-Membros, como as disposições que regulam a validade, a formação ou os efeitos de um contrato em relação a uma criança.

3. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o artigo 86.º, a fim especificar mais concretamente os critérios e requisitos aplicáveis à obtenção do consentimento verificável referido no n.º 1. Ao fazê-lo, a Comissão deve considerar a adoção de medidas específicas, em especial para as micro, pequenas e médias empresas.

3. O Comité Europeu para a Proteção de Dados deve ser encarregado de elaborar orientações, recomendações e boas práticas relativamente aos métodos para verificar o consentimento referido no n.º 1, nos termos do artigo 66.º.

4. A Comissão pode estabelecer formulários normalizados para os métodos específicos de obtenção do consentimento verificável referido no n.º 1. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.º, n.º 2.

 

Alteração  103

Proposta de regulamento

Artigo 9

Texto da Comissão

Alteração

Tratamento de categorias especiais de dados pessoais

Categorias especiais de dados

1. É proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas, a filiação sindical, bem como o tratamento de dados genéticos ou dados relativos à saúde ou à orientação sexual ou a condenações penais ou medidas de segurança conexas.

1. É proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a orientação sexual ou a identidade de género, a filiação e as atividades sindicais, bem como o tratamento de dados genéticos ou biométricos ou dados relativos à saúde ou à orientação sexual, às sanções administrativas, aos julgamentos, aos delitos penais ou presumidos, a condenações ou medidas de segurança conexas.

2. O n.º 1 não se aplica quando:

2. O disposto no n.º 1 não se aplica se se verificar um dos seguintes casos:

(a) O titular dos dados tiver dado o seu consentimento para o tratamento desses dados pessoais, sem prejuízo do disposto nos artigos 7.º e 8.º, exceto se o direito da União ou a legislação de um Estado-Membro previr que a proibição a que se refere o n.º 1 não pode ser afastada pelo titular dos dados; ou

(a) O titular dos dados tiver dado o seu consentimento para o tratamento desses dados pessoais para um ou mais fins especificados, sem prejuízo do disposto nos artigos 7.º e 8.º, exceto se o direito da União ou a legislação de um Estado-Membro previr que a proibição a que se refere o n.º 1 não pode ser afastada pelo titular dos dados; ou

 

(a-A) O tratamento for necessário para a execução ou a celebração de um contrato no qual o titular dos dados é parte ou para a realização de diligências prévias à celebração do contrato a pedido do titular dos dados;

(b) O tratamento for necessário para o cumprimento de obrigações e o exercício de direitos específicos do responsável pelo tratamento em matéria de direito laboral, na medida em que seja permitido pelo direito da União ou pela legislação de um Estado-Membro, mediante garantias adequadas; ou

(b) O tratamento for necessário para o cumprimento de obrigações e o exercício de direitos específicos do responsável pelo tratamento em matéria de direito laboral, na medida em que seja permitido pelo direito da União, pela legislação de um Estado-Membro ou por convenções coletivas, mediante garantias adequadas que salvaguardem os interesses e direitos fundamentais do titular dos dados como o direito à não-discriminação, nos termos das condições e garantias previstas no artigo 82.º; ou

(c) O tratamento for necessário para proteger interesses vitais do titular dos dados ou de outra pessoa, se o titular dos dados estiver física ou legalmente incapacitado de dar o seu consentimento; ou

(c) O tratamento for necessário para proteger interesses vitais do titular dos dados ou de outra pessoa, se o titular dos dados estiver física ou legalmente incapacitado de dar o seu consentimento; ou

(d) O tratamento for efetuado, no âmbito de atividades lícitas e mediante garantias adequadas, por uma fundação, associação ou qualquer outro organismo sem fins lucrativos e que prossiga fins políticos, filosóficos, religiosos ou sindicais, desde que aquele tratamento se refira apenas aos membros ou antigos membros desse organismo ou a pessoas que com ele mantenham contactos regulares relacionados com os seus objetivos, e que os dados não sejam divulgados a terceiros sem o consentimento dos titulares de dados; ou

(d) O tratamento for efetuado, no âmbito de atividades lícitas e mediante garantias adequadas, por uma fundação, associação ou qualquer outro organismo sem fins lucrativos e que prossiga fins políticos, filosóficos, religiosos ou sindicais, desde que aquele tratamento se refira apenas aos membros ou antigos membros desse organismo ou a pessoas que com ele mantenham contactos regulares relacionados com os seus objetivos, e que os dados não sejam divulgados a terceiros sem o consentimento dos titulares de dados; ou

(e) O tratamento se referir a dados pessoais manifestamente tornados públicos pelo seu titular; ou

(e) O tratamento se referir a dados pessoais manifestamente tornados públicos pelo seu titular; ou

f) O tratamento for necessário à declaração, ao exercício ou à defesa de um direito num processo judicial; ou

f) O tratamento for necessário à declaração, ao exercício ou à defesa de um direito num processo judicial; ou

g) O tratamento for necessário ao exercício de uma missão de interesse público, com base no direito da União ou na legislação de um Estado-Membro, que deve prever medidas adequadas à proteção dos interesses legítimos do titular dos dados; ou

g) O tratamento for necessário ao exercício de uma missão por motivo de interesse público excecional, com base no direito da União ou na legislação de um Estado-Membro, que deve ser proporcional ao objetivo visado, respeitar a essência do direito à proteção dos dados pessoais e prever medidas adequadas à proteção dos interesses e direitos fundamentais do titular dos dados; ou

(h) O tratamento de dados relativos à saúde for necessário para fins no domínio da saúde, sob reserva das condições e garantias previstas no artigo 81.º; ou

(h) O tratamento de dados relativos à saúde for necessário para fins no domínio da saúde, sob reserva das condições e garantias previstas no artigo 81.º; ou

(i) O tratamento for necessário para fins de investigação histórica, estatística ou científica, sob reserva das condições e garantias previstas no artigo 83.º; ou

(i) O tratamento for necessário para fins de investigação histórica, estatística ou científica, sob reserva das condições e garantias previstas no artigo 83.º; ou

 

(i-A) O tratamento for necessário para serviços de arquivo, sob reserva das condições e garantias previstas no artigo 83.º-A; ou

(j) O tratamento de dados relacionados com condenações penais ou outras medidas de segurança conexas for efetuado sob o controlo de uma autoridade, ou se o tratamento for necessário ao respeito de uma obrigação jurídica ou regulamentar à qual o responsável pelo tratamento está sujeito ou à execução de uma missão efetuada por motivos importantes de interesse público, na medida em que esse tratamento seja autorizado pelo direito da União ou pela legislação de um Estado-Membro que preveja garantias adequadas. O registo completo das condenações penais só pode ser conservado sob o controlo das autoridades públicas.

(j) O tratamento de dados relacionados com sanções administrativas, julgamentos, delitos penais, condenações ou outras medidas de segurança conexas for efetuado sob o controlo de uma autoridade, ou se o tratamento for necessário ao respeito de uma obrigação jurídica ou regulamentar à qual o responsável pelo tratamento está sujeito ou à execução de uma missão efetuada por motivos importantes de interesse público, na medida em que esse tratamento seja autorizado pelo direito da União ou pela legislação de um Estado-Membro que preveja garantias adequadas dos direitos fundamentais e interesses do titular dos dados. Qualquer registo das condenações penais só pode ser conservado sob o controlo das autoridades públicas.

3. São atribuídas competências à Comissão para adotar atos delegados em conformidade com artigo 86.º, a fim de a especificar mais concretamente os critérios, as condições e garantias adequados aplicáveis ao tratamento das categorias de dados especiais a que se refere o n.º 1, bem como as derrogações previstas no n.º 2.

3. O Comité Europeu para a Proteção de Dados deve ser encarregado de elaborar orientações, recomendações e boas práticas relativamente aos métodos para verificar o tratamento das categorias de dados especiais a que se refere o n.º 1, bem como as derrogações previstas no n.º 2, nos termos do artigo 66.º.

Alteração       104

Proposta de regulamento

Artigo 10

Texto da Comissão

Alteração

Se os dados tratados por um responsável pelo tratamento não lhe permitirem identificar uma pessoa singular, esse responsável não é obrigado a obter informações adicionais para identificar o titular dos dados com o único objetivo de respeitar uma disposição do presente regulamento.

1. Se os dados tratados por um responsável pelo tratamento ou subcontratante não lhe permitirem identificar direta ou indiretamente uma pessoa singular ou consistirem apenas em dados pseudónimos, esse responsável não deve tratar ou obter informações adicionais para identificar o titular dos dados com o único objetivo de respeitar uma disposição do presente regulamento.

 

2. Sempre que o responsável pelo tratamento dos dados não possa respeitar uma disposição do presente regulamento devido ao n.º 1, o responsável pelo tratamento não é obrigado a cumprir essa disposição do regulamento. Consequentemente, quando o responsável pelo tratamento dos dados não puder cumprir um pedido do titular dos dados, deve informar o mesmo em conformidade.

Alteração  105

Proposta de regulamento

Artigo 10-A (novo)

Texto da Comissão

Alteração

 

Artigo 10.º-A

 

Princípios gerais para os direitos dos titulares de dados

 

1. A base da proteção de dados é constituída pelos direitos claros e não ambíguos do titular de dados que serão respeitados pelo responsável pelo tratamento. As disposições do presente regulamento visam reforçar, esclarecer, garantir e, quando adequado, codificar estes direitos.

 

2. Tais direitos incluem, nomeadamente, a prestação de informações claras e facilmente compreensíveis em relação ao tratamento dos seus dados pessoais, o direito de acesso, retificação e apagamento dos seus dados, o direito de obter dados, o direito de se opor à definição de perfis, o direito de apresentar queixa junto da autoridade competente responsável pela proteção de dados e de intentar ações judiciais, bem como o direito a reparação e indemnização resultantes de uma operação de tratamento ilícito. Tais direitos devem, em geral, ser exercidos gratuitamente. O responsável pelo tratamento de dados deve responder aos pedidos do titular de dados num período de tempo razoável.

Alteração  106

Proposta de regulamento

Artigo 11

Texto da Comissão

Alteração

1. O responsável pelo tratamento deve aplicar regras transparentes e de fácil acesso relativamente ao tratamento de dados pessoais e ao exercício dos direitos pelos titulares de dados.

1. O responsável pelo tratamento deve aplicar regras concisas, transparentes, claras e de fácil acesso relativamente ao tratamento de dados pessoais e ao exercício dos direitos pelos titulares de dados.

2. O responsável pelo tratamento deve fornecer quaisquer informações e comunicações relativas ao tratamento de dados pessoais ao titular dos dados de forma inteligível, numa linguagem clara e simples, adaptada à pessoa em causa, em especial quando as informações são dirigidas especificamente a uma criança.

2. O responsável pelo tratamento deve fornecer quaisquer informações e comunicações relativas ao tratamento de dados pessoais ao titular dos dados de forma inteligível, numa linguagem clara e simples, em especial quando as informações são dirigidas especificamente a uma criança.

Alteração  107

Proposta de regulamento

Artigo 12

Texto da Comissão

Alteração

1. O responsável pelo tratamento deve estabelecer os procedimentos de informação previstos no artigo 14.º, e os procedimentos de exercício dos direitos dos titulares de dados referidos no artigo 13.º, e nos artigos 15.º a 19.º. Deve prever, nomeadamente, mecanismos destinados a facilitar os pedidos sobre as medidas previstas no artigo 13.º, e nos artigos 15.º a 19.º. Sempre que os dados pessoais forem objeto de tratamento automatizado, o responsável pelo tratamento deve igualmente prever meios para a apresentação de pedidos por via eletrónica.

1. Sempre que os dados pessoais forem objeto de tratamento automatizado, o responsável pelo tratamento deve igualmente prever meios para a apresentação de pedidos por via eletrónica, sempre que possível.

2. O responsável pelo tratamento deve informar o titular dos dados sem demora e, o mais tardar, no prazo de um mês a contar da data de receção do pedido, da eventual adoção de uma medida nos termos do artigo 13.º, e dos artigos 15.º a 19.º, bem como fornecer as informações solicitadas. Este prazo pode ser prorrogado mais um mês, caso vários titulares de dados exerçam os seus direitos e a sua cooperação seja necessária, numa medida razoável, para impedir um esforço injustificado e desproporcionado por parte do responsável pelo tratamento. As informações devem revestir a forma escrita. Sempre que o titular dos direitos apresentar o pedido por via eletrónica, a informação deve ser fornecida por meios eletrónicos, salvo se solicitado de outra forma pela pessoa em causa.

2. O responsável pelo tratamento deve informar o titular dos dados sem demora injustificada e, o mais tardar, no prazo de 40 dias a contar da data de receção do pedido, da eventual adoção de uma medida nos termos do artigo 13.º, e dos artigos 15.º a 19.º, bem como fornecer as informações solicitadas. Este prazo pode ser prorrogado mais um mês, caso vários titulares de dados exerçam os seus direitos e a sua cooperação seja necessária, numa medida razoável, para impedir um esforço injustificado e desproporcionado por parte do responsável pelo tratamento. As informações devem revestir a forma escrita e, sempre que possível, o responsável pelo tratamento pode facultar o acesso a um sistema seguro em linha que possibilite ao titular de dados aceder diretamente aos seus dados pessoais. Sempre que o titular dos direitos apresentar o pedido por via eletrónica, a informação deve ser fornecida por meios eletrónicos, sempre que possível, salvo se solicitado de outra forma pela pessoa em causa.

3. Se o responsável pelo tratamento recusar adotar as medidas solicitadas pelo titular dos dados, deve informar a pessoa em causa das razões da recusa, das possibilidades de apresentar uma queixa à autoridade de controlo e de interpor uma ação judicial.

3. Se o responsável pelo tratamento não adotar as medidas solicitadas pelo titular dos dados, deve informar a pessoa em causa das razões da inação, das possibilidades de apresentar uma queixa à autoridade de controlo e de interpor uma ação judicial.

4. As informações e as medidas adotadas relativamente a pedidos referidos no n.º 1 são gratuitas. Se os pedidos forem manifestamente abusivos, particularmente devido ao seu caráter repetitivo, o responsável pelo tratamento pode exigir o pagamento de uma taxa para fornecer informações ou adotar as medidas solicitadas, podendo também abster-se de adotar as medidas solicitadas. Nesse caso, incumbe ao responsável pelo tratamento o ónus de provar o caráter manifestamente abusivo do pedido.

4. As informações e as medidas adotadas relativamente a pedidos referidos no n.º 1 são gratuitas. Se os pedidos forem manifestamente abusivos, particularmente devido ao seu caráter repetitivo, o responsável pelo tratamento pode exigir o pagamento de uma taxa razoável tendo em conta os custos administrativos para fornecer as informações ou adotar as medidas solicitadas. Nesse caso, incumbe ao responsável pelo tratamento o ónus de provar o caráter manifestamente abusivo do pedido.

5. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o artigo 86.º, a fim de especificar mais concretamente os critérios e as condições aplicáveis aos pedidos manifestamente abusivos e às taxas referidas no n.º 4.

 

6. A Comissão pode elaborar formulários e procedimentos normalizados para a comunicação referida no n.º 2, incluindo sob forma eletrónica. Ao fazê-lo, a Comissão deve adotar as medidas adequadas em relação às micro, pequenas e médias empresas. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.º, n.º 2.

 

Alteração       108

Proposta de regulamento

Artigo 13

Texto da Comissão

Alteração

Direitos relativos aos destinatários

Obrigação de comunicação em casos de retificação e apagamento

O responsável pelo tratamento comunica a cada destinatário a quem tenham sido transmitidos os dados qualquer retificação ou apagamento efetuado em conformidade com os artigos 16.º e 17.º, salvo se tal comunicação se revelar impossível ou implicar um esforço desproporcionado.

O responsável pelo tratamento comunica a cada destinatário para quem tenham sido transferidos os dados qualquer retificação ou apagamento efetuado em conformidade com os artigos 16.º e 17.º, salvo se tal comunicação se revelar impossível ou implicar um esforço desproporcionado. O responsável pelo tratamento deve informar o titular dos dados sobre os destinatários se o titular dos dados o solicitar.

Alteração  109

Proposta de regulamento

Artigo 13-A (novo)

Texto da Comissão

Alteração

 

Artigo 13.º-A

 

Políticas de informação normalizadas

 

1. Sempre que os dados pessoais de um titular de dados forem recolhidos, o responsável pelo tratamento deve informar o titular dos dados, antes de prestar as informações previstas no artigo 14.º, sobre os seguintes aspetos:

 

(a) Se a recolha dos dados pessoais exceder o mínimo necessário para cada finalidade específica do tratamento;

 

(b) Se a conservação dos dados pessoais exceder o mínimo necessário para cada finalidade específica do tratamento;

 

(c) Se os dados pessoais forem tratados para fins diferentes daqueles para que foram recolhidos;

(d) Se os dados pessoais forem divulgados a terceiros comerciais;

 

(e) Se os dados pessoais forem vendidos ou alugados;

 

f) Se os dados pessoais forem conservados sob a forma de dados encriptados.

 

2. Os aspetos a que se refere o n.º 1 são apresentadas nos termos do anexo X em formato tabular, utilizando texto e símbolos, em três colunas, como a seguir se descreve:

 

(a) A primeira coluna apresenta formas gráficas simbolizando os aspetos;

 

(b) A segunda coluna contém informações essenciais que descrevem esses aspetos;

 

(c) A terceira coluna indica com recurso a formas gráficas se um determinado aspeto se verifica.

 

3. As informações referidas nos n.ºs 1 e 2 devem ser apresentadas de forma visualmente acessível e perfeitamente legível e numa linguagem que possa ser facilmente compreendida pelos consumidores dos Estados-Membros a quem se destinam. Se forem apresentados por via eletrónica, os aspetos devem ser legíveis por máquina.

 

4. Não devem ser prestadas informações adicionais. Podem ser fornecidas explicações detalhadas ou observações suplementares sobre os aspetos referidos no n.º 1 juntamente com outras informações obrigatórias nos termos do artigo 14.º.

 

5. São atribuídas competências à Comissão para adotar, após requerer um parecer ao Comité Europeu para a Proteção de Dados, atos delegados em conformidade com o artigo 86.º, a fim de especificar mais concretamente os aspetos referidos no n.º 1 e a forma da sua apresentação a que se refere o n.º 2 e o anexo 1.

Alteração  110

Proposta de regulamento

Artigo 14

Texto da Comissão

Alteração

Informação do titular dos dados

Informação do titular dos dados

1. Sempre que os dados pessoais de uma pessoa forem recolhidos, o responsável pelo tratamento deve fornecer ao titular dos dados pelo menos as seguintes informações:

1. Sempre que os dados pessoais de uma pessoa forem recolhidos, o responsável pelo tratamento deve fornecer ao titular dos dados pelo menos as seguintes informações, depois de prestar as informações previstas no artigo 13.º-A:

(a) Identidade e contactos do responsável pelo tratamento e, se for caso disso, do representante desse responsável e do delegado para a proteção de dados;

(a) Identidade e contactos do responsável pelo tratamento e, se for caso disso, do representante desse responsável e do delegado para a proteção de dados;

(b) Finalidades do tratamento a que os dados pessoais se destinam, incluindo as cláusulas e condições gerais do contrato, se o tratamento se basear no artigo 6.º, n.º1, alínea b), bem como os interesses legítimos prosseguidos pelo responsável pelo tratamento, se o tratamento se basear no artigo 6.º, n.º 1, alínea f);

(b) Finalidades do tratamento a que os dados pessoais se destinam, bem como informações relativas à segurança do tratamento dos dados pessoais, incluindo as cláusulas e condições gerais do contrato, se o tratamento se basear no artigo 6.º, n.º 1, alínea b) e, se for caso disso, informações sobre o modo como executam e cumprem os requisitos do artigo 6.º, n.º 1, alínea f);

(c) Período de conservação dos dados pessoais;

(c) Período de conservação dos dados pessoais ou - se tal não for possível - os critérios usados para definir esse período;

(d) Existência do direito de solicitar ao responsável pelo tratamento o acesso aos dados pessoais que lhe digam respeito, e a sua retificação ou apagamento, ou de se opor ao seu tratamento;

(d) Existência do direito de solicitar ao responsável pelo tratamento o acesso aos dados pessoais que lhe digam respeito, e a sua retificação ou apagamento, de se opor ao seu tratamento ou de obter dados;

(e) Direito de apresentar uma queixa à autoridade de controlo e de obter os contactos desta autoridade;

(e) Direito de apresentar uma queixa à autoridade de controlo e de obter os contactos desta autoridade;

f) Destinatários ou categorias de destinatários dos dados pessoais;

f) Destinatários ou categorias de destinatários dos dados pessoais;

g) Se for caso disso, a intenção de o responsável pelo tratamento transferir os dados para um país terceiro ou uma organização internacional, e o nível de proteção assegurado por esse país terceiro ou organização internacional, em referência a uma decisão sobre o nível de proteção adequado adotada pela Comissão;

g) Se for caso disso, a intenção de o responsável pelo tratamento transferir os dados para um país terceiro ou uma organização internacional, e a existência ou não duma decisão sobre o nível de proteção adequado adotada pela Comissão, ou, no caso das transferências mencionadas no artigo 42.º, artigo 43.º ou no artigo 44.º, n.º 1, alínea h), a referência às garantias adequadas e às formas de obter uma cópia das mesmas;

 

(g-A) Se for caso disso, informações quanto à existência de definição de perfis, de medidas baseadas na definição de perfis e os efeitos previstos da definição de perfis sobre o titular dos dados;

 

(g-B) Informações significativas sobre a lógica subjacente ao tratamento automatizado dos dados;

(h) Quaisquer outras informações necessárias para assegurar à pessoa em causa um tratamento leal, tendo em conta as circunstâncias específicas em que os dados pessoais são recolhidos.

(h) Quaisquer outras informações necessárias para assegurar à pessoa em causa um tratamento leal, tendo em conta as circunstâncias específicas em que os dados pessoais são recolhidos ou tratados, em especial, a existência de certas atividades de tratamento e operações para as quais uma avaliação de impacto dos dados pessoais indicou que pode existir um risco elevado.

 

(h-A) Se for caso disso, informações sobre se os dados pessoais foram fornecidos a entidades públicas durante o último período de 12 meses consecutivos.

2. Sempre que os dados pessoais tiverem sido recolhidos junto do titular de dados, o responsável pelo tratamento deve informá-lo, para além da informação referida no n.º 1, do caráter obrigatório ou facultativo de fornecer os dados pessoais, bem como das eventuais consequências de não fornecer esses dados.

2. Sempre que os dados pessoais tiverem sido recolhidos junto do titular de dados, o responsável pelo tratamento deve informá-lo, para além da informação referida no n.º 1, do caráter obrigatório ou facultativo de fornecer os dados pessoais, bem como das eventuais consequências de não fornecer esses dados.

 

2-A. Ao decidirem se mais informações são necessárias para tornar o tratamento justo ao abrigo do n.º 1, alínea h), os responsáveis pelo tratamento devem ter em conta quaisquer orientações relevantes que constem do artigo 38.º.

3. Sempre que os dados não tiverem sido recolhidos junto do titular de dados, o responsável pelo tratamento deve informá-lo, para além da informação referida no n.º 1, da origem dos dados pessoais.

3. Sempre que os dados não tiverem sido recolhidos junto do titular de dados, o responsável pelo tratamento deve informá-lo, para além da informação referida no n.º 1, da origem dos dados pessoais específicos. Se os dados pessoais forem provenientes de fontes acessíveis ao público pode ser dada uma indicação geral.

4. O responsável pelo tratamento deve comunicar as informações referidas nos n.ºs 1, 2 e 3:

4. O responsável pelo tratamento deve comunicar as informações referidas nos n.ºs 1, 2 e 3:

(a) No momento da recolha dos dados pessoais junto do titular de dados; ou

(a) No momento da recolha dos dados pessoais junto do titular de dados ou sem demora injustificada quando tal não seja exequível; ou

 

(a-A) A pedido de um organismo, organização ou associação referido no artigo 73.º;

(b) Sempre que os dados não forem recolhidos junto do titular de dados, no momento do seu registo ou num prazo razoável após a recolha dos dados, tendo em conta as circunstâncias específicas em que foram recolhidos ou de outra forma tratados ou, se estiver prevista a divulgação dos dados a outro destinatário, o mais tardar aquando da primeira divulgação desses dados.

(b) Sempre que os dados não forem recolhidos junto do titular de dados, no momento do seu registo ou num prazo razoável após a recolha dos dados, tendo em conta as circunstâncias específicas em que foram recolhidos ou de outra forma tratados ou, se estiver prevista a transferência dos dados a outro destinatário, o mais tardar aquando da primeira transferência ou, se os dados se destinarem a ser utilizados ​​para fins de comunicação com o titular de dados, o mais tardar no momento da primeira comunicação ao titular de dados; ou

 

(b-A) Apenas a pedido sempre que os dados forem tratados por uma pequena ou microempresa que trata dados pessoais unicamente no âmbito de uma atividade acessória.

5. Os n.ºs 1 a 4 não se aplicam sempre que:

5. Os n.ºs 1 a 4 não se aplicam sempre que:

(a) O titular de dados já tiver conhecimento das informações referidas nos n.ºs 1, 2 e 3; ou

(a) O titular de dados já tiver conhecimento das informações referidas nos n.ºs 1, 2 e 3; ou

(b) Os dados não forem recolhidos junto do titular de dados e a comunicação dessas informações se revelar impossível ou implicar um esforço desproporcionado; ou

(b) Os dados forem tratados para fins de investigação histórica, estatística ou científica, sujeitos às condições e salvaguardas referidas no artigo 81.º e 83.º, não forem recolhidos junto do titular de dados e a comunicação dessas informações se revelar impossível ou implicar um esforço desproporcionado e o responsável pelo tratamento tiver publicado as informações para qualquer um as recuperar; ou

(c) Os dados não forem recolhidos junto do titular de dados e o registo ou a divulgação dos dados for expressamente prevista por lei; ou

(c) Os dados não forem recolhidos junto do titular de dados e o registo ou a divulgação dos dados for expressamente prevista pela legislação à qual o responsável pelo tratamento está sujeito, que preveja medidas adequadas para proteger os legítimos interesses do titular de dados, considerando os riscos representados pelo tratamento e a natureza dos dados pessoais; ou

(d) Os dados não foram recolhidos junto do titular de dados e a comunicação dessas informações prejudicar os direitos e liberdades de outras pessoas, tal como definidos no direito da União ou na legislação dos Estados-Membros, em conformidade com o artigo 21.º.

(d) Os dados não foram recolhidos junto do titular de dados e a comunicação dessas informações prejudicar os direitos e liberdades de outras pessoas singulares, tal como definidos no direito da União ou na legislação dos Estados-Membros, em conformidade com o artigo 21.º;

 

d-A) Os dados forem tratados, no âmbito do exercício da sua profissão, por uma pessoa sujeita a segredo profissional regulamentado pela legislação da União ou de um Estado-Membro ou a um sigilo profissional determinado por lei, salvo se os dados são recolhidos diretamente junto do titular dos dados.

6. No caso referido no n.º 5, alínea b), o responsável pelo tratamento deve adotar as medidas adequadas para proteger os interesses legítimos do titular dos dados.

6. No caso referido no n.º 5, alínea b), o responsável pelo tratamento deve adotar as medidas adequadas para proteger os direitos ou interesses legítimos do titular dos dados.

7. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o artigo 86.º, a fim de melhor especificar os critérios aplicáveis às categorias de destinatários referidos no n.º 1, alínea f), os requisitos para informar sobre as possibilidades de acesso referidas no n.º 1, alínea g), os critérios aplicáveis à obtenção de informações suplementares necessárias referidas no n.º 1 alínea h), para domínios e situações específicos, bem como as condições e garantias adequadas para as exceções previstas no n.º 5, alínea b). Ao fazê-lo, a Comissão deve adotar as medidas adequadas em relação às micro, pequenas e médias empresas.

 

8. A Comissão pode prever formulários normalizados para a comunicação das informações referidas nos n.ºs 1 a 3, tendo em consideração as características e necessidades específicas dos diversos setores e situações de tratamento de dados, se for caso disso. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.º, n.º 2.

 

Alteração  111

Proposta de regulamento

Artigo 15

Texto da Comissão

Alteração

Direito de acesso do titular dos dados

Direito de acesso e de obtenção de dados do titular dos dados

1. O titular dos dados pode obter do responsável pelo tratamento, a qualquer momento e mediante pedido, confirmação de que os dados pessoais que lhe digam respeito são ou não objeto de tratamento. Sempre que esses dados forem objeto de tratamento, o responsável pelo tratamento deve fornecer as seguintes informações:

1. Sob reserva do artigo 12.º, n.º 4, o titular dos dados pode obter do responsável pelo tratamento, a qualquer momento e mediante pedido, confirmação de que os dados pessoais que lhe digam respeito são ou não objeto de tratamento e numa linguagem simples e clara, as seguintes informações:

(a) Finalidades do tratamento;

(a) Finalidades do tratamento de cada categoria de dados pessoais;

(b) Categorias de dados pessoais envolvidos;

(b) Categorias de dados pessoais envolvidos;

(c) Destinatários ou categorias de destinatários a quem os dados pessoais serão ou foram divulgados, em especial quando os destinatários estão estabelecidos em países terceiros;

(c) Destinatários a quem os dados pessoais serão ou foram divulgados, incluindo os destinatários estabelecidos em países terceiros;

(d) Período de conservação dos dados pessoais;

(d) Período de conservação dos dados pessoais ou - se tal não for possível - os critérios usados para definir esse período;

(e) Existência do direito de solicitar ao responsável pelo tratamento a retificação ou o apagamento de dados pessoais que lhe digam respeito, ou de se opor ao tratamento desses dados pessoais;

(e) Existência do direito de solicitar ao responsável pelo tratamento a retificação ou o apagamento de dados pessoais que lhe digam respeito, ou de se opor ao tratamento desses dados pessoais;

f) Direito de apresentar uma queixa à autoridade de controlo e de obter os contactos desta autoridade;

f) Direito de apresentar uma queixa à autoridade de controlo e de obter os contactos desta autoridade;

g) Comunicação dos dados pessoais em fase de tratamento e quaisquer informações disponíveis sobre a origem desses dados;

 

(h) Importância e consequências previstas de tal tratamento, pelo menos no caso das medidas referidas no artigo 20.º.

(h) Importância e consequências previstas de tal tratamento.

 

(h-A) Informações significativas sobre a lógica subjacente ao tratamento automatizado dos dados;

 

(h-B) Sem prejuízo do disposto no artigo 21.º, em caso de divulgação de dados pessoais a uma autoridade pública na sequência dum pedido duma autoridade pública, a confirmação de que esse pedido foi apresentado.

2. O titular dos dados tem o direito de obter do responsável pelo tratamento a comunicação dos dados pessoais em fase de tratamento. Sempre que o titular dos dados apresentar o pedido por via eletrónica, a informação deve ser fornecida por meios eletrónicos, salvo se solicitado de outra forma pela pessoa em causa.

2. O titular dos dados tem o direito de obter do responsável pelo tratamento a comunicação dos dados pessoais em fase de tratamento. Sempre que o titular dos dados apresentar o pedido por via eletrónica, a informação deve ser fornecida em formato eletrónico e estruturado, salvo se solicitado de outra forma pela pessoa em causa. Sem prejuízo do artigo 10.º-C, o responsável pelo tratamento deve tomar as medidas necessárias para verificar se a pessoa que solicita acesso aos dados é o titular dos dados.

 

2-A. Se o titular dos dados tiver fornecido dados pessoais e estes forem objeto de tratamento eletrónico, o titular dos dados tem o direito de obter do responsável pelo tratamento uma cópia dos dados pessoais fornecidos sob um formato eletrónico e interoperável de utilização corrente e que permita utilização posterior pela pessoa em causa, sem que o responsável pelo tratamento a quem os dados são retirados o possa impedir. Sempre que tal seja tecnicamente possível e disponível, os dados são transferidos diretamente entre os responsáveis pelo tratamento de dados a pedido do titular dos dados.

 

2-B. O presente artigo aplica-se sem prejuízo da obrigação, prevista no artigo 5.º, n.º 1, alínea e), de apagar dados quando deixam de ser necessários.

 

2-C. Não deve existir direito de acesso, em conformidade com os n.ºs 1 e 2, no que se refere aos dados na aceção do artigo 14.º, n.º 5, alínea d-A), exceto se o titular dos dados tiver poder para levantar o sigilo em causa e agir em conformidade.

3. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o artigo 86.º, a fim especificar mais concretamente os critérios e as condições aplicáveis à comunicação ao titular de dados do conteúdo dos dados pessoais referidos no n.º 1, alínea g).

 

4. A Comissão pode elaborar formulários e procedimentos normalizados para o pedido e a concessão de acesso às informações referidas no n.º 1, incluindo para verificação da identidade do titular dos dados e a comunicação dos dados pessoais à pessoa em causa, tendo em consideração especificidades e necessidades de diversos setores e situações de tratamento de dados. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.º, n.º 2.

 

Alteração  112

Proposta de regulamento

Artigo 17

Texto da Comissão

Alteração

Direito a ser esquecido e ao apagamento

Direito ao apagamento

1. O titular dos dados tem o direito de obter do responsável pelo tratamento o apagamento de dados pessoais que lhe digam respeito e a cessação da comunicação ulterior desses dados, especialmente em relação a dados pessoais que tenham sido disponibilizados pelo titular dos dados quando ainda era uma criança, sempre que se aplique um dos motivos seguintes:

1. O titular dos dados tem o direito de obter do responsável pelo tratamento o apagamento de dados pessoais que lhe digam respeito e a cessação da comunicação ulterior desses dados e de obter de terceiros o apagamento de quaisquer ligações para esses dados pessoais, cópias ou reproduções dos mesmos, sempre que se aplique um dos motivos seguintes:

(a) Os dados deixaram de ser necessários em relação à finalidade que motivou a sua recolha ou tratamento;

(a) Os dados deixaram de ser necessários em relação à finalidade que motivou a sua recolha ou tratamento;

(b) O titular dos dados retira o consentimento sobre o qual é baseado o tratamento nos termos do artigo 6.º, n.º 1, alínea a), ou se o período de conservação consentido tiver terminado e não existir outro fundamento jurídico para o tratamento dos dados;

(b) O titular dos dados retira o consentimento sobre o qual é baseado o tratamento nos termos do artigo 6.º, n.º 1, alínea a), ou se o período de conservação consentido tiver terminado e não existir outro fundamento jurídico para o tratamento dos dados;

(c) O titular dos dados opõe-se ao tratamento de dados pessoais nos termos do artigo 19.º;

(c) O titular dos dados opõe-se ao tratamento de dados pessoais nos termos do artigo 19.º;

 

(c-A) Um tribunal ou autoridade de controlo da União deliberou de forma definitiva e sem contestações que os dados em causa têm de ser apagados;

(d) O tratamento dos dados não respeita o presente regulamento por outros motivos.

(d) Os dados foram tratados ilicitamente.

 

1-A. A aplicação do n.º 1 deve depender da capacidade de o responsável pelo tratamento verificar se a pessoa que solicita o apagamento é o titular dos dados.

