(Processo legislativo ordinário: primeira leitura)

O Parlamento Europeu,

–  Tendo em conta a proposta da Comissão ao Parlamento e ao Conselho (COM(2012)0010),

–  Tendo em conta o artigo 294.º, n.º 2, e o artigo 16.º, n.º 2, alínea a), do Tratado sobre o Funcionamento da União Europeia, nos termos dos quais a proposta lhe foi apresentada pela Comissão (C7-0024/2012),

–  Tendo em conta o artigo 294.º, n.º 3, do Tratado sobre o Funcionamento da União Europeia,

–  Tendo em conta os pareceres fundamentados apresentado pelo Bundesrat alemão e pelo Parlamento sueco, no âmbito do Protocolo n.º 2 relativo à aplicação dos princípios da subsidiariedade e da proporcionalidade, segundo os quais o projeto de ato legislativo não respeita o princípio da subsidiariedade,

–  Tendo em conta o parecer da Autoridade Europeia para a Proteção de Dados, de 7 de março de 2012(1),

–  Tendo em conta o parecer da Agência Europeia dos Direitos Fundamentais, de 1 de outubro de 2012,

–  Tendo em conta o artigo 55.º do seu Regimento,

–  Tendo em conta o relatório da Comissão das Liberdades Cívicas, da Justiça e dos Assuntos Internos e o parecer da Comissão dos Assuntos Jurídicos (A7-0403/2013),

1.  Aprova a posição em primeira leitura que se segue;

2.  Requer à Comissão que lhe submeta de novo a sua proposta se pretender alterá-la substancialmente ou substituí-la por outro texto;

3.  Encarrega o seu Presidente de transmitir a posição do Parlamento ao Conselho, à Comissão e aos parlamentos nacionais.

(1) JO C 192 de 30.6.2012, p. 7.

O PARLAMENTO EUROPEU E O CONSELHO DA UNIÃO EUROPEIA,

Tendo em conta o Tratado sobre o Funcionamento da União Europeia, nomeadamente o artigo 16.º, n.º 2,

Tendo em conta a proposta da Comissão Europeia,

Após transmissão do projeto de ato legislativo aos parlamentos nacionais,

Deliberando de acordo com o processo legislativo ordinário(1),

Considerando o seguinte:

(1)  A proteção das pessoas singulares relativamente ao tratamento de dados pessoais é um direito fundamental. O artigo 8.º, n.º 1, da Carta dos Direitos Fundamentais da União Europeia ("Carta") e o artigo 16.º, n.º 1, do Tratado sobre o Funcionamento da União Europeia estabelecem que todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito. Nos termos do artigo 8.º, n.º 2, da Carta, esses dados devem ser objecto de um tratamento leal, para fins específicos e com o consentimento da pessoa interessada ou com outro fundamento legítimo previsto por lei. [Alt. 1]

(2)  O tratamento dos dados pessoais é concebido para servir as pessoas; os princípios e as regras em matéria de proteção das pessoas singulares no que respeita ao tratamento dos seus dados pessoais devem respeitar, independentemente da nacionalidade ou do local de residência dessas pessoas, os seus direitos e liberdades fundamentais, particularmente o direito à proteção dos dados pessoais. O tratamento dos dados deve contribuir para a realização de um espaço de liberdade, segurança e justiça.

(3)  A rápida evolução tecnológica e a globalização criaram novos desafios em matéria de proteção de dados pessoais. A partilha e a recolha de dados registaram um espetacular aumento. As novas tecnologias permitem às autoridades competentes utilizar dados pessoais numa escala sem precedentes no exercício das suas atividades.

(4)  Esta evolução exige uma maior facilidade na livre circulação de dados, quando necessário e proporcionado, entre as autoridades competentes a nível da União e na sua transferência para países terceiros e organizações internacionais, assegurando paralelamente um elevado nível de proteção dos dados pessoais. Este contexto obriga ao estabelecimento na União de um quadro de proteção de dados sólido e mais coerente, apoiado por uma aplicação rigorosa das regras. [Alt. 2]

(5)  A Diretiva 95/46/CE do Parlamento Europeu e do Conselho(2), é aplicável a todas as atividades de tratamento de dados pessoais realizadas nos Estados-Membros, nos setores público e privado. Não se aplica, porém, ao tratamento de dados pessoais «no exercício de atividades não sujeitas à aplicação do direito comunitário, como as atividades realizadas nos domínios da cooperação judiciária em matéria penal e da cooperação policial.

(6)  A Decisão-Quadro 2008/977/JAI do Conselho(3), é aplicável no domínio da cooperação judiciária em matéria penal e da cooperação policial. O seu âmbito de aplicação limita-se ao tratamento de dados pessoais transmitidos ou disponibilizados entre os Estados‑Membros.

(7)  É crucial assegurar um nível elevado e coerente de proteção dos dados pessoais das pessoas singulares e facilitar o intercâmbio de dados pessoais entre as autoridades competentes dos Estados-Membros, a fim de assegurar a eficácia da cooperação judiciária em matéria penal e da cooperação policial. Para tal, há que garantir normas mínimas em todos os Estados-Membros no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais Para tal, o nível de proteção dos direitos e liberdades das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais, tem de ser equivalente em todos os Estados-Membros. É conveniente assegurar em toda a União a aplicação coerente e homogénea das regras de proteção dos direitos e das liberdades fundamentais das pessoas singulares no que diz respeito ao tratamento de dados pessoais. A proteção efetiva dos dados pessoais na União exige não só reforçar os direitos dos titulares de dados e as obrigações dos responsáveis pelo tratamento de dados pessoais, mas também poderes equivalentes para controlar e assegurar a conformidade com as regras de proteção dos dados pessoais nos Estados-Membros. [Alt. 3]

(8)  O artigo 16.º, n.º 2, do Tratado sobre o Funcionamento da União Europeia prevê que o Parlamento Europeu e o Conselho estabeleçam as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais, bem como as regras relativas à livre circulação desses dos seus dados pessoais. [Alt. 4]

(9)  Com base nessa orientação, o Regulamento (UE) n.° .../2014 do Parlamento Europeu e do Conselho, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (regulamento geral de proteção de dados), estabelece regras gerais visando proteger as pessoas singulares relativamente ao tratamento de dados pessoais e assegurar a livre circulação de dados pessoais na União.

(10)  Na Declaração 21 sobre a proteção de dados pessoais no domínio da cooperação judiciária em matéria penal e da cooperação policial, anexada à ata final da Conferência Intergovernamental que adotou o Tratado de Lisboa, a Conferência reconheceu que, atendendo à especificidade dos domínios em causa, poderão ser necessárias disposições específicas sobre proteção de dados pessoais e a livre circulação desses dados, nos domínios da cooperação judiciária em matéria penal e da cooperação policial, com base no artigo 16.º do Tratado sobre o Funcionamento da União Europeia.

(11)  Por conseguinte, uma diretiva distinta específica deve permitir responder à natureza específica destes domínios e estabelecer as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais. [Alt. 5]

(12)  A fim de assegurar o mesmo nível de proteção para as pessoas singulares através de direitos juridicamente protegidos no conjunto da União e evitar que as divergências constituam um obstáculo ao intercâmbio de dados pessoais entre as autoridades competentes, a presente diretiva prevê regras harmonizadas para a proteção e a livre circulação de dados pessoais nos domínios da cooperação judiciária em matéria penal e da cooperação policial.

(13)  A presente diretiva permite tomar em consideração o princípio do direito de acesso público aos documentos oficiais aquando da aplicação das suas disposições.

(14)  A proteção conferida pela presente diretiva diz respeito a pessoas singulares, independentemente da sua nacionalidade ou lugar de residência, relativamente ao tratamento de dados pessoais.

(15)  A proteção das pessoas singulares deve ser neutra em termos tecnológicos e independente das técnicas utilizadas, sob pena de se correr um sério risco de ser contornada. Deve aplicar-se ao tratamento de dados pessoais por meios automatizados e manuais se os dados estiverem contidos ou forem destinados a serem conservados num sistema de ficheiros. As pastas ou conjuntos de pastas, bem como as suas capas, que não estejam estruturadas de acordo com critérios específicos, não se incluem no âmbito de aplicação da presente diretiva. A presente diretiva não se aplica ao tratamento de dados pessoais efetuado no exercício de atividades não sujeitas à aplicação do direito da União, nomeadamente as relativas à segurança nacional, nem aos dados tratados pelas instituições, organismos, serviços e agências da União, designadamente a Europol ou a Eurojust.. O Regulamento (CE) n.º 45/2001 do Parlamento Europeu e do Conselho(4) e os instrumentos jurídicos específicos aplicáveis ​​às agências, aos organismos ou aos serviços da União devem ser alinhados pela presente directiva e aplicados em conformidade com a presente directiva. [Alt. 6]

(16)  Os princípios da proteção de dados devem aplicar-se a qualquer informação relativa a uma pessoa singular identificada ou identificável. Para determinar se uma pessoa é identificável, importa considerar o conjunto dos meios suscetíveis de serem razoavelmente utilizados, quer pelo responsável pelo tratamento dos dados quer por qualquer outra pessoa, para identificar, normalmente ou de forma seletiva, a referida pessoa. Os princípios da proteção de dados não se aplicam a dados tornados de tal forma anónimos que o titular dos dados já não possa ser identificado. A presente diretiva não deve aplicar-se a dados anónimos, ou seja, a todos os dados que não possam ser relacionados, direta ou indiretamente, isoladamente ou em combinação com dados conexos, com uma pessoa singular. Dada a importância dos desenvolvimentos em curso no âmbito da sociedade da informação, das técnicas usadas para captar, transmitir, manipular, registar, conservar ou comunicar dados de localização de pessoas singulares – que podem ser usadas para finalidades diferentes, incluindo a vigilância ou a definição de perfis – a diretiva deve ser aplicável ao tratamento destes dados pessoais. [Alt. 7]

(16-A)  Qualquer tratamento de dados pessoais deve ser efetuado de forma lícita, leal e transparente para com as pessoas em causa. Em especial, as finalidades específicas do tratamento devem ser explícitas e legítimas e ser determinadas aquando da recolha dos dados pessoais. Os dados pessoais devem ser adequados, pertinentes e limitados ao mínimo necessário às finalidades de tratamento para as quais se destinam. Tal exige, em particular, que os dados recolhidos sejam em volume limitado e o período de conservação seja restringido rigorosamente ao mínimo. Os dados pessoais apenas devem ser tratados se a finalidade do tratamento não puder ser atingida por outros meios. Devem ser adotadas todas as medidas razoáveis para assegurar que os dados pessoais inexatos sejam retificados ou apagados. Para assegurar que os dados sejam conservados apenas durante o período considerado necessário, o responsável pelo tratamento deve fixar os prazos para o apagamento ou a revisão periódica. [Alt. 8]

(17)  Os dados pessoais relativos à saúde devem incluir, em especial, todos os dados relativos ao estado de saúde de um titular de dados, informações sobre a inscrição da pessoa singular para a prestação de serviços de saúde, informações sobre pagamentos ou elegibilidade para cuidados de saúde; um número, símbolo ou sinal particular atribuído a uma pessoa singular para a identificar de forma inequívoca para fins de cuidados de saúde; quaisquer informações sobre a pessoa recolhidas no decurso de uma prestação de serviços de saúde; informações obtidas a partir de testes ou exames de uma parte do corpo ou de uma substância corporal, incluindo amostras biológicas; identificação de uma pessoa enquanto prestador de cuidados de saúde ao doente; ou quaisquer informações sobre, por exemplo, uma doença, deficiência, risco de doença, historial clínico, tratamento clínico ou estado físico ou biomédico atual do titular de dados, independentemente da sua fonte, por exemplo, um médico ou outro profissional de saúde, um hospital, um aparelho médico ou um teste de diagnóstico in vitro.

(18)  Qualquer tratamento de dados pessoais deve ser efetuado de forma lícita, leal e transparente para com as pessoas em causa. Em especial, as finalidades específicas do tratamento devem ser explícitas. [Alt. 9]

(19)  Para efeitos de prevenção, investigação e repressão de infrações penais, é necessário que as autoridades competentes conservem e tratem os dados pessoais, recolhidos no contexto da prevenção, investigação, deteção e repressão de infrações penais específicas, e para além desse contexto, a fim de obter uma melhor compreensão dos fenómenos criminais e das tendências que os caracterizam, recolher informação específica sobre as redes criminosas organizadas e estabelecer ligações entre as diferentes infrações detetadas. [Alt. 10]

(20)  Os dados pessoais não devem ser tratados para fins incompatíveis com a finalidade para a qual foram recolhidos. Os dados pessoais tratados devem ser adequados, pertinentes e não excessivos para as finalidades do tratamento. Devem ser adotadas todas as medidas razoáveis para assegurar que os dados pessoais inexatos são retificados ou apagados. [Alt. 11]

(20-A)  O simples facto de duas finalidades estarem relacionadas com a prevenção, investigação, deteção ou repressão de infrações penais ou de execução de sanções penais não significa necessariamente que as mesmas sejam compatíveis. No entanto, há casos em que o tratamento posterior para finalidades incompatíveis deve ser possível, caso seja necessário para o cumprimento de uma obrigação legal à qual o responsável pelo tratamento esteja sujeito, a fim de proteger os interesses vitais do titular dos dados ou de outra pessoa ou para a prevenção de uma ameaça grave e imediata para a segurança pública. Por conseguinte, os Estados-Membros devem poder adotar legislação nacional que preveja estas derrogações na medida do estritamente necessário. Essa legislação nacional deve conter salvaguardas adequadas. [Alt. 12]

(21)  É conveniente aplicar o princípio da exatidão dos dados tendo em conta a natureza e a finalidade do tratamento em causa. Em especial no caso de processos judiciais, as declarações que contêm dados pessoais são baseadas em perceções pessoais subjetivas e nem sempre são verificáveis. Este princípio não deve, portanto aplicar-se à exatidão da própria declaração, mas simplesmente ao facto de tal declaração ter sido feita.

(22)  Na interpretação e aplicação dos princípios gerais relacionados com o tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais, ou de execução de sanções penais, deve atender-se às especificidades do setor, incluindo os objetivos específicos prosseguidos. [Alt. 13]

(23)  O tratamento de dados pessoais nos domínios da cooperação judiciária em matéria penal e da cooperação policial implica necessariamente o tratamento de dados pessoais relativos a categorias diferentes de titulares de dados. Importa, portanto, estabelecer uma distinção o mais clara possível entre dados pessoais de diferentes categorias de titulares de dados, tais como suspeitos, pessoas condenadas por um crime, vítimas e terceiros, designadamente testemunhas, pessoas que detenham informações ou contactos úteis, e os cúmplices de pessoas suspeitas ou condenadas. Os Estados-Membros devem prever regras específicas para as consequências desta distinção entre categorias, tendo em conta as diversas finalidades para as quais são recolhidos os dados e prevendo garantias específicas para as pessoas que não sejam suspeitas de terem cometido infrações penais ou que não tenham sido condenadas por terem cometido infrações penais. [Alt. 14]

(24)  Na medida do possível, os dados pessoais devem ser distinguidos em função do seu grau de precisão e de fiabilidade. Os factos devem ser distinguidos de apreciações pessoais, a fim de assegurar simultaneamente a proteção das pessoas singulares e a qualidade e a fiabilidade da informação tratada pelas autoridades competentes.

(25)  Para ser lícito, o tratamento de dados pessoais tem de ser autorizado apenas quando necessário para o respeito de uma obrigação legal à qual o responsável pelo tratamento esteja sujeito, bem como para a execução de uma missão de interesse público por uma autoridade competente prevista na lei, ou para a proteção dos interesses vitais do titular dos dados ou de outra pessoa, ou para a prevenção de uma ameaça grave e imediata para a segurança pública da União ou dos Estados-Membros, a qual deve conter disposições explícitas e pormenorizadas acerca, pelo menos, dos objetivos, dados pessoais, meios e finalidades específicas, nomear ou permitir a nomeação do responsável pelo tratamento, os procedimentos a seguir, a utilização e limitações do âmbito de qualquer poder discricionário conferido às autoridades competentes relativamente às atividades de tratamento. [Alt. 15]

(25-A)  Os dados pessoais não devem ser tratados para fins incompatíveis com a finalidade para a qual foram recolhidos. O tratamento posterior pelas autoridades competentes para uma finalidade abrangida pelo âmbito da presente diretiva que não seja compatível com a finalidade original só deve ser autorizado em casos específicos, quando esse tratamento for necessário para o cumprimento de uma obrigação legal, com base na legislação da União ou ou do Estado-Membro à qual o responsável pelo tratamento esteja sujeito, ou a fim de proteger os interesses vitais do titular dos dados ou de outra pessoa, ou para a prevenção de uma ameaça grave e imediata para a segurança pública. O facto de os dados serem tratados para fins de aplicação da lei não implica necessariamente que esta finalidade seja compatível com a finalidade inicial. O conceito de utilização compatível deve ser interpretado de forma restritiva. [Alt. 16]

(25-B)  Deve ser posto termo ao tratamento de dados pessoais em violação das disposições nacionais adotadas nos termos da presente diretiva. [Alt. 17]

(26)  Os dados pessoais que sejam, devido à sua natureza, especialmente sensíveis e vulneráveis do ponto de vista dos direitos fundamentais ou da privacidade, designadamente os dados genéticos, merecem proteção específica. Estes dados não devem ser objeto de tratamento, salvo se essa operação for especificamente autorizada por uma lei necessária ao exercício de uma missão de interesse público, com base no direito da União ou na legislação do Estado-Membro que preveja medidas adequadas de proteção dos direitos fundamentais e dos interesses legítimos do titular dos dados, ou se for necessário para proteger os interesses vitais do titular dos dados ou de outra pessoa, ou se estiver relacionado com dados que tenham sido manifestamente tornados públicos pelo titular dos dados. Os dados pessoais sensíveis só devem ser tratados se complementarem outros dados pessoais já tratados para finalidades de aplicação da lei. As derrogações da proibição de tratamento de dados sensíveis devem ser interpretadas de forma restritiva e não devem levar a um tratamento frequente, massivo ou estrutural de dados pessoais sensíveis. [Alt. 18]

(26-A)  O tratamento de dados genéticos deve ser autorizado apenas se existir uma ligação genética revelada durante uma investigação criminal ou um processo judicial. Os dados genéticos devem ser conservados apenas durante o tempo estritamente necessário no quadro dessas investigações e desses processos, se bem que os Estados-Membros possam estabelecer períodos de conservação mais prolongados, nas condições definidas na presente diretiva. [Alt. 19]

(27)  Qualquer pessoa singular deve ter o direito a não estar sujeita a uma medida baseada exclusivamente nona definição parcial ou total de perfis através de tratamento automatizado, se este produzir. O tratamento que produza efeitos negativos na esfera jurídica dessa pessoa ou a afete de modo significativo deve ser proibido, salvo se autorizada autorizado por lei e subordinada subordinado a medidas adequadas que garantam os direitos fundamentais e os interesses legítimos do titular de dados, designadamente o direito de receber informação pertinente acerca da lógica utilizada na definição dos perfis. Este tratamento não deve, em circunstância alguma, incluir, produzir ou discriminar dados com base em categorias especiais. [Alt. 20]

(28)  A fim de permitir aos titulares de dados exercer os seus direitos, quaisquer informações que lhe sejam dirigidas devem ser de fácil acesso e compreensão e, nomeadamente, formuladas em termos claros e simples. Estas informações devem ser adaptadas às necessidades do titular de dados, em particular quando as informações são dirigidas especificamente a uma criança. [Alt. 21]

(29)  Devem ser previstas modalidades para facilitar o exercício pelo titular de dados dos direitos conferidos pela presente diretiva, incluindo mecanismos para solicitar, a título gratuito, em especial o acesso aos dados, a sua retificação e apagamento. O responsável pelo tratamento deve ser obrigado a responder aos pedidos do titular de dados sem demora injustificadae no prazo de um mês a contar da receção do pedido. Sempre que os dados pessoais sejam objeto de tratamento automatizado, o responsável pelo tratamento deve prever meios para a apresentação de pedidos por via eletrónica. [Alt. 22]

(30)  Os princípios de tratamento leal e transparente exigem que o titular dos dados seja informado, em especial, da existência da operação de tratamento de dados e das suas finalidades, do seu fundamento jurídico, do período de conservação dos dados, da existência do direito de acesso, retificação ou apagamento, bem como do seu direito de apresentar uma queixa. Além disso, o titular dos dados deve ser informado de uma eventual definição de perfis e dos efeitos que a mesma visa produzir. Sempre que os dados forem recolhidos junto do titular dos dados, este deve ser também informado da obrigatoriedade de fornecer esses dados e das respetivas consequências, caso não os faculte. [Alt. 23]

(31)  As informações sobre o tratamento de dados pessoais devem ser fornecidas ao titular dos dados no momento da sua recolha ou, se a recolha não foi obtida junto da pessoa em causa, no momento do seu registo ou num prazo razoável após a sua recolha, dependendo das circunstâncias do caso.

