– Tendo em conta os artigos 2.º e 21.º do Tratado da União Europeia (TUE) e o Tratado sobre o Funcionamento da União Europeia (TFUE),
– Tendo em conta o plano quinquenal de empenhamento UE-Paquistão, de fevereiro de 2012(1),
– Tendo em conta o Quadro Estratégico e o Plano de Ação da UE para os Direitos Humanos e a Democracia (11855/2012), adotado pelo Conselho dos Negócios Estrangeiros, em 25 de junho de 2012(2),
– Tendo em conta a Estratégia Europeia de Segurança intitulada «Uma Europa segura num mundo melhor», aprovada pelo Conselho Europeu em 12 de dezembro de 2003, bem como o relatório sobre a sua execução intitulado «Garantir a segurança num mundo em mudança», aprovado pelo Conselho Europeu de 11 e 12 de dezembro de 2008,
– Tendo em conta o Regulamento (UE) n.º 978/2012 do Parlamento Europeu e do Conselho, de 25 de outubro de 2012, relativo à aplicação de um sistema de preferências pautais generalizadas(3), que prevê, nomeadamente, o regime especial de incentivo para «o desenvolvimento sustentável e a boa governação» («SPG+»),
– Tendo em conta o anexo VIII do regulamento supracitado, que elenca as convenções da ONU/OIT relativas aos direitos humanos e aos direitos dos trabalhadores, bem como as convenções relativas ao ambiente e aos princípios da governação, que o Paquistão ratificou e aceitou aplicar de forma eficaz,
– Tendo em conta as conclusões do Conselho dos Negócios Estrangeiros sobre o Paquistão, de 11 de março de 2013,
– Tendo em conta a sua resolução de 7 de fevereiro de 2013, sobre os ataques recentes contra trabalhadores que prestam assistência médica no Paquistão(4), a sua posição de 13 de setembro de 2012, sobre a proposta de regulamento do Parlamento Europeu e do Conselho que introduz preferências comerciais autónomas de emergência para o Paquistão(5), e a sua resolução de 15 de dezembro de 2011, sobre a situação das mulheres no Afeganistão e no Paquistão(6), bem como a visita da sua delegação da Subcomissão dos Direitos Humanos ao Paquistão, em agosto de 2013,
– Tendo em conta o relatório do Relator Especial das Nações Unidas Ben Emmerson, de 18 de setembro de 2013, sobre a promoção e a proteção dos direitos humanos e das liberdades fundamentais na luta contra o terrorismo e o relatório do Relator Especial das Nações Unidas Christof Heyns, de 13 de setembro de 2013, sobre execuções extrajudiciais, sumárias ou arbitrárias,
– Tendo em conta a resolução 68/178 da Assembleia Geral das Nações Unidas, de 18 de dezembro de 2013, sobre a proteção dos direitos humanos e das liberdades fundamentais na luta contra o terrorismo,
– Tendo em conta o artigo 48.º do seu Regimento,
– Tendo em conta o relatório da Comissão dos Assuntos Externos e o parecer da Comissão do Desenvolvimento (A7-0117/2014),
A. Considerando que o papel estratégico do Paquistão, as suas relações de vizinhança e as relações UE-Paquistão assumem cada vez maior relevância para a UE, dada a localização crucial do país no coração de uma região volátil, a sua centralidade para a segurança e o desenvolvimento da Ásia Central e do Sul, bem como o seu papel fundamental no combate ao terrorismo, à não proliferação, ao tráfico de droga e de pessoas e a outras ameaças transnacionais, que afetam, no seu conjunto, a segurança e o bem-estar dos cidadãos europeus;
B. Considerando que as eleições legislativas de maio de 2013 marcaram a primeira transição de poderes na história moderna do Paquistão de um governo civil eleito para outro; considerando que o processo democrático no Paquistão assenta em alterações sociais mais vastas, nomeadamente uma classe média urbana em crescimento, bem como uma sociedade civil e meios de comunicação cada vez mais dinâmicos;
C. Considerando que o progresso político e económico do país é dificultado por problemas persistentes de segurança interna e regional, como o extremismo, os conflitos sectários, os suicídios e as execuções seletivas e a ausência de lei nas zonas tribais, aos quais se somam a fraqueza das autoridades responsáveis pela aplicação da lei e do sistema de justiça penal;
D. Considerando que o Paquistão regista uma das taxas mais elevadas de população não escolarizada a nível mundial, estimando-se que 12 milhões de crianças não frequentam o ensino e que cerca de dois terços das paquistanesas e metade dos paquistaneses são analfabetos; considerando que, de entre 135 países, o Paquistão ainda se encontra na 134.ª posição no relatório do Fórum Económico Mundial sobre «desigualdade entre homens e mulheres»;
E. Considerando que, segundo o Índice Global de Risco Climático, o Paquistão faz parte dos 12 países mais afetados pelas alterações climáticas nos últimos vinte anos, tem sido vítima de inundações graves e escassez de água e é diretamente afetado pelo degelo dos glaciares nos Himalaias e na cordilheira do Karakorum;
F. Considerando que o Paquistão é um país semi-industrializado, de rendimento médio inferior, e que cerca de um terço da sua população vive abaixo do limiar da pobreza; considerando que o Paquistão ocupa o 146.º lugar entre os 187 países que constam do Índice de Desenvolvimento Humano (IDH) de 2012, tendo descido do 145.º lugar na lista de 2011; considerando que a situação económica do Paquistão tem sido prejudicada por sucessivas catástrofes naturais e que o elevado nível de insegurança e instabilidade e a corrupção generalizada no país debilitam o seu crescimento económico e limitam a capacidade do Governo para desenvolver o Estado;
G. Considerando que o Paquistão é vulnerável a uma vasta gama de riscos, nomeadamente inundações e sismos; considerando que a volatilidade da situação de segurança e os desafios sociais do Paquistão estão a contribuir para o aumento da sua vulnerabilidade; considerando que as catástrofes ocorridas nos últimos anos esgotaram as estratégias de resposta das comunidades já empobrecidas e reduziram drasticamente a sua resistência a futuras catástrofes;
H. Considerando que o contributo construtivo do Paquistão é essencial para alcançar a reconciliação, a paz e a estabilidade política nos seus países vizinhos e, sobretudo, no Afeganistão, nomeadamente no contexto do plano de retirada das tropas de combate da NATO em 2014;
I. Considerando que o Paquistão é um dos maiores beneficiários da ajuda humanitária e ao desenvolvimento da UE e que a UE constitui o maior mercado de exportação do Paquistão;
J. Considerando que o Paquistão é um parceiro cada vez mais importante da UE no combate ao terrorismo, à proliferação nuclear, ao tráfico de pessoas e de estupefacientes, ao crime organizado e na prossecução da estabilidade regional;
K. Considerando que a UE e o Paquistão optaram recentemente por aprofundar e alargar os laços bilaterais, como exemplificado pelo plano quinquenal de empenhamento, lançado em fevereiro de 2012, e o primeiro Diálogo Estratégico UE-Paquistão, realizado em junho de 2012;
L. Considerando que o objetivo do plano quinquenal de empenhamento celebrado em 2012 entre a UE e o Paquistão consiste em desenvolver uma relação estratégica e estabelecer uma parceria para a paz e o desenvolvimento assente em valores e princípios comuns;
M. Considerando que, desde 1 de janeiro de 2014, o Paquistão passa a integrar o sistema de preferências pautais generalizadas (SPG+) da UE;
N. Considerando que, em setembro de 2012, a fábrica Ali Enterprises em Carachi, que produz calças de ganga para o mercado europeu, ficou destruída na sequência de um incêndio, resultando na morte de 286 trabalhadores que ficaram presos; considerando que a integração do Paquistão no sistema SPG+ poderá aumentar a produção no setor têxtil e introduzir melhorias nos direitos laborais e nas condições de produção cada vez mais importantes;
1. Sublinha a importância das eleições de maio de 2013 para a consolidação da democracia e da ordem civil no Paquistão; encoraja as elites políticas do Paquistão a utilizar este momento para continuar a reforçar as suas instituições democráticas, o Estado de direito e o controlo civil sobre todas as áreas da administração pública, sobretudo as forças de segurança e judiciais, a promover a segurança interna e regional, a levar a cabo reformas a nível da governação que revitalizem o crescimento económico, a reforçar a transparência e a luta contra o crime organizado, a reduzir as injustiças sociais e a travar e corrigir todos os tipos de abuso dos direitos humanos;
2. É de opinião, contudo, que a construção de uma democracia sustentável e de uma sociedade pluralista – bem como a materialização de uma maior justiça social, a erradicação da pobreza e da subnutrição profundas em certas partes do país, o aumento do nível de ensino básico e a preparação do país para o impacto das alterações climáticas – irá requerer reformas profundas e difíceis na ordem política, social e económica vigente no Paquistão, que continua a ser caracterizado por estruturas feudais de propriedade fundiária e alianças políticas, por desequilíbrios nas prioridades entre, por um lado, despesas militares e serviços de assistência social e, por outro, um sistema deficiente de cobranças fiscais que diminui sistematicamente a capacidade do Estado para fornecer serviços públicos;
3. Apoia e incentiva os esforços do Governo paquistanês com vista a criar meios eficazes para prevenir e monitorizar a possibilidade de futuras catástrofes naturais e para uma coordenação e uma cooperação da ajuda humanitária mais eficazes com os agentes locais, as ONG e os angariadores de fundos internacionais;
4. Reitera que uma boa governação, instituições responsáveis e inclusivas, a separação de poderes e o respeito pelos direitos fundamentais são elementos importantes para abordar o nexo entre desenvolvimento e segurança no Paquistão; acredita ainda que governos civis eleitos, dotados de legitimidade democrática, a delegação de poderes às províncias e uma administração local eficaz constituem a melhor forma de conter a vaga de violência e extremismo, restaurar a autoridade do Estado nas zonas FATA e assegurar a soberania e a integridade territorial do Paquistão;
5. Apoia, neste contexto, a intenção do Governo paquistanês de iniciar um diálogo de paz com a organização Tehreek-e-Taliban do Paquistão (TTP), desde que tal cimente o caminho no sentido de uma solução política duradoura para a insurreição e a ordem democrática estável, respeitando os direitos humanos; insta, porém, os negociadores a terem em consideração que o nível de escolaridade (sobretudo entre as mulheres) é um fator absolutamente decisivo do progresso das sociedades e a fazerem da escolarização das raparigas um elemento determinante das negociações;
6. Valoriza o contínuo compromisso do Paquistão no combate ao terrorismo nos dois lados da sua fronteira e encoraja as autoridades a darem passos mais ousados para continuar a limitar a possibilidade de recrutamento e formação de terroristas no território paquistanês, o que constitui um fenómeno que torna determinadas zonas do Paquistão um porto seguro para organizações terroristas que visam destabilizar o país e a região, sobretudo o Afeganistão;
7. Observa que o líder talibã paquistanês Hakimullah Mehsud foi morto por um avião não tripulado operado pelos EUA, em 1 de novembro de 2013, que o Parlamento paquistanês e o novo governo se opuseram formalmente a tais intervenções e que os limites à utilização de ataques com aviões não tripulados devem ser mais claramente definidos no direito internacional;
8. Convida o Governo paquistanês a cumprir as suas obrigações e responsabilidades em matéria de segurança, reforçando o seu empenho na luta contra o extremismo, o terrorismo e a radicalização através da implementação de medidas de segurança rígidas e inflexíveis e da aplicação da lei, bem como tratando da desigualdade e das questões socioeconómicas suscetíveis de alimentar a radicalização da juventude paquistanesa;
9. Observa que o Governo paquistanês manifestou inequivocamente a sua oposição aos ataques com aeronaves não tripuladas dos EUA no seu território; saúda a resolução da Assembleia-Geral das Nações Unidas que apela a uma maior clarificação do quadro jurídico aplicável à utilização de aeronaves não tripuladas armadas;
10. Saúda o contributo do Paquistão para os processos de construção do Estado e de reconciliação no Afeganistão, nomeadamente a assistência no sentido de facilitar o recomeço das conversações de paz; espera que a atitude positiva do Paquistão continue durante a preparação para as eleições presidenciais no Afeganistão e além dessa data; manifesta a sua preocupação relativamente à concorrência geopolítica entre poderes vizinhos pela influência sobre o Afeganistão após a retirada das tropas de combate da NATO;
11. Deposita a sua esperança no papel construtivo do Paquistão na promoção da estabilidade regional, nomeadamente no que respeita à presença da NATO e dos Estados-Membros da UE no Afeganistão após 2014, através de um maior desenvolvimento do compromisso em formato de trílogo no Afeganistão com a Índia, a Turquia, a China, a Rússia e o Reino Unido, bem como através da promoção da cooperação regional na luta contra o tráfico de pessoas, drogas e mercadorias;
12. Considera encorajador o progresso tangível recentemente alcançado no diálogo entre o Paquistão e a Índia, especialmente quanto ao comércio e aos contactos interpessoais, possibilitados pela atitude construtiva de ambas as partes; lamenta que os resultados deste diálogo permaneçam vulneráveis a determinadas contingências, como os incidentes contínuos ocorridos na linha de controlo que separa territórios ocupados pelo Paquistão e territórios ocupados pela Índia em Caxemira; solicita que ambos os governos assegurem as cadeias de comando adequadas, a responsabilidade das forças militares e o diálogo entre autoridades militares, de modo a evitar incidentes semelhantes no futuro;
13. Reconhece o interesse legítimo do Paquistão em construir laços estratégicos, económicos e energéticos com a China; considera importante estabelecer relações mais próximas entre o Paquistão e a China que reforcem a estabilidade geopolítica no Sul da Ásia;
14. Regista a intenção do Paquistão de aderir plenamente à Organização de Cooperação de Xangai (SCO), considerando-a um sinal positivo da vontade de o país passar a estar mais envolvido em iniciativas multilaterais; regista, contudo, a ausência de qualquer mecanismo de cooperação formal entre a SCO e a UE e chama a atenção para as divergências nas suas bases normativas e perspetivas relativamente a questões globais;
15. Expressa a sua preocupação relativamente aos relatos de que o Paquistão está a considerar exportar armas nucleares para países terceiros; espera que a UE e os seus Estados‑Membros deixem claro às autoridades paquistanesas que a exportação de armas nucleares é inaceitável, apesar dos desmentidos oficiais sobre estes relatos; insta o Paquistão, enquanto Estado detentor de armas nucleares, a instituir uma proibição legal das exportações de todas as armas nucleares, conhecimentos especializados ou materiais conexos e a contribuir ativamente para esforços internacionais no sentido da sua não proliferação; entende que a assinatura e ratificação do Tratado de Não Proliferação das Armas Nucleares (TNP) pelo Paquistão – bem como pela Índia – daria um sinal do seu forte compromisso relativamente a uma coexistência regional pacífica e contribuiria para a segurança de toda a região;
16. Considera que a batalha contra o extremismo e o radicalismo está diretamente ligada a processos democráticos mais sólidos e reitera o forte interesse da UE, bem como o seu apoio contínuo, num Paquistão democrático, seguro e bem governado, com um sistema judicial independente e uma boa governação que respeite o Estado de direito e os direitos humanos, que goze de relações amigáveis com os países vizinhos e que assuma uma influência estabilizadora na região;
17. Relembra que as relações UE-Paquistão cresceram tradicionalmente dentro de um quadro centrado no desenvolvimento e no comércio; regozija-se com o contributo significativo e duradouro da cooperação humanitária e da cooperação para o desenvolvimento da UE e saúda a decisão de conceder ao Paquistão a possibilidade de beneficiar do SPG + da UE a partir de 2014; insta o Paquistão a cumprir integralmente as condições em causa, convida a Comissão a garantir que seja estritamente aplicada uma monitorização reforçada, conforme previsto no novo Regulamento SPG, e salienta que a cooperação, sobretudo nos setores da educação, da consolidação da democracia e das adaptações às alterações climáticas, deve continuar a ser objeto de atenção especial;
18. Defende que as relações UE-Paquistão devem tornar-se mais profundas e abrangentes, através da instituição de um diálogo político mantendo, assim, uma relação de interesse mútuo entre parceiros iguais; congratula-se, neste contexto, com a aprovação do plano quinquenal de empenhamento e com o início do diálogo estratégico UE-Paquistão, refletindo o valor crescente da sua cooperação política e de segurança, nomeadamente quanto à política antiterrorismo, ao desarmamento e à não-proliferação, bem como à migração, à educação e à cultura; espera, contudo, mais progressos em todos os domínios do plano de empenhamento;
19. Incentiva tanto a UE como o Paquistão a cooperarem no processo de execução e a monitorizarem regularmente os progressos registados, reforçando o diálogo entre ambos a longo prazo;
20. Considera que a transição democrática do Paquistão constituiu uma oportunidade para a UE seguir uma abordagem política mais explícita nas relações bilaterais e na assistência prestada; considera que o apoio da UE ao Paquistão deve dar prioridade à consolidação das instituições democráticas a todos os níveis, ao reforço da capacidade do Estado e da boa governação, ao desenvolvimento de uma aplicação eficaz da lei e de estruturas civis de combate ao terrorismo, nomeadamente um sistema judicial independente e à capacitação da sociedade civil e de meios de comunicação social livres;
21. Congratula-se, neste sentido, com os programas abrangentes de apoio à democracia já existentes relacionados com a aplicação das recomendações de 2008 e 2013 das missões de observação de eleições da UE;
22. Convida o SEAE e a Comissão a prosseguirem uma política adaptável e pluridimensional relativamente ao Paquistão de forma a estabelecer sinergias entre todos os instrumentos relevantes à disposição da UE, tais como o diálogo político, a cooperação para a segurança, o comércio e a assistência, em linha com a abordagem global da UE para a ação externa e tendo em vista as preparações para a próxima cimeira UE-Paquistão;
23. Solicita ainda ao SEAE, à Comissão e ao Conselho que assegurem que a política da UE relativamente ao Paquistão seja contextualizada e envolvida numa estratégia mais ampla para a região, reforçando assim os interesses da UE na Ásia do Sul e Central; considera importante que as relações bilaterais da UE com o Paquistão e os países vizinhos, nomeadamente a Índia, a China e o Irão, sirvam igualmente para debater e coordenar políticas relativas à situação no Afeganistão, a fim de garantir uma abordagem devidamente orientada; sublinha, neste contexto, a necessidade de uma crescente coordenação entre a política da UE e dos EUA, assim como de mais diálogo sobre questões regionais;
24. Acredita que o futuro das relações UE-Paquistão deveria também ser considerado no contexto dos instrumentos institucionais em desenvolvimento por parte da UE para as relações com países terceiros, nomeadamente através do formato das parcerias estratégicas; reitera o seu apelo a um aprofundamento conceptual do formato e à criação de parâmetros de referência mais claros e consistentes para avaliar, entre outros, se, e em que condições, o Paquistão poderá reunir as condições para ser considerado um parceiro estratégico da UE no futuro;
25. Reitera veementemente que o progresso ao nível das relações bilaterais está associado a melhorias na situação do Paquistão em termos de direitos do Homem, nomeadamente quanto à erradicação do trabalho forçado, do trabalho infantil e do tráfico de pessoas, à redução da violência de género, ao desenvolvimento dos direitos das mulheres e das jovens, incluindo o acesso à educação, à salvaguarda da liberdade de expressão e de meios de comunicação social independentes e à promoção da tolerância e da proteção das minorias vulneráveis, mediante uma luta eficaz contra todas as formas de discriminação; reconhece que tal exige o fim da cultura de impunidade e a criação de um sistema jurídico e judicial fiável a todos os níveis, que esteja acessível a todos;
26. Continua profundamente preocupado com a qualidade da educação e, correlativamente, com a situação alarmante das mulheres em muitas regiões do Paquistão; solicita a tomada de medidas concretas e visíveis para fazer valer os direitos fundamentais das mulheres na sociedade, incluindo a adoção de legislação contra a violência doméstica, medidas destinadas a melhorar a investigação e instauração de ações penais contra crimes de honra e agressões com ácido e a revisão da legislação que facilita a impunidade; chama a atenção para a necessidade de assegurar um melhor acesso à educação, uma melhor integração das mulheres no mercado de trabalho e melhores cuidados de saúde materna;
27. Reitera a sua profunda preocupação com o facto de as leis do Paquistão relativas à blasfémia – que permitem a condenação à pena de morte e são frequentemente usadas para justificar a censura, a criminalização, a perseguição e, em certos casos, o assassínio de membros de minorias políticas e religiosas – poderem ser objeto de uma aplicação abusiva que afete pessoas de todas as confissões no Paquistão; sublinha que a recusa de reformar ou revogar as leis relativas à blasfémia cria um ambiente de vulnerabilidade persistente para as comunidades minoritárias; insta o Governo paquistanês a impor uma moratória à aplicação dessas leis, como primeiro passo para a sua revisão ou revogação, e a investigar e processar, de forma adequada, campanhas de intimidação, ameaças e atos de violência contra os cristãos, os ahmadis e outros grupos vulneráveis;
28. Insta, em especial, as autoridades paquistanesas a deterem e processarem as pessoas que incitem a violência ou que sejam responsáveis por atos de violência em escolas ou contra grupos minoritários como os xiitas, designadamente a comunidade hazara, os ahmadis e os cristãos, e a darem instruções às forças de segurança para protegerem ativamente as vítimas de ataques de grupos extremistas; adotarem leis contra a violência doméstica; porem cobro aos desaparecimentos forçados, às execuções extrajudiciais e às detenções arbitrárias, nomeadamente no Baluquistão;
29. Condena todos os ataques aos cristãos e outras minorias religiosas que vivem no Paquistão e espera que o país intensifique os seus esforços no sentido de preservar a liberdade de religião e de crença, atenuando nomeadamente a rigorosa legislação contra a blasfémia e orientando-se no sentido da abolição da pena de morte;
30. Saúda a adoção, em 2012, da proposta de lei para instituir uma Comissão Nacional dos Direitos Humanos e exorta o governo a criá-la para que possa começar a exercer funções;
31. Assinala que a UE é o principal destinatário das exportações do Paquistão (22,6 % em 2012); considera que o apoio prestado pela UE ao Paquistão no domínio do comércio deverá contribuir para promover a diversificação e o desenvolvimento dos modos de produção, incluindo a transformação, prestar assistência à integração regional e às transferências de tecnologia, facilitar o estabelecimento ou o desenvolvimento da capacidade produtiva nacional e reduzir as desigualdades de rendimentos;
32. Recorda que o SPG+ da UE, do qual o Paquistão beneficia desde 2014, apenas é concedido aos países que aceitaram de forma vinculativa aplicar convenções internacionais relativas aos direitos humanos, aos direitos laborais e ao ambiente e boa governação; salienta, em particular, as obrigações do Paquistão ao abrigo das convenções elencadas no anexo VIII e lembra à Comissão a sua obrigação de monitorizar a aplicação eficaz das mesmas; recorda, além disso, que caso um país «não respeite os seus compromissos vinculativos», as preferências do SPG+ serão temporariamente retiradas;
33. Insta as autoridades paquistanesas a tomarem medidas eficazes para a aplicação das 36 convenções da OIT que o país ratificou, nomeadamente para permitir o funcionamento dos sindicatos, melhorar as condições de trabalho e as normas de segurança, erradicar o trabalho infantil e combater as formas mais graves de exploração dos três milhões de trabalhadoras domésticas.
34. Insta o Governo paquistanês a assinar a iniciativa da OIT/IFC intitulada «Programa para Melhor Trabalho», como prometido, a fim de dar um novo ímpeto às melhorias nas normas de saúde e segurança para os trabalhadores; insta todos os que sejam direta ou indiretamente responsáveis pelo incêndio da fábrica de têxteis Ali Enterprises, nomeadamente a empresa de auditoria da responsabilidade social e os retalhistas europeus envolvidos, a finalmente pagarem aos sobreviventes do incêndio uma indemnização integral, de longo prazo e justa;
35. Encarrega o seu Presidente de transmitir a presente resolução ao Governo e ao Parlamento nacional do Paquistão, ao Conselho, à Comissão, à Vice-Presidente da Comissão/Alta Representante da União para os Assuntos Externos e a Política de Segurança, ao Representante Especial da UE para os Direitos Humanos, bem como aos governos dos Estados-Membros.
Resolução do Parlamento Europeu, de 12 de março de 2014, sobre um escudo antimíssil para a Europa e as suas implicações políticas e estratégicas (2013/2170(INI))
– Tendo em conta o artigo 42.º, n.º 7, do Tratado da União Europeia (TUE) e o artigo 222.º do Tratado sobre o Funcionamento da União Europeia (TFUE),
– Tendo em conta o artigo 24.º e o artigo 42.º, n.º 2, do TUE, os artigos 122.º e 196.º do TFUE e a Declaração n.º 37 sobre o artigo 222.º do TFUE,
– Tendo em conta a Estratégia Europeia de Segurança, aprovada pelo Conselho Europeu, em 12 de dezembro de 2003, e o relatório sobre a execução da Estratégia Europeia de Segurança, aprovado pelo Conselho Europeu em 11 e 12 de dezembro de 2008,
– Tendo em conta a Estratégia de Segurança Interna da União Europeia, aprovada pelo Conselho Europeu em 25 e 26 de março de 2010,
– Tendo em conta as conclusões do Conselho Europeu, de 19 de dezembro de 2013, sobre a Política Comum de Segurança e Defesa,
– Tendo em conta o Conceito Estratégico para a Defesa e Segurança dos Membros da Organização do Tratado do Atlântico Norte, aprovado na Cimeira da NATO realizada em Lisboa, em 19 e 20 de novembro de 2010,
– Tendo em conta a Declaração da Cimeira de Chicago emitida pelos Chefes de Estado e de Governo que participaram na reunião do Conselho do Atlântico Norte em Chicago, em 20 de maio de 2012,
– Tendo em conta o artigo 48.º do seu Regimento,
– Tendo em conta o relatório da Comissão dos Assuntos Externos (A7-0109/2014),
A. Considerando que a questão da Defesa contra Mísseis Balísticos (DMB) havia já sido levantada no passado, mas tornou-se mais atual nos últimos anos devido à multiplicação das ameaças decorrentes da proliferação de armas nucleares e de outras armas de destruição maciça, bem como de mísseis balísticos, à qual a Organização do Tratado do Atlântico Norte (NATO) e os aliados europeus devem ser capazes de responder eficazmente;
B. Considerando que a defesa contra ataques de mísseis balísticos ou de outros tipos de mísseis pode constituir um desenvolvimento positivo para a segurança da Europa no contexto de uma dinâmica de segurança internacional rápida, com vários atores estatais e não-estatais a desenvolverem tecnologia míssil e diversas competências de defesa química, biológica, radiológica e nuclear (QBRN) que podem potencialmente atingir o território europeu;
C. Considerando que a NATO está a desenvolver uma capacidade de Defesa contra Mísseis Balísticos a fim de cumprir a sua principal tarefa de defesa coletiva, visando proporcionar uma cobertura e proteção plenas para todas as populações, territórios e forças europeias que integram a NATO contra as crescentes ameaças colocadas pela proliferação de mísseis balísticos;
D. Considerando que a contribuição fundamental dos Estados Unidos para a Defesa contra Mísseis Balísticos é uma confirmação do seu compromisso com a NATO e com a segurança da Europa e dos aliados europeus, reforçando a importância do laço transatlântico, com equipamentos já instalados na Roménia e outros que se espera sejam instalados na Polónia no futuro próximo;
E. Considerando que a Política Comum de Segurança e Defesa será desenvolvida em plena complementaridade com a NATO, no quadro aprovado para a parceria estratégica entre a UE e a NATO, como confirmado pelo Conselho Europeu, em 19 de dezembro de 2013;
1. Defende que enquanto as tecnologias de Defesa contra Mísseis Balísticos são desenvolvidas e implementadas, novas dinâmicas emergem no campo da segurança europeia, gerando uma necessidade por parte dos Estados-Membros de terem em conta as implicações da Defesa contra Mísseis Balísticos para a sua segurança;
2. Relembra que as medidas de Defesa contra Mísseis Balísticos da NATO são desenvolvidas e aplicadas para defender os seus Estados membros contra potenciais ataques de mísseis balísticos; apela à Vice-Presidente/Alta Representante para que prossiga uma parceria estratégica com a NATO, tendo em conta a questão da Defesa contra Mísseis Balísticos, que deve conduzir à instituição de plena cobertura e proteção para todos os Estados-Membros, evitando assim uma situação em que a segurança disponível aos mesmos seja de alguma forma diferenciada;
3. Acolhe as realizações da capacidade provisória de Defesa contra Mísseis Balísticos da NATO, que proporcionará cobertura máxima em função dos meios disponíveis para defender as populações, territórios e forças dos Estados membros da NATO situados no sul da Europa contra ataques de mísseis balísticos; congratula-se igualmente com o objetivo de fornecer plena cobertura e proteção para os Estados membros europeus da NATO até ao final da década;
4. Salienta que as iniciativas da UE, tais como a Pooling & Sharing («Mutualização e Partilha»), podem revelar-se úteis no reforço da cooperação entre os Estados-Membros na área da Defesa contra Mísseis Balísticos e na execução de trabalhos conjuntos de pesquisa e desenvolvimento; observa que, a longo prazo, essa cooperação poderia também contribuir para uma maior consolidação da indústria de defesa europeia;
5. Apela ao Serviço Europeu para a Ação Externa, à Comissão, à Agência Europeia de Defesa e ao Conselho para que incluam as questões relativas à defesa contra mísseis balísticos nas estratégias, estudos e livros brancos de segurança realizados no futuro;
6. Frisa que, devido à crise financeira e aos cortes orçamentais, não estão a ser utilizados recursos suficientes para manter capacidades de defesa satisfatórias, o que conduz à redução das capacidades militares e da capacidade industrial da UE;
7. Sublinha que o plano de Defesa contra Mísseis Balísticos da NATO não tem, de modo algum, a Rússia como alvo e que a NATO está preparada para cooperar com a Rússia, com base no pressuposto da cooperação entre os dois sistemas de defesa antimíssil independentes – o plano de Defesa contra Mísseis Balísticos da NATO e o da Rússia; salienta que, apesar de uma cooperação eficaz com a Rússia poder trazer benefícios mensuráveis, tal deve ser feito com base na plena reciprocidade e transparência, pois o aumento da confiança mútua é fundamental para o desenvolvimento gradual de uma tal cooperação; regista, a este respeito, que o deslocamento dos mísseis russos para mais perto das fronteiras da NATO e da UE é contraproducente;
8. Encarrega o seu Presidente de transmitir a presente resolução ao Presidente do Conselho Europeu, à Vice-Presidente da Comissão/Alta Representante da União para os Negócios Estrangeiros e a Política de Segurança, ao Conselho, à Comissão, aos parlamentos dos Estados-Membros, à Assembleia Parlamentar da NATO e ao Secretário-Geral da NATO.
O setor das pescas europeu e o Acordo de Comércio Livre entre a UE e a Tailândia
133k
48k
Resolução do Parlamento Europeu, de 12 de março de 2014, sobre a situação e as perspetivas futuras do setor das pescas europeu no âmbito do acordo de comércio livre entre a União Europeia e o Reino da Tailândia (2013/2179(INI))
– Tendo em conta o artigo 3.º, n.º 5, do Tratado da União Europeia relativo às relações da UE com o resto do mundo,
– Tendo em conta o Regulamento (CE) n.º 1005/2008 do Conselho, de 29 de setembro de 2008, que estabelece um regime comunitário para prevenir, impedir e eliminar a pesca ilegal, não declarada e não regulamentada(1) (o Regulamento INN),
– Tendo em conta a Comunicação da Comissão, de 25 de outubro de 2011, intitulada «Responsabilidade social das empresas: uma nova estratégia da UE para o período de 2011-2014» (COM(2011)0681),
– Tendo em conta as perguntas escritas E-000618/2013, de 22 de janeiro de 2013, sobre os abusos nas cadeias de abastecimento do comércio a retalho, e E-002894/2013, de 13 de março de 2013, sobre o acordo de comércio livre com a Tailândia e o trabalho infantil na indústria conserveira, bem como as respostas da Comissão às mesmas,
– Tendo em conta a sua Resolução, de 22 de novembro de 2012, sobre a dimensão externa da política comum das pescas(2),
– Tendo em conta o artigo 48.º do seu Regimento,
– Tendo em conta o relatório da Comissão das Pescas e o parecer da Comissão do Comércio Internacional (A7-0130/2014),
A. Considerando que o setor das pescas europeu está a sair de um período de crise que afetou os subsetores da captura, da transformação e da aquicultura e que esta situação enfraquece drasticamente a sua competitividade, especialmente numa altura em que o mercado global está a ser liberalizado, ao mesmo tempo que alguns países em desenvolvimento, cujos recursos marinhos são abundantes, começam a surgir como novas potências de pesca;
B. Considerando que a indústria da pesca e da transformação europeia é essencial para assegurar o abastecimento de alimentos aos cidadãos europeus e para apoiar a subsistência das regiões costeiras fortemente dependentes destas atividades; que a sobrevivência do setor das pescas fica em risco se a UE liberalizar o comércio dos produtos da pesca com os países em desenvolvimento que desejam exportar os seus produtos para o interessante mercado comunitário, especialmente se lhes for oferecida uma taxa zero;
C. Considerando que a UE é o maior importador mundial de produtos da pesca e que a dependência das importações torna o mercado comunitário muito atrativo para os exportadores, principalmente quando a procura de produtos da pesca na UE cresce 1,5% anualmente;
D. Considerando que a Tailândia é o maior produtor mundial de conservas de atum, detendo 46% da produção mundial, e que as suas exportações de conservas de atum para a UE, que ultrapassam as 90 000 toneladas anuais, representam quase 20% do total das importações comunitárias provenientes de países terceiros, sendo os EUA, a UE e o Japão os principais mercados de destino das exportações de produtos da pesca tailandeses;
E. Considerando que a Tailândia é o maior importador mundial de atum fresco, refrigerado e congelado para a sua indústria conserveira;
F. Considerando que 80% do atum é consumido enlatado e que, de acordo com os últimos dados disponíveis da base FISHSTAT da Organização das Nações Unidas para a Alimentação e a Agricultura (FAO), 21% da produção global de conservas e produtos à base de atum se realiza na UE, enquanto os 79% restantes são fabricados em países terceiros, na sua maioria países em desenvolvimento;
G. Considerando a importância comercial, económica e estratégica da Tailândia para a UE e as vantagens consideráveis deste acordo de comércio livre (ACL) entre a UE e a Tailândia para a globalidade da economia da UE;
H. Considerando que a UE apoia a integração regional entre os países membros da ASEAN (Associação das Nações do Sudeste Asiático) e que o ACL com a Tailândia constitui um pilar essencial neste processo de integração, cujo objetivo final consiste em celebrar, no futuro, um ACL entre regiões;
I. Considerando que, para a UE, a conclusão de um ACL UE‑ASEAN tem sido um objetivo prioritário desde 2007, na esperança de incluir a Indonésia, a Malásia, as Filipinas, Singapura, a Tailândia, o Brunei e o Vietname; que a falta de progressos nas negociações deste acordo regional resultou no início de negociações bilaterais com países membros da ASEAN, entre os quais a Tailândia, existindo um compromisso político de concluir o ACL num período de dois anos;
J. Considerando que – incluindo a Tailândia, a Indonésia e as Filipinas na região do Pacífico Central e Ocidental – a produção de conservas de atum nesta região representa quase metade da produção global;
K. Considerando que as alterações nos produtores de conservas de atum e na produção de lombos se conjugam com a tendência para o abastecimento global a países transformadores com baixos custos de produção que estão localizados perto da matéria‑prima (por exemplo, a Tailândia, as Filipinas, a Indonésia, a Papua‑Nova Guiné e o Equador) e que o número de países relacionados com a produção e a exportação de conservas de atum está a aumentar;
L. Considerando que a Tailândia e as Filipinas são os principais países exportadores de conservas e produtos à base de atum para a UE, tendo as importações da Tailândia aumentado 20%, enquanto as das Filipinas diminuíram 5%;
M. Considerando que uma redução pautal para as conservas e produtos à base de atum pode afetar as preferências dos países pertencentes ao Grupo de Estados de África, das Caraíbas e do Pacífico (ACP) e dos beneficiários do sistema de preferências generalizadas (SPG+), segundo o qual os países terceiros beneficiários se comprometem, em troca da obtenção de preferências pautais, a cumprir determinadas políticas em matéria de respeito pelos direitos humanos, pelo trabalho, pelo ambiente e pela boa governação;
N. Considerando que a redução pautal também pode implicar uma distorção do mercado europeu, uma vez que a maioria da indústria atuneira conserveira da UE se situa em regiões altamente dependentes da pesca, tais como a Galiza, a Bretanha francesa, a região ultraperiférica dos Açores, o País Basco e a Sardenha; que a indústria atuneira da UE é a segunda produtora mundial de conservas de atum, desenvolvendo uma atividade fundamental no território da UE desde há muito estabelecida, tanto na criação de valor acrescentado como de emprego, assegurando os mais elevados padrões sociais, ambientais e higiénico-sanitários;
O. Considerando que as regras de origem preferenciais têm como principal objetivo estabelecer a existência de uma relação económica suficiente entre os produtos importados pela UE e os países beneficiários das preferências que a mesma concede, a fim de assegurar que essas preferências não sejam indevidamente desviadas em proveito de outros países a quem não se destinem;
P. Considerando que, quando se fala do comércio de produtos da pesca, se está a falar do comércio de um recurso natural, cuja sustentabilidade é influenciada por uma grande variedade de fatores, incluindo a boa gestão e a exploração sustentável dos recursos haliêuticos, o controlo da pesca ilegal, a poluição, as alterações climáticas e a procura no mercado; que todos esses fatores externos afetam o comércio internacional de produtos da pesca e que, por isso, os produtos da pesca devem ser considerados produtos sensíveis suscetíveis de serem objeto de uma proteção especial;
Q. Considerando que um abastecimento de matéria-prima suficiente e constante é essencial para a manutenção e o desenvolvimento económico das empresas de transformação de atum da UE;
R. Considerando que a Organização Mundial do Comércio (OMC) preconiza que o livre comércio é um instrumento favorável ao crescimento que visa o desenvolvimento sustentável nos seus pilares social, económico e ambiental;
S. Considerando que, neste contexto, as normas do comércio são um aspeto básico e fundamental para assegurar que o comércio é vantajoso e também para concretizar os objetivos de proteção da saúde e do ambiente, garantindo a gestão adequada dos recursos naturais;
T. Considerando que a globalização aumentou consideravelmente a quantidade de peixe comercializado internacionalmente e que existe uma preocupação generalizada de que muitos países produtores não possuem os meios suficientes para gerir e/ou explorar as populações de peixes de forma sustentável, garantir um nível de proteção higiénico‑sanitária adequada, reduzir o impacto ambiental da pesca e da aquicultura e assegurar o respeito pelos direitos humanos em geral, bem como promover os direitos laborais e as condições sociais em particular;
U. Considerando que alguns dos parceiros comerciais da UE apresentam deficiências em relação ao desenvolvimento sustentável da pesca nas suas três vertentes: social, económica e ambiental;
V. Considerando que a gestão sustentável das populações de atuns é assegurada pelas cinco organizações regionais de pesca (ORP) de atum; que a colaboração internacional entre Estados e com as ORP é essencial para garantir a sustentabilidade das populações de atuns;
W. Considerando que recentemente tanto a OIT como várias ONG denunciaram graves deficiências nas condições sociais, de trabalho e de respeito pelos direitos humanos da indústria da pesca tailandesa; que os meios de comunicação destacaram, e o Governo da Tailândia reconheceu, que um determinado setor da indústria da pesca tailandesa beneficia do trabalho forçado de imigrantes que são vítima do tráfico de seres humanos e que duas indústrias multinacionais conserveiras de atum tailandesas utilizam mão-de-obra infantil;
X. Considerando que, de acordo com a FAO, é habitual os barcos de pesca tailandeses serem confiscados pelos Estados costeiros vizinhos e os capitães serem acusados de pesca ilegal ou de intrusão ilegal na zona económica exclusiva;
Y. Considerando que, durante o ano de 2013, as autoridades espanholas rejeitaram a descarga e a comercialização de atuns provenientes de atuneiros com pavilhão do Gana por estarem envolvidos em pesca ilegal, não declarada e não regulamentada (INN), dado que não cumpriram as medidas de gestão da Convenção Internacional para a Conservação dos Tunídeos do Atlântico e que a maioria dos atuneiros contava com a participação de empresas privadas da Tailândia;
Z. Considerando que, nos últimos meses, foram rejeitadas na UE inúmeras remessas de conservas de atum importadas da Tailândia devido ao seu tratamento térmico inadequado, fundamental para neutralizar os micro-organismos que, de outra forma, podem representar um risco para a saúde humana;
1. Solicita que os produtos da pesca importados da Tailândia, tais como as conservas de atum, que são suscetíveis de perturbar a produção e o mercado da UE para estes produtos sejam considerados produtos sensíveis; considera, por outro lado, que qualquer decisão relativa ao acesso às conservas e aos produtos à base de atum oriundos da Tailândia só deve ser tomada após avaliações rigorosas do seu impacto e em estreita colaboração com a indústria, a fim de analisar e de avaliar o impacto que um maior acesso pode ter na indústria de transformação e na comercialização de produtos do mar na UE;
2. Solicita que o acesso das conservas e produtos à base de peixe e mariscos tailandeses ao mercado da UE continue a estar sujeito à sua pauta atual e fique, portanto, excluído de reduções pautais; recomenda o estabelecimento de períodos transitórios longos e compromissos de liberalização parcial que incluam a imposição de contingentes para as conservas e produtos à base de peixe e mariscos caso sejam estabelecidas reduções pautais, a fim de assegurar a competitividade da indústria atuneira comunitária e de preservar a atividade e dimensão social fundamentais que desenvolve no território da UE através da criação de 25 000 empregos diretos e 54 000 empregos indiretos;
3. Exige que – se for o caso, e antes de realizar quaisquer concessões pautais ou de aplicar qualquer outra legislação – sejam efetuadas avaliações de impacto rigorosas, que analisem e avaliem o impacto que estas podem ter na indústria de transformação e comercialização de produtos do mar na UE;
4. Insta a que, no caso dos produtos da pesca considerados sensíveis, sejam plenamente respeitadas, sem exceções, regras de origem estritas, coerentes e firmes, e a que se limite de forma estrita a sua acumulação aos produtos que sejam essencialmente transformados na Tailândia e não pescados neste país;
5. Solicita que as importações de conservas de atum e de outros produtos da pesca da Tailândia estejam sujeitas, tanto quanto possível, às mesmas condições de concorrência aplicáveis aos produtos da pesca da UE; considera que este pedido implica, nomeadamente, que o ACL inclua um capítulo ambicioso sobre o comércio e o desenvolvimento sustentável, nos termos do qual a Tailândia se comprometa a respeitar, promover e aplicar normas laborais reconhecidas a nível internacional, tais como as consagradas nas convenções fundamentais da OIT, designadamente sobre o trabalho forçado e as piores formas de trabalho infantil; considera, além disso, que o respeito pelos direitos humanos, pela proteção do ambiente, pela luta contra a pesca ilegal, não declarada e não regulamentada e pela conformidade com as normas da UE em matéria sanitária e fitossanitária deve ser imposto de forma rigorosa; considera, neste contexto, que a Comissão deve apresentar relatórios periódicos ao Parlamento sobre o cumprimento, pela Tailândia, das obrigações supracitadas;
6. Insta a Comissão a assegurar que o Regulamento INN seja eficazmente aplicado e que as negociações do ACL resultem numa referência explícita ao Regulamento INN no corpo do texto do acordo;
7. Considera que a melhor forma de garantir a cooperação total da Tailândia no combate à pesca INN é incluir no texto do ACL uma referência explícita ao Regulamento (CE) n.º 1005/2008 relativo à pesca INN;
8. Solicita a inclusão no ACL da exigência do cumprimento das convenções da Organização Internacional do Trabalho, bem como de maior transparência, controlo, fiscalização e rastreabilidade no setor das pescas tailandês, de modo a permitir a monitorização das atividades de pesca;
9. Insiste em que seja garantida a rastreabilidade dos produtos enquanto elemento essencial de proteção da saúde humana e de proteção do ambiente, bem como enquanto fator fundamental e instrumento básico de controlo da pesca ilegal;
10. Exige que o ACL mantenha a coerência com as restantes políticas comunitárias, assim como com a promoção de estratégias de responsabilidade social das empresas; solicita o estabelecimento de cláusulas de salvaguarda;
11. Salienta que a decisão do Parlamento de aprovar o ACL deve ter em conta o resultado global das negociações, incluindo as relativas ao setor das pescas;
12. Pede reciprocidade no acesso aos mercados e a eliminação de qualquer tipo de discriminação no âmbito do setor dos serviços;
13. Manifesta o desejo de que a Tailândia, na qualidade de maior exportador mundial de conservas de atum, participe e colabore com as três ORP atuneiras da região, ou seja, a Comissão Interamericana do Atum Tropical, a Comissão das Pescas do Pacífico Ocidental e Central e a Organização Regional de Gestão das Pescas para o Pacífico Sul, bem como com a ORP atuneira do Índico, de que é membro;
14. Defende a existência de uma política de conservação e gestão sustentável dos recursos haliêuticos;
15. Encarrega o seu Presidente de transmitir a presente resolução ao Conselho e à Comissão.
– Tendo em conta o relatório da Comissão do Ambiente, da Saúde Pública e da Segurança Alimentar, sobre a proposta de regulamento do Parlamento Europeu e do Conselho relativo à informação sobre os géneros alimentícios prestada aos consumidores (COM(2008)0040),
– Tendo em conta o relatório da Organização das Nações Unidas para a Educação, a Ciência e a Cultura (UNESCO) de 2002, sobre nutrição,
– Tendo em conta o relatório da Organização Mundial de Saúde (OMS), intitulado «Food and Nutrition Policy for Schools» (Política de Alimentação e Nutrição nas Escolas),
– Tendo em conta o Livro Branco da Comissão, de 30 de maio de 2007, intitulado «Uma estratégia para a Europa em matéria de problemas de saúde ligados à nutrição, ao excesso de peso e à obesidade» (COM(2007)0279),
– Tendo em conta as conclusões da Conferência Ministerial Europeia da OMS sobre «Nutrição e Doenças Não Transmissíveis no Contexto da Saúde 2020», realizada em Viena, em 4 e 5 de julho de 2013,
– Tendo em conta a Convenção da UNESCO para a Salvaguarda do Património Cultural Imaterial, de 17 de outubro de 2003,
– Tendo em conta a inscrição da dieta mediterrânica na Lista Representativa do Património Cultural Imaterial da UNESCO, de 16 de novembro de 2010 e de 4 de dezembro de 2013,
– Tendo em conta a inscrição da gastronomia francesa na lista representativa do Património Cultural Imaterial da UNESCO, (Decisão 5.COM 6.14),
– Tendo em conta o artigo 48.º do seu Regimento,
– Tendo em conta o relatório da Comissão da Cultura e da Educação (A7-0127/2014),
Aspetos educativos
A. Considerando que o estado de saúde e o bem-estar da população, tanto no presente como no futuro, são condicionados pelo tipo de alimentação, pelo ambiente e, por conseguinte, pelo tipo de agricultura, pesca e pecuária;
B. Considerando que a OMS, na sua iniciativa global de saúde nas escolas, considera que os centros educativos são um espaço significativo para a aquisição de conhecimentos teóricos e práticos sobre saúde, nutrição, alimentação e gastronomia;
C. Considerando que a má alimentação pode ter consequências dramáticas; considerando que, no âmbito da Conferência Ministerial Europeia da OMS, realizada em julho de 2013, os ministros europeus da Saúde apelaram a uma grande mobilização a fim de combater a obesidade e a má alimentação, que estão na origem de uma epidemia de doenças não transmissíveis como as afeções cardiovasculares, a diabetes ou o cancro;
D. Considerando que a imagem padronizada do corpo e da alimentação na sociedade pode provocar distúrbios alimentares e psicológicos graves, como a anorexia ou a bulimia; considerando, por conseguinte, que é importante abordar estas questões, particularmente junto dos adolescentes;
E. Considerando que, segundo o Conselho Europeu de Informação Alimentar (EUFIC), em 2006 cerca de 33 milhões de pessoas na Europa estavam em risco de subnutrição; considerando que a situação se agravou desde o eclodir da crise;
F. Considerando que a infância é um período determinante para ensinar comportamentos saudáveis e conhecimentos que levem a adotar um estilo de vida saudável, e que a escola é um dos lugares onde cabe desenvolver ações eficazes para desenvolver comportamentos saudáveis a longo prazo nas novas gerações;
G. Considerando que os estabelecimentos escolares dispõem de espaços e instrumentos que podem contribuir para o conhecimento e o processamento dos alimentos e para o estabelecimento de comportamentos alimentares que, juntamente com a realização de atividade física de forma moderada e contínua, proporcionam um estilo de vida saudável;
H. Considerando que a informação, a educação e a sensibilização fazem parte da estratégia da União Europeia para ajudar os Estados-Membros a reduzirem os danos relacionados com o álcool (COM(2006)0625 final), que, no âmbito dessa estratégia, se reconhecem os padrões de consumo aceitáveis e que o Conselho emitiu uma recomendação, em 5 de junho de 2001, sobre o consumo de álcool pelos jovens, em particular, por crianças e adolescentes, na qual se contempla o fomento da educação mediante uma abordagem multissetorial;
I. Considerando que a Rede Europeia de Fundações de Nutrição (European Nutrition Foundations Network, ENF) reconheceu, na sua reunião sobre «Nutrição nas escolas da Europa: o papel das fundações», a necessidade de incorporar a alimentação nos currículos, tendo em conta os seus dois principais aspetos, a nutrição e a gastronomia, e, por unanimidade, acordou em transmitir essa preocupação a organismos como o Parlamento Europeu e a Comissão;
J. Considerando que vários países promoveram, através de distintas instituições nacionais, o reconhecimento da dieta mediterrânica como Património Cultural Imaterial da Humanidade da UNESCO, o que equivale a fomentar e estabelecer padrões de comportamento destinados a garantir um estilo de vida saudável, partindo de uma perspetiva transversal que tem em conta aspetos educativos, alimentares, escolares, familiares, nutricionais, territoriais, paisagísticos, etc.;
K. Considerando que a dieta mediterrânica apresenta um padrão alimentar e um estilo de vida equilibrados e saudáveis, diretamente relacionados com a prevenção de doenças crónicas e a promoção da saúde, tanto no âmbito escolar como familiar;
L. Considerando que os programas europeus «Food at Schools» procuram assegurar que a comida servida nas cantinas escolares contém tudo o que é necessário para uma alimentação de qualidade e equilibrada; considerando que a educação no seu sentido mais transversal, também no âmbito alimentar, serve para a consolidação, entre os alunos, de um estilo de vida saudável, baseado numa dieta equilibrada;
M. Considerando que uma verdadeira educação nutricional sensibiliza os cidadãos para a correlação entre os géneros alimentícios, a sustentabilidade alimentar e o estado de saúde do planeta;
N. Considerando que, em muitos casos, o aumento dos preços praticados nas cantinas escolares e dos géneros alimentícios impede que muitos agregados familiares e, em particular, crianças, tenham acesso a uma alimentação equilibrada e de qualidade;
O. Considerando que os meios de comunicação social e a publicidade têm impacto nos padrões de consumo dos cidadãos;
P. Considerando que, para adquirir um conhecimento exato dos produtos utilizados e da sua qualidade intrínseca e gustativa, é essencial desenvolver sistemas de rotulagem adequados e claros para todos os consumidores quanto à composição dos produtos e à sua origem;
Q. Considerando que a formação dos trabalhadores do setor da gastronomia contribui para a transmissão, a valorização, a sustentabilidade e o desenvolvimento da gastronomia europeia;
Aspetos culturais
R. Considerando que a gastronomia é o conjunto de conhecimentos, experiências, artes e artesanato que permitem comer de forma saudável e com prazer;
S. Considerando que a gastronomia faz parte da nossa identidade e é um elemento essencial do património cultural europeu, bem como do património cultural dos Estados-Membros;
T. Considerando que a UE promoveu a identificação, a defesa e a proteção internacional das indicações geográficas, das denominações de origem e das especialidades tradicionais de produtos agroalimentares;
U. Considerando que a gastronomia não é apenas uma arte elitista de preparação da comida, mas uma forma empenhada de reconhecer o valor das matérias-primas utilizadas na referida preparação, a qualidade das mesmas e a necessidade de garantir a excelência de todas as etapas de transformação dos alimentos, que integre o respeito dos animais e da natureza;
V. Considerando que a gastronomia está estreitamente ligada à agricultura das diferentes regiões europeias e aos seus produtos locais;
W. Considerando que importa preservar os ritos e os costumes relacionados, nomeadamente, com a gastronomia local e regional e estimular o desenvolvimento da gastronomia europeia;
X. Considerando que a gastronomia é uma das manifestações culturais mais importantes do ser humano e que este termo não engloba apenas a chamada «alta cozinha», mas também todas as expressões culinárias das diversas regiões e estratos sociais, incluindo as relacionadas com a cozinha autóctone;
Y. Considerando que a sobrevivência da gastronomia típica é um património gastronómico e cultural frequentemente prejudicado pela invasão de alimentos e de uma alimentação normalizada à escala mundial;
Z. Considerando que a qualidade, a reputação e a diversidade da gastronomia europeia necessitam de uma produção alimentar europeia de qualidade e em quantidade suficiente;
AA. Considerando que a gastronomia se identifica com os diferentes aspetos da alimentação, e que os seus três pilares fundamentais são a saúde, os hábitos alimentares e o prazer; considerando que, em muitos países, as artes da mesa constituem um vetor de convívio e um importante momento de sociabilidade; considerando, além disso, que as diferentes culturas gastronómicas participam no intercâmbio e na partilha das diferentes culturas; considerando que tem também uma influência positiva nas relações sociais e familiares;
AB. Considerando a importância do reconhecimento como Património Cultural Imaterial da dieta mediterrânica por parte da UNESCO para reunir um conjunto de conhecimentos, competências, práticas, rituais, tradições e símbolos relacionados com o cultivo e as colheitas agrícolas, a pesca e a criação de animais e também com a forma de conservar, transformar, cozinhar, distribuir e consumir os alimentos;
AC. Considerando que os hábitos alimentares das populações europeias são uma rica herança sociocultural que nos cabe transmitir de geração em geração, e que as escolas, em conjunto com as famílias, constituem o lugar adequado para a aquisição destes conhecimentos;
AD. Considerando que a gastronomia se está a converter num dos principais chamarizes em matéria de turismo e que a interação turismo/gastronomia/nutrição tem um efeito muito positivo na promoção turística;
AE. Considerando que é importante transmitir às gerações futuras a riqueza gastronómica da sua região e, de forma mais geral, da gastronomia europeia;
AF. Considerando que a gastronomia contribui para a promoção do património das diferentes regiões;
AG. Considerando que é essencial promover as produções locais e regionais a fim de, por um lado, preservar o património gastronómico e, por outro, garantir uma remuneração justa dos produtores e o acesso do maior número possível de pessoas aos seus produtos;
AH. Considerando que a gastronomia constitui uma fonte de riqueza cultural mas também económica para as regiões da UE;
AI. Considerando que o património europeu é constituído por um conjunto de elementos materiais e imateriais e que, no caso da gastronomia e da alimentação, também é constituído pela zona e pela paisagem de onde provêm os produtos para consumo;
AJ. Considerando que a sustentabilidade, a diversidade e a riqueza cultural da gastronomia europeia assentam na existência de produtos locais de elevada qualidade;
Aspetos educativos
1. Solicita aos Estados-Membros que incluam na educação escolar, desde a primeira infância, conhecimentos e experiências sensoriais em matéria de alimentação, saúde nutricional e hábitos alimentares, incluindo aspetos históricos, geográficos, culturais e empíricos, o que contribuiria para melhorar o estado de saúde e de bem‑estar da população, a qualidade da alimentação e o respeito pelo ambiente; congratula-se com os programas de educação gastronómica realizados nas escolas de determinados Estados-Membros, nomeadamente em colaboração com grandes chefes cozinheiros; sublinha a importância de aliar a educação a hábitos alimentares saudáveis e ao combate aos estereótipos que podem provocar distúrbios alimentares e psicológicos graves como a anorexia ou a bulimia;
2. Sublinha, por outro lado, a importância de aplicar as recomendações da OMS para combater a obesidade e a má alimentação; manifesta a sua preocupação com o problema da subnutrição que grassa na Europa e com o seu aumento desde o eclodir da crise, e insiste na necessidade de os Estados-Membros possibilitarem uma alimentação saudável a todas as pessoas, nomeadamente garantindo cantinas escolares ou municipais de qualidade e acessíveis a todas as pessoas;
3. Assinala a necessidade de enriquecer igualmente o currículo escolar com informações sobre a cultura gastronómica (nomeadamente a nível local), os processos de preparação, produção, conservação e distribuição dos alimentos, as suas influências socioculturais e os direitos do consumidor; sugere aos Estados-Membros que integrem, nos seus programas educativos, grupos de trabalho centrados no desenvolvimento dos sentidos, nomeadamente do paladar, que combinem a educação para os benefícios nutricionais dos géneros alimentícios com a prestação de informações sobre o património gastronómico regional e nacional;
4. Recorda que, em alguns países, a nutrição já está incluída nos programas e que noutros não é uma matéria obrigatória, mas é ensinada por vários meios, designadamente programas oferecidos pelas autoridades locais ou entidades privadas;
5. Reitera a necessidade de que na escola se eduque e ensine em matéria de nutrição e de alimentação adequada, saudável e agradável;
6. Assinala que a prática desportiva e a atividade física devem ser intensificadas nas escolas primárias e secundárias de toda a UE;
7. Lembra que a boa alimentação das crianças melhora o seu bem-estar e incrementa a capacidade de aprendizagem, reforça o sistema imunitário e favorece o desenvolvimento equilibrado;
8. Assinala que os hábitos alimentares durante a infância podem influenciar as preferências e a escolha de alimentos, bem como o modo de cozinhá-los e consumi-los, na idade adulta; refere, por conseguinte, que a infância é um momento decisivo para educar o paladar e que a escola constitui um importante local para dar a conhecer aos alunos a diversidade de produtos e da gastronomia;
9. Considera que convém promover programas de educação e sensibilização sobre as consequências do consumo inapropriado de bebidas alcoólicas e fomentar padrões de consumo inteligente mediante o conhecimento das características especiais dos vinhos, das suas indicações geográficas (IG), das variedades de uva, dos processos de produção e do significado das menções tradicionais;
10. Solicita à Comissão Europeia que incentive projetos de intercâmbio de informações e de práticas em torno dos domínios da nutrição, da alimentação e das gastronomias, por exemplo, no quadro da vertente Comenius (educação escolar) do programa Erasmus+; insta ainda a UE e os Estados-Membros a promover os intercâmbios interculturais nos setores relativos à restauração, à alimentação e à gastronomia, tirando partido das oportunidades proporcionadas pelo programa Erasmus+ para garantir uma formação de qualidade, a mobilidade e os estágios para estudantes e profissionais;
11. Assinala que a educação alimentar e gastronómica, incluindo o respeito pela natureza e pelo ambiente, deve contar com a participação da família, dos professores, da comunidade educativa, dos vetores de informação e de todos os profissionais da educação;
12. Sublinha a utilidade das tecnologias da informação e comunicação (TIC) na aprendizagem como uma boa ferramenta para a educação; incentiva a criação de plataformas interativas destinadas a facilitar o acesso ao património gastronómico europeu, nacional e regional e a difusão do mesmo, por forma a promover a preservação e a transmissão do saber fazer tradicional entre profissionais, artesãos e cidadãos;
13. Solicita à Comissão, ao Conselho e aos Estados-Membros que estudem um enquadramento mais estrito dos conteúdos e da publicidade relativos a produtos alimentares, nomeadamente na perspetiva da nutrição;
14. Recorda aos Estados-Membros que devem assegurar a proibição, nas escolas, de qualquer publicidade ou patrocínio de alimentos não saudáveis;
15. Solicita aos Estados-Membros que assegurem a correta formação dos professores, em colaboração com nutricionistas e médicos, para que possam ensinar devidamente «ciências da alimentação» nas escolas e universidades; recorda que a nutrição e o ambiente são interdependentes, pelo que solicita a atualização dos conhecimentos em matéria de ambiente natural;
16. Convida a Comissão e o Conselho a estudarem os programas de formação dos profissionais da gastronomia; incentiva os Estados-Membros a promoverem as formações supracitadas; sublinha a importância de as referidas formações abrangerem a gastronomia local e europeia, a diversidade de produtos e os processos de preparação, produção, conservação e distribuição dos alimentos;
17. Insiste na importância que as formações dos profissionais da gastronomia dão à menção «caseiro», assim como a uma produção local e variada;
18. Solicita aos Estados-Membros que efetuem o intercâmbio de conhecimentos e de boas práticas nas atividades relacionadas com a gastronomia através da educação e que favoreçam o conhecimento em gastronomia entre as diferentes regiões; solicita igualmente que se organize um intercâmbio de boas práticas ou o desenvolvimento de considerações que encurtem a cadeia alimentar, insistindo na produção local e sazonal;
19. Chama a atenção para a necessidade de promover uma alimentação saudável nas escolas com a utilização dos programas financeiros no âmbito da Política Agrícola Comum 2014-2020;
20. Recorda que o impulso dado pelo reconhecimento da dieta mediterrânica e da gastronomia francesa como Património Cultural Imaterial da Humanidade pela UNESCO deu origem à criação de instituições e organismos que promovem o conhecimento, a prática e a transmissão de valores relativos a hábitos de uma dieta alimentar equilibrada e saudável;
Aspetos culturais
21. Sublinha a necessidade de sensibilizar para a variedade e qualidade das regiões, das paisagens e dos produtos que são a base da gastronomia europeia, que forma parte do nosso património cultural e encerra também um estilo de vida próprio, reconhecido internacionalmente; sublinha que a mesma exige, por vezes, o respeito dos hábitos locais;
22. Assinala que a gastronomia é uma ferramenta que pode ser utilizada para promover o crescimento e o emprego num vasto leque de setores económicos, incluindo indústrias como a restauração, o turismo, a indústria agroalimentar e a investigação; observa que a gastronomia pode igualmente desenvolver um sentido agudo de proteção da natureza e do ambiente, o que garante aos alimentos um sabor mais autêntico e menos trabalhado com aditivos ou conservantes;
23. Sublinha a importância da gastronomia na promoção do setor da hotelaria e da restauração na Europa e vice-versa;
24. Reconhece o papel que os cozinheiros talentosos e qualificados desempenham na preservação e exportação do património gastronómico e a importância de conservar a experiência gastronómica enquanto fator fundamental que constitui uma mais-valia a nível educacional e económico;
25. Enaltece as iniciativas destinadas a promover o património gastronómico europeu, como feiras e festivais gastronómicos locais e regionais, que reforçam o conceito de proximidade como elemento de respeito pelo ambiente e que constituem uma garantia de maior confiança do consumidor; incentiva tais iniciativas a incluírem uma dimensão europeia;
26. Saúda os três sistemas de indicações geográficas da UE e de especialidades tradicionais, que são a denominação de origem protegida (DOP), a indicação geográfica protegida (IGP) e as especialidades tradicionais garantidas (ETG), que valorizam produtos agrícolas europeus a nível da UE e internacional; convida os Estados-Membros e as regiões a desenvolverem denominações DOP, em particular denominações DOP comuns para os produtos da mesma natureza provenientes de áreas geográficas transfronteiriças;
27. Congratula-se com iniciativas como «Slow Food», que contribuem para que todas as pessoas aprendam a apreciar a importância social e cultural da alimentação, bem como a iniciativa «Wine in Moderation», que promove um estilo de vida e um nível de consumo de bebidas alcoólicas associado à moderação;
28. Sublinha igualmente o papel que desempenham as academias de gastronomia, a Rede Europeia de Fundações de Nutrição e a Academia Internacional de Gastronomia, com sede em Paris, no estudo e na difusão do património gastronómico;
29. Solicita aos Estados-Membros que formulem e implementem políticas destinadas a melhorar qualitativa e quantitativamente a indústria gastronómica – em si mesma e em relação à oferta turística – no quadro do desenvolvimento cultural e económico das diferentes regiões;
30. Reforça que a gastronomia constitui uma exportação cultural sólida para a UE e para os Estados-Membros a nível individual;
31. Solicita aos Estados-Membros que apoiem iniciativas no âmbito do agroturismo que promovam a divulgação do património cultural e paisagístico, proporcionem apoio regional e fomentem o desenvolvimento rural;
32. Solicita aos Estados-Membros e à Comissão Europeia que desenvolvam os aspetos culturais da gastronomia e que fomentem hábitos alimentares que preservem a saúde dos consumidores, reforcem o intercâmbio e a partilha de culturas e promovam as regiões, mantendo, ao mesmo tempo, o prazer que implica o ato de comer, de convívio e de sociabilidade;
33. Convida os Estados-Membros a colaborar entre si e a apoiar as iniciativas destinadas a manter a alta qualidade, diversidade, heterogeneidade e singularidade dos produtos artesanais, locais, regionais e nacionais, de forma a lutar contra a homogeneização, que, a longo prazo, levaria ao empobrecimento do património gastronómico europeu;
34. Incentiva a Comissão, o Conselho e os Estados-Membros a integrarem, nas suas reflexões sobre as políticas alimentares, a importância de apoiar uma produção alimentar europeia sustentável, variada, de qualidade e em quantidade suficiente, a fim de apoiar a diversidade culinária europeia;
35. Solicita à Comissão e aos Estados-Membros que reforcem a fase de reconhecimento e de rotulagem da produção alimentar europeia para permitir a valorização desses produtos, uma melhor informação dos consumidores e a proteção da diversidade da gastronomia europeia;
36. Assinala a importância de reconhecer e valorizar as produções gastronómicas de qualidade; convida a Comissão, o Conselho e os Estados-Membros a refletirem na instauração de um procedimento de informação dos consumidores pelos restauradores sobre os pratos preparados no local a partir de produtos agrícolas;
37. Incentiva a Comissão, o Conselho e os Estados-Membros a estudarem o impacto das legislações por eles adotadas na capacidade, diversidade e qualidade da produção alimentar da UE e a tomarem medidas no sentido de combater a contrafação de produtos;
38. Apoia iniciativas dos Estados-Membros e das respetivas regiões que possam encorajar a promoção e preservação de todos os territórios, paisagens e produtos que fazem parte do património gastronómico local; insta as regiões a valorizarem uma gastronomia local e dietética no setor da restauração escolar e coletiva em colaboração com os produtores locais, a fim de preservar e valorizar o património gastronómico regional, estimular a agricultura local e reforçar os circuitos curtos;
39. Solicita aos Estados-Membros que tomem medidas para preservar o património europeu de gastronomia, nomeadamente protegendo o património arquitetónico dos mercados tradicionais de produtos alimentares, as adegas ou outras instalações e também os utensílios e maquinarias relacionados com a alimentação e a gastronomia;
40. Insiste na importância de identificar, inventariar, transmitir e difundir a riqueza cultural da gastronomia europeia; incentiva a criação de um observatório europeu de gastronomia;
41. Sugere à Comissão Europeia que inclua a gastronomia europeia nos seus programas e iniciativas culturais;
42. Congratula-se com a inscrição na lista do património cultural imaterial da humanidade, da refeição gastronómica francesa, da dieta mediterrânica, do pão de especiarias croata e da cozinha tradicional mexicana e encoraja os Estados-Membros a solicitar a incorporação das suas tradições e práticas gastronómicas na Convenção para a Salvaguarda do Património Cultural Imaterial da UNESCO, de modo a contribuir para a preservação das mesmas;
43. Sugere às cidades europeias que apresentem a sua candidatura a Cidade UNESCO da gastronomia, no âmbito do programa Rede de Cidades Criativas;
o o o
44. Encarrega o seu Presidente de transmitir a presente resolução ao Conselho, à Comissão e aos governos e parlamentos dos Estados-Membros.
Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais ***I
Resolução legislativa do Parlamento Europeu, de 12 de março de 2014, sobre a proposta de regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (regulamento geral de proteção de dados) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))
(Processo legislativo ordinário: primeira leitura)
O Parlamento Europeu,
– Tendo em conta a proposta da Comissão ao Parlamento e ao Conselho (COM(2012)0011),
– Tendo em conta o n.º 2 do artigo 294.º, o n.º 2 do artigo 16.º e o n.° 1 do artigo 114.° do Tratado sobre o Funcionamento da União Europeia, nos termos dos quais a Comissão apresentou a proposta ao Parlamento (C7-0025/2012),
– Tendo em conta o artigo 294.º, n.º 3, do Tratado sobre o Funcionamento da União Europeia,
– Tendo em conta os pareceres fundamentados apresentados, no âmbito do Protocolo n.º 2 relativo à aplicação dos princípios da subsidiariedade e da proporcionalidade, pela Câmara dos Representantes belga, pelo Bundesrat alemão, pelo Senado francês, pela Câmara dos Deputados italiana e pelo Parlamento sueco, segundo os quais o projeto de ato legislativo não respeita o princípio da subsidiariedade,
– Tendo em conta o parecer do Comité Económico e Social Europeu de 23 de maio de 2012(1),
– Após consulta ao Comité das Regiões,
– Tendo em conta o parecer da Autoridade Europeia para a Proteção de Dados, de 7 de março de 2012(2),
– Tendo em conta o parecer da Agência Europeia dos Direitos Fundamentais, de 1 de outubro de 2012,
– Tendo em conta o artigo 55.º do seu Regimento,
– Tendo em conta o relatório da Comissão das Liberdades Cívicas, da Justiça e dos Assuntos Internos e os pareceres da Comissão do Emprego e dos Assuntos Sociais, da Comissão da Indústria, da Investigação e da Energia, da Comissão do Mercado Interno e da Proteção dos Consumidores e da Comissão dos Assuntos Jurídicos (A7-0402/2013),
1. Aprova em primeira leitura a posição que se segue;
2. Requer à Comissão que lhe submeta de novo a sua proposta se pretender alterá-la substancialmente ou substituí-la por um outro texto;
3. Encarrega o seu Presidente de transmitir a posição do Parlamento ao Conselho, à Comissão e aos parlamentos nacionais.
Posição do Parlamento Europeu aprovada em primeira leitura em 12 de março de 2014 tendo em vista a adoção do Regulamento (UE) n.° .../2014 do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (regulamento geral sobre a proteção de dados)
O PARLAMENTO EUROPEU E O CONSELHO DA UNIÃO EUROPEIA,
Tendo em conta o Tratado sobre o Funcionamento da União Europeia, nomeadamente o artigo 16.º, n.º 2, e o artigo 114.º, n.º 1,
Tendo em conta a proposta da Comissão Europeia,
Após transmissão do projeto de ato legislativo aos parlamentos nacionais,
Tendo em conta o parecer do Comité Económico e Social Europeu(3),
Após consulta do Comité das Regiões,
Tendo em conta o parecer da Autoridade Europeia para a Proteção de Dados(4),
Deliberando de acordo com o processo legislativo ordinário(5),
Considerando o seguinte:
(1) A proteção das pessoas singulares relativamente ao tratamento de dados pessoais é um direito fundamental. O artigo 8.º, n.º 1, da Carta dos Direitos Fundamentais da União Europeia (“Carta”) e o artigo 16.º, n.º 1, do Tratado sobre o Funcionamento da União Europeia estabelecem que todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito.
(2) O tratamento dos dados pessoais é concebido para servir as pessoas; os princípios e as regras em matéria de proteção das pessoas singulares relativamente ao tratamento dos seus dados pessoais devem respeitar, portanto, independentemente da nacionalidade ou do local de residência dessas pessoas, os seus direitos e liberdades fundamentais, particularmente o direito à proteção dos dados pessoais. O tratamento dos dados deve contribuir para a realização de um espaço de liberdade, segurança e justiça e de uma união económica, o progresso económico e social, a consolidação e a convergência das economias a nível do mercado interno e para o bem-estar das pessoas.
(3) A Diretiva 95/46/CE do Parlamento Europeu e do Conselho(6), visa harmonizar a proteção dos direitos e das liberdades fundamentais das pessoas singulares em relação às atividades de tratamento de dados e assegurar a livre circulação de dados pessoais entre os Estados-Membros.
(4) A integração económica e social resultante do funcionamento do mercado interno provocou um aumento significativo dos fluxos transfronteiriços. O intercâmbio de dados entre os intervenientes económicos e sociais, públicos e privados, intensificou‑se na União Europeia. As autoridades nacionais dos Estados-Membros são chamadas, por força do direito da União, a colaborar e a trocar entre si dados pessoais, a fim de poderem desempenhar as suas missões ou executar funções por conta de uma autoridade de outro Estado-Membro.
(5) A rápida evolução tecnológica e a globalização criaram novos desafios em matéria de proteção de dados pessoais. A partilha e a recolha de dados registaram um espetacular aumento. As novas tecnologias permitem às empresas privadas e às entidades públicas a utilização de dados pessoais numa escala sem precedentes no exercício das suas atividades. As pessoas disponibilizam cada vez mais as suas informações pessoais de uma forma pública e global. As novas tecnologias transformaram a economia e a vida social, e exigem maior facilidade na livre circulação de dados na União e na transferência para países terceiros e organizações internacionais, assegurando simultaneamente um elevado nível de proteção dos dados pessoais.
(6) Esta evolução exige o estabelecimento de um quadro de proteção de dados sólido e mais coerente na União, apoiado por uma aplicação rigorosa das regras, pois é importante gerar confiança para permitir o desenvolvimento da economia digital no conjunto do mercado interno. As pessoas singulares devem poder controlar a utilização que é feita dos seus dados pessoais, e deve ser reforçada a segurança jurídica e prática para as pessoas singulares, os operadores económicos e as autoridades públicas.
(7) Os objetivos e os princípios da Diretiva 95/46/CE continuam a ser válidos, mas não evitaram a fragmentação de execução da proteção dos dados a nível da UE, bem como a insegurança jurídica e o sentimento generalizado na opinião pública de que subsistem riscos significativos, particularmente nas atividades em linha. As diferenças entre os Estados-membros quanto ao nível de proteção dos direitos e das liberdades das pessoas, nomeadamente do direito à proteção dos dados pessoais, no que respeita ao tratamento desses dados, podem impedir a livre circulação de dados pessoais no conjunto da União. Estas diferenças podem, por conseguinte, constituir um obstáculo ao exercício das atividades económicas a nível da UE, falsear a concorrência e impedir as autoridades de cumprirem as obrigações que lhes incumbem por força do direito da União. Estas diferenças nos níveis de proteção devem-se à existência de disparidades na execução e aplicação da Diretiva 95/46/CE.
(8) Para assegurar um nível de proteção coerente e elevado das pessoas singulares e eliminar os obstáculos à circulação de dados pessoais, o nível de proteção dos direitos e liberdades das pessoas singulares relativamente ao tratamento desses dados deve ser equivalente em todos os Estados-Membros. É conveniente assegurar no conjunto da União a aplicação coerente e homogénea das regras de proteção das liberdades e dos direitos fundamentais das pessoas singulares no que diz respeito ao tratamento de dados pessoais.
(9) Uma proteção eficaz dos dados pessoais na União exige não só o reforço e a especificação dos direitos dos titulares de dados e das obrigações dos responsáveis pelo tratamento e definição do tratamento de dados pessoais, mas também poderes equivalentes para controlar e assegurar a conformidade das regras de proteção dos dados pessoais e sanções equivalentes para os infratores nos Estados‑Membros.
(10) O artigo 16.º, n.º 2, do Tratado incumbe o Parlamento Europeu e o Conselho de estabelecerem as normas relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais, bem como as normas relativas à livre circulação desses dados.