2. Sempre que o responsável pelo tratamento referido no n.º 1 tiver tornado públicos os dados pessoais, deve adotar todas as medidas razoáveis, incluindo de caráter técnico, em relação aos dados publicados sob a sua responsabilidade, tendo em vista informar os terceiros que tratam esses dados que um titular de dados lhe solicita o apagamento de quaisquer ligações para esses dados pessoais, cópias ou reproduções desses dados. Se o responsável pelo tratamento tiver autorizado um terceiro a publicar dados pessoais, o primeiro é considerado responsável por essa publicação.

2. Sempre que o responsável pelo tratamento referido no n.º 1 tiver tornado públicos os dados pessoais sem uma justificação baseada no artigo 6.º, n.º 1, deve adotar todas as medidas razoáveis para que os dados sejam apagados, também por terceiros, sem prejuízo do artigo 77.º.

O responsável pelo tratamento deve informar o titular dos dados, sempre que possível, das ações dos terceiros em causa.

 

3. O responsável pelo tratamento deve efetuar o apagamento sem demora, salvo quando a conservação dos dados seja necessária:

3. O responsável pelo tratamento e, quando aplicável, um terceiro deve efetuar o apagamento sem demora, salvo quando a conservação dos dados seja necessária:

(a) Ao exercício do direito de liberdade de expressão nos termos do artigo 80.º;

(a) Ao exercício do direito de liberdade de expressão nos termos do artigo 80.º;

(b) Por motivos de interesse público no domínio da saúde pública, nos termos do artigo 81.º;

(b) Por motivos de interesse público no domínio da saúde pública, nos termos do artigo 81.º;

(c) Para fins de investigação histórica, estatística ou científica, nos termos do artigo 83.º;

(c) Para fins de investigação histórica, estatística ou científica, nos termos do artigo 83.º;

(d) Para o cumprimento de uma obrigação jurídica de conservação de dados pessoais prevista pelo direito da União ou pela legislação de um Estado-Membro à qual o responsável pelo tratamento esteja sujeito; a legislação do Estado-Membro deve responder a um objetivo de interesse público, respeitar o conteúdo essencial do direito à proteção de dados pessoais e ser proporcional ao objetivo legítimo prosseguido;

(d) Para o cumprimento de uma obrigação jurídica de conservação de dados pessoais prevista pelo direito da União ou pela legislação de um Estado-Membro à qual o responsável pelo tratamento esteja sujeito; a legislação do Estado-Membro deve responder a um objetivo de interesse público, respeitar o direito à proteção de dados pessoais e ser proporcional ao objetivo legítimo prosseguido;

(e) Nos casos referidos no n.º 4.

(e) Nos casos referidos no n.º 4.

4. Em vez de proceder ao apagamento, o responsável pelo tratamento deve restringir o tratamento de dados pessoais sempre que:

4. Em vez de proceder ao apagamento, o responsável pelo tratamento deve restringir o tratamento de dados pessoais de modo a que estes não estejam sujeitos ao acesso normal e às operações de tratamento e nunca mais possam ser alterados sempre que:

(a) A sua exatidão for contestada pelo titular dos dados, durante um período que permita ao responsável pelo tratamento verificar a exatidão dos dados;

(a) A sua exatidão for contestada pelo titular dos dados, durante um período que permita ao responsável pelo tratamento verificar a exatidão dos dados;

(b) Já não precisar dos dados pessoais para o desempenho das suas funções, mas esses dados tenham de ser conservados para efeitos de prova;

(b) Já não precisar dos dados pessoais para o desempenho das suas funções, mas esses dados tenham de ser conservados para efeitos de prova;

(c) O tratamento for ilícito e o titular dos dados se opuser ao seu apagamento e solicitar, em contrapartida, a limitação da sua utilização;

(c) O tratamento for ilícito e o titular dos dados se opuser ao seu apagamento e solicitar, em contrapartida, a limitação da sua utilização;

 

(c-A) Um tribunal ou autoridade de controlo da União deliberou de forma definitiva e sem contestações que os dados em causa têm de ser limitados;

(d) O titular dos dados solicitar a transmissão dos dados pessoais para outro sistema de tratamento automatizado, nos termos do artigo 18.º, n.º 2.

(d) O titular dos dados solicitar a transmissão dos dados pessoais para outro sistema de tratamento automatizado, nos termos do artigo 15.º, n.º 2-A.

 

d-A) O tipo específico de tecnologia de armazenamento não permite o apagamento e foi instalado antes da entrada em vigor do presente regulamento.

5. À exceção da sua conservação, os dados pessoais referidos no n.º 4 só podem ser objeto de tratamento para efeitos de prova, ou com o consentimento do titular dos dados, ou para proteção dos direitos de outra pessoa, singular ou coletiva, ou por um motivo de interesse público.

5. À exceção da sua conservação, os dados pessoais referidos no n.º 4 só podem ser objeto de tratamento para efeitos de prova, ou com o consentimento do titular dos dados, ou para proteção dos direitos de outra pessoa, singular ou coletiva, ou por um motivo de interesse público.

6. Sempre que o tratamento de dados pessoais for limitado nos termos do n.º 4, o responsável pelo tratamento informa o titular dos dados antes de anular a limitação ao tratamento.

6. Sempre que o tratamento de dados pessoais for limitado nos termos do n.º 4, o responsável pelo tratamento informa o titular dos dados antes de anular a limitação ao tratamento.

7. O responsável pelo tratamento deve aplicar mecanismos para assegurar o respeito dos prazos estipulados para o apagamento dos dados pessoais e/ou para a fiscalização periódica da necessidade de conservar esses dados.

 

8. Se o apagamento for efetuado, o responsável pelo tratamento não pode realizar qualquer outro tratamento dos dados pessoais em causa.

8. Se o apagamento for efetuado, o responsável pelo tratamento não pode realizar qualquer outro tratamento dos dados pessoais em causa.

 

8-A. O responsável pelo tratamento deve aplicar mecanismos para assegurar o respeito dos prazos estipulados para o apagamento dos dados pessoais e/ou para a fiscalização periódica da necessidade de conservar esses dados.

9. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o artigo 86.º, a fim de especificar mais concretamente:

9. São atribuídas competências à Comissão para adotar, após requerer um parecer ao Comité Europeu para a Proteção de Dados, atos delegados em conformidade com o artigo 86.º, a fim de especificar mais concretamente:

(a) Os critérios e requisitos para a aplicação do n.º 1 em setores e situações específicos que envolvam o tratamento de dados;

(a) Os critérios e requisitos para a aplicação do n.º 1 em setores e situações específicos que envolvam o tratamento de dados;

(b) As condições para o apagamento de ligações para esses dados, cópias ou reproduções destes dados existentes em serviços de comunicação acessíveis ao público, tal como previsto no n.º 2;

(b) As condições para o apagamento de ligações para esses dados, cópias ou reproduções destes dados existentes em serviços de comunicação acessíveis ao público, tal como previsto no n.º 2;

(c) Os critérios e condições aplicáveis à limitação do tratamento de dados pessoais referidos n.º 4.

(c) Os critérios e condições aplicáveis à limitação do tratamento de dados pessoais referidos n.º 4.

Alteração  113

Proposta de regulamento

Artigo 18

Texto da Comissão

Alteração

Direito de portabilidade dos dados

Suprimido

1. Sempre que os dados pessoais forem objeto de tratamento eletrónico num formato estruturado e de utilização corrente, o titular dos dados tem o direito de obter do responsável pelo tratamento uma cópia dos dados sujeitos a tratamento sob um formato eletrónico e estruturado de utilização corrente e que permita utilização posterior pela pessoa em causa.

 

2. Se o titular dos dados tiver fornecido dados pessoais e o tratamento tiver por base o consentimento ou um contrato, a pessoa em causa tem o direito de transmitir esses dados pessoais e quaisquer outras informações que forneceu e que são conservadas por um sistema de tratamento automatizado, para outro sistema, sob um formato eletrónico de uso corrente, sem que o responsável pelo tratamento a quem os dados são retirados o possa impedir.

 

3. A Comissão pode especificar o formato eletrónico referido no n.º 1, bem como estabelecer normas técnicas, modalidades e procedimentos para a transmissão de dados pessoais, nos termos do n.º 2. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.º, n.º 2.

 

Alteração  114

Proposta de regulamento

Artigo 19

Texto da Comissão

Alteração

Direito de oposição

Direito de oposição

1. O titular dos dados tem o direito de se opor em qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos seus dados pessoais com base no artigo 6.º, n.º 1, alíneas d), e) e f), salvo se o responsável pelo tratamento apresentar razões imperiosas e legítimas que prevaleçam sobre os interesses ou direitos e liberdades fundamentais da pessoa em causa.

1. O titular dos dados tem o direito de se opor em qualquer momento ao tratamento dos seus dados pessoais com base no artigo 6.º, n.º 1, alíneas d) e e), salvo se o responsável pelo tratamento apresentar razões imperiosas e legítimas que prevaleçam sobre os interesses ou direitos e liberdades fundamentais da pessoa em causa.

2. Sempre que os dados pessoais são tratados para efeitos de comercialização direta, o titular dos dados tem o direito de se opor ao tratamento dos seus dados pessoais tendo em vista essa comercialização. Este direito deve ser explicitamente comunicado ao titular dos dados de forma compreensível e deve ser claramente distinguido de outras informações.

2. Sempre que o tratamento dos dados pessoais se basear no artigo 6.º, n.º 1, alínea f), o titular dos dados tem, a qualquer momento e sem uma justificação, o direito de se opor gratuitamente, em geral ou para qualquer fim particular, ao tratamento dos seus dados pessoais.

 

2-A. O direito a que se refere o n.º 2 deve ser explicitamente comunicado ao titular dos dados de forma compreensível, numa linguagem clara e simples, em especial quando as informações são dirigidas especificamente a uma criança, e deve ser claramente distinguido de outras informações.

 

2-B. No contexto da utilização dos serviços da sociedade da informação, e sem prejuízo da Diretiva 2002/58/CE, o direito de oposição pode ser exercido por meios automatizados utilizando uma norma técnica que permita ao titular dos dados expressar claramente a sua vontade.

3. Se for mantida a oposição nos termos dos n.ºs 1 e 2, o responsável pelo tratamento deixa de utilizar ou tratar de outra forma os dados pessoais em causa.

3. Se for mantida a oposição nos termos dos n.ºs 1 e 2, o responsável pelo tratamento deixa de utilizar ou tratar de outra forma os dados pessoais em causa para os fins determinados na oposição.

(A última frase do n.º 2 no texto da Comissão tornou-se o n.º 2-A na alteração do Parlamento)

Alteração  115

Proposta de regulamento

Artigo 20

Texto da Comissão

Alteração

Medidas baseadas na definição de perfis

Definição de perfis

1. Qualquer pessoa singular tem o direito de não ficar sujeita a uma medida que produza efeitos na sua esfera jurídica ou que a afete de modo significativo, tomada exclusivamente com base num tratamento automatizado de dados destinado a avaliar determinados aspetos da sua personalidade, ou a analisar ou prever, em especial, a sua capacidade profissional, situação financeira, localização, saúde, preferências pessoais, fiabilidade ou comportamento.

1. Sem prejuízo do disposto no artigo 6.º, qualquer pessoa singular tem o direito de se opor à definição de perfis em conformidade com o artigo 19.º. O titular dos dados deve ser informado de que tem o direito de se opor à definição de perfis de forma claramente visível.

2. Sob reserva das outras disposições do presente regulamento, uma pessoa só pode ser sujeita a uma medida do tipo referido no n.º 1, se o tratamento:

2. Sob reserva das outras disposições do presente regulamento, uma pessoa só pode ser sujeita à definição de perfis que conduza a medidas que produzam efeitos jurídicos relativamente ao titular dos dados ou, do mesmo modo, afetar significativamente os interesses, direitos e liberdades fundamentais do titular dos dados em causa, se o tratamento:

(a) For efetuado no âmbito da celebração ou da execução de um contrato, sempre que o pedido de celebração ou execução do contrato, apresentado pelo titular dos dados, tiver sido satisfeito ou se tiverem sido apresentadas medidas adequadas para assegurar a proteção dos interesses legítimos da pessoa em causa, designadamente o direito de obter intervenção humana; ou

(a) For necessário para a celebração ou da execução de um contrato, sempre que o pedido de celebração ou execução do contrato, apresentado pelo titular dos dados, tiver sido satisfeito, desde que tenham sido apresentadas medidas adequadas para assegurar a proteção dos interesses legítimos da pessoa em causa; ou

(b) For expressamente autorizada por força da legislação da União ou de um Estado-Membro que estabeleça também medidas adequadas que garantam a defesa dos legítimos interesses da pessoa em causa; ou

(b) For expressamente autorizada por força da legislação da União ou de um Estado-Membro que estabeleça também medidas adequadas que garantam a defesa dos legítimos interesses da pessoa em causa;

(c) Tiver por base o consentimento do titular dos dados, sob reserva das condições estabelecidas no artigo 7.º, e de garantias adequadas.

(c) Tiver por base o consentimento do titular dos dados, sob reserva das condições estabelecidas no artigo 7.º, e de garantias adequadas.

3. O tratamento automatizado dos dados pessoais destinado a avaliar determinados aspetos pessoais próprios a uma pessoa singular não se deve basear exclusivamente nas categorias especiais de dados pessoais referidas no artigo 9.º.

3. É proibida a definição de perfis que tenha por efeito a discriminação contra pessoas singulares em razão de origem racial ou étnica, opiniões políticas, religião ou convicções, filiação sindical, orientação sexual ou identidade de género ou que conduza a medidas que tenham tais efeitos. O responsável pelo tratamento deve proceder a uma proteção eficaz contra a eventual discriminação resultante da definição de perfis. A definição de perfis não se deve basear exclusivamente nas categorias especiais de dados pessoais referidas no artigo 9.º.

4. Nos casos previstos no n.º 2, as informações a fornecer pelo responsável pelo tratamento nos termos do artigo 14.º devem incluir informações quanto à existência de tratamento para uma medida como a referida no n.º 1, e os efeitos previstos desse tratamento sobre o titular dos dados.

 

5. São atribuídas competências à Comissão para adotar atos delegados nos termos do artigo 86.º, a fim de especificar mais concretamente os critérios e as condições aplicáveis a medidas adequadas que garantam a defesa dos legítimos interesses do titular dos dados, em conformidade com o n.º 2.

5. A definição de perfis que conduza a medidas que produzam efeitos jurídicos relativamente ao titular dos dados ou, do mesmo modo, afetem significativamente os interesses, direitos e liberdades fundamentais do titular dos dados em causa não se deve basear, de forma exclusiva ou predominante, num tratamento automatizado de dados e deve incluir uma avaliação humana, mormente a explicação da decisão tomada após tal avaliação. As medidas adequadas que garantam a defesa dos legítimos interesses do titular dos dados, em conformidade com o n.º 2 devem incluir o direito a uma avaliação humana e a explicação da decisão tomada após tal avaliação.

 

5-A. O Comité Europeu para a Proteção de Dados será encarregado de publicar orientações, recomendações e boas práticas, em conformidade com o artigo 66.º, n.º 1, alínea b), para especificar mais concretamente os critérios e as condições de definição de perfis, nos termos do n.º 2.

Alteração  116

Proposta de regulamento

Artigo 21

Texto da Comissão

Alteração

Limitações

Limitações

1. A legislação da União ou dos Estados-Membros pode limitar, mediante disposições legislativas, o alcance das obrigações e dos direitos previstos no artigo 5.º, alíneas a) a e), nos artigos 11.º a 20.º, e no artigo 32.º, desde que tal limitação constitua uma medida necessária e proporcionada numa sociedade democrática para assegurar:

1. A legislação da União ou dos Estados-Membros pode limitar, mediante disposições legislativas, o alcance das obrigações e dos direitos previstos nos artigos 11.º a 19.º e no artigo 32.º, desde que tal limitação respeite um objetivo de interesse público claramente definido, respeite o conteúdo essencial do direito à proteção de dados pessoais, seja proporcional ao objetivo legítimo prosseguido, respeite os direitos fundamentais e os interesses do titular dos dados e seja uma medida necessária e proporcionada numa sociedade democrática para assegurar:

(a) A segurança pública;

(a) A segurança pública;

(b) A prevenção, investigação, deteção e repressão de infrações penais;

(b) A prevenção, investigação, deteção e repressão de infrações penais;

(c) Outros interesses públicos da União ou de um Estado-Membro, nomeadamente um interesse económico ou financeiro importante da União ou de um Estado-Membro, incluindo nos domínios monetário, orçamental ou fiscal, bem como a proteção da estabilidade e integridade dos mercados;

(c) questões fiscais;

(d) A prevenção, investigação, deteção e repressão de violações da deontologia de profissões regulamentadas;

(d) A prevenção, investigação, deteção e repressão de violações da deontologia de profissões regulamentadas;

(e) Uma missão de controlo, de inspeção ou de regulamentação associada, ainda que ocasionalmente, ao exercício da autoridade pública, nos casos referidos nas alíneas a), b), c) e d);

(e) Uma missão de controlo, de inspeção ou de regulamentação no âmbito do exercício de uma autoridade pública competente, nos casos referidos nas alíneas a), b), c) e d);

f) A proteção do titular dos dados ou dos direitos e liberdades de outrem.

f) A proteção do titular dos dados ou dos direitos e liberdades de outrem.

2. Qualquer medida legislativa referida no n.º 1 deve, nomeadamente, incluir disposições explícitas relativas, pelo menos, às finalidades do tratamento e às modalidades de identificação do responsável pelo tratamento.

2. Qualquer medida legislativa referida no n.º 1 deve ser necessária e proporcionada numa sociedade democrática e deve, nomeadamente, incluir disposições explícitas relativas, pelo menos:

 

(a) Às finalidades do tratamento;

 

(b) Às modalidades de identificação do responsável pelo tratamento;

 

(c) Às finalidades e meios específicos de tratamento;

 

(d) Às garantias para evitar o abuso ou o acesso ou a transferência ilícitos;

 

(e) Ao direito de os titulares dos dados serem informados da limitação.

 

2-A. As medidas legislativas referidas no n.º 1 não devem autorizar nem obrigar os responsáveis pelo tratamento privados a conservarem outros dados para além dos estritamente necessários para o fim inicial perseguido.

(A parte final do n.º 2 do texto da Comissão tornou-se nas alíneas a) e b) da alteração do Parlamento.)

Alteração  117

Proposta de regulamento

Artigo 22

Texto da Comissão

Alteração

Obrigações do responsável pelo tratamento

Obrigações e responsabilidade do responsável pelo tratamento

1. O responsável pelo tratamento adota regras internas e executa as medidas adequadas para assegurar, e conseguir comprovar, que o tratamento dos dados pessoais é realizado em conformidade com o presente regulamento.

1. O responsável pelo tratamento adota regras internas adequadas e executa as medidas técnicas e organizativas adequadas e demonstráveis para assegurar, e conseguir comprovar de forma transparente, que o tratamento dos dados pessoais é realizado em conformidade com o presente regulamento, tendo em conta as técnicas mais recentes, a natureza do tratamento de dados pessoais, o contexto, âmbito de aplicação e finalidades do tratamento, os riscos para os direitos e liberdades das pessoas em causa e o tipo de organização, tanto no momento da determinação dos meios para o tratamento como no momento da própria execução.

 

1-A. Tendo em conta as técnicas mais recentes e os custos da sua aplicação, o responsável pelo tratamento deve adotar todas as medidas razoáveis para aplicar políticas e procedimentos de cumprimento que respeitem persistentemente as opções autónomas dos titulares dos dados. Estas políticas de cumprimento devem ser revistas pelo menos de dois em dois anos e atualizadas sempre que necessário.

2. As medidas referidas no n.º 1 incluem, nomeadamente:

 

(a) Conservar a documentação, nos termos do artigo 28.º;

 

(b) Aplicar os requisitos de segurança previstos no artigo 30.º;

 

(c) Realizar uma avaliação de impacto sobre a proteção de dados, nos termos do artigo 33.º;

 

(d) Respeitar as obrigações relativas à autorização ou consulta prévias da autoridade de controlo, nos termos do artigo 34.º, n.ºs 1 e 2;

 

(e) Designar um delegado para a proteção de dados, nos termos do artigo 35.º, n.º 1.

 

3. O responsável pelo tratamento deve aplicar mecanismos para verificar a eficácia das medidas referidas nos n.ºs 1 e 2. Sob reserva da sua proporcionalidade, essa verificação deve ser realizada por auditores independentes internos ou externos.

3. O responsável pelo tratamento deve ser capaz de demonstrar a adequação e a eficácia das medidas referidas nos n.ºs 1 e 2. Quaisquer relatórios gerais regulares sobre as atividades do responsável pelo tratamento - tais como os relatórios obrigatórios das empresas cujos títulos são negociados publicamente - devem incluir uma descrição das políticas e medidas a que se refere o n.º 1.

 

3-A. O responsável pelo tratamento de dados deve ter o direito de transmitir dados pessoais no território da União, a nível do grupo de empresas ao qual pertence o responsável pelo tratamento, nos casos em que tal se revele necessário para fins administrativos legítimos de ordem interna entre áreas de negócios ligadas do grupo de empresas e um nível adequado de proteção de dados, bem como garantir que os interesses dos titulares dos dados são salvaguardados pelas disposições internas em matéria de proteção de dados ou códigos de conduta equivalentes a que se refere o artigo 38.º.

4. São atribuídas competências à Comissão para adotar atos delegados nos termos do artigo 86.º, a fim de especificar mais concretamente os critérios e requisitos adicionais aplicáveis às medidas adequadas referidas no n.º 1, para além das referidas no n.º 2, às condições de verificação e mecanismos de auditoria referidos no n.º 3 e aos critérios de proporcionalidade previstos no n.º 3, e considerar a adoção de medidas específicas para as micro, pequenas e médias empresas.

 

Alteração  118

Proposta de regulamento

Artigo 23

Texto da Comissão

Alteração

Proteção de dados desde a conceção e por defeito

Proteção de dados desde a conceção e por defeito

1. Tendo em conta as técnicas mais recentes e os custos da sua aplicação, o responsável pelo tratamento aplica, tanto no momento de definição dos meios de tratamento como no momento do próprio tratamento, as medidas e os procedimentos técnicos e organizativos apropriados para que o tratamento seja conforme com os requisitos do presente regulamento e garanta a proteção dos direitos do titular dos dados.

1. Tendo em conta as técnicas mais recentes, os conhecimentos técnicos atuais, as melhores práticas internacionais e os riscos apresentados pelo tratamento de dados, o responsável pelo tratamento e o subcontratante, se existir, aplicam, tanto no momento de definição dos fins e dos meios de tratamento como no momento do próprio tratamento, as medidas e os procedimentos técnicos e organizativos apropriados e proporcionados para que o tratamento seja conforme com os requisitos do presente regulamento e garanta a proteção dos direitos do titular dos dados, em particular em relação aos princípios estabelecidos no artigo 5.º. A proteção dos dados desde a conceção deve ter em especial conta a gestão completa do ciclo de vida dos dados pessoais, desde a recolha, passando pelo tratamento, até à eliminação, centrando-se sistematicamente em garantias processuais abrangentes respeitantes à precisão, confidencialidade, integridade, segurança física e eliminação dos dados pessoais. Sempre que o responsável pelo tratamento tiver levado a efeito uma avaliação de impacto na proteção de dados nos termos do artigo 33.º, os resultados da referida avaliação são tidos em conta para efeitos de desenvolvimento destas medidas e procedimentos.

 

1-A. A fim de promover a sua ampla aplicação nos diversos setores económicos, a proteção de dados deve, desde a sua conceção, ser um pré-requisito para os concursos públicos nos termos da Diretiva 2004/18/CE do Parlamento Europeu e do Conselho1 e nos termos da Diretiva 2004/17/CE do Parlamento Europeu e do Conselho2 (Diretiva “Serviços de utilidade pública”).

2. O responsável pelo tratamento aplica mecanismos que garantam, por defeito, que apenas são tratados os dados pessoais necessários para cada finalidade específica do tratamento e, especialmente, que não são recolhidos ou conservados para além do mínimo necessário para essas finalidades, tanto em termos da quantidade de dados, como da duração da sua conservação. Em especial, esses mecanismos devem assegurar que, por defeito, os dados pessoais não sejam disponibilizados a um número indeterminado de pessoas singulares.

2. O responsável pelo tratamento garante, por defeito, que apenas são tratados os dados pessoais necessários para cada finalidade específica do tratamento e, especialmente, que não são recolhidos ou divulgados para além do mínimo necessário para essas finalidades, tanto em termos da quantidade de dados, como da duração da sua conservação. Em especial, esses mecanismos devem assegurar que, por defeito, os dados pessoais não sejam disponibilizados a um número indeterminado de pessoas singulares e que os titulares dos dados estejam em condições de controlar a distribuição dos seus dados pessoais.

3. São atribuídas competências à Comissão para adotar atos delegados nos termos do artigo 86.º, a fim de especificar mais concretamente os critérios e as exigências aplicáveis às medidas e aos mecanismos adequados referidos nos n.ºs 1 e 2, em especial quanto à proteção de dados desde a conceção aplicáveis ao conjunto dos setores, produtos e serviços.

 

4. A Comissão pode estabelecer normas técnicas para as exigências definidas nos n.ºs 1 e 2. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.º, n.º 2.

 

 

1 Diretiva 2004/18/CE do Parlamento Europeu e do Conselho, de 31 de março de 2004, relativa à coordenação dos processos de adjudicação dos contratos de empreitada de obras públicas, dos contratos públicos de fornecimento e dos contratos públicos de serviços (JO L 134 de 30.4.2004, p.114).

2 Diretiva 2004/17/CE do Parlamento Europeu e do Conselho, de 31 de março de 2004, relativa à coordenação dos processos de adjudicação de contratos nos sectores da água, da energia, dos transportes e dos serviços postais (JO L 134 de 30.4.2004, p. 1).

Alteração  119

Proposta de regulamento

Artigo 24

Texto da Comissão

Alteração

Responsáveis conjuntos pelo tratamento

Responsáveis conjuntos pelo tratamento

Sempre que um responsável pelo tratamento definir, em conjunto com outros, as finalidades, as condições e os meios do tratamento de dados pessoais, os responsáveis conjuntos pelo tratamento devem definir, por acordo, as respetivas obrigações, a fim de respeitarem as disposições adotadas em conformidade com o presente regulamento, nomeadamente no que diz respeito aos procedimentos e mecanismos que regulam o exercício de direitos do titular dos dados.

Sempre que vários responsáveis pelo tratamento determinarem, em conjunto, as finalidades e os meios do tratamento de dados pessoais, os responsáveis conjuntos pelo tratamento devem cumprir igualmente, por acordo, as suas obrigações, a fim de respeitarem as disposições adotadas em conformidade com o presente regulamento, nomeadamente no que diz respeito aos procedimentos e mecanismos que regulam o exercício de direitos do titular dos dados. O acordo deve refletir devidamente as respetivas funções efetivas dos responsáveis conjuntos pelo tratamento e as suas relações com os titulares dos dados e a essência do acordo deve ser disponibilizada ao titular dos dados. Em caso de falta de clareza acerca da responsabilidade, os responsáveis pelo tratamento devem ser conjunta e solidariamente responsáveis.

Alteração  120

Proposta de regulamento

Artigo 25

Texto da Comissão

Alteração

Representantes dos responsáveis pelo tratamento não estabelecidos na União

Representantes dos responsáveis pelo tratamento não estabelecidos na União

1. Na situação referida no artigo 3.º, n.º 2, o responsável pelo tratamento designa um representante na União.

1. Na situação referida no artigo 3.º, n.º 2, o responsável pelo tratamento designa um representante na União.

2. Esta obrigação não se aplica a:

2. Esta obrigação não se aplica a:

(a) Um responsável pelo tratamento estabelecido num país terceiro sempre que a Comissão tenha decidido que o país terceiro assegura um nível de proteção adequado nos termos do artigo 41.º; ou

(a) Um responsável pelo tratamento estabelecido num país terceiro sempre que a Comissão tenha decidido que o país terceiro assegura um nível de proteção adequado nos termos do artigo 41.º; ou

(b) Uma empresa com menos de 250 trabalhadores; ou

(b) Um responsável pelo tratamento de dados pessoais que diz respeito a menos de 5000 titulares de dados durante um período determinado de 12 meses consecutivos e que não procede ao tratamento de categorias especiais de dados pessoais referidas no artigo 9.º, n.º 1, dados de localização ou dados sobre crianças ou trabalhadores em sistemas de arquivo de grande escala; ou

(c) Uma autoridade ou um organismo público; ou

(c) Uma autoridade ou um organismo público; ou

(d) Um responsável pelo tratamento que ofereça ocasionalmente bens ou serviços a titulares de dados residentes na União.

(d) Um responsável pelo tratamento que ofereça ocasionalmente bens ou serviços a titulares de dados na União, exceto se o tratamento disser respeito a categorias especiais de dados pessoais referidas no artigo 9.º, n.º 1, dados de localização ou dados sobre crianças ou trabalhadores em sistemas de arquivo de grande escala.

3. O representante deve estar estabelecido num dos Estados-Membros em que residam os titulares de dados pessoais que são objeto de tratamento no contexto da oferta que lhes é feita de bens ou serviços, ou cujo comportamento é controlado.

3. O representante deve estar estabelecido num dos Estados-Membros em que é feita a oferta de bens ou serviços ou onde o seu comportamento é controlado.

4. A designação de um representante pelo responsável pelo tratamento não prejudica as ações judiciais que possam vir a ser intentadas contra o próprio responsável pelo tratamento.

4. A designação de um representante pelo responsável pelo tratamento não prejudica as ações judiciais que possam vir a ser intentadas contra o próprio responsável pelo tratamento.

Alteração  121

Proposta de regulamento

Artigo 26

Texto da Comissão

Alteração

Subcontratante

Subcontratante

1. Sempre que o tratamento de dados for efetuado por sua conta, o responsável pelo tratamento escolhe um subcontratante que apresente garantias suficientes de execução das medidas e procedimentos técnicos e organizativos apropriados, de forma a que esse tratamento seja conforme com os requisitos do presente regulamento e garanta a proteção dos direitos do titular de dados, nomeadamente quanto às medidas de segurança técnica e medidas organizativas que regulam o procedimento a realizar, devendo o responsável pelo tratamento assegurar o cumprimento dessas medidas.

1. Sempre que o tratamento de dados for efetuado por sua conta, o responsável pelo tratamento escolhe um subcontratante que apresente garantias suficientes de execução das medidas e procedimentos técnicos e organizativos apropriados, de forma a que esse tratamento seja conforme com os requisitos do presente regulamento e garanta a proteção dos direitos do titular de dados, nomeadamente quanto às medidas de segurança técnica e medidas organizativas que regulam o procedimento a realizar, devendo o responsável pelo tratamento assegurar o cumprimento dessas medidas.

2. A realização de operações de tratamento em subcontratação deve ser regulada por um contrato ou outro ato jurídico que vincule o subcontratante ao responsável pelo tratamento e que preveja, designadamente, que o subcontratante:

2. A realização de operações de tratamento em subcontratação deve ser regulada por um contrato ou outro ato jurídico que vincule o subcontratante ao responsável pelo tratamento. O responsável pelo tratamento e o subcontratante são livres de definir as respetivas funções e tarefas no que respeita aos requisitos do presente regulamento, devendo prever que o subcontratante:

(a) Atuará apenas mediante instruções do responsável pelo tratamento, em especial quando a transferência de dados pessoais utilizados for proibida;

(a) Efetua o tratamento de dados apenas mediante instruções do responsável pelo tratamento, salvo se a legislação da União ou de um Estado-Membro exigir diferente;

(b) Empregará apenas pessoal que assumiu um compromisso de confidencialidade ou que se encontre sujeito às obrigações de confidencialidade previstas na legislação;

(b) Empregará apenas pessoal que assumiu um compromisso de confidencialidade ou que se encontre sujeito às obrigações de confidencialidade previstas na legislação;

(c) Adotará todas as medidas exigidas nos termos do artigo 30.º;

(c) Adotará todas as medidas exigidas nos termos do artigo 30.º;

(d) Recrutará outro subcontratante apenas mediante autorização prévia do responsável pelo tratamento;

(d) Determinará as condições de recrutamento de outro subcontratante apenas mediante autorização prévia do responsável pelo tratamento, salvo se determinado de outro modo;

(e) Na medida do possível, tendo em conta a natureza do tratamento, estabelecerá, mediante acordo com o responsável pelo tratamento, os requisitos técnicos e organizativos necessários para permitir ao responsável pelo tratamento cumprir a sua obrigação de dar resposta aos pedidos dos titulares de dados, tendo em vista o exercício dos seus direitos previstos no Capítulo III;

(e) Na medida do possível, tendo em conta a natureza do tratamento, estabelecerá, mediante acordo com o responsável pelo tratamento, os requisitos técnicos e organizativos apropriados e pertinentes para permitir ao responsável pelo tratamento cumprir a sua obrigação de dar resposta aos pedidos dos titulares de dados, tendo em vista o exercício dos seus direitos previstos no Capítulo III;

f) Prestará assistência ao responsável pelo tratamento no sentido de garantir o cumprimento das obrigações previstas nos artigos 30.º a 34.º.

f) Prestará assistência ao responsável pelo tratamento no sentido de garantir o cumprimento das obrigações previstas nos artigos 30.º a 34.º, tendo em conta a natureza do tratamento e a informação ao dispor do subcontratante.

g) Findo o tratamento, entregará todos os resultados ao responsável pelo tratamento e não procederá a qualquer outro tratamento dos dados pessoais;

g) Findo o tratamento, devolverá todos os resultados ao responsável pelo tratamento, não procederá a qualquer outro tratamento dos dados pessoais e eliminará as cópias existentes, exceto se a legislação da União ou dos Estados-Membros exigir a armazenagem dos dados;

(h) Disponibilizará ao responsável pelo tratamento e à autoridade de controlo todas as informações necessárias para verificar o cumprimento das obrigações previstas no presente artigo.

(h) Disponibilizará ao responsável pelo tratamento todas as informações necessárias para demonstrar o cumprimento das obrigações previstas no presente artigo e permitirá inspeções no local.

3. O responsável pelo tratamento e o subcontratante conservam um documento escrito com as instruções do responsável pelo tratamento e as obrigações do subcontratante referidas no n.º 2.

3. O responsável pelo tratamento e o subcontratante conservam um documento escrito com as instruções do responsável pelo tratamento e as obrigações do subcontratante referidas no n.º 2.

 

3-A. As garantias suficientes referidas no n.º 1 podem ser demonstradas através da adesão a códigos de conduta ou mecanismos de certificação em conformidade com os artigos 38.º ou 39.º do presente regulamento.

4. Se um subcontratante proceder ao tratamento de dados pessoais de forma diferente da que foi definida nas instruções do responsável pelo tratamento, o subcontratante é considerado responsável pelo tratamento quanto a esse tratamento, ficando sujeito às disposições aplicáveis aos responsáveis conjuntos pelo tratamento estabelecidas no artigo 24.º.

4. Se um subcontratante proceder ao tratamento de dados pessoais de forma diferente da que foi definida nas instruções do responsável pelo tratamento ou se tornar a parte determinante em relação às finalidades e meios de tratamento de dados, o subcontratante é considerado responsável pelo tratamento em relação ao referido tratamento, ficando sujeito às disposições aplicáveis aos responsáveis conjuntos pelo tratamento previstas no artigo 24.º.

