Texto da Comissão

Alteração

(1) A proteção das pessoas singulares relativamente ao tratamento de dados pessoais é um direito fundamental. O artigo 8.º, n.º 1, da Carta dos Direitos Fundamentais da União Europeia e o artigo 16.º, n.º 1, do Tratado sobre o Funcionamento da União Europeia estabelecem que todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito.

(1) A proteção das pessoas singulares relativamente ao tratamento de dados pessoais é um direito fundamental. O artigo 8.º, n.º 1, da Carta dos Direitos Fundamentais da União Europeia e o artigo 16.º, n.º 1, do Tratado sobre o Funcionamento da União Europeia estabelecem que todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito. Nos termos do artigo 8.º, n.º 2, da Carta dos Direitos Fundamentais da União Europeia, esses dados devem ser objecto de um tratamento leal, para fins específicos e com o consentimento da pessoa interessada ou com outro fundamento legítimo previsto por lei.

Texto da Comissão

Alteração

(4) Esta evolução exige uma maior facilidade na livre circulação de dados entre as autoridades competentes a nível da União e na sua transferência para países terceiros e organizações internacionais, assegurando paralelamente um elevado nível de proteção dos dados pessoais. Este contexto obriga ao estabelecimento na União de um quadro de proteção de dados sólido e mais coerente, apoiado por uma aplicação rigorosa das regras.

(4) Esta evolução exige uma maior facilidade na livre circulação de dados, quando necessário e proporcionado, entre as autoridades competentes a nível da União e na sua transferência para países terceiros e organizações internacionais, assegurando paralelamente um elevado nível de proteção dos dados pessoais. Este contexto obriga ao estabelecimento na União de um quadro de proteção de dados sólido e mais coerente, apoiado por uma aplicação rigorosa das regras.

Texto da Comissão

Alteração

(7) É crucial assegurar um nível elevado e coerente de proteção dos dados pessoais das pessoas singulares e facilitar o intercâmbio de dados pessoais entre as autoridades competentes dos Estados-Membros, a fim de assegurar a eficácia da cooperação judiciária em matéria penal e da cooperação policial. Para tal, o nível de proteção dos direitos e liberdades das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais, tem de ser equivalente em todos os Estados-Membros. A proteção efetiva dos dados pessoais na União exige não só reforçar os direitos dos titulares de dados e as obrigações dos responsáveis pelo tratamento de dados pessoais, mas também poderes equivalentes para controlar e assegurar a conformidade com as regras de proteção dos dados pessoais nos Estados-Membros.

(7) É crucial assegurar um nível elevado e coerente de proteção dos dados pessoais das pessoas singulares e facilitar o intercâmbio de dados pessoais entre as autoridades competentes dos Estados-Membros, a fim de assegurar a eficácia da cooperação judiciária em matéria penal e da cooperação policial. Para tal, há que garantir normas mínimas em todos os Estados-Membros no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais Para tal, o nível de proteção dos direitos e liberdades das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais, tem de ser equivalente em todos os Estados-Membros. É conveniente assegurar em toda a União a aplicação coerente e homogénea das regras de proteção dos direitos e das liberdades fundamentais das pessoas singulares no que diz respeito ao tratamento de dados pessoais. A proteção efetiva dos dados pessoais na União exige não só reforçar os direitos dos titulares de dados e as obrigações dos responsáveis pelo tratamento de dados pessoais, mas também poderes equivalentes para controlar e assegurar a conformidade com as regras de proteção dos dados pessoais nos Estados-Membros.

Texto da Comissão

Alteração

(8) O artigo 16.º, n.º 2, do Tratado sobre o Funcionamento da União Europeia prevê que o Parlamento Europeu e o Conselho estabeleçam as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais, bem como as regras relativas à livre circulação desses dados.

(8) O artigo 16.º, n.º 2, do Tratado sobre o Funcionamento da União Europeia prevê que o Parlamento Europeu e o Conselho estabeleçam as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais, bem como as regras relativas à livre circulação dos seus dados pessoais e ao respeito da sua privacidade.

Texto da Comissão

Alteração

(11) Por conseguinte, uma diretiva distinta deve permitir responder à natureza específica destes domínios e estabelecer as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais.

(11) Por conseguinte, uma diretiva específica deve permitir responder à natureza específica destes domínios e estabelecer as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais.

Texto da Comissão

Alteração

(15) A proteção das pessoas singulares deve ser neutra em termos tecnológicos e independente das técnicas utilizadas, sob pena de se correr um sério risco de ser contornada. Deve aplicar-se ao tratamento de dados pessoais por meios automatizados e manuais se os dados estiverem contidos ou forem destinados a serem conservados num sistema de ficheiros. As pastas ou conjuntos de pastas, bem como as suas capas, que não estejam estruturadas de acordo com critérios específicos, não se incluem no âmbito de aplicação da presente diretiva. A presente diretiva não se aplica ao tratamento de dados pessoais efetuado no exercício de atividades não sujeitas à aplicação do direito da União, nomeadamente as relativas à segurança nacional, nem aos dados tratados pelas instituições, organismos, serviços e agências da União, designadamente a Europol ou a Eurojust.

(15) A proteção das pessoas singulares deve ser neutra em termos tecnológicos e independente das técnicas utilizadas, sob pena de se correr um sério risco de ser contornada. Deve aplicar-se ao tratamento de dados pessoais por meios automatizados e manuais se os dados estiverem contidos ou forem destinados a serem conservados num sistema de ficheiros. As pastas ou conjuntos de pastas, bem como as suas capas, que não estejam estruturadas de acordo com critérios específicos, não se incluem no âmbito de aplicação da presente diretiva. A presente diretiva não se aplica ao tratamento de dados pessoais efetuado no exercício de atividades não sujeitas à aplicação do direito da União. O Regulamento (CE) n.º 45/2001 do Parlamento Europeu e do Conselho1 e os instrumentos jurídicos específicos aplicáveis ​​às agências, aos organismos ou aos serviços da União devem ser alinhados pela presente directiva e aplicados em conformidade com a presente directiva.

___________________

1 Regulamento (CE) n.º 45/2001 do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados (JO L 8 de 12.1.2001, p. 1).

Texto da Comissão

Alteração

(16) Os princípios da proteção de dados devem aplicar-se a qualquer informação relativa a uma pessoa singular identificada ou identificável. Para determinar se uma pessoa é identificável, importa considerar o conjunto dos meios suscetíveis de serem razoavelmente utilizados, quer pelo responsável pelo tratamento dos dados quer por qualquer outra pessoa, para identificar a referida pessoa. Os princípios da proteção de dados não se aplicam a dados tornados de tal forma anónimos que o titular dos dados já não possa ser identificado.

(16) Os princípios da proteção de dados devem aplicar-se a qualquer informação relativa a uma pessoa singular identificada ou identificável. Para determinar se uma pessoa é identificável, importa considerar o conjunto dos meios suscetíveis de serem razoavelmente utilizados, quer pelo responsável pelo tratamento dos dados quer por qualquer outra pessoa, para identificar, normalmente ou de forma seletiva, a referida pessoa. Os princípios da proteção de dados não se aplicam a dados tornados de tal forma anónimos que o titular dos dados já não possa ser identificado. A presente diretiva não deve aplicar-se a dados anónimos, ou seja, a todos os dados que não possam ser relacionados, direta ou indiretamente, isoladamente ou em combinação com dados conexos, com uma pessoa singular. Dada a importância dos desenvolvimentos em curso no âmbito da sociedade da informação, das técnicas usadas para captar, transmitir, manipular, registar, conservar ou comunicar dados de localização de pessoas singulares – que podem ser usadas para finalidades diferentes, incluindo a vigilância ou a definição de perfis – a diretiva deve ser aplicável ao tratamento destes dados pessoais.

Texto da Comissão

Alteração

(16-A) Qualquer tratamento de dados pessoais deve ser efetuado de forma lícita, leal e transparente para com as pessoas em causa. Em especial, as finalidades específicas do tratamento devem ser explícitas e legítimas e ser determinadas aquando da recolha dos dados pessoais. Os dados pessoais devem ser adequados, pertinentes e limitados ao mínimo necessário às finalidades de tratamento para as quais se destinam. Tal exige, em particular, que os dados recolhidos sejam em volume limitado e o período de conservação seja restringido rigorosamente ao mínimo. Os dados pessoais apenas devem ser tratados se a finalidade do tratamento não puder ser atingida por outros meios. Devem ser adotadas todas as medidas razoáveis para assegurar que os dados pessoais inexatos sejam retificados ou apagados. Para assegurar que os dados sejam conservados apenas durante o período considerado necessário, o responsável pelo tratamento deve fixar os prazos para o apagamento ou a revisão periódica.

Texto da Comissão

Alteração

(18) Qualquer tratamento de dados pessoais deve ser efetuado de forma lícita, leal e transparente para com as pessoas em causa. Em especial, as finalidades específicas do tratamento devem ser explícitas.

Suprimido

Texto da Comissão

Alteração

(19) Para efeitos de prevenção, investigação e repressão de infrações penais, é necessário que as autoridades competentes conservem e tratem os dados pessoais, recolhidos no contexto da prevenção, investigação, deteção e repressão de infrações penais específicas, e para além desse contexto, a fim de obter uma melhor compreensão dos fenómenos criminais e das tendências que os caracterizam, recolher informação específica sobre as redes criminosas organizadas e estabelecer ligações entre as diferentes infrações detetadas.

Suprimido

Texto da Comissão

Alteração

(20) Os dados pessoais não devem ser tratados para fins incompatíveis com a finalidade para a qual foram recolhidos. Os dados pessoais tratados devem ser adequados, pertinentes e não excessivos para as finalidades do tratamento. Devem ser adotadas todas as medidas razoáveis para assegurar que os dados pessoais inexatos são retificados ou apagados.

Suprimido

Texto da Comissão

Alteração

(20-A) O simples facto de duas finalidades estarem relacionadas com a prevenção, investigação, deteção ou repressão de infrações penais ou de execução de sanções penais não significa necessariamente que as mesmas sejam compatíveis. No entanto, há casos em que o tratamento posterior para finalidades incompatíveis deve ser possível, caso seja necessário para o cumprimento de uma obrigação legal à qual o responsável pelo tratamento esteja sujeito, a fim de proteger os interesses vitais do titular dos dados ou de outra pessoa ou para a prevenção de uma ameaça grave e imediata para a segurança pública. Por conseguinte, os Estados-Membros devem poder adotar legislação nacional que preveja estas derrogações na medida do estritamente necessário. Essa legislação nacional deve conter salvaguardas adequadas.

Texto da Comissão

Alteração

(22) Na interpretação e aplicação dos princípios gerais relacionados com o tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais, ou de execução de sanções penais, deve atender-se às especificidades do setor, incluindo os objetivos específicos prosseguidos.

Suprimido

Texto da Comissão

Alteração

(23) O tratamento de dados pessoais nos domínios da cooperação judiciária em matéria penal e da cooperação policial implica necessariamente o tratamento de dados pessoais relativos a categorias diferentes de titulares de dados. Importa, portanto, estabelecer uma distinção o mais clara possível entre dados pessoais de diferentes categorias de titulares de dados, tais como suspeitos, pessoas condenadas por um crime, vítimas e terceiros, designadamente testemunhas, pessoas que detenham informações ou contactos úteis, e os cúmplices de pessoas suspeitas ou condenadas.

(23) O tratamento de dados pessoais nos domínios da cooperação judiciária em matéria penal e da cooperação policial implica necessariamente o tratamento de dados pessoais relativos a categorias diferentes de titulares de dados. Importa, portanto, estabelecer uma distinção o mais clara possível entre dados pessoais de diferentes categorias de titulares de dados, tais como suspeitos, pessoas condenadas por um crime, vítimas e terceiros, designadamente testemunhas, pessoas que detenham informações ou contactos úteis, e os cúmplices de pessoas suspeitas ou condenadas. Os Estados-Membros devem prever regras específicas para as consequências desta distinção entre categorias, tendo em conta as diversas finalidades para as quais são recolhidos os dados e prevendo garantias específicas para as pessoas que não sejam suspeitas de terem cometido infrações penais ou que não tenham sido condenadas por terem cometido infrações penais.

Texto da Comissão

Alteração

(25) Para ser lícito, o tratamento de dados pessoais tem de ser necessário para o respeito de uma obrigação legal à qual o responsável pelo tratamento esteja sujeito, bem como para a execução de uma missão de interesse público por uma autoridade competente prevista na lei, ou para a proteção dos interesses vitais do titular dos dados ou de outra pessoa, ou para a prevenção de uma ameaça grave e imediata para a segurança pública.

(25) Para ser lícito, o tratamento de dados pessoais tem de ser autorizado apenas quando necessário para o respeito de uma obrigação legal à qual o responsável pelo tratamento esteja sujeito, bem como para a execução de uma missão de interesse público por uma autoridade competente prevista na lei da União ou dos Estados-Membros, a qual deve conter disposições explícitas e pormenorizadas acerca, pelo menos, dos objetivos, dados pessoais, meios e finalidades específicas, nomear ou permitir a nomeação do responsável pelo tratamento, os procedimentos a seguir, a utilização e limitações do âmbito de qualquer poder discricionário conferido às autoridades competentes relativamente às atividades de tratamento.

Texto da Comissão

Alteração

(25-A) Os dados pessoais não devem ser tratados para fins incompatíveis com a finalidade para a qual foram recolhidos. O tratamento posterior pelas autoridades competentes para uma finalidade abrangida pelo âmbito da presente diretiva que não seja compatível com a finalidade original só deve ser autorizado em casos específicos, quando esse tratamento for necessário para o cumprimento de uma obrigação legal, com base na legislação da União ou nacional à qual o responsável pelo tratamento esteja sujeito, ou a fim de proteger os interesses vitais do titular dos dados ou de outra pessoa, ou para a prevenção de uma ameaça grave e imediata para a segurança pública. O facto de os dados serem tratados para fins de aplicação da lei não implica necessariamente que esta finalidade seja compatível com a finalidade inicial. O conceito de utilização compatível deve ser interpretado de forma restritiva.

Texto da Comissão

Alteração

(25-B) Deve ser posto termo ao tratamento de dados pessoais em violação das disposições nacionais adotadas nos termos da presente diretiva.

Texto da Comissão

Alteração

(26) Os dados pessoais que sejam, devido à sua natureza, especialmente sensíveis do ponto de vista dos direitos fundamentais ou da privacidade, designadamente os dados genéticos, merecem proteção específica. Estes dados não devem ser objeto de tratamento, salvo se essa operação for especificamente autorizada por uma lei que preveja medidas adequadas de proteção dos interesses legítimos do titular dos dados, ou se for necessário para proteger os interesses vitais do titular dos dados ou de outra pessoa, ou se estiver relacionado com dados que tenham sido manifestamente tornados públicos pelo titular dos dados.

(26) Os dados pessoais que sejam, devido à sua natureza, especialmente sensíveis e vulneráveis do ponto de vista dos direitos fundamentais ou da privacidade merecem proteção específica. Estes dados não devem ser objeto de tratamento, salvo se essa operação for especificamente necessária ao exercício de uma missão de interesse público, com base no direito da União ou na legislação nacional que preveja medidas adequadas de proteção dos direitos fundamentais e dos interesses legítimos do titular dos dados, ou se for necessário para proteger os interesses vitais do titular dos dados ou de outra pessoa, ou se estiver relacionado com dados que tenham sido manifestamente tornados públicos pelo titular dos dados. Os dados pessoais sensíveis só devem ser tratados se complementarem outros dados pessoais já tratados para finalidades de aplicação da lei. As derrogações da proibição de tratamento de dados sensíveis devem ser interpretadas de forma restritiva e não devem levar a um tratamento frequente, massivo ou estrutural de dados pessoais sensíveis.

Texto da Comissão

Alteração

(26-A) O tratamento de dados genéticos deve ser autorizado apenas se existir uma ligação genética revelada durante uma investigação criminal ou um processo judicial. Os dados genéticos devem ser conservados apenas durante o tempo estritamente necessário no quadro dessas investigações e desses processos, se bem que os Estados-Membros possam estabelecer períodos de conservação mais prolongados, nas condições definidas na presente diretiva.

Texto da Comissão

Alteração

(27) Qualquer pessoa singular deve ter o direito a não estar sujeita a uma medida baseada exclusivamente no tratamento automatizado, se este produzir efeitos negativos na esfera jurídica dessa pessoa, salvo se autorizada por lei e subordinada a medidas adequadas que garantam os interesses legítimos do titular de dados.

(27) Qualquer pessoa singular deve ter o direito a não estar sujeita a uma medida baseada na definição parcial ou total de perfis através de tratamento automatizado. O tratamento que produza efeitos na esfera jurídica dessa pessoa ou a afete de modo significativo deve ser proibido, salvo se autorizado por lei e subordinado a medidas adequadas que garantam os direitos fundamentais e os interesses legítimos do titular de dados, designadamente o direito de receber informação pertinente acerca da lógica utilizada na definição dos perfis. Este tratamento não deve, em circunstância alguma, incluir, produzir ou discriminar dados com base em categorias especiais.

Texto da Comissão

Alteração

(28) A fim de permitir aos titulares de dados exercer os seus direitos, quaisquer informações que lhe sejam dirigidas devem ser de fácil acesso e compreensão e, nomeadamente, formuladas em termos claros e simples.

(28) A fim de permitir aos titulares de dados exercer os seus direitos, quaisquer informações que lhe sejam dirigidas devem ser de fácil acesso e compreensão e, nomeadamente, formuladas em termos claros e simples. Estas informações devem ser adaptadas às necessidades do titular de dados, em particular quando as informações são dirigidas especificamente a uma criança.

Texto da Comissão

Alteração

(29) Devem ser previstas modalidades para facilitar o exercício pelo titular de dados dos direitos conferidos pela presente diretiva, incluindo mecanismos para solicitar, a título gratuito, em especial o acesso aos dados, a sua retificação e apagamento. O responsável pelo tratamento deve ser obrigado a responder aos pedidos do titular de dados sem demora injustificada.

(29) Devem ser previstas modalidades para facilitar o exercício pelo titular de dados dos direitos conferidos pela presente diretiva, incluindo mecanismos para solicitar, a título gratuito, em especial o acesso aos dados, a sua retificação e apagamento. O responsável pelo tratamento deve ser obrigado a responder aos pedidos do titular de dados sem demora e no prazo de um mês a contar da receção do pedido. Sempre que os dados pessoais sejam objeto de tratamento automatizado, o responsável pelo tratamento deve prever meios para a apresentação de pedidos por via eletrónica.

Texto da Comissão

Alteração

(30) Os princípios de tratamento leal e transparente exigem que o titular dos dados seja informado, em especial, da existência da operação de tratamento de dados e das suas finalidades, do período de conservação dos dados, da existência do direito de acesso, retificação ou apagamento, bem como do seu direito de apresentar uma queixa. Sempre que os dados forem recolhidos junto do titular dos dados, este deve ser também informado da obrigatoriedade de fornecer esses dados e das respetivas consequências, caso não os faculte.

(30) Os princípios de tratamento leal e transparente exigem que o titular dos dados seja informado, em especial, da existência da operação de tratamento de dados e das suas finalidades, do seu fundamento jurídico, do período de conservação dos dados, da existência do direito de acesso, retificação ou apagamento, bem como do seu direito de apresentar uma queixa. Além disso, o titular dos dados deve ser informado de uma eventual definição de perfis e dos efeitos que a mesma visa produzir. Sempre que os dados forem recolhidos junto do titular dos dados, este deve ser também informado da obrigatoriedade de fornecer esses dados e das respetivas consequências, caso não os faculte.

Texto da Comissão

Alteração

(32) Qualquer pessoa deve ter o direito de acesso aos dados recolhidos sobre si e de exercer facilmente este direito, a fim de conhecer e verificar a licitude do tratamento. Por conseguinte, cada titular de dados deve ter o direito de conhecer e ser informado, em especial, das finalidades a que se destinam os dados tratados, da duração da sua conservação, bem como da identidade dos destinatários, incluindo em países terceiros. Os titulares de dados devem poder obter uma cópia dos seus dados pessoais objeto de tratamento.

(32) Qualquer pessoa deve ter o direito de acesso aos dados recolhidos sobre si e de exercer facilmente este direito, a fim de conhecer e verificar a licitude do tratamento. Por conseguinte, cada titular de dados deve ter o direito de conhecer e ser informado, em especial, das finalidades a que se destinam os dados tratados, da base jurídica, da duração da sua conservação, bem como da identidade dos destinatários, incluindo em países terceiros, de informações compreensíveis sobre a lógica subjacente a qualquer tratamento automatizado dos dados e da importância e consequências previstas de tal tratamento, se aplicável, bem como do direito de apresentar queixa a uma autoridade de controlo e de obter os contactos desta. Os titulares de dados devem poder obter uma cópia dos seus dados pessoais objeto de tratamento.

Texto da Comissão

Alteração

(33) Os Estados-Membros devem ser autorizados a adotar medidas legislativas visando atrasar ou limitar a informação dos titulares de dados ou o acesso aos dados pessoais que lhes digam respeito, ou a não fornecer essas informações ou esse acesso, desde que tal limitação, parcial ou total, represente uma medida necessária e proporcional numa sociedade democrática, tendo devidamente em conta os interesses legítimos do titular de dados, a fim de evitar que tal constitua um obstáculo para os inquéritos, investigações e procedimentos oficiais ou legais, para evitar prejudicar a prevenção, investigação, deteção e repressão de infrações penais ou a execução de sanções penais, para proteger a segurança pública ou a segurança nacional ou proteger o titular de dados ou os direitos e as liberdades de terceiros.

(33) Os Estados-Membros devem ser autorizados a adotar medidas legislativas visando atrasar a informação dos titulares de dados ou o acesso aos dados pessoais que lhes digam respeito, ou a não fornecer essas informações ou esse acesso, desde que tal limitação, parcial ou total, represente uma medida necessária e proporcional numa sociedade democrática, tendo devidamente em conta os direitos fundamentais e os interesses legítimos do titular de dados, a fim de evitar que tal constitua um obstáculo para os inquéritos, investigações e procedimentos oficiais ou legais, para evitar prejudicar a prevenção, investigação, deteção e repressão de infrações penais ou a execução de sanções penais, para proteger a segurança pública ou a segurança nacional ou proteger o titular de dados ou os direitos e as liberdades de terceiros. O responsável pelo tratamento deve avaliar, através dum exame individual e concreto de cada caso específico, se as limitações parciais ou totais são aplicáveis ao direito de acesso.

Texto da Comissão

Alteração

(34-A) Quaisquer restrições dos direitos do titular de dados devem respeitar a Carta dos Direitos Fundamentais da União Europeia e a Convenção Europeia dos Direitos do Homem, tal como clarificados pela jurisprudência do Tribunal de Justiça da União Europeia e do Tribunal Europeu dos Direitos do Homem, e devem, em particular, respeitar o conteúdo essencial dos direitos e liberdades.

Texto da Comissão

Alteração

(35) Sempre que os Estados-Membros tiverem adotado medidas legislativas para limitar total ou parcialmente o direito de acesso, o titular de dados deve ter o direito de solicitar à autoridade nacional de controlo competente que verifique a licitude do tratamento. O titular de dados deve ser informado desse direito. Quando o direito de acesso for exercido pela autoridade de controlo em nome do titular de dados, a autoridade de controlo deve pelo menos informar o interessado de que foram realizadas todas as verificações necessárias e do resultado relativamente à licitude do tratamento em questão.

(35) Sempre que os Estados-Membros tiverem adotado medidas legislativas para limitar total ou parcialmente o direito de acesso, o titular de dados deve ter o direito de solicitar à autoridade nacional de controlo competente que verifique a licitude do tratamento. O titular de dados deve ser informado desse direito. Quando o direito de acesso for exercido pela autoridade de controlo em nome do titular de dados, a autoridade de controlo deve pelo menos informar o interessado de que foram realizadas todas as verificações necessárias e do resultado relativamente à licitude do tratamento em questão. A autoridade de controlo deve também informar o titular de dados do seu direito de ação judicial.

Texto da Comissão

Alteração

(36) Qualquer pessoa deve ter o direito a que os dados que lhe digam respeito sejam retificados e o «direito a ser esquecido», quando o tratamento não for conforme com os princípios gerais enunciados na presente diretiva. Sempre que os dados pessoais forem tratados no âmbito de uma investigação criminal ou de um processo penal, o direito à informação, o direito de acesso, de retificação e de apagamento, bem como o direito de limitação do tratamento, podem ser exercidos em conformidade com as regras nacionais aplicáveis aos processos judiciais.

(36) Qualquer pessoa deve ter o direito a que os dados incorretos ou tratados indevidamente que lhe digam respeito sejam retificados e o «direito a ser esquecido», quando o tratamento não for conforme com as disposições da presente diretiva. A retificação, o aditamento ou o apagamento devem ser comunicados aos destinatários a quem os dados tenham sido divulgados e aos terceiros na origem dos dados inexatos. Os responsáveis pelo tratamento devem igualmente abster-se de qualquer comunicação ulterior desses dados. Sempre que os dados pessoais forem tratados no âmbito de uma investigação criminal ou de um processo penal, o direito à informação, o direito de acesso, de retificação e de apagamento, bem como o direito de limitação do tratamento, podem ser exercidos em conformidade com as regras nacionais aplicáveis aos processos judiciais.

Texto da Comissão

Alteração

(37) Deve ser definida uma responsabilidade global do responsável pelo tratamento por qualquer tratamento de dados pessoais que ele próprio realize ou que seja realizado por sua conta. Em especial, o responsável pelo tratamento deve assegurar a conformidade das operações de tratamento de dados com o disposto na presente diretiva.

(37) Deve ser definida uma responsabilidade global do responsável pelo tratamento por qualquer tratamento de dados pessoais que ele próprio realize ou que seja realizado por sua conta. Em especial, o responsável pelo tratamento deve assegurar e ser obrigado a poder demonstrar a conformidade de cada operação de tratamento de dados com o disposto na presente diretiva.

Texto da Comissão

Alteração

(39) A proteção dos direitos e liberdades dos titulares de dados, bem como a responsabilidade dos responsáveis pelo tratamento e dos subcontratantes, exige uma clara repartição das responsabilidades nos termos da presente diretiva, nomeadamente quando o responsável pelo tratamento determina as finalidades, as condições e os meios do tratamento conjuntamente com outros responsáveis, ou quando uma operação de tratamento de dados é efetuada por conta de um responsável pelo tratamento.