(11) A fim de assegurar um nível coerente de proteção das pessoas singulares no conjunto da União e evitar que as divergências constituam um obstáculo à livre circulação de dados no mercado interno, é necessário um regulamento que assegure a segurança jurídica e a transparência aos operadores económicos, incluindo as micro, pequenas e médias empresas, que assegure às pessoas singulares de todos os Estados-Membros um mesmo nível de direitos suscetíveis de proteção judicial e obrigações e responsabilidades iguais para os responsáveis pelo tratamento e subcontratantes, que assegure um controlo coerente do tratamento de dados pessoais, sanções equivalentes em todos os Estados-Membros, bem como uma cooperação efetiva entre as autoridades de controlo dos diferentes Estados-Membros. Para ter em conta a situação particular das micro, pequenas e médias empresas, o presente regulamento inclui um determinado número de derrogações. Além disso, as instituições e os órgãos da União, os Estados-Membros e as suas autoridades de controlo são incentivados a tomar em consideração as necessidades específicas das micro, pequenas e médias empresas no âmbito de aplicação do presente regulamento. Para definir a noção de micro, pequenas e médias empresas, é conveniente ter em conta a Recomendação 2003/361/CE da Comissão(7).
(12) A proteção conferida pelo presente regulamento diz respeito às pessoas singulares, independentemente da sua nacionalidade ou local de residência, relativamente ao tratamento de dados pessoais. No que respeita ao tratamento de dados relativos a pessoas coletivas e, em especial, empresas estabelecidas na qualidade de pessoas coletivas, incluindo a denominação, a forma jurídica e as coordenadas da pessoa coletiva, a proteção conferida pelo presente regulamento não pode ser invocada. Tal deve ser igualmente o caso sempre que a denominação da pessoa coletiva incluir os nomes de uma ou mais pessoas singulares.
(13) A proteção de pessoas singulares deve ser neutra em termos tecnológicos e independente das técnicas utilizadas, sob a pena de se correr um sério risco de ser contornada. Deve aplicar-se ao tratamento de dados pessoais por meios automatizados e manuais se os dados estiverem contidos ou se forem destinados a um sistema de ficheiros. As pastas ou conjuntos de pastas, bem como as suas capas, que não estejam estruturadas de acordo com critérios específicos, não são abrangidos pelo âmbito de aplicação do presente regulamento.
(14) O presente regulamento não cobre questões de proteção dos direitos e das liberdades fundamentais ou da livre circulação de dados relacionados com atividades que se encontrem fora do âmbito de aplicação do direito da União., nem abrange o tratamento de dados pessoais pelas instituições, órgãos, organismos ou agências da União, com base noO Regulamento (CE) n.º 45/2001, ou o tratamento de dados pessoais pelos Estados-Membros no exercício de atividades relacionadas com a política externa e de segurança comum da União do Parlamento Europeu e do Conselho(8) deve ser alinhado com o presente regulamento e aplicado em conformidade com o mesmo. [Alt. 1]
(15) O presente regulamento não é aplicável ao tratamento de dados pessoais efetuado por uma pessoa singular no exercício de atividades exclusivamente pessoais, familares, ou domésticas como, por exemplo, trocar correspondência e manter listas de endereços, ou uma venda privada, sem qualquer fim lucrativo e, portanto, sem qualquer ligação com uma atividade profissional ou comercial. Tal isenção também não deve ser aplicável aos responsáveis pelo tratamento de dados e a subcontratantes que forneçam os meios para o tratamento de dados pessoais dessas atividades pessoais ou domésticas.Todavia, o presente regulamento deve ser aplicável aos responsáveis pelo tratamento de dados e aos subcontratantes que forneçam os meios para o tratamento de dados pessoais dessas atividades pessoais ou domésticas. [Alt. 2]
(16) A proteção das pessoas singulares em matéria de tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais, e a livre circulação desses dados, são objeto de um instrumento jurídico específico a nível da União. Por essa razão, o presente regulamento não é aplicável às atividades de tratamento para esses efeitos. Todavia, o tratamento de dados pessoais pelas autoridades competentes ao abrigo do presente regulamento para os referidos efeitos deve ser regulado por esse instrumento jurídico mais específico a nível da União (Diretiva 2014/.../UE do Parlamento Europeu e do Conselho relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais, e à livre circulação desses dados).
(17) O presente regulamento não deve prejudicar a aplicação da Diretiva 2000/31/CE do Parlamento Europeu e do Conselho(9), nomeadamente as normas em matéria de responsabilidade dos prestadores intermediários de serviços previstas nos seus artigos 12.º a 15.º.
(18) O presente regulamento permite tomar em consideração o princípio do direito de acesso público aos documentos oficiais aquando da aplicação das suas disposições. Os dados pessoais contidos em documentos que estejam na posse de uma autoridade ou entidade pública podem ser divulgados por essa autoridade ou entidade, de acordo com a legislação da União ou do Estado‑Membro relativa ao acesso do público aos documentos oficias, o que concilia o direito à proteção de dados com o princípio do acesso do público aos documentos oficiais e representa um equilíbrio justo dos vários interesses envolvidos. [Alt. 3]
(19) Qualquer tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento de um responsável pelo tratamento, ou de um subcontratante, situado na União, deve ser conforme com o presente regulamento, independentemente de o tratamento em si ser realizado dentro ou fora da União. O estabelecimento pressupõe o exercício efetivo e real de uma atividade com base numa instalação estável. A forma jurídica de tal estabelecimento, quer se trate de uma sucursal ou filial com personalidade jurídica, não é um fator determinante a este respeito.
(20) A fim de evitar que as pessoas singulares sejam privadas da proteção que lhes assiste por força do presente regulamento, o tratamento de dados pessoais de titulares de dados que residam na União por um responsável pelo tratamento não estabelecido na União deve ser sujeito ao presente regulamento se as atividades de tratamento estiverem relacionadas com a oferta de bens ou serviços a esses titulares de dados, independentemente de serem pagos ou não, ou com o controlo do seu comportamento. A fim de determinar se o responsável pelo tratamento dos dados oferece ou não bens ou serviços aos titulares dos dados na União, há que determinar em que medida é evidente a sua intenção de oferecer serviços aos titulares de dados num ou mais Estados-Membros da União. [Alt. 4]
(21) A fim de determinar se uma atividade de tratamento pode ser considerada de «controlo do comportamento» de titulares de dados, deve ser apurado se essas pessoas são seguidas, independentemente da origem dos dados, ou se são recolhidos outros dados sobre eles, inclusive a partir de registos públicos e anúncios na União que sejam acessíveis a partir do exterior da União, nomeadamente com a intenção de utilizar ou, potencialmente, vir, em seguida, a utilizar técnicas de tratamento de dados que consistem em aplicar um «perfil» a uma pessoa singular, especialmente para adotar decisões relativas a essa pessoa ou analisar ou prever as suas preferências, o seu comportamento e atitudes. [Alt. 5]
(22) Sempre que o direito nacional de um Estado-Membro for aplicável por força do direito internacional público, o presente regulamento é aplicável igualmente a um responsável pelo tratamento não estabelecido na União, por exemplo numa missão diplomática ou num posto consular de um Estado-Membro.
(23) Os princípios deda proteção de dados devem aplicar-se a qualquer informação relativa a uma pessoa singular identificada ou identificável. Para determinar se uma pessoa é identificável, importa considerar o conjunto dostodos os meios suscetíveis de seremser razoavelmente utilizados, quer pelo responsável pelo tratamento quer por qualquer outra pessoa, para identificar direta ou indiretamente a referida pessoa. Para determinar os meios com razoável probabilidade de serem utilizados para identificar a pessoa, importa considerar todos os fatores objetivos, como os custos e o tempo necessários para a identificação, tendo em conta tanto a tecnologia disponível à data do tratamento dos dados como o desenvolvimento tecnológico. Os princípios de proteção de dados não se aplicamdevem por isso ser aplicáveis a dados tornados de tal forma anónimos que o titular dos dados já não possa ser identificado, que correspondem às informações não respeitantes a uma pessoa singular identificada ou identificável. O presente regulamento não diz por isso respeito ao tratamento de tais dados anónimos, incluindo para fins estatísticos ou de investigação. [Alt. 6]
(24) O presente regulamento deve ser aplicável ao utilizarem os serviços em linha, as pessoas singulares podem ser associadas a ao tratamento envolvendo identificadores em linha, fornecidos pelos respetivospor aparelhos, aplicações, ferramentas e protocolos, tais como endereços IP (Protocolo Internet) ou, testemunhos de conexão (cookie) e etiquetas. Estes identificadores podem deixar vestígios que, em combinação com identificadores únicos e outras informações recebidas pelos servidores, podem ser utilizadas para a definição de perfis e ade identificação por radiofrequências (RFID), salvo se essesdas pessoas. Daí decorre que números de identificação, dados de localização, identificadores em linha ou outros elementos específicos não devem ser necessariamente considerados como dados pessoais em todas as circunstânciasnão estiverem associados a uma pessoa singular identificada ou identificável. [Alt. 7]
(25) O consentimento do titular dos dados deve ser dado explicitamente, por qualquer forma adequada que permita obter uma manifestação de vontade livre, específica e informada, sobre os seus desejos, que consista quer numa declaração quer numa ação positiva clara doresultante da opção efetuada pelo titular dos dados garantindo que dá o seu consentimento com conhecimentos de causa ao tratamento de dados pessoais, incluindo ao validar. Uma ação positiva clara deve incluir a validação de uma opção por via informática, ao visitar um sítio na Internet, ou qualquer outra declaração ou conduta que indique claramente neste contexto que aceita o, a aceitação, por parte do titular dos direitos, do tratamento proposto dos seus dados pessoais. O silêncio, a mera utilização de um serviço ou a omissão não devem, por conseguinte, constituir um consentimento. O consentimento deve abranger todas as atividades de tratamento realizadas com a mesma finalidade. Se o consentimento tiver de ser dado no seguimento de um pedido por via eletrónica, esse pedido tem de ser claro, conciso e não desnecessariamente perturbador para a utilização do serviço para o qual é fornecido. [Alt. 8]
(26) Os dados pessoais relativos à saúde devem incluir, em especial, todos os dados relativos ao estado de saúde de um titular de dados; informações sobre a inscrição da pessoa para a prestação de serviços de saúde; informações sobre pagamentos ou a elegibilidade para cuidados de saúde; um número, símbolo ou sinal particular atribuído a uma pessoa singular para a identificar de forma inequívoca para fins de cuidados de saúde; qualquer informação sobre a pessoa recolhida no decurso de uma prestação de serviços de saúde; informações obtidas a partir de testes ou exames de uma parte do corpo ou de uma substância corporal, incluindo amostras biológicas; identificação de uma pessoa enquanto prestador de cuidados de saúde à pessoa singular; ou quaisquer informações sobre, por exemplo, uma doença, deficiência, risco de doença, historial clínico, tratamento clínico ou estado físico ou biomédico atual do titular de dados, independentemente da sua fonte, por exemplo, um médico ou outro profissional de saúde, um hospital, um aparelho médico ou um teste de diagnóstico in vitro.
(27) O estabelecimento principal de um responsável pelo tratamento na União deve ser determinado de acordo com critérios objetivos e deve pressupor o exercício efetivo e real de atividades de gestão que determinem as decisões principais quanto às finalidades, condições e meios de tratamento mediante instalações estáveis. Este critério não deve depender do facto de o tratamento ser efetivamente realizado nesse local. A existência e utilização de meios técnicos e de tecnologias para o tratamento de dados pessoais ou as atividades de tratamento não constituem, em si mesmas, o referido estabelecimento principal nem são, portanto, um critério definidor de estabelecimento principal. Entende‑se por estabelecimento principal do subcontratante, o lugar da sua administração central na União.
(28) Um grupo de empresas deve ser constituído por uma empresa que exerce o controlo e as empresas controladas, a primeira devendo ser a que pode exercer uma influência dominante sobre as outras empresas, por exemplo, em virtude da propriedade, participação financeira ou das regras que a regem ou da faculdade de fazer aplicar as regras relativas à proteção de dados pessoais.
(29) As crianças carecem de proteção especial quanto aos seus dados pessoais, uma vez que podem estar menos cientes dos riscos, consequências, garantias e direitos relacionados com o tratamento dos seus dados pessoais. Para determinar quando é que uma pessoa é considerada uma criança, o presente regulamento deve retomar a definição estabelecida na Convenção das Nações Unidas sobre os Direitos da CriançaSempre que o tratamento for realizado com base no consentimento do titular dos dados no que diz respeito à oferta de bens ou serviços diretamente a uma criança, o consentimento deve ser dado ou autorizado pelo progenitor ou pelo tutor legal dessa criança, se esta tiver menos de 13 anos de idade. Deve ser utilizada uma linguagem apropriada à idade quando o público-alvo são crianças. Devem continuar a ser aplicáveis outros motivos de tratamento de dados lícito, como o interesse público, designadamente para efeitos do tratamento de dados no contexto de serviços preventivos ou de aconselhamento oferecidos diretamente às crianças. [Alt. 9]
(30) Qualquer tratamento de dados pessoais deve ser efetuado de forma lícita, leal e transparente para com as pessoas em causa. Em especial, as finalidades específicas do tratamento devem ser explícitas e legítimas e ser determinadas aquando da recolha dos dados. Os dados devem ser adequados, pertinentes e limitados ao mínimo necessário às finalidades de tratamento para as quais se destinam; para tal, os dados recolhidos não devem ser excessivos e o período de conservação deve ser limitado ao mínimo. Os dados pessoais apenas devem ser tratados se a finalidade do tratamento não puder ser atingida por outros meios. Devem ser adotadas todas as medidas razoáveis para que os dados pessoais inexatos sejam retificados ou apagados. De forma a assegurar que os dados são conservados apenas durante o período considerado necessário, o responsável pelo tratamento deve fixar os prazos para o apagamento ou a revisão periódica.
(31) Para que o tratamento seja lícito, os dados pessoais devem ser tratados com base no consentimento da pessoa em causa ou noutro fundamento legítimo, previsto por lei, quer no presente regulamento quer noutro ato legislativo da União ou de um Estado‑Membro, conforme previsto no presente regulamento. No caso de crianças ou de pessoas que não disponham de capacidade jurídica, cabe à legislação pertinente da União ou do Estado-Membro determinar em que condições o consentimento é dado ou autorizado pela pessoa em causa. [Alt. 10]
(32) Sempre que o tratamento for realizado com base no consentimento do titular dos dados, recai sobre o responsável pelo tratamento o ónus de provar o consentimento da pessoa em causa. Em especial, no contexto de uma declaração escrita relativa a outra matéria, devem existir as devidas garantias de que o titular dos dados está ciente do consentimento dado com todo o conhecimento de causa. Para cumprir com o princípio da minimização dos dados, o ónus da prova não deve implicar a identificação positiva dos titulares dos dados, a menos que tal seja necessário.À semelhança das cláusulas do direito civil (Diretiva 93/13/CEE(10)), as políticas de proteção de dados devem ser o mais claras e transparentes possível. Não devem conter cláusulas ocultas ou desfavoráveis. Não pode ser dado consentimento para efeitos do tratamento de dados pessoais de terceiros. [Alt. 11]
(33) De forma a assegurar o livre consentimento, deve ser clarificado que este não constitui um fundamento jurídico válido se a pessoa não tiver uma verdadeira liberdade de escolha e, consequentemente, não puder recusar ou retirar o consentimento sem ser prejudicada. Este é particularmente o caso em que o responsável pelo tratamento é uma autoridade dotada de poderes para impor uma obrigação por força das suas prerrogativas de poder público, não podendo o consentimento ser considerado livre. O recurso a opções predefinidas que o titular de dados tem de modificar para se opor ao processamento, como, por exemplo, caixas previamente assinaladas, não é sinónimo de livre consentimento. Para a utilização de um serviço, não deve ser exigido o consentimento para efeitos do tratamento de dados pessoais suplementares que não sejam necessários. A retirada do consentimento pode viabilizar a cessação ou a não execução de um serviço que dependa dos dados em causa. Se a conclusão da finalidade pretendida não puder ser claramente determinada, o responsável pelo tratamento deve informar o titular dos dados, a intervalos regulares, sobre o tratamento e solicitar a revalidação do seu consentimento. [Alt. 12]
(34) O consentimento não deve constituir um fundamento jurídico válido para o tratamento de dados pessoais se existir um desequilíbrio manifesto entre o titular dos dados e o responsável pelo tratamento, especialmente se o primeiro se encontrar numa situação de dependência em relação ao segundo, em especial quando os dados pessoais são tratados pelo seu empregador no contexto da relação laboral. Sempre que o responsável pelo tratamento é uma autoridade, só haveria desequilíbrio em caso de operações de tratamento específicas no âmbito das quais a autoridade possa, por força das suas prerrogativas de poder público, impor uma obrigação. Neste caso, o consentimento não seria considerado livremente consentido, tendo em conta o interesse do titular dos dados. [Alt. 13]
(35) O tratamento deve ser lícito quando se revelar necessário no contexto de um contrato ou da intenção de celebrar de um contrato.
(36) Sempre que o tratamento for realizado em cumprimento de uma obrigação jurídica à qual esteja sujeito o responsável pelo tratamento, ou se o tratamento for necessário para a execução de uma missão de interesse público ou exercício de prerrogativas de autoridade pública, o tratamento deve ter uma base jurídica no direito da União ou na legislação nacional de um Estado-Membro que satisfaça as condições impostas pela Carta relativamente a qualquer restrição aos direitos e liberdades. Isto também deve incluir convenções coletivas reconhecidas ao abrigo da legislação nacional como sendo de aplicabilidade geral. Cabe também ao direito da União ou à legislação nacional determinar se o responsável pelo tratamento que executa uma missão de interesse público ou exerce prerrogativas de autoridade pública deve ser uma administração pública ou outra pessoa singular ou coletiva de direito público, ou de direito privado, por exemplo uma associação profissional. [Alt. 14]
(37) O tratamento de dados pessoais deve ser igualmente considerado lícito quando for necessário à proteção de um interesse essencial à vida do titular dos dados.
(38) Os interesses legítimos do responsável pelo tratamento dos dados, ou, em caso de divulgação, de terceiros a quem os dados sejam comunicados, podem constituir um fundamento jurídico para o tratamento , a menos que desde que satisfaçam as expectativas legítimas do titular dos dados decorrentes da sua relação com o responsável pelo tratamento e que não prevaleçam os interesses ou os direitos e liberdades fundamentais do titular dos dados. Este ponto requer uma avaliação cuidada, particularmente se o titular dos dados for uma criança, uma vez que estas carecem de proteção especial. Desde que não prevaleçam os interesses ou os direitos e liberdades fundamentais do titular dos direitos, deve-se considerar que o tratamento limitado a dados sob pseudónimo satisfaz as expectativas legítimas do titular dos dados decorrentes da sua relação com o responsável pelo tratamento. O titular dos dados deverá poder opor-se ao tratamento a título gratuito. A fim de assegurar a transparência, o responsável pelo tratamento deve ser obrigado a informar explicitamente a pessoa em causa sobre os interesses legítimos prosseguidos e sobre o direito de se lhe opor, sendo igualmente obrigado a apresentar fundamentação documentada desses interesses legítimos. Os interesses e os direitos fundamentais do titular dos dados podem, em particular, sobrepor-se ao interesse do responsável pelo tratamento de dados, sempre que os dados pessoais sejam tratados em circunstâncias em que os titulares dos dados já não esperam um tratamento adicional. Dado que incumbe ao legislador prever por lei a base jurídica para autorizar as autoridades a procederem ao tratamento de dados, este fundamento jurídico não é aplicável aos tratamentos efetuados pelas autoridades públicas no exercício das suas funções. [Alt. 15]
(39) O tratamento de dados relativos ao tráfego, na medida estritamente necessária e proporcionada para assegurar a segurança da rede e das informações, ou seja, a capacidade de uma rede ou de um sistema informático de resistir, com um dado nível de confiança, a eventos acidentais ou a ações maliciosas ou ilícitas que comprometam a disponibilidade, a autenticidade, a integridade e a confidencialidade de dados conservados ou transmitidos, bem como a segurança dos serviços conexos oferecidos ou acessíveis através destas redes e sistemas, pelas autoridades públicas, equipas de intervenção em caso de emergências informáticas (CERT), equipas de resposta a incidentes no domínio da segurança informática (CSIRT), fornecedores ou redes de serviços de comunicações eletrónicas e por fornecedores de tecnologias e serviços de segurança, constitui um interesse legítimo do responsável pelo tratamento dos dados. Tal pode incluir, por exemplo, impedir o acesso não autorizado a redes de comunicações eletrónicas e a distribuição de códigos malévolos e pôr termo a ataques de «negação de serviço» e a danos causados aos sistemas de comunicações informáticas e eletrónicas. Este princípio também se aplica ao tratamento de dados pessoais, a fim de restringir o acesso abusivo e o recurso a sistemas de rede ou de informação publicamente disponíveis, como a lista negra de endereços eletrónicos. [Alt. 16]
(39-A) Desde que não prevaleçam os interesses ou os direitos e liberdades fundamentais do titular dos direitos, deve-se considerar a prevenção ou limitação dos danos sofridos pelo responsável pelo tratamento realizada no legítimo interesse deste último, ou, em caso de divulgação, do terceiro a quem os dados sejam comunicados, e que satisfaz as expectativas legítimas do titular dos dados decorrentes da sua relação com o responsável pelo tratamento. O mesmo princípio aplica-se também à execução de ações judiciais contra o titular dos dados, como em caso de cobrança judicial ou de indemnização por perdas e danos. [Alt. 17]
(39-B) Desde que não prevaleçam os interesses ou os direitos e liberdades fundamentais do titular dos direitos, deve-se considerar o tratamento de dados pessoais para fins de comercialização direta dos seus próprios produtos e serviços similares, ou com o propósito de comercialização postal direta, realizado no legítimo interesse do responsável pelo tratamento dos dados, ou, em caso de divulgação, do terceiro a quem os dados sejam comunicados, e que satisfaz as expectativas legítimas do titular dos dados decorrentes da sua relação com o responsável pelo tratamento, se forem fornecidas informações altamente visíveis sobre o direito de oposição e sobre a origem dos dados pessoais. O tratamento de dados de contacto de empresas deve ser genericamente considerado como realizado no legítimo interesse do responsável pelo tratamento dos dados, ou, em caso de divulgação, do terceiro a quem os dados sejam comunicados, e que satisfaz as expectativas legítimas do titular dos dados decorrentes da sua relação com o responsável pelo tratamento. O mesmo se aplica também ao tratamento de dados pessoais tornados manifestamente públicos pelo titular dos dados. [Alt. 18]
(40) O tratamento de dados pessoais para outros fins apenas deve ser autorizado se for compatível com as finalidades para as quais os dados foram inicialmente recolhidos, particularmente para fins de investigação histórica, estatística ou científica. Sempre que essa outra finalidade não for compatível com a finalidade inicial para a qual os dados foram recolhidos, o responsável pelo tratamento deve obter o consentimento do titular dos dados para outra finalidade ou basear esse tratamento noutro fundamento legítimo para o tratamento lícito, nomeadamente se estabelecido pelo direito da União ou pela legislação do Estado-Membro a que o responsável pelo tratamento se encontre sujeito. Em qualquer caso, deve ser garantida a aplicação dos princípios enunciados pelo presente regulamento e, em particular, a obrigação de informar o titular dos dados sobre essas outras finalidades.[Alt. 19]
(41) Os dados pessoais que sejam, devido à sua natureza, especialmente sensíveis e vulneráveis relativamente aos direitos fundamentais ou à privacidade, merecem uma proteção específica. Esses dados não devem ser objeto de tratamento, salvo se, para o efeito, o titular dos dados der o seu consentimento expresso. No entanto, devem ser expressamente previstas derrogações a esta proibição para ter em conta necessidades específicas, designadamente quando o tratamento for efetuado no exercício de atividades legítimas de certas associações ou fundações que tenham por finalidade permitir o exercício das liberdades fundamentais.[Alt. 20]
(42) As derrogações à proibição de tratamento de categorias de dados sensíveis devem ser igualmente permitidas se efetuadas mediante ato legislativo e, sob reserva de garantias adequadas, de forma a proteger os dados pessoais e outros direitos fundamentais, quando motivos de interesse geral o justificarem e, em especial, motivos sanitários, incluindo de saúde pública, proteção social e de gestão de serviços de saúde, designadamente para assegurar a qualidade e a eficiência dos procedimentos utilizados para regularizar os pedidos de prestações sociais e de serviços no quadro do regime de seguro de doença, para fins de investigação histórica, estatística ou científica, ou ainda para serviços de arquivo. [Alt. 21]
(43) Além disso, o tratamento de dados pessoais pelas autoridades públicas tendo em vista realizar os objetivos, consagrados no direito constitucional ou no direito internacional público, de associações religiosas oficialmente reconhecidas, é efetuado por motivos de interesse público.
(44) Sempre que, no âmbito do exercício de atividades eleitorais, o funcionamento do sistema democrático exigir, num Estado-Membro, que os partidos políticos recolham dados sobre a opinião política das pessoas, o tratamento desses dados pode ser autorizado por motivos de interesse público importante, desde que sejam estabelecidas garantias adequadas.
(45) Se os dados tratados pelo responsável pelo tratamento não lhe permitirem identificar uma pessoa singular, aquele não deve ser obrigado a obter informações suplementares para identificar o titular dos dados com a única finalidade de respeitar uma disposição do presente regulamento. No caso de um pedido de acesso, o responsável pelo tratamento de dados deve ter a faculdade de solicitar ao titular dos dados informações adicionais que permitam localizar os dados pessoais procurados por essa pessoa. Se for possível ao titular dos dados facultar esses dados, os responsáveis pelo tratamento não devem poder invocar falta de informação para recusar um pedido de acesso. [Alt. 22]
(46) O princípio de transparência exige que qualquer informação destinada ao público ou ao titular dos dados seja de fácil acesso e compreensão, e formulada numa linguagem clara e simples. Isto é especialmente relevante em situações, como a publicidade em linha, a proliferação de operadores e a complexidade tecnológica das práticas, que tornem difícil que a pessoa em causa saiba exatamente se estão a recolher os seus dados pessoais, por quem e para que fins. Uma vez que as crianças carecem de proteção especial, sempre que o tratamento lhes seja especialmente dirigido, qualquer informação e comunicação deve estar redigida numa linguagem clara e simples de forma a que uma criança a compreenda facilmente.
(47) Devem ser previstas modalidades para facilitar o exercício, pelo titular de dados, dos direitos que lhe são conferidos nos termos do presente regulamento, incluindo mecanismos para solicitarobter, a título gratuito, em especial o acesso aos dados, a retificação, a supressão e o exercício do seu direito de oposição. O responsável pelo tratamento deve ser obrigado a responder ao titular dos dados dentro de um prazo estipuladorazoável e fundamentar qualquer recusa. [Alt. 23]
(48) Os princípios de tratamento leal e transparente exigem que o titular de dados seja informado, em especial, da existência da operação de tratamento de dados e das suas finalidades, do período de conservação dos dados ou - se tal não for possível - dos critérios usados para definir esse período, da existência do direito de acesso, da retificação ou de apagamento, bem como do direito de apresentar uma queixa. Sempre que os dados forem recolhidos junto do titular dos dados, este deve ser também informado da obrigatoriedade de fornecer esses dados e das respetivas consequências caso não os faculte. Esta informação deve ser facultada ao interessado, ou fazer com que seja facilmente acessível para este, uma vez proporcionada informação simplificada em forma de ícones normalizados. Isto deve também significar que o tratamento dos dados pessoais se processa de forma a permitir que o titular dos dados exerça efetivamente os seus direitos. [Alt. 24]
(49) As informações sobre o tratamento de dados pessoais devem ser fornecidas ao titular dos dados no momento da sua recolha ou, se a recolha não foi obtida junto da pessoa em causa, dentro de um prazo, dependendo das circunstâncias do caso. Sempre que os dados forem suscetíveis de serem legitimamente comunicados a outro destinatário, o titular dos dados deve ser informado aquando da primeira comunicação a esse destinatário.
(50) Todavia, não é necessário impor tal obrigação quando o titular dos dados já dispuser dessaconhecer essa informação, ou se o registo ou a comunicação dos dados for expressamente previsto por lei, ou se a informação ao titular dos dados se revelar impossível de concretizar ou se implicar esforços desproporcionados. Tal seria o caso de um tratamento efetuado para efeitos de investigação histórica, estatística ou científica; para este efeito, pode ser considerado o número de interessados, a antiguidade dos dados e as eventuais medidas compensatórias adotadas.[Alt. 25]
(51) Qualquer pessoa deve ter o direito de acesso aos dados recolhidos sobre si e de exercer facilmente este direito, a fim de conhecer e verificar a licitude do tratamento. Por conseguinte, cada titular de dados deve ter o direito de conhecer e ser informado, em especial, das finalidades a que se destinam os dados pessoais tratados, da duração estimada da sua conservação, da identidade dos destinatários, da lógica genérica subjacente ao tratamento dos dados pessoais e das suas consequências eventuais. Este direito não deve prejudicar os direitos e as liberdades de terceiros, incluindo o segredo comercial ou a propriedade intelectual e, particularmente, ocomo, por exemplo, em relação ao direito de autor que protege o suporte lógico. Todavia, estas considerações não devem resultar na recusa total de prestação de informações ao titular dos dados. [Alt. 26]
(52) O responsável pelo tratamento deve adotar todas as medidas razoáveis para verificar a identidade do titular dos dados que solicite o acesso, em especial no contexto de serviços em linha e de identificadores em linha. Um responsável pelo tratamento não deve conservar dados pessoais com a finalidade exclusiva de estar em condições de reagir a possíveis pedidos.
(53) Qualquer pessoa deve ter o direito a que os dados que lhe digam respeito sejam retificados e o «direito a ser esquecidoao apagamento de dados» quando a conservação desses dados não cumprir o disposto no presente regulamento. Em especial, os titulares de dados devem ter o direito a que os seus dados pessoais sejam apagados e deixem de ser objeto de tratamento se deixarem de ser necessários para a finalidade para a qual foram recolhidos ou tratados, sempre que os titulares de dados retirem o seu consentimento ao tratamento, ou se oponham ao tratamento de dados pessoais que lhes digam respeito ou se o tratamento dos seus dados pessoais não respeitar o disposto no presente regulamento. Este direito assume particular importância quando o titular de dados que deu o consentimento era nesse momento uma criança, não estando totalmente ciente dos riscos inerentes ao tratamento, e mais tarde deseja suprimir esses dados pessoais, especialmente na internet. No entanto, deve ser permitido prolongar a conservação dos dados quando tal se revele necessário para efeitos de investigação histórica, estatística ou científica, bem como por motivos de interesse público no domínio da saúde pública, ou de exercício da liberdade de expressão, se esta for exigida por lei, ou se existir um motivo para limitar o tratamento dos dados em vez de os apagar. Além disso, o direito ao apagamento não deve ser aplicável sempre que a conservação dos dados pessoais for necessária para a execução de um contrato com o titular dos dados ou sempre que a conservação for feita em virtude de uma obrigação legal. [Alt. 27]
(54) Para reforçar o «direito a ser esquecidode apagamento dos dados do titular» no ambiente em linha, o âmbito do direito de apagamento deve também ser alargado de forma a que um responsável pelo tratamento que tenha tornado públicos os dados pessoais sem qualquer justificação jurídica seja obrigado a informar os terceiros que tratem esses dados que um titular de dados lhes solicita a supressão de quaisquer ligações para esses dados pessoais, cópias ou reproduções dos mesmos. De forma a assegurar esta informação, o responsável pelo tratamento deve adotar todas as medidas razoáveis, incluindo medidas técnicas, no que respeita aos dados cuja publicação seja da sua responsabilidade. No que se refere à publicação de dados pessoais por terceiros, o responsável pelo tratamento é considerado responsável por essa publicação sempre que tiver autorizado a publicação por esse terceiroa tomar todas as medidas necessárias para que os dados sejam apagados, embora sem prejuízo do direito do titular dos dados a pedir uma indemnização. [Alt. 28]
(54-A) Dados contestados pelo titular dos mesmos cuja exatidão ou inexatidão não possa ser determinada devem ser bloqueados até que o assunto seja esclarecido. [Alt. 29]
(55) Para reforçar melhor o controlo sobre os seus próprios dados e o seu direito de acesso, os titulares de dados devem ter o direito, sempre que os dados pessoais sejam objeto de tratamento automatizado num formato estruturado e de uso corrente, de obter uma cópia dos dados que lhes digam respeito, igualmente num formato eletrónico de utilização comum. O titular de dados deve, além disso, ser autorizado a transmitir os dados que forneceu, de uma aplicação automatizada, como uma rede social, para outra. Os responsáveis pelo tratamento de dados devem ser encorajados a desenvolver formatos interoperáveis que permitam a portabilidade dos dados. Isto aplica-se também se o titular de dados tiver fornecido os dados a um sistema de tratamento automatizado com base no seu consentimento ou em cumprimento de um contrato. Os prestadores de serviços da sociedade da informação não devem tornar a transferência desses dados obrigatória para efeitos da prestação dos seus serviços. [Alt. 30]
(56) No caso de um tratamento de dados pessoais lícito para proteção dos interesses vitais do titular dos dados, ou por motivos de interesse público, de exercício da autoridade pública ou de interesse legítimo de um responsável pelo tratamento, o titular dos dados tem, não obstante, o direito de se opor ao tratamento de quaisquer dados que lhe digam respeito, sem encargos e de um modo que possa ser invocado de forma simples e efetiva. Recai sobre o responsável pelo tratamento o ónus de provar que os seus interesses legítimos prevalecem sobre os interesses ou direitos e liberdades fundamentais do titular dos dados.os interesses ou direitos e liberdades fundamentais do titular dos dados. [Alt. 31]
(57) Sempre que os dados pessoais forem objeto de tratamento para efeitos de comercialização direta, o titular dos dados tempessoais tenha o direito de se opor a tal tratamento gratuitamente, ao tratamento, o responsável pelo tratamento deve oferecer-lhe explicitamente essa possibilidade de modo e forma inteligíveis, utilizando uma linguagem clara e que possa ser invocado de forma simples e efetiva distinguir isso de outra informação. [Alt. 32]
(58) Sem prejuízo da legalidade do tratamento dos dados, qualquer pessoa singular tem o direito a não ser objeto de uma medida baseada nade se opor à definição de perfis. através de tratamento automatizado. No entanto, tais medidas devem ser permitidasA elaboração de perfis que dê lugar a medidas que produzam efeitos jurídicos que afetem o titular de dados ou que afectem significativamente de modo similar os seus interesses, direitos ou liberdades apenas deve ser permitida se expressamente autorizadasautorizada por lei, se aplicadasaplicada no âmbito da celebração ou da execução de um contrato, ou mediante o consentimento da pessoa em causa. Em qualquer dos casos, tal tratamento deve ser acompanhado das garantias adequadas, incluindo uma informação específica do titular dos dados e o direito de obter a intervençãoavaliação humana, e que tal medida não diga respeito a uma criança. Tais medidas não devem conduzir à discriminação de indivíduos em razão da origem racial ou étnica, das opiniões políticas, da religião ou das convicções, da filiação sindical, da orientação sexual ou da identidiade de género. [Alt. 33]
(58-A) A elaboração de perfis exclusivamente baseada no tratamento de dados pseudónimos não deve afetar significativamente os interesses, direitos ou as liberdades da pessoa em causa. Quando a elaboração de perfis, quer baseada numa única fonte de dados pseudónimos, quer realizada a partir da agregação de dados pseudónimos provenientes de diferentes fontes, permita ao responsável pelo tratamento atribuir os dados pseudónimos a uma pessoa em concreto, os dados tratados devem deixar de ser considerados pseudónimos. [Alt. 34]
(59) A União ou um Estado-Membro podem impor restrições aos direitos de informação, acesso, retificação, apagamento ou portabilidade dos ou ao direito de acesso e à obtenção de dados, de oposição, medidas baseadas na definição de perfis, bem como à comunicação de uma violação de dados pessoais ao titular dos dados e a determinadas obrigações conexas impostas aos responsáveis pelo tratamento, desde que necessárias e proporcionais numa sociedade democrática, para assegurar a segurança pública, incluindo a proteção da vida humana, especialmente em resposta a catástrofes naturais ou provocadas pelo homem, para efeitos de prevenção, investigação e repressão de infrações penais, ou de violação da deontologia de profissões regulamentadas para efeitos de outros interesses públicos, específicos e bem definidos, incluindo um interesse económico ou financeiro importante da União ou de um Estado-Membro, ou para efeitos de proteção do titular dos dados ou dos direitos e liberdades de terceiros. Essas restrições devem respeitar os requisitos estabelecidos na Carta e na Convenção Europeia para a Proteção dos Direitos do Homem e das Liberdades Fundamentais. [Alt. 35]
(60) Deve ser definida a responsabilidade global do responsável por qualquer tratamento de dados pessoais realizado por este ou por sua conta, em particular no que se refere à documentação, segurança dos dados, avaliações de impacto, ao delegado para a proteção de dados e à supervisão das autoridades responsáveis pela proteção dos dados. Em especial, o responsável pelo tratamento deve assegurar e ser capaz de comprovar que cada operação de tratamento de dados é efetuada em conformidade com o presente regulamento. Tal deve ser verificado por auditores independentes internos ou externos. [Alt. 36]
(61) A proteção dos direitos e liberdades dos titulares dos dados relativamente ao tratamento dos seus dados pessoais exige a tomada de medidas técnicas e organizacionais adequadas, tanto no momento da conceção como no momento da execução do tratamento, para assegurar o cumprimento dos requisitos do presente regulamento. A fim de assegurar e comprovar a conformidade com o presente regulamento, o responsável pelo tratamento deve adotar regras internas e aplicar medidas apropriadas que devem respeitar, em especial, os princípios da proteção de dados desde a conceção e da proteção de dados por defeito. O princípio da proteção de dados desde a conceção obriga a que a proteção de dados seja inserida em todo o ciclo de vida da tecnologia, desde a fase inicial de conceção, até à sua instalação, utilização e eliminação finais. Isto deve abarcar também a responsabilidade pelos produtos e serviços utilizados pelo responsável ou pelo subcontratante. O princípio da proteção de dados por defeito obriga a que as definições de privacidade aplicáveis a serviços e a produtos cumpram, por defeito, os princípios gerais da proteção de dados, tais como a minimização dos dados e a limitação das finalidades. [Alt. 37]
(62) A proteção dos direitos e liberdades dos titulares de dados, bem como a responsabilidade dos responsáveis pelo tratamento e dos subcontratantes, incluindo no que diz respeito à supervisão e às medidas adotadas pelas autoridades de controlo, exige uma clara repartição das responsabilidades nos termos do presente regulamento, nomeadamente quando o responsável pelo tratamento determina as finalidades,as condições e os meios do tratamento conjuntamente com outros responsáveis, ou quando uma operação de tratamento de dados é efetuada por conta de um responsável pelo tratamento. O acordo entre os responsáveis conjuntos pelo tratamento deve reflectir devidamente as funções dos responsáveis conjuntos pelo tratamento e as suas relações com os titulares dos dados. O tratamento de dados pessoais nos termos do presente Regulamento deve incluir que um responsável pelo tratamento seja autorizado a transmitir os dados a um responsável conjunto pelo tratamento ou a um subcontratante, para efeitos do tratamento de dados em seu nome. [Alt. 38]
(63) Sempre que um responsável pelo tratamento não estabelecido na União Europeia efetue o tratamento de dados pessoais de titulares de dados que residam nada União, e cujas atividades de tratamento estejam relacionadas com a oferta de bens ou serviços a essas pessoas, ou com o controlo do seu comportamento, o responsável pelo tratamento deve designar um representante, salvo se tal responsável se encontrar estabelecido num país terceiro que garanta um nível de proteção adequado, ou se o responsável for uma pequena ou média empresatratamento de dados pessoais disser respeito a menos que 5000 titulares de dados durante um período de 12 meses consecutivos e não for efetuado em relação a categorias especiais de dados pessoais, ou se for ou uma autoridade ou organismo público, ou se o responsávelque apenas ofereceroferece a título esporádico bens ou serviços a esses titulares de dados. O representante deve agir por conta do responsável pelo tratamento e deve poder ser contactado por qualquer autoridade de controlo. [Alt. 39]
(64) A fim de determinar se o responsável pelo tratamento oferece bens e serviços apenas a título esporádico aos titulares de dados que residam nada União, deve ser verificado se resulta do conjunto das suas atividades que a oferta de bens e serviços a essas pessoas é acessória às suas atividades principais. [Alt. 40]
(65) A fim de poder comprovar a observância do presente regulamento, o responsável pelo tratamento, ou o subcontratante, deve documentar cada operação de tratamento de dados conservar a documentação necessária, de molde a cumprir os requisitos previstos no presente regulamento. Cada responsável pelo tratamento e subcontratante devem ser obrigados a cooperar com a autoridade de controlo e a disponibilizar essa documentação, quando tal lhe for solicitado, para que possa servir ao controlo dessas operações de tratamento à avaliação do cumprimento do presente regulamento. No entanto, deve dar-se igual ênfase e importância às boas práticas e ao cumprimento, e não apenas à conclusão da documentação. [Alt. 41]
(66) A fim de preservar a segurança e evitar o tratamento em violação do presente regulamento, o responsável pelo tratamento, ou o subcontratante, deve avaliar os riscos que o tratamento implica e aplicar medidas que os atenuem. Estas medidas devem assegurar um nível de segurança adequado, atendendo aos conhecimentos técnicos disponíveis e ao custo da sua aplicação em função dos riscos e da natureza dos dados a proteger. Aquando da adoção de normas técnicas e medidas organizacionais destinadas a assegurar a segurança do tratamento, a Comissão deve promoverhá que promover a neutralidade tecnológica, a interoperabilidade e a inovação e, se necessário, cooperarencorajar a cooperação com os países terceiros. [Alt. 42]
(67) A violação dos dados pessoais pode, se não forem adotadas medidas adequadas e oportunas, dar origem a prejuízos económicos e sociais substanciais, nomeadamente através da usurpação de identidade, para a pessoa em causa. Assim, logo que o responsável pelo tratamento tenha conhecimento de uma violação, deve comunicá-lacomunicar a violação à autoridade de controlo, sem demora injustificada e, sempre que possível, no devendo presumir-se para o efeito um prazo de 24 não superior a 72 horas. Se aplicável não for possível efetuar essa comunicação no prazo de 24 horas, a notificação deve fazer-se acompanhar de uma explicação dos motivos da demora. As pessoas singulares cujos dados pessoais possam ter sido afetados negativamente por tal violação, devem ser avisadas sem demora injustificada, para que possam tomar as precauções necessárias. Deve considerar-se que uma violação afeta negativamente os dados pessoais ou a privacidade de um titular de dados sempre que daí possa resultar, por exemplo, roubo ou usurpação de identidade, danos físicos, humilhações ou danos significativos para a reputação. A notificação deve descrever a natureza da violação de dados pessoais, bem como formular recomendações ao titular dos dados para atenuar potenciais efeitos adversos. As pessoas em causa devem ser notificadas o mais rapidamente possível, em estreita cooperação com a autoridade de controlo, e em cumprimento das orientações por esta fornecidas ou por outras autoridades competentes (por exemplo, autoridades de aplicação da lei). Por exemplo, para que as pessoas em causa possam atenuar um risco imediato de dano, deve enviar‑se uma notificação rápida aos titulares de dados, enquanto a necessidade de aplicar medidas adequadas contra violações de dados recorrentes ou similares poderá justificar um prazo superior. [Alt. 43]
(68) Para determinar se uma violação de dados pessoais é notificada à autoridade de controlo e ao titular dos dados sem demora injustificada, deve ser avaliado se o responsável pelo tratamento executou e aplicou medidas tecnológicas de proteção e organizativas para apurar imediatamente a ocorrência de uma violação de dados pessoais e para informar rapidamente a autoridade de controlo e a pessoa em causa, antes da ocorrência de danos aos interesses pessoais e económicos, tendo em consideração, em especial, a natureza e a gravidade da violação de dados pessoais e as respetivas consequências e efeitos adversos para o titular dos dados.
(69) Ao estabelecer regras pormenorizadas relativamente ao formato e aos procedimentos aplicáveis à notificação das violações de dados pessoais, deve ter-se devidamente em conta as circunstâncias da violação, nomeadamente a existência ou não de proteção dos dados pessoais através de medidas técnicas de proteção adequadas para reduzir eficazmente a probabilidade de usurpação da identidade ou outras formas de utilização abusiva. Além disso, tais regras e procedimentos devem ter em conta os legítimos interesses das autoridades de aplicação da lei nos casos em que uma divulgação precoce de informações possa dificultar desnecessariamente a investigação das circunstâncias de uma violação.
(70) A Diretiva 95/46/CE estabelece uma obrigação geral de notificação do tratamento de dados pessoais às autoridades de controlo. Além desta obrigação originar encargos administrativos e financeiros, nem sempre contribuiu para uma melhoria da proteção dos dados pessoais. Por essa razão, tal obrigação geral deve ser suprimida e substituída por procedimentos e mecanismos eficazes dirigidos, em alternativa, para as operações de tratamento suscetíveis de apresentar riscos específicos para os direitos e liberdades dos titulares de dados, devido à sua natureza, âmbito ou finalidade. Nesses casos, o responsável pelo tratamento ou o subcontratante deve proceder, previamente ao tratamento, a uma avaliação de impacto sobre a proteção de dados, que deve examinar, nomeadamente, as medidas, garantias e os mecanismos previstos para assegurar a proteção dos dados pessoais e comprovar a observância do presente regulamento.
(71) Tal deve aplicar‑se, nomeadamente, aos sistemas de arquivo de grande escala recentemente estabelecidos, que visam o tratamento de uma grande quantidade de dados pessoais a nível regional, nacional ou supranacional e que podem afetar um número considerável de titulares de dados.
(71-A) As avaliações de impacto constituem um elemento essencial de qualquer quadro sustentável em matéria de proteção de dados, pois garantem que as empresas tenham conhecimento, à partida, de todas as eventuais consequências das suas operações de tratamento de dados. Se as avaliações de impacto forem rigorosas, a possibilidade de uma violação de dados ou de uma operação de atentado à privacidade pode ser fundamentalmente limitada. As avaliações do impacto na proteção dos dados devem, por conseguinte, ter em conta a gestão dos dados pessoais ao longo de todo o seu ciclo de vida, ou seja, desde a recolha até ao tratamento e eliminação dos mesmos, descrevendo detalhadamente as operações de tratamento de dados previstas, os riscos para os direitos e as liberdades dos titulares de dados, as medidas previstas para fazer face aos riscos, as garantias, as medidas de segurança e os mecanismos para assegurar o respeito do presente regulamento. [Alt. 44]
(71-B) Os responsáveis pelo tratamento devem centrar‑se na proteção dos dados pessoais ao longo de todo o seu ciclo de vida, ou seja, desde a recolha até ao tratamento e eliminação dos mesmos, investindo, desde o início, num quadro de gestão sustentável dos dados e assegurando o seu acompanhamento através de um mecanismo global de controlo de conformidade. [Alt. 45]
(72) Em certas circunstâncias pode ser sensato e económico alargar a avaliação de impacto sobre a proteção de dados para além de um projeto único, por exemplo se as autoridades ou organismos públicos pretenderem instituir uma aplicação ou uma plataforma de tratamento comum, ou se vários responsáveis pelo tratamento planearem introduzir uma aplicação ou um ambiente de tratamento comum em todo um setor ou segmento profissional, ou uma atividade horizontal amplamente utilizada.
(73) As avaliações de impacto sobre a proteção de dados devem ser realizadas por uma autoridade ou um organismo público se essa avaliação não tiver ainda sido realizada no contexto da adoção da legislação nacional que regula as atribuições da autoridade ou do organismo público, bem como a operação ou o conjunto de operações em questão.[Alt. 46]
(74) Sempre que uma avaliação de impacto sobre a proteção de dados indicar que as operações de tratamento de dados acarretam um elevado grau de riscos particulares sobre os direitos e liberdades dos titulares de dados, como privar essas pessoas de um direito, ou devido à utilização de novas tecnologias específicas, o delegado para a proteção de dados ou a autoridade de controlo deve ser consultada, antes de as operações terem início, sobre um tratamento arriscado suscetível de não estar em conformidade com o presente regulamento, e de apresentar propostas para remediar essa situação. EssaA consulta da autoridade de controlo deve igualmente ser efetuada durante os trabalhos de elaboração de uma medida legislativa pelo parlamento nacional, ou de uma medida baseada nesta última medida que defina a natureza do tratamento e especifique as garantias adequadas. [Alt. 47]
(74-A) As avaliações de impacto só podem ser úteis se os responsáveis pelo tratamento de dados se assegurarem de que respeitam os compromissos inicialmente estabelecidos nessas avaliações. Os responsáveis pelo tratamento devem, por conseguinte, efetuar análises regulares do cumprimento das disposições relativas à proteção dos dados que demonstrem que os mecanismos de tratamento de dados existentes respeitam os compromissos assumidos na avaliação do impacto na proteção dos dados. Estas análises devem igualmente demonstrar a capacidade do responsável pelo tratamento para respeitar as escolhas autónomas dos titulares de dados. Além disso, se, no âmbito destas análises, forem encontradas incoerências quanto à conformidade, estas devem ser sublinhadas e apresentadas recomendações sobre o modo de assegurar o pleno respeito. [Alt. 48]
(75) Sempre que o tratamento for efetuado no setor público, ou se, no setor privado, for efetuado por uma empresa de grande dimensão disser respeito a mais de 5000 titulares de dados por ano, ou cujas atividades principais, independentemente da dimensão da empresa, impliquem operações de tratamento de dados sensíveis ou operações de tratamento que exijam controlo regular e sistemático, o responsável pelo tratamento ou o subcontratante deve ser assistido por uma pessoa no controlo do respeito, a nível interno, do presente regulamento. Ao determinar se os dados sobre um grande número de titulares de dados são ou não objeto de tratamento, não devem ser tidos em conta os dados arquivados de acesso restrito, no sentido de que não estão sujeitos ao acesso normal nem às operações de processamento do responsável pelo tratamento e que já não podem ser alterados. Estes delegados para a proteção de dados, quer sejam ou não empregados do responsável pelo tratamento e quer desempenhem ou não essa tarefa a tempo inteiro, devem estar em posição de desempenhar as suas funções e atribuições de forma independente e beneficiar de uma proteção especial contra o despedimento. A responsabilidade final deve incumbir à direção do organismo. O delegado para a proteção de dados deve, nomeadamente, ser consultado antes da conceção, da adjudicação, do desenvolvimento e da criação de sistemas de tratamento automatizado de dados pessoais, para garantir os princípios da privacidade desde a conceção e por defeito. [Alt. 49]
(75-A) O delegado para a proteção de dados deve ter, no mínimo, as seguintes qualificações: amplo conhecimento do conteúdo e da aplicação da legislação em matéria de proteção de dados, inclusive medidas técnicas, de organização e procedimentos; domínio dos requisitos técnicos em matéria de privacidade, desde a conceção, privacidade por defeito e segurança de dados; conhecimentos específicos do setor, de acordo com a dimensão do responsável pelo tratamento e do subcontratante e com a sensibilidade dos dados a tratar; capacidade de efetuar inspeções, consultas, elaborar documentação e proceder à análise de arquivos; capacidade para trabalhar com os representantes dos trabalhadores. O responsável pelo tratamento deve permitir a participação do delegado de proteção de dados em ações de formação avançadas, de molde a manter atualizados os conhecimentos especializados necessários ao desempenho das suas funções. A nomeação do delegado para a proteção de dados não requer necessariamente a ocupação desse assalariado a tempo inteiro. [Alt. 50]
(76) As associações ou outras entidades que representem categorias de responsáveis pelo tratamento de dados devem ser incentivadas, após a consulta dos representantes dos trabalhadores, a elaborar códigos de conduta, no respeito do presente regulamento, com vista a facilitar a sua aplicação efetiva, tendo em conta as características específicas do tratamento efetuado em determinados setores. Tais códigos devem facilitar o respeito do presente regulamento por parte do setor. [Alt. 51]
(77) A fim de aumentar a transparência e o respeito do presente regulamento, deve ser encorajada a criação de mecanismos de certificação, selos e marcas normalizadas de proteção de dados, que permitam aos titulares de dados avaliar rapidamente, de forma fiável e verificável, o nível de proteção de dados proporcionado pelos produtos e serviços em causa. O “Selo Europeu para a Proteção de Dados” deve ser criado à escala europeia para gerar confiança junto dos titulares de dados, certeza jurídica junto dos responsáveis pelo tratamento e, ao mesmo tempo, para exportar as normas europeias de proteção de dados, permitindo que empresas não europeias entrem mais facilmente nos mercados europeus se estiverem certificadas. [Alt. 52]
(78) A circulação transfronteiriça de dados pessoais é necessária ao desenvolvimento do comércio internacional e da cooperação internacional. Esse aumento criou novos desafios e novas preocupações em relação à proteção dos dados pessoais. Todavia, quando os dados pessoais são transferidos da União para países terceiros ou para organizações internacionais, o nível de proteção das pessoas singulares assegurado na União pelo presente regulamento deve continuar a ser garantido. Em todo o caso, as transferências para países terceiros só podem ser efetuadas no pleno respeito do presente regulamento.
(79) O presente regulamento não prejudica os acordos internacionais concluídos entre a União Europeia e países terceiros que regulem a transferência de dados pessoais, incluindo as garantias adequadas em benefício dos titulares de dados,assegurando um nível de proteção equivalente para os direitos fundamentais dos cidadãos. [Alt. 53]
(80) A Comissão pode decidir, com efeitos no conjunto da União, que determinados países terceiros, um território ou um setor de tratamento de dados de um país terceiro, ou uma organização internacional, oferece um nível de proteção de dados adequado, garantindo assim a segurança jurídica e a homogeneidade a nível da União relativamente a países terceiros ou organizações internacionais que sejam consideradas aptas a assegurar tal nível de proteção. Nestes casos, podem realizar-se transferências de dados pessoais para esses países sem que para tal seja necessário qualquer outra autorização. A Comissão pode igualmente decidir, após notificação e apresentação de justificação exaustiva ao país terceiro, revogar essa decisão. [Alt. 54]
(81) Em conformidade com os valores fundamentais sobre os quais assenta a União, particularmente a proteção dos direitos humanos, a Comissão deve, na sua avaliação do país terceiro, ter em consideração em que medida esse país respeita o primado do Estado de direito, o acesso à justiça e as regras e normas internacionais no domínio dos direitos humanos.
(82) A Comissão pode igualmente reconhecer que um país terceiro, um território ou um setor de tratamento de dados de um país terceiro, ou uma organização internacional, não oferece um nível de proteção de dados adequado. Qualquer legislação que permita um acesso extraterritorial aos dados pessoais tratados na União, sem autorização nos termos da legislação da União ou dos Estados-Membros, deve considerar tal possibilidade como indicativa de falta de adequação. Se for esse o caso, deve ser proibida a transferência de dados pessoais para esse país terceiro. Nesse caso, devem ser adotadas medidas tendo em vista uma consulta entre a Comissão e esse país terceiro ou organização internacional. [Alt. 55]
(83) Na falta de uma decisão sobre o nível de proteção adequado, o responsável pelo tratamento ou o subcontratante deve adotar as medidas necessárias para colmatar a insuficiência da proteção de dados no país terceiro através de garantias adequadas a favor do titular de dados. Essas medidas adequadas podem consistir na utilização de regras vinculativas para empresas, cláusulas-tipo de proteção de dados adotadas pelas Comissão, cláusulas-tipo de proteção de dados adotadas por uma autoridade de controlo, ou cláusulas contratuais autorizadas por esta autoridade. Essas garantias adequadas devem assegurar o mesmo respeito pelos direitos dos titulares de dados como no âmbito do tratamento no interior da UE, em particular no que diz respeito à limitação da finalidade, ao direito de acesso, à retificação, ao apagamento e à indemnização. Estas garantias devem, em particular, assegurar a observância dos princípios do tratamento de dados pessoais, a salvaguarda dos direitos do respetivo titular e estabelecer mecanismos de recurso eficazes, garantir a observância dos princípios da proteção de dados desde a conceção e por defeito, e assegurar a existência de um delegado para a proteção de dados. [Alt. 56]
(84) A possibilidade de o responsável pelo tratamento ou o subcontratante utilizarem cláusulas-tipo de proteção de dados adotadas pela Comissão ou por uma autoridade de controlo não os deve impedir de incluírem estas cláusulas num contrato mais abrangente, nem de acrescentarem outras cláusulas, ou garantias adicionais, desde que não sejam contraditórias, direta ou indiretamente, em relação às cláusulas contratuais‑tipo adotadas pela Comissão ou por uma autoridade de controlo, e sem prejuízo dos direitos ou liberdades fundamentais dos titulares de dados. As cláusulas-tipo de proteção de dados adotadas pela Comissão podem abranger diferentes situações, designadamente, transferências de responsáveis pelo tratamento estabelecidos na União para responsáveis pelo tratamento estabelecidos fora dela, e de responsáveis pelo tratamento estabelecidos na União para subcontratantes, incluindo subcontratantes ulteriores, estabelecidos fora da União. Os responsáveis pelo tratamento e os subcontratantes devem ser encorajados a apresentar garantias ainda mais sólidas, através de compromissos contratuais adicionais que complementem as cláusulas-tipo de proteção. [Alt. 57]
(85) Um grupo empresarial deve poder utilizar as regras vinculativas para empresas aprovadas para as suas transferências internacionais da União para entidades pertencentes ao mesmo grupo empresarial, desde que essas regras incluam todos os princípios essenciais e direitos oponíveis visando assegurar garantias adequadas às transferências ou categorias de transferências de dados pessoais. [Alt. 58]
(86) É conveniente prever a possibilidade de transferências em determinadas circunstâncias se o titular dos dados deu o seu consentimento, se a transferência for necessária em relação a um contrato ou um processo judicial, se motivos importantes de interesse público previstos pela legislação União ou de um Estado-Membro o exigirem, ou se a transferência for efetuada a partir de um registo criado por lei e destinado à consulta do público ou de pessoas com um interesse legítimo. Neste último caso, a transferência não deve abranger a totalidade dos dados nem categorias completas de dados contidos nesse registo e, quando este último se destinar a ser consultado por pessoas com um interesse legítimo, a transferência apenas deve ser efetuada a pedido dessas pessoas ou caso sejam os seus destinatários, tendo plenamente em conta os interesses e os direitos fundamentais do titular de dados. [Alt. 59]
(87) Estas derrogações devem ser aplicáveis, em especial, às transferências de dados exigidas e necessárias à proteção de interesses públicos importantes, por exemplo em caso de transferências internacionais de dados entre autoridades de concorrência, fiscais ou aduaneiras, ou entre serviços competentes em matéria de segurança social ou saúde pública, ou em caso de transferência para as autoridades públicas competentes, responsáveis pela prevenção, investigação, deteção e repressão de infrações penais, incluindo a prevenção do branqueamento de capitais e o combate ao financiamento do terrorismo. Deve igualmente ser considerada legal a transferência de dados pessoais que seja necessária para a proteção de um interesse essencial da vida do titular dos dados ou de outra pessoa, se o titular estiver impossibilitado de dar o seu consentimento. A transferência de dados pessoais por motivos de interesse público tão importantes só deve ocorrer ocasionalmente. Em cada caso, convém proceder a uma avaliação cuidadosa de todas as circunstâncias da transferência. [Alt. 60]
(88) As transferências que não podem ser classificadas como frequentes ou maciças são igualmente possíveis para efeitos de prossecução dos interesses legítimos do responsável pelo tratamento ou do subcontratante, após terem sido avaliadas todas as circunstâncias associadas à operação de transferência. Para fins de tratamento com finalidade de investigação histórica, estatística ou científica, devem ser adotadas em consideração as expectativas legítimas da sociedade em matéria de progresso dos conhecimentos. [Alt. 61]
(89) Em qualquer caso, se a Comissão não tiver tomado qualquer decisão relativamente ao nível de proteção adequado de dados num país terceiro, o responsável pelo tratamento ou o subcontratante deve adotar soluções que ofereçam aos titulares de dados a garantia vinculativa de que continuarão a beneficiar dos direitos e garantias fundamentais quanto ao tratamento dos seus dados na União, após a transferência dos mesmos, na medida em que não se trata de um tratamento em grande escala, repetitivo e estrutural. Essa garantia deve incluir o ressarcimento financeiro em casos de perda ou de acesso ou tratamento não autorizados dos dados, e a obrigação, independentemente da legislação nacional, de fornecer detalhes completos sobre todo o acesso aos dados por parte das autoridades públicas no país terceiro. [Alt. 62]
(90) Alguns países terceiros aprovam leis, regulamentos e outros instrumentos legislativos destinados a regular diretamente as atividades de tratamento de dados pelas pessoas singulares e coletivas sob a jurisdição dos Estados-Membros. Em virtude da sua aplicabilidade extraterritorial, essas leis, regulamentos e outros instrumentos legislativos podem violar o direito internacional e obstar à realização do objetivo de proteção das pessoas singulares, assegurado na União Europeia pelo presente regulamento. As transferências só devem ser autorizadas quando as condições estabelecidas pelo presente regulamento para as transferências para os países terceiros estejam preenchidas. Pode ser o caso, nomeadamente, sempre que a divulgação for necessária por um motivo importante de interesse público, reconhecido pelo direito da União, ou pelo direito do Estado‑Membro ao qual o responsável pelos dados está sujeito. As condições para a existência de um motivo importante de interesse público devem ser precisadas pela Comissão mediante um ato delegado. Nos casos em que os responsáveis pelo tratamento ou os subcontratantes se vejam confrontados com exigências de conformidade contraditórias entre a jurisdição da UE, por um lado, e a de um país terceiro, por outro, a Comissão deve velar por que a legislação da UE prevaleça em todas as circunstâncias. A Comissão deve fornecer orientações e assistência ao responsável pelo tratamento e ao subcontratante, bem como procurar resolver os conflitos de jurisdição com o país terceiro em questão. [Alt. 63]
(91) Sempre que os dados pessoais atravessam fronteiras, há um risco acrescido de que as pessoas singulares não possam exercer os seus direitos à proteção de dados, nomeadamente para se proteger da utilização ilícita ou da divulgação dessas informações. Paralelamente, as autoridades de controlo podem ser incapazes de dar seguimento a queixas ou conduzir investigações relacionadas com atividades exercidas fora das suas fronteiras. Os seus esforços para colaborar no contexto transfronteiriço podem ser também restringidos por poderes preventivos ou medidas de reparação insuficientes, regimes jurídicos incoerentes e obstáculos práticos, tais como a limitação de recursos. Por conseguinte, revela-se necessário promover uma cooperação mais estreita entre as autoridades de controlo da proteção de dados, a fim de que possam efetuar o intercâmbio de informações e realizar investigações com as suas homólogas internacionais.
(92) A criação de autoridades de controlo nos Estados-Membros, que exerçam as suas funções com total independência, constitui um elemento essencial da proteção das pessoas singulares no que respeita ao tratamento dos seus dados pessoais. Os Estados-Membros podem criar mais do que uma autoridade de controlo que traduza a sua estrutura constitucional, organizacional e administrativa. Uma autoridade deve dispor dos recursos financeiros e do pessoal adequados para desempenhar plenamente o seu papel, tendo em conta o número de habitantes e a quantidade de dados pessoais objeto de tratamento. [Alt. 64]
(93) Sempre que um Estado-Membro crie várias autoridades de controlo, deve prever, na sua legislação, mecanismos que garantam a participação efetiva dessas autoridades de controlo no mecanismo de controlo da coerência. Esse Estado-Membro deve, em particular, designar a autoridade de controlo que servirá de ponto de contacto único, para permitir a participação efetiva dessas autoridades nesse mecanismo, a fim de assegurar uma cooperação rápida e fácil com outras autoridades de controlo, com o Comité Europeu para a Proteção de Dados e com a Comissão.
(94) Cada autoridade de controlo deve receber os recursos financeiros e humanos e, em particular, garantir as competências técnicas e jurídicas adequadas do seu pessoal, as instalações e infraestruturas adequadas que são necessários ao desempenho eficaz das suas funções, incluindo as relacionadas com a assistência e a cooperação mútuas com outras autoridades de controlo da União. [Alt. 65]
(95) As condições gerais aplicáveis aos membros da autoridade de controlo devem ser definidas por lei em cada Estado-Membro e devem prever, em especial, que esses membros são nomeados pelo parlamento ou pelo governo nacional, tomando as medidas necessárias para minimizar a possibilidade de interferência política, e incluir disposições sobre a qualificação, a ausência de conflitos de interesses e funções desses membros. [Alt. 66]
(96) As autoridades de controlo devem controlar a aplicação das disposições do presente regulamento e contribuir para a sua aplicação coerente em toda a União, a fim de proteger as pessoas singulares relativamente ao tratamento dos seus dados pessoais e facilitar a livre circulação desses dados a nível do mercado interno. Para esse efeito, as autoridades de controlo devem cooperar entre si e com a Comissão.
(97) Sempre que, na União, o tratamento de dados pessoais no contexto das atividades de um estabelecimento de um responsável pelo tratamento ou de um subcontratante ocorre em vários Estados-Membros, é conveniente que uma única autoridade de controlo tenha a competência para supervisionar as atividadessirva de ponto de contacto e constitua a principal autoridade responsável em matéria de controlo do responsável pelo tratamento ou do subcontratante em toda a União e adotarque adote as decisões correspondentes, a fim de favorecer a aplicação coerente, assegurar segurança jurídica e reduzir os encargos administrativos para esses responsáveis pelo tratamento e subcontratantes. [Alt. 67]
(98) A autoridade competente principal, que atua portanto na qualidade de balcão único, deve ser a autoridade de controlo do Estado-Membro no qual o responsável pelo tratamento ou o subcontratante tem o seu estabelecimento principal ou esteja representado. O Comité Europeu da Proteção de Dados pode designar a autoridade principal através do mecanismo de controlo da coerência, em certos casos, a pedido de uma autoridade competente. [Alt. 68]
(98-A) As pessoas cujos dados pessoais são tratados por um responsável ou um subcontratante noutro Estado Membro devem poder apresentar queixa à autoridade de controlo da sua escolha. A autoridade principal de proteção de dados deve coordenar o seu trabalho com o das demais autoridades implicadas. [Alt. 69]
(99) Embora o presente regulamento se aplique também às atividades dos tribunais nacionais, a competência das autoridades de controlo não abrange o tratamento de dados pessoais quando os tribunais atuarem no âmbito das suas funções jurisdicionais, a fim de assegurar a independência dos juízes no exercício das suas funções jurisdicionais. Todavia, esta exceção deve ser estritamente limitada às atividades meramente judiciais relativas a processos em tribunal e não ser aplicável a outras atividades a que os juízes possam estar associados por força do direito nacional.
(100) A fim de assegurar o controlo e aplicação coerentes do presente regulamento no conjunto da União, as autoridades de controlo devem ter, em cada Estado-Membro, as mesmas funções e poderes efetivos, incluindo os poderes de investigação, de intervenção vinculativa, de deliberação e de sanção, particularmente em caso de queixas apresentadas por pessoas singulares, bem como o poder de intervir em processos judiciais. Os poderes de investigação das autoridades de controlo em matéria de acesso às instalações devem ser exercidos em conformidade com o direito da União e o direito nacional. Tal diz especialmente respeito à obrigação de obter previamente uma autorização judicial.
(101) Cada autoridade de controlo deve receber as queixas apresentadas por qualquer titular de dados ou associação que age no interesse público e investigar a matéria. A investigação decorrente de uma queixa deve ser realizada, sujeita a revisão judicial, na medida adequada ao caso específico. A autoridade de controlo deve informar a pessoa ou a associação em causa da evolução e do resultado da queixa num prazo razoável. Se o caso exigir maior investigação ou a coordenação com outra autoridade de controlo, devem ser comunicadas informações intermédias ao titular dos dados. [Alt. 70]
(102) As atividades de sensibilização das autoridades de controlo dirigidas ao público devem incluir medidas específicas a favor dos responsáveis pelo tratamento e subcontratantes, incluindo as micro, pequenas e médias empresas, bem como os titulares de dados.
(103) As autoridades de controlo devem prestar-se mutuamente assistência no desempenho das suas funções por forma a assegurar a execução e aplicação coerentes do presente regulamento no mercado interno.
(104) Cada autoridade de controlo pode participar em operações conjuntas entre autoridades de controlo. A autoridade de controlo requerida é obrigada a responder ao pedido dentro de um determinado prazo.
(105) A fim de assegurar a aplicação coerente do presente regulamento em toda a União, deve ser criado um mecanismo de controlo da coerência para enquadrar a cooperação entre as próprias autoridades de controlo e a Comissão. Este mecanismo deve ser aplicável, nomeadamente, sempre que uma autoridade de controlo previr adotar uma medida em relação a operações de tratamento que estão relacionadas com a oferta de bens ou serviços aos titulares de dados em diversos Estados-Membros, ou com o controlo dessas pessoas, ou suscetíveis de afetar substancialmente a livre circulação de dados pessoais. Aplica-se igualmente sempre que uma autoridade de controlo ou a Comissão solicitar que essa matéria seja tratada no âmbito do mecanismo de controlo da coerência. Além disso, os titulares dos dados devem ter o direito de obter coerência, se considerarem que uma medida tomada por uma autoridade de proteção de dados de um Estado-Membro não cumpriu este critério. Este mecanismo não deve prejudicar medidas eventualmente adotadas pela Comissão no exercício das suas competências nos termos dos Tratados. [Alt. 71]
(106) Em aplicação do mecanismo de controlo da coerência, o Comité Europeu para a Proteção de Dados deve emitir um parecer, dentro de um determinado prazo, se a maioria simples dos seus membros assim o decidir ou se for para tal solicitado por qualquer autoridade de controlo ou pela Comissão.
(106-A) A fim de assegurar a aplicação coerente do presente regulamento, o Comité Europeu para a Proteção de Dados pode, em casos isolados, adotar uma decisão vinculativa para as autoridades de controlo competentes. [Alt. 72]
(107) A fim de assegurar o respeito do presente regulamento, a Comissão pode emitir um parecer sobre esta matéria, ou uma decisão que solicite à autoridade de controlo a suspensão do seu projeto de medida. [Alt. 73]
(108) Pode ser urgente agir, a fim de proteger os interesses dos titulares de dados, em especial quando existir perigo de impedimento considerável do exercício de um direito da pessoa em causa. Por essa razão, a autoridade de controlo deve poder adotar medidas provisórias, válidas por um período específico, aquando da aplicação do mecanismo de controlo da coerência.
(109) A aplicação deste mecanismo deve condicionar a validade jurídica e execução da decisão correspondente por uma autoridade de controlo. Noutros casos com dimensão transfronteiriça, a assistência mútua e as investigações conjuntas podem ser realizadas entre as autoridades de controlo em causa, bilateral ou multilateralmente, sem para o efeito ser necessário ativar o mecanismo de controlo da coerência.
(110) A nível da União, deve ser criado um Comité Europeu para a Proteção de Dados. Este Comité deve substituir o Grupo de Trabalho sobre a proteção das pessoas no que diz respeito ao tratamento de dados pessoais instituído pelo artigo 29.º da Diretiva 95/46/CE. Deve ser composto por um diretor da autoridade de controlo de cada Estado-Membro e da Autoridade Europeia para a Proteção de Dados. A Comissão deve participar nas suas atividades. O Comité Europeu para a Proteção de Dados deve contribuir para a aplicação coerente do presente regulamento em toda a União, nomeadamente no aconselhamento das instituições da União Europeia e na promoção da cooperação das autoridades de controlo no conjunto da União, incluindo a coordenação de operações conjuntas. O Comité Europeu para a Proteção de Dados deve ser independente no exercício das suas funções. O Comité Europeu para a Proteção de Dados deve reforçar o diálogo com as partes interessadas em causa, tais como as associações de titulares de dados, as associações de consumidores e outras partes interessadas e peritos relevantes. [Alt. 74]
(111) QualquerO titular de dados deve ter o direito de apresentar uma queixa à autoridade de controlo em qualquer Estado-Membro e dispor do direito de ação judicial efetiva, em conformidade com o artigo 47.° da Carta, se considerar que os direitos que lhe confere o presente regulamento foram violados, se a autoridade de controlo não responder à queixa ou não agir conforme necessário para proteger os seus direitos. [Alt. 75]
(112) Qualquer organismo, organização ou associação que vise proteger os direitos e interesses dos titulares de dados no que respeita à proteção dos seus dados ,age no interesse público e que seja constituído ao abrigo do direito de um Estado-Membro, deve poder apresentar uma queixa junto de uma autoridade de controlo,em nome dos interessados e com o consentimento destes, ou exercer o direito de ação judicial em nome das pessoas em causa, se foi autorizado pelos titulares de dados, ou apresentar, independentemente da queixa apresentada pela pessoa em causa, uma queixa em seu próprio nome, sempre que considere ter ocorrido uma violação de dados pessoais do presente regulamento. [Alt. 76]
(113) Qualquer pessoa, singular ou coletiva, deve ter o direito a ação judicial contra as decisões que lhes digam respeito emitidas por uma autoridade de controlo. As ações contra uma autoridade de controlo devem ser intentadas nos tribunais do Estado‑Membro no território do qual se encontra estabelecida a autoridade de controlo.
(114) A fim de reforçar a proteção judicial do titular dos dados em situações em que a autoridade de controlo competente se encontra estabelecida noutro Estado-Membro diferente do de residência da pessoa em causa, esta última pode solicitarmandatar a qualquer organismo, organização ou associação que vise proteger os direitos e interesses dos titulares de dados relativamente à proteção dos seus dados,que age no interesse público a que intente uma ação por sua conta contra essa autoridade de controlo no tribunal competente do outro Estado‑Membro. [Alt. 77]
(115) Quando a autoridade de controlo competente estabelecida noutro Estado‑Membro não adotar as medidas necessárias ou o fizer de forma insuficiente em relação a uma queixa, o titular dos dados pode solicitar à autoridade de controlo do Estado-Membro da sua residência habitual que intente uma ação contra a autoridade de controlo em falta no tribunal competente do outro Estado‑Membro. Isto não se aplica aos residentes em países terceiros. A autoridade de controlo requerida pode decidir, sem prejuízo de ação judicial, se é ou não adequado responder a esse pedido. [Alt. 78]
(116) No que diz respeito a ações intentadas contra o responsável pelo tratamento ou o subcontratante, o requerente pode optar entre intentar a ação nos tribunais do Estado-Membro em que está estabelecido o responsável pelo tratamento ou o subcontratante, ou, em caso de residência no território da UE, nos tribunais do Estado-Membro de residência da pessoa em causa, salvo se o responsável pelo tratamento for uma autoridade da União Europeia ou de um Estado-Membro atuando no exercício dos seus poderes públicos. [Alt. 79]
(117) Se existirem indicações de que correm processos paralelos em tribunais de diferentes Estados-Membros, esses tribunais têm a obrigação de se contactarem mutuamente. Os tribunais têm a possibilidade de suspender um processo quando um processo paralelo estiver pendente noutro Estado-Membro. Os Estados-Membros devem assegurar que as ações judiciais, para que sejam eficazes, permitam a adoção rápida de medidas visando a reparação ou a prevenção de uma violação prevista no presente regulamento.
(118) Qualquer dano, pecuniário ou não, de que uma pessoa possa ser vítima em virtude de um tratamento ilícito deve ser ressarcido pelo responsável pelo tratamento, ou pelo subcontratante, que no entanto pode ser exonerado da sua responsabilidade apenas se provar que o facto que causouo causador do dano não lhe é imputável, nomeadamente se provar que o dano é imputável à pessoa em causa ou em caso de força maior. [Alt. 80]
(119) Devem ser aplicadas sanções a qualquer pessoa, de direito privado ou de direito público, que não respeite o disposto no presente regulamento. Os Estados-Membros devem assegurar que as sanções sejam efetivas, proporcionadas e dissuasivas, e adotar todas as medidas necessárias à sua aplicação. As regras em matéria de sanções devem estar sujeitas a salvaguardas processuais adequadas, em conformidade com os princípios gerais da legislação da União e da Carta, incluindo as relativas ao direito a um efectivo recurso judicial, a um processo adequado e ao princípio ne bis in idem. [Alt. 81]
(119-A) Ao aplicarem as sanções, os Estados‑Membros devem respeitar plenamente as garantias processuais adequadas, incluindo o direito a uma ação judicial eficaz, o direito a um processo justo e o princípio "ne bis in idem". [Alt. 82]
(120) A fim de reforçar e harmonizar as sanções administrativas aplicáveis em caso de infração ao presente regulamento, cada autoridade de controlo deve ter competência para sancionar as infrações administrativas. O presente regulamento deve definir essas infrações e o montante máximo das multas administrativas daí decorrentes, que deve ser fixado, para cada caso, proporcionalmente à situação específica, e tendo em devida conta, em particular, a natureza, a gravidade e a duração da violação. O mecanismo de controlo da coerência pode ser utilizado para resolver as divergências de aplicação das sanções administrativas.