5. São atribuídas competências à Comissão para adotar atos delegados nos termos do artigo 86.º, a fim de especificar mais concretamente os critérios e requisitos aplicáveis às responsabilidades, funções e atribuições de um subcontratante, em conformidade com o n.º 1, bem como às condições que facilitem o tratamento de dados pessoais a nível de um grupo de empresas, em especial para efeitos para efeitos de controlo e de apresentação de relatórios.

 

Alteração       122

Proposta de regulamento

Artigo 28

Texto da Comissão

Alteração

Documentação

Documentação

1. Cada responsável pelo tratamento e cada subcontratante, bem como, caso exista, o representante do responsável pelo tratamento, mantêm a documentação de todas as operações de tratamento de dados efetuadas sob a sua responsabilidade.

1. Cada responsável pelo tratamento e cada subcontratante, mantêm regularmente atualizada a documentação necessária ao cumprimento dos requisitos estipulados no presente regulamento.

2. Essa documentação deve consistir, pelo menos, nas seguintes informações:

2. Além disso, cada responsável pelo tratamento e cada subcontratante mantêm documentação que deve consistir nas seguintes informações:

(a) Nome e contactos do responsável pelo tratamento, ou de qualquer responsável conjunto pelo tratamento ou subcontratante conjunto e, caso exista, do representante;

(a) Nome e contactos do responsável pelo tratamento, ou de qualquer responsável conjunto pelo tratamento ou subcontratante conjunto e, caso exista, do representante;

(b) Nome e contactos do responsável pela proteção dos dados, caso existam;

(b) Nome e contactos do responsável pela proteção dos dados, caso existam;

(c) Finalidades do tratamento, incluindo os interesses legítimos do responsável pelo tratamento, sempre que o tratamento se basear no artigo 6.º, n.º 1, alínea f);

 

(d) Descrição das categorias de titulares de dados e das categorias de dados pessoais que lhes digam respeito;

 

(e) Destinatários ou categorias de destinatários dos dados pessoais, incluindo os responsáveis pelo tratamento a quem são comunicados esses dados pessoais para efeitos dos interesses legítimos que prosseguem;

(e) Nome e contactos dos responsáveis pelo tratamento a quem são comunicados esses dados pessoais, caso existam;

f) Se for caso disso, as transferências de dados para um país terceiro ou uma organização internacional, incluindo o nome desse país terceiro ou dessa organização internacional e, no caso de transferências referidas no artigo 44.º, n.º 1, alínea h), a documentação que comprove a existência das garantias adequadas;

 

g) Uma indicação geral dos prazos fixados para o apagamento das diferentes categorias de dados;

 

(h) Descrição dos mecanismos referidos no artigo 22.º, n.º 3;

 

3. O responsável pelo tratamento e o subcontratante, bem como, caso exista, o representante do responsável pelo tratamento, disponibilizam a documentação existente à autoridade de controlo, quando por esta solicitado.

 

4. As obrigações referidas nos n.ºs 1 e 2 não se aplicam aos responsáveis pelo tratamento e aos subcontratantes seguintes:

Suprimido

(a) Pessoas singulares que tratem dados pessoais sem qualquer fim comercial; ou

 

(b) Empresas ou organismos com mais de 250 assalariados que tratem dados pessoais unicamente no âmbito de uma atividade acessória da sua atividade principal.

 

5. São atribuídas competências à Comissão para adotar atos delegados nos termos do artigo 86.º, a fim de especificar mais concretamente os critérios e requisitos aplicáveis à documentação referida no n.º 1, para ter em conta, nomeadamente, as obrigações do responsável pelo tratamento e do subcontratante e, caso exista, do representante do responsável pelo tratamento.

 

6. A Comissão pode elaborar formulários normalizados para a documentação referida no n.º 1. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.º, n.º 2.

 

Alteração  123

Proposta de regulamento

Artigo 29 – parágrafo 1

Texto da Comissão

Alteração

1. O responsável pelo tratamento e o subcontratante, bem como, caso exista, o representante do responsável pelo tratamento, cooperam, mediante pedido, com a autoridade de controlo no exercício das suas funções, particularmente no fornecimento das informações referidas no artigo 53.º, n.º 2, alínea a), e facultando-lhe o acesso previsto na alínea b) desse número.

1. O responsável pelo tratamento e, caso existam, o subcontratante e o representante do responsável pelo tratamento, cooperam, mediante pedido, com a autoridade de controlo no exercício das suas funções, particularmente no fornecimento das informações referidas no artigo 53.º, n.º 2, alínea a), e facultando-lhe o acesso previsto na alínea b) desse número.

Alteração  124

Proposta de regulamento

Artigo 30

Texto da Comissão

Alteração

Segurança do tratamento

Segurança do tratamento

1. O responsável pelo tratamento e o subcontratante aplicam as medidas técnicas e organizativas necessárias para assegurar um nível de segurança adaptado aos riscos que o tratamento representa e à natureza dos dados pessoais a proteger, atendendo às técnicas mais recentes e aos custos resultantes da sua aplicação.

1. O responsável pelo tratamento e o subcontratante aplicam as medidas técnicas e organizativas necessárias para assegurar um nível de segurança adaptado aos riscos que o tratamento representa, tendo em conta os resultados da avaliação de impacto sobre a proteção de dados, nos termos do artigo 33.º, atendendo às técnicas mais recentes e aos custos resultantes da sua aplicação.

 

1-A. Tendo em conta as técnicas mais recentes e os custos de aplicação, tal política de segurança deve incluir:

 

(a) a capacidade de assegurar que a integridade dos dados pessoais seja validada;

 

(b) a capacidade de assegurar a confidencialidade, a integridade, a disponibilidade e a resiliência permanentes dos sistemas e dos serviços de tratamento de dados pessoais;

 

(c) a capacidade de restabelecer a disponibilidade e o acesso aos dados de forma atempada no caso de um incidente físico ou técnico que afete a disponibilidade, a integridade e a confidencialidade dos sistemas e dos serviços de informação;

 

(d) no caso de tratamento de dados pessoais sensíveis de acordo com os artigos 8.º e 9.º, medidas de segurança adicionais para assegurar o conhecimento da situação de risco e a capacidade de adotar medidas preventivas, corretivas e atenuantes, em tempo quase real, contra vulnerabilidades ou incidentes detetados que possam constituir um risco para os dados;

 

(e) um processo para testar, apreciar e avaliar regularmente a eficácia das políticas, dos procedimentos e dos planos de segurança destinados a assegurar a eficácia contínua.

2. O responsável pelo tratamento e o subcontratante adotam, na sequência de uma avaliação de riscos, as medidas referidas no n.º 1 para proteger os dados pessoais contra a destruição acidental ou ilícita e a perda acidental, e para evitar qualquer forma de tratamento ilícito, em especial a divulgação, a difusão, ou o acesso, não autorizados, ou a alteração de dados pessoais.

2. As medidas referidas no n.º 1 devem, pelo menos:

 

(a) garantir que apenas o pessoal autorizado possa ter acesso aos dados pessoais para fins autorizados a nível legal,

 

(b) assegurar a proteção dos dados pessoais armazenados ou transmitidos contra a destruição acidental ou ilegal, a perda ou a alteração acidental e o armazenamento, o tratamento, o acesso ou a divulgação não autorizados ou ilegais; e ainda

 

(c) garantir a aplicação de uma política de segurança relativa ao tratamento dos dados pessoais.

3. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o artigo 86.º, a fim de especificar mais concretamente os critérios e as condições aplicáveis às medidas técnicas e organizativas referidas nos n.ºs 1 e 2, incluindo determinar em que consistem as técnicas mais recentes, para setores específicos e em situações específicas de tratamento de dados, nomeadamente atendendo à evolução das técnicas e a soluções de proteção da privacidade e dos dados desde a conceção, bem como por defeito, salvo se for aplicável o n 4.

3. É atribuída ao Comité Europeu para a Proteção de Dados a tarefa de emitir diretrizes, recomendações e boas práticas em conformidade com o artigo 66.º, n.º 1, alínea b), aplicáveis às medidas técnicas e organizativas referidas nos n.ºs 1 e 2, incluindo determinar em que consistem as técnicas mais recentes, para setores específicos e em situações específicas de tratamento de dados, nomeadamente atendendo à evolução das técnicas e a soluções de proteção da privacidade e dos dados desde a conceção, bem como por defeito, em conformidade com o disposto no artigo 66.º.

4. A Comissão pode adotar, sempre que necessário, atos de execução, a fim de especificar os requisitos previstos nos n.ºs 1 a 2 em diversas situações, tendo particularmente em vista:

 

(a) Impedir o acesso de pessoas não autorizadas aos dados pessoais;

 

(b) Impedir qualquer forma não autorizada de divulgação, leitura, reprodução, alteração, apagamento ou retirada de dados;

 

(c) Assegurar a verificação da licitude das operações de tratamento de dados.

 

Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.º, n.º 2.

 

(O n.º 2 do texto da Comissão passou parcialmente a ser a alínea b) da alteração do Parlamento).

Alteração  125

Proposta de regulamento

Artigo 31

Texto da Comissão

Alteração

Notificação da violação de dados pessoais à autoridade de controlo

Notificação da violação de dados pessoais à autoridade de controlo

1. Em caso de violação de dados pessoais, o responsável pelo tratamento notifica desse facto a autoridade de controlo, sem demora injustificada e, sempre que possível, o mais tardar 24 horas após ter tido conhecimento da mesma. Caso a notificação à autoridade de controlo não seja transmitida no prazo de 24 horas, deve ser acompanhada de uma justificação razoável.

1. Em caso de violação de dados pessoais, o responsável pelo tratamento notifica desse facto a autoridade de controlo, sem demora injustificada.

2. Nos termos do artigo 26.º, n.º 2, alínea f), o subcontratante alerta e informa o responsável pelo tratamento imediatamente após a deteção de uma violação de dados pessoais.

2. O subcontratante alerta e informa o responsável pelo tratamento, sem demora injustificada, após a deteção de uma violação de dados pessoais.

3. A notificação referida no n.º 1 deve, pelo menos:

3. A notificação referida no n.º 1 deve, pelo menos:

(a) Descrever a natureza de violação dos dados pessoais, incluindo as categorias e o número de titulares de dados afetados, bem como as categorias e o número de registos de dados em causa;

(a) Descrever a natureza de violação dos dados pessoais, incluindo as categorias e o número de titulares de dados afetados, bem como as categorias e o número de registos de dados em causa;

(b) Comunicar a identidade e os contactos do delegado para a proteção de dados ou de outro ponto de contacto onde possam ser obtidas informações adicionais;

(b) Comunicar a identidade e os contactos do delegado para a proteção de dados ou de outro ponto de contacto onde possam ser obtidas informações adicionais;

(c) Recomendar medidas destinadas a atenuar os eventuais efeitos adversos da violação de dados pessoais;

(c) Recomendar medidas destinadas a atenuar os eventuais efeitos adversos da violação de dados pessoais;

(d) Descrever as consequências da violação de dados pessoais;

(d) Descrever as consequências da violação de dados pessoais;

(e) Descrever as medidas propostas ou adotadas pelo responsável pelo tratamento para remediar a violação de dados pessoais.

(e) Descrever as medidas propostas ou adotadas pelo responsável pelo tratamento para remediar a violação de dados pessoais e atenuar os seus efeitos.

Se necessário, a informação pode ser fornecida por fases.

4. O responsável pelo tratamento documenta qualquer violação de dados pessoais, incluindo os factos relacionados com a mesma, os respetivos efeitos e a medida de reparação adotada. Essa documentação deve permitir à autoridade de controlo verificar o respeito do disposto no presente artigo. A documentação deve incluir apenas as informações necessárias para esse efeito.

4. O responsável pelo tratamento documenta qualquer violação de dados pessoais, incluindo os factos relacionados com a mesma, os respetivos efeitos e a medida de reparação adotada. Essa documentação deve ser suficiente para permitir à autoridade de controlo verificar o respeito do disposto no presente artigo e no artigo 30.º. A documentação deve incluir apenas as informações necessárias para esse efeito.

 

4-A. A autoridade de controlo deve manter um registo público dos tipos de violações notificadas.

5. São atribuídas competências à Comissão para adotar atos delegados nos termos do artigo 86.º, a fim de especificar mais concretamente os critérios e requisitos aplicáveis à determinação da violação de dados referida nos n.ºs 1 e 2, e às circunstâncias particulares em que um responsável pelo tratamento e um subcontratante são obrigados a notificar a violação de dados pessoais.

5. É atribuída ao Comité Europeu para a Proteção de Dados a tarefa de emitir diretrizes, recomendações e boas práticas em conformidade com o artigo 66.º, n.º 1, alínea b), aplicáveis à determinação da violação e da demora injustificada referidas nos n.ºs 1 e 2, e às circunstâncias particulares em que um responsável pelo tratamento e um subcontratante são obrigados a notificar a violação de dados pessoais.

6. A Comissão pode definir um formato normalizado para essa notificação à autoridade de controlo, os procedimentos aplicáveis ao requisito de notificação, bem como o formulário e as modalidades para a documentação referida no n.º 4, incluindo os prazos para o apagamento das informações aí contidas. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.º, n.º 2.

 

Alteração  126

Proposta de regulamento

Artigo 32

Texto da Comissão

Alteração

Comunicação de uma violação de dados pessoais ao titular dos dados

Comunicação de uma violação de dados pessoais ao titular dos dados

1. Sempre que a violação de dados pessoais for suscetível de afetar negativamente a proteção dos dados pessoais ou a privacidade do titular dos dados, o responsável pelo tratamento, após a notificação a que se refere o artigo 31.º, comunica a violação de dados pessoais à pessoa em causa sem demora injustificada.

1. Sempre que a violação de dados pessoais for suscetível de afetar negativamente a proteção dos dados pessoais, a privacidade, os direitos ou os interesses legítimos do titular dos dados, o responsável pelo tratamento, após a notificação a que se refere o artigo 31.º, comunica a violação de dados pessoais à pessoa em causa sem demora injustificada.

2. A comunicação ao titular dos dados referida no n.º 1 deve descrever a natureza da violação dos dados pessoais e incluir, pelo menos, as informações e recomendações previstas no artigo 31.º, n.º 3, alíneas b) e c).

A comunicação ao titular dos dados referida no n.º 1 deve ser abrangente e numa linguagem clara e simples. Deve descrever a natureza da violação dos dados pessoais e incluir, pelo menos, as informações e recomendações previstas no artigo 31.º, n.º 3, alíneas b), c) e d), e as informações sobre os direitos dos titulares dos dados, incluindo o direito de recurso.

3. A comunicação de uma violação de dados pessoais ao seu titular não é exigida se o responsável pelo tratamento demonstrar cabalmente, a contento da autoridade de controlo, que tomou as medidas de proteção tecnológica adequadas e que estas foram aplicadas aos dados a que a violação diz respeito. Essas medidas de proteção tecnológica devem tornar os dados incompreensíveis para qualquer pessoa que não esteja autorizada a aceder a esses dados.

3. A comunicação de uma violação de dados pessoais ao seu titular não é exigida se o responsável pelo tratamento demonstrar cabalmente, a contento da autoridade de controlo, que tomou as medidas de proteção tecnológica adequadas e que estas foram aplicadas aos dados a que a violação diz respeito. Essas medidas de proteção tecnológica devem tornar os dados incompreensíveis para qualquer pessoa que não esteja autorizada a aceder a esses dados.

4. Sem prejuízo da obrigação que incumbe ao responsável pelo tratamento de comunicar ao titular dos dados a violação dos seus dados pessoais, se o primeiro não tiver já comunicado a violação de dados pessoais à pessoa em causa, a autoridade de controlo, atendendo aos efeitos negativos prováveis dessa violação, pode exigir que proceda a essa notificação.

4. Sem prejuízo da obrigação que incumbe ao responsável pelo tratamento de comunicar ao titular dos dados a violação dos seus dados pessoais, se o primeiro não tiver já comunicado a violação de dados pessoais à pessoa em causa, a autoridade de controlo, atendendo aos efeitos negativos prováveis dessa violação, pode exigir que proceda a essa notificação.

5. São atribuídas competências à Comissão para adotar atos delegados nos termos do artigo 86.º, a fim de especificar mais concretamente os critérios e requisitos aplicáveis às circunstâncias em que uma violação de dados pessoais seja suscetível de afetar negativamente os dados pessoais, tal como referido no n.º 1.

É atribuída ao Comité Europeu para a Proteção de Dados a tarefa de emitir diretrizes, recomendações e boas práticas em conformidade com o artigo 66.º, n.º 1, alínea b) aplicáveis às circunstâncias em que uma violação de dados pessoais seja suscetível de afetar negativamente os dados pessoais, a privacidade, os direitos ou os interesses legítimos do titular dos dados, tal como referido no n.º 1.

6. A Comissão pode definir o formato da comunicação ao titular dos dados referida no n.º 1 e os procedimentos aplicáveis a essa comunicação. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.º, n.º 2.

 

Alteração  127

Proposta de regulamento

Artigo 32-A (novo)

Texto da Comissão

Alteração

 

Artigo 32.º-A

 

Respeito pelo risco

 

1. O responsável pelo tratamento ou, se for caso disso, o subcontratante, efetua uma análise dos riscos do potencial impacto que o tratamento de dados possa representar para os direitos e as liberdades das pessoas em causa.

 

2. As operações de tratamento suscetíveis de apresentarem riscos específicos são as seguintes:

 

(a) o tratamento de dados pessoais relacionados com mais de 5000 titulares de dados durante um período de 12 meses consecutivos;

 

(b) o tratamento de categorias especiais de dados pessoais, conforme referido no artigo 9.º, n.º 1, dados de localização ou dados relativos a crianças ou a trabalhadores em sistemas de arquivo de grande dimensão;

 

(c) a elaboração de perfis com base na qual são adotadas as medidas que produzem efeitos jurídicos relativamente à pessoa em causa ou que, do mesmo modo, a afetam de forma significativa;

 

(d) o tratamento de dados pessoais destinadas à prestação de cuidados de saúde, investigações epidemiológicas, ou inquéritos relativos a doenças mentais ou infecciosas, sempre que os dados forem tratados com vista a adotar medidas ou decisões em grande escala visando pessoas específicas;

 

(e) O controlo automatizado de zonas acessíveis ao público em grande escala;

 

f) Outras operações de tratamento para as quais é obrigatória a consulta do delegado para a proteção de dados ou da autoridade de controlo nos termos do artigo 34.º, n.º 2, alínea b);

 

g) Sempre que uma violação de dados pessoais seja suscetível de afetar negativamente a proteção dos dados pessoais, a privacidade, os direitos ou os interesses legítimos dos titulares de dados.

 

(h) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares de dados;

 

(i) Sempre que sejam disponibilizados dados pessoais a um número de pessoas relativamente ao qual não seja razoável esperar que seja limitado;

 

3. Em conformidade com o resultado da análise dos riscos:

 

(a) Sempre que se verifique qualquer das operações de tratamento referidas no n.º 2, alínea (a) ou (b), os responsáveis pelo tratamento não estabelecidos na União designam um representante na União, em conformidade com os requisitos e as derrogações previstas no artigo 25.º;

 

(b) Sempre que se verifique qualquer das operações de tratamento referidas no n.º 2, alínea (a), (b) ou (h), o responsável pelo tratamento designa um delegado para a proteção de dados, em conformidade com os requisitos e as derrogações previstas no artigo 35.º;

 

(c) Sempre que se verifique qualquer das operações de tratamento referidas no n.º 2, alínea (a), (b), (c), (d), (e), (f), (g) ou (h), o responsável pelo tratamento ou o subcontratante, atuando em nome do responsável pelo tratamento, efetua uma avaliação de impacto sobre a proteção dos dados, nos termos do artigo 33.º.

 

(d) Sempre que se verifiquem as operações de tratamento referidas no n º 2, alínea (f), o controlador consulta o delegado para a proteção de dados ou, se não tiver sido nomeado um delegado para a proteção de dados, a autoridade de controlo, nos termos do artigo 34.º.

 

4. A análise dos riscos será revista, o mais tardar, um ano depois, ou imediatamente, se a natureza, o âmbito ou a finalidade das operações de tratamento de dados mudarem significativamente. Sempre que, nos termos do n.º 3, alínea (c), o responsável pelo tratamento não seja obrigado a realizar uma avaliação de impacto sobre a proteção de dados, a análise dos riscos deve ser documentada.

Alteração  128

Proposta de regulamento

Capítulo 4 – Secção 3 – Título

Texto da Comissão

Alteração

AVALIAÇÃO DE IMPACTO SOBRE A PROTEÇÃO DE DADOS E AUTORIZAÇÃO PRÉVIA

CICLO DE VIDA DA GESTÃO DA PROTEÇÃO DE DADOS

Alteração  129

Proposta de regulamento

Artigo 33

Texto da Comissão

Alteração

Avaliação de impacto sobre a proteção de dados

Avaliação de impacto sobre a proteção de dados

1. Sempre que as operações de tratamento apresentem riscos específicos para os direitos e liberdades dos titulares de dados em virtude da sua natureza, do seu âmbito ou da sua finalidade, o responsável pelo tratamento ou o subcontratante, atuando em nome do responsável pelo tratamento, efetuam uma avaliação de impacto das operações de tratamento previstas sobre a proteção de dados pessoais.

1. Sempre que requerido nos termos do artigo 32.º-A, n.º 3, alínea c), o responsável pelo tratamento ou o subcontratante, atuando em nome do responsável pelo tratamento, efetuam uma avaliação de impacto das operações de tratamento previstas sobre os direitos e as liberdades dos titulares de dados, nomeadamente o seu direito à proteção de dados pessoais. Uma única avaliação será suficiente para fazer face a um conjunto de operações de tratamento semelhantes que apresentem riscos semelhantes.

2. As seguintes operações de tratamento, em especial, apresentam os riscos específicos referidos no n.º 1:

 

(a) A avaliação sistemática e completa dos aspetos pessoais relacionados com uma pessoa singular, ou visando analisar ou prever, nomeadamente, a sua situação financeira, localização, saúde, preferências pessoais, fiabilidade ou comportamento, baseada num processo automatizado e com base na qual são adotadas medidas que produzem efeitos jurídicos relativamente à pessoa em causa ou que a afetam de forma significativa;

 

(b) O tratamento de informações sobre a orientação sexual, saúde, raça e origem étnica, ou destinadas à prestação de cuidados de saúde, investigações epidemiológicas, ou inquéritos relativos a doenças mentais ou infecciosas, sempre que os dados forem tratados com vista a adotar medidas ou decisões em grande escala visando pessoas específicas;

 

(c) O controlo de zonas acessíveis ao público, nomeadamente ao utilizar mecanismos ótico-eletrónicos (videovigilância) em grande escala;

 

(d) Os dados pessoais em sistemas de arquivo de grande dimensão relativos a crianças, o tratamento de dados genéticos ou dados biométricos;

 

(e) Outras operações de tratamento para as quais é obrigatória a consulta da autoridade de controlo nos termos do artigo 34.º, n.º 2, alínea b).

 

3. A avaliação deve incluir, pelo menos, uma descrição geral das operações de tratamento de dados previstas, uma avaliação dos riscos sobre os direitos e liberdades dos titulares de dados, as medidas previstas para fazer face aos riscos, as garantias, medidas de segurança e mecanismos para assegurar a proteção dos dados pessoais e demonstrar a conformidade com o presente regulamento, tendo em conta os direitos e os legítimos interesses das pessoas em causa e de terceiros.

3. A avaliação deve ter em conta o ciclo de vida completo da gestão de dados pessoais, desde a recolha ao tratamento e eliminação. A avaliação inclui, no mínimo:

 

(a) Uma descrição sistemática das operações de tratamento de dados previstas, a finalidade do tratamento e, se for caso disso, os interesses legítimos do responsável pelo tratamento;

 

(b) uma avaliação da necessidade e proporcionalidade das operações de tratamento de dados em relação aos objetivos;

 

(c) Uma avaliação dos riscos para os direitos e as liberdades dos titulares de dados, incluindo o risco de a discriminação ser incorporada na operação ou por ela reforçada;

 

(d) Uma descrição das medidas previstas para fazer face aos riscos e minimizar o volume de dados pessoais tratados;

 

(e) Uma lista das garantias, medidas de segurança e dos mecanismos para assegurar a proteção dos dados pessoais, tais como a atribuição de pseudónimos, e demonstrar a conformidade com o presente regulamento, tendo em conta os direitos e os legítimos interesses das pessoas em causa e de terceiros.

 

(f) Uma indicação geral dos prazos fixados para o apagamento das diferentes categorias de dados;

 

(h) Uma explicação sobre as práticas de proteção de dados desde a conceção e por defeito, no âmbito do artigo 23.º, usadas;

 

(i) Uma lista dos destinatários ou das categorias de destinatários dos dados pessoais;

 

(j) Se for caso disso, uma lista das transferências de dados previstas para um país terceiro ou uma organização internacional, incluindo o nome desse país terceiro ou dessa organização internacional e, no caso de transferências referidas no artigo 44.º, n.º 1, alínea (h), a documentação que comprove a existência das garantias adequadas;

 

(k) Uma avaliação do contexto do tratamento de dados.

 

3-A. Se o responsável pelo tratamento ou o subcontratante designaram um delegado para a proteção de dados, este deverá participar no processo de avaliação de impacto.

 

3-B. A avaliação é documentada e é definido um calendário para proceder a revisões do cumprimento da proteção de dados nos termos do artigo 33.º-A, n.º 1. A avaliação é atualizada, sem demora injustificada, se os resultados da revisão do cumprimento da proteção de dados a que se refere o artigo 33.º-A revelarem a existência de incoerências no cumprimento. O responsável pelo tratamento e o subcontratante, bem como, caso exista, o representante do responsável pelo tratamento, disponibilizam a avaliação à autoridade de controlo, quando por esta solicitado.

4. O responsável pelo tratamento solicita a opinião dos titulares de dados ou dos seus representantes sobre o tratamento previsto, sem prejuízo da proteção dos interesses comerciais ou públicos ou da segurança das operações de tratamento de dados.

 

5. Sempre que o responsável pelo tratamento for uma autoridade ou um organismo público e o tratamento for realizado em execução de uma obrigação jurídica, em conformidade com o artigo 6.º, n.º 1, alínea a), que preveja regras e procedimentos relativos aos tratamentos e regulados pelo direito da União, não são aplicáveis os n.ºs 1 a 4, salvo se os Estados-Membros considerarem necessário realizar essa avaliação previamente às atividades de tratamento.

 

6. São atribuídas competências à Comissão para adotar atos delegados nos termos do artigo 86.º, a fim de especificar mais concretamente os critérios e condições aplicáveis às operações de tratamento de dados que possam apresentar os riscos específicos referidos nos n.ºs 1 e 2, bem como os requisitos aplicáveis à avaliação referida no n.º 3, incluindo as condições de redimensionabilidade, de verificação e de auditoria. Ao fazê-lo, a Comissão deve considerar a adoção de medidas específicas, em especial para as micro, pequenas e médias empresas.

 

7. A Comissão pode definir normas e procedimentos para a realização, verificação e auditoria da avaliação referida no n.º 3. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.º, n.º 2.

 

(O n.°3 do texto da Comissão passou parcialmente a ser as alíneas a), c) d) e e) da alteração do Parlamento).

Alteração  130

Proposta de regulamento

Artigo 33-A (novo)

Texto da Comissão

Alteração

 

Artigo 33.º-A

 

Revisão do cumprimento da proteção de dados

 

1. O mais tardar dois anos após a realização de uma avaliação de impacto nos termos do artigo 33.º, n.º 1, o responsável pelo tratamento ou o subcontratante, atuando em nome do responsável pelo tratamento, procede a um controlo do cumprimento. Este controlo do cumprimento deve constatar que o tratamento de dados pessoais é efetuado no pleno respeito da avaliação de impacto sobre a proteção de dados.

 

2. O controlo do cumprimento é efetuado periodicamente, pelo menos de dois em dois anos, ou imediatamente, caso os riscos específicos apresentados nas operações de tratamento se tenham alterado.

 

3. Se os resultados do controlo do cumprimento revelarem insuficiências no cumprimento, o controlo deve incluir recomendações sobre o modo de alcançar o pleno cumprimento.

 

4. O controlo do cumprimento e as suas recomendações devem ser documentados. O responsável pelo tratamento e o subcontratante, bem como, caso exista, o representante do responsável pelo tratamento, devem disponibilizar, quando solicitada, o controlo do cumprimento existente à autoridade de controlo.

 

5. Se o responsável pelo tratamento ou o subcontratante tiverem designado um delegado para a proteção de dados, este deverá participar no controlo do cumprimento.

Alteração  131

Proposta de regulamento

Artigo 34

Texto da Comissão

Alteração

Autorização prévia e consulta prévia

Consulta prévia

1. O responsável pelo tratamento ou o subcontratante, consoante o caso, deve obter uma autorização da autoridade de controlo antes de proceder ao tratamento de dados pessoais, a fim de assegurar a conformidade do tratamento previsto com o regulamento e, nomeadamente, atenuar os riscos para os titulares de dados, sempre que um responsável pelo tratamento ou um subcontratante adote cláusulas contratuais como as previstas no artigo 42.º, n.º 2, alínea d), ou não assegure as garantias adequadas num instrumento juridicamente vinculativo, tal como previsto no artigo 42.º, n.º 5, que regule a transferência de dados pessoais para um país terceiro ou uma organização internacional.

 

2. O responsável pelo tratamento ou o subcontratante, agindo por conta do responsável pelo tratamento, consulta a autoridade de controlo antes de proceder ao tratamento de dados pessoais, a fim de assegurar a conformidade do tratamento previsto com o presente regulamento e, nomeadamente, atenuar os riscos para os titulares de dados, sempre que:

2. O responsável pelo tratamento ou o subcontratante, agindo por conta do responsável pelo tratamento, consulta o delegado para a proteção de dados ou, se este não tiver sido nomeado, a autoridade de controlo antes de proceder ao tratamento de dados pessoais, a fim de assegurar a conformidade do tratamento previsto com o presente regulamento e, nomeadamente, atenuar os riscos para os titulares de dados, sempre que:

(a) Uma avaliação de impacto sobre a proteção de dados, como prevista no artigo 33.º, indicar que as operações de tratamento, devido à sua natureza, âmbito ou finalidade, podem apresentar um elevado nível de riscos específicos; ou

(a) Uma avaliação de impacto sobre a proteção de dados, como prevista no artigo 33.º, indicar que as operações de tratamento, devido à sua natureza, âmbito ou finalidade, podem apresentar um elevado nível de riscos específicos; ou

(b) A autoridade de controlo considerar necessário realizar uma consulta prévia sobre operações de tratamento suscetíveis de apresentar riscos específicos para os direitos e liberdades dos titulares de dados devido à sua natureza, âmbito e/ou finalidades, e que tenham sido especificadas em conformidade com o n.º 4.

(b) O delegado para a proteção de dados ou a autoridade de controlo considerarem necessário realizar uma consulta prévia sobre operações de tratamento suscetíveis de apresentar riscos específicos para os direitos e liberdades dos titulares de dados devido à sua natureza, âmbito e/ou finalidades, e que tenham sido especificadas em conformidade com o n.º 4.

3. Sempre que a autoridade de controlo for de opinião que o tratamento a efetuar não cumpre o disposto no presente regulamento, em especial se os riscos não se encontrarem suficientemente identificados ou atenuados, proíbe o tratamento previsto e apresenta propostas adequadas para remediar essa falta de conformidade.

3. Sempre que a autoridade de controlo competente determine, no âmbito das suas competências, que o tratamento a efetuar não cumpre o disposto no presente regulamento, em especial se os riscos não se encontrarem suficientemente identificados ou atenuados, proíbe o tratamento previsto e apresenta propostas adequadas para remediar essa falta de conformidade.

4. A autoridade de controlo deve elaborar e tornar pública uma lista das operações de tratamento sujeitas a consulta prévia nos termos do n.º 2, alínea b). A autoridade de controlo comunica essa lista aos responsáveis pelo tratamento e ao Comité Europeu para a Proteção de Dados.

4. O Comité Europeu para a Proteção de Dados deve elaborar e tornar pública uma lista das operações de tratamento sujeitas a consulta prévia nos termos do n.º 2.

5. Sempre que a lista prevista no n.º 4 envolver atividades de tratamento relacionadas com a oferta de bens ou serviços a titulares de dados em diversos Estados-Membros, ou o controlo do seu comportamento, ou que possam afetar substancialmente a livre circulação de dados pessoais na União, a autoridade de controlo aplica o mecanismo de controlo da coerência referido no artigo 57.º previamente à adoção da lista.

 

6. O responsável pelo tratamento ou o subcontratante fornece à autoridade de controlo a avaliação de impacto sobre a proteção de dados prevista no artigo 33.º e, quando solicitado, qualquer outra informação que permita à autoridade de controlo avaliar a conformidade do tratamento e, nomeadamente, os riscos para a proteção dos dados pessoais do titular dos dados e as respetivas garantias.

6. O responsável pelo tratamento ou o subcontratante fornece à autoridade de controlo, a pedido desta, a avaliação de impacto sobre a proteção de dados prevista no artigo 33.º e, quando solicitado, qualquer outra informação que permita à autoridade de controlo avaliar a conformidade do tratamento e, nomeadamente, os riscos para a proteção dos dados pessoais do titular dos dados e as respetivas garantias.

7. Os Estados-Membros devem consultar a autoridade de controlo no quadro da preparação de uma medida legislativa a adotar pelo parlamento nacional, ou de uma medida baseada nessa medida legislativa, que defina a natureza do tratamento, a fim de assegurar a conformidade do tratamento previsto com o presente regulamento e, em especial, atenuar os riscos que comporta para os titulares de dados.

7. Os Estados-Membros devem consultar a autoridade de controlo no quadro da preparação de uma medida legislativa a adotar pelo parlamento nacional, ou de uma medida baseada nessa medida legislativa, que defina a natureza do tratamento, a fim de assegurar a conformidade do tratamento previsto com o presente regulamento e, em especial, atenuar os riscos que comporta para os titulares de dados.

8. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o artigo 86.º, a fim de melhor especificar os critérios e requisitos aplicáveis à determinação do nível elevado de risco específico referido no n.º 2, alínea b).

 

9. A Comissão pode estabelecer formulários e procedimentos normalizados para as autorizações e consultas prévias referidas nos n.ºs 1 e 2, bem como formulários e procedimentos normalizados para a informação das autoridades de controlo a título do n.º 6. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.º, n.º 2.

 

Alteração       132

Proposta de regulamento

Artigo 35

Texto da Comissão

Alteração

Designação do delegado para a proteção de dados

Designação do delegado para a proteção de dados

1. O responsável pelo tratamento e o subcontratante designam um delegado para a proteção de dados sempre que:

1. O responsável pelo tratamento e o subcontratante designam um delegado para a proteção de dados sempre que:

(a) O tratamento for efetuado por uma autoridade ou um organismo público; ou

(a) O tratamento for efetuado por uma autoridade ou um organismo público; ou

(b) O tratamento for efetuado por uma empresa com 250 assalariados ou mais; ou

(b) O tratamento for efetuado por uma pessoa coletiva e afetar mais de 5000 titulares de dados durante um período de 12 meses consecutivos; ou

(c) As atividades principais do responsável pelo tratamento ou do subcontratante consistiam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares de dados.