(32)  Qualquer pessoa deve ter o direito de acesso aos dados recolhidos sobre si e de exercer facilmente este direito, a fim de conhecer e verificar a licitude do tratamento. Por conseguinte, cada titular de dados deve ter o direito de conhecer e ser informado, em especial, das finalidades a que se destinam os dados tratados, da base jurídica, da duração da sua conservação, bem como da identidade dos destinatários, incluindo em países terceiros, de informações compreensíveis sobre a lógica subjacente a qualquer tratamento automatizado dos dados e da importância e consequências previstas de tal tratamento, se aplicável, bem como do direito de apresentar queixa a uma autoridade de controlo e de obter os contactos desta. Os titulares de dados devem poder obter uma cópia dos seus dados pessoais objeto de tratamento. [Alt. 24]

(33)  Os Estados-Membros devem ser autorizados a adotar medidas legislativas visando atrasar a informação dos titulares de dados ou o acesso aos dados pessoais que lhes digam respeito, ou a não fornecer essas informações ou esse acesso, desde que tal limitação, parcial ou total, represente uma medida necessária e proporcional numa sociedade democrática, tendo devidamente em conta os direitos fundamentais e os interesses legítimos do titular de dados, a fim de evitar que tal constitua um obstáculo para os inquéritos, investigações e procedimentos oficiais ou legais, para evitar prejudicar a prevenção, investigação, deteção e repressão de infrações penais ou a execução de sanções penais, para proteger a segurança pública ou a segurança nacional ou proteger o titular de dados ou os direitos e as liberdades de terceiros. O responsável pelo tratamento deve avaliar, através dum exame individual e concreto de cada caso específico, se as limitações parciais ou totais são aplicáveis ao direito de acesso. [Alt. 25]

(34)  Qualquer recusa ou restrição do acesso deve ser comunicada por escrito ao titular dos dados, indicando simultaneamente os motivos factuais ou jurídicos que fundamentam a decisão adotada.

(34-A)  Quaisquer restrições dos direitos do titular de dados devem respeitar a Carta e a Convenção Europeia dos Direitos do Homem, tal como clarificados pela jurisprudência do Tribunal de Justiça da União Europeia e do Tribunal Europeu dos Direitos do Homem, e devem, em particular, respeitar o conteúdo essencial dos direitos e liberdades. [Alt. 26]

(35)  Sempre que os Estados-Membros tiverem adotado medidas legislativas para limitar total ou parcialmente o direito de acesso, o titular de dados deve ter o direito de solicitar à autoridade nacional de controlo competente que verifique a licitude do tratamento. O titular de dados deve ser informado desse direito. Quando o direito de acesso for exercido pela autoridade de controlo em nome do titular de dados, a autoridade de controlo deve pelo menos informar o interessado de que foram realizadas todas as verificações necessárias e do resultado relativamente à licitude do tratamento em questão. A autoridade de controlo deve também informar o titular de dados do seu direito de ação judicial. [Alt. 27]

(36)  Qualquer pessoa deve ter o direito a que os dados incorretos ou tratados indevidamente que lhe digam respeito sejam retificados e o «direito a ser esquecido», quando o tratamento não for conforme com os princípios gerais enunciados naas disposições da presente diretiva. A retificação, o aditamento ou o apagamento devem ser comunicados aos destinatários a quem os dados tenham sido divulgados e aos terceiros na origem dos dados inexatos. Os responsáveis pelo tratamento devem igualmente abster-se de qualquer comunicação ulterior desses dados. Sempre que os dados pessoais forem tratados no âmbito de uma investigação criminal ou de um processo penal, o direito à informação, o direito de acesso, de retificação e de apagamento, bem como o direito de limitação do tratamento, podem ser exercidos em conformidade com as regras nacionais aplicáveis aos processos judiciais. [Alt. 28]

(37)  Deve ser definida uma responsabilidade global do responsável pelo tratamento por qualquer tratamento de dados pessoais que ele próprio realize ou que seja realizado por sua conta. Em especial, o responsável pelo tratamento deve assegurar e ser obrigado a poder demonstrar a conformidade das operaçõesde cada operação de tratamento de dados com o disposto na presente diretiva. [Alt. 29]

(38)  A proteção dos direitos e liberdades dos titulares de dados relativamente ao tratamento dos seus dados pessoais exige a adotada de medidas técnicas e organizativas adequadas, a fim de assegurar o cumprimento dos requisitos da presente diretiva. A fim de assegurar a conformidade com a presente diretiva, o responsável pelo tratamento deve adotar regras internas e aplicar medidas apropriadas conformes, em especial, com os princípios de proteção de dados desde a conceção e de proteção de dados por defeito.

(39)  A proteção dos direitos e liberdades dos titulares de dados, bem como a responsabilidade dos responsáveis pelo tratamento e dos subcontratantes, exige uma clara repartição das responsabilidades nos termos da presente diretiva, nomeadamente quando o responsável pelo tratamento determina as finalidades e os meios do tratamento conjuntamente com outros responsáveis, ou quando uma operação de tratamento de dados é efetuada por conta de um responsável pelo tratamento. O titular dos dados deve ter o direito de exercer os seus direitos nos termos da presente diretiva relativamente a cada um dos responsáveis conjuntos e contra eles. [Alt. 30]

(40)  A fim de comprovar a observância da presente diretiva, o responsável pelo tratamento ou o subcontratante deve documentar cada operação de tratamento de dados. Cada responsável pelo tratamento e subcontratante deve ser obrigado a cooperar com a autoridade de controlo e a disponibilizar essa documentação, quando tal lhe for solicitado, para que possa servir ao controlo dessas operações de tratamento.

(40-A)  Cada operação de tratamento de dados pessoais deve ser registada para permitir a verificação da licitude do tratamento e o acompanhamento, bem como garantir a integridade e segurança dos dados. Este registo deve ser disponibilizado à autoridade de controlo, quando tal lhe for solicitado, para controlar o respeito das normas estabelecidas na presente diretiva. [Alt. 31]

(40-B)  Deve ser efetuada uma avaliação do impacto na proteção de dados pelo responsável pelo tratamento ou pelo subcontratante quando as operações de tratamento especificadas forem suscetíveis de apresentar riscos específicos para os direitos e liberdades dos titulares de dados devido à sua natureza, âmbito ou finalidades, a qual deve incluir, em particular, as medidas previstas, garantias e mecanismos para assegurar a proteção dos dados pessoais, e demonstrar a conformidade com a presente diretiva. As avaliações do impacto na proteção de dados devem ter como objeto os sistemas e processos pertinentes das operações de tratamento dos dados pessoais, mas não casos individuais. [Alt. 32]

(41)  A fim de assegurar a proteção efetiva dos direitos e liberdades dos titulares de dados através de ações preventivas, o responsável pelo tratamento ou o subcontratante deve, em determinados casos, consultar a autoridade de controlo previamente à operação de tratamento. Além disso, sempre que uma avaliação de impacto sobre a proteção de dados indicar que as operações de tratamento de dados podem acarretar um elevado grau de riscos particulares para os direitos e liberdades dos titulares de dados, a autoridade de controlo deve estar em condições de impedir, antes de as operações terem início, um tratamento arriscado suscetível de não estar em conformidade com a presente diretiva, e de apresentar propostas para remediar essa situação. Essa consulta deve igualmente ser efetuada durante os trabalhos de elaboração de uma medida legislativa pelo parlamento nacional, ou de uma medida baseada nesta última que defina a natureza do tratamento e especifique as garantias adequadas. [Alt. 33]

(41-A)  A fim de preservar a segurança e evitar o tratamento em violação da presente diretiva, o responsável pelo tratamento, ou o subcontratante, deve avaliar os riscos que o tratamento implica e aplicar medidas que os atenuem. Estas medidas devem assegurar um nível de segurança adequado, atendendo aos conhecimentos técnicos disponíveis e ao custo da sua aplicação em função dos riscos e da natureza dos dados a proteger. Aquando do estabelecimento de normas técnicas e de medidas organizativas destinadas a garantir a segurança do tratamento, deve ser promovida a neutralidade tecnológica. [Alt. 34]

(42)  A violação dos dados pessoais pode, se não forem adotadas medidas adequadas e oportunas, causar danosprejuízos económicos e sociais substanciais, nomeadamente à reputaçãoatravés da usurpação de identidade, à pessoa singular em causa. Assim, logo que o responsável pelo tratamento tenha conhecimento da ocorrência de uma violação, deve comunicá-la à autoridade nacional competente. As pessoas singulares cujos dados pessoais possam ter sido afetados negativamente por tal violação, devem ser avisadas sem demora injustificada, para que possam adotar as precauções necessárias. Deve considerar-se que uma violação afeta negativamente os dados pessoais ou a privacidade de um titular de dados sempre que daí possa resultar, por exemplo, roubo ou usurpação de identidade, danos físicos, humilhações ou danos significativos contra a reputação, consecutivos ao tratamento de dados pessoais. A notificação deverá incluir informações sobre as medidas tomadas pelo fornecedor para dar resposta à violação da segurança, bem como recomendações para o assinante ou indivíduo afetado. As pessoas em causa devem ser notificadas o mais rapidamente possível, em estreita cooperação com a autoridade de controlo e em cumprimento das orientações por esta fornecidas. [Alt. 35]

(43)  Ao estabelecer regras pormenorizadas relativamente ao formato e aos procedimentos aplicáveis à notificação das violações de dados pessoais, deve ter-se devidamente em conta as circunstâncias da violação, nomeadamente a existência ou não de proteção dos dados pessoais através de medidas técnicas de proteção adequadas para reduzir eficazmente a probabilidade de utilização abusiva. Além disso, tais regras e procedimentos devem ter em conta os legítimos interesses das autoridades de aplicação da lei nos casos em que uma divulgação precoce de informações possa dificultar desnecessariamente a investigação das circunstâncias de uma violação.

(44)  O responsável pelo tratamento, ou o subcontratante, deve designar uma pessoa para o ajudar a controlar e demonstrar a conformidade das disposições adotadas por força da presente diretiva. Um delegado para a proteção de dados pode ser designado conjuntamente por diversas entidades da autoridade competenteSempre que várias autoridades competentes atuem sob o controlo de uma autoridade central, deve incumbir pelo menos a esta autoridade central designar o referido delegado. Os delegados para a proteção de dados devem estar em condições de desempenhar as suas funções e atribuições de forma efetiva e com total independência, em particular, criando normas com vista a impedir um conflito de interesses com as funções desempenhadas pelo delegado para a proteção de dados. [Alt. 36]

(45)  Os Estados-Membros devem assegurar que uma transferência para um país terceiro só possa ser realizada se essa transferência específica for necessária para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou para a execução de sanções penais, e se o responsável pelo tratamento no país terceiro ou na organização internacional for uma autoridade pública competente na aceção da presente diretiva. Uma transferência pode realizar-se nos casos em que a Comissão tiver decidido que o país terceiro, ou a organização internacional em questão, garante um nível de proteção adequado, ou se tiverem sido apresentadas garantias adequadas, ou quando tiverem sido apresentadas garantias adequadas através de um instrumento vinculativo. Os dados que são transferidos para autoridades públicas competentes de países terceiros não devem ser alvo de um tratamento para outras finalidades que não a que motivou a referida transferência. [Alt. 37]

(45-A)  As transferências ulteriores por parte de autoridades competentes de países terceiros ou organizações internacionais para as quais foram transferidos dados pessoais só devem ser autorizadas se a transferência ulterior em causa for necessária para a mesma finalidade específica da transferência original e se o segundo destinatário for também uma autoridade pública competente. As transferências ulteriores não devem ser autorizadas para fins gerais de aplicação da lei. A autoridade competente que realizou a transferência original deve autorizar a transferência ulterior. [Alt. 38]

(46)  A Comissão pode decidir, com efeitos no conjunto da União, que determinados países terceiros, um território ou um setor de tratamento de dados de um país terceiro, ou uma organização internacional, asseguram um nível de proteção de dados adequado, garantindo assim a segurança jurídica e a uniformidade a nível da União relativamente a países terceiros ou organizações internacionais que sejam consideradas aptas a assegurar tal nível de proteção. Nestes casos, podem realizar-se transferências de dados pessoais para esses países sem que para tal seja necessário qualquer outra autorização.

(47)  Em consonância com os valores fundamentais sobre os quais assenta a União, particularmente a proteção dos direitos humanos, a Comissão deve ter em consideração em que medida esse país respeita o primado do Estado de direito, garante o acesso à justiça e observa as regras e normas internacionais no domínio dos direitos humanos.

(48)  A Comissão deve igualmente poder reconhecer que um país terceiro, ou um território ou um setor de tratamento de um país terceiro, ou uma organização internacional, não assegura um nível de proteção adequado de dados. Se for esse no caso, deve ser proibida a transferência de dados pessoais para esse país terceiro, salvo se tiver por base um acordo internacional, garantias adequadas ou uma derrogação. É conveniente prever procedimentos de consulta entre a Comissão e o país terceiro ou a organização internacional. Todavia, tal decisão da Comissão não prejudica a possibilidade de realizar transferências com base em garantias adequadas através de um instrumento vinculativo ou numa derrogação prevista na presente diretiva. [Alt. 39]

(49)  As transferências que não se basearem numa decisão sobre o nível adequado da proteção só devem ser autorizadas se forem apresentadas garantias apropriadas num instrumento vinculativo que garanta a proteção dos dados pessoais, ou se o responsável pelo tratamento ou o subcontratante tiver avaliado todas as circunstâncias inerentes à transferência de dados ou ao conjunto de operações de transferências de dados e, com base nessa avaliação, considerar existirem garantias adequadas relativamente à proteção de dados pessoais. Caso não existam fundamentos para a autorização de transferência, devem ser permitidas derrogações se forem necessárias para proteger os interesses vitais do titular de dados ou de um terceiro, ou para assegurar os interesses legítimos dessa pessoa, desde que a legislação do Estado-Membro que efetua a transferência dos dados assim o preveja, ou se for essencial para a prevenção de uma ameaça imediata e grave para a segurança pública de um Estado-Membro ou de um país terceiro ou, em certos casos, para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais, ou em casos especiais, tendo em vista a declaração, o exercício ou a defesa de um direito num processo judicial. [Alt. 40]

(49-A)  Caso não existam fundamentos para a autorização de transferência, devem ser permitidas derrogações se forem necessárias para proteger os interesses vitais do titular de dados ou de um terceiro, ou para assegurar os interesses legítimos dessa pessoa, desde que a legislação do Estado-Membro que efetua a transferência dos dados assim o preveja, ou se for essencial para a prevenção de uma ameaça imediata e grave para a segurança pública de um Estado-Membro ou de um país terceiro ou, em certos casos, para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais, ou em casos especiais, tendo em vista a declaração, o exercício ou a defesa de um direito num processo judicial. Essas derrogações devem ser interpretadas de forma restritiva e não permitir transferências frequentes, massivas e estruturais de dados pessoais nem transferências massivas de dados, que devem ser limitadas aos dados estritamente necessários. Além disso, a decisão de transferência deve ser adotada por uma pessoa devidamente autorizada e deve ser documentada e disponibilizada, a pedido, à autoridade de controlo para verificar a licitude da transferência. [Alt. 41]

(50)  Sempre que os dados pessoais atravessam fronteiras há um risco acrescido de que as pessoas singulares não possam exercer o seu direito à proteção de dados, nomeadamente para se proteger da utilização ilícita ou da divulgação dessas informações. Paralelamente, as autoridades de controlo podem ser incapazes de apreciar as queixas ou conduzir investigações relacionadas com atividades exercidas fora das suas fronteiras. Os seus esforços para colaborar no contexto transfronteiriço podem ser também restringidos por competências insuficientes ou regimes jurídicos incoerentes. Por conseguinte, é necessário promover uma cooperação mais estreita entre as autoridades de controlo da proteção de dados a fim de que possam efetuar o intercâmbio de informações e realizar investigações com as suas homólogas internacionais.

(51)  A criação de autoridades de controlo nos Estados-Membros, que exerçam as suas funções com total independência, constitui um elemento essencial da proteção das pessoas singulares no que respeita ao tratamento dos seus dados pessoais. As autoridades de controlo devem supervisionar a aplicação das disposições da presente diretiva e contribuir para a sua aplicação coerente no conjunto da União, a fim de proteger as pessoas singulares relativamente ao tratamento dos seus dados pessoais. Para esse efeito, as autoridades de controlo devem cooperar entre sie com a Comissão. [Alt. 42]

(52)  Os Estados Membros podem confiar a uma autoridade de controlo já criada nos Estados-Membros nos termos do Regulamento (UE) .../2014 a responsabilidade pelas funções a desempenhar pelas autoridades nacionais de controlo a instituir por força da presente diretiva.

(53)  Deve ser permitido aos Estados-Membros criarem várias autoridades de controlo de modo a refletir a sua estrutura constitucional, organizacional e administrativa. É conveniente que cada autoridade de controlo disponha dos recursos financeiros e humanos adequados, bem como de instalações e infraestruturas - incluindo capacidades técnicas, experiência e competências - necessários a um exercício eficaz das suas funções, incluindo as relacionadas com a assistência e a cooperação mútuas com outras autoridades de controlo a nível da União. [Alt. 43]

(54)  As condições gerais aplicáveis aos membros da autoridade de controlo devem ser definidas por lei em cada Estado-Membro e devem prever, em especial, que esses membros são nomeados pelo parlamento ou pelo governo nacional, com base na consulta do parlamento, e incluir disposições sobre a qualificação e as funções desses membros. [Alt. 44]

(55)  Embora a presente diretiva se aplique também às atividades dos tribunais nacionais, a competência das autoridades de controlo não abrange o tratamento de dados pessoais quando os tribunais atuam no âmbito dessas funções, a fim de assegurar a independência dos juízes no exercício das suas funções jurisdicionais. Todavia, esta exceção deve ser estritamente limitada às atividades meramente judiciais relativas a processos em tribunal e não ser aplicável a outras atividades a que os juízes possam estar associados por força do direito nacional.

(56)  A fim de assegurar o controlo e a aplicação coerentes da presente diretiva no conjunto da União, as autoridades de controlo devem ter, em cada Estado-Membro, os mesmos deveres e poderes efetivos, incluindo os poderes de investigação efetivos, poderes de acesso aos dados pessoais e todas as informações necessárias à execução de todas as funções de controlo, poderes de acesso a todas as instalações do responsável pelo tratamento ou o subcontratante, incluindo o equipamento para o tratamento de dados, e de intervenção juridicamente vinculativa, de deliberação e de sanção, particularmente em caso de queixas apresentadas por pessoas singulares, bem como o poder de intervir em processos judiciais. [Alt. 45]

(57)  Cada autoridade de controlo deve receber as queixas apresentadas por qualquer titular de dados e investigar a matéria. A investigação decorrente de uma queixa deve ser realizada, embora sujeita a revisão judicial, na medida adequada ao caso específico. A autoridade de controlo deve informar a pessoa em causa da evolução e do resultado da queixa num prazo razoável. Se o caso exigir uma investigação mais aprofundada ou a coordenação com outra autoridade de controlo, devem ser fornecidas informações intercalares ao titular dos dados.

(58)  As autoridades de controlo devem prestar-se mutuamente assistência no desempenho das suas funções, por forma a assegurar a execução e aplicação coerentes das disposições adotadas em conformidade com a presente diretiva. Todas as autoridades de controlo devem estar prontas a participar em operações conjuntas. A autoridade de controlo requerida é obrigada a responder ao pedido dentro de um determinado prazo. [Alt. 46]

(59)  O Comité Europeu para a Proteção de Dados, instituído pelo Regulamento (UE) .../20122014, deve contribuir para a aplicação coerente da presente diretiva no conjunto da União, nomeadamente no aconselhamento da Comissãodas instituições da União e na promoção da cooperação das autoridades de controlo na União, e dar o seu parecer à Comissão no quadro da elaboração de atos delegados e de atos de execução com base na presente diretiva. [Alt. 47]

(60)  Qualquer titular de dados deve ter o direito de apresentar uma queixa à autoridade de controlo em qualquer Estado-Membro e dispor do direito de recurso aos tribunais se considerar que os direitos que lhe confere a presente diretiva não são respeitados, se a autoridade de controlo não responder à queixa, ou não agir conforme necessário para proteger os direitos da pessoa em causa.