(121) O tratamento de dados pessoais para fins unicamente jornalísticos ou de expressão artística ou literária deve beneficiar de uma derrogação Sempre que necessário, devem ser previstas isenções ou derrogações a determinadas disposições do presente regulamento para o tratamento de dados pessoais, desde que tal seja necessário para conciliar o direito à proteção dos dados pessoais com o direito à liberdade de expressão, nomeadamente o direito à liberdade de receber e transmitir informações, tal como garantido, em especial, pelo artigo 11.º da Carta. Tal é aplicável, em especial, ao tratamento de dados pessoais no domínio do audiovisual e em arquivos de notícias e bibliotecas de imprensa escrita. Por conseguinte, os Estados-Membros devem adotar medidas legislativas que prevejam as isenções e derrogações necessárias para efeitos de equilíbrio destes direitos fundamentais. Tais isenções e derrogações devem ser adotadas pelos Estados-Membros em relação aos princípios gerais, aos direitos do titular de dados, ao responsável pelo tratamento e ao subcontratante, à transferência de dados para países terceiros ou para organizações internacionais, às autoridades de controlo independentes e à cooperação e à coerência e a situações específicas de tratamento de dados. Tal não deve levar, no entanto, os Estados-Membros a prever isenções às outras disposições do presente regulamento. Para ter em conta a importância do direito à liberdade de expressão em qualquer sociedade democrática, há que interpretar de forma ampla as noções associadas a esta liberdade, como por exemplo o jornalismo. Por conseguinte, para efeitos das isenções e derrogações a estabelecer por força do presente regulamento, os Estados‑Membros deveriam qualificar como «jornalísticas» , a fim de cobrir todas as atividades que tenham por objeto comunicar ao público informações, opiniões ou ideias, qualquer que seja o suporte utilizado para as transmitir, tendo em conta também o desenvolvimento tecnológico. É conveniente não limitar essa categoria unicamente às atividades das empresas de comunicação social e incluir tanto as empresas que prosseguem fins lucrativos como as que os não prosseguem. [Alt. 83]
(122) O tratamento de dados pessoais relativos à saúde, enquanto categoria especial de dados que merece uma proteção mais elevada, pode ser frequentemente justificado por diversos motivos legítimos, no interesse das pessoas e da sociedade como um todo, nomeadamente quando se trata de assegurar a continuidade dos cuidados de saúde além-fronteiras. Por conseguinte, o presente regulamento deve prever condições harmonizadas para o tratamento de dados pessoais relativos à saúde, sujeito a garantias específicas e adequadas com vista à proteção dos direitos fundamentais e dos dados pessoais das pessoas singulares. Aqui se inclui o seu direito de acederem aos dados pessoais sobre a sua saúde, por exemplo os dados dos registos médicos com informações como diagnósticos, resultados de exames, avaliações dos médicos e quaisquer intervenções ou tratamentos realizados.
(122-A) Um profissional que efetue o tratamento de dados pessoais relativos à saúde deve receber, se possível, dados anónimos ou sob pseudónimo, deixando o conhecimento da identidade apenas ao médico de clínica geral ou ao especialista que solicitou o tratamento dos dados. [Alt. 84]
(123) O tratamento de dados pessoais relativos à saúde pode ser necessário por razões de interesse público nos domínios da saúde pública, sem o consentimento do titular dos dados. Neste contexto, a noção de «saúde pública» é interpretada segundo a definição prevista no Regulamento (CE) n.º 1338/2008 do Parlamento Europeu e do Conselho(11), de 16 de dezembro de 2008, relativo às estatísticas da União sobre saúde pública e saúde e segurança no trabalho, e designa todos os elementos relacionados com a saúde, a saber, o estado de saúde, incluindo a morbilidade e a incapacidade, as determinantes desse estado de saúde, as necessidades de cuidados de saúde, os recursos atribuídos aos cuidados de saúde, a prestação de cuidados de saúde e o acesso universal aos mesmos, assim como as despesas e o financiamento dos cuidados de saúde, e as causas de mortalidade. Esses tratamentos de dados pessoais sobre a saúde autorizados por motivos de interesse público não devem ter por resultado serem tratados para outros fins por terceiros, nomeadamente empregadores, companhias de seguros e entidades bancárias.[Alt. 85]
(123-A) O tratamento de dados pessoais relativos à saúde, enquanto categoria especial de dados, pode ser necessário para fins de investigação histórica, estatística ou científica. Por isso, o presente regulamento prevê uma isenção à disposição de consentimento nos casos de investigação que satisfazem um interesse público excecional. [Alt. 86]
(124) Os princípios gerais de proteção das pessoas singulares no que respeita ao tratamento de dados pessoais também devem ser aplicáveis no domínio do emprego. Por conseguinte, a fim dee da segurança social. Os Estados-Membros devem poder regulamentar o tratamento de dados pessoais dos trabalhadores nesteno contexto, os Estados-Membros devem poder adotar, nos limitesdo emprego e o tratamento de dados pessoais no contexto da segurança social, de acordo com as normas e os padrões mínimos definidos no âmbito do presente regulamento. Na medida em que exista, no Estado-Membro em causa, uma base legal que permita regulamentar os aspetos que relevam das relações laborais através de um acordo entre os representantes dos trabalhadores e a direção da empresa ou da empresa dominante de um grupo de empresas (acordo coletivo) ou nos termos da Diretiva 2009/38/CE do Parlamento Europeu e do Conselho(12), disposições legislativas específicas relativasaoo tratamento de dados pessoais no setor num contexto laboral deve também poder ser regulamentado através de um acordo dessa natureza. [Alt. 87]
(125) O tratamento de dados pessoais para fins de investigação histórica, estatística ou científica deve, para que seja lícito, igualmente respeitar outras legislações relevantes, tal como a relativa aos testes clínicos.
(125-A) Os dados pessoais podem igualmente ser submetidos a tratamento posterior por serviços de arquivo que têm por função principal ou obrigação legal recolher, conservar, informar sobre, explorar e difundir arquivos no interesse geral. Os Estados-Membros devem conciliar o direito à proteção dos dados pessoais com a regulamentação aplicável aos arquivos e ao acesso dos cidadãos às informações administrativas. Os Estados-Membros incentivam a elaboração, em especial por parte do grupo dos arquivos europeus, de regras para garantir a confidencialidade dos dados em relação a terceiros e a autenticidade, integridade e conservação adequada dos dados. [Alt. 88]
(126) Para efeitos do presente regulamento, a noção de investigação científica deve incluir a investigação fundamental, a investigação aplicada e a investigação financiada pelo setor privado e, além disso, deve ter em conta o objetivo da União mencionado no artigo 179.º, n.º 1, do Tratado sobre o Funcionamento da União Europeia, que consiste em realizar um espaço europeu da investigação. O tratamento de dados pessoais para fins de investigação histórica, estatística ou científica não pode resultar no tratamento de dados pessoais para fins diferentes, exceto se o titular dos dados der o seu consentimento ou com base na legislação da União ou dos Estados-Membros. [Alt. 89]
(127) No que se refere aos poderes das autoridades de controlo para obter, junto do responsável pelo tratamento ou do subcontratante, o acesso aos dados pessoais e o acesso às suas instalações, os Estados-Membros podem adotar por lei, nos limites do presente regulamento, regras específicas visando preservar o sigilo profissional ou outras obrigações equivalentes, desde que tal seja necessário para conciliar o direito à proteção dos dados pessoais e uma obrigação de sigilo profissional.
(128) O presente regulamento respeita e não afeta o estatuto de que beneficiam, ao abrigo do direito nacional, as igrejas e associações ou comunidades religiosas nos Estados‑Membros, reconhecido pelo artigo 17.º do Tratado sobre o Funcionamento da União Europeia. Consequentemente, se uma igreja de um Estado-Membro aplicar, à data da entrada em vigor do presente regulamento, um conjunto completo de regras adequadas relacionadas com a proteção das pessoas singulares relativamente ao tratamento de dados pessoais, estas regras existentes devem continuar a ser aplicadas, desde que sejam conformesharmonizadas com o presente regulamento. Essas igrejas e associações religiosas devem ser obrigadas a criar uma autoridade de controlo totalmente independente e reconhecidas como conformes. [Alt. 90]
(129) Por forma a cumprir os objetivos do presente regulamento, nomeadamente proteger os direitos e liberdades fundamentais das pessoas singulares e, em especial, o seu direito à proteção dos dados pessoais, e assegurar a livre circulação desses dados na União, o poder de adotar atos em conformidade com o artigo 290.º do Tratado sobre o Funcionamento da União Europeia deve ser delegado na Comissão. Em especial, devem ser adotados atos delegados em relação à licitude do tratamento; à especificação dos critérios e condições aplicáveis ao consentimento das crianças; ao tratamento de categorias especiais de dados; à especificação dos critérios e condições aplicáveis aos pedidos manifestamente abusivos e às taxas pelo exercício de direitos do titular dos dados; aos critérios e requisitos aplicáveis às informações do titular dos dados e ao direito de acesso;das condições do modo de informação por meio de símbolos; ao direito a ser esquecido e ao apagamento de dados; às medidas com base na definição de perfis; aos critérios e requisitos em relação à responsabilidade do responsável pelo tratamento e à proteção de dados desde a conceção e por defeito; aos subcontratantes; aos critérios e requisitos específicos para a documentação e a segurança do tratamento; aos critérios e requisitos para determinar uma violação de dados pessoais e notificá-la à autoridade de controlo, e às circunstâncias em que uma violação de dados pessoais é suscetível de prejudicar o titular dos dados; aos critérios e condições que determinam operações de tratamento que necessitem de uma avaliação de impacto sobre a proteção de dados; aos critérios e requisitos para determinar o grau elevado de risco específico que careçam de consulta prévia; à designação e atribuições do delegado para a proteção dos dados; aos ; à declaração dos códigos de conduta em conformidade com o presente regulamento; aos critérios e requisitos aplicáveis aos mecanismos de certificação; o nível adequado de proteção prestado por um país terceiro ou uma organização internacional; aos critérios e mecanismos para as transferências através de regras vinculativas para empresas; às derrogações relativas às transferências; às sanções administrativas; ao tratamento para fins de saúde; ao tratamento de dados no domínio laboral e ao tratamento de dados para fins de investigação histórica, estatística e científica. É especialmente importante que a Comissão proceda a consultas adequadas ao longo dos seus trabalhos preparatórios, incluindo a nível de peritos, em particular com o Comité Europeu para a Proteção de Dados. A Comissão, aquando da preparação e elaboração dos atos delegados, deve assegurar uma transmissão simultânea, em tempo útil e em devida forma, dos documentos relevantes ao Parlamento Europeu e ao Conselho. [Alt. 91]
(130) Por forma a assegurar condições uniformes para a execução do presente regulamento devem ser conferidas competências de execução à Comissão para que defina os formulários normalizados relativos a métodos específicos para obter o consentimento verificável relativamente ao tratamento de dados pessoais das crianças; procedimentos e formulários normalizados para o exercício dos direitos doscomunicar com os titulares de dados sobre o exercício dos direitos; procedimentos e formulários normalizados em relação ao direito de acesso e ao direito à portabilidade dos dados;, incluindo a comunicação de dados pessoais ao titular de dados; formulários normalizados em relação à responsabilidade do responsável pelo tratamento em matéria de proteção de dados desde a conceção e por defeito, e à documentação a manter pelo responsável pelo tratamento e o subcontratante; o formulário normalizado; requisitosespecíficos para a segurança do tratamento de dados;procedimentos e formulários normalizados para a notificação de violações de dados pessoais à autoridade de controlo e para a comunicaçãodocumentação da violação de dados pessoais ao titular dos dados; critérios e procedimentos para a avaliação de impacto sobre a proteção de dados; formulários e procedimentos de autorização prévia e de consulta prévia; normas técnicas e mecanismos de certificação; o nível de proteção adequado assegurado por um país terceiro, por um território ou por um setor de tratamento de dados nesse país terceiro, ou uma organização internacional; divulgações não autorizadas pelo direito da União; assistência mútua; operações conjuntas; e decisões nos termos do mecanismo de controlo da coerênciae a informação da autoridade de controlo. Estas competências devem ser exercidas nos termos do Regulamento (UE) n.º 182/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os princípios gerais relativos aos mecanismos de controlo pelos Estados-Membros do exercício das competências de execução pela Comissão(13). Neste contexto, a Comissão deve prever medidas específicas para as micro, pequenas e médias empresas. [Alt. 92]
(131) O procedimento de exame deve ser utilizado para a adoção de formulários normalizados específicos relativos àpara a obtenção do consentimento verificável relativamente ao tratamento de dados pessoais de uma criança; procedimentos e formulários normalizados para comunicar com oso exercício dos direitos dos titulares de dados sobre o exercício dos direitos; procedimentos e formulários normalizados para as informações do titular de dados; procedimentos e formulários normalizados para o direito de acesso e o direito à portabilidade dos dados; formulários normalizados, incluindo a comunicação de dados pessoais ao titular de dados ; relativos à responsabilidade do responsável pelo tratamento em matéria de proteção de dados desde a conceção e por defeito e de documentação; requisitos específicos para a segurança do tratamento; procedimentos e formulários normalizadosa manter pelo responsável pelo tratamento e o subcontratante ; para a notificação de violações de dados pessoais à autoridade de controlo e para a comunicaçãodocumentação de uma violação de dados pessoais ao titular dos dados; critérios e procedimentos para a avaliação de impacto sobre a proteção de dados; formulários e procedimentos para a autorização prévia e para a consulta prévia; normas técnicas e mecanismos de certificação; o nível de proteção adequado prestado por um país terceiro, um território ou por um setor de tratamento de dados nesse país terceiro ou por uma organização internacional; divulgações não autorizadas pelo direito da UE; assistência mútua; operações conjuntas; e para a adoção de decisões nos termos do mecanismo de controlo da coerência, e a informação da autoridade de controlo, dado que o âmbito de aplicação destes atos é geral. [Alt. 93]
(132) A Comissão deve adotar atos de execução imediatamente aplicáveis quando, em casos devidamente fundamentados relacionados com um país terceiro, um território ou um setor de tratamento de dados nesse país terceiro, ou uma organização internacional, que não assegure um nível de proteção adequado, e relacionados com matérias comunicadas pelas autoridades de controlo no quadro do mecanismo de controlo da coerência, imperativos urgentes assim o exigirem.[Alt. 94]
(133) Atendendo a que os objetivos do presente regulamento, a saber, assegurar um nível equivalente de proteção das pessoas singulares e a livre circulação de dados na União, não podem ser suficientemente alcançados pelos Estados-Membros mas podem podem, em razão da dimensão e dos efeitos da ação, ser mais bem alcançados a nível da União, a União pode tomar medidas, em conformidade com o princípio da subsidiariedade consagrado no artigo 5.º do Tratado da União Europeia. Em conformidade com o princípio da proporcionalidade consagrado no mesmo artigo, o presente regulamento não excede o necessário para alcançar esses objetivos.
(134) A Diretiva 95/46/CE é revogada pelo presente regulamento. Todavia, as decisões da Comissão que foram adotadas e as autorizações que foram emitidas pelas autoridades de controlo com base da Diretiva 95/46/CE, permanecem em vigor. As decisões da Comissão e as autorizações que foram emitidas pelas autoridades de controlo relativas às transferências de dados pessoais para países terceiros nos termos do artigo 41.º, n.º 8, devem permanecer em vigor durante um período de transição de cinco anos após a entrada em vigor do presente regulamento, salvo no caso da sua alteração, substituição ou revogação pela Comissão antes do final deste período. [Alt. 95]
(135) O presente regulamento aplica-se a todas as matérias relacionadas com a proteção dos direitos e das liberdades fundamentais em relação ao tratamento de dados pessoais, não sujeitas a obrigações específicas, com o mesmo objetivo, enunciadas na Diretiva 2002/58/CE do Parlamento Europeu e do Conselho(14), incluindo as obrigações que incumbem ao responsável pelo tratamento e os direitos das pessoas singulares. A fim de clarificar a relação entre o presente regulamento e a Diretiva 2002/58/CE, esta última deve alterada em conformidade.
(136) No que diz respeito à Islândia e à Noruega, o presente regulamento constitui um desenvolvimento das disposições do acervo de Schengen, na medida em que é aplicável ao tratamento de dados pessoais pelas autoridades que participam na execução desse acervo, na aceção do Acordo celebrado entre o Conselho da União Europeia e a República da Islândia e o Reino da Noruega, relativo à associação desses Estados à execução, à aplicação e ao desenvolvimento do acervo de Schengen(15).
(137) No que diz respeito à Suíça, o presente regulamento constitui um desenvolvimento das disposições do acervo de Schengen, na medida em que é aplicável ao tratamento de dados pessoais pelas autoridades que participam na execução desse acervo, na aceção do Acordo entre a União Europeia, a Comunidade Europeia e a Confederação Suíça relativo à associação da Confederação Suíça à execução, à aplicação e ao desenvolvimento do acervo de Schengen(16).
(138) No que diz respeito ao Liechtenstein, o presente regulamento constitui um desenvolvimento das disposições do acervo de Schengen, na medida em que é aplicável ao tratamento de dados pessoais pelas autoridades que participam na execução desse acervo, na aceção do Protocolo entre a União Europeia, a Comunidade Europeia, a Confederação Suíça e o Principado do Liechtenstein relativo à adesão do Principado do Liechtenstein ao Acordo entre a União Europeia, a Comunidade Europeia e a Confederação Suíça relativo à associação da Confederação Suíça à execução, aplicação e ao desenvolvimento do acervo de Schengen(17).
(139) Tendo em conta que, como o Tribunal de Justiça da União Europeia sublinhou, o direito à proteção de dados não é absoluto, mas deve ser considerado em relação à sua função na sociedade e ser equilibrado com outros direitos fundamentais, em conformidade com o princípio da proporcionalidade, o presente regulamento respeita os direitos fundamentais e observa os princípios reconhecidos na Carta, consagrados nos Tratados, nomeadamente o direito ao respeito da vida privada e familiar, o direito ao respeito do domicílio e das comunicações, o direito à proteção dos dados pessoais, o direito à liberdade de pensamento, de consciência e de religião, o direito à liberdade de expressão e de informação, o direito à liberdade de empresa, o direito de ação efetiva e a um processo equitativo, bem como o respeito da diversidade cultural, religiosa e linguística,
ADOTARAM O PRESENTE REGULAMENTO:
CAPÍTULO I
DISPOSIÇÕES GERAIS
Artigo 1.º
Objeto e objetivos
1. O presente regulamento estabelece as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.
2. O presente regulamento protege os direitos e as liberdades fundamentais das pessoas singulares e, em especial, o seu direito à proteção dos dados pessoais.
3. A livre circulação de dados pessoais na União não é restringida nem proibida por motivos relacionados com a proteção das pessoas singulares no que respeita ao tratamento de dados pessoais.
Artigo 2.º
Âmbito de aplicação material
1. O presente regulamento aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, independentemente dos métodos de tratamento, bem como ao tratamento por meios não automatizados de dados pessoais contidos num ficheiro ou a ele destinados.
2. O presente regulamento não se aplica ao tratamento de dados pessoais:
a) Efetuado no exercício de atividades não sujeitas à aplicação do direito da União, nomeadamente no que se refere à segurança nacional;
b) Efetuado pelas instituições, órgãos e agências da União;
c) Efetuados pelos Estados-Membros no exercício de atividades abrangidas pelo âmbito de aplicação do Capítulo 2 doTítulo V do Tratado da União Europeia;
d) Efetuado por uma pessoa singular sem fins lucrativos no exercício de atividades exclusivamente pessoais ou domésticas; esta isenção também se aplica a uma publicação de dados pessoais quando se pode razoavelmente prever que eles apenas serão acessíveis a um número limitado de pessoas;
e) Efetuado pelas autoridades públicas competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais.
3. O presente regulamento aplica-se sem prejuízo da Diretiva 2000/31/CE, em especial as disposições dos artigos 12.º a 15.º da referida diretiva, que estabelecem as regras em matéria de responsabilidade dos prestadores intermediários de serviços. [Alt. 96]
Artigo 3.º
Âmbito de aplicação territorial
1. O presente regulamento aplica-se ao tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento de um responsável pelo tratamento ou de um subcontratante situado no território da União, quer o tratamento ocorra ou não na União.
2. O presente regulamento aplica-se ao tratamento de dados pessoais de titulares de dados residentes no território da União, por um responsável pelo tratamento ou um subcontratante não estabelecido na União, cujas atividade de tratamento estejam relacionadas com:
a) A oferta de bens ou serviços a esses titulares de dados na União, independentemente da necessidade de os titulares de dados procederem a um pagamento; ou
b) O controlo do seu comportamento desses titulares de dados.
3. O presente regulamento aplica-se ao tratamento de dados pessoais por um responsável pelo tratamento não estabelecido na União, mas num lugar em que se aplique o direito nacional de um Estado-Membro por força do direito internacional público. [Alt. 97]
Artigo 4.º
Definições
Para efeitos do presente regulamento, entende-se por:
(1) «Titular de dados», uma pessoa singular identificada ou identificável, direta ou indiretamente, por meios com razoável probabilidade de serem utilizados pelo responsável pelo tratamento ou por qualquer outra pessoa singular ou coletiva, nomeadamente por referência a um número de identificação, a dados de localização, a um identificador em linha ou a um ou mais elementos específicos próprios à sua identidade física, fisiológica, genética, psíquica, económica, cultural ou social;
(2) «Dados pessoais», qualquer informação relativa a um uma pessoa singular identificada ou identificável («titular de dados»). É considerada identificável a pessoa que possa ser identificada, direta ou indiretamente, nomeadamente por referência a um identificador, tal como o nome, um número de identificação, dados de localização, um identificador único, ou a um ou mais elementos específicos da identidade física, fisiológica, genética, psíquica, económica, cultural, social ou de género dessa pessoa;
(2-A) «Dados sob pseudónimo», os dados pessoais que não possam ser atribuídos a um titular de dados específico sem recorrer a informações adicionais, enquanto essas informações adicionais forem mantidas separadamente e sujeitas a medidas técnicas e organizativas para garantir essa impossibilidade de atribuição;
(2-B) «dados cifrados», dados pessoais que, através de medidas tecnológicas de proteção, são tornados ininteligíveis para qualquer pessoa que não esteja autorizada a aceder aos mesmos;
(3) «Tratamento de dados pessoais», qualquer operação ou conjunto de operações efetuadas sobre dados pessoais, com ou sem meios automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou a alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, o apagamento ou a destruição;
(3-A) «Definição de perfis», qualquer forma de tratamento automatizado de dados pessoais destinado a avaliar determinados aspetos pessoais relativos a uma pessoa singular ou a analisar ou prever em particular o seu desempenho profissional, a sua situação económica, localização, saúde, preferências pessoais, fiabilidade ou comportamento;
(4) «Ficheiro», qualquer conjunto estruturado de dados pessoais, acessível segundo critérios específicos, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico;
(5) «Responsável pelo tratamento», a pessoa singular ou coletiva, a autoridade pública, a agência ou qualquer outro órgão que, por si ou em conjunto, determina as finalidades, as condições e os meios de tratamento de dados pessoais; sempre que as finalidades, as condições e os meios de tratamento sejam determinados pelo direito da União ou pela legislação dos Estados Membros, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser indicados pelo direito da União ou pela legislação de um Estado-Membro;
(6) «Subcontratante», a pessoa singular ou coletiva, a autoridade pública, serviço ou qualquer outro organismo que trata os dados pessoais por conta do responsável pelo tratamento;
(7) «Destinatário», a pessoa singular ou coletiva, a autoridade pública, serviço ou qualquer outro organismo que receba comunicações de dados pessoais;
(7-A) «Terceiro», a pessoa singular ou coletiva, a autoridade pública, o serviço ou qualquer outro organismo que não o titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar os dados;
(8) «Consentimento do titular de dados», qualquer manifestação de vontade, livre, específica, informada e explícita, pela qual a pessoa em causa aceita, mediante uma declaração ou um ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento;
(9) «Violação de dados pessoais», uma violação da segurança que provoca, de modo acidental ou ilícito, a destruição, a perda, a alteração, de modo acidental ou ilícito, a divulgação, ou o acesso, não autorizados, de dados pessoais transmitidos, conservados ou tratados de outro modo;
(10) «Dados genéticos», todos os dados, independentemente do tipo, pessoais relacionados com as características genéticas de uma pessoa singular que são hereditárias ou adquiridas numa fase precoce do seu desenvolvimento pré-natal, resultantes da análise de uma amostra biológica da pessoa em causa, nomeadamente da análise de cromossomas, ácido desoxirribonucleico (ADN), ácido ribonucleico (ARN) ou qualquer outro elemento que permita obter informações equivalentes;
(11) «Dados biométricos», quaisquer dados pessoais relativos às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam a sua identificação única, nomeadamente imagens faciais ou dados dactiloscópicos;
(12) «Dados relativos à saúde», quaisquer informações relacionadasdados pessoais relacionados com a saúde física ou psíquica de uma pessoa singular, ou com a prestação de serviços de saúde a essa pessoa;
(13) «Estabelecimento principal», no que se refere ao responsável pelo tratamento, o local do seu estabelecimento da empresa ou do grupo de empresas na União independentemente de ser responsável ou subcontratante, onde são adotadas as principais decisões quanto às finalidades, condições e meios para o tratamento de dados pessoais; se não forem adotadas quaisquer decisões relativas às finalidades, condições e meios na União, o estabelecimento principal é o local onde são exercidas as atividades de tratamento principais no contexto das atividades de um estabelecimento de um responsável pelo tratamento na União. No que se refere ao subcontratante, o «estabelecimento principal» é o local da sua administração central na UniãoPodem ser considerados, entre outros, os seguintes critérios objetivos: a localização da sede do responsável ou do subcontratante; a localização da entidade num grupo de empresas mais bem posicionado em termos de funções de gestão e de responsabilidades administrativas para abordar e aplicar as regras definidas no presente regulamento; o local onde decorre o exercício efetivo e real das atividades de gestão que determinam o tratamento de dados mediante uma instalação estável;
(14) «Representante», a pessoa singular ou coletiva estabelecida na União, expressamente designada pelo responsável pelo tratamento, que atua em nome deste último e a quem se pode dirigir qualquer autoridade de controlo e outras entidades na União, representa esteúltimo no contexto das obrigações do responsável pelo tratamento nos termos do presente regulamento;
(15) «Empresa», qualquer entidade que, independentemente da sua forma jurídica, exerce uma atividade económica, incluindo, nomeadamente, as pessoas singulares e coletivas, as sociedades ou associações que exercem regularmente uma atividade económica;
(16) «Grupo de empresas», um grupo composto pela empresa que exerce o controlo e pelas empresas controladas;
(17) «Regras vinculativas para empresas», regras internas de proteção de dados pessoais que aplica um responsável pelo tratamento ou um subcontratante estabelecido no território de um Estado-Membro da União para as transferências ou um conjunto de transferências de dados pessoais para um responsável ou subcontratante num ou mais países terceiros, dentro de um grupo de empresas;
(18) «Criança», qualquer pessoa com menos de 18 anos;
(19) «Autoridade de controlo», autoridade pública instituída por um Estado-Membro em conformidade com o artigo 46.º. [Alt. 98]
CAPÍTULO II
PRINCÍPIOS
Artigo 5.º
Princípios relativos ao tratamento de dados pessoais
Os dados pessoais devem ser são:
a) Objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados (licitude, lealdade e transparência);
b) Recolhidos para finalidades determinadas, explícitas e legítimas e não serem posteriormente tratados de forma incompatível com essas finalidades (limitação da finalidade);
c) Adequados, pertinentes e limitados ao mínimo necessário relativamente às finalidades para que são tratados; só devem ser tratados se e desde que as finalidades não puderem ser alcançadas através do tratamento de informações que não envolvam dados pessoais (minimização dos dados);
d) Exatos e, quando for necessário, atualizados; devem ser adotadas todas as medidas razoáveis para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora (exatidão);
e) Conservados de forma a permitir direta ou indiretamente a identificação dos titulares de dados apenas durante o período necessário para a prossecução das finalidades para que são tratados; os dados pessoais podem ser conservados durante períodos mais longos, desde que sejam tratados exclusivamente para fins de investigação histórica, estatística ou científica ou de arquivo, em conformidade com as regras e condições do artigo 83.º e 83.º-A, e se for efetuada uma revisão periódica para avaliar a necessidade de os conservar e ainda se forem tomadas medidas técnicas e organizativas adequadas para limitar o acesso aos dados apenas para estes fins (minimização dos dados);
e-A) Tratados de forma a permitir efetivamente que o titular dos dados exerça efetivamente os seus direitos (eficácia);
e-B) Tratados de forma a protegê-los contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando medidas técnicas ou organizativas adequadas (integridade);
f) Tratados sob a autoridade e responsabilidade do responsável pelo tratamento, que deve assegurar e ser capaz de demonstrar a conformidade de cada operação de tratamento com as disposições do presente regulamento (responsabilidade). [Alt. 99]
Artigo 6.º
Licitude do tratamento
1. O tratamento de dados pessoais só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:
a) O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas;
b) O tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte ou para diligências pré‑contratuais a pedido do titular dos dados;
c) O tratamento for necessário para o respeito de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito;
d) O tratamento for necessário para a proteção de interesses vitais do titular dos dados;
e) O tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento;
f) O tratamento for necessário para prosseguir interesses legítimos do responsável pelo tratamento ou, em caso de divulgação, dos terceiros a quem os dados sejam comunicados, e que satisfaçam as expectativas razoáveis do titular dos dados com base na sua relação com o responsável pelo tratamento, desde que não prevaleçam os interesses relacionados com os direitos e liberdades fundamentais do titular dos dados que exijam uma proteção de dados pessoais, em especial se a pessoa em causa for uma criança. Tal não se aplica ao tratamento de dados efetuado por autoridades públicas no exercício das suas funções.
2. O tratamento de dados pessoais necessário para fins de investigação histórica, estatística ou científica é lícito, sob reserva das condições e garantias previstas no artigo 83.º.
3. O fundamento jurídico do tratamento referido no n.º 1, alíneas c) e e), deve ser previsto:
a) Pelo direito da União; ou
b) Pela legislação do Estado-Membro à qual o responsável pelo tratamento está sujeito.
A legislação do Estado-Membro deve respeitar um objetivo de interesse público ou ser necessária para proteger os direitos e liberdades das pessoas, ser conforme com o conteúdo essencial do direito à proteção de dados pessoais e ser proporcional ao objetivo legítimo prosseguido. Dentro dos limites do presente regulamento, a legislação do Estado-Membro pode prever normas específicas aplicáveis à licitude do tratamento, em especial relativas ao responsável pelo tratamento, à finalidade e à limitação da finalidade do tratamento, ao tipo de dados e aos titulares dos dados, às operações e aos processos de tratamento, aos destinatários, assim como ao período de conservação.
4. Sempre que a finalidade do tratamento ulterior não for compatível com aquela para a qual os dados pessoais foram recolhidos, o tratamento deve ter como fundamento jurídico pelo menos um dos motivos referidos no n.º 1, alíneas a) a e). Tal é aplicável, em especial, a qualquer alteração das cláusulas e condições gerais de um contrato.
5. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o artigo 86.º, a fim de melhor especificar as condições previstas no n.º 1, alínea f), para os vários setores e situações em matéria de tratamento de dados, incluindo quanto ao tratamento de dados pessoais relativos a crianças. [Alt. 100]
Artigo 7.º
Condições para o consentimento
1. Quando o tratamento se basear no consentimento, incumbe ao responsável pelo tratamento o ónus de provar o consentimento do titular dos dados ao tratamento dos seus dados pessoais para finalidades específicas.
2. Se o consentimento do titular dos dados for dado no contexto de uma declaração escrita que diga também respeito a outra matéria, a exigência do consentimento deve ser apresentada de uma forma que a distinga claramente dessa outra matéria. As cláusulas relativas ao consentimento do titular dos dados que violem parcialmente este regulamento são consideradas nulas .
3. Não obstante outros fundamentos jurídicos para o tratamento, o titular dos dados tem o direito de retirar o seu consentimento a qualquer momento. A retirada do consentimento não compromete a licitude do tratamento efetuado com base no consentimento previamente dado. Deve ser tão fácil retirar o consentimento como dá-lo.O titular dos dados deve ser informado pelo responsável pelo tratamento se a retirada do consentimento puder dar lugar à rescisão dos serviços fornecidos ou da relação com o responsável pelo tratamento.
4. O consentimento não constitui um fundamento jurídico válido para o tratamento se existir um desequilíbrio significativo entre a posição do titular dos dados e o responsável pelo tratamento. é limitado pelos fins e perde a sua validade logo que o fim deixar de existir ou o tratamento dos dados pessoais deixar de ser necessário para a realização do fim para que foram recolhidos inicialmente. A execução de um contrato ou a prestação de um serviço não podem ser condicionadas ao consentimento ao tratamento de dados que não são necessários à execução do contrato ou à prestação do serviço nos termos do artigo 6.º, n.º 1, alínea b). [Alt. 101]
Artigo 8.º
Tratamento de dados pessoais relativos às crianças
1. Para efeitos do presente regulamento, no que respeita à oferta de bens ou serviços da sociedade da informação às crianças, o tratamento de dados pessoais de uma criança com idade inferior a 13 anos só é lícito se, e na medida em que, para tal o consentimento seja dado ou autorizado pelo progenitor ou pelo titular da guardatutor legal dessa criança. O responsável pelo tratamento deve envidar todos os esforços razoáveis para obter umverificar esse consentimento verificável, tendo em conta os meios técnicos disponíveis, sem causar um tratamento de dados desnecessário.
1-A. As informações prestadas às crianças, pais ou tutores legais para exprimirem o consentimento - incluindo sobre a recolha e utilização de dados pessoais pelo responsável pelo tratamento - devem ser prestadas numa linguagem clara e adequada ao público visado.
2. O disposto no n.º 1 não prejudica o direito contratual geral dos Estados-Membros, como as disposições que regulam a validade, a formação ou os efeitos de um contrato em relação a uma criança.
3. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o artigo 86.º, a fim especificar mais concretamente os critérios e requisitos aplicáveis à obtenção doO Comité Europeu para a Proteção de Dados deve ser encarregado de elaborar orientações, recomendações e boas práticas relativamente aos métodos para verificar o consentimento verificável referido no n.º 1 nos termos do artigo 66.º. Ao fazê-lo, a Comissão deve prever medidas específicas para as micro, pequenas e médias empresas.
4. A Comissão pode estabelecer formulários normalizados para os métodos específicos de obtenção do consentimento verificável referido no n.º 1. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.º, n.º 2.[Alt. 102]
Artigo 9.º
Tratamento de Categorias especiais de dados pessoais
1. É proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a orientação sexual ou a identidade de género, a filiação sindical e as atividades sindicais bem como o tratamento de dados genéticos ou biométricos ou dados relativos à saúde ou à orientação sexual, às sanções administrativas, aos julgamentos, aos delitos penais ou presumidos, a condenações penais ou medidas de segurança conexas.
2. O n.º 1 não se aplica quando se se verificar um dos seguintes casos:
a) O titular dos dados tiver dado o seu consentimento para o tratamento desses dados pessoais para um ou mais fins especificados, sem prejuízo do disposto nos artigos 7.º e 8.º, exceto se o direito da União ou a legislação de um Estado-Membro previr que a proibição a que se refere o n.º 1 não pode ser afastada pelo titular dos dados; ou
a-A) O tratamento for necessário para a execução ou a celebração de um contrato no qual o titular dos dados é parte ou para a realização de diligências prévias à celebração do contrato a pedido do titular dos dados;
b) O tratamento for necessário para o cumprimento de obrigações e o exercício de direitos específicos do responsável pelo tratamento em matéria de direito laboral, na medida em que seja permitido pelo direito da União, pela legislação de um Estado-Membro ou por convenções coletivas, mediante garantias adequadas que salvaguardem os interesses e direitos fundamentais do titular dos dados como o direito à não-discriminação, nos termos das condições e garantias previstas no artigo 82.º; ou
c) O tratamento for necessário para proteger interesses vitais do titular dos dados ou de outra pessoa, se o titular dos dados estiver física ou legalmente incapacitado de dar o seu consentimento; ou
d) O tratamento for efetuado, no âmbito de atividades lícitas e mediante garantias adequadas, por uma fundação, associação ou qualquer outro organismo sem fins lucrativos e que prossiga fins políticos, filosóficos, religiosos ou sindicais, desde que aquele tratamento se refira apenas aos membros ou antigos membros desse organismo ou a pessoas que com ele mantenham contactos regulares relacionados com os seus objetivos, e que os dados não sejam divulgados a terceiros sem o consentimento dos titulares de dados; ou
e) O tratamento se referir a dados pessoais manifestamente tornados públicos pelo seu titular; ou
f) O tratamento for necessário à declaração, ao exercício ou à defesa de um direito num processo judicial; ou
g) O tratamento for necessário ao exercício de uma missão por motivo de interesse público excecional, com base no direito da União ou na legislação de um Estado-Membro, que deve ser proporcional ao objetivo visado, respeitar a essência do direito à proteção dos dados pessoais e prever medidas adequadas à proteção dos interesses legítimose direitos fundamentais do titular dos dados; ou
h) O tratamento de dados relativos à saúde for necessário para fins no domínio da saúde, sob reserva das condições e garantias previstas no artigo 81.º; ou
i) O tratamento for necessário para fins de investigação histórica, estatística ou científica, sob reserva das condições e garantias previstas no artigo 83.º; ou
i-A) O tratamento for necessário para serviços de arquivo, sob reserva das condições e garantias previstas no artigo 83.º-A; ou
j) O tratamento de dados relacionados com sanções administrativas, julgamentos, delitos penais, condenações penais ou outras medidas de segurança conexas for efetuado sob o controlo de uma autoridade, ou se o tratamento for necessário ao respeito de uma obrigação jurídica ou regulamentar à qual o responsável pelo tratamento está sujeito ou à execução de uma missão efetuada por motivos importantes de interesse público, na medida em que esse tratamento seja autorizado pelo direito da União ou pela legislação de um Estado-Membro que preveja garantias adequadas. Odos direitos fundamentais e interesses do titular dos dados. Qualquer registo completo das condenações penais só pode ser conservado sob o controlo das autoridades públicas.
3. São atribuídas competências à Comissão para adotar atos delegados em conformidade com artigo 86.º, a fim de a especificar mais concretamente os critérios, as condições e garantias adequados aplicáveis aoO Comité Europeu para a Proteção de Dados deve ser encarregado de elaborar orientações, recomendações e boas práticas relativamente aos métodos para verificar o tratamento das categorias de dados especiais a que se refere o n.º 1, bem como as derrogações previstas no n.º 2, nos termos do artigo 66.º. [Alt. 103]
Artigo 10.º
Tratamento que não permite a identificação
1. Se os dados tratados por um responsável pelo tratamento ou subcontratante não lhe permitirem identificar direta ou indiretamente uma pessoa singular ou consistirem apenas em dados pseudónimos, esse responsável não é obrigado adeve tratar ou obter informações adicionais para identificar o titular dos dados com o único objetivo de respeitar uma disposição do presente regulamento.
2. Sempre que o responsável pelo tratamento dos dados não possa respeitar uma disposição do presente regulamento devido ao n.º 1, o responsável pelo tratamento não é obrigado a cumprir essa disposição do regulamento. Consequentemente, quando o responsável pelo tratamento dos dados não puder cumprir um pedido do titular dos dados, deve informar o mesmo em conformidade. [Alt. 104]
Artigo 10.º-A
Princípios gerais para os direitos dos titulares de dados
1. A base da proteção de dados é constituída pelos direitos claros e não ambíguos do titular de dados que serão respeitados pelo responsável pelo tratamento. As disposições do presente regulamento visam reforçar, esclarecer, garantir e, quando adequado, codificar estes direitos.
2. Tais direitos incluem, nomeadamente, a prestação de informações claras e facilmente compreensíveis em relação ao tratamento dos seus dados pessoais, o direito de acesso, retificação e apagamento dos seus dados, o direito de obter dados, o direito de se opor à definição de perfis, o direito de apresentar queixa junto da autoridade competente responsável pela proteção de dados e de intentar ações judiciais, bem como o direito a reparação e indemnização resultantes de uma operação de tratamento ilícito. Tais direitos devem, em geral, ser exercidos gratuitamente. O responsável pelo tratamento de dados deve responder aos pedidos do titular de dados num período de tempo razoável. [Alt. 105]
CAPÍTULO III
DIREITOS DO TITULAR DOS DADOS
SECÇÃO 1
TRANSPARÊNCIA E MODALIDADES
Artigo 11.º
Transparência das informações e das comunicações
1. O responsável pelo tratamento deve aplicar regras concisas, transparentes, claras e de fácil acesso relativamente ao tratamento de dados pessoais e ao exercício dos direitos pelos titulares de dados.
2. O responsável pelo tratamento deve fornecer quaisquer informações e comunicações relativas ao tratamento de dados pessoais ao titular dos dados de forma inteligível, numa linguagem clara e simples, adaptada à pessoa em causa, em especial quando as informações são dirigidas especificamente a uma criança. [Alt. 106]
Artigo 12.º
Procedimentos e mecanismos previstos para o exercício dos direitos dos titulares de dados
1. O responsável pelo tratamento deve estabelecer os procedimentos de informação previstos no artigo 14.º, e os procedimentos de exercício dos direitos dos titulares de dados referidos no artigo 13.º, e nos artigos 15.º a 19.º. Deve prever, nomeadamente, mecanismos destinados a facilitar os pedidos sobre as medidas previstas no artigo 13.º, e nos artigos 15.º a 19.º. Sempre que os dados pessoais forem objeto de tratamento automatizado, o responsável pelo tratamento deve igualmente prever meios para a apresentação de pedidos por via eletrónica, sempre que possível.
2. O responsável pelo tratamento deve informar o titular dos dados sem demora injustificada e, o mais tardar, no prazo de um mês40 dias a contar da data de receção do pedido, da eventual adoção de uma medida nos termos do artigo 13.º, e dos artigos 15.º a 19.º, bem como fornecer as informações solicitadas. Este prazo pode ser prorrogado mais um mês, caso vários titulares de dados exerçam os seus direitos e a sua cooperação seja necessária, numa medida razoável, para impedir um esforço injustificado e desproporcionado por parte do responsável pelo tratamento. As informações devem revestir a forma escrita e, sempre que possível, o responsável pelo tratamento pode facultar o acesso a um sistema seguro em linha que possibilite ao titular de dados aceder diretamente aos seus dados pessoais. Sempre que o titular dos direitos apresentar o pedido por via eletrónica, a informação deve ser fornecida por meios eletrónicos, sempre que possível, salvo se solicitado de outra forma pela pessoa em causa.
3. Se o responsável pelo tratamento recusarnão adotar as medidas solicitadas pelo titular dos dados, deve informar a pessoa em causa das razões da recusa inação, das possibilidades de apresentar uma queixa à autoridade de controlo e de interpor uma ação judicial.
4. As informações e as medidas adotadas relativamente a pedidos referidos no n.º 1 são gratuitas. Se os pedidos forem manifestamente abusivos, particularmente devido ao seu caráter repetitivo, o responsável pelo tratamento pode exigir o pagamento de uma taxa razoável tendo em conta os custos administrativos para fornecer informações ou adotar as medidas solicitadas, podendo também abster‑se de adotar as medidas solicitadas. Nesse caso, incumbe ao responsável pelo tratamento o ónus de provar o caráter manifestamente abusivo do pedido.
5. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o artigo 86.º, a fim de especificar mais concretamente os critérios e as condições aplicáveis aos pedidos manifestamente abusivos e às taxas referidas no n.º 4.
6. A Comissão pode elaborar formulários e procedimentos normalizados para a comunicação referida no n.º 2, incluindo sob forma eletrónica. Ao fazê‑lo, a Comissão deve adotar as medidas adequadas em relação às micro, pequenas e médias empresas. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.º, n.º 2.[Alt. 107]
Artigo 13.º
Direitos relativos aos destinatáriosObrigação de comunicação em casos de retificação e apagamento
O responsável pelo tratamento comunica a cada destinatário apara quem tenham sido transmitidos transferidos os dados qualquer retificação ou apagamento efetuado em conformidade com os artigos 16.º e 17.º, salvo se tal comunicação se revelar impossível ou implicar um esforço desproporcionado. O responsável pelo tratamento deve informar o titular dos dados sobre os destinatários se o titular dos dados o solicitar. [Alt. 108]
Artigo 13.º-A
Políticas de informação normalizadas
1. Sempre que os dados pessoais de um titular de dados forem recolhidos, o responsável pelo tratamento deve informar o titular dos dados, antes de prestar as informações previstas no artigo 14.º, sobre os seguintes aspetos:
a) Se a recolha dos dados pessoais exceder o mínimo necessário para cada finalidade específica do tratamento;
b) Se a conservação dos dados pessoais exceder o mínimo necessário para cada finalidade específica do tratamento;
c) Se os dados pessoais forem tratados para fins diferentes daqueles para que foram recolhidos;
d) Se os dados pessoais forem divulgados a terceiros comerciais;
e) Se os dados pessoais forem vendidos ou alugados;
f) Se os dados pessoais forem conservados sob a forma de dados encriptados.
2. Os aspetos a que se refere o n.º 1 são apresentadas nos termos do anexo do presente regulamento em formato tabular, utilizando texto e símbolos, em três colunas, como a seguir se descreve:
a) A primeira coluna apresenta formas gráficas simbolizando os aspetos;
b) A segunda coluna contém informações essenciais que descrevem esses aspetos;
c) A terceira coluna indica com recurso a formas gráficas se um determinado aspeto se verifica.
3. As informações referidas nos n.ºs 1 e 2 devem ser apresentadas de forma visualmente acessível e perfeitamente legível e numa linguagem que possa ser facilmente compreendida pelos consumidores dos Estados-Membros a quem se destinam. Se forem apresentados por via eletrónica, os aspetos devem ser legíveis por máquina.
4. Não devem ser prestadas informações adicionais. Podem ser fornecidas explicações detalhadas ou observações suplementares sobre os aspetos referidos no n.º 1 juntamente com outras informações obrigatórias nos termos do artigo 14.º.
5. São atribuídas competências à Comissão para adotar, após requerer um parecer ao Comité Europeu para a Proteção de Dados, atos delegados em conformidade com o artigo 86.º, a fim de especificar mais concretamente os aspetos referidos no n.º 1 e a forma da sua apresentação a que se refere o n.º 2 e o anexo 1. [Alt. 109]
SECÇÃO 2
INFORMAÇÃO E ACESSO AOS DADOS
Artigo 14.º
Informação do titular dos dados
1. Sempre que os dados pessoais de uma pessoa forem recolhidos, o responsável pelo tratamento deve fornecer ao titular dos dados pelo menos as seguintes informações, depois de prestar as informações previstas no artigo 13.º-A:
a) Identidade e contactos do responsável pelo tratamento e, se for caso disso, do representante desse responsável e do delegado para a proteção de dados;
b) Finalidades do tratamento a que os dados pessoais se destinam, bem como informações relativas à segurança do tratamento dos dados pessoais, incluindo as cláusulas e condições gerais do contrato, se o tratamento se basear no artigo 6.º, n.º1, alínea b), bem como os interesses legítimos prosseguidos pelo responsável pelo tratamento, se o tratamento se basear no e, se for caso disso, informações sobre o modo como executam e cumprem os requisitos do artigo 6.º, n.º 1, alínea f);
c) Período de conservação dos dados pessoais ou - se tal não for possível - os critérios usados para definir esse período;
d) Existência do direito de solicitar ao responsável pelo tratamento o acesso aos dados pessoais que lhe digam respeito, e a sua retificação ou apagamento, ou de se opor ao seu tratamento ou de obter dados;
e) Direito de apresentar uma queixa à autoridade de controlo e de obter os contactos desta autoridade;
f) Destinatários ou categorias de destinatários dos dados pessoais;
g) Se for caso disso, a intenção de o responsável pelo tratamento transferir os dados para um país terceiro ou uma organização internacional, e o nível de proteção assegurado por esse país terceiro ou organização internacional, em referência a umaa existência ou não duma decisão sobre o nível de proteção adequado adotada pela Comissão ou, no caso das transferências mencionadas no artigo 42.º ou artigo 43.º, a referência às garantias adequadas e às formas de obter uma cópia das mesmas;
g-A) Se for caso disso, informações quanto à existência de definição de perfis, de medidas baseadas na definição de perfis e os efeitos previstos da definição de perfis sobre o titular dos dados;
g-B) Informações significativas sobre a lógica subjacente ao tratamento automatizado dos dados;
(h) Quaisquer outras informações necessárias para assegurar à pessoa em causa um tratamento leal, tendo em conta as circunstâncias específicas em que os dados pessoais são recolhidos ou tratados, em especial, a existência de certas atividades de tratamento e operações para as quais uma avaliação de impacto dos dados pessoais indicou que pode existir um risco elevado.
h-A) Se for caso disso, informações sobre se os dados pessoais foram fornecidos a entidades públicas durante o último período de 12 meses consecutivos.
2. Sempre que os dados pessoais tiverem sido recolhidos junto do titular de dados, o responsável pelo tratamento deve informá-lo, para além da informação referida no n.º 1, do caráter obrigatório ou facultativo de fornecer os dados pessoais, bem como das eventuais consequências de não fornecer esses dados.
2-A. Ao decidirem se mais informações são necessárias para tornar o tratamento justo ao abrigo do n.º 1, alínea h), os responsáveis pelo tratamento devem ter em conta quaisquer orientações relevantes que constem do artigo 34.º.
3. Sempre que os dados não tiverem sido recolhidos junto do titular de dados, o responsável pelo tratamento deve informá-lo, para além da informação referida no n.º 1, da origem dos dados pessoais específicos. Se os dados pessoais forem provenientes de fontes acessíveis ao público pode ser dada uma indicação geral.
4. O responsável pelo tratamento deve comunicar as informações referidas nos n.os 1, 2 e 3:
a) No momento da recolha dos dados pessoais junto do titular de dados ou sem demora injustificada quando tal não seja exequível; ou
a-A) A pedido de um organismo, organização ou associação referido no artigo 73.º;
b) Sempre que os dados não forem recolhidos junto do titular de dados, no momento do seu registo ou num prazo razoável após a recolha dos dados, tendo em conta as circunstâncias específicas em que foram recolhidos ou de outra forma tratados ou, se estiver prevista a divulgaçãotransferência dos dados a outro destinatário, o mais tardar aquando da primeira divulgação desses dados transferência ou, se os dados se destinarem a ser utilizados para fins de comunicação com o titular de dados, o mais tardar no momento da primeira comunicação ao titular de dados; ou
b-A) Apenas a pedido sempre que os dados forem tratados por uma pequena ou microempresa que trata dados pessoais unicamente no âmbito de uma atividade acessória.
5. Os n.os 1 a 4 não se aplicam sempre que:
a) O titular de dados já tiver conhecimento das informações referidas nos n.os 1, 2 e 3; ou
b) Os dados forem tratados para fins de investigação histórica, estatística ou científica, sujeitos às condições e salvaguardas referidas no artigo 81.º e 83.º, não forem recolhidos junto do titular de dados e a comunicação dessas informações se revelar impossível ou implicar um esforço desproporcionado e o responsável pelo tratamento tiver publicado as informações para qualquer um as recuperar; ou
c) Os dados não forem recolhidos junto do titular de dados e o registo ou a divulgação dos dados for expressamente prevista por leipela legislação à qual o responsável pelo tratamento está sujeito, que preveja medidas adequadas para proteger os legítimos interesses do titular de dados, considerando os riscos representados pelo tratamento e a natureza dos dados pessoais; ou
d) Os dados não foram recolhidos junto do titular de dados e a comunicação dessas informações prejudicar os direitos e liberdades de outras pessoas singulares, tal como definidos no direito da União ou na legislação dos Estados-Membros, em conformidade com o artigo 21.º;
d-A) Os dados forem tratados, no âmbito do exercício da sua profissão, por uma pessoa sujeita a segredo profissional regulamentado pela legislação da União ou de um Estado-Membro ou a um sigilo profissional determinado por lei, salvo se os dados são recolhidos diretamente junto do titular dos dados.
6. No caso referido no n.º 5, alínea b), o responsável pelo tratamento deve adotar as medidas adequadas para proteger os direitos ou interesses legítimos do titular dos dados.
7. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o artigo 86.º, a fim de melhor especificar os critérios aplicáveis às categorias de destinatários referidos no n.º 1, alínea f), os requisitos para informar sobre as possibilidades de acesso referidas no n.º 1, alínea g), os critérios aplicáveis à obtenção de informações suplementares necessárias referidas no n.º 1 alínea h), para domínios e situações específicos, bem como as condições e garantias adequadas para as exceções previstas no n.º 5, alínea b). Ao fazê‑lo, a Comissão deve adotar as medidas adequadas em relação às micro, pequenas e médias empresas.
8. A Comissão pode prever formulários normalizados para a comunicação das informações referidas nos n.os 1 a 3, tendo em consideração as características e necessidades específicas dos diversos setores e situações de tratamento de dados, se for caso disso. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.º, n.º 2.[Alt. 110]
Artigo 15.º
Direito de acesso e de obtenção de dados do titular dos dados
1. Sob reserva do artigo 12.º, n.º 4, o titular dos dados pode obter do responsável pelo tratamento, a qualquer momento e mediante pedido, confirmação de que os dados pessoais que lhe digam respeito são ou não objeto de tratamento e numa linguagem simples e clara,. Sempre que esses dados forem objeto de tratamento, o responsável pelo tratamento deve fornecer as seguintes informações:
a) Finalidades do tratamento de cada categoria de dados pessoais;
b) Categorias de dados pessoais envolvidos;
c) Destinatários ou categorias de destinatários a quem os dados pessoais serão ou foram divulgados, em especial quandoincluindo os destinatários estão estabelecidos em países terceiros;
d) Período de conservação dos dados pessoais ou - se tal não for possível - os critérios usados para definir esse período;
e) Existência do direito de solicitar ao responsável pelo tratamento a retificação ou o apagamento de dados pessoais que lhe digam respeito, ou de se opor ao tratamento desses dados pessoais;
f) Direito de apresentar uma queixa à autoridade de controlo e de obter os contactos desta autoridade;
g) Comunicação dos dados pessoais em fase de tratamento e quaisquer informações disponíveis sobre a origem desses dados;
h) Importância e consequências previstas de tal tratamento, pelo menos no caso das medidas referidas no artigo 20.º.
h-A) Informações significativas sobre a lógica subjacente ao tratamento automatizado dos dados;
h-B) Sem prejuízo do disposto no artigo 21.º, em caso de divulgação de dados pessoais a uma autoridade pública na sequência dum pedido duma autoridade pública, a confirmação de que esse pedido foi apresentado.
3. O titular dos dados tem o direito de obter do responsável pelo tratamento a comunicação dos dados pessoais em fase de tratamento. Sempre que o titular dos direitos apresentar o pedido por via eletrónica, a informação deve ser fornecida por meios eletrónicos em formato eletrónico e estruturado, salvo se solicitado de outra forma pela pessoa em causa. Sem prejuízo do artigo 10.º-C, o responsável pelo tratamento deve tomar as medidas necessárias para verificar se a pessoa que solicita acesso aos dados é o titular dos dados.
2-A. Se o titular dos dados tiver fornecido dados pessoais e estes forem objeto de tratamento eletrónico, o titular dos dados tem o direito de obter do responsável pelo tratamento uma cópia dos dados pessoais fornecidos sob um formato eletrónico e interoperável de utilização corrente e que permita utilização posterior pela pessoa em causa, sem que o responsável pelo tratamento a quem os dados são retirados o possa impedir. Sempre que tal seja tecnicamente possível e disponível, os dados são transferidos diretamente entre os responsáveis pelo tratamento de dados a pedido do titular dos dados.
2-B. O presente artigo aplica-se sem prejuízo da obrigação, prevista no artigo 5.º, n.º 1, alínea e), de apagar dados quando deixam de ser necessários.
2-C. Não deve existir direito de acesso, em conformidade com os n.ºs 1 e 2, no que se refere aos dados na aceção do artigo 14.º, n.º 5, alínea d-A), exceto se o titular dos dados tiver poder para levantar o sigilo em causa e agir em conformidade.
3. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o artigo 86.º, a fim especificar mais concretamente os critérios e as condições aplicáveis à comunicação ao titular de dados do conteúdo dos dados pessoais referidos no n.º 1, alínea g).
4. A Comissão pode elaborar formulários e procedimentos normalizados para o pedido e a concessão de acesso às informações referidas no n.º 1, incluindo para verificação da identidade do titular dos dados e a comunicação dos dados pessoais à pessoa em causa, tendo em consideração especificidades e necessidades de diversos setores e situações de tratamento de dados. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.º, n.º 2.[Alt. 111]
SECÇÃO 3
RETIFICAÇÃO E APAGAMENTO
Artigo 16.º
Direito de retificação
O titular dos dados tem o direito de obter do responsável pelo tratamento a retificação dos dados pessoais inexatos que lhe digam respeito. O titular dos dados tem o direito de obter, nomeadamente através de uma declaração retificativa adicional, que os seus dados pessoais incompletos sejam completados.
Artigo 17.º
Direito a ser esquecido e ao apagamento
1. O titular dos dados tem o direito de obter do responsável pelo tratamento o apagamento de dados pessoais que lhe digam respeito e a cessação da comunicação ulterior desses dados, especialmente em relação a dados pessoais que tenham sido disponibilizados pelo titular dos dados quando ainda era uma criança,e de obter de terceiros o apagamento de quaisquer ligações para esses dados pessoais, cópias ou reproduções dos mesmos, sempre que se aplique um dos motivos seguintes:
a) Os dados deixaram de ser necessários em relação à finalidade que motivou a sua recolha ou tratamento;
b) O titular dos dados retira o consentimento sobre o qual é baseado o tratamento nos termos do artigo 6.º, n.º 1, alínea a), ou se o período de conservação consentido tiver terminado e não existir outro fundamento jurídico para o tratamento dos dados;
c) O titular dos dados opõe‑se ao tratamento de dados pessoais nos termos do artigo 19.º;
c-A) Um tribunal ou autoridade de controlo da União deliberou de forma definitiva e sem contestações que os dados em causa têm de ser apagados;
d) O tratamento dosOs dados não respeita o presente regulamento por outros motivos foram tratados ilicitamente.
1-A. A aplicação do n.º 1 deve depender da capacidade de o responsável pelo tratamento verificar se a pessoa que solicita o apagamento é o titular dos dados.
2. Sempre que o responsável pelo tratamento referido no n.º 1 tiver tornado públicos os dados pessoais sem uma justificação baseada no artigo 6.º, n.º 1, deve adotar todas as medidas razoáveis, incluindo de caráter técnico, em relação aos dados publicados sob a sua responsabilidade, tendo em vista informar os terceiros que tratam esses dados que um titular de dados lhe solicita o apagamento de quaisquer ligações para esses dados pessoais, cópias ou reproduções desses dados. Se o responsável pelo tratamento tiver autorizado um terceiro a publicar dados pessoais, o primeiro é considerado responsável por essa publicação para que os dados sejam apagados, também por terceiros, sem prejuízo do artigo 77.º. O responsável pelo tratamento deve informar o titular dos dados, sempre que possível, das ações dos terceiros em causa..
3. O responsável pelo tratamento e, quando aplicável, um terceiro deve efetuar o apagamento sem demora, salvo quando a conservação dos dados seja necessária:
a) Ao exercício do direito de liberdade de expressão nos termos do artigo 80.º;
b) Por motivos de interesse público no domínio da saúde pública, nos termos do artigo 81.º;
c) Para fins de investigação histórica, estatística ou científica, nos termos do artigo 83.º;
d) Para o cumprimento de uma obrigação jurídica de conservação de dados pessoais prevista pelo direito da União ou pela legislação de um Estado-Membro à qual o responsável pelo tratamento esteja sujeito; a legislação do Estado‑Membro deve responder a um objetivo de interesse público, respeitar o conteúdo essencial do direito à proteção de dados pessoais e ser proporcional ao objetivo legítimo prosseguido;
e) Nos casos referidos no n.º 4.
4. Em vez de proceder ao apagamento, o responsável pelo tratamento deve restringir o tratamento de dados pessoais de modo a que estes não estejam sujeitos ao acesso normal e às operações de tratamento e nunca mais possam ser alterados sempre que:
a) A sua exatidão for contestada pelo titular dos dados, durante um período que permita ao responsável pelo tratamento verificar a exatidão dos dados;
b) Já não precisar dos dados pessoais para o desempenho das suas funções, mas esses dados tenham de ser conservados para efeitos de prova;
c) O tratamento for ilícito e o titular dos dados se opuser ao seu apagamento e solicitar, em contrapartida, a limitação da sua utilização;
c-A) Um tribunal ou autoridade de controlo da União deliberou de forma definitiva e sem contestações que o tratamento em causa tem de ser limitado;
d) O titular dos dados solicitar a transmissão dos dados pessoais para outro sistema de tratamento automatizado, nos termos do artigo 18.º, n.º 215.º, n.º 2‑A.
d-A) O tipo específico de tecnologia de armazenamento não permite o apagamento e foi instalado antes da entrada em vigor do presente regulamento.
5. À exceção da sua conservação, os dados pessoais referidos no n.º 4 só podem ser objeto de tratamento para efeitos de prova, ou com o consentimento do titular dos dados, ou para proteção dos direitos de outra pessoa, singular ou coletiva, ou por um motivo de interesse público.
6. Sempre que o tratamento de dados pessoais for limitado nos termos do n.º 4, o responsável pelo tratamento informa o titular dos dados antes de anular a limitação ao tratamento.
7. O responsável pelo tratamento deve aplicar mecanismos para assegurar o respeito dos prazos estipulados para o apagamento dos dados pessoais e/ou para a fiscalização periódica da necessidade de conservar esses dados.
8. Se o apagamento for efetuado, o responsável pelo tratamento não pode realizar qualquer outro tratamento dos dados pessoais em causa.
8-A. O responsável pelo tratamento deve aplicar mecanismos para assegurar o respeito dos prazos estipulados para o apagamento dos dados pessoais e/ou para a fiscalização periódica da necessidade de conservar esses dados.
9. São atribuídas competências à Comissão para adotar, após requerer um parecer ao Comité Europeu para a Proteção de Dados, atos delegados em conformidade com o artigo 86.º, a fim de especificar mais concretamente:
a) Os critérios e requisitos para a aplicação do n.º 1 em setores e situações específicos que envolvam o tratamento de dados;
b) As condições para o apagamento de ligações para esses dados, cópias ou reproduções destes dados existentes em serviços de comunicação acessíveis ao público, tal como previsto no n.º 2;
c) Os critérios e condições aplicáveis à limitação do tratamento de dados pessoais referidos n.º 4. [Alt. 112]
Artigo 18.º
Direito de portabilidade dos dados
1. Sempre que os dados pessoais forem objeto de tratamento eletrónico num formato estruturado e de utilização corrente, o titular dos dados tem o direito de obter do responsável pelo tratamento uma cópia dos dados sujeitos a tratamento sob um formato eletrónico e estruturado de utilização corrente e que permita utilização posterior pela pessoa em causa.
2. Se o titular dos dados tiver fornecido dados pessoais e o tratamento tiver por base o consentimento ou um contrato, a pessoa em causa tem o direito de transmitir esses dados pessoais e quaisquer outras informações que forneceu e que são conservadas por um sistema de tratamento automatizado, para outro sistema, sob um formato eletrónico de uso corrente, sem que o responsável pelo tratamento a quem os dados são retirados o possa impedir.
3. A Comissão pode especificar o formato eletrónico referido no n.º 1, bem como estabelecer normas técnicas, modalidades e procedimentos para a transmissão de dados pessoais, nos termos do n.º 2. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.º, n.º 2.[Alt. 113]
SECÇÃO 4
DIREITO DE OPOSIÇÃO E DEFINIÇÃO DE PERFIS
Artigo 19.º
Direito de oposição
1. O titular dos dados tem o direito de se opor em qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos seus dados pessoais com base no artigo 6.º, n.º 1, alíneas d), e e) e f), salvo se o responsável pelo tratamento apresentar razões imperiosas e legítimas que prevaleçam sobre os interesses ou direitos e liberdades fundamentais da pessoa em causa.
2. Sempre que os dados pessoais são tratados para efeitos de comercialização direta o tratamento dos dados pessoais se basear no artigo 6.º, n.º 1, alínea f), o titular dos dados tem, a qualquer momento e sem uma justificação, o direito de se opor gratuitamente, em geral ou para qualquer fim particular, ao tratamento dos seus dados pessoais tendo em vista essa comercialização. Este direito deve ser explicitamente comunicado ao titular dos dados de forma compreensível e deve ser claramente distinguido de outras informações.
2-A. O direito a que se refere o n.º 2 deve ser explicitamente comunicado ao titular dos dados de forma compreensível, numa linguagem clara e simples, em especial quando as informações são dirigidas especificamente a uma criança, e deve ser claramente distinguido de outras informações.
2-B. No contexto da utilização dos serviços da sociedade da informação, e sem prejuízo da Diretiva 2002/58/CE, o direito de oposição pode ser exercido por meios automatizados utilizando uma norma técnica que permita ao titular dos dados expressar claramente a sua vontade.
3. Se for mantida a oposição nos termos dos n.os 1 e 2, o responsável pelo tratamento deixa de utilizar ou tratar de outra forma os dados pessoais em causa para os fins determinados na oposição.[Alt. 114]
Artigo 20.º
Medidas baseadas na Definição de perfis
1. Sem prejuízo do disposto no artigo 6.º, qualquer pessoa singular tem o direito de não ficar sujeita a uma medida que produza efeitos na sua esfera jurídica ou que a afete de modo significativo, tomada exclusivamente com base num tratamento automatizado de dados destinado a avaliar determinados aspetos da sua personalidade, ou a analisar ou prever, em especial, a sua capacidade profissional, situação financeira, localização, saúde, preferências pessoais, fiabilidade ou comportamento se opor à definição de perfis em conformidade com o artigo 19.º. O titular dos dados deve ser informado de que tem o direito de se opor à definição de perfis de forma claramente visível.
2. Sob reserva das outras disposições do presente regulamento, uma pessoa só pode ser sujeita a uma medida do tipo referido no n.º 1, à definição de perfis que conduza a medidas que produzam efeitos jurídicos relativamente ao titular dos dados ou, do mesmo modo, afetar significativamente os interesses, direitos e liberdades fundamentais do titular dos dados em causa, se o tratamento:
a) For efetuado no âmbito danecessário para a celebração ou da execução de um contrato, sempre que o pedido de celebração ou execução do contrato, apresentado pelo titular dos dados, tiver sido satisfeito ou se tiveremdesde que tenham sido apresentadas medidas adequadas para assegurar a proteção dos interesses legítimos da pessoa em causa, designadamente o direito de obter intervenção humana; ou
b) For expressamente autorizada por força da legislação da União ou de um Estado-Membro que estabeleça também medidas adequadas que garantam a defesa dos legítimos interesses da pessoa em causa; ou
c) Tiver por base o consentimento do titular dos dados, sob reserva das condições estabelecidas no artigo 7.º, e de garantias adequadas.
3. O tratamento automatizado dos dados pessoais destinado a avaliar determinados aspetos pessoais próprios a uma pessoa singularÉ proibida a definição de perfis que tenha por efeito a discriminação contra pessoas singulares em razão de origem racial ou étnica, opiniões políticas, religião ou convicções, filiação sindical, orientação sexual ou identidade de género ou que conduza a medidas que tenham tais efeitos. O responsável pelo tratamento deve proceder a uma proteção eficaz contra a eventual discriminação resultante da definição de perfis. A definição de perfis não se deve basear exclusivamente nas categorias especiais de dados pessoais referidas no artigo 9.º.
4. Nos casos previstos no n.º 2, as informações a fornecer pelo responsável pelo tratamento nos termos do artigo 14.º devem incluir informações quanto à existência de tratamento para uma medida como a referida no n.º 1, e os efeitos previstos desse tratamento sobre o titular dos dados.
5. São atribuídas competências à Comissão para adotar atos delegados nos termos do artigo 86.º, a fim de especificar mais concretamente os critérios e as condições aplicáveis aA definição de perfis que conduza a medidas que produzam efeitos jurídicos relativamente ao titular dos dados ou, do mesmo modo, afetem significativamente os interesses, direitos e liberdades fundamentais do titular dos dados em causa não se deve basear, de forma exclusiva ou predominante, num tratamento automatizado de dados e deve incluir uma avaliação humana, mormente a explicação da decisão tomada após tal avaliação.Asmedidas adequadas que garantam a defesa dos legítimos interesses do titular dos dados, em conformidade com o n.º 2 devem incluir o direito a uma avaliação humana e a explicação da decisão tomada após tal avaliação
5-A. O Comité Europeu para a Proteção de Dados será encarregado de publicar orientações, recomendações e boas práticas, em conformidade com o artigo 66.º, n.º 1, alínea b), para especificar mais concretamente os critérios e as condições de definição de perfis, nos termos do n.º 2. [Alt. 115]
SECÇÃO 5
LIMITAÇÕES
Artigo 21.º
Limitações
1. A legislação da União ou dos Estados-Membros pode limitar, mediante disposições legislativas, o alcance das obrigações e dos direitos previstos no artigo 5.º, alíneas a) a e), nos artigos 11.º a 20.º19.º, e no artigo 32.º, desde que tal limitação constituarespeite um objetivo de interesse público claramente definido, respeite o conteúdo essencial do direito à proteção de dados pessoais, seja proporcional ao objetivo legítimo prosseguido, respeite os direitos fundamentais e os interesses do titular dos dados e seja uma medida necessária e proporcionada numa sociedade democrática para assegurar:
a) A segurança pública;
b) A prevenção, investigação, deteção e repressão de infrações penais;
c) Outros interesses públicos da União ou de um Estado-Membro, nomeadamente um interesse económico ou financeiro importante da União ou de um Estado-Membro, incluindo nos domínios monetário, orçamental ou fiscal, bem como a proteção da estabilidade e integridade dos mercados questões fiscais;
d) A prevenção, investigação, deteção e repressão de violações da deontologia de profissões regulamentadas;
e) Uma missão de controlo, de inspeção ou de regulamentação associada, ainda que ocasionalmente ao, no âmbito do exercício da autoridade pública , nos casos referidos nas alíneas a), b), c) e d);
f) A proteção do titular dos dados ou dos direitos e liberdades de outrem.
2. Qualquer medida legislativa referida no n.º 1 deve ser necessária e proporcionada numa sociedade democrática e, nomeadamente, incluir disposições explícitas relativas, pelo menos,
a) às finalidades do tratamento e
b) Às modalidades de identificação do responsável pelo tratamento.
c) Às finalidades e meios específicos de tratamento;
d) Às garantias para evitar o abuso ou o acesso ou a transferência ilícitos;
e) Ao direito de os titulares dos dados serem informados da limitação.
2-A. As medidas legislativas referidas no n.º 1 não devem autorizar nem obrigar os responsáveis pelo tratamento privados a conservarem outros dados para além dos estritamente necessários para o fim inicial perseguido. [Alt. 116]
CAPÍTULO IV
RESPONSÁVEL PELO TRATAMENTO E SUBCONTRATANTE
SECÇÃO 1
OBRIGAÇÕES GERAIS
Artigo 22.º
Obrigações e responsabilidade do responsável pelo tratamento
1. O responsável pelo tratamento adota regras internas adequadas e executa as medidas técnicas e organizativas adequadas e demonstráveis para assegurar, e conseguir comprovar de forma transparente, que o tratamento dos dados pessoais é realizado em conformidade com o presente regulamento, tendo em conta as técnicas mais recentes, a natureza do tratamento de dados pessoais, o contexto, âmbito de aplicação e finalidades do tratamento, os riscos para os direitos e liberdades das pessoas em causa e o tipo de organização, tanto no momento da determinação dos meios para o tratamento como no momento da própria execução.
1-A. Tendo em conta as técnicas mais recentes e os custos da sua aplicação, o responsável pelo tratamento deve adotar todas as medidas razoáveis para aplicar políticas e procedimentos de cumprimento que respeitem persistentemente as opções autónomas dos titulares dos dados. Estas políticas de cumprimento devem ser revistas pelo menos de dois em dois anos e atualizadas sempre que necessário.
2. As medidas referidas no n.º 1 incluem, nomeadamente:
(a) Conservar a documentação, nos termos do artigo 28.º;
(b) Aplicar os requisitos de segurança previstos no artigo 30.º;
(c) Realizar uma avaliação de impacto sobre a proteção de dados, nos termos do artigo 33.º;
(d) Respeitar as obrigações relativas à autorização ou consulta prévias da autoridade de controlo, nos termos do artigo 34.º, n.os 1 e 2;
(e) Designar um delegado para a proteção de dados, nos termos do artigo 35.º, n.º 1.
3. O responsável pelo tratamento deve aplicar mecanismos para verificarser capaz de demonstrar a adequação e a eficácia das medidas referidas nos n.os 1 e 2. Sob reserva da sua proporcionalidade, essa verificação deve ser realizada por auditores independentes internos ou externos Quaisquer relatórios gerais regulares sobre as atividades do responsável pelo tratamento - tais como os relatórios obrigatórios das empresas cujos títulos são negociados publicamente - devem incluir uma descrição das políticas e medidas a que se refere o n.º 1.
3-A. O responsável pelo tratamento de dados deve ter o direito de transmitir dados pessoais no território da União, a nível do grupo de empresas ao qual pertence o responsável pelo tratamento, nos casos em que tal se revele necessário para fins administrativos legítimos de ordem interna entre áreas de negócios ligadas do grupo de empresas e um nível adequado de proteção de dados, bem como garantir que os interesses dos titulares dos dados são salvaguardados pelas disposições internas em matéria de proteção de dados ou códigos de conduta equivalentes a que se refere o artigo 38.º.
4. São atribuídas competências à Comissão para adotar atos delegados nos termos do artigo 86.º, a fim de especificar mais concretamente os critérios e requisitos adicionais aplicáveis às medidas adequadas referidas no n.º 1, para além das referidas no n.º 2, às condições de verificação e mecanismos de auditoria referidos no n.º 3 e aos critérios de proporcionalidade previstos no n.º 3, e considerar a adoção de medidas específicas para as micro, pequenas e médias empresas.[Alt. 117]
Artigo 23.º
Proteção de dados desde a conceção e por defeito
1. Tendo em conta as técnicas mais recentes e os custos da sua aplicação os conhecimentos técnicos atuais, as melhores práticas internacionais e os riscos apresentados pelo tratamento de dados, o responsável pelo tratamento e o subcontratante, se existir, aplicam, tanto no momento de definição dos fins e dos meios de tratamento como no momento do próprio tratamento, as medidas e os procedimentos técnicos e organizativos apropriados e proporcionados para que o tratamento seja conforme com os requisitos do presente regulamento e garanta a proteção dos direitos do titular dos dados, em particular em relação aos princípios estabelecidos no artigo 5.º. A proteção dos dados desde a conceção deve ter em especial conta a gestão completa do ciclo de vida dos dados pessoais, desde a recolha, passando pelo tratamento, até à eliminação, centrando-se sistematicamente em garantias processuais abrangentes respeitantes à precisão, confidencialidade, integridade, segurança física e eliminação dos dados pessoais. Sempre que o responsável pelo tratamento tiver levado a efeito uma avaliação de impacto na proteção de dados nos termos do artigo 33.º, os resultados da referida avaliação são tidos em conta para efeitos de desenvolvimento destas medidas e procedimentos.