(c) As atividades principais do responsável pelo tratamento ou do subcontratante consistiam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares de dados; ou

 

(d) As atividades principais do responsável pelo tratamento ou do subcontratante consistem em proceder ao tratamento de categorias especiais de dados nos termos do artigo 9.º, n.º 1, dados de localização ou dados relativos a crianças ou a trabalhadores em sistemas de arquivo de grande dimensão;

2. No caso referido no n.º 1, alínea b), um grupo de empresas pode designar um delegado para a proteção de dados.

2. Um grupo de empresas pode designar um delegado para a proteção de dados como principal responsável, desde que um delegado para a proteção de dados esteja facilmente acessível a partir de cada estabelecimento.

3. Sempre que o responsável pelo tratamento ou o subcontratante for uma autoridade ou um organismo público, o delegado para a proteção de dados pode ser designado para várias das suas entidades, atendendo à estrutura organizacional da autoridade ou do organismo público.

3. Sempre que o responsável pelo tratamento ou o subcontratante for uma autoridade ou um organismo público, o delegado para a proteção de dados pode ser designado para várias das suas entidades, atendendo à estrutura organizacional da autoridade ou do organismo público.

4. Em casos diferentes dos visados no n.º 1, o responsável pelo tratamento ou o subcontratante ou as associações e outros organismos que representem categorias de responsáveis pelo tratamento ou de subcontratantes podem designar um delegado para a proteção de dados.

4. Em casos diferentes dos visados no n.º 1, o responsável pelo tratamento ou o subcontratante ou as associações e outros organismos que representem categorias de responsáveis pelo tratamento ou de subcontratantes podem designar um delegado para a proteção de dados.

5. O responsável pelo tratamento ou o subcontratante designam o delegado para a proteção de dados com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio da legislação e das práticas a nível da proteção de dados, e na sua capacidade para cumprir as funções referidas no artigo 37.º. O nível de conhecimentos especializados necessários é determinado, em particular, em função do tratamento de dados realizado e da proteção exigida para os dados pessoais tratados pelo responsável pelo tratamento ou pelo subcontratante.

5. O responsável pelo tratamento ou o subcontratante designam o delegado para a proteção de dados com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio da legislação e das práticas a nível da proteção de dados, e na sua capacidade para cumprir as funções referidas no artigo 37.º. O nível de conhecimentos especializados necessários é determinado, em particular, em função do tratamento de dados realizado e da proteção exigida para os dados pessoais tratados pelo responsável pelo tratamento ou pelo subcontratante.

6. O responsável pelo tratamento ou o subcontratante deve assegurar que quaisquer outras funções profissionais que incumbem ao delegado para a proteção de dados sejam compatíveis com as atribuições e funções dessa pessoa na qualidade de delegado para a proteção de dados e não impliquem um conflito de interesses.

6. O responsável pelo tratamento ou o subcontratante deve assegurar que quaisquer outras funções profissionais que incumbem ao delegado para a proteção de dados sejam compatíveis com as atribuições e funções dessa pessoa na qualidade de delegado para a proteção de dados e não impliquem um conflito de interesses.

7. O responsável pelo tratamento ou o subcontratante designam um delegado para a proteção de dados pelo período mínimo de dois anos. O mandato do delegado para a proteção de dados pode ser renovado. No decurso do seu mandato, o delegado para a proteção de dados apenas pode ser exonerado se tiver deixado de cumprir as condições exigidas para o exercício das suas funções.

7. O responsável pelo tratamento ou o subcontratante designam um delegado para a proteção de dados pelo período mínimo de quatro anos, se se tratar de um trabalhador, ou de dois anos, se se tratar de um prestador de serviços externo. O mandato do delegado para a proteção de dados pode ser renovado. No decurso do seu mandato, o delegado para a proteção de dados apenas pode ser exonerado se tiver deixado de cumprir as condições exigidas para o exercício das suas funções.

8. O delegado para a proteção de dados pode ser um assalariado do responsável pelo tratamento ou do subcontratante, ou exercer as suas funções com base num contrato de prestação de serviços.

8. O delegado para a proteção de dados pode ser um assalariado do responsável pelo tratamento ou do subcontratante, ou exercer as suas funções com base num contrato de prestação de serviços.

9. O responsável pelo tratamento ou o subcontratante comunica o nome e os contactos do delegado para a proteção de dados à autoridade de controlo e ao público.

9. O responsável pelo tratamento ou o subcontratante comunica o nome e os contactos do delegado para a proteção de dados à autoridade de controlo e ao público.

10. Os titulares de dados têm o direito de contactar o delegado para a proteção de dados sobre todos os assuntos relacionados com o tratamento dos seus dados pessoais e de solicitar o exercício dos direitos que lhe confere o presente regulamento.

10. Os titulares de dados têm o direito de contactar o delegado para a proteção de dados sobre todos os assuntos relacionados com o tratamento dos seus dados pessoais e de solicitar o exercício dos direitos que lhe confere o presente regulamento.

11. São atribuídas competências à Comissão para adotar atos delegados nos termos do artigo 86.º, a fim de especificar mais concretamente os critérios e requisitos aplicáveis às atividades principais do responsável pelo tratamento ou do subcontratante, referidas no n.º 1, alínea c), bem como os critérios aplicáveis às qualidades profissionais do delegado para a proteção de dados referidas no n.º 5.

 

Alteração  133

Proposta de regulamento

Artigo 36

Texto da Comissão

Alteração

Função do delegado para a proteção de dados

Função do delegado para a proteção de dados

1. O responsável pelo tratamento ou o subcontratante assegura que o delegado para a proteção de dados seja associado, de forma adequada e em tempo útil, a todas as matérias relacionadas com a proteção de dados pessoais.

1. O responsável pelo tratamento ou o subcontratante assegura que o delegado para a proteção de dados seja associado, de forma adequada e em tempo útil, a todas as matérias relacionadas com a proteção de dados pessoais.

2. O responsável pelo tratamento ou o subcontratante assegura que o delegado para a proteção de dados exerce as suas funções e atribuições de forma independente, não recebendo quaisquer instruções relativas ao exercício da sua função. O delegado para a proteção de dados tem o dever de informar diretamente a direção do responsável pelo tratamento ou do subcontratante.

2. O responsável pelo tratamento ou o subcontratante assegura que o delegado para a proteção de dados exerce as suas funções e atribuições de forma independente, não recebendo quaisquer instruções relativas ao exercício da sua função. O delegado para a proteção de dados tem o dever de informar diretamente a direção executiva do responsável pelo tratamento ou do subcontratante. Com esta finalidade, o responsável pelo tratamento ou o subcontratante designam um membro da direção executiva responsável pelo cumprimento das disposições do presente regulamento.

3. O responsável pelo tratamento ou o subcontratante apoia o delegado para a proteção de dados no exercício das suas funções e deve fornecer pessoal, instalações, equipamentos e quaisquer outros recursos necessários ao exercício das funções e atribuições referidas no artigo 37.º

3. O responsável pelo tratamento ou o subcontratante apoia o delegado para a proteção de dados no exercício das suas funções e deve fornecer todos os meios, incluindo pessoal, instalações, equipamentos e quaisquer outros recursos necessários ao exercício das funções e atribuições referidas no artigo 37.º e à manutenção dos seus conhecimentos profissionais.

 

4. Os delegados para a proteção de dados devem estar vinculados ao dever de sigilo em relação à identidade dos titulares dos dados e às circunstâncias que permitem a identificação dos mesmos, a menos que os titulares os exonerem dessa obrigação.

Alteração  134

Proposta de regulamento

Artigo 37

Texto da Comissão

Alteração

Atribuições do delegado para a proteção de dados

Atribuições do delegado para a proteção de dados

1. O responsável pelo tratamento ou o subcontratante confia ao delegado para a proteção de dados, pelo menos, as seguintes atribuições:

O responsável pelo tratamento ou o subcontratante confia ao delegado para a proteção de dados, pelo menos, as seguintes atribuições:

(a) Informar e aconselhar o responsável pelo tratamento ou o subcontratante sobre as suas obrigações nos termos do presente regulamento, e conservar documentação sobre esta atividade e as respostas recebidas;

(a) Sensibilizar, informar e aconselhar o responsável pelo tratamento ou o subcontratante sobre as suas obrigações nos termos do presente regulamento, em particular no que se refere a medidas e procedimentos técnicos e organizativos, e conservar documentação sobre esta atividade e as respostas recebidas;

(b) Controlar a execução e a aplicação das regras internas do responsável pelo tratamento ou do subcontratante relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a formação do pessoal envolvido nas operações de tratamento de dados, e as auditorias correspondentes;

(b) Controlar a execução e a aplicação das regras internas do responsável pelo tratamento ou do subcontratante relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a formação do pessoal envolvido nas operações de tratamento de dados, e as auditorias correspondentes;

(c) Controlar a execução e a aplicação do presente regulamento, em especial quanto aos requisitos relacionados com a proteção de dados desde a conceção, a proteção de dados por defeito e a segurança de dados, bem como às informações dos titulares de dados e exame dos pedidos para exercer os seus direitos nos termos do presente regulamento;

(c) Controlar a execução e a aplicação do presente regulamento, em especial quanto aos requisitos relacionados com a proteção de dados desde a conceção, a proteção de dados por defeito e a segurança de dados, bem como às informações dos titulares de dados e exame dos pedidos para exercer os seus direitos nos termos do presente regulamento;

(d) Assegurar que a documentação referida no artigo 28.º é conservada;

(d) Assegurar que a documentação referida no artigo 28.º é conservada;

(e) Controlar a documentação, a notificação e a comunicação relativas a violações de dados pessoais, nos termos dos artigos 31.º e 32.º;

(e) Controlar a documentação, a notificação e a comunicação relativas a violações de dados pessoais, nos termos dos artigos 31.º e 32.º;

f) Acompanhar a realização da avaliação de impacto sobre a proteção de dados pelo responsável pelo tratamento ou pelo subcontratante, bem como os pedidos de autorização prévia ou de consulta prévia, se necessário, nos termos dos artigos 33.º e 34.º;

(f) Acompanhar a realização da avaliação de impacto sobre a proteção de dados pelo responsável pelo tratamento ou pelo subcontratante, bem como os pedidos de consulta prévia, se necessário, nos termos dos artigos 32.º-A, 33.º e 34.º;

g) Acompanhar a resposta aos pedidos da autoridade de controlo e, no âmbito da competência do delegado para a proteção de dados, cooperar com a autoridade de controlo, a pedido desta ou por iniciativa do próprio delegado para a proteção de dados;

(g) Acompanhar a resposta aos pedidos da autoridade de controlo e, no âmbito da competência do delegado para a proteção de dados, cooperar com a autoridade de controlo, a pedido desta ou por iniciativa do próprio delegado para a proteção de dados;

(h) Atuar como ponto de contacto para a autoridade de controlo sobre assuntos relacionados com o tratamento, e consultar esta autoridade, se for caso disso, por sua própria iniciativa.

(h) Atuar como ponto de contacto para a autoridade de controlo sobre assuntos relacionados com o tratamento, e consultar esta autoridade, se for caso disso, por sua própria iniciativa;

 

(i) Verificar a conformidade com o presente regulamento nos termos do mecanismo de consulta estabelecido no artigo 34.º.

 

(j) Informar os representantes dos trabalhadores sobre o tratamento de dados dos trabalhadores.

2. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o artigo 86.º, a fim de especificar mais concretamente os critérios e requisitos aplicáveis às atribuições, certificação, estatuto, competências e recursos do delegado para a proteção de dados referidos no n.º 1.

 

Alteração  135

Proposta de regulamento

Artigo 38

Texto da Comissão

Alteração

Códigos de conduta

Códigos de conduta

1. Os Estados-Membros, as autoridades de controlo e a Comissão devem promover a elaboração de códigos de conduta destinados a contribuir para a correta aplicação do presente regulamento, em função das características dos diferentes setores de tratamento de dados, em especial no que se refere a:

1. Os Estados-Membros, as autoridades de controlo e a Comissão devem promover a elaboração de códigos de conduta ou a adoção de códigos de conduta elaborados por uma autoridade de controlo destinados a contribuir para a correta aplicação do presente regulamento, em função das características dos diferentes setores de tratamento de dados, em especial no que se refere a:

(a) Tratamento de dados leal e transparente;

(a) Tratamento de dados leal e transparente;

 

(a-A) Respeito pelos direitos do consumidor;

(b) Recolha de dados;

(b) Recolha de dados;

(c) Informação do público e dos titulares de dados;

(c) Informação do público e dos titulares de dados;

(d) Pedidos dos titulares de dados no exercício dos seus direitos;

(d) Pedidos dos titulares de dados no exercício dos seus direitos;

(e) Informações e proteção das crianças;

(e) Informações e proteção das crianças;

f) Transferências de dados para países terceiros ou organizações internacionais;

f) Transferências de dados para países terceiros ou organizações internacionais;

g) Mecanismos de controlo e de garantia do respeito do código pelos responsáveis pelo tratamento que a ele adiram;

g) Mecanismos de controlo e de garantia do respeito do código pelos responsáveis pelo tratamento que a ele adiram;

(h) Ações extrajudiciais e outros procedimentos de resolução de litígios entre os responsáveis pelo tratamento e os titulares de dados em relação ao tratamento de dados pessoais, sem prejuízo dos direitos dos titulares de dados nos termos dos artigos 73.º e 75.º

(h) Ações extrajudiciais e outros procedimentos de resolução de litígios entre os responsáveis pelo tratamento e os titulares de dados em relação ao tratamento de dados pessoais, sem prejuízo dos direitos dos titulares de dados nos termos dos artigos 73.º e 75.º

2. As associações e outros organismos que representem categorias de responsáveis pelo tratamento ou subcontratantes num Estado-Membro que tencionem elaborar códigos de conduta ou alterar ou prorrogar os códigos de conduta existentes, podem submetê-los ao parecer da autoridade de controlo desse Estado-Membro. A autoridade de controlo pode emitir um parecer sobre a conformidade com o presente regulamento do projeto de código de conduta ou da alteração. A autoridade de controlo deve solicitar a opinião dos titulares de dados ou dos seus representantes sobre esses projetos.

2. As associações e outros organismos que representem categorias de responsáveis pelo tratamento ou subcontratantes num Estado-Membro que tencionem elaborar códigos de conduta ou alterar ou prorrogar os códigos de conduta existentes, podem submetê-los ao parecer da autoridade de controlo desse Estado-Membro. A autoridade de controlo deve, sem demora injustificada, emitir um parecer sobre se o tratamento ao abrigo do projeto de código de conduta ou da alteração está em conformidade com o presente regulamento. A autoridade de controlo deve solicitar a opinião dos titulares de dados ou dos seus representantes sobre esses projetos.

3. As associações e outros organismos representativos de categorias de responsáveis pelo tratamento em vários Estados-Membros podem submeter à Comissão projetos de códigos de conduta, bem como alterações ou prorrogações dos códigos de conduta existentes.

3. As associações e outros organismos representativos de categorias de responsáveis pelo tratamento ou subcontratantes em vários Estados-Membros podem submeter à Comissão projetos de códigos de conduta, bem como alterações ou prorrogações dos códigos de conduta existentes.

4. São atribuídas competências à Comissão para adotar atos de execução a fim de declarar, mediante decisão, que os códigos de conduta, bem como as alterações ou prorrogações aos códigos de conduta existentes que lhe sejam apresentados nos termos do n.º 3, são de aplicabilidade geral na União. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame previsto no artigo 87.º, n.º 2.

4. São atribuídas competências à Comissão para adotar, depois de solicitar o parecer do Comité Europeu para a Proteção de Dados, atos delegados, nos termos do artigo 86.º, a fim de declarar, mediante decisão, que os códigos de conduta, bem como as alterações ou prorrogações aos códigos de conduta existentes que lhe sejam apresentados nos termos do n.º 3, estão em consonância com o presente regulamento e são de aplicabilidade geral na União. Estes atos delegados conferem direitos efetivos aos titulares de dados.

5. A Comissão assegura a publicidade adequada dos códigos que, mediante decisão, declarou serem de aplicabilidade geral em conformidade com o n.º 4.

5. A Comissão assegura a publicidade adequada dos códigos que, mediante decisão, declarou serem de aplicabilidade geral em conformidade com o n.º 4.

Alteração  136

Proposta de regulamento

Artigo 39

Texto da Comissão

Alteração

Certificação

Certificação

1. Os Estados-Membros e a Comissão devem promover, em especial a nível europeu, a criação de mecanismos de certificação em matéria de proteção de dados, bem como selos e marcas de proteção de dados, que permitam aos titulares de dados avaliar rapidamente o nível de proteção de dados fornecido pelos responsáveis pelo tratamento e subcontratantes. Os mecanismos de certificação em matéria de proteção de dados devem contribuir para a correta aplicação do presente regulamento, tendo em conta as características dos vários setores e das diferentes operações de tratamento de dados.

 

 

1-A. Qualquer responsável pelo tratamento ou subcontratante poderá requerer uma taxa razoável a qualquer autoridade de controlo da União, tendo em conta as despesas administrativas, para certificar que o tratamento dos dados pessoais é executado em conformidade com o presente regulamento, nomeadamente os princípios enunciados nos artigos 5.º, 23.º e 30.º, as obrigações do responsável pelo tratamento e o subcontratante, bem como os direitos do titular de dados.

 

1-B. A certificação é voluntária, acessível e disponível através de um processo transparente e não excessivamente oneroso.

 

1-C. As autoridades de controlo e o Comité Europeu para a Proteção de Dados devem cooperar ao abrigo do mecanismo de controlo, nos termos do artigo 57.º, para assegurar a harmonização do mecanismo de certificação de proteção de dados, nomeadamente no que respeita às taxas no âmbito da União.

 

1-D. Durante este processo de certificação, a autoridade de controlo pode conceder acreditação a auditores de terceiros para realizarem em seu nome a auditoria ao responsável pelo tratamento ou ao subcontratante. Os auditores de terceiros devem dispor de pessoal suficientemente qualificado, ser imparciais e isentos de conflitos de interesses relativamente aos seus deveres. As autoridades de controlo devem revogar a acreditação se existirem motivos para crer que o auditor não cumpre as suas obrigações corretamente. A certificação final deve ser atribuída pela autoridade de controlo.

 

1-E. As autoridades de controlo devem atribuir aos responsáveis pelo tratamento e subcontratantes, certificados no âmbito da auditoria como procedendo ao tratamento de dados pessoais nos termos do presente regulamento, a marca de proteção de dados normalizada denominada «selo europeu de proteção de dados».

 

1-F. O «selo europeu de proteção de dados» é válido desde que as operações de tratamento de dados do responsável pelo tratamento ou subcontratante certificado estejam em plena conformidade com o presente regulamento.

 

1-G. Sem prejuízo do disposto no n.º 1-F, a certificação é válida, no máximo, por um período de cinco anos.

 

1-H. O Comité Europeu para a Proteção de Dados estabelece um registo eletrónico público em que possam ser vistos todos os certificados válidos e inválidos concedidos nos Estados-Membros.

 

1-I. O Comité Europeu para a Proteção de Dados pode, por iniciativa própria, certificar que uma norma técnica de reforço da proteção de dados cumpre o presente regulamento.

2. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o artigo 86.º, a fim de especificar mais concretamente os critérios e requisitos aplicáveis aos mecanismos de certificação em matéria de proteção de dados referidos no n.º 1, incluindo as condições de concessão e revogação, bem como os requisitos em matéria de reconhecimento na União e nos países terceiros.

2. São atribuídas competências à Comissão para adotar, depois de solicitar o parecer do Comité Europeu para a Proteção de Dados e de consultar os interessados, nomeadamente a indústria e as organizações não-governamentais, atos delegados em conformidade com o artigo 86.º, a fim de especificar mais concretamente os critérios e requisitos aplicáveis aos mecanismos de certificação em matéria de proteção de dados referidos nos n.ºs 1-A a 1-H, incluindo os requisitos de acreditação de auditores, as condições de concessão e revogação, bem como os requisitos em matéria de reconhecimento na União e nos países terceiros. Estes atos delegados devem conferir direitos efetivos aos titulares de dados.

3. A Comissão pode estabelecer normas técnicas para os mecanismos de certificação, bem como selos e marcas em matéria de proteção de dados, e mecanismos para promover e reconhecer os mecanismos de certificação e selos e marcas de proteção de dados. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame previsto no artigo 87.º, n.º 2.

 

Alteração  137

Proposta de regulamento

Artigo 41

Texto da Comissão

Alteração

Transferências acompanhadas de uma decisão de adequação

Transferências acompanhadas de uma decisão de adequação

1. Uma transferência pode ser realizada se a Comissão tiver decidido que o país terceiro, ou um território ou um setor de tratamento nesse país terceiro, ou a organização internacional em causa, assegura um nível de proteção adequado. Essa transferência não exige qualquer autorização suplementar.

1. Uma transferência pode ser realizada se a Comissão tiver decidido que o país terceiro, ou um território ou um setor de tratamento nesse país terceiro, ou a organização internacional em causa, assegura um nível de proteção adequado. Esta transferência não exige nenhuma autorização específica.

2. Ao avaliar o nível de proteção adequado, a Comissão deve ter em conta os seguintes elementos:

2. Ao avaliar o nível de proteção adequado, a Comissão deve ter em conta os seguintes elementos:

(a) O primado do Estado de direito, a legislação relevante em vigor, geral ou setorial, incluindo no que respeita à segurança pública, à defesa, à segurança nacional e ao direito penal, às regras profissionais e às medidas de segurança que são respeitadas nesse país ou por essa organização internacional, bem como a existência de direitos efetivos e oponíveis, incluindo vias de recurso administrativo e judicial para os titulares de dados, nomeadamente para as pessoas residentes na União cujos dados pessoais sejam objeto de transferência;

(a) O primado do Estado de direito, a legislação relevante em vigor, geral ou setorial, incluindo no que respeita à segurança pública, à defesa, à segurança nacional e ao direito penal, bem como à implementação desta legislação, às regras profissionais e às medidas de segurança que são respeitadas nesse país ou por essa organização internacional, precedentes jurisprudenciais, bem como a existência de direitos efetivos e oponíveis, incluindo vias de recurso administrativo e judicial para os titulares de dados, nomeadamente para as pessoas residentes na União cujos dados pessoais sejam objeto de transferência;

(b) A existência e o funcionamento efetivo de uma ou mais autoridades de controlo independentes no país terceiro ou na organização internacional em causa, responsáveis por assegurar o respeito das regras de proteção de dados, assistir e aconselhar os titulares de dados no exercício dos seus direitos, e cooperar com as autoridades de controlo da União e dos Estados-Membros; e ainda

(b) A existência e o funcionamento efetivo de uma ou mais autoridades de controlo independentes no país terceiro ou na organização internacional em causa, responsáveis por assegurar o respeito das regras de proteção de dados, incluindo poderes sancionatórios suficientes, assistir e aconselhar o titular de dados no exercício dos seus direitos, e cooperar com as autoridades de controlo da União e dos Estados-Membros; e ainda

(c) Os compromissos internacionais assumidos pelo país terceiro ou pela organização internacional.

(c) Os compromissos internacionais assumidos pelo país terceiro ou pela organização internacional, em particular quaisquer convenções ou instrumentos juridicamente vinculativos relativos à proteção de dados pessoais.

3. A Comissão pode decidir que um país terceiro, um território, ou um setor de tratamento dentro desse país terceiro, ou uma organização internacional, garante um nível de proteção adequado na aceção do n.º 2. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.º, n.º 2.

3. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o artigo 86.º, a fim de decidir que um país terceiro, um território, ou um setor de tratamento dentro desse país terceiro, ou uma organização internacional, garante um nível de proteção adequado na aceção do n.º 2. Tais atos delegados preveem uma cláusula de caducidade sempre que digam respeito a um setor de tratamento de dados e são revogados de acordo com o n 5, assim que deixe de estar assegurado um nível adequado de proteção nos termos do presente regulamento.

4. O ato de execução deve especificar o âmbito de aplicação geográfico e setorial e, se for caso disso, identificar a autoridade de controlo referida no n.º 2, alínea b).

4. O ato delegado deve especificar o âmbito de aplicação territorial e setorial e identificar a autoridade de controlo referida no n.º 2, alínea b).

 

4-A. A Comissão deve, de forma continuada, acompanhar os desenvolvimentos em países terceiros e em organizações internacionais, que possam afetar o cumprimento dos elementos enunciados no n.º 2, em relação aos quais tenha sido adotado um ato delegado nos termos do n.º 3.

5. A Comissão pode decidir que um país terceiro, um território ou um setor de tratamento nesse país terceiro, ou uma organização internacional, não assegura um nível de proteção adequado na aceção do n.º 2, em especial nos casos em que a legislação relevante, quer de caráter geral ou setorial, em vigor no país terceiro ou na organização internacional, não assegura direitos efetivos e oponíveis, incluindo vias de recurso administrativo e judicial para os titulares de dados, nomeadamente para as pessoas residentes no território da União cujos dados pessoais sejam objeto de transferência. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.º, n.º 2 ou, em casos de extrema urgência para as pessoas singulares no que se refere ao seu direito de proteção de dados pessoais, em conformidade com o procedimento referido no artigo 87.º, n.º 3.

5. São atribuídas competências à Comissão para adotar atos delegados, em conformidade com o artigo 86.º, a fim de decidir que um país terceiro, um território ou um setor de tratamento nesse país terceiro, ou uma organização internacional, não assegura, ou deixou de assegurar, um nível de proteção adequado na aceção do n.º 2, em especial nos casos em que a legislação relevante, quer de caráter geral ou setorial, em vigor no país terceiro ou na organização internacional, não assegura direitos efetivos e oponíveis, incluindo vias de recurso administrativo e judicial para os titulares de dados, nomeadamente para as pessoas residentes no território da União cujos dados pessoais sejam objeto de transferência.

6. Sempre que a Comissão adote uma decisão por força do n.º 5, qualquer transferência de dados pessoais para o país terceiro, um território ou um setor de tratamento nesse país terceiro, ou organização internacional em causa, é proibida, sem prejuízo dos artigos 42.º a 44.º. Em momento oportuno, a Comissão deve encetar negociações com o país terceiro ou a organização internacional, com vista a remediar a situação resultante da decisão adotada nos termos do n.º 5.

6. Sempre que a Comissão adote uma decisão por força do n.º 5, qualquer transferência de dados pessoais para o país terceiro, um território ou um setor de tratamento nesse país terceiro, ou organização internacional em causa, é proibida, sem prejuízo dos artigos 42.º a 44.º. Em momento oportuno, a Comissão deve encetar negociações com o país terceiro ou a organização internacional com vista a remediar a situação resultante da decisão adotada nos termos do n.º 5.

 

6-A. Antes de adotar os atos delegados nos termos dos n.ºs 3 e 5, a Comissão deve requerer um parecer ao Comité Europeu para a Proteção de Dados sobre o nível de proteção adequado. Para este efeito, a Comissão deve fornecer ao Comité Europeu para a Proteção de Dados toda a documentação necessária, incluindo a correspondência com o governo do país terceiro, o território ou o setor de tratamento de dados nesse país terceiro o território ou a organização internacional.

7. A Comissão publica no Jornal Oficial da União Europeia uma lista dos países terceiros, territórios e setores de tratamento num país terceiro e de organizações internacionais relativamente aos quais tenha declarado, mediante decisão, que asseguram ou não um nível de proteção adequado.

7. A Comissão publica no Jornal Oficial da União Europeia e no seu sítio Web uma lista dos países terceiros, territórios e setores de tratamento num país terceiro e de organizações internacionais relativamente aos quais tenha declarado, mediante decisão, que asseguram ou não um nível de proteção adequado.

8. As decisões adotadas pela Comissão com base no artigo 25, n.º 6, ou no artigo 26.º, n.º 4, da Diretiva 95/46/CE, permanecem em vigor até à sua alteração, substituição ou revogação pela Comissão.

8. As decisões adotadas pela Comissão com base no artigo 25, n.º 6, ou no artigo 26.º, n.º 4, da Diretiva 95/46/CE, permanecem em vigor durante cinco anos após a entrada em vigor do presente regulamento, exceto em caso de alteração, substituição ou revogação pela Comissão antes do final deste período.

Alteração  138

Proposta de regulamento

Artigo 42

Texto da Comissão

Alteração

Transferências mediante garantias adequadas

Transferências mediante garantias adequadas

1. Sempre que a Comissão não tenha tomado qualquer decisão nos termos do artigo 41.º, um responsável pelo tratamento ou um subcontratante só pode transferir dados pessoais para um país terceiro ou uma organização internacional se tiver apresentado garantias adequadas quanto à proteção de dados pessoais num instrumento juridicamente vinculativo.

1. Sempre que a Comissão não tenha tomado qualquer decisão nos termos do artigo 41.º, ou decida que um país terceiro, ou um território ou um setor de tratamento de dados dentro desse país terceiro, ou uma organização internacional, não assegura um nível de proteção de dados adequado em conformidade com o n.º 5 do mesmo artigo, um responsável pelo tratamento ou um subcontratante só pode transferir dados pessoais para um país terceiro ou uma organização internacional se tiver apresentado garantias adequadas quanto à proteção de dados pessoais num instrumento juridicamente vinculativo.

2. As garantias adequadas referidas no n.º 1 devem ser previstas, nomeadamente, em:

2. As garantias adequadas referidas no n.º 1 devem ser previstas, nomeadamente, em:

(a) Regras vinculativas para empresas em conformidade com o artigo 43.º; ou

(a) Regras vinculativas para empresas em conformidade com o artigo 43.º; ou

 

(a-A) Um «selo europeu de proteção de dados» válido, para o responsável pelo tratamento e o destinatário dos dados, em conformidade com o artigo 39.º, n.º 1, alínea e); ou

(b) Cláusulas-tipo de proteção de dados adotadas pela Comissão. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.º, n.º 2; ou

 

(c) Cláusulas-tipo de proteção de dados adotadas por uma autoridade de controlo em conformidade com o mecanismo de controlo da coerência previsto no artigo 57.º, se declaradas de aplicabilidade geral pela Comissão nos termos do artigo 62.º, n.º 1, alínea b); ou

(c) Cláusulas-tipo de proteção de dados adotadas por uma autoridade de controlo em conformidade com o mecanismo de controlo da coerência previsto no artigo 57.º, se declaradas de aplicabilidade geral pela Comissão nos termos do artigo 62.º, n.º 1, alínea b); ou

(d) Cláusulas contratuais entre o responsável pelo tratamento ou o subcontratante e o destinatário dos dados, aprovadas por uma autoridade de controlo em conformidade com o n.º 4.

(d) Cláusulas contratuais entre o responsável pelo tratamento ou o subcontratante e o destinatário dos dados, aprovadas por uma autoridade de controlo em conformidade com o n.º 4.

3. Uma transferência realizada com base em cláusulas-tipo de proteção de dados, ou regras vinculativas para empresas, referidas no n.º 2, alíneas a), b) ou c), não necessita de qualquer outra autorização.

3. Uma transferência realizada com base em cláusulas-tipo de proteção de dados, um «selo europeu de proteção de dados» ou regras vinculativas para empresas, referidas no n.º 2, alíneas a), a-A) ou c), não necessita de outra autorização específica.

4. Sempre que uma transferência tiver por base cláusulas contratuais como as referidas no n.º 2, alínea d), o responsável pelo tratamento ou o subcontratante deve obter a autorização prévia das cláusulas contratuais, em conformidade com o artigo 34.º, n.º 1, alínea a), pela autoridade de controlo. Se a transferência estiver relacionada com atividades de tratamento relativas a titulares de dados noutro Estado-Membro, ou possam prejudicar substancialmente a livre circulação de dados pessoais na União, a autoridade de controlo aplica o mecanismo de controlo da coerência referido no artigo 57.º.

4. Sempre que uma transferência tiver por base cláusulas contratuais como as referidas no n.º 2, alínea d) do presente artigo, o responsável pelo tratamento dos dados ou subcontratante deve obter a autorização prévia das cláusulas contratuais pela autoridade de controlo. Se a transferência estiver relacionada com atividades de tratamento relativas a titulares de dados noutro Estado-Membro, ou possam prejudicar substancialmente a livre circulação de dados pessoais na União, a autoridade de controlo aplica o mecanismo de controlo da coerência referido no artigo 57.º.

5. Sempre que as garantias adequadas para a proteção de dados pessoais não estiverem previstas num instrumento juridicamente vinculativo, o responsável pelo tratamento ou o subcontratante deve obter a autorização prévia da transferência ou de um conjunto de transferências, ou prever a inserção de disposições no quadro de um regime administrativo que estabeleça a base para a transferência em causa. Essa autorização por parte da autoridade de controlo deve respeitar o artigo 34.º, n.º 1, alínea a). Se a transferência estiver relacionada com atividades de tratamento relativas a titulares de dados noutro Estado-Membro, ou possam prejudicar substancialmente a livre circulação de dados pessoais na União, a autoridade de controlo aplica o mecanismo de controlo da coerência referido no artigo 57.º. As autorizações por uma autoridade de controlo com base no artigo 26.º, n.º 2, da Diretiva 95/46/CE permanecem em vigor até à sua alteração, substituição ou revogação pela mesma autoridade de controlo.

5. As autorizações por uma autoridade de controlo com base no artigo 26.º, n.º 2, da Diretiva 95/46/CE permanecem em vigor durante dois anos após a entrada em vigor do presente regulamento, exceto em caso de alteração, substituição ou revogação pela mesma autoridade de controlo antes do final deste período.

Alteração        139

Proposta de regulamento

Artigo 43

Texto da Comissão

Alteração

Transferências mediante regras vinculativas para empresas

Transferências mediante regras vinculativas para empresas

1. Uma autoridade de controlo, em conformidade com o mecanismo de controlo de coerência previsto no artigo 58.º, aprova as regras vinculativas para empresas, desde que estas:

1. A autoridade de controlo, em conformidade com o mecanismo de controlo de coerência previsto no artigo 58.º, aprova as regras vinculativas para empresas, desde que estas:

(a) Sejam juridicamente vinculativas e aplicáveis a todas as entidades do grupo de empresas do responsável pelo tratamento ou do subcontratante, incluindo os seus assalariados, que deverão assegurar o seu respeito;

(a) Sejam juridicamente vinculativas e aplicáveis a todas as entidades do grupo de empresas do responsável pelo tratamento e os seus subcontratantes externos abrangidos pelas regras vinculativas para empresas, incluindo os seus assalariados;

(b) Confiram expressamente direitos aos titulares de dados;

(b) Confiram expressamente direitos aos titulares de dados;

(c) Respeitem os requisitos estabelecidos no n.º 2.

(c) Respeitem os requisitos estabelecidos no n.º 2.

 

1-A. Em relação aos dados de emprego, os representantes dos trabalhadores devem ser informados e, de acordo com a legislação ou a prática da União ou do Estado-Membro, envolvidos na elaboração de regras vinculativas para a empresa, nos termos do artigo 43.º.