(39) A proteção dos direitos e liberdades dos titulares de dados, bem como a responsabilidade dos responsáveis pelo tratamento e dos subcontratantes, exige uma clara repartição das responsabilidades nos termos da presente diretiva, nomeadamente quando o responsável pelo tratamento determina as finalidades, as condições e os meios do tratamento conjuntamente com outros responsáveis, ou quando uma operação de tratamento de dados é efetuada por conta de um responsável pelo tratamento. O titular dos dados deve ter o direito de exercer os seus direitos nos termos da presente diretiva relativamente a cada um dos responsáveis conjuntos e contra eles.

Texto da Comissão

Alteração

(40-A) Cada operação de tratamento de dados pessoais deve ser registada para permitir a verificação da licitude do tratamento e o acompanhamento, bem como garantir a integridade e segurança dos dados. Este registo deve ser disponibilizado à autoridade de controlo, quando tal lhe for solicitado, para controlar o respeito das normas estabelecidas na presente diretiva.

Texto da Comissão

Alteração

(40-B) Deve ser efetuada uma avaliação do impacto na proteção de dados pelo responsável pelo tratamento ou pelo subcontratante quando as operações de tratamento especificadas forem suscetíveis de apresentar riscos específicos para os direitos e liberdades dos titulares de dados devido à sua natureza, âmbito ou finalidades, a qual deve incluir, em particular, as medidas previstas, garantias e mecanismos para assegurar a proteção dos dados pessoais, e demonstrar a conformidade com a presente diretiva. As avaliações do impacto na proteção de dados devem ter como objeto os sistemas e processos pertinentes das operações de tratamento dos dados pessoais, mas não casos individuais.

Texto da Comissão

Alteração

(41) A fim de assegurar a proteção efetiva dos direitos e liberdades dos titulares de dados através de ações preventivas, o responsável pelo tratamento ou o subcontratante deve, em determinados casos, consultar a autoridade de controlo previamente à operação de tratamento.

(41) A fim de assegurar a proteção efetiva dos direitos e liberdades dos titulares de dados através de ações preventivas, o responsável pelo tratamento ou o subcontratante deve, em determinados casos, consultar a autoridade de controlo previamente à operação de tratamento. Além disso, sempre que uma avaliação de impacto sobre a proteção de dados indicar que as operações de tratamento de dados podem acarretar um elevado grau de riscos particulares para os direitos e liberdades dos titulares de dados, a autoridade de controlo deve estar em condições de impedir, antes de as operações terem início, um tratamento arriscado suscetível de não estar em conformidade com a presente diretiva, e de apresentar propostas para remediar essa situação. Essa consulta deve igualmente ser efetuada durante os trabalhos de elaboração de uma medida legislativa pelo parlamento nacional, ou de uma medida baseada nesta última que defina a natureza do tratamento e especifique as garantias adequadas.

Texto da Comissão

Alteração

(41-A) A fim de preservar a segurança e evitar o tratamento em violação da presente diretiva, o responsável pelo tratamento, ou o subcontratante, deve avaliar os riscos que o tratamento implica e aplicar medidas que os atenuem. Estas medidas devem assegurar um nível de segurança adequado, atendendo aos conhecimentos técnicos disponíveis e ao custo da sua aplicação em função dos riscos e da natureza dos dados a proteger. Aquando do estabelecimento de normas técnicas e de medidas organizativas destinadas a garantir a segurança do tratamento, deve ser promovida a neutralidade tecnológica.

Texto da Comissão

Alteração

(42) A violação de dados pessoais pode, se não forem adotadas medidas adequadas e oportunas, causar danos, nomeadamente à reputação da pessoa singular em causa. Assim, logo que o responsável pelo tratamento tenha conhecimento da ocorrência de uma violação, deve comunicá-la à autoridade nacional competente. As pessoas singulares cujos dados pessoais possam ter sido afetados negativamente por tal violação, devem ser avisadas sem demora injustificada, para que possam adotar as precauções necessárias. Deve considerar-se que uma violação afeta negativamente os dados pessoais ou a privacidade de um titular de dados sempre que daí possa resultar, por exemplo, roubo ou usurpação de identidade, danos físicos, humilhações ou danos significativos contra a reputação, consecutivos ao tratamento de dados pessoais.

(42) A violação dos dados pessoais pode, se não forem adotadas medidas adequadas e oportunas, causar prejuízos económicos e sociais substanciais, nomeadamente através da usurpação de identidade, à pessoa singular em causa. Assim, logo que o responsável pelo tratamento tenha conhecimento da ocorrência de uma violação, deve comunicá-la à autoridade nacional competente. As pessoas singulares cujos dados pessoais possam ter sido afetados negativamente por tal violação, devem ser avisadas sem demora, para que possam adotar as precauções necessárias. Deve considerar-se que uma violação afeta negativamente os dados pessoais ou a privacidade de um titular de dados sempre que daí possa resultar, por exemplo, roubo ou usurpação de identidade, danos físicos, humilhações ou danos significativos contra a reputação, consecutivos ao tratamento de dados pessoais. A notificação deverá incluir informações sobre as medidas tomadas pelo fornecedor para dar resposta à violação da segurança, bem como recomendações para o assinante ou indivíduo afetado. As pessoas em causa devem ser notificadas o mais rapidamente possível, em estreita cooperação com a autoridade de controlo e em cumprimento das orientações por esta fornecidas.

Texto da Comissão

Alteração

(44) O responsável pelo tratamento, ou o subcontratante, deve designar uma pessoa para o ajudar a controlar a conformidade das disposições adotadas por força da presente diretiva. Um delegado para a proteção de dados pode ser designado conjuntamente por diversas entidades da autoridade competente. Os delegados para a proteção de dados devem estar em condições de desempenhar as suas funções e atribuições de forma efetiva e com total independência.

(44) O responsável pelo tratamento, ou o subcontratante, deve designar uma pessoa para o ajudar a controlar e demonstrar a conformidade das disposições adotadas por força da presente diretiva. Sempre que várias autoridades competentes atuem sob o controlo de uma autoridade central, deve incumbir pelo menos a esta autoridade central designar o referido delegado. Os delegados para a proteção de dados devem estar em condições de desempenhar as suas funções e atribuições de forma efetiva e com total independência, em particular, criando normas com vista a impedir um conflito de interesses com as funções desempenhadas pelo delegado para a proteção de dados.

Texto da Comissão

Alteração

(45) Os Estados-Membros devem assegurar que uma transferência para um país terceiro só possa ser realizada se for necessária para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou para a execução de sanções penais, e se o responsável pelo tratamento no país terceiro ou na organização internacional for uma autoridade competente na aceção da presente diretiva. Uma transferência pode realizar-se nos casos em que a Comissão tiver decidido que o país terceiro, ou a organização internacional em questão, garante um nível de proteção adequado, ou se tiverem sido apresentadas garantias adequadas.

(45) Os Estados-Membros devem assegurar que uma transferência para um país terceiro só possa ser realizada se essa transferência específica for necessária para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou para a execução de sanções penais, e se o responsável pelo tratamento no país terceiro ou na organização internacional for uma autoridade pública competente na aceção da presente diretiva. Uma transferência pode realizar-se nos casos em que a Comissão tiver decidido que o país terceiro, ou a organização internacional em questão, garante um nível de proteção adequado, ou se tiverem sido apresentadas garantias adequadas, ou quando tiverem sido apresentadas garantias adequadas através de um instrumento juridicamente vinculativo. Os dados que são transferidos para autoridades públicas competentes de países terceiros não devem ser alvo de um tratamento para outras finalidades que não a que motivou a referida transferência.

Texto da Comissão

Alteração

(45-A) As transferências ulteriores por parte de autoridades competentes de países terceiros ou organizações internacionais para as quais foram transferidos dados pessoais só devem ser autorizadas se a transferência ulterior em causa for necessária para a mesma finalidade específica da transferência original e se o segundo destinatário for também uma autoridade pública competente. As transferências ulteriores não devem ser autorizadas para fins gerais de aplicação da lei. A autoridade competente que realizou a transferência original deve autorizar a transferência ulterior.

Texto da Comissão

Alteração

(48) A Comissão deve igualmente poder reconhecer que um país terceiro, ou um território ou um setor de tratamento de um país terceiro, ou uma organização internacional, não assegura um nível de proteção adequado de dados. Se for esse no caso, deve ser proibida a transferência de dados pessoais para esse país terceiro, salvo se tiver por base um acordo internacional, garantias adequadas ou uma derrogação. É conveniente prever procedimentos de consulta entre a Comissão e o país terceiro ou a organização internacional. Todavia, tal decisão da Comissão não prejudica a possibilidade de realizar transferências com base em garantias adequadas ou numa derrogação prevista na diretiva.

(48) A Comissão deve igualmente poder reconhecer que um país terceiro, ou um território ou um setor de tratamento de um país terceiro, ou uma organização internacional, não assegura um nível de proteção adequado de dados. Se for esse no caso, deve ser proibida a transferência de dados pessoais para esse país terceiro, salvo se tiver por base um acordo internacional, garantias adequadas ou uma derrogação. É conveniente prever procedimentos de consulta entre a Comissão e o país terceiro ou a organização internacional. Todavia, tal decisão da Comissão não prejudica a possibilidade de realizar transferências com base em garantias adequadas através dum instrumento juridicamente vinculativo ou numa derrogação prevista na diretiva.

Texto da Comissão

Alteração

(49) As transferências que não se basearem numa decisão sobre o nível adequado da proteção só devem ser autorizadas se forem apresentadas garantias apropriadas num instrumento juridicamente vinculativo que garanta a proteção dos dados pessoais, ou se o responsável pelo tratamento ou o subcontratante tiver avaliado todas as circunstâncias inerentes à transferência de dados ou ao conjunto de operações de transferências de dados e, com base nessa avaliação, considerar existirem garantias adequadas relativamente à proteção de dados pessoais. Caso não existam fundamentos para a autorização de transferência, devem ser permitidas derrogações se forem necessárias para proteger os interesses vitais do titular de dados ou de um terceiro, ou para assegurar os interesses legítimos dessa pessoa, desde que a legislação do Estado-Membro que efetua a transferência dos dados assim o preveja, ou se for essencial para a prevenção de uma ameaça imediata e grave para a segurança pública de um Estado-Membro ou de um país terceiro ou, em certos casos, para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais, ou em casos especiais, tendo em vista a declaração, o exercício ou a defesa de um direito num processo judicial.

(49) As transferências que não se basearem numa decisão sobre o nível adequado da proteção só devem ser autorizadas se forem apresentadas garantias apropriadas num instrumento juridicamente vinculativo que garanta a proteção dos dados pessoais.

Texto da Comissão

Alteração

(49-A) Caso não existam fundamentos para a autorização de transferência, devem ser permitidas derrogações se forem necessárias para proteger os interesses vitais do titular de dados ou de um terceiro, ou para assegurar os interesses legítimos dessa pessoa, desde que a legislação do Estado-Membro que efetua a transferência dos dados assim o preveja, ou se for essencial para a prevenção de uma ameaça imediata e grave para a segurança pública de um Estado-Membro ou de um país terceiro ou, em certos casos, para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais, ou em casos especiais, tendo em vista a declaração, o exercício ou a defesa de um direito num processo judicial. Essas derrogações devem ser interpretadas de forma restritiva e não permitir transferências frequentes, massivas e estruturais de dados pessoais nem transferências massivas de dados, que devem ser limitadas aos dados estritamente necessários. Além disso, a decisão de transferência deve ser adotada por uma pessoa devidamente autorizada e deve ser documentada e disponibilizada, a pedido, à autoridade de controlo para verificar a licitude da transferência.

(Uma parte do considerando 49 da proposta da Comissão passou a considerando 49-A da alteração do Parlamento.)

Texto da Comissão

Alteração

(51) A criação de autoridades de controlo nos Estados-Membros, que exerçam as suas funções com total independência, constitui um elemento essencial da proteção das pessoas singulares no que respeita ao tratamento dos seus dados pessoais. As autoridades de controlo devem supervisionar a aplicação das disposições da presente diretiva e contribuir para a sua aplicação coerente no conjunto da União, a fim de proteger as pessoas singulares relativamente ao tratamento dos seus dados pessoais. Para esse efeito, as autoridades de controlo devem cooperar entre si e com a Comissão.

(51) A criação de autoridades de controlo nos Estados-Membros, que exerçam as suas funções com total independência, constitui um elemento essencial da proteção das pessoas singulares no que respeita ao tratamento dos seus dados pessoais. As autoridades de controlo devem supervisionar a aplicação das disposições da presente diretiva e contribuir para a sua aplicação coerente no conjunto da União, a fim de proteger as pessoas singulares relativamente ao tratamento dos seus dados pessoais. Para esse efeito, as autoridades de controlo devem cooperar entre si.

Texto da Comissão

Alteração

(53) Deve ser permitido aos Estados-Membros criarem várias autoridades de controlo de modo a refletir a sua estrutura constitucional, organizacional e administrativa. É conveniente que cada autoridade de controlo disponha dos recursos financeiros e humanos adequados, bem como de instalações e infraestruturas, necessários a um exercício eficaz das suas funções, incluindo as relacionadas com a assistência e a cooperação mútuas com outras autoridades de controlo a nível da União.

(53) Deve ser permitido aos Estados-Membros criarem várias autoridades de controlo de modo a refletir a sua estrutura constitucional, organizacional e administrativa. É conveniente que cada autoridade de controlo disponha dos recursos financeiros e humanos adequados, bem como de instalações e infraestruturas - incluindo capacidades técnicas, experiência e competências - necessários a um exercício eficaz das suas funções, incluindo as relacionadas com a assistência e a cooperação mútuas com outras autoridades de controlo a nível da União.

Texto da Comissão

Alteração

(54) As condições gerais aplicáveis aos membros da autoridade de controlo devem ser definidas por lei em cada Estado-Membro e devem prever, em especial, que esses membros são nomeados pelo parlamento ou pelo governo nacional, e incluir disposições sobre a qualificação e as funções desses membros.

(54) As condições gerais aplicáveis aos membros da autoridade de controlo devem ser definidas por lei em cada Estado-Membro e devem prever, em especial, que esses membros são nomeados pelo parlamento ou pelo governo nacional, com base na consulta do parlamento, e incluir disposições sobre a qualificação e as funções desses membros.

Texto da Comissão

Alteração

(56) A fim de assegurar o controlo e a aplicação coerentes da presente diretiva no conjunto da União, as autoridades de controlo devem ter, em cada Estado-Membro, os mesmos deveres e poderes efetivos, incluindo os poderes de investigação, de intervenção juridicamente vinculativa, de deliberação e de sanção, particularmente em caso de queixas apresentadas por pessoas singulares, bem como o poder de intervir em processos judiciais.

(56) A fim de assegurar o controlo e a aplicação coerentes da presente diretiva no conjunto da União, as autoridades de controlo devem ter, em cada Estado-Membro, os mesmos deveres e poderes efetivos, incluindo poderes de investigação efetivos, poderes de acesso aos dados pessoais e todas as informações necessárias à execução de todas as funções de controlo, poderes de acesso a todas as instalações do responsável pelo tratamento ou o subcontratante, incluindo os requisitos para o tratamento de dados, e de intervenção juridicamente vinculativa, de deliberação e de sanção, particularmente em caso de queixas apresentadas por pessoas singulares, bem como o poder de intervir em processos judiciais.

Texto da Comissão

Alteração

(58) As autoridades de controlo devem prestar-se mutuamente assistência no desempenho das suas funções, por forma a assegurar a execução e aplicação coerentes das disposições adotadas em conformidade com a presente diretiva.

(58) As autoridades de controlo devem prestar-se mutuamente assistência no desempenho das suas funções, por forma a assegurar a execução e aplicação coerentes das disposições adotadas em conformidade com a presente diretiva. Todas as autoridades de controlo devem estar prontas a participar em operações conjuntas. A autoridade de controlo requerida é obrigada a responder ao pedido dentro de um determinado prazo.

Texto da Comissão

Alteração

(59) O Comité Europeu para a Proteção de Dados, instituído pelo Regulamento (UE) .../2012, deve contribuir para a aplicação coerente da presente diretiva no conjunto da União, nomeadamente no aconselhamento da Comissão e na promoção da cooperação das autoridades de controlo na União.

(59) O Comité Europeu para a Proteção de Dados, instituído pelo Regulamento (UE) .../2013, deve contribuir para a aplicação coerente da presente diretiva no conjunto da União, nomeadamente no aconselhamento das instituições da União e na promoção da cooperação das autoridades de controlo na União, e dar o seu parecer à Comissão no quadro da elaboração de atos delegados e de atos de execução com base na presente diretiva.

Texto da Comissão

Alteração

(61) Qualquer organismo, organização ou associação que vise proteger os direitos e interesses dos titulares de dados no que respeita à proteção dos dados que lhe digam respeito, e seja constituído(a) ao abrigo do direito de um Estado-Membro, deve ter o direito de apresentar aos tribunais queixa junto de uma autoridade de controlo ou de exercer o direito de recurso aos tribunais em nome das pessoas em causa, mediante mandato nesse sentido, ou de apresentar, independentemente da queixa apresentada pela pessoa em causa, uma queixa em seu próprio nome, sempre que considere ter ocorrido uma violação de dados pessoais.

(61) Qualquer organismo, organização ou associação que atue no interesse público e seja constituído(a) ao abrigo do direito de um Estado-Membro, deve ter o direito de apresentar aos tribunais queixa junto de uma autoridade de controlo ou de exercer o direito de recurso aos tribunais em nome das pessoas em causa, mediante mandato nesse sentido, ou de apresentar, independentemente da queixa apresentada pela pessoa em causa, uma queixa em seu próprio nome, sempre que considere ter ocorrido uma violação de dados pessoais.

Texto da Comissão

Alteração

(64) Qualquer dano de que uma pessoa possa ser vítima em resultado de um tratamento ilícito deve ser ressarcido pelo responsável pelo tratamento, ou pelo subcontratante, que no entanto pode ser exonerado da sua responsabilidade se provar que o facto causador do dano não lhe é imputável, nomeadamente se provar que o dano é imputável à pessoa em causa ou em caso de força maior.

(64) Qualquer dano, inclusive não pecuniário, de que uma pessoa possa ser vítima em resultado de um tratamento ilícito deve ser ressarcido pelo responsável pelo tratamento, ou pelo subcontratante, que no entanto pode ser exonerado da sua responsabilidade se provar que o facto causador do dano não lhe é imputável, nomeadamente se provar que o dano é imputável à pessoa em causa ou em caso de força maior.

Texto da Comissão

Alteração

(65-A) A transmissão de dados pessoais a outras autoridades ou a entidades privadas é proibida exceto se a transmissão estiver em conformidade com a legislação e o destinatário estiver estabelecido num Estado-Membro, não existirem interesses legítimos específicos do titular dos dados que impeçam a transmissão dos dados, a transmissão for necessária num caso específico para que o responsável pelo tratamento que efetua a transmissão dos dados pessoais possa assegurar o desempenho das funções que lhe incubem legitimamente ou para a prevenção de um perigo imediato e grave para a segurança pública ou de danos graves aos direitos dos indivíduos. O responsável pelo tratamento informa o destinatário sobre a finalidade do tratamento e a autoridade de controlo sobre a transmissão. O destinatário deve também ser informado sobre as restrições de tratamento e assegurar que estas sejam respeitadas.

Texto da Comissão

Alteração

(66) Por forma a cumprir os objetivos da presente diretiva, nomeadamente proteger os direitos e liberdades fundamentais das pessoas singulares e, em especial, o seu direito à proteção dos dados pessoais, e assegurar a livre circulação desses dados pelas autoridades competentes na União, o poder de adotar atos em conformidade com o artigo 290.º do Tratado sobre o Funcionamento da União Europeia deve ser delegado à Comissão. Em especial, devem ser adotados atos delegados em relação à notificação de violações de dados pessoais à autoridade controlo. É especialmente importante que a Comissão proceda a consultas adequadas ao longo dos seus trabalhos preparatórios, incluindo a nível de peritos. A Comissão, aquando da preparação e elaboração dos atos delegados, deve assegurar uma transmissão simultânea, em tempo útil e em devida forma, dos documentos relevantes ao Parlamento Europeu e ao Conselho.

(66) Por forma a cumprir os objetivos da presente diretiva, nomeadamente proteger os direitos e liberdades fundamentais das pessoas singulares e, em especial, o seu direito à proteção dos dados pessoais, e assegurar a livre circulação desses dados pelas autoridades competentes na União, o poder de adotar atos em conformidade com o artigo 290.º do Tratado sobre o Funcionamento da União Europeia deve ser delegado à Comissão. Em especial, devem ser adotados atos delegados a fim de especificar mais concretamente os critérios e as condições aplicáveis às operações de tratamento que requerem uma avaliação de impacto sobre a proteção de dados, e os critérios e requisitos aplicáveis às violações de dados e ao nível de proteção adequado assegurado por um país terceiro, um território ou um setor dentro desse país terceiro, ou uma organização internacional. É especialmente importante que a Comissão proceda a consultas adequadas ao longo dos seus trabalhos preparatórios, incluindo a nível de peritos e, em especial, com o Comité Europeu para a Proteção de Dados. Ao preparar e redigir atos delegados, a Comissão deverá assegurar a transmissão simultânea, atempada e adequada dos documentos relevantes ao Parlamento Europeu e ao Conselho.

Texto da Comissão

Alteração

(67) Por forma a assegurar condições uniformes para a execução da presente diretiva no que respeita à documentação mantida pelos responsáveis pelo tratamento e subcontratantes, à segurança do tratamento, designadamente em relação às normas de codificação, à notificação de uma violação de dados pessoais à autoridade de controlo, e ao nível de proteção adequado assegurado por um país terceiro, um território ou um setor dentro desse país terceiro, ou uma organização internacional, devem ser conferidas competências de execução à Comissão. Essas competências devem ser exercidas em conformidade com o Regulamento (UE) n.º 182/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os princípios gerais relativos aos mecanismos de controlo pelos Estados-Membros do exercício das competências de execução pela Comissão37.

(67) Por forma a assegurar condições uniformes para a execução da presente diretiva no que respeita à segurança do tratamento, designadamente em relação às normas de codificação e à notificação de uma violação de dados pessoais à autoridade de controlo, devem ser conferidas competências de execução à Comissão. Essas competências devem ser exercidas em conformidade com o Regulamento (UE) n.º 182/2011 do Parlamento Europeu e do Conselho37.

_____________

_______________

37 JO L 55, 28.2.2011, p. 13.

37 Regulamento (UE) n.º 182/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os princípios gerais relativos aos mecanismos de controlo pelos Estados-Membros do exercício das competências de execução pela Comissão (JO L 55 de 28.22011, p. 13).

Texto da Comissão

Alteração

(68) O procedimento de exame deve ser utilizado para a adoção de medidas relativas à documentação mantida pelos responsáveis pelo tratamento e subcontratantes, à segurança do tratamento, à notificação de uma violação de dados pessoais à autoridade de controlo, e ao nível de proteção adequado garantido por um país terceiro, um território ou um setor dentro desse país terceiro, ou uma organização internacional, uma vez que esses atos são de âmbito geral.

(68) O procedimento de exame deve ser utilizado para a adoção de medidas relativas à segurança do tratamento e à notificação de uma violação de dados pessoais à autoridade de controlo, uma vez que esses atos são de âmbito geral.

Texto da Comissão

Alteração

(69) A Comissão deve adotar atos de execução imediatamente aplicáveis quando, em casos devidamente fundamentados relacionados com um país terceiro, um território ou um setor de tratamento de dados nesse país terceiro, ou uma organização internacional, que não assegure um nível de proteção adequado, imperativos urgentes assim o exijam.

Suprimido

Texto da Comissão

Alteração

(70) Dado que os objetivos da presente diretiva, nomeadamente proteger os direitos e liberdades fundamentais das pessoas singulares e, em especial, o seu direito à proteção de dados pessoais, e assegurar o livre intercâmbio desses dados pelas autoridades competentes na União Europeia, não podem ser suficientemente realizados pelos Estados-Membros e podem pois, em razão da dimensão e dos efeitos da ação, ser melhor realizados a nível da União, esta última pode tomar medidas, em conformidade com o princípio da subsidiariedade consagrado no artigo 5.º do Tratado da União Europeia. Em conformidade com o princípio da proporcionalidade consagrado no mesmo artigo, a presente diretiva não excede o necessário para atingir esse objetivo.

(70) Dado que os objetivos da presente diretiva, nomeadamente proteger os direitos e liberdades fundamentais das pessoas singulares e, em especial, o seu direito à proteção dos seus dados pessoais, e assegurar o livre intercâmbio desses dados pelas autoridades competentes na União Europeia, não podem ser suficientemente realizados pelos Estados-Membros, podendo contudo, em razão da dimensão e dos efeitos da ação, ser melhor realizados a nível da União, esta última pode tomar medidas, em conformidade com o princípio da subsidiariedade consagrado no artigo 5.º do Tratado da União Europeia. Em conformidade com o princípio de proporcionalidade consagrado no mesmo artigo, a presente directiva não excede o necessário para atingir esses objectivos. Os Estados-Membros podem prever normas mais estritas do que as estabelecidas pela presente diretiva.

Texto da Comissão

Alteração

(72) As disposições específicas no que respeita ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção, repressão de infrações penais ou de execução de sanções penais, mencionadas nos atos da União adotados antes da data de adoção da presente diretiva, que regulem o tratamento de dados pessoais entre Estados-Membros ou o acesso das autoridades designadas dos Estados-Membros aos sistemas de informação criados nos termos de Tratados, mantêm-se inalteradas. A Comissão deverá examinar a situação quanto à relação entre a presente diretiva e os atos adotados anteriormente à adoção da presente diretiva que regulem o tratamento de dados pessoais entre Estados-Membros ou o acesso de autoridades designadas dos Estados-Membros a sistemas de informação criados por força dos Tratados, a fim de avaliar a necessidade de harmonização dessas disposições específicas com a presente diretiva.