1-A. A fim de promover a sua ampla aplicação nos diversos setores económicos, a proteção de dados deve, desde a sua conceção, ser um pré-requisito para os concursos públicos nos termos da Diretiva 2004/18/CE do Parlamento Europeu e do Conselho(18) e nos termos da Diretiva 2004/17/CE do Parlamento Europeu e do Conselho(19) (Diretiva “Serviços de utilidade pública”)
2. O responsável pelo tratamento aplica mecanismos que garantam garante, por defeito, que apenas são tratados os dados pessoais necessários para cada finalidade específica do tratamento e, especialmente, que não são recolhidos ou conservadosdivulgados para além do mínimo necessário para essas finalidades, tanto em termos da quantidade de dados, como da duração da sua conservação. Em especial, esses mecanismos devem assegurar que, por defeito, os dados pessoais não sejam disponibilizados a um número indeterminado de pessoas singulares e que os titulares dos dados estejam em condições de controlar a distribuição dos seus dados pessoais.
3. São atribuídas competências à Comissão para adotar atos delegados nos termos do artigo 86.º, a fim de especificar mais concretamente os critérios e as exigências aplicáveis às medidas e aos mecanismos adequados referidos nos n.os 1 e 2, em especial quanto à proteção de dados desde a conceção aplicáveis ao conjunto dos setores, produtos e serviços.
4. A Comissão pode estabelecer normas técnicas para as exigências definidas nos n.os 1 e 2. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.º, n.º 2.[Alt. 118]
Artigo 24.º
Responsáveis conjuntos pelo tratamento
Sempre que um responsávelvários responsáveis pelo tratamento definir determinarem, em conjunto com outros, as finalidades, as condições e os meios do tratamento de dados pessoais, os responsáveis conjuntos pelo tratamento devem definir, por acordo, as respetivas obrigações, a fim de respeitarem as disposições adotadas em conformidade com o presente regulamento, nomeadamente no que diz respeito aos procedimentos e mecanismos que regulam o exercício de direitos do titular dos dados. O acordo deve refletir devidamente as respetivas funções efetivas dos responsáveis conjuntos pelo tratamento e as suas relações com os titulares dos dados e a essência do acordo deve ser disponibilizada ao titular dos dados. Em caso de falta de clareza acerca da responsabilidade, os responsáveis pelo tratamento devem ser conjunta e solidariamente responsáveis. [Alt. 119]
Artigo 25.º
Representantes dos responsáveis pelo tratamento não estabelecidos na União
1. Na situação referida no artigo 3.º, n.º 2, o responsável pelo tratamento designa um representante na União.
2. Esta obrigação não se aplica a:
a) Um responsável pelo tratamento estabelecido num país terceiro sempre que a Comissão tenha decidido que o país terceiro assegura um nível de proteção adequado nos termos do artigo 41.º; ou
b) Uma empresa com menos de 250 trabalhadores Um responsável pelo tratamento de dados pessoais que diz respeito a menos de 5000 titulares de dados durante um período determinado de 12 meses consecutivos e que não procede ao tratamento de categorias especiais de dados pessoais referidas no artigo 9.º, n.º 1, dados de localização ou dados sobre crianças ou trabalhadores em sistemas de arquivo de grande escala; ou
c) Uma autoridade ou um organismo público; ou
d) Um responsável pelo tratamento que ofereça ocasionalmente bens ou serviços a titulares de dados residentes na União, exceto se o tratamento disser respeito a categorias especiais de dados pessoais referidas no artigo 9.º, n.º 1, dados de localização ou dados sobre crianças ou trabalhadores em sistemas de arquivo de grande escala.
3. O representante deve estar estabelecido num dos Estados-Membros em que residam os que são objeto de tratamento no contexto daé feita a oferta que lhes é feita de bens ou serviços aos titulares de dados pessoais ou cujoonde o seu comportamento é controlado.
4. A designação de um representante pelo responsável pelo tratamento não prejudica as ações judiciais que possam vir a ser intentadas contra o próprio responsável pelo tratamento. [Alt. 120]
Artigo 26.º
Subcontratante
1. Sempre que o tratamento de dados for efetuado por sua conta, o responsável pelo tratamento escolhe um subcontratante que apresente garantias suficientes de execução das medidas e procedimentos técnicos e organizativos apropriados, de forma a que esse tratamento seja conforme com os requisitos do presente regulamento e garanta a proteção dos direitos do titular de dados, nomeadamente quanto às medidas de segurança técnica e medidas organizativas que regulam o procedimento a realizar, devendo o responsável pelo tratamento assegurar o cumprimento dessas medidas.
2. A realização de operações de tratamento em subcontratação deve ser regulada por um contrato ou outro ato jurídico que vincule o subcontratante ao responsável pelo tratamento. e que preveja, designadamente, O responsável pelo tratamento e o subcontratante são livres de definir as respetivas funções e tarefas no que respeita aos requisitos do presente regulamento, devendo prever que o subcontratante:
a) AtuaráEfetua o tratamento de dados apenas mediante instruções do responsável pelo tratamento, em especial quando a transferência de dados pessoais utilizados for proibida salvo se a legislação da União ou de um Estado-Membro exigir coisa diferente;
b) Empregará apenas pessoal que assumiu um compromisso de confidencialidade ou que se encontre sujeito às obrigações de confidencialidade previstas na legislação;
c) Adotará todas as medidas exigidas nos termos do artigo 30.º;
d) RecrutaráDeterminará as condições de recrutamento de outro subcontratante apenas mediante autorização prévia do responsável pelo tratamento, salvo se determinado de outro modo;
e) Na medida do possível, tendo em conta a natureza do tratamento, estabelecerá, mediante acordo com o responsável pelo tratamento, os requisitos técnicos e organizativos necessáriosapropriados e pertinentes para permitir ao responsável pelo tratamento cumprir a sua obrigação de dar resposta aos pedidos dos titulares de dados, tendo em vista o exercício dos seus direitos previstos no Capítulo III;
f) Prestará assistência ao responsável pelo tratamento no sentido de garantir o cumprimento das obrigações previstas nos artigos 30.º a 34.º, tendo em conta a natureza do tratamento e a informação ao dispor do subcontratante.
g) Findo o tratamento, entregarádevolverá todos os resultados ao responsável pelo tratamento e não procederá a qualquer outro tratamento dos dados pessoais e eliminará as cópias existentes, exceto se a legislação da União ou dos Estados-Membros exigir a armazenagem dos dados;
h) Disponibilizará ao responsável pelo tratamento e à autoridade de controlo todas as informações necessárias para verificardemonstrar o cumprimento das obrigações previstas no presente artigo e permitirá inspeções no local.
3. O responsável pelo tratamento e o subcontratante conservam um documento escrito com as instruções do responsável pelo tratamento e as obrigações do subcontratante referidas no n.º 2.
3-A. As garantias suficientes referidas no n.º 1 podem ser demonstradas através da adesão a códigos de conduta ou mecanismos de certificação em conformidade com os artigos 38.º ou 39.º do presente regulamento.
4. Se um subcontratante proceder ao tratamento de dados pessoais de forma diferente da que foi definida nas instruções do responsável pelo tratamento ou se tornar a parte determinante em relação às finalidades e meios de tratamento de dados, o subcontratante é considerado responsável pelo tratamento em relação ao referido tratamento, ficando sujeito às disposições aplicáveis aos responsáveis conjuntos pelo tratamento previstas no artigo 24.º.
5. São atribuídas competências à Comissão para adotar atos delegados nos termos do artigo 86.º, a fim de especificar mais concretamente os critérios e requisitos aplicáveis às responsabilidades, funções e atribuições de um subcontratante, em conformidade com o n.º 1, bem como às condições que facilitem o tratamento de dados pessoais a nível de um grupo de empresas, em especial para efeitos para efeitos de controlo e de apresentação de relatórios.[Alt. 121]
Artigo 27.º
Tratamento sob a autoridade do responsável pelo tratamento e do subcontratante
O subcontratante, bem como qualquer pessoa que, agindo sob a autoridade do responsável pelo tratamento ou do subcontratante, tenha acesso a dados pessoais, só pode proceder ao seu tratamento mediante instruções do responsável pelo tratamento, exceto se tal for exigido pela legislação da União ou de um Estado-Membro.
Artigo 28.º
Documentação
1. Cada responsável pelo tratamento e cada subcontratante, bem como, caso exista, o representante do responsável pelo tratamento, mantêm regularmente atualizada a documentação de todas as operações de tratamento de dados efetuadas sob a sua responsabilidade necessária ao cumprimento dos requisitos estipulados no presente regulamento.
2. Essa Além disso, cada responsável pelo tratamento e cada subcontratante mantêm documentação que deve consistir, pelo menos, nas seguintes informações:
a) Nome e contactos do responsável pelo tratamento, ou de qualquer responsável conjunto pelo tratamento ou subcontratante conjunto e, caso exista, do representante;
b) Nome e contactos do responsável pela proteção dos dados, caso existam;
c) Finalidades do tratamento, incluindo os interesses legítimos do responsável pelo tratamento, sempre que o tratamento se basear no artigo 6.º, n.º 1, alínea f);
d) Descrição das categorias de titulares de dados e das categorias de dados pessoais que lhes digam respeito;
e) Destinatários ou categorias de destinatários dos dados pessoais, incluindo osNome e contactos dos responsáveis pelo tratamento a quem são comunicados esses dados pessoais para efeitos dos interesses legítimos que prosseguem, caso existam;
f) Se for caso disso, as transferências de dados para um país terceiro ou uma organização internacional, incluindo o nome desse país terceiro ou dessa organização internacional e, no caso de transferências referidas no artigo 44.º, n.º 1, alínea h), a documentação que comprove a existência das garantias adequadas;
g) Uma indicação geral dos prazos fixados para o apagamento das diferentes categorias de dados;
h) Descrição dos mecanismos referidos no artigo 22.º, n.º 3;
3. O responsável pelo tratamento e o subcontratante, bem como, caso exista, o representante do responsável pelo tratamento, disponibilizam a documentação existente à autoridade de controlo, quando por esta solicitado.
4. As obrigações referidas nos n.ºs 1 e 2 não se aplicam aos responsáveis pelo tratamento e aos subcontratantes seguintes:
a) Pessoas singulares que tratem dados pessoais sem qualquer fim comercial; ou
b) Empresas ou organismos com mais de 250 assalariados que tratem dados pessoais unicamente no âmbito de uma atividade acessória da sua atividade principal.
5. São atribuídas competências à Comissão para adotar atos delegados nos termos do artigo 86.º, a fim de especificar mais concretamente os critérios e requisitos aplicáveis à documentação referida no n.º 1, para ter em conta, nomeadamente, as obrigações do responsável pelo tratamento e do subcontratante e, caso exista, do representante do responsável pelo tratamento.
6. A Comissão pode elaborar formulários normalizados para a documentação referida no n.º 1. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.º, n.º 2.[Alt. 122]
Artigo 29.º
Cooperação com a autoridade de controlo
1. O responsável pelo tratamento e, caso existam, o subcontratante, bem como, caso exista, o representante do responsável pelo tratamento, cooperam, mediante pedido, com a autoridade de controlo no exercício das suas funções, particularmente no fornecimento das informações referidas no artigo 53.º, n.º 2, alínea a), e facultando-lhe o acesso previsto na alínea b) desse número.
2. Sempre que a autoridade de controlo exerça os poderes que lhe são conferidos por força do artigo 53.º, n.º 2, o responsável pelo tratamento e o subcontratante devem responder à autoridade de controlo num prazo razoável a fixar por esta última. A resposta inclui uma descrição das medidas adotadas e dos resultados obtidos, tendo em conta as observações formuladas pela autoridade de controlo.[Alt. 123]
SECÇÃO 2
SEGURANÇA DOS DADOS
Artigo 30.º
Segurança do tratamento
1. O responsável pelo tratamento e o subcontratante aplicam as medidas técnicas e organizativas necessárias para assegurar um nível de segurança adaptado aos riscos que o tratamento representa e à natureza dos dados pessoais a proteger tendo em conta os resultados da avaliação de impacto sobre a proteção de dados, nos termos do artigo 33.º, atendendo às técnicas mais recentes e aos custos resultantes da sua aplicação.
1-A. Tendo em conta as técnicas mais recentes e os custos de aplicação, tal política de segurança deve incluir:
a) A capacidade de assegurar que a integridade dos dados pessoais seja validada;
b) A capacidade de assegurar a confidencialidade, a integridade, a disponibilidade e a resiliência permanentes dos sistemas e dos serviços de tratamento de dados pessoais;
c) A capacidade de restabelecer a disponibilidade e o acesso aos dados de forma atempada no caso de um incidente físico ou técnico que afete a disponibilidade, a integridade e a confidencialidade dos sistemas e dos serviços de informação;
d) No caso de tratamento de dados pessoais sensíveis de acordo com os artigos 8.º e 9.º, medidas de segurança adicionais para assegurar o conhecimento da situação de risco e a capacidade de adotar medidas preventivas, corretivas e atenuantes, em tempo quase real, contra vulnerabilidades ou incidentes detetados que possam constituir um risco para os dados;
e) Um processo para testar, apreciar e avaliar regularmente a eficácia das políticas, dos procedimentos e dos planos de segurança destinados a assegurar a eficácia contínua.
2. O responsável pelo tratamento e o subcontratante adotam, na sequência de uma avaliação de riscos, As medidas referidas no n.º 1 para proteger os dados pessoais contra a destruição acidental ou ilícita e a perda acidental, e para evitar qualquer forma de tratamento ilícito, em especial a divulgação, a difusão, ou o acesso, não autorizados, ou a alteração de dados pessoais. devem, pelo menos:
a) Garantir que apenas o pessoal autorizado possa ter acesso aos dados pessoais para fins autorizados a nível legal,
b) Assegurar a proteção dos dados pessoais armazenados ou transmitidos contra a destruição acidental ou ilegal, a perda ou a alteração acidental e o armazenamento, o tratamento, o acesso ou a divulgação não autorizados ou ilegais; e ainda
c) Garantir a aplicação de uma política de segurança relativa ao tratamento dos dados pessoais.
3. São atribuídas competências à Comissão para adotar atos delegadosÉ atribuída ao Comité Europeu para a Proteção de Dados a tarefa de emitir diretrizes, recomendações e boas práticas em conformidade com o artigo 86.º, a fim de especificar mais concretamente os critérios e as condições66.º, n.º 1, alínea b), aplicáveis às medidas técnicas e organizativas referidas nos n.os 1 e 2, incluindo determinar em que consistem as técnicas mais recentes, para setores específicos e em situações específicas de tratamento de dados, nomeadamente atendendo à evolução das técnicas e a soluções de proteção da privacidade e dos dados desde a conceção, bem como por defeito, salvo se for aplicável o n.º 4, em conformidade com o disposto no artigo 66..
4. A Comissão pode adotar, sempre que necessário, atos de execução, a fim de especificar os requisitos previstos nos n.os 1 a 2 em diversas situações, tendo particularmente em vista:
(a) Impedir o acesso de pessoas não autorizadas aos dados pessoais;
(b) Impedir qualquer forma não autorizada de divulgação, leitura, reprodução, alteração, apagamento ou retirada de dados;
(c) Assegurar a verificação da licitude das operações de tratamento de dados.
Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.º, n.º 2.[Alt. 124]
Artigo 31.º
Notificação da violação de dados pessoais à autoridade de controlo
1. Em caso de violação de dados pessoais, o responsável pelo tratamento notifica desse facto a autoridade de controlo, sem demora injustificada e, sempre que possível, o mais tardar 24 horas após ter tido conhecimento da mesma. Caso a notificação à autoridade de controlo não seja transmitida no prazo de 24 horas, deve ser acompanhada de uma justificação razoável.
2. Nos termos do artigo 26.º, n.º 2, alínea f), O subcontratante alerta e informa o responsável pelo tratamento imediatamentesem demora injustificada, após a deteção de uma violação de dados pessoais.
3. A notificação referida no n.º 1 deve, pelo menos:
a) Descrever a natureza de violação dos dados pessoais, incluindo as categorias e o número de titulares de dados afetados, bem como as categorias e o número de registos de dados em causa;
b) Comunicar a identidade e os contactos do delegado para a proteção de dados ou de outro ponto de contacto onde possam ser obtidas informações adicionais;
c) Recomendar medidas destinadas a atenuar os eventuais efeitos adversos da violação de dados pessoais;
d) Descrever as consequências da violação de dados pessoais;
e) Descrever as medidas propostas ou adotadas pelo responsável pelo tratamento para remediar a violação de dados pessoais e atenuar os seus efeitos.
Se necessário, a informação pode ser fornecida por fases.
4. O responsável pelo tratamento documenta qualquer violação de dados pessoais, incluindo os factos relacionados com a mesma, os respetivos efeitos e a medida de reparação adotada. Essa documentação deve ser suficiente para permitir à autoridade de controlo verificar o respeito do disposto no presente artigo e no artigo 30.º. A documentação deve incluir apenas as informações necessárias para esse efeito.
4-A. A autoridade de controlo deve manter um registo público dos tipos de violações notificadas.
5. São atribuídas competências à ComissãoÉ atribuída ao Comité Europeu para a Proteção de Dados a tarefa de emitir diretrizes, recomendações e boas práticas em conformidade com o para adotar atos delegados nos termos do artigo 86.º, a fim de especificar mais concretamente os critérios e requisitos66.º, n.º 1, alínea b), aplicáveis à determinação da violação de dados referidae da demora injustificada referidas nos n.os 1 e 2, e às circunstâncias particulares em que um responsável pelo tratamento e um subcontratante são obrigados a notificar a violação de dados pessoais.
6. A Comissão pode definir um formato normalizado para essa notificação à autoridade de controlo, os procedimentos aplicáveis ao requisito de notificação, bem como o formulário e as modalidades para a documentação referida no n.º 4, incluindo os prazos para o apagamento das informações aí contidas. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.º, n.º 2.[Alt. 125]
Artigo 32.º
Comunicação de uma violação de dados pessoais ao titular dos dados
1. Sempre que a violação de dados pessoais for suscetível de afetar negativamente a proteção dos dados pessoais, a privacidade, os direitos ou os interesses legítimos do titular dos dados, o responsável pelo tratamento, após a notificação a que se refere o artigo 31.º, comunica a violação de dados pessoais à pessoa em causa sem demora injustificada.
2. A comunicação ao titular dos dados referida no n.º 1 deve ser abrangente e numa linguagem clara e simples. Deve descrever a natureza da violação dos dados pessoais e incluir, pelo menos, as informações e recomendações previstas no artigo 31.º, n.º 3, alíneas b),e c) e d), e as informações sobre os direitos dos titulares dos dados, incluindo o direito de recurso.
3. A comunicação de uma violação de dados pessoais ao seu titular não é exigida se o responsável pelo tratamento demonstrar cabalmente, a contento da autoridade de controlo, que tomou as medidas de proteção tecnológica adequadas e que estas foram aplicadas aos dados a que a violação diz respeito. Essas medidas de proteção tecnológica devem tornar os dados incompreensíveis para qualquer pessoa que não esteja autorizada a aceder a esses dados.
4. Sem prejuízo da obrigação que incumbe ao responsável pelo tratamento de comunicar ao titular dos dados a violação dos seus dados pessoais, se o primeiro não lho tiver já comunicado , a autoridade de controlo, atendendo aos efeitos negativos prováveis dessa violação, pode exigir que proceda a essa notificação.
5. São atribuídas competências à Comissão para adotar atos delegados nos termos do artigo 86.º, a fim de especificar mais concretamente os critérios e requisitosÉ atribuída ao Comité Europeu para a Proteção de Dados a tarefa de emitir diretrizes, recomendações e boas práticas em conformidade com o artigo 66.º, n.º 1, alínea b) aplicáveis às circunstâncias em que uma violação de dados pessoais seja suscetível de afetar negativamente os dados pessoais, a privacidade, os direitos ou os interesses legítimos do titular dos dados, tal como referido no n.º 1.
6. A Comissão pode definir o formato da comunicação ao titular dos dados referida no n.º 1 e os procedimentos aplicáveis a essa comunicação. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.º, n.º 2.[Alt. 126]
Artigo 32.º-A
Análise de riscos
1. O responsável pelo tratamento ou, se for caso disso, o subcontratante, efetua uma análise dos riscos do potencial impacto que o tratamento de dados possa representar para os direitos e as liberdades das pessoas em causa.
2. As operações de tratamento suscetíveis de apresentarem riscos específicos são as seguintes:
a) O tratamento de dados pessoais relacionados com mais de 5000 titulares de dados durante um período de 12 meses consecutivos;
b) O tratamento de categorias especiais de dados pessoais, conforme referido no artigo 9.º, n.º 1, dados de localização ou dados relativos a crianças ou a trabalhadores em sistemas de arquivo de grande dimensão;
c) A elaboração de perfis com base na qual são adotadas as medidas que produzem efeitos jurídicos relativamente à pessoa em causa ou que, do mesmo modo, a afetam de forma significativa;
d) O tratamento de dados pessoais destinadas à prestação de cuidados de saúde, investigações epidemiológicas, ou inquéritos relativos a doenças mentais ou infecciosas, sempre que os dados forem tratados com vista a adotar medidas ou decisões em grande escala visando pessoas específicas;
e) O controlo automatizado de zonas acessíveis ao público em grande escala;
f) Outras operações de tratamento para as quais é obrigatória a consulta do delegado para a proteção de dados ou da autoridade de controlo nos termos do artigo 34.º, n.º 2, alínea b);
g) Sempre que uma violação de dados pessoais seja suscetível de afetar negativamente a proteção dos dados pessoais, a privacidade, os direitos ou os interesses legítimos dos titulares de dados;
h) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático;
i) Sempre que sejam disponibilizados dados pessoais a um número de pessoas relativamente ao qual não seja razoável esperar que seja limitado;
3. Em conformidade com o resultado da análise dos riscos:
a) Sempre que se verifique qualquer das operações de tratamento referidas no n.º 2, alínea a) ou b), os responsáveis pelo tratamento não estabelecidos na União designam um representante na União, em conformidade com os requisitos e as derrogações previstas no artigo 25.º;
b) Sempre que se verifique qualquer das operações de tratamento referidas no n.º 2, alínea a),(b) ou h), o responsável pelo tratamento designa um delegado para a proteção de dados, em conformidade com os requisitos e as derrogações previstas no artigo 35.º;
c) Sempre que se verifique qualquer das operações de tratamento referidas no n.º 2, alínea a), b), c), d), e), f), g) ou h), o responsável pelo tratamento ou o subcontratante, atuando em nome do responsável pelo tratamento, efetua uma avaliação de impacto sobre a proteção dos dados, nos termos do artigo 33.º.
d) Sempre que se verifiquem as operações de tratamento referidas no n º 2, alínea (f), o controlador consulta o delegado para a proteção de dados ou, se não tiver sido nomeado um delegado para a proteção de dados, a autoridade de controlo, nos termos do artigo 34.º.
4. A análise dos riscos será revista, o mais tardar, um ano depois, ou imediatamente, se a natureza, o âmbito ou a finalidade das operações de tratamento de dados mudarem significativamente. Sempre que, nos termos do n.º 3, alínea (c), o responsável pelo tratamento não seja obrigado a realizar uma avaliação de impacto sobre a proteção de dados, a análise dos riscos deve ser documentada. [Alt. 127]
SECÇÃO 3
AVALIAÇÃO DE IMPACTO SOBRE ACICLODE VIDA DA GESTÃO DA PROTEÇÃO DE DADOS E AUTORIZAÇÃO PRÉVIA [Alt. 128]
Artigo 33.º
Avaliação de impacto sobre a proteção de dados
1. Sempre que as operações de tratamento apresentem riscos específicos para os direitos e liberdades dos titulares de dados em virtude da sua natureza, do seu âmbito ou da sua finalidade,requerido nos termos do artigo 32.º-A, n.º 3, alínea c), o responsável pelo tratamento ou o subcontratante, atuando em nome do responsável pelo tratamento, efetuam uma avaliação de impacto das operações de tratamento previstas sobre a os direitos e as liberdades dos titulares de dados, nomeadamente o seu direito à proteção de dados pessoais. Uma única avaliação será suficiente para fazer face a um conjunto de operações de tratamento semelhantes que apresentem riscos semelhantes.
2. As seguintes operações de tratamento, em especial, apresentam os riscos específicos referidos no n.º 1:
a) A avaliação sistemática e completa dos aspetos pessoais relacionados com uma pessoa singular, ou visando analisar ou prever, nomeadamente, a sua situação financeira, localização, saúde, preferências pessoais, fiabilidade ou comportamento, baseada num processo automatizado e com base na qual são adotadas medidas que produzem efeitos jurídicos relativamente à pessoa em causa ou que a afetam de forma significativa;
b) O tratamento de informações sobre a orientação sexual, saúde, raça e origem étnica, ou destinadas à prestação de cuidados de saúde, investigações epidemiológicas, ou inquéritos relativos a doenças mentais ou infecciosas, sempre que os dados forem tratados com vista a adotar medidas ou decisões em grande escala visando pessoas específicas;
c) O controlo de zonas acessíveis ao público, nomeadamente ao utilizar mecanismos ótico-eletrónicos (videovigilância) em grande escala;
d) Os dados pessoais em sistemas de arquivo de grande dimensão relativos a crianças, o tratamento de dados genéticos ou dados biométricos;
e) Outras operações de tratamento para as quais é obrigatória a consulta da autoridade de controlo nos termos do artigo 34.º, n.º 2, alínea b).
3. A avaliação deve incluir, pelo menos, uma descrição geral das operações de tratamento deter em conta o ciclo de vida completo da gestão de dados previstas, umapessoais, desde a recolha ao tratamento e eliminação. A avaliação dos riscos sobre os direitos e liberdades dos titulares de dados, as medidas previstas para fazer face aos riscos, as garantias, medidas de segurança e mecanismos para assegurar a proteção dos dados pessoais e demonstrar a conformidade com o presente regulamento, tendo em conta os direitos e os legítimos interesses das pessoas em causa e de terceiros.inclui, no mínimo:
a) Uma descrição sistemática das operações de tratamento de dados previstas, a finalidade do tratamento e, se for caso disso, os interesses legítimos do responsável pelo tratamento;
b) Uma avaliação da necessidade e proporcionalidade das operações de tratamento de dados em relação aos objetivos;
c) Uma avaliação dos riscos para os direitos e as liberdades dos titulares de dados, incluindo o risco de a discriminação ser incorporada na operação ou por ela reforçada;
d) Uma descrição das medidas previstas para fazer face aos riscos e minimizar o volume de dados pessoais tratados;
e) Uma lista das garantias, medidas de segurança e dos mecanismos para assegurar a proteção dos dados pessoais, tais como a atribuição de pseudónimos, e demonstrar a conformidade com o presente regulamento, tendo em conta os direitos e os legítimos interesses das pessoas em causa e de terceiros;
f) Uma indicação geral dos prazos fixados para o apagamento das diferentes categorias de dados;
g) Uma explicação sobre as práticas de proteção de dados desde a conceção e por defeito, no âmbito do artigo 23.º, usadas;
h) Uma lista dos destinatários ou das categorias de destinatários dos dados pessoais;
i) Se for caso disso, uma lista das transferências de dados previstas para um país terceiro ou uma organização internacional, incluindo o nome desse país terceiro ou dessa organização internacional;
j) Uma avaliação do contexto do tratamento de dados.
3-A. Se o responsável pelo tratamento ou o subcontratante designaram um delegado para a proteção de dados, este deverá participar no processo de avaliação de impacto.
3-B. A avaliação é documentada e é definido um calendário para proceder a revisões do cumprimento da proteção de dados nos termos do artigo 33.º-A, n.º 1. A avaliação é atualizada, sem demora injustificada, se os resultados da revisão do cumprimento da proteção de dados a que se refere o artigo 33.º-A revelarem a existência de incoerências no cumprimento. O responsável pelo tratamento e o subcontratante, bem como, caso exista, o representante do responsável pelo tratamento, disponibilizam a avaliação à autoridade de controlo, quando por esta solicitado.
4. O responsável pelo tratamento solicita a opinião dos titulares de dados ou dos seus representantes sobre o tratamento previsto, sem prejuízo da proteção dos interesses comerciais ou públicos ou da segurança das operações de tratamento de dados.
5. Sempre que o responsável pelo tratamento for uma autoridade ou um organismo público e o tratamento for realizado em execução de uma obrigação jurídica, em conformidade com o artigo 6.º, n.º 1, alínea a), que preveja regras e procedimentos relativos aos tratamentos e regulados pelo direito da União, não são aplicáveis os n.os 1 a 4, salvo se os Estados-Membros considerarem necessário realizar essa avaliação previamente às atividades de tratamento.
6. São atribuídas competências à Comissão para adotar atos delegados nos termos do artigo 86.º, a fim de especificar mais concretamente os critérios e condições aplicáveis às operações de tratamento de dados que possam apresentar os riscos específicos referidos nos n.os 1 e 2, bem como os requisitos aplicáveis à avaliação referida no n.º 3, incluindo as condições de redimensionabilidade, de verificação e de auditoria. Ao fazê-lo, a Comissão deve considerar a adoção de medidas específicas, em especial para as micro, pequenas e médias empresas.
7. A Comissão pode definir normas e procedimentos para a realização, verificação e auditoria da avaliação referida no n.º 3. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.º, n.º 2.[Alt. 129]
Artigo 33.º-A
Revisão do cumprimento da proteção de dados
1. O mais tardar dois anos após a realização de uma avaliação de impacto nos termos do artigo 33.º, n.º 1, o responsável pelo tratamento ou o subcontratante, atuando em nome do responsável pelo tratamento, procede a um controlo do cumprimento. Este controlo do cumprimento deve constatar que o tratamento de dados pessoais é efetuado no pleno respeito da avaliação de impacto sobre a proteção de dados.
2. O controlo do cumprimento é efetuado periodicamente, pelo menos de dois em dois anos, ou imediatamente, caso os riscos específicos apresentados nas operações de tratamento se tenham alterado.
3. Se os resultados do controlo do cumprimento revelarem insuficiências no cumprimento, o controlo deve incluir recomendações sobre o modo de alcançar o pleno cumprimento.
4. O controlo do cumprimento e as suas recomendações devem ser documentados. O responsável pelo tratamento e o subcontratante, bem como, caso exista, o representante do responsável pelo tratamento, devem disponibilizar, quando solicitada, o controlo do cumprimento existente à autoridade de controlo.
5. Se o responsável pelo tratamento ou o subcontratante tiverem designado um delegado para a proteção de dados, este deverá participar no controlo do cumprimento. [Alt. 130]
Artigo 34.º
Autorização prévia e Consulta prévia
1. O responsável pelo tratamento ou o subcontratante, consoante o caso, deve obter uma autorização da autoridade de controlo antes de proceder ao tratamento de dados pessoais, a fim de assegurar a conformidade do tratamento previsto com o regulamento e, nomeadamente, atenuar os riscos para os titulares de dados, sempre que um responsável pelo tratamento ou um subcontratante adote cláusulas contratuais como as previstas no artigo 42.º, n.º 2, alínea d), ou não assegure as garantias adequadas num instrumento juridicamente vinculativo, tal como previsto no artigo 42.º, n.º 5, que regule a transferência de dados pessoais para um país terceiro ou uma organização internacional.
2. O responsável pelo tratamento ou o subcontratante, agindo por conta do responsável pelo tratamento, consulta o delegado para a proteção de dados ou, se este não tiver sido nomeado, a autoridade de controlo antes de proceder ao tratamento de dados pessoais, a fim de assegurar a conformidade do tratamento previsto com o presente regulamento e, nomeadamente, atenuar os riscos para os titulares de dados, sempre que:
a) Uma avaliação de impacto sobre a proteção de dados, como prevista no artigo 33.º, indicar que as operações de tratamento, devido à sua natureza, âmbito ou finalidade, podem apresentar um elevado nível de riscos específicos; ou
b) O delegado para a proteção de dados ou a autoridade de controlo considerar necessário realizar uma consulta prévia sobre operações de tratamento suscetíveis de apresentar riscos específicos para os direitos e liberdades dos titulares de dados devido à sua natureza, âmbito e/ou finalidades, e que tenham sido especificadas em conformidade com o n.º 4.
3. Sempre que a autoridade de controlo for de opiniãocompetentedetermine, no âmbito das suas competências, que o tratamento a efetuar não cumpre o disposto no presente regulamento, em especial se os riscos não se encontrarem suficientemente identificados ou atenuados, proíbe o tratamento previsto e apresenta propostas adequadas para remediar essa falta de conformidade.
4. A autoridade de controloO Comité Europeu para a Proteção de Dados deve elaborar e tornar pública uma lista das operações de tratamento sujeitas a consulta prévia nos termos do n.º 2, alínea b). A autoridade de controlo comunica essa lista aos responsáveis pelo tratamento e ao Comité Europeu para a Proteção de Dados.
5. Sempre que a lista prevista no n.º 4 envolver atividades de tratamento relacionadas com a oferta de bens ou serviços a titulares de dados em diversos Estados-Membros, ou o controlo do seu comportamento, ou que possam afetar substancialmente a livre circulação de dados pessoais na União, a autoridade de controlo aplica o mecanismo de controlo da coerência referido no artigo 57.º previamente à adoção da lista.
6. O responsável pelo tratamento ou o subcontratante fornece à autoridade de controlo, a pedido desta, a avaliação de impacto sobre a proteção de dados prevista no artigo 33.º e, quando solicitado, qualquer outra informação que permita à autoridade de controlo avaliar a conformidade do tratamento e, nomeadamente, os riscos para a proteção dos dados pessoais do titular dos dados e as respetivas garantias.
7. Os Estados-Membros devem consultar a autoridade de controlo no quadro da preparação de uma medida legislativa a adotar pelo parlamento nacional, ou de uma medida baseada nessa medida legislativa, que defina a natureza do tratamento, a fim de assegurar a conformidade do tratamento previsto com o presente regulamento e, em especial, atenuar os riscos que comporta para os titulares de dados.
8. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o artigo 86.º, a fim de melhor especificar os critérios e requisitos aplicáveis à determinação do nível elevado de risco específico referido no n.º 2, alínea b).
9. A Comissão pode estabelecer formulários e procedimentos normalizados para as autorizações e consultas prévias referidas nos n.os 1 e 2, bem como formulários e procedimentos normalizados para a informação das autoridades de controlo a título do n.º 6. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.º, n.º 2.[Alt. 131]
SECÇÃO 4
DELEGADO PARA A PROTEÇÃO DE DADOS
Artigo 35.º
Designação do delegado para a proteção de dados
1. O responsável pelo tratamento e o subcontratante designam um delegado para a proteção de dados sempre que:
a) O tratamento for efetuado por uma autoridade ou um organismo público; ou
b) O tratamento for efetuado por uma empresa com 250 assalariados ou mais; pessoa coletiva e afetar mais de 5000 titulares de dados durante um período de 12 meses consecutivos; ou
c) As atividades principais do responsável pelo tratamento ou do subcontratante consistiam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares de dados. ; ou
d) As atividades principais do responsável pelo tratamento ou do subcontratante consistem em proceder ao tratamento de categorias especiais de dados nos termos do artigo 9.º, n.º 1, dados de localização ou dados relativos a crianças ou a trabalhadores em sistemas de arquivo de grande dimensão;
2. No caso referido no n.º 1, alínea b), Um grupo de empresas pode designar um delegado para a proteção de dados como principal responsável, desde que um delegado para a proteção de dados esteja facilmente acessível a partir de cada estabelecimento.
3. Sempre que o responsável pelo tratamento ou o subcontratante for uma autoridade ou um organismo público, o delegado para a proteção de dados pode ser designado para várias das suas entidades, atendendo à estrutura organizacional da autoridade ou do organismo público.
4. Em casos diferentes dos visados no n.º 1, o responsável pelo tratamento ou o subcontratante ou as associações e outros organismos que representem categorias de responsáveis pelo tratamento ou de subcontratantes podem designar um delegado para a proteção de dados.
5. O responsável pelo tratamento ou o subcontratante designam o delegado para a proteção de dados com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio da legislação e das práticas a nível da proteção de dados, e na sua capacidade para cumprir as funções referidas no artigo 37.º. O nível de conhecimentos especializados necessários é determinado, em particular, em função do tratamento de dados realizado e da proteção exigida para os dados pessoais tratados pelo responsável pelo tratamento ou pelo subcontratante.
6. O responsável pelo tratamento ou o subcontratante deve assegurar que quaisquer outras funções profissionais que incumbem ao delegado para a proteção de dados sejam compatíveis com as atribuições e funções dessa pessoa na qualidade de delegado para a proteção de dados e não impliquem um conflito de interesses.
7. O responsável pelo tratamento ou o subcontratante designam um delegado para a proteção de dados pelo período mínimo de quatro anos, se se tratar de um trabalhador, ou de dois anos, se se tratar de um prestador de serviços externo. O mandato do delegado para a proteção de dados pode ser renovado. No decurso do seu mandato, o delegado para a proteção de dados apenas pode ser exonerado se tiver deixado de cumprir as condições exigidas para o exercício das suas funções.
8. O delegado para a proteção de dados pode ser um assalariado do responsável pelo tratamento ou do subcontratante, ou exercer as suas funções com base num contrato de prestação de serviços.
9. O responsável pelo tratamento ou o subcontratante comunica o nome e os contactos do delegado para a proteção de dados à autoridade de controlo e ao público.
10. Os titulares de dados têm o direito de contactar o delegado para a proteção de dados sobre todos os assuntos relacionados com o tratamento dos seus dados pessoais e de solicitar o exercício dos direitos que lhe confere o presente regulamento.
11. São atribuídas competências à Comissão para adotar atos delegados nos termos do artigo 86.º, a fim de especificar mais concretamente os critérios e requisitos aplicáveis às atividades principais do responsável pelo tratamento ou do subcontratante, referidas no n.º 1, alínea c), bem como os critérios aplicáveis às qualidades profissionais do delegado para a proteção de dados referidas no n.º 5. [Alt. 132]
Artigo 36.º
Função do delegado para a proteção de dados
1. O responsável pelo tratamento ou o subcontratante assegura que o delegado para a proteção de dados seja associado, de forma adequada e em tempo útil, a todas as matérias relacionadas com a proteção de dados pessoais.
2. O responsável pelo tratamento ou o subcontratante assegura que o delegado para a proteção de dados exerce as suas funções e atribuições de forma independente, não recebendo quaisquer instruções relativas ao exercício da sua função. O delegado para a proteção de dados tem o dever de informar diretamente a direção executiva do responsável pelo tratamento ou do subcontratante. Com esta finalidade, o responsável pelo tratamento ou o subcontratante designam um membro da direção executiva responsável pelo cumprimento das disposições do presente regulamento.
3. O responsável pelo tratamento ou o subcontratante apoia o delegado para a proteção de dados no exercício das suas funções e deve fornecer todos os meios, incluindo pessoal, instalações, equipamentos e quaisquer outros recursos necessários ao exercício das funções e atribuições referidas no artigo 37.º e à manutenção dos seus conhecimentos profissionais.
4. Os delegados para a proteção de dados devem estar vinculados ao dever de sigilo em relação à identidade dos titulares dos dados e às circunstâncias que permitem a identificação dos mesmos, a menos que os titulares os exonerem dessa obrigação. [Alt. 133]
Artigo 37.º
Atribuições do delegado para a proteção de dados
1. O responsável pelo tratamento ou o subcontratante confia ao delegado para a proteção de dados, pelo menos, as seguintes atribuições:
a) Sensibilizar, informar e aconselhar o responsável pelo tratamento ou o subcontratante sobre as suas obrigações nos termos do presente regulamento, em particular no que se refere a medidas e procedimentos técnicos e organizativos, e conservar documentação sobre esta atividade e as respostas recebidas;
b) Controlar a execução e a aplicação das regras internas do responsável pelo tratamento ou do subcontratante relativas à proteção de dados pessoais, incluindo a repartição de responsabilidades, a formação do pessoal envolvido nas operações de tratamento de dados, e as auditorias correspondentes;
c) Controlar a execução e a aplicação do presente regulamento, em especial quanto aos requisitos relacionados com a proteção de dados desde a conceção, a proteção de dados por defeito e a segurança de dados, bem como às informações dos titulares de dados e exame dos pedidos para exercer os seus direitos nos termos do presente regulamento;
d) Assegurar que a documentação referida no artigo 28.º é conservada;
e) Controlar a documentação, a notificação e a comunicação relativas a violações de dados pessoais, nos termos dos artigos 31.º e 32.º;
f) Acompanhar a realização da avaliação de impacto sobre a proteção de dados pelo responsável pelo tratamento ou pelo subcontratante, bem como os pedidos de autorização prévia ou de consulta prévia, se necessário, nos termos dos artigos 32.º-A, 33.º e 34.º;
g) Acompanhar a resposta aos pedidos da autoridade de controlo e, no âmbito da competência do delegado para a proteção de dados, cooperar com a autoridade de controlo, a pedido desta ou por iniciativa do próprio delegado para a proteção de dados;
h) Atuar como ponto de contacto para a autoridade de controlo sobre assuntos relacionados com o tratamento, e consultar esta autoridade, se for caso disso, por sua própria iniciativa;
i) Verificar a conformidade com o presente regulamento nos termos do mecanismo de consulta estabelecido no artigo 34.º.
j) Informar os representantes dos trabalhadores sobre o tratamento de dados dos trabalhadores.
2. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o artigo 86.º, a fim de especificar mais concretamente os critérios e requisitos aplicáveis às atribuições, certificação, estatuto, competências e recursos do delegado para a proteção de dados referidos no n.º 1.[Alt. 134]
SECÇÃO 5
CÓDIGOS DE CONDUTA E CERTIFICAÇÃO
Artigo 38.º
Códigos de conduta
1. Os Estados-Membros, as autoridades de controlo e a Comissão devem promover a elaboração de códigos de conduta ou a adoção de códigos de conduta elaborados por uma autoridade de controlo destinados a contribuir para a correta aplicação do presente regulamento, em função das características dos diferentes setores de tratamento de dados, em especial no que se refere a:
(a) Tratamento de dados leal e transparente;
a-A) Respeito pelos direitos do consumidor;
b) Recolha de dados;
c) Informação do público e dos titulares de dados;
d) Pedidos dos titulares de dados no exercício dos seus direitos;
e) Informações e proteção das crianças;
f) Transferências de dados para países terceiros ou organizações internacionais;
g) Mecanismos de controlo e de garantia do respeito do código pelos responsáveis pelo tratamento que a ele adiram;
h) Ações extrajudiciais e outros procedimentos de resolução de litígios entre os responsáveis pelo tratamento e os titulares de dados em relação ao tratamento de dados pessoais, sem prejuízo dos direitos dos titulares de dados nos termos dos artigos 73.º e 75.º
2. As associações e outros organismos que representem categorias de responsáveis pelo tratamento ou subcontratantes num Estado-Membro que tencionem elaborar códigos de conduta ou alterar ou prorrogar os códigos de conduta existentes, podem submetê-los ao parecer da autoridade de controlo desse Estado-Membro. A autoridade de controlo pode deve, sem demora injustificada, emitir um parecer sobre a conformidade com o presente regulamentose o tratamento ao abrigo do projeto de código de conduta ou da alteração está em conformidade com o presente regulamento. A autoridade de controlo deve solicitar a opinião dos titulares de dados ou dos seus representantes sobre esses projetos.
3. As associações e outros organismos representativos de categorias de responsáveis pelo tratamento ou subcontratantes em vários Estados‑Membros podem submeter à Comissão projetos de códigos de conduta, bem como alterações ou prorrogações dos códigos de conduta existentes.
4. São atribuídas competências à Comissão para adotar , depois de solicitar o parecer do Comité Europeu para a Proteção de Dados, a atos de execução delegados, nos termos do artigo 86.º, a fim de declarar, mediante decisão, que os códigos de conduta, bem como as alterações ou prorrogações aos códigos de conduta existentes que lhe sejam apresentados nos termos do n.º 3, estão em consonância com o presente regulamento e são de aplicabilidade geral na União. OsEstes atos de execução correspondentes são adotados em conformidade com o procedimento de exame estabelecido no artigo 87.º, n.º 2. delegados conferem direitos efetivos aos titulares de dados.
5. A Comissão assegura a publicidade adequada dos códigos que, mediante decisão, declarou serem de aplicabilidade geral em conformidade com o n.º 4.[Alt. 135]
Artigo 39.º
Certificação
1. Os Estados-Membros e a Comissão devem promover, em especial a nível europeu, a criação de mecanismos de certificação em matéria de proteção de dados, bem como selos e marcas de proteção de dados, que permitam aos titulares de dados avaliar rapidamente o nível de proteção de dados fornecido pelos responsáveis pelo tratamento e subcontratantes. Os mecanismos de certificação em matéria de proteção de dados devem contribuir para a correta aplicação do presente regulamento, tendo em conta as características dos vários setores e das diferentes operações de tratamento de dados.
1-A. Qualquer responsável pelo tratamento ou subcontratante poderá requerer uma taxa razoável a qualquer autoridade de controlo da União, tendo em conta as despesas administrativas, para certificar que o tratamento dos dados pessoais é executado em conformidade com o presente regulamento, nomeadamente os princípios enunciados nos artigos 5.º, 23.º e 30.º, as obrigações do responsável pelo tratamento e o subcontratante, bem como os direitos do titular de dados.
1-B. A certificação é voluntária, acessível e disponível através de um processo transparente e não excessivamente oneroso.
1-C. As autoridades de controlo e o Comité Europeu para a Proteção de Dados devem cooperar ao abrigo do mecanismo de controlo, nos termos do artigo 57.º, para assegurar a harmonização do mecanismo de certificação de proteção de dados, nomeadamente no que respeita às taxas no âmbito da União.
1-D. Durante este processo de certificação, a autoridade de controlo pode conceder acreditação a auditores de terceiros para realizarem em seu nome a auditoria ao responsável pelo tratamento ou ao subcontratante. Os auditores de terceiros devem dispor de pessoal suficientemente qualificado, ser imparciais e isentos de conflitos de interesses relativamente aos seus deveres. As autoridades de controlo devem revogar a acreditação se existirem motivos para crer que o auditor não cumpre as suas obrigações corretamente. A certificação final deve ser atribuída pela autoridade de controlo.
1-E. As autoridades de controlo devem atribuir aos responsáveis pelo tratamento e subcontratantes, certificados no âmbito da auditoria como procedendo ao tratamento de dados pessoais nos termos do presente regulamento, a marca de proteção de dados normalizada denominada «selo europeu de proteção de dados».
1-F. O «selo europeu de proteção de dados» é válido desde que as operações de tratamento de dados do responsável pelo tratamento ou subcontratante certificado estejam em plena conformidade com o presente regulamento.
1-G. Sem prejuízo do disposto no n.º 1-F, a certificação é válida, no máximo, por um período de cinco anos.
1-H. O Comité Europeu para a Proteção de Dados estabelece um registo eletrónico público em que possam ser vistos todos os certificados válidos e inválidos concedidos nos Estados-Membros.
1-I. O Comité Europeu para a Proteção de Dados pode, por iniciativa própria, certificar que uma norma técnica de reforço da proteção de dados cumpre o presente regulamento.
2. São atribuídas competências à Comissão para adotar, depois de solicitar o parecer do Comité Europeu para a Proteção de Dados e de consultar os interessados, nomeadamente a indústria e as organizações não-governamentais, atos delegados em conformidade com o artigo 86.º, a fim de especificar mais concretamente os critérios e requisitos aplicáveis aos mecanismos de certificação em matéria de proteção de dados referidos no n.º 1 nosn.ºs 1-A a 1-H, os requisitos de acreditação de auditores, as condições de concessão e revogação, bem como os requisitos em matéria de reconhecimento na União e nos países terceiros. Estes atos delegados devem conferir direitos efetivos aos titulares de dados.
3. A Comissão pode estabelecer normas técnicas para os mecanismos de certificação, bem como selos e marcas em matéria de proteção de dados, e mecanismos para promover e reconhecer os mecanismos de certificação e selos e marcas de proteção de dados. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame estabelecido no artigo 87.º, n.º 2.[Alt. 136]
CAPÍTULO V
TRANSFERÊNCIA DE DADOS PESSOAIS PARA PAÍSES TERCEIROS OU ORGANIZAÇÕES INTERNACIONAIS
Artigo 40.º
Princípio geral das transferências
Qualquer transferência de dados pessoais que seja ou venha a ser objeto de tratamento após transferência para um país terceiro ou uma organização internacional só pode ser realizada se, sem prejuízo das outras disposições do presente regulamento, as condições estabelecidas no presente capítulo forem respeitadas pelo responsável pelo tratamento e pelo subcontratante, incluindo para as transferências ulteriores de dados pessoais do país terceiro ou da organização internacional para outro país terceiro ou outra organização internacional.
Artigo 41.º
Transferências acompanhadas de uma decisão de adequação
1. Uma transferência pode ser realizada se a Comissão tiver decidido que o país terceiro, ou um território ou um setor de tratamento nesse país terceiro, ou a organização internacional em causa, assegura um nível de proteção adequado. Essa transferência não exige qualquer autorização suplementarespecífica.
2. Ao avaliar o nível de proteção adequado, a Comissão deve ter em conta os seguintes elementos:
a) O primado do Estado de direito, a legislação relevante em vigor, geral ou setorial, incluindo no que respeita à segurança pública, à defesa, à segurança nacional e ao direito penal, bem como à implementação desta legislação, às regras profissionais e às medidas de segurança que são respeitadas nesse país ou por essa organização internacional, precedentes jurisprudenciais, bem como a existência de direitos efetivos e oponíveis, incluindo vias de recurso administrativo e judicial para os titulares de dados, nomeadamente para as pessoas residentes na União cujos dados pessoais sejam objeto de transferência;
b) A existência e o funcionamento efetivo de uma ou mais autoridades de controlo independentes no país terceiro ou na organização internacional em causa, responsáveis por assegurar o respeito das regras de proteção de dados, incluindo poderes sancionatórios suficientes, assistir e aconselhar o titular de dados no exercício dos seus direitos, e cooperar com as autoridades de controlo da União e dos Estados-Membros; e ainda
c) Os compromissos internacionais assumidos pelo país terceiro ou pela organização internacional, em particular quaisquer convenções ou instrumentos juridicamente vinculativos relativos à proteção de dados pessoais.
3. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o artigo 86.º, a Comissão podefim de decidir que um país terceiro, um território, ou um setor de tratamento dentro desse país terceiro, ou uma organização internacional, garante um nível de proteção adequado na aceção do n.º 2. OsTais atos delegados preveem uma cláusula de execução correspondentes são adotados em conformidadecaducidade sempre que digam respeito a um setor de tratamento de dados e são revogados de acordo com o procedimento de exame referido no artigo 87.º, n.º 2n.º 5, assim que deixe de estar assegurado um nível adequado de proteção nos termos do presente regulamento.
4. O ato de execuçãodelegado deve especificar o âmbito de aplicação geográficoterritorial e setorial e, se for caso disso, identificar a autoridade de controlo referida no n.º 2, alínea b).
4-A. A Comissão deve, de forma continuada, acompanhar os desenvolvimentos em países terceiros e em organizações internacionais, que possam afetar o cumprimento dos elementos enunciados no n.º 2, em relação aos quais tenha sido adotado um ato delegado nos termos do n.º 3.
5. A São atribuídas competências à Comissão pode para adotar atos delegados, em conformidade com o artigo 86.º, a fim de decidir que um país terceiro, um território ou um setor de tratamento nesse país terceiro, ou uma organização internacional, não assegura um nível de proteção adequado na aceção do n.º 2, em especial nos casos em que a legislação relevante, quer de caráter geral ou setorial, em vigor no país terceiro ou na organização internacional, não assegura, ou deixou de assegurar, direitos efetivos e oponíveis, incluindo vias de recurso administrativo e judicial para os titulares de dados, nomeadamente para as pessoas residentes no território da União cujos dados pessoais sejam objeto de transferência. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.º, n.º 2 ou, em casos de extrema urgência para as pessoas singulares no que se refere ao seu direito de proteção de dados pessoais, em conformidade com o procedimento referido no artigo 87.º, n.º 3.
6. Sempre que a Comissão adote uma decisão por força do n.º 5, qualquer transferência de dados pessoais para o país terceiro, um território ou um setor de tratamento nesse país terceiro, ou organização internacional em causa, é proibida, sem prejuízo dos artigos 42.º a 44.º. Em momento oportuno, a Comissão deve encetar negociações com o país terceiro ou a organização internacional, com vista a remediar a situação resultante da decisão adotada nos termos do n.º 5.
6-A. Antes de adotar os atos delegados nos termos dos n.ºs 3 e 5, a Comissão deve requerer um parecer ao Comité Europeu para a Proteção de Dados sobre o nível de proteção adequado. Para este efeito, a Comissão deve fornecer ao Comité Europeu para a Proteção de Dados toda a documentação necessária, incluindo a correspondência com o governo do país terceiro, o território ou o setor de tratamento de dados nesse país terceiro o território ou a organização internacional.
7. A Comissão publica no Jornal Oficial da União Europeia e no seu sítio Web uma lista dos países terceiros, territórios e setores de tratamento num país terceiro e de organizações internacionais relativamente aos quais tenha declarado, mediante decisão, que asseguram ou não um nível de proteção adequado.
8. As decisões adotadas pela Comissão com base no artigo 25, n.º 6, ou no artigo 26.º, n.º 4, da Diretiva 95/46/CE, permanecem em vigor até à suadurante cinco anos após a entrada em vigor do presente regulamento, exceto em caso de alteração, substituição ou revogação pela Comissão antes do final deste período. [Alt. 137]
Artigo 42.º
Transferências mediante garantias adequadas
1. Sempre que a Comissão não tenha tomado qualquer decisão nos termos do artigo 41.º, ou decida que um país terceiro, ou um território ou um setor de tratamento de dados dentro desse país terceiro, ou uma organização internacional, não assegura um nível de proteção de dados adequado em conformidade com o n.º 5do mesmo artigo, um responsável pelo tratamento ou um subcontratante só pode transferir dados pessoais para um país terceiro ou uma organização internacional se tiver apresentado garantias adequadas quanto à proteção de dados pessoais num instrumento juridicamente vinculativo.
2. As garantias adequadas referidas no n.º 1 devem ser previstas, nomeadamente, em:
a) Regras vinculativas para empresas em conformidade com o artigo 43.º; ou
a-A) Um «selo europeu de proteção de dados» válido, para o responsável pelo tratamento e o destinatário dos dados, em conformidade com o artigo 39.º, n.º 1, alínea e); ou
b) Cláusulas-tipo de proteção de dados adotadas pela Comissão. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.º, n.º 2; ou
c) Cláusulas-tipo de proteção de dados adotadas por uma autoridade de controlo em conformidade com o mecanismo de controlo da coerência previsto no artigo 57.º, se declaradas de aplicabilidade geral pela Comissão nos termos do artigo 62.º, n.º 1, alínea b); ou
(d) Cláusulas contratuais entre o responsável pelo tratamento ou o subcontratante e o destinatário dos dados, aprovadas por uma autoridade de controlo em conformidade com o n.º 4.
3 Uma transferência realizada com base em cláusulas-tipo de proteção de dados, um «selo europeu de proteção de dados» ou regras vinculativas para empresas, referidas no n.º 2, alíneas a), b)a-A ou c), não necessita de qualquer outra autorização específica.
4. Sempre que uma transferência tiver por base cláusulas contratuais como as referidas no n.º 2, alínea d) do presente artigo, o responsável pelo tratamento dos dados ou o subcontratante deve obter a autorização prévia das cláusulas contratuais, em conformidade com o artigo 34.º, n.º 1, alínea a), pela autoridade de controlo. Se a transferência estiver relacionada com atividades de tratamento relativas a titulares de dados noutro Estado-Membro, ou possam prejudicar substancialmente a livre circulação de dados pessoais na União, a autoridade de controlo aplica o mecanismo de controlo da coerência referido no artigo 57.º.
5. Sempre que as garantias adequadas para a proteção de dados pessoais não estiverem previstas num instrumento juridicamente vinculativo, o responsável pelo tratamento ou o subcontratante deve obter a autorização prévia da transferência ou de um conjunto de transferências, ou prever a inserção de disposições no quadro de um regime administrativo que estabeleça a base para a transferência em causa. Essa autorização por parte da autoridade de controlo deve respeitar o artigo 34.º, n.º 1, alínea a). Se a transferência estiver relacionada com atividades de tratamento relativas a titulares de dados noutro Estado-Membro, ou possam prejudicar substancialmente a livre circulação de dados pessoais na União, a autoridade de controlo aplica o mecanismo de controlo da coerência referido no artigo 57.º. As autorizações por uma autoridade de controlo com base no artigo 26.º, n.º 2, da Diretiva 95/46/CE permanecem em vigor até à suadurante dois anos após a entrada em vigor do presente regulamento, exceto em caso de alteração, substituição ou revogação pela mesma autoridade de controlo antes do final deste período. [Alt. 138]
Artigo 43.º
Transferências mediante regras vinculativas para empresas
1. UmaA autoridade de controlo, em conformidade com o mecanismo de controlo de coerência previsto no artigo 58.º, aprova as regras vinculativas para empresas, desde que estas:
a) Sejam vinculativas e aplicáveis a todas as entidades do grupo de empresas do responsável pelo tratamento ou do subcontratantetratamento e os seus subcontratantes externos abrangidos pelas regras vinculativas para empresas, incluindo os seus assalariados; que deverão assegurar o seu respeito;
b) Confiram expressamente direitos aos titulares de dados;
c) Respeitem os requisitos estabelecidos no n.º 2.
1-A. Em relação aos dados de emprego, os representantes dos trabalhadores devem ser informados e, de acordo com a legislação ou a prática da União ou do Estado‑Membro, envolvidos na elaboração de regras vinculativas para a empresa, nos termos do artigo 43.º.
2. As regras vinculativas para empresas devem, pelo menos, especificar:
a) A estrutura e os contactos do grupo de empresas e das entidades que o compõem eos seus subcontratantes externos abrangidos pelas regras vinculativas para empresas;
b) As transferências ou conjunto de transferências de dados, incluindo as categorias de dados pessoais, o tipo de tratamento e as finalidades, o tipo de titulares de dados afetado e a identificação do país ou países terceiros em questão;
c) O seu caráter juridicamente vinculativo, a nível interno e externo;
d) Os princípios gerais de proteção de dados, nomeadamente a limitação das finalidades, a minimização dos dados, os períodos muito curtos de conservação, a qualidade dos dados, a proteção dos dados desde a conceção e por defeito, a base jurídica para o tratamento, o tratamento de dados pessoais sensíveis, as medidas de garantia da segurança dos dados e os requisitos para transferências ulteriores para organizações que não se encontrem vinculadas pelas medidas em causa;
e) Os direitos dos titulares de dados e os mecanismos de exercício desses direitos, incluindo o direito de não ser objeto de uma medida baseada na definição de perfis nos termos do artigo 20.º, o direito de apresentar uma queixa à autoridade de controlo competente e aos tribunais competentes dos Estados-Membros nos termos do artigo 75.º, n.º 2, e obter uma reparação e, se for caso disso, uma indemnização pela violação das regras vinculativas para empresas;
f) A aceitação, pelo responsável pelo tratamento ou pelo subcontratante estabelecido no território de um Estado-Membro, da responsabilidade por qualquer violação às regras vinculativas para empresas por qualquer entidade do grupo de empresas não estabelecido na União; o responsável pelo tratamento ou o subcontratante só pode ser exonerado dessa responsabilidade, no todo ou em parte, se provar que o facto que causou o dano não é imputável a essa entidade;
g) A forma como as informações sobre as regras vinculativas para empresas, nomeadamente relativas às disposições referidas nas alíneas d), e) e f), são comunicadas aos titulares de dados nos termos do artigo 11.º;
h) As atribuições do delegado para a proteção de dados, designado nos termos do artigo 35.º, incluindo o controlo do respeito das regras vinculativas para empresas, a nível do grupo de empresas, bem como a supervisão de ações de formação e do tratamento de queixas;
i) Os mecanismos existentes no grupo de empresas com vista a assegurar a verificação do respeito das regras vinculativas para empresas;
j) Os mecanismos de elaboração de relatórios e de registo de alterações introduzidas às regras internas e para a comunicação dessas alterações à autoridade de controlo;
k) O mecanismo de cooperação com a autoridade de controlo para assegurar o respeito, por qualquer entidade do grupo de empresas, em especial disponibilizando à autoridade de controlo os resultados da verificação das medidas referidas na alínea i).
3. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o artigo 86.º, a fim de especificar mais concretamente o formato, os procedimentos, os critérios e as condições aplicáveis às regras vinculativas para empresas na aceção do presente artigo, nomeadamente quanto aos critérios aplicáveis à respetiva aprovação, incluindo a transparência para os titulares de dados, à aplicação do n.º 2, alíneas b), d), e) e f), às regras vinculativas para empresas às quais aderem subcontratantes, e aos requisitos necessários para assegurar a proteção de dados pessoais dos titulares de dados.
4. A Comissão pode especificar o formato e os procedimentos para o intercâmbio eletrónico de informações entre os responsáveis pelo tratamento, os subcontratantes e as autoridades de controlo, em relação às regras vinculativas para empresas na aceção do presente artigo. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame previsto no artigo 87.º, n.º 2. [Alt. 139]
Artigo 43.º-A
Transferências ou divulgações não autorizadas pelo direito da UE
1. As sentenças de órgãos judiciais e as decisões de autoridades administrativas de um país terceiro, que solicitem a um responsável pelo tratamento ou subcontratante que divulgue dados pessoais, não serão reconhecidas ou executadas de nenhuma forma, sem prejuízo de um acordo de assistência judiciária mútua ou de um acordo internacional em vigor entre o país terceiro requerente e a União ou um Estado-Membro.
2. Sempre que os acórdãos de tribunais e as decisões de autoridades administrativas de um país terceiro solicitem a um responsável pelo tratamento ou subcontratante que divulgue dados pessoais, o responsável pelo tratamento ou o subcontratante e, caso exista, o representante do responsável pelo tratamento, deve notificar a autoridade de controlo do pedido, sem demora injustificada, e deve obter autorização prévia da autoridade de controlo para a transferência ou divulgação.
3. A autoridade de controlo avalia a conformidade da divulgação pedida com o presente regulamento e, em particular, se a divulgação é necessária e exigida legalmente de acordo com o artigo 44.º, n.º 1, alíneas d) e e), e com o n.º 5 do mesmo artigo. Sempre que sejam prejudicados titulares de dados de outros Estados-Membros, a autoridade de controlo competente aplica o mecanismo de controlo da coerência referido no artigo 57.º.
4. A autoridade de controlo informa do pedido a autoridade nacional competente. Sem prejuízo do disposto no artigo 21.º, o responsável pelo tratamento ou o subcontratante deve ainda informar os titulares dos dados do pedido e da autorização pela autoridade de controlo e, se necessário, informar o titular dos dados sobre se foram fornecidos dados pessoais às autoridades públicas durante o último período consecutivo de 12 meses, nos termos do artigo 14.º, n.º1, alínea h-A). [Alt. 140]
Artigo 44.º
Derrogações
1. Na falta de uma decisão de adequação nos termos do artigo 41.º, ou de garantias adequadas nos termos do artigo 42.º, uma transferência ou um conjunto de transferências de dados pessoais para um país terceiro ou uma organização internacional só pode ser efetuada se:
a) O titular dos dados tiver dado o seu consentimento à transferência prevista, após ter sido informado dos riscos que essa transferência acarreta devido à falta de uma decisão de adequação e das garantias adequadas; ou
b) A transferência for necessária para a execução de um contrato entre o titular dos dados e o responsável pelo tratamento ou de diligências prévias à formação do contrato decididas a pedido da pessoa em causa; ou
c) A transferência for necessária para a celebração ou execução de um contrato acordado, no interesse do titular dos dados, entre o responsável pelo tratamento e outra pessoa singular ou coletiva; ou
d) A transferência for necessária por motivos importantes de interesse público; ou
e) A transferência for necessária à declaração, ao exercício ou à defesa de um direito num processo judicial; ou
f) A transferência for necessária para proteger os interesses vitais do titular dos dados ou de outra pessoa, se esse titular estiver física ou legalmente incapaz de dar o seu consentimento; ou
g) A transferência for realizada a partir de um registo público que, nos termos da legislação União ou de um Estado-Membro, se destine à informação do público e se encontre aberto à consulta do público em geral ou de qualquer pessoa que possa provar um interesse legítimo, na medida em que as condições estabelecidas no direito da União ou de um Estado-Membro para a consulta estejam preenchidas no caso concreto; ou
h) A transferência for necessária para efeitos dos interesses legítimos do responsável pelo tratamento ou do subcontratante, que não seja qualificada como frequente ou maciça e que o responsável pelo tratamento ou o subcontratante tenha avaliado todas as circunstâncias relativas à operação de transferência de dados ou ao conjunto de operações de transferência de dados e, com base nessa avaliação, tiver apresentado garantias adequadas quanto à proteção de dados pessoais, se for caso disso.
2. Uma transferência efetuada nos termos do n.º 1, alínea g), não deve envolver a totalidade dos dados pessoais nem categorias completas de dados pessoais constantes do registo. Sempre que o registo se destinar a ser consultado por pessoas com um interesse legítimo, a transferência apenas pode ser efetuada a pedido dessas pessoas ou caso sejam elas os seus destinatários.
3. Sempre que o tratamento tiver por base o n.º 1, alínea h), o responsável pelo tratamento ou o subcontratante deve atender especialmente à natureza dos dados, à finalidade e à duração do tratamento ou tratamentos previstos, bem como à situação no país de origem, no país terceiro e no país de destino final, e apresentar as garantias adequadas relativamente à proteção de dados pessoais, se for caso disso.
4. As alíneas b), e c) e h) do n.º 1 não são aplicáveis a atividades executadas por autoridades no exercício dos seus poderes públicos.
5. O interesse público referido no n.º 1, alínea d), deve ser reconhecido pelo direito da União ou do Estado-Membro ao qual o responsável pelo tratamento se encontre sujeito.
6. O responsável pelo tratamento ou o subcontratante deve documentar, nos termos do artigo 28.º, a avaliação e as garantias adequadas apresentadas, referidas no n.º 1, alínea h), e informa a autoridade de controlo da transferência.
7. São atribuídas competências à ComissãoÉ atribuída ao Comité Europeu para a Proteção de Dados a tarefa de emitir diretrizes, recomendações e boas práticas adotar atos delegados em conformidade com o artigo 86.º66.º, n.º 1, alínea b), a fim de especificar mais concretamente os «motivos importantes de interesse público» na aceção do n.º 1, alínea d), bem como os critérios e requisitos aplicáveis às garantias adequadas referidos no n.º 1, alínea h)à transferência de dados com base no n.º 1. [Alt. 141]
Artigo 45.º
Cooperação internacional no domínio da proteção de dados pessoais
1. Em relação a países terceiros e a organizações internacionais, a Comissão e as autoridades de controlo devem adotar as medidas necessárias para:
a) Elaborar mecanismos de cooperação internacionais eficazes visando facilitarassegurar a aplicação da legislação relativa à proteção de dados pessoais; [Alt. 142]
b) Prestar assistência mútua a nível internacional no domínio da aplicação da legislação de proteção de dados pessoais, incluindo através da notificação, transmissão das queixas, assistência na investigação e intercâmbio de informações, sob reserva das garantias adequadas para a proteção dos dados pessoais e outros direitos e liberdades fundamentais;
c) Associar as partes interessadas relevantes nas discussões e atividades com vista à promoção da cooperação internacional na aplicação da legislação relativa à proteção de dados pessoais;
d) Promover o intercâmbio e a documentação da legislação e das práticas em matéria de proteção de dados pessoais.;
d-A) clarificar e proceder a consultas sobre conflitos jurisdicionais com países terceiros. [Alt. 143]
2. Para efeitos da aplicação do n.º 1, a Comissão deve adotar as medidas necessárias para intensificar as relações com os países terceiros ou as organizações internacionais e, em especial, as suas autoridades de controlo, sempre que a Comissão tiver declarado, mediante decisão, que asseguram um nível de proteção adequado na aceção do artigo 41.º, n.º 3.
Artigo 45.º-A
Relatório da Comissão
A Comissão apresenta ao Parlamento Europeu e ao Conselho, com regularidade, começando o mais tardar quatro anos após a data referida no artigo 91.º, n.º 1, um relatório sobre a aplicação dos artigos 40.º a 45.º. Para esse efeito, a Comissão pode solicitar informações aos Estados-Membros e às autoridades de controlo, que lhas devem fornecer sem atrasos indevidos. O relatório é objeto de publicação. [Alt. 144]
CAPÍTULO VI
AUTORIDADES DE CONTROLO INDEPENDENTES
SECÇÃO 1
ESTATUTO INDEPENDENTE
Artigo 46.º
Autoridade de controlo
1. Cada Estado-Membro deve estabelecer que uma ou mais autoridades públicas sejam responsáveis pela fiscalização da aplicação do presente regulamento e por contribuir para a sua aplicação coerente no conjunto da União, a fim de proteger os direitos e liberdades fundamentais das pessoas singulares relativamente ao tratamento dos seus dados pessoais e facilitar a livre circulação desses dados na União. Para esse efeito, as autoridades de controlo devem cooperar entre si e com a Comissão.
2. Sempre que um Estado-Membro institui várias autoridades de controlo, deve designar aquela que funciona como ponto de contacto único tendo em vista uma participação efetiva dessas autoridades no Comité Europeu para a Proteção de Dados, e estabelecer o mecanismo para assegurar o respeito, pelas outras autoridades, das regras relativas ao mecanismo de controlo da coerência referido no artigo 57.º.
3. Cada Estado-Membro notifica a Comissão das disposições do direito nacional que adotar por força deste capítulo, o mais tardar na data fixada no artigo 92.º, n.º 2 e, sem demora, qualquer alteração posterior às mesmas.
Artigo 47.º
Independência
1. A autoridade de controlo exerce com total independência e imparcialidade as funções que lhe forem atribuídas, sem prejuízo das disposições em matéria de cooperação e coerência que figuram no capítulo VII do presente regulamento. [Alt. 145]
2. Os membros da autoridade de controlo, no exercício das suas funções, não solicitam nem aceitam instruções de outrem.
3. Os membros da autoridade de controlo devem abster-se de qualquer ato incompatível com as suas funções e, durante o seu mandato, não podem desempenhar qualquer atividade profissional, remunerada ou não.
4. Após cessarem as suas funções, os membros da autoridade de controlo devem agir com integridade e discrição relativamente à aceitação de determinadas funções e benefícios.
5. Cada Estado-Membro assegura que a autoridade de controlo disponha de recursos humanos, técnicos e financeiros apropriados, bem como de instalações e infraestruturas, necessários à execução eficaz das suas funções e poderes, incluindo as executadas no contexto de assistência mútua, da cooperação e da participação no Comité Europeu para a Proteção de Dados.
6 Cada Estado-Membro assegura que a autoridade de controlo disponha do seu próprio pessoal, que é designado pelo diretor da autoridade de controlo e está sujeito às suas ordens.
7. Os Estados-Membros asseguram que a autoridade de controlo fica sujeita a um controlo financeiro que não afete a sua independência. Os Estados-Membros garantem que a autoridade de controlo disponha de orçamentos anuais próprios. Os orçamentos serão objeto de publicação.
7-A. Cada Estado-Membro deve assegurar que a autoridade de controlo tenha de prestar contas perante o parlamento nacional por questões de controlo orçamental. [Alt. 146]
Artigo 48.º
Condições gerais aplicáveis aos membros da autoridade de controlo
1. Os Estados-Membros estabelecem que os membros da autoridade de controlo são nomeados pelos respetivos parlamentos ou governos.
2. Os membros são escolhidos entre as pessoas que ofereçam todas as garantias de independência e cuja experiência e conhecimentos técnicos necessários para o exercício das suas funções, em especial no domínio da proteção de dados pessoais, seja comprovada.
3. As funções de um membro cessam findo o termo do seu mandato, demissão ou destituição, nos termos do n.º 5.
4. Um membro pode ser declarado demissionário ou privado do seu direito à pensão ou a outros benefícios equivalentes por decisão de um tribunal nacional competente se deixar de preencher os requisitos necessários ao exercício das suas funções ou tiver cometido uma falta grave.
5. Um membro, cujo mandato termine, ou que se demita, deve continuar a exercer as suas funções até à nomeação de um novo membro.
Artigo 49.º
Regras relativas à constituição da autoridade de controlo
Cada Estado-Membro estabelece por via legislativa, nos limites do presente regulamento:
a) A constituição e o estatuto da autoridade de controlo;
b) As qualificações, a experiência e as competências para o exercício das funções de membro da autoridade de controlo;
c) As regras e os procedimentos para a nomeação dos membros da autoridade de controlo, bem como as regras relativas a ações ou atividades profissionais incompatíveis com a função;
d) A duração do mandato dos membros da autoridade de controlo, que não pode ser inferior a quatro anos, salvo no que se refere ao primeiro mandato após a entrada em vigor do presente regulamento, que pode ter uma duração mais curta quando for necessário proteger a independência da autoridade de controlo através de um procedimento de nomeações escalonadas;
e) O caráter renovável ou não do mandato dos membros da autoridade de controlo;
f) O estatuto e as condições comuns que regulam as funções dos membros e do pessoal da autoridade de controlo;
g) As regras e os procedimentos relativos à cessação das funções dos membros da autoridade de controlo, incluindo quando deixem de preencher os requisitos necessários ao exercício das suas funções ou se tiverem cometido uma falta grave.
Artigo 50.º
Sigilo profissional
Os membros e o pessoal da autoridade de controlo ficam sujeitos, durante o respetivo mandato e após a sua cessação, bem como em conformidade com a legislação e prática a nível nacional, à obrigação de sigilo profissional quanto a quaisquer informações confidenciais a que tenham tido acesso no desempenho das suas funções oficiais, executando as suas funções com independência e transparência, tal como definido no regulamento. [Alt. 147]
SECÇÃO 2
FUNÇÕES E PODERES
Artigo 51.º
Competência
1. Cada autoridade de controlo exerceé competente para exercer, no território do seu Estado-Membro, as funções e os poderes que lhe são conferidos em conformidade com o presente regulamento, sem prejuízo do estipulado nos artigos 73.° e 74.°. O tratamento de dados por parte de uma autoridade pública é controlado apenas pela autoridade de controlo desse Estado‑Membro [Alt. 148].
2. Sempre que o tratamento de dados pessoais ocorrer no contexto das atividades de um responsável pelo tratamento ou de um subcontratante estabelecido na União, e o responsável pelo tratamento ou o subcontratante estiver estabelecido em vários Estados-Membros, a autoridade de controlo do Estado-Membro onde se situar o estabelecimento principal do responsável pelo tratamento ou do subcontratante é competente para controlar as atividades de tratamento do responsável pelo tratamento ou do subcontratante em todos os Estados-Membros, sem prejuízo do disposto no Capítulo VII do presente regulamento. [Alt. 149]
3. A autoridade de controlo não tem competência para controlar operações de tratamento efetuadas por tribunais que atuem no exercício da sua função jurisdicional.
Artigo 52.º
Funções
1. Incumbe à autoridade de controlo:
a) Controlar e assegurar a aplicação do presente regulamento;
b) Receber as queixas apresentadas por qualquer titular de dados ou por uma associação que o represente nos termos do artigo 73.º, examinar a matéria, na medida do necessário, e informar a pessoa em causa ou a associação do andamento e do resultado da queixa num prazo razoável, em especial se forem necessárias operações de investigação ou de coordenação complementares com outra autoridade de controlo; [Alt. 150]
c) Partilhar informações com outras autoridades de controlo, prestar‑lhes assistência mútua e assegurar a coerência de aplicação e execução do presente regulamento;
d) Conduzir investigações por sua própria iniciativa ou com base numa queixa ou em informações específicas e documentadas que aleguem tratamento ilícito, ou a pedido de outra autoridade de controlo, e informar o titular dos dados, num prazo razoável, do resultado das operações de investigação, caso aquele tenha apresentado queixa a esta autoridade de controlo; [Alt. 151]
e) Acompanhar factos novos relevantes, na medida em que tenham incidência na proteção de dados pessoais, particularmente a evolução a nível das tecnologias da informação e das comunicações e das práticas comerciais;
f) Ser consultada pelas instituições e organismos do Estado-Membro quanto a medidas legislativas e administrativas relacionadas com a proteção dos direitos e liberdades no que diz respeito ao tratamento de dados pessoais;
g) Autorizar e Ser consultada relativamente às operações de tratamento referidas no artigo 34.º
h) Emitir pareceres sobre projetos de códigos de conduta, nos termos do artigo 38.º, n.º 2;
i) Aprovar as regras vinculativas para empresas, nos termos do artigo 43.º;
j) Participar nas atividades do Comité Europeu para a Proteção de Dados.;
j-A) Certificar os responsáveis pelo tratamento e os subcontratantes nos termos do artigo 39.º. [Alt. 152]
2. Cada autoridade de controlo deve promover a sensibilização do público para os riscos, regras, garantias e direitos associados ao tratamento de dados pessoais e para as medidas adequadas de proteção de dados pessoais. As atividades especificamente dirigidas para as crianças devem ser objeto de uma atenção especial. [Alt. 153]
2-A. Cada autoridade de controlo, em conjunto com o Comité Europeu de Proteção dos Dados, deve promover a sensibilização dos responsáveis pelo tratamento e subcontratantes sobre os riscos, regras, garantias, e direitos associados ao tratamento de dados pessoais. Isto inclui a manutenção de um registo de sanções e violações. O registo deverá fornecer tantas informações quanto possível sobre os avisos e sanções, bem como sobre como resolver as violações. Cada autoridade de controlo deve fornecer aos responsáveis pelo tratamento e subcontratantes das micro, pequenas e médias empresas, mediante pedido, informação geral sobre as suas responsabilidades e obrigações, nos termos do presente regulamento. [Alt. 154]
3. A autoridade de controlo deve, a pedido, aconselhar qualquer titular de dados sobre o exercício dos seus direitos decorrentes do presente regulamento e, se for caso disso, coopera com as autoridades de controlo de outros Estados-Membros para esse efeito.