2. As regras vinculativas para empresas devem, pelo menos, especificar:

2. As regras vinculativas para empresas devem, pelo menos, especificar:

(a) A estrutura e os contactos do grupo de empresas e das entidades que o compõem;

(a) A estrutura e os contactos do grupo de empresas e das entidades que o compõem e os seus subcontratantes externos abrangidos pelas regras vinculativas para empresas;

(b) As transferências ou conjunto de transferências de dados, incluindo as categorias de dados pessoais, o tipo de tratamento e as finalidades, o tipo de titulares de dados afetado e a identificação do país ou países terceiros em questão;

(b) As transferências ou conjunto de transferências de dados, incluindo as categorias de dados pessoais, o tipo de tratamento e as finalidades, o tipo de titulares de dados afetado e a identificação do país ou países terceiros em questão;

(c) O seu caráter juridicamente vinculativo, a nível interno e externo;

(c) O seu caráter juridicamente vinculativo, a nível interno e externo;

(d) Os princípios gerais de proteção de dados, nomeadamente a limitação das finalidades, a qualidade dos dados, a base jurídica para o tratamento, o tratamento de dados pessoais sensíveis, as medidas de garantia da segurança dos dados e os requisitos para transferências ulteriores para organizações que não se encontrem vinculadas pelas medidas em causa;

(d) Os princípios gerais de proteção de dados, nomeadamente a limitação das finalidades, a minimização dos dados, os períodos muito curtos de conservação, a qualidade dos dados, a proteção dos dados desde a conceção e por defeito, a base jurídica para o tratamento, o tratamento de dados pessoais sensíveis, as medidas de garantia da segurança dos dados e os requisitos para transferências ulteriores para organizações que não se encontrem vinculadas pelas medidas em causa;

(e) Os direitos dos titulares de dados e os mecanismos de exercício desses direitos, incluindo o direito de não ser objeto de uma medida baseada na definição de perfis nos termos do artigo 20.º, o direito de apresentar uma queixa à autoridade de controlo competente e aos tribunais competentes dos Estados-Membros nos termos do artigo 75.º, n.º 2, e obter uma reparação e, se for caso disso, uma indemnização pela violação das regras vinculativas para empresas;

(e) Os direitos dos titulares de dados e os mecanismos de exercício desses direitos, incluindo o direito de não ser objeto de uma medida baseada na definição de perfis nos termos do artigo 20.º, o direito de apresentar uma queixa à autoridade de controlo competente e aos tribunais competentes dos Estados-Membros nos termos do artigo 75.º, n.º 2, e obter uma reparação e, se for caso disso, uma indemnização pela violação das regras vinculativas para empresas;

f) A aceitação, pelo responsável pelo tratamento ou pelo subcontratante estabelecido no território de um Estado-Membro, da responsabilidade por qualquer violação às regras vinculativas para empresas por qualquer entidade do grupo de empresas não estabelecido na União; o responsável pelo tratamento ou o subcontratante só pode ser exonerado dessa responsabilidade, no todo ou em parte, se provar que o facto que causou o dano não é imputável a essa entidade;

f) A aceitação, pelo responsável pelo tratamento estabelecido no território de um Estado-Membro, da responsabilidade por qualquer violação às regras vinculativas para empresas por qualquer entidade do grupo de empresas não estabelecido na União; o responsável pelo tratamento só pode ser exonerado dessa responsabilidade, no todo ou em parte, se provar que o facto que causou o dano não é imputável a essa entidade;

g) A forma como as informações sobre as regras vinculativas para empresas, nomeadamente relativas às disposições referidas nas alíneas d), e) e f), são comunicadas aos titulares de dados nos termos do artigo 11.º;

g) A forma como as informações sobre as regras vinculativas para empresas, nomeadamente relativas às disposições referidas nas alíneas d), e) e f), são comunicadas aos titulares de dados nos termos do artigo 11.º;

(h) As atribuições do delegado para a proteção de dados, designado nos termos do artigo 35.º, incluindo o controlo do respeito das regras vinculativas para empresas, a nível do grupo de empresas, bem como a supervisão de ações de formação e do tratamento de queixas;

(h) As atribuições do delegado para a proteção de dados, designado nos termos do artigo 35.º, incluindo o controlo do respeito das regras vinculativas para empresas, a nível do grupo de empresas, bem como a supervisão de ações de formação e do tratamento de queixas;

(i) Os mecanismos existentes no grupo de empresas com vista a assegurar a verificação do respeito das regras vinculativas para empresas;

(i) Os mecanismos existentes no grupo de empresas com vista a assegurar a verificação do respeito das regras vinculativas para empresas;

(j) Os mecanismos de elaboração de relatórios e de registo de alterações introduzidas às regras internas e para a comunicação dessas alterações à autoridade de controlo;

(j) Os mecanismos de elaboração de relatórios e de registo de alterações introduzidas às regras internas e para a comunicação dessas alterações à autoridade de controlo;

(k) O mecanismo de cooperação com a autoridade de controlo para assegurar o respeito, por qualquer entidade do grupo de empresas, em especial disponibilizando à autoridade de controlo os resultados da verificação das medidas referidas na alínea i).

(k) O mecanismo de cooperação com a autoridade de controlo para assegurar o respeito, por qualquer entidade do grupo de empresas, em especial disponibilizando à autoridade de controlo os resultados da verificação das medidas referidas na alínea i).

3. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o artigo 86.º, a fim de especificar mais concretamente os critérios e as condições aplicáveis às regras vinculativas para empresas na aceção do presente artigo, nomeadamente quanto aos critérios aplicáveis à respetiva aprovação, à aplicação do n.º 2, alíneas b), d), e) e f), às regras vinculativas para empresas às quais aderem subcontratantes, e aos requisitos necessários para assegurar a proteção de dados pessoais dos titulares de dados.

3. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o artigo 86.º, a fim de especificar mais concretamente o formato, os procedimentos, os critérios e as condições aplicáveis às regras vinculativas para empresas na aceção do presente artigo, nomeadamente quanto aos critérios aplicáveis à respetiva aprovação, incluindo a transparência para os titulares de dados, à aplicação do n.º 2, alíneas b), d), e) e f), às regras vinculativas para empresas às quais aderem subcontratantes, e aos requisitos necessários para assegurar a proteção de dados pessoais dos titulares de dados.

4. A Comissão pode especificar o formato e os procedimentos para o intercâmbio eletrónico de informações entre os responsáveis pelo tratamento, os subcontratantes e as autoridades de controlo, em relação às regras vinculativas para empresas na aceção do presente artigo. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame previsto no artigo 87.º, n.º 2.

 

Alteração  140

Proposta de regulamento

Artigo 43-A (novo)

Texto da Comissão

Alteração

 

Artigo 43.º-A

 

Transferências ou divulgações não autorizadas pelo direito da UE

 

1. As sentenças de órgãos judiciais e as decisões de autoridades administrativas de um país terceiro, que solicitem a um responsável pelo tratamento ou subcontratante que divulgue dados pessoais, não serão reconhecidas ou executadas de nenhuma forma, sem prejuízo de um acordo de assistência judiciária mútua ou de um acordo internacional em vigor entre o país terceiro requerente e a União ou um Estado-Membro.

 

2. Sempre que os acórdãos de tribunais e as decisões de autoridades administrativas de um país terceiro solicitem a um responsável pelo tratamento ou subcontratante que divulgue dados pessoais, o responsável pelo tratamento ou o subcontratante e, caso exista, o representante do responsável pelo tratamento, deve notificar a autoridade de controlo do pedido, sem demora injustificada, e deve obter autorização prévia da autoridade de controlo para a transferência ou divulgação.

 

3. A autoridade de controlo avalia a conformidade da divulgação pedida com o regulamento e, em particular, se a divulgação é necessária e exigida legalmente de acordo com o artigo 44.º, n.º 1, alíneas d) e e), e com o n.º 5 do mesmo artigo. Sempre que sejam prejudicados titulares de dados de outros Estados-Membros, a autoridade de controlo competente aplica o mecanismo de controlo da coerência referido no artigo 57.º.

 

4. A autoridade de controlo informa do pedido a autoridade nacional competente. Sem prejuízo do disposto no artigo 21.º, o responsável pelo tratamento ou o subcontratante deve ainda informar os titulares dos dados do pedido e da autorização pela autoridade de controlo e, se necessário, informar o titular dos dados sobre se foram fornecidos dados pessoais às autoridades públicas durante o último período consecutivo de 12 meses, nos termos do artigo 14.º, n.º1, alínea h-A).

Alteração  141

Proposta de regulamento

Artigo 44

Texto da Comissão

Alteração

Derrogações

Derrogações

1. Na falta de uma decisão de adequação nos termos do artigo 41.º, ou de garantias adequadas nos termos do artigo 42.º, uma transferência ou um conjunto de transferências de dados pessoais para um país terceiro ou uma organização internacional só pode ser efetuada se:

1. Na falta de uma decisão de adequação nos termos do artigo 41.º, ou de garantias adequadas nos termos do artigo 42.º, uma transferência ou um conjunto de transferências de dados pessoais para um país terceiro ou uma organização internacional só pode ser efetuada se:

(a) O titular dos dados tiver dado o seu consentimento à transferência prevista, após ter sido informado dos riscos que essa transferência acarreta devido à falta de uma decisão de adequação e das garantias adequadas; ou

(a) O titular dos dados tiver dado o seu consentimento à transferência prevista, após ter sido informado dos riscos que essa transferência acarreta devido à falta de uma decisão de adequação e das garantias adequadas; ou

(b) A transferência for necessária para a execução de um contrato entre o titular dos dados e o responsável pelo tratamento ou de diligências prévias à formação do contrato decididas a pedido da pessoa em causa; ou

(b) A transferência for necessária para a execução de um contrato entre o titular dos dados e o responsável pelo tratamento ou de diligências prévias à formação do contrato decididas a pedido da pessoa em causa; ou

(c) A transferência for necessária para a celebração ou execução de um contrato acordado, no interesse do titular dos dados, entre o responsável pelo tratamento e outra pessoa singular ou coletiva; ou

(c) A transferência for necessária para a celebração ou execução de um contrato acordado, no interesse do titular dos dados, entre o responsável pelo tratamento e outra pessoa singular ou coletiva; ou

(d) A transferência for necessária por motivos importantes de interesse público; ou

(d) A transferência for necessária por motivos importantes de interesse público; ou

(e) A transferência for necessária à declaração, ao exercício ou à defesa de um direito num processo judicial; ou

(e) A transferência for necessária à declaração, ao exercício ou à defesa de um direito num processo judicial; ou

f) A transferência for necessária para proteger os interesses vitais do titular dos dados ou de outra pessoa, se esse titular estiver física ou legalmente incapaz de dar o seu consentimento; ou

f) A transferência for necessária para proteger os interesses vitais do titular dos dados ou de outra pessoa, se esse titular estiver física ou legalmente incapaz de dar o seu consentimento; ou

g) A transferência for realizada a partir de um registo público que, nos termos da legislação União ou de um Estado-Membro, se destine à informação do público e se encontre aberto à consulta do público em geral ou de qualquer pessoa que possa provar um interesse legítimo, na medida em que as condições estabelecidas no direito da União ou de um Estado-Membro para a consulta estejam preenchidas no caso concreto; ou

(g) A transferência for realizada a partir de um registo público que, nos termos da legislação União ou de um Estado-Membro, se destine à informação do público e se encontre aberto à consulta do público em geral ou de qualquer pessoa que possa provar um interesse legítimo, na medida em que as condições estabelecidas no direito da União ou de um Estado-Membro para a consulta estejam preenchidas no caso concreto.

(h) A transferência for necessária para efeitos dos interesses legítimos do responsável pelo tratamento ou do subcontratante, que não seja qualificada como frequente ou maciça e que o responsável pelo tratamento ou o subcontratante tenha avaliado todas as circunstâncias relativas à operação de transferência de dados ou ao conjunto de operações de transferência de dados e, com base nessa avaliação, tiver apresentado garantias adequadas quanto à proteção de dados pessoais, se for caso disso.

 

2. Uma transferência efetuada nos termos do n.º 1, alínea g), não deve envolver a totalidade dos dados pessoais nem categorias completas de dados pessoais constantes do registo. Sempre que o registo se destinar a ser consultado por pessoas com um interesse legítimo, a transferência apenas pode ser efetuada a pedido dessas pessoas ou caso sejam elas os seus destinatários.

2. Uma transferência efetuada nos termos do n.º 1, alínea g), não deve envolver a totalidade dos dados pessoais nem categorias completas de dados pessoais constantes do registo. Sempre que o registo se destinar a ser consultado por pessoas com um interesse legítimo, a transferência apenas pode ser efetuada a pedido dessas pessoas ou caso sejam elas os seus destinatários.

3. Sempre que o tratamento tiver por base o n.º 1, alínea h), o responsável pelo tratamento ou o subcontratante deve atender especialmente à natureza dos dados, à finalidade e à duração do tratamento ou tratamentos previstos, bem como à situação no país de origem, no país terceiro e no país de destino final, e apresentar as garantias adequadas relativamente à proteção de dados pessoais, se for caso disso.

 

4. As alíneas b), c) e h) do n.º 1 não são aplicáveis a atividades executadas por autoridades no exercício dos seus poderes públicos.

4. As alíneas b) e c) do n.º 1 não são aplicáveis a atividades executadas por autoridades no exercício dos seus poderes públicos.

5. O interesse público referido no n.º 1, alínea d), deve ser reconhecido pelo direito da União ou do Estado-Membro ao qual o responsável pelo tratamento se encontre sujeito.

5. O interesse público referido no n.º 1, alínea d), deve ser reconhecido pelo direito da União ou do Estado-Membro ao qual o responsável pelo tratamento se encontre sujeito.

6. O responsável pelo tratamento ou o subcontratante deve documentar, nos termos do artigo 28.º, a avaliação e as garantias adequadas apresentadas, referidas no n.º 1, alínea h), e informa a autoridade de controlo da transferência.

 

7. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o artigo 86.º, a fim de especificar mais concretamente os «motivos importantes de interesse público» na aceção do n.º 1, alínea d), bem como os critérios e requisitos aplicáveis às garantias adequadas referidos no n.º 1, alínea h).

7. É atribuída ao Comité Europeu para a Proteção de Dados a tarefa de emitir diretrizes, recomendações e boas práticas em conformidade com o artigo 66.º, n.º 1, alínea b), a fim de especificar mais concretamente os critérios e requisitos aplicáveis à transferência de dados com base no n.º 1.

Alteração  142

Proposta de regulamento

Artigo 45 – n.º 1 – alínea a)

Texto da Comissão

Alteração

(a) Elaborar mecanismos de cooperação internacionais eficazes visando facilitar a aplicação da legislação relativa à proteção de dados pessoais;

(a) Elaborar mecanismos de cooperação internacionais eficazes visando assegurar a aplicação da legislação relativa à proteção de dados pessoais;

Alteração  143

Proposta de regulamento

Artigo 45 – n.º 1 – alínea d-A) (nova)

Texto da Comissão

Alteração

 

d-A) clarificar e proceder a consultas sobre conflitos jurisdicionais com países terceiros.

Alteração  144

Proposta de regulamento

Artigo 45-A (novo)

Texto da Comissão

Alteração

 

Artigo 45.º-A

 

Relatório da Comissão

 

A Comissão apresenta ao Parlamento Europeu e ao Conselho, com regularidade, começando o mais tardar quatro anos após a data referida no artigo 91.º, n.º 1, um relatório sobre a aplicação dos artigos 40.º a 45.º. Para esse efeito, a Comissão pode solicitar informações aos Estados-Membros e às autoridades de controlo, que lhas devem fornecer sem atrasos indevidos. O relatório é objeto de publicação.

Alteração  145

Proposta de regulamento

Artigo 47 – parágrafo 1

Texto da Comissão

Alteração

1. A autoridade de controlo exerce com total independência as funções que lhe forem atribuídas.

1. A autoridade de controlo exerce com total independência e imparcialidade as funções que lhe forem atribuídas, sem prejuízo das disposições em matéria de cooperação e coerência que figuram no capítulo VII do presente regulamento.

Alteração  146

Proposta de regulamento

Artigo 47 – parágrafo 7-A (novo)

Texto da Comissão

Alteração

 

7-A. Cada Estado-Membro deve assegurar que a autoridade de controlo tenha de prestar contas perante o parlamento nacional por questões de controlo orçamental.

Alteração  147

Proposta de regulamento

Artigo 50

Texto da Comissão

Alteração

Sigilo profissional

Sigilo profissional

Os membros e o pessoal da autoridade de controlo ficam sujeitos, durante o respetivo mandato e após a sua cessação, à obrigação de sigilo profissional quanto a quaisquer informações confidenciais a que tenham tido acesso no desempenho das suas funções oficiais.

Os membros e o pessoal da autoridade de controlo ficam sujeitos, durante o respetivo mandato e após a sua cessação, bem como em conformidade com a legislação e prática a nível nacional, à obrigação de sigilo profissional quanto a quaisquer informações confidenciais a que tenham tido acesso no desempenho das suas funções oficiais, executando as suas funções com independência e transparência, tal como definido no regulamento.

Alteração       148

Proposta de regulamento

Artigo 51 – parágrafo 1

Texto da Comissão

Alteração

1. Cada autoridade de controlo exerce, no território do seu Estado-Membro, os poderes que lhe são conferidos em conformidade com o presente regulamento.

1. Cada autoridade de controlo é competente para exercer, no território do seu Estado-Membro, as funções e os poderes que lhe são conferidos em conformidade com o presente regulamento, sem prejuízo do estipulado nos artigos 73.° e 74.°. O tratamento de dados por parte de uma autoridade pública é controlado apenas pela autoridade de controlo desse Estado-Membro.

Alteração  149

Proposta de regulamento

Artigo 51 – parágrafo 2

Texto da Comissão

Alteração

2. Sempre que o tratamento de dados pessoais ocorrer no contexto das atividades de um responsável pelo tratamento ou de um subcontratante estabelecido na União, e o responsável pelo tratamento ou o subcontratante estiver estabelecido em vários Estados-Membros, a autoridade de controlo do Estado-Membro onde se situar o estabelecimento principal do responsável pelo tratamento ou do subcontratante é competente para controlar as atividades de tratamento do responsável pelo tratamento ou do subcontratante em todos os Estados-Membros, sem prejuízo do disposto no Capítulo VII do presente regulamento.

Suprimido

Alteração  150

Proposta de regulamento

Artigo 52 – n.º 1 – alínea b)

Texto da Comissão

Alteração

(b) Receber as queixas apresentadas por qualquer titular de dados ou por uma associação que o represente nos termos do artigo 73.º, examinar a matéria, na medida do necessário, e informar a pessoa em causa ou a associação do andamento e do resultado da queixa num prazo razoável, em especial se forem necessárias operações de investigação ou de coordenação complementares com outra autoridade de controlo;

(b) Receber as queixas apresentadas por qualquer titular de dados ou por uma associação nos termos do artigo 73.º, examinar a matéria, na medida do necessário, e informar a pessoa em causa ou a associação do andamento e do resultado da queixa num prazo razoável, em especial se forem necessárias operações de investigação ou de coordenação complementares com outra autoridade de controlo;

Alteração  151

Proposta de regulamento

Artigo 52 – parágrafo 1 – alínea d)

Texto da Comissão

Alteração

(d) Conduzir investigações por sua própria iniciativa ou com base numa queixa ou a pedido de outra autoridade de controlo, e informar o titular dos dados, num prazo razoável, do resultado das operações de investigação, caso aquele tenha apresentado queixa a esta autoridade de controlo;

(d) Conduzir investigações por sua própria iniciativa ou com base numa queixa ou em informações específicas e documentadas que aleguem tratamento ilícito, ou a pedido de outra autoridade de controlo, e informar o titular dos dados, num prazo razoável, do resultado das operações de investigação, caso aquele tenha apresentado queixa a esta autoridade de controlo;

Alteração  152

Proposta de regulamento

Artigo 52 – n.º 1 – alínea j-A) (nova)

Texto da Comissão

Alteração

 

(j-A) Certificar os responsáveis pelo tratamento e os subcontratantes nos termos do artigo 39.º;

Alteração  153

Proposta de regulamento

Artigo 52 – parágrafo 2

Texto da Comissão

Alteração

2. Cada autoridade de controlo deve promover a sensibilização do público para os riscos, regras, garantias e direitos associados ao tratamento de dados pessoais. As atividades especificamente dirigidas para as crianças devem ser objeto de uma atenção especial.

2. Cada autoridade de controlo deve promover a sensibilização do público para os riscos, regras, garantias e direitos associados ao tratamento de dados pessoais e para as medidas adequadas de proteção de dados pessoais. As atividades especificamente dirigidas para as crianças devem ser objeto de uma atenção especial.

Alteração  154

Proposta de regulamento

Artigo 52 – parágrafo 2-A (novo)

Texto da Comissão

Alteração

 

2-A. Cada autoridade de controlo, em conjunto com o Comité Europeu de Proteção dos Dados, deve promover a sensibilização dos responsáveis pelo tratamento e subcontratantes sobre os riscos, regras, garantias, e direitos associados ao tratamento de dados pessoais. Isto inclui a manutenção de um registo de sanções e violações. O registo deverá fornecer tantas informações quanto possível sobre os avisos e sanções, bem como sobre como resolver as violações. Cada autoridade de controlo deve fornecer aos responsáveis pelo tratamento e subcontratantes das micro, pequenas e médias empresas, mediante pedido, informação geral sobre as suas responsabilidades e obrigações, nos termos do presente regulamento.

Alteração  155

Proposta de regulamento

Artigo 52 – parágrafo 6

Texto da Comissão

Alteração

6. Sempre que os pedidos sejam manifestamente abusivos, particularmente devido ao seu caráter repetitivo, a autoridade de controlo pode exigir o pagamento de uma taxa, ou não adotar as medidas solicitadas pelo titular dos dados. Incumbe à autoridade de controlo o ónus de provar o caráter manifestamente abusivo do pedido.

6. Sempre que os pedidos sejam manifestamente abusivos, particularmente devido ao seu caráter repetitivo, a autoridade de controlo pode exigir o pagamento de uma taxa razoável, ou não adotar as medidas solicitadas pelo titular dos dados. A taxa não deve exceder os custos de adoção da ação solicitada. Incumbe à autoridade de controlo o ónus de provar o caráter manifestamente abusivo do pedido.

Alteração  156

Proposta de regulamento

Artigo 53

Texto da Comissão

Alteração

Poderes

Poderes

1. Cada autoridade de controlo está habilitada a:

1. Em conformidade com o presente regulamento, cada autoridade de controlo está habilitada a:

(a) Notificar o responsável pelo tratamento ou o subcontratante de uma alegada violação das disposições que regulam o tratamento de dados pessoais e, se for caso disso, ordenar que o responsável pelo tratamento ou o subcontratante sanem essa violação, através de medidas específicas, a fim de melhorar a proteção do titular dos dados;

(a) Notificar o responsável pelo tratamento ou o subcontratante de uma alegada violação das disposições que regulam o tratamento de dados pessoais e, se for caso disso, ordenar que o responsável pelo tratamento ou o subcontratante sanem essa violação, através de medidas específicas, a fim de melhorar a proteção do titular dos dados, ou de obrigar o responsável pelo tratamento a comunicar a violação dos dados pessoais ao titular dos dados;

(b) Ordenar ao responsável pelo tratamento ou ao subcontratante que satisfaça os pedidos de exercício de direitos apresentados pelo titular dos dados previstos no presente regulamento;

(b) Ordenar ao responsável pelo tratamento ou ao subcontratante que satisfaça os pedidos de exercício de direitos apresentados pelo titular dos dados previstos no presente regulamento;

(c) Ordenar que o responsável pelo tratamento ou o subcontratante e, se for caso disso, o representante, forneça quaisquer informações pertinentes para o exercício das suas funções;

(c) Ordenar que o responsável pelo tratamento ou o subcontratante e, se for caso disso, o representante, forneça quaisquer informações pertinentes para o exercício das suas funções;

(d) Assegurar o respeito da autorização prévia e da consulta prévia referidas no artigo 34.º;

(d) Assegurar o respeito da autorização prévia e da consulta prévia referidas no artigo 34.º;

(e) Dirigir advertências ou admoestações ao responsável pelo tratamento ou ao subcontratante;

(e) Dirigir advertências ou admoestações ao responsável pelo tratamento ou ao subcontratante;

f) Ordenar a retificação, o apagamento ou a destruição de todos os dados que tenham sido objeto de tratamento em violação do disposto no presente regulamento, bem como a notificação dessas medidas a terceiros a quem tenham sido divulgados os dados;

f) Ordenar a retificação, o apagamento ou a destruição de todos os dados que tenham sido objeto de tratamento em violação do disposto no presente regulamento, bem como a notificação dessas medidas a terceiros a quem tenham sido divulgados os dados;

g) Proibir temporária ou definitivamente um tratamento de dados;

g) Proibir temporária ou definitivamente um tratamento de dados;

(h) Suspender o intercâmbio de dados com um destinatário num país terceiro ou com uma organização internacional;

(h) Suspender o intercâmbio de dados com um destinatário num país terceiro ou com uma organização internacional;

(i) Emitir pareceres sobre qualquer questão relacionada com a proteção de dados pessoais;

(i) Emitir pareceres sobre qualquer questão relacionada com a proteção de dados pessoais;

 

(i-A) Certificar os responsáveis pelo tratamento e os subcontratantes, nos termos do artigo 39.º;

(j) Informar o parlamento nacional, o governo e outras instituições políticas, bem como o público, sobre qualquer assunto relacionado com a proteção de dados pessoais.

(j) Informar o parlamento nacional, o governo e outras instituições políticas, bem como o público, sobre qualquer assunto relacionado com a proteção de dados pessoais;

 

(j-A) Implementar mecanismos eficazes de incentivo à comunicação confidencial de violações do presente regulamento, tendo em consideração as diretrizes emitidas pelo Comité Europeu para a Proteção de Dados nos termos do artigo 66.º, n.º 4, alínea b).

2. Cada autoridade de controlo tem o poder de investigação para obter do responsável pelo tratamento ou do subcontratante:

2. Cada autoridade de controlo tem o poder de investigação para obter do responsável pelo tratamento ou do subcontratante sem aviso prévio:

(a) O acesso a todos os dados pessoais e a todas as informações necessárias ao exercício das suas funções;

(a) O acesso a todos os dados pessoais e a todos os documentos e informações necessários ao exercício das suas funções;

(b) O acesso a todas as suas instalações, incluindo a qualquer equipamento e meios de tratamento de dados, se existir um motivo razoável para presumir que aí é exercida uma atividade contrária ao presente regulamento.

(b) O acesso a todas as suas instalações, incluindo a qualquer equipamento e meios de tratamento de dados.

Os poderes referidos na alínea b) são exercidos em conformidade com o direito da União e dos Estados-Membros.

Os poderes referidos na alínea b) são exercidos em conformidade com o direito da União e dos Estados-Membros.

3. Cada autoridade de controlo é competente para levar ao conhecimento das autoridades judiciais a violação do presente regulamento e para intervir em processos judiciais, em especial nos termos do artigo 74.º, n.º 4, e do artigo 75.º, n.º 2.

3. Cada autoridade de controlo é competente para levar ao conhecimento das autoridades judiciais a violação do presente regulamento e para intervir em processos judiciais, em especial nos termos do artigo 74.º, n.º 4, e do artigo 75.º, n.º 2.

4. Cada autoridade de controlo é competente para sancionar as infrações administrativas, em especial as referidas no artigo 79.º, n.ºs 4, 5 e 6.

4. Cada autoridade de controlo é competente para sancionar as infrações administrativas, referidas no artigo 79.º. Essa competência deve ser exercida de forma eficaz, proporcional e dissuasora.

Alteração  157

Proposta de regulamento

Artigo 54

Texto da Comissão

Alteração

Cada autoridade de controlo elabora um relatório anual de atividades. O relatório é apresentado ao parlamento nacional e tornado público e disponibilizado à Comissão e ao Comité Europeu para a Proteção de Dados.

Cada autoridade de controlo deve elaborar um relatório de atividades no mínimo de dois em dois anos. O relatório é apresentado ao respetivo parlamento e tornado público e disponibilizado à Comissão e ao Comité Europeu para a Proteção de Dados.

Alteração  158

Proposta de regulamento

Artigo 54-A (novo)

Texto da Comissão

Alteração

 

Artigo 54.º-A

 

Autoridade principal

 

1. Quando o tratamento de dados pessoais ocorrer no contexto das atividades do estabelecimento dum responsável pelo tratamento ou subcontratante da União e se estes estiverem estabelecidos em mais de um Estado-Membro, ou se forem tratados os dados pessoais dos residentes de diversos Estados-Membros, a autoridade de controlo do estabelecimento principal do responsável pelo tratamento ou subcontratante atuará como principal autoridade responsável por controlar as atividades do responsável pelo tratamento ou do subcontratante em todos os Estados-Membros, em conformidade com o disposto no Capítulo VII do presente regulamento.

 

2. A principal autoridade de controlo deve tomar as medidas adequadas ao controlo das atividades de tratamento do responsável pelo tratamento ou do subcontratante, pelas quais é responsável somente após ter consultado todas as outras autoridades de controlo competentes, nos termos do artigo 51.º, n.º1, numa tentativa de consenso. Para este efeito, deve, nomeadamente, apresentar todas as informações pertinentes e consultar as outras autoridades antes de adotar uma medida que vise produzir efeitos legais em relação a um responsável pelo tratamento ou subcontratante, na aceção do artigo 51.º, n.º 1. A autoridade principal deve ter na melhor conta os pareceres das autoridades envolvidas. A autoridade principal é a única autoridade competente para decidir sobre as medidas que visem produzir efeitos legais no que respeita às atividades de tratamento do responsável pelo tratamento ou do subcontratante pelas quais é responsável.

 

 

3. O Comité Europeu para a Proteção de Dados emite, a pedido de uma autoridade competente, um parecer sobre a identificação da autoridade principal responsável por um responsável pelo tratamento ou subcontratante, quando:

 

(a) os factos do dossiê não permitirem determinar com clareza a localização do estabelecimento principal do responsável pelo tratamento ou subcontratante; ou

 

(b) as autoridades competentes não chegarem a acordo sobre qual a autoridade de controlo que deve atuar como autoridade principal; ou

 

(c) o responsável pelo tratamento não estiver estabelecido na União e residentes de diferentes Estados-Membros sejam afetados por operações de tratamento no âmbito do presente regulamento.

 

3-A. Sempre que o responsável pelo tratamento exerça também atividades como subcontratante, a autoridade de controlo do estabelecimento principal deste atuará como autoridade principal de controlo das atividades de tratamento.

 

4. O Comité Europeu da Proteção de Dados pode decidir sobre a identificação da autoridade principal.

O n.º 1 da alteração do Parlamento inspira-se no artigo 51.º, n.º 2, da proposta da Comissão).

Alteração  159

Proposta de regulamento

Artigo 55 – parágrafo 1

Texto da Comissão

Alteração

1. As autoridades de controlo devem comunicar entre si qualquer informação útil e prestar assistência mútua a fim de executar e aplicar o presente regulamento de forma coerente, bem como adotar medidas para cooperarem eficazmente entre si. A assistência mútua inclui, em especial, pedidos de informação e medidas de controlo, tais como pedidos de autorização prévia e de consulta prévia, inspeções e comunicação rápida de informações sobre a abertura de dossiês e a sua evolução sempre que titulares de dados noutros Estados-Membros possam ser afetados por operações de tratamento.

1. As autoridades de controlo devem comunicar entre si qualquer informação útil e prestar assistência mútua a fim de executar e aplicar o presente regulamento de forma coerente, bem como adotar medidas para cooperarem eficazmente entre si. A assistência mútua inclui, em especial, pedidos de informação e medidas de controlo, tais como pedidos de autorização prévia e de consulta prévia, inspeções e investigações, assim como comunicação rápida de informações sobre a abertura de dossiês e a sua evolução, caso o responsável pelo tratamento ou o subcontratante tenham estabelecimentos em vários Estados-Membros ou sempre que titulares de dados noutros Estados-Membros possam ser afetados por operações de tratamento. A autoridade principal, tal como definida no artigo 54.º-A, assegura a coordenação com as autoridades de controlo envolvidas e atua como ponto de contacto único para o responsável pelo tratamento ou o subcontratante.

Alteração  160

Proposta de regulamento

Artigo 55 – n.º 7

Texto da Comissão

Alteração

7. Não é cobrada qualquer taxa por qualquer medida tomada na sequência de um pedido de assistência mútua.

7. Não é cobrada qualquer taxa à autoridade de controlo requerente por qualquer medida tomada na sequência de um pedido de assistência mútua.

Alteração  161

Proposta de regulamento

Artigo 55 – parágrafo 8

Texto da Comissão

Alteração

8. Sempre que uma autoridade de controlo não adotar medidas no prazo de um mês a contar da data do pedido de outra autoridade de controlo, a autoridade de controlo requerente pode adotar medidas provisórias no território do seu Estado-Membro, em conformidade com o artigo 51.º, n.º 1, e deve apresentar a matéria ao Comité Europeu para a Proteção de Dados, em conformidade com o procedimento previsto no artigo 57.º.

8. Sempre que uma autoridade de controlo não adotar medidas no prazo de um mês a contar da data do pedido de outra autoridade de controlo, a autoridade de controlo requerente pode adotar medidas provisórias no território do seu Estado-Membro, em conformidade com o artigo 51.º, n.º 1, e deve apresentar a matéria ao Comité Europeu para a Proteção de Dados, em conformidade com o procedimento previsto no artigo 57.º. A autoridade de controlo pode, nos termos do artigo 53.º, adotar uma medida provisória no território do seu Estado-Membro, sempre que não possa ser adotada uma medida definitiva devido ao facto de a assistência ainda não estar concluída.

Alteração  162

Proposta de regulamento

Artigo 55 – parágrafo 9

Texto da Comissão

Alteração

9. A autoridade de controlo deve especificar o período de validade da medida provisória adotada. Esse período não pode ser superior a três meses. A autoridade de controlo comunica essas medidas sem demora e devidamente fundamentadas ao Comité Europeu para a Proteção de Dados e à Comissão.

9. A autoridade de controlo deve especificar o período de validade da medida provisória adotada. Esse período não pode ser superior a três meses. A autoridade de controlo comunica essas medidas sem demora e devidamente fundamentadas ao Comité Europeu para a Proteção de Dados e à Comissão, em conformidade com o procedimento referido no artigo 57.º.

Alteração  163

Proposta de regulamento

Artigo 55 – parágrafo 10

Texto da Comissão

Alteração

10. A Comissão pode especificar o formato e os procedimentos para a assistência mútua referidos neste artigo, bem como as modalidades de intercâmbio eletrónico de informações entre as autoridades de controlo e entre as autoridades de controlo e o Comité Europeu para a Proteção de Dados, nomeadamente o formato normalizado referido no n.º 6. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.º, n.º 2.

10. O Comité Europeu para a Proteção de Dados pode especificar o formato e os procedimentos para a assistência mútua referidos neste artigo, bem como as modalidades de intercâmbio eletrónico de informações entre as autoridades de controlo e entre as autoridades de controlo e o Comité Europeu para a Proteção de Dados, nomeadamente o formato normalizado referido no n.º 6.

Alteração  164

Proposta de regulamento

Artigo 56 – parágrafo 2

Texto da Comissão

Alteração

2. Nos casos em que as operações de tratamento possam prejudicar titulares de dados em vários Estados-Membros, uma autoridade de controlo de cada um dos Estados-Membros em causa tem o direito de participar nas missões de investigação conjuntas ou nas operações conjuntas, consoante o caso. A autoridade de controlo competente convida a autoridade de controlo de cada Estado-Membro a participar nas missões de investigação conjuntas ou nas operações conjuntas em causa na respetiva operação e responde rapidamente ao pedido da autoridade de controlo que pretenda participar nas operações.