(72) As disposições específicas no que respeita ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção, repressão de infrações penais ou de execução de sanções penais, mencionadas nos atos da União adotados antes da data de adoção da presente diretiva, que regulem o tratamento de dados pessoais entre Estados-Membros ou o acesso das autoridades designadas dos Estados-Membros aos sistemas de informação criados nos termos de Tratados, mantêm-se inalteradas. Dado que o artigo 8.º da Carta dos Direitos Fundamentais e o artigo 16.º, n.º 2, do TFUE implicam que o direito fundamental à proteção de dados pessoais deve ser garantido de forma coerente e homogénea em toda a UE, a Comissão deverá, num prazo de dois anos após a entrada em vigor da presente diretiva, examinar a situação quanto à relação entre a presente diretiva e os atos adotados anteriormente à adoção da presente diretiva que regulem o tratamento de dados pessoais entre Estados-Membros ou o acesso de autoridades designadas dos Estados-Membros a sistemas de informação criados por força dos Tratados e apresentar propostas adequadas com vista a assegurar regras jurídicas coerentes e homogéneas relacionadas com o tratamento de dados pessoais pelas autoridades competentes ou o acesso das autoridades dos Estados-Membros designadas aos sistemas informáticos criados por força dos Tratados, bem como o tratamento de dados pessoais pelas instituições, pelos órgãos, pelos organismos e pelas agências da União, para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais no âmbito da presente diretiva.

Texto da Comissão

Alteração

(73) A fim de assegurar uma proteção global e coerente dos dados pessoais na União, os acordos internacionais celebrados pelos Estados-Membros anteriormente à entrada em vigor da presente diretiva devem ser alterados em conformidade com a presente diretiva.

(73) A fim de assegurar uma proteção global e coerente dos dados pessoais na União, os acordos internacionais celebrados pela União ou pelos Estados-Membros anteriormente à entrada em vigor da presente diretiva devem ser alterados em conformidade com a presente diretiva.

Texto da Comissão

Alteração

(76) Nos termos dos artigos 2.º e 2.º-A do Protocolo relativo à posição da Dinamarca, anexo ao Tratado da União Europeia e ao Tratado sobre o Funcionamento da União Europeia, a Dinamarca não fica vinculada nem sujeita à aplicação da pela presente diretiva. Uma vez que da presente diretiva desenvolve o acervo de Schengen, por força do disposto no Título V, Parte III, do Tratado sobre o Funcionamento da União Europeia, a Dinamarca decidirá, nos termos do artigo 4.º do referido Protocolo, no prazo de seis meses a contar da data de adoção da presente diretiva, se procederá à transposição da diretiva para o seu direito nacional.

(76) Nos termos dos artigos 2.º e 2.º-A do Protocolo relativo à posição da Dinamarca, anexo ao Tratado da União Europeia e ao Tratado sobre o Funcionamento da União Europeia, a Dinamarca não fica vinculada nem sujeita à aplicação da pela presente diretiva.

Texto da Comissão

Alteração

Objeto e objetivos

Objeto e objetivos

1. A presente diretiva estabelece as regras relativas à proteção das pessoas quanto ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção, repressão de infrações penais ou de execução de sanções penais.

1. A presente diretiva estabelece as regras relativas à proteção das pessoas quanto ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção, repressão de infrações penais e execução de sanções penais, bem como as condições relativas à livre circulação desses dados.

2. Em conformidade com a presente diretiva, os Estados-Membros devem assegurar:

2. Em conformidade com a presente diretiva, os Estados-Membros devem assegurar:

(a) A proteção dos direitos e das liberdades fundamentais das pessoas singulares e, em especial, o seu direito à proteção dos dados pessoais; e

(a) A proteção dos direitos e das liberdades fundamentais das pessoas singulares e, em especial, o seu direito à proteção dos seus dados pessoais e da sua privacidade; e

(b) Que o intercâmbio de dados pessoais pelas autoridades competentes da União não seja restringido nem proibido por razões relacionadas com a proteção das pessoas singulares no que respeita ao tratamento de dados pessoais.

(b) Que o intercâmbio de dados pessoais pelas autoridades competentes da União não seja restringido nem proibido por razões relacionadas com a proteção das pessoas singulares no que respeita ao tratamento de dados pessoais.

2-A. A presente diretiva não impede os Estados-Membros de preverem garantias mais alargadas do que as que nela são estabelecidas.

Texto da Comissão

Alteração

Âmbito de aplicação

Âmbito de aplicação

1. A presente diretiva aplica-se ao tratamento de dados pessoais pelas autoridades competentes para os efeitos referidos no artigo 1.º, n.º 1.

1. A presente diretiva aplica-se ao tratamento de dados pessoais pelas autoridades competentes para os efeitos referidos no artigo 1.º, n.º 1.

2. A presente diretiva aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos num ficheiro ou a ele destinados.

2. A presente diretiva aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos num ficheiro ou a ele destinados.

3. A presente diretiva não se aplica ao tratamento de dados pessoais:

3. A presente diretiva não se aplica ao tratamento de dados pessoais

(a) Efetuado no exercício de atividades não sujeitas à aplicação do direito da União, nomeadamente no que se refere à segurança nacional;

efetuado no exercício de atividades não sujeitas à aplicação do direito da União.

(b) Efetuado pelas instituições, organismos, serviços e agências da União.

Texto da Comissão

Alteração

Definições

Definições

Para efeitos da presente diretiva, entende-se por:

Para efeitos da presente diretiva, entende-se por:

(1) «Titular de dados», uma pessoa singular identificada ou identificável, direta ou indiretamente, por meios com razoável probabilidade de serem utilizados pelo responsável pelo tratamento ou por qualquer outra pessoa singular ou coletiva, nomeadamente por referência a um número de identificação, a dados de localização, a um identificador em linha ou a um ou mais elementos específicos próprios à sua identidade física, fisiológica, genética, psíquica, económica, cultural ou social;

(2) «Dados pessoais», qualquer informação relativa a um titular de dados;

(2) «Dados pessoais», qualquer informação relativa a uma pessoa singular identificada ou identificável («titular de dados»). É considerada identificável a pessoa que possa ser identificada, direta ou indiretamente, nomeadamente por referência a um identificador, tal como o nome, um número de identificação, dados de localização, um identificador único, ou a um ou mais elementos específicos da identidade física, fisiológica, genética, psíquica, económica, cultural, social ou de género dessa pessoa;

(2-A) «Dados sob pseudónimo», os dados pessoais que não possam ser atribuídos a um titular de dados específico sem recorrer a informações adicionais, enquanto essas informações adicionais forem mantidas separadamente e sujeitas a medidas técnicas e organizativas para garantir essa impossibilidade de atribuição;

(3) «Tratamento de dados pessoais», qualquer operação ou conjunto de operações efetuadas sobre dados pessoais, com ou sem meios automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou a alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, o apagamento ou a destruição;

(3) «Tratamento de dados pessoais», qualquer operação ou conjunto de operações efetuadas sobre dados pessoais, com ou sem meios automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou a alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, o apagamento ou a destruição;

(3-A) «Definição de perfis», qualquer forma de tratamento automatizado de dados pessoais destinado a avaliar determinados aspetos pessoais relativos a uma pessoa singular ou a analisar ou prever em particular o seu desempenho profissional, a sua situação económica, localização, saúde, preferências pessoais, fiabilidade ou comportamento;

(4) «Limitação do tratamento», a inserção de uma marca nos dados pessoais conservados com o objetivo de limitar o seu tratamento no futuro;

(4) «Limitação do tratamento», a inserção de uma marca nos dados pessoais conservados com o objetivo de limitar o seu tratamento no futuro;

(5) «Ficheiro», qualquer conjunto estruturado de dados pessoais, acessível segundo critérios específicos, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico;

(5) «Ficheiro», qualquer conjunto estruturado de dados pessoais, acessível segundo critérios específicos, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico;

(6) «Responsável pelo tratamento», a autoridade pública competente que, por si ou em conjunto, determina as finalidades, as condições e os meios de tratamento de dados pessoais; sempre que as finalidades, as condições e os meios de tratamento sejam determinados pelo direito da União ou pela legislação dos Estados Membros, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser indicados pelo direito da União ou pela legislação de um Estado-Membro;

(6) «Responsável pelo tratamento», a autoridade pública competente que, por si ou em conjunto, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios de tratamento sejam determinados pelo direito da União ou pela legislação dos Estados Membros, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser indicados pelo direito da União ou pela legislação de um Estado-Membro;

(7) «Subcontratante», a pessoa singular ou coletiva, a autoridade pública, serviço ou qualquer outro organismo que trata dados pessoais por conta do responsável pelo tratamento;

(7) «Subcontratante», a pessoa singular ou coletiva, a autoridade pública, serviço ou qualquer outro organismo que trata dados pessoais por conta do responsável pelo tratamento;

(8) «Destinatário», a pessoa singular ou coletiva, a autoridade pública, o serviço ou qualquer outro organismo que receba comunicações de dados pessoais;

(8) «Destinatário», a pessoa singular ou coletiva, a autoridade pública, o serviço ou qualquer outro organismo que receba comunicações de dados pessoais;

(9) «Violação de dados pessoais», uma violação da segurança que provoca, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação, ou o acesso, não autorizados, de dados pessoais transmitidos, conservados ou tratados de outro modo;

(9) «Violação de dados pessoais», a destruição, a perda, a alteração, de modo acidental ou ilícito, a divulgação, ou o acesso, não autorizados, de dados pessoais transmitidos, conservados ou tratados de outro modo;

(10) «Dados genéticos», todos os dados, independentemente do tipo, relacionados com as características de uma pessoa singular que são hereditárias ou adquiridas numa fase precoce do seu desenvolvimento pré-natal;

(10) «Dados genéticos», todos os dados, independentemente do tipo, relacionados com as características de uma pessoa singular que são hereditárias ou adquiridas numa fase precoce do seu desenvolvimento pré-natal;

(11) «Dados biométricos», quaisquer dados relativos às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam a sua identificação única, nomeadamente imagens faciais ou dados dactiloscópicos;

(11) «Dados biométricos», quaisquer dados pessoais relativos às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam a sua identificação única, nomeadamente imagens faciais ou dados dactiloscópicos;

(12) «Dados relativos à saúde», quaisquer informações relacionadas com a saúde física ou psíquica de uma pessoa singular, ou com a prestação de serviços de saúde a essa pessoa;

(12) «Dados relativos à saúde», quaisquer dados pessoais relacionados com a saúde física ou psíquica de uma pessoa singular, ou com a prestação de serviços de saúde a essa pessoa;

(13) «Criança», qualquer pessoa com menos de 18 anos;

(13) «Criança», qualquer pessoa com menos de 18 anos;

(14) «Autoridades competentes», qualquer autoridade pública competente para efeitos de prevenção, investigação, deteção e repressão de infrações penais, ou de execução de sanções penais;

(14) «Autoridades competentes», qualquer autoridade pública competente para efeitos de prevenção, investigação, deteção e repressão de infrações penais, ou de execução de sanções penais;

(15) «Autoridade de controlo», a autoridade pública instituída por um Estado-Membro nos termos do artigo 39.º.

(15) «Autoridade de controlo», a autoridade pública instituída por um Estado-Membro nos termos do artigo 39.º.

Texto da Comissão

Alteração

Princípios relativos ao tratamento de dados pessoais

Princípios relativos ao tratamento de dados pessoais

Os Estados-Membros devem prever que os dados pessoais serão:

Os Estados-Membros devem prever que os dados pessoais serão:

(a) Objeto de um tratamento leal e lícito;

(a) Objeto de um tratamento lícito, leal, transparente e verificável em relação ao titular dos dados;

(b) Recolhidos para finalidades determinadas, explícitas e legítimas e não ser posteriormente tratados de forma incompatível com essas finalidades;

(b) Recolhidos para finalidades determinadas, explícitas e legítimas e não ser posteriormente tratados de forma incompatível com essas finalidades;

(c) Adequados, pertinentes e limitados ao mínimo necessário relativamente às finalidades para que são tratados;

(c) Adequados, pertinentes e limitados ao mínimo necessário relativamente às finalidades para que são tratados; apenas devem ser tratados se e desde que as finalidades não possam ser alcançadas através do tratamento de informações que não envolvam dados pessoais;

(d) Exatos e, se necessário, atualizados; devem ser adotadas todas as medidas razoáveis para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora;

(d) Exatos e atualizados; devem ser adotadas todas as medidas razoáveis para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora;

(e) Conservados de forma a permitir a identificação dos titulares de dados apenas durante o período necessário para a prossecução das finalidades para que são tratados;

(e) Conservados de forma a permitir a identificação dos titulares de dados apenas durante o período necessário para a prossecução das finalidades para que são tratados;

(f) Tratados sob a autoridade e responsabilidade do responsável pelo tratamento, que deve assegurar a conformidade com as disposições adotadas por força da presente diretiva.

(f) Tratados sob a autoridade e responsabilidade do responsável pelo tratamento, que deve assegurar e estar em condições de demonstrar a conformidade com as disposições adotadas por força da presente diretiva.

(f-A) Tratados de modo a permitir efetivamente ao titular dos dados o exercício dos seus direitos descritos nos artigos 10.º a 17.º;

(f-B) Tratados de modo a proteger contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando medidas técnicas ou organizativas adequadas;

(f-C) Tratados apenas por pessoal devidamente autorizado das autoridades competentes que deles necessitam para o exercício das suas funções.

Texto da Comissão

Alteração

Artigo 4.º-A

Acesso aos dados pessoais tratados inicialmente para efeitos que não os referidos no artigo 1.º, n.º 1

1. Os Estados-Membros determinam que as autoridades competentes só podem ter acesso a dados pessoais inicialmente tratados para finalidades que não as referidas no artigo 1.º, n.º 1, se elas forem especificamente autorizadas pelo direito da União ou dos Estados-Membros, que deve cumprir os requisitos previstos no artigo 7.º, n.º 1-A e determinar que:

(a) Só é autorizado o acesso a pessoal devidamente autorizado das autoridades competentes no exercício das suas funções quando, num caso específico, houver motivos razoáveis para pensar que o tratamento de dados pessoais irá contribuir substancialmente para a prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais;

(b) Os pedidos de acesso têm de ser feitos por escrito e mencionar o motivo legal para o pedido;

(c) O pedido por escrito deve estar documentado; e

(d) Forem estabelecidas garantias adequadas para assegurar a proteção dos direitos e liberdades fundamentais relativamente ao tratamento de dados pessoais. Essas garantias não prejudicam e complementam as condições específicas de acesso aos dados pessoais, como a autorização judicial em conformidade com a legislação do Estado-Membro.

2. Deverá aceder-se aos dados pessoais detidos por privados ou outras autoridades públicas apenas para fins de investigação ou sanção de infrações penais de acordo com os requisitos da necessidade e da proporcionalidade a definir pelo direito da União e por cada Estado-Membro no respetivo direito nacional, no pleno respeito do artigo 7.º-A;

Texto da Comissão

Alteração

Artigo 4.º-B

Prazos para a conservação e revisão

1. Os Estados-Membros tomam providências para que os dados pessoais tratados nos termos da presente diretiva sejam apagados pelas autoridades competentes quando já não forem necessários para as finalidades para que foram tratados.

2. Os Estados-Membros tomam providências para que a autoridade competente crie mecanismos que assegurem a fixação de prazos, nos termos do artigo 4.º, para o apagamento de dados pessoais e para a revisão periódica da necessidade de conservação dos dados, incluindo períodos de conservação fixos para as diferentes categorias de dados pessoais. Serão adotadas medidas processuais para assegurar o respeito dos prazos estipulados e dos intervalos da revisão periódica.

Texto da Comissão

Alteração

Distinção entre diferentes categorias de titulares de dados

Diferentes categorias de titulares de dados

1. Os Estados-Membros devem prever que o responsável pelo tratamento estabeleça, na medida do possível, uma distinção clara entre os dados pessoais de diferentes categorias de titulares de dados, tais como:

1. Os Estados-Membros devem prever que as autoridades competentes, para os fins referidos no artigo 1.º, n.º 1, possam proceder ao tratamento dos dados pessoais das seguintes diferentes categorias de titulares de dados e o responsável pelo tratamento deve estabelecer uma distinção clara entre essas categorias:

(a) Pessoas relativamente às quais existam motivos fundados para crer que cometeram ou vão cometer uma infração penal;

(a) Pessoas relativamente às quais existam motivos razoáveis para crer que cometeram ou vão cometer uma infração penal;

(b) Pessoas condenadas por uma infração penal;

(b) Pessoas condenadas por um crime;

(c) Vítimas de uma infração penal ou pessoas relativamente às quais certos factos levam a crer que podem vir a ser vítimas de uma infração penal;

(c) Vítimas de uma infração penal ou pessoas relativamente às quais certos factos levam a crer que podem vir a ser vítimas de uma infração penal; e

(d) Terceiros envolvidos numa infração penal, designadamente pessoas suscetíveis de serem chamadas a testemunhar em investigações penais relacionadas com a infrações penais, ou em processos penais subsequentes, ou uma pessoa que possa fornecer informações sobre infrações penais, ou um contacto ou associado de uma das pessoas mencionadas nas alíneas a) e b); e

(d) Terceiros envolvidos numa infração penal, designadamente pessoas suscetíveis de serem chamadas a testemunhar em investigações relacionadas com infrações penais ou em processos penais subsequentes ou uma pessoa que possa prestar informações sobre infrações penais ou um contacto ou associado de uma das pessoas mencionadas nas alíneas a) e b);

(e) Pessoas não abrangidas por qualquer das categorias acima referidas.

2. Os dados pessoais de outros titulares de dados que não os referidos no n.º 1 só podem ser objeto de tratamento:

(a) Pelo período de tempo necessário à investigação ou ao processo judicial de uma infração penal específica, tendo em vista avaliar a relevância dos dados para uma das categorias indicadas no n.º 1; ou

(b) Se esse tratamento for indispensável para fins específicos e preventivos ou para fins de análise criminal, caso e na medida em que esse propósito seja legítimo, bem definido e específico, e o tratamento se limite rigorosamente a avaliar a relevância dos dados para uma das categorias indicadas no n.º 1. Este aspeto é objeto de revisão periódica no mínimo de seis em seis meses É proibida qualquer outra utilização.

3. Os Estados-Membros devem prever que se apliquem ao tratamento de dados pessoais relativos aos titulares dos dados referidos no n.º 1, alíneas c) e d) limitações e garantias adicionais, de acordo com a legislação dos Estados-Membros.

Texto da Comissão

Alteração

Níveis diferentes de exatidão e de fiabilidade de dados pessoais

Níveis diferentes de exatidão e de fiabilidade de dados pessoais

1. Os Estados-Membros devem assegurar que seja estabelecida uma distinção, na medida do possível, entre as diferentes categorias de dados pessoais objeto de tratamento, em função do seu nível de precisão e de fiabilidade.

1. Os Estados-Membros devem prever que a exatidão e a fiabilidade dos dados pessoais objeto de tratamento sejam asseguradas.

2. Os Estados-Membros devem assegurar que os dados pessoais baseados em factos sejam, na medida do possível, distinguidos dos dados pessoais baseados em apreciações pessoais.

2. Os Estados-Membros devem assegurar que os dados pessoais baseados em factos sejam distinguidos dos dados pessoais baseados em apreciações pessoais, em função do seu nível de exatidão e de fiabilidade.

2-A. Os Estados-Membros devem assegurar que os dados pessoais incorretos, incompletos ou desatualizados não sejam transmitidos nem disponibilizados. Para este efeito, as autoridades competentes devem avaliar a qualidade desses dados antes de os transmitirem ou disponibilizarem. Assim, em todas as transmissões de dados, devem ser fornecidas, na medida do possível, as informações disponíveis para que o Estado-Membro que as recebe possa apreciar até que ponto os dados são precisos, completos, atuais ou fiáveis. Os dados pessoais não devem ser transmitidos sem pedido prévio por parte de uma autoridade competente, em particular os dados originalmente detidos por privados.

2-B. Quando se verifique que foram transmitidos dados inexatos ou que foram transmitidos dados indevidamente, o destinatário deve ser imediatamente informado. O destinatário tem o dever de corrigir imediatamente os dados, nos termos do artigo 15.º, n.º 1, ou de os apagar, nos termos do artigo 16.º.

Texto da Comissão

Alteração

Licitude do tratamento

Licitude do tratamento

Os Estados-Membros devem prever que o tratamento de dados pessoais só é lícito se e na medida em que for necessário para:

1. Os Estados-Membros devem prever que o tratamento de dados pessoais só é lícito se e na medida em que se basear na legislação da União ou dos Estados-Membros tendo em vista as finalidades enunciadas no artigo 1.º, n.º 1, e for necessário para:

(a) O exercício de uma função pela autoridade competente, por força da legislação, tendo em vista as finalidades enunciadas no artigo 1.º, n.º 1; ou

(a) O exercício de uma função pela autoridade competente; ou

(b) O respeito de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito; ou

(c) A proteção dos interesses vitais do titular de dados ou de um terceiro; ou

(c) A proteção dos interesses vitais do titular de dados ou de um terceiro; ou

(d) A prevenção de uma ameaça grave e imediata para a segurança pública.

(d) A prevenção de uma ameaça grave e imediata para a segurança pública.

1-A. A legislação dos Estados-Membros que rege o tratamento de dados pessoais no âmbito da presente diretiva deve conter disposições explícitas e pormenorizadas que especifiquem, pelo menos:

(a) Os objetivos do tratamento;

(b) Os dados pessoais a tratar;

(c) As finalidades e meios específicos de tratamento;

(d) A nomeação do responsável pelo tratamento dos dados ou os critérios específicos para a sua nomeação;

(e) As categorias do pessoal devidamente autorizado das autoridades competentes para o tratamento de dados pessoais;

(f) O procedimento a seguir para o tratamento;

(g) A utilização que pode ser dada aos dados pessoais recolhidos;

(h) As limitações do âmbito de qualquer discrição atribuída às autoridades competentes relativamente às atividades de tratamento.

Texto da Comissão

Alteração

Artigo 7.°-A

Tratamento posterior para finalidades incompatíveis

1. Os Estados-Membros devem prever que os dados pessoais só podem ser tratados para outras finalidades referidas no artigo 1.º, n.º 1, que não sejam compatíveis com as finalidades para que foram recolhidos inicialmente se e na medida em que:

(a) O tratamento seja estritamente necessário e proporcionado numa sociedade democrática e exigido pela legislação da União ou dos Estados-Membros, para um propósito legítimo, bem definido e específico;

(b) O tratamento seja estritamente limitado a um período não superior ao tempo necessário à operação específica de tratamento de dados;

(c) Seja proibida qualquer utilização adicional para outros fins.

Antes de qualquer tratamento, o Estado-Membro deve consultar a autoridade responsável pela proteção de dados e proceder a uma avaliação de impacto nesta matéria.

2. Além dos requisitos previstos no artigo 7.º, n.º 1-A, a legislação dos Estados-Membros que autoriza outro tratamento, como refere o n.º 1, deve conter disposições explícitas e pormenorizadas que especifiquem, pelo menos:

(a) As finalidades e os meios específicos desse tratamento específico;

(b) Que só é autorizado o acesso a pessoal devidamente autorizado das autoridades competentes no exercício das suas funções quando, num caso específico, houver motivos razoáveis para pensar que o tratamento de dados pessoais irá contribuir substancialmente para a prevenção, investigação, deteção e repressão de infrações penais ou a para a execução de sanções penais; e

(c) Que são dadas garantias adequadas para assegurar a proteção dos direitos e das liberdades fundamentais relativamente ao tratamento de dados pessoais.

Os Estados-Membros podem exigir que o acesso aos dados pessoais seja subordinado a condições adicionais como, por exemplo, uma autorização judicial, em conformidade com a respetiva legislação nacional.

3. Os Estados-Membros também podem autorizar outro tratamento de dados pessoais para finalidades históricas, estatísticas ou científicas desde que criem garantias adequadas, como a anonimização dos dados.

Texto da Comissão

Alteração

Tratamento de categorias especiais de dados pessoais

Tratamento de categorias especiais de dados pessoais

1. Os Estados-Membros devem proibir o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical, bem como o tratamento de dados genéticos ou dados relativos à saúde ou à situação médica ou à orientação sexual.

1. Os Estados-Membros devem proibir o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a orientação sexual ou a identidade de género, a filiação sindical ou as atividades sindicais, bem como o tratamento de dados biométricos ou dados relativos à saúde ou à situação médica ou à orientação sexual.

2. O n.º 1 não se aplica sempre que:

2. O n.º 1 não se aplica sempre que:

(a) O tratamento for autorizado por uma legislação que preveja garantias adequadas; ou

(a) O tratamento for estritamente necessário e proporcionado para o exercício de uma missão efetuada pelas autoridades competentes para as finalidades enunciadas no artigo 1.º, n.º 1, com base na legislação da União ou dos Estados-Membros que deve prever medidas adequadas e específicas que garantam os interesses legítimos do titular de dados, incluindo uma autorização judicial específica, se exigido pela legislação nacional; ou

(b) O tratamento for necessário para a proteção dos interesses vitais do titular de dados ou de um terceiro; ou

(b) O tratamento for necessário para a proteção dos interesses vitais do titular de dados ou de um terceiro; ou

(c) O tratamento estiver relacionado com dados manifestamente tornados públicos pelo seu titular.

(c) O tratamento estiver relacionado com dados manifestamente tornados públicos pelo seu titular, desde que os mesmos sejam pertinentes e estritamente necessários para a finalidade pretendida num caso específico.

Texto da Comissão

Alteração

Artigo 8.º-A

Tratamento de dados genéticos para uma investigação criminal ou um processo judicial

1. Os Estados-Membros devem assegurar que os dados genéticos só podem ser usados para estabelecer uma ligação genética no âmbito da obtenção de provas, para neutralizar uma ameaça à segurança pública ou impedir que seja cometida uma infração criminal específica. Os dados genéticos não podem ser usados para determinar outras características que possam ser objeto de uma ligação genética.

2. Os Estados-Membros devem assegurar que os dados genéticos ou as informações resultantes da sua análise só podem ser conservados durante o tempo necessário para os fins do seu tratamento e quando o individuo em questão tiver sido condenado por delitos graves contra a vida, integridade ou segurança de pessoas, sendo isto subordinado a períodos de conservação rigorosos a determinar pela legislação dos Estados-Membros.

3. Os Estados-Membros devem assegurar que os dados genéticos ou as informações resultantes da sua análise só podem ser conservados por períodos maiores quando os dados genéticos não puderem ser associados a um indivíduo, em particular, se forem recolhidos no local do crime.