4. No que respeita às queixas referidas no n.º 1, alínea b), a autoridade de controlo deve fornecer um formulário de queixa, que possa ser preenchido eletronicamente, sem excluir outros meios de comunicação.
5. O exercício das funções da autoridade de controlo é gratuito para o titular dos dados.
6. Sempre que os pedidos sejam manifestamente abusivos, particularmente devido ao seu caráter repetitivo, a autoridade de controlo pode exigir o pagamento de uma taxa razoável, ou não adotar as medidas solicitadas pelo titular dos dados. A taxa não deve exceder os custos de adoção da ação solicitada. Incumbe à autoridade de controlo o ónus de provar o caráter manifestamente abusivo do pedido. [Alt. 155]
Artigo 53.º
Poderes
1. Em conformidade com o presente regulamento, cada autoridade de controlo está habilitada a:
a) Notificar o responsável pelo tratamento ou o subcontratante de uma alegada violação das disposições que regulam o tratamento de dados pessoais e, se for caso disso, ordenar que o responsável pelo tratamento ou o subcontratante sanem essa violação, através de medidas específicas, a fim de melhorar a proteção do titular dos dados, ou de obrigar o responsável pelo tratamento a comunicar a violação dos dados pessoais ao titular dos dados;
b) Ordenar ao responsável pelo tratamento ou ao subcontratante que satisfaça os pedidos de exercício de direitos apresentados pelo titular dos dados previstos no presente regulamento;
c) Ordenar que o responsável pelo tratamento ou o subcontratante e, se for caso disso, o representante, forneça quaisquer informações pertinentes para o exercício das suas funções;
d) Assegurar o respeito da autorização prévia e da consulta prévia referidas no artigo 34.º;
e) Dirigir advertências ou admoestações ao responsável pelo tratamento ou ao subcontratante;
f) Ordenar a retificação, o apagamento ou a destruição de todos os dados que tenham sido objeto de tratamento em violação do disposto no presente regulamento, bem como a notificação dessas medidas a terceiros a quem tenham sido divulgados os dados;
g) Proibir temporária ou definitivamente um tratamento de dados;
h) Suspender o intercâmbio de dados com um destinatário num país terceiro ou com uma organização internacional;
i) Emitir pareceres sobre qualquer questão relacionada com a proteção de dados pessoais;
i-A) Certificar os responsáveis pelo tratamento e os subcontratantes, nos termos do artigo 39.º;
j) Informar o parlamento nacional, o governo e outras instituições políticas, bem como o público, sobre qualquer assunto relacionado com a proteção de dados pessoais.;
j-A) Implementar mecanismos eficazes de incentivo à comunicação confidencial de violações do presente regulamento,tendo em consideração as diretrizes emitidas pelo Comité Europeu para a Proteção de Dados nos termos do artigo 66.º, n.º 4, alínea b).
2. Cada autoridade de controlo tem o poder de investigação para obter do responsável pelo tratamento ou do subcontratante sem aviso prévio:
a) O acesso a todos os dados pessoais e a todas astodos os documentos e informações necessáriasnecessários ao exercício das suas funções;
b) O acesso a todas as suas instalações, incluindo a qualquer equipamento e meios de tratamento de dados, se existir um motivo razoável para presumir que aí é exercida uma atividade contrária ao presente regulamento.
Os poderes referidos na alínea b) são exercidos em conformidade com o direito da União e dos Estados‑Membros.
3. Cada autoridade de controlo é competente para levar ao conhecimento das autoridades judiciais a violação do presente regulamento e para intervir em processos judiciais, em especial nos termos do artigo 74.º, n.º 4, e do artigo 75.º, n.º 2.
4. Cada autoridade de controlo é competente para sancionar as infrações administrativas, em especial as nos termos do artigo 79.º, n.os 4, 5 e 6. Essa competência deve ser exercida de forma eficaz, proporcional e dissuasora. [Alt. 156]
Artigo 54.º
Relatório de atividades
Cada autoridade de controlo elaboradeve elaborar um relatório anual de atividades no mínimo de dois em dois anos. O relatório é apresentado ao respetivo parlamento nacional e tornado público e disponibilizado à Comissão e ao Comité Europeu para a Proteção de Dados. [Alt. 157]
Artigo 54.º-A
Autoridade principal
1. Quando o tratamento de dados pessoais ocorrer no contexto das atividades do estabelecimento dum responsável pelo tratamento ou subcontratante da União e se estes estiverem estabelecidos em mais de um Estado-Membro, ou se forem tratados os dados pessoais dos residentes de diversos Estados-Membros, a autoridade de controlo do estabelecimento principal do responsável pelo tratamento ou subcontratante atuará como principal autoridade responsável por controlar as atividades do responsável pelo tratamento ou do subcontratante em todos os Estados-Membros, em conformidade com o disposto no Capítulo VII do presente regulamento.
2. A autoridade principal deve tomar as medidas adequadas ao controlo das atividades de tratamento do responsável pelo tratamento ou do subcontratante, pelas quais é responsável somente após ter consultado todas as outras autoridades de controlo competentes, nos termos do artigo 51.º, n.º1, numa tentativa de consenso. Para este efeito, deve, nomeadamente, apresentar todas as informações pertinentes e consultar as outras autoridades antes de adotar uma medida que vise produzir efeitos legais em relação a um responsável pelo tratamento ou subcontratante, na aceção do artigo 51.º, n.º 1. A autoridade principal deve ter na melhor conta os pareceres das autoridades envolvidas. A autoridade principal é a única autoridade competente para decidir sobre as medidas que visem produzir efeitos legais no que respeita às atividades de tratamento do responsável pelo tratamento ou do subcontratante pelas quais é responsável.
3. O Comité Europeu para a Proteção de Dados emite, a pedido de uma autoridade competente, um parecer sobre a identificação da autoridade principal responsável por um responsável pelo tratamento ou subcontratante, quando:
a) Os factos do dossiê não permitirem determinar com clareza a localização do estabelecimento principal do responsável pelo tratamento ou subcontratante; ou
b) As autoridades competentes não chegarem a acordo sobre qual a autoridade de controlo que deve atuar como autoridade principal; ou
c) O responsável pelo tratamento não estiver estabelecido na União e residentes de diferentes Estados-Membros sejam afetados por operações de tratamento no âmbito do presente regulamento.
3-A. Sempre que o responsável pelo tratamento exerça também atividades como subcontratante, a autoridade de controlo do estabelecimento principal deste atuará como autoridade principal de controlo das atividades de tratamento.
4. O Comité Europeu da Proteção de Dados pode decidir sobre a identificação da autoridade principal. [Alt. 158]
CAPÍTULO VII
COOPERAÇÃO E COERÊNCIA
SECÇÃO 1
COOPERAÇÃO
Artigo 55.º
Assistência mútua
1. As autoridades de controlo devem comunicar entre si qualquer informação útil e prestar assistência mútua a fim de executar e aplicar o presente regulamento de forma coerente, bem como adotar medidas para cooperarem eficazmente entre si. A assistência mútua inclui, em especial, pedidos de informação e medidas de controlo, tais como pedidos de autorização prévia e de consulta prévia, inspeções e investigações, assim como comunicação rápida de informações sobre a abertura de dossiês e a sua evolução, caso o responsável pelo tratamento ou o subcontratante tenham estabelecimentos em vários Estados-Membrosou sempre que titulares de dados noutros Estados‑Membros possam ser afetados por operações de tratamento. A autoridade principal, tal como definida no artigo 54.º-A, assegura a coordenação com as autoridades de controlo envolvidas e atua como ponto de contacto único para o responsável pelo tratamento ou o subcontratante. [Alt. 159]
2. Cada autoridade de controlo deve adotar todas as medidas adequadas necessárias para satisfazer o pedido de outra autoridade de controlo sem demora e, o mais tardar, um mês após a receção do pedido. Essas medidas podem incluir, particularmente, a transmissão de informações úteis sobre o desenrolar de um inquérito ou medidas de execução para fazer cessar ou proibir operações de tratamento de dados contrárias ao presente regulamento.
3. O pedido de assistência deve incluir todas as informações necessárias, incluindo a finalidade e as razões do pedido. As informações trocadas só devem ser utilizadas para os efeitos para que foram solicitadas.
4. Uma autoridade de controlo à qual tenha sido dirigido um pedido não pode recusar dar‑lhe cumprimento, salvo se:
a) Não for competente para examinar o pedido; ou
b) Dar seguimento ao pedido for incompatível com o disposto no presente regulamento.
5. A autoridade de controlo requerida deve informar a autoridade de controlo requerente dos resultados obtidos ou, consoante o caso, do andamento do dossiê ou das medidas adotadas para satisfazer o pedido da autoridade de controlo requerente.
6. As autoridades de controlo devem fornecer as informações solicitadas por outras autoridades de controlo através de meios eletrónicos, e dentro do prazo mais curto possível, mediante a utilização de um formato normalizado.
7. Não é cobrada qualquer taxa à autoridade de controlo requerente por qualquer medida tomada na sequência de um pedido de assistência mútua. [Alt. 160]
8. Sempre que uma autoridade de controlo não adotar medidas no prazo de um mês a contar da data do pedido de outra autoridade de controlo, a autoridade de controlo requerente pode adotar medidas provisórias no território do seu Estado-Membro, em conformidade com o artigo 51.º, n.º 1, e deve apresentar a matéria ao Comité Europeu para a Proteção de Dados, em conformidade com o procedimento previsto no artigo 57.º. A autoridade de controlo pode, nos termos do artigo 53.º, adotar uma medida provisória no território do seu Estado‑Membro, sempre que não possa ser adotada uma medida definitiva devido ao facto de a assistência ainda não estar concluída. [Alt. 161]
9. A autoridade de controlo deve especificar o período de validade da medida provisória adotada. Esse período não pode ser superior a três meses. A autoridade de controlo comunica essas medidas sem demora e devidamente fundamentadas ao Comité Europeu para a Proteção de Dados e à Comissão, em conformidade com o procedimento referido no artigo 57.º. [Alt. 162]
10. A ComissãoOComité Europeu para a Proteção de Dados pode especificar o formato e os procedimentos para a assistência mútua referidos neste artigo, bem como as modalidades de intercâmbio eletrónico de informações entre as autoridades de controlo e entre as autoridades de controlo e o Comité Europeu para a Proteção de Dados, nomeadamente o formato normalizado referido no n.º 6. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.º, n.º 2. [Alt. 163]
Artigo 56.º
Operações conjuntas das autoridades de controlo
1. A fim de intensificar a cooperação e a assistência mútua, as autoridades de controlo devem realizar missões de investigação conjuntas, medidas de execução conjuntas e outras operações conjuntas nas quais participem membros ou pessoal pertencente às autoridades de controlo de outros Estados-Membros.
2. Nos casos em que o responsável pelo tratamento ou o subcontratante tenham estabelecimentos em vários Estados‑Membros ou em que as operações de tratamento possam prejudicar titulares de dados em vários Estados-Membros, uma autoridade de controlo de cada um dos Estados-Membros em causa tem o direito de participar nas missões de investigação conjuntas ou nas operações conjuntas, consoante o caso. A autoridade de controlo competente convidaprincipal, tal como definida no artigo 54.º-A,envolve a autoridade de controlo de cada Estado-Membro a participar nas missões de investigação conjuntas ou nas operações conjuntas em causa na respetiva operação e responde rapidamente ao pedido da autoridade de controlo que pretenda participar nas operações. A autoridade principal atua como ponto de contacto único para o responsável pelo tratamento ou o subcontratante. [Alt. 164]
3. Cada autoridade de controlo pode, na qualidade de autoridade de controlo do Estado‑Membro de acolhimento, em conformidade com o seu direito nacional, e com a autorização da autoridade de controlo do Estado‑Membro de origem, confiar poderes de execução, nomeadamente missões de investigação, aos membros ou ao pessoal da autoridade de controlo do Estado‑Membro de origem envolvidos nas operações conjuntas ou autorizar, na medida em que a legislação nacional da autoridade de controlo do Estado‑Membro de acolhimento o permita, os membros ou o pessoal da autoridade de controlo do Estado‑Membro de origem a exercer os seus poderes de execução, em conformidade com a legislação nacional da autoridade de controlo do Estado‑Membro de origem. Esses poderes podem ser exercidos apenas sob a orientação e, em regra, na presença de membros ou pessoal da autoridade controlo do Estado‑Membro de acolhimento. Os membros ou pessoal da autoridade de controlo do Estado‑Membro de origem estão sujeitos ao direito nacional da autoridade de controlo do Estado‑Membro de acolhimento. A autoridade de controlo do Estado‑Membro de acolhimento assume a responsabilidade pelos seus atos.
4. As autoridades de controlo devem estabelecer as modalidades práticas de ações de cooperação específicas.
5. Sempre que uma autoridade de controlo não cumprir, no prazo de um mês, a obrigação estabelecida no n.º 2, as outras autoridades de controlo são competentes para adotar uma medida provisória no território do seu Estado-Membro, nos termos do artigo 51.º, n.º 1.
6. A autoridade de controlo deve especificar o período de validade da medida provisória referida no n.º 5. Esse período não pode ser superior a três meses. A autoridade de controlo comunica essas medidas sem demora e devidamente fundamentadas ao Comité Europeu para a Proteção de Dados e à Comissão, e apresenta essa matéria no âmbito do mecanismo referido no artigo 57.º.
SECÇÃO 2
Coerência
Artigo 57.º
Mecanismo de controlo da coerência
Para os efeitos previstos no artigo 46.º, n.º 1, as autoridades de controlo devem cooperar entre si e com a Comissão no âmbito do mecanismo de controlo da coerência previsto, tanto quando se trate de assuntos de aplicação geral como quanto aos casos individuais, nos termos do disposto na presente secção. [Alt. 165]
Artigo 58.º
Parecer do Comité Europeu para a Proteção de Dados Coerência nos assuntos de aplicação geral
1. Antes da adotar uma medida referida no n.º 2, qualquer autoridade de controlo comunica o projeto de medida ao Comité Europeu para a Proteção de Dados e à Comissão.
2. A obrigação estabelecida no n.º 1 aplica-se a uma medida destinada a produzir efeitos jurídicos e que:
a) Esteja relacionada com atividades de tratamento associadas à oferta de bens ou serviços a titulares de dados em vários Estados-Membros, ou com controlo do seu comportamento; ou
b) Possa prejudicar sensivelmente a livre circulação de dados pessoais na União Europeia; ou
(c) Vise adotar uma lista de operações de tratamento de dados sujeitas a consulta prévia, nos termos do artigo 34.º, n.º 5; ou
d) Vise determinar cláusulas-tipo de proteção de dados referidas no artigo 42.º, n.º 2, alínea c); ou
e) Vise autorizar cláusulas contratuais conforme referidas no artigo 42.º, n.º 2, alínea d); ou
f) Vise aprovar regras vinculativas para empresas na aceção do artigo 43.º.
3. Qualquer autoridade de controlo ou o Comité Europeu para a Proteção de Dados pode solicitar que qualquer matéria de aplicação geral seja tratada através do mecanismo de controlo da coerência, em especial se uma autoridade de controlo não submeter para exame um projeto de medida referido no n.º 2, ou não cumprir as obrigações de assistência mútua nos termos do artigo 55.º, ou as operações conjuntas nos termos do artigo 56.º.
4. A fim de assegurar a aplicação correta e coerente do presente regulamento, a Comissão pode solicitar que qualquer matéria de aplicação geral seja tratada através do mecanismo de controlo da coerência.
5. As autoridades de controlo e a Comissão comunicam por via eletrónica, sem demora injustificada, utilizando um formato normalizado, quaisquer informações pertinentes incluindo, consoante o caso, um resumo dos factos, o projeto de medida e os motivos que tornaram necessário adotar tal medida.
6. O presidente do Comité Europeu para a Proteção de Dados informa de imediato, sem demora injustificada, por via eletrónica, utilizando um formato normalizado, os membros deste comité e a Comissão sobre quaisquer informações pertinentes que lhe tenham sido comunicadas. O presidentesecretariado do Comité Europeu para a Proteção de Dados deve comunicar, se necessário, traduções das informações pertinentes.
6-A. O Comité Europeu para a Proteção de Dados adota um parecer sobre os assuntos que lhe são remetidos nos termos do n.º 2.
7. O Comité Europeu para a Proteção de Dados pode decidir por maioria simples se adota um parecer sobre qualquer assunto se os seus membros assim o decidirem por maioria simples, ou se qualquer autoridade de controlo ou a Comissão assim o solicitarem, no prazo de uma semana após a comunicação das informações pertinentes nos termos do n.º 5. O parecer é adotado no prazo de um mês por maioria simples dos membros do Comité Europeu para a Proteção de Dados. O presidente do Comité Europeu para a Proteção de Dados informa do parecer, sem demora injustificada, a autoridade de controlo referida, consoante o caso, no n.º 1 ou no n.º 3, a Comissão e a autoridade de controlo competente nos termos do artigo 51.º, e torna-o público.submetido à sua apreciação nos termos dos n.os 2 e 4, tendo em conta:
a) Se o assunto encerra elementos de novidade, atendendo à evolução jurídica ou factual ocorrida, em especial, na tecnologia da informação e considerando o estado atingido na sociedade da informação; e
b) Se o Comité Europeu para a Proteção de Dados já emitiu um parecer sobre o mesmo assunto.
8. A autoridade de controlo referida no n.º 1 e a autoridade de controlo competente por força do artigo 51.º têm em conta o parecer do Comité Europeu para a Proteção de Dados e, no prazo de duas semanas a contar da data da comunicação do parecer pelo presidente do referido comité, comunicam por via eletrónica ao presidente do Comité Europeu para a Proteção de Dados e à Comissão se mantêm ou alteram o projeto de medida e, se for caso disso, o projeto de medida alterado, utilizando para o efeito um formato normalizado.O Comité Europeu para a Proteção de Dados adota os seus pareceres a que se referem os n.os 6‑A e 7 por maioria simples dos seus membros. Estes pareceres são tornados públicos.[Alt. 166]
Artigo 58.º‑A
Coerência nos casos individuais
1. Antes de tomar uma medida destinada a produzir efeitos jurídicos na aceção do artigo 54.º‑A, a autoridade principal partilha todas as informações relevantes e submete para exame o projeto de medida a todas as outras autoridades competentes. A autoridade principal não adota a medida, se, no prazo de três semanas, alguma autoridade competente indicar que ela suscita sérias objeções da sua parte.
2. Caso alguma autoridade competente indique que um projeto de medida da autoridade principal suscita sérias objeções da sua parte, a autoridade principal não submeta para exame um projeto de medida mencionada no n.º 1 ou a autoridade principal não cumpra as obrigações de assistência mútua nos termos do artigo 55.º ou em matéria de operações conjuntas nos termos do artigo 56.º, a questão é examinada pelo Comité Europeu para a Proteção de Dados.
3. A autoridade principal e/ou as outras autoridades competentes envolvidas e a Comissão comunicam por via eletrónica, sem demora injustificada, ao Comité Europeu para a Proteção de Dados, utilizando um formato normalizado, quaisquer informações pertinentes, incluindo, consoante o caso, um resumo dos factos, o projeto de medida, os motivos que tornaram necessário adotar tal medida, as objeções que lhe são opostas e os pontos de vista das outras autoridades de controlo em causa.
4. O Comité Europeu para a Proteção de Dados examina a questão, tendo em conta o impacto do projeto de medida da autoridade principal sobre os direitos e as liberdades fundamentais dos titulares dos dados, decidindo por maioria simples dos seus membros, no prazo de duas semanas após a comunicação das informações pertinentes nos termos do n.º 3, se emite um parecer sobre o assunto.
5. Caso decida emitir um parecer, o Comité Europeu para a Proteção de Dados deve dar o parecer no prazo de seis semanas e torná‑lo público.
6. A autoridade principal tem em conta o parecer do Comité Europeu para a Proteção de Dados e, no prazo de duas semanas após a informação sobre o parecer pelo presidente do Comité Europeu para a Proteção de Dados, comunica por via eletrónica ao presidente do Comité Europeu para a Proteção de Dados e à Comissão se mantém ou altera o seu projeto de medida e, se for o caso, o projeto de medida alterado, utilizando para o efeito um formato normalizado. Se a autoridade principal não tiver a intenção de seguir o parecer do Comité Europeu para a Proteção de Dados, deve apresentar uma justificação fundamentada.
7. Caso continue a opor-se à medida da autoridade de controlo referida no n.º 5, o Comité Europeu para a Proteção de Dados pode, no prazo de um mês, adotar, por uma maioria de dois terços, uma medida vinculativa para a autoridade de controlo. [Alt. 167]
Artigo 59.º
Parecer da Comissão
1. No prazo de dez semanas a contar da data em que a questão foi suscitada nos termos do artigo 58.º, ou o mais tardar no prazo de seis semanas no caso previsto no artigo 61.º, a Comissão pode adotar, a fim de assegurar a aplicação correta e coerente do presente regulamento, um parecer relativo às questões suscitadas nos termos dos artigos 58.º ou 61.º
2. Sempre que a Comissão tiver adotado um parecer em conformidade com o n.º 1, a autoridade de controlo em causa deve ter na melhor conta esse parecer e informar a Comissão e o Comité Europeu para a Proteção de Dados da sua intenção de manter ou alterar o seu projeto de medida.
3. Durante o período referido no n.º 1, a autoridade de controlo abstém-se de adotar o projeto de medida.
4. Sempre que a autoridade de controlo em causa não pretenda conformar‑se com o parecer da Comissão, deve deste facto informar a Comissão e o Comité Europeu para a Proteção de Dados no prazo referido no n.º 1, e apresentar a devida justificação. Neste caso, o projeto de medida não deve ser aprovado durante um prazo suplementar de um mês.[Alt. 168]
Artigo 60.º
Suspensão de um projeto de medida
1. No prazo de um mês a contar da comunicação referida no artigo 59.º, n.º 4, e se a Comissão tiver sérias dúvidas quanto a saber se o projeto de medida permite assegurar a aplicação correta do presente regulamento ou se, pelo contrário, resulta numa aplicação incoerente do mesmo, a Comissão pode adotar uma decisão fundamentada a impor à autoridade de controlo a suspensão da adoção do projeto de medida, tendo em consideração o parecer emitido pelo Comité Europeu para a Proteção de Dados nos termos do artigo 58.º, n.º 7, ou do artigo 61.º, n.º 2, sempre que tal se revele necessário para:
(a) Aproximar as posições divergentes da autoridade de controlo e do Comité Europeu para a Proteção de Dados, se o mesmo ainda se afigurar possível; ou
(b) Adotar uma medida nos termos do artigo 62.º, n.º 1, alínea a).
2. A Comissão deve especificar o prazo da suspensão, que não pode ser superior a 12 meses.
3. Durante o período referido no n.º 2, a autoridade de controlo não pode adotar o projeto de medida. [Alt. 169]
Artigo 60.º-A
Notificação do Parlamento Europeu e do Conselho
Com base num relatório do presidente do Comité Europeu para a Proteção de Dados, a Comissão deve notificar regularmente, pelo menos, de seis em seis meses, o Parlamento Europeu e o Conselho sobre os assuntos tratados no âmbito do mecanismo de controlo da coerência, expondo as conclusões tiradas pela Comissão e pelo Comité Europeu para a Proteção de Dados com vista a velarem pela execução e aplicação coerentes do presente regulamento. [Alt. 170]
Artigo 61.º
Procedimento de urgência
1. Em circunstâncias excecionais, sempre que uma autoridade de controlo considere que é urgente intervir a fim de proteger os interesses de titulares de dados, em especial quando existir o risco de impedimento considerável do exercício de um direito da pessoa em causa através de uma alteração da situação existente, ou para evitar inconvenientes superiores ou por outras razões, pode, através da derrogação do procedimento previsto no artigo 58.º‑A, adotar imediatamente medidas provisórias com um determinado período de validade. A autoridade de controlo comunica essas medidas sem demora e devidamente fundamentadas ao Comité Europeu para a Proteção de Dados e à Comissão. [Alt. 171]
2. Sempre que a autoridade de controlo tiver tomado uma medida nos termos do n.º 1, e considerar necessário adotar urgentemente medidas definitivas, pode solicitar um parecer urgente ao Comité Europeu para a Proteção de Dados, fundamentando o seu pedido, incluindo os motivos da urgência de medidas definitivas.
3. Qualquer autoridade de controlo pode solicitar um parecer urgente sempre que a autoridade de controlo competente não tiver tomado uma medida adequada numa situação que careça de ação urgente em que é necessário proteger os interesses dos titulares de dados, apresentando os motivos para o pedido de parecer, incluindo os motivos da urgência de ação imediata.
4. Por derrogação do artigo 58.º, n.º 7, Um parecer urgente referido nos n.os 2 e 3 é adotado no prazo de duas semanas por maioria simples dos membros do Comité Europeu para a Proteção de Dados. [Alt. 172]
Artigo 62.º
Atos de execução
1. Após solicitar um parecer ao Comité Europeu para a Proteção de Dados, a Comissão pode adotar atos de execução de aplicação geral para:
(a) Decidir sobre a aplicação correta do presente regulamento em conformidade com os seus objetivos e requisitos relativamente a matérias comunicadas pelas autoridades de controlo nos termos do artigo 58.º ou do artigo 61.º, a respeito de uma matéria em relação à qual tenha sido adotada uma decisão fundamentada nos termos do artigo 60.º, n.º 1, ou a respeito de uma matéria em relação à qual uma autoridade de controlo omita submeter um projeto de medida e tenha indicado que tenciona não se conformar com o parecer da Comissão adotado nos termos do artigo 59.º;
b) Decidir, no prazo fixado no artigo 59.º, n.º 1, sobre a aplicabilidade geral de projetos de cláusulas-tipo de proteção de dados, tal como referidas no artigo 58.º42.º, n.º 2, alínea d);
c) Especificar o formato e os procedimentos para a aplicação do mecanismo de controlo da coerência previsto na presente secção;
d) Especificar as modalidades de intercâmbio eletrónico de informações entre as autoridades de controlo e entre estas autoridades de controlo e o Comité Europeu para a Proteção de Dados, nomeadamente o formato normalizado referido no artigo 58.º, n.os 5, 6 e 8.
Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 87.º, n.º 2.
2. Por imperativos urgentes devidamente justificados relacionados com os interesses de titulares de dados referidos no n.º 1, alínea a), a Comissão pode adotar atos de execução imediatamente aplicáveis, em conformidade com o procedimento referido no artigo 87.º, n.º 3. Esses atos permanecem em vigor por um período não superior a 12 meses.
3. A falta ou a adoção de uma medida nos termos da presente secção não prejudica qualquer outra medida adotada pela Comissão ao abrigo dos Tratados. [Alt. 173]
Artigo 63.º
Aplicação
1. Para efeitos do presente regulamento, uma medida de execução da autoridade de controlo de um Estado-Membro deve ser aplicada em todos os Estados-Membros em causa.
2. Sempre que uma autoridade de controlo omitir apresentar um projeto de medida para exame do mecanismo de controlo da coerência em violação do artigo 58.º, n.ºs 1 a 5 e 2, ou adotar uma medida não obstante a indicação, nos termos do artigo 58.º‑A, n.º 1, de que suscita sérias objeções, a medida da autoridade de controlo não será juridicamente válida nem terá força executória. [Alt. 174]
Secção 3
Comité Europeu para a Proteção de Dados
Artigo 64.º
Comité Europeu para a Proteção de Dados
1. É criado um Comité Europeu para a Proteção de Dados.
2. O Comité Europeu para a Proteção de Dados é composto pelo diretor de uma autoridade de controlo de cada Estado-Membro e da Autoridade Europeia para a Proteção de Dados.
3. Sempre que, num Estado-Membro, mais do que uma autoridade de controlo seja responsável pelo controlo da aplicação do disposto no presente regulamento, essas autoridades devem designar o diretor de uma delas como representante comum.
4. A Comissão tem o direito de participar nas atividades e reuniões do Comité Europeu para a Proteção de Dados e designa um representante. O presidente do Comité Europeu para a Proteção de Dados informa, sem demora, a Comissão de todas as atividades do Comité Europeu para a Proteção de Dados.
Artigo 65.º
Independência
1. O Comité Europeu para a Proteção de Dados é independente no exercício das suas funções, nos termos dos artigos 66.º e 67.º.
2. Sem prejuízo dos pedidos da Comissão referidos no artigo 66.º, n.º 1, alínea b), e n.º 2, o Comité Europeu para a Proteção de Dados, no exercício das suas funções, não solicita nem recebe instruções de outrem.
Artigo 66.º
Atribuições do Comité Europeu para a Proteção de Dados
1. O Comité Europeu para a Proteção de Dados deve assegurar a aplicação coerente do presente regulamento. Para o efeito, o Comité Europeu para a Proteção de Dados, por sua iniciativa, ou a pedido do Parlamento Europeu, do Conselho ou da Comissão, deve em especial:
a) Aconselhar a Comissãoas instituições europeias sobre qualquer questão relacionada com a proteção de dados pessoais na União, nomeadamente sobre qualquer projeto de alteração do presente regulamento;
b) Analisar, por sua própria iniciativa, ou a pedido de um dos seus membros, ou a pedido do Parlamento Europeu, do Conselho ou da Comissão, qualquer questão relativa à aplicação do presente regulamento e emitir diretrizes, recomendações e boas práticas destinadas às autoridades de controlo, a fim de incentivar a aplicação coerente do presente regulamento, nomeadamente sobre a utilização dos poderes de execução;
c) Examinar a aplicação prática das diretrizes, recomendações e boas práticas referidas na alínea b) e informar regularmente a Comissão sobre esta matéria;
d) Emitir pareceres relativos aos projetos de decisão das autoridades de controlo nos termos do mecanismo de controlo da coerência referido no artigo 57.º;
d-A) Apresentar um parecer sobre qual a autoridade que deve atuar como autoridade principal nos termos do artigo 54.º-A, n.º 3;
e) Promover a cooperação e o intercâmbio bilateral e plurilateral efetivo de informações e práticas entre as autoridades de controlo, incluindo a coordenação de operações conjuntas e de outras atividades conjuntas, sempre que assim o decida a pedido de uma ou mais autoridades de controlo;
f) Promover programas de formação comuns e facilitar o intercâmbio de pessoal entre as autoridades de controlo, bem como com as autoridades de controlo de países terceiros ou de organizações internacionais, se for caso disso;
g) Promover o intercâmbio de conhecimentos e de documentação em relação a práticas e legislação no domínio da proteção de dados com autoridades de controlo de todos os países;
g-A) Dar o seu parecer à Comissão no quadro da elaboração de atos delegados e de atos de execução com base no presente regulamento;
g-B) Dar o seu parecer sobre os códigos de conduta elaborados a nível da União nos termos do artigo 38.º, n.º 4;
g-C) Dar o seu parecer sobre os critérios e os requisitos aplicáveis aos mecanismos de certificação em matéria de proteção de dados previstos no artigo 39.º, n.º 2;
g-D) Manter um registo eletrónico público dos certificados válidos e inválidos, nos termos do artigo 39.º, n.º 1‑H;
g-E) Prestar assistência às autoridades nacionais de controlo, a seu pedido;
g-F) Elaborar e tornar pública uma lista de operações de tratamento de dados que estão sujeitas a consulta prévia, nos termos do artigo 34.º;
g-G) Manter um registo das sanções impostas pelas autoridades de controlo competentes aos responsáveis pelo tratamento ou aos subcontratantes.
2. Sempre que a Comissão consultar o Comité Europeu para a Proteção de Dados pode fixar um prazo para a formulação do referido parecer, tendo em conta a urgência da questão.
3. O Comité Europeu para a Proteção de Dados transmite os seus pareceres, diretrizes, recomendações e boas práticas ao Parlamento Europeu, ao Conselho e à Comissão e ao comité referido no artigo 87.º, e procede à sua publicação.
4. A Comissão informa o Comité Europeu para a Proteção de Dados das medidas adotadas na sequência de pareceres, diretrizes, recomendações e boas práticas emitidos pelo referido comité.
4-A. Quando adequado, o Comité Europeu para a Proteção de Dados deve consultar as partes interessadas e oferecer-lhes a possibilidade de, num prazo razoável, formularem observações. O Comité Europeu para a Proteção de Dados deve, sem prejuízo do artigo 72.º, tornar os resultados do processo de consulta disponíveis ao público.
4-B. O Comité Europeu para a Proteção de Dados é incumbido de emitir diretrizes, recomendações e boas práticas nos termos do n.º 1, alínea b), no que se refere à definição de procedimentos comuns em matéria de receção e investigação de informações sobre alegados tratamentos ilícitos de dados, bem como de proteção da confidencialidade e das fontes das informações recebidas. [Alt. 175]
Artigo 67.º
Relatórios
1. O Comité Europeu para a Proteção de Dados informa o Parlamento Europeu, o Conselho e a Comissão, regularmente e em tempo útil, sobre o resultado das suas atividades. Deve elaborar, pelo menos, de dois em dois anos um relatório anual sobre a situação da proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais na União e em países terceiros. [Alt. 176]
O relatório deve incluir o exame da aplicação prática das diretrizes, recomendações e boas práticas referidas no artigo 66.º, n.º 1, alínea c).
2. O relatório é publicado e transmitido ao Parlamento Europeu, ao Conselho e à Comissão.
Artigo 68.º
Procedimento
1. Salvo disposição em contrário prevista no seu regulamento interno, o Comité Europeu para a Proteção de Dados toma as suas decisões por maioria simples dos seus membros. [Alt. 177]
2. O Comité Europeu para a Proteção de Dados adota o seu regulamento interno e determina as suas modalidades de funcionamento. Em especial, adota disposições relativas à continuação do exercício de funções aquando do termo do mandato de um membro ou em caso de demissão de um membro, à criação de subgrupos para temas ou setores específicos e aos procedimentos que aplica relativamente ao mecanismo de controlo da coerência referido no artigo 57.º.
Artigo 69.º
Presidente
1. O Comité Europeu para a Proteção de Dados elege um presidente e, pelo menos, dois vice‑presidentes entre os seus membros. Um dos vice-presidentes é a Autoridade Europeia para a Proteção de Dados, salvo se tiver sido eleita presidente.[Alt. 178]
2. O mandato do presidente e dos vice-presidentes tem a duração de cinco anos e é renovável.
2-A. O presidente desempenha o seu cargo a tempo inteiro. [Alt. 179]
Artigo 70.º
Funções do presidente
1. O presidente tem as seguintes funções:
a) Convocar as reuniões do Comité Europeu para a Proteção de Dados e preparar a respetiva ordem do dia;
b) Assegurar o exercício, dentro dos prazos, das funções do Comité Europeu para a Proteção de Dados, em especial em relação ao mecanismo de controlo da coerência referido no artigo 57.º.
2. O Comité Europeu para a Proteção de Dados estabelece no seu regulamento interno a repartição de funções entre o presidente e os vice-presidentes.
Artigo 71.º
Secretariado
1. O Comité Europeu para a Proteção de Dados é assistido por um secretariado. Este é assegurado pela Autoridade Europeia para a Proteção de Dados.
2. O secretariado fornece, sob a direção do presidente, apoio de caráter analítico, jurídico, administrativo e logístico ao Comité Europeu para a Proteção de Dados. [Alt. 180]
3. O secretariado é responsável, em especial:
a) Pela gestão corrente do Comité Europeu para a Proteção de Dados;
b) Pela comunicação entre os membros do Comité Europeu para a Proteção de Dados, o seu presidente e a Comissão, e pela comunicação com outras instituições e o público;
c) Pelo recurso a meios eletrónicos para a comunicação interna e externa;
d) Pela tradução de informações pertinentes;
e) Pela preparação e acompanhamento das reuniões do Comité Europeu para a Proteção de Dados;
f) Pela preparação, redação e publicação dos pareceres e outros textos adotados pelo Comité Europeu para a Proteção de Dados.
Artigo 73.º
Confidencialidade
1. Salvo disposição em contrário prevista no seu regulamento interno, os debates do Comité Europeu para a Proteção de Dados são podem ser confidenciais. As atas das reuniões do Comité Europeu para a Proteção de Dados são tornadas públicas. [Alt. 181]
2. Os documentos apresentados aos membros do Comité Europeu para a Proteção de Dados, aos peritos e aos representantes de países terceiros são confidenciais, salvo se for concedido acesso a esses documentos nos termos do Regulamento n.º 1049/2001 do Parlamento Europeu e do Conselho(20), ou se o Comité Europeu para a Proteção de Dados os tornar públicos de outro modo.
3. Os membros do Comité Europeu para a Proteção de Dados, bem como os peritos e os representantes de países terceiros têm de respeitar as obrigações de confidencialidade previstas no presente artigo. O presidente assegura que os peritos e os representantes de países terceiros sejam informados dos requisitos que são obrigados a respeitar em matéria de confidencialidade.
CAPÍTULO VIII
VIAS DE RECURSO, RESPONSABILIDADE E SANÇÕES
Artigo 73.º
Direito de apresentar queixa a uma autoridade de controlo
1. Sem prejuízo de qualquer outra via de recurso administrativo ou judicial e do mecanismo de controlo da coerência, todos os titulares de dados têm o direito de apresentar queixa a uma autoridade de controlo em qualquer Estado-Membro se considerarem que o tratamento dos seus dados pessoais não respeita o presente regulamento.
2. Qualquer organismo, organização ou associação que vise proteger os direitos e interesses dos titulares de dados em relação à proteção dos seus dados pessoaisaja no interesse público e que esteja devidamente constituído ao abrigo do direito de um Estado-Membro, tem o direito de apresentar queixa a uma autoridade de controlo em qualquer Estado‑Membro por conta de uma ou mais pessoas em causa, se considerar que os direitos de que beneficia um titular de dados por força do presente regulamento foram violados na sequência do tratamento dos seus dados pessoais.
3. Independentemente de uma queixa do titular dos dados, qualquer organismo, organização ou associação referidos no n.º 2 tem o direito de apresentar queixa a uma autoridade de controlo em qualquer Estado-Membro, se considerar ter havido uma violação de dados pessoaisdo presente regulamento. [Alt. 182]
Artigo 74.º
Direito de ação judicial contra uma autoridade de controlo
1. Sem prejuízo de qualquer outra ação administrativa ou extrajudicial, qualquer pessoa singular ou coletiva tem o direito de ação judicial contra todas as decisões de uma autoridade de controlo que lhe digam respeito.
2. Sem prejuízo de qualquer outra ação administrativa ou extrajudicial, qualquer titular de dados tem o direito de ação judicial a fim de obrigar a autoridade de controlo a dar seguimento a uma queixa, na falta de uma decisão necessária para proteger os seus direitos, ou se a autoridade de controlo não informar a pessoa em causa, no prazo de três meses, sobre o andamento ou o resultado da sua queixa nos termos do artigo 52.º, n.º 1, alínea b).
3. As ações contra uma autoridade de controlo são intentadas nos tribunais do Estado‑Membro em cujo território se encontra estabelecida a autoridade de controlo.
4. Sem prejuízo do mecanismo de controlo da coerência, qualquer titular de dados afetado por uma decisão de uma autoridade de controlo de um Estado-Membro diferente daquela da sua residência habitual, pode solicitar à autoridade de controlo do Estado-Membro onde reside habitualmente que intente uma ação em seu nome contra a autoridade de controlo competente do outro Estado-Membro.
5. Os Estados-Membros executam as decisões definitivas proferidas pelos tribunais referidos no presente artigo. [Alt. 183]
Artigo 75.º
Direito de ação judicial contra um responsável pelo tratamento ou um subcontratante
1. Sem prejuízo de uma via de recurso administrativo disponível, nomeadamente o direito de apresentar queixa a uma autoridade de controlo, previsto no artigo 73.º, qualquer pessoa singular tem o direito de ação judicial se considerar ter havido violação dos direitos que lhe assistem nos termos do presente regulamento, na sequência do tratamento dos seus dados pessoais, efetuado em violação do referido regulamento.
2. A ação judicial contra um responsável pelo tratamento ou um subcontratante é intentada nos tribunais do Estado-Membro em que o responsável pelo tratamento ou o subcontratante dispõe de um estabelecimento. Em alternativa, tal ação pode ser intentada nos tribunais do Estado-Membro em que o titular dos dados tem a sua residência habitual, salvo se o responsável pelo tratamento for uma autoridade pública da União ou de um Estado-Membro no exercício das suas prerrogativas de poder público. [Alt. 184]
3. Sempre que estiver a decorrer um procedimento no quadro do mecanismo de controlo da coerência, previsto no artigo 58.º, que diga respeito à mesma medida, decisão ou prática, um tribunal pode suspender a instância, salvo se a urgência da matéria para a proteção dos direitos do titular dos dados não permitir aguardar pelo resultado do procedimento em curso no quadro do mecanismo de controlo da coerência.
4. Os Estados-Membros executam as decisões definitivas proferidas pelos tribunais referidos no presente artigo.
Artigo 76.º
Regras comuns para os procedimentos judiciais
1. Qualquer organismo, organização ou associação referido no artigo 73.º, n.º 2, está habilitado a exercer os direitos previstos nos artigos 74.º e , 75.º e 77.º, se mandatado por, por conta de um ou mais titulares de dados. [Alt. 185]
2. Cada autoridade de controlo tem o direito de intervir em processos judiciais e intentar uma ação num tribunal, a fim de fazer aplicar o disposto no presente regulamento ou assegurar a coerência da proteção de dados pessoais na União.
3. Sempre que um tribunal competente de um Estado-Membro tiver motivos razoáveis para considerar que corre um processo paralelo noutro Estado-Membro, esse tribunal deve contactar o tribunal competente do primeiro Estado-Membro para obter a confirmação da existência desse processo paralelo.
4. Sempre que um processo paralelo num Estado-Membro disser respeito à mesma medida, decisão ou prática, o tribunal pode suspender a instância.
5. Os Estados-Membros devem assegurar que as vias de recurso disponíveis no direito nacional permitam a adoção rápida de medidas, incluindo medidas provisórias, destinadas a pôr termo a alegadas infrações e a evitar outros prejuízos para os interesses em causa.
Artigo 77.º
Direito de indemnização e responsabilidade
1. Qualquer pessoa que tenha sofrido um prejuízo, inclusive de natureza não‑pecuniária, devido ao tratamento ilícito ou outro ato incompatível com o presente regulamento, tem o direito de pedir uma indemnização do responsável pelo tratamento ou do subcontratante pelo prejuízo sofrido. [Alt. 186]
2. Sempre que vários responsáveis pelo tratamento ou subcontratantes estiverem envolvidos no tratamento de dados, cada um deles é conjunta e solidariamente responsável pelo montante total dos danos, salvo se existir entre eles um acordo escrito adequado nos termos do artigo 24.º que defina as responsabilidades. [Alt. 187]
3. O responsável pelo tratamento ou o subcontratante pode ser exonerado dessa responsabilidade, total ou parcialmente, se provar que o facto que causou o dano não lhe é imputável.
Artigo 78.º
Sanções
1. Os Estados-Membros estabelecem as disposições relativas às sanções aplicáveis a infrações ao disposto no presente regulamento e tomam todas as medidas necessárias para assegurar a sua execução, incluindo quando o responsável pelo tratamento não respeitou a obrigação de designar um representante. As sanções previstas devem ser efetivas, proporcionadas e dissuasivas.
2. Sempre que o responsável pelo tratamento tiver designado um representante, as sanções são aplicadas ao representante, sem prejuízo de quaisquer sanções que possam vir a ser aplicadas contra o responsável pelo tratamento.
3. Cada Estado-Membro notifica à Comissão as disposições do direito nacional que adotar por força do n.º 1, o mais tardar na data fixada no artigo 91.º, n.º 2 e, sem demora, qualquer alteração subsequente das mesmas.
Artigo 79.º
Sanções administrativas
1. Cada autoridade de controlo deve estar habilitada a aplicar sanções administrativas em conformidade com o presente artigo. As autoridades de controlo cooperam umas com as outras, nos termos dos artigos 46.º e 57.º, para garantir um nível harmonizado de sanções na União.
2. A sanção administrativa deve ser, em cada caso, efetiva, proporcionada e dissuasiva. O montante da sanção administrativa é fixado tendo devidamente em conta a natureza, a gravidade e a duração da violação, o caráter intencional ou negligente da infração, o grau de responsabilidade da pessoa singular ou coletiva em causa e as infrações por ela anteriormente cometidas, as medidas técnicas e organizativas e os procedimentos aplicados nos termos do artigo 23.º, bem como o grau de cooperação com a autoridade de controlo a fim de sanar a violação.
2-A. A autoridade de controlo impõe a quem não cumprir as obrigações previstas no presente regulamento, pelo menos, uma das seguintes sanções:
a) Uma advertência escrita, em caso de primeiro incumprimento, de caráter involuntário;
b) Auditorias periódicas regulares em matéria de dados;
c) Uma multa até 100 000 000 EUR ou, no caso de uma empresa, até 5 % do seu volume de negócios mundial anual, consoante o montante mais elevado.
2-B. Caso o responsável pelo tratamento ou o subcontratante seja detentor de um «Selo Europeu de Proteção de Dados» válido, nos termos do artigo 39.º, só será aplicada uma multa nos termos do n.º 2‑A, alínea c), em caso de incumprimento voluntário ou negligente.
2-C. A sanção administrativa tem em conta os seguintes fatores:
a) A natureza, a gravidade e a duração do incumprimento,
b) O caráter voluntário ou negligente da infração,
c) O grau de responsabilidade da pessoa singular ou coletiva em causa e as infrações por ela anteriormente cometidas,
d) A natureza repetitiva da infração,
e) O grau de cooperação com a autoridade de controlo, a fim de sanar a infração e atenuar os seus eventuais efeitos negativos,
f) As categorias específicas de dados pessoais afetadas pela infração,
g) O nível de prejuízo, inclusive de natureza não‑pecuniária, sofrido pelos titulares dos dados,
h) As medidas tomadas pelo responsável pelo tratamento ou pelo subcontratante para atenuar o prejuízo sofrido pelos titulares dos dados,
i) Os eventuais benefícios financeiros visados ou obtidos ou as perdas evitadas, direta ou indiretamente, por intermédio da infração,
j) O grau das medidas e dos procedimentos técnicos e organizacionais postos em execução nos termos do:
i) artigo 23.º – Proteção de dados desde a conceção e por defeito
ii) artigo 30.º – Segurança do tratamento
iii) artigo 33.º – Avaliação de impacto sobre a proteção de dados
iv) artigo 33.º-A – Avaliação da observância das disposições em matéria de proteção de dados
v) Artigo 35.º – Designação do delegado para a proteção de dados
k) A recusa em cooperar ou a obstrução às inspeções, auditorias e controlos empreendidos pela autoridade de controlo nos termos do artigo 53.º.
l) Outras agravantes ou atenuantes aplicáveis às circunstâncias do caso.
3. Em caso de uma primeira e não intencional inobservância do presente regulamento, pode ser emitida uma advertência por escrito não sendo aplicável qualquer sanção, sempre que:
a) Uma pessoa singular proceda ao tratamento de dados sem fins comerciais; ou
b) Uma empresa ou uma organização com menos de 250 assalariados proceda ao tratamento de dados exclusivamente como atividade acessória das suas atividades principais.
4. A autoridade de controlo aplica uma multa até 250 000 EUR ou, no caso de uma empresa, até 0,5% do seu volume de negócios mundial anual, a quem, de forma intencional ou negligente:
a) Não estabeleça os mecanismos que permitam aos titulares de dados apresentar pedidos ou não responda atempadamente ou não o faça no formato exigido às pessoas em causa, nos termos do artigo 12.º, n.os 1 e 2;
b) Cobre uma taxa pelas informações ou respostas aos pedidos dos titulares de dados, em violação do artigo 12.º, n.º 4;
5. A autoridade de controlo aplica uma multa até 500 000 EUR ou, no caso de uma empresa, até 1% do seu volume de negócios mundial anual, a quem, de forma intencional ou negligente:
a) Não forneça as informações, forneça informações incompletas ou não forneça as informações de forma suficientemente transparente ao titular dos dados, nos termos dos artigos 11.º, 12.º, n.º 3 e artigo 14.º;
b) Não faculte o acesso ao titular dos dados, não retifique os dados pessoais nos termos dos artigos 15.º e 16.º, ou não comunique as informações relevantes ao destinatário, nos termos do artigo 13.º;
c) Não respeite o direito a ser esquecido ou de apagamento, não aplique mecanismos para assegurar o cumprimento dos prazos ou não tome todas as medidas necessárias para informar terceiros do pedido do titular de dados de apagamento de quaisquer ligações, cópia ou reprodução dos dados pessoais, nos termos do artigo 17.º;
d) Não forneça uma cópia dos dados pessoais em formato eletrónico ou impeça o titular dos dados de transferir os seus dados pessoais para outra aplicação, em violação do artigo 18.º;
e) Não defina, ou não defina de forma suficiente, as obrigações dos responsáveis conjuntos pelo tratamento, nos termos do artigo 24.º;
f) Não conserve, ou não o faça de forma suficiente, a documentação nos termos do artigo 28.º, do artigo 31.º, n.º 4, e do artigo 44.º, n.º 3;
g) Não respeite, nos casos que não envolvam categorias especiais de dados, nos termos dos artigos 80.º, 82.º e 83.º, as regras em matéria de liberdade de expressão, as regras sobre o tratamento de dados pessoais em matéria laboral ou as condições para o tratamento de dados para fins de investigação histórica, estatística e científica.
6. A autoridade de controlo aplica uma multa até 1 000 000 EUR ou, no caso de uma empresa, até 2% do seu volume de negócios mundial anual, a quem, de forma intencional ou negligente:
a) Proceda ao tratamento de dados pessoais sem fundamento jurídico ou sem fundamento jurídico suficiente para esse fim ou não cumpra as condições relativas ao consentimento, nos termos dos artigos 6.º, 7.º e 8.º;
b) Proceda ao tratamento de categorias especiais de dados em violação dos artigos 9.º e 81.º;
c) Não respeite uma oposição ou não se conforme com a obrigação prevista no artigo 19.º;
d) Não respeite as condições relativas a medidas baseadas na definição de perfis, nos termos do artigo 20.º;
e) Não adote regras internas ou não execute medidas adequadas para assegurar e comprovar o respeito das obrigações previstas nos artigos 22.º, 23.º e 30.º;
f) Não designe um representante, nos termos do artigo 25.º;
g) Efetue ou dê instruções para o tratamento de dados pessoais em violação das obrigações relacionadas com o tratamento por conta de um responsável, nos termos dos artigos 26.º e 27.º;
h) Não assinale ou não notifique uma violação de dados pessoais, ou não notifique de forma atempada ou completa a violação de dados à autoridade de controlo ou ao titular dos dados, nos termos dos artigos 31.º e 32.º;
(i) Não realize uma avaliação de impacto sobre a proteção de dados ou efetue o tratamento de dados pessoais sem autorização prévia ou consulta prévia da autoridade de controlo, nos termos dos artigos 33.º e 34.º;
(j) Não designe um delegado para a proteção de dados ou não assegure as condições para o cumprimento das suas funções, nos termos dos artigos 35.º, 36.º e 37.º;
(l) Utilize indevidamente um selo ou uma marca de proteção de dados na aceção do artigo 39.º;
(m) Efetue ou dê instruções para efetuar uma transferência de dados para um país terceiro ou uma organização internacional que não seja autorizada por uma decisão de adequação, ou por garantias adequadas, ou por uma derrogação, nos termos dos artigos 40.º a 44.º;
(n) Não respeite uma ordem de proibição, temporária ou definitiva, relativa ao tratamento ou à suspensão de fluxos de dados, emitida pela autoridade de controlo, nos termos do artigo 53.º, n.º 1;
(o) Não respeite as obrigações de assistência, de resposta ou de prestação de informações pertinentes à autoridade de controlo, ou de lhe facultar o acesso às instalações, nos termos do artigo 28.º, n.º 3, do artigo 29.º, do artigo 34.º, n.º 6 e do artigo 53.º, n.º 2;
(p) Não respeite as regras de proteção do sigilo profissional, nos termos do artigo 84.º.
7. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o artigo 86.º, a fim de atualizar os montantes absolutos das multas administrativas previstas nos n.os 4, 5 e 6no n.º 2‑A, tendo em conta os e os fatores referidos no n.º 2 nos n.ºs 2 e 2‑C. [Alt. 188]
CAPÍTULO IX
DISPOSIÇÕES RELATIVAS A SITUAÇÕES ESPECÍFICAS DE TRATAMENTO DE DADOS
Artigo 80.º
Tratamento de dados pessoais e liberdade de expressão
1. Os Estados-Membros devem estabelecer isenções ou derrogações às disposições sobre os princípios gerais do Capítulo II, os direitos do titular dos dados do Capítulo III, o responsável pelo tratamento e o subcontratante do Capítulo IV, a transferência de dados pessoais para países terceiros e organizações internacionais do Capítulo V, as autoridades de controlo independentes do Capítulo VI e a cooperação e a coerência do Capítulo VII, para os tratamentos de dados pessoais efetuados para fins exclusivamente jornalísticos ou de expressão artística ou literária, desdee sobre situações específicas de tratamento de dados do presente Capítulo, sempre que sejam necessárias para conciliar o direito à proteção de dados pessoais com as regras que regem a liberdade de expressão, nos termos da Carta. [Alt. 189]
2. Cada Estado-Membro notifica à Comissão as disposições de direito interno que adote nos termos do n.º 1, o mais tardar na data prevista no artigo 91.º, n.º 2 e, sem demora, qualquer alteração subsequente das mesmas.
Artigo 80.º-A
Acesso aos documentos
1. Os dados pessoais constantes de documentos detidos por uma autoridade pública ou um organismo público podem ser divulgados por essa autoridade ou esse organismo nos termos da legislação da União ou de um Estado-Membro sobre o direito de acesso do público aos documentos oficiais, que concilie o direito à proteção de dados pessoais com o princípio do direito de acesso do público aos documentos oficiais.
2. Cada Estado‑Membro notifica à Comissão, o mais tardar, na data prevista no artigo 91.º, n.º 2, as disposições de direito nacional que adote nos termos do n.º 1 e notificar‑lhe‑á, sem demora, qualquer alteração subsequente das mesmas. [Alt. 190]
Artigo 81.º
Tratamento de dados pessoais relativos à saúde
1. Nos limites doNos termos do disposto no presente regulamento, e em conformidade com oem particular no artigo 9.º, n.º 2, alínea h), o tratamento de dados pessoais relativos à saúde deve ter por base o direito da União ou a legislação de um Estado-Membro, que deve prever medidas adequadas, coerentes e específicas que garantam os interesses legítimose os direitos fundamentais do titular de dados, e ser necessário, na medida em que sejam necessáriase proporcionadas, sendo os seus efeitos previsíveis para o titular dos dados:
a) Para efeitos de medicina preventiva ou do trabalho, diagnósticos médicos, prestação de cuidados de saúde ou tratamentos médicos, ou gestão de serviços da saúde e sempre que o tratamento desses dados for efetuado por um profissional da saúde sujeito ao segredo profissional, ou por outra pessoa igualmente sujeita a uma obrigação de confidencialidade equivalente, ao abrigo da legislação ou regulamentação do Estado-Membro estabelecida pelas autoridades nacionais competentes; ou
b) Por razões de interesse público no domínio da saúde pública, tais como a proteção contra ameaças transfronteiriças graves para a saúde, ou para assegurar um elevado nível de qualidade e segurança, nomeadamente para os medicamentos ou os equipamentos médicos e caso o tratamento dos dados seja efetuado por uma pessoa sujeita ao dever de confidencialidade; ou
c) Por outras razões de interesse público em domínios como a segurança social, em especial para assegurar a qualidade e a rentabilidade quanto aos métodos utilizados para regularizar pedidos de prestações e de serviços no regime de seguro de doença e a prestação de serviços de saúde. Esse tratamento de dados pessoais relativos à saúde por razões de interesse público não deve resultar no tratamento de dados para outros fins, salvo com o consentimento do titular dos dados ou com base no direito da União ou na legislação de um Estado‑Membro.
1-A. Caso os fins referidos no n.º 1, alíneas a) a c), possam ser alcançados sem a utilização de dados pessoais, esses dados não são utilizados para esses fins, salvo com o consentimento do titular dos dados ou com base na legislação de um Estado‑Membro.
1-B. Caso o consentimento do titular dos dados seja necessário para o tratamento de dados médicos exclusivamente para fins de investigação científica por razões de saúde pública, o consentimento pode ser dado para uma ou mais investigações específicas e similares. O titular dos dados pode, contudo, retirar o seu consentimento em qualquer momento.
1-C. Relativamente ao consentimento para a participação em atividades de investigação científica em ensaios clínicos, são aplicáveis as disposições relevantes da Diretiva 2001/20/CE do Parlamento Europeu e do Conselho(21).
2. O tratamento de dados pessoais no domínio da saúde que se revele necessário para fins de investigação histórica, estatística ou científica, como a criação de registos de doentes para melhoria de diagnósticos, distinguir entre tipos de doenças semelhantes e elaborar estudos para terapias, estão sujeitosnão é permitido senão com o consentimento do titular dos dados, estando sujeito às condições e garantias previstas no artigo 83.º.
2-A. A legislação dos Estados‑Membros pode, no que respeita à investigação empreendida ao serviço de um superior interesse público, prever derrogações ao requisito de consentimento para fins de investigação referido no n.º 2, caso essa investigação não seja viável de outra forma. Os dados em questão devem ser anonimizados ou, se isto não for possível para efeitos dessa investigação, devem ser pseudonimizados segundo os mais elevados padrões técnicos, sendo tomadas todas as medidas necessárias para impedir a reidentificação indevida dos titulares dos dados. Em qualquer momento, o titular dos dados pode, contudo, exercer o seu direito de oposição nos termos do artigo 19.º.
3. São atribuídas competências à Comissão para adotar, depois de solicitado um parecer ao Comité Europeu para a Proteção de Dados, atos delegados em conformidade com o artigo 86.º, a fim de especificar mais concretamente outras razões de interesse público no domínio da saúde pública na aceção do n.º 1, alínea b), bem como o tratamento de dados pessoais para os efeitos referidos no n.º 1superior interesse público no domínio da investigação na aceção do n.º 2‑A.
3-A. Cada Estado Membro notifica à Comissão, o mais tardar, na data prevista no artigo 91.º, n.º 2, as disposições de direito nacional que adote nos termos do n.º 1 e notificar‑lhe‑á, sem demora, qualquer alteração subsequente das mesmas. [Alt. 191]
Artigo 82.º
Normas mínimas aplicáveis ao tratamento de dados em matéria de emprego
1. Nos limites do presente regulamento, Com observância do disposto no presente regulamento e tendo em conta o princípio da proporcionalidade, os Estados-Membros podem adotar, por via legislativade disposições legislativas, regras específicas para o tratamento de dados pessoais dos assalariados no contexto laboral, nomeadamente, mas não exclusivamente, para efeitos de recrutamento e de candidatura interna a lugares no seio do grupo de empresas, celebração do contrato de trabalho, incluindo o respeito das obrigações previstas por lei e por convenções coletivas, em conformidade com a legislação e a prática nacionais, gestão, planeamento e organização do trabalho, saúde e segurança no trabalho, para efeitos de exercício e gozo, individual ou coletivo, dos direitos e benefícios relacionados com o emprego, bem como para efeitos de cessação da relação de trabalho. Os Estados‑Membros podem prever que as disposições do presente artigo sejam adicionalmente especificadas pelas convenções coletivas.
1-A. A finalidade do tratamento desses dados deve estar ligada à razão pela qual foram recolhidos e inserir-se no contexto do emprego. A definição de perfis ou a utilização para fins secundários não é autorizada.
1-B. O consentimento de um assalariado não constitui um fundamento jurídico válido para o tratamento dos dados por parte do empregador, se o consentimento não tiver sido livremente expresso.
1-C. Sem prejuízo das demais disposições do presente regulamento, as disposições legislativas adotadas pelos Estados‑Membros referidas no n.º 1 incluem, pelo menos, as seguintes normas mínimas:
a) O tratamento de dados dos trabalhadores sem o conhecimento dos interessados não é autorizado. Em derrogação à primeira frase, os Estados‑Membros podem, por via legislativa, prever a admissibilidade desta prática, definindo prazos adequados para a supressão dos dados, desde que haja indícios factuais, obrigatoriamente documentados, que fundamentem a suspeita de que o trabalhador cometeu um crime ou uma violação grave dos seus deveres no contexto laboral, que essa recolha seja necessária para esclarecer o assunto e, enfim, que a natureza e o alcance dessa recolha de dados sejam necessários e proporcionados relativamente à sua finalidade. A vida privada e a privacidade dos trabalhadores devem ser sistematicamente protegidas. O inquérito incumbe às autoridades competentes;
b) É proibida a vigilância ótica e/ou acústica aberta, por meios eletrónicos, das partes da empresa que não são acessíveis ao público e que servem principalmente para a organização da vida privada dos trabalhadores, como as instalações sanitárias, os vestiários, as salas de repouso e os quartos. A vigilância oculta não é, em caso algum, admissível;
c) Se as empresas ou autoridades procederem à recolha e ao tratamento de dados pessoais no quadro de exames médicos e/ou testes de aptidão, devem esclarecer previamente o candidato ou trabalhador sobre as finalidades para que os dados são utilizados e, seguidamente, comunicar‑lhe esses dados, acompanhados dos resultados, e, a pedido, explicar-lhe o seu significado. A recolha de dados para fins de análises e ensaios genéticos é, por princípio, proibida;
d) Pode ser regulamentado em sede de convenção coletiva se, e em que medida, a utilização do telefone, do correio eletrónico, da Internet e dos demais serviços de telecomunicações é também autorizada para fins privados. Caso este aspeto não seja objeto de regulamentação através de convenção coletiva, o empregador celebra diretamente um acordo sobre essa matéria com o trabalhador. Na medida em que uma utilização privada seja autorizada, o tratamento dos dados acumulados relativos ao tráfego é autorizado, nomeadamente, para garantir a segurança dos dados, assegurar o bom funcionamento das redes e serviços de telecomunicações e para fins de faturação.
Em derrogação à terceira frase, os Estados-Membros podem, por via legislativa, prever a admissibilidade desta prática, definindo prazos adequados para a supressão dos dados, desde que haja indícios factuais, obrigatoriamente documentados, que fundamentem a suspeita de que o trabalhador cometeu um crime ou uma violação grave dos seus deveres no contexto laboral, que essa recolha seja necessária para esclarecer o assunto e, enfim, que a natureza e o alcance dessa recolha de dados sejam necessários e proporcionados relativamente à sua finalidade. A vida privada e a privacidade dos trabalhadores devem ser sistematicamente protegidas. O inquérito incumbe às autoridades competentes;
e) Os dados pessoais dos trabalhadores, em especial os dados sensíveis, como a orientação política e a filiação e a militância sindicais, não podem, em caso algum, ser utilizados para colocar os trabalhadores nas chamadas «listas negras», nem para os examinar ou excluir de um futuro emprego. O tratamento, a utilização no contexto laboral, a produção e a transmissão de «listas-negras» de trabalhadores ou outras formas de discriminação são proibidos. Os Estados-Membros empreendem controlos e adotam sanções adequadas, nos termos do disposto no artigo 79.º, n.º 6, a fim de garantirem a aplicação efetiva do presente ponto.
1-D. A transferência e o tratamento de dados pessoais dos trabalhadores entre empresas juridicamente independentes no seio de um grupo de empresas e a consultores jurídicos e fiscais são permitidos, desde que sejam relevantes para a atividade da empresa e usados para a execução de operações ou procedimentos administrativos específicos e não sejam contrários aos interesses e aos direitos fundamentais do interessado que devam ser objeto de proteção. Em caso de transferência de dados dos trabalhadores para um país terceiro e/ou organização internacional, aplica-se o capítulo V.
2. Cada Estado-Membro notifica à Comissão essas disposições do direito nacional que adote nos termos do n.º 1dos n.ºs 1 e 1-B, o mais tardar na data prevista no artigo 91.º, n.º 2 e, sem demora, qualquer alteração subsequente das mesmas.
3. São atribuídas competências à Comissão, depois de ter solicitado um parecer ao Comité Europeu para a Proteção de Dados, para adotar atos delegados em conformidade com o artigo 86.º, a fim de especificar mais concretamente os critérios e os requisitos aplicáveis às garantias relativas ao tratamento de dados pessoais para os efeitos previstos no n.º 1. [Alt. 192]
Artigo 82.º-A
Tratamento de dados no contexto da segurança social
1. Os Estados-Membros podem, com observância do disposto no presente regulamento, adotar normas legislativas específicas particularizando as condições do tratamento de dados pessoais pelas suas instituições e serviços públicos no contexto da segurança social se empreendido no interesse público.
2. Cada Estado‑Membro notifica à Comissão, o mais tardar, na data prevista no artigo 91.º, n.º 2, as disposições que adote nos termos do n.º 1 e notificar‑lhe‑á, sem demora, qualquer alteração subsequente das mesmas. [Alt. 193]
Artigo 83.º
Tratamento para fins de investigação histórica, estatística e científica
1. Nos limites doCom observância do disposto no presente regulamento, os dados pessoais só podem ser objeto de tratamento para fins de investigação histórica, estatística ou científica se:
(a) Não for possível alcançar esses fins de outro modo através do tratamento de dados que não permita ou tenha deixado de permitir a identificação da pessoa em causa;
(b) Os dados que permitem ligar informações a um titular de dados identificado ou identificável forem conservados separados de outras informações, desde que esses fins possam ser atingidos deste modosob os mais elevados padrões técnicos, sendo tomadas todas as medidas necessárias para impedir a reidentificação indevida dos titulares dos dados.
2. Os organismos que efetuem investigações históricas, estatísticas ou científicas só podem publicar ou divulgar dados pessoais se:
(c) O titular dos dados tiver dado o seu consentimento, sem prejuízo das condições estabelecidas no artigo 7.º;
(b) A publicação dos dados pessoais for necessária para a apresentação de resultados da investigação ou para facilitar a investigação, desde que os interesses ou os direitos e liberdades fundamentais do titular dos dados não prevaleçam sobre o interesse da investigação;
(c) O titular dos dados tiver disponibilizado publicamente os dados.
3. São atribuídas competências à Comissão para adotar atos delegados em conformidade com o artigo 86.º, a fim de especificar mais concretamente os critérios e os requisitos aplicáveis ao tratamento de dados pessoais para os efeitos referidos nos n.os 1 e 2, bem como quaisquer restrições necessárias dos direitos de informação e de acesso do titular dos dados, e especificar mais detalhadamente as condições e garantias aplicáveis aos direitos do titular dos dados nas circunstâncias em causa.[Alt. 194]
Artigo 83.º-A
Tratamento de dados pessoais pelos serviços de arquivos
1. Após a conclusão do tratamento inicial para o qual foram recolhidos, os dados pessoais podem ser objeto de tratamento por parte dos serviços de arquivos cuja função principal ou missão consista em recolher, conservar, fornecer informação, explorar e difundir arquivos no interesse público, designadamente a fim de documentar direitos dos particulares ou para fins históricos, estatísticos ou científicos. Essas funções são exercidas com observância das disposições previstas pelos Estados-Membros em matéria de acesso, de publicação e de difusão de documentos administrativos ou de arquivo, bem como com observância do disposto no presente regulamento, especificamente, em matéria de consentimento e direito de oposição.
2. Cada Estado‑Membro notifica à Comissão, o mais tardar, na data prevista no artigo 91.º, n.º 2, as disposições de direito nacional que adote nos termos do n.º 1 e notificar‑lhe‑á, sem demora, qualquer alteração subsequente das mesmas. [Alt. 195]
Artigo 84.º
Obrigações de sigilo
1. Nos limites doCom observância do disposto no presente regulamento, os Estados-Membros podem adotarvelam por que estejam em vigor regras específicas para estabelecerque definam os poderes de investigação das autoridades de controlo previstos no artigo 53.º, relativamente a responsáveis pelo tratamento ou a subcontratantes sujeitos, ao abrigo de legislação nacional ou de regras adotadas pelas autoridades nacionais competentes, a uma obrigação de sigilo profissional ou outras obrigações de sigilo equivalentes, sempre que estas se revelem necessárias e proporcionais para conciliar direito de proteção de dados pessoais com a obrigação de sigilo. Estas regras são aplicáveis apenas no que diz respeito aos dados pessoais recebidos pelo responsável pelo tratamento ou pelo subcontratante, ou que este tenha recolhido no âmbito de uma atividade abrangida por essa obrigação de sigilo. [Alt. 196]
2. Cada Estado-Membro notifica a Comissão das disposições que adotar nos termos do n.º 1, o mais tardar na data prevista no artigo 91.º, n.º 2 e, sem demora, qualquer alteração subsequente das mesmas.
Artigo 85.º
Regras existentes sobre a proteção de dados das igrejas e associações religiosas
1. Sempre que, num Estado-Membro, as igrejas e associações ou comunidades religiosas apliquem, à data de entrada em vigor do presente regulamento, um conjunto completo de regras adequadas relacionadas com a proteção das pessoas singulares relativamente ao tratamento de dados pessoais, essas regras podem continuar a ser aplicadas, desde que conformes com o disposto no presente regulamento.
2. As igrejas e associações religiosas que apliquem um conjunto completo de regras adequadas nos termos do n.º 1, devem prever a criação de uma autoridade de controlo independente, nos termos do Capítulo VI do presente regulamentoobterão um parecer sobre a conformidade nos termos do artigo 38.º. [Alt. 197]
Artigo 85.º-A
Respeito dos direitos fundamentais
O presente regulamento não tem por efeito alterar a obrigação de respeitar os direitos fundamentais e os princípios jurídicos fundamentais consagrados no artigo 6.º do TUE. [Alt. 198]
Artigo 85.º-B
Formulários normalizados
1. Tendo em conta as especificidades e necessidades dos diversos setores e situações de tratamento de dados, a Comissão pode prever formulários normalizados relativamente:
a) Aos métodos específicos de obtenção do consentimento verificável referido no artigo 8.º, n.º 1;
b) À comunicação a que se refere o artigo 12.º, n.º 2, inclusive em formato eletrónico;
c) Ao fornecimento das informações referidas no artigo 14.º, n.ºs 1 a 3;
d) Ao pedido e à concessão de acesso às informações referidas no artigo 15.º, n.º 1, nomeadamente para a comunicação dos dados pessoais ao titular dos dados;
e) À documentação referida no artigo 28.º, n.º 1;
f) Às notificações de violação nos termos do artigo 31.º à autoridade de controlo e à documentação referida no artigo 31.º, n.º 4;
g) Às consultas prévias a que se refere o artigo 34.º e à informação das autoridades de controlo nos termos do artigo 34.º, n. 6.
2. Ao fazê-lo, a Comissão deve adotar as medidas adequadas em relação às micro, pequenas e médias empresas.
3. Esses atos de execução são adotados pelo procedimento de exame a que se refere o artigo 87.º, n.º 2. [Alt. 199]
CAPÍTULO X
ATOS DELEGADOS E ATOS DE EXECUÇÃO
Artigo 86.º
Exercício de delegação
1. É conferido à Comissão o poder de adotar atos delegados, sob reserva das condições estabelecidas no presente artigo.
2. A delegação de poderes a que se refere o artigo 6.º, n.º 5, o artigo 8.º, n.º 3, o artigo 9.º, n.º 3, o artigo 12.º, n.º 5, o artigo 14.º, n.º 7, o artigo 15.º, n.º 3, oO poder de adotar atos delegados referido no artigo 13.º‑A, n.º 5, no artigo 17.º, n.º 9, o artigo 20.º, n.º 6, o artigo 22.º, n.º 4, o artigo 23.º, n.º 3, o artigo 26.º, n.º 5, o artigo 28.º, n.º 5, o artigo 30.º, n.º 3, o artigo 31.º, n.º 5, o artigo 32.º, n.º 5, o artigo 33.º, n.º 6, o artigo 34.º, n.º 8, o artigo 35.º, n.º 11, o artigo 37.º, n.º 2, ono artigo 38.º, n.º 4, no artigo 39.º, n.º 2, o no artigo 41.º, n.º 3, no artigo 41.º, n.º 5, no artigo 43.º, n.º 3, o artigo 44.º, n.º 7,ono artigo 79.º, n.º 67, o artigo 81.º, n.º 3, o e no artigo 82.º, n.º 3 e o artigo 83.º, n.º 3, é conferidaconferido à Comissão por um período indeterminado a contar da data de entrada em vigor do presente regulamento. [Alt. 200]
3. A delegação de poderes a que se refere o artigo 6.º, n.º 5, o artigo 8.º, n.º 3, o artigo 9.º, n.º 3, o artigo 12.º, n.º 5, o artigo 14.º, n.º 7, o artigo 15.º, n.º 3,o artigo 13.°-A, n.º 5, o artigo 17.º, n.º 9, o artigo 20.º, n.º 6, o artigo 22.º, n.º 4, o artigo 23.º, n.º 3, o artigo 26.º, n.º 5, o artigo 28.º, n.º 5, o artigo 30.º, n.º 3, o artigo 31.º, n.º 5, o artigo 32.º, n.º 5, o artigo 33.º, n.º 6, o artigo 34.º, n.º 8, o artigo 35.º, n.º 11, o artigo 37.º, n.º 2,o artigo 38.º, n.º 4, o artigo 39.º, n.º 2, o artigo 41.º, n.º 3, o artigo 41.º, n.º 5, o artigo 43.º, n.º 3, o artigo 44.º, n.º 7, o artigo 79.º, n.º 67, o artigo 81.º, n.º 3,e o artigo 82.º, n.º 3 e o artigo 83.º, n.º 3, pode ser revogada a qualquer momento pelo Parlamento Europeu ou pelo Conselho. A decisão de revogação põe termo à delegação dos poderes nela especificados. A revogação produz efeitos no dia seguinte ao da sua publicação no Jornal Oficial da União Europeia ou numa data posterior nela especificada. A decisão de revogação não prejudica a validade dos atos delegados já em vigor. [Alt. 201]
4. Logo que adote um ato delegado, a Comissão notifica-o simultaneamente ao Parlamento Europeu e ao Conselho.
5. Um ato delegado adotado em conformidade com o artigo 6.º, n.º 5, o artigo 8.º, n.º 3, o artigo 9.º, n.º 3, o artigo 12.º, n.º 5, o artigo 14.º, n.º 7, o artigo 15.º, n.º 3, o artigo 13.º‑A, n.º 5, o artigo 17.º, n.º 9, o artigo 20.º, n.º 6, o artigo 22.º, n.º 4, o artigo 23.º, n.º 3, o artigo 26.º, n.º 5, o artigo 28.º, n.º 5, o artigo 30.º, n.º 3, o artigo 31.º, n.º 5, o artigo 32.º, n.º 5, o artigo 33.º, n.º 6, o artigo 34.º, n.º 8, o artigo 35.º, n.º 11, o artigo 37.º, n.º 2, , o artigo 38.º, n.º 4, o artigo 39.º, n.º 2, , o artigo 41.º, n.º 3, o artigo 41.º, n.º 5, o artigo 43.º, n.º 3, o artigo 44.º, n.º 7, o artigo 79.º, n.º 7, o artigo 81.º, n.º 3,e o artigo 82.º, n.º 3 e o artigo 83.º, n.º 3, só pode entrar em vigor se não forem formuladas objeções pelo Parlamento Europeu ou pelo Conselho no prazo de doisseis meses a contar da notificação desse ato ao Parlamento Europeu e ao Conselho ou se, antes do termo do referido prazo, o Parlamento Europeu e o Conselho tiverem informado a Comissão de que não pretendem formular objeções. Esse prazo é prorrogável por seis meses por iniciativa do Parlamento Europeu ou do Conselho. [Alt. 202]
Artigo 87.º
Procedimento de comité
1. A Comissão é assistida por um comité. Esse comité é um comité na aceção do Regulamento (UE) n.º 182/2011.
2. Sempre que se faça referência ao presente número, é aplicável o artigo 5.º do Regulamento (UE) n.º 182/2011.
3. Sempre que se faça referência ao presente número, é aplicável o artigo 8.º do Regulamento (UE) n.º 182/2011 em conjugação com o seu artigo 5.º.[Alt. 203]
CAPÍTULO XI
DISPOSIÇÕES FINAIS
Artigo 88.º
Revogação da Diretiva 95/46/CE
1. A Diretiva 95/46/CE é revogada.
2. As referências à diretiva revogada são consideradas como referências ao presente regulamento. As referências ao Grupo de trabalho de proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais, criado pelo artigo 29.º da Diretiva 95/46/CE, são consideradas como referências ao Comité Europeu para a Proteção de Dados criado pelo presente regulamento.