(61)  Qualquer organismo, organização ou associação vise proteger os direitos e interesses dos titulares de dados no que respeita à proteção dos dados que lhe digam respeito, que atue no interesse público e seja constituído(a) ao abrigo do direito de um Estado-Membro, deve ter o direito de apresentar aos tribunais queixa junto de uma autoridade de controlo ou de exercer o direito de recurso aos tribunais em nome das pessoas em causa, mediante mandato nesse sentido, ou de apresentar, independentemente da queixa apresentada pela pessoa em causa, uma queixa em seu próprio nome, sempre que considere ter ocorrido uma violação de dados pessoais. [Alt. 48]

(62)  Qualquer pessoa, singular ou coletiva, deve ter o direito de ação judicial contra as decisões que lhes digam respeito emitidas por uma autoridade de controlo. As ações contra uma autoridade de controlo devem ser intentadas nos tribunais do Estado‑Membro no território do qual se encontra estabelecida a autoridade de controlo.

(63)  Os Estados-Membros devem assegurar que as ações judiciais, para serem eficazes, permitam a adoção rápida de medidas visando a reparação ou a prevenção de uma violação prevista na presente diretiva.

(64)  Qualquer dano, inclusive não pecuniário, de que uma pessoa possa ser vítima em resultado de um tratamento ilícito deve ser ressarcido pelo responsável pelo tratamento, ou pelo subcontratante, que no entanto pode ser exonerado da sua responsabilidade se provar que o facto causador do dano não lhe é imputável, nomeadamente se provar que o dano é imputável à pessoa em causa ou em caso de força maior. [Alt. 49]

(65)  Devem ser aplicadas sanções a qualquer pessoa singular ou coletiva, regida pelo direito privado ou público, que não respeite o disposto na presente diretiva. Os Estados-Membros devem assegurar que as sanções sejam efetivas, proporcionadas e dissuasivas, e tomar todas as medidas necessárias à sua aplicação.

(65-A)  A transmissão de dados pessoais a outras autoridades ou a entidades privadas é proibida exceto se a transmissão estiver em conformidade com a legislação e o destinatário estiver estabelecido num Estado-Membro, não existirem interesses legítimos específicos do titular dos dados que impeçam a transmissão dos dados, a transmissão for necessária num caso específico para que o responsável pelo tratamento que efetua a transmissão dos dados pessoais possa assegurar o desempenho das funções que lhe incubem legitimamente ou para a prevenção de um perigo imediato e grave para a segurança pública ou de danos graves aos direitos dos indivíduos. O responsável pelo tratamento informa o destinatário sobre a finalidade do tratamento e a autoridade de controlo sobre a transmissão. O destinatário deve também ser informado sobre as restrições de tratamento e assegurar que estas sejam respeitadas. [Alt. 50]

(66)  Por forma a cumprir os objetivos da presente diretiva, nomeadamente proteger os direitos e liberdades fundamentais das pessoas singulares e, em especial, o seu direito à proteção dos dados pessoais, e assegurar a livre circulação desses dados pelas autoridades competentes na União, o poder de adotar atos em conformidade com o artigo 290.º do Tratado sobre o Funcionamento da União Europeia deve ser delegado à Comissão. Em especial, devem ser adotados atos delegados em relação à notificação de a fim de especificar mais concretamente os critérios e as condições aplicáveis às operações de tratamento que requerem uma avaliação de impacto sobre a proteção de dados, e os critérios e requisitos aplicáveis às violações de dados pessoais à autoridade controloe ao nível de proteção adequado assegurado por um país terceiro, um território ou um setor dentro desse país terceiro, ou uma organização internacional. É especialmente importante que a Comissão proceda a consultas adequadas ao longo dos seus trabalhos preparatórios, incluindo a nível de peritos e, em especial, com o Comité Europeu para a Proteção de Dados. Ao preparar e redigir atos delegados, a Comissão deverá assegurar a transmissão simultânea, atempada e adequada dos documentos relevantes ao Parlamento Europeu e ao Conselho. [Alt. 51]

(67)  Por forma a assegurar condições uniformes para a execução da presente diretiva no que respeita à documentação mantida pelos responsáveis pelo tratamento e subcontratantes, à segurança do tratamento, designadamente em relação às normas de codificação, e à notificação de uma violação de dados pessoais à autoridade de controlo, e ao nível de proteção adequado assegurado por um país terceiro, um território ou um setor dentro desse país terceiro, ou uma organização internacional, devem ser conferidas competências de execução à Comissão. Essas competências devem ser exercidas em conformidade com o Regulamento (UE) n.º 182/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os princípios gerais relativos aos mecanismos de controlo pelos Estados-Membros do exercício das competências de execução pela Comissão(5). [Alt. 52]

(68)  O procedimento de exame deve ser utilizado para a adoção de medidas relativas à documentação mantida pelos responsáveis pelo tratamento e subcontratantes, à segurança do tratamento, e à notificação de uma violação de dados pessoais à autoridade de controlo, e ao nível de proteção adequado garantido por um país terceiro, um território ou um setor dentro desse país terceiro, ou uma organização internacional, uma vez que esses atos são de âmbito geral. [Alt. 53]

(69)  A Comissão deve adotar atos de execução imediatamente aplicáveis quando, em casos devidamente fundamentados relacionados com um país terceiro, um território ou um setor de tratamento de dados nesse país terceiro, ou uma organização internacional, que não assegure um nível de proteção adequado, imperativos urgentes assim o exijam. [Alt. 54]

(70)  Atendendo a que os objetivos da presente diretiva, nomeadamente proteger os direitos e liberdades fundamentais das pessoas singulares e, em especial, o seu direito à proteção de dos seus dados pessoais, e assegurar o livre intercâmbio desses dados pelas autoridades competentes na União Europeia, não podem ser suficientemente alcançados pelos Estados-Membros, mas podem, em razão da dimensão e dos efeitos da ação, ser mais bem alcançados ao nível da União, a União pode tomar medidas, em conformidade com o princípio da subsidiariedade consagrado no artigo 5.º do Tratado da União Europeia. Em conformidade com o princípio da proporcionalidade consagrado no mesmo artigo, a presente diretiva não excede o necessário para alcançar esses esse objetivoesses objectivos. Os Estados-Membros podem prever normas mais estritas do que as estabelecidas pela presente diretiva. [Alt. 55]

(71)  A Decisão-Quadro 2008/977/JAI é revogada pela presente diretiva.

(72)  As disposições específicas no que respeita ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção, repressão de infrações penais ou de execução de sanções penais, mencionadas nos atos da União adotados antes da data de adoção da presente diretiva, que regulem o tratamento de dados pessoais entre Estados-Membros ou o acesso das autoridades designadas dos Estados-Membros aos sistemas de informação criados nos termos de Tratados, mantêm-se inalteradas. Dado que o artigo 8.º da Carta e o artigo 16.º, n.º 2, do TFUE implicam que o direito fundamental à proteção de dados pessoais deve ser garantido de forma coerente e homogénea em toda a UE, a Comissão deverá, num prazo de dois anos após a entrada em vigor da presente diretiva, examinar a situação quanto à relação entre a presente diretiva e os atos adotados anteriormente à adoção da presente diretiva que regulem o tratamento de dados pessoais entre Estados-Membros ou o acesso de autoridades designadas dos Estados-Membros a sistemas de informação criados por força dos Tratados , a fim de avaliar a necessidade de harmonização dessas disposições específicas com a e apresentar propostas adequadas com vista a assegurar regras jurídicas coerentes e homogéneas relacionadas com o tratamento de dados pessoais pelas autoridades competentes ou o acesso das autoridades dos Estados-Membros designadas aos sistemas informáticos criados por força dos Tratados, bem como o tratamento de dados pessoais pelas instituições, pelos órgãos, pelos organismos e pelas agências da União, para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais no âmbito da presente diretiva. [Alt. 56]

(73)  A fim de assegurar uma proteção global e coerente dos dados pessoais na União, os acordos internacionais celebrados pela União ou pelos Estados-Membros anteriormente à entrada em vigor da presente diretiva devem ser alterados em conformidade com a presente diretiva. [Alt. 57]

(74)  A presente diretiva não prejudica as disposições relativas à luta contra o abuso sexual e a exploração sexual de crianças, bem como a pornografia infantil, previstas na Diretiva 2011/93/UE do Parlamento Europeu e do Conselho(6).

(75)  Nos termos do artigo 6.º-A do Protocolo n.° 21 relativo à posição do Reino Unido e da Irlanda em relação ao espaço de liberdade, segurança e justiça, anexo ao Tratado da União Europeia e ao Tratado sobre o Funcionamento da União Europeia, o Reino Unido e a Irlanda não ficam vinculados pelas regras estabelecidas na presente diretiva sempre que o Reino Unido e a Irlanda não estejam vinculados por regras que regulem formas de cooperação judiciária em matéria penal ou de cooperação policial no âmbito das quais devam ser observadas as disposições definidas com base no artigo 16.º do Tratado sobre o Funcionamento da União Europeia.

(76)  Nos termos dos artigos 2.º e 2.º-A do Protocolo n.° 22 relativo à posição da Dinamarca, anexo ao Tratado da União Europeia e ao Tratado sobre o Funcionamento da União Europeia, a Dinamarca não fica vinculada nem sujeita à aplicação da pela presente diretiva. Uma vez que da presente diretiva desenvolve o acervo de Schengen, por força do disposto no Título V, Parte III, do Tratado sobre o Funcionamento da União Europeia, a Dinamarca decidirá, nos termos do artigo 4.º do referido Protocolo, no prazo de seis meses a contar da data de adoção da presente diretiva, se procederá à transposição da diretiva para o seu direito nacional. [Alt. 58]

(77)  No que diz respeito à Islândia e à Noruega, a presente diretiva constitui um desenvolvimento das disposições do acervo de Schengen, na aceção do Acordo celebrado entre o Conselho da União Europeia e a República da Islândia e o Reino da Noruega, relativo à associação desses Estados à execução, à aplicação e ao desenvolvimento do acervo de Schengen(7).

(78)  No que diz respeito à Suíça, a presente diretiva constitui um desenvolvimento das disposições do acervo de Schengen, na aceção do Acordo entre a União Europeia, a Comunidade Europeia e a Confederação Suíça relativo à associação da Confederação Suíça à execução, à aplicação e ao desenvolvimento do acervo de Schengen(8).

(79)  No que diz respeito ao Liechtenstein, o presente regulamento constitui um desenvolvimento das disposições do acervo de Schengen, na aceção do Protocolo entre a União Europeia, a Comunidade Europeia, a Confederação Suíça e o Principado do Liechtenstein relativo à adesão do Principado do Liechtenstein ao Acordo entre a União Europeia, a Comunidade Europeia e a Confederação Suíça relativo à associação da Confederação Suíça à execução, aplicação e ao desenvolvimento do acervo de Schengen(9).

(80)  A presente diretiva respeita os direitos fundamentais e observa os princípios reconhecidos na Carta, consagrados pelo Tratado, nomeadamente o direito ao respeito da vida privada e familiar, o direito à proteção dos dados pessoais, o direito à ação e a um tribunal imparcial. As restrições introduzidas a estes direitos são conformes com o artigo 52.º, n.º 1, da Carta, uma vez que são necessários para cumprir os objetivos de interesse geral reconhecidos pela União Europeia ou satisfazer a necessidade de proteger os direitos e as liberdades de outrem.

(81)  Em conformidade com a Declaração Política Conjunta dos Estados-Membros e da Comissão sobre os documentos explicativos, de 28 de setembro de 2011(10), os Estados‑Membros assumiram o compromisso de fazer acompanhar, nos casos em que tal se justifique, a notificação das suas medidas de transposição de um ou mais documentos explicando a relação entre os componentes da diretiva e as partes correspondentes dos instrumentos de transposição nacional. Em relação à presente diretiva, o legislador considera que a transmissão desses documentos se justifica.

(82)  A presente diretiva não obsta a que os Estados-Membros possam aplicar disposições respeitantes ao exercício dos direitos dos titulares de dados em matéria de informação, acesso, retificação, apagamento e limitação do tratamento dos seus dados pessoais no âmbito de procedimentos penais, bem como eventuais restrições desses direitos, na legislação processual penal nacional.

(82-A)  A Autoridade Europeia para a Proteção de Dados foi consultada nos termos do artigo 28.°, n.° 2, do Regulamento (CE) n.° 45/2001 e emitiu o seu parecer em 7 de março de 2012(11),

ADOTARAM A PRESENTE DIRETIVA:

CAPÍTULO I

DISPOSIÇÕES GERAIS

Artigo 1.º

Objeto e objetivos

1.  A presente diretiva estabelece as regras relativas à proteção das pessoas quanto ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção, repressão de infrações penais ou dee execução de sanções penais, bem como as condições relativas à livre circulação desses dados.

2.  Em conformidade com a presente diretiva, os Estados-Membros devem assegurar:

a)  A proteção dos direitos e das liberdades fundamentais das pessoas singulares e, em especial, o seu direito à proteção dos seus dados pessoais e da sua privacidade; e

b)  Que o intercâmbio de dados pessoais pelas autoridades competentes da União não seja restringido nem proibido por razões relacionadas com a proteção das pessoas singulares no que respeita ao tratamento de dados pessoais.

2-A.  A presente diretiva não impede os Estados-Membros de preverem garantias mais alargadas do que as que nela são estabelecidas. [Alt. 59]

Artigo 2.º

Âmbito de aplicação

1.  A presente diretiva aplica-se ao tratamento de dados pessoais pelas autoridades competentes para os efeitos referidos no artigo 1.º, n.º 1.

2.  A presente diretiva aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos num ficheiro ou a ele destinados.

3.  A presente diretiva não se aplica ao tratamento de dados pessoais:

a)  Efetuado no exercício de atividades não sujeitas à aplicação do direito da União, nomeadamente no que se refere à segurança nacional;

b)  Efetuado pelas instituições, organismos, serviços e agências da União. [Alt. 60]

Artigo 3.º

Definições

Para efeitos da presente diretiva, entende-se por:

1)  «Titular de dados», uma pessoa singular identificada ou identificável, direta ou indiretamente, por meios com razoável probabilidade de serem utilizados pelo responsável pelo tratamento ou por qualquer outra pessoa singular ou coletiva, nomeadamente por referência a um número de identificação, a dados de localização, a um identificador em linha ou a um ou mais elementos específicos próprios à sua identidade física, fisiológica, genética, psíquica, económica, cultural ou social;

2)  «Dados pessoais», qualquer informação relativa a uma pessoa singular identificada ou identificável («titular de dados»). É considerada identificável a pessoa que possa ser identificada, direta ou indiretamente, nomeadamente por referência a um identificador, tal como o nome, um número de identificação, dados de localização, um identificador único, ou a um ou mais elementos específicos da identidade física, fisiológica, genética, psíquica, económica, cultural, social ou de género dessa pessoa;

2-A)  «Dados sob pseudónimo», os dados pessoais que não possam ser atribuídos a um titular de dados específico sem recorrer a informações adicionais, enquanto essas informações adicionais forem mantidas separadamente e sujeitas a medidas técnicas e organizativas para garantir essa impossibilidade de atribuição;

3)  «Tratamento de dados pessoais», qualquer operação ou conjunto de operações efetuadas sobre dados pessoais, com ou sem meios automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou a alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, o apagamento ou a destruição;

3-A)   «Definição de perfis», qualquer forma de tratamento automatizado de dados pessoais destinado a avaliar determinados aspetos pessoais relativos a uma pessoa singular ou a analisar ou prever em particular o seu desempenho profissional, a sua situação económica, localização, saúde, preferências pessoais, fiabilidade ou comportamento;

4)  «Limitação do tratamento», a inserção de uma marca nos dados pessoais conservados com o objetivo de limitar o seu tratamento no futuro;

5)  «Ficheiro», qualquer conjunto estruturado de dados pessoais, acessível segundo critérios específicos, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico;

6)  «Responsável pelo tratamento», a autoridade pública competente que, por si ou em conjunto, determina as finalidades, as condições e os meios de tratamento de dados pessoais; sempre que as finalidades, as condições e os meios de tratamento sejam determinados pelo direito da União ou pela legislação dos Estados Membros, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser indicados pelo direito da União ou pela legislação de um Estado-Membro;

7)  «Subcontratante», a pessoa singular ou coletiva, a autoridade pública, serviço ou qualquer outro organismo que trata dados pessoais por conta do responsável pelo tratamento;

8)  «Destinatário», a pessoa singular ou coletiva, a autoridade pública, o serviço ou qualquer outro organismo que receba comunicações de dados pessoais;

(9)  «Violação de dados pessoais», uma violação da segurança que provoca, de modo acidental ou ilícito,a destruição, a perda, a alteração, de modo acidental ou ilícito, a divulgação, ou o acesso, não autorizados, de dados pessoais transmitidos, conservados ou tratados de outro modo;

10)  «Dados genéticos», todos os dados, independentemente do tipo, relacionados com as características de uma pessoa singular que são hereditárias ou adquiridas numa fase precoce do seu desenvolvimento pré-natal;

11)  «Dados biométricos», quaisquer dados pessoais relativos às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam a sua identificação única, nomeadamente imagens faciais ou dados dactiloscópicos;

12)  «Dados relativos à saúde», quaisquer informações relacionadasdados pessoais relacionados com a saúde física ou psíquica de uma pessoa singular, ou com a prestação de serviços de saúde a essa pessoa;

13)  «Criança», qualquer pessoa com menos de 18 anos;

14)  «Autoridades competentes», qualquer autoridade pública competente para efeitos de prevenção, investigação, deteção e repressão de infrações penais, ou de execução de sanções penais;

15)  «Autoridade de controlo», a autoridade pública instituída por um Estado-Membro nos termos do artigo 39.º. [Alt. 61]

CAPÍTULO II

PRINCÍPIOS

Artigo 4.º

Princípios relativos ao tratamento de dados pessoais

Os Estados-Membros devem prever que os dados pessoais serão:

a)  Objeto de um tratamento leal e lícito, leal, transparente e verificável em relação ao titular dos dados;

b)  Recolhidos para finalidades determinadas, explícitas e legítimas e não ser posteriormente tratados de forma incompatível com essas finalidades;

c)  Adequados, pertinentes e limitados ao mínimo necessário relativamente às finalidades para que são tratados; apenas devem ser tratados se e desde que as finalidades não possam ser alcançadas através do tratamento de informações que não envolvam dados pessoais;

d)  Exatos e , se necessário,atualizados; devem ser adotadas todas as medidas razoáveis para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora;

e)  Conservados de forma a permitir a identificação dos titulares de dados apenas durante o período necessário para a prossecução das finalidades para que são tratados;

f)  Tratados sob a autoridade e responsabilidade do responsável pelo tratamento, que deve assegurar e estar em condições de demonstrar a conformidade com as disposições adotadas por força da presente diretiva;

f-A) Tratados de modo a permitir efetivamente ao titular dos dados o exercício dos seus direitos descritos nos artigos 10.º a 17.º;

f-B) Tratados de modo a proteger contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando medidas técnicas ou organizativas adequadas;

f-C) Tratados apenas por pessoal devidamente autorizado das autoridades competentes que deles necessitam para o exercício das suas funções. [Alt. 62]

Artigo 4.º-A

Acesso aos dados pessoais tratados inicialmente para efeitos que não os referidos no artigo 1.º, n.º 1

1.  Os Estados-Membros determinam que as autoridades competentes só podem ter acesso a dados pessoais inicialmente tratados para finalidades que não as referidas no artigo 1.º, n.º 1, se elas forem especificamente autorizadas pelo direito da União ou dos Estados-Membros, que deve cumprir os requisitos previstos no artigo 7.º, n.º 1-A e determinar que:

a)  Só é autorizado o acesso a pessoal devidamente autorizado das autoridades competentes no exercício das suas funções quando, num caso específico, houver motivos razoáveis para pensar que o tratamento de dados pessoais irá contribuir substancialmente para a prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais;

b)  Os pedidos de acesso têm de ser feitos por escrito e mencionar o motivo legal para o pedido;

c)  O pedido por escrito deve estar documentado; e

d)  Forem estabelecidas garantias adequadas para assegurar a proteção dos direitos e liberdades fundamentais relativamente ao tratamento de dados pessoais. Essas garantias não prejudicam e complementam as condições específicas de acesso aos dados pessoais, como a autorização judicial em conformidade com a legislação do Estado-Membro.

2.  Deverá aceder-se aos dados pessoais detidos por privados ou outras autoridades públicas apenas para fins de investigação ou sanção de infrações penais de acordo com os requisitos da necessidade e da proporcionalidade a definir pelo direito da União ou do Estado-Membro , no pleno respeito do artigo 7.º-A; [Alt. 63]

Artigo 4.º-B

Prazos para a conservação e revisão

1.  Os Estados-Membros tomam providências para que os dados pessoais tratados nos termos da presente diretiva sejam apagados pelas autoridades competentes quando já não forem necessários para as finalidades para que foram tratados.