Texto da Comissão

Alteração

Medidas baseadas na definição de perfis e no tratamento automatizado

Medidas baseadas na definição de perfis e no tratamento automatizado

1. Os Estados-Membros devem prever a proibição de medidas que produzam efeitos adversos na esfera jurídica do titular de dados ou que o afetem de modo significativo e que se baseiem unicamente no tratamento automatizado de dados pessoais destinado a avaliar determinados aspetos próprios dessa pessoa, salvo se forem autorizadas por uma lei que preveja igualmente medidas destinadas a assegurar os interesses legítimos do titular de dados.

1. Os Estados-Membros devem prever a proibição de medidas que produzam efeitos na esfera jurídica do titular de dados ou que o afetem de modo significativo e que se baseiem parcial ou totalmente no tratamento automatizado de dados pessoais destinado a avaliar determinados aspetos próprios dessa pessoa, salvo se forem autorizadas por uma lei que preveja igualmente medidas destinadas a assegurar os interesses legítimos do titular de dados.

2. O tratamento automatizado dos dados pessoais destinado a avaliar determinados aspetos pessoais próprios ao titular de dados não se deve basear exclusivamente nas categorias especiais de dados pessoais referidas no artigo 8.º.

2. O tratamento automatizado dos dados pessoais destinado a avaliar determinados aspetos pessoais próprios ao titular de dados não se deve basear nas categorias especiais de dados pessoais referidas no artigo 8.º.

2-A. O tratamento automatizado dos dados pessoais destinado a identificar um titular de dados sem uma suspeita inicial de que o titular de dados tenha cometido ou venha a cometer um crime apenas será legal se e na medida em que for estritamente necessário à investigação de um crime grave ou à prevenção de um perigo claro e iminente, estabelecido com base em indícios factuais, à segurança pública, à existência do Estado ou à vida de pessoas.

2-B. É proibida em todos os casos a definição de perfis que, de forma intencional ou não, tenha por efeito a discriminação contra pessoas singulares em função da origem racial ou étnica, de opiniões políticas, da religião ou de convicções, da filiação sindical ou da orientação sexual ou de género, ou que, de forma intencional ou não, conduza a medidas que tenham tais efeitos.

Texto da Comissão

Alteração

Artigo 9.º-A

Princípios gerais dos direitos do titular dos dados.

1. Os Estados-Membros devem assegurar que a base da proteção de dados seja clara e preveja direitos claros para o titular de dados, que devem ser respeitados pelo responsável pelo tratamento. As disposições da presente diretiva visam reforçar, esclarecer, garantir e, quando adequado, codificar esses direitos.

2. Os Estados-membros devem assegurar que esses direitos incluam, entre outros, o fornecimento de informações claras e de fácil compreensão no tocante ao tratamento dos dados pessoais do titular, o direito de acesso, retificação e apagamento dos seus dados, o direito de obtenção de dados, o direito de apresentar queixa junto da autoridade competente para a proteção de dados e o direito de instaurar processos judiciais, bem como o direito a indemnização por danos em resultado de um tratamento ilícito. Esses direitos devem, em geral, ser exercidos a título gratuito. O responsável pelo tratamento deve responder aos pedidos do titular de dados num prazo razoável.

Texto da Comissão

Alteração

Modalidades de exercício dos direitos do titular dos dados

Modalidades de exercício dos direitos do titular dos dados

1. Os Estados-Membros devem prever que o responsável pelo tratamento adote todas as medidas razoáveis a fim de aplicar regras internas transparentes e facilmente acessíveis no que diz respeito ao tratamento de dados pessoais, tendo em vista o exercício dos direitos pelos titulares de dados.

1. Os Estados-Membros devem prever que o responsável pelo tratamento aplique regras internas concisas, transparentes, claras e facilmente acessíveis no que diz respeito ao tratamento de dados pessoais, tendo em vista o exercício dos direitos pelo titular de dados.

2. Os Estados-Membros devem prever que o responsável pelo tratamento faculte todas as informações e comunicações relativas ao tratamento de dados pessoais ao titular de dados de uma forma inteligível e numa linguagem clara e simples.

2. Os Estados-Membros devem prever que o responsável pelo tratamento faculte todas as informações e comunicações relativas ao tratamento de dados pessoais ao titular de dados de uma forma inteligível e numa linguagem clara e simples, em particular, quando as informações são dirigidas especificamente a uma criança.

3. Os Estados-Membros devem prever que o responsável pelo tratamento adote todas as medidas razoáveis para estabelecer os procedimentos de informação referidos no artigo 11.º e os procedimentos para o exercício dos direitos pelos titulares de dados referidos nos artigos 12.º a 17.º.

3. Os Estados-Membros devem prever que o responsável pelo tratamento estabeleça os procedimentos de informação referidos no artigo 11.º e os procedimentos para o exercício dos direitos pelo titular de dados referidos nos artigos 12.º a 17.º. Sempre que os dados pessoais forem objeto de tratamento automatizado, o responsável pelo tratamento deve prever meios para a apresentação de pedidos por via eletrónica.

4. Os Estados-Membros devem prever que o responsável pelo tratamento informe, sem demora injustificada, o titular de dados do seguimento dado ao seu pedido.

4. Os Estados-Membros devem prever que o responsável pelo tratamento informe, sem demora, o titular de dados do seguimento dado ao seu pedido e, em todo o caso, o mais tardar, no prazo de um mês a contar da data de receção do pedido. As informações devem revestir a forma escrita. Sempre que o titular dos direitos apresentar o pedido por via eletrónica, a informação deve ser fornecida por meios eletrónicos.

5. Os Estados-Membros devem prever que as informações e eventuais medidas adotadas pelo responsável pelo tratamento na sequência de um pedido previsto nos n.os 3 e 4 sejam gratuitas. Sempre que os pedidos sejam abusivos, particularmente devido ao seu caráter repetitivo, ou à dimensão ou volume do pedido, o responsável pelo tratamento pode exigir o pagamento de uma taxa pela prestação de informações ou adoção da medida solicitada, ou pode abster-se de a adotar. Neste caso, incumbe ao responsável pelo tratamento provar o caráter abusivo do pedido.

5. Os Estados-Membros devem prever que as informações e eventuais medidas adotadas pelo responsável pelo tratamento na sequência de um pedido previsto nos n.os 3 e 4 sejam gratuitas. Sempre que os pedidos sejam manifestamente excessivos, particularmente devido ao seu caráter repetitivo, o responsável pelo tratamento pode exigir o pagamento de uma taxa razoável, tendo em conta os custos administrativos pela prestação de informações ou adoção da medida solicitada. Nesse caso, incumbe ao responsável pelo tratamento provar o caráter manifestamente excessivo do pedido.

5-A. Os Estados-Membros devem prever que o titular dos dados possa invocar os seus direitos diretamente junto do responsável pelo tratamento ou através da autoridade nacional de controlo competente. Se atuar a pedido do titular de dados, a autoridade de controlo deve informar o mesmo das verificações efetuadas.

Texto da Comissão

Alteração

Informação do titular dos dados

Informação do titular dos dados

1. Sempre que os dados pessoais de uma pessoa forem recolhidos, os Estados-Membros devem assegurar que o responsável pelo tratamento adote todas as medidas adequadas para fornecer ao titular dos dados pelo menos as seguintes informações:

1. Sempre que os dados pessoais de uma pessoa forem recolhidos, os Estados-Membros devem assegurar que o responsável pelo tratamento forneça ao titular dos dados pelo menos as seguintes informações:

(a) Identidade e contactos do responsável pelo tratamento e do delegado para a proteção de dados;

(a) Identidade e contactos do responsável pelo tratamento e do delegado para a proteção de dados;

(b) Finalidades do tratamento a que os dados pessoais se destinam;

(b) Base jurídica e finalidades do tratamento a que os dados pessoais se destinam;

(c) Período de conservação dos dados pessoais;

(c) Período de conservação dos dados pessoais;

(d) Existência do direito de solicitar ao responsável pelo tratamento o acesso aos dados pessoais que lhe digam respeito, e a sua retificação ou apagamento, ou a limitação do seu tratamento;

(d) Existência do direito de solicitar ao responsável pelo tratamento o acesso aos dados pessoais que lhe digam respeito, e a sua retificação ou apagamento, ou a limitação do seu tratamento;

(e) Direito de apresentar uma queixa à autoridade de controlo referida no artigo 39.º, e de obter os contactos desta autoridade;

(e) Direito de apresentar uma queixa à autoridade de controlo referida no artigo 39.º, e de obter os contactos desta autoridade;

(f) Destinatários ou categorias de destinatários dos dados pessoais, incluindo nos países terceiros ou a nível das organizações internacionais;

(f) Destinatários dos dados pessoais, incluindo nos países terceiros ou a nível das organizações internacionais, e que estão autorizados a ter acesso a esses dados ao abrigo da legislação do país terceiro ou da regulamentação da organização internacional, a existência ou ausência de uma decisão de adequação da Comissão ou, no caso das transferências referidas no artigo 35.º ou no artigo 36.º, os meios para a obtenção de uma cópia das garantias adequadas utilizadas para a transferência;

(f-A) Caso o responsável pelo tratamento processe os dados pessoais nos termos do artigo 9.º, n.º 1, informações sobre a existência de tratamento para uma medida do tipo a que se refere o artigo 9.º, n.º 1, e os efeitos esperados desse tratamento no titular dos dados, informações acerca da lógica utilizada na definição dos perfis e o direito de avaliação humana;

(f-B) Informações relativas a medidas de segurança tomadas para proteger os dados pessoais;

(g) Quaisquer outras informações, na medida em que sejam necessárias para assegurar à pessoa em causa um tratamento leal, tendo em conta as circunstâncias específicas em que os dados pessoais são tratados.

(g) Quaisquer outras informações, na medida em que sejam necessárias para assegurar à pessoa em causa um tratamento leal, tendo em conta as circunstâncias específicas em que os dados pessoais são tratados.

2. Sempre que os dados pessoais tiverem sido recolhidos junto do titular de dados, o responsável pelo tratamento deve informá-lo, para além da informação referida no n.º 1, do caráter obrigatório ou facultativo de fornecer os dados pessoais, bem como das eventuais consequências de não fornecer esses dados.

2. Sempre que os dados pessoais tiverem sido recolhidos junto do titular de dados, o responsável pelo tratamento deve informá-lo, para além da informação referida no n.º 1, do caráter obrigatório ou facultativo de fornecer os dados pessoais, bem como das eventuais consequências de não fornecer esses dados.

3. O responsável pelo tratamento deve comunicar as informações referidas no n.º 1:

3. O responsável pelo tratamento deve comunicar as informações referidas no n.º 1:

(a) No momento da recolha dos dados pessoais junto do titular de dados; ou

(a) No momento da recolha dos dados pessoais junto do titular de dados; ou

(b) Sempre que os dados não forem recolhidos junto do titular de dados, no momento do seu registo ou num prazo razoável após a recolha dos dados, tendo em conta as circunstâncias específicas em que os dados foram tratados.

(b) Sempre que os dados não forem recolhidos junto do titular de dados, no momento do seu registo ou num prazo razoável após a recolha dos dados, tendo em conta as circunstâncias específicas em que os dados foram tratados.

4. Os Estados-Membros podem adotar medidas legislativas prevendo o adiamento, a limitação da prestação das informações, ou a sua não prestação, aos titulares de dados na medida e enquanto tal limitação, parcial ou total, constitua uma medida necessária e proporcionada numa sociedade democrática, tendo devidamente em conta os interesses legítimos do titular de dados:

4. Os Estados-Membros podem adotar medidas legislativas prevendo o adiamento ou a limitação da prestação das informações aos titulares de dados, num caso específico, na medida e enquanto tal limitação, parcial ou total, constitua uma medida necessária e proporcionada numa sociedade democrática, tendo devidamente em conta os direitos fundamentais e os interesses legítimos do titular de dados:

(a) Para evitar que constituam um entrave a inquéritos, investigações, ou procedimentos oficiais ou judiciais;

(a) Para evitar que constituam um entrave a inquéritos, investigações, ou procedimentos oficiais ou judiciais;

(b) Para evitar prejudicar a prevenção, deteção, investigação, repressão de infrações penais ou a execução de sanções penais;

(b) Para evitar prejudicar a prevenção, deteção, investigação, repressão de infrações penais ou a execução de sanções penais;

(c) Para proteger a segurança pública;

(c) Para proteger a segurança pública;

(d) Para proteger a segurança nacional;

(d) Para proteger a segurança nacional;

(e) Para proteger os direitos e as liberdades de outrem.

(e) Para proteger os direitos e as liberdades de outrem.

5. Os Estados-Membros podem determinar categorias de tratamento de dados suscetíveis de serem objeto, na sua integralidade em parte, das derrogações previstas no n.º 4.

5. Os Estados-Membros devem prever que o responsável pelo tratamento avalie, em cada caso específico e através de uma análise concreta e individual, se se aplicam as limitações parciais ou totais por um dos motivos previstos no n.º 4. Os Estados-Membros podem também determinar por via legislativa categorias de tratamento de dados suscetíveis de serem objeto, na sua integralidade ou em parte, das derrogações previstas no n.º 4, alíneas a), b), c) e d).

Texto da Comissão

Alteração

Direito de acesso do titular dos dados

Direito de acesso do titular dos dados

1. Os Estados-Membros devem prever o direito de o titular de dados poder obter do responsável pelo tratamento a confirmação de que os dados pessoais que lhe digam respeito são ou não objeto de tratamento. Sempre que esses dados pessoais forem objeto de tratamento, o responsável pelo tratamento deve fornecer as seguintes informações:

1. Os Estados-Membros devem prever o direito de o titular de dados poder obter do responsável pelo tratamento a confirmação de que os dados pessoais que lhe digam respeito são ou não objeto de tratamento. Sempre que esses dados forem objeto de tratamento, o responsável pelo tratamento deve fornecer as seguintes informações, se as mesmas não tiverem sido já fornecidas:

(-a) Comunicação dos dados pessoais em fase de tratamento e quaisquer informações disponíveis sobre a origem desses dados e, se for o caso, informações compreensíveis sobre a lógica subjacente a qualquer tratamento automatizado dos dados;

(-a-A) Importância e consequências previstas de tal tratamento, pelo menos no caso das medidas referidas no artigo 9.º;

(a) Finalidades do tratamento;

(a) Finalidades do tratamento, bem como a base jurídica do mesmo;

(b) Categorias de dados pessoais envolvidos;

(b) Categorias de dados pessoais envolvidos;

(c) Destinatários ou categorias de destinatários a quem os dados pessoais foram divulgados, em especial quando os destinatários estão estabelecidos em países terceiros;

(c) Destinatários a quem os dados pessoais foram divulgados, em especial quando os destinatários estão estabelecidos em países terceiros;

(d) Período de conservação dos dados pessoais;

(d) Período de conservação dos dados pessoais;

(e) A existência do direito de solicitar à autoridade de controlo a retificação, o apagamento ou a limitação do tratamento dos dados pessoais do titular de dados;

(e) A existência do direito de solicitar à autoridade de controlo a retificação, o apagamento ou a limitação do tratamento dos dados pessoais do titular de dados;

(f) O direito de apresentar uma queixa à autoridade de controlo e de obter os contactos desta autoridade;

(f) O direito de apresentar uma queixa à autoridade de controlo e de obter os contactos desta autoridade;

(g) Comunicação dos dados pessoais em fase de tratamento e quaisquer informações disponíveis sobre a origem desses dados.

2. Os Estados-Membros devem prever o direito do titular de dados de obter do responsável pelo tratamento uma cópia dos dados pessoais em fase de tratamento.

2. Os Estados-Membros devem prever o direito do titular de dados de obter do responsável pelo tratamento uma cópia dos dados pessoais em fase de tratamento. Sempre que o titular dos dados apresentar o pedido por via eletrónica, as informações devem ser fornecidas por meios eletrónicos, salvo se solicitado de outra forma pela pessoa em causa.

(A alínea (g) do texto da Comissão passou a fazer parte da alínea (-a-A do n.º 1 na alteração do Parlamento).

Texto da Comissão

Alteração

Limitações do direito de acesso

Limitações do direito de acesso

1. Os Estados-Membros podem adotar medidas legislativas para limitar, total ou parcialmente, o direito de acesso do titular de dados, na medida em que tal limitação total ou parcial constitua uma medida necessária e proporcionada numa sociedade democrática, tendo devidamente em conta os interesses legítimos do titular de dados:

1. Os Estados-Membros podem adotar medidas legislativas para limitar, total ou parcialmente conforme o caso específico, o direito de acesso do titular de dados, na medida e durante o prazo em que tal limitação total ou parcial constitua uma medida estritamente necessária e proporcionada numa sociedade democrática, tendo devidamente em conta os direitos fundamentais e os interesses legítimos do titular de dados:

(a) Para evitar que constituam um entrave a inquéritos, investigações, ou procedimentos oficiais ou judiciais;

(a) Para evitar que constituam um entrave a inquéritos, investigações, ou procedimentos oficiais ou judiciais;

(b) Para evitar prejudicar a prevenção, deteção, investigação, repressão de infrações penais ou a execução de sanções penais;

(b) Para evitar prejudicar a prevenção, deteção, investigação, repressão de infrações penais ou a execução de sanções penais;

(c) Para proteger a segurança pública;

(c) Para proteger a segurança pública;

(d) Para proteger a segurança nacional;

(d) Para proteger a segurança nacional;

(e) Para proteger os direitos e as liberdades de outrem.

(e) Para proteger os direitos e as liberdades de outrem.

2. Os Estados-Membros podem, por via legislativa, determinar categorias de tratamento de dados suscetíveis de ser objeto, no todo ou em parte, das derrogações previstas no n.º 1.

2. Os Estados-Membros devem prever que o responsável pelo tratamento avalie, em cada caso específico e através de um exame individual e concreto, se se aplicam as limitações parciais ou totais por um dos motivos previstos no n.º 1. Os Estados-Membros podem também, por via legislativa, determinar categorias de tratamento de dados suscetíveis de ser objeto, no todo ou em parte, das derrogações previstas no n.º 1, alíneas a) a d).

3. Nos casos previstos nos n.os 1 e 2, os Estados-Membros devem prever que em caso de recusa ou de limitação do acesso aos dados, o responsável pelo tratamento informe o titular de dados, por escrito, dos motivos da recusa e das possibilidades de apresentar uma queixa à autoridade de controlo e de intentar uma ação judicial. Os motivos de facto ou de direito em que se baseia a decisão podem ser omitidos sempre que a sua comunicação seja suscetível de prejudicar um dos objetivos enunciados no n.º 1.

3. Nos casos previstos nos n.ºs 1 e 2, os Estados-Membros devem prever que em caso de recusa ou de limitação do acesso aos dados, o responsável pelo tratamento informe o titular de dados, sem demora injustificada, por escrito, da justificação fundamentada da recusa e das possibilidades de apresentar uma queixa à autoridade de controlo e de intentar uma ação judicial. Os motivos de facto ou de direito em que se baseia a decisão podem ser omitidos sempre que a sua comunicação seja suscetível de prejudicar um dos objetivos enunciados no n.º 1.

4. Os Estados-Membros devem assegurar que o responsável pelo tratamento documente os fundamentos para não comunicar os motivos de facto ou de direito em que baseou a decisão.

4. Os Estados-Membros devem assegurar que o responsável pelo tratamento documente a avaliação referida no n.º 2 e os fundamentos para comunicar de forma limitada os motivos de facto ou de direito em que baseou a decisão. Essa informação deve ser facultada às autoridades nacionais competentes.

Texto da Comissão

Alteração

Modalidades de exercício do direito de acesso

Modalidades de exercício do direito de acesso

1. Os Estados-Membros devem prever o direito de o titular de dados solicitar à autoridade de controlo, em especial nos casos referidos no artigo 13.º, a verificação da licitude do tratamento.

1. Os Estados-Membros devem prever o direito de o titular de dados solicitar em qualquer altura à autoridade de controlo, em especial nos casos referidos nos artigos 12.º e 13.º, a verificação da licitude do tratamento.

2. O Estado-Membro deve prever que o responsável pelo tratamento informe o titular de dados do seu direito de solicitar a intervenção da autoridade de controlo por força do n.º 1.

2. Os Estados-Membros devem prever que o responsável pelo tratamento informe o titular de dados do seu direito de solicitar a intervenção da autoridade de controlo por força do n.º 1.

3. Sempre que o direito a que se refere o n.º 1 for exercido, a autoridade de controlo deve informar o titular de dados, pelo menos, de que foram realizadas todas as verificações necessárias que incumbem à referida autoridade e do resultado quanto à licitude do tratamento em causa.

3. Sempre que o direito a que se refere o n.º 1 for exercido, a autoridade de controlo deve informar o titular de dados, pelo menos, de que foram realizadas todas as verificações necessárias que incumbem à referida autoridade e do resultado quanto à licitude do tratamento em causa. A autoridade de controlo deve informar o titular de dados acerca do seu direito de ação judicial.

3-A. Os Estados-Membros devem prever que o titular dos dados possa invocar esse direito diretamente junto do responsável pelo tratamento ou através da autoridade nacional de controlo competente.

3-B. Os Estados-Membros devem asssegurar que o responsável pelo tratamento disponha de um prazo razoável para responder aos pedidos do titular de dados no tocante ao exercício do seu direito de acesso.

Texto da Comissão

Alteração

Direito de retificação

Direito de retificação e completamento

1. Os Estados-Membros devem prever o direito de o titular de dados obter do responsável pelo tratamento a retificação dos dados pessoais inexatos que lhe digam respeito. O titular de dados tem o direito de obter, nomeadamente através de uma declaração retificativa, que os seus dados pessoais incompletos sejam completados.

1. Os Estados-Membros devem prever o direito de o titular de dados obter do responsável pelo tratamento a retificação ou o completamento dos dados pessoais inexatos ou incompletos que lhe digam respeito, nomeadamente através de uma declaração retificativa ou completiva.

2. Os Estados-Membros devem prever que, em caso de recusa de retificação dos dados, o responsável pelo tratamento informe o titular de dados, por escrito, dos motivos da recusa e das possibilidades de apresentar uma queixa à autoridade de controlo e de intentar uma ação judicial.

2. Os Estados-Membros devem prever que, em caso de recusa de retificação ou completamento dos dados, o responsável pelo tratamento informe o titular de dados, por escrito, com uma justificação fundamentada, dos motivos da recusa e das possibilidades de apresentar uma queixa à autoridade de controlo e de intentar uma ação judicial.

2-A. Os Estados-Membros devem prever que o responsável pelo tratamento de dados notifique qualquer retificação efetuada a cada destinatário a quem foram divulgados os dados, a menos que tal se revele impossível ou implique um esforço desproporcionado.

2-B. Os Estados-Membros devem prever que o responsável pelo tratamento de dados notifique a retificação de dados pessoais inexatos ao terceiro que está na origem dos dados pessoais inexatos.

2-C. Os Estados-Membros devem prever que o titular dos dados possa invocar esse direito também através da autoridade nacional de controlo competente.

Texto da Comissão

Alteração

Direito de apagamento

Direito de apagamento

1. Os Estados-Membros devem prever o direito de o titular de dados obter do responsável pelo tratamento o apagamento dos dados pessoais que lhe digam respeito sempre que o tratamento não seja conforme com as disposições adotadas nos termos do artigo 4.º, alínea a) a e), e dos artigos 7.º e 8.º da presente diretiva.

1. Os Estados-Membros devem prever o direito de o titular de dados obter do responsável pelo tratamento o apagamento dos dados pessoais que lhe digam respeito sempre que o tratamento não seja conforme com as disposições adotadas nos termos dos artigos 4.º, 6.º, 7.º e 8.º da presente diretiva.

2. O responsável pelo tratamento deve efetuar esse apagamento sem demora.

2. O responsável pelo tratamento deve efetuar esse apagamento sem demora. O responsável pelo tratamento deve igualmente abster-se de qualquer divulgação ulterior desses dados.

3. Em vez de proceder ao apagamento, o responsável pelo tratamento deve marcar os dados pessoais sempre que:

3. Em vez de proceder ao apagamento, o responsável pelo tratamento deve restringir o tratamento de dados pessoais sempre que:

(a) A sua exatidão for contestada pelo titular dos dados, durante um período que permita ao responsável pelo tratamento verificar a exatidão dos dados;

(a) A sua exatidão for contestada pelo titular dos dados, durante um período que permita ao responsável pelo tratamento verificar a exatidão dos dados;

(b) Os dados pessoais devam ser conservados para efeitos de prova;

(b) Os dados pessoais devam ser conservados para efeitos de prova ou de proteção dos interesses vitais do titular de dados ou de outrem;

(c) O titular dos dados se opuser ao seu apagamento e solicitar, em contrapartida, a limitação da sua utilização;

3-A. Sempre que o tratamento de dados pessoais for limitado nos termos do n.º 3, o responsável pelo tratamento informa o titular dos dados antes de anular a limitação ao tratamento.

4. Os Estados-Membros devem prever que o responsável pelo tratamento informe o titular de dados, por escrito, de qualquer recusa de apagamento ou de marcação dos dados tratados, dos motivos de recusa e das possibilidades de apresentar uma queixa à autoridade de controlo e de intentar uma ação judicial.

4. Os Estados-Membros devem prever que o responsável pelo tratamento informe o titular de dados, por escrito, com uma justificação fundamentada, de qualquer recusa de apagamento ou de limitação dos dados tratados, dos motivos de recusa e das possibilidades de apresentar uma queixa à autoridade de controlo e de intentar uma ação judicial.

4-A. Os Estados-Membros devem prever que o responsável pelo tratamento notifique os destinatários a quem os dados foram enviados de qualquer apagamento ou limitação nos termos do n.º 1, a menos que tal se revele impossível ou implique um esforço desproporcionado. O responsável pelo tratamento deve informar o titular dos dados acerca desses terceiros.

4-B. Os Estados-Membros devem prever que o titular dos dados possa invocar esse direito directamente junto do responsável pelo tratamento ou através da autoridade nacional de controlo competente.

Texto da Comissão

Alteração

Obrigações do responsável pelo tratamento

Obrigações do responsável pelo tratamento

1. Os Estados-Membros devem prever que o responsável pelo tratamento adote regras internas e execute as medidas adequadas para assegurar que o tratamento dos dados pessoais é realizado no respeito das disposições adotadas em conformidade com a presente diretiva.