2. Nos casos em que o responsável pelo tratamento ou o subcontratante tenham estabelecimentos em vários Estados-Membros ou em que as operações de tratamento possam prejudicar titulares de dados em vários Estados-Membros, uma autoridade de controlo de cada um dos Estados-Membros em causa tem o direito de participar nas missões de investigação conjuntas ou nas operações conjuntas, consoante o caso. A autoridade principal, tal como definida no artigo 54.º-A, envolve a autoridade de controlo de cada Estado-Membro a participar nas missões de investigação conjuntas ou nas operações conjuntas em causa na respetiva operação e responde rapidamente ao pedido da autoridade de controlo que pretenda participar nas operações. A autoridade principal atua como ponto de contacto único para o responsável pelo tratamento ou o subcontratante.

Alteração  165

Proposta de regulamento

Artigo 57

Texto da Comissão

Alteração

Mecanismo de controlo da coerência

Mecanismo de controlo da coerência

Para os efeitos previstos no artigo 46.º, n.º 1, as autoridades de controlo devem cooperar entre si e com a Comissão no âmbito do mecanismo de controlo da coerência previsto na presente secção.

Para os efeitos previstos no artigo 46.º, n.º 1, as autoridades de controlo devem cooperar entre si e com a Comissão no âmbito do mecanismo de controlo da coerência, tanto quando se trate de assuntos de alcance geral como quanto aos casos individuais, nos termos do disposto na presente secção.

Alteração  166

Proposta de regulamento

Artigo 58

Texto da Comissão

Alteração

Parecer do Comité Europeu para a Proteção de Dados

Coerência nos assuntos de aplicação geral

1. Antes de adotar uma medida referida no n.º 2, qualquer autoridade de controlo comunica o projeto de medida ao Comité Europeu para a Proteção de Dados e à Comissão.

1. Antes de adotar uma medida referida no n.º 2, qualquer autoridade de controlo comunica o projeto de medida ao Comité Europeu para a Proteção de Dados e à Comissão.

2. A obrigação estabelecida no n.º 1 aplica-se a uma medida destinada a produzir efeitos jurídicos e que:

2. A obrigação estabelecida no n.º 1 aplica-se a uma medida destinada a produzir efeitos jurídicos e que:

(a) Esteja relacionada com atividades de tratamento associadas à oferta de bens ou serviços a titulares de dados em vários Estados-Membros, ou com controlo do seu comportamento; ou

 

(b) Possa prejudicar sensivelmente a livre circulação de dados pessoais na União Europeia; ou

 

(c) Vise adotar uma lista de operações de tratamento de dados sujeitas a consulta prévia, nos termos do artigo 34.º, n.º 5; ou

 

(d) Vise determinar cláusulas-tipo de proteção de dados referidas no artigo 42.º, n.º 2, alínea c); ou

(d) Vise determinar cláusulas-tipo de proteção de dados referidas no artigo 42.º, n.º 2, alínea c); ou

(e) Vise autorizar cláusulas contratuais conforme referidas no artigo 42.º, n.º 2, alínea d); ou

(e) Vise autorizar cláusulas contratuais conforme referidas no artigo 42.º, n.º 2, alínea d); ou

(f) Vise aprovar regras vinculativas para empresas na aceção do artigo 43.º.

(f) Vise aprovar regras vinculativas para empresas na aceção do artigo 43.º.

3. Qualquer autoridade de controlo ou o Comité Europeu para a Proteção de Dados pode solicitar que qualquer matéria seja tratada através do mecanismo de controlo da coerência, em especial se uma autoridade de controlo não submeter para exame um projeto de medida referido no n.º 2, ou não cumprir as obrigações de assistência mútua nos termos do artigo 55.º, ou as operações conjuntas nos termos do artigo 56.º.

3. Qualquer autoridade de controlo ou o Comité Europeu para a Proteção de Dados pode solicitar que qualquer matéria de aplicação geral seja tratada através do mecanismo de controlo da coerência, em especial se uma autoridade de controlo não submeter para exame um projeto de medida referido no n.º 2, ou não cumprir as obrigações de assistência mútua nos termos do artigo 55.º, ou as operações conjuntas nos termos do artigo 56.º.

4. A fim de assegurar a aplicação correta e coerente do presente regulamento, a Comissão pode solicitar que qualquer matéria seja tratada através do mecanismo de controlo da coerência.

4. A fim de assegurar a aplicação correta e coerente do presente regulamento, a Comissão pode solicitar que qualquer matéria de aplicação geral seja tratada através do mecanismo de controlo da coerência.

5. As autoridades de controlo e a Comissão comunicam por via eletrónica, utilizando um formato normalizado, quaisquer informações pertinentes incluindo, consoante o caso, um resumo dos factos, o projeto de medida e os motivos que tornaram necessário adotar tal medida.

5. As autoridades de controlo e a Comissão comunicam por via eletrónica, sem demora injustificada, utilizando um formato normalizado, quaisquer informações pertinentes incluindo, consoante o caso, um resumo dos factos, o projeto de medida e os motivos que tornaram necessário adotar tal medida.

6. O presidente do Comité Europeu para a Proteção de Dados informa de imediato por via eletrónica, utilizando um formato normalizado, os membros deste comité e a Comissão sobre quaisquer informações pertinentes que lhe tenham sido comunicadas. O presidente do Comité Europeu para a Proteção de Dados deve comunicar, se necessário, traduções das informações pertinentes.

6. O presidente do Comité Europeu para a Proteção de Dados informa, sem demora injustificada, por via eletrónica, utilizando um formato normalizado, os membros deste comité e a Comissão sobre quaisquer informações pertinentes que lhe tenham sido comunicadas. O secretariado do Comité Europeu para a Proteção de Dados deve comunicar, se necessário, traduções das informações pertinentes.

 

6-A. O Comité Europeu para a Proteção de Dados adota um parecer sobre os assuntos que lhe são remetidos nos termos do n.º 2.

7. O Comité Europeu para a Proteção de Dados emite um parecer sobre o assunto se os seus membros assim o decidirem por maioria simples, ou se qualquer autoridade de controlo ou a Comissão assim o solicitarem, no prazo de uma semana após a comunicação das informações pertinentes nos termos do n.º 5. O parecer é adotado no prazo de um mês por maioria simples dos membros do Comité Europeu para a Proteção de Dados. O presidente do Comité Europeu para a Proteção de Dados informa do parecer, sem demora injustificada, a autoridade de controlo referida, consoante o caso, no n.º 1 ou no n.º 3, a Comissão e a autoridade de controlo competente nos termos do artigo 51.º, e torna-o público.

7. O Comité Europeu para a Proteção de Dados pode decidir por maioria simples se adota um parecer sobre qualquer assunto submetido à sua apreciação nos termos dos n.os 2 e 4, tendo em conta:

 

(a) Se o assunto encerra elementos de novidade, atendendo à evolução jurídica ou factual ocorrida, em especial, na tecnologia da informação e considerando o estado atingido na sociedade da informação; e

 

(b) Se o Comité Europeu para a Proteção de Dados já emitiu um parecer sobre o mesmo assunto.

8. A autoridade de controlo referida no n.º 1 e a autoridade de controlo competente por força do artigo 51.º têm em conta o parecer do Comité Europeu para a Proteção de Dados e, no prazo de duas semanas a contar da data da comunicação do parecer pelo presidente do referido comité, comunicam por via eletrónica ao presidente do Comité Europeu para a Proteção de Dados e à Comissão se mantêm ou alteram o projeto de medida e, se for caso disso, o projeto de medida alterado, utilizando para o efeito um formato normalizado.

8. O Comité Europeu para a Proteção de Dados adota os seus pareceres a que se referem os n.os 6-A e 7 por maioria simples dos seus membros. Estes pareceres são tornados públicos.

Alteração                  167

Proposta de regulamento

Artigo 58-A (novo)

Texto da Comissão

Alteração

 

Artigo 58.º-A

 

Coerência nos casos individuais

 

1. Antes de tomar uma medida destinada a produzir efeitos jurídicos na aceção do artigo 54.º-A, a autoridade principal partilha todas as informações relevantes e submete para exame o projeto de medida a todas as outras autoridades competentes. A autoridade principal não adota a medida, se, no prazo de três semanas, alguma autoridade competente indicar que ela suscita sérias objeções da sua parte.

 

2. Caso alguma autoridade competente indique que um projeto de medida da autoridade principal suscita sérias objeções da sua parte, a autoridade principal não submeta para exame um projeto de medida mencionada no n.º 1 ou a autoridade principal não cumpra as obrigações de assistência mútua nos termos do artigo 55.º ou em matéria de operações conjuntas nos termos do artigo 56.º, a questão é examinada pelo Comité Europeu para a Proteção de Dados

 

3. A autoridade principal e/ou as outras autoridades competentes envolvidas e a Comissão comunicam por via eletrónica, sem demora injustificada, ao Comité Europeu para a Proteção de Dados, utilizando um formato normalizado, quaisquer informações pertinentes, incluindo, consoante o caso, um resumo dos factos, o projeto de medida, os motivos que tornaram necessário adotar tal medida, as objeções que lhe são opostas e os pontos de vista das outras autoridades de controlo em causa.

 

4. O Comité Europeu para a Proteção de Dados examina a questão, tendo em conta o impacto do projeto de medida da autoridade principal sobre os direitos e as liberdades fundamentais dos titulares dos dados, decidindo por maioria simples dos seus membros, no prazo de duas semanas após a comunicação das informações pertinentes nos termos do n.º 3, se emite um parecer sobre o assunto.

 

5. Caso decida emitir um parecer, o Comité Europeu para a Proteção de Dados deve dar o parecer no prazo de seis semanas e torná-lo público.

 

6. A autoridade principal tem em conta o parecer do Comité Europeu para a Proteção de Dados e, no prazo de duas semanas após a informação sobre o parecer pelo presidente do Comité Europeu para a Proteção de Dados, comunica por via eletrónica ao presidente do Comité Europeu para a Proteção de Dados e à Comissão se mantém ou altera o seu projeto de medida e, se for o caso, o projeto de medida alterado, utilizando para o efeito um formato normalizado. Se a autoridade principal não tiver a intenção de seguir o parecer do Comité Europeu para a Proteção de Dados, deve apresentar uma justificação fundamentada.

 

7. Caso continue a opor-se à medida da autoridade de controlo referida no n.º 5, o Comité Europeu para a Proteção de Dados pode, no prazo de um mês, adotar, por uma maioria de dois terços, uma medida vinculativa para a autoridade de controlo.

Alteração  168

Proposta de regulamento

Artigo 59

Texto da Comissão

Alteração

Artigo 59.°

Suprimido

Parecer da Comissão

 

1. No prazo de dez semanas a contar da data em que a questão foi suscitada nos termos do artigo 58.º, ou o mais tardar no prazo de seis semanas no caso previsto no artigo 61.º, a Comissão pode adotar, a fim de assegurar a aplicação correta e coerente do presente regulamento, um parecer relativo às questões suscitadas nos termos dos artigos 58.º ou 61.º

 

2. Sempre que a Comissão tiver adotado um parecer em conformidade com o n.º 1, a autoridade de controlo em causa deve ter na melhor conta esse parecer e informar a Comissão e o Comité Europeu para a Proteção de Dados da sua intenção de manter ou alterar o seu projeto de medida.

 

3. Durante o período referido no n.º 1, a autoridade de controlo abstém-se de adotar o projeto de medida.

 

4. Sempre que a autoridade de controlo em causa não pretenda conformar-se com o parecer da Comissão, deve deste facto informar a Comissão e o Comité Europeu para a Proteção de Dados no prazo referido no n.º 1, e apresentar a devida justificação. Neste caso, o projeto de medida não deve ser aprovado durante um prazo suplementar de um mês.

 

Alteração  169

Proposta de regulamento

Artigo 60

Texto da Comissão

Alteração

Artigo 60.°

Suprimido

Suspensão de um projeto de medida

 

1. No prazo de um mês a contar da comunicação referida no artigo 59.º, n.º 4, e se a Comissão tiver sérias dúvidas quanto a saber se o projeto de medida permite assegurar a aplicação correta do presente regulamento ou se, pelo contrário, resulta numa aplicação incoerente do mesmo, a Comissão pode adotar uma decisão fundamentada a impor à autoridade de controlo a suspensão da adoção do projeto de medida, tendo em consideração o parecer emitido pelo Comité Europeu para a Proteção de Dados nos termos do artigo 58.º, n.º 7, ou do artigo 61.º, n.º 2, sempre que tal se revele necessário para:

 

(a) Aproximar as posições divergentes da autoridade de controlo e do Comité Europeu para a Proteção de Dados, se o mesmo ainda se afigurar possível; ou

 

(b) Adotar uma medida nos termos do artigo 62.º, n.º 1, alínea a).

 

2. A Comissão deve especificar o prazo da suspensão, que não pode ser superior a 12 meses.

 

3. Durante o período referido no n.º 2, a autoridade de controlo não pode adotar o projeto de medida.

 

Alteração  170

Proposta de regulamento

Artigo 60-A (novo)

Texto da Comissão

Alteração

 

Artigo 60.º-A

 

Notificação do Parlamento Europeu e do Conselho

 

Com base num relatório do presidente do Comité Europeu para a Proteção de Dados, a Comissão deve notificar regularmente, pelo menos, de seis em seis meses, o Parlamento Europeu e o Conselho sobre os assuntos tratados no âmbito do mecanismo de controlo da coerência, expondo as conclusões tiradas pela Comissão e pelo Comité Europeu para a Proteção de Dados com vista a velarem pela execução e aplicação coerentes do presente regulamento.

Alteração  171

Proposta de regulamento

Artigo 61 – n.º 1

Texto da Comissão

Alteração

1. Em circunstâncias excecionais, sempre que uma autoridade de controlo considere que é urgente intervir a fim de proteger os interesses de titulares de dados, em especial quando existir o risco de impedimento considerável do exercício de um direito da pessoa em causa através de uma alteração da situação existente, ou para evitar inconvenientes superiores ou por outras razões, pode, através da derrogação do procedimento previsto no artigo 58.º, adotar imediatamente medidas provisórias com um determinado período de validade. A autoridade de controlo comunica essas medidas sem demora e devidamente fundamentadas ao Comité Europeu para a Proteção de Dados e à Comissão.

1. Em circunstâncias excecionais, sempre que uma autoridade de controlo considere que é urgente intervir a fim de proteger os interesses de titulares de dados, em especial quando existir o risco de impedimento considerável do exercício de um direito da pessoa em causa através de uma alteração da situação existente, ou para evitar inconvenientes superiores ou por outras razões, pode, através da derrogação do procedimento previsto no artigo 58.º-A, adotar imediatamente medidas provisórias com um determinado período de validade. A autoridade de controlo comunica essas medidas sem demora e devidamente fundamentadas ao Comité Europeu para a Proteção de Dados e à Comissão.

Alteração  172

Proposta de regulamento

Artigo 61 – n.º 4

Texto da Comissão

Alteração

4. Por derrogação do artigo 58.º, n.º 7, um parecer urgente referido nos n.ºs 2 e 3 é adotado no prazo de duas semanas por maioria simples dos membros do Comité Europeu para a Proteção de Dados.

4. Um parecer urgente referido nos n.ºs 2 e 3 é adotado no prazo de duas semanas por maioria simples dos membros do Comité Europeu para a Proteção de Dados.

Alteração  173

Proposta de regulamento

Artigo 62

Texto da Comissão

Alteração

Atos de execução

Atos de execução

1. A Comissão pode adotar atos de execução para:

1. Após solicitar um parecer ao Comité Europeu para a Proteção de Dados, a Comissão pode adotar atos de execução de aplicação geral para:

(a) Decidir sobre a aplicação correta do presente regulamento em conformidade com os seus objetivos e requisitos relativamente a matérias comunicadas pelas autoridades de controlo nos termos do artigo 58.º ou do artigo 61.º, a respeito de uma matéria em relação à qual tenha sido adotada uma decisão fundamentada nos termos do artigo 60.º, n.º 1, ou a respeito de uma matéria em relação à qual uma autoridade de controlo omita submeter um projeto de medida e tenha indicado que tenciona não se conformar com o parecer da Comissão adotado nos termos do artigo 59.º;

 

(b) Decidir, no prazo fixado no artigo 59.º, n.º 1, sobre a aplicabilidade geral de projetos de cláusulas-tipo de proteção de dados, tal como referidas no artigo 58.º, n.º 2, alínea d);

(b) Decidir sobre a aplicabilidade geral de projetos de cláusulas-tipo de proteção de dados, tal como referidas no artigo 42.º, n.º 2, alínea d);

(c) Especificar o formato e os procedimentos para a aplicação do mecanismo de controlo da coerência previsto na presente secção;

 

(d) Especificar as modalidades de intercâmbio eletrónico de informações entre as autoridades de controlo e entre estas autoridades de controlo e o Comité Europeu para a Proteção de Dados, nomeadamente o formato normalizado referido no artigo 58.º, n.ºs 5, 6 e 8.

(d) Especificar as modalidades de intercâmbio eletrónico de informações entre as autoridades de controlo e entre estas autoridades de controlo e o Comité Europeu para a Proteção de Dados, nomeadamente o formato normalizado referido no artigo 58.º, n.ºs 5, 6 e 8.

Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.º, n.º 2.

 

2. Por imperativos urgentes devidamente justificados relacionados com os interesses de titulares de dados referidos no n.º 1, alínea a), a Comissão pode adotar atos de execução imediatamente aplicáveis, em conformidade com o procedimento referido no artigo 87.º, n.º 3. Esses atos permanecem em vigor por um período não superior a 12 meses.

 

3. A falta ou a adoção de uma medida nos termos da presente secção não prejudica qualquer outra medida adotada pela Comissão ao abrigo dos Tratados.

3. A falta ou a adoção de uma medida nos termos da presente secção não prejudica qualquer outra medida adotada pela Comissão ao abrigo dos Tratados.

Alteração  174

Proposta de regulamento

Artigo 63 – n.º 2

Texto da Comissão

Alteração

2. Sempre que uma autoridade de controlo omitir apresentar um projeto de medida para exame do mecanismo de controlo da coerência em violação do artigo 58.º, n.ºs 1 a 5, a medida da autoridade de controlo não será juridicamente válida nem terá força executória.

2. Sempre que uma autoridade de controlo omitir apresentar um projeto de medida para exame do mecanismo de controlo da coerência em violação do artigo 58.º, n.ºs 1 e 2, ou adotar uma medida não obstante a indicação, nos termos do artigo 58.º-A, n.º 1, de que suscita sérias objeções, a medida da autoridade de controlo não será juridicamente válida nem terá força executória.

Alteração  175

Proposta de regulamento

Artigo 66

Texto da Comissão

Alteração

Atribuições do Comité Europeu para a Proteção de Dados

Atribuições do Comité Europeu para a Proteção de Dados

1. O Comité Europeu para a Proteção de Dados deve assegurar a aplicação coerente do presente regulamento. Para o efeito, o Comité Europeu para a Proteção de Dados, por sua iniciativa ou a pedido da Comissão, deve em especial:

1. O Comité Europeu para a Proteção de Dados deve assegurar a aplicação coerente do presente regulamento. Para o efeito, o Comité Europeu para a Proteção de Dados, por sua iniciativa, ou a pedido do Parlamento Europeu, do Conselho ou da Comissão, deve em especial:

(a) Aconselhar a Comissão sobre qualquer questão relacionada com a proteção de dados pessoais na União, nomeadamente sobre qualquer projeto de alteração do presente regulamento;

(a) Aconselhar as instituições europeias sobre qualquer questão relacionada com a proteção de dados pessoais na União, nomeadamente sobre qualquer projeto de alteração do presente regulamento;

 

(b) Analisar, por sua própria iniciativa, ou a pedido de um dos seus membros, ou a pedido da Comissão, qualquer questão relativa à aplicação do presente regulamento e emitir diretrizes, recomendações e boas práticas destinadas às autoridades de controlo, a fim de incentivar a aplicação coerente do presente regulamento;

(b) Analisar, por sua própria iniciativa, ou a pedido de um dos seus membros, ou a pedido do Parlamento Europeu, do Conselho ou da Comissão, qualquer questão relativa à aplicação do presente regulamento e emitir diretrizes, recomendações e boas práticas destinadas às autoridades de controlo, a fim de incentivar a aplicação coerente do presente regulamento, nomeadamente sobre a utilização dos poderes de execução;

 

(c) Examinar a aplicação prática das diretrizes, recomendações e boas práticas referidas na alínea b) e informar regularmente a Comissão sobre esta matéria;

(c) Examinar a aplicação prática das diretrizes, recomendações e boas práticas referidas na alínea b) e informar regularmente a Comissão sobre esta matéria;

(d) Emitir pareceres relativos aos projetos de decisão das autoridades de controlo nos termos do mecanismo de controlo da coerência referido no artigo 57.º;

(d) Emitir pareceres relativos aos projetos de decisão das autoridades de controlo nos termos do mecanismo de controlo da coerência referido no artigo 57.º;

 

(d-A) Apresentar um parecer sobre qual a autoridade que deve atuar como autoridade principal nos termos do artigo 54.º-A, n.º 3;

(e) Promover a cooperação e o intercâmbio bilateral e plurilateral efetivo de informações e práticas entre as autoridades de controlo;

(e) Promover a cooperação e o intercâmbio bilateral e plurilateral efetivo de informações e práticas entre as autoridades de controlo, incluindo a coordenação de operações conjuntas e de outras atividades conjuntas, sempre que assim o decida a pedido de uma ou mais autoridades de controlo;

(f) Promover programas de formação comuns e facilitar o intercâmbio de pessoal entre as autoridades de controlo, bem como com as autoridades de controlo de países terceiros ou de organizações internacionais, se for caso disso;

(f) Promover programas de formação comuns e facilitar o intercâmbio de pessoal entre as autoridades de controlo, bem como com as autoridades de controlo de países terceiros ou de organizações internacionais, se for caso disso;

(g) Promover o intercâmbio de conhecimentos e de documentação em relação a práticas e legislação no domínio da proteção de dados com autoridades de controlo de todos os países.

(g) Promover o intercâmbio de conhecimentos e de documentação em relação a práticas e legislação no domínio da proteção de dados com autoridades de controlo de todos os países.

 

(g-A) Dar o seu parecer à Comissão no quadro da elaboração de atos delegados e de atos de execução com base no presente regulamento;

 

(g-B) Dar o seu parecer sobre os códigos de conduta elaborados a nível da União nos termos do artigo 38.º, n.º 4;

 

(g-C) Dar o seu parecer sobre os critérios e os requisitos aplicáveis aos mecanismos de certificação em matéria de proteção de dados previstos no artigo 39.º, n.º 3;

 

(g-D) Manter um registo eletrónico público dos certificados válidos e inválidos, nos termos do artigo 39.º, n.º 1-H;

 

(g-E) Prestar assistência às autoridades nacionais de controlo, a seu pedido;

 

(g-F) Elaborar e tornar pública uma lista de operações de tratamento de dados que estão sujeitas a consulta prévia, nos termos do artigo 34.º;

 

(g-G) Manter um registo das sanções impostas pelas autoridades de controlo competentes aos responsáveis pelo tratamento ou aos subcontratantes.

2. Sempre que a Comissão consultar o Comité Europeu para a Proteção de Dados pode fixar um prazo para a formulação do referido parecer, tendo em conta a urgência da questão.

2. Sempre que o Parlamento Europeu, o Conselho ou a Comissão consultarem o Comité Europeu para a Proteção de Dados, podem fixar um prazo para a formulação do referido parecer, tendo em conta a urgência da questão.

3. O Comité Europeu para a Proteção de Dados transmite os seus pareceres, diretrizes e boas práticas à Comissão e ao comité referido no artigo 87.º, e procede à sua publicação.

3. O Comité Europeu para a Proteção de Dados transmite os seus pareceres, diretrizes, recomendações e boas práticas ao Parlamento Europeu, ao Conselho e à Comissão e ao comité referido no artigo 87.º, e procede à sua publicação.

4. A Comissão informa o Comité Europeu para a Proteção de Dados das medidas adotadas na sequência de pareceres, diretrizes, recomendações e boas práticas emitidos pelo referido comité.

4. A Comissão informa o Comité Europeu para a Proteção de Dados das medidas adotadas na sequência de pareceres, diretrizes, recomendações e boas práticas emitidos pelo referido comité.

 

4-A. Quando adequado, o Comité Europeu para a Proteção de Dados deve consultar as partes interessadas e oferecer-lhes a possibilidade de, num prazo razoável, formularem observações. O Comité Europeu para a Proteção de Dados deve, sem prejuízo do artigo 72.º, tornar os resultados do processo de consulta disponíveis ao público.

 

4-B. O Comité Europeu para a Proteção de Dados é incumbido de emitir diretrizes, recomendações e boas práticas nos termos do n.º 1, alínea b), no que se refere à definição de procedimentos comuns em matéria de receção e investigação de informações sobre alegados tratamentos ilícitos de dados, bem como de proteção da confidencialidade e das fontes das informações recebidas.

Alteração  176

Proposta de regulamento

Artigo 67 – n.º 1

Texto da Comissão

Alteração

1. O Comité Europeu para a Proteção de Dados informa a Comissão, regularmente e em tempo útil, sobre o resultado das suas atividades. Deve elaborar um relatório anual sobre a situação da proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais na União e em países terceiros.

O relatório deve incluir o exame da aplicação prática das diretrizes, recomendações e boas práticas referidas no artigo 66.º, n.º 1, alínea c).

1.O Comité Europeu para a Proteção de Dados informa o Parlamento Europeu, o Conselho e a Comissão, regularmente e em tempo útil, sobre o resultado das suas atividades. Deve elaborar, pelo menos, de dois em dois anos um relatório sobre a situação da proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais na União e em países terceiros.

O relatório deve incluir o exame da aplicação prática das diretrizes, recomendações e boas práticas referidas no artigo 66.º, n.º 1, alínea c).

Alteração  177

Proposta de regulamento

Artigo 68 – n.º 1

Texto da Comissão

Alteração

1. O Comité Europeu para a Proteção de Dados toma as suas decisões por maioria simples dos seus membros.

1. Salvo disposição em contrário prevista no seu regulamento interno, o Comité Europeu para a Proteção de Dados toma as suas decisões por maioria simples dos seus membros.

Alteração  178

Proposta de regulamento

Artigo 69 – n.º 1

Texto da Comissão

Alteração

1. O Comité Europeu para a Proteção de Dados elege um presidente e dois vice-presidentes entre os seus membros. Um dos vice-presidentes é a Autoridade Europeia para a Proteção de Dados, salvo se tiver sido eleita presidente.

1. O Comité Europeu para a Proteção de Dados elege um presidente e, pelo menos, dois vice-presidentes entre os seus membros.

Alteração  179

Proposta de regulamento

Artigo 69 – n.º 2-A (novo)

Texto da Comissão

Alteração

 

2-A. O presidente desempenha o seu cargo a tempo inteiro.

Alteração  180

Proposta de regulamento

Artigo 71 – n.º 2

Texto da Comissão

Alteração

2. O secretariado fornece, sob a direção do presidente, apoio de caráter analítico, administrativo e logístico ao Comité Europeu para a Proteção de Dados.

2. O secretariado fornece, sob a direção do presidente, apoio de caráter analítico, jurídico, administrativo e logístico ao Comité Europeu para a Proteção de Dados.

Alteração  181

Proposta de regulamento

Artigo 72 – n.º 1

Texto da Comissão

Alteração

1. Os debates do Comité Europeu para a Proteção de Dados são confidenciais.

1. Salvo disposição em contrário prevista no seu regulamento interno, os debates do Comité Europeu para a Proteção de Dados podem ser confidenciais. As atas das reuniões do Comité Europeu para a Proteção de Dados são tornadas públicas.

Alteração  182

Proposta de regulamento

Artigo 73

Texto da Comissão

Alteração

Direito de apresentar queixa a uma autoridade de controlo

Direito de apresentar queixa a uma autoridade de controlo

1. Sem prejuízo de qualquer outra via de recurso administrativo ou judicial, todos os titulares de dados têm o direito de apresentar queixa a uma autoridade de controlo em qualquer Estado-Membro se considerarem que o tratamento dos seus dados pessoais não respeita o presente regulamento.

1. Sem prejuízo de qualquer outra via de recurso administrativo ou judicial e do mecanismo de controlo da coerência, todos os titulares de dados têm o direito de apresentar queixa a uma autoridade de controlo em qualquer Estado-Membro se considerarem que o tratamento dos seus dados pessoais não respeita o presente regulamento.

2. Qualquer organismo, organização ou associação que vise proteger os direitos e interesses dos titulares de dados em relação à proteção dos seus dados pessoais e que esteja devidamente constituído ao abrigo do direito de um Estado-Membro, tem o direito de apresentar queixa a uma autoridade de controlo em qualquer Estado-Membro por conta de uma ou mais pessoas em causa, se considerar que os direitos de que beneficia um titular de dados por força do presente regulamento foram violados na sequência do tratamento dos seus dados pessoais.

2. Qualquer organismo, organização ou associação que aja no interesse público e que esteja devidamente constituído ao abrigo do direito de um Estado-Membro, tem o direito de apresentar queixa a uma autoridade de controlo em qualquer Estado-Membro por conta de uma ou mais pessoas em causa, se considerar que os direitos de que beneficia um titular de dados por força do presente regulamento foram violados na sequência do tratamento dos seus dados pessoais.

3. Independentemente de uma queixa do titular dos dados, qualquer organismo, organização ou associação referidos no n.º 2 tem o direito de apresentar queixa a uma autoridade de controlo em qualquer Estado-Membro, se considerar ter havido uma violação de dados pessoais.

3. Independentemente de uma queixa do titular dos dados, qualquer organismo, organização ou associação referidos no n.º 2 tem o direito de apresentar queixa a uma autoridade de controlo em qualquer Estado-Membro, se considerar ter havido uma violação do presente regulamento.

Alteração  183

Proposta de regulamento

Artigo 74

Texto da Comissão

Alteração

Direito de ação judicial contra uma autoridade de controlo

Direito de ação judicial contra uma autoridade de controlo

1. Qualquer pessoa singular ou coletiva tem o direito de ação judicial contra todas as decisões de uma autoridade competente que lhe digam respeito.

1. Sem prejuízo de qualquer outra ação administrativa ou extrajudicial, qualquer pessoa singular ou coletiva tem o direito de ação judicial contra todas as decisões de uma autoridade de controlo que lhe digam respeito.

2. Qualquer titular de dados tem o direito de ação judicial a fim de obrigar a autoridade de controlo a dar seguimento a uma queixa, na falta de uma decisão necessária para proteger os seus direitos, ou se a autoridade de controlo não informar a pessoa em causa, no prazo de três meses, sobre o andamento ou o resultado da sua queixa nos termos do artigo 52.º, n.º 1, alínea b).

2. Sem prejuízo de qualquer outra ação administrativa ou extrajudicial, qualquer titular de dados tem o direito de ação judicial a fim de obrigar a autoridade de controlo a dar seguimento a uma queixa, na falta de uma decisão necessária para proteger os seus direitos, ou se a autoridade de controlo não informar a pessoa em causa, no prazo de três meses, sobre o andamento ou o resultado da sua queixa nos termos do artigo 52.º, n.º 1, alínea b).

3. As ações contra uma autoridade de controlo são intentadas nos tribunais do Estado-Membro em cujo território se encontra estabelecida a autoridade de controlo.

3. As ações contra uma autoridade de controlo são intentadas nos tribunais do Estado-Membro em cujo território se encontra estabelecida a autoridade de controlo.

4. Qualquer titular de dados afetado por uma decisão de uma autoridade de controlo de um Estado-Membro diferente daquela da sua residência habitual, pode solicitar à autoridade de controlo do Estado-Membro onde reside habitualmente que intente uma ação em seu nome contra a autoridade de controlo competente do outro Estado-Membro.

4. Sem prejuízo do mecanismo de controlo da coerência, qualquer titular de dados afetado por uma decisão de uma autoridade de controlo de um Estado-Membro diferente daquela da sua residência habitual, pode solicitar à autoridade de controlo do Estado-Membro onde reside habitualmente que intente uma ação em seu nome contra a autoridade de controlo competente do outro Estado-Membro.

5. Os Estados-Membros executam as decisões definitivas proferidas pelos tribunais referidos no presente artigo.

5. Os Estados-Membros executam as decisões definitivas proferidas pelos tribunais referidos no presente artigo.

Alteração  184

Proposta de regulamento

Artigo 75 – n.º 2

Texto da Comissão

Alteração

2. A ação judicial contra um responsável pelo tratamento ou um subcontratante é intentada nos tribunais do Estado-Membro em que o responsável pelo tratamento ou o subcontratante dispõe de um estabelecimento. Em alternativa, tal ação pode ser intentada nos tribunais do Estado-Membro em que o titular dos dados tem a sua residência habitual, salvo se o responsável pelo tratamento for uma autoridade no exercício das suas prerrogativas de poder público.

2. A ação judicial contra um responsável pelo tratamento ou um subcontratante é intentada nos tribunais do Estado-Membro em que o responsável pelo tratamento ou o subcontratante dispõe de um estabelecimento. Em alternativa, tal ação pode ser intentada nos tribunais do Estado-Membro em que o titular dos dados tem a sua residência habitual, salvo se o responsável pelo tratamento for uma autoridade pública da União ou de um Estado-Membro no exercício das suas prerrogativas de poder público.

Alteração  185

Proposta de regulamento

Artigo 76 – n.º 1

Texto da Comissão

Alteração

1. Qualquer organismo, organização ou associação referido no artigo 73.º, n.º 2, está habilitado a exercer os direitos previstos nos artigos 74.º e 75.º, por conta de um ou mais titulares de dados.

1. Qualquer organismo, organização ou associação referido no artigo 73.º, n.º 2, está habilitado a exercer os direitos previstos nos artigos 74.º, 75.º e 77.º, se mandatado por um ou mais titulares de dados.

Alteração  186

Proposta de regulamento

Artigo 77 – n.º 1

Texto da Comissão

Alteração

1. Qualquer pessoa que tenha sofrido um prejuízo devido ao tratamento ilícito ou outro ato incompatível com o presente regulamento, tem o direito de receber uma indemnização do responsável pelo tratamento ou do subcontratante pelo prejuízo sofrido.

1. Qualquer pessoa que tenha sofrido um prejuízo, inclusive de natureza não-pecuniária, devido ao tratamento ilícito ou outro ato incompatível com o presente regulamento, tem o direito de pedir uma indemnização do responsável pelo tratamento ou do subcontratante pelo prejuízo sofrido.

 

Alteração  187

Proposta de regulamento

Artigo 77 – n.º 2

Texto da Comissão

Alteração

2. Sempre que vários responsáveis pelo tratamento ou subcontratantes estiverem envolvidos no tratamento de dados, cada um deles é conjunta e solidariamente responsável pelo montante total dos danos.

2. Sempre que vários responsáveis pelo tratamento ou subcontratantes estiverem envolvidos no tratamento de dados, cada um deles é conjunta e solidariamente responsável pelo montante total dos danos, salvo se existir entre eles um acordo escrito adequado nos termos do artigo 24.º que defina as responsabilidades.

Alteração  188

Proposta de regulamento

Artigo 79

Texto da Comissão

Alteração

Sanções administrativas

Sanções administrativas

1. Cada autoridade de controlo deve estar habilitada a aplicar sanções administrativas em conformidade com o presente artigo.