2.  Os Estados-Membros tomam providências para que a autoridade competente crie mecanismos que assegurem a fixação de prazos, nos termos do artigo 4.º, para o apagamento de dados pessoais e para a revisão periódica da necessidade de conservação dos dados, incluindo períodos de conservação fixos para as diferentes categorias de dados pessoais. Serão adotadas medidas processuais para assegurar o respeito dos prazos estipulados e dos intervalos da revisão periódica. [Alt. 64]

Artigo 5.º

Distinção entre Diferentes categorias de titulares de dados

1.  Os Estados-Membros devem prever que o responsável pelo tratamento estabeleça, na medida do possível,as autoridades competentes, para os fins referidos no artigo 1.º, n.º 1, possam proceder ao tratamento dos dados pessoais das seguintes diferentes categorias de titulares de dados e o responsável pelo tratamento deve estabelecer uma distinção clara entre os dados pessoais de diferentes categorias de titulares de dados, tais comoentre essas categorias:

a)  Pessoas relativamente às quais existam motivos fundados razoáveis fundados para crer que cometeram ou vão cometer uma infração penal;

b)  Pessoas condenadas por uma infração penalum crime;

c)  Vítimas de uma infração penal ou pessoas relativamente às quais certos factos levam a crer que podem vir a ser vítimas de uma infração penal; e

d)  Terceiros envolvidos numa infração penal, designadamente pessoas suscetíveis de serem chamadas a testemunhar em investigações penais relacionadas com a infrações penais, ou em processos penais subsequentes, ou uma pessoa que possa fornecer informações sobre infrações penais, ou um contacto ou associado de uma das pessoas mencionadas nas alíneas a) e b); e

e)  Pessoas não abrangidas por qualquer das categorias acima referidas.

2.  Os dados pessoais de outros titulares de dados que não os referidos no n.º 1 só podem ser objeto de tratamento:

a)  Pelo período de tempo necessário à investigação ou ao processo judicial de uma infração penal específica, tendo em vista avaliar a relevância dos dados para uma das categorias indicadas no n.º 1; ou

b)  Se esse tratamento for indispensável para fins específicos e preventivos ou para fins de análise criminal, caso e na medida em que esse propósito seja legítimo, bem definido e específico, e o tratamento se limite rigorosamente a avaliar a relevância dos dados para uma das categorias indicadas no n.º 1. Este aspeto é objeto de revisão periódica no mínimo de seis em seis meses É proibida qualquer outra utilização.

3.  Os Estados-Membros devem prever que se apliquem ao tratamento de dados pessoais relativos aos titulares dos dados referidos no n.º 1, alíneas c) e d) limitações e garantias adicionais, de acordo com a legislação dos Estados-Membros. [Alt. 65]

Artigo 6.º

Níveis diferentes de exatidão e de fiabilidade de dados pessoais

1.  Os Estados-Membros devem assegurar prever que seja estabelecida uma distinção, na medida do possível, entre as diferentes categorias dea exatidão e a fiabilidade dos dados pessoais objeto de tratamento , em função do seu nível de precisão e de fiabilidadesejam asseguradas.

2.  Os Estados-Membros devem assegurar que os dados pessoais baseados em factos sejam, na medida do possível, distinguidos dos dados pessoais baseados em apreciações pessoais, em função do seu nível de exatidão e de fiabilidade.

2-A.  Os Estados-Membros devem assegurar que os dados pessoais incorretos, incompletos ou desatualizados não sejam transmitidos nem disponibilizados. Para este efeito, as autoridades competentes devem avaliar a qualidade desses dados antes de os transmitirem ou disponibilizarem. Assim, em todas as transmissões de dados, devem ser fornecidas, na medida do possível, as informações disponíveis para que o Estado-Membro que as recebe possa apreciar até que ponto os dados são precisos, completos, atuais ou fiáveis. Os dados pessoais não devem ser transmitidos sem pedido prévio por parte de uma autoridade competente, em particular os dados originalmente detidos por privados.

2-B.  Quando se verifique que foram transmitidos dados inexatos ou que foram transmitidos dados indevidamente, o destinatário deve ser imediatamente informado. O destinatário tem o dever de corrigir imediatamente os dados, nos termos do artigo 15.º, n.º 1, ou de os apagar, nos termos do artigo 16.º. [Alt. 66]

Artigo 7.º

Licitude do tratamento

1.   Os Estados-Membros devem prever que o tratamento de dados pessoais só é lícito se e na medida em que se basear na legislação da União ou dos Estados-Membros tendo em vista as finalidades enunciadas no artigo 1.º, n.º 1, e for necessário para:

a)  O exercício de uma função pela autoridade competente, por força da legislação, tendo em vista as finalidades enunciadas no artigo 1.º, n.º 1; ou

b)  O respeito de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito; ou

c)  A proteção dos interesses vitais do titular de dados ou de um terceiro; ou

d)  A prevenção de uma ameaça grave e imediata para a segurança pública.

1-A.  A legislação dos Estados-Membros que rege o tratamento de dados pessoais no âmbito da presente diretiva deve conter disposições explícitas e pormenorizadas que especifiquem, pelo menos:

a)  Os objetivos do tratamento;

b)  Os dados pessoais a tratar;

c)  As finalidades e meios específicos de tratamento;

d)  A nomeação do responsável pelo tratamento dos dados ou os critérios específicos para a sua nomeação;

e)  As categorias do pessoal devidamente autorizado das autoridades competentes para o tratamento de dados pessoais;

f)  O procedimento a seguir para o tratamento;

g)  A utilização que pode ser dada aos dados pessoais recolhidos;

h)  As limitações do âmbito de qualquer discrição atribuída às autoridades competentes relativamente às atividades de tratamento. [Alt. 67]

Artigo 7.°-A

Tratamento posterior para finalidades incompatíveis

1.  Os Estados-Membros devem prever que os dados pessoais só podem ser tratados para outras finalidades referidas no artigo 1.º, n.º 1, que não sejam compatíveis com as finalidades para que foram recolhidos inicialmente se e na medida em que:

a)  O tratamento seja estritamente necessário e proporcionado numa sociedade democrática e exigido pela legislação da União ou dos Estados-Membros, para um propósito legítimo, bem definido e específico;

b)  O tratamento seja estritamente limitado a um período não superior ao tempo necessário à operação específica de tratamento de dados;

c)  Seja proibida qualquer utilização adicional para outros fins.

Antes de qualquer tratamento, o Estado-Membro deve consultar a Autoridade Europeia para a Proteção de Dados e proceder a uma avaliação de impacto nesta matéria.

2.  Além dos requisitos previstos no artigo 7.º, n.º 1-A, a legislação dos Estados-Membros que autoriza outro tratamento, como refere o n.º 1, deve conter disposições explícitas e pormenorizadas que especifiquem, pelo menos:

a)  As finalidades e os meios específicos desse tratamento específico;

b)  Que só é autorizado o acesso a pessoal devidamente autorizado das autoridades competentes no exercício das suas funções quando, num caso específico, houver motivos razoáveis para pensar que o tratamento de dados pessoais irá contribuir substancialmente para a prevenção, investigação, deteção e repressão de infrações penais ou a para a execução de sanções penais; e

c)  Que são dadas garantias adequadas para assegurar a proteção dos direitos e das liberdades fundamentais relativamente ao tratamento de dados pessoais.

Os Estados-Membros podem exigir que o acesso aos dados pessoais seja subordinado a condições adicionais como, por exemplo, uma autorização judicial, em conformidade com a respetiva legislação nacional.

3.  Os Estados-Membros também podem autorizar outro tratamento de dados pessoais para finalidades históricas, estatísticas ou científicas desde que criem garantias adequadas, como a anonimização dos dados. [Alt. 68]

Artigo 8.º

Tratamento de categorias especiais de dados pessoais

1.  Os Estados-Membros devem proibir o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a orientação sexual ou a identidade de género, a filiação sindical ou as atividades sindicais, bem como o tratamento de dados genéticos biométricos ou dados relativos à saúde ou à situação médica ou à orientação sexual.

2.  O n.º 1 não se aplica sempre que:

a)  O tratamento for autorizado por uma legislação que preveja garantias adequadasestritamente necessário e proporcionado para o exercício de uma missão efetuada pelas autoridades competentes para as finalidades enunciadas no artigo 1.º, n.º 1, com base na legislação da União ou dos Estados-Membros que deve prever medidas adequadas e específicas que garantam os interesses legítimos do titular de dados, incluindo uma autorização judicial específica, se exigido pela legislação nacional; ou

b)  O tratamento for necessário para a proteção dos interesses vitais do titular de dados ou de um terceiro; ou

c)  O tratamento estiver relacionado com dados manifestamente tornados públicos pelo seu titular, desde que os mesmos sejam pertinentes e estritamente necessários para a finalidade pretendida num caso específico. [Alt. 69]

Artigo 8.º-A

Tratamento de dados genéticos para uma investigação criminal ou um processo judicial

1.  Os Estados-Membros devem assegurar que os dados genéticos só podem ser usados para estabelecer uma ligação genética no âmbito da obtenção de provas, para neutralizar uma ameaça à segurança pública ou impedir que seja cometida uma infração criminal específica. Os dados genéticos não podem ser usados para determinar outras características que possam ser objeto de uma ligação genética.

2.  Os Estados-Membros devem assegurar que os dados genéticos ou as informações resultantes da sua análise só podem ser conservados durante o tempo necessário para os fins do seu tratamento e quando o individuo em questão tiver sido condenado por delitos graves contra a vida, integridade ou segurança de pessoas, sendo isto subordinado a períodos de conservação rigorosos a determinar pela legislação dos Estados-Membros.

3.  Os Estados-Membros devem assegurar que os dados genéticos ou as informações resultantes da sua análise só podem ser conservados por períodos maiores quando os dados genéticos não puderem ser associados a um indivíduo, em particular, se forem recolhidos no local do crime. [Alt. 70]

Artigo 9.º

Medidas baseadas na definição de perfis e no tratamento automatizado

1.  Os Estados-Membros devem prever a proibição de medidas que produzam efeitos adversos na esfera jurídica do titular de dados ou que o afetem de modo significativo e que se baseiem unicamente parcial ou totalmente no tratamento automatizado de dados pessoais destinado a avaliar determinados aspetos próprios dessa pessoa, salvo se forem autorizadas por uma lei que preveja igualmente medidas destinadas a assegurar os interesses legítimos do titular de dados.

2.  O tratamento automatizado dos dados pessoais destinado a avaliar determinados aspetos pessoais próprios ao titular de dados não se deve basear exclusivamente nas categorias especiais de dados pessoais referidas no artigo 8.º.

2-A.  O tratamento automatizado dos dados pessoais destinado a identificar um titular de dados sem uma suspeita inicial de que o titular de dados tenha cometido ou venha a cometer um crime apenas será legal se e na medida em que for estritamente necessário à investigação de um crime grave ou à prevenção de um perigo claro e iminente, estabelecido com base em indícios factuais, à segurança pública, à existência do Estado ou à vida de pessoas.

2-B.  É proibida em todos os casos a definição de perfis que, de forma intencional ou não, tenha por efeito a discriminação contra pessoas singulares em função da origem racial ou étnica, de opiniões políticas, da religião ou de convicções, da filiação sindical ou da orientação sexual ou de género, ou que, de forma intencional ou não, conduza a medidas que tenham tais efeitos. [Alt. 71]

Artigo 9.º-A

Princípios gerais dos direitos do titular dos dados

1.  Os Estados-Membros devem assegurar que a base da proteção de dados seja clara e preveja direitos claros para o titular de dados, que devem ser respeitados pelo responsável pelo tratamento. As disposições da presente diretiva visam reforçar, esclarecer, garantir e, quando adequado, codificar esses direitos.

2.  Os Estados-membros devem assegurar que esses direitos incluam, entre outros, o fornecimento de informações claras e de fácil compreensão no tocante ao tratamento dos dados pessoais do titular, o direito de acesso, retificação e apagamento dos seus dados, o direito de obtenção de dados, o direito de apresentar queixa junto da autoridade competente para a proteção de dados e o direito de instaurar processos judiciais, bem como o direito a indemnização por danos em resultado de um tratamento ilícito. Esses direitos devem, em geral, ser exercidos a título gratuito. O responsável pelo tratamento deve responder aos pedidos do titular de dados num prazo razoável. [Alt. 72]

CAPÍTULO III

DIREITOS DO TITULAR DOS DADOS

Artigo 10.º

Modalidades de exercício dos direitos do titular dos dados

1.  Os Estados-Membros devem prever que o responsável pelo tratamento aplique regras internas concisas, transparentes, claras e facilmente acessíveis no que diz respeito ao tratamento de dados pessoais, tendo em vista o exercício dos direitos pelos titularespelo titular de dados.

2.  Os Estados-Membros devem prever que o responsável pelo tratamento faculte todas as informações e comunicações relativas ao tratamento de dados pessoais ao titular de dados de uma forma inteligível e numa linguagem clara e simples, em particular, quando as informações são dirigidas especificamente a uma criança.

3.  Os Estados-Membros devem prever que o responsável pelo tratamento adote todas as medidas razoáveis para estabelecerestabeleça os procedimentos de informação referidos no artigo 11.º e os procedimentos para o exercício dos direitos pelos titularespelo titular de dados referidos nos artigos 12.º a 17.º. Sempre que os dados pessoais forem objeto de tratamento automatizado, o responsável pelo tratamento deve prever meios para a apresentação de pedidos por via eletrónica.

4.  Os Estados-Membros devem prever que o responsável pelo tratamento informe, sem demora injustificada, o titular de dados do seguimento dado ao seu pedido e, em todo o caso, o mais tardar, no prazo de um mês a contar da data de receção do pedido. As informações devem revestir a forma escrita. Sempre que o titular dos direitos apresentar o pedido por via eletrónica, a informação deve ser fornecida por meios eletrónicos.

5.  Os Estados-Membros devem prever que as informações e eventuais medidas adotadas pelo responsável pelo tratamento na sequência de um pedido previsto nos n.os 3 e 4 sejam gratuitas. Sempre que os pedidos sejam manifestamente excessivos, particularmente devido ao seu caráter repetitivo, ou à dimensão ou volume do pedido, o responsável pelo tratamento pode exigir o pagamento de uma taxa razoável, tendo em conta os custos administrativos pela prestação de informações ou adoção da medida solicitada, ou pode abster-se de a adotar. Nesse caso, incumbe ao responsável pelo tratamento provar o caráter abusivo manifestamente excessivo do pedido.

5-A.  Os Estados-Membros devem prever que o titular dos dados possa invocar os seus direitos diretamente junto do responsável pelo tratamento ou através da autoridade nacional de controlo competente. Se atuar a pedido do titular de dados, a autoridade de controlo deve informar o mesmo das verificações efetuadas. [Alt. 73]

Artigo 11.º

Informação do titular dos dados

1.  Sempre que os dados pessoais de uma pessoa forem recolhidos, os Estados-Membros devem assegurar que o responsável pelo tratamento adote todas as medidas adequadas para fornecerforneça ao titular dos dados pelo menos as seguintes informações:

a)  Identidade e contactos do responsável pelo tratamento e do delegado para a proteção de dados;

b)  Base jurídica e finalidades do tratamento a que os dados pessoais se destinam;

c)  Período de conservação dos dados pessoais;

d)  Existência do direito de solicitar ao responsável pelo tratamento o acesso aos dados pessoais que lhe digam respeito, e a sua retificação ou apagamento, ou a limitação do seu tratamento;

e)  Direito de apresentar uma queixa à autoridade de controlo referida no artigo 39.º, e de obter os contactos desta autoridade;

f)  Destinatários ou categorias de destinatáriosdos dados pessoais, incluindo nos países terceiros ou a nível das organizações internacionais, e que estão autorizados a ter acesso a esses dados ao abrigo da legislação do país terceiro ou da regulamentação da organização internacional, a existência ou ausência de uma decisão de adequação da Comissão ou, no caso das transferências referidas no artigo 35.º ou no artigo 36.º, os meios para a obtenção de uma cópia das garantias adequadas utilizadas para a transferência;

f-A) Caso o responsável pelo tratamento processe os dados pessoais nos termos do artigo 9.º, n.º 1, informações sobre a existência de tratamento para uma medida do tipo a que se refere o artigo 9.º, n.º 1, e os efeitos esperados desse tratamento no titular dos dados, informações acerca da lógica utilizada na definição dos perfis e o direito de avaliação humana;

f-B) Informações relativas a medidas de segurança tomadas para proteger os dados pessoais;

g)  Quaisquer outras informações, na medida em que sejam necessárias para assegurar à pessoa em causa um tratamento leal, tendo em conta as circunstâncias específicas em que os dados pessoais são tratados.

2.  Sempre que os dados pessoais tiverem sido recolhidos junto do titular de dados, o responsável pelo tratamento deve informá-lo, para além da informação referida no n.º 1, do caráter obrigatório ou facultativo de fornecer os dados pessoais, bem como das eventuais consequências de não fornecer esses dados.

3.  O responsável pelo tratamento deve comunicar as informações referidas no n.º 1:

a)  No momento da recolha dos dados pessoais junto do titular de dados; ou

b)  Sempre que os dados não forem recolhidos junto do titular de dados, no momento do seu registo ou num prazo razoável após a recolha dos dados, tendo em conta as circunstâncias específicas em que os dados foram tratados.

4.  Os Estados-Membros podem adotar medidas legislativas prevendo o adiamento ou a limitação da prestação das informações, ou a sua não prestação, aos titulares de dados, num caso específico, na medida e enquanto tal limitação, parcial ou total, constitua uma medida necessária e proporcionada numa sociedade democrática, tendo devidamente em conta os direitos fundamentais e os interesses legítimos do titular de dados:

a)  Para evitar que constituam um entrave a inquéritos, investigações, ou procedimentos oficiais ou judiciais;

b)  Para evitar prejudicar a prevenção, deteção, investigação, repressão de infrações penais ou a execução de sanções penais;

c)  Para proteger a segurança pública;

d)  Para proteger a segurança nacional;

e)  Para proteger os direitos e as liberdades de outrem.

5.  Os Estados-Membros devem prever que o responsável pelo tratamento avalie, em cada caso específico e através de uma análise concreta e individual, se se aplicam as limitações parciais ou totais por um dos motivos previstos no n.º 4. Os Estados-Membros podem também determinar por via legislativa categorias de tratamento de dados suscetíveis de serem objeto, na sua integralidade ou em parte, das derrogações previstas no n.º 4, alíneas a), b), c) e d). [Alt. 74]

Artigo 12.º

Direito de acesso do titular dos dados

1.  Os Estados-Membros devem prever o direito de o titular de dados poder obter do responsável pelo tratamento a confirmação de que os dados pessoais que lhe digam respeito são ou não objeto de tratamento. Sempre que esses dados forem objeto de tratamento, o responsável pelo tratamento deve fornecer as seguintes informações, se as mesmas não tiverem sido já fornecidas:

—a)  Comunicação dos dados pessoais em fase de tratamento e quaisquer informações disponíveis sobre a origem desses dados e, se for o caso, informações compreensíveis sobre a lógica subjacente a qualquer tratamento automatizado dos dados;

-a-A) Importância e consequências previstas de tal tratamento, pelo menos no caso das medidas referidas no artigo 9.º;

a)  Finalidades do tratamento, bem como a base jurídica do mesmo;

b)  Categorias de dados pessoais envolvidos;

c)  Destinatários ou categorias de destinatários a quem os dados pessoais foram divulgados, em especial quando os destinatários estão estabelecidos em países terceiros;

d)  Período de conservação dos dados pessoais;

e)  A existência do direito de solicitar à autoridade de controlo a retificação, o apagamento ou a limitação do tratamento dos dados pessoais do titular de dados;

f)  O direito de apresentar uma queixa à autoridade de controlo e de obter os contactos desta autoridade;

g)  Comunicação dos dados pessoais em fase de tratamento e quaisquer informações disponíveis sobre a origem desses dados.

2.  Os Estados-Membros devem prever o direito do titular de dados de obter do responsável pelo tratamento uma cópia dos dados pessoais em fase de tratamento. Sempre que o titular dos dados apresentar o pedido por via eletrónica, as informações devem ser fornecidas por meios eletrónicos, salvo se solicitado de outra forma pela pessoa em causa. [Alt. 75]

Artigo 13.º

Limitações do direito de acesso

1.  Os Estados-Membros podem adotar medidas legislativas para limitar, total ou parcialmente conforme o caso específico, o direito de acesso do titular de dados, na medida e durante o prazo em que tal limitação total ou parcial constitua uma medida estritamente necessária e proporcionada numa sociedade democrática, tendo devidamente em conta os direitos fundamentais e os interesses legítimos do titular de dados:

a)  Para evitar que constituam um entrave a inquéritos, investigações, ou procedimentos oficiais ou judiciais;

b)  Para evitar prejudicar a prevenção, deteção, investigação, repressão de infrações penais ou a execução de sanções penais;

c)  Para proteger a segurança pública;

d)  Para proteger a segurança nacional;

e)  Para proteger os direitos e as liberdades de outrem.