1. Os Estados-Membros devem prever que o responsável pelo tratamento adote regras internas e execute as medidas adequadas para assegurar e estar em condições de demonstrar, de forma transparente, para cada operação de tratamento, que o tratamento dos dados pessoais é realizado no respeito das disposições adotadas em conformidade com a presente diretiva quer aquando da determinação dos meios de tratamento, quer aquando do próprio tratamento.

2. As medidas referidas no n.º 1 devem incluir, nomeadamente:

2. As medidas referidas no n.º 1 devem incluir, nomeadamente:

(a) Conservar a documentação, nos termos do artigo 23.º;

(a) Conservar a documentação, nos termos do artigo 23.º;

(a-A) Realizar uma avaliação de impacto sobre a proteção de dados, nos termos do artigo 25.º-A;

(b) Respeitar a obrigação de consulta prévia, nos termos do artigo 26.º;

(b) Respeitar a obrigação de consulta prévia, nos termos do artigo 26.º;

(c) Aplicar os requisitos de segurança previstos no artigo 27.º;

(c) Aplicar os requisitos de segurança previstos no artigo 27.º;

(d) Designar um delegado para a proteção de dados, nos termos do artigo 30.º.

(d) Designar um delegado para a proteção de dados, nos termos do artigo 30.º;

(d-A) Elaborar e executar as garantias específicas para o tratamento de dados pessoais relativos a crianças, se for adequado;

3. O responsável pelo tratamento deve aplicar mecanismos de verificação da eficácia das medidas referidas no n.º 1. Sob reserva da sua proporcionalidade, essa verificação deve ser realizada por auditores independentes internos ou externos.

3. O responsável pelo tratamento deve aplicar mecanismos de verificação da adequação e da eficácia das medidas referidas no n.º 1. Sob reserva da sua proporcionalidade, essa verificação deve ser realizada por auditores independentes internos ou externos.

Texto da Comissão

Alteração

Proteção de dados desde a conceção e por defeito

Proteção de dados desde a conceção e por defeito

1. Os Estados-Membros devem prever que, tendo em conta as técnicas mais recentes e os custos associados à sua aplicação, o responsável pelo tratamento aplique as medidas e procedimentos técnicos e organizativos adequados, a fim de que o tratamento respeite as disposições adotadas em conformidade com a presente diretiva e garanta a proteção dos direitos do titular de dados.

1. Os Estados-Membros devem prever que, tendo em conta as técnicas mais recentes, o conhecimento tecnológico atual, as melhores práticas internacionais e os riscos representados pelo tratamento de dados, o responsável pelo tratamento e o subcontratante, caso exista, apliquem, tanto no momento de definição das finalidades e dos meios de tratamento como no momento do próprio tratamento, as medidas e procedimentos técnicos e organizativos adequados e proporcionados, a fim de que o tratamento respeite as disposições adotadas em conformidade com a presente diretiva e garantam a proteção dos direitos do titular de dados, em particular no que respeita aos princípios estabelecidos no artigo 4.º. A proteção dos dados desde a conceção deve ter em especial conta a gestão completa do ciclo de vida dos dados pessoais, desde a recolha, passando pelo tratamento, até à eliminação, centrando-se sistematicamente em amplas garantias processuais respeitantes à precisão, confidencialidade, integridade, segurança física e eliminação dos dados pessoais. Sempre que o responsável pelo tratamento tenha efetuado uma avaliação do impacto na proteção de dados nos termos do artigo 25.º-A, os resultados da referida avaliação são tidos em conta para efeitos de desenvolvimento destas medidas e procedimentos.

2. O responsável pelo tratamento deve aplicar mecanismos que garantam, por defeito, que apenas são tratados os dados pessoais necessários para as finalidades do tratamento.

2. O responsável pelo tratamento deve garantir, por defeito, que apenas são tratados os dados pessoais necessários para cada finalidade específica do tratamento e, especialmente, que não são recolhidos, conservados ou divulgados para além do mínimo necessário para essas finalidades, tanto em termos da quantidade de dados, como da duração da sua conservação. Em especial, esses mecanismos devem assegurar que, por defeito, os dados pessoais não sejam disponibilizados a um número indeterminado de pessoas singulares e que os titulares dos dados estejam em condições de controlar a distribuição dos seus dados pessoais.

Texto da Comissão

Alteração

Responsáveis conjuntos pelo tratamento

Responsáveis conjuntos pelo tratamento

Os Estados-Membros devem prever, sempre que um responsável pelo tratamento definir, em conjunto com outros, as finalidades, as condições e os meios do tratamento de dados pessoais, os responsáveis conjuntos pelo tratamento devem definir, por acordo, as respetivas obrigações, a fim de respeitarem as disposições adotadas em conformidade com a presente diretiva, nomeadamente no que diz respeito aos procedimentos e mecanismos que regulam o exercício de direitos do titular de dados.

1. Os Estados-Membros devem prever, sempre que um responsável pelo tratamento definir, em conjunto com outros, as finalidades, as condições e os meios do tratamento de dados pessoais, os responsáveis conjuntos pelo tratamento devem definir, através de um acordo juridicamente vinculativo, as respetivas obrigações, a fim de respeitarem as disposições adotadas em conformidade com a presente diretiva, nomeadamente no que diz respeito aos procedimentos e mecanismos que regulam o exercício de direitos do titular de dados.

2. A menos que o titular de dados tenha sido informado sobre qual dos responsáveis conjuntos pelo tratamento é responsável nos termos do n.º 1, o titular de dados pode exercer os seus direitos ao abrigo da presente diretiva relativamente a cada um de dois ou mais responsáveis conjuntos pelo tratamento ou contra os mesmos.

Texto da Comissão

Alteração

Subcontratante

Subcontratante

1. Os Estados-Membros devem prever que o responsável pelo tratamento, em caso de tratamento por sua conta, escolha um subcontratante que apresente garantias suficientes de execução das medidas e procedimentos técnicos e organizativos apropriados, de forma a que esse tratamento respeite as disposições adotadas em conformidade com a presente diretiva e garanta a proteção dos direitos do titular de dados.

1. Os Estados-Membros devem prever que o responsável pelo tratamento, em caso de tratamento por sua conta, deve escolher um subcontratante que apresente garantias suficientes de execução das medidas e procedimentos técnicos e organizativos apropriados, de forma a que esse tratamento respeite as disposições adotadas em conformidade com a presente diretiva e garanta a proteção dos direitos do titular de dados, nomeadamente quanto às medidas de segurança técnica e medidas organizativas que regulam o procedimento a realizar, devendo o responsável pelo tratamento assegurar o cumprimento dessas medidas.

2. Os Estados-Membros devem prever que a realização de operações de tratamento por um subcontratante sejam reguladas por um ato jurídico que vincule o subcontratante ao responsável pelo tratamento e que preveja, nomeadamente, que o subcontratante atue apenas mediante instruções do responsável pelo tratamento, em especial quando a transferência de dados pessoais utilizados for proibida.

2. Os Estados-Membros devem prever que a realização de operações de tratamento através de um subcontratante sejam reguladas por um contrato ou um ato jurídico que vincule o subcontratante ao responsável pelo tratamento e que preveja, nomeadamente, que o subcontratante:

(a) Atue apenas mediante instruções do responsável pelo tratamento;

(b) Empregue apenas pessoal que tenha concordado em ficar vinculado à obrigação de confidencialidade ou que se encontre sujeito às obrigações de confidencialidade previstas na legislação;

(c) Adote todas as medidas exigidas nos termos do artigo 27.º;

(d) Recrute outro subcontratante apenas mediante autorização do responsável pelo tratamento e consequentemente informe este último da intenção de recrutar outro subcontratante de forma atempada para que o responsável pelo tratamento possa objetar a tal;

(e) Na medida do possível, tendo em conta a natureza do tratamento, adote, mediante acordo com o responsável pelo tratamento, os requisitos técnicos e organizativos necessários para permitir ao responsável pelo tratamento cumprir a sua obrigação de dar resposta aos pedidos dos titulares de dados, tendo em vista o exercício dos seus direitos previstos no Capítulo III;

(f) Preste assistência ao responsável pelo tratamento no sentido de garantir o cumprimento das obrigações previstas nos artigos 25.-Aº a 29.º;

(g) Devolva todos os resultados ao responsável pelo tratamento depois de terminado o tratamento, não trate de outro modo os dados pessoais e suprima as cópias existentes, a menos que a sua conservação seja exigida por legislação da União ou dos Estados-Membros;

(h) Disponibilize ao responsável pelo tratamento e à autoridade de controlo todas as informações necessárias para verificar o cumprimento das obrigações previstas no presente artigo;

(i) Tenha em consideração o princípio da proteção de dados desde a conceção e por defeito.

2-A. O responsável pelo tratamento e o subcontratante conservam um documento escrito com as instruções do responsável pelo tratamento e as obrigações do subcontratante referidas no n.º 2.

3. Se um subcontratante proceder ao tratamento de dados pessoais de forma diferente da que foi definida nas instruções do responsável pelo tratamento, o subcontratante é considerado responsável pelo tratamento em relação ao referido tratamento, ficando sujeito às disposições aplicáveis aos responsáveis conjuntos pelo tratamento previstas no artigo 20.º.

3. Se um subcontratante proceder ao tratamento de dados pessoais de forma diferente da que foi definida nas instruções do responsável pelo tratamento, o subcontratante é considerado responsável pelo tratamento em relação ao referido tratamento, ficando sujeito às disposições aplicáveis aos responsáveis conjuntos pelo tratamento previstas no artigo 20.º.

Texto da Comissão

Alteração

1-A. Sempre que o subcontratante seja ou se torne a parte determinante em relação aos fins, meios e métodos do tratamento de dados ou não atue unicamente com base nas instruções do responsável pelo tratamento, deve ser considerado responsável conjunto pelo tratamento, nos termos do artigo 20.º.

Texto da Comissão

Alteração

Documentação

Documentação

1. Os Estados-Membros devem prever que cada responsável pelo tratamento e cada subcontratante, mantenha a documentação de todos os sistemas e procedimentos de tratamento sob a sua responsabilidade.

1. Os Estados-Membros devem prever que cada responsável pelo tratamento e cada subcontratante mantenha a documentação de todos os sistemas e procedimentos de tratamento sob a sua responsabilidade.

2. Essa documentação deve consistir, pelo menos, nas seguintes informações:

2. Essa documentação deve consistir, pelo menos, nas seguintes informações:

(a) Nome e contactos do responsável pelo tratamento, ou de qualquer responsável conjunto pelo tratamento ou subcontratante;

(a) Nome e contactos do responsável pelo tratamento, ou de qualquer responsável conjunto pelo tratamento ou subcontratante;

(a-A) Um acordo juridicamente vinculativo, caso existam responsáveis conjuntos pelo tratamento; Uma lista dos subcontratantes e das atividades levadas a cabo pelos mesmos;

(b) Finalidades do tratamento;

(b) Finalidades do tratamento;

(b-A) Uma indicação dos serviços da organização de um responsável pelo tratamento ou subcontratante encarregados do tratamento de dados pessoais para uma finalidade específica;

(b-B) Uma descrição da categoria ou categorias de pessoas implicadas e dos dados ou categorias de dados pertinentes;

(c) Destinatários ou categorias de destinatários dos dados pessoais;

(c) Destinatários ou categorias de destinatários dos dados pessoais;

(c-A) Se for caso disso, informações quanto à existência de definição de perfis, de medidas baseadas na definição de perfis e de mecanismos de oposição à definição de perfis;

(c-B) Informações compreensíveis sobre a lógica subjacente ao tratamento automatizado dos dados;

(d) Transferências de dados para um país terceiro ou uma organização internacional, incluindo o nome desse país terceiro ou dessa organização internacional.

(d) Transferências de dados para um país terceiro ou uma organização internacional, incluindo o nome desse país terceiro ou dessa organização internacional, bem como os fundamentos jurídicos da transferência de dado; se a transferência se basear nos artigos 35.º ou 36.º da presente diretiva, deve ser dada uma explicação substantiva;

(d-A) Os prazos fixados para o apagamento das diferentes categorias de dados;

(d-B) Os resultados da verificação das medidas referidas no artigo 18.º, n.º 1;

(d-C) Uma indicação do fundamento jurídico da operação de tratamento a que os dados se destinam.

3. O responsável pelo tratamento e o subcontratante devem disponibilizar a documentação existente à autoridade de controlo, quando por esta solicitado.

3. O responsável pelo tratamento e o subcontratante devem disponibilizar toda a documentação existente à autoridade de controlo, quando por esta solicitado.

Texto da Comissão

Alteração

Conservação de registos das operações de tratamento

Conservação de registos das operações de tratamento

1. Os Estados-Membros devem assegurar que são conservados registos de, pelo menos, as seguintes operações: recolha, alteração, consulta, comunicação, interconexão ou apagamento. Os registos das operações de consulta e de comunicação indicarão, em especial, a finalidade, a data e hora dessas operações e, na medida do possível, a identificação da pessoa que consultou ou comunicou dados pessoais.

1. Os Estados-Membros devem assegurar que são conservados registos de, pelo menos, as seguintes operações: recolha, alteração, consulta, comunicação, interconexão ou apagamento. Os registos das operações de consulta e de comunicação indicarão, em especial, a finalidade, a data e hora dessas operações e, na medida do possível, a identificação da pessoa que consultou ou comunicou dados pessoais e a identidade dos destinatários desses dados.

2. Os registos só podem ser utilizados para efeitos de verificação da licitude do tratamento de dados, de autocontrolo e de garantia da integridade e segurança dos dados.

2. Os registos só podem ser utilizados para efeitos de verificação da licitude do tratamento de dados, de autocontrolo e de garantia da integridade e segurança dos dados, ou para efeitos de auditoria pelo delegado para a proteção dos dados ou pela autoridade de proteção de dados.

2-A. O responsável pelo tratamento e o subcontratante devem disponibilizar os registos existentes à autoridade de controlo, quando por esta solicitado.

Texto da Comissão

Alteração

Cooperação com a autoridade de controlo

Cooperação com a autoridade de controlo

1. Os Estados-Membros devem prever que o responsável pelo tratamento e o subcontratante cooperem, mediante pedido, com a autoridade de controlo no exercício das suas funções, comunicando nomeadamente todas as informações de que esta necessite para esse efeito.

1. Os Estados-Membros devem prever que o responsável pelo tratamento e o subcontratante cooperem, mediante pedido, com a autoridade de controlo no exercício das suas funções, comunicando nomeadamente as informações referidas no artigo 46.º, n.º 2, alínea a), e concedendo acesso nos termos do disposto no artigo 46.º, n.º 2, alínea b).

2. Sempre que autoridade de controlo exerça os poderes que lhe são conferidos por força do artigo 46.º, alíneas a) e b), o responsável pelo tratamento e o subcontratante devem responder à autoridade de controlo num prazo razoável a fixar por esta última. A resposta deve incluir uma descrição das medidas adotadas e dos resultados obtidos, tendo em conta as observações formuladas pela autoridade de controlo.

2. Sempre que a autoridade de controlo exerça os poderes que lhe são conferidos por força do artigo 46.º, n.º 1, alíneas a) e b), o responsável pelo tratamento e o subcontratante devem responder à autoridade de controlo num prazo razoável a fixar por esta última. A resposta deve incluir uma descrição das medidas adotadas e dos resultados obtidos, tendo em conta as observações formuladas pela autoridade de controlo.

Texto da Comissão

Alteração

Artigo 25.º-A

Avaliação do impacto na proteção de dados

1. Os Estados-Membros devem prever que o responsável pelo tratamento ou o subcontratante, atuando em nome do responsável pelo tratamento, efetuem uma avaliação do impacto dos sistemas e procedimentos de tratamento previstos na proteção dos dados pessoais, sempre que as operações de tratamento sejam suscetíveis de apresentar riscos específicos para os direitos e liberdades dos titulares de dados, devido à sua natureza, âmbito ou finalidade, antes de novos procedimentos de tratamento ou tão cedo quanto possível, no caso dos procedimentos de tratamento existentes.

2. As seguintes operações de tratamento são especialmente suscetíveis de apresentar os riscos específicos referidos no n.º 1:

(a) O tratamento de dados pessoais em sistemas de arquivo de grande dimensão para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais;

(b) O tratamento de categorias especiais de dados pessoais referidas no artigo 8.º, de dados pessoais relacionados com menores e de dados biométricos e de localização para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais;

(c) Uma avaliação dos aspetos pessoais relacionados com uma pessoa singular, ou que vise analisar ou prever, nomeadamente, o seu comportamento, baseada num processo automatizado e suscetível de dar lugar a medidas que produzam efeitos jurídicos relativamente à pessoa em causa ou que a afetem de forma significativa;

(d) O controlo de zonas acessíveis ao público, nomeadamente ao utilizar dispositivos ótico-eletrónicos (videovigilância); ou

(e) Outras operações de tratamento para as quais é obrigatória a consulta da autoridade de controlo nos termos do artigo 26.º, n.º 1.

3. A avaliação deve conter, pelo menos:

(a) Uma descrição sistemática das operações de tratamento de dados previstas;

(b) Uma avaliação da necessidade e proporcionalidade das operações de tratamento em relação aos fins;

(c) Uma avaliação dos riscos para os direitos e liberdades dos titulares de dados e as medidas previstas para colmatar esses riscos e reduzir ao mínimo o volume de dados pessoais tratado;

(d) Medidas de segurança e mecanismos para assegurar a proteção dos dados pessoais e demonstrar a conformidade com as disposições adotadas nos termos da presente diretiva, tendo em conta os direitos e os interesses legítimos dos titulares de dados e de terceiros;

(e) Uma indicação geral dos prazos fixados para o apagamento das diferentes categorias de dados;

(f) Se for caso disso, uma lista das transferências de dados destinadas a um país terceiro ou uma organização internacional, incluindo o nome desse país terceiro ou dessa organização internacional e, no caso de transferências referidas no artigo 36.º, n.º 2, alínea h), a documentação que comprove a existência das garantias adequadas.

4. Se o responsável pelo tratamento ou o subcontratante tiverem designado um delegado para a proteção de dados, este deve ser associado ao procedimento de avaliação de impacto.

5. Os Estados-Membros devem prever que o responsável pelo tratamento consulte o público sobre o tratamento previsto, sem prejuízo da proteção do interesse público ou da segurança das operações de tratamento de dados.

6. Sem prejuízo da proteção do interesse público ou da segurança das operações de tratamento de dados, a avaliação deve ser facilmente acessível ao público.

7. São atribuídas competências à Comissão para, depois de pedir um parecer ao Comité Europeu para a Proteção de Dados, adotar atos delegados nos termos do artigo 56.º, a fim de especificar mais concretamente os critérios e condições aplicáveis às operações de tratamento de dados que possam apresentar os riscos específicos referidos nos n.ºs 1 e 2, bem como os requisitos aplicáveis à avaliação referida no n.º 3, incluindo as condições de redimensionabilidade, de verificação e de auditoria.

Texto da Comissão

Alteração

Consulta prévia da autoridade de controlo

Consulta prévia da autoridade de controlo

1. Os Estados-Membros devem assegurar que o responsável pelo tratamento ou o subcontratante consulta a autoridade de controlo antes de proceder ao tratamento de dados pessoais que farão parte de um novo ficheiro a criar, sempre que:

1. Os Estados-Membros devem assegurar que o responsável pelo tratamento ou o subcontratante consulta a autoridade de controlo antes de proceder ao tratamento de dados pessoais a fim de assegurar a conformidade do tratamento previsto com as disposições adotadas por força da presente diretiva e, nomeadamente, atenuar os riscos para os titulares de dados, sempre que:

(a) O tratamento visar categorias especiais de dados referidas no artigo 8.º;

(a) Uma avaliação de impacto sobre a proteção de dados, como prevista no artigo 25.º-A, indicar que as operações de tratamento, devido à sua natureza, âmbito e/ou finalidade, podem apresentar um elevado nível de riscos específicos; ou

(b) Devido à utilização, em especial, de novos mecanismos, tecnologias ou procedimentos, o tipo de tratamento apresente riscos específicos para os direitos e liberdades fundamentais e, em particular, para a proteção de dados pessoais do seu titular.

(b) A autoridade de controlo considerar necessário realizar uma consulta prévia sobre operações de tratamento especificadas suscetíveis de apresentar riscos específicos para os direitos e liberdades dos titulares de dados devido à sua natureza, âmbito e/ou finalidades.

1-A. Sempre que a autoridade de controlo determine, no âmbito das suas competências, que o tratamento a efetuar não cumpre as disposições adotadas por força da presente diretiva, em especial se os riscos não se encontrarem suficientemente identificados ou atenuados, proíbe o tratamento previsto e apresenta propostas adequadas para remediar essa falta de conformidade.

2. Os Estados-Membros podem prever que a autoridade de controlo estabeleça uma lista das operações de tratamento de dados sujeitas a consulta prévia nos termos do n.º 1.

2. Os Estados-Membros devem prever que a autoridade de controlo, após consulta do Comité Europeu para a Proteção de Dados, estabeleça uma lista das operações de tratamento de dados sujeitas a consulta prévia nos termos do n.º 1, alínea b).

2-A. Os Estados-Membros devem prever que o responsável pelo tratamento ou o subcontratante forneça à autoridade de controlo a avaliação de impacto sobre a proteção de dados nos termos do artigo 25.º-A e, quando solicitado, qualquer outra informação que permita à autoridade de controlo avaliar a conformidade do tratamento e, nomeadamente, os riscos para a proteção dos dados pessoais do titular dos dados e as respetivas garantias.

2-B. Se a autoridade de controlo for de opinião que o tratamento a efetuar não cumpre as disposições adotadas por força da presente diretiva, ou que os riscos não se encontram suficientemente identificados ou atenuados, apresenta propostas adequadas para remediar essa falta de conformidade.

2-C. Os Estados-Membros podem consultar a autoridade de controlo no quadro da preparação de uma medida legislativa a adotar pelo parlamento nacional, ou de uma medida baseada nessa medida legislativa, que defina a natureza do tratamento, a fim de assegurar a conformidade do tratamento previsto nos termos da presente diretiva e, em especial, atenuar os riscos que comporta para os titulares de dados.

Texto da Comissão

Alteração

Segurança do tratamento

Segurança do tratamento

1. Os Estados-Membros devem prever que o responsável pelo tratamento e o subcontratante apliquem as medidas técnicas e organizativas necessárias para assegurar um nível de segurança adaptado aos riscos que o tratamento representa e à natureza dos dados pessoais a proteger, atendendo às técnicas mais recentes e aos custos resultantes da sua aplicação.

1. Os Estados-Membros devem prever que o responsável pelo tratamento e o subcontratante apliquem os procedimentos e as medidas técnicas e organizativas necessárias para assegurar um nível de segurança adaptado aos riscos que o tratamento representa e à natureza dos dados pessoais a proteger, atendendo às técnicas mais recentes e aos custos resultantes da sua aplicação.

2. No que respeita ao tratamento automatizado de dados, cada Estado-Membro deve prever que o responsável pelo tratamento ou o subcontratante, na sequência de uma avaliação de riscos, aplique medidas destinadas a:

2. No que respeita ao tratamento automatizado de dados, cada Estado-Membro deve prever que o responsável pelo tratamento ou o subcontratante, na sequência de uma avaliação de riscos, aplique medidas destinadas a:

(a) Impedir o acesso de pessoas não autorizadas ao equipamento utilizado para o tratamento de dados pessoais (controlo de acesso ao equipamento);

(a) Impedir o acesso de pessoas não autorizadas ao equipamento utilizado para o tratamento de dados pessoais (controlo de acesso ao equipamento);

(b) Impedir que os suportes de dados possam ser lidos, copiados, alterados ou retirados sem autorização (controlo dos suportes de dados);

(b) Impedir que os suportes de dados possam ser lidos, copiados, alterados ou retirados sem autorização (controlo dos suportes de dados);

(c) Impedir a introdução não autorizada de dados, bem como qualquer inspeção, alteração ou apagamento não autorizados de dados pessoais registados (controlo da conservação);

(c) Impedir a introdução não autorizada de dados, bem como qualquer inspeção, alteração ou apagamento não autorizados de dados pessoais registados (controlo da conservação);

(d) Impedir que os sistemas de tratamento automatizado de dados sejam utilizados por pessoas não autorizadas por meio de equipamentos de transmissão de dados (controlo dos utilizadores);

(d) Impedir que os sistemas de tratamento automatizado de dados sejam utilizados por pessoas não autorizadas por meio de equipamentos de transmissão de dados (controlo dos utilizadores);

(e) Assegurar que as pessoas autorizadas a utilizar o sistema de tratamento automatizado de dados apenas tenham acesso aos dados abrangidos pela sua autorização de acesso (controlo de acesso aos dados);

(e) Assegurar que as pessoas autorizadas a utilizar o sistema de tratamento automatizado de dados apenas tenham acesso aos dados abrangidos pela sua autorização de acesso (controlo de acesso aos dados);

(f) Assegurar que possa ser verificado e determinado a que instâncias os dados pessoais foram ou podem ser transmitidos ou facultados utilizando equipamentos de comunicação de dados (controlo da comunicação);

(f) Assegurar que possa ser verificado e determinado a que instâncias os dados pessoais foram ou podem ser transmitidos ou facultados utilizando equipamentos de comunicação de dados (controlo da comunicação);

(g) Assegurar que possa ser verificado e estabelecido a posteriori quais foram os dados pessoais introduzidos nos sistemas de tratamento automatizado de dados, quando e por quem (controlo da introdução);

(g) Assegurar que possa ser verificado e estabelecido a posteriori quais foram os dados pessoais introduzidos nos sistemas de tratamento automatizado de dados, quando e por quem (controlo da introdução);

(h) Impedir que, durante as transferências de dados pessoais ou o transporte de suportes de dados, os dados possam ser lidos, copiados, alterados ou suprimidos de forma não autorizada (controlo do transporte);

(h) Impedir que, durante as transferências de dados pessoais ou o transporte de suportes de dados, os dados possam ser lidos, copiados, alterados ou suprimidos de forma não autorizada (controlo do transporte);

(i) Assegurar que os sistemas utilizados possam ser restaurados em caso de interrupção (recuperação);

(i) Assegurar que os sistemas utilizados possam ser restaurados em caso de interrupção (recuperação);

(j) Assegurar que as funções do sistema funcionem, que os erros de funcionamento sejam assinalados (fiabilidade) e que os dados pessoais conservados não possam ser falseados por um disfuncionamento do sistema (integridade).