Artigo 89.º
Relação com a Diretiva 2002/58/CE e alteração da mesma
1. O presente regulamento não impõe obrigações suplementares a pessoas singulares ou coletivas no que respeita ao tratamento de dados pessoais no contexto da prestação de serviços de comunicações eletrónicas publicamente disponíveis nas redes públicas de comunicações na União em matérias que estejam sujeitas a obrigações específicas com o mesmo objetivo estabelecido na Diretiva 2002/58/CE.
2. O artigo 1.º, n.º 2,e os artigos 4.º e 15.º, da Diretiva 2002/58/CE é suprimidosão suprimidos. [Alt. 204]
2-A. A Comissão apresenta sem demora, o mais tardar, na data referida no artigo 91.º, n.º 2, uma proposta de revisão do quadro jurídico aplicável ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas, a fim de adequar a legislação ao presente regulamento e de garantir a existência de disposições jurídicas coerentes e uniformes sobre o direito fundamental à proteção dos dados pessoais na União. [Alt. 205]
Artigo 89.º-A
Relação com o Regulamento (CE) n.º 45/2001 e sua alteração
1. As disposições do presente regulamento são aplicáveis ao tratamento de dados pessoais pelas instituições, órgãos, organismos e agências da União, relativamente à matéria na qual não estejam sujeitos a disposições adicionais previstas no Regulamento (CE) n.º 45/2001.
2. A Comissão apresenta sem demora, o mais tardar, na data referida no artigo 91.º, n.º 2, uma proposta de revisão do quadro jurídico aplicável ao tratamento de dados pessoais pelas instituições, órgãos, organismos e agências da União. [Alt. 206]
Artigo 90.º
Avaliação
A Comissão apresenta periodicamente ao Parlamento Europeu e ao Conselho relatórios sobre a avaliação e reexame do presente regulamento. O primeiro relatório deve ser apresentado o mais tardar quatro anos após a entrada em vigor do presente regulamento. Os relatórios subsequentes devem ser apresentados com uma periodicidade de quatro anos. A Comissão apresentará, se necessário, propostas adequadas com vista à alteração do presente regulamento e à sua adaptação a outros instrumentos jurídicos atendendo, em especial, à evolução das tecnologias das informações e aos progressos da sociedade da informação. Os relatórios são objeto de publicação.
Artigo 91.º
Entrada em vigor e aplicação
1. O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.
O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.
Feito em
Pelo Parlamento Europeu Pelo Conselho
O Presidente O Presidente
Anexo – Apresentação da informação sobre os aspetos referidos no artigo 13.º-A
1) Tendo em conta as proporções referidas no ponto 6, as informações serão fornecidas do seguinte modo:
2) As palavras seguintes, nas linhas da segunda coluna do quadro constante do ponto 1, intitulada «INFORMAÇÕES ESSENCIAIS», são formatadas a negrito:
a) A palavra «recolhidos», na primeira linha da segunda coluna;
b) A palavra «conservados», na segunda linha da segunda coluna;
c) A palavra «tratados», na terceira linha da segunda coluna;
d) A palavra «difundidos», na quarta linha da segunda coluna;
e) As palavras «vendidos ou alugados», na quinta linha da segunda coluna;
f) A palavra «sem codificação», na sexta linha da segunda coluna;
3) Tendo em conta as proporções referidas no ponto 6, as linhas da terceira coluna do quadro constante do ponto 1, intitulada «CUMPRIDO», são preenchidas com uma das duas formas gráficas seguintes, em conformidade com as condições previstas no ponto 4:
a)
b)
4)
a) Se não são recolhidos dados pessoais além do mínimo necessário para cada finalidade específica do tratamento, a primeira linha da terceira coluna do quadro constante do ponto 1 exibe a forma gráfica referida no ponto 3, alínea a).
b) Se são recolhidos dados pessoais além do mínimo necessário para cada finalidade específica do tratamento, a primeira linha da terceira coluna do quadro constante do ponto 1 exibe a forma gráfica referida no ponto 3, alínea b).
c) Se não são conservados dados pessoais além do mínimo necessário para cada finalidade específica do tratamento, a segunda linha da terceira coluna do quadro constante do ponto 1 exibe a forma gráfica referida no ponto 3, alínea a).
d) Se são conservados dados pessoais além do mínimo necessário para cada finalidade específica do tratamento, a segunda linha da terceira coluna do quadro constante do ponto 1 exibe a forma gráfica referida no ponto 3, alínea b).
e) Se não são tratados dados pessoais com outros fins senão aqueles para os quais foram recolhidos, a terceira linha da terceira coluna do quadro constante do ponto 1 exibe a forma gráfica referida no ponto 3, alínea a).
f) Se são tratados dados pessoais com outros fins além daqueles para os quais foram recolhidos, a terceira linha da terceira coluna do quadro constante do ponto 1 exibe a forma gráfica referida no ponto 3, alínea b).
g) Se não são difundidos dados pessoais a terceiros que têm fins comerciais, a quarta linha da terceira coluna do quadro constante do ponto 1 exibe a forma gráfica referida no ponto 3, alínea a).
h) Se são difundidos dados pessoais a terceiros que têm fins comerciais, a quarta linha da terceira coluna do quadro constante do ponto 1 exibe a forma gráfica referida no ponto 3, alínea b).
i) Se não são vendidos ou alugados dados pessoais, a quinta linha da terceira coluna do quadro constante do ponto 1 exibe a forma gráfica referida no ponto 3, alínea a).
j) Se são vendidos ou alugados dados pessoais, a quinta linha da terceira coluna do quadro constante do ponto 1 exibe a forma gráfica referida no ponto 3, alínea b).
k) Se não são conservados dados pessoais sem codificação, a sexta linha da terceira coluna do quadro constante do ponto 1 exibe a forma gráfica referida no ponto 3, alínea a).
l) Se são conservados dados pessoais sem codificação, a sexta linha da terceira coluna do quadro constante do ponto 1 exibe a forma gráfica referida no ponto 3, alínea b).
5) As cores de referência das formas gráficas constante do ponto 1 em Pantone são Pantone Preto n.º 7547 e Pantone Vermelho n.º 485. A cor de referência da forma gráfica constante do ponto 3, alínea a), em Pantone é Pantone Verde n.º 370. A cor de referência da forma gráfica constante do ponto 3, alínea b), em Pantone é Pantone Vermelho n.º 485.
6) As proporções fornecidas no grafismo graduado seguinte devem ser respeitadas, mesmo quando o quadro é reduzido ou ampliado:
Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO L 281 de 23.11.1995, p. 31).
Regulamento (CE) n.º 45/2001 do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais (JO L 8 de 12.1.2001, p. 1).
Directiva 2000/31/CE do Parlamento Europeu e do Conselho de 8 de Junho de 2000 relativa a certos aspectos legais dos serviços da sociedade de informação, em especial do comércio electrónico, no mercado interno («Directiva sobre o comércio electrónico») (JO L 178 de 17.7.2000, p. 1).
Directiva 93/13/CEE do Conselho, de 5 de Abril de 1993, relativa às cláusulas abusivas nos contratos celebrados com os consumidores (JO L 95de 21.4.1993, p. 29).
Regulamento (CE) n.º 1338/2008 do Parlamento Europeu e do Conselho, de 16 de dezembro de 2008, relativo às estatísticas da União sobre saúde pública e saúde e segurança no trabalho (JO L 354 de 31.12.2008, p. 70).
CDiretiva 2009/38/CE do Parlamento Europeu e do Conselho, de 6 de maio de 2009, relativa à instituição de um Conselho de Empresa Europeu ou de um procedimento de informação e consulta dos trabalhadores nas empresas ou grupos de empresas de dimensão comunitária (JO L 122 de 16.5.2009, p. 28).
Regulamento (UE) n.º 182/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os princípios gerais relativos aos mecanismos de controlo pelos Estados-Membros do exercício das competências de execução pela Comissão, JO L 55 de 28.2.2011, p. 13.
Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de Julho de 2002, relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas (Diretiva relativa à privacidade e às comunicações electrónicas) (JO L 201de 31.7.2002, p. 37)
Diretiva 2004/18/CE do Parlamento Europeu e do Conselho, de 31 de março de 2004, relativa à coordenação dos processos de adjudicação dos contratos de empreitada de obras públicas, dos contratos públicos de fornecimento e dos contratos públicos de serviços (JO L 134 de 30.4.2004, p.114).
Diretiva 2004/17/CE do Parlamento Europeu e do Conselho, de 31 de março de 2004, relativa à coordenação dos processos de adjudicação de contratos nos sectores da água, da energia, dos transportes e dos serviços postais (JO L 134 de 30.4.2004, p. 1).
Regulamento (CE) n.° 1049/2001 do Parlamento Europeu e do Conselho, de 30 de Maio de 2001, relativo ao acesso do público aos documentos do Parlamento Europeu, do Conselho e da Comissão (JO L 145de 31.5.2001, p. 43)
Diretiva 2001/20/CE do Parlamento Europeu e do Conselho, de 4 de abril de 2001, relativa à aproximação das disposições legislativas, regulamentares e administrativas dos Estados-Membros respeitantes à aplicação de boas práticas clínicas na condução dos ensaios clínicos de medicamentos para uso humano (JO L 121 de 1.5.2001, p. 34).
Dois anos a contar da data de entrada em vigor do presente regulamento.
Proteção do euro contra a falsificação (Programa "Pericles 2020") ***
191k
33k
Resolução legislativa do Parlamento Europeu, de 12 de março de 2014, sobre o projeto de regulamento do Conselho que torna extensível aos Estados-Membros não participantes a aplicação do Regulamento (UE) n.º …./2012 que estabelece um programa de ação em matéria de intercâmbio, de assistência e de formação para a proteção do euro contra a falsificação (programa «Pericles 2020») (16616/2013 – C7-0463/2013 – 2011/0446(APP))
– Tendo em conta o projeto de regulamento do Conselho (16616/2013),
– Tendo em conta o pedido de aprovação apresentado pelo Conselho, nos termos do artigo 352.º do Tratado sobre o Funcionamento da União Europeia (C7‑0463/2013),
– Tendo em conta o artigo 81.º, primeiro e terceiro parágrafos, do seu Regimento,
– Tendo em conta a recomendação da Comissão das Liberdades Cívicas, da Justiça e dos Assuntos Internos (A7-0152/2014),
1. Aprova o projeto de regulamento do Conselho;
2. Encarrega o seu Presidente de transmitir a posição do Parlamento ao Conselho, à Comissão e aos parlamentos nacionais.
Acordo UE-Azerbaijão sobre a facilitação da emissão de vistos ***
195k
33k
Resolução legislativa do Parlamento Europeu, de 12 de março de 2014, referente ao projeto de decisão do Conselho relativa à conclusão do Acordo entre a União Europeia e a República do Azerbaijão sobre a facilitação da emissão de vistos (17846/2013 – C7-0078/2014 – 2013/0356(NLE))
– Tendo em conta o projeto de decisão do Conselho (17846/2013),
– Tendo em conta o projeto de acordo entre a União Europeia e a República do Azerbaijão sobre a facilitação da emissão de vistos (15554/2013),
– Tendo em conta o pedido de aprovação que o Conselho apresentou, nos termos do artigo 77.º, n.º 2, alínea a), e do artigo 218.º, n.º 6, segundo parágrafo, alínea a), do Tratado sobre o Funcionamento da União Europeia (C7‑0078/2014),
– Tendo em conta o artigo 81.º, n.° 1, primeiro e terceiro parágrafos, e n.° 2, e o artigo 90.º, n.º 7, do seu Regimento,
– Tendo em conta a recomendação da Comissão das Liberdades Cívicas, da Justiça e dos Assuntos Internos e o parecer da Comissão dos Assuntos Externos (A7-0155/2014),
1. Aprova a celebração do acordo;
2. Encarrega o seu Presidente de transmitir a posição do Parlamento ao Conselho, à Comissão e aos governos e parlamentos dos Estados-Membros e da República do Azerbaijão.
Acordo UE-Azerbaijão sobre a readmissão de residentes sem autorização ***
195k
33k
Resolução legislativa do Parlamento Europeu, de 12 de março de 2014, referente ao projeto de decisão do Conselho relativa à celebração do Acordo entre a União Europeia e a República do Azerbaijão sobre a readmissão de residentes sem autorização (15596/2013 – C7-0079/2014 – 2013/0358(NLE))
– Tendo em conta o projeto de decisão do Conselho (15596/2013),
– Tendo em conta o projeto de acordo entre a União Europeia e a República do Azerbaijão sobre a readmissão de residentes sem autorização (15594/2013),
– Tendo em conta o pedido de aprovação que o Conselho apresentou, nos termos do artigo 79.º, n.º 3, e do artigo 218.º, n.º 6, segundo parágrafo, alínea a), do Tratado sobre o Funcionamento da União Europeia (C7-0079/2014),
– Tendo em conta o artigo 81.º, n.° 1, primeiro e terceiro parágrafos, e n.° 2, e o artigo 90.º, n.º 7, do seu Regimento,
– Tendo em conta a recomendação da Comissão das Liberdades Cívicas, da Justiça e dos Assuntos Internos e o parecer da Comissão dos Assuntos Externos (A7-0154/2014),
1. Aprova a celebração do acordo;
2. Encarrega o seu Presidente de transmitir a posição do Parlamento ao Conselho, à Comissão e aos governos e parlamentos dos Estados-Membros e da República do Azerbaijão.
Empenhamento humanitário de agentes armados não estatais no que diz respeito à proteção de crianças
121k
42k
Recomendação do Parlamento Europeu ao Conselho, de 12 de março de 2014, referente ao empenhamento humanitário de agentes armados não estatais no que diz respeito à proteção de crianças (2014/2012(INI))
– Tendo em conta a sua proposta de recomendação ao Conselho, apresentada por Catherine Grèze, Eva Joly, Isabella Lövin, Judith Sargentini, Bart Staes e Keith Taylor, em nome do Grupo Verts/ALE, referente ao empenhamento humanitário de agentes armados não estatais no que diz respeito à proteção de crianças (B7-0585/2013),
– Tendo em conta o relatório do Secretário-Geral das Nações Unidas, de 2013, sobre as crianças e os conflitos armados, e outros relatórios de entidades pertinentes,
– Tendo em conta as orientações da UE sobre as crianças e os conflitos armados, de 2008, a estratégia de implementação das orientações da UE sobre as crianças e os conflitos armados, de 2010, e a lista de controlo relativa à integração da proteção das crianças afetadas pelos conflitos armados nas operações da PESD, de 2008,
– Tendo em conta as conclusões do Conselho, de 2008, sobre a «Promoção e proteção dos direitos das crianças na ação externa da União Europeia – a dimensão do desenvolvimento e a dimensão humanitária»,
– Tendo em conta as suas resoluções de 19 de fevereiro de 2009, sobre um lugar especial para as crianças na ação externa da UE(1), de 16 de janeiro de 2008, intitulada «Rumo a uma estratégia da UE sobre os direitos da criança»(2), de 3 de julho de 2003, sobre o tráfico de crianças e as crianças-soldados(3), de 6 de julho de 2000, sobre o rapto de crianças pelo Exército de Resistência do Senhor (LRA)(4), e de 17 de dezembro de 1998, sobre as crianças-soldados(5),
– Tendo em conta as resoluções das Nações Unidas sobre os Direitos das Crianças, em especial a Resolução 1612 do Conselho de Segurança das Nações Unidas (2005),
– Tendo em conta o Protocolo Facultativo à Convenção sobre os Direitos da Criança relativo à Participação de Crianças em Conflitos Armados, de 2002,
– Tendo em conta os Compromissos de Paris com vista a proteger as crianças do recrutamento ilegal ou do seu uso por forças armadas ou grupos armados e os Princípios e Diretrizes de Paris sobre as crianças associadas a forças armadas ou grupos armados, ambos adotados em 6 de fevereiro de 2007,
– Tendo em conta o artigo 121.º, n.º 3, e o artigo 97.º do seu Regimento,
– Tendo em conta o relatório da Comissão do Desenvolvimento (A7-0160/2014),
A. Considerando que a maioria dos conflitos armados contemporâneos envolve um ou mais agentes armados não estatais que combatem governos ou outros grupos armados, e que são os civis e, em particular, as crianças que mais sofrem com estas guerras;
B. Considerando que o espectro destes agentes não estatais é muito vasto e engloba um amplo leque de identidades e motivações, bem como diversos graus de disponibilidade e capacidade para respeitar o direito humanitário internacional e outras normas de direito internacional, embora todos exijam controlo a este respeito;
C. Considerando que, para melhorar a proteção dos civis, e em particular das crianças, todas as partes em conflito devem ser tidas em consideração;
D. Considerando que as normas humanitárias internacionais se aplicam de forma vinculativa a todas as partes envolvidas num conflito armado;
E. Considerando que os conflitos armados têm um impacto particularmente devastador no desenvolvimento físico e mental das crianças, com consequências a longo prazo para a segurança humana e o desenvolvimento sustentável;
F. Considerando que o Estatuto do Tribunal Penal Internacional criminaliza o ato de recrutar ou de alistar menores de 15 anos nas forças armadas ou em grupos armados ou de os utilizar para participar ativamente em hostilidades;
G. Considerando que o direito internacional proíbe todas as formas de violência sexual, nomeadamente contra crianças, e que os atos de violência sexual podem constituir crimes de guerra, crimes contra a humanidade ou genocídio;
H. Considerando que o uso de minas antipessoal diminuiu desde a adoção da Convenção sobre a Proibição de Minas Antipessoal em 1997, mas que representa ainda uma ameaça para as crianças, especialmente em conflitos armados que não tenham carácter internacional;
I. Considerando que a comunidade internacional tem o dever moral de procurar obter compromissos de todas as partes envolvidas nos conflitos, incluindo quer dos Estados, quer dos agentes armados não estatais, a fim de proteger as crianças;
J. Considerando que a questão da desmobilização, reabilitação e reintegração das crianças‑soldados será incluída em qualquer negociação e acordo de paz resultante, devendo, além disso, ser abordada durante o próprio conflito;
K. Considerando que uma desmobilização e uma reintegração bem sucedidas das crianças‑soldados podem ajudar a evitar os ciclos contínuos de violência;
1. Dirige as seguintes recomendações ao Comissário para o Desenvolvimento e à Vice-Presidente da Comissão/Alta Representante da União para os Negócios Estrangeiros e a Política de Segurança:
a)
Cumpre incentivar a assinatura de planos de ação para a proteção de crianças em conflitos armados, por parte dos Estados e dos agentes armados não estatais envolvidos com o gabinete do Representante Especial do Secretário-Geral da ONU para as Crianças e os Conflitos Armados, relembrando, ao mesmo tempo, que tal compromisso com agentes armados não estatais não implica qualquer apoio a estes grupos e suas atividades, nem o reconhecimento da sua legitimidade;
b)
Há que reconhecer os esforços empreendidos pelas Nações Unidas e pelas organizações internacionais e não-governamentais no sentido de persuadir os agentes armados não estatais a proteger as crianças, reafirmando que tal não implica qualquer apoio ou reconhecimento da legitimidade das atividades destes grupos;
c)
Cumpre inscrever nos diálogos políticos com países terceiros, por exemplo, no quadro do Acordo de Cotonu, o objetivo de prevenir e acabar com o recrutamento e o envolvimento forçado de crianças menores de 18 anos e de assegurar a sua libertação e reintegração na sociedade;
d)
Cumpre reiterar que os Estados e os agentes armados não estatais têm de respeitar o direito humanitário internacional e o direito internacional humanitário consuetudinário e apoiar os seus esforços para tomar medidas especiais no sentido de proteger os civis, particularmente as crianças, relembrando, ao mesmo tempo, que tal compromisso com agentes armados não estatais não implica qualquer apoio a estes grupos e suas atividades, nem o reconhecimento da sua legitimidade;
e)
Cumpre recordar que o direito humanitário internacional constitui um quadro jurídico que vincula os grupos armados não estatais e que o artigo 3º comum às Convenções de Genebra e ao segundo protocolo adicional de 1977 servem este fim, tal como acontece com um vasto número de normas do direito internacional humanitário consuetudinário; há que verificar, como matéria de importância, se as normas do direito humanitário internacional existentes são adequadas para enquadrar a atividades dos atores não estatais ou se é necessária regulamentação adicional;
f)
Importa dialogar, direta ou indiretamente, por meio de ONG especializadas e organizações humanitárias, com agentes armados não estatais no que diz respeito à proteção das raparigas e dos rapazes com vista a atenuar o sofrimento das crianças em conflitos armados e exortar os agentes armados não estatais a assinar o Ato de Compromisso de Adesão da «Geneva Call» à proteção das crianças contra os efeitos de conflitos armados;
g)
Há que apoiar as organizações humanitárias que dialogam com os agentes armados não estatais, a fim de promover o respeito pelas normas humanitárias internacionais nos conflitos armados, nomeadamente a proteção das crianças, por meios políticos, diplomáticos e financeiros;
h)
Cumpre apelar aos Estados-Membros para que aliem os seus esforços internacionais, a fim de evitar o ataque a escolas ou o uso militar das mesmas por parte de atores armados, adotando o projeto de orientações de Lucens para prevenir o uso militar de escolas e universidades durante conflitos armados;
2. Encarrega o seu Presidente de transmitir a presente recomendação ao Comissário para o Desenvolvimento, à Vice-Presidente da Comissão/Alta Representante da União para os Negócios Estrangeiros e a Política de Segurança, à Comissão, ao Conselho e ao Serviço Europeu para a Ação Externa.
Número de delegações interparlamentares, de delegações às comissões parlamentares mistas e de delegações às comissões parlamentares de cooperação e às assembleias parlamentares multilaterais
119k
39k
Decisão do Parlamento Europeu, de 12 de março de 2014, referente ao número das delegações interparlamentares, das delegações às comissões parlamentares mistas e das delegações às comissões parlamentares de cooperação e às assembleias parlamentares multilaterais (2014/2632(RSO))
– Tendo em conta a proposta da Conferência dos Presidentes,
– Tendo em conta os acordos de associação e de cooperação, bem como outros acordos concluídos pela União Europeia com países terceiros,
– Tendo em conta os artigos 198.º e 200.° do seu Regimento,
A. Sendo seu desiderato contribuir, mediante um diálogo interparlamentar contínuo, para o reforço da democracia parlamentar,
1. Decide fixar do seguinte modo o número das delegações e os respetivos agrupamentos regionais:
a)
Europa, Balcãs Ocidentais e Turquia
Delegações à
–
Comissão Parlamentar Mista UE-Antiga República Jugoslava da Macedónia
–
Comissão Parlamentar Mista UE-Turquia
Delegação para as Relações com a Suíça e a Noruega, à Comissão Parlamentar Mista UE‑Islândia e à Comissão Parlamentar Mista do Espaço Económico Europeu (EEE)
Delegação à CPEA UE-Sérvia
Delegação à CPEA UE-Albânia
Delegação à CPEA UE-Montenegro
Delegação para as Relações com a Bósnia-Herzegovina e o Kosovo
b)
Rússia e Estados da Parceria Oriental
Delegação à Comissão Parlamentar de Cooperação UE-Rússia
Delegação à Comissão Parlamentar de Cooperação UE-Ucrânia
Delegação à Comissão Parlamentar de Cooperação UE-Moldávia
Delegação para as Relações com a Bielorrússia
Delegação às Comissões Parlamentares de Cooperação UE-Arménia, UE-Azerbaijão e UE‑Geórgia
c)
Magrebe, Maxereque, Israel e Palestina
Delegações para as relações com:
–
Israel
–
o Conselho Legislativo da Palestina
–
os países do Magrebe e da União do Magrebe Árabe
–
os países do Maxereque
d)
Península Arábica, Iraque e Irão
Delegações para as relações com:
–
a Península Arábica
–
o Iraque
–
o Irão
e)
Américas
Delegações para as relações com:
–
os Estados Unidos
–
o Canadá
–
a República Federativa do Brasil
–
os países da América Central
–
os países da Comunidade Andina
–
o Mercosul
Delegação à Comissão Parlamentar Mista UE-México
Delegação à Comissão Parlamentar Mista UE-Chile
Delegação à Comissão Parlamentar CARIFORUM-UE
f)
Ásia / Pacífico
Delegações para as relações com:
–
o Japão
–
a República Popular da China
–
a Índia
–
o Afeganistão
–
os países da Ásia do Sul
–
os países do Sudeste Asiático e a Associação das Nações do Sudeste Asiático (ASEAN)
–
a Península da Coreia
–
a Austrália e a Nova Zelândia
Delegação às Comissões Parlamentares de Cooperação UE-Cazaquistão, UE-Quirguistão, UE-Usbequistão e UE-Tajiquistão e para as relações com o Turquemenistão e a Mongólia
g)
África
Delegações para as relações com:
–
a África do Sul
–
o Parlamento Pan-Africano
h)
Assembleias multilaterais
Delegação à Assembleia Parlamentar Paritária ACP-UE
Delegação à Assembleia Parlamentar da União para o Mediterrâneo
Delegação à Assembleia Parlamentar Euro-Latino-Americana
Delegação à Assembleia Parlamentar Euronest
Delegação para as Relações com a Assembleia Parlamentar da NATO;
2. Decide que as comissões parlamentares criadas com base no Acordo de Parceria Económica (APE) serão exclusivamente constituídas por membros da Comissão do Comércio Internacional e da Comissão do Desenvolvimento – assegurando a manutenção do papel preponderante da Comissão do Comércio Internacional enquanto comissão competente quanto ao fundo – e deverão coordenar ativamente o seu trabalho com a Assembleia Parlamentar Paritária ACP-UE;
3. Decide que a Assembleia Parlamentar da União para o Mediterrâneo, a Assembleia Parlamentar Euro-Latino-Americana e a Assembleia Parlamentar Euronest serão exclusivamente constituídas por membros das delegações bilaterais e sub-regionais representadas em cada assembleia;
4. Decide que a Delegação para as Relações com a Assembleia Parlamentar da NATO será exclusivamente constituída por membros da Subcomissão da Segurança e da Defesa;
5. Decide que a Conferência dos Presidentes das Delegações elaborará um projeto de calendário anual, a ser aprovado pela Conferência dos Presidentes após consulta da Comissão dos Assuntos Externos, da Comissão do Desenvolvimento e da Comissão do Comércio Internacional, sendo que a Conferência dos Presidentes pode, porém, modificar o calendário, a fim de reagir a eventos políticos;
6. Decide que os grupos políticos e os Não-Inscritos designarão para cada tipo de delegação suplentes permanentes, cujo número não poderá ser superior ao número dos membros titulares que representam os grupos ou os Não-Inscritos;
7. Decide reforçar a consulta e a cooperação com as comissões visadas pelo trabalho das delegações, organizando reuniões conjuntas desses órgãos nos seus locais habituais de trabalho;
8. Providenciará por que, na prática, um ou vários relatores ou presidentes de comissões participem igualmente nos trabalhos das delegações, das comissões interparlamentares mistas, das comissões parlamentares de cooperação e das assembleias parlamentares multilaterais; decide que o Presidente, a pedido conjunto dos presidentes da delegação e da comissão em causa, autorizará missões deste tipo;
9. Decide que a presente decisão entrará em vigor no primeiro período de sessões da oitava legislatura;
10. Encarrega o seu Presidente de transmitir a presente decisão ao Conselho, à Comissão e ao Serviço Europeu para a Ação Externa.
Prestação de informação aos consumidores sobre os géneros alimentícios, no que se refere à definição de «nanomaterial artificial»
118k
41k
Resolução do Parlamento Europeu, de 12 de março de 2014, sobre o regulamento delegado da Comissão, de 12 de dezembro de 2013, que altera o Regulamento (UE) n.º 1169/2011 do Parlamento Europeu e do Conselho relativo à prestação de informação aos consumidores sobre os géneros alimentícios, no que se refere à definição de «nanomaterial artificial» (C(2013)08887 - 2013/2997(DEA))
– Tendo em conta o regulamento delegado da Comissão (C(2013)08887),
– Tendo em conta o artigo 290.º do Tratado sobre o Funcionamento da União Europeia,
– Tendo em conta o Regulamento (UE) n.° 1169/2011 do Parlamento Europeu e do Conselho, de 25 de outubro de 2011, relativo à prestação de informação aos consumidores sobre os géneros alimentícios(1), nomeadamente o artigo 2.°, n.° 2, alínea t), o artigo 18.°, n.os 3 e 5, e o artigo 51.°, n.° 5,
– Tendo em conta a proposta da Comissão de um regulamento do Parlamento Europeu e do Conselho relativo a novos alimentos (COM(2013)0894),
– Tendo em conta o Regulamento (CE) n.º 1333/2008 do Parlamento Europeu e do Conselho, de 16 de dezembro de 2008, relativo aos aditivos alimentares(2),
– Tendo em conta as listas da União Europeia estabelecidas pelo Regulamento (UE) n.° 1129/2011 da Comissão, de 11 de novembro de 2011, que altera o anexo II do Regulamento (CE) n.º 1333/2008 do Parlamento Europeu e do Conselho, mediante o estabelecimento de uma lista de aditivos alimentares da União Europeia(3), e o Regulamento (UE) n.º 1130/2011 da Comissão, de 11 de novembro de 2011, que altera o anexo III do Regulamento (CE) n.° 1333/2008 do Parlamento Europeu e do Conselho relativo aos aditivos alimentares, mediante o estabelecimento de uma lista da União Europeia de aditivos alimentares autorizados para utilização nos aditivos alimentares, enzimas alimentares, aromas alimentares e nutrientes(4),
– Tendo em conta o Regulamento (UE) n.º 257/2010 da Comissão, de 25 de março de 2010, que estabelece um programa de reavaliação de aditivos alimentares aprovados em conformidade com o Regulamento (CE) n.º 1333/2008 do Parlamento Europeu e do Conselho relativo aos aditivos alimentares(5),
– Tendo em conta a proposta de resolução da Comissão do Ambiente, da Saúde Pública e da Segurança Alimentar,
– Tendo em conta o artigo 87.º-A, n.º 3, do seu Regimento,
A. Considerando que o artigo 18.º, n.º 3, do Regulamento (UE) n.º 1169/2011 relativo à informação dos consumidores sobre os alimentos (FIC) estabelece que todos os ingredientes contidos sob a forma de nanomateriais artificiais devem ser claramente indicados na lista de ingredientes, a fim de garantir a informação dos consumidores; que, por isso, o Regulamento FIC estabelece uma definição de «nanomaterial artificial»;
B. Considerando que o artigo 18.º, n.º 5, do mesmo regulamento confere à Comissão poderes para ajustar e adaptar a definição de «nanomaterial artificial» aí referida aos progressos técnicos e científicos ou às definições acordadas a nível internacional, por meio de atos delegados, para efeitos da consecução dos objetivos desse regulamento;
C. Considerando que a Recomendação 2011/696/UE da Comissão estabelece uma definição geral de «nanomaterial»;
D. Considerando que os Regulamentos (UE) n.º 1129/2011 e (UE) n.° 1130/2011 da Comissão estabelecem listas exaustivas da União Europeia, elencando os aditivos alimentares autorizados para utilização antes da entrada em vigor do Regulamento (CE) n.º 1333/2008, após análise da respetiva conformidade com as disposições daqueles regulamentos;
E. Considerando que o regulamento delegado da Comissão exclui da nova definição de «nanomateriais artificiais» todos os aditivos alimentares incluídos nas listas da União Europeia e propõe, em vez disso, que seja abordada a necessidade de requisitos de rotulagem específicos «nano», relativos a esses aditivos, no contexto do programa de reavaliação, em conformidade com o Regulamento (UE) n.º 257/2010 da Comissão, alterando, se necessário, as condições de utilização referidas no anexo II do Regulamento (CE) n.º 1333/2008 e as especificações desses aditivos alimentares, estabelecidas no Regulamento (UE) n.º 231/2012 da Comissão(6);
F. Considerando que, atualmente, são precisamente os aditivos alimentares que podem estar presentes como nanomateriais nos alimentos;
G. Considerando que esta isenção geral anula as disposições de rotulagem relativas a todos os aditivos alimentares que são nanomateriais artificiais; que isto priva a lei do seu principal «efeito útil» e viola o objetivo básico da diretiva de alcançar um elevado nível de proteção da saúde e dos interesses dos consumidores, proporcionando uma base para que o consumidor final possa fazer escolhas informadas;
H. Considerando que a Comissão justifica esta isenção geral em relação a todos os aditivos alimentares existentes, afirmando que «indicar o nome de tais aditivos alimentares na lista de ingredientes, seguido da palavra “nano” entre parêntesis, pode confundir os consumidores, uma vez que pode sugerir que os aditivos são novos, apesar de, na realidade, já terem vindo a ser utilizados em alimentos sob esta forma durante décadas»;
I. Considerando que esta justificação é errada e irrelevante, uma vez que o Regulamento FIC não distingue entre nanomateriais existentes e novos, mas requer explicitamente a rotulagem de todos os ingredientes sob a forma de nanomateriais artificiais;
J. Considerando que a intenção declarada da Comissão de abordar a necessidade de requisitos específicos de rotulagem «nano» em relação aos aditivos alimentares nas listas da União Europeia, no contexto do programa de reavaliação, é inapropriada, uma vez que confunde questões de segurança com requisitos gerais de rotulagem destinados a informar os consumidores; que isso também sugere que a Comissão põe em causa a própria necessidade de rotulagem específica «nano», o que viola as disposições do artigo 18.°, n.° 3, do Regulamento FIC; que um aditivo alimentar é ou não um nanomaterial, que esses requisitos de rotulagem devem ser aplicados a todos os aditivos alimentares autorizados que sejam nanomateriais, independentemente das condições de utilização ou de outras especificações;
K. Considerando que, além disso, é inaceitável que se faça referência a um programa de reavaliação independente, que já existia no momento em que o legislador decidiu introduzir no Regulamento FIC requisitos explícitos em matéria de rotulagem, na tentativa de anular esses requisitos de rotulagem três anos mais tarde;
1. Levanta objeções ao regulamento delegado da Comissão;
2. Considera que o regulamento delegado da Comissão não é compatível com o objetivo e com o teor do Regulamento (UE) n.° 1169/2011 e que excede os poderes delegados conferidos à Comissão ao abrigo deste último;
3. Insta a Comissão a apresentar um novo ato delegado que tenha em conta a posição do Parlamento;
4. Encarrega o seu Presidente de transmitir a presente resolução à Comissão e de lhe comunicar que o regulamento delegado não pode entrar em vigor;
5. Encarrega o seu Presidente de transmitir a presente resolução ao Conselho e aos governos e parlamentos dos Estados-Membros.
Regulamento (UE) n.º 231/2012 da Comissão, de 9 de março de 2012, que estabelece especificações para os aditivos alimentares enumerados nos anexos II e III do Regulamento (CE) n.º 1333/2008 do Parlamento Europeu e do Conselho (JO L 83 de 22.3.2012, p. 1).
Tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção da criminalidade ***I
Resolução legislativa do Parlamento Europeu, de 12 de março de 2014, sobre a proposta de diretiva do Parlamento Europeu e do Conselho relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e de repressão de infrações penais ou de execução de sanções penais, e à livre circulação desses dados (COM(2012)0010 – C7-0024/2012 – 2012/0010(COD))
(Processo legislativo ordinário: primeira leitura)
O Parlamento Europeu,
– Tendo em conta a proposta da Comissão ao Parlamento e ao Conselho (COM(2012)0010),
– Tendo em conta o artigo 294.º, n.º 2, e o artigo 16.º, n.º 2, alínea a), do Tratado sobre o Funcionamento da União Europeia, nos termos dos quais a proposta lhe foi apresentada pela Comissão (C7-0024/2012),
– Tendo em conta o artigo 294.º, n.º 3, do Tratado sobre o Funcionamento da União Europeia,
– Tendo em conta os pareceres fundamentados apresentado pelo Bundesrat alemão e pelo Parlamento sueco, no âmbito do Protocolo n.º 2 relativo à aplicação dos princípios da subsidiariedade e da proporcionalidade, segundo os quais o projeto de ato legislativo não respeita o princípio da subsidiariedade,
– Tendo em conta o parecer da Autoridade Europeia para a Proteção de Dados, de 7 de março de 2012(1),
– Tendo em conta o parecer da Agência Europeia dos Direitos Fundamentais, de 1 de outubro de 2012,
– Tendo em conta o artigo 55.º do seu Regimento,
– Tendo em conta o relatório da Comissão das Liberdades Cívicas, da Justiça e dos Assuntos Internos e o parecer da Comissão dos Assuntos Jurídicos (A7-0403/2013),
1. Aprova a posição em primeira leitura que se segue;
2. Requer à Comissão que lhe submeta de novo a sua proposta se pretender alterá-la substancialmente ou substituí-la por outro texto;
3. Encarrega o seu Presidente de transmitir a posição do Parlamento ao Conselho, à Comissão e aos parlamentos nacionais.
Posição do Parlamento Europeu, aprovada em primeira leitura em 12 de março de 2014, tendo em vista a adoção da Diretiva 2014/.../CE do Parlamento Europeu e do Conselho relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais, e à livre circulação desses dados
O PARLAMENTO EUROPEU E O CONSELHO DA UNIÃO EUROPEIA,
Tendo em conta o Tratado sobre o Funcionamento da União Europeia, nomeadamente o artigo 16.º, n.º 2,
Tendo em conta a proposta da Comissão Europeia,
Após transmissão do projeto de ato legislativo aos parlamentos nacionais,
Deliberando de acordo com o processo legislativo ordinário(2),
Considerando o seguinte:
(1) A proteção das pessoas singulares relativamente ao tratamento de dados pessoais é um direito fundamental. O artigo 8.º, n.º 1, da Carta dos Direitos Fundamentais da União Europeia ("Carta") e o artigo 16.º, n.º 1, do Tratado sobre o Funcionamento da União Europeia estabelecem que todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito. Nos termos do artigo 8.º, n.º 2, da Carta, esses dados devem ser objecto de um tratamento leal, para fins específicos e com o consentimento da pessoa interessada ou com outro fundamento legítimo previsto por lei. [Alt. 1]
(2) O tratamento dos dados pessoais é concebido para servir as pessoas; os princípios e as regras em matéria de proteção das pessoas singulares no que respeita ao tratamento dos seus dados pessoais devem respeitar, independentemente da nacionalidade ou do local de residência dessas pessoas, os seus direitos e liberdades fundamentais, particularmente o direito à proteção dos dados pessoais. O tratamento dos dados deve contribuir para a realização de um espaço de liberdade, segurança e justiça.
(3) A rápida evolução tecnológica e a globalização criaram novos desafios em matéria de proteção de dados pessoais. A partilha e a recolha de dados registaram um espetacular aumento. As novas tecnologias permitem às autoridades competentes utilizar dados pessoais numa escala sem precedentes no exercício das suas atividades.
(4) Esta evolução exige uma maior facilidade na livre circulação de dados, quando necessárioe proporcionado, entre as autoridades competentes a nível da União e na sua transferência para países terceiros e organizações internacionais, assegurando paralelamente um elevado nível de proteção dos dados pessoais. Este contexto obriga ao estabelecimento na União de um quadro de proteção de dados sólido e mais coerente, apoiado por uma aplicação rigorosa das regras. [Alt. 2]
(5) A Diretiva 95/46/CE do Parlamento Europeu e do Conselho(3), é aplicável a todas as atividades de tratamento de dados pessoais realizadas nos Estados-Membros, nos setores público e privado. Não se aplica, porém, ao tratamento de dados pessoais «no exercício de atividades não sujeitas à aplicação do direito comunitário, como as atividades realizadas nos domínios da cooperação judiciária em matéria penal e da cooperação policial.
(6) A Decisão-Quadro 2008/977/JAI do Conselho(4), é aplicável no domínio da cooperação judiciária em matéria penal e da cooperação policial. O seu âmbito de aplicação limita-se ao tratamento de dados pessoais transmitidos ou disponibilizados entre os Estados‑Membros.
(7) É crucial assegurar um nível elevado e coerente de proteção dos dados pessoais das pessoas singulares e facilitar o intercâmbio de dados pessoais entre as autoridades competentes dos Estados-Membros, a fim de assegurar a eficácia da cooperação judiciária em matéria penal e da cooperação policial. Para tal, há que garantir normas mínimas em todos os Estados-Membros no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais Para tal, o nível de proteção dos direitos e liberdades das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais, tem de ser equivalente em todos os Estados-Membros. É conveniente assegurar em toda a União a aplicação coerente e homogénea das regras de proteção dos direitos e das liberdades fundamentais das pessoas singulares no que diz respeito ao tratamento de dados pessoais. A proteção efetiva dos dados pessoais na União exige não só reforçar os direitos dos titulares de dados e as obrigações dos responsáveis pelo tratamento de dados pessoais, mas também poderes equivalentes para controlar e assegurar a conformidade com as regras de proteção dos dados pessoais nos Estados-Membros. [Alt. 3]
(8) O artigo 16.º, n.º 2, do Tratado sobre o Funcionamento da União Europeia prevê que o Parlamento Europeu e o Conselho estabeleçam as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais, bem como as regras relativas à livre circulação dessesdos seus dados pessoais. [Alt. 4]
(9) Com base nessa orientação, o Regulamento (UE) n.° .../2014 do Parlamento Europeu e do Conselho, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (regulamento geral de proteção de dados), estabelece regras gerais visando proteger as pessoas singulares relativamente ao tratamento de dados pessoais e assegurar a livre circulação de dados pessoais na União.
(10) Na Declaração 21 sobre a proteção de dados pessoais no domínio da cooperação judiciária em matéria penal e da cooperação policial, anexada à ata final da Conferência Intergovernamental que adotou o Tratado de Lisboa, a Conferência reconheceu que, atendendo à especificidade dos domínios em causa, poderão ser necessárias disposições específicas sobre proteção de dados pessoais e a livre circulação desses dados, nos domínios da cooperação judiciária em matéria penal e da cooperação policial, com base no artigo 16.º do Tratado sobre o Funcionamento da União Europeia.
(11) Por conseguinte, uma diretiva distintaespecífica deve permitir responder à natureza específica destes domínios e estabelecer as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais. [Alt. 5]
(12) A fim de assegurar o mesmo nível de proteção para as pessoas singulares através de direitos juridicamente protegidos no conjunto da União e evitar que as divergências constituam um obstáculo ao intercâmbio de dados pessoais entre as autoridades competentes, a presente diretiva prevê regras harmonizadas para a proteção e a livre circulação de dados pessoais nos domínios da cooperação judiciária em matéria penal e da cooperação policial.
(13) A presente diretiva permite tomar em consideração o princípio do direito de acesso público aos documentos oficiais aquando da aplicação das suas disposições.
(14) A proteção conferida pela presente diretiva diz respeito a pessoas singulares, independentemente da sua nacionalidade ou lugar de residência, relativamente ao tratamento de dados pessoais.
(15) A proteção das pessoas singulares deve ser neutra em termos tecnológicos e independente das técnicas utilizadas, sob pena de se correr um sério risco de ser contornada. Deve aplicar-se ao tratamento de dados pessoais por meios automatizados e manuais se os dados estiverem contidos ou forem destinados a serem conservados num sistema de ficheiros. As pastas ou conjuntos de pastas, bem como as suas capas, que não estejam estruturadas de acordo com critérios específicos, não se incluem no âmbito de aplicação da presente diretiva. A presente diretiva não se aplica ao tratamento de dados pessoais efetuado no exercício de atividades não sujeitas à aplicação do direito da União, nomeadamente as relativas à segurança nacional, nem aos dados tratados pelas instituições, organismos, serviços e agências da União, designadamente a Europol ou a Eurojust.. O Regulamento (CE) n.º 45/2001 do Parlamento Europeu e do Conselho(5) e os instrumentos jurídicos específicos aplicáveis às agências, aos organismos ou aos serviços da União devem ser alinhados pela presente directiva e aplicados em conformidade com a presente directiva. [Alt. 6]
(16) Os princípios da proteção de dados devem aplicar-se a qualquer informação relativa a uma pessoa singular identificada ou identificável. Para determinar se uma pessoa é identificável, importa considerar o conjunto dos meios suscetíveis de serem razoavelmente utilizados, quer pelo responsável pelo tratamento dos dados quer por qualquer outra pessoa, para identificar, normalmente ou de forma seletiva, a referida pessoa. Os princípios da proteção de dados não se aplicam a dados tornados de tal forma anónimos que o titular dos dados já não possa ser identificado. A presente diretiva não deve aplicar-se a dados anónimos, ou seja, a todos os dados que não possam ser relacionados, direta ou indiretamente, isoladamente ou em combinação com dados conexos, com uma pessoa singular. Dada a importância dos desenvolvimentos em curso no âmbito da sociedade da informação, das técnicas usadas para captar, transmitir, manipular, registar, conservar ou comunicar dados de localização de pessoas singulares – que podem ser usadas para finalidades diferentes, incluindo a vigilância ou a definição de perfis – a diretiva deve ser aplicável ao tratamento destes dados pessoais. [Alt. 7]
(16-A) Qualquer tratamento de dados pessoais deve ser efetuado de forma lícita, leal e transparente para com as pessoas em causa. Em especial, as finalidades específicas do tratamento devem ser explícitas e legítimas e ser determinadas aquando da recolha dos dados pessoais. Os dados pessoais devem ser adequados, pertinentes e limitados ao mínimo necessário às finalidades de tratamento para as quais se destinam. Tal exige, em particular, que os dados recolhidos sejam em volume limitado e o período de conservação seja restringido rigorosamente ao mínimo. Os dados pessoais apenas devem ser tratados se a finalidade do tratamento não puder ser atingida por outros meios. Devem ser adotadas todas as medidas razoáveis para assegurar que os dados pessoais inexatos sejam retificados ou apagados. Para assegurar que os dados sejam conservados apenas durante o período considerado necessário, o responsável pelo tratamento deve fixar os prazos para o apagamento ou a revisão periódica. [Alt. 8]
(17) Os dados pessoais relativos à saúde devem incluir, em especial, todos os dados relativos ao estado de saúde de um titular de dados, informações sobre a inscrição da pessoa singular para a prestação de serviços de saúde, informações sobre pagamentos ou elegibilidade para cuidados de saúde; um número, símbolo ou sinal particular atribuído a uma pessoa singular para a identificar de forma inequívoca para fins de cuidados de saúde; quaisquer informações sobre a pessoa recolhidas no decurso de uma prestação de serviços de saúde; informações obtidas a partir de testes ou exames de uma parte do corpo ou de uma substância corporal, incluindo amostras biológicas; identificação de uma pessoa enquanto prestador de cuidados de saúde ao doente; ou quaisquer informações sobre, por exemplo, uma doença, deficiência, risco de doença, historial clínico, tratamento clínico ou estado físico ou biomédico atual do titular de dados, independentemente da sua fonte, por exemplo, um médico ou outro profissional de saúde, um hospital, um aparelho médico ou um teste de diagnóstico in vitro.
(18) Qualquer tratamento de dados pessoais deve ser efetuado de forma lícita, leal e transparente para com as pessoas em causa. Em especial, as finalidades específicas do tratamento devem ser explícitas. [Alt. 9]
(19) Para efeitos de prevenção, investigação e repressão de infrações penais, é necessário que as autoridades competentes conservem e tratem os dados pessoais, recolhidos no contexto da prevenção, investigação, deteção e repressão de infrações penais específicas, e para além desse contexto, a fim de obter uma melhor compreensão dos fenómenos criminais e das tendências que os caracterizam, recolher informação específica sobre as redes criminosas organizadas e estabelecer ligações entre as diferentes infrações detetadas. [Alt. 10]
(20) Os dados pessoais não devem ser tratados para fins incompatíveis com a finalidade para a qual foram recolhidos. Os dados pessoais tratados devem ser adequados, pertinentes e não excessivos para as finalidades do tratamento. Devem ser adotadas todas as medidas razoáveis para assegurar que os dados pessoais inexatos são retificados ou apagados. [Alt. 11]
(20-A) O simples facto de duas finalidades estarem relacionadas com a prevenção, investigação, deteção ou repressão de infrações penais ou de execução de sanções penais não significa necessariamente que as mesmas sejam compatíveis. No entanto, há casos em que o tratamento posterior para finalidades incompatíveis deve ser possível, caso seja necessário para o cumprimento de uma obrigação legal à qual o responsável pelo tratamento esteja sujeito, a fim de proteger os interesses vitais do titular dos dados ou de outra pessoa ou para a prevenção de uma ameaça grave e imediata para a segurança pública. Por conseguinte, os Estados-Membros devem poder adotar legislação nacional que preveja estas derrogações na medida do estritamente necessário. Essa legislação nacional deve conter salvaguardas adequadas. [Alt. 12]
(21) É conveniente aplicar o princípio da exatidão dos dados tendo em conta a natureza e a finalidade do tratamento em causa. Em especial no caso de processos judiciais, as declarações que contêm dados pessoais são baseadas em perceções pessoais subjetivas e nem sempre são verificáveis. Este princípio não deve, portanto aplicar-se à exatidão da própria declaração, mas simplesmente ao facto de tal declaração ter sido feita.
(22) Na interpretação e aplicação dos princípios gerais relacionados com o tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais, ou de execução de sanções penais, deve atender-se às especificidades do setor, incluindo os objetivos específicos prosseguidos. [Alt. 13]
(23) O tratamento de dados pessoais nos domínios da cooperação judiciária em matéria penal e da cooperação policial implica necessariamente o tratamento de dados pessoais relativos a categorias diferentes de titulares de dados. Importa, portanto, estabelecer uma distinção o mais clara possível entre dados pessoais de diferentes categorias de titulares de dados, tais como suspeitos, pessoas condenadas por um crime, vítimas e terceiros, designadamente testemunhas, pessoas que detenham informações ou contactos úteis, e os cúmplices de pessoas suspeitas ou condenadas. Os Estados-Membros devem prever regras específicas para as consequências desta distinção entre categorias, tendo em conta as diversas finalidades para as quais são recolhidos os dados e prevendo garantias específicas para as pessoas que não sejam suspeitas de terem cometido infrações penais ou que não tenham sido condenadas por terem cometido infrações penais. [Alt. 14]
(24) Na medida do possível, os dados pessoais devem ser distinguidos em função do seu grau de precisão e de fiabilidade. Os factos devem ser distinguidos de apreciações pessoais, a fim de assegurar simultaneamente a proteção das pessoas singulares e a qualidade e a fiabilidade da informação tratada pelas autoridades competentes.
(25) Para ser lícito, o tratamento de dados pessoais tem de ser autorizado apenas quando necessário para o respeito de uma obrigação legal à qual o responsável pelo tratamento esteja sujeito, bem como para a execução de uma missão de interesse público por uma autoridade competente prevista na lei, ou para a proteção dos interesses vitais do titular dos dados ou de outra pessoa, ou para a prevenção de uma ameaça grave e imediata para a segurança públicada União ou dos Estados-Membros, a qual deve conter disposições explícitas e pormenorizadas acerca, pelo menos, dos objetivos, dados pessoais, meios e finalidades específicas, nomear ou permitir a nomeação do responsável pelo tratamento, os procedimentos a seguir, a utilização e limitações do âmbito de qualquer poder discricionário conferido às autoridades competentes relativamente às atividades de tratamento. [Alt. 15]
(25-A) Os dados pessoais não devem ser tratados para fins incompatíveis com a finalidade para a qual foram recolhidos. O tratamento posterior pelas autoridades competentes para uma finalidade abrangida pelo âmbito da presente diretiva que não seja compatível com a finalidade original só deve ser autorizado em casos específicos, quando esse tratamento for necessário para o cumprimento de uma obrigação legal, com base na legislação da União ou ou do Estado-Membro à qual o responsável pelo tratamento esteja sujeito, ou a fim de proteger os interesses vitais do titular dos dados ou de outra pessoa, ou para a prevenção de uma ameaça grave e imediata para a segurança pública. O facto de os dados serem tratados para fins de aplicação da lei não implica necessariamente que esta finalidade seja compatível com a finalidade inicial. O conceito de utilização compatível deve ser interpretado de forma restritiva. [Alt. 16]
(25-B) Deve ser posto termo ao tratamento de dados pessoais em violação das disposições nacionais adotadas nos termos da presente diretiva. [Alt. 17]
(26) Os dados pessoais que sejam, devido à sua natureza, especialmente sensíveis e vulneráveis do ponto de vista dos direitos fundamentais ou da privacidade, designadamente os dados genéticos, merecem proteção específica. Estes dados não devem ser objeto de tratamento, salvo se essa operação for especificamente autorizada por uma lei necessária ao exercício de uma missão de interesse público, com base no direito da União ou na legislação do Estado-Membro que preveja medidas adequadas de proteção dos direitos fundamentais e dos interesses legítimos do titular dos dados, ou se for necessário para proteger os interesses vitais do titular dos dados ou de outra pessoa, ou se estiver relacionado com dados que tenham sido manifestamente tornados públicos pelo titular dos dados. Os dados pessoais sensíveis só devem ser tratados se complementarem outros dados pessoais já tratados para finalidades de aplicação da lei. As derrogações da proibição de tratamento de dados sensíveis devem ser interpretadas de forma restritiva e não devem levar a um tratamento frequente, massivo ou estrutural de dados pessoais sensíveis. [Alt. 18]
(26-A) O tratamento de dados genéticos deve ser autorizado apenas se existir uma ligação genética revelada durante uma investigação criminal ou um processo judicial. Os dados genéticos devem ser conservados apenas durante o tempo estritamente necessário no quadro dessas investigações e desses processos, se bem que os Estados-Membros possam estabelecer períodos de conservação mais prolongados, nas condições definidas na presente diretiva. [Alt. 19]
(27) Qualquer pessoa singular deve ter o direito a não estar sujeita a uma medida baseada exclusivamente nona definiçãoparcial ou total de perfis através de tratamento automatizado, se este produzir.Otratamentoque produza efeitos negativos na esfera jurídica dessa pessoa ou a afete de modo significativo deve ser proibido, salvo se autorizadaautorizado por lei e subordinadasubordinado a medidas adequadas que garantam os direitos fundamentais e os interesses legítimos do titular de dados, designadamente o direito de receber informação pertinente acerca da lógica utilizada na definição dos perfis. Este tratamento não deve, em circunstância alguma, incluir, produzir ou discriminar dados com base em categorias especiais. [Alt. 20]
(28) A fim de permitir aos titulares de dados exercer os seus direitos, quaisquer informações que lhe sejam dirigidas devem ser de fácil acesso e compreensão e, nomeadamente, formuladas em termos claros e simples. Estas informações devem ser adaptadas às necessidades do titular de dados, em particular quando as informações são dirigidas especificamente a uma criança. [Alt. 21]
(29) Devem ser previstas modalidades para facilitar o exercício pelo titular de dados dos direitos conferidos pela presente diretiva, incluindo mecanismos para solicitar, a título gratuito, em especial o acesso aos dados, a sua retificação e apagamento. O responsável pelo tratamento deve ser obrigado a responder aos pedidos do titular de dados sem demora injustificadae no prazo de um mês a contar da receção do pedido. Sempre que os dados pessoais sejam objeto de tratamento automatizado, o responsável pelo tratamento deve prever meios para a apresentação de pedidos por via eletrónica. [Alt. 22]
(30) Os princípios de tratamento leal e transparente exigem que o titular dos dados seja informado, em especial, da existência da operação de tratamento de dados e das suas finalidades, do seu fundamento jurídico, do período de conservação dos dados, da existência do direito de acesso, retificação ou apagamento, bem como do seu direito de apresentar uma queixa. Além disso, o titular dos dados deve ser informado de uma eventual definição de perfis e dos efeitos que a mesma visa produzir. Sempre que os dados forem recolhidos junto do titular dos dados, este deve ser também informado da obrigatoriedade de fornecer esses dados e das respetivas consequências, caso não os faculte. [Alt. 23]
(31) As informações sobre o tratamento de dados pessoais devem ser fornecidas ao titular dos dados no momento da sua recolha ou, se a recolha não foi obtida junto da pessoa em causa, no momento do seu registo ou num prazo razoável após a sua recolha, dependendo das circunstâncias do caso.
(32) Qualquer pessoa deve ter o direito de acesso aos dados recolhidos sobre si e de exercer facilmente este direito, a fim de conhecer e verificar a licitude do tratamento. Por conseguinte, cada titular de dados deve ter o direito de conhecer e ser informado, em especial, das finalidades a que se destinam os dados tratados, da base jurídica, da duração da sua conservação, bem como da identidade dos destinatários, incluindo em países terceiros, de informações compreensíveis sobre a lógica subjacente a qualquer tratamento automatizado dos dadose da importância e consequências previstas de tal tratamento, se aplicável, bem como do direito de apresentar queixa a uma autoridade de controlo e de obter os contactos desta. Os titulares de dados devem poder obter uma cópia dos seus dados pessoais objeto de tratamento. [Alt. 24]
(33) Os Estados-Membros devem ser autorizados a adotar medidas legislativas visando atrasar a informação dos titulares de dados ou o acesso aos dados pessoais que lhes digam respeito, ou a não fornecer essas informações ou esse acesso, desde que tal limitação, parcial ou total, represente uma medida necessária e proporcional numa sociedade democrática, tendo devidamente em conta os direitos fundamentais e os interesses legítimos do titular de dados, a fim de evitar que tal constitua um obstáculo para os inquéritos, investigações e procedimentos oficiais ou legais, para evitar prejudicar a prevenção, investigação, deteção e repressão de infrações penais ou a execução de sanções penais, para proteger a segurança pública ou a segurança nacional ou proteger o titular de dados ou os direitos e as liberdades de terceiros. O responsável pelo tratamento deve avaliar, através dum exame individual e concreto de cada caso específico, se as limitações parciais ou totais são aplicáveis ao direito de acesso. [Alt. 25]
(34) Qualquer recusa ou restrição do acesso deve ser comunicada por escrito ao titular dos dados, indicando simultaneamente os motivos factuais ou jurídicos que fundamentam a decisão adotada.
(34-A) Quaisquer restrições dos direitos do titular de dados devem respeitar a Carta e a Convenção Europeia dos Direitos do Homem, tal como clarificados pela jurisprudência do Tribunal de Justiça da União Europeia e do Tribunal Europeu dos Direitos do Homem, e devem, em particular, respeitar o conteúdo essencial dos direitos e liberdades. [Alt. 26]
(35) Sempre que os Estados-Membros tiverem adotado medidas legislativas para limitar total ou parcialmente o direito de acesso, o titular de dados deve ter o direito de solicitar à autoridade nacional de controlo competente que verifique a licitude do tratamento. O titular de dados deve ser informado desse direito. Quando o direito de acesso for exercido pela autoridade de controlo em nome do titular de dados, a autoridade de controlo deve pelo menos informar o interessado de que foram realizadas todas as verificações necessárias e do resultado relativamente à licitude do tratamento em questão. A autoridade de controlo deve também informar o titular de dados do seu direito de ação judicial. [Alt. 27]
(36) Qualquer pessoa deve ter o direito a que os dados incorretos ou tratados indevidamente que lhe digam respeito sejam retificados e o «direito a ser esquecido», quando o tratamento não for conforme com os princípios gerais enunciados naas disposições da presente diretiva. A retificação, o aditamento ou o apagamento devem ser comunicados aos destinatários a quem os dados tenham sido divulgados e aos terceiros na origem dos dados inexatos. Os responsáveis pelo tratamento devem igualmente abster-se de qualquer comunicação ulterior desses dados. Sempre que os dados pessoais forem tratados no âmbito de uma investigação criminal ou de um processo penal, o direito à informação, o direito de acesso, de retificação e de apagamento, bem como o direito de limitação do tratamento, podem ser exercidos em conformidade com as regras nacionais aplicáveis aos processos judiciais. [Alt. 28]
(37) Deve ser definida uma responsabilidade global do responsável pelo tratamento por qualquer tratamento de dados pessoais que ele próprio realize ou que seja realizado por sua conta. Em especial, o responsável pelo tratamento deve assegurar e ser obrigado a poder demonstrar a conformidade das operaçõesde cada operação de tratamento de dados com o disposto na presente diretiva. [Alt. 29]
(38) A proteção dos direitos e liberdades dos titulares de dados relativamente ao tratamento dos seus dados pessoais exige a adotada de medidas técnicas e organizativas adequadas, a fim de assegurar o cumprimento dos requisitos da presente diretiva. A fim de assegurar a conformidade com a presente diretiva, o responsável pelo tratamento deve adotar regras internas e aplicar medidas apropriadas conformes, em especial, com os princípios de proteção de dados desde a conceção e de proteção de dados por defeito.
(39) A proteção dos direitos e liberdades dos titulares de dados, bem como a responsabilidade dos responsáveis pelo tratamento e dos subcontratantes, exige uma clara repartição das responsabilidades nos termos da presente diretiva, nomeadamente quando o responsável pelo tratamento determina as finalidades e os meios do tratamento conjuntamente com outros responsáveis, ou quando uma operação de tratamento de dados é efetuada por conta de um responsável pelo tratamento. O titular dos dados deve ter o direito de exercer os seus direitos nos termos da presente diretiva relativamente a cada um dos responsáveis conjuntos e contra eles. [Alt. 30]
(40) A fim de comprovar a observância da presente diretiva, o responsável pelo tratamento ou o subcontratante deve documentar cada operação de tratamento de dados. Cada responsável pelo tratamento e subcontratante deve ser obrigado a cooperar com a autoridade de controlo e a disponibilizar essa documentação, quando tal lhe for solicitado, para que possa servir ao controlo dessas operações de tratamento.
(40-A) Cada operação de tratamento de dados pessoais deve ser registada para permitir a verificação da licitude do tratamento e o acompanhamento, bem como garantir a integridade e segurança dos dados. Este registo deve ser disponibilizado à autoridade de controlo, quando tal lhe for solicitado, para controlar o respeito das normas estabelecidas na presente diretiva. [Alt. 31]
(40-B) Deve ser efetuada uma avaliação do impacto na proteção de dados pelo responsável pelo tratamento ou pelo subcontratante quando as operações de tratamento especificadas forem suscetíveis de apresentar riscos específicos para os direitos e liberdades dos titulares de dados devido à sua natureza, âmbito ou finalidades, a qual deve incluir, em particular, as medidas previstas, garantias e mecanismos para assegurar a proteção dos dados pessoais, e demonstrar a conformidade com a presente diretiva. As avaliações do impacto na proteção de dados devem ter como objeto os sistemas e processos pertinentes das operações de tratamento dos dados pessoais, mas não casos individuais. [Alt. 32]
(41) A fim de assegurar a proteção efetiva dos direitos e liberdades dos titulares de dados através de ações preventivas, o responsável pelo tratamento ou o subcontratante deve, em determinados casos, consultar a autoridade de controlo previamente à operação de tratamento. Além disso, sempre que uma avaliação de impacto sobre a proteção de dados indicar que as operações de tratamento de dados podem acarretar um elevado grau de riscos particulares para os direitos e liberdades dos titulares de dados, a autoridade de controlo deve estar em condições de impedir, antes de as operações terem início, um tratamento arriscado suscetível de não estar em conformidade com a presente diretiva, e de apresentar propostas para remediar essa situação. Essa consulta deve igualmente ser efetuada durante os trabalhos de elaboração de uma medida legislativa pelo parlamento nacional, ou de uma medida baseada nesta última que defina a natureza do tratamento e especifique as garantias adequadas. [Alt. 33]
(41-A) A fim de preservar a segurança e evitar o tratamento em violação da presente diretiva, o responsável pelo tratamento, ou o subcontratante, deve avaliar os riscos que o tratamento implica e aplicar medidas que os atenuem. Estas medidas devem assegurar um nível de segurança adequado, atendendo aos conhecimentos técnicos disponíveis e ao custo da sua aplicação em função dos riscos e da natureza dos dados a proteger. Aquando do estabelecimento de normas técnicas e de medidas organizativas destinadas a garantir a segurança do tratamento, deve ser promovida a neutralidade tecnológica. [Alt. 34]
(42) A violação dos dados pessoais pode, se não forem adotadas medidas adequadas e oportunas, causar danosprejuízos económicos e sociais substanciais, nomeadamente à reputaçãoatravés da usurpação de identidade, à pessoa singular em causa. Assim, logo que o responsável pelo tratamento tenha conhecimento da ocorrência de uma violação, deve comunicá-la à autoridade nacional competente. As pessoas singulares cujos dados pessoais possam ter sido afetados negativamente por tal violação, devem ser avisadas sem demora injustificada, para que possam adotar as precauções necessárias. Deve considerar-se que uma violação afeta negativamente os dados pessoais ou a privacidade de um titular de dados sempre que daí possa resultar, por exemplo, roubo ou usurpação de identidade, danos físicos, humilhações ou danos significativos contra a reputação, consecutivos ao tratamento de dados pessoais. A notificação deverá incluir informações sobre as medidas tomadas pelo fornecedor para dar resposta à violação da segurança, bem como recomendações para o assinante ou indivíduo afetado. As pessoas em causa devem ser notificadas o mais rapidamente possível, em estreita cooperação com a autoridade de controlo e em cumprimento das orientações por esta fornecidas. [Alt. 35]
(43) Ao estabelecer regras pormenorizadas relativamente ao formato e aos procedimentos aplicáveis à notificação das violações de dados pessoais, deve ter-se devidamente em conta as circunstâncias da violação, nomeadamente a existência ou não de proteção dos dados pessoais através de medidas técnicas de proteção adequadas para reduzir eficazmente a probabilidade de utilização abusiva. Além disso, tais regras e procedimentos devem ter em conta os legítimos interesses das autoridades de aplicação da lei nos casos em que uma divulgação precoce de informações possa dificultar desnecessariamente a investigação das circunstâncias de uma violação.
(44) O responsável pelo tratamento, ou o subcontratante, deve designar uma pessoa para o ajudar a controlar e demonstrar a conformidade das disposições adotadas por força da presente diretiva. Um delegado para a proteção de dados pode ser designado conjuntamente por diversas entidades da autoridade competenteSempre que várias autoridades competentes atuem sob o controlo de uma autoridade central, deve incumbir pelo menos a esta autoridade central designar o referido delegado. Os delegados para a proteção de dados devem estar em condições de desempenhar as suas funções e atribuições de forma efetiva e com total independência, em particular, criando normas com vista a impedir um conflito de interesses com as funções desempenhadas pelo delegado para a proteção de dados. [Alt. 36]
(45) Os Estados-Membros devem assegurar que uma transferência para um país terceiro só possa ser realizada se essa transferência específica for necessária para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou para a execução de sanções penais, e se o responsável pelo tratamento no país terceiro ou na organização internacional for uma autoridade pública competente na aceção da presente diretiva. Uma transferência pode realizar-se nos casos em que a Comissão tiver decidido que o país terceiro, ou a organização internacional em questão, garante um nível de proteção adequado, ou se tiverem sido apresentadas garantias adequadas, ou quando tiverem sido apresentadas garantias adequadas através de um instrumento vinculativo. Os dados que são transferidos para autoridades públicas competentes de países terceiros não devem ser alvo de um tratamento para outras finalidades que não a que motivou a referida transferência. [Alt. 37]
(45-A) As transferências ulteriores por parte de autoridades competentes de países terceiros ou organizações internacionais para as quais foram transferidos dados pessoais só devem ser autorizadas se a transferência ulterior em causa for necessária para a mesma finalidade específica da transferência original e se o segundo destinatário for também uma autoridade pública competente. As transferências ulteriores não devem ser autorizadas para fins gerais de aplicação da lei. A autoridade competente que realizou a transferência original deve autorizar a transferência ulterior. [Alt. 38]
(46) A Comissão pode decidir, com efeitos no conjunto da União, que determinados países terceiros, um território ou um setor de tratamento de dados de um país terceiro, ou uma organização internacional, asseguram um nível de proteção de dados adequado, garantindo assim a segurança jurídica e a uniformidade a nível da União relativamente a países terceiros ou organizações internacionais que sejam consideradas aptas a assegurar tal nível de proteção. Nestes casos, podem realizar-se transferências de dados pessoais para esses países sem que para tal seja necessário qualquer outra autorização.
(47) Em consonância com os valores fundamentais sobre os quais assenta a União, particularmente a proteção dos direitos humanos, a Comissão deve ter em consideração em que medida esse país respeita o primado do Estado de direito, garante o acesso à justiça e observa as regras e normas internacionais no domínio dos direitos humanos.
(48) A Comissão deve igualmente poder reconhecer que um país terceiro, ou um território ou um setor de tratamento de um país terceiro, ou uma organização internacional, não assegura um nível de proteção adequado de dados. Se for esse no caso, deve ser proibida a transferência de dados pessoais para esse país terceiro, salvo se tiver por base um acordo internacional, garantias adequadas ou uma derrogação. É conveniente prever procedimentos de consulta entre a Comissão e o país terceiro ou a organização internacional. Todavia, tal decisão da Comissão não prejudica a possibilidade de realizar transferências com base em garantias adequadas através de um instrumento vinculativo ou numa derrogação prevista na presente diretiva. [Alt. 39]
(49) As transferências que não se basearem numa decisão sobre o nível adequado da proteção só devem ser autorizadas se forem apresentadas garantias apropriadas num instrumento vinculativo que garanta a proteção dos dados pessoais, ou se o responsável pelo tratamento ou o subcontratante tiver avaliado todas as circunstâncias inerentes à transferência de dados ou ao conjunto de operações de transferências de dados e, com base nessa avaliação, considerar existirem garantias adequadas relativamente à proteção de dados pessoais. Caso não existam fundamentos para a autorização de transferência, devem ser permitidas derrogações se forem necessárias para proteger os interesses vitais do titular de dados ou de um terceiro, ou para assegurar os interesses legítimos dessa pessoa, desde que a legislação do Estado-Membro que efetua a transferência dos dados assim o preveja, ou se for essencial para a prevenção de uma ameaça imediata e grave para a segurança pública de um Estado-Membro ou de um país terceiro ou, em certos casos, para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais, ou em casos especiais, tendo em vista a declaração, o exercício ou a defesa de um direito num processo judicial. [Alt. 40]
(49-A) Caso não existam fundamentos para a autorização de transferência, devem ser permitidas derrogações se forem necessárias para proteger os interesses vitais do titular de dados ou de um terceiro, ou para assegurar os interesses legítimos dessa pessoa, desde que a legislação do Estado-Membro que efetua a transferência dos dados assim o preveja, ou se for essencial para a prevenção de uma ameaça imediata e grave para a segurança pública de um Estado-Membro ou de um país terceiro ou, em certos casos, para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais, ou em casos especiais, tendo em vista a declaração, o exercício ou a defesa de um direito num processo judicial. Essas derrogações devem ser interpretadas de forma restritiva e não permitir transferências frequentes, massivas e estruturais de dados pessoais nem transferências massivas de dados, que devem ser limitadas aos dados estritamente necessários. Além disso, a decisão de transferência deve ser adotada por uma pessoa devidamente autorizada e deve ser documentada e disponibilizada, a pedido, à autoridade de controlo para verificar a licitude da transferência. [Alt. 41]
(50) Sempre que os dados pessoais atravessam fronteiras há um risco acrescido de que as pessoas singulares não possam exercer o seu direito à proteção de dados, nomeadamente para se proteger da utilização ilícita ou da divulgação dessas informações. Paralelamente, as autoridades de controlo podem ser incapazes de apreciar as queixas ou conduzir investigações relacionadas com atividades exercidas fora das suas fronteiras. Os seus esforços para colaborar no contexto transfronteiriço podem ser também restringidos por competências insuficientes ou regimes jurídicos incoerentes. Por conseguinte, é necessário promover uma cooperação mais estreita entre as autoridades de controlo da proteção de dados a fim de que possam efetuar o intercâmbio de informações e realizar investigações com as suas homólogas internacionais.
(51) A criação de autoridades de controlo nos Estados-Membros, que exerçam as suas funções com total independência, constitui um elemento essencial da proteção das pessoas singulares no que respeita ao tratamento dos seus dados pessoais. As autoridades de controlo devem supervisionar a aplicação das disposições da presente diretiva e contribuir para a sua aplicação coerente no conjunto da União, a fim de proteger as pessoas singulares relativamente ao tratamento dos seus dados pessoais. Para esse efeito, as autoridades de controlo devem cooperar entre sie com a Comissão. [Alt. 42]
(52) Os Estados Membros podem confiar a uma autoridade de controlo já criada nos Estados-Membros nos termos do Regulamento (UE) .../2014 a responsabilidade pelas funções a desempenhar pelas autoridades nacionais de controlo a instituir por força da presente diretiva.
(53) Deve ser permitido aos Estados-Membros criarem várias autoridades de controlo de modo a refletir a sua estrutura constitucional, organizacional e administrativa. É conveniente que cada autoridade de controlo disponha dos recursos financeiros e humanos adequados, bem como de instalações e infraestruturas - incluindo capacidades técnicas, experiência e competências - necessários a um exercício eficaz das suas funções, incluindo as relacionadas com a assistência e a cooperação mútuas com outras autoridades de controlo a nível da União. [Alt. 43]
(54) As condições gerais aplicáveis aos membros da autoridade de controlo devem ser definidas por lei em cada Estado-Membro e devem prever, em especial, que esses membros são nomeados pelo parlamento ou pelo governo nacional, com base na consulta do parlamento, e incluir disposições sobre a qualificação e as funções desses membros. [Alt. 44]
(55) Embora a presente diretiva se aplique também às atividades dos tribunais nacionais, a competência das autoridades de controlo não abrange o tratamento de dados pessoais quando os tribunais atuam no âmbito dessas funções, a fim de assegurar a independência dos juízes no exercício das suas funções jurisdicionais. Todavia, esta exceção deve ser estritamente limitada às atividades meramente judiciais relativas a processos em tribunal e não ser aplicável a outras atividades a que os juízes possam estar associados por força do direito nacional.
(56) A fim de assegurar o controlo e a aplicação coerentes da presente diretiva no conjunto da União, as autoridades de controlo devem ter, em cada Estado-Membro, os mesmos deveres e poderes efetivos, incluindo os poderes de investigação efetivos, poderes de acesso aos dados pessoais e todas as informações necessárias à execução de todas as funções de controlo, poderes de acesso a todas as instalações do responsável pelo tratamento ou o subcontratante, incluindo o equipamento para o tratamento de dados, e de intervenção juridicamente vinculativa, de deliberação e de sanção, particularmente em caso de queixas apresentadas por pessoas singulares, bem como o poder de intervir em processos judiciais. [Alt. 45]
(57) Cada autoridade de controlo deve receber as queixas apresentadas por qualquer titular de dados e investigar a matéria. A investigação decorrente de uma queixa deve ser realizada, embora sujeita a revisão judicial, na medida adequada ao caso específico. A autoridade de controlo deve informar a pessoa em causa da evolução e do resultado da queixa num prazo razoável. Se o caso exigir uma investigação mais aprofundada ou a coordenação com outra autoridade de controlo, devem ser fornecidas informações intercalares ao titular dos dados.