1. Cada autoridade de controlo deve estar habilitada a aplicar sanções administrativas em conformidade com o presente artigo. As autoridades de controlo cooperam umas com as outras, nos termos dos artigos 46.º e 57.º, para garantir um nível harmonizado de sanções na União.

2. A sanção administrativa deve ser, em cada caso, efetiva, proporcionada e dissuasiva. O montante da sanção administrativa é fixado tendo devidamente em conta a natureza, a gravidade e a duração da violação, o caráter intencional ou negligente da infração, o grau de responsabilidade da pessoa singular ou coletiva em causa e as infrações por ela anteriormente cometidas, as medidas técnicas e organizativas e os procedimentos aplicados nos termos do artigo 23.º, bem como o grau de cooperação com a autoridade de controlo a fim de sanar a violação.

2. A sanção administrativa deve ser, em cada caso, efetiva, proporcionada e dissuasiva.

 

2-A. A autoridade de controlo impõe a quem não cumprir as obrigações previstas no presente regulamento, pelo menos, uma das seguintes sanções:

 

a) Uma advertência escrita, em caso de primeiro incumprimento, de caráter involuntário;

 

b) Auditorias periódicas regulares em matéria de dados;

 

c) Uma multa até 100 000 000 EUR ou, no caso de uma empresa, até 5 % do seu volume de negócios mundial anual, consoante o montante mais elevado.

 

2-B. Caso o responsável pelo tratamento ou o subcontratante seja detentor de um «Selo Europeu de Proteção de Dados» válido, nos termos do artigo 39.º, só será aplicada uma multa nos termos do n.º 2-A, alínea c), em caso de incumprimento voluntário ou negligente.

 

2-C. A sanção administrativa tem em conta os seguintes fatores:

 

a) A natureza, a gravidade e a duração do incumprimento,

 

b) O caráter voluntário ou negligente da infração,

 

c) O grau de responsabilidade da pessoa singular ou coletiva em causa e as infrações por ela anteriormente cometidas,

 

d) A natureza repetitiva da infração,

 

e) O grau de cooperação com a autoridade de controlo, a fim de sanar a infração e atenuar os seus eventuais efeitos negativos,

 

f) As categorias específicas de dados pessoais afetadas pela infração,

 

(g) O nível de prejuízo, inclusive de natureza não-pecuniária, sofrido pelos titulares dos dados,

 

(h) As medidas tomadas pelo responsável pelo tratamento ou pelo subcontratante para atenuar o prejuízo sofrido pelos titulares dos dados,

 

(i) Os eventuais benefícios financeiros visados ou obtidos ou as perdas evitadas, direta ou indiretamente, por intermédio da infração,

 

(j) O grau das medidas e dos procedimentos técnicos e organizacionais postos em execução nos termos do:

 

(i)Artigo 23.º – Proteção de dados desde a conceção e por defeito

 

(ii) Artigo 30.º – Segurança do tratamento

 

(iii) Artigo 33.º – Avaliação de impacto sobre a proteção de dados

 

(iv) Artigo 33.º-A – Avaliação da observância das disposições em matéria de proteção de dados

 

(v)Artigo 35.º – Designação do delegado para a proteção de dados

 

(k) A recusa em cooperar ou a obstrução às inspeções, auditorias e controlos empreendidos pela autoridade de controlo nos termos do artigo 53.º.

 

(l) Outras agravantes ou atenuantes aplicáveis às circunstâncias do caso.

3. Em caso de uma primeira e não intencional inobservância do presente regulamento, pode ser emitida uma advertência por escrito não sendo aplicável qualquer sanção, sempre que:

 

(a) Uma pessoa singular proceda ao tratamento de dados sem fins comerciais; ou

 

(b) Uma empresa ou uma organização com menos de 250 assalariados proceda ao tratamento de dados exclusivamente como atividade acessória das suas atividades principais.

 

4. A autoridade de controlo aplica uma multa até 250 000 EUR ou, no caso de uma empresa, até 0,5% do seu volume de negócios mundial anual, a quem, de forma intencional ou negligente:

 

(a) Não estabeleça os mecanismos que permitam aos titulares de dados apresentar pedidos ou não responda atempadamente ou não o faça no formato exigido às pessoas em causa, nos termos do artigo 12.º, n.ºs 1 e 2;

 

(b) Cobre uma taxa pelas informações ou respostas aos pedidos dos titulares de dados, em violação do artigo 12.º, n.º 4;

 

5. A autoridade de controlo aplica uma multa até 500 000 EUR ou, no caso de uma empresa, até 1% do seu volume de negócios mundial anual, a quem, de forma intencional ou negligente:

 

(a) Não forneça as informações, forneça informações incompletas ou não forneça as informações de forma suficientemente transparente ao titular dos dados, nos termos dos artigos 11.º, 12.º, n.º 3 e artigo 14.º;

 

(b) Não faculte o acesso ao titular dos dados, não retifique os dados pessoais nos termos dos artigos 15.º e 16.º, ou não comunique as informações relevantes ao destinatário, nos termos do artigo 13.º;

 

(c) Não respeite o direito a ser esquecido ou de apagamento, não aplique mecanismos para assegurar o cumprimento dos prazos ou não tome todas as medidas necessárias para informar terceiros do pedido do titular de dados de apagamento de quaisquer ligações, cópia ou reprodução dos dados pessoais, nos termos do artigo 17.º;

 

(d) Não forneça uma cópia dos dados pessoais em formato eletrónico ou impeça o titular dos dados de transferir os seus dados pessoais para outra aplicação, em violação do artigo 18.º;

 

(e) Não defina, ou não defina de forma suficiente, as obrigações dos responsáveis conjuntos pelo tratamento, nos termos do artigo 24.º;

 

(f) Não conserve, ou não o faça de forma suficiente, a documentação nos termos do artigo 28.º, do artigo 31.º, n.º 4, e do artigo 44.º, n.º 3;

 

(g) Não respeite, nos casos que não envolvam categorias especiais de dados, nos termos dos artigos 80.º, 82.º e 83.º, as regras em matéria de liberdade de expressão, as regras sobre o tratamento de dados pessoais em matéria laboral ou as condições para o tratamento de dados para fins de investigação histórica, estatística e científica.

 

6. A autoridade de controlo aplica uma multa até 1 000 000 EUR ou, no caso de uma empresa, até 2% do seu volume de negócios mundial anual, a quem, de forma intencional ou negligente:

 

(a) Proceda ao tratamento de dados pessoais sem fundamento jurídico ou sem fundamento jurídico suficiente para esse fim ou não cumpra as condições relativas ao consentimento, nos termos dos artigos 6.º, 7.º e 8.º;

 

(b) Proceda ao tratamento de categorias especiais de dados em violação dos artigos 9.º e 81.º;

 

(c) Não respeite uma oposição ou não se conforme com a obrigação prevista no artigo 19.º;

 

(d) Não respeite as condições relativas a medidas baseadas na definição de perfis, nos termos do artigo 20.º;

 

(e) Não adote regras internas ou não execute medidas adequadas para assegurar e comprovar o respeito das obrigações previstas nos artigos 22.º, 23.º e 30.º;

 

(f) Não designe um representante, nos termos do artigo 25.º;

 

(g) Efetue ou dê instruções para o tratamento de dados pessoais em violação das obrigações relacionadas com o tratamento por conta de um responsável, nos termos dos artigos 26.º e 27.º;

 

(h) Não assinale ou não notifique uma violação de dados pessoais, ou não notifique de forma atempada ou completa a violação de dados à autoridade de controlo ou ao titular dos dados, nos termos dos artigos 31.º e 32.º;

 

(i) Não realize uma avaliação de impacto sobre a proteção de dados ou efetue o tratamento de dados pessoais sem autorização prévia ou consulta prévia da autoridade de controlo, nos termos dos artigos 33.º e 34.º;

 

(j) Não designe um delegado para a proteção de dados ou não assegure as condições para o cumprimento das suas funções, nos termos dos artigos 35.º, 36.º e 37.º;

 

(k) Utilize indevidamente um selo ou uma marca de proteção de dados na aceção do artigo 39.º;

 

(l) Efetue ou dê instruções para efetuar uma transferência de dados para um país terceiro ou uma organização internacional que não seja autorizada por uma decisão de adequação, ou por garantias adequadas, ou por uma derrogação, nos termos dos artigos 40.º a 44.º;

 

(m) Não respeite uma ordem de proibição, temporária ou definitiva, relativa ao tratamento ou à suspensão de fluxos de dados, emitida pela autoridade de controlo, nos termos do artigo 53.º, n.º 1;

 

(n) Não respeite as obrigações de assistência, de resposta ou de prestação de informações pertinentes à autoridade de controlo, ou de lhe facultar o acesso às instalações, nos termos do artigo 28.º, n.º 3, do artigo 29.º, do artigo 34.º, n.º 6 e do artigo 53.º, n.º 2;

 

(o) Não respeite as regras de proteção do sigilo profissional, nos termos do artigo 84.º.

 

7. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o artigo 86.º, a fim de atualizar os montantes das multas administrativas previstas nos n.ºs 4, 5 e 6, tendo em conta os critérios referidos no n.º 2.

7. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o artigo 86.º, a fim de atualizar os montantes absolutos das multas administrativas previstas no n.º 2-A, tendo em conta os critérios e os fatores referidos nos n.ºs 2 e 2-C.

Alteração  189

Proposta de regulamento

Artigo 80 – n.º 1

Texto da Comissão

Alteração

1. Os Estados-Membros devem estabelecer isenções ou derrogações às disposições sobre os princípios gerais do Capítulo II, os direitos do titular dos dados do Capítulo III, o responsável pelo tratamento e o subcontratante do Capítulo IV, a transferência de dados pessoais para países terceiros e organizações internacionais do Capítulo V, as autoridades de controlo independentes do Capítulo VI e a cooperação e a coerência do Capítulo VII, para os tratamentos de dados pessoais efetuados para fins exclusivamente jornalísticos ou de expressão artística ou literária, desde que sejam necessárias para conciliar o direito à proteção de dados pessoais com as regras que regem a liberdade de expressão.

1. Os Estados-Membros devem estabelecer isenções ou derrogações às disposições sobre os princípios gerais do Capítulo II, os direitos do titular dos dados do Capítulo III, o responsável pelo tratamento e o subcontratante do Capítulo IV, a transferência de dados pessoais para países terceiros e organizações internacionais do Capítulo V, as autoridades de controlo independentes do Capítulo VI, a cooperação e a coerência do Capítulo VII e sobre situações específicas de tratamento de dados do Capítulo IX, sempre que sejam necessárias para conciliar o direito à proteção de dados pessoais com as regras que regem a liberdade de expressão, nos termos da Carta dos Direitos Fundamentais da União Europeia.

Alteração  190

Proposta de regulamento

Artigo 80-A (novo)

Texto da Comissão

Alteração

 

Artigo 80.º-A

 

Acesso aos documentos

 

1. Os dados pessoais constantes de documentos detidos por uma autoridade pública ou um organismo público podem ser divulgados por essa autoridade ou esse organismo nos termos da legislação da União ou de um Estado-Membro sobre o direito de acesso do público aos documentos oficiais, que concilie o direito à proteção de dados pessoais com o princípio do direito de acesso do público aos documentos oficiais.

 

2. Cada Estado-Membro notifica à Comissão, o mais tardar, na data prevista no artigo 91.º, n.º 2, as disposições de direito nacional que adote nos termos do n.º 1 e notificar-lhe-á, sem demora, qualquer alteração subsequente das mesmas.

Alteração  191

Proposta de regulamento

Artigo 81

Texto da Comissão

Alteração

Tratamento de dados pessoais relativos à saúde

Tratamento de dados pessoais relativos à saúde

1. Nos limites do presente regulamento, e em conformidade com o artigo 9.º, n.º 2, alínea h), o tratamento de dados pessoais relativos à saúde deve ter por base o direito da União ou a legislação de um Estado-Membro, que deve prever medidas adequadas e específicas que garantam os interesses legítimos do titular de dados, e ser necessário:

1. Nos termos do disposto no presente regulamento, em particular no artigo 9.º, n.º 2, alínea h), o tratamento de dados pessoais relativos à saúde deve ter por base o direito da União ou a legislação de um Estado-Membro, que deve prever medidas adequadas, coerentes e específicas que garantam os interesses e os direitos fundamentais do titular de dados, na medida em que sejam necessárias e proporcionadas, sendo os seus efeitos previsíveis para o titular dos dados:

(a) Para efeitos de medicina preventiva ou do trabalho, diagnósticos médicos, prestação de cuidados de saúde ou tratamentos médicos, ou gestão de serviços da saúde e sempre que o tratamento desses dados for efetuado por um profissional da saúde sujeito ao segredo profissional, ou por outra pessoa igualmente sujeita a uma obrigação de confidencialidade equivalente, ao abrigo da legislação ou regulamentação do Estado-Membro estabelecida pelas autoridades nacionais competentes; ou

(a) Para efeitos de medicina preventiva ou do trabalho, diagnósticos médicos, prestação de cuidados de saúde ou tratamentos médicos, ou gestão de serviços da saúde e sempre que o tratamento desses dados for efetuado por um profissional da saúde sujeito ao segredo profissional, ou por outra pessoa igualmente sujeita a uma obrigação de confidencialidade equivalente, ao abrigo da legislação ou regulamentação do Estado-Membro estabelecida pelas autoridades nacionais competentes; ou

(b) Por razões de interesse público no domínio da saúde pública, tais como a proteção contra ameaças transfronteiriças graves para a saúde, ou para assegurar um elevado nível de qualidade e segurança, nomeadamente para os medicamentos ou os equipamentos médicos; ou

(b) Por razões de interesse público no domínio da saúde pública, tais como a proteção contra ameaças transfronteiriças graves para a saúde, ou para assegurar um elevado nível de qualidade e segurança, nomeadamente para os medicamentos ou os equipamentos médicos e caso o tratamento dos dados seja efetuado por uma pessoa sujeita ao dever de confidencialidade; ou

(c) Por outras razões de interesse público em domínios como a segurança social, em especial para assegurar a qualidade e a rentabilidade quanto aos métodos utilizados para regularizar pedidos de prestações e de serviços no regime de seguro de doença.

(c) Por outras razões de interesse público em domínios como a segurança social, em especial para assegurar a qualidade e a rentabilidade quanto aos métodos utilizados para regularizar pedidos de prestações e de serviços no regime de seguro de doença e a prestação de serviços de saúde. Esse tratamento de dados pessoais relativos à saúde por razões de interesse público não deve resultar no tratamento de dados para outros fins, salvo com o consentimento do titular dos dados ou com base no direito da União ou na legislação de um Estado-Membro.

 

1-A. Caso os fins referidos no n.º 1, alíneas a) a c), possam ser alcançados sem a utilização de dados pessoais, esses dados não são utilizados para esses fins, salvo com o consentimento do titular dos dados ou com base na legislação de um Estado-Membro.

 

1-B. Caso o consentimento do titular dos dados seja necessário para o tratamento de dados médicos exclusivamente para fins de investigação científica por razões de saúde pública, o consentimento pode ser dado para uma ou mais investigações específicas e similares. O titular dos dados pode, contudo, retirar o seu consentimento em qualquer momento.

 

1-C. Relativamente ao consentimento para a participação em atividades de investigação científica em ensaios clínicos, são aplicáveis as disposições relevantes da Diretiva 2001/20/CE do Parlamento Europeu e do Conselho1.

2. O tratamento de dados pessoais no domínio da saúde que se revele necessário para fins de investigação histórica, estatística ou científica, como a criação de registos de doentes para melhoria de diagnósticos, distinguir entre tipos de doenças semelhantes e elaborar estudos para terapias, estão sujeitos às condições e garantias previstas no artigo 83.º.

2. O tratamento de dados pessoais no domínio da saúde que se revele necessário para fins de investigação histórica, estatística ou científica não é permitido senão com o consentimento do titular dos dados, estando sujeito às condições e garantias previstas no artigo 83.º.

 

2-A. A legislação dos Estados-Membros pode, no que respeita à investigação empreendida ao serviço de um superior interesse público, prever derrogações ao requisito de consentimento para fins de investigação referido no n.º 2, caso essa investigação não seja viável de outra forma. Os dados em questão devem ser anonimizados ou, se isto não for possível para efeitos dessa investigação, devem ser pseudonimizados segundo os mais elevados padrões técnicos, sendo tomadas todas as medidas necessárias para impedir a reidentificação indevida dos titulares dos dados. Em qualquer momento, o titular dos dados pode, contudo, exercer o seu direito de oposição nos termos do artigo 19.º.

3. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o artigo 86.º, a fim de especificar mais concretamente outras razões de interesse público no domínio da saúde pública na aceção do n.º 1, alínea b), bem como o tratamento de dados pessoais para os efeitos referidos no n.º 1.

3. São atribuídas competências à Comissão para adotar, depois de solicitado um parecer ao Comité Europeu para a Proteção de Dados, atos delegados em conformidade com o artigo 86.º, a fim de especificar mais concretamente o interesse público no domínio da saúde pública na aceção do n.º 1, alínea b), bem como o superior interesse público no domínio da investigação na aceção do n.º 2-A.

 

3-A. Cada Estado Membro notifica à Comissão, o mais tardar, na data prevista no artigo 91.º, n.º 2, as disposições de direito nacional que adote nos termos do n.º 1 e notificar-lhe-á, sem demora, qualquer alteração subsequente das mesmas.

 

1 Diretiva 2001/20/CE do Parlamento Europeu e do Conselho, de 4 de abril de 2001, relativa à aproximação das disposições legislativas, regulamentares e administrativas dos Estados-Membros respeitantes à aplicação de boas práticas clínicas na condução dos ensaios clínicos de medicamentos para uso humano (JO L 121 de 1.5.2001, p. 34).

Alteração  192

Proposta de regulamento

Artigo 82

Texto da Comissão

Alteração

Tratamento de dados em matéria de emprego

Normas mínimas aplicáveis ao tratamento de dados em matéria de emprego

1. Nos limites do presente regulamento, os Estados-Membros podem adotar, por via legislativa, regras específicas para o tratamento de dados pessoais dos assalariados no contexto laboral, nomeadamente para efeitos de recrutamento, celebração do contrato de trabalho, incluindo o respeito das obrigações previstas por lei ou por convenções coletivas, gestão, planeamento e organização do trabalho, saúde e segurança no trabalho, para efeitos de exercício e gozo, individual ou coletivo, dos direitos e benefícios relacionado com o emprego, bem como para efeitos de cessação da relação de trabalho.

1. Com observância do disposto no presente regulamento e tendo em conta o princípio da proporcionalidade, os Estados-Membros podem adotar, por via de disposições legislativas, regras específicas para o tratamento de dados pessoais dos assalariados no contexto laboral, nomeadamente, mas não exclusivamente, para efeitos de recrutamento e de candidatura interna a lugares no seio do grupo de empresas, celebração do contrato de trabalho, incluindo o respeito das obrigações previstas por lei e por convenções coletivas, em conformidade com a legislação e a prática nacionais, gestão, planeamento e organização do trabalho, saúde e segurança no trabalho, para efeitos de exercício e gozo, individual ou coletivo, dos direitos e benefícios relacionados com o emprego, bem como para efeitos de cessação da relação de trabalho. Os Estados-Membros podem prever que as disposições do presente artigo sejam adicionalmente especificadas pelas convenções coletivas.

 

1-A. A finalidade do tratamento desses dados deve estar ligada à razão pela qual foram recolhidos e inserir-se no contexto do emprego. A definição de perfis ou a utilização para fins secundários não é autorizada.

 

1-B. O consentimento de um assalariado não constitui um fundamento jurídico válido para o tratamento dos dados por parte do empregador, se o consentimento não tiver sido livremente expresso.

 

 

1-C. Sem prejuízo das demais disposições do presente regulamento, as disposições legislativas adotadas pelos Estados-Membros referidas no n.º 1 incluem, pelo menos, as seguintes normas mínimas:

 

 

(a) O tratamento de dados dos trabalhadores sem o conhecimento dos interessados não é autorizado. Em derrogação à primeira frase, os Estados-Membros podem, por via legislativa, prever a admissibilidade desta prática, definindo prazos adequados para a supressão dos dados, desde que haja indícios factuais, obrigatoriamente documentados, que fundamentem a suspeita de que o trabalhador cometeu um crime ou uma violação grave dos seus deveres no contexto laboral, que essa recolha seja necessária para esclarecer o assunto e, enfim, que a natureza e o alcance dessa recolha de dados sejam necessários e proporcionados relativamente à sua finalidade. A vida privada e a privacidade dos trabalhadores devem ser sistematicamente protegidas. O inquérito incumbe às autoridades competentes;

 

 

(b) É proibida a vigilância ótica e/ou acústica aberta, por meios eletrónicos, das partes da empresa que não são acessíveis ao público e que servem principalmente para a organização da vida privada dos trabalhadores, como as instalações sanitárias, os vestiários, as salas de repouso e os quartos. A vigilância oculta não é, em caso algum, admissível.

 

(c) Se as empresas ou autoridades procederem à recolha e ao tratamento de dados pessoais no quadro de exames médicos e/ou testes de aptidão, devem esclarecer previamente o candidato ou trabalhador sobre as finalidades para que os dados são utilizados e, seguidamente, comunicar-lhe esses dados, acompanhados dos resultados, e, a pedido, explicar-lhe o seu significado. A recolha de dados para fins de análises e ensaios genéticos é, por princípio, proibida;

 

(d) Pode ser regulamentado em sede de convenção coletiva se, e em que medida, a utilização do telefone, do correio eletrónico, da Internet e dos demais serviços de telecomunicações é também autorizada para fins privados. Caso este aspeto não seja objeto de regulamentação através de convenção coletiva, o empregador celebra diretamente um acordo sobre essa matéria com o trabalhador. Na medida em que uma utilização privada seja autorizada, o tratamento dos dados acumulados relativos ao tráfego é autorizado, nomeadamente, para garantir a segurança dos dados, assegurar o bom funcionamento das redes e serviços de telecomunicações e para fins de faturação.

 

Em derrogação à terceira frase, os Estados-Membros podem, por via legislativa, prever a admissibilidade desta prática, definindo prazos adequados para a supressão dos dados, desde que haja indícios factuais, obrigatoriamente documentados, que fundamentem a suspeita de que o trabalhador cometeu um crime ou uma violação grave dos seus deveres no contexto laboral, que essa recolha seja necessária para esclarecer o assunto e, enfim, que a natureza e o alcance dessa recolha de dados sejam necessários e proporcionados relativamente à sua finalidade. A vida privada e a privacidade dos trabalhadores devem ser sistematicamente protegidas. O inquérito incumbe às autoridades competentes;

 

(e) Os dados pessoais dos trabalhadores, em especial os dados sensíveis, como a orientação política e a filiação e a militância sindicais, não podem, em caso algum, ser utilizados para colocar os trabalhadores nas chamadas «listas negras», nem para os examinar ou excluir de um futuro emprego. O tratamento, a utilização no contexto laboral, a produção e a transmissão de «listas-negras» de trabalhadores ou outras formas de discriminação são proibidos. Os Estados-Membros empreendem controlos e adotam sanções adequadas, nos termos do disposto no artigo 79.º, n.º 6, a fim de garantirem a aplicação efetiva do presente ponto.

 

1-D. A transferência e o tratamento de dados pessoais dos trabalhadores entre empresas juridicamente independentes no seio de um grupo de empresas e a consultores jurídicos e fiscais são permitidos, desde que sejam relevantes para a atividade da empresa e usados para a execução de operações ou procedimentos administrativos específicos e não sejam contrários aos interesses e aos direitos fundamentais do interessado que devam ser objeto de proteção. Em caso de transferência de dados dos trabalhadores para um país terceiro e/ou organização internacional, aplica-se o capítulo V.

2. Cada Estado-Membro notifica à Comissão essas disposições do direito nacional que adote nos termos do n.º 1, o mais tardar na data prevista no artigo 91.º, n.º 2 e, sem demora, qualquer alteração subsequente das mesmas.

2. Cada Estado-Membro notifica à Comissão essas disposições do direito nacional que adote nos termos dos n.ºs 1 e 1-B, o mais tardar na data prevista no artigo 91.º, n.º 2 e, sem demora, qualquer alteração subsequente das mesmas.

3. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o artigo 86.º, a fim de especificar mais concretamente os critérios e os requisitos aplicáveis às garantias relativas ao tratamento de dados pessoais para os efeitos previstos no n.º 1.

3. São atribuídas competências à Comissão, depois de ter solicitado um parecer ao Comité Europeu para a Proteção de Dados, para adotar atos delegados em conformidade com o artigo 86.º, a fim de especificar mais concretamente os critérios e os requisitos aplicáveis às garantias relativas ao tratamento de dados pessoais para os efeitos previstos no n.º 1.

Alteração  193

Proposta de regulamento

Artigo 82-A (novo)

Texto da Comissão

Alteração

 

Artigo 82.º-A

 

Tratamento de dados no contexto da segurança social

 

1. Os Estados-Membros podem, com observância do disposto no presente regulamento, adotar normas legislativas específicas particularizando as condições do tratamento de dados pessoais pelas suas instituições e serviços públicos no contexto da segurança social se empreendido no interesse público.

 

2. Cada Estado-Membro notifica à Comissão, o mais tardar, na data prevista no artigo 91.º, n.º 2, as disposições que adote nos termos do n.º 1 e notificar-lhe-á, sem demora, qualquer alteração subsequente das mesmas.

Alteração  194

Proposta de regulamento

Artigo 83

Texto da Comissão

Alteração

Tratamento para fins de investigação histórica, estatística e científica

Tratamento para fins de investigação histórica, estatística e científica

1. Nos limites do presente regulamento, os dados pessoais só podem ser objeto de tratamento para fins de investigação histórica, estatística ou científica se:

1. Com observância do disposto no presente regulamento, os dados pessoais só podem ser objeto de tratamento para fins de investigação histórica, estatística ou científica se:

(a) Não for possível alcançar esses fins de outro modo através do tratamento de dados que não permita ou tenha deixado de permitir a identificação da pessoa em causa;

(a) Não for possível alcançar esses fins de outro modo através do tratamento de dados que não permita ou tenha deixado de permitir a identificação da pessoa em causa;

(b) Os dados que permitem ligar informações a um titular de dados identificado ou identificável forem conservados separados de outras informações, desde que esses fins possam ser atingidos deste modo.

(b) Os dados que permitem ligar informações a um titular de dados identificado ou identificável forem conservados separados de outras informações, sob os mais elevados padrões técnicos, sendo tomadas todas as medidas necessárias para impedir a reidentificação indevida dos titulares dos dados.

2. Os organismos que efetuem investigações históricas, estatísticas ou científicas só podem publicar ou divulgar dados pessoais se:

 

(a) O titular dos dados tiver dado o seu consentimento, sem prejuízo das condições estabelecidas no artigo 7.º;

 

(b) A publicação dos dados pessoais for necessária para a apresentação de resultados da investigação ou para facilitar a investigação, desde que os interesses ou os direitos e liberdades fundamentais do titular dos dados não prevaleçam sobre o interesse da investigação; ou

 

(c) O titular dos dados tiver disponibilizado publicamente os dados.

 

3. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o artigo 86.º, a fim de especificar mais concretamente os critérios e os requisitos aplicáveis ao tratamento de dados pessoais para os efeitos referidos nos n.ºs 1 e 2, bem como quaisquer restrições necessárias dos direitos de informação e de acesso do titular dos dados, e especificar mais detalhadamente as condições e garantias aplicáveis aos direitos do titular dos dados nas circunstâncias em causa.

 

Alteração  195

Proposta de regulamento

Artigo 83-A (novo)

Texto da Comissão

Alteração

 

Artigo 83.º-A

 

Tratamento de dados pessoais pelos serviços de arquivos

 

1. Após a conclusão do tratamento inicial para o qual foram recolhidos, os dados pessoais podem ser objeto de tratamento por parte dos serviços de arquivos cuja função principal ou missão consista em recolher, conservar, fornecer informação, explorar e difundir arquivos no interesse público, designadamente a fim de documentar direitos dos particulares ou para fins históricos, estatísticos ou científicos. Essas funções são exercidas com observância das disposições previstas pelos Estados-Membros em matéria de acesso, de publicação e de difusão de documentos administrativos ou de arquivo, bem como com observância do disposto no presente regulamento, especificamente, em matéria de consentimento e direito de oposição.

 

2. Cada Estado-Membro notifica à Comissão, o mais tardar, na data prevista no artigo 91.º, n.º 2, as disposições de direito nacional que adote nos termos do n.º 1 e notificar-lhe-á, sem demora, qualquer alteração subsequente das mesmas.

Alteração  196

Proposta de regulamento

Artigo 84 – n.º 1

Texto da Comissão

Alteração

1. Nos limites do presente regulamento, os Estados-Membros podem adotar regras específicas para estabelecer os poderes de investigação das autoridades de controlo previstos no artigo 53.º, n.º 2, relativamente a responsáveis pelo tratamento ou a subcontratantes sujeitos, ao abrigo de legislação nacional ou de regras adotadas pelas autoridades nacionais competentes, a uma obrigação de sigilo profissional ou outras obrigações de sigilo equivalentes, sempre que estas se revelem necessárias e proporcionais para conciliar direito de proteção de dados pessoais com a obrigação de sigilo. Estas regras são aplicáveis apenas no que diz respeito aos dados pessoais recebidos pelo responsável pelo tratamento ou pelo subcontratante, ou que este tenha recolhido no âmbito de uma atividade abrangida por essa obrigação de sigilo.

1. Com observância do disposto no presente regulamento, os Estados-Membros velam por que estejam em vigor regras específicas que definam os poderes das autoridades de controlo previstos no artigo 53.º, n.º 2, relativamente a responsáveis pelo tratamento ou a subcontratantes sujeitos, ao abrigo de legislação nacional ou de regras adotadas pelas autoridades nacionais competentes, a uma obrigação de sigilo profissional ou outras obrigações de sigilo equivalentes, sempre que estas se revelem necessárias e proporcionais para conciliar direito de proteção de dados pessoais com a obrigação de sigilo. Estas regras são aplicáveis apenas no que diz respeito aos dados pessoais recebidos pelo responsável pelo tratamento ou pelo subcontratante, ou que este tenha recolhido no âmbito de uma atividade abrangida por essa obrigação de sigilo.

Alteração  197

Proposta de regulamento

Artigo 85

Texto da Comissão

Alteração

Regras existentes sobre a proteção de dados das igrejas e associações religiosas

Regras existentes sobre a proteção de dados das igrejas e associações religiosas

1. Sempre que, num Estado-Membro, as igrejas e associações ou comunidades religiosas apliquem, à data de entrada em vigor do presente regulamento, um conjunto completo de regras relacionadas com a proteção das pessoas singulares relativamente ao tratamento de dados pessoais, essas regras podem continuar a ser aplicadas, desde que conformes com o disposto no presente regulamento.

1. Sempre que, num Estado-Membro, as igrejas e associações ou comunidades religiosas apliquem, à data de entrada em vigor do presente regulamento, regras adequadas relacionadas com a proteção das pessoas singulares relativamente ao tratamento de dados pessoais, essas regras podem continuar a ser aplicadas, desde que conformes com o disposto no presente regulamento.

2. As igrejas e associações religiosas que apliquem um conjunto completo de regras nos termos do n.º 1, devem prever a criação de uma autoridade de controlo independente, nos termos do Capítulo VI do presente regulamento.

2. As igrejas e associações religiosas que apliquem regras adequadas nos termos do n.º 1, obterão um parecer sobre a conformidade nos termos do artigo 38.º.

Alteração  198

Proposta de regulamento

Artigo 85-A (novo)

Texto da Comissão

Alteração

 

Artigo 85.º-A

 

Respeito dos direitos fundamentais

 

O presente regulamento não tem por efeito alterar a obrigação de respeitar os direitos fundamentais e os princípios jurídicos fundamentais consagrados no artigo 6.º do TUE.

Alteração  199

Proposta de regulamento

Artigo 85-B (novo)

Texto da Comissão

Alteração

 

Artigo 85.º-B

 

Formulários normalizados

 

1. Tendo em conta as especificidades e necessidades dos diversos setores e situações de tratamento de dados, a Comissão pode prever formulários normalizados relativamente:

 

(a) Aos métodos específicos de obtenção do consentimento verificável referido no artigo 8.º, n.º 1

 

(b) À comunicação a que se refere o artigo 12.º, n.º 2, inclusive em formato eletrónico.

 

(c) Ao fornecimento das informações referidas no artigo 14.º, n.ºs 1 a 3,

 

(d) Ao pedido e à concessão de acesso às informações referidas no artigo 15.º, n.º 1, nomeadamente para a comunicação dos dados pessoais ao titular dos dados,

 

(e) À documentação referida no artigo 28.º, n.º 1,

 

(f) Às notificações de violação nos termos do artigo 31.º à autoridade de controlo e à documentação referida no artigo 31.º, n.º 4,

 

(g) Às consultas prévias a que se refere o artigo 34.º e à informação das autoridades de controlo nos termos do artigo 34.º, n. 6.

 

2. Ao fazê-lo, a Comissão deve adotar as medidas adequadas em relação às micro, pequenas e médias empresas.

 

3. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 87.º, n.º 2.

Alteração  200

Proposta de regulamento

Artigo 86 – n.º 2

Texto da Comissão

Alteração

2. A delegação de poderes a que se refere o artigo 6.º, n.º 5, o artigo 8.º, n.º 3, o artigo 9.º, n.º 3, o artigo 12.º, n.º 5, o artigo 14.º, n.º 7, o artigo 15.º, n.º 3, o artigo 17.º, n.º 9, o artigo 20.º, n.º 6, o artigo 22.º, n.º 4, o artigo 23.º, n.º 3, o artigo 26.º, n.º 5, o artigo 28.º, n.º 5, o artigo 30.º, n.º 3, o artigo 31.º, n.º 5, o artigo 32.º, n.º 5, o artigo 33.º, n.º 6, o artigo 34.º, n.º 8, o artigo 35.º, n.º 11, o artigo 37.º, n.º 2, o artigo 39.º, n.º 2, o artigo 43.º, n.º 3, o artigo 44.º, n.º 7, o artigo 79.º, n.º 6, o artigo 81.º, n.º 3, o artigo 82.º, n.º 3 e o artigo 83.º, n.º 3, é conferida à Comissão por um período indeterminado a contar da data de entrada em vigor do presente regulamento.

2. O poder de adotar atos delegados referido no artigo 13.º-A, n.º 5, no artigo 17.º, n.º 9, no artigo 38.º, n.º 4, no artigo 39.º, n.º 2, no artigo 41.º, n.º 3, no artigo 41.º, n.º 5, no artigo 43.º, n.º 3, no artigo 79.º, n.º 7, no artigo 81.º, n.º 3 e no artigo 82.º, n.º 3, é conferido à Comissão por um período indeterminado a contar da data de entrada em vigor do presente regulamento.