2.  Os Estados-Membros devem prever que o responsável pelo tratamento avalie, em cada caso específico e através de um exame individual e concreto, se se aplicam as limitações parciais ou totais por um dos motivos previstos no n.º 1. Os Estados-Membros podem também, por via legislativa, determinar categorias de tratamento de dados suscetíveis de ser objeto, no todo ou em parte, das derrogações previstas no n.º 1, alíneas a) a d).

3.  Nos casos previstos nos n.ºs 1 e 2, os Estados-Membros devem prever que em caso de recusa ou de limitação do acesso aos dados, o responsável pelo tratamento informe o titular de dados, sem demora injustificada, por escrito, dos motivosda justificação fundamentada da recusa e das possibilidades de apresentar uma queixa à autoridade de controlo e de intentar uma ação judicial. Os motivos de facto ou de direito em que se baseia a decisão podem ser omitidos sempre que a sua comunicação seja suscetível de prejudicar um dos objetivos enunciados no n.º 1.

4.  Os Estados-Membros devem assegurar que o responsável pelo tratamento documente a avaliação referida no n.º 2 e os fundamentos para não comunicar de forma limitada os motivos de facto ou de direito em que baseou a decisão. Essa informação deve ser facultada às autoridades nacionais competentes. [Alt. 76]

Artigo 14.º

Modalidades de exercício do direito de acesso

1.  Os Estados-Membros devem prever o direito de o titular de dados solicitar em qualquer altura à autoridade de controlo, em especial nos casos referidos nos artigos 12.º e 13.º, a verificação da licitude do tratamento.

2.  O Estado-Membro deveOs Estados-Membros devem prever que o responsável pelo tratamento informe o titular de dados do seu direito de solicitar a intervenção da autoridade de controlo por força do n.º 1.

3.  Sempre que o direito a que se refere o n.º 1 for exercido, a autoridade de controlo deve informar o titular de dados, pelo menos, de que foram realizadas todas as verificações necessárias que incumbem à referida autoridade e do resultado quanto à licitude do tratamento em causa. A autoridade de controlo deve informar o titular de dados acerca do seu direito de ação judicial.

3-A.  Os Estados-Membros devem prever que o titular dos dados possa invocar esse direito diretamente junto do responsável pelo tratamento ou através da autoridade nacional de controlo competente.

3-B.  Os Estados-Membros devem asssegurar que o responsável pelo tratamento disponha de um prazo razoável para responder aos pedidos do titular de dados no tocante ao exercício do seu direito de acesso. [Alt. 77]

Artigo 15.º

Direito de retificação e completamento

1.  Os Estados-Membros devem prever o direito de o titular de dados obter do responsável pelo tratamento a retificação ou o completamento dos dados pessoais inexatos ou incompletos que lhe digam respeito. O titular de dados tem o direito de obter, nomeadamente através de uma declaração retificativa, que os seus dados pessoais incompletos sejam completadosou completiva.

2.  Os Estados-Membros devem prever que, em caso de recusa de retificação ou completamento dos dados, o responsável pelo tratamento informe o titular de dados, por escrito, com uma justificação fundamentada, dos motivos da recusa e das possibilidades de apresentar uma queixa à autoridade de controlo e de intentar uma ação judicial.

2-A.  Os Estados-Membros devem prever que o responsável pelo tratamento de dados notifique qualquer retificação efetuada a cada destinatário a quem foram divulgados os dados, a menos que tal se revele impossível ou implique um esforço desproporcionado.

2-B.  Os Estados-Membros devem prever que o responsável pelo tratamento de dados notifique a retificação de dados pessoais inexatos ao terceiro que está na origem dos dados pessoais inexatos.

2-C.  Os Estados-Membros devem prever que o titular dos dados possa invocar esse direito também através da autoridade nacional de controlo competente. [Alt. 78]

Artigo 16.º

Direito de apagamento

1.  Os Estados-Membros devem prever o direito de o titular de dados obter do responsável pelo tratamento o apagamento dos dados pessoais que lhe digam respeito sempre que o tratamento não seja conforme com as disposições adotadas nos termos do artigo 4.º, alínea a) a e), edos artigos 4.º, 6.º, 7.º e 8.º da presente diretiva.

2.  O responsável pelo tratamento deve efetuar esse apagamento sem demora. O responsável pelo tratamento deve igualmente abster-se de qualquer divulgação ulterior desses dados.

3.  Em vez de proceder ao apagamento, o responsável pelo tratamento deve marcar restringir o tratamento de dados pessoais sempre que:

a)  A sua exatidão for contestada pelo titular dos dados, durante um período que permita ao responsável pelo tratamento verificar a exatidão dos dados;

b)  Os dados pessoais devam ser conservados para efeitos de prova ou de proteção dos interesses vitais do titular de dados ou de outrem;

c)  O titular dos dados se opuser ao seu apagamento e solicitar, em contrapartida, a limitação da sua utilização;

3-A.  Sempre que o tratamento de dados pessoais for limitado nos termos do n.º 3, o responsável pelo tratamento informa o titular dos dados antes de anular a limitação ao tratamento.

4.  Os Estados-Membros devem prever que o responsável pelo tratamento informe o titular de dados, por escrito, com uma justificação fundamentada, de qualquer recusa de apagamento ou de marcação limitação dos dados tratados, dos motivos de recusa e das possibilidades de apresentar uma queixa à autoridade de controlo e de intentar uma ação judicial.

4-A.  Os Estados-Membros devem prever que o responsável pelo tratamento notifique os destinatários a quem os dados foram enviados de qualquer apagamento ou limitação nos termos do n.º 1, a menos que tal se revele impossível ou implique um esforço desproporcionado. O responsável pelo tratamento deve informar o titular dos dados acerca desses terceiros.

4-B.  Os Estados-Membros devem prever que o titular dos dados possa invocar esse direito directamente junto do responsável pelo tratamento ou através da autoridade nacional de controlo competente. [Alt. 79]

Artigo 17.º

Direitos do titular dos dados no âmbito de investigações e ações penais

Os Estados-Membros podem prever, sempre que dados pessoais constem de uma decisão ou de um registo criminal objeto de tratamento no âmbito de uma investigação ou ação penal, que os direitos de informação, acesso, retificação, apagamento e limitação do tratamento, previstos nos artigos 11.º a 16.º, sejam exercidos em conformidade com as regras processuais penais nacionais.

CAPÍTULO IV

RESPONSÁVEL PELO TRATAMENTO E SUBCONTRATANTE

SECÇÃO 1

OBRIGAÇÕES GERAIS

Artigo 18.º

Obrigações do responsável pelo tratamento

1.  Os Estados-Membros devem prever que o responsável pelo tratamento adote regras internas e execute as medidas adequadas para assegurar e estar em condições de demonstrar, de forma transparente, para cada operação de tratamento, que o tratamento dos dados pessoais é realizado no respeito das disposições adotadas em conformidade com a presente diretiva quer aquando da determinação dos meios de tratamento, quer aquando do próprio tratamento.

2.  As medidas referidas no n.º 1 devem incluir, nomeadamente:

a)  Conservar a documentação, nos termos do artigo 23.º;

a-A) Realizar uma avaliação de impacto sobre a proteção de dados, nos termos do artigo 25.º-A;

b)  Respeitar a obrigação de consulta prévia, nos termos do artigo 26.º;

c)  Aplicar os requisitos de segurança previstos no artigo 27.º;

d)  Designar um delegado para a proteção de dados, nos termos do artigo 30.º;

d-A) Elaborar e executar as garantias específicas para o tratamento de dados pessoais relativos a crianças, se for adequado.

3.  O responsável pelo tratamento deve aplicar mecanismos de verificação da adequação e da eficácia das medidas referidas no n.º 1. Sob reserva da sua proporcionalidade, essa verificação deve ser realizada por auditores independentes internos ou externos. [Alt. 80]

Artigo 19.º

Proteção de dados desde a conceção e por defeito

1.  Os Estados-Membros devem prever que, tendo em conta as técnicas mais recentes e os custos associados à sua aplicação, o conhecimento tecnológico atual, as melhores práticas internacionais e os riscos representados pelo tratamento de dados, o responsável pelo tratamento aplique e o subcontratante, caso exista, apliquem, tanto no momento de definição das finalidades e dos meios de tratamento como no momento do próprio tratamento, as medidas e procedimentos técnicos e organizativos adequados e proporcionados, a fim de que o tratamento respeite as disposições adotadas em conformidade com a presente diretiva e garanta garantam a proteção dos direitos do titular de dados, em particular no que respeita aos princípios estabelecidos no artigo 4.º. A proteção dos dados desde a conceção deve ter em especial conta a gestão completa do ciclo de vida dos dados pessoais, desde a recolha, passando pelo tratamento, até à eliminação, centrando-se sistematicamente em amplas garantias processuais respeitantes à precisão, confidencialidade, integridade, segurança física e eliminação dos dados pessoais. Sempre que o responsável pelo tratamento tenha efetuado uma avaliação do impacto na proteção de dados nos termos do artigo 25.º-A, os resultados da referida avaliação são tidos em conta para efeitos de desenvolvimento destas medidas e procedimentos.

2.  O responsável pelo tratamento deve aplicar mecanismos que garantamdeve garantir, por defeito, que apenas são tratados os dados pessoais necessários para cada finalidade específica do tratamento e, especialmente, que não são recolhidos, conservados ou divulgados para além do mínimo necessário para essas finalidades, tanto em termos da quantidade de dados, como da duração da sua conservação. Em especial, esses mecanismos devem assegurar que, por defeito, os dados pessoais não sejam disponibilizados a um número indeterminado de pessoas singulares e que os titulares dos dados estejam em condições de controlar a distribuição dos seus dados pessoais. [Alt. 81]

Artigo 20.º

Responsáveis conjuntos pelo tratamento

1.  Os Estados-Membros devem prever, sempre que um responsável pelo tratamento definir, em conjunto com outros, as finalidades , as condições e os meios do tratamento de dados pessoais, os responsáveis conjuntos pelo tratamento devem definir, por através de um acordo vinculativo, as respetivas obrigações, a fim de respeitarem as disposições adotadas em conformidade com a presente diretiva, nomeadamente no que diz respeito aos procedimentos e mecanismos que regulam o exercício de direitos do titular de dados.

2.  A menos que o titular de dados tenha sido informado sobre qual dos responsáveis conjuntos pelo tratamento é responsável nos termos do n.º 1, o titular de dados pode exercer os seus direitos ao abrigo da presente diretiva relativamente a cada um de dois ou mais responsáveis conjuntos pelo tratamento ou contra os mesmos. [Alt. 82]

Artigo 21.º

Subcontratante

1.  Os Estados-Membros devem prever que o responsável pelo tratamento, em caso de tratamento por sua conta, deve escolher um subcontratante que apresente garantias suficientes de execução das medidas e procedimentos técnicos e organizativos apropriados, de forma a que esse tratamento respeite as disposições adotadas em conformidade com a presente diretiva e garanta a proteção dos direitos do titular de dados, nomeadamente quanto às medidas de segurança técnica e medidas organizativas que regulam o procedimento a realizar, devendo o responsável pelo tratamento assegurar o cumprimento dessas medidas.

2.  Os Estados-Membros devem prever que a realização de operações de tratamento por através de um subcontratante sejam reguladas por um contrato ou um ato jurídico que vincule o subcontratante ao responsável pelo tratamento e que preveja, nomeadamente, que o subcontratante atue apenas mediante instruções do responsável pelo tratamento, em especial quando a transferência de dados pessoais utilizados for proibida.:

a)   Atue apenas mediante instruções do responsável pelo tratamento;

b)  Empregue apenas pessoal que tenha concordado em ficar vinculado à obrigação de confidencialidade ou que se encontre sujeito às obrigações de confidencialidade previstas na legislação;

c)  Adote todas as medidas exigidas nos termos do artigo 27.º;

d)  Recrute outro subcontratante apenas mediante autorização do responsável pelo tratamento e consequentemente informe este último da intenção de recrutar outro subcontratante de forma atempada para que o responsável pelo tratamento possa objetar a tal;

e)  Na medida do possível, tendo em conta a natureza do tratamento, adote, mediante acordo com o responsável pelo tratamento, os requisitos técnicos e organizativos necessários para permitir ao responsável pelo tratamento cumprir a sua obrigação de dar resposta aos pedidos dos titulares de dados, tendo em vista o exercício dos seus direitos previstos no Capítulo III;

f)  Preste assistência ao responsável pelo tratamento no sentido de garantir o cumprimento das obrigações previstas nos artigos 25.-Aº a 29.º;

g)  Devolva todos os resultados ao responsável pelo tratamento depois de terminado o tratamento, não trate de outro modo os dados pessoais e suprima as cópias existentes, a menos que a sua conservação seja exigida por legislação da União ou dos Estados-Membros;

h)  Disponibilize ao responsável pelo tratamento e à autoridade de controlo todas as informações necessárias para verificar o cumprimento das obrigações previstas no presente artigo;

i)  Tenha em consideração o princípio da proteção de dados desde a conceção e por defeito.

2-A.  O responsável pelo tratamento e o subcontratante conservam um documento escrito com as instruções do responsável pelo tratamento e as obrigações do subcontratante referidas no n.º 2.

3.  Se um subcontratante proceder ao tratamento de dados pessoais de forma diferente da que foi definida nas instruções do responsável pelo tratamento, o subcontratante é considerado responsável pelo tratamento em relação ao referido tratamento, ficando sujeito às disposições aplicáveis aos responsáveis conjuntos pelo tratamento previstas no artigo 20.º. [Alt. 83]

Artigo 22.º

Tratamento sob a autoridade do responsável pelo tratamento e do subcontratante

1.   Os Estados-Membros devem prever que o subcontratante, bem como qualquer pessoa, agindo sob a autoridade do responsável pelo tratamento ou do subcontratante, que tenha acesso a dados pessoais, só pode efetuar o seu tratamento mediante instruções do responsável pelo tratamento ou se exigido pela legislação da União ou de um Estado-Membro.

1-A.  Sempre que o subcontratante seja ou se torne a parte determinante em relação aos fins, meios e métodos do tratamento de dados ou não atue unicamente com base nas instruções do responsável pelo tratamento, deve ser considerado responsável conjunto pelo tratamento, nos termos do artigo 20.º. [Alt. 84]

Artigo 23.º

Documentação

1.  Os Estados-Membros devem prever que cada responsável pelo tratamento e cada subcontratante, mantenha a documentação de todos os sistemas e procedimentos de tratamento sob a sua responsabilidade.

2.  Essa documentação deve consistir, pelo menos, nas seguintes informações:

a)  Nome e contactos do responsável pelo tratamento, ou de qualquer responsável conjunto pelo tratamento ou subcontratante;

a-A) Um acordo vinculativo, caso existam responsáveis conjuntos pelo tratamento; uma lista dos subcontratantes e das atividades levadas a cabo pelos mesmos;

b)  Finalidades do tratamento;

b-A) Uma indicação dos serviços da organização de um responsável pelo tratamento ou subcontratante encarregados do tratamento de dados pessoais para uma finalidade específica;

b-B) Uma descrição da categoria ou categorias de pessoas implicadas e dos dados ou categorias de dados pertinentes;

c)  Destinatários ou categorias de destinatários dos dados pessoais;

c-A) Se for caso disso, informações quanto à existência de definição de perfis, de medidas baseadas na definição de perfis e de mecanismos de oposição à definição de perfis;

c-B) Informações compreensíveis sobre a lógica subjacente ao tratamento automatizado dos dados;

d)  Transferências de dados para um país terceiro ou uma organização internacional, incluindo o nome desse país terceiro ou dessa organização internacional, bem como os fundamentos jurídicos da transferência de dado; se a transferência se basear nos artigos 35.º ou 36.º da presente diretiva, deve ser dada uma explicação substantiva;

d-A) Os prazos fixados para o apagamento das diferentes categorias de dados;

d-B) Os resultados da verificação das medidas referidas no artigo 18.º, n.º 1;

d-C) Uma indicação do fundamento jurídico da operação de tratamento a que os dados se destinam.

3.  O responsável pelo tratamento e o subcontratante devem disponibilizar toda a documentação existente à autoridade de controlo, quando por esta solicitado. [Alt. 85]

Artigo 24.º

Conservação de registos das operações de tratamento

1.  Os Estados-Membros devem assegurar que são conservados registos de, pelo menos, as seguintes operações: recolha, alteração, consulta, comunicação, interconexão ou apagamento. Os registos das operações de consulta e de comunicação indicarão, em especial, a finalidade, a data e hora dessas operações e, na medida do possível, a identificação da pessoa que consultou ou comunicou dados pessoais e a identidade dos destinatários desses dados.

2.  Os registos só podem ser utilizados para efeitos de verificação da licitude do tratamento de dados, de autocontrolo e de garantia da integridade e segurança dos dados, ou para efeitos de auditoria pelo delegado para a proteção dos dados ou pela autoridade de proteção de dados.

2-A.  O responsável pelo tratamento e o subcontratante devem disponibilizar os registos existentes à autoridade de controlo, quando por esta solicitado. [Alt. 86]

Artigo 25.º

Cooperação com a autoridade de controlo

1.  Os Estados-Membros devem prever que o responsável pelo tratamento e o subcontratante cooperem, mediante pedido, com a autoridade de controlo no exercício das suas funções, comunicando nomeadamente todas as informações de que esta necessite para esse efeitoreferidas no artigo 46.º, n.º 2, alínea a), e concedendo acesso nos termos do disposto no artigo 46.º, n.º 2, alínea b).

2.  Sempre que a autoridade de controlo exerça os poderes que lhe são conferidos por força do artigo 46.º, n.º 1, alíneas a) e b), o responsável pelo tratamento e o subcontratante devem responder à autoridade de controlo num prazo razoável a fixar por esta última. A resposta deve incluir uma descrição das medidas adotadas e dos resultados obtidos, tendo em conta as observações formuladas pela autoridade de controlo. [Alt. 87]

Artigo 25.º-A

Avaliação do impacto na proteção de dados

1.  Os Estados-Membros devem prever que o responsável pelo tratamento ou o subcontratante, atuando em nome do responsável pelo tratamento, efetuem uma avaliação do impacto dos sistemas e procedimentos de tratamento previstos na proteção dos dados pessoais, sempre que as operações de tratamento sejam suscetíveis de apresentar riscos específicos para os direitos e liberdades dos titulares de dados, devido à sua natureza, âmbito ou finalidade, antes de novos procedimentos de tratamento ou tão cedo quanto possível, no caso dos procedimentos de tratamento existentes.

2.  As seguintes operações de tratamento são especialmente suscetíveis de apresentar os riscos específicos referidos no n.º 1:

a)  O tratamento de dados pessoais em sistemas de arquivo de grande dimensão para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais;

b)  O tratamento de categorias especiais de dados pessoais referidas no artigo 8.º, de dados pessoais relacionados com menores e de dados biométricos e de localização para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais;

c)  Uma avaliação dos aspetos pessoais relacionados com uma pessoa singular, ou que vise analisar ou prever, nomeadamente, o seu comportamento, baseada num processo automatizado e suscetível de dar lugar a medidas que produzam efeitos jurídicos relativamente à pessoa em causa ou que a afetem de forma significativa;

d)  O controlo de zonas acessíveis ao público, nomeadamente ao utilizar dispositivos ótico-eletrónicos (videovigilância); ou

e)  Outras operações de tratamento para as quais é obrigatória a consulta da autoridade de controlo nos termos do artigo 26.º, n.º 1.

3.  A avaliação deve conter, pelo menos:

a)  Uma descrição sistemática das operações de tratamento de dados previstas;

b)  Uma avaliação da necessidade e proporcionalidade das operações de tratamento em relação aos fins;

c)  Uma avaliação dos riscos para os direitos e liberdades dos titulares de dados e as medidas previstas para colmatar esses riscos e reduzir ao mínimo o volume de dados pessoais tratado;

d)  Medidas de segurança e mecanismos para assegurar a proteção dos dados pessoais e demonstrar a conformidade com as disposições adotadas nos termos da presente diretiva, tendo em conta os direitos e os interesses legítimos dos titulares de dados e de terceiros;

e)  Uma indicação geral dos prazos fixados para o apagamento das diferentes categorias de dados;

f)  Se for caso disso, uma lista das transferências de dados destinadas a um país terceiro ou uma organização internacional, incluindo o nome desse país terceiro ou dessa organização internacional e, no caso de transferências referidas no artigo 36.º, n.º 2, alínea h), a documentação que comprove a existência das garantias adequadas.

4.  Se o responsável pelo tratamento ou o subcontratante tiverem designado um delegado para a proteção de dados, este deve ser associado ao procedimento de avaliação de impacto.

5.  Os Estados-Membros devem prever que o responsável pelo tratamento consulte o público sobre o tratamento previsto, sem prejuízo da proteção do interesse público ou da segurança das operações de tratamento de dados.