(58) As autoridades de controlo devem prestar-se mutuamente assistência no desempenho das suas funções, por forma a assegurar a execução e aplicação coerentes das disposições adotadas em conformidade com a presente diretiva. Todas as autoridades de controlo devem estar prontas a participar em operações conjuntas. A autoridade de controlo requerida é obrigada a responder ao pedido dentro de um determinado prazo. [Alt. 46]
(59) O Comité Europeu para a Proteção de Dados, instituído pelo Regulamento (UE) .../20122014, deve contribuir para a aplicação coerente da presente diretiva no conjunto da União, nomeadamente no aconselhamento da Comissãodas instituições da União e na promoção da cooperação das autoridades de controlo na União, e dar o seu parecer à Comissão no quadro da elaboração de atos delegados e de atos de execução com base na presente diretiva. [Alt. 47]
(60) Qualquer titular de dados deve ter o direito de apresentar uma queixa à autoridade de controlo em qualquer Estado-Membro e dispor do direito de recurso aos tribunais se considerar que os direitos que lhe confere a presente diretiva não são respeitados, se a autoridade de controlo não responder à queixa, ou não agir conforme necessário para proteger os direitos da pessoa em causa.
(61) Qualquer organismo, organização ou associação vise proteger os direitos e interesses dos titulares de dados no que respeita à proteção dos dados que lhe digam respeito, que atue no interesse público e seja constituído(a) ao abrigo do direito de um Estado-Membro, deve ter o direito de apresentar aos tribunais queixa junto de uma autoridade de controlo ou de exercer o direito de recurso aos tribunais em nome das pessoas em causa, mediante mandato nesse sentido, ou de apresentar, independentemente da queixa apresentada pela pessoa em causa, uma queixa em seu próprio nome, sempre que considere ter ocorrido uma violação de dados pessoais. [Alt. 48]
(62) Qualquer pessoa, singular ou coletiva, deve ter o direito de ação judicial contra as decisões que lhes digam respeito emitidas por uma autoridade de controlo. As ações contra uma autoridade de controlo devem ser intentadas nos tribunais do Estado‑Membro no território do qual se encontra estabelecida a autoridade de controlo.
(63) Os Estados-Membros devem assegurar que as ações judiciais, para serem eficazes, permitam a adoção rápida de medidas visando a reparação ou a prevenção de uma violação prevista na presente diretiva.
(64) Qualquer dano, inclusive não pecuniário, de que uma pessoa possa ser vítima em resultado de um tratamento ilícito deve ser ressarcido pelo responsável pelo tratamento, ou pelo subcontratante, que no entanto pode ser exonerado da sua responsabilidade se provar que o facto causador do dano não lhe é imputável, nomeadamente se provar que o dano é imputável à pessoa em causa ou em caso de força maior. [Alt. 49]
(65) Devem ser aplicadas sanções a qualquer pessoa singular ou coletiva, regida pelo direito privado ou público, que não respeite o disposto na presente diretiva. Os Estados-Membros devem assegurar que as sanções sejam efetivas, proporcionadas e dissuasivas, e tomar todas as medidas necessárias à sua aplicação.
(65-A) A transmissão de dados pessoais a outras autoridades ou a entidades privadas é proibida exceto se a transmissão estiver em conformidade com a legislação e o destinatário estiver estabelecido num Estado-Membro, não existirem interesses legítimos específicos do titular dos dados que impeçam a transmissão dos dados, a transmissão for necessária num caso específico para que o responsável pelo tratamento que efetua a transmissão dos dados pessoais possa assegurar o desempenho das funções que lhe incubem legitimamente ou para a prevenção de um perigo imediato e grave para a segurança pública ou de danos graves aos direitos dos indivíduos. O responsável pelo tratamento informa o destinatário sobre a finalidade do tratamento e a autoridade de controlo sobre a transmissão. O destinatário deve também ser informado sobre as restrições de tratamento e assegurar que estas sejam respeitadas. [Alt. 50]
(66) Por forma a cumprir os objetivos da presente diretiva, nomeadamente proteger os direitos e liberdades fundamentais das pessoas singulares e, em especial, o seu direito à proteção dos dados pessoais, e assegurar a livre circulação desses dados pelas autoridades competentes na União, o poder de adotar atos em conformidade com o artigo 290.º do Tratado sobre o Funcionamento da União Europeia deve ser delegado à Comissão. Em especial, devem ser adotados atos delegados em relação à notificação dea fim de especificar mais concretamente os critérios e as condições aplicáveis às operações de tratamento que requerem uma avaliação de impacto sobre a proteção de dados, e os critérios e requisitos aplicáveis às violações de dados pessoais à autoridade controloe ao nível de proteção adequado assegurado por um país terceiro, um território ou um setor dentro desse país terceiro, ou uma organização internacional. É especialmente importante que a Comissão proceda a consultas adequadas ao longo dos seus trabalhos preparatórios, incluindo a nível de peritos e, em especial, com o Comité Europeu para a Proteção de Dados. Ao preparar e redigir atos delegados, a Comissão deverá assegurar a transmissão simultânea, atempada e adequada dos documentos relevantes ao Parlamento Europeu e ao Conselho. [Alt. 51]
(67) Por forma a assegurar condições uniformes para a execução da presente diretiva no que respeita à documentação mantida pelos responsáveis pelo tratamento e subcontratantes, à segurança do tratamento, designadamente em relação às normas de codificação, e à notificação de uma violação de dados pessoais à autoridade de controlo, e ao nível de proteção adequado assegurado por um país terceiro, um território ou um setor dentro desse país terceiro, ou uma organização internacional, devem ser conferidas competências de execução à Comissão. Essas competências devem ser exercidas em conformidade com o Regulamento (UE) n.º 182/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os princípios gerais relativos aos mecanismos de controlo pelos Estados-Membros do exercício das competências de execução pela Comissão(6). [Alt. 52]
(68) O procedimento de exame deve ser utilizado para a adoção de medidas relativas à documentação mantida pelos responsáveis pelo tratamento e subcontratantes, à segurança do tratamento,e à notificação de uma violação de dados pessoais à autoridade de controlo, e ao nível de proteção adequado garantido por um país terceiro, um território ou um setor dentro desse país terceiro, ou uma organização internacional, uma vez que esses atos são de âmbito geral. [Alt. 53]
(69) A Comissão deve adotar atos de execução imediatamente aplicáveis quando, em casos devidamente fundamentados relacionados com um país terceiro, um território ou um setor de tratamento de dados nesse país terceiro, ou uma organização internacional, que não assegure um nível de proteção adequado, imperativos urgentes assim o exijam. [Alt. 54]
(70) Atendendo a que os objetivos da presente diretiva, nomeadamente proteger os direitos e liberdades fundamentais das pessoas singulares e, em especial, o seu direito à proteção dedos seus dados pessoais, e assegurar o livre intercâmbio desses dados pelas autoridades competentes na União Europeia, não podem ser suficientemente alcançados pelos Estados-Membros, mas podem, em razão da dimensão e dos efeitos da ação, ser mais bem alcançados ao nível da União, a União pode tomar medidas, em conformidade com o princípio da subsidiariedade consagrado no artigo 5.º do Tratado da União Europeia. Em conformidade com o princípio da proporcionalidade consagrado no mesmo artigo, a presente diretiva não excede o necessário para alcançar esses esse objetivoesses objectivos. Os Estados-Membros podem prever normas mais estritas do que as estabelecidas pela presente diretiva. [Alt. 55]
(71) A Decisão-Quadro 2008/977/JAI é revogada pela presente diretiva.
(72) As disposições específicas no que respeita ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção, repressão de infrações penais ou de execução de sanções penais, mencionadas nos atos da União adotados antes da data de adoção da presente diretiva, que regulem o tratamento de dados pessoais entre Estados-Membros ou o acesso das autoridades designadas dos Estados-Membros aos sistemas de informação criados nos termos de Tratados, mantêm-se inalteradas. Dado que o artigo 8.º da Carta e o artigo 16.º, n.º 2, do TFUE implicam que o direito fundamental à proteção de dados pessoais deve ser garantido de forma coerente e homogénea em toda a UE, a Comissão deverá, num prazo de dois anos após a entrada em vigor da presente diretiva, examinar a situação quanto à relação entre a presente diretiva e os atos adotados anteriormente à adoção da presente diretiva que regulem o tratamento de dados pessoais entre Estados-Membros ou o acesso de autoridades designadas dos Estados-Membros a sistemas de informação criados por força dos Tratados , a fim de avaliar a necessidade de harmonização dessas disposições específicas com a e apresentar propostas adequadas com vista a assegurar regras jurídicas coerentes e homogéneas relacionadas com o tratamento de dados pessoais pelas autoridades competentes ou o acesso das autoridades dos Estados-Membros designadas aos sistemas informáticos criados por força dos Tratados, bem como o tratamento de dados pessoais pelas instituições, pelos órgãos, pelos organismos e pelas agências da União, para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais no âmbitoda presente diretiva. [Alt. 56]
(73) A fim de assegurar uma proteção global e coerente dos dados pessoais na União, os acordos internacionais celebrados pela União ou pelos Estados-Membros anteriormente à entrada em vigor da presente diretiva devem ser alterados em conformidade com a presente diretiva. [Alt. 57]
(74) A presente diretiva não prejudica as disposições relativas à luta contra o abuso sexual e a exploração sexual de crianças, bem como a pornografia infantil, previstas na Diretiva 2011/93/UE do Parlamento Europeu e do Conselho(7).
(75) Nos termos do artigo 6.º-A do Protocolo n.° 21 relativo à posição do Reino Unido e da Irlanda em relação ao espaço de liberdade, segurança e justiça, anexo ao Tratado da União Europeia e ao Tratado sobre o Funcionamento da União Europeia, o Reino Unido e a Irlanda não ficam vinculados pelas regras estabelecidas na presente diretiva sempre que o Reino Unido e a Irlanda não estejam vinculados por regras que regulem formas de cooperação judiciária em matéria penal ou de cooperação policial no âmbito das quais devam ser observadas as disposições definidas com base no artigo 16.º do Tratado sobre o Funcionamento da União Europeia.
(76) Nos termos dos artigos 2.º e 2.º-A do Protocolo n.° 22 relativo à posição da Dinamarca, anexo ao Tratado da União Europeia e ao Tratado sobre o Funcionamento da União Europeia, a Dinamarca não fica vinculada nem sujeita à aplicação da pela presente diretiva. Uma vez que da presente diretiva desenvolve o acervo de Schengen, por força do disposto no Título V, Parte III, do Tratado sobre o Funcionamento da União Europeia, a Dinamarca decidirá, nos termos do artigo 4.º do referido Protocolo, no prazo de seis meses a contar da data de adoção da presente diretiva, se procederá à transposição da diretiva para o seu direito nacional. [Alt. 58]
(77) No que diz respeito à Islândia e à Noruega, a presente diretiva constitui um desenvolvimento das disposições do acervo de Schengen, na aceção do Acordo celebrado entre o Conselho da União Europeia e a República da Islândia e o Reino da Noruega, relativo à associação desses Estados à execução, à aplicação e ao desenvolvimento do acervo de Schengen(8).
(78) No que diz respeito à Suíça, a presente diretiva constitui um desenvolvimento das disposições do acervo de Schengen, na aceção do Acordo entre a União Europeia, a Comunidade Europeia e a Confederação Suíça relativo à associação da Confederação Suíça à execução, à aplicação e ao desenvolvimento do acervo de Schengen(9).
(79) No que diz respeito ao Liechtenstein, o presente regulamento constitui um desenvolvimento das disposições do acervo de Schengen, na aceção do Protocolo entre a União Europeia, a Comunidade Europeia, a Confederação Suíça e o Principado do Liechtenstein relativo à adesão do Principado do Liechtenstein ao Acordo entre a União Europeia, a Comunidade Europeia e a Confederação Suíça relativo à associação da Confederação Suíça à execução, aplicação e ao desenvolvimento do acervo de Schengen(10).
(80) A presente diretiva respeita os direitos fundamentais e observa os princípios reconhecidos na Carta, consagrados pelo Tratado, nomeadamente o direito ao respeito da vida privada e familiar, o direito à proteção dos dados pessoais, o direito à ação e a um tribunal imparcial. As restrições introduzidas a estes direitos são conformes com o artigo 52.º, n.º 1, da Carta, uma vez que são necessários para cumprir os objetivos de interesse geral reconhecidos pela União Europeia ou satisfazer a necessidade de proteger os direitos e as liberdades de outrem.
(81) Em conformidade com a Declaração Política Conjunta dos Estados-Membros e da Comissão sobre os documentos explicativos, de 28 de setembro de 2011(11), os Estados‑Membros assumiram o compromisso de fazer acompanhar, nos casos em que tal se justifique, a notificação das suas medidas de transposição de um ou mais documentos explicando a relação entre os componentes da diretiva e as partes correspondentes dos instrumentos de transposição nacional. Em relação à presente diretiva, o legislador considera que a transmissão desses documentos se justifica.
(82) A presente diretiva não obsta a que os Estados-Membros possam aplicar disposições respeitantes ao exercício dos direitos dos titulares de dados em matéria de informação, acesso, retificação, apagamento e limitação do tratamento dos seus dados pessoais no âmbito de procedimentos penais, bem como eventuais restrições desses direitos, na legislação processual penal nacional.
(82-A) A Autoridade Europeia para a Proteção de Dados foi consultada nos termos do artigo 28.°, n.° 2, do Regulamento (CE) n.° 45/2001 e emitiu o seu parecer em 7 de março de 2012(12),
ADOTARAM A PRESENTE DIRETIVA:
CAPÍTULO I
DISPOSIÇÕES GERAIS
Artigo 1.º
Objeto e objetivos
1. A presente diretiva estabelece as regras relativas à proteção das pessoas quanto ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção, repressão de infrações penais ou dee execução de sanções penais, bem como as condiçõesrelativas à livre circulação desses dados.
2. Em conformidade com a presente diretiva, os Estados-Membros devem assegurar:
a) A proteção dos direitos e das liberdades fundamentais das pessoas singulares e, em especial, o seu direito à proteção dos seus dados pessoais e da sua privacidade; e
b) Que o intercâmbio de dados pessoais pelas autoridades competentes da União não seja restringido nem proibido por razões relacionadas com a proteção das pessoas singulares no que respeita ao tratamento de dados pessoais.
2-A. A presente diretiva não impede os Estados-Membros de preverem garantias mais alargadas do que as que nela são estabelecidas. [Alt. 59]
Artigo 2.º
Âmbito de aplicação
1. A presente diretiva aplica-se ao tratamento de dados pessoais pelas autoridades competentes para os efeitos referidos no artigo 1.º, n.º 1.
2. A presente diretiva aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos num ficheiro ou a ele destinados.
3. A presente diretiva não se aplica ao tratamento de dados pessoais:
a) Efetuado no exercício de atividades não sujeitas à aplicação do direito da União, nomeadamente no que se refere à segurança nacional;
b) Efetuado pelas instituições, organismos, serviços e agências da União. [Alt. 60]
Artigo 3.º
Definições
Para efeitos da presente diretiva, entende-se por:
1) «Titular de dados», uma pessoa singular identificada ou identificável, direta ou indiretamente, por meios com razoável probabilidade de serem utilizados pelo responsável pelo tratamento ou por qualquer outra pessoa singular ou coletiva, nomeadamente por referência a um número de identificação, a dados de localização, a um identificador em linha ou a um ou mais elementos específicos próprios à sua identidade física, fisiológica, genética, psíquica, económica, cultural ou social;
2) «Dados pessoais», qualquer informação relativa a uma pessoa singular identificada ou identificável(«titular de dados»). É considerada identificável a pessoa que possa ser identificada, direta ou indiretamente, nomeadamente por referência a um identificador, tal como o nome, um número de identificação, dados de localização, um identificador único, ou a um ou mais elementos específicos da identidade física, fisiológica, genética, psíquica, económica, cultural, social ou de género dessa pessoa;
2-A) «Dados sob pseudónimo», os dados pessoais que não possam ser atribuídos a um titular de dados específico sem recorrer a informações adicionais, enquanto essas informações adicionais forem mantidas separadamente e sujeitas a medidas técnicas e organizativas para garantir essa impossibilidade de atribuição;
3) «Tratamento de dados pessoais», qualquer operação ou conjunto de operações efetuadas sobre dados pessoais, com ou sem meios automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou a alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, o apagamento ou a destruição;
3-A) «Definição de perfis», qualquer forma de tratamento automatizado de dados pessoais destinado a avaliar determinados aspetos pessoais relativos a uma pessoa singular ou a analisar ou prever em particular o seu desempenho profissional, a sua situação económica, localização, saúde, preferências pessoais, fiabilidade ou comportamento;
4) «Limitação do tratamento», a inserção de uma marca nos dados pessoais conservados com o objetivo de limitar o seu tratamento no futuro;
5) «Ficheiro», qualquer conjunto estruturado de dados pessoais, acessível segundo critérios específicos, quer seja centralizado, descentralizado ou repartido de modo funcional ou geográfico;
6) «Responsável pelo tratamento», a autoridade pública competente que, por si ou em conjunto, determina as finalidades, as condições e os meios de tratamento de dados pessoais; sempre que as finalidades, as condições e os meios de tratamento sejam determinados pelo direito da União ou pela legislação dos Estados Membros, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser indicados pelo direito da União ou pela legislação de um Estado-Membro;
7) «Subcontratante», a pessoa singular ou coletiva, a autoridade pública, serviço ou qualquer outro organismo que trata dados pessoais por conta do responsável pelo tratamento;
8) «Destinatário», a pessoa singular ou coletiva, a autoridade pública, o serviço ou qualquer outro organismo que receba comunicações de dados pessoais;
(9) «Violação de dados pessoais», uma violação da segurança que provoca, de modo acidental ou ilícito,a destruição, a perda, a alteração, de modo acidental ou ilícito, a divulgação, ou o acesso, não autorizados, de dados pessoais transmitidos, conservados ou tratados de outro modo;
10) «Dados genéticos», todos os dados, independentemente do tipo, relacionados com as características de uma pessoa singular que são hereditárias ou adquiridas numa fase precoce do seu desenvolvimento pré-natal;
11) «Dados biométricos», quaisquer dados pessoais relativos às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam a sua identificação única, nomeadamente imagens faciais ou dados dactiloscópicos;
12) «Dados relativos à saúde», quaisquer informações relacionadasdados pessoais relacionados com a saúde física ou psíquica de uma pessoa singular, ou com a prestação de serviços de saúde a essa pessoa;
13) «Criança», qualquer pessoa com menos de 18 anos;
14) «Autoridades competentes», qualquer autoridade pública competente para efeitos de prevenção, investigação, deteção e repressão de infrações penais, ou de execução de sanções penais;
15) «Autoridade de controlo», a autoridade pública instituída por um Estado-Membro nos termos do artigo 39.º. [Alt. 61]
CAPÍTULO II
PRINCÍPIOS
Artigo 4.º
Princípios relativos ao tratamento de dados pessoais
Os Estados-Membros devem prever que os dados pessoais serão:
a) Objeto de um tratamento leal e lícito, leal, transparente e verificável em relação ao titular dos dados;
b) Recolhidos para finalidades determinadas, explícitas e legítimas e não ser posteriormente tratados de forma incompatível com essas finalidades;
c) Adequados, pertinentes e limitados ao mínimo necessário relativamente às finalidades para que são tratados; apenas devem ser tratados se e desde que as finalidades não possam ser alcançadas através do tratamento de informações que não envolvam dados pessoais;
d) Exatos e , se necessário,atualizados; devem ser adotadas todas as medidas razoáveis para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora;
e) Conservados de forma a permitir a identificação dos titulares de dados apenas durante o período necessário para a prossecução das finalidades para que são tratados;
f) Tratados sob a autoridade e responsabilidade do responsável pelo tratamento, que deve assegurar e estar em condições de demonstrar a conformidade com as disposições adotadas por força da presente diretiva;
f-A) Tratados de modo a permitir efetivamente ao titular dos dados o exercício dos seus direitos descritos nos artigos 10.º a 17.º;
f-B) Tratados de modo a proteger contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando medidas técnicas ou organizativas adequadas;
f-C)Tratados apenas por pessoal devidamente autorizado das autoridades competentes que deles necessitam para o exercício das suas funções. [Alt. 62]
Artigo 4.º-A
Acesso aos dados pessoais tratados inicialmente para efeitos que não os referidos no artigo 1.º, n.º 1
1. Os Estados-Membros determinam que as autoridades competentes só podem ter acesso a dados pessoais inicialmente tratados para finalidades que não as referidas no artigo 1.º, n.º 1, se elas forem especificamente autorizadas pelo direito da União ou dos Estados-Membros, que deve cumprir os requisitos previstos no artigo 7.º, n.º 1-A e determinar que:
a) Só é autorizado o acesso a pessoal devidamente autorizado das autoridades competentes no exercício das suas funções quando, num caso específico, houver motivos razoáveis para pensar que o tratamento de dados pessoais irá contribuir substancialmente para a prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais;
b) Os pedidos de acesso têm de ser feitos por escrito e mencionar o motivo legal para o pedido;
c) O pedido por escrito deve estar documentado; e
d) Forem estabelecidas garantias adequadas para assegurar a proteção dos direitos e liberdades fundamentais relativamente ao tratamento de dados pessoais. Essas garantias não prejudicam e complementam as condições específicas de acesso aos dados pessoais, como a autorização judicial em conformidade com a legislação do Estado-Membro.
2. Deverá aceder-se aos dados pessoais detidos por privados ou outras autoridades públicas apenas para fins de investigação ou sanção de infrações penais de acordo com os requisitos da necessidade e da proporcionalidade a definir pelo direito da União ou do Estado-Membro , no pleno respeito do artigo 7.º-A; [Alt. 63]
Artigo 4.º-B
Prazos para a conservação e revisão
1. Os Estados-Membros tomam providências para que os dados pessoais tratados nos termos da presente diretiva sejam apagados pelas autoridades competentes quando já não forem necessários para as finalidades para que foram tratados.
2. Os Estados-Membros tomam providências para que a autoridade competente crie mecanismos que assegurem a fixação de prazos, nos termos do artigo 4.º, para o apagamento de dados pessoais e para a revisão periódica da necessidade de conservação dos dados, incluindo períodos de conservação fixos para as diferentes categorias de dados pessoais. Serão adotadas medidas processuais para assegurar o respeito dos prazos estipulados e dos intervalos da revisão periódica. [Alt. 64]
Artigo 5.º
Distinção entre Diferentes categorias de titulares de dados
1. Os Estados-Membros devem prever que o responsável pelo tratamento estabeleça, na medida do possível,as autoridades competentes, para os fins referidos no artigo 1.º, n.º 1, possam proceder ao tratamento dos dados pessoais das seguintes diferentes categorias de titulares de dados e o responsável pelo tratamento deve estabelecer uma distinção clara entre os dados pessoais de diferentes categorias de titulares de dados, tais comoentre essas categorias:
a) Pessoas relativamente às quais existam motivos fundadosrazoáveis fundados para crer que cometeram ou vão cometer uma infração penal;
b) Pessoas condenadas por uma infração penalum crime;
c) Vítimas de uma infração penal ou pessoas relativamente às quais certos factos levam a crer que podem vir a ser vítimas de uma infração penal; e
d) Terceiros envolvidos numa infração penal, designadamente pessoas suscetíveis de serem chamadas a testemunhar em investigações penais relacionadas com a infrações penais, ou em processos penais subsequentes, ou uma pessoa que possa fornecer informações sobre infrações penais, ou um contacto ou associado de uma das pessoas mencionadas nas alíneas a) e b); e
e) Pessoas não abrangidas por qualquer das categorias acima referidas.
2. Os dados pessoais de outros titulares de dados que não os referidos no n.º 1 só podem ser objeto de tratamento:
a) Pelo período de tempo necessário à investigação ou ao processo judicial de uma infração penal específica, tendo em vista avaliar a relevância dos dados para uma das categorias indicadas no n.º 1; ou
b) Se esse tratamento for indispensável para fins específicos e preventivos ou para fins de análise criminal, caso e na medida em que esse propósito seja legítimo, bem definido e específico, e o tratamento se limite rigorosamente a avaliar a relevância dos dados para uma das categorias indicadas no n.º 1. Este aspeto é objeto de revisão periódica no mínimo de seis em seis meses É proibida qualquer outra utilização.
3. Os Estados-Membros devem prever que se apliquem ao tratamento de dados pessoais relativos aos titulares dos dados referidos no n.º 1, alíneas c) e d) limitações e garantias adicionais, de acordo com a legislação dos Estados-Membros. [Alt. 65]
Artigo 6.º
Níveis diferentes de exatidão e de fiabilidade de dados pessoais
1. Os Estados-Membros devem assegurarprever que seja estabelecida uma distinção, na medida do possível, entre as diferentes categorias dea exatidão e a fiabilidade dos dados pessoais objeto de tratamento , em função do seu nível de precisão e de fiabilidadesejam asseguradas.
2. Os Estados-Membros devem assegurar que os dados pessoais baseados em factos sejam, na medida do possível, distinguidos dos dados pessoais baseados em apreciações pessoais, em função do seu nível de exatidão e de fiabilidade.
2-A. Os Estados-Membros devem assegurar que os dados pessoais incorretos, incompletos ou desatualizados não sejam transmitidos nem disponibilizados. Para este efeito, as autoridades competentes devem avaliar a qualidade desses dados antes de os transmitirem ou disponibilizarem. Assim, em todas as transmissões de dados, devem ser fornecidas, na medida do possível, as informações disponíveis para que o Estado-Membro que as recebe possa apreciar até que ponto os dados são precisos, completos, atuais ou fiáveis. Os dados pessoais não devem ser transmitidos sem pedido prévio por parte de uma autoridade competente, em particular os dados originalmente detidos por privados.
2-B. Quando se verifique que foram transmitidos dados inexatos ou que foram transmitidos dados indevidamente, o destinatário deve ser imediatamente informado. O destinatário tem o dever de corrigir imediatamente os dados, nos termos do artigo 15.º, n.º 1, ou de os apagar, nos termos do artigo 16.º. [Alt. 66]
Artigo 7.º
Licitude do tratamento
1. Os Estados-Membros devem prever que o tratamento de dados pessoais só é lícito se e na medida em que se basear na legislação da União ou dos Estados-Membros tendo em vista as finalidades enunciadas no artigo 1.º, n.º 1, e for necessário para:
a) O exercício de uma função pela autoridade competente, por força da legislação, tendo em vista as finalidades enunciadas no artigo 1.º, n.º 1; ou
b) O respeito de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito; ou
c) A proteção dos interesses vitais do titular de dados ou de um terceiro; ou
d) A prevenção de uma ameaça grave e imediata para a segurança pública.
1-A. A legislação dos Estados-Membros que rege o tratamento de dados pessoais no âmbito da presente diretiva deve conter disposições explícitas e pormenorizadas que especifiquem, pelo menos:
a) Os objetivos do tratamento;
b) Os dados pessoais a tratar;
c) As finalidades e meios específicos de tratamento;
d) A nomeação do responsável pelo tratamento dos dados ou os critérios específicos para a sua nomeação;
e) As categorias do pessoal devidamente autorizado das autoridades competentes para o tratamento de dados pessoais;
f) O procedimento a seguir para o tratamento;
g) A utilização que pode ser dada aos dados pessoais recolhidos;
h) As limitações do âmbito de qualquer discrição atribuída às autoridades competentes relativamente às atividades de tratamento. [Alt. 67]
Artigo 7.°-A
Tratamento posterior para finalidades incompatíveis
1. Os Estados-Membros devem prever que os dados pessoais só podem ser tratados para outras finalidades referidas no artigo 1.º, n.º 1, que não sejam compatíveis com as finalidades para que foram recolhidos inicialmente se e na medida em que:
a) O tratamento seja estritamente necessário e proporcionado numa sociedade democrática e exigido pela legislação da União ou dos Estados-Membros, para um propósito legítimo, bem definido e específico;
b) O tratamento seja estritamente limitado a um período não superior ao tempo necessário à operação específica de tratamento de dados;
c) Seja proibida qualquer utilização adicional para outros fins.
Antes de qualquer tratamento, o Estado-Membro deve consultar a Autoridade Europeia para a Proteção de Dados e proceder a uma avaliação de impacto nesta matéria.
2. Além dos requisitos previstos no artigo 7.º, n.º 1-A, a legislação dos Estados-Membros que autoriza outro tratamento, como refere o n.º 1, deve conter disposições explícitas e pormenorizadas que especifiquem, pelo menos:
a) As finalidades e os meios específicos desse tratamento específico;
b) Que só é autorizado o acesso a pessoal devidamente autorizado das autoridades competentes no exercício das suas funções quando, num caso específico, houver motivos razoáveis para pensar que o tratamento de dados pessoais irá contribuir substancialmente para a prevenção, investigação, deteção e repressão de infrações penais ou a para a execução de sanções penais; e
c) Que são dadas garantias adequadas para assegurar a proteção dos direitos e das liberdades fundamentais relativamente ao tratamento de dados pessoais.
Os Estados-Membros podem exigir que o acesso aos dados pessoais seja subordinado a condições adicionais como, por exemplo, uma autorização judicial, em conformidade com a respetiva legislação nacional.
3. Os Estados-Membros também podem autorizar outro tratamento de dados pessoais para finalidades históricas, estatísticas ou científicas desde que criem garantias adequadas, como a anonimização dos dados. [Alt. 68]
Artigo 8.º
Tratamento de categorias especiais de dados pessoais
1. Os Estados-Membros devem proibir o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a orientação sexual ou a identidade de género, a filiação sindical ou as atividades sindicais, bem como o tratamento de dados genéticosbiométricos ou dados relativos à saúde ou à situação médica ou à orientação sexual.
2. O n.º 1 não se aplica sempre que:
a) O tratamento for autorizado por uma legislação que preveja garantias adequadasestritamente necessário e proporcionado para o exercício de uma missão efetuada pelas autoridades competentes para as finalidades enunciadas no artigo 1.º, n.º 1, com base na legislação da União ou dos Estados-Membros que deve prever medidas adequadas e específicas que garantam os interesses legítimos do titular de dados, incluindo uma autorização judicial específica, se exigido pela legislação nacional; ou
b) O tratamento for necessário para a proteção dos interesses vitais do titular de dados ou de um terceiro; ou
c) O tratamento estiver relacionado com dados manifestamente tornados públicos pelo seu titular, desde que os mesmos sejam pertinentes e estritamente necessários para a finalidade pretendida num caso específico. [Alt. 69]
Artigo 8.º-A
Tratamento de dados genéticos para uma investigação criminal ou um processo judicial
1. Os Estados-Membros devem assegurar que os dados genéticos só podem ser usados para estabelecer uma ligação genética no âmbito da obtenção de provas, para neutralizar uma ameaça à segurança pública ou impedir que seja cometida uma infração criminal específica. Os dados genéticos não podem ser usados para determinar outras características que possam ser objeto de uma ligação genética.
2. Os Estados-Membros devem assegurar que os dados genéticos ou as informações resultantes da sua análise só podem ser conservados durante o tempo necessário para os fins do seu tratamento e quando o individuo em questão tiver sido condenado por delitos graves contra a vida, integridade ou segurança de pessoas, sendo isto subordinado a períodos de conservação rigorosos a determinar pela legislação dos Estados-Membros.
3. Os Estados-Membros devem assegurar que os dados genéticos ou as informações resultantes da sua análise só podem ser conservados por períodos maiores quando os dados genéticos não puderem ser associados a um indivíduo, em particular, se forem recolhidos no local do crime. [Alt. 70]
Artigo 9.º
Medidas baseadas na definição de perfis e no tratamento automatizado
1. Os Estados-Membros devem prever a proibição de medidas que produzam efeitos adversos na esfera jurídica do titular de dados ou que o afetem de modo significativo e que se baseiem unicamenteparcial ou totalmente no tratamento automatizado de dados pessoais destinado a avaliar determinados aspetos próprios dessa pessoa, salvo se forem autorizadas por uma lei que preveja igualmente medidas destinadas a assegurar os interesses legítimos do titular de dados.
2. O tratamento automatizado dos dados pessoais destinado a avaliar determinados aspetos pessoais próprios ao titular de dados não se deve basear exclusivamente nas categorias especiais de dados pessoais referidas no artigo 8.º.
2-A. O tratamento automatizado dos dados pessoais destinado a identificar um titular de dados sem uma suspeita inicial de que o titular de dados tenha cometido ou venha a cometer um crime apenas será legal se e na medida em que for estritamente necessário à investigação de um crime grave ou à prevenção de um perigo claro e iminente, estabelecido com base em indícios factuais, à segurança pública, à existência do Estado ou à vida de pessoas.
2-B. É proibida em todos os casos a definição de perfis que, de forma intencional ou não, tenha por efeito a discriminação contra pessoas singulares em função da origem racial ou étnica, de opiniões políticas, da religião ou de convicções, da filiação sindical ou da orientação sexual ou de género, ou que, de forma intencional ou não, conduza a medidas que tenham tais efeitos. [Alt. 71]
Artigo 9.º-A
Princípios gerais dos direitos do titular dos dados
1. Os Estados-Membros devem assegurar que a base da proteção de dados seja clara e preveja direitos claros para o titular de dados, que devem ser respeitados pelo responsável pelo tratamento. As disposições da presente diretiva visam reforçar, esclarecer, garantir e, quando adequado, codificar esses direitos.
2. Os Estados-membros devem assegurar que esses direitos incluam, entre outros, o fornecimento de informações claras e de fácil compreensão no tocante ao tratamento dos dados pessoais do titular, o direito de acesso, retificação e apagamento dos seus dados, o direito de obtenção de dados, o direito de apresentar queixa junto da autoridade competente para a proteção de dados e o direito de instaurar processos judiciais, bem como o direito a indemnização por danos em resultado de um tratamento ilícito. Esses direitos devem, em geral, ser exercidos a título gratuito. O responsável pelo tratamento deve responder aos pedidos do titular de dados num prazo razoável. [Alt. 72]
CAPÍTULO III
DIREITOS DO TITULAR DOS DADOS
Artigo 10.º
Modalidades de exercício dos direitos do titular dos dados
1. Os Estados-Membros devem prever que o responsável pelo tratamento aplique regras internas concisas, transparentes, claras e facilmente acessíveis no que diz respeito ao tratamento de dados pessoais, tendo em vista o exercício dos direitos pelos titularespelo titular de dados.
2. Os Estados-Membros devem prever que o responsável pelo tratamento faculte todas as informações e comunicações relativas ao tratamento de dados pessoais ao titular de dados de uma forma inteligível e numa linguagem clara e simples, em particular, quando as informações são dirigidas especificamente a uma criança.
3. Os Estados-Membros devem prever que o responsável pelo tratamento adote todas as medidas razoáveis para estabelecerestabeleça os procedimentos de informação referidos no artigo 11.º e os procedimentos para o exercício dos direitos pelos titularespelo titular de dados referidos nos artigos 12.º a 17.º. Sempre que os dados pessoais forem objeto de tratamento automatizado, o responsável pelo tratamento deve prever meios para a apresentação de pedidos por via eletrónica.
4. Os Estados-Membros devem prever que o responsável pelo tratamento informe, sem demora injustificada, o titular de dados do seguimento dado ao seu pedido e, em todo o caso, o mais tardar, no prazo de um mês a contar da data de receção do pedido. As informações devem revestir a forma escrita.Sempre que o titular dos direitos apresentar o pedido por via eletrónica, a informação deve ser fornecida por meios eletrónicos.
5. Os Estados-Membros devem prever que as informações e eventuais medidas adotadas pelo responsável pelo tratamento na sequência de um pedido previsto nos n.os 3 e 4 sejam gratuitas. Sempre que os pedidos sejam manifestamente excessivos, particularmente devido ao seu caráter repetitivo, ou à dimensão ou volume do pedido, o responsável pelo tratamento pode exigir o pagamento de uma taxa razoável,tendo em conta os custos administrativos pela prestação de informações ou adoção da medida solicitada, ou pode abster-se de a adotar. Nesse caso, incumbe ao responsável pelo tratamento provar o caráter abusivomanifestamente excessivo do pedido.
5-A. Os Estados-Membros devem prever que o titular dos dados possa invocar os seus direitos diretamente junto do responsável pelo tratamento ou através da autoridade nacional de controlo competente. Se atuar a pedido do titular de dados, a autoridade de controlo deve informar o mesmo das verificações efetuadas. [Alt. 73]
Artigo 11.º
Informação do titular dos dados
1. Sempre que os dados pessoais de uma pessoa forem recolhidos, os Estados-Membros devem assegurar que o responsável pelo tratamento adote todas as medidas adequadas para fornecerforneça ao titular dos dados pelo menos as seguintes informações:
a) Identidade e contactos do responsável pelo tratamento e do delegado para a proteção de dados;
b) Base jurídica e finalidades do tratamento a que os dados pessoais se destinam;
c) Período de conservação dos dados pessoais;
d) Existência do direito de solicitar ao responsável pelo tratamento o acesso aos dados pessoais que lhe digam respeito, e a sua retificação ou apagamento, ou a limitação do seu tratamento;
e) Direito de apresentar uma queixa à autoridade de controlo referida no artigo 39.º, e de obter os contactos desta autoridade;
f) Destinatários ou categorias de destinatáriosdos dados pessoais, incluindo nos países terceiros ou a nível das organizações internacionais,e que estão autorizados a ter acesso a esses dados ao abrigo da legislação do país terceiro ou da regulamentação da organização internacional, a existência ou ausência de uma decisão de adequação da Comissão ou, no caso das transferências referidas no artigo 35.º ou no artigo 36.º, os meios para a obtenção de uma cópia das garantias adequadas utilizadas para a transferência;
f-A) Caso o responsável pelo tratamento processe os dados pessoais nos termos do artigo 9.º, n.º 1, informações sobre a existência de tratamento para uma medida do tipo a que se refere o artigo 9.º, n.º 1, e os efeitos esperados desse tratamento no titular dos dados, informações acerca da lógica utilizada na definição dos perfis e o direito de avaliação humana;
f-B) Informações relativas a medidas de segurança tomadas para proteger os dados pessoais;
g) Quaisquer outras informações, na medida em que sejam necessárias para assegurar à pessoa em causa um tratamento leal, tendo em conta as circunstâncias específicas em que os dados pessoais são tratados.
2. Sempre que os dados pessoais tiverem sido recolhidos junto do titular de dados, o responsável pelo tratamento deve informá-lo, para além da informação referida no n.º 1, do caráter obrigatório ou facultativo de fornecer os dados pessoais, bem como das eventuais consequências de não fornecer esses dados.
3. O responsável pelo tratamento deve comunicar as informações referidas no n.º 1:
a) No momento da recolha dos dados pessoais junto do titular de dados; ou
b) Sempre que os dados não forem recolhidos junto do titular de dados, no momento do seu registo ou num prazo razoável após a recolha dos dados, tendo em conta as circunstâncias específicas em que os dados foram tratados.
4. Os Estados-Membros podem adotar medidas legislativas prevendo o adiamento ou a limitação da prestação das informações, ou a sua não prestação, aos titulares de dados, num caso específico, na medida e enquanto tal limitação, parcial ou total, constitua uma medida necessária e proporcionada numa sociedade democrática, tendo devidamente em conta os direitos fundamentais e os interesses legítimos do titular de dados:
a) Para evitar que constituam um entrave a inquéritos, investigações, ou procedimentos oficiais ou judiciais;
b) Para evitar prejudicar a prevenção, deteção, investigação, repressão de infrações penais ou a execução de sanções penais;
c) Para proteger a segurança pública;
d) Para proteger a segurança nacional;
e) Para proteger os direitos e as liberdades de outrem.
5. Os Estados-Membros devem prever que o responsável pelo tratamento avalie, em cada caso específico e através de uma análise concreta e individual, se se aplicam as limitações parciais ou totais por um dos motivos previstos no n.º 4. Os Estados-Membros podem também determinar por via legislativa categorias de tratamento de dados suscetíveis de serem objeto, na sua integralidade ou em parte, das derrogações previstas no n.º 4,alíneas a), b), c) e d). [Alt. 74]
Artigo 12.º
Direito de acesso do titular dos dados
1. Os Estados-Membros devem prever o direito de o titular de dados poder obter do responsável pelo tratamento a confirmação de que os dados pessoais que lhe digam respeito são ou não objeto de tratamento. Sempre que esses dados forem objeto de tratamento, o responsável pelo tratamento deve fornecer as seguintes informações, se as mesmas não tiverem sido já fornecidas:
—a) Comunicação dos dados pessoais em fase de tratamento e quaisquer informações disponíveis sobre a origem desses dados e, se for o caso, informações compreensíveis sobre a lógica subjacente a qualquer tratamento automatizado dos dados;
-a-A) Importância e consequências previstas de tal tratamento, pelo menos no caso das medidas referidas no artigo 9.º;
a) Finalidades do tratamento, bem como a base jurídica do mesmo;
b) Categorias de dados pessoais envolvidos;
c) Destinatários ou categorias de destinatários a quem os dados pessoais foram divulgados, em especial quando os destinatários estão estabelecidos em países terceiros;
d) Período de conservação dos dados pessoais;
e) A existência do direito de solicitar à autoridade de controlo a retificação, o apagamento ou a limitação do tratamento dos dados pessoais do titular de dados;
f) O direito de apresentar uma queixa à autoridade de controlo e de obter os contactos desta autoridade;
g) Comunicação dos dados pessoais em fase de tratamento e quaisquer informações disponíveis sobre a origem desses dados.
2. Os Estados-Membros devem prever o direito do titular de dados de obter do responsável pelo tratamento uma cópia dos dados pessoais em fase de tratamento. Sempre que o titular dos dados apresentar o pedido por via eletrónica, as informações devem ser fornecidas por meios eletrónicos, salvo se solicitado de outra forma pela pessoa em causa. [Alt. 75]
Artigo 13.º
Limitações do direito de acesso
1. Os Estados-Membros podem adotar medidas legislativas para limitar, total ou parcialmente conforme o caso específico, o direito de acesso do titular de dados, na medida e durante o prazo em que tal limitação total ou parcial constitua uma medida estritamente necessária e proporcionada numa sociedade democrática, tendo devidamente em conta os direitos fundamentais e os interesses legítimos do titular de dados:
a) Para evitar que constituam um entrave a inquéritos, investigações, ou procedimentos oficiais ou judiciais;
b) Para evitar prejudicar a prevenção, deteção, investigação, repressão de infrações penais ou a execução de sanções penais;
c) Para proteger a segurança pública;
d) Para proteger a segurança nacional;
e) Para proteger os direitos e as liberdades de outrem.
2. Os Estados-Membros devem prever que o responsável pelo tratamento avalie, em cada caso específico e através de um exame individual e concreto, se se aplicam as limitações parciais ou totais por um dos motivos previstos no n.º 1. Os Estados-Membros podem também, por via legislativa, determinar categorias de tratamento de dados suscetíveis de ser objeto, no todo ou em parte, das derrogações previstas no n.º 1, alíneas a) a d).
3. Nos casos previstos nos n.ºs 1 e 2, os Estados-Membros devem prever que em caso de recusa ou de limitação do acesso aos dados, o responsável pelo tratamento informe o titular de dados, sem demora injustificada, por escrito, dos motivosda justificação fundamentada da recusa e das possibilidades de apresentar uma queixa à autoridade de controlo e de intentar uma ação judicial. Os motivos de facto ou de direito em que se baseia a decisão podem ser omitidos sempre que a sua comunicação seja suscetível de prejudicar um dos objetivos enunciados no n.º 1.
4. Os Estados-Membros devem assegurar que o responsável pelo tratamento documente a avaliação referida no n.º 2 e os fundamentos para não comunicar de forma limitada os motivos de facto ou de direito em que baseou a decisão. Essa informação deve ser facultada às autoridades nacionais competentes. [Alt. 76]
Artigo 14.º
Modalidades de exercício do direito de acesso
1. Os Estados-Membros devem prever o direito de o titular de dados solicitar em qualquer altura à autoridade de controlo, em especial nos casos referidos nos artigos 12.º e 13.º, a verificação da licitude do tratamento.
2. O Estado-Membro deveOs Estados-Membros devem prever que o responsável pelo tratamento informe o titular de dados do seu direito de solicitar a intervenção da autoridade de controlo por força do n.º 1.
3. Sempre que o direito a que se refere o n.º 1 for exercido, a autoridade de controlo deve informar o titular de dados, pelo menos, de que foram realizadas todas as verificações necessárias que incumbem à referida autoridade e do resultado quanto à licitude do tratamento em causa. A autoridade de controlo deve informar o titular de dados acerca do seu direito de ação judicial.
3-A. Os Estados-Membros devem prever que o titular dos dados possa invocar esse direito diretamente junto do responsável pelo tratamento ou através da autoridade nacional de controlo competente.
3-B. Os Estados-Membros devem asssegurar que o responsável pelo tratamento disponha de um prazo razoável para responder aos pedidos do titular de dados no tocante ao exercício do seu direito de acesso. [Alt. 77]
Artigo 15.º
Direito de retificação e completamento
1. Os Estados-Membros devem prever o direito de o titular de dados obter do responsável pelo tratamento a retificação ou o completamento dos dados pessoais inexatos ou incompletos que lhe digam respeito. O titular de dados tem o direito de obter, nomeadamente através de uma declaração retificativa, que os seus dados pessoais incompletos sejam completadosou completiva.
2. Os Estados-Membros devem prever que, em caso de recusa de retificação ou completamento dos dados, o responsável pelo tratamento informe o titular de dados, por escrito, com uma justificação fundamentada, dos motivos da recusa e das possibilidades de apresentar uma queixa à autoridade de controlo e de intentar uma ação judicial.
2-A. Os Estados-Membros devem prever que o responsável pelo tratamento de dados notifique qualquer retificação efetuada a cada destinatário a quem foram divulgados os dados, a menos que tal se revele impossível ou implique um esforço desproporcionado.
2-B. Os Estados-Membros devem prever que o responsável pelo tratamento de dados notifique a retificação de dados pessoais inexatos ao terceiro que está na origem dos dados pessoais inexatos.
2-C. Os Estados-Membros devem prever que o titular dos dados possa invocar esse direito também através da autoridade nacional de controlo competente. [Alt. 78]
Artigo 16.º
Direito de apagamento
1. Os Estados-Membros devem prever o direito de o titular de dados obter do responsável pelo tratamento o apagamento dos dados pessoais que lhe digam respeito sempre que o tratamento não seja conforme com as disposições adotadas nos termos do artigo 4.º, alínea a) a e), edos artigos 4.º, 6.º, 7.º e 8.º da presente diretiva.
2. O responsável pelo tratamento deve efetuar esse apagamento sem demora. O responsável pelo tratamento deve igualmente abster-se de qualquer divulgação ulterior desses dados.
3. Em vez de proceder ao apagamento, o responsável pelo tratamento deve marcarrestringir o tratamento de dados pessoais sempre que:
a) A sua exatidão for contestada pelo titular dos dados, durante um período que permita ao responsável pelo tratamento verificar a exatidão dos dados;
b) Os dados pessoais devam ser conservados para efeitos de prova ou de proteção dos interesses vitais do titular de dados ou de outrem;
c) O titular dos dados se opuser ao seu apagamento e solicitar, em contrapartida, a limitação da sua utilização;
3-A. Sempre que o tratamento de dados pessoais for limitado nos termos do n.º 3, o responsável pelo tratamento informa o titular dos dados antes de anular a limitação ao tratamento.
4. Os Estados-Membros devem prever que o responsável pelo tratamento informe o titular de dados, por escrito, com uma justificação fundamentada, de qualquer recusa de apagamento ou de marcaçãolimitação dos dados tratados, dos motivos de recusa e das possibilidades de apresentar uma queixa à autoridade de controlo e de intentar uma ação judicial.
4-A. Os Estados-Membros devem prever que o responsável pelo tratamento notifique os destinatários a quem os dados foram enviados de qualquer apagamento ou limitação nos termos do n.º 1, a menos que tal se revele impossível ou implique um esforço desproporcionado. O responsável pelo tratamento deve informar o titular dos dados acerca desses terceiros.
4-B. Os Estados-Membros devem prever que o titular dos dados possa invocar esse direito directamente junto do responsável pelo tratamento ou através da autoridade nacional de controlo competente. [Alt. 79]
Artigo 17.º
Direitos do titular dos dados no âmbito de investigações e ações penais
Os Estados-Membros podem prever, sempre que dados pessoais constem de uma decisão ou de um registo criminal objeto de tratamento no âmbito de uma investigação ou ação penal, que os direitos de informação, acesso, retificação, apagamento e limitação do tratamento, previstos nos artigos 11.º a 16.º, sejam exercidos em conformidade com as regras processuais penais nacionais.
CAPÍTULO IV
RESPONSÁVEL PELO TRATAMENTO E SUBCONTRATANTE
SECÇÃO 1
OBRIGAÇÕES GERAIS
Artigo 18.º
Obrigações do responsável pelo tratamento
1. Os Estados-Membros devem prever que o responsável pelo tratamento adote regras internas e execute as medidas adequadas para assegurar e estar em condições de demonstrar, de forma transparente, para cada operação de tratamento, que o tratamento dos dados pessoais é realizado no respeito das disposições adotadas em conformidade com a presente diretiva quer aquando da determinação dos meios de tratamento, quer aquando do próprio tratamento.
2. As medidas referidas no n.º 1 devem incluir, nomeadamente:
a) Conservar a documentação, nos termos do artigo 23.º;
a-A) Realizar uma avaliação de impacto sobre a proteção de dados, nos termos do artigo 25.º-A;
b) Respeitar a obrigação de consulta prévia, nos termos do artigo 26.º;
c) Aplicar os requisitos de segurança previstos no artigo 27.º;
d) Designar um delegado para a proteção de dados, nos termos do artigo 30.º;
d-A) Elaborar e executar as garantias específicas para o tratamento de dados pessoais relativos a crianças, se for adequado.
3. O responsável pelo tratamento deve aplicar mecanismos de verificação da adequação e da eficácia das medidas referidas no n.º 1. Sob reserva da sua proporcionalidade, essa verificação deve ser realizada por auditores independentes internos ou externos. [Alt. 80]
Artigo 19.º
Proteção de dados desde a conceção e por defeito
1. Os Estados-Membros devem prever que, tendo em conta as técnicas mais recentes e os custos associados à sua aplicação, o conhecimento tecnológico atual, as melhores práticas internacionais e os riscos representados pelo tratamento de dados, o responsável pelo tratamento apliquee o subcontratante, caso exista, apliquem, tanto no momento de definição das finalidades e dos meios de tratamento como no momento do próprio tratamento, as medidas e procedimentos técnicos e organizativos adequados e proporcionados, a fim de que o tratamento respeite as disposições adotadas em conformidade com a presente diretiva e garantagarantam a proteção dos direitos do titular de dados, em particular no que respeita aos princípios estabelecidos no artigo 4.º. A proteção dos dados desde a conceção deve ter em especial conta a gestão completa do ciclo de vida dos dados pessoais, desde a recolha, passando pelo tratamento, até à eliminação, centrando-se sistematicamente em amplas garantias processuais respeitantes à precisão, confidencialidade, integridade, segurança física e eliminação dos dados pessoais. Sempre que o responsável pelo tratamento tenha efetuado uma avaliação do impacto na proteção de dados nos termos do artigo 25.º-A, os resultados da referida avaliação são tidos em conta para efeitos de desenvolvimento destas medidas e procedimentos.
2. O responsável pelo tratamento deve aplicar mecanismos que garantamdeve garantir, por defeito, que apenas são tratados os dados pessoais necessários para cada finalidade específica do tratamento e, especialmente, que não são recolhidos, conservados ou divulgados para além do mínimo necessário para essas finalidades, tanto em termos da quantidade de dados, como da duração da sua conservação. Em especial, esses mecanismos devem assegurar que, por defeito, os dados pessoais não sejam disponibilizados a um número indeterminado de pessoas singulares e que os titulares dos dados estejam em condições de controlar a distribuição dos seus dados pessoais. [Alt. 81]
Artigo 20.º
Responsáveis conjuntos pelo tratamento
1. Os Estados-Membros devem prever, sempre que um responsável pelo tratamento definir, em conjunto com outros, as finalidades , as condições e os meios do tratamento de dados pessoais, os responsáveis conjuntos pelo tratamento devem definir, poratravés de um acordo vinculativo, as respetivas obrigações, a fim de respeitarem as disposições adotadas em conformidade com a presente diretiva, nomeadamente no que diz respeito aos procedimentos e mecanismos que regulam o exercício de direitos do titular de dados.
2. A menos que o titular de dados tenha sido informado sobre qual dos responsáveis conjuntos pelo tratamento é responsável nos termos do n.º 1, o titular de dados pode exercer os seus direitos ao abrigo da presente diretiva relativamente a cada um de dois ou mais responsáveis conjuntos pelo tratamento ou contra os mesmos. [Alt. 82]
Artigo 21.º
Subcontratante
1. Os Estados-Membros devem prever que o responsável pelo tratamento, em caso de tratamento por sua conta, deve escolher um subcontratante que apresente garantias suficientes de execução das medidas e procedimentos técnicos e organizativos apropriados, de forma a que esse tratamento respeite as disposições adotadas em conformidade com a presente diretiva e garanta a proteção dos direitos do titular de dados, nomeadamente quanto às medidas de segurança técnica e medidas organizativas que regulam o procedimento a realizar, devendo o responsável pelo tratamento assegurar o cumprimento dessas medidas.
2. Os Estados-Membros devem prever que a realização de operações de tratamento poratravés de um subcontratante sejam reguladas por um contrato ou um ato jurídico que vincule o subcontratante ao responsável pelo tratamento e que preveja, nomeadamente, que o subcontratante atue apenas mediante instruções do responsável pelo tratamento, em especial quando a transferência de dados pessoais utilizados for proibida.:
a) Atue apenas mediante instruções do responsável pelo tratamento;
b) Empregue apenas pessoal que tenha concordado em ficar vinculado à obrigação de confidencialidade ou que se encontre sujeito às obrigações de confidencialidade previstas na legislação;
c) Adote todas as medidas exigidas nos termos do artigo 27.º;
d) Recrute outro subcontratante apenas mediante autorização do responsável pelo tratamento e consequentemente informe este último da intenção de recrutar outro subcontratante de forma atempada para que o responsável pelo tratamento possa objetar a tal;
e) Na medida do possível, tendo em conta a natureza do tratamento, adote, mediante acordo com o responsável pelo tratamento, os requisitos técnicos e organizativos necessários para permitir ao responsável pelo tratamento cumprir a sua obrigação de dar resposta aos pedidos dos titulares de dados, tendo em vista o exercício dos seus direitos previstos no Capítulo III;
f) Preste assistência ao responsável pelo tratamento no sentido de garantir o cumprimento das obrigações previstas nos artigos 25.-Aº a 29.º;
g) Devolva todos os resultados ao responsável pelo tratamento depois de terminado o tratamento, não trate de outro modo os dados pessoais e suprima as cópias existentes, a menos que a sua conservação seja exigida por legislação da União ou dos Estados-Membros;
h) Disponibilize ao responsável pelo tratamento e à autoridade de controlo todas as informações necessárias para verificar o cumprimento das obrigações previstas no presente artigo;
i) Tenha em consideração o princípio da proteção de dados desde a conceção e por defeito.
2-A. O responsável pelo tratamento e o subcontratante conservam um documento escrito com as instruções do responsável pelo tratamento e as obrigações do subcontratante referidas no n.º 2.
3. Se um subcontratante proceder ao tratamento de dados pessoais de forma diferente da que foi definida nas instruções do responsável pelo tratamento, o subcontratante é considerado responsável pelo tratamento em relação ao referido tratamento, ficando sujeito às disposições aplicáveis aos responsáveis conjuntos pelo tratamento previstas no artigo 20.º. [Alt. 83]
Artigo 22.º
Tratamento sob a autoridade do responsável pelo tratamento e do subcontratante
1. Os Estados-Membros devem prever que o subcontratante, bem como qualquer pessoa, agindo sob a autoridade do responsável pelo tratamento ou do subcontratante, que tenha acesso a dados pessoais, só pode efetuar o seu tratamento mediante instruções do responsável pelo tratamento ou se exigido pela legislação da União ou de um Estado-Membro.
1-A. Sempre que o subcontratante seja ou se torne a parte determinante em relação aos fins, meios e métodos do tratamento de dados ou não atue unicamente com base nas instruções do responsável pelo tratamento, deve ser considerado responsável conjunto pelo tratamento, nos termos do artigo 20.º. [Alt. 84]
Artigo 23.º
Documentação
1. Os Estados-Membros devem prever que cada responsável pelo tratamento e cada subcontratante, mantenha a documentação de todos os sistemas e procedimentos de tratamento sob a sua responsabilidade.
2. Essa documentação deve consistir, pelo menos, nas seguintes informações:
a) Nome e contactos do responsável pelo tratamento, ou de qualquer responsável conjunto pelo tratamento ou subcontratante;
a-A) Um acordo vinculativo, caso existam responsáveis conjuntos pelo tratamento; uma lista dos subcontratantes e das atividades levadas a cabo pelos mesmos;
b) Finalidades do tratamento;
b-A) Uma indicação dos serviços da organização de um responsável pelo tratamento ou subcontratante encarregados do tratamento de dados pessoais para uma finalidade específica;
b-B) Uma descrição da categoria ou categorias de pessoas implicadas e dos dados ou categorias de dados pertinentes;
c) Destinatários ou categorias de destinatários dos dados pessoais;
c-A) Se for caso disso, informações quanto à existência de definição de perfis, de medidas baseadas na definição de perfis e de mecanismos de oposição à definição de perfis;
c-B) Informações compreensíveis sobre a lógica subjacente ao tratamento automatizado dos dados;
d) Transferências de dados para um país terceiro ou uma organização internacional, incluindo o nome desse país terceiro ou dessa organização internacional, bem como os fundamentos jurídicos da transferência de dado; se a transferência se basear nos artigos 35.º ou 36.º da presente diretiva, deve ser dada uma explicação substantiva;
d-A) Os prazos fixados para o apagamento das diferentes categorias de dados;
d-B) Os resultados da verificação das medidas referidas no artigo 18.º, n.º 1;
d-C) Uma indicação do fundamento jurídico da operação de tratamento a que os dados se destinam.
3. O responsável pelo tratamento e o subcontratante devem disponibilizar toda a documentação existente à autoridade de controlo, quando por esta solicitado. [Alt. 85]
Artigo 24.º
Conservação de registos das operações de tratamento
1. Os Estados-Membros devem assegurar que são conservados registos de, pelo menos, as seguintes operações: recolha, alteração, consulta, comunicação, interconexão ou apagamento. Os registos das operações de consulta e de comunicação indicarão, em especial, a finalidade, a data e hora dessas operações e, na medida do possível, a identificação da pessoa que consultou ou comunicou dados pessoais e a identidade dos destinatários desses dados.
2. Os registos só podem ser utilizados para efeitos de verificação da licitude do tratamento de dados, de autocontrolo e de garantia da integridade e segurança dos dados, ou para efeitos de auditoria pelo delegado para a proteção dos dados ou pela autoridade de proteção de dados.
2-A. O responsável pelo tratamento e o subcontratante devem disponibilizar os registos existentes à autoridade de controlo, quando por esta solicitado. [Alt. 86]
Artigo 25.º
Cooperação com a autoridade de controlo
1. Os Estados-Membros devem prever que o responsável pelo tratamento e o subcontratante cooperem, mediante pedido, com a autoridade de controlo no exercício das suas funções, comunicando nomeadamente todas as informações de que esta necessite para esse efeitoreferidas no artigo 46.º, n.º 2, alínea a), e concedendo acesso nos termos do disposto no artigo 46.º, n.º 2, alínea b).
2. Sempre que a autoridade de controlo exerça os poderes que lhe são conferidos por força do artigo 46.º, n.º 1, alíneas a) e b), o responsável pelo tratamento e o subcontratante devem responder à autoridade de controlo num prazo razoável a fixar por esta última. A resposta deve incluir uma descrição das medidas adotadas e dos resultados obtidos, tendo em conta as observações formuladas pela autoridade de controlo. [Alt. 87]
Artigo 25.º-A
Avaliação do impacto na proteção de dados
1. Os Estados-Membros devem prever que o responsável pelo tratamento ou o subcontratante, atuando em nome do responsável pelo tratamento, efetuem uma avaliação do impacto dos sistemas e procedimentos de tratamento previstos na proteção dos dados pessoais, sempre que as operações de tratamento sejam suscetíveis de apresentar riscos específicos para os direitos e liberdades dos titulares de dados, devido à sua natureza, âmbito ou finalidade, antes de novos procedimentos de tratamento ou tão cedo quanto possível, no caso dos procedimentos de tratamento existentes.
2. As seguintes operações de tratamento são especialmente suscetíveis de apresentar os riscos específicos referidos no n.º 1:
a) O tratamento de dados pessoais em sistemas de arquivo de grande dimensão para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais;
b) O tratamento de categorias especiais de dados pessoais referidas no artigo 8.º, de dados pessoais relacionados com menores e de dados biométricos e de localização para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais;
c) Uma avaliação dos aspetos pessoais relacionados com uma pessoa singular, ou que vise analisar ou prever, nomeadamente, o seu comportamento, baseada num processo automatizado e suscetível de dar lugar a medidas que produzam efeitos jurídicos relativamente à pessoa em causa ou que a afetem de forma significativa;
d) O controlo de zonas acessíveis ao público, nomeadamente ao utilizar dispositivos ótico-eletrónicos (videovigilância); ou
e) Outras operações de tratamento para as quais é obrigatória a consulta da autoridade de controlo nos termos do artigo 26.º, n.º 1.
3. A avaliação deve conter, pelo menos:
a) Uma descrição sistemática das operações de tratamento de dados previstas;
b) Uma avaliação da necessidade e proporcionalidade das operações de tratamento em relação aos fins;
c) Uma avaliação dos riscos para os direitos e liberdades dos titulares de dados e as medidas previstas para colmatar esses riscos e reduzir ao mínimo o volume de dados pessoais tratado;
d) Medidas de segurança e mecanismos para assegurar a proteção dos dados pessoais e demonstrar a conformidade com as disposições adotadas nos termos da presente diretiva, tendo em conta os direitos e os interesses legítimos dos titulares de dados e de terceiros;
e) Uma indicação geral dos prazos fixados para o apagamento das diferentes categorias de dados;
f) Se for caso disso, uma lista das transferências de dados destinadas a um país terceiro ou uma organização internacional, incluindo o nome desse país terceiro ou dessa organização internacional e, no caso de transferências referidas no artigo 36.º, n.º 2, alínea h), a documentação que comprove a existência das garantias adequadas.
4. Se o responsável pelo tratamento ou o subcontratante tiverem designado um delegado para a proteção de dados, este deve ser associado ao procedimento de avaliação de impacto.
5. Os Estados-Membros devem prever que o responsável pelo tratamento consulte o público sobre o tratamento previsto, sem prejuízo da proteção do interesse público ou da segurança das operações de tratamento de dados.
6. Sem prejuízo da proteção do interesse público ou da segurança das operações de tratamento de dados, a avaliação deve ser facilmente acessível ao público.
7. São atribuídas competências à Comissão para, depois de pedir um parecer ao Comité Europeu para a Proteção de Dados, adotar atos delegados nos termos do artigo 56.º, a fim de especificar mais concretamente os critérios e condições aplicáveis às operações de tratamento de dados que possam apresentar os riscos específicos referidos nos n.ºs 1 e 2, bem como os requisitos aplicáveis à avaliação referida no n.º 3, incluindo as condições de redimensionabilidade, de verificação e de auditoria. [Alt. 88]
Artigo 26.º
Consulta prévia da autoridade de controlo
1. Os Estados-Membros devem assegurar que o responsável pelo tratamento ou o subcontratante consulta a autoridade de controlo antes de proceder ao tratamento de dados pessoais que farão parte de um novo ficheiro a criara fim de assegurar a conformidade do tratamento previsto com as disposições adotadas por força da presente diretiva e, nomeadamente, atenuar os riscos para os titulares de dados, sempre que:
a) O tratamento visar categorias especiais de dados referidas no artigo 8.ºUma avaliação de impacto sobre a proteção de dados, como prevista no artigo 25.º-A, indicar que as operações de tratamento, devido à sua natureza, âmbito e/ou finalidade, podem apresentar um elevado nível de riscos específicos; ou;
b) Devido à utilização, em especial, de novos mecanismos, tecnologias ou procedimentos, o tipo de tratamento apresente riscos específicos para os direitos e liberdades fundamentais e, em particular, para a proteção de dados pessoais do seu titularA autoridade de controlo considerar necessário realizar uma consulta prévia sobre operações de tratamento especificadas suscetíveis de apresentar riscos específicos para os direitos e liberdades dos titulares de dados devido à sua natureza, âmbito e/ou finalidades.
1-A. Sempre que a autoridade de controlo determine, no âmbito das suas competências, que o tratamento a efetuar não cumpre as disposições adotadas por força da presente diretiva, em especial se os riscos não se encontrarem suficientemente identificados ou atenuados, proíbe o tratamento previsto e apresenta propostas adequadas para remediar essa falta de conformidade.
2. Os Estados-Membros podemdevem prever que a autoridade de controlo, após consulta do Comité Europeu para a Proteção de Dados, estabeleça uma lista das operações de tratamento de dados sujeitas a consulta prévia nos termos do n.º 1, alínea b).
2-A. Os Estados-Membros devem prever que o responsável pelo tratamento ou o subcontratante forneça à autoridade de controlo a avaliação de impacto sobre a proteção de dados nos termos do artigo 25.º-A e, quando solicitado, qualquer outra informação que permita à autoridade de controlo avaliar a conformidade do tratamento e, nomeadamente, os riscos para a proteção dos dados pessoais do titular dos dados e as respetivas garantias.
2-B. Se a autoridade de controlo for de opinião que o tratamento a efetuar não cumpre as disposições adotadas por força da presente diretiva, ou que os riscos não se encontram suficientemente identificados ou atenuados, apresenta propostas adequadas para remediar essa falta de conformidade.
2-C. Os Estados-Membros podem consultar a autoridade de controlo no quadro da preparação de uma medida legislativa a adotar pelo parlamento nacional, ou de uma medida baseada nessa medida legislativa, que defina a natureza do tratamento, a fim de assegurar a conformidade do tratamento previsto nos termos da presente diretiva e, em especial, atenuar os riscos que comporta para os titulares de dados. [Alt. 89]
SECÇÃO 2
SEGURANÇA DOS DADOS
Artigo 27.º
Segurança do tratamento
1. Os Estados-Membros devem prever que o responsável pelo tratamento e o subcontratante apliquem os procedimentose as medidas técnicas e organizativas necessárias para assegurar um nível de segurança adaptado aos riscos que o tratamento representa e à natureza dos dados pessoais a proteger, atendendo às técnicas mais recentes e aos custos resultantes da sua aplicação.
2. No que respeita ao tratamento automatizado de dados, cada Estado-Membro deve prever que o responsável pelo tratamento ou o subcontratante, na sequência de uma avaliação de riscos, aplique medidas destinadas a:
a) Impedir o acesso de pessoas não autorizadas ao equipamento utilizado para o tratamento de dados pessoais (controlo de acesso ao equipamento);
b) Impedir que os suportes de dados possam ser lidos, copiados, alterados ou retirados sem autorização (controlo dos suportes de dados);
c) Impedir a introdução não autorizada de dados, bem como qualquer inspeção, alteração ou apagamento não autorizados de dados pessoais registados (controlo da conservação);
d) Impedir que os sistemas de tratamento automatizado de dados sejam utilizados por pessoas não autorizadas por meio de equipamentos de transmissão de dados (controlo dos utilizadores);
e) Assegurar que as pessoas autorizadas a utilizar o sistema de tratamento automatizado de dados apenas tenham acesso aos dados abrangidos pela sua autorização de acesso (controlo de acesso aos dados);
f) Assegurar que possa ser verificado e determinado a que instâncias os dados pessoais foram ou podem ser transmitidos ou facultados utilizando equipamentos de comunicação de dados (controlo da comunicação);
g) Assegurar que possa ser verificado e estabelecido a posteriori quais foram os dados pessoais introduzidos nos sistemas de tratamento automatizado de dados, quando e por quem (controlo da introdução);
h) Impedir que, durante as transferências de dados pessoais ou o transporte de suportes de dados, os dados possam ser lidos, copiados, alterados ou suprimidos de forma não autorizada (controlo do transporte);
i) Assegurar que os sistemas utilizados possam ser restaurados em caso de interrupção (recuperação);
j) Assegurar que as funções do sistema funcionem, que os erros de funcionamento sejam assinalados (fiabilidade) e que os dados pessoais conservados não possam ser falseados por um disfuncionamento do sistema (integridade);
j-A) Assegurar que, no caso de tratamento de dados pessoais sensíveis de acordo com o artigo 8.º, tenham sido tomadas medidas de segurança adicionais para garantir o conhecimento da situação de risco e a capacidade de adotar medidas preventivas, corretivas e atenuantes, em tempo quase real, contra vulnerabilidades ou incidentes detetados que possam constituir um risco para os dados.
2-A. Os Estados-Membros estabelecem que o subcontratante só pode ser nomeado se oferecer garantias suficientes de que toma as medidas de segurança técnica e de organização necessárias a que se refere o n.º 1 e cumpre as instruções previstas no artigo 21.º, n.º 2, alínea a). A autoridade competente deve inspecionar o subcontratante nesse sentido.
3. A Comissão pode adotar, se necessário, atos de execução a fim de especificar os requisitos previstos nos n.os 1 e 2 aplicáveis às várias situações, particularmente normas de cifragem. Esses atos de execução são adotados em conformidade com o procedimento de exame previsto no artigo 57.º, n.º 2. [Alt. 90]
Artigo 28.º
Notificação da violação de dados pessoais à autoridade de controlo
1. Os Estados-Membros devem prever que, em caso de violação de dados pessoais, o responsável pelo tratamento notifique desse facto a autoridade de controlo, sem demora injustificada e, sempre que possível, o mais tardar no prazo de 24 horas após ter tido conhecimento da mesma. Em caso a notificação seja transmitida após esse prazo,de atraso, o responsável pelo tratamento deve apresentar uma justificação à autoridade de controlo, a pedido desta.
2. O subcontratante deve alertar e informar o responsável pelo tratamento imediatamentesem demora injustificada após ter conhecimentoa deteção de uma violação de dados pessoais.
3. A notificação referida no n.º 1 deve, pelo menos:
a) Descrever a natureza de violação dos dados pessoais, incluindo as categorias e o número de titulares de dados afetados, bem como as categorias e o número de registos de dados em causa;
b) Comunicar a identidade e os contactos do delegado para a proteção de dados referido no artigo 30.°, ou de outro ponto de contacto onde possam ser obtidas informações adicionais;
c) Recomendar medidas destinadas a atenuar os eventuais efeitos adversos da violação de dados pessoais;
d) Descrever as consequências eventuais da violação de dados pessoais;
e) Descrever as medidas propostas ou adotadas pelo responsável pelo tratamento para remediar a violação de dados pessoais e atenuar os seus efeitos.
Caso seja impossível fornecer todas as informações sem demora injustificada, o responsável pelo tratamento pode completar a notificação numa segunda fase.
4. Os Estados-Membros devem prever que o responsável pelo tratamento conserve documentação sobre qualquer violação de dados pessoais, incluindo os factos relacionados com a mesma, os respetivos efeitos e a medida de reparação adotada. Essa documentação deve ser suficiente para permitir à autoridade de controlo verificar o respeito do disposto no presente artigo. A documentação deve incluir apenas as informações necessárias para esse efeito.
4-A. A autoridade de controlo deve manter um registo público dos tipos de violações notificadas.
5. São conferidas competências à Comissão para adotar, após requerer um parecer ao Comité Europeu para a Proteção de Dados, atos delegados nos termos do artigo 56.º, a fim de especificar mais concretamente os critérios e requisitos aplicáveis à determinação da violação de dados referida nos n.ºs 1 e 2, e às circunstâncias particulares em que um responsável pelo tratamento e um subcontratante são obrigados a notificar a violação de dados pessoais.
6. A Comissão pode definir um formato normalizado para essa notificação à autoridade de controlo, os procedimentos aplicáveis ao requisito de notificação, bem como o formulário e as modalidades para a documentação referida no n.º 4, incluindo os prazos para o apagamento das informações aí contidas. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 57.º, n.º 2. [Alt. 91]
Artigo 29.º
Comunicação de uma violação de dados pessoais ao titular dos dados
1. Os Estados-Membros devem prever que, sempre que a violação de dados pessoais for suscetível de afetar negativamente a proteção dos dados pessoais ou, a privacidade, os direitos ou os interesses legítimos do titular dos dados, o responsável pelo tratamento, após a notificação a que se refere o artigo 28.º, comunica a violação de dados pessoais à pessoa em causa sem demora injustificada.
2. A comunicação ao titular dos dados referida no n.º 1 deve ser abrangente e utilizar uma linguagem clara e simples. Deve descrever a natureza da violação dos dados pessoais e incluir, pelo menos, as informações e recomendações previstas no artigo 28.º, n.º 3, alíneas b) e, c) e d) e informações sobre os direitos do titular de dados, incluindo o direito de recurso.
3. A comunicação de uma violação de dados pessoais ao seu titular não deve ser exigida se o responsável pelo tratamento demonstrar cabalmente, a contento da autoridade competente, que adotou as medidas de proteção tecnológica adequadas e que estas foram aplicadas aos dados a que a violação diz respeito. Essas medidas de proteção tecnológica devem tornar os dados incompreensíveis para qualquer pessoa que não esteja autorizada a aceder a esses dados.
3-A. Sem prejuízo da obrigação que incumbe ao responsável pelo tratamento de notificar o titular dos dados da violação dos seus dados pessoais, se o primeiro não tiver já comunicado a violação de dados pessoais à pessoa em causa, a autoridade de controlo, atendendo aos efeitos negativos prováveis dessa violação, pode exigir que proceda a essa notificação.
4. A comunicação ao titular dos dados pode ser adiada ou limitada pelos motivos referidos no artigo 11.º, n.º 4. [Alt. 92]
SECÇÃO 3
DELEGADO PARA A PROTEÇÃO DE DADOS
Artigo 30.º
Designação do delegado para a proteção de dados
1. Os Estados-Membros devem prever que o responsável pelo tratamento ou o subcontratante designem um delegado para a proteção de dados.
2. O delegado para a proteção de dados é designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio da legislação e das práticas a nível da proteção de dados, e na sua capacidade para cumprir as funções referidas no artigo 32.º. O nível de conhecimentos especializados necessários é determinado, em particular, em função do tratamento de dados realizado e da proteção exigida para os dados pessoais tratados pelo responsável pelo tratamento ou pelo subcontratante.
2-A. Os Estados-Membros devem prever que o responsável pelo tratamento ou o subcontratante assegure que quaisquer outras funções profissionais que incumbem ao delegado para a proteção de dados sejam compatíveis com as atribuições e funções dessa pessoa na qualidade de delegado para a proteção de dados e não impliquem um conflito de interesses.
2-B. O delegado para a proteção dos dados é nomeado por um período mínimo de quatro anos. O mandato do delegado para a proteção de dados pode ser renovado. No decurso do seu mandato, o delegado para a proteção de dados apenas pode ser exonerado se tiver deixado de cumprir as condições exigidas para o exercício das suas funções.
2-C. Os Estados-Membros devem reconhecer ao titular de dados o direito de entrar em contacto com o delegado para a proteção de dados relativamente a qualquer assunto respeitante ao tratamento dos seus dados pessoais.
3. O delegado para a proteção de dados pode ser designado para várias entidades, tendo em conta a estrutura organizativa da autoridade competente.
3-A. Os Estados-Membros devem prever que o responsável pelo tratamento ou o subcontratante comuniquem o nome e os contactos do delegado para a proteção de dados à autoridade de controlo e ao público. [Alt. 93]
Artigo 31.º
Função do delegado para a proteção de dados
1. Os Estados-Membros devem prever que o responsável pelo tratamento ou o subcontratante assegure que o delegado para a proteção de dados seja associado, de forma adequada e em tempo útil, a todas as matérias relacionadas com a proteção de dados pessoais.