(j) Assegurar que as funções do sistema funcionem, que os erros de funcionamento sejam assinalados (fiabilidade) e que os dados pessoais conservados não possam ser falseados por um disfuncionamento do sistema (integridade);

(j-A) Assegurar que, no caso de tratamento de dados pessoais sensíveis de acordo com o artigo 8.º, tenham sido tomadas medidas de segurança adicionais para garantir o conhecimento da situação de risco e a capacidade de adotar medidas preventivas, corretivas e atenuantes, em tempo quase real, contra vulnerabilidades ou incidentes detetados que possam constituir um risco para os dados.

2-A. Os Estados-Membros estabelecem que o subcontratante só pode ser nomeado se oferecer garantias suficientes de que toma as medidas de segurança técnica e de organização necessárias a que se refere o n.º 1 e cumpre as instruções previstas no artigo 21.º, n.º 2, alínea a). A autoridade competente deve inspecionar o subcontratante nesse sentido.

3. A Comissão pode adotar, se necessário, atos de execução a fim de especificar os requisitos previstos nos n.os 1 e 2 aplicáveis às várias situações, particularmente normas de cifragem. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 57.º, n.º 2.

3. A Comissão pode adotar, se necessário, atos de execução a fim de especificar os requisitos previstos nos n.os 1 e 2 aplicáveis às várias situações, particularmente normas de cifragem. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 57.º, n.º 2.

Texto da Comissão

Alteração

Notificação da violação de dados pessoais à autoridade de controlo

Notificação da violação de dados pessoais à autoridade de controlo

1. Os Estados-Membros devem prever que, em caso de violação de dados pessoais, o responsável pelo tratamento notifique desse facto a autoridade de controlo, sem demora injustificada e, sempre que possível, o mais tardar 24 horas após ter tido conhecimento da mesma. Caso a notificação seja transmitida após esse prazo, o responsável pelo tratamento deve apresentar uma justificação à autoridade de controlo, a pedido desta.

1. Os Estados-Membros devem prever que, em caso de violação de dados pessoais, o responsável pelo tratamento notifique desse facto a autoridade de controlo, sem demora injustificada e, sempre que possível, o mais tardar no prazo de 24 horas. Em caso de atraso, o responsável pelo tratamento deve apresentar uma justificação à autoridade de controlo, a pedido desta.

2. O subcontratante deve alertar e informar o responsável pelo tratamento imediatamente após ter conhecimento de uma violação de dados pessoais.

2. O subcontratante deve alertar e informar o responsável pelo tratamento sem demora injustificada após a deteção de uma violação de dados pessoais.

3. A notificação referida no n.º 1 deve, pelo menos:

3. A notificação referida no n.º 1 deve, pelo menos:

(a) Descrever a natureza de violação dos dados pessoais, incluindo as categorias e o número de titulares de dados afetados, bem como as categorias e o número de registos de dados em causa;

(a) Descrever a natureza de violação dos dados pessoais, incluindo as categorias e o número de titulares de dados afetados, bem como as categorias e o número de registos de dados em causa;

(b) Comunicar a identidade e os contactos do delegado para a proteção de dados referido no artigo 30.°, ou de outro ponto de contacto onde possam ser obtidas informações adicionais;

(b) Comunicar a identidade e os contactos do delegado para a proteção de dados referido no artigo 30.°, ou de outro ponto de contacto onde possam ser obtidas informações adicionais;

(c) Recomendar medidas destinadas a atenuar os eventuais efeitos adversos da violação de dados pessoais;

(c) Recomendar medidas destinadas a atenuar os eventuais efeitos adversos da violação de dados pessoais;

(d) Descrever as consequências eventuais da violação de dados pessoais;

(d) Descrever as consequências eventuais da violação de dados pessoais;

(e) Descrever as medidas propostas ou adotadas pelo responsável pelo tratamento para remediar a violação de dados pessoais.

(e) Descrever as medidas propostas ou adotadas pelo responsável pelo tratamento para remediar a violação de dados pessoais e atenuar os seus efeitos.

Caso seja impossível fornecer todas as informações sem demora injustificada, o responsável pelo tratamento pode completar a notificação numa segunda fase.

4. Os Estados-Membros devem prever que o responsável pelo tratamento conserve documentação sobre qualquer violação de dados pessoais, incluindo os factos relacionados com a mesma, os respetivos efeitos e a medida de reparação adotada. Essa documentação deve permitir à autoridade de controlo verificar o respeito do disposto no presente artigo. A documentação deve incluir apenas as informações necessárias para esse efeito.

4. Os Estados-Membros devem prever que o responsável pelo tratamento conserve documentação sobre qualquer violação de dados pessoais, incluindo os factos relacionados com a mesma, os respetivos efeitos e a medida de reparação adotada. Essa documentação deve ser suficiente para permitir à autoridade de controlo verificar o respeito do disposto no presente artigo. A documentação deve incluir apenas as informações necessárias para esse efeito.

4-A. A autoridade de controlo deve manter um registo público dos tipos de violações notificadas.

5. São conferidas competências à Comissão para adotar atos delegados nos termos do artigo 56.º, a fim de especificar mais concretamente os critérios e requisitos aplicáveis à determinação da violação de dados referida nos n.os 1 e 2, e às circunstâncias particulares em que um responsável pelo tratamento e um subcontratante são obrigados a notificar a violação de dados pessoais.

5. São conferidas competências à Comissão para adotar, após requerer um parecer ao Comité Europeu para a Proteção de Dados, atos delegados nos termos do artigo 56.º, a fim de especificar mais concretamente os critérios e requisitos aplicáveis à determinação da violação de dados referida nos n.ºs 1 e 2, e às circunstâncias particulares em que um responsável pelo tratamento e um subcontratante são obrigados a notificar a violação de dados pessoais.

6. A Comissão pode definir um formato normalizado para essa notificação à autoridade de controlo, os procedimentos aplicáveis ao requisito de notificação, bem como o formulário e as modalidades para a documentação referida no n.º 4, incluindo os prazos para o apagamento das informações aí contidas. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 57.º, n.º 2.

6. A Comissão pode definir um formato normalizado para essa notificação à autoridade de controlo, os procedimentos aplicáveis ao requisito de notificação, bem como o formulário e as modalidades para a documentação referida no n.º 4, incluindo os prazos para o apagamento das informações aí contidas. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 57.º, n.º 2.

Texto da Comissão

Alteração

Comunicação de uma violação de dados pessoais ao titular dos dados

Comunicação de uma violação de dados pessoais ao titular dos dados

1. Os Estados-Membros devem prever que, sempre que a violação de dados pessoais for suscetível de afetar negativamente a proteção dos dados pessoais ou a privacidade do titular dos dados, o responsável pelo tratamento, após a notificação a que se refere o artigo 28.º, comunica a violação de dados pessoais à pessoa em causa sem demora injustificada.

1. Os Estados-Membros devem prever que, sempre que a violação de dados pessoais for suscetível de afetar negativamente a proteção dos dados pessoais, a privacidade, os direitos ou os interesses legítimos do titular dos dados, o responsável pelo tratamento, após a notificação a que se refere o artigo 28.º, comunica a violação de dados pessoais à pessoa em causa sem demora injustificada.

2. A comunicação ao titular dos dados referida no n.º 1 deve descrever a natureza da violação dos dados pessoais e incluir, pelo menos, as informações e recomendações previstas no artigo 28.º, n.º 3, alíneas b) e c).

2. A comunicação ao titular dos dados referida no n.º 1 deve ser abrangente e utilizar uma linguagem clara e simples. Deve descrever a natureza da violação dos dados pessoais e incluir, pelo menos, as informações e recomendações previstas no artigo 28.º, n.º 3, alíneas b), c) e d) e informações sobre os direitos do titular de dados, incluindo o direito de recurso.

3. A comunicação de uma violação de dados pessoais ao seu titular não deve ser exigida se o responsável pelo tratamento demonstrar cabalmente, a contento da autoridade competente, que adotou as medidas de proteção tecnológica adequadas e que estas foram aplicadas aos dados a que a violação diz respeito. Essas medidas de proteção tecnológica devem tornar os dados incompreensíveis para qualquer pessoa que não esteja autorizada a aceder a esses dados.

3. A comunicação de uma violação de dados pessoais ao seu titular não deve ser exigida se o responsável pelo tratamento demonstrar cabalmente, a contento da autoridade competente, que adotou as medidas de proteção tecnológica adequadas e que estas foram aplicadas aos dados a que a violação diz respeito. Essas medidas de proteção tecnológica devem tornar os dados incompreensíveis para qualquer pessoa que não esteja autorizada a aceder a esses dados.

3-A. Sem prejuízo da obrigação que incumbe ao responsável pelo tratamento de notificar o titular dos dados da violação dos seus dados pessoais, se o primeiro não tiver já comunicado a violação de dados pessoais à pessoa em causa, a autoridade de controlo, atendendo aos efeitos negativos prováveis dessa violação, pode exigir que proceda a essa notificação.

4. A comunicação ao titular dos dados pode ser adiada, limitada ou omitida pelos motivos referidos no artigo 11.º, n.º 4.

4. A comunicação ao titular dos dados pode ser adiada ou limitada pelos motivos referidos no artigo 11.º, n.º 4.

Texto da Comissão

Alteração

Designação do delegado para a proteção de dados

Designação do delegado para a proteção de dados

1. Os Estados-Membros devem prever que o responsável pelo tratamento ou o subcontratante designem um delegado para a proteção de dados.

1. Os Estados-Membros devem prever que o responsável pelo tratamento ou o subcontratante designem um delegado para a proteção de dados.

2. O delegado para a proteção de dados é designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio da legislação e das práticas a nível da proteção de dados, e na sua capacidade para cumprir as funções referidas no artigo 32.º.

2. O delegado para a proteção de dados é designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio da legislação e das práticas a nível da proteção de dados, e na sua capacidade para cumprir as funções referidas no artigo 32.º. O nível de conhecimentos especializados necessários é determinado, em particular, em função do tratamento de dados realizado e da proteção exigida para os dados pessoais tratados pelo responsável pelo tratamento ou pelo subcontratante.

2-A. Os Estados-Membros devem prever que o responsável pelo tratamento ou o subcontratante assegure que quaisquer outras funções profissionais que incumbem ao delegado para a proteção de dados sejam compatíveis com as atribuições e funções dessa pessoa na qualidade de delegado para a proteção de dados e não impliquem um conflito de interesses.

2-B. O delegado para a proteção dos dados é nomeado por um período mínimo de quatro anos. O mandato do delegado para a proteção de dados pode ser renovado. No decurso do seu mandato, o delegado para a proteção de dados apenas pode ser exonerado se tiver deixado de cumprir as condições exigidas para o exercício das suas funções.

2-C. Os Estados-Membros devem reconhecer ao titular de dados o direito de entrar em contacto com o delegado para a proteção de dados relativamente a qualquer assunto respeitante ao tratamento dos seus dados pessoais.

3. O delegado para a proteção de dados pode ser designado para várias entidades, tendo em conta a estrutura organizativa da autoridade competente.

3. O delegado para a proteção de dados pode ser designado para várias entidades, tendo em conta a estrutura organizativa da autoridade competente.

3-A. Os Estados-Membros devem prever que o responsável pelo tratamento ou o subcontratante comuniquem o nome e os contactos do delegado para a proteção de dados à autoridade de controlo e ao público.

Texto da Comissão

Alteração

2-A. O responsável pelo tratamento ou o subcontratante apoiam o delegado para a proteção de dados no exercício das suas funções e devem fornecer todos os meios, incluindo pessoal, instalações, equipamentos, formação profissional contínua e quaisquer outros recursos necessários ao exercício das funções e atribuições referidas no artigo 32.º e à manutenção dos seus conhecimentos profissionais.

Texto da Comissão

Alteração

Atribuições do delegado para a proteção de dados

Atribuições do delegado para a proteção de dados

Os Estados-Membros devem prever que o responsável pelo tratamento ou o subcontratante confie ao delegado para a proteção de dados, pelo menos, as seguintes atribuições:

Os Estados-Membros devem prever que o responsável pelo tratamento ou o subcontratante confie ao delegado para a proteção de dados, pelo menos, as seguintes atribuições:

(a) Informar e aconselhar o responsável pelo tratamento ou o subcontratante sobre as suas obrigações em aplicação das disposições adotadas em conformidade com a presente diretiva, e conservar documentação sobre esta atividade e as respostas recebidas;

(a) Sensibilizar, informar e aconselhar o responsável pelo tratamento ou o subcontratante sobre as suas obrigações em aplicação das disposições adotadas em conformidade com a presente diretiva, em particular no que se refere a medidas e procedimentos técnicos e organizativos, e conservar documentação sobre esta atividade e as respostas recebidas;

(b) Controlar a execução e a aplicação das regras internas em matéria de proteção de dados, incluindo a repartição das responsabilidades, a formação do pessoal que participa nas operações de tratamento e nas auditorias correspondentes;

(b) Controlar a execução e a aplicação das regras internas em matéria de proteção de dados, incluindo a repartição das responsabilidades, a formação do pessoal que participa nas operações de tratamento e nas auditorias correspondentes;

(c) Controlar a execução e a aplicação das disposições adotadas em conformidade com a presente diretiva, em especial quanto aos requisitos relacionados com a proteção de dados desde a conceção, a proteção de dados por defeito e a segurança de dados, bem como às informações dos titulares dos dados e exame dos pedidos para exercer os seus direitos ao abrigo das disposições adotadas em conformidade com a presente diretiva;

(c) Controlar a execução e a aplicação das disposições adotadas em conformidade com a presente diretiva, em especial quanto aos requisitos relacionados com a proteção de dados desde a conceção, a proteção de dados por defeito e a segurança de dados, bem como às informações dos titulares dos dados e exame dos pedidos para exercer os seus direitos ao abrigo das disposições adotadas em conformidade com a presente diretiva;

(d) Assegurar que a documentação referida no artigo 23.º é conservada;

(d) Assegurar que a documentação referida no artigo 23.º é conservada;

(e) Acompanhar a documentação, a notificação e a comunicação relativas a violações de dados pessoais, nos termos dos artigos 28.º e 29.º;

(e) Acompanhar a documentação, a notificação e a comunicação relativas a violações de dados pessoais, nos termos dos artigos 28.º e 29.º;

(f) Verificar se os pedidos de consulta prévia foram apresentados à autoridade de controlo, caso esta seja necessária nos termos do artigo 26.º;

(f) Acompanhar a aplicação da avaliação de impacto sobre a proteção de dados pelo responsável pelo tratamento ou pelo subcontratante e verificar se os pedidos de consulta prévia foram apresentados à autoridade de controlo, caso esta seja necessária nos termos do artigo 26.º, n.º 1;

(g) Acompanhar a resposta aos pedidos da autoridade de controlo e, no âmbito da competência do delegado para a proteção de dados, cooperar com a autoridade de controlo, a pedido desta ou por iniciativa do próprio delegado para a proteção de dados;

(g) Acompanhar a resposta aos pedidos da autoridade de controlo e, no âmbito da competência do delegado para a proteção de dados, cooperar com a autoridade de controlo, a pedido desta ou por iniciativa do próprio delegado para a proteção de dados;

(h) Atuar como ponto de contacto para a autoridade de controlo sobre assuntos relacionados com o tratamento, e consultar esta autoridade, se for caso disso, por sua própria iniciativa.

(h) Atuar como ponto de contacto para a autoridade de controlo sobre assuntos relacionados com o tratamento, e consultar esta autoridade, se for caso disso, por sua própria iniciativa.

Texto da Comissão

Alteração

Princípios gerais das transferências de dados pessoais

Princípios gerais das transferências de dados pessoais

Os Estados-Membros devem prever que qualquer transferência, pelas autoridades competentes, de dados pessoais objeto de tratamento ou que se destinem a ser tratadas após a sua transferência para um país terceiro, ou para uma organização internacional, incluindo uma transferência ulterior para outro país terceiro ou outra organização internacional, só pode ser efetuada se:

Os Estados-Membros devem prever que qualquer transferência, pelas autoridades competentes, de dados pessoais objeto de tratamento ou que se destinem a ser tratadas após a sua transferência para um país terceiro, ou para uma organização internacional, incluindo uma transferência ulterior para outro país terceiro ou outra organização internacional, só pode ser efetuada se:

(a) A transferência for necessária para fins de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais; e

(a) A transferência específica for necessária para fins de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais; e

(a-A) Os dados forem transferidos para um responsável pelo tratamento num país terceiro ou numa organização internacional que seja uma autoridade competente para os efeitos referidos no artigo 1.º, n.º 1; e

(a-B) As condições estabelecidas no presente capítulo forem respeitadas pelo responsável pelo tratamento e pelo subcontratante, incluindo para as transferências ulteriores de dados pessoais do país terceiro ou da organização internacional para outro país terceiro ou outra organização internacional; e

(b) As condições estabelecidas no presente capítulo forem cumpridas pelo responsável pelo tratamento e pelo subcontratante.

(b) As outras disposições adotadas em conformidade com a presente diretiva forem cumpridas pelo responsável pelo tratamento e pelo subcontratante; e

(b-A) O nível de proteção dos dados de pessoas singulares assegurado na União pela presente diretiva continuar a ser garantido; e

(b-B) A Comissão tiver decidido, em cumprimento das condições e dos procedimentos previstos no artigo 34.º, que o país terceiro ou a organização internacional em questão garante um nível de proteção adequado; ou

(b-C) Tiverem sido apresentadas garantias adequadas no que diz respeito à proteção de dados pessoais mediante um instrumento juridicamente vinculativo, em conformidade com o artigo 35.º;

Os Estados-Membros devem prever que as transferências ulteriores referidas no n.º 1 do presente artigo possam apenas ocorrer se, além das condições apresentadas nesse número:

(a) A transferência ulterior for necessária para a mesma finalidade específica da transferência original; e

(b) A autoridade competente que realizou a transferência original autorizar a transferência ulterior.

Texto da Comissão

Alteração

Transferências acompanhadas de uma decisão de adequação

Transferências acompanhadas de uma decisão de adequação

1. Os Estados-Membros devem prever que uma transferência de dados pessoais para um país terceiro ou uma organização internacional pode ser efetuada sempre que a Comissão tiver declarado, mediante decisão, em conformidade com o artigo 41.º do Regulamento (UE) …./2012, ou em conformidade com o n.º 3 deste artigo, que o país terceiro, um território ou um setor de tratamento nesse país terceiro, ou a organização internacional em causa, garante um nível de proteção adequado. Essa transferência não exige qualquer autorização suplementar.

1. Os Estados-Membros devem prever que uma transferência de dados pessoais para um país terceiro ou uma organização internacional pode ser efetuada sempre que a Comissão tiver declarado, mediante decisão, em conformidade com o n.º 3 deste artigo, que o país terceiro, um território ou um setor de tratamento nesse país terceiro, ou a organização internacional em causa, garante um nível de proteção adequado. Esta transferência não exige nenhuma autorização específica.

2. Na falta de uma decisão adotada por força do artigo 41.º do Regulamento (UE) …./2012, a Comissão deve avaliar a adequação do nível de proteção tendo em conta os seguintes elementos:

2. Ao avaliar o nível de proteção adequado, a Comissão deve ter em conta os seguintes elementos:

(a) O primado do Estado de direito, a legislação relevante em vigor, geral ou setorial, incluindo no que respeita à segurança pública, à defesa, à segurança nacional e ao direito penal, e às medidas de segurança que são respeitadas nesse país ou por essa organização internacional, bem como a existência de direitos efetivos e oponíveis, incluindo vias de recurso administrativo e judicial para os titulares de dados, nomeadamente para as pessoas residentes na União cujos dados pessoais sejam objeto de transferência;

(a) O primado do Estado de direito, a legislação relevante em vigor, incluindo no que respeita à segurança pública, à defesa, à segurança nacional e ao direito penal, bem como à aplicação desta legislação e às medidas de segurança que são respeitadas nesse país ou por essa organização internacional, os precedentes jurisprudenciais, bem como a existência de direitos efetivos e oponíveis, incluindo vias de recurso administrativo e judicial para os titulares de dados, nomeadamente para as pessoas residentes na União cujos dados pessoais sejam objeto de transferência;

(b) A existência e o funcionamento efetivo de uma ou mais autoridades de controlo independentes no país terceiro ou na organização internacional em causa, responsáveis por assegurar o respeito das regras de proteção de dados, assistir e aconselhar o titular de dados no exercício dos seus direitos, e cooperar com as autoridades de controlo da União e dos Estados-Membros; e

(b) A existência e o funcionamento efetivo de uma ou mais autoridades de controlo independentes no país terceiro ou na organização internacional em causa, responsáveis por assegurar o respeito das regras de proteção de dados, incluindo poderes sancionatórios suficientes, assistir e aconselhar o titular de dados no exercício dos seus direitos, e cooperar com as autoridades de controlo da União e dos Estados-Membros; e

(c) Os compromissos internacionais assumidos pelo país terceiro ou a organização internacional.

(c) Os compromissos internacionais assumidos pelo país terceiro ou pela organização internacional, em particular quaisquer convenções ou instrumentos juridicamente vinculativos respeitantes à proteção de dados pessoais.

3. A Comissão pode decidir, nos limites da presente diretiva, que um país terceiro, um território, ou um setor de tratamento dentro desse país terceiro, ou uma organização internacional, garante um nível de proteção adequado na aceção do n.º 2. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 57.º, n.º 2.

3. São conferidas competências à Comissão para adotar, após requerer um parecer ao Comité Europeu para a Proteção de Dados, atos delegados nos termos do artigo 56.º, a fim de decidir, nos limites da presente diretiva, que um país terceiro, um território, ou um setor de tratamento dentro desse país terceiro, ou uma organização internacional, garante um nível de proteção adequado na aceção do n.º 2.

4. O ato de execução deve especificar o âmbito de aplicação geográfico e setorial e, se for caso disso, identificar a autoridade de controlo referida no n.º 2, alínea b).

4. O ato delegado deve especificar o âmbito de aplicação geográfico e setorial e identificar a autoridade de controlo referida no n.º 2, alínea b).

4-A. A Comissão deve acompanhar de forma permanente os desenvolvimentos que possam afetar o cumprimento dos elementos enunciados no n.º 2 em países terceiros e em organizações internacionais, em relação aos quais tenham sido adotados atos delegados nos termos do n.º 3.

5. A Comissão pode decidir, nos limites da presente diretiva, que um país terceiro, um território ou um setor de tratamento nesse país terceiro, ou uma organização internacional, não assegura um nível de proteção adequado na aceção do n.º 2, em especial nos casos em que a legislação relevante, quer de caráter geral ou setorial, em vigor no país terceiro ou na organização internacional, não assegura direitos efetivos e oponíveis, incluindo vias de recurso administrativo e judicial para os titulares de dados, nomeadamente para as pessoas residentes no território da União cujos dados pessoais sejam objeto de transferência. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 57.º, n.º 2, ou, em casos de extrema urgência para as pessoas singulares no que se refere ao seu direito de proteção de dados pessoais, em conformidade com o procedimento referido no artigo 57.º, n.º 3.

5. São conferidas competências à Comissão para adotar atos delegados nos termos do artigo 56.º, a fim de decidir, nos limites da presente diretiva, que um país terceiro, um território ou um setor de tratamento nesse país terceiro, ou uma organização internacional, não assegura um nível de proteção adequado na aceção do n.º 2, em especial nos casos em que a legislação relevante em vigor no país terceiro ou na organização internacional, não assegura direitos efetivos e oponíveis, incluindo vias de recurso administrativo e judicial para os titulares de dados, nomeadamente para as pessoas residentes no território da União cujos dados pessoais sejam objeto de transferência.

6. Os Estados-Membros devem assegurar que, sempre que a Comissão adote uma decisão por força do n.º 5, segundo a qual qualquer transferência de dados pessoais para o país terceiro, um território ou um setor de tratamento nesse país terceiro, ou organização internacional em causa é proibida, tal decisão não prejudique transferências efetuadas nos termos do artigo 35.º, n.º 1, ou em conformidade com o artigo 36.º. Em momento oportuno, a Comissão deve encetar negociações com o país terceiro ou a organização internacional com vista a remediar a situação resultante da decisão adotada nos termos do n.º 5.

6. Os Estados-Membros devem assegurar que, sempre que a Comissão adote uma decisão por força do n.º 5, segundo a qual qualquer transferência de dados pessoais para o país terceiro, um território ou um setor de tratamento nesse país terceiro, ou organização internacional em causa seja proibida. Em momento oportuno, a Comissão deve encetar negociações com o país terceiro ou a organização internacional com vista a remediar a situação resultante da decisão adotada nos termos do n.º 5.

7. A Comissão publica no Jornal Oficial da União Europeia uma lista dos países terceiros, territórios e setores de tratamento num país terceiro e de organizações internacionais relativamente aos quais tenha declarado, mediante decisão, que asseguram ou não um nível de proteção adequado.

7. A Comissão publica no Jornal Oficial da União Europeia uma lista dos países terceiros, territórios e setores de tratamento num país terceiro e de organizações internacionais relativamente aos quais tenha declarado, mediante decisão, que asseguram ou não um nível de proteção adequado.

8. A Comissão deve acompanhar a aplicação dos atos de execução referidos nos n.ºs 3 e 5.

8. A Comissão deve acompanhar a aplicação dos atos delegados referidos nos n.ºs 3 e 5.

Texto da Comissão

Alteração

Transferências mediante garantias adequadas

Transferências mediante garantias adequadas

1. Sempre que a Comissão não tenha tomado qualquer decisão nos termos do artigo 34.º, os Estados-Membros devem prever que uma transferência de dados pessoais para um país terceiro ou uma organização internacional só pode ser efetuada:

1. Sempre que a Comissão não tenha tomado qualquer decisão nos termos do artigo 34.º, ou decida que um país terceiro, ou um território desse país terceiro ou uma organização internacional não assegura um nível de proteção de dados adequado em conformidade com o artigo 34.º, n.º 5, um responsável pelo tratamento ou um subcontratante não pode transferir dados pessoais para um país terceiro, ou um território desse país terceiro ou uma organização internacional a menos que tenha apresentado garantias adequadas quanto à proteção de dados pessoais num instrumento juridicamente vinculativo.