6.  Sem prejuízo da proteção do interesse público ou da segurança das operações de tratamento de dados, a avaliação deve ser facilmente acessível ao público.

7.  São atribuídas competências à Comissão para, depois de pedir um parecer ao Comité Europeu para a Proteção de Dados, adotar atos delegados nos termos do artigo 56.º, a fim de especificar mais concretamente os critérios e condições aplicáveis às operações de tratamento de dados que possam apresentar os riscos específicos referidos nos n.ºs 1 e 2, bem como os requisitos aplicáveis à avaliação referida no n.º 3, incluindo as condições de redimensionabilidade, de verificação e de auditoria. [Alt. 88]

Artigo 26.º

Consulta prévia da autoridade de controlo

1.  Os Estados-Membros devem assegurar que o responsável pelo tratamento ou o subcontratante consulta a autoridade de controlo antes de proceder ao tratamento de dados pessoais que farão parte de um novo ficheiro a criara fim de assegurar a conformidade do tratamento previsto com as disposições adotadas por força da presente diretiva e, nomeadamente, atenuar os riscos para os titulares de dados, sempre que:

a)  O tratamento visar categorias especiais de dados referidas no artigo 8.ºUma avaliação de impacto sobre a proteção de dados, como prevista no artigo 25.º-A, indicar que as operações de tratamento, devido à sua natureza, âmbito e/ou finalidade, podem apresentar um elevado nível de riscos específicos; ou;

b)  Devido à utilização, em especial, de novos mecanismos, tecnologias ou procedimentos, o tipo de tratamento apresente riscos específicos para os direitos e liberdades fundamentais e, em particular, para a proteção de dados pessoais do seu titularA autoridade de controlo considerar necessário realizar uma consulta prévia sobre operações de tratamento especificadas suscetíveis de apresentar riscos específicos para os direitos e liberdades dos titulares de dados devido à sua natureza, âmbito e/ou finalidades.

1-A.  Sempre que a autoridade de controlo determine, no âmbito das suas competências, que o tratamento a efetuar não cumpre as disposições adotadas por força da presente diretiva, em especial se os riscos não se encontrarem suficientemente identificados ou atenuados, proíbe o tratamento previsto e apresenta propostas adequadas para remediar essa falta de conformidade.

2.  Os Estados-Membros podem devem prever que a autoridade de controlo, após consulta do Comité Europeu para a Proteção de Dados, estabeleça uma lista das operações de tratamento de dados sujeitas a consulta prévia nos termos do n.º 1, alínea b).

2-A.  Os Estados-Membros devem prever que o responsável pelo tratamento ou o subcontratante forneça à autoridade de controlo a avaliação de impacto sobre a proteção de dados nos termos do artigo 25.º-A e, quando solicitado, qualquer outra informação que permita à autoridade de controlo avaliar a conformidade do tratamento e, nomeadamente, os riscos para a proteção dos dados pessoais do titular dos dados e as respetivas garantias.

2-B.  Se a autoridade de controlo for de opinião que o tratamento a efetuar não cumpre as disposições adotadas por força da presente diretiva, ou que os riscos não se encontram suficientemente identificados ou atenuados, apresenta propostas adequadas para remediar essa falta de conformidade.

2-C.  Os Estados-Membros podem consultar a autoridade de controlo no quadro da preparação de uma medida legislativa a adotar pelo parlamento nacional, ou de uma medida baseada nessa medida legislativa, que defina a natureza do tratamento, a fim de assegurar a conformidade do tratamento previsto nos termos da presente diretiva e, em especial, atenuar os riscos que comporta para os titulares de dados. [Alt. 89]

SECÇÃO 2

SEGURANÇA DOS DADOS

Artigo 27.º

Segurança do tratamento

1.  Os Estados-Membros devem prever que o responsável pelo tratamento e o subcontratante apliquem os procedimentos e as medidas técnicas e organizativas necessárias para assegurar um nível de segurança adaptado aos riscos que o tratamento representa e à natureza dos dados pessoais a proteger, atendendo às técnicas mais recentes e aos custos resultantes da sua aplicação.

2.  No que respeita ao tratamento automatizado de dados, cada Estado-Membro deve prever que o responsável pelo tratamento ou o subcontratante, na sequência de uma avaliação de riscos, aplique medidas destinadas a:

a)  Impedir o acesso de pessoas não autorizadas ao equipamento utilizado para o tratamento de dados pessoais (controlo de acesso ao equipamento);

b)  Impedir que os suportes de dados possam ser lidos, copiados, alterados ou retirados sem autorização (controlo dos suportes de dados);

c)  Impedir a introdução não autorizada de dados, bem como qualquer inspeção, alteração ou apagamento não autorizados de dados pessoais registados (controlo da conservação);

d)  Impedir que os sistemas de tratamento automatizado de dados sejam utilizados por pessoas não autorizadas por meio de equipamentos de transmissão de dados (controlo dos utilizadores);

e)  Assegurar que as pessoas autorizadas a utilizar o sistema de tratamento automatizado de dados apenas tenham acesso aos dados abrangidos pela sua autorização de acesso (controlo de acesso aos dados);

f)  Assegurar que possa ser verificado e determinado a que instâncias os dados pessoais foram ou podem ser transmitidos ou facultados utilizando equipamentos de comunicação de dados (controlo da comunicação);

g)  Assegurar que possa ser verificado e estabelecido a posteriori quais foram os dados pessoais introduzidos nos sistemas de tratamento automatizado de dados, quando e por quem (controlo da introdução);

h)  Impedir que, durante as transferências de dados pessoais ou o transporte de suportes de dados, os dados possam ser lidos, copiados, alterados ou suprimidos de forma não autorizada (controlo do transporte);

i)  Assegurar que os sistemas utilizados possam ser restaurados em caso de interrupção (recuperação);

j)  Assegurar que as funções do sistema funcionem, que os erros de funcionamento sejam assinalados (fiabilidade) e que os dados pessoais conservados não possam ser falseados por um disfuncionamento do sistema (integridade);

j-A) Assegurar que, no caso de tratamento de dados pessoais sensíveis de acordo com o artigo 8.º, tenham sido tomadas medidas de segurança adicionais para garantir o conhecimento da situação de risco e a capacidade de adotar medidas preventivas, corretivas e atenuantes, em tempo quase real, contra vulnerabilidades ou incidentes detetados que possam constituir um risco para os dados.

2-A.  Os Estados-Membros estabelecem que o subcontratante só pode ser nomeado se oferecer garantias suficientes de que toma as medidas de segurança técnica e de organização necessárias a que se refere o n.º 1 e cumpre as instruções previstas no artigo 21.º, n.º 2, alínea a). A autoridade competente deve inspecionar o subcontratante nesse sentido.

3.  A Comissão pode adotar, se necessário, atos de execução a fim de especificar os requisitos previstos nos n.os 1 e 2 aplicáveis às várias situações, particularmente normas de cifragem. Esses atos de execução são adotados em conformidade com o procedimento de exame previsto no artigo 57.º, n.º 2. [Alt. 90]

Artigo 28.º

Notificação da violação de dados pessoais à autoridade de controlo

1.  Os Estados-Membros devem prever que, em caso de violação de dados pessoais, o responsável pelo tratamento notifique desse facto a autoridade de controlo, sem demora injustificada e, sempre que possível, o mais tardar no prazo de 24 horas após ter tido conhecimento da mesma. Em caso a notificação seja transmitida após esse prazo,de atraso, o responsável pelo tratamento deve apresentar uma justificação à autoridade de controlo, a pedido desta.

2.  O subcontratante deve alertar e informar o responsável pelo tratamento imediatamente sem demora injustificada após ter conhecimentoa deteção de uma violação de dados pessoais.

3.  A notificação referida no n.º 1 deve, pelo menos:

a)  Descrever a natureza de violação dos dados pessoais, incluindo as categorias e o número de titulares de dados afetados, bem como as categorias e o número de registos de dados em causa;

b)  Comunicar a identidade e os contactos do delegado para a proteção de dados referido no artigo 30.°, ou de outro ponto de contacto onde possam ser obtidas informações adicionais;

c)  Recomendar medidas destinadas a atenuar os eventuais efeitos adversos da violação de dados pessoais;

d)  Descrever as consequências eventuais da violação de dados pessoais;

e)  Descrever as medidas propostas ou adotadas pelo responsável pelo tratamento para remediar a violação de dados pessoais e atenuar os seus efeitos.

Caso seja impossível fornecer todas as informações sem demora injustificada, o responsável pelo tratamento pode completar a notificação numa segunda fase.

4.  Os Estados-Membros devem prever que o responsável pelo tratamento conserve documentação sobre qualquer violação de dados pessoais, incluindo os factos relacionados com a mesma, os respetivos efeitos e a medida de reparação adotada. Essa documentação deve ser suficiente para permitir à autoridade de controlo verificar o respeito do disposto no presente artigo. A documentação deve incluir apenas as informações necessárias para esse efeito.

4-A.  A autoridade de controlo deve manter um registo público dos tipos de violações notificadas.

5.  São conferidas competências à Comissão para adotar, após requerer um parecer ao Comité Europeu para a Proteção de Dados, atos delegados nos termos do artigo 56.º, a fim de especificar mais concretamente os critérios e requisitos aplicáveis à determinação da violação de dados referida nos n.ºs 1 e 2, e às circunstâncias particulares em que um responsável pelo tratamento e um subcontratante são obrigados a notificar a violação de dados pessoais.

6.  A Comissão pode definir um formato normalizado para essa notificação à autoridade de controlo, os procedimentos aplicáveis ao requisito de notificação, bem como o formulário e as modalidades para a documentação referida no n.º 4, incluindo os prazos para o apagamento das informações aí contidas. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 57.º, n.º 2. [Alt. 91]

Artigo 29.º

Comunicação de uma violação de dados pessoais ao titular dos dados

1.  Os Estados-Membros devem prever que, sempre que a violação de dados pessoais for suscetível de afetar negativamente a proteção dos dados pessoais ou, a privacidade, os direitos ou os interesses legítimos do titular dos dados, o responsável pelo tratamento, após a notificação a que se refere o artigo 28.º, comunica a violação de dados pessoais à pessoa em causa sem demora injustificada.

2.  A comunicação ao titular dos dados referida no n.º 1 deve ser abrangente e utilizar uma linguagem clara e simples. Deve descrever a natureza da violação dos dados pessoais e incluir, pelo menos, as informações e recomendações previstas no artigo 28.º, n.º 3, alíneas b) e, c) e d) e informações sobre os direitos do titular de dados, incluindo o direito de recurso.

3.  A comunicação de uma violação de dados pessoais ao seu titular não deve ser exigida se o responsável pelo tratamento demonstrar cabalmente, a contento da autoridade competente, que adotou as medidas de proteção tecnológica adequadas e que estas foram aplicadas aos dados a que a violação diz respeito. Essas medidas de proteção tecnológica devem tornar os dados incompreensíveis para qualquer pessoa que não esteja autorizada a aceder a esses dados.

3-A.  Sem prejuízo da obrigação que incumbe ao responsável pelo tratamento de notificar o titular dos dados da violação dos seus dados pessoais, se o primeiro não tiver já comunicado a violação de dados pessoais à pessoa em causa, a autoridade de controlo, atendendo aos efeitos negativos prováveis dessa violação, pode exigir que proceda a essa notificação.

4.  A comunicação ao titular dos dados pode ser adiada ou limitada pelos motivos referidos no artigo 11.º, n.º 4. [Alt. 92]

SECÇÃO 3

DELEGADO PARA A PROTEÇÃO DE DADOS

Artigo 30.º

Designação do delegado para a proteção de dados

1.  Os Estados-Membros devem prever que o responsável pelo tratamento ou o subcontratante designem um delegado para a proteção de dados.

2.  O delegado para a proteção de dados é designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio da legislação e das práticas a nível da proteção de dados, e na sua capacidade para cumprir as funções referidas no artigo 32.º. O nível de conhecimentos especializados necessários é determinado, em particular, em função do tratamento de dados realizado e da proteção exigida para os dados pessoais tratados pelo responsável pelo tratamento ou pelo subcontratante.

2-A.  Os Estados-Membros devem prever que o responsável pelo tratamento ou o subcontratante assegure que quaisquer outras funções profissionais que incumbem ao delegado para a proteção de dados sejam compatíveis com as atribuições e funções dessa pessoa na qualidade de delegado para a proteção de dados e não impliquem um conflito de interesses.

2-B.  O delegado para a proteção dos dados é nomeado por um período mínimo de quatro anos. O mandato do delegado para a proteção de dados pode ser renovado. No decurso do seu mandato, o delegado para a proteção de dados apenas pode ser exonerado se tiver deixado de cumprir as condições exigidas para o exercício das suas funções.

2-C.  Os Estados-Membros devem reconhecer ao titular de dados o direito de entrar em contacto com o delegado para a proteção de dados relativamente a qualquer assunto respeitante ao tratamento dos seus dados pessoais.

3.  O delegado para a proteção de dados pode ser designado para várias entidades, tendo em conta a estrutura organizativa da autoridade competente.

3-A.  Os Estados-Membros devem prever que o responsável pelo tratamento ou o subcontratante comuniquem o nome e os contactos do delegado para a proteção de dados à autoridade de controlo e ao público. [Alt. 93]

Artigo 31.º

Função do delegado para a proteção de dados

1.  Os Estados-Membros devem prever que o responsável pelo tratamento ou o subcontratante assegure que o delegado para a proteção de dados seja associado, de forma adequada e em tempo útil, a todas as matérias relacionadas com a proteção de dados pessoais.

2.  O responsável pelo tratamento ou o subcontratante deve assegurar que o delegado para a proteção de dados dispõe dos meios para desempenhar as suas funções e atribuições referidas no artigo 32.º, de forma eficaz e independente, e que não recebe quaisquer instruções relativas ao exercício da sua função.

2-A.  O responsável pelo tratamento ou o subcontratante apoiam o delegado para a proteção de dados no exercício das suas funções e devem fornecer todos os meios, incluindo pessoal, instalações, equipamentos, formação profissional contínua e quaisquer outros recursos necessários ao exercício das funções e atribuições referidas no artigo 32.º e à manutenção dos seus conhecimentos profissionais. [Alt. 94]

Artigo 32.º

Atribuições do delegado para a proteção de dados

Os Estados-Membros devem prever que o responsável pelo tratamento ou o subcontratante confie ao delegado para a proteção de dados, pelo menos, as seguintes atribuições:

a)  Sensibilizar, informar e aconselhar o responsável pelo tratamento ou o subcontratante sobre as suas obrigações em aplicação das disposições adotadas em conformidade com a presente diretiva, em particular no que se refere a medidas e procedimentos técnicos e organizativos, e conservar documentação sobre esta atividade e as respostas recebidas;

b)  Controlar a execução e a aplicação das regras internas em matéria de proteção de dados, incluindo a repartição das responsabilidades, a formação do pessoal que participa nas operações de tratamento e nas auditorias correspondentes;

c)  Controlar a execução e a aplicação das disposições adotadas em conformidade com a presente diretiva, em especial quanto aos requisitos relacionados com a proteção de dados desde a conceção, a proteção de dados por defeito e a segurança de dados, bem como às informações dos titulares dos dados e exame dos pedidos para exercer os seus direitos ao abrigo das disposições adotadas em conformidade com a presente diretiva;

d)  Assegurar que a documentação referida no artigo 23.º é conservada;

e)  Acompanhar a documentação, a notificação e a comunicação relativas a violações de dados pessoais, nos termos dos artigos 28.º e 29.º;

f)  Acompanhar a aplicação da avaliação de impacto sobre a proteção de dados pelo responsável pelo tratamento ou pelo subcontratante e verificar se os pedidos de consulta prévia foram apresentados à autoridade de controlo, caso esta seja necessária nos termos do artigo 26.º, n.º 1;

g)  Acompanhar a resposta aos pedidos da autoridade de controlo e, no âmbito da competência do delegado para a proteção de dados, cooperar com a autoridade de controlo, a pedido desta ou por iniciativa do próprio delegado para a proteção de dados;

h)  Atuar como ponto de contacto para a autoridade de controlo sobre assuntos relacionados com o tratamento, e consultar esta autoridade, se for caso disso, por sua própria iniciativa. [Alt. 95]

CAPÍTULO V

TRANSFERÊNCIA DE DADOS PESSOAIS PARA PAÍSES TERCEIROS OU ORGANIZAÇÕES INTERNACIONAIS

Artigo 33.º

Princípios gerais das transferências de dados pessoais

Os Estados-Membros devem prever que qualquer transferência, pelas autoridades competentes, de dados pessoais objeto de tratamento ou que se destinem a ser tratadas após a sua transferência para um país terceiro, ou para uma organização internacional, incluindo uma transferência ulterior para outro país terceiro ou outra organização internacional, só pode ser efetuada se:

a)  A transferência específica for necessária para fins de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais; e

a-A) Os dados forem transferidos para um responsável pelo tratamento num país terceiro ou numa organização internacional que seja uma autoridade competente para os efeitos referidos no artigo 1.º, n.º 1; e

a-B) As condições estabelecidas no presente capítulo forem respeitadas pelo responsável pelo tratamento e pelo subcontratante, incluindo para as transferências ulteriores de dados pessoais do país terceiro ou da organização internacional para outro país terceiro ou outra organização internacional; e

b)  As condições estabelecidas no outras disposições adotadas em conformidade com a presente capítulo diretiva forem cumpridas pelo responsável pelo tratamento e pelo subcontratante; e

b-A) O nível de proteção dos dados de pessoas singulares assegurado na União pela presente diretiva continuar a ser garantido; e

b-B) A Comissão tiver decidido, em cumprimento das condições e dos procedimentos previstos no artigo 34.º, que o país terceiro ou a organização internacional em questão garante um nível de proteção adequado; ou

b-C) Tiverem sido apresentadas garantias adequadas no que diz respeito à proteção de dados pessoais mediante um instrumento vinculativo, em conformidade com o artigo 35.º;

Os Estados-Membros devem prever que as transferências ulteriores referidas no n.º 1 do presente artigo possam apenas ocorrer se, além das condições apresentadas nesse número:

a)  A transferência ulterior for necessária para a mesma finalidade específica da transferência original; e

b)  A autoridade competente que realizou a transferência original autorizar a transferência ulterior. [Alt. 96]

Artigo 34.º

Transferências acompanhadas de uma decisão de adequação

1.  Os Estados-Membros devem prever que uma transferência de dados pessoais para um país terceiro ou uma organização internacional pode ser efetuada sempre que a Comissão tiver declarado, mediante decisão, em conformidade com o artigo 41.º do Regulamento (UE) …./2012, ou em conformidade com o n.º 3 deste artigo, que o país terceiro, um território ou um setor de tratamento nesse país terceiro, ou a organização internacional em causa, garante um nível de proteção adequado. Esta transferência não exige nenhuma autorização suplementarespecífica.

2.  Na falta de uma decisão adotada por força do artigo 41.º do Regulamento (UE) …./2012,Ao avaliar o nível de proteção adequado, a Comissão deve avaliar a adequação do nível de proteção tendoter em conta os seguintes elementos:

a)  O primado do Estado de direito, a legislação relevante em vigor, geral ou setorial, incluindo no que respeita à segurança pública, à defesa, à segurança nacional e ao direito penal, bem como à aplicação desta legislação e às medidas de segurança que são respeitadas nesse país ou por essa organização internacional, os precedentes jurisprudenciais, bem como a existência de direitos efetivos e oponíveis, incluindo vias de recurso administrativo e judicial para os titulares de dados, nomeadamente para as pessoas residentes na União cujos dados pessoais sejam objeto de transferência;

b)  A existência e o funcionamento efetivo de uma ou mais autoridades de controlo independentes no país terceiro ou na organização internacional em causa, responsáveis por assegurar o respeito das regras de proteção de dados, incluindo poderes sancionatórios suficientes, assistir e aconselhar o titular de dados no exercício dos seus direitos, e cooperar com as autoridades de controlo da União e dos Estados-Membros; e

c)  Os compromissos internacionais assumidos pelo país terceiro ou pela organização internacional, em particular quaisquer convenções ou instrumentos vinculativos respeitantes à proteção de dados pessoais.

3.  A São conferidas competências à Comissão pode para adotar, após requerer um parecer ao Comité Europeu para a Proteção de Dados, atos delegados nos termos do artigo 56.º, a fim de decidir, nos limites da presente diretiva, que um país terceiro, um território, ou um setor de tratamento dentro desse país terceiro, ou uma organização internacional, garante um nível de proteção adequado na aceção do n.º 2. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 57.º, n.º 2.

4.  O ato de execuçãodelegado deve especificar o âmbito de aplicação geográfico e setorial e, se for caso disso, identificar a autoridade de controlo referida no n.º 2, alínea b).