Alteração  201

Proposta de regulamento

Artigo 86 – n.º 3

Texto da Comissão

Alteração

3. A delegação de poderes a que se refere o artigo 6.º, n.º 5, o artigo 8.º, n.º 3, o artigo 9.º, n.º 3, o artigo 12.º, n.º 5, o artigo 14.º, n.º 7, o artigo 15.º, n.º 3, o artigo 17.º, n.º 9, o artigo 20.º, n.º 6, o artigo 22.º, n.º 4, o artigo 23.º, n.º 3, o artigo 26.º, n.º 5, o artigo 28.º, n.º 5, o artigo 30.º, n.º 3, o artigo 31.º, n.º 5, o artigo 32.º, n.º 5, o artigo 33.º, n.º 6, o artigo 34.º, n.º 8, o artigo 35.º, n.º 11, o artigo 37.º, n.º 2, o artigo 39.º, n.º 2, o artigo 43.º, n.º 3, o artigo 44.º, n.º 7, o artigo 79.º, n.º 6, o artigo 81.º, n.º 3, o artigo 82.º, n.º 3 e o artigo 83.º, n.º 3, pode ser revogada a qualquer momento pelo Parlamento Europeu ou pelo Conselho. A decisão de revogação põe termo à delegação dos poderes nela especificados. A revogação produz efeitos no dia seguinte ao da sua publicação no Jornal Oficial da União Europeia ou numa data posterior nela especificada. A decisão de revogação não prejudica a validade dos atos delegados já em vigor.

3. A delegação de poderes a que se refere o artigo 13.°-A, n.º 5, o artigo 17.º, n.º 9, o artigo 38.º, n.º 4, o artigo 39.º, n.º 2, o artigo 41.º, n.º 3, o artigo 41.º, n.º 5, o artigo 43.º, n.º 3, o artigo 79.º, n.º 7, o artigo 81.º, n.º 3 e o artigo 82.º, n.º 3, pode ser revogada a qualquer momento pelo Parlamento Europeu ou pelo Conselho. A decisão de revogação põe termo à delegação dos poderes nela especificados. A revogação produz efeitos no dia seguinte ao da sua publicação no Jornal Oficial da União Europeia ou numa data posterior nela especificada. A decisão de revogação não prejudica a validade dos atos delegados já em vigor.

Alteração  202

Proposta de regulamento

Artigo 86 – n.º 5

Texto da Comissão

Alteração

5. Um ato delegado adotado em conformidade com o artigo 6.º, n.º 5, o artigo 8.º, n.º 3, o artigo 9.º, n.º 3, o artigo 12.º, n.º 5, o artigo 14.º, n.º 7, o artigo 15.º, n.º 3, o artigo 17.º, n.º 9, o artigo 20.º, n.º 6, o artigo 22.º, n.º 4, o artigo 23.º, n.º 3, o artigo 26.º, n.º 5, o artigo 28.º, n.º 5, o artigo 30.º, n.º 3, o artigo 31.º, n.º 5, o artigo 32.º, n.º 5, o artigo 33.º, n.º 6, o artigo 34.º, n.º 8, o artigo 35.º, n.º 11, o artigo 37.º, n.º 2, o artigo 39.º, n.º 2, o artigo 43.º, n.º 3, o artigo 44.º, n.º 7, o artigo 79.º, n.º 6, o artigo 81.º, n.º 3, o artigo 82.º, n.º 3 e o artigo 83.º, n.º 3, só pode entrar em vigor se não forem formuladas objeções pelo Parlamento Europeu ou pelo Conselho no prazo de dois meses a contar da notificação desse ato ao Parlamento Europeu e ao Conselho ou se, antes do termo do referido prazo, o Parlamento Europeu e o Conselho tiverem informado a Comissão de que não pretendem formular objeções. Esse prazo é prorrogável por dois meses por iniciativa do Parlamento Europeu ou do Conselho.

5. Um ato delegado adotado em conformidade com o artigo 13.º-A, n.º 5, o artigo 17.º, n.º 9, o artigo 38.º, n.º 4, o artigo 39.º, n.º 2, o artigo 41.º, n.º 3, o artigo 41.º, n.º 5, o artigo 43.º, n.º 3, o artigo 79.º, n.º 7, o artigo 81.º, n.º 3 e o artigo 82.º, n.º 3, só pode entrar em vigor se não forem formuladas objeções pelo Parlamento Europeu ou pelo Conselho no prazo de seis meses a contar da notificação desse ato ao Parlamento Europeu e ao Conselho ou se, antes do termo do referido prazo, o Parlamento Europeu e o Conselho tiverem informado a Comissão de que não pretendem formular objeções. Esse prazo é prorrogável por seis meses por iniciativa do Parlamento Europeu ou do Conselho.

Alteração  203

Proposta de regulamento

Artigo 87 – n.º 3

Texto da Comissão

Alteração

3. Sempre que se faça referência ao presente número, é aplicável o artigo 8.º do Regulamento (UE) n.º 182/2011 em conjugação com o seu artigo 5.º.

Suprimido

Alteração  204

Proposta de regulamento

Artigo 89 – n.º 2

Texto da Comissão

Alteração

2. O artigo 1.º, n.º 2, da Diretiva 2002/58/CE é suprimido.

2. Os artigo 1.º, n.º 2, e os artigos 4.º e 15.º, da Diretiva 2002/58/CE são suprimidos.

Alteração  205

Proposta de regulamento

Artigo 89 – n.º 2-A (novo)

Texto da Comissão

Alteração

 

2-A. A Comissão apresenta sem demora, o mais tardar, na data referida no artigo 91.º, n.º 2, uma proposta de revisão do quadro jurídico aplicável ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas, a fim de adequar a legislação ao presente regulamento e de garantir a existência de disposições jurídicas coerentes e uniformes sobre o direito fundamental à proteção dos dados pessoais na União Europeia.

Alteração  206

Proposta de regulamento

Artigo 89-A (novo)

Texto da Comissão

Alteração

 

Artigo 89.º-A

 

Relação com o Regulamento (CE) n.º 45/2001 e sua alteração

 

1. As disposições do presente regulamento são aplicáveis ao tratamento de dados pessoais pelas instituições, órgãos, organismos e agências da União, relativamente à matéria na qual não estejam sujeitos a disposições adicionais previstas no Regulamento (CE) n.º 45/2001.

 

2. A Comissão apresenta sem demora, o mais tardar, na data referida no artigo 91.º, n.º 2, uma proposta de revisão do quadro jurídico aplicável ao tratamento de dados pessoais pelas instituições, órgãos, organismos e agências da União.

Anexo 1 – Apresentação da informação sobre os aspetos referidos no artigo 13.º-A (novo)

1) Tendo em conta as proporções referidas no ponto 6, as informações serão fornecidas do seguinte modo:

2) As palavras seguintes, nas linhas da segunda coluna do quadro constante do ponto 1, intitulada «INFORMAÇÕES ESSENCIAIS», são formatadas a negrito:

a) A palavra «recolhidos», na primeira linha da segunda coluna;

b) A palavra «conservados», na segunda linha da segunda coluna;

c) A palavra «tratados», na terceira linha da segunda coluna;

d) A palavra «difundidos», na quarta linha da segunda coluna;

e) As palavras «vendidos ou alugados», na quinta linha da segunda coluna;

f) A palavra «sem codificação», na sexta linha da segunda coluna;

3) Tendo em conta as proporções referidas no ponto 6, as linhas da terceira coluna do quadro constante do ponto 1, intitulada «CUMPRIDO», são preenchidas com uma das duas formas gráficas seguintes, em conformidade com as condições previstas no ponto 4:

a)

b)

4)

a) Se não são recolhidos dados pessoais além do mínimo necessário para cada finalidade específica do tratamento, a primeira linha da terceira coluna do quadro constante do ponto 1 exibe a forma gráfica referida no ponto 3, alínea a).

b) Se são recolhidos dados pessoais além do mínimo necessário para cada finalidade específica do tratamento, a primeira linha da terceira coluna do quadro constante do ponto 1 exibe a forma gráfica referida no ponto 3, alínea b).

c) Se não são conservados dados pessoais além do mínimo necessário para cada finalidade específica do tratamento, a segunda linha da terceira coluna do quadro constante do ponto 1 exibe a forma gráfica referida no ponto 3, alínea a).

d) Se são conservados dados pessoais além do mínimo necessário para cada finalidade específica do tratamento, a segunda linha da terceira coluna do quadro constante do ponto 1 exibe a forma gráfica referida no ponto 3, alínea b).

e) Se não são tratados dados pessoais com outros fins senão aqueles para os quais foram recolhidos, a terceira linha da terceira coluna do quadro constante do ponto 1 exibe a forma gráfica referida no ponto 3, alínea a).

f) Se são tratados dados pessoais com outros fins além daqueles para os quais foram recolhidos, a terceira linha da terceira coluna do quadro constante do ponto 1 exibe a forma gráfica referida no ponto 3, alínea b).

g) Se não são difundidos dados pessoais a terceiros que têm fins comerciais, a quarta linha da terceira coluna do quadro constante do ponto 1 exibe a forma gráfica referida no ponto 3, alínea a).

h) Se são difundidos dados pessoais a terceiros que têm fins comerciais, a quarta linha da terceira coluna do quadro constante do ponto 1 exibe a forma gráfica referida no ponto 3, alínea b).

i) Se não são vendidos ou alugados dados pessoais, a quinta linha da terceira coluna do quadro constante do ponto 1 exibe a forma gráfica referida no ponto 3, alínea a).

j) Se são vendidos ou alugados dados pessoais, a quinta linha da terceira coluna do quadro constante do ponto 1 exibe a forma gráfica referida no ponto 3, alínea b).

k) Se não são conservados dados pessoais sem codificação, a sexta linha da terceira coluna do quadro constante do ponto 1 exibe a forma gráfica referida no ponto 3, alínea a).

l) Se são conservados dados pessoais sem codificação, a sexta linha da terceira coluna do quadro constante do ponto 1 exibe a forma gráfica referida no ponto 3, alínea b).

5) As cores de referência das formas gráficas constante do ponto 1 em Pantone são Pantone Preto n.º 7547 e Pantone Vermelho n.º 485. A cor de referência da forma gráfica constante do ponto 3, alínea a), em Pantone é Pantone Verde n.º 370. A cor de referência da forma gráfica constante do ponto 3, alínea b), em Pantone é Pantone Vermelho n.º 485.

6) As proporções fornecidas no grafismo graduado seguinte devem ser respeitadas, mesmo quando o quadro é reduzido ou ampliado:

(1)

JO C 229 de 31.7.2012, p. 90.


EXPOSIÇÃO DE MOTIVOS

Introdução

O artigo 8.º da Carta dos Direitos Fundamentais da União Europeia define do seguinte modo o direito à proteção dos dados pessoais:

1.        Todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito.

2.        Esses dados devem ser objeto de um tratamento leal, para fins específicos e com o consentimento da pessoa interessada ou com outro fundamento legítimo previsto por lei. Todas as pessoas têm o direito de aceder aos dados coligidos que lhes digam respeito e de obter a respetiva retificação.

3.        O cumprimento destas regras fica sujeito a fiscalização por parte de uma autoridade independente.

Desde que a Diretiva 95/46/CE relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados foi aprovada muito mudou no domínio da proteção de dados, nomeadamente a nível da evolução tecnológica, do aumento da recolha e do tratamento de dados pessoais, inclusivamente para fins de aplicação da lei, existindo uma grande diversidade de normas relativas à proteção de dados e uma globalização dos mercados e da cooperação.

Além disso, esta Diretiva não logrou uma harmonização adequada, devido a divergências na aplicação das suas disposições nos Estados­Membros. Neste contexto, os indivíduos ("titulares de dados") têm cada vez mais dificuldade em exercer o seu direito à proteção de dados.

Por último, dificultou o desenvolvimento do mercado único, dado que as empresas (que controlam ou procedem ao tratamento de dados pessoais, "responsáveis pelo tratamento dos dados") e os indivíduos se deparam com diferenças a nível dos requisitos aplicáveis à proteção de dados.

Desde a entrada em vigor do Tratado de Lisboa, a União dispõe de uma base jurídica clara para a proteção de dados que cobre o tratamento de dados pessoais tanto nos setores público e privado como no contexto da aplicação da lei (resultante do colapso da estrutura de pilares anterior ao Tratado de Lisboa) (artigo 16.º, n.º 2, do TFUE). A Comissão utiliza agora o artigo 16.º, n.º 2, do TFUE como base jurídica para apresentar propostas de revisão do quadro da União relativo à proteção de dados. A Comissão propõe um regulamento (COM (2012)11) para substituir a Diretiva 95/46/CE (relator: Jan Philipp Albrecht, Verts/ALE) e uma diretiva (COM(2012)10) para substituir a Decisão-Quadro 2008/977/JAI relativa à proteção dos dados pessoais tratados para fins de prevenção, deteção, investigação ou repressão de infrações penais (relator: Dimitrios Droutsas, S&D). Ambos os relatores apoiam o objetivo de criar um quadro coerente, harmonioso e sólido para todas a atividades de tratamento de dados na UE, que garanta um elevado nível de proteção(1). Para a realização deste objetivo, as propostas da Comissão devem ser vistas como um pacote único que requer abordagens legislativas coordenadas para os dois textos.

Para assegurar um amplo apoio à abordagem do Parlamento, foram realizados debates aprofundados sobre a reforma da proteção dos dados entre os relatores e os relatores-sombra, os relatores de parecer e os relatores de parecer-sombra das comissões incumbidas de emitir parecer (ITRE, IMCO, JURI, EMPL), a Presidência do Conselho, a Comissão e as partes interessadas (autoridades responsáveis pela proteção dos dados, autoridades nacionais, indústria, organizações de defesa dos direitos civis e dos consumidores e peritos do meio académico).

A Comissão LIBE realizou um seminário destinado às partes interessadas em 29 de maio de 2012. A Comissão LIBE também realizou, em 9 e 10 de outubro de 2012, a sua reunião anual interparlamentar de comissões (IPCM), em conjunto com as comissões dos parlamentos nacionais competentes para questões como a liberdade, a segurança e a justiça, sobre o pacote da reforma da proteção dos dados. Foram elaborados quatro documentos de trabalho sobre o pacote relativo à reforma da proteção dos dados.

Posição sobre o projeto de regulamento relativo à proteção de dados

A proposta da Comissão baseia-se nos seguintes objetivos:

– Abordagem global da proteção de dados;

– Reforço dos direitos das pessoas;

– Desenvolvimento da dimensão do mercado interno e garantia de uma melhor aplicação das normas relativas à proteção de dados; e)

– Reforço da dimensão global.

O relator apoia estes objetivos e apresenta uma abordagem em que estes são tidos em conta.

Uma abordagem global da proteção de dados

Como indicado no documento de trabalho de 6 de julho de 2012(2), o relator acolhe com satisfação o facto de a Comissão ter optado por substituir a Diretiva 95/46/CE por um regulamento (diretamente aplicável), dado que tal permite tornar menos fragmentada a abordagem da proteção de dados nos diferentes Estados­Membros.

Concorda igualmente com a abordagem pragmática escolhida pela Comissão, que deixa margem para que, em conformidade com o regulamento, os Estados­Membros mantenham ou adotem normas específicas em relação a questões como a liberdade de expressão, o sigilo profissional, a saúde e o emprego (Artigos 81.º a 85.º). Convém referir, em particular, o trabalho desenvolvido pela Comissão do Emprego e dos Assuntos Sociais, que deverá emitir um parecer sobre o artigo 82.º(3).

As instituições da UE não são abrangidas pelo âmbito de aplicação do novo regulamento. Contudo, é necessário que estas sejam contempladas para assegurar um quadro coerente e uniforme em toda a União. Para o efeito, é necessário adaptar os instrumentos jurídicos da UE, em particular o Regulamento (CE) n.º 45/2001, para os tornar inteiramente consentâneos com o regulamento geral sobre a proteção de dados antes que este entre em aplicação. O relator considera igualmente necessário proceder a um debate mais horizontal sobre a forma como resolver a atual proliferação de disposições em matéria de proteção de dados aplicáveis às diferentes agências da UE (como a Europol e a Eurojust) e assegurar a coerência com o pacote relativo à proteção de dados (artigo 2.º, alínea b), e artigo 89.º-A).

O relator lamenta profundamente que a proposta da Comissão não contemple a cooperação no domínio da aplicação da lei (relativamente à qual é proposta uma diretiva separada). Este facto gera insegurança jurídica no que se refere aos direitos e obrigações em casos ambíguos, como, por exemplo, os casos em que as autoridades responsáveis pela aplicação da lei têm acesso a dados comerciais para fins de aplicação da lei e as transferências entre as autoridades que são responsáveis pela aplicação da lei e as que não são. O relatório sobre a proposta de diretiva aborda estas questões e propõe alterações. O regulamento especifica que a exclusão do âmbito de aplicação do regulamento apenas abrange as autoridades públicas responsáveis pela aplicação da lei (e as não entidades privadas) e que a legislação aplicável deve prever salvaguardas adequadas, baseadas nos princípios da necessidade e proporcionalidade (artigo 2.º, alínea e), e artigo 21.º).

O âmbito territorial do regulamento é um aspeto importante para a aplicação coerente da legislação da UE em matéria de proteção de dados. O relator gostaria de clarificar que o regulamento deve também ser aplicável a um responsável pelo tratamento não estabelecido na União sempre que as atividades de tratamento visem a oferta de bens ou serviços a titulares de dados na União, independentemente da necessidade ou não de pagamento desses bens ou serviços ou do controlo desses titulares de dados (artigo 3.º, n.º 2).

O regulamento deve ser exaustivo também no que se refere à segurança jurídica. O amplo recurso a atos delegados e de execução é contrário a este objetivo. O relator propõe, por isso, a supressão de uma série de disposições que conferem à Comissão o poder de adotar atos delegados. No entanto, para garantir a segurança jurídica sempre que possível, o relator substituiu vários atos inserindo uma formulação mais detalhada no regulamento (por exemplo, artigo 6.º, n.º 1-B, artigo 15.º e artigo 35.º, n.º 10). Noutros casos, o relator propõe confiar ao Comité Europeu para a Proteção de Dados a tarefa de especificar com maior detalhe os critérios e requisitos de uma determinada disposição em vez de conferir à Comissão o poder de adotar atos delegados. Isso deve-se ao facto de, nesses casos, a questão se relacionar com a cooperação entre as autoridades nacionais de proteção de dados, que estão melhor colocadas para determinar os princípios e as práticas a aplicar (por exemplo, artigo 23.º, n.º 3, artigo 30.º, n.º 3, artigo 42.º, n.º 3, artigo 44.º, n.º 7, e artigo 55.º, n.º 10).

Reforçar os direitos das pessoas

Dado que o regulamento dá aplicação a um direito fundamental, é rejeitada qualquer limitação do seu âmbito de aplicação material, em particular no que se refere à definição de "dados pessoais", por exemplo, através da introdução de elementos subjetivos relacionados com os esforços que o responsável pelo tratamento deve efetuar para identificar os dados pessoais. O conceito de dados pessoais é clarificado mediante critérios objetivos (artigo 4.º, n.º 1, e considerandos 23 e 24). É possível abordar as legítimas preocupações relativas a modelos de negócio específicos sem negar às pessoas os seus direitos fundamentais. Neste contexto, o relator encoraja a utilização dos serviços com recurso a pseudónimos e ao anonimato. No caso da utilização de dados com pseudónimo, as obrigações do responsável pelo tratamento podem ser flexibilizadas (artigo 4.º, ponto 2-A, artigo 10.º e considerando 23).

O consentimento deve continuar a ser a pedra angular da abordagem da UE em relação à proteção de dados, dado tratar-se da melhor forma de as pessoas controlarem as atividades de tratamento de dados. A informação destinada aos titulares de dados deve ser apresentada de forma facilmente compreensível, por exemplo, através de logótipos e ícones normalizados (artigo 11.º, n.ºs 2-A e 2-B). As normas técnicas que exprimem a vontade clara dos titulares de dados podem ser vistas como uma forma válida de consentimento explícito (artigo 7.º, 2-A, e artigo 23.º).

Para assegurar que as atividades de definição de perfis beneficiem de um consentimento informado, estas têm de ser definidas e regulamentadas (artigo 4.º, ponto 3-B, artigo 14.º, n.º 1, alíneas g), g-A) e g-B), artigo 15.º, n.º 1, e artigo 20.º). É necessário definir claramente outros fundamentos jurídicos para o tratamento de dados, que não o consentimento, em particular os "interesses legítimos" do responsável pelo tratamento (alteração que substitui o artigo 6.º, n.º 1, alínea f), por um novo artigo 6.º, n.ºs 1-A, 1-B e 1-C).

A limitação de finalidades é um elemento fundamental da proteção de dados, pois protege os titulares de dados de um prolongamento não previsível do tratamento dos seus dados. A mudança de finalidade dos dados após a sua recolha não deve ser possível apenas com base num interesse legítimo do responsável pelo tratamento de dados. O relator propõe, por conseguinte, a supressão do artigo 6.º, n.º 4, em vez do seu alargamento.

O relator apoia o reforço do direito de acesso com direito à portabilidade dos dados, ou seja, a possibilidade de transferir dados de uma plataforma para outra. Na era digital, os titulares de dados, também no seu papel de consumidores, podem legitimamente esperar receber informações de caráter pessoal num formato eletrónico de utilização corrente (artigo 15.º, n.º 2-A). Por esta razão, é proposta a fusão dos artigos 15.º e 18.º.

O direito ao apagamento e o direito de retificação continuam a ser importantes para os titulares de dados, já que é divulgada cada vez mais informação cujo conteúdo pode ter impactos significativos. O "direito a ser esquecido" deve ser entendido nesta ótica; as alterações propostas clarificam esses direitos no contexto digital, mantendo ao mesmo tempo a derrogação geral no que diz respeito à liberdade de expressão. No caso dos dados transferidos para terceiros ou publicados sem uma base jurídica adequada, o responsável inicial pelo tratamento dos dados deve ser obrigado a informar do facto esses terceiros e garantir que os dados sejam apagados. No entanto, nos casos em que uma pessoa tenha concordado com a publicação dos seus dados, o "direito a ser esquecido" não é legítimo nem realista (artigo 17.º, considerando 54).

O direito de oposição ao tratamento de dados pessoais deve ser sempre exercido de forma gratuita e deve ser explicitamente comunicado ao titular de dados numa linguagem clara, simples e adaptada à pessoa em causa. É igualmente necessário prever melhores possibilidades de recurso efetivo, nomeadamente por associações que agem no interesse público (artigos 73.º e 76.º).

Desenvolver a dimensão do mercado interno e assegurar uma melhor aplicação das normas de proteção de dados

O relator acolhe favoravelmente a proposta de transferência das obrigações de notificação às autoridades de proteção de dados (APD) para a responsabilização prática e os delegados para a proteção de dados das empresas. A proposta de regulamento pode ser simplificada através da fusão dos direitos à informação e das obrigações de documentação, que, na sua essência, constituem duas faces da mesma moeda. Uma tal medida reduzirá os encargos administrativos impostos aos responsáveis pelo tratamento dos dados e tornará mais fácil a compreensão e o exercício dos direitos por parte das pessoas (artigos 14.º e 28.º). Na era da computação em nuvem, o limiar para a designação obrigatória de um delegado para a proteção de dados não deve basear-se na dimensão da empresa, mas na importância do tratamento dos dados (categoria dos dados pessoais, tipo de atividade de tratamento e número de pessoas cujos dados são objeto de tratamento) (artigo 35.º). Esclarece-se que a função de delegado para a proteção de dados pode ser exercida a tempo parcial, tendo em conta a dimensão da empresa e o volume de dados objeto de tratamento (considerando 75).

A proteção de dados desde a conceção e por defeito é saudada como sendo a inovação central da reforma. Esta inovação permitirá garantir que apenas sejam efetivamente tratados os dados necessários a um fim específico. Os produtores e os prestadores de serviços são instados a dar execução às medidas adequadas. O Comité Europeu para a Proteção de Dados deve ser incumbido da tarefa de fornecer orientações adicionais (artigo 23.º). As alterações sobre as avaliações de impacto na vida privada têm por objetivo precisar as situações em que essas avaliações devem ser realizadas (artigo 33.º, n.º 2) e os elementos a avaliar (artigo 33.º, n.º 3).

O relator propõe que o prazo de notificação de uma violação de dados pessoais à autoridade de controlo passe de 24 para 72 horas. Além disso, para evitar a "fadiga das notificações" para os titulares de dados, estes só devem ser notificados nos casos em que a violação de dados seja suscetível de afetar negativamente a proteção dos dados pessoais ou a privacidade dos titulares dos dados, por exemplo, em caso de roubo ou usurpação de identidade, prejuízos financeiros, danos físicos, humilhações ou danos significativos para a reputação. A notificação deve também incluir uma descrição da natureza da violação dos dados pessoais e informações sobre os direitos dos titulares dos dados, incluindo o direito de recurso (artigos 31.º e 32.º). No que se refere às notificações de violações de dados, às avaliações de impacto e ao direito ao apagamento e a ser esquecido, propõe-se que a Comissão adote atos delegados antes da data de aplicação do regulamento, a fim de garantir a segurança jurídica (artigo 86.º, n.º 5-A).

Apoia-se os códigos de conduta, bem como a certificação e os selos, mas é igualmente necessário prever incentivos à criação e aplicação de regras mais claras sobre os princípios que devem conter e as consequências quanto à legalidade do tratamento dos dados, às responsabilidades e a questões conexas. Os códigos de conduta que a Comissão declarar serem compatíveis com o regulamento conferem direitos efetivos aos titulares dos dados. Os selos de certificação devem definir o procedimento formal para a emissão e revogação do selo e assegurar o respeito dos princípios em matéria de proteção de dados e os direitos dos titulares dos dados (artigos 38.º e 39.º).

O regulamento deve garantir um quadro de trabalho uniforme para todas as autoridades de proteção de dados (APD). Para que este funcione, é fundamental que as APD, que devem ser totalmente independentes, disponham de recursos suficientes para o exercício eficaz das suas funções (artigo 47.º). A cooperação entre as APD será igualmente reforçada no âmbito do Comité Europeu para a Proteção de Dados, que substituirá o atual Grupo de Trabalho do artigo 29.º. O relator considera que o mecanismo previsto de cooperação e de controlo da coerência entre as APD nacionais representa um grande passo para uma aplicação coerente da legislação relativa à proteção de dados em toda a UE. Contudo, o modelo proposto pela Comissão não assegura a necessária independência das APD. Após uma avaliação das diferentes opções, é proposto um mecanismo alternativo que mantém a ideia de uma APD principal, mas também conta com a estreita cooperação entre APD para garantir a coerência (artigos 51.º e 54.º-A). Em particular, uma APD é competente para supervisionar as operações de tratamento efetuadas no seu território ou que afetem titulares de dados residentes no seu território. No caso das atividades de tratamento de um responsável pelo tratamento ou de um subcontratante estabelecido em mais de um Estado-Membro ou que afetem titulares de dados em vários Estados­Membros, a APD do estabelecimento principal será a autoridade principal que servirá de ponto de contacto único para o responsável pelo tratamento ou para o subcontratante ("balcão único"). A autoridade principal garantirá a coordenação com as autoridades envolvidas e consultará as restantes autoridades antes de adotar uma medida. O Comité Europeu para a Proteção de Dados designará a autoridade principal em casos de dúvida ou quando as APD não cheguem a acordo. Quando uma APD envolvida num processo não concordar com o projeto de medida proposto pela autoridade principal, o Comité Europeu para a Proteção de Dados emitirá um parecer. Se a autoridade principal não tiver a intenção de se conformar a este parecer, informará do facto o Comité Europeu para a Proteção de Dados e apresentará um parecer fundamentado. O Comité Europeu para a Proteção de Dados pode adotar, por maioria qualificada, uma decisão final que será juridicamente vinculativa para a autoridade de controlo. Esta decisão poder ser sujeita a revisão judicial (artigos 45.º-A, 55.º e 58.º). A Comissão também pode recorrer desta decisão para o Tribunal de Justiça da União Europeia e requerer a suspensão da medida (artigo 61.º-A).

O relator defende o reforço das APD no que diz respeito aos poderes de investigação e às sanções. A proposta da Comissão é, contudo, demasiado prescritiva. O relator propõe um regime simplificado que confira maior poder discricionário às APD e, ao mesmo tempo, atribua ao Comité Europeu para a Proteção de Dados o papel de garantir a coerência na aplicação da proteção de dados (artigos 52.º, 53.º, 78.º e 79.º). O sistema de sanções é igualmente clarificado graças à inclusão de vários critérios que devem ser tidos em conta para a determinação do nível da multa que uma APD pode impor.

Reforço da dimensão global

É mantido o poder da Comissão de adotar decisões que reconheçam a adequação ou a não adequação de um país terceiro, de um território de um país terceiro e de organizações internacionais. No entanto, o relator rejeita a nova opção proposta de reconhecimento da adequação de setores de países terceiros, dado que tal aumentaria a insegurança jurídica e comprometeria o objetivo da União de dispor de um quadro internacional para a proteção de dados harmonizado e coerente. Os critérios para a avaliação da adequação de um país terceiro são reforçados (artigo 41.º, n.º 2). Propõe-se igualmente que a constatação de adequação por parte da Comissão seja feita por meio de um ato delegado e não de um ato de execução, para que o Conselho e o Parlamento possam exercer o seu direito de controlo (artigo 41.º, n.ºs 3 e 5).

Na ausência de uma decisão de adequação que garanta um nível suficiente de proteção e salvaguardas, o responsável pelo tratamento ou o subcontratante devem tomar medidas de salvaguarda adequadas, como regras vinculativas para empresas e cláusulas-tipo de proteção de dados adotadas pela Comissão ou por uma autoridade de controlo. As alterações relativas ao artigo 41.º, n.º 1-A, e ao artigo 42.º clarificam e especificam as salvaguardas essenciais que estes instrumentos devem conter.

É proposto um novo artigo 43.º-A para contemplar a questão levantada pelos pedidos de acesso a dados pessoais armazenados e tratados na UE, apresentados por autoridades públicas ou tribunais de países terceiros. A autoridade de proteção de dados só deve autorizar a transferência depois de verificar que a mesma cumpre o regulamento e, em particular, o artigo 44.º, n.º 1, alíneas d) ou e). Esta questão ganhará ainda mais importância com o crescimento da computação em nuvem e deve ser tida em conta no regulamento em apreço.

Síntese

O relator apoia o objetivo de reforço do direito à proteção dos dados pessoais, embora garantindo um quadro jurídico unificado e reduzindo os encargos administrativos impostos aos responsáveis pelo tratamento dos dados. Propõe que o papel desempenhado pela Comissão em termos de aplicação seja limitado ao mínimo possível, clarificando elementos essenciais no texto do próprio regulamento e deixando a sua aplicação prática ao mecanismo de cooperação entre as autoridades de proteção de dados. Propõe que seja colocada maior ênfase na utilização de medidas de caráter tecnológico para proteger os dados pessoais e assegurar o cumprimento das regras, em articulação com a concessão de incentivos aos responsáveis pelo tratamento sempre que apliquem tais medidas. De acordo com a abordagem baseada na responsabilização, é reforçado o papel dos delegados para a proteção de dados das empresas e reduzida a necessidade de consulta prévia das autoridades de controlo. As instituições, os órgãos e as agências da União devem, a médio prazo, ser integrados no mesmo quadro regulamentar. Se o Parlamento, o Conselho e a Comissão puderem apoiar estes elementos, o novo quadro jurídico para a proteção de dados permitirá a realização de melhorias que beneficiarão tanto as pessoas a título individual como os responsáveis pelo tratamento dos dados e servirá para os próximos anos.

Durante o extenso trabalho com relatores-sombra de todos os grupos políticos e com relatores de parecer, o relator elaborou um número importante de alterações que refletem os debates levados a cabo entre os colegas envolvidos. O presente relatório integra vários compromissos, especialmente em relação aos princípios, aos fundamentos legais do tratamento de dados pessoais, aos direitos dos titulares dos dados, às disposições aplicáveis aos responsáveis pelo tratamento e aos subcontratantes, ao mecanismo de controlo da coerência e às sanções. O relator espera que as suas propostas constituam uma boa base para um rápido acordo no Parlamento Europeu e para as negociações com o Conselho durante a Presidência irlandesa.

(1)

DT/905569PT.doc

(2)

DT/905569PT.doc

(3)

PA/918358PT.doc


PARECER da Comissão do Emprego e dos Assuntos Sociais (4.3.2013)

dirigido à Comissão das Liberdades Cívicas, da Justiça e dos Assuntos Internos

sobre a proposta de Regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (regulamento geral sobre a proteção de dados)

(COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))

Relatora de parecer: Nadja Hirsch

JUSTIFICAÇÃO SUCINTA

A relatora de parecer acolhe favoravelmente o presente regulamento e congratula-se expressamente com o seu objetivo de prosseguir a harmonização da proteção dos dados na União Europeia (UE).

O presente regulamento tem o seguinte objetivo que seguidamente se expõe. Como é evidente, não é possível regulamentar o conjunto da proteção dos dados dos trabalhadores europeus num único artigo. Trata-se, antes, de fixar determinados elementos essenciais. Relativamente à concretização de um verdadeiro mercado europeu do emprego, pode-se refletir sobre a possibilidade de, num segundo tempo, regulamentar a proteção dos dados dos trabalhadores à escala europeia. Tal seria possível com base no artigo 288.º do TFUE.

Ainda que uma grande parte do tratamento de dados na EU esteja relacionada com as relações de trabalho, a proteção dos dados dos trabalhadores apenas modestamente é tratada no regulamento. O nível de abstração do regulamento dificulta frequentemente a interpretação das regras no contexto laboral.

É entender da relatora que a melhor forma de ter em conta os desafios da proteção dos dados dos trabalhadores no quadro do presente regulamento consiste em limitar o seu parecer ao artigo 82.º. Este artigo oferece a possibilidade de alargar o conteúdo e reunir os diferentes artigos do regulamento em apreço relevantes em matéria de proteção dos dados dos trabalhadores.

Artigo 82.º, n.º 1, e considerando 124

No seu estado atual e, em particular, no domínio da proteção dos dados dos trabalhadores, o regulamento em apreço apenas oferece uma proteção mínima. Importa que continue a ser possível a cada Estado-Membro fixar normas mais vantajosas para os trabalhadores. Além disso, deve igualmente ser possível fixar estas normas em acordos coletivos. A formulação “nos limites do presente regulamento deve ser rejeitada por razões diversas. Em primeiro lugar, está em contradição com a exceção setorial geral visada no artigo 82.º e, em combinação com os atos delegados propostos pela Comissão no artigo 82.º, poderia conduzir a uma situação extremamente confusa. Em segundo lugar, no pior dos casos, poderia significar que os Estados-Membros não pudessem adotar normas de maior alcance. Por fim, esta formulação parece ter sido escolhida de forma arbitrária, atendendo a que, no caso de outras cláusulas de abertura, por exemplo no domínio dos meios de comunicação social, esta limitação não existe.

Artigo 82.º, n.º 1-B

Uma vez que, até à data, a Comissão não apresentou qualquer proposta relativa à proteção dos dados dos trabalhadores e tendo em conta o caráter limitado do regulamento no respeitante ao conteúdo sobre a proteção dos dados dos trabalhadores, é necessário fixar normas mínimas europeias em matéria de proteção. Os quatro pontos seguidamente apresentados não constituem uma lista exaustiva, mas, antes, elementos essenciais de um direito europeu completo em matéria de proteção de dados.

Artigo 82.º, n.º 1-C

A Autoridade para a Proteção dos Dados desempenha um papel de extrema importância. Importa, por conseguinte, que