(a) Tiverem sido apresentadas garantias adequadas no que diz respeito à proteção de dados pessoais mediante um instrumento juridicamente vinculativo; ou

(b) O responsável pelo tratamento ou o subcontratante tiver avaliado todas as circunstâncias inerentes à operação de transferência de dados pessoais e concluir existirem garantias adequadas relativamente à proteção de dados pessoais.

1. A decisão de transferência nos termos do n.º 1, alínea b), deve ser adotada por pessoal devidamente autorizado. Qualquer transferência desse tipo deve ser fundamentada mediante documentação, que deve ser disponibilizada à autoridade de controlo, se solicitada.

2. Qualquer transferência desse tipo deve ser autorizada pela autoridade de controlo antes da sua realização.

Texto da Comissão

Alteração

Derrogações

Derrogações

1. Caso a Comissão verifique, em conformidade com o artigo 34.º, n.º 5, que não existe um nível de proteção adequado, a transferência de dados pessoais para o país terceiro ou a organização internacional não pode ser efetuada se, nesse caso específico, os interesses legítimos do titular dos dados relativamente ao cancelamento da transferência superarem o interesse público relativamente à mesma.

Em derrogação aos artigos 34.º e 35.º, os Estados-Membros devem prever que uma transferência de dados pessoais para um país terceiro ou uma organização internacional só pode ser efetuada:

2. Em derrogação aos artigos 34.º e 35.º, os Estados-Membros devem prever que uma transferência de dados pessoais para um país terceiro ou uma organização internacional só pode ser efetuada:

(a) Se for necessária para proteger os interesses vitais do titular dos dados ou de outra pessoa; ou

(a) Se for necessária para proteger os interesses vitais do titular dos dados ou de outra pessoa; ou

(b) Se for necessária para proteger os interesses legítimos do titular dos dados sempre que a legislação do Estado-Membro que transfere os dados pessoais o preveja; ou

(b) Se for necessária para proteger os interesses legítimos do titular dos dados sempre que a legislação do Estado-Membro que transfere os dados pessoais o preveja; ou

(c) Se for essencial para a prevenção de uma ameaça imediata e grave contra a segurança pública de um Estado-Membro ou de um país terceiro; ou

(c) Se for essencial para a prevenção de uma ameaça imediata e grave contra a segurança pública de um Estado-Membro ou de um país terceiro; ou

(d) Se for necessária em casos particulares para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais; ou

(d) Se for necessária em casos particulares para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais; ou

(e) Se for necessária em casos particulares tendo em vista a confirmação, exercício ou defesa de um direito no âmbito de um processo judicial relacionado com a prevenção, investigação, deteção ou repressão de uma infração penal específica ou a execução de uma sanção penal específica.

(e) Se for necessária em casos particulares tendo em vista a confirmação, exercício ou defesa de um direito no âmbito de um processo judicial relacionado com a prevenção, investigação, deteção ou repressão de uma infração penal específica ou a execução de uma sanção penal específica.

2-A. O tratamento com base no n.º 2 deve ter uma base jurídica no direito da União ou na legislação do Estado-Membro a que o responsável pelo tratamento esteja sujeito; essa legislação deve responder a um objetivo de interesse público ou à necessidade de proteger os direitos e liberdades das pessoas, ser conforme com o conteúdo essencial do direito à proteção de dados pessoais e ser proporcional ao objetivo legítimo perseguido.

2-B. Todas as transferências de dados pessoais decididas com base em derrogações devem ser devidamente justificadas e limitadas ao estritamente necessário, não sendo permitidas transferências de dados frequentes e massivas;

2-C. A decisão de transferência nos termos do n.º 2 deve ser adotada por pessoal devidamente autorizado. Essas transferências devem ser documentadas, devendo a documentação ser disponibilizada à autoridade de controlo, a pedido desta, incluindo a data e hora da transferência, informações acerca da autoridade de destino, a justificação da transferência e os dados transferidos.

Texto da Comissão

Alteração

Condições específicas aplicáveis à transferência de dados pessoais

Condições específicas aplicáveis à transferência de dados pessoais

Os Estados-Membros devem prever que o responsável pelo tratamento informe o destinatário dos dados pessoais de qualquer limitação do tratamento e que adote todas as medidas razoáveis a fim de assegurar que tais limitações sejam respeitadas.

Os Estados-Membros devem prever que o responsável pelo tratamento informe o destinatário dos dados pessoais de qualquer limitação do tratamento e que adote todas as medidas razoáveis a fim de assegurar que tais limitações sejam respeitadas. O responsável pelo tratamento deve também notificar o destinatário dos dados pessoais de qualquer atualização, retificação ou apagamento de dados, e o destinatário deve, pelo seu lado, proceder à notificação correspondente, caso os dados tenham sido transferidos posteriormente.

Texto da Comissão

Alteração

(a) Elaborar mecanismos de cooperação internacionais eficazes visando facilitar a aplicação da legislação relativa à proteção de dados pessoais;

(a) Elaborar mecanismos de cooperação internacionais eficazes visando assegurar a aplicação da legislação relativa à proteção de dados pessoais;

Texto da Comissão

Alteração

(d-A) Clarificar e proceder a consultas sobre conflitos jurisdicionais com países terceiros.

Texto da Comissão

Alteração

Artigo 38.º-A

Relatório da Comissão

A Comissão apresenta regularmente ao Parlamento Europeu e ao Conselho um relatório sobre a aplicação dos artigos 33.º a 38.º. O primeiro relatório é apresentado o mais tardar quatro anos após a entrada em vigor da presente diretiva. Para esse efeito, a Comissão pode solicitar informações aos Estados-Membros e às autoridades reguladoras nacionais, que fornecem essas informações sem atrasos indevidos. O relatório é objeto de publicação.

Texto da Comissão

Alteração

1. Os Estados-Membros devem assegurar que a autoridade de controlo exerça com total independência as funções e poderes que lhe forem atribuídos.

1. Os Estados-Membros devem assegurar que a autoridade de controlo exerça com total independência as funções e poderes que lhe forem atribuídos, sem prejuízo de acordos de cooperação nos termos do capítulo VII da presente diretiva.

Texto da Comissão

Alteração

2. Cada Estado-Membro deve prever que os membros da autoridade de controlo, no exercício das suas funções, não solicitam nem recebem instruções de outrem.

2. Cada Estado-Membro deve prever que os membros da autoridade de controlo, no exercício das suas funções, não solicitam nem aceitam instruções de outrem e mantêm total independência e imparcialidade.

Texto da Comissão

Alteração

Sigilo profissional

Sigilo profissional

Os Estados-Membros devem prever que os membros e o pessoal da autoridade de controlo ficam sujeitos, durante o respetivo mandato e após a sua cessação, à obrigação de sigilo profissional quanto a quaisquer informações confidenciais a que tenham tido acesso no desempenho das suas funções oficiais.

Os Estados-Membros devem prever que os membros e o pessoal da autoridade de controlo ficam sujeitos, durante o respetivo mandato e após a sua cessação, e em conformidade com a legislação e a prática nacionais, à obrigação de sigilo profissional quanto a quaisquer informações confidenciais a que tenham tido acesso no desempenho das suas funções oficiais, desempenhando as suas funções com independência e transparência, conforme previsto na presente diretiva.

Texto da Comissão

Alteração

Competência

Competência

1. Os Estados-Membros devem prever que cada autoridade de controlo exerce, no território do seu Estado-Membro, os poderes que lhe são conferidos em conformidade com a presente diretiva.

1. Os Estados-Membros devem prever que cada autoridade de controlo seja competente para o desempenho das suas funções e para o exercício, no território do seu Estado-Membro, dos poderes que lhe são conferidos em conformidade com a presente diretiva.

Texto da Comissão

Alteração

Funções

Funções

Os Estados-Membros devem prever que incumbe à autoridade de controlo:

1. Os Estados-Membros devem prever que incumbe à autoridade de controlo:

(a) Controlar e assegurar a aplicação das disposições adotadas em conformidade com a presente diretiva e das suas medidas de execução;

(a) Controlar e assegurar a aplicação das disposições adotadas em conformidade com a presente diretiva e das suas medidas de execução;

(b) Receber as queixas apresentadas por qualquer titular de dados ou por uma associação que o represente nos termos do artigo 50.º, examinar a matéria, na medida do necessário, e informar a pessoa em causa ou a associação do andamento e do resultado da queixa num prazo razoável, em especial se forem necessárias operações de investigação ou de coordenação complementares com outra autoridade de controlo;

(b) Receber as queixas apresentadas por qualquer titular de dados ou por uma associação nos termos do artigo 50.º, examinar a matéria, na medida do necessário, e informar a pessoa em causa ou a associação do andamento e do resultado da queixa num prazo razoável, em especial se forem necessárias operações de investigação ou de coordenação complementares com outra autoridade de controlo;

(c) Verificar a licitude do tratamento dos dados nos termos do artigo 14.º, e informar o titular de dados num período razoável do resultado da verificação ou dos motivos que impediram a sua realização;

(c) Verificar a licitude do tratamento dos dados nos termos do artigo 14.º, e informar o titular de dados num período razoável do resultado da verificação ou dos motivos que impediram a sua realização;

(d) Prestar assistência mútua a outras autoridades de controlo e assegurar a coerência da aplicação e execução das disposições adotadas nos termos da presente diretiva;

(d) Prestar assistência mútua a outras autoridades de controlo e assegurar a coerência da aplicação e execução das disposições adotadas nos termos da presente diretiva;

(e) Conduzir investigações, por sua própria iniciativa ou com base numa queixa ou a pedido de outra autoridade de controlo, e informar o titular dos dados, num prazo razoável, do resultado das operações de investigação;

(e) Conduzir investigações, inspeções e auditorias por sua própria iniciativa ou com base numa queixa ou a pedido de outra autoridade de controlo, e informar o titular dos dados, num prazo razoável, do resultado das operações de investigação;

(f) Acompanhar factos novos relevantes, na medida em que tenham incidência na proteção de dados pessoais, particularmente a evolução a nível das tecnologias da informação e das comunicações e das práticas comerciais;

(f) Acompanhar factos novos relevantes, na medida em que tenham incidência na proteção de dados pessoais, particularmente a evolução a nível das tecnologias da informação e das comunicações e das práticas comerciais;

(g) Ser consultada pelas instituições e organismos do Estado-Membro quanto a medidas legislativas e administrativas relacionadas com a proteção dos direitos e liberdades no que diz respeito ao tratamento de dados pessoais;

(g) Ser consultada pelas instituições e organismos do Estado-Membro quanto a medidas legislativas e administrativas relacionadas com a proteção dos direitos e liberdades no que diz respeito ao tratamento de dados pessoais;

(h) Ser consultada sobre as operações de tratamento nos termos do artigo 26.º;

(h) Ser consultada sobre as operações de tratamento nos termos do artigo 26.º;

(i) Participar nas atividades do Comité Europeu para a Proteção de Dados.

(i) Participar nas atividades do Comité Europeu para a Proteção de Dados.

2. Cada autoridade de controlo deve promover a sensibilização do público sobre os riscos, regras, garantias, e direitos associados ao tratamento de dados pessoais. As atividades especificamente dedicadas às crianças devem ser objeto de uma atenção especial.

2. Cada autoridade de controlo deve promover a sensibilização do público sobre os riscos, regras, garantias, e direitos associados ao tratamento de dados pessoais. As atividades especificamente dedicadas às crianças devem ser objeto de uma atenção especial.

3. A autoridade de controlo deve, a pedido, aconselhar qualquer titular de dados sobre o exercício dos seus direitos decorrentes da presente diretiva e, se for caso disso, coopera com as autoridades de controlo de outros Estados-Membros para esse efeito.

3. A autoridade de controlo deve, a pedido, aconselhar qualquer titular de dados sobre o exercício dos seus direitos decorrentes da presente diretiva e, se for caso disso, coopera com as autoridades de controlo de outros Estados-Membros para esse efeito.

4. No que respeita às queixas referidas no n.º 1, alínea b), a autoridade de controlo deve fornecer um formulário de queixa, que possa ser preenchido eletronicamente, sem excluir outros meios de comunicação.

4. No que respeita às queixas referidas no n.º 1, alínea b), a autoridade de controlo deve fornecer um formulário de queixa, que possa ser preenchido eletronicamente, sem excluir outros meios de comunicação.

5. Os Estados-Membros devem prever que o desempenho das funções da autoridade de controlo é gratuito para o titular dos dados.

5. Os Estados-Membros devem prever que o desempenho das funções da autoridade de controlo é gratuito para o titular dos dados.

6. Sempre que os pedidos sejam manifestamente abusivos, particularmente devido ao seu caráter repetitivo, a autoridade de controlo pode exigir o pagamento de uma taxa, ou não adotar as medidas solicitadas pelo titular dos dados. Incumbe à autoridade de controlo o ónus de provar o caráter manifestamente abusivo do pedido.

6. Sempre que os pedidos sejam manifestamente excessivos, particularmente devido ao seu caráter repetitivo, a autoridade de controlo pode exigir o pagamento de uma taxa razoável. Essa taxa não deve exceder os custos de adoção da ação solicitada. Incumbe à autoridade de controlo o ónus de provar o caráter manifestamente excessivo do pedido.

Texto da Comissão

Alteração

Poderes

Poderes

Os Estados-Membros devem prever que cada autoridade de controlo esteja habilitada a exercer os seguintes poderes:

1. Os Estados-Membros devem prever que cada autoridade de controlo tenha o poder de:

(a) Poder de investigação, nomeadamente aceder aos dados objeto de tratamento e recolher todas as informações necessárias ao desempenho das suas funções de controlo;

(a) Notificar o responsável pelo tratamento ou o subcontratante de uma alegada violação das disposições que regulam o tratamento de dados pessoais e, se for caso disso, ordenar que o responsável pelo tratamento ou o subcontratante sanem essa violação, através de medidas específicas, a fim de melhorar a proteção do titular dos dados;

(b) Poder efetivo de intervenção, nomeadamente emitir pareceres previamente ao tratamento de dados e assegurar a publicação adequada desses pareceres, ordenar a limitação, o apagamento ou a destruição dos dados, proibir temporária ou definitivamente um tratamento, dirigir uma advertência ou uma admoestação ao responsável pelo tratamento ou remeter a questão para os parlamentos nacionais ou para outras instituições políticas;

(b) Ordenar ao responsável pelo tratamento que satisfaça os pedidos de exercício de direitos apresentados pelo titular dos dados previstos na presente diretiva, mormente os referidos nos artigos 12.º a 17.º, quando esses pedidos tenham sido indeferidos em violação das referidas disposições;

(c) Poder de intervir em processos judiciais em caso de violação das disposições nacionais adotadas em aplicação da presente diretiva ou de levar essa violação ao conhecimento das autoridades judiciais.

(c) Ordenar ao responsável pelo tratamento ou ao subcontratante que forneça informações, nos termos dos artigos 10.º, n.ºs 1 e 2, 11.º, 28.º e 29.º;

(d) Assegurar o respeito dos pareceres sobre a consulta prévia referida no artigo 26.º;

(e) Advertir ou admoestar o responsável pelo tratamento ou o subcontratante;

(f) Ordenar a retificação, o apagamento ou a destruição de todos os dados que tenham sido objeto de tratamento em violação das disposições adotadas em aplicação da presente diretiva, bem como a notificação dessas medidas a terceiros a quem tenham sido divulgados os dados;

(g) Proibir temporária ou definitivamente um tratamento de dados;

(h) Suspender o intercâmbio de dados com um destinatário num país terceiro ou com uma organização internacional;

(i) Informar os parlamentos nacionais, os governos ou outras instituições públicas, bem como o público, sobre o assunto.

2. Cada autoridade de controlo tem o poder de investigação para obter do responsável pelo tratamento ou do subcontratante:

(a) O acesso a todos os dados pessoais e a todas as informações necessárias ao exercício das suas funções de controlo;

(b) O acesso a todas as suas instalações, incluindo a qualquer equipamento e meios de tratamento de dados, em conformidade com a legislação nacional, sempre que existir um motivo razoável para presumir que aí é exercida uma atividade contrária às disposições adotadas em aplicação da presente diretiva, sem prejuízo da obtenção de uma autorização judiciária, se tal for requerido pelas leis nacionais.

3. Sem prejuízo do artigo 43.º, os Estados-Membros devem prever que não sejam aplicados requisitos adicionais em matéria de sigilo a pedido das autoridades de controlo.

4. Os Estados-Membros podem prever a obrigatoriedade de um controlo adicional de segurança, em conformidade com a legislação nacional, para aceder a informações com a classificação CONFIDENCIAL UE ou superior. Caso não seja necessário qualquer controlo adicional de segurança nos termos da legislação do Estado-Membro da autoridade de controlo competente, tal deve ser reconhecido por todos os outros Estados-Membros.

5. Cada autoridade de controlo é competente para chamar a atenção das autoridades judiciais para a violação das disposições adotadas em aplicação da presente diretiva e para intervir em processos judiciais e intentar uma ação em tribunal, nos termos do artigo 53.º, n.º 2.

6. Cada autoridade de controlo é competente para impor sanções em caso de infrações administrativas.

Texto da Comissão

Alteração

Artigo 46.º-A

Comunicação das infrações

1. Os Estados-Membros devem prever que as autoridades de controlo tenham em conta as orientações formuladas pelo Comité Europeu para a Proteção de Dados nos termos do artigo 66.º, n.º 4-B, do Regulamento (UE) n.º .../2013, e instituir mecanismos eficazes para incentivar a comunicação confidencial das infrações à presente diretiva.

2. Os Estados-Membros devem prever que as autoridades competentes instituam mecanismos eficazes para incentivar a comunicação confidencial das infrações à presente diretiva.

Texto da Comissão

Alteração

Os Estados-Membros devem prever que cada autoridade de controlo elabore um relatório anual de atividades. O relatório é disponibilizado à Comissão e ao Comité Europeu para a Proteção de Dados.

Os Estados-Membros devem prever que cada autoridade de controlo elabore um relatório de atividades no mínimo de dois em dois anos. O relatório é disponibilizado ao público, ao parlamento respetivo, à Comissão e ao Comité Europeu para a Proteção de Dados. Deve incluir informações sobre a medida em que as autoridades competentes, na sua jurisdição, acederam aos dados detidos por privados para efeitos de investigação ou repressão de infrações penais.

Texto da Comissão

Alteração

Assistência mútua

Assistência mútua

1. Os Estados-Membros devem prever que as autoridades de controlo prestem entre si assistência mútua, a fim de executar e aplicar de forma coerente as disposições adotadas em conformidade com a presente diretiva, e que ponham em prática medidas para cooperar eficazmente entre si. A assistência mútua deve cobrir, em especial, pedidos de informação e de medidas de controlo, tais como pedidos de consulta prévia, de inspeção e de investigação.

1. Os Estados-Membros devem prever que as autoridades de controlo prestem entre si assistência mútua, a fim de executar e aplicar de forma coerente as disposições adotadas em conformidade com a presente diretiva, e que ponham em prática medidas para cooperar eficazmente entre si. A assistência mútua deve cobrir, em especial, pedidos de informação e de medidas de controlo, tais como pedidos de consulta prévia, de inspeção e de investigação.

2. Os Estados-Membros devem prever que a autoridade de controlo adote todas as medidas adequadas necessárias para satisfazer o pedido de outra autoridade de controlo.

2. Os Estados-Membros devem prever que a autoridade de controlo adote todas as medidas adequadas necessárias para satisfazer o pedido de outra autoridade de controlo. Essas medidas podem incluir, particularmente, a transmissão de informações úteis ou medidas de execução para fazer cessar ou proibir operações de tratamento de dados contrárias à presente diretiva, sem demora e dentro de um mês após a receção do pedido.

2-A. O pedido de assistência deve incluir todas as informações necessárias, incluindo a finalidade e as razões do pedido. As informações trocadas só devem ser utilizadas para os efeitos para que foram solicitadas.

2-B. Uma autoridade de controlo à qual tenha sido dirigido um pedido não pode recusar dar-lhe cumprimento, salvo se:

(a) Não for competente para dar resposta ao pedido; ou

(b) Dar seguimento ao pedido for incompatível com as disposições adotadas em conformidade com a presente diretiva.

3. A autoridade de controlo requerida deve informar a autoridade de controlo requerente dos resultados obtidos ou, consoante o caso, do andamento do dossiê ou das medidas adotadas para satisfazer o pedido da autoridade de controlo requerente.

3. A autoridade de controlo requerida deve informar a autoridade de controlo requerente dos resultados obtidos ou, consoante o caso, do andamento do dossiê ou das medidas adotadas para satisfazer o pedido da autoridade de controlo requerente.

3-A. As autoridades de controlo fornecem as informações solicitadas por outras autoridades de controlo através de meios eletrónicos, e dentro do prazo mais curto possível, mediante a utilização de um formato normalizado.

3-B. Não é cobrada qualquer taxa por qualquer medida tomada na sequência de um pedido de assistência mútua.

Texto da Comissão

Alteração

Artigo 48.º-A

Operações conjuntas

1. Os Estados-Membros devem prever que, a fim de reforçar a cooperação e a assistência mútua, as autoridades de controlo possam aplicar medidas de execução conjuntas e outras operações conjuntas nas quais membros ou pessoal pertencente às autoridades de controlo de outros Estados-Membros participem em operações no território de um Estado-Membro.

2. Os Estados-Membros devem prever que, nos casos em que as operações de tratamento possam prejudicar titulares de dados noutro Estado-Membro ou noutros Estados-Membros, a autoridade de controlo competente pode ser convidada a participar nas operações conjuntas. A autoridade de controlo competente pode convidar a autoridade de controlo de cada Estado-Membro em questão a participar na respetiva operação e, caso seja convidada, responde rapidamente ao pedido de uma autoridade de controlo de participar nas operações.

3. Os Estados-Membros devem estabelecer as modalidades práticas das ações de cooperação específicas.

Texto da Comissão

Alteração

Atribuições do Comité Europeu para a Proteção de Dados

Atribuições do Comité Europeu para a Proteção de Dados

1. O Comité Europeu para a Proteção de Dados, instituído pelo Regulamento (UE)…./2012, exerce as seguintes atribuições no que diz respeito ao tratamento de dados no âmbito de aplicação da presente diretiva:

1. O Comité Europeu para a Proteção de Dados, instituído pelo Regulamento (UE)…./2013, exerce as seguintes atribuições no que diz respeito ao tratamento de dados no âmbito de aplicação da presente diretiva:

(a) Aconselhar a Comissão sobre qualquer questão relacionada com a proteção de dados pessoais na UE, nomeadamente sobre qualquer projeto de alteração da presente diretiva;

(a) Aconselhar as instituições da União sobre qualquer questão relacionada com a proteção de dados pessoais na UE, nomeadamente sobre qualquer projeto de alteração da presente diretiva;

(b) Analisar, a pedido da Comissão ou por sua própria iniciativa ou por iniciativa de um dos seus membros, qualquer questão relativa à aplicação das disposições adotadas nos termos da presente diretiva e emitir diretrizes, recomendações e boas práticas destinadas às autoridades de controlo, a fim de incentivar a aplicação coerente dessas disposições;

(b) Analisar, a pedido da Comissão, do Parlamento Europeu ou do Conselho ou por sua própria iniciativa ou por iniciativa de um dos seus membros, qualquer questão relativa à aplicação das disposições adotadas nos termos da presente diretiva e emitir diretrizes, recomendações e boas práticas destinadas às autoridades de controlo, a fim de incentivar a aplicação coerente dessas disposições, designadamente sobre a utilização dos poderes de execução;

(c) Examinar a aplicação prática das diretrizes, recomendações e boas práticas referidas na alínea b) e informar regularmente a Comissão sobre esta matéria;

(c) Examinar a aplicação prática das diretrizes, recomendações e boas práticas referidas na alínea b) e informar regularmente a Comissão sobre esta matéria;

(d) Comunicar à Comissão um parecer sobre o nível de proteção assegurado por países terceiros ou por organizações internacionais;

(d) Comunicar à Comissão um parecer sobre o nível de proteção assegurado por países terceiros ou por organizações internacionais;

(e) Promover a cooperação e o intercâmbio bilateral e plurilateral efetivo de informações e práticas entre as autoridades de controlo;

(e) Promover a cooperação e o intercâmbio bilateral e plurilateral efetivo de informações e práticas entre as autoridades de controlo, incluindo a coordenação de operações conjuntas e de outras atividades conjuntas, sempre que assim o decida a pedido de uma ou mais autoridades de controlo;

(f) Promover programas de formação comuns e facilitar o intercâmbio de pessoal entre as autoridades de controlo, bem como com as autoridades de controlo de países terceiros ou de organizações internacionais, se for caso disso;

(f) Promover programas de formação comuns e facilitar o intercâmbio de pessoal entre as autoridades de controlo, bem como com as autoridades de controlo de países terceiros ou de organizações internacionais, se for caso disso;

(g) Promover o intercâmbio de conhecimentos e de documentação em relação a práticas e legislação no domínio da proteção de dados com autoridades de controlo de todos os países.

(g) Promover o intercâmbio de conhecimentos e de documentação em relação a práticas e legislação no domínio da proteção de dados com autoridades de controlo de todos os países;

(g-A) Dar o seu parecer à Comissão no quadro da elaboração de atos delegados e de atos de execução nos termos da presente diretiva;

2. Sempre que a Comissão consultar o Comité Europeu para a Proteção de Dados, pode fixar um prazo para a formulação do referido parecer, tendo em conta a urgência da questão.

2. Sempre que o Parlamento Europeu, o Conselho ou a Comissão consultarem o Comité Europeu para a Proteção de Dados podem fixar um prazo para a formulação do referido parecer, tendo em conta a urgência da questão.

3. O Comité Europeu para a Proteção de Dados transmite os seus pareceres, diretrizes e boas práticas à Comissão e ao comité referido no artigo 57.º, n.º 1, e procede à sua publicação.

3. O Comité Europeu para a Proteção de Dados transmite os seus pareceres, diretrizes e boas práticas à Comissão e ao comité referido no artigo 57.º, n.º 1, e procede à sua publicação.

4. A Comissão informa o Comité Europeu para a Proteção de Dados das medidas adotadas em sequência de pareceres, diretrizes, recomendações e boas práticas, emitidos pelo referido comité.

4. A Comissão informa o Comité Europeu para a Proteção de Dados das medidas adotadas em sequência de pareceres, diretrizes, recomendações e boas práticas, emitidos pelo referido comité.