4-A.  A Comissão deve acompanhar de forma permanente os desenvolvimentos que possam afetar o cumprimento dos elementos enunciados no n.º 2 em países terceiros e em organizações internacionais, em relação aos quais tenham sido adotados atos delegados nos termos do n.º 3.

5.  A São conferidas competências à Comissão pode para adotar atos delegados nos termos do artigo 56.º, a fim de decidir, nos limites da presente diretiva, que um país terceiro, um território ou um setor de tratamento nesse país terceiro, ou uma organização internacional, não assegura um nível de proteção adequado na aceção do n.º 2, em especial nos casos em que a legislação relevante, quer de caráter geral ou setorial, em vigor no país terceiro ou na organização internacional, não assegura direitos efetivos e oponíveis, incluindo vias de recurso administrativo e judicial para os titulares de dados, nomeadamente para as pessoas residentes no território da União cujos dados pessoais sejam objeto de transferência. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 57.º, n.º 2, ou, em casos de extrema urgência para as pessoas singulares no que se refere ao seu direito de proteção de dados pessoais, em conformidade com o procedimento referido no artigo 57.º, n.º 3.

6.  Os Estados-Membros devem assegurar que, sempre que a Comissão adote uma decisão por força do n.º 5, segundo a qual qualquer transferência de dados pessoais para o país terceiro, um território ou um setor de tratamento nesse país terceiro, ou organização internacional em causa éseja proibida, tal decisão não prejudique transferências efetuadas nos termos do artigo 35.º, n.º 1, ou em conformidade com o artigo 36.º. Em momento oportuno, a Comissão deve encetar negociações com o país terceiro ou a organização internacional com vista a remediar a situação resultante da decisão adotada nos termos do n.º 5.

7.  A Comissão publica no Jornal Oficial da União Europeia uma lista dos países terceiros, territórios e setores de tratamento num país terceiro e de organizações internacionais relativamente aos quais tenha declarado, mediante decisão, que asseguram ou não um nível de proteção adequado.

8.  A Comissão deve acompanhar a aplicação dos atos de execuçãodelegados referidos nos n.ºs 3 e 5. [Alt. 97]

Artigo 35.º

Transferências mediante garantias adequadas

1.   Sempre que a Comissão não tenha tomado qualquer decisão nos termos do artigo 34.º, os Estados-Membros devem prever que uma transferência deou decida que um país terceiro, ou um território desse país terceiro ou uma organização internacional não assegura um nível de proteção de dados adequado em conformidade com o artigo 34.º, n.º 5, um responsável pelo tratamento ou um subcontratante não pode transferir dados pessoais para um país terceiro, ou um território desse país terceiro ou uma organização internacional só pode ser efetuadaa menos que tenha apresentado garantias adequadas quanto à proteção de dados pessoais num instrumento vinculativo.

a)  Tiverem sido apresentadas garantias adequadas no que diz respeito à proteção de dados pessoais mediante um instrumento vinculativo; ou

b)  O responsável pelo tratamento ou o subcontratante tiver avaliado todas as circunstâncias inerentes à operação de transferência de dados pessoais e concluir existirem garantias adequadas relativamente à proteção de dados pessoais.

12.  A decisão de transferência nos termos do n.º 1, alínea b), deve ser adotada por pessoal devidamente autorizado. Qualquer transferência desse tipo deve ser fundamentada mediante documentação, que deve ser disponibilizada à autoridade de controlo, se solicitadaautorizada pela autoridade de controlo antes da sua realização. [Alt. 98]

Artigo 36.º

Derrogações

1.  Caso a Comissão verifique, em conformidade com o artigo 34.º, n.º 5, que não existe um nível de proteção adequado, a transferência de dados pessoais para o país terceiro ou a organização internacional não pode ser efetuada se, nesse caso específico, os interesses legítimos do titular dos dados relativamente ao cancelamento da transferência superarem o interesse público relativamente à mesma.

2.   Em derrogação aos artigos 34.º e 35.º, os Estados-Membros devem prever que uma transferência de dados pessoais para um país terceiro ou uma organização internacional só pode ser efetuada:

a)  Se for necessária para proteger os interesses vitais do titular dos dados ou de outra pessoa; ou

b)  Se for necessária para proteger os interesses legítimos do titular dos dados sempre que a legislação do Estado-Membro que transfere os dados pessoais o preveja; ou

c)  Se for essencial para a prevenção de uma ameaça imediata e grave contra a segurança pública de um Estado-Membro ou de um país terceiro; ou

d)  Se for necessária em casos particulares para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais; ou

e)  Se for necessária em casos particulares tendo em vista a confirmação, exercício ou defesa de um direito no âmbito de um processo judicial relacionado com a prevenção, investigação, deteção ou repressão de uma infração penal específica ou a execução de uma sanção penal específica.

2-A.  O tratamento com base no n.º 2 deve ter uma base jurídica no direito da União ou na legislação do Estado-Membro a que o responsável pelo tratamento esteja sujeito; essa legislação deve responder a um objetivo de interesse público ou à necessidade de proteger os direitos e liberdades das pessoas, ser conforme com o conteúdo essencial do direito à proteção de dados pessoais e ser proporcional ao objetivo legítimo perseguido.

2-B.  Todas as transferências de dados pessoais decididas com base em derrogações devem ser devidamente justificadas e limitadas ao estritamente necessário, não sendo permitidas transferências de dados frequentes e massivas.

2-C.  A decisão de transferência nos termos do n.º 2 deve ser adotada por pessoal devidamente autorizado. Essas transferências devem ser documentadas, devendo a documentação ser disponibilizada à autoridade de controlo, a pedido desta, incluindo a data e hora da transferência, informações acerca da autoridade de destino, a justificação da transferência e os dados transferidos. [Alt. 99]

Artigo 37.º

Condições específicas aplicáveis à transferência de dados pessoais

Os Estados-Membros devem prever que o responsável pelo tratamento informe o destinatário dos dados pessoais de qualquer limitação do tratamento e que adote todas as medidas razoáveis a fim de assegurar que tais limitações sejam respeitadas.

O responsável pelo tratamento deve também notificar o destinatário dos dados pessoais de qualquer atualização, retificação ou apagamento de dados, e o destinatário deve, pelo seu lado, proceder à notificação correspondente, caso os dados tenham sido transferidos posteriormente. [Alt. 100]

Artigo 38.º

Cooperação internacional no domínio da proteção de dados pessoais

1.  Em relação a países terceiros e a organizações internacionais, a Comissão e os Estados-Membros devem adotar as medidas necessárias para:

a)  Elaborar mecanismos de cooperação internacionais eficazes visando facilitar assegurar a aplicação da legislação relativa à proteção de dados pessoais; [Alt. 101]

b)  Prestar assistência mútua a nível internacional no domínio da aplicação da legislação de proteção de dados pessoais, incluindo através da notificação, transmissão das queixas, assistência na investigação e intercâmbio de informações, sob reserva das garantias adequadas para a proteção dos dados pessoais e outros direitos e liberdades fundamentais;

c)  Associar as partes interessadas relevantes nas discussões e atividades com vista à promoção da cooperação internacional na aplicação da legislação relativa à proteção de dados pessoais;

d)  Promover o intercâmbio e a documentação da legislação e das práticas em matéria de proteção de dados pessoais;

d-A) Clarificar e proceder a consultas sobre conflitos jurisdicionais com países terceiros. [Alt. 102]

2.  Para efeitos da aplicação do n.º 1, a Comissão deve adotar as medidas necessárias para intensificar as relações com os países terceiros ou as organizações internacionais e, em especial, as suas autoridades de controlo, sempre que a Comissão tiver declarado, mediante decisão, que asseguram um nível de proteção adequado na aceção do artigo 34.º, n.º 3.

Artigo 38.º-A

Relatório da Comissão

A Comissão apresenta regularmente ao Parlamento Europeu e ao Conselho um relatório sobre a aplicação dos artigos 33.º a 38.º. O primeiro relatório é apresentado o mais tardar quatro anos após a entrada em vigor da presente diretiva. Para esse efeito, a Comissão pode solicitar informações aos Estados-Membros e às autoridades reguladoras nacionais, que fornecem essas informações sem atrasos indevidos. O relatório é objeto de publicação. [Alt. 103]

CAPÍTULO VI

AUTORIDADES DE CONTROLO INDEPENDENTES

SECÇÃO 1

ESTATUTO INDEPENDENTE

Artigo 39.º

Autoridade de controlo

1.  Cada Estado-Membro deve prever que uma ou mais autoridades públicas sejam responsáveis pela fiscalização da aplicação das disposições adotadas nos termos da presente diretiva e por contribuir para a sua aplicação coerente no conjunto da União, a fim de proteger os direitos e liberdades fundamentais das pessoas singulares relativamente ao tratamento dos seus dados pessoais e facilitar a livre circulação desses dados na União. Para esse efeito, as autoridades de controlo devem cooperar entre si e com a Comissão.

2.  Os Estados-Membros podem prever que a autoridade de controlo instituída nos Estados-Membros em conformidade com o Regulamento (EU)…./2014 assuma as funções de autoridade de controlo a definir nos termos do n.º 1 do presente artigo.

3.  Sempre que um Estado-Membro institui várias autoridades de controlo, deve designar aquela que funciona como ponto de contacto único tendo em vista uma participação efetiva dessas autoridades no Comité Europeu para a Proteção de Dados.

Artigo 40.º

Independência

1.  Os Estados-Membros devem assegurar que a autoridade de controlo exerça com total independência as funções e poderes que lhe forem atribuídos, sem prejuízo de acordos de cooperação nos termos do capítulo VII da presente diretiva. [Alt. 104]

2.  Cada Estado-Membro deve prever que os membros da autoridade de controlo, no exercício das suas funções, não solicitam nem aceitam instruções de outrem e mantêm total independência e imparcialidade. [Alt. 105]

3.  Os membros da autoridade de controlo devem abster-se de praticar qualquer ato incompatível com as suas funções e, durante o seu mandato, não podem desempenhar qualquer atividade profissional, remunerada ou não.

4.  Após cessarem as suas funções, os membros da autoridade de controlo devem agir com integridade e discrição relativamente à aceitação de determinadas funções e benefícios.

5.  Cada Estado-Membro deve assegurar que a autoridade de controlo dispõe de recursos humanos, técnicos e financeiros apropriados, bem como de instalações e infraestruturas, necessários à execução eficaz das suas funções e poderes, incluindo os executados no contexto da assistência mútua, cooperação e participação ativa no Comité Europeu para a Proteção de Dados.

6 Cada Estado-Membro deve assegurar que a autoridade de controlo dispõe do seu próprio pessoal, que é designado pelo diretor da autoridade de controlo e está sujeito às suas ordens.

7.  Os Estados-Membros devem assegurar que a autoridade de controlo fica sujeita a um controlo financeiro que não afete a sua independência. Os Estados-Membros garantem que a autoridade de controlo disponha de orçamentos anuais próprios. Os orçamentos serão objeto de publicação.

Artigo 41.º

Condições gerais aplicáveis aos membros da autoridade de controlo

1.  Os Estados-Membros devem prever que os membros da autoridade de controlo sejam nomeados pelos respetivos parlamentos ou governos.

2.  Os membros são escolhidos de entre pessoas que ofereçam todas as garantias de independência e cuja experiência e conhecimentos técnicos necessários para o exercício das suas funções seja comprovada.

3.  As funções de um membro cessam findo o termo do seu mandato, demissão ou destituição, nos termos do n.º 5.

4.  Um membro pode ser declarado demissionário ou privado do seu direito à pensão ou a outros benefícios equivalentes por decisão de um tribunal nacional competente se deixar de preencher os requisitos necessários ao exercício das suas funções ou tiver cometido uma falta grave.

5.  Um membro cujo mandato termine ou que se demita deve continuar a exercer as suas funções até à nomeação de um novo membro.

Artigo 42.º

Regras relativas à constituição da autoridade de controlo

Cada Estado-Membro deve prever, por via legislativa:

a)  A constituição e o estatuto da autoridade de controlo, nos termos dos artigos 39.º e 40.º;

b)  As qualificações, a experiência e as competências para o exercício das funções de membro da autoridade de controlo;

c)  As regras e os procedimentos para a nomeação dos membros da autoridade de controlo, bem como as regras relativas a ações ou atividades profissionais incompatíveis com a função;

d)  A duração do mandato dos membros da autoridade de controlo, que não pode ser inferior a quatro anos, salvo no que se refere ao primeiro mandato após a entrada em vigor da presente diretiva, que pode ter uma duração mais curta;

e)  O caráter renovável ou não do mandato dos membros da autoridade de controlo;

f)  O estatuto e as condições comuns que regulam as funções dos membros e do pessoal da autoridade de controlo;

g)  As regras e os procedimentos relativos à cessação das funções dos membros da autoridade de controlo, incluindo quando deixem de preencher os requisitos necessários ao exercício das suas funções ou se tiverem cometido uma falta grave.

Artigo 43.º

Sigilo profissional

Os Estados-Membros devem prever que os membros e o pessoal da autoridade de controlo ficam sujeitos, durante o respetivo mandato e após a sua cessação, e em conformidade com a legislação e a prática nacionais, à obrigação de sigilo profissional quanto a quaisquer informações confidenciais a que tenham tido acesso no desempenho das suas funções oficiais, desempenhando as suas funções com independência e transparência, conforme previsto na presente diretiva. [Alt. 106]

SECÇÃO 2

FUNÇÕES E PODERES

Artigo 44.º

Competência

1.  Os Estados-Membros devem prever que cada autoridade de controlo exerceseja competente para o desempenho das suas funções e para o exercício, no território do seu Estado-Membro, osdos poderes que lhe são conferidos em conformidade com a presente diretiva. [Alt. 107]

2.  Os Estados-Membros devem prever que a autoridade de controlo não tem competência para controlar operações de tratamento efetuadas por tribunais que atuem no exercício da sua função jurisdicional.

Artigo 45.º

Funções

1.  Os Estados-Membros devem prever que incumbe à autoridade de controlo:

a)  Controlar e assegurar a aplicação das disposições adotadas em conformidade com a presente diretiva e das suas medidas de execução;

b)  Receber as queixas apresentadas por qualquer titular de dados ou por uma associação que o representenos termos do artigo 50.º, examinar a matéria, na medida do necessário, e informar o titular de dados ou a associação do andamento e do resultado da queixa num prazo razoável, em especial se forem necessárias operações de investigação ou de coordenação complementares com outra autoridade de controlo;

c)  Verificar a licitude do tratamento dos dados nos termos do artigo 14.º, e informar o titular de dados num período razoável do resultado da verificação ou dos motivos que impediram a sua realização;

d)  Prestar assistência mútua a outras autoridades de controlo e assegurar a coerência da aplicação e execução das disposições adotadas nos termos da presente diretiva;

e)  Conduzir investigações, inspeções e auditorias por sua própria iniciativa ou com base numa queixa ou a pedido de outra autoridade de controlo, e informar o titular dos dados, num prazo razoável, do resultado das operações de investigação;

f)  Acompanhar factos novos relevantes, na medida em que tenham incidência na proteção de dados pessoais, particularmente a evolução a nível das tecnologias da informação e das comunicações e das práticas comerciais;

g)  Ser consultada pelas instituições e organismos do Estado-Membro quanto a medidas legislativas e administrativas relacionadas com a proteção dos direitos e liberdades no que diz respeito ao tratamento de dados pessoais;

h)  Ser consultada sobre as operações de tratamento nos termos do artigo 26.º;

i)  Participar nas atividades do Comité Europeu para a Proteção de Dados.

2.  Cada autoridade de controlo deve promover a sensibilização do público sobre os riscos, regras, garantias, e direitos associados ao tratamento de dados pessoais. As atividades especificamente dedicadas às crianças devem ser objeto de uma atenção especial.

3.  A autoridade de controlo deve, a pedido, aconselhar qualquer titular de dados sobre o exercício dos seus direitos decorrentes da presente diretiva e, se for caso disso, coopera com as autoridades de controlo de outros Estados-Membros para esse efeito.

4.  No que respeita às queixas referidas no n.º 1, alínea b), a autoridade de controlo deve fornecer um formulário de queixa, que possa ser preenchido eletronicamente, sem excluir outros meios de comunicação.

5.  Os Estados-Membros devem prever que o desempenho das funções da autoridade de controlo é gratuito para o titular dos dados.

6.  Sempre que os pedidos sejam manifestamente abusivosexcessivos, particularmente devido ao seu caráter repetitivo, a autoridade de controlo pode exigir o pagamento de uma taxa, ou não adotar as medidas solicitadas pelo titular dos dadosrazoável. Essa taxa não deve exceder os custos de adoção da ação solicitada. Incumbe à autoridade de controlo o ónus de provar o caráter manifestamente abusivo excessivo do pedido. [Alt. 108]

Artigo 46.º

Poderes

1.   Os Estados-Membros devem prever que cada autoridade de controlo esteja habilitada a exercer os seguintes poderestenha o poder de:

a)  Poder de investigação, nomeadamente aceder aos dados objeto de tratamento e recolher todas as informações necessárias ao desempenho das suas funções de controloNotificar o responsável pelo tratamento ou o subcontratante de uma alegada violação das disposições que regulam o tratamento de dados pessoais e, se for caso disso, ordenar que o responsável pelo tratamento ou o subcontratante sanem essa violação, através de medidas específicas, a fim de melhorar a proteção do titular dos dados;

b)  Poder efetivo de intervenção, nomeadamente emitir pareceres previamente ao tratamento de dados e assegurar a publicação adequada desses pareceres, ordenar a limitação, o apagamento ou a destruição dos dados, proibir temporária ou definitivamente um tratamento, dirigir uma advertência ou uma admoestação ao responsável pelo tratamento ou remeter a questão para os parlamentos nacionais ou para outras instituições políticasOrdenar ao responsável pelo tratamento que satisfaça os pedidos de exercício de direitos apresentados pelo titular dos dados previstos na presente diretiva, mormente os referidos nos artigos 12.º a 17.º, quando esses pedidos tenham sido indeferidos em violação das referidas disposições;

c)  Poder de intervir em processos judiciais em caso de violação das disposições nacionais adotadas em aplicação da presente diretiva ou de levar essa violação ao conhecimento das autoridades judiciaisOrdenar ao responsável pelo tratamento ou ao subcontratante que forneça informações, nos termos dos artigos 10.º, n.ºs 1 e 2, 11.º, 28.º e 29.º;

d)  Assegurar o respeito dos pareceres sobre a consulta prévia referida no artigo 26.º;

e)  Advertir ou admoestar o responsável pelo tratamento ou o subcontratante;

f)  Ordenar a retificação, o apagamento ou a destruição de todos os dados que tenham sido objeto de tratamento em violação das disposições adotadas em aplicação da presente diretiva, bem como a notificação dessas medidas a terceiros a quem tenham sido divulgados os dados;

g)  Proibir temporária ou definitivamente um tratamento de dados;

h)  Suspender o intercâmbio de dados com um destinatário num país terceiro ou com uma organização internacional;

i)  Informar os parlamentos nacionais, os governos ou outras instituições públicas, bem como o público, sobre o assunto.

2.  Cada autoridade de controlo tem o poder de investigação para obter do responsável pelo tratamento ou do subcontratante:

a)  O acesso a todos os dados pessoais e a todas as informações necessárias ao exercício das suas funções de controlo;

b)  O acesso a todas as suas instalações, incluindo a qualquer equipamento e meios de tratamento de dados, em conformidade com a legislação nacional, sempre que existir um motivo razoável para presumir que aí é exercida uma atividade contrária às disposições adotadas em aplicação da presente diretiva, sem prejuízo da obtenção de uma autorização judiciária, se tal for requerido pelas leis nacionais.

3.  Sem prejuízo do artigo 43.º, os Estados-Membros devem prever que não sejam aplicados requisitos adicionais em matéria de sigilo a pedido das autoridades de controlo.

4.  Os Estados-Membros podem prever a obrigatoriedade de um controlo adicional de segurança, em conformidade com a legislação nacional, para aceder a informações com a classificação CONFIDENCIAL UE ou superior. Caso não seja necessário qualquer controlo adicional de segurança nos termos da legislação do Estado-Membro da autoridade de controlo competente, tal deve ser reconhecido por todos os outros Estados-Membros.

5.  Cada autoridade de controlo é competente para chamar a atenção das autoridades judiciais para a violação das disposições adotadas em aplicação da presente diretiva e para intervir em processos judiciais e intentar uma ação em tribunal, nos termos do artigo 53.º, n.º 2.

6.  Cada autoridade de controlo é competente para impor sanções em caso de infrações administrativas. [Alt. 109]

Artigo 46.º-A

Comunicação das infrações

1.  Os Estados-Membros devem prever que as autoridades de controlo tenham em conta as orientações formuladas pelo Comité Europeu para a Proteção de Dados nos termos do artigo 66.º, n.º 4-B, do Regulamento (UE) n.º .../2014, e instituir mecanismos eficazes para incentivar a comunicação confidencial das infrações à presente diretiva.