Texto da Comissão

Alteração

2. Os Estados-Membros devem prever que qualquer organismo, organização ou associação que vise proteger os direitos e interesses dos titulares de dados em relação à proteção dos seus dados pessoais e que esteja devidamente constituído ao abrigo do direito de um Estado-Membro, tem o direito de apresentar queixa a uma autoridade de controlo em qualquer Estado-Membro por conta de uma ou mais pessoas em causa, se considerar que os direitos de que beneficia um titular de dados por força da presente diretiva foram violados na sequência do tratamento dos seus dados pessoais. A organização ou associação tem de ser devidamente mandatada pelo(s) titular(es) de dados.

2. Os Estados-Membros devem prever que qualquer organismo, organização ou associação que esteja a agir no interesse público e que tenha sido devidamente constituído ao abrigo do direito de um Estado-Membro, tem o direito de apresentar queixa a uma autoridade de controlo em qualquer Estado-Membro por conta de uma ou mais pessoas em causa, se considerar que os direitos de que beneficia um titular de dados por força da presente diretiva foram violados na sequência do tratamento dos seus dados pessoais.

Texto da Comissão

Alteração

Direito de ação judicial contra uma autoridade de controlo

Direito de ação judicial contra uma autoridade de controlo

1. Os Estados-Membros devem prever o direito de ação judicial contra as decisões de uma autoridade de controlo.

1. Os Estados-Membros devem prever o direito de ação judicial de qualquer pessoa singular ou coletiva contra as decisões de uma autoridade de controlo que lhes dizem respeito.

2. Qualquer titular de dados tem o direito de ação judicial a fim de obrigar a autoridade de controlo a dar seguimento a uma queixa, na falta de uma decisão necessária para proteger os seus direitos, ou se a autoridade de controlo não informar a pessoa em causa, no prazo de três meses, sobre o andamento ou o resultado da sua queixa nos termos do artigo 45.º, n.º 1.

2. Os Estados-Membros devem prever que qualquer titular de dados tenha o direito de ação judicial a fim de obrigar a autoridade de controlo a dar seguimento a uma queixa, na falta de uma decisão necessária para proteger os seus direitos, ou se a autoridade de controlo não informar a pessoa em causa, no prazo de três meses, sobre o andamento ou o resultado da sua queixa nos termos do artigo 45.º, n.º 1, alínea b).

3. Os Estados-Membros devem prever que as ações contra uma autoridade de controlo são intentadas nos tribunais do Estado-Membro no território do qual se encontra estabelecida a autoridade de controlo.

3. Os Estados-Membros devem prever que as ações contra uma autoridade de controlo são intentadas nos tribunais do Estado-Membro no território do qual se encontra estabelecida a autoridade de controlo.

3-A. Os Estados-Membros devem garantir a execução das decisões definitivas proferidas pelo tribunal referido no presente artigo.

Texto da Comissão

Alteração

1-A. Os Estados-Membros devem garantir a execução das decisões definitivas proferidas pelo tribunal referido no presente artigo.

Texto da Comissão

Alteração

1. Os Estados-Membros devem prever que qualquer organismo, organização ou associação referido no artigo 50.º, n.º 2, pode exercer os direitos referidos nos artigos 51.º e 52.º, por conta de um ou mais titulares de dados.

1. Os Estados-Membros devem prever que qualquer organismo, organização ou associação referido no artigo 50.º, n.º 2, pode exercer os direitos referidos nos artigos 51.º, 52.º e 54.º quando mandatado por um ou mais titulares de dados.

Texto da Comissão

Alteração

2. Cada autoridade de controlo pode intervir em processos judiciais e intentar uma ação em tribunal a fim de fazer respeitar as disposições adotadas em conformidade com a presente diretiva ou assegurar a coerência da proteção de dados pessoais na União.

2. Os Estados-Membros devem prever que cada autoridade de controlo possa intervir em processos judiciais e intentar uma ação em tribunal a fim de fazer respeitar as disposições adotadas em conformidade com a presente diretiva ou assegurar a coerência da proteção de dados pessoais na União.

Texto da Comissão

Alteração

1. Os Estados-Membros devem prever que qualquer pessoa que tenha sofrido um prejuízo devido ao tratamento ilícito ou outro ato incompatível com as disposições adotadas nos termos da presente diretiva tem o direito de receber uma indemnização do responsável pelo tratamento ou do subcontratante pelo prejuízo sofrido.

1. Os Estados-Membros devem prever que qualquer pessoa que tenha sofrido um prejuízo, inclusive um prejuízo não pecuniário, devido ao tratamento ilícito ou outro ato incompatível com as disposições adotadas nos termos da presente diretiva tem o direito de exigir uma indemnização do responsável pelo tratamento ou do subcontratante pelo prejuízo sofrido.

Texto da Comissão

Alteração

CAPÍTULO VIII-A

Transmissão de dados pessoais a terceiros

Artigo 55.º-A

Transmissão de dados pessoais a outras autoridades ou a entidades privadas na União

1. Os Estados-Membros asseguram que o responsável pelo tratamento não transmita nem encarregue o subcontratante de transmitir dados pessoais a uma pessoa singular ou coletiva não sujeita às disposições adotadas em conformidade com a presente diretiva, salvo se:

(a) A transmissão respeitar a legislação nacional ou da União; e

(b) O destinatário estiver estabelecido num Estado-Membro da União Europeia; e

(c) Não existirem interesses legítimos específicos do titular dos dados que impeçam a transmissão dos dados; e

(d) A transmissão for necessária num caso específico para que o responsável pelo tratamento que efetua a transmissão dos dados pessoais possa assegurar:

(i) O desempenho das funções que lhe incubem legitimamente; ou

(ii) A prevenção de um perigo imediato e grave para a segurança pública; ou

(iii) A prevenção de danos graves para os direitos dos indivíduos.

2. O responsável pelo tratamento informa o destinatário sobre a finalidade para a qual os dados pessoais podem ser exclusivamente tratados.

3. O responsável pelo tratamento dá conhecimento dessas transferências à autoridade de controlo.

4. O responsável pelo tratamento informa o destinatário sobre as restrições de tratamento e assegura que estas restrições sejam respeitadas.

Texto da Comissão

Alteração

Exercício de delegação

Exercício de delegação

1. É conferido à Comissão o poder de adotar atos delegados, sob reserva das condições estabelecidas no presente artigo.

1. É conferido à Comissão o poder de adotar atos delegados, sob reserva das condições estabelecidas no presente artigo.

2. A delegação de poderes a que se refere o artigo 28.º, n.º 5, é conferida à Comissão por um período indeterminado a contar da data de entrada em vigor da presente diretiva.

2. O poder de adotar atos delegados a que se referem os artigos 25.º-A, n.º 7, 28.º, n.º 5, 34.º, n.ºs 3 e 5, é conferido à Comissão por um período indeterminado a contar da data de entrada em vigor da presente diretiva.

3. A delegação de poderes a que se refere o artigo 28.º, n.º 5 pode ser revogada a qualquer momento pelo Parlamento Europeu ou pelo Conselho. A decisão de revogação põe termo à delegação dos poderes nela especificados. A revogação produz efeitos no dia seguinte ao da sua publicação no Jornal Oficial da União Europeia ou numa data posterior nela especificada. A decisão de revogação não prejudica a validade dos atos delegados já em vigor.

3. A delegação de poderes a que se referem os artigos 25.º-A, n.º 7, 28.º, n.º 5, 34.º, n.ºs 3 e 5, pode ser revogada a qualquer momento pelo Parlamento Europeu ou pelo Conselho. A decisão de revogação põe termo à delegação dos poderes nela especificados. A revogação produz efeitos no dia seguinte ao da sua publicação no Jornal Oficial da União Europeia ou numa data posterior nela especificada. A decisão de revogação não prejudica a validade dos atos delegados já em vigor.

4. Logo que adote um ato delegado, a Comissão notifica-o simultaneamente ao Parlamento Europeu e ao Conselho.

4. Logo que adote um ato delegado, a Comissão notifica-o simultaneamente ao Parlamento Europeu e ao Conselho.

5. Um ato delegado adotado em conformidade com o artigo 28.º, n.º 5, só pode entrar em vigor se não forem formuladas objeções pelo Parlamento Europeu ou pelo Conselho no prazo de dois meses a contar da notificação desse ato ao Parlamento Europeu e ao Conselho ou se, antes do termo do referido prazo, o Parlamento Europeu e o Conselho tiverem informado a Comissão de que não pretendem formular objeções. Esse prazo é prorrogável por dois meses por iniciativa do Parlamento Europeu ou do Conselho.

5. Um ato delegado adotado em conformidade com os artigos 25.º-A, n.º 7, 28.º, n.º 5, 34.º, n.ºs 3 e 5, só pode entrar em vigor se não forem formuladas objeções pelo Parlamento Europeu ou pelo Conselho no prazo de seis meses a contar da notificação desse ato ao Parlamento Europeu e ao Conselho ou se, antes do termo do referido prazo, o Parlamento Europeu e o Conselho tiverem informado a Comissão de que não pretendem formular objeções. Esse prazo é prorrogável por seis meses por iniciativa do Parlamento Europeu ou do Conselho.

Texto da Comissão

Alteração

Artigo 56.º-A

Prazo para a adoção de atos delegados

1. A Comissão adota os atos delegados nos termos dos artigos 25.º-A, n.º 7, e 28.º, n.º 5, até [seis meses antes da data prevista no artigo 62.º, n.º 1]. A Comissão pode prorrogar o prazo referido no presente número por seis meses.

Justificação

A fim de garantir a aplicação adequada da diretiva e a segurança jurídica, é necessário que o ato delegado relativo à notificação de violações de dados seja adotado antes da data da entrada em vigor da diretiva.

Texto da Comissão

Alteração

3. Sempre que se faça referência ao presente número, é aplicável o artigo 8.º do Regulamento (UE) n.º 182/2011, conjugado com o seu artigo 5.º.

Suprimido

Texto da Comissão

Alteração

Avaliação

Avaliação

1. A Comissão deve avaliar a aplicação da presente diretiva.

1. A Comissão deve, após consulta do Comité Europeu para a Proteção de Dados, avaliar a aplicação e execução da presente diretiva. Deve atuar em estreita cooperação com os Estados-Membros e incluir visitas com e sem aviso prévio. O Parlamento Europeu e o Conselho devem ser informados durante o processo e ter acesso aos documentos pertinentes.

2. A Comissão deve proceder ao reexame, no prazo de três anos a contar da entrada em vigor da presente diretiva, de outros atos adotados pela União Europeia que regulam o tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais, em especial os atos adotados pela União que são mencionados no artigo 59.º, a fim de avaliar a necessidade de os harmonizar com a presente diretiva e apresentar, se for caso disso, as propostas necessárias à alteração desses atos de forma a assegurar uma abordagem coerente da proteção de dados pessoais no âmbito da presente diretiva.

2. A Comissão deve proceder ao reexame, no prazo de dois anos a contar da entrada em vigor da presente diretiva, de outros atos adotados pela União Europeia que regulam o tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais, em especial os atos adotados pela União que são mencionados no artigo 59.º, e deve apresentar propostas com vista a assegurar regras jurídicas coerentes e homogéneas relacionadas com o tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais, ou de execução de sanções penais, no âmbito da presente diretiva.

2-A. A Comissão deve apresentar, num prazo de dois anos após a entrada em vigor da presente diretiva, propostas adequadas de revisão do quadro jurídico aplicável ao tratamento de dados pessoais pelas instituições, pelos órgãos, pelos organismos e pelas agências da União, para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais, com vista a assegurar regras jurídicas coerentes e homogéneas relacionadas com o direito fundamental à proteção de dados pessoais na União.

3. A Comissão apresenta periodicamente ao Parlamento Europeu e ao Conselho relatórios sobre a avaliação e reexame da presente diretiva nos termos do n.º 1. O primeiro relatório deve ser apresentado o mais tardar quatro anos após a entrada em vigor da presente diretiva. Os relatórios subsequentes devem ser apresentados com uma periodicidade de quatro anos. A Comissão apresentará, se necessário, propostas adequadas com vista à alteração da presente diretiva e à harmonização de outros instrumentos jurídicos. O relatório é objeto de publicação.

3. A Comissão apresenta periodicamente ao Parlamento Europeu e ao Conselho relatórios sobre a avaliação e reexame da presente diretiva nos termos do n.º 1. O primeiro relatório deve ser apresentado o mais tardar quatro anos após a entrada em vigor da presente diretiva. Os relatórios subsequentes devem ser apresentados com uma periodicidade de quatro anos. A Comissão apresentará, se necessário, propostas adequadas com vista à alteração da presente diretiva e à harmonização de outros instrumentos jurídicos. O relatório é objeto de publicação.

Texto da Comissão

Alteração

(7) É crucial assegurar um nível elevado e coerente de proteção dos dados pessoais das pessoas singulares e facilitar o intercâmbio de dados pessoais entre as autoridades competentes dos Estados-Membros, a fim de assegurar a eficácia da cooperação judiciária em matéria penal e da cooperação policial. Para tal, o nível de proteção dos direitos e liberdades das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais, tem de ser equivalente em todos os Estados-Membros. A proteção efetiva dos dados pessoais na União exige não só reforçar os direitos dos titulares de dados e as obrigações dos responsáveis pelo tratamento de dados pessoais, mas também poderes equivalentes para controlar e assegurar a conformidade com as regras de proteção dos dados pessoais nos Estados-Membros.

(7) É crucial assegurar um nível elevado e coerente de proteção dos dados pessoais das pessoas singulares e facilitar o intercâmbio de dados pessoais entre as autoridades competentes dos Estados-Membros, a fim de assegurar a eficácia da cooperação judiciária em matéria penal e da cooperação policial. Para tal, há que garantir normas mínimas em todos os Estados-Membros no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais

Texto da Comissão

Alteração

(15) A proteção das pessoas singulares deve ser neutra em termos tecnológicos e independente das técnicas utilizadas, sob pena de se correr um sério risco de ser contornada. Deve aplicar-se ao tratamento de dados pessoais por meios automatizados e manuais se os dados estiverem contidos ou forem destinados a serem conservados num sistema de ficheiros. As pastas ou conjuntos de pastas, bem como as suas capas, que não estejam estruturadas de acordo com critérios específicos, não se incluem no âmbito de aplicação da presente diretiva. A presente diretiva não se aplica ao tratamento de dados pessoais efetuado no exercício de atividades não sujeitas à aplicação do direito da União, nomeadamente as relativas à segurança nacional, nem aos dados tratados pelas instituições, organismos, serviços e agências da União, designadamente a Europol ou a Eurojust.

(15) A proteção das pessoas singulares deve ser neutra em termos tecnológicos e independente das técnicas utilizadas, sob pena de se correr um sério risco de ser contornada. Deve aplicar-se ao tratamento de dados pessoais por meios automatizados e manuais se os dados estiverem contidos ou forem destinados a serem conservados num sistema de ficheiros. As pastas ou conjuntos de pastas, bem como as suas capas, que não estejam estruturadas de acordo com critérios específicos, não se incluem no âmbito de aplicação da presente diretiva. A presente diretiva não se aplica ao tratamento de dados pessoais efetuado no exercício de atividades não sujeitas à aplicação do direito da União, nomeadamente as relativas à segurança nacional;

Texto da Comissão

Alteração

(16) Os princípios da proteção de dados devem aplicar-se a qualquer informação relativa a uma pessoa singular identificada ou identificável. Para determinar se uma pessoa é identificável, importa considerar o conjunto dos meios suscetíveis de serem razoavelmente utilizados, quer pelo responsável pelo tratamento dos dados quer por qualquer outra pessoa, para identificar a referida pessoa. Os princípios da proteção de dados não se aplicam a dados tornados de tal forma anónimos que o titular dos dados já não possa ser identificado.

(16) Os princípios da proteção de dados devem aplicar-se a qualquer informação relativa a uma pessoa singular identificada ou identificável. Para determinar se uma pessoa é identificável, importa considerar o conjunto dos meios suscetíveis de serem razoavelmente utilizados, quer pelo responsável pelo tratamento dos dados quer por qualquer outra pessoa que trabalhe com o responsável, para identificar a referida pessoa. Os princípios da proteção de dados não se aplicam a dados tornados de tal forma anónimos que o titular dos dados já não possa ser identificado.

Texto da Comissão

Alteração

(23) O tratamento de dados pessoais nos domínios da cooperação judiciária em matéria penal e da cooperação policial implica necessariamente o tratamento de dados pessoais relativos a categorias diferentes de titulares de dados. Importa, portanto, estabelecer uma distinção o mais clara possível entre dados pessoais de diferentes categorias de titulares de dados, tais como suspeitos, pessoas condenadas por um crime, vítimas e terceiros, designadamente testemunhas, pessoas que detenham informações ou contactos úteis, e os cúmplices de pessoas suspeitas ou condenadas.

Suprimido

Texto da Comissão

Alteração

(24) Na medida do possível, os dados pessoais devem ser distinguidos em função do seu grau de precisão e de fiabilidade. Os factos devem ser distinguidos de apreciações pessoais, a fim de assegurar simultaneamente a proteção das pessoas singulares e a qualidade e a fiabilidade da informação tratada pelas autoridades competentes.

Suprimido

Texto da Comissão

Alteração

(43) Ao estabelecer regras pormenorizadas relativamente ao formato e aos procedimentos aplicáveis à notificação das violações de dados pessoais, deve ter-se devidamente em conta as circunstâncias da violação, nomeadamente a existência ou não de proteção dos dados pessoais através de medidas técnicas de proteção adequadas para reduzir eficazmente a probabilidade de utilização abusiva. Além disso, tais regras e procedimentos devem ter em conta os legítimos interesses das autoridades de aplicação da lei nos casos em que uma divulgação precoce de informações possa dificultar desnecessariamente a investigação das circunstâncias de uma violação.

Suprimido

Texto da Comissão

Alteração

(45) Os Estados-Membros devem assegurar que uma transferência para um país terceiro só possa ser realizada se for necessária para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou para a execução de sanções penais, e se o responsável pelo tratamento no país terceiro ou na organização internacional for uma autoridade competente na aceção da presente diretiva. Uma transferência pode realizar-se nos casos em que a Comissão tiver decidido que o país terceiro, ou a organização internacional em questão, garante um nível de proteção adequado, ou se tiverem sido apresentadas garantias adequadas.

(45) Os Estados-Membros devem assegurar que uma transferência para um país terceiro só possa ser realizada se for necessária para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou para a execução de sanções penais, e se o responsável pelo tratamento no país terceiro ou na organização internacional for uma autoridade competente na aceção da presente diretiva.

Texto da Comissão

Alteração

(55) Embora a presente diretiva se aplique também às atividades dos tribunais nacionais, a competência das autoridades de controlo não abrange o tratamento de dados pessoais quando os tribunais atuam no âmbito dessas funções, a fim de assegurar a independência dos juízes no exercício das suas funções jurisdicionais. Todavia, esta exceção deve ser estritamente limitada às atividades meramente judiciais relativas a processos em tribunal e não ser aplicável a outras atividades a que os juízes possam estar associados por força do direito nacional.

(55) Embora a presente diretiva se aplique também às atividades dos tribunais nacionais, a competência das autoridades de controlo não abrange o tratamento de dados pessoais quando os tribunais atuam no âmbito dessas funções, a fim de assegurar a independência dos juízes no exercício das suas funções jurisdicionais.

Texto da Comissão

Alteração

(70) Dado que os objetivos da presente diretiva, nomeadamente proteger os direitos e liberdades fundamentais das pessoas singulares e, em especial, o seu direito à proteção de dados pessoais, e assegurar o livre intercâmbio desses dados pelas autoridades competentes na União Europeia, não podem ser suficientemente realizados pelos Estados-Membros e podem pois, em razão da dimensão e dos efeitos da ação, ser melhor realizados a nível da União, esta última pode tomar medidas, em conformidade com o princípio da subsidiariedade consagrado no artigo 5.º do Tratado da União Europeia. Em conformidade com o princípio da proporcionalidade consagrado no mesmo artigo, a presente diretiva não excede o necessário para atingir esse objetivo.

Suprimido

Texto da Comissão

Alteração

(73) A fim de assegurar uma proteção global e coerente dos dados pessoais na União, os acordos internacionais celebrados pelos Estados-Membros anteriormente à entrada em vigor da presente diretiva devem ser alterados em conformidade com a presente diretiva.

Suprimido

Texto da Comissão

Alteração

1. A presente diretiva estabelece as regras relativas à proteção das pessoas quanto ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção, repressão de infrações penais ou de execução de sanções penais.

1. A presente diretiva estabelece as regras relativas à proteção das pessoas quanto ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção de riscos, investigação, deteção, repressão de infrações penais e de execução de sanções penais.

Justificação

Há problemas no domínio da prevenção de riscos pela polícia na definição do âmbito de aplicação da diretiva e do regulamento. Se o risco a prevenir não for punível como crime e se, por conseguinte, a polícia não estiver a prevenir uma infração penal na aceção do artigo 1.º, n.º 1, da proposta de diretiva, esta não pode ser aplicada (casos de pessoas desaparecidas e suicídios, por exemplo). As disposições do regulamento geral de proteção de dados são totalmente inadequadas para a prevenção de riscos.

Texto da Comissão

Alteração

2. Em conformidade com a presente diretiva, os Estados-Membros devem assegurar:

2. As normas mínimas da presente diretiva não impedem os Estados-Membros de manterem ou introduzirem disposições que assegurem um nível mais elevado de proteção dos dados pessoais.

Justificação

O objetivo da diretiva deve consistir na introdução de um nível mínimo de proteção ao nível europeu, e não em substituir as regulamentações nacionais. Por conseguinte, os Estados-Membros devem estar expressamente autorizados a adotar disposições mais rigorosas.

Texto da Comissão

Alteração

(b) Que o intercâmbio de dados pessoais pelas autoridades competentes da União não seja restringido nem proibido por razões relacionadas com a proteção das pessoas singulares no que respeita ao tratamento de dados pessoais.

Suprimido

Texto da Comissão

Alteração

(b) Efetuado pelas instituições, organismos, serviços e agências da União.

Suprimido

Justificação

As instituições e autoridades de UE devem também recair no âmbito de aplicação da diretiva.

Texto da Comissão

Alteração

(1) «Titular de dados», uma pessoa singular identificada ou identificável, direta ou indiretamente, por meios com razoável probabilidade de serem utilizados pelo responsável pelo tratamento ou por qualquer outra pessoa singular ou coletiva, nomeadamente por referência a um número de identificação, a dados de localização, a um identificador em linha ou a um ou mais elementos específicos próprios à sua identidade física, fisiológica, genética, psíquica, económica, cultural ou social;

(1) «Titular de dados», uma pessoa singular identificada ou identificável, direta ou indiretamente, por meios com razoável probabilidade de serem utilizados pelo responsável pelo tratamento ou por qualquer outra pessoa singular ou coletiva que trabalhe com o responsável, nomeadamente por referência a um número de identificação, a dados de localização, a um identificador em linha ou a um ou mais elementos específicos próprios à sua identidade física, fisiológica, genética, psíquica, económica, cultural ou social;

Texto da Comissão

Alteração

(9-A) «Consentimento do titular de dados», qualquer manifestação de vontade, livre, específica, informada e explícita, pela qual a pessoa em causa aceita, mediante uma declaração ou um ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento;

Justificação

A alteração delimita, de forma rigorosa, a autorização do titular dos dados. Mesmo que, em princípio, o cidadão e o Estado nunca possam ser colocados ao mesmo nível, a autorização poderá, em casos específicos, servir de justificação, como, por exemplo, no caso de testes de ADN em massa.

Texto da Comissão

Alteração

(14) «Autoridades competentes», qualquer autoridade pública competente para efeitos de prevenção, investigação, deteção e repressão de infrações penais, ou de execução de sanções penais;

(14) «Autoridades competentes», qualquer autoridade pública competente para efeitos de prevenção de riscos, investigação, deteção e repressão de infrações penais, ou de execução de sanções penais incluindo as instituições, órgãos, serviços e agências da União Europeia;

Texto da Comissão

Alteração

(a) Objeto de um tratamento leal e lícito;

(a) Objeto de um tratamento lícito, de maneira equitativa, transparente e verificável em relação ao titular dos dados;

Texto da Comissão

Alteração

(c) Adequados, pertinentes e limitados ao mínimo necessário relativamente às finalidades para que são tratados;

(c) Adequados, pertinentes e limitados ao mínimo necessário relativamente às finalidades para que são tratados; apenas devem ser tratados se o tratamento anónimo não for suficiente para o efeito pretendido e desde que os objetivos não pudessem ser atingidos através do tratamento de informações que não envolvessem dados pessoais;

Texto da Comissão

Alteração

(e) Conservados de forma a permitir a identificação dos titulares de dados apenas durante o período necessário para a prossecução das finalidades para que são tratados;

(e) Conservados de forma a permitir a identificação dos titulares de dados mas apenas durante o período necessário para a prossecução das finalidades para que são tratados;

Justificação

A alteração harmoniza a diretiva com o texto do regulamento sobre a proteção de dados. Para que haja uma abordagem conjunta, ambos os instrumentos jurídicos devem aplicar os mesmos princípios em matéria de tratamento de dados.

Texto da Comissão

Alteração

(f) Tratados sob a autoridade e responsabilidade do responsável pelo tratamento, que deve assegurar a conformidade com as disposições adotadas por força da presente diretiva.

(f) Tratados e utilizados exclusivamente por funcionários que detenham essas competências nas autoridades competentes, no exercício das suas funções;

Texto da Comissão

Alteração

(f) Tratados sob a autoridade e responsabilidade do responsável pelo tratamento, que deve assegurar a conformidade com as disposições adotadas por força da presente diretiva.

(f) Tratados sob a autoridade e responsabilidade do responsável pelo tratamento, que deve assegurar e demonstrar a conformidade com as disposições adotadas por força da presente diretiva.

Texto da Comissão

Alteração

1-A. Os Estados-Membros podem, na medida do possível, prever regras específicas sobre a classificação em categorias dos dados, incluindo as respetivas consequências, tendo em conta as diferentes finalidades para que os dados são coligidos, incluindo as condições para a recolha de dados, limites temporais para a sua retenção, eventuais limitações dos direitos de acesso e informação do titular de dados e as modalidades de acesso aos dados por parte das autoridades competentes.

Texto da Comissão

Alteração

Níveis diferentes de exatidão e de fiabilidade de dados pessoais

Exatidão material

Texto da Comissão