2.  Os Estados-Membros devem prever que as autoridades competentes instituam mecanismos eficazes para incentivar a comunicação confidencial das infrações à presente diretiva. [Alt. 110]

Artigo 47.º

Relatório de atividades

Os Estados-Membros devem prever que cada autoridade de controlo elabore um relatório anual de atividades no mínimo de dois em dois anos. O relatório é disponibilizado ao público, ao parlamento respetivo, à Comissão e ao Comité Europeu para a Proteção de Dados. Deve incluir informações sobre a medida em que as autoridades competentes, na sua jurisdição, acederam aos dados detidos por privados para efeitos de investigação ou repressão de infrações penais. [Alt. 111]

CAPÍTULO VII

COOPERAÇÃO

Artigo 48.º

Assistência mútua

1.  Os Estados-Membros devem prever que as autoridades de controlo prestem entre si assistência mútua, a fim de executar e aplicar de forma coerente as disposições adotadas em conformidade com a presente diretiva, e que ponham em prática medidas para cooperar eficazmente entre si. A assistência mútua deve cobrir, em especial, pedidos de informação e de medidas de controlo, tais como pedidos de consulta prévia, de inspeção e de investigação.

2.  Os Estados-Membros devem prever que a autoridade de controlo adote todas as medidas adequadas necessárias para satisfazer o pedido de outra autoridade de controlo. Essas medidas podem incluir, particularmente, a transmissão de informações úteis ou medidas de execução para fazer cessar ou proibir operações de tratamento de dados contrárias à presente diretiva, sem demora e dentro de um mês após a receção do pedido.

2-A.  O pedido de assistência deve incluir todas as informações necessárias, incluindo a finalidade e as razões do pedido. As informações trocadas só devem ser utilizadas para os efeitos para que foram solicitadas.

2-B.  Uma autoridade de controlo à qual tenha sido dirigido um pedido não pode recusar dar-lhe cumprimento, salvo se:

a)  Não for competente para dar resposta ao pedido; ou

b)  Dar seguimento ao pedido for incompatível com as disposições adotadas em conformidade com a presente diretiva.

3.  A autoridade de controlo requerida deve informar a autoridade de controlo requerente dos resultados obtidos ou, consoante o caso, do andamento do dossiê ou das medidas adotadas para satisfazer o pedido da autoridade de controlo requerente.

3-A.  As autoridades de controlo fornecem as informações solicitadas por outras autoridades de controlo através de meios eletrónicos, e dentro do prazo mais curto possível, mediante a utilização de um formato normalizado.

3-B.  Não é cobrada qualquer taxa por qualquer medida tomada na sequência de um pedido de assistência mútua. [Alt. 112]

Artigo 48.º-A

Operações conjuntas

1.  Os Estados-Membros devem prever que, a fim de reforçar a cooperação e a assistência mútua, as autoridades de controlo possam aplicar medidas de execução conjuntas e outras operações conjuntas nas quais membros ou pessoal pertencente às autoridades de controlo de outros Estados-Membros participem em operações no território de um Estado-Membro.

2.  Os Estados-Membros devem prever que, nos casos em que as operações de tratamento possam prejudicar titulares de dados noutro Estado-Membro ou noutros Estados-Membros, a autoridade de controlo competente pode ser convidada a participar nas operações conjuntas. A autoridade de controlo competente pode convidar a autoridade de controlo de cada Estado-Membro em questão a participar na respetiva operação e, caso seja convidada, responde rapidamente ao pedido de uma autoridade de controlo de participar nas operações.

3.  Os Estados-Membros devem estabelecer as modalidades práticas das ações de cooperação específicas. [Alt. 113]

Artigo 49.º

Atribuições do Comité Europeu para a Proteção de Dados

1.  O Comité Europeu para a Proteção de Dados, instituído pelo Regulamento (UE)…./20122014, exerce as seguintes atribuições no que diz respeito ao tratamento de dados no âmbito de aplicação da presente diretiva:

a)  Aconselhar a Comissão as instituições da União sobre qualquer questão relacionada com a proteção de dados pessoais na UE, nomeadamente sobre qualquer projeto de alteração da presente diretiva;

b)  Analisar, a pedido da Comissão, do Parlamento Europeu ou do Conselho ou por sua própria iniciativa ou por iniciativa de um dos seus membros, qualquer questão relativa à aplicação das disposições adotadas nos termos da presente diretiva e emitir diretrizes, recomendações e boas práticas destinadas às autoridades de controlo, a fim de incentivar a aplicação coerente dessas disposições, designadamente sobre a utilização dos poderes de execução;

c)  Examinar a aplicação prática das diretrizes, recomendações e boas práticas referidas na alínea b) e informar regularmente a Comissão sobre esta matéria;

d)  Comunicar à Comissão um parecer sobre a o nível de proteção assegurado por países terceiros ou por organizações internacionais;

e)  Promover a cooperação e o intercâmbio bilateral e plurilateral efetivo de informações e práticas entre as autoridades de controlo, incluindo a coordenação de operações conjuntas e de outras atividades conjuntas, sempre que assim o decida a pedido de uma ou mais autoridades de controlo;

f)  Promover programas de formação comuns e facilitar o intercâmbio de pessoal entre as autoridades de controlo, bem como com as autoridades de controlo de países terceiros ou de organizações internacionais, se for caso disso;

g)  Promover o intercâmbio de conhecimentos e de documentação em relação a práticas e legislação no domínio da proteção de dados com autoridades de controlo de todos os países;

g-A) Dar o seu parecer à Comissão no quadro da elaboração de atos delegados e de atos de execução nos termos da presente diretiva.

2.  Sempre que Parlamento Europeu, o Conselho ou a Comissão consultarem o Comité Europeu para a Proteção de Dados, podem fixar um prazo para a formulação do referido parecer, tendo em conta a urgência da questão.

3.  O Comité Europeu para a Proteção de Dados transmite os seus pareceres, diretrizes e boas práticas à Comissão e ao comité referido no artigo 57.º, n.º 1, e procede à sua publicação.

4.  A Comissão informa o Comité Europeu para a Proteção de Dados das medidas adotadas em sequência de pareceres, diretrizes, recomendações e boas práticas, emitidos pelo referido comité. [Alt. 114]

CAPÍTULO VIII

VIAS DE RECURSO, RESPONSABILIDADE E SANÇÕES

Artigo 50.º

Direito de apresentar uma queixa a uma autoridade de controlo

1.  Sem prejuízo de qualquer outra via de recurso administrativo ou judicial, os Estados‑Membros devem prever que qualquer titular de dados tem o direito de apresentar queixa a uma autoridade de controlo em qualquer Estado-Membro se considerar que o tratamento dos seus dados pessoais não respeita as disposições adotadas nos termos da presente diretiva.

2.  Os Estados-Membros devem prever que qualquer organismo, organização ou associação que vise proteger os direitos e interesses dos titulares de dados em relação à proteção dos seus dados pessoais e que esteja aja no interesse público e que tenha sido devidamente constituído ao abrigo do direito de um Estado-Membro, tem o direito de apresentar queixa a uma autoridade de controlo em qualquer Estado-Membro por conta de uma ou mais pessoas em causa, se considerar que os direitos de que beneficia um titular de dados por força da presente diretiva foram violados na sequência do tratamento dos seus dados pessoais. A organização ou associação tem de ser devidamente mandatada pelo(s) titular(es) de dados. [Alt. 115]

3.  Os Estados-Membros devem prever que qualquer organismo, organização ou associação referidos no n.º 2, independentemente de uma queixa do titular dos dados, pode apresentar uma queixa a uma autoridade de controlo em qualquer Estado‑Membro, se considerar ter havido uma violação de dados pessoais.

Artigo 51.º

Direito de ação judicial contra uma autoridade de controlo

1.  Os Estados-Membros devem prever o direito de ação judicial de qualquer pessoa singular ou coletiva contra as decisões de uma autoridade de controlo que lhes dizem respeito.

2.  Os Estados-Membros devem prever que qualquer titular de dados tem tenha o direito de ação judicial a fim de obrigar a autoridade de controlo a dar seguimento a uma queixa, na falta de uma decisão necessária para proteger os seus direitos, ou se a autoridade de controlo não informar a pessoa em causa, no prazo de três meses, sobre o andamento ou o resultado da sua queixa nos termos do artigo 45.º, n.º 1, alínea b).

3.  Os Estados-Membros devem prever que as ações contra uma autoridade de controlo são intentadas nos tribunais do Estado-Membro no território do qual se encontra estabelecida a autoridade de controlo.

3-A.  Os Estados-Membros devem garantir a execução das decisões definitivas proferidas pelo tribunal referido no presente artigo. [Alt. 116]

Artigo 52.º

Direito de ação judicial contra um responsável pelo tratamento ou um subcontratante

1.   Os Estados-Membros devem prever que, sem prejuízo de um eventual recurso administrativo disponível, nomeadamente o direito de apresentar queixa a uma autoridade de controlo, qualquer pessoa singular tem o direito de ação judicial se considerar ter havido violação dos direitos que lhe confere a presente diretiva, na sequência do tratamento dos seus dados pessoais efetuado em violação das disposições da referida diretiva.

1-A.  Os Estados-Membros devem garantir a execução das decisões definitivas proferidas pelo tribunal referido no presente artigo. [Alt. 117]

Artigo 53.º

Regras comuns aplicáveis aos processos judiciais

1.  Os Estados-Membros devem prever que qualquer organismo, organização ou associação referido no artigo 50.º, n.º 2, pode exercer os direitos referidos nos artigos 51.º e, 52.º e 54.º quando mandatado por um ou mais titulares de dados. [Alt. 118]

2.  Os Estados-Membros devem prever que cada autoridade de controlo pode possa intervir em processos judiciais e intentar uma ação em tribunal a fim de fazer respeitar as disposições adotadas em conformidade com a presente diretiva ou assegurar a coerência da proteção de dados pessoais na União. [Alt. 119]

3.  Os Estados-Membros devem assegurar que quaisquer vias judiciais disponíveis no direito nacional permitam a adoção rápida de medidas, incluindo medidas provisórias, visando fazer cessar qualquer alegada violação e prevenir qualquer novo prejuízo contra os interesses envolvidos.

Artigo 54.º

Responsabilidade e direito a indemnização

1.  Os Estados-Membros devem prever que qualquer pessoa que tenha sofrido um prejuízo, inclusive um prejuízo não pecuniário, devido ao tratamento ilícito ou outro ato incompatível com as disposições adotadas nos termos da presente diretiva tem o direito de receber exigir uma indemnização do responsável pelo tratamento ou do subcontratante pelo prejuízo sofrido. [Alt. 120]

2.  Sempre que vários responsáveis pelo tratamento ou subcontratantes estiverem envolvidos no tratamento de dados, cada um deles é conjunta e solidariamente responsável pelo montante total dos danos.

3.  O responsável pelo tratamento ou o subcontratante pode ser exonerado dessa responsabilidade, total ou parcialmente, se provar que o facto que causou o dano não lhe é imputável.

Artigo 55.º

Sanções

Os Estados-Membros devem prever as disposições relativas às sanções aplicáveis às violações das disposições adotadas nos termos da presente diretiva e adotar todas as medidas necessárias para assegurar a sua aplicação. As sanções previstas devem ser eficazes, proporcionadas e dissuasivas.

CAPÍTULO VIII-A

Transmissão de dados pessoais a terceiros

Artigo 55.º-A

Transmissão de dados pessoais a outras autoridades ou a entidades privadas na União

1.  Os Estados-Membros asseguram que o responsável pelo tratamento não transmita nem encarregue o subcontratante de transmitir dados pessoais a uma pessoa singular ou coletiva não sujeita às disposições adotadas em conformidade com a presente diretiva, salvo se:

a)  A transmissão respeitar a legislação da União ou do Estado-Membro ; e

b)  O destinatário estiver estabelecido num Estado-Membro da União Europeia; e

c)  Não existirem interesses legítimos específicos do titular dos dados que impeçam a transmissão dos dados; e

d)  A transmissão for necessária num caso específico para que o responsável pelo tratamento que efetua a transmissão dos dados pessoais possa assegurar:

i)  O desempenho das funções que lhe incubem legitimamente; ou

ii)  A prevenção de um perigo imediato e grave para a segurança pública; ou

iii)  A prevenção de danos graves para os direitos dos indivíduos.

2.  O responsável pelo tratamento informa o destinatário sobre a finalidade para a qual os dados pessoais podem ser exclusivamente tratados.

3.  O responsável pelo tratamento dá conhecimento dessas transferências à autoridade de controlo.

4.  O responsável pelo tratamento informa o destinatário sobre as restrições de tratamento e assegura que estas restrições sejam respeitadas. [Alt. 121]

CAPÍTULO IX

ATOS DELEGADOS E ATOS DE EXECUÇÃO

Artigo 56.º

Exercício de delegação

1.  O poder de adoptar actos delegados é conferido à Comissão nas condições estabelecidas no presente artigo.

2.  A delegação de poderes a que se refere o artigoO poder de adotar atos delegados referido nos artigos 25.º-A, n.º 7, 28.º, n.º 5, 34.º, n.ºs 3 e 5, é conferida conferido à Comissão por um período indeterminado a partir da data de entrada em vigor da presente diretiva.

3.  A delegação de poderes a que se refere o artigoreferida nos artigos 25.º-A, n.º 7, 28.º, n.º 5, 34.º, n.ºs 3 e 5, pode ser revogada em qualquer momento pelo Parlamento Europeu ou pelo Conselho. A decisão de revogação põe termo à delegação dos poderes nela especificados. A decisão de revogação produz efeitos a partir do dia seguinte ao da sua publicação no Jornal Oficial da União Europeia ou de uma data posterior nela especificada. A decisão de revogação não afecta os actos delegados já em vigor..

4.  Assim que adoptar um acto delegado, a Comissão notifica­‑o simultaneamente ao Parlamento Europeu e ao Conselho.

5.  Os actos delegados adoptados nos termos o artigodos artigos 25.º-A, n.º 7, 28.º, n.º 5, 34.º, n.ºs 3 e 5, só entram em vigor se não tiverem sido formuladas objecções pelo Parlamento Europeu ou pelo Conselho no prazo de dois seis meses a contar da notificação desse acto ao Parlamento Europeu e ao Conselho, ou se, antes do termo desse prazo, o Parlamento Europeu e o Conselho tiverem informado a Comissão de que não têm objecções a formular. O referido prazo é prorrogado por dois seis meses por iniciativa do Parlamento Europeu ou do Conselho. [Alt. 122]

Artigo 56.º-A

Prazo para a adoção de atos delegados

A Comissão adota os atos delegados nos termos dos artigos 25.º-A, n.º 7, e 28.º, n.º 5, até [seis meses antes da data prevista no artigo 62.º, n.º 1]. A Comissão pode prorrogar o prazo referido no presente número por seis meses. [Alt. 123]

Artigo 57.º

Procedimento de comité

1.  A Comissão é assistida por um comité. Esse comité deve ser entendido como comité na aceção do Regulamento (UE) n.º 182/2011.

2.  Caso se faça referência ao presente número, aplica-se o artigo 5.º do Regulamento (UE) n.º 182/2011.

3.  Sempre que se faça referência ao presente número, é aplicável o artigo 8.º do Regulamento (UE) n.º 182/2011, conjugado com o seu artigo 5.º. [Alt. 124]

CAPÍTULO X

DISPOSIÇÕES FINAIS

Artigo 58.º

Revogações

1.  É revogada a Decisão-Quadro 2008/977/JAI.

2.  As referências à decisão-quadro revogada, referida no n.º 1, são consideradas referências à presente diretiva.

Artigo 59.º

Relação com atos da União Europeia adotados anteriormente no domínio da cooperação judiciária em matéria penal e da cooperação policial

As disposições específicas para a proteção de dados pessoais no que respeita ao tratamento desses dados pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais, previstas nos atos da União Europeia adotados antes da data de adoção da presente diretiva que regulam o tratamento de dados pessoais entre os Estados-Membros e o acesso das autoridades dos Estados‑Membros designadas aos sistemas informáticos criados por força dos Tratados, no âmbito da presente diretiva, continuam inalteradas.

Artigo 60.º

Relação com acordos internacionais concluídos anteriormente no domínio da cooperação judiciária em matéria penal e da cooperação policial.

Os acordos internacionais concluídos pelos Estados-Membros antes da entrada em vigor da presente diretiva são alterados, sempre que necessário, no prazo de cinco anos a contar da sua entrada em vigor.

Artigo 61.º

Avaliação

1.  A Comissão deve, após consulta do Comité Europeu para a Proteção de Dados, avaliar a aplicação e execução da presente diretiva. Deve atuar em estreita cooperação com os Estados-Membros e incluir visitas com e sem aviso prévio. O Parlamento Europeu e o Conselho devem ser informados durante o processo e ter acesso aos documentos pertinentes.

2.  A Comissão deve proceder ao reexame, no prazo de três dois anos a contar da entrada em vigor da presente diretiva, de outros atos adotados pela União Europeia que regulam o tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais, em especial os atos adotados pela União que são mencionados no artigo 59.º, a fim de avaliar a necessidade de os harmonizar com a presente diretiva e apresentar, se for caso disso, as propostas necessárias à alteração desses atos de forma a assegurar uma abordagem coerente da proteção de dados pessoaise deve apresentar propostas com vista a assegurar regras jurídicas coerentes e homogéneas relacionadas com o tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais, ou de execução de sanções penais, no âmbito da presente diretiva.

2-A.  A Comissão deve apresentar, num prazo de dois anos após a entrada em vigor da presente diretiva, propostas adequadas de revisão do quadro jurídico aplicável ao tratamento de dados pessoais pelas instituições, pelos órgãos, pelos organismos e pelas agências da União, para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais, com vista a assegurar regras jurídicas coerentes e homogéneas relacionadas com o direito fundamental à proteção de dados pessoais na União.

3.  A Comissão apresenta periodicamente ao Parlamento Europeu e ao Conselho relatórios sobre a avaliação e reexame da presente diretiva nos termos do n.º 1. O primeiro relatório deve ser apresentado o mais tardar quatro anos após a entrada em vigor da presente diretiva. Os relatórios subsequentes devem ser apresentados com uma periodicidade de quatro anos. A Comissão apresentará, se necessário, propostas adequadas com vista à alteração da presente diretiva e à harmonização de outros instrumentos jurídicos. O relatório é objeto de publicação. [Alt. 125]

Artigo 62.º

Transposição

1.  Os Estados-Membros devem adotar e publicar, até ...(12), as disposições legislativas, regulamentares e administrativas necessárias para dar cumprimento à presente diretiva. Os Estados-Membros devem comunicar imediatamente à Comissão o texto dessas disposições.

Os Estados-Membros devem aplicar as referidas disposições a partir de ...*.

As disposições adotadas pelos Estados-Membros devem fazer referência à presente diretiva ou ser acompanhadas dessa referência aquando da sua publicação oficial. As modalidades da referência são estabelecidas pelos Estados‑Membros.

2.  Os Estados-Membros devem comunicar à Comissão o texto das principais disposições de direito interno que adotarem no domínio abrangido pela presente diretiva.

Artigo 63.º

Entrada em vigor e aplicação

A presente diretiva entra em vigor no primeiro dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

Artigo 64.º

Destinatários

Os destinatários da presente diretiva são os Estados-Membros.

Feito em ...,

Pelo Parlamento Europeu Pelo Conselho

O Presidente O Presidente

(1) Posição do Parlamento Europeu de 12 de março de 2014. (2) Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO L 281 de 23.11.1995, p. 31). (3) Decisão-Quadro 2008/977/JAI do Conselho, de 27 de novembro de 2008, relativa à proteção dos dados pessoais tratados no âmbito da cooperação policial e judiciária em matéria penal (JO L 350 de 30.12.2008, p. 60). (4) Regulamento (CE) n.º 45/2001 do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados (JO L 8 de 12.1.2001, p. 1). (5) Regulamento (UE) n.º 182/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os princípios gerais relativos aos mecanismos de controlo pelos Estados-Membros do exercício das competências de execução pela Comissão (JO L 55 de 28.2.2011, p. 13). (6) Directiva 2011/92/UE do Parlamento Europeu e do Conselho, de 13 de dezembro de 2011, relativa à avaliação dos efeitos de determinados projectos públicos e privados no ambiente (JO L 335 de 17.12.2011, p. 1). (7) JO L 176 de 10.7.1999, p. 36. (8) JO L 53 de 27.2.2008, p. 52. (9) JO L 160 de 18.6.2011, p. 19. (10) JO C 369 de 17.12.2011, p. 14. (11) (12) Dois anos após a data de entrada em vigor da presente diretiva.