2. O responsável pelo tratamento ou o subcontratante deve assegurar que o delegado para a proteção de dados dispõe dos meios para desempenhar as suas funções e atribuições referidas no artigo 32.º, de forma eficaz e independente, e que não recebe quaisquer instruções relativas ao exercício da sua função.
2-A. O responsável pelo tratamento ou o subcontratante apoiam o delegado para a proteção de dados no exercício das suas funções e devem fornecer todos os meios, incluindo pessoal, instalações, equipamentos, formação profissional contínua e quaisquer outros recursos necessários ao exercício das funções e atribuições referidas no artigo 32.º e à manutenção dos seus conhecimentos profissionais. [Alt. 94]
Artigo 32.º
Atribuições do delegado para a proteção de dados
Os Estados-Membros devem prever que o responsável pelo tratamento ou o subcontratante confie ao delegado para a proteção de dados, pelo menos, as seguintes atribuições:
a) Sensibilizar, informar e aconselhar o responsável pelo tratamento ou o subcontratante sobre as suas obrigações em aplicação das disposições adotadas em conformidade com a presente diretiva, em particular no que se refere a medidas e procedimentos técnicos e organizativos, e conservar documentação sobre esta atividade e as respostas recebidas;
b) Controlar a execução e a aplicação das regras internas em matéria de proteção de dados, incluindo a repartição das responsabilidades, a formação do pessoal que participa nas operações de tratamento e nas auditorias correspondentes;
c) Controlar a execução e a aplicação das disposições adotadas em conformidade com a presente diretiva, em especial quanto aos requisitos relacionados com a proteção de dados desde a conceção, a proteção de dados por defeito e a segurança de dados, bem como às informações dos titulares dos dados e exame dos pedidos para exercer os seus direitos ao abrigo das disposições adotadas em conformidade com a presente diretiva;
d) Assegurar que a documentação referida no artigo 23.º é conservada;
e) Acompanhar a documentação, a notificação e a comunicação relativas a violações de dados pessoais, nos termos dos artigos 28.º e 29.º;
f) Acompanhar a aplicação da avaliação de impacto sobre a proteção de dados pelo responsável pelo tratamento ou pelo subcontratante e verificar se os pedidos de consulta prévia foram apresentados à autoridade de controlo, caso esta seja necessária nos termos do artigo 26.º, n.º 1;
g) Acompanhar a resposta aos pedidos da autoridade de controlo e, no âmbito da competência do delegado para a proteção de dados, cooperar com a autoridade de controlo, a pedido desta ou por iniciativa do próprio delegado para a proteção de dados;
h) Atuar como ponto de contacto para a autoridade de controlo sobre assuntos relacionados com o tratamento, e consultar esta autoridade, se for caso disso, por sua própria iniciativa. [Alt. 95]
CAPÍTULO V
TRANSFERÊNCIA DE DADOS PESSOAIS PARA PAÍSES TERCEIROS OU ORGANIZAÇÕES INTERNACIONAIS
Artigo 33.º
Princípios gerais das transferências de dados pessoais
Os Estados-Membros devem prever que qualquer transferência, pelas autoridades competentes, de dados pessoais objeto de tratamento ou que se destinem a ser tratadas após a sua transferência para um país terceiro, ou para uma organização internacional, incluindo uma transferência ulterior para outro país terceiro ou outra organização internacional, só pode ser efetuada se:
a) A transferência específica for necessária para fins de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais; e
a-A) Os dados forem transferidos para um responsável pelo tratamento num país terceiro ou numa organização internacional que seja uma autoridade competente para os efeitos referidos no artigo 1.º, n.º 1; e
a-B) As condições estabelecidas no presente capítulo forem respeitadas pelo responsável pelo tratamento e pelo subcontratante, incluindo para as transferências ulteriores de dados pessoais do país terceiro ou da organização internacional para outro país terceiro ou outra organização internacional; e
b) As condições estabelecidas no outras disposições adotadas em conformidade com a presente capítulodiretiva forem cumpridas pelo responsável pelo tratamento e pelo subcontratante; e
b-A) O nível de proteção dos dados de pessoas singulares assegurado na União pela presente diretiva continuar a ser garantido; e
b-B) A Comissão tiver decidido, em cumprimento das condições e dos procedimentos previstos no artigo 34.º, que o país terceiro ou a organização internacional em questão garante um nível de proteção adequado; ou
b-C) Tiverem sido apresentadas garantias adequadas no que diz respeito à proteção de dados pessoais mediante um instrumento vinculativo, em conformidade com o artigo 35.º;
Os Estados-Membros devem prever que as transferências ulteriores referidas no n.º 1 do presente artigo possam apenas ocorrer se, além das condições apresentadas nesse número:
a) A transferência ulterior for necessária para a mesma finalidade específica da transferência original; e
b) A autoridade competente que realizou a transferência original autorizar a transferência ulterior. [Alt. 96]
Artigo 34.º
Transferências acompanhadas de uma decisão de adequação
1. Os Estados-Membros devem prever que uma transferência de dados pessoais para um país terceiro ou uma organização internacional pode ser efetuada sempre que a Comissão tiver declarado, mediante decisão, em conformidade com o artigo 41.º do Regulamento (UE) …./2012, ou em conformidade com o n.º 3 deste artigo, que o país terceiro, um território ou um setor de tratamento nesse país terceiro, ou a organização internacional em causa, garante um nível de proteção adequado. Esta transferência não exige nenhuma autorização suplementarespecífica.
2. Na falta de uma decisão adotada por força do artigo 41.º do Regulamento (UE) …./2012,Ao avaliar o nível de proteção adequado, a Comissão deve avaliar a adequação do nível de proteção tendoter em conta os seguintes elementos:
a) O primado do Estado de direito, a legislação relevante em vigor, geral ou setorial, incluindo no que respeita à segurança pública, à defesa, à segurança nacional e ao direito penal, bem como à aplicação desta legislação e às medidas de segurança que são respeitadas nesse país ou por essa organização internacional, os precedentes jurisprudenciais, bem como a existência de direitos efetivos e oponíveis, incluindo vias de recurso administrativo e judicial para os titulares de dados, nomeadamente para as pessoas residentes na União cujos dados pessoais sejam objeto de transferência;
b) A existência e o funcionamento efetivo de uma ou mais autoridades de controlo independentes no país terceiro ou na organização internacional em causa, responsáveis por assegurar o respeito das regras de proteção de dados, incluindo poderes sancionatórios suficientes, assistir e aconselhar o titular de dados no exercício dos seus direitos, e cooperar com as autoridades de controlo da União e dos Estados-Membros; e
c) Os compromissos internacionais assumidos pelo país terceiro ou pela organização internacional, em particular quaisquer convenções ou instrumentos vinculativos respeitantes à proteção de dados pessoais.
3. ASão conferidas competências à Comissão podepara adotar, após requerer um parecer ao Comité Europeu para a Proteção de Dados, atos delegados nos termos do artigo 56.º, a fim de decidir, nos limites da presente diretiva, que um país terceiro, um território, ou um setor de tratamento dentro desse país terceiro, ou uma organização internacional, garante um nível de proteção adequado na aceção do n.º 2. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 57.º, n.º 2.
4. O ato de execuçãodelegado deve especificar o âmbito de aplicação geográfico e setorial e, se for caso disso, identificar a autoridade de controlo referida no n.º 2, alínea b).
4-A. A Comissão deve acompanhar de forma permanente os desenvolvimentos que possam afetar o cumprimento dos elementos enunciados no n.º 2 em países terceiros e em organizações internacionais, em relação aos quais tenham sido adotados atos delegados nos termos do n.º 3.
5. ASão conferidas competências à Comissão podepara adotar atos delegados nos termos do artigo 56.º, a fim de decidir, nos limites da presente diretiva, que um país terceiro, um território ou um setor de tratamento nesse país terceiro, ou uma organização internacional, não assegura um nível de proteção adequado na aceção do n.º 2, em especial nos casos em que a legislação relevante, quer de caráter geral ou setorial, em vigor no país terceiro ou na organização internacional, não assegura direitos efetivos e oponíveis, incluindo vias de recurso administrativo e judicial para os titulares de dados, nomeadamente para as pessoas residentes no território da União cujos dados pessoais sejam objeto de transferência. Os atos de execução correspondentes são adotados em conformidade com o procedimento de exame referido no artigo 57.º, n.º 2, ou, em casos de extrema urgência para as pessoas singulares no que se refere ao seu direito de proteção de dados pessoais, em conformidade com o procedimento referido no artigo 57.º, n.º 3.
6. Os Estados-Membros devem assegurar que, sempre que a Comissão adote uma decisão por força do n.º 5, segundo a qual qualquer transferência de dados pessoais para o país terceiro, um território ou um setor de tratamento nesse país terceiro, ou organização internacional em causa éseja proibida, tal decisão não prejudique transferências efetuadas nos termos do artigo 35.º, n.º 1, ou em conformidade com o artigo 36.º. Em momento oportuno, a Comissão deve encetar negociações com o país terceiro ou a organização internacional com vista a remediar a situação resultante da decisão adotada nos termos do n.º 5.
7. A Comissão publica no Jornal Oficial da União Europeia uma lista dos países terceiros, territórios e setores de tratamento num país terceiro e de organizações internacionais relativamente aos quais tenha declarado, mediante decisão, que asseguram ou não um nível de proteção adequado.
8. A Comissão deve acompanhar a aplicação dos atos de execuçãodelegados referidos nos n.ºs 3 e 5. [Alt. 97]
Artigo 35.º
Transferências mediante garantias adequadas
1. Sempre que a Comissão não tenha tomado qualquer decisão nos termos do artigo 34.º, os Estados-Membros devem prever que uma transferência deou decida que um país terceiro, ou um território desse país terceiro ou uma organização internacional não assegura um nível de proteção de dados adequado em conformidade com o artigo 34.º, n.º 5, um responsável pelo tratamento ou um subcontratante não pode transferir dados pessoais para um país terceiro, ou um território desse país terceiro ou uma organização internacional só pode ser efetuadaa menos que tenha apresentado garantias adequadas quanto à proteção de dados pessoais num instrumento vinculativo.
a) Tiverem sido apresentadas garantias adequadas no que diz respeito à proteção de dados pessoais mediante um instrumento vinculativo; ou
b) O responsável pelo tratamento ou o subcontratante tiver avaliado todas as circunstâncias inerentes à operação de transferência de dados pessoais e concluir existirem garantias adequadas relativamente à proteção de dados pessoais.
12. A decisão de transferência nos termos do n.º 1, alínea b), deve ser adotada por pessoal devidamente autorizado. Qualquer transferência desse tipo deve ser fundamentada mediante documentação, que deve ser disponibilizada à autoridade de controlo, se solicitadaautorizada pela autoridade de controlo antes da sua realização. [Alt. 98]
Artigo 36.º
Derrogações
1. Caso a Comissão verifique, em conformidade com o artigo 34.º, n.º 5, que não existe um nível de proteção adequado, a transferência de dados pessoais para o país terceiro ou a organização internacional não pode ser efetuada se, nesse caso específico, os interesses legítimos do titular dos dados relativamente ao cancelamento da transferência superarem o interesse público relativamente à mesma.
2. Em derrogação aos artigos 34.º e 35.º, os Estados-Membros devem prever que uma transferência de dados pessoais para um país terceiro ou uma organização internacional só pode ser efetuada:
a) Se for necessária para proteger os interesses vitais do titular dos dados ou de outra pessoa; ou
b) Se for necessária para proteger os interesses legítimos do titular dos dados sempre que a legislação do Estado-Membro que transfere os dados pessoais o preveja; ou
c) Se for essencial para a prevenção de uma ameaça imediata e grave contra a segurança pública de um Estado-Membro ou de um país terceiro; ou
d) Se for necessária em casos particulares para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais; ou
e) Se for necessária em casos particulares tendo em vista a confirmação, exercício ou defesa de um direito no âmbito de um processo judicial relacionado com a prevenção, investigação, deteção ou repressão de uma infração penal específica ou a execução de uma sanção penal específica.
2-A. O tratamento com base no n.º 2 deve ter uma base jurídica no direito da União ou na legislação do Estado-Membro a que o responsável pelo tratamento esteja sujeito; essa legislação deve responder a um objetivo de interesse público ou à necessidade de proteger os direitos e liberdades das pessoas, ser conforme com o conteúdo essencial do direito à proteção de dados pessoais e ser proporcional ao objetivo legítimo perseguido.
2-B. Todas as transferências de dados pessoais decididas com base em derrogações devem ser devidamente justificadas e limitadas ao estritamente necessário, não sendo permitidas transferências de dados frequentes e massivas.
2-C. A decisão de transferência nos termos do n.º 2 deve ser adotada por pessoal devidamente autorizado. Essas transferências devem ser documentadas, devendo a documentação ser disponibilizada à autoridade de controlo, a pedido desta, incluindo a data e hora da transferência, informações acerca da autoridade de destino, a justificação da transferência e os dados transferidos. [Alt. 99]
Artigo 37.º
Condições específicas aplicáveis à transferência de dados pessoais
Os Estados-Membros devem prever que o responsável pelo tratamento informe o destinatário dos dados pessoais de qualquer limitação do tratamento e que adote todas as medidas razoáveis a fim de assegurar que tais limitações sejam respeitadas.
O responsável pelo tratamento deve também notificar o destinatário dos dados pessoais de qualquer atualização, retificação ou apagamento de dados, e o destinatário deve, pelo seu lado, proceder à notificação correspondente, caso os dados tenham sido transferidos posteriormente. [Alt. 100]
Artigo 38.º
Cooperação internacional no domínio da proteção de dados pessoais
1. Em relação a países terceiros e a organizações internacionais, a Comissão e os Estados-Membros devem adotar as medidas necessárias para:
a) Elaborar mecanismos de cooperação internacionais eficazes visando facilitarassegurar a aplicação da legislação relativa à proteção de dados pessoais; [Alt. 101]
b) Prestar assistência mútua a nível internacional no domínio da aplicação da legislação de proteção de dados pessoais, incluindo através da notificação, transmissão das queixas, assistência na investigação e intercâmbio de informações, sob reserva das garantias adequadas para a proteção dos dados pessoais e outros direitos e liberdades fundamentais;
c) Associar as partes interessadas relevantes nas discussões e atividades com vista à promoção da cooperação internacional na aplicação da legislação relativa à proteção de dados pessoais;
d) Promover o intercâmbio e a documentação da legislação e das práticas em matéria de proteção de dados pessoais;
d-A) Clarificar e proceder a consultas sobre conflitos jurisdicionais com países terceiros. [Alt. 102]
2. Para efeitos da aplicação do n.º 1, a Comissão deve adotar as medidas necessárias para intensificar as relações com os países terceiros ou as organizações internacionais e, em especial, as suas autoridades de controlo, sempre que a Comissão tiver declarado, mediante decisão, que asseguram um nível de proteção adequado na aceção do artigo 34.º, n.º 3.
Artigo 38.º-A
Relatório da Comissão
A Comissão apresenta regularmente ao Parlamento Europeu e ao Conselho um relatório sobre a aplicação dos artigos 33.º a 38.º. O primeiro relatório é apresentado o mais tardar quatro anos após a entrada em vigor da presente diretiva. Para esse efeito, a Comissão pode solicitar informações aos Estados-Membros e às autoridades reguladoras nacionais, que fornecem essas informações sem atrasos indevidos. O relatório é objeto de publicação. [Alt. 103]
CAPÍTULO VI
AUTORIDADES DE CONTROLO INDEPENDENTES
SECÇÃO 1
ESTATUTO INDEPENDENTE
Artigo 39.º
Autoridade de controlo
1. Cada Estado-Membro deve prever que uma ou mais autoridades públicas sejam responsáveis pela fiscalização da aplicação das disposições adotadas nos termos da presente diretiva e por contribuir para a sua aplicação coerente no conjunto da União, a fim de proteger os direitos e liberdades fundamentais das pessoas singulares relativamente ao tratamento dos seus dados pessoais e facilitar a livre circulação desses dados na União. Para esse efeito, as autoridades de controlo devem cooperar entre si e com a Comissão.
2. Os Estados-Membros podem prever que a autoridade de controlo instituída nos Estados-Membros em conformidade com o Regulamento (EU)…./2014 assuma as funções de autoridade de controlo a definir nos termos do n.º 1 do presente artigo.
3. Sempre que um Estado-Membro institui várias autoridades de controlo, deve designar aquela que funciona como ponto de contacto único tendo em vista uma participação efetiva dessas autoridades no Comité Europeu para a Proteção de Dados.
Artigo 40.º
Independência
1. Os Estados-Membros devem assegurar que a autoridade de controlo exerça com total independência as funções e poderes que lhe forem atribuídos, sem prejuízo de acordos de cooperação nos termos do capítulo VII da presente diretiva. [Alt. 104]
2. Cada Estado-Membro deve prever que os membros da autoridade de controlo, no exercício das suas funções, não solicitam nem aceitam instruções de outrem e mantêm total independência e imparcialidade. [Alt. 105]
3. Os membros da autoridade de controlo devem abster-se de praticar qualquer ato incompatível com as suas funções e, durante o seu mandato, não podem desempenhar qualquer atividade profissional, remunerada ou não.
4. Após cessarem as suas funções, os membros da autoridade de controlo devem agir com integridade e discrição relativamente à aceitação de determinadas funções e benefícios.
5. Cada Estado-Membro deve assegurar que a autoridade de controlo dispõe de recursos humanos, técnicos e financeiros apropriados, bem como de instalações e infraestruturas, necessários à execução eficaz das suas funções e poderes, incluindo os executados no contexto da assistência mútua, cooperação e participação ativa no Comité Europeu para a Proteção de Dados.
6 Cada Estado-Membro deve assegurar que a autoridade de controlo dispõe do seu próprio pessoal, que é designado pelo diretor da autoridade de controlo e está sujeito às suas ordens.
7. Os Estados-Membros devem assegurar que a autoridade de controlo fica sujeita a um controlo financeiro que não afete a sua independência. Os Estados-Membros garantem que a autoridade de controlo disponha de orçamentos anuais próprios. Os orçamentos serão objeto de publicação.
Artigo 41.º
Condições gerais aplicáveis aos membros da autoridade de controlo
1. Os Estados-Membros devem prever que os membros da autoridade de controlo sejam nomeados pelos respetivos parlamentos ou governos.
2. Os membros são escolhidos de entre pessoas que ofereçam todas as garantias de independência e cuja experiência e conhecimentos técnicos necessários para o exercício das suas funções seja comprovada.
3. As funções de um membro cessam findo o termo do seu mandato, demissão ou destituição, nos termos do n.º 5.
4. Um membro pode ser declarado demissionário ou privado do seu direito à pensão ou a outros benefícios equivalentes por decisão de um tribunal nacional competente se deixar de preencher os requisitos necessários ao exercício das suas funções ou tiver cometido uma falta grave.
5. Um membro cujo mandato termine ou que se demita deve continuar a exercer as suas funções até à nomeação de um novo membro.
Artigo 42.º
Regras relativas à constituição da autoridade de controlo
Cada Estado-Membro deve prever, por via legislativa:
a) A constituição e o estatuto da autoridade de controlo, nos termos dos artigos 39.º e 40.º;
b) As qualificações, a experiência e as competências para o exercício das funções de membro da autoridade de controlo;
c) As regras e os procedimentos para a nomeação dos membros da autoridade de controlo, bem como as regras relativas a ações ou atividades profissionais incompatíveis com a função;
d) A duração do mandato dos membros da autoridade de controlo, que não pode ser inferior a quatro anos, salvo no que se refere ao primeiro mandato após a entrada em vigor da presente diretiva, que pode ter uma duração mais curta;
e) O caráter renovável ou não do mandato dos membros da autoridade de controlo;
f) O estatuto e as condições comuns que regulam as funções dos membros e do pessoal da autoridade de controlo;
g) As regras e os procedimentos relativos à cessação das funções dos membros da autoridade de controlo, incluindo quando deixem de preencher os requisitos necessários ao exercício das suas funções ou se tiverem cometido uma falta grave.
Artigo 43.º
Sigilo profissional
Os Estados-Membros devem prever que os membros e o pessoal da autoridade de controlo ficam sujeitos, durante o respetivo mandato e após a sua cessação, e em conformidade com a legislação e a prática nacionais, à obrigação de sigilo profissional quanto a quaisquer informações confidenciais a que tenham tido acesso no desempenho das suas funções oficiais, desempenhando as suas funções com independência e transparência, conforme previsto na presente diretiva. [Alt. 106]
SECÇÃO 2
FUNÇÕES E PODERES
Artigo 44.º
Competência
1. Os Estados-Membros devem prever que cada autoridade de controlo exerceseja competente para o desempenho das suas funções e para o exercício, no território do seu Estado-Membro, osdos poderes que lhe são conferidos em conformidade com a presente diretiva. [Alt. 107]
2. Os Estados-Membros devem prever que a autoridade de controlo não tem competência para controlar operações de tratamento efetuadas por tribunais que atuem no exercício da sua função jurisdicional.
Artigo 45.º
Funções
1. Os Estados-Membros devem prever que incumbe à autoridade de controlo:
a) Controlar e assegurar a aplicação das disposições adotadas em conformidade com a presente diretiva e das suas medidas de execução;
b) Receber as queixas apresentadas por qualquer titular de dados ou por uma associação que o representenos termos do artigo 50.º, examinar a matéria, na medida do necessário, e informar o titular de dados ou a associação do andamento e do resultado da queixa num prazo razoável, em especial se forem necessárias operações de investigação ou de coordenação complementares com outra autoridade de controlo;
c) Verificar a licitude do tratamento dos dados nos termos do artigo 14.º, e informar o titular de dados num período razoável do resultado da verificação ou dos motivos que impediram a sua realização;
d) Prestar assistência mútua a outras autoridades de controlo e assegurar a coerência da aplicação e execução das disposições adotadas nos termos da presente diretiva;
e) Conduzir investigações, inspeções e auditorias por sua própria iniciativa ou com base numa queixa ou a pedido de outra autoridade de controlo, e informar o titular dos dados, num prazo razoável, do resultado das operações de investigação;
f) Acompanhar factos novos relevantes, na medida em que tenham incidência na proteção de dados pessoais, particularmente a evolução a nível das tecnologias da informação e das comunicações e das práticas comerciais;
g) Ser consultada pelas instituições e organismos do Estado-Membro quanto a medidas legislativas e administrativas relacionadas com a proteção dos direitos e liberdades no que diz respeito ao tratamento de dados pessoais;
h) Ser consultada sobre as operações de tratamento nos termos do artigo 26.º;
i) Participar nas atividades do Comité Europeu para a Proteção de Dados.
2. Cada autoridade de controlo deve promover a sensibilização do público sobre os riscos, regras, garantias, e direitos associados ao tratamento de dados pessoais. As atividades especificamente dedicadas às crianças devem ser objeto de uma atenção especial.
3. A autoridade de controlo deve, a pedido, aconselhar qualquer titular de dados sobre o exercício dos seus direitos decorrentes da presente diretiva e, se for caso disso, coopera com as autoridades de controlo de outros Estados-Membros para esse efeito.
4. No que respeita às queixas referidas no n.º 1, alínea b), a autoridade de controlo deve fornecer um formulário de queixa, que possa ser preenchido eletronicamente, sem excluir outros meios de comunicação.
5. Os Estados-Membros devem prever que o desempenho das funções da autoridade de controlo é gratuito para o titular dos dados.
6. Sempre que os pedidos sejam manifestamente abusivosexcessivos, particularmente devido ao seu caráter repetitivo, a autoridade de controlo pode exigir o pagamento de uma taxa, ou não adotar as medidas solicitadas pelo titular dos dadosrazoável. Essa taxa não deve exceder os custos de adoção da ação solicitada. Incumbe à autoridade de controlo o ónus de provar o caráter manifestamente abusivoexcessivo do pedido. [Alt. 108]
Artigo 46.º
Poderes
1. Os Estados-Membros devem prever que cada autoridade de controlo esteja habilitada a exercer os seguintes poderestenha o poder de:
a) Poder de investigação, nomeadamente aceder aos dados objeto de tratamento e recolher todas as informações necessárias ao desempenho das suas funções de controloNotificar o responsável pelo tratamento ou o subcontratante de uma alegada violação das disposições que regulam o tratamento de dados pessoais e, se for caso disso, ordenar que o responsável pelo tratamento ou o subcontratante sanem essa violação, através de medidas específicas, a fim de melhorar a proteção do titular dos dados;
b) Poder efetivo de intervenção, nomeadamente emitir pareceres previamente ao tratamento de dados e assegurar a publicação adequada desses pareceres, ordenar a limitação, o apagamento ou a destruição dos dados, proibir temporária ou definitivamente um tratamento, dirigir uma advertência ou uma admoestação ao responsável pelo tratamento ou remeter a questão para os parlamentos nacionais ou para outras instituições políticasOrdenar ao responsável pelo tratamento que satisfaça os pedidos de exercício de direitos apresentados pelo titular dos dados previstos na presente diretiva, mormente os referidos nos artigos 12.º a 17.º, quando esses pedidos tenham sido indeferidos em violação das referidas disposições;
c) Poder de intervir em processos judiciais em caso de violação das disposições nacionais adotadas em aplicação da presente diretiva ou de levar essa violação ao conhecimento das autoridades judiciaisOrdenar ao responsável pelo tratamento ou ao subcontratante que forneça informações, nos termos dos artigos 10.º, n.ºs 1 e 2, 11.º, 28.º e 29.º;
d) Assegurar o respeito dos pareceres sobre a consulta prévia referida no artigo 26.º;
e) Advertir ou admoestar o responsável pelo tratamento ou o subcontratante;
f) Ordenar a retificação, o apagamento ou a destruição de todos os dados que tenham sido objeto de tratamento em violação das disposições adotadas em aplicação da presente diretiva, bem como a notificação dessas medidas a terceiros a quem tenham sido divulgados os dados;
g) Proibir temporária ou definitivamente um tratamento de dados;
h) Suspender o intercâmbio de dados com um destinatário num país terceiro ou com uma organização internacional;
i) Informar os parlamentos nacionais, os governos ou outras instituições públicas, bem como o público, sobre o assunto.
2. Cada autoridade de controlo tem o poder de investigação para obter do responsável pelo tratamento ou do subcontratante:
a) O acesso a todos os dados pessoais e a todas as informações necessárias ao exercício das suas funções de controlo;
b) O acesso a todas as suas instalações, incluindo a qualquer equipamento e meios de tratamento de dados, em conformidade com a legislação nacional, sempre que existir um motivo razoável para presumir que aí é exercida uma atividade contrária às disposições adotadas em aplicação da presente diretiva, sem prejuízo da obtenção de uma autorização judiciária, se tal for requerido pelas leis nacionais.
3. Sem prejuízo do artigo 43.º, os Estados-Membros devem prever que não sejam aplicados requisitos adicionais em matéria de sigilo a pedido das autoridades de controlo.
4. Os Estados-Membros podem prever a obrigatoriedade de um controlo adicional de segurança, em conformidade com a legislação nacional, para aceder a informações com a classificação CONFIDENCIAL UE ou superior. Caso não seja necessário qualquer controlo adicional de segurança nos termos da legislação do Estado-Membro da autoridade de controlo competente, tal deve ser reconhecido por todos os outros Estados-Membros.
5. Cada autoridade de controlo é competente para chamar a atenção das autoridades judiciais para a violação das disposições adotadas em aplicação da presente diretiva e para intervir em processos judiciais e intentar uma ação em tribunal, nos termos do artigo 53.º, n.º 2.
6. Cada autoridade de controlo é competente para impor sanções em caso de infrações administrativas. [Alt. 109]
Artigo 46.º-A
Comunicação das infrações
1. Os Estados-Membros devem prever que as autoridades de controlo tenham em conta as orientações formuladas pelo Comité Europeu para a Proteção de Dados nos termos do artigo 66.º, n.º 4-B, do Regulamento (UE) n.º .../2014, e instituir mecanismos eficazes para incentivar a comunicação confidencial das infrações à presente diretiva.
2. Os Estados-Membros devem prever que as autoridades competentes instituam mecanismos eficazes para incentivar a comunicação confidencial das infrações à presente diretiva. [Alt. 110]
Artigo 47.º
Relatório de atividades
Os Estados-Membros devem prever que cada autoridade de controlo elabore um relatório anual de atividades no mínimo de dois em dois anos. O relatório é disponibilizado ao público, ao parlamento respetivo, à Comissão e ao Comité Europeu para a Proteção de Dados. Deve incluir informações sobre a medida em que as autoridades competentes, na sua jurisdição, acederam aos dados detidos por privados para efeitos de investigação ou repressão de infrações penais. [Alt. 111]
CAPÍTULO VII
COOPERAÇÃO
Artigo 48.º
Assistência mútua
1. Os Estados-Membros devem prever que as autoridades de controlo prestem entre si assistência mútua, a fim de executar e aplicar de forma coerente as disposições adotadas em conformidade com a presente diretiva, e que ponham em prática medidas para cooperar eficazmente entre si. A assistência mútua deve cobrir, em especial, pedidos de informação e de medidas de controlo, tais como pedidos de consulta prévia, de inspeção e de investigação.
2. Os Estados-Membros devem prever que a autoridade de controlo adote todas as medidas adequadas necessárias para satisfazer o pedido de outra autoridade de controlo. Essas medidas podem incluir, particularmente, a transmissão de informações úteis ou medidas de execução para fazer cessar ou proibir operações de tratamento de dados contrárias à presente diretiva, sem demora e dentro de um mês após a receção do pedido.
2-A. O pedido de assistência deve incluir todas as informações necessárias, incluindo a finalidade e as razões do pedido. As informações trocadas só devem ser utilizadas para os efeitos para que foram solicitadas.
2-B. Uma autoridade de controlo à qual tenha sido dirigido um pedido não pode recusar dar-lhe cumprimento, salvo se:
a) Não for competente para dar resposta ao pedido; ou
b) Dar seguimento ao pedido for incompatível com as disposições adotadas em conformidade com a presente diretiva.
3. A autoridade de controlo requerida deve informar a autoridade de controlo requerente dos resultados obtidos ou, consoante o caso, do andamento do dossiê ou das medidas adotadas para satisfazer o pedido da autoridade de controlo requerente.
3-A. As autoridades de controlo fornecem as informações solicitadas por outras autoridades de controlo através de meios eletrónicos, e dentro do prazo mais curto possível, mediante a utilização de um formato normalizado.
3-B. Não é cobrada qualquer taxa por qualquer medida tomada na sequência de um pedido de assistência mútua. [Alt. 112]
Artigo 48.º-A
Operações conjuntas
1. Os Estados-Membros devem prever que, a fim de reforçar a cooperação e a assistência mútua, as autoridades de controlo possam aplicar medidas de execução conjuntas e outras operações conjuntas nas quais membros ou pessoal pertencente às autoridades de controlo de outros Estados-Membros participem em operações no território de um Estado-Membro.
2. Os Estados-Membros devem prever que, nos casos em que as operações de tratamento possam prejudicar titulares de dados noutro Estado-Membro ou noutros Estados-Membros, a autoridade de controlo competente pode ser convidada a participar nas operações conjuntas. A autoridade de controlo competente pode convidar a autoridade de controlo de cada Estado-Membro em questão a participar na respetiva operação e, caso seja convidada, responde rapidamente ao pedido de uma autoridade de controlo de participar nas operações.
3. Os Estados-Membros devem estabelecer as modalidades práticas das ações de cooperação específicas. [Alt. 113]
Artigo 49.º
Atribuições do Comité Europeu para a Proteção de Dados
1. O Comité Europeu para a Proteção de Dados, instituído pelo Regulamento (UE)…./20122014, exerce as seguintes atribuições no que diz respeito ao tratamento de dados no âmbito de aplicação da presente diretiva:
a) Aconselhar a Comissãoas instituições da União sobre qualquer questão relacionada com a proteção de dados pessoais na UE, nomeadamente sobre qualquer projeto de alteração da presente diretiva;
b) Analisar, a pedido da Comissão, do Parlamento Europeu ou do Conselho ou por sua própria iniciativa ou por iniciativa de um dos seus membros, qualquer questão relativa à aplicação das disposições adotadas nos termos da presente diretiva e emitir diretrizes, recomendações e boas práticas destinadas às autoridades de controlo, a fim de incentivar a aplicação coerente dessas disposições, designadamente sobre a utilização dos poderes de execução;
c) Examinar a aplicação prática das diretrizes, recomendações e boas práticas referidas na alínea b) e informar regularmente a Comissão sobre esta matéria;
d) Comunicar à Comissão um parecer sobre a o nível de proteção assegurado por países terceiros ou por organizações internacionais;
e) Promover a cooperação e o intercâmbio bilateral e plurilateral efetivo de informações e práticas entre as autoridades de controlo, incluindo a coordenação de operações conjuntas e de outras atividades conjuntas, sempre que assim o decida a pedido de uma ou mais autoridades de controlo;
f) Promover programas de formação comuns e facilitar o intercâmbio de pessoal entre as autoridades de controlo, bem como com as autoridades de controlo de países terceiros ou de organizações internacionais, se for caso disso;
g) Promover o intercâmbio de conhecimentos e de documentação em relação a práticas e legislação no domínio da proteção de dados com autoridades de controlo de todos os países;
g-A) Dar o seu parecer à Comissão no quadro da elaboração de atos delegados e de atos de execução nos termos da presente diretiva.
2. Sempre que Parlamento Europeu, o Conselho ou a Comissão consultarem o Comité Europeu para a Proteção de Dados, podem fixar um prazo para a formulação do referido parecer, tendo em conta a urgência da questão.
3. O Comité Europeu para a Proteção de Dados transmite os seus pareceres, diretrizes e boas práticas à Comissão e ao comité referido no artigo 57.º, n.º 1, e procede à sua publicação.
4. A Comissão informa o Comité Europeu para a Proteção de Dados das medidas adotadas em sequência de pareceres, diretrizes, recomendações e boas práticas, emitidos pelo referido comité. [Alt. 114]
CAPÍTULO VIII
VIAS DE RECURSO, RESPONSABILIDADE E SANÇÕES
Artigo 50.º
Direito de apresentar uma queixa a uma autoridade de controlo
1. Sem prejuízo de qualquer outra via de recurso administrativo ou judicial, os Estados‑Membros devem prever que qualquer titular de dados tem o direito de apresentar queixa a uma autoridade de controlo em qualquer Estado-Membro se considerar que o tratamento dos seus dados pessoais não respeita as disposições adotadas nos termos da presente diretiva.
2. Os Estados-Membros devem prever que qualquer organismo, organização ou associação que vise proteger os direitos e interesses dos titulares de dados em relação à proteção dos seus dados pessoais e que esteja aja no interesse público e que tenha sido devidamente constituído ao abrigo do direito de um Estado-Membro, tem o direito de apresentar queixa a uma autoridade de controlo em qualquer Estado-Membro por conta de uma ou mais pessoas em causa, se considerar que os direitos de que beneficia um titular de dados por força da presente diretiva foram violados na sequência do tratamento dos seus dados pessoais. A organização ou associação tem de ser devidamente mandatada pelo(s) titular(es) de dados. [Alt. 115]
3. Os Estados-Membros devem prever que qualquer organismo, organização ou associação referidos no n.º 2, independentemente de uma queixa do titular dos dados, pode apresentar uma queixa a uma autoridade de controlo em qualquer Estado‑Membro, se considerar ter havido uma violação de dados pessoais.
Artigo 51.º
Direito de ação judicial contra uma autoridade de controlo
1. Os Estados-Membros devem prever o direito de ação judicial de qualquer pessoa singular ou coletiva contra as decisões de uma autoridade de controlo que lhes dizem respeito.
2. Os Estados-Membros devem prever que qualquer titular de dados temtenha o direito de ação judicial a fim de obrigar a autoridade de controlo a dar seguimento a uma queixa, na falta de uma decisão necessária para proteger os seus direitos, ou se a autoridade de controlo não informar a pessoa em causa, no prazo de três meses, sobre o andamento ou o resultado da sua queixa nos termos do artigo 45.º, n.º 1, alínea b).
3. Os Estados-Membros devem prever que as ações contra uma autoridade de controlo são intentadas nos tribunais do Estado-Membro no território do qual se encontra estabelecida a autoridade de controlo.
3-A. Os Estados-Membros devem garantir a execução das decisões definitivas proferidas pelo tribunal referido no presente artigo. [Alt. 116]
Artigo 52.º
Direito de ação judicial contra um responsável pelo tratamento ou um subcontratante
1. Os Estados-Membros devem prever que, sem prejuízo de um eventual recurso administrativo disponível, nomeadamente o direito de apresentar queixa a uma autoridade de controlo, qualquer pessoa singular tem o direito de ação judicial se considerar ter havido violação dos direitos que lhe confere a presente diretiva, na sequência do tratamento dos seus dados pessoais efetuado em violação das disposições da referida diretiva.
1-A. Os Estados-Membros devem garantir a execução das decisões definitivas proferidas pelo tribunal referido no presente artigo. [Alt. 117]
Artigo 53.º
Regras comuns aplicáveis aos processos judiciais
1. Os Estados-Membros devem prever que qualquer organismo, organização ou associação referido no artigo 50.º, n.º 2, pode exercer os direitos referidos nos artigos 51.º e, 52.º e 54.º quando mandatado por um ou mais titulares de dados. [Alt. 118]
2. Os Estados-Membros devem prever que cada autoridade de controlo podepossa intervir em processos judiciais e intentar uma ação em tribunal a fim de fazer respeitar as disposições adotadas em conformidade com a presente diretiva ou assegurar a coerência da proteção de dados pessoais na União. [Alt. 119]
3. Os Estados-Membros devem assegurar que quaisquer vias judiciais disponíveis no direito nacional permitam a adoção rápida de medidas, incluindo medidas provisórias, visando fazer cessar qualquer alegada violação e prevenir qualquer novo prejuízo contra os interesses envolvidos.
Artigo 54.º
Responsabilidade e direito a indemnização
1. Os Estados-Membros devem prever que qualquer pessoa que tenha sofrido um prejuízo, inclusive um prejuízo não pecuniário, devido ao tratamento ilícito ou outro ato incompatível com as disposições adotadas nos termos da presente diretiva tem o direito de receberexigir uma indemnização do responsável pelo tratamento ou do subcontratante pelo prejuízo sofrido. [Alt. 120]
2. Sempre que vários responsáveis pelo tratamento ou subcontratantes estiverem envolvidos no tratamento de dados, cada um deles é conjunta e solidariamente responsável pelo montante total dos danos.
3. O responsável pelo tratamento ou o subcontratante pode ser exonerado dessa responsabilidade, total ou parcialmente, se provar que o facto que causou o dano não lhe é imputável.
Artigo 55.º
Sanções
Os Estados-Membros devem prever as disposições relativas às sanções aplicáveis às violações das disposições adotadas nos termos da presente diretiva e adotar todas as medidas necessárias para assegurar a sua aplicação. As sanções previstas devem ser eficazes, proporcionadas e dissuasivas.
CAPÍTULO VIII-A
Transmissão de dados pessoais a terceiros
Artigo 55.º-A
Transmissão de dados pessoais a outras autoridades ou a entidades privadas na União
1. Os Estados-Membros asseguram que o responsável pelo tratamento não transmita nem encarregue o subcontratante de transmitir dados pessoais a uma pessoa singular ou coletiva não sujeita às disposições adotadas em conformidade com a presente diretiva, salvo se:
a) A transmissão respeitar a legislação da União ou do Estado-Membro ; e
b) O destinatário estiver estabelecido num Estado-Membro da União Europeia; e
c) Não existirem interesses legítimos específicos do titular dos dados que impeçam a transmissão dos dados; e
d) A transmissão for necessária num caso específico para que o responsável pelo tratamento que efetua a transmissão dos dados pessoais possa assegurar:
i) O desempenho das funções que lhe incubem legitimamente; ou
ii) A prevenção de um perigo imediato e grave para a segurança pública; ou
iii) A prevenção de danos graves para os direitos dos indivíduos.
2. O responsável pelo tratamento informa o destinatário sobre a finalidade para a qual os dados pessoais podem ser exclusivamente tratados.
3. O responsável pelo tratamento dá conhecimento dessas transferências à autoridade de controlo.
4. O responsável pelo tratamento informa o destinatário sobre as restrições de tratamento e assegura que estas restrições sejam respeitadas. [Alt. 121]
CAPÍTULO IX
ATOS DELEGADOS E ATOS DE EXECUÇÃO
Artigo 56.º
Exercício de delegação
1. O poder de adoptar actos delegados é conferido à Comissão nas condições estabelecidas no presente artigo.
2. A delegação de poderes a que se refere o artigoO poder de adotar atos delegadosreferidonos artigos 25.º-A, n.º 7, 28.º, n.º 5, 34.º, n.ºs 3 e 5, é conferidaconferido à Comissão por um período indeterminado a partir da data de entrada em vigor da presente diretiva.
3. A delegação de poderes a que se refere o artigoreferida nos artigos 25.º-A, n.º 7, 28.º, n.º 5, 34.º, n.ºs 3 e 5, pode ser revogada em qualquer momento pelo Parlamento Europeu ou pelo Conselho. A decisão de revogação põe termo à delegação dos poderes nela especificados. A decisão de revogação produz efeitos a partir do dia seguinte ao da sua publicação no Jornal Oficial da União Europeia ou de uma data posterior nela especificada. A decisão de revogação não afecta os actos delegados já em vigor..
4. Assim que adoptar um acto delegado, a Comissão notifica‑o simultaneamente ao Parlamento Europeu e ao Conselho.
5. Os actos delegados adoptados nos termos o artigodos artigos 25.º-A, n.º 7, 28.º, n.º 5, 34.º, n.ºs 3 e 5, só entram em vigor se não tiverem sido formuladas objecções pelo Parlamento Europeu ou pelo Conselho no prazo de doisseis meses a contar da notificação desse acto ao Parlamento Europeu e ao Conselho, ou se, antes do termo desse prazo, o Parlamento Europeu e o Conselho tiverem informado a Comissão de que não têm objecções a formular. O referido prazo é prorrogado por doisseis meses por iniciativa do Parlamento Europeu ou do Conselho. [Alt. 122]
Artigo 56.º-A
Prazo para a adoção de atos delegados
A Comissão adota os atos delegados nos termos dos artigos 25.º-A, n.º 7, e 28.º, n.º 5, até [seis meses antes da data prevista no artigo 62.º, n.º 1]. A Comissão pode prorrogar o prazo referido no presente número por seis meses. [Alt. 123]
Artigo 57.º
Procedimento de comité
1. A Comissão é assistida por um comité. Esse comité deve ser entendido como comité na aceção do Regulamento (UE) n.º 182/2011.
2. Caso se faça referência ao presente número, aplica-se o artigo 5.º do Regulamento (UE) n.º 182/2011.
3. Sempre que se faça referência ao presente número, é aplicável o artigo 8.º do Regulamento (UE) n.º 182/2011, conjugado com o seu artigo 5.º. [Alt. 124]
CAPÍTULO X
DISPOSIÇÕES FINAIS
Artigo 58.º
Revogações
1. É revogada a Decisão-Quadro 2008/977/JAI.
2. As referências à decisão-quadro revogada, referida no n.º 1, são consideradas referências à presente diretiva.
Artigo 59.º
Relação com atos da União Europeia adotados anteriormente no domínio da cooperação judiciária em matéria penal e da cooperação policial
As disposições específicas para a proteção de dados pessoais no que respeita ao tratamento desses dados pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais, previstas nos atos da União Europeia adotados antes da data de adoção da presente diretiva que regulam o tratamento de dados pessoais entre os Estados-Membros e o acesso das autoridades dos Estados‑Membros designadas aos sistemas informáticos criados por força dos Tratados, no âmbito da presente diretiva, continuam inalteradas.
Artigo 60.º
Relação com acordos internacionais concluídos anteriormente no domínio da cooperação judiciária em matéria penal e da cooperação policial.
Os acordos internacionais concluídos pelos Estados-Membros antes da entrada em vigor da presente diretiva são alterados, sempre que necessário, no prazo de cinco anos a contar da sua entrada em vigor.
Artigo 61.º
Avaliação
1. A Comissão deve, após consulta do Comité Europeu para a Proteção de Dados, avaliar a aplicação e execução da presente diretiva. Deve atuar em estreita cooperação com os Estados-Membros e incluir visitas com e sem aviso prévio. O Parlamento Europeu e o Conselho devem ser informados durante o processo e ter acesso aos documentos pertinentes.
2. A Comissão deve proceder ao reexame, no prazo de trêsdois anos a contar da entrada em vigor da presente diretiva, de outros atos adotados pela União Europeia que regulam o tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais, em especial os atos adotados pela União que são mencionados no artigo 59.º, a fim de avaliar a necessidade de os harmonizar com a presente diretiva e apresentar, se for caso disso, as propostas necessárias à alteração desses atos de forma a assegurar uma abordagem coerente da proteção de dados pessoaise deve apresentar propostas com vista a assegurar regras jurídicas coerentes e homogéneas relacionadas com o tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais, ou de execução de sanções penais, no âmbito da presente diretiva.
2-A. A Comissão deve apresentar, num prazo de dois anos após a entrada em vigor da presente diretiva, propostas adequadas de revisão do quadro jurídico aplicável ao tratamento de dados pessoais pelas instituições, pelos órgãos, pelos organismos e pelas agências da União, para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou de execução de sanções penais, com vista a assegurar regras jurídicas coerentes e homogéneas relacionadas com o direito fundamental à proteção de dados pessoais na União.
3. A Comissão apresenta periodicamente ao Parlamento Europeu e ao Conselho relatórios sobre a avaliação e reexame da presente diretiva nos termos do n.º 1. O primeiro relatório deve ser apresentado o mais tardar quatro anos após a entrada em vigor da presente diretiva. Os relatórios subsequentes devem ser apresentados com uma periodicidade de quatro anos. A Comissão apresentará, se necessário, propostas adequadas com vista à alteração da presente diretiva e à harmonização de outros instrumentos jurídicos. O relatório é objeto de publicação. [Alt. 125]
Artigo 62.º
Transposição
1. Os Estados-Membros devem adotar e publicar, até ...(13), as disposições legislativas, regulamentares e administrativas necessárias para dar cumprimento à presente diretiva. Os Estados-Membros devem comunicar imediatamente à Comissão o texto dessas disposições.
Os Estados-Membros devem aplicar as referidas disposições a partir de ...*.
As disposições adotadas pelos Estados-Membros devem fazer referência à presente diretiva ou ser acompanhadas dessa referência aquando da sua publicação oficial. As modalidades da referência são estabelecidas pelos Estados‑Membros.
2. Os Estados-Membros devem comunicar à Comissão o texto das principais disposições de direito interno que adotarem no domínio abrangido pela presente diretiva.
Artigo 63.º
Entrada em vigor e aplicação
A presente diretiva entra em vigor no primeiro dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.
Artigo 64.º
Destinatários
Os destinatários da presente diretiva são os Estados-Membros.
Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO L 281 de 23.11.1995, p. 31).
Decisão-Quadro 2008/977/JAI do Conselho, de 27 de novembro de 2008, relativa à proteção dos dados pessoais tratados no âmbito da cooperação policial e judiciária em matéria penal (JO L 350 de 30.12.2008, p. 60).
Regulamento (CE) n.º 45/2001 do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos comunitários e à livre circulação desses dados (JO L 8 de 12.1.2001, p. 1).
Regulamento (UE) n.º 182/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os princípios gerais relativos aos mecanismos de controlo pelos Estados-Membros do exercício das competências de execução pela Comissão (JO L 55 de 28.2.2011, p. 13).
Directiva 2011/92/UE do Parlamento Europeu e do Conselho, de 13 de dezembro de 2011, relativa à avaliação dos efeitos de determinados projectos públicos e privados no ambiente (JO L 335 de 17.12.2011, p. 1).
Resolução legislativa do Parlamento Europeu, de 12 de março de 2014, sobre a proposta de regulamento do Parlamento Europeu e do Conselho relativo à implementação do Céu Único Europeu (reformulação) (COM(2013)0410 – C7-0171/2013 – 2013/0186(COD))
– Tendo em conta a proposta da Comissão ao Parlamento e ao Conselho (COM(2013)0410),
– Tendo em conta o artigo 294.º, n.º 2, e o artigo 100.º, n.º 2, do Tratado sobre o Funcionamento da União Europeia, nos termos dos quais a proposta lhe foi apresentada pela Comissão (C7-0171/2013),
– Tendo em conta o artigo 294.º, n.º 3, do Tratado sobre o Funcionamento da União Europeia,
– Tendo em conta o parecer fundamentado apresentado pela Câmara dos Representantes de Malta, no âmbito do Protocolo n.º 2 relativo à aplicação dos princípios da subsidiariedade e da proporcionalidade, segundo o qual o projeto de ato legislativo não respeita o princípio da subsidiariedade,
– Tendo em conta o parecer do Comité Económico e Social Europeu, de 11 de dezembro de 2013(1),
– Após consulta ao Comité das Regiões,
– Tendo em conta o Acordo Interinstitucional de 28 de novembro de 2001 para um recurso mais estruturado à técnica de reformulação dos atos jurídicos(2),
– Tendo em conta a carta que a Comissão dos Assuntos Jurídicos endereçou à Comissão dos Transportes e do Turismo em 28 de novembro de 2013, nos termos do artigo 87.º, n.º 3, do seu Regimento,
– Tendo em conta os artigos 87.º e 55.º do seu Regimento,
– Tendo em conta o relatório da Comissão dos Transportes e do Turismo (A7-0095/2014),
A. Considerando que o Grupo Consultivo dos Serviços Jurídicos do Parlamento Europeu, do Conselho e da Comissão concluiu, no seu parecer, que a proposta em apreço não contém alterações de fundo para além das que nela foram identificadas como tal e que, no que diz respeito à codificação das disposições inalteradas dos atos precedentes com estas alterações, a proposta se cinge à codificação pura e simples dos textos existentes, sem alterações substantivas;
1. Aprova a posição em primeira leitura que se segue, tendo em conta as recomendações do Grupo Consultivo dos Serviços Jurídicos do Parlamento Europeu, do Conselho e da Comissão;
2. Requer à Comissão que lhe submeta de novo a sua proposta se pretender alterá-la substancialmente ou substituí-la por outro texto;
3. Encarrega o seu Presidente de transmitir a posição do Parlamento ao Conselho, à Comissão e aos parlamentos nacionais.
Posição do Parlamento Europeu, aprovada em primeira leitura em 12 de março de 2014, tendo em vista a adoção do Regulamento (UE) n.°.../2014 do Parlamento Europeu e do Conselho relativo à implementação do Céu Único Europeu (reformulação)
O PARLAMENTO EUROPEU E O CONSELHO DA UNIÃO EUROPEIA,
Tendo em conta o Tratado sobre o Funcionamento da União Europeia, nomeadamente o artigo 100.º, n.º 2,
Tendo em conta a proposta da Comissão Europeia,
Após transmissão do projeto de ato legislativo aos parlamentos nacionais,
Tendo em conta o parecer do Comité Económico e Social Europeu(3),
Após consulta do Comité das Regiões,
Deliberando de acordo com o processo legislativo ordinário(4),
Considerando o seguinte:
(1) O Regulamento (CE) n.º 549/2004, de 10 de março de 2004, que estabelece o quadro para a realização do céu único europeu («Regulamento-Quadro»)(5), o Regulamento (CE) n.º 550/2004, de 10 de março de 2004, relativo à prestação de serviços de navegação aérea no céu único europeu («Regulamento Prestação de Serviços»)(6), o Regulamento (CE) n.º 551/2004, de 10 de março de 2004, relativo à organização e utilização do espaço aéreo no céu único europeu («Regulamento Espaço Aéreo»)(7) e o Regulamento (CE) n.º 552/2004, de 10 de março de 2004, relativo à interoperabilidade da rede europeia de gestão do tráfego aéreo («Regulamento Interoperabilidade»)(8), foram alterados de modo substancial. Atendendo à necessidade de introduzir novas alterações, é conveniente, por razões de clareza, proceder à reformulação destes regulamentos.
(2) A realização da política comum dos transportes exige um sistema de transporte aéreo eficaz que permita o funcionamento seguro e regular dos serviços de transporte aéreo, facilitando, por conseguinte, a livre circulação de mercadorias, pessoas e serviços. [Alt. 1]
(3) A aprovação pelo Parlamento Europeu e pelo Conselho do primeiro pacote de legislação sobre o Céu Único Europeu, a saber, o Regulamento (CE) n.º 549/2004, o Regulamento (CE) n.º 550/2004, o Regulamento (CE) n.º 551/2004 e o Regulamento (CE) n.º 552/2004, permitiu criar uma base jurídica sólida para um sistema de gestão do tráfego aéreo (ATM) uniforme, interoperável e seguro. A adoção do segundo pacote, nomeadamente o Regulamento (CE) n.º 1070/2009, reforçou ainda mais a iniciativa «Céu Único Europeu», mediante a introdução dos conceitos de «sistema de desempenho» e de «gestor da rede», de modo a otimizar o desempenho do sistema europeu de gestão do tráfego aéreo.
(4) Nos termos do artigo 1.º da Convenção de Chicago de 1944 sobre a aviação civil internacional, os Estados contratantes reconhecem que «cada Estado tem a soberania completa e exclusiva sobre o espaço aéreo que cobre o seu território». É no quadro dessa soberania que os Estados-Membros da União, sob reserva do disposto nas convenções internacionais aplicáveis, exercem as prerrogativas de poder público quando controlam o tráfego aéreo.
(5) A execução da política comum dos transportes exige um sistema de transporte aéreo eficiente que permita o funcionamento seguro, regular e sustentável dos serviços de transporte aéreo, otimizando as capacidades e facilitando a livre circulação de mercadorias, pessoas e serviços.
(5-A) A fim de evitar que o aumento previsto do tráfego aéreo provoque ou acentue o congestionamento do espaço aéreo europeu, aliado a todos os custos que daí decorrem em termos económicos, ambientais e de segurança, importará pôr cobro à fragmentação desse espaço e, como tal, executar o presente regulamento com a maior brevidade. [Alt. 2]
(5-B) A implementação do Céu Único Europeu deverá trazer benefícios para o crescimento, o emprego e a competitividade na Europa, estimulando, em especial, a procura de empregos altamente qualificados. [Alt. 3]
(6) A prossecução simultânea dos objetivos de reforço dos padrões de segurança do tráfego aéreo e de melhoria da eficácia global do sistema ATM e dos serviços de navegação aérea no quadro do tráfego aéreo geral na Europa implica que se tenha em conta o fator humano. Os Estados-Membros deverão, Consequentemente, ponderar aalém da introdução dos chamados princípios da «cultura justa», devem ser integrados no sistema de desempenho do Céu Único Europeu indicadores de desempenho pertinentes. [Alt. 4]
(7) Os Estados-Membros adotaram uma declaração geral sobre as questões militares relacionadas com o Céu Único Europeu(9). De acordo com essa declaração, os Estados-Membros deverão, nomeadamente, reforçar a cooperação civil/militar e, na medida em que todos os Estados-Membros em causa o considerem necessário, facilitar a cooperação entre as suas forças armadas em todos os aspetos da gestão do tráfego aéreo, de modo a facilitar a utilização flexível do espaço aéreo. [Alt. 5]
(8) As decisões que afetam o conteúdo, o alcance ou as condições de realização das operações e dos treinos militares não são da competência da União, em conformidade com o artigo 100.º, n.º 2, do Tratado sobre o Funcionamento da União Europeia.
(9) Os Estados-Membros reestruturaram, em diferentes graus, os seus prestadores de serviços de navegação aérea nacionais, aumentando o seu nível de autonomia e a liberdade de prestação de serviços. É necessário assegurar a existência de um mercado comum a funcionar de modo eficaz, no caso dos serviços que podem ser prestados em condições de mercado, e a satisfação de requisitos mínimos de interesse público no caso dos serviços que são considerados monopólios naturais nas atuais condições tecnológicas.
(10) Para garantir uma supervisão coerente e, sólida e independente da prestação de serviços em toda a Europa, deverádeverão garantir-se às autoridades supervisorasaeronáuticas nacionais independência eos recursos suficientesnecessários, nos planos quer financeiro quer de pessoal. Essa independência não poderá impedir essas autoridades de exercerem as suas funções no âmbito de um determinado quadro administrativo. [Alt. 6]
(11) As autoridades supervisorasaeronáuticas nacionais têm um papel fundamental a desempenhar na implementação do Céu Único Europeu, motivo pelo qual. A Comissão deveráe a Agência da União Europeia para a Aviação (EAA) devem, por conseguinte, facilitar a cooperação entre elas, a fim de possibilitar o intercâmbio das melhores práticas e de aprofundar uma abordagem conjunta, nomeadamente através do reforço da cooperação a nível regional, proporcionando uma plataforma para a realização destes intercâmbios. Essa cooperação deverá ser regular. [Alt. 7]
(12) Para a implementação do Céu Único Europeu, os parceiros sociais deverão ser mais bem informados e consultados sobre todas as medidas com implicações sociais significativas. A nível da União, o Comité de Diálogo Setorial, criado ao abrigo da Decisão 98/500/CE da Comissão(10), deverá igualmente ser consultado. [Alt. 8]
(13) A prestação de serviços de comunicação, navegação e vigilância, bem como de serviços de informação meteorológica, de conceção do espaço aéreo e aeronáutica, deveem conjunto com serviços de formatação e fornecimento de dados ao tráfego aéreo geral, pode ser organizada em condições de mercado, tendo simultaneamente em conta as especificidades de tais serviços e a manutenção degarantindo um nível elevado de segurança e reduzindo o impacto ambiental. [Alt. 9]
(14) Os utilizadores do espaço aéreo não deverão ser sujeitos a tratamento discriminatório na prestação de serviços equivalentes de navegação aérea.
(15) O conceito de projetos comuns, destinados a ajudar os utilizadores do espaço aéreo e/ou os prestadores de serviços de navegação aérea a melhorar as infraestruturas coletivas de navegação aérea, a prestação de serviços neste setor e a utilização do espaço aéreo, em especial aqueles que possam ser necessários para a implementação do plano diretor ATM tal como aprovado pela Decisão 2009/320/CE do Conselho(11), em conformidade com o artigo 1.º, n.º 2, do Regulamento (CE) n.º 219/2007 do Conselho, não poderá prejudicar os projetos existentes por decisão de um ou de vários Estados-Membros com objetivos similares. O disposto em matéria de financiamento da implantação de projetos comuns não poderá condicionar a forma como eles são elaborados. A Comissão pode propor que financiamentos, como o da Rede Transeuropeiado Mecanismo Interligar a Europa, do Horizonte 2020 ou do Banco Europeu de Investimento, possam ser utilizados no apoio a projetos comuns, em especial para acelerar a implementação do programa SESAR dentro do quadro financeiro plurianual. Sem prejuízo do acesso a esse financiamento, os Estados-Membros deverão ser livres de decidir o modo como poderão ser utilizadas as receitas geradas pela venda em leilão das licenças no setor da aviação ao abrigo do regime de comércio de licenças de emissão e de ponderar, neste contexto, se uma parte dessas receitas poderá ser utilizada no financiamento de projetos comuns ao nível dos blocos funcionais de espaço aéreo. Quando aplicável, os projetos comuns devem ter em vista a criação de um conjunto de capacidades básicas interoperáveis em todos os Estados‑Membros. [Alt. 10]
(15-A) A menos que sejam postos em prática mecanismos específicos, podem ter lugar, de forma descoordenada, projetos de investimento aéreos e no solo relacionados com o plano diretor ATM, o que pode atrasar a implementação efetiva das tecnologias SESAR. [Alt. 11]
(16) O conceito de «gestor da rede» é essencial para melhorar o desempenho da gestão do tráfego aéreo à escala da rede, mediante a centralização da prestação dos serviços que apresentam níveis de desempenho superiores quando prestados a nível de rede. Para facilitar a resposta em caso de crise no setor da aviação, a coordenação dessedas medidas a adotar em termos de prevenção e reação a esse tipo de crise deverá ser assegurada pelo gestor da rede. Neste contexto, deve competir à Comissão assegurar que não exista qualquer conflito de interesses entre a prestação de serviços centralizados e o papel do órgão de análise do desempenho. [Alt. 12]
(17) A Comissão está convicta de que a utilização segura e eficiente do espaço aéreo só poderá ser conseguida através de uma colaboração estreita entre os utilizadores civis e militares do espaço aéreo, essencialmente com base no conceito de utilização flexível do espaço aéreo e numa coordenação efetiva entre o setor civil e militar, conforme estabelecido pela OACI, e realça a importância de reforçar a cooperação civil‑militar entre os utilizadores civis e militares do espaço aéreo com vista a facilitar uma utilização flexível do espaço aéreo. [Alt. 13]
(18) A exatidão das informações relativas ao estado do espaço aéreo e a situações específicas de tráfego aéreo, assim como a sua distribuição atempada aos controladores civis e militares, tem um impacto direto na segurança e eficiência das operações e deve melhorar a sua previsibilidade. O acesso em tempo útil a informação atualizada sobre o estado do espaço aéreo é essencial para todos aqueles que pretendem tirar partido das estruturas do espaço aéreo disponibilizadas aquando da elaboração ou alteração dos seus planos de voo. [Alt. 14]
(19) A disponibilização de informação aeronáutica moderna, completa, de alta qualidade e disponível em tempo útil tem um impacto significativo na segurança e na facilitação do acesso ao espaço aéreo da União e da liberdade de circulação neste último. Tendo em conta o plano diretor ATM, a União deverá tomar a iniciativa de modernizar este setor em cooperação com o gestor da rede e garantir que os utilizadores podem aceder a estes dados através de um único ponto de acesso público, que preste informações integradas modernas, de fácil utilização e validadas.
(20) De modo a ter em conta as alterações introduzidas nos Regulamentos (CE) n.º 1108/2009 e (CE) n.º 1070/2009, é necessário, em conformidade com o artigo 65.º‑A do Regulamento (CE) n.º 216/2008 do Parlamento Europeu e do Conselho, de 20 de fevereiro de 2008, relativo a regras comuns no domínio da aviação civil e que cria a Agência Europeia para a segurança da aviação(12), alinhar o conteúdo do presente regulamento pelo do Regulamento (CE) n.º 216/2008.
(21) Além disso, é necessário atualizar as especificações técnicas que constam dos Regulamentos (CE) n.º 549/2004, (CE) n.º 550/2004, (CE) n.º 551/2004 e (CE) n.º 552/2004, aprovadas em 2004 e 2009, e introduzir correções técnicas, de modo a ter em conta os progressos registados.
(22) É necessário alterar o âmbito geográfico do presente regulamento no que respeita à Região do Atlântico Norte (NAT) da OACI, de modo a ter em conta os acordos em vigor e previstos no domínio da prestação de serviços e a necessidade de garantir a coerência das normas aplicadas aos prestadores de serviços de navegação aérea e aos utilizadores do espaço aéreo que operam nesta zona. [Alt. 15]
(23) De harmonia com o papel desempenhado enquanto organização operacional e com o processo de reforma do Eurocontrol, o papel do gestor da rede deverá evoluir no sentido de uma parceria liderada pelo setor.
(24) O conceito de bloco funcional de espaço aéreo definido para reforçar a cooperação entre prestadores de serviços de tráfego aéreo constitui um importante instrumento para a melhoria do desempenho do sistema de gestão do tráfego aéreo à escala europeia. Para reforçarcomplementar este instrumento, os prestadores de serviços de navegação aérea devem ser livres de estabelecer parcerias setoriais com base no desempenho, que se podem sobrepor aos blocos funcionais de espaço aéreo devem ser mais orientados para o desempenho, com base no estabelecimento de parcerias setoriais, e o setor deverá gozar de maior liberdade para os alterar, de modo a alcançar e, se possível, ultrapassar os objetivos de desempenhoestabelecidos. [Alt. 16]
(25) Os blocos funcionais de espaço aéreo devem funcionar de modo flexível, congregando os fornecedores de serviços à escala europeia e tirando partido dos respetivos pontos fortes. Esta flexibilidade deverá permitir criar sinergias entre fornecedores, independentemente da sua localização geográfica ou nacionalidade, bem como facilitar a emergência de serviços com formatos variáveis tendo em vista a melhoria do desempenho.
(26) Para reforçar oa enfâse dos prestadores de serviços de navegação aérea no cliente e oferecer aos utilizadores do espaço aéreo a possibilidade de influenciarem mais as decisões que os afetam, é necessário tornar mais efetiva a consulta e a participação das partes interessadas nas grandes decisões operacionais dos prestadores de serviços de navegação aérea. [Alt. 17]
(27) O sistema de desempenho é fundamental para a regulamentação económica dos serviços de gestão do tráfego aéreo, razão pela qual se deve manter e, na medida do possível, reforçar a qualidade e independência das suas decisões.
(28) De modo a ter em conta os progressos técnicos ou operacionais, nomeadamente mediante a alteração dos anexos ou o aditamento das disposições no domínio da gestão da rede, e do sistema de desempenho, da seleção da entidade responsável pela implementação do plano diretor ATM (gestor da implantação) e da definição das respetivas responsabilidades, é conveniente delegar na Comissão poderes para adotar atos em conformidade com o artigo 290.º do Tratado sobre o Funcionamento da União Europeia. O teor e âmbito de aplicação de cada delegação devem ser definidos em pormenor nos artigos aplicáveis. É especialmente importante que, durante os trabalhos preparatórios, a Comissão proceda às consultas adequadas, inclusive a nível de peritos. Durante a preparação e a redação dos atos delegados, a Comissão deve assegurar a transmissão simultânea, tempestiva e adequada dos documentos pertinentes ao Parlamento Europeu e ao Conselho. [Alt. 18]
(29) Em caso de aditamentos à lista de serviços de gestão da rede, a Comissão deve efetuar as consultas adequadas das partes interessadas do setor e dos parceiros sociais. [Alt. 19]
(30) De modo a assegurar condições uniformes de aplicação do presente regulamento, a Comissão deve ter poderes de execução em especial no que respeita ao exercício dos poderes conferidos às autoridades supervisorasaeronáuticas nacionais, à prestação de serviços de apoio em regime de exclusividade por um prestador de serviços ou por consórcios de prestadores de serviços, às medidas corretivas para garantir o cumprimento dos objetivos de desempenho a nível de União e local associados, à análise da conformidade do sistema de tarifação, à governação e adoção de projetos comuns para funções relacionadas com a rede, aos blocos funcionais de espaço aéreo, às regras de participação das partes interessadas nas grandes decisões relativas a operações dos prestadores de serviços de navegação aérea, ao acesso e à proteção dos dados, à informação aeronáutica eletrónica e desenvolvimento tecnológico e à interoperabilidade da gestão do tráfego aéreo. Estes poderes devem ser exercidos em conformidade com o Regulamento (UE) n.º 182/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os princípios gerais relativos aos mecanismos de controlo pelos Estados‑Membros do exercício das competências de execução pela Comissão(13). [Alt. 20]
(31) Em conformidade com o Regulamento (UE) n.º 182/2011, no caso dos atos de execução adotados ao abrigo do presente regulamento deve ser aplicado o procedimento de exame para a adoção de atos de alcance geral.
(32) Para a adoção de atos de execução de alcance individual, deve ser adotado o procedimento consultivo.
(33) As sanções a prever em caso de infração ao disposto no presente regulamento deverão ser efetivas, proporcionadas e dissuasivas, sem afetar a segurança.
(34) Quando for caso disso, os serviços de apoio devem, conforme aplicável, ser contratados em conformidade com a Diretiva 2004/18/CE do Parlamento Europeu e do Conselho, de 31 de março de 2004, relativa à coordenação dos processos de adjudicação dos contratos de empreitada de obras públicas, dos contratos públicos de fornecimento e dos contratos públicos de serviços(14) e com a Diretiva 2004/17/CE do Parlamento Europeu e do Conselho, de 31 de março de 2004, relativa à coordenação dos processos de adjudicação de contratos nos setores da água, da energia, dos transportes e dos serviços postais(15). Devem também ser tidas em conta as orientações constantes da Comunicação interpretativa da Comissão sobre o direito comunitário aplicável à adjudicação de contratos não abrangidos, ou apenas parcialmente, pelas diretivas comunitárias relativas aos contratos públicos(16), conforme adequado. [Alt. 21]
(35) A Declaração Ministerial sobre o Aeroporto de Gibraltar, acordada em 18 de setembro de 2006, em Córdova («Declaração Ministerial»), durante a primeira reunião ministerial do Fórum de Diálogo sobre Gibraltar, substituirá a Declaração Conjunta sobre o Aeroporto de Gibraltar, feita em 2 de dezembro de 1987, em Londres, considerando-se que o pleno cumprimento desta Declaração Ministerial equivale ao cumprimento da Declaração de 1987Através de uma Declaração Conjunta dos respetivos ministros dos Negócios Estrangeiros, feita em Londres, em 2 de dezembro de 1987, o Reino de Espanha e o Reino Unido chegaram a acordo sobre um regime destinado a reforçar a cooperação na utilização do aeroporto de Gibraltar. O acordo ainda não foi aplicado. [Alt. 22]
(36) O presente regulamento aplica-se plenamente ao Aeroporto de Gibraltar no contexto e nos termos da Declaração Ministerial. Sem prejuízo da Declaração Ministerial, a sua aplicação ao Aeroporto de Gibraltar, assim como todas as medidas relacionadas com a sua execução, devem cumprir plenamente a Declaração Ministerial e todas as suas disposições. [Alt. 23]
(37) Atendendo a que o objectivo do presente regulamento, a saber, a implementação do Céu Único Europeu, não pode ser suficientemente alcançado pelos Estados-Membros, devido à dimensão transnacional desta ação, mas pode, , ser mais bem alcançado ao nível da União, a União pode tomar medidas em conformidade com o princípio da subsidiariedade consagrado no artigo 5.º do Tratado da União Europeia. Em conformidade com o princípio da proporcionalidade consagrado no mesmo artigo, o presente regulamento não excede o necessário para alcançar esse objetivo,
ADOTARAM O PRESENTE REGULAMENTO:
CAPÍTULO I
DISPOSIÇÕES GERAIS
Artigo 1.º
Objeto e âmbito de aplicação
1. O presente regulamento estabelece regras para a criação e o funcionamento adequado do Céu Único Europeu, de modo a garantir o cumprimento das atuais normas de segurança do tráfego aéreo, contribuir para o desenvolvimento sustentável do sistema de transporte aéreo, nomeadamente reduzindo o impacto ambiental, e melhorar o desempenho global do sistema de gestão do tráfego aéreo (ATM) e dos serviços de navegação aérea para o tráfego aéreo geral na Europa, a fim de satisfazer as exigências de todos os utilizadores do espaço aéreo. O Céu Único Europeu abrange uma rede pan-europeia coerente de rotas pan‑europeia e, sob reserva de acordos específicos com os países vizinhos, de países terceiros, um espaço aéreo operacional integrado e sistemas de gestão de redes e de gestão do tráfego aéreo, unicamente baseados na segurança, eficiência e nteroperabilidade, em benefício de todos os utilizadores do espaço aéreo. [Alt. 24]
2. A aplicação do presente regulamento não prejudica a soberania dos Estados-Membros sobre o seu espaço aéreo e as necessidades dos Estados-Membros no que respeita à ordem pública, à segurança pública e às questões de defesa, tal como previsto no artigo 38.º. O presente regulamento não abrange as operações e os treinos militares.
3. A aplicação do presente regulamento não prejudica os direitos e as obrigações dos Estados-Membros decorrentes da Convenção de Chicago, de 1944, sobre a Aviação Civil Internacional («Convenção de Chicago»). Neste contexto, o presente regulamento procura, nos domínios a que se aplica, apoiar os Estados-Membros no cumprimento das suas obrigações decorrentes da Convenção de Chicago, prevendo uma base de interpretação comum e a aplicação uniforme das suas disposições e assegurando que estas sejam devidamente tidas em conta no presente regulamento e nas normas de execução deste.
4. O presente regulamento é aplicável ao espaço aéreo nas regiões EUR,e AFI e NAT da OACI em que os Estados-Membros são responsáveis pela prestação de serviços de tráfego aéreo em conformidade com o disposto no mesmo. Os Estados-Membros podem igualmente aplicar o presente regulamento ao espaço aéreo sob a sua responsabilidade noutras regiões da OACI, desde que informem do facto a Comissão e os demais Estados-Membros. [Alt. 25]
5. Considera-se que a aplicação do presente regulamento ao Aeroporto de Gibraltar não prejudica as respetivas posições jurídicas do Reino de Espanha e do Reino Unido da Grã‑Bretanha e Irlanda do Nortena controvérsia em relação ao litígio em torno da soberania sobre o território em que o aeroporto se situa. [Alt. 26]
5-A. A aplicação do presente regulamento ao aeroporto de Gibraltar fica suspensa até que seja aplicado o regime previsto na declaração conjunta dos ministros dos Negócios Estrangeiros do Reino de Espanha e do Reino Unido de 2 de dezembro de 1987. Os governos de Espanha e do Reino Unido devem informar o Conselho da data de entrada em vigor desse regime. [Alt. 27]
Artigo 2.º
Definições
Para efeitos de aplicação do presente regulamento, entende-se por:
1. «Serviço de controlo de tráfego aéreo (CTA)», um serviço prestado para :
a) Prevenir colisões:
– entre aeronaves, e
– na área de manobra entre as aeronaves e os obstáculos; e
b) Acelerar e manter um fluxo ordenado do tráfego aéreo;
2. «Serviço de controlo de aeródromo», um serviço de CTA para o tráfego de aeródromo;
3. «Serviço de informação aeronáutica», um serviço estabelecido para uma área de cobertura definida responsável pelo fornecimento de informação e de dados aeronáuticos necessários à segurança, regularidade e eficácia da navegação aérea;
4. «Serviços de navegação aérea», os serviços de tráfego aéreo; os serviços de comunicação, navegação e vigilância; os serviços meteorológicos para navegação aérea e os serviços de informação aeronáutica;
5. «Prestadores de serviços de navegação aérea», as entidades públicas ou privadas que prestam serviços de navegação aérea ao tráfego aéreo geral;
6. «Bloco de espaço aéreo», um espaço aéreo de dimensões espácio-temporais definidas no interior do qual são prestados serviços de navegação aérea;
7. «Gestão do espaço aéreo», um serviço de planeamento cujo objetivo primordial é maximizar a utilização do espaço aéreo disponível por via de uma exploração dinâmica em tempo partilhado e, por vezes, da segregação do espaço aéreo entre diversas categorias de utilizadores em função de necessidades a curto prazo e uma função estratégica associada à conceção do espaço aéreo; [Alt. 28]
8. «Utilizadores do espaço aéreo», os operadores das aeronaves exploradas como tráfego aéreo geral;
9. «Gestão do fluxo de tráfego aéreo», um serviço estabelecido com o objetivo de contribuir para a segurança, ordem e rapidez do fluxo de tráfego aéreo, através da garantia da máxima utilização possível da capacidade de CTA e da compatibilidade do volume de tráfego com as capacidades declaradas pelos prestadores de serviços de tráfego aéreo competentes;
10. «Gestão do tráfego aéreo (ATM)», o conjunto dos serviços aéreos e no solo (serviços de tráfego aéreo, gestão do espaço aéreo e gestão do fluxo de tráfego aéreo) necessários para assegurar movimentos seguros e eficientes das aeronaves durante todas as fases das operações;
11. «Serviços de tráfego aéreo», os vários serviços de informação de voo, os serviços de alerta, os serviços consultivos do tráfego aéreo e os serviços de CTA (serviços de controlo regional, de aproximação e de aeródromo);
12. «Serviço de controlo regional», um serviço de CTA para os voos controlados num bloco de espaço aéreonuma área de controlo; [Alt. 29]
13. «Serviço de controlo de aproximação», um serviço de CTA para os voos controlados que chegam e partem;
14. «Plano diretor ATM», o plano aprovado pela Decisão 2009/320/CE do Conselho(17), nos termos do artigo 1.º, n.º 2, do Regulamento (CE) n.º 219/2007 do Conselho, de 27 de fevereiro de 2007, relativo à constituição de uma empresa comum para a realização do sistema europeu de gestão do tráfego aéreo de nova geração (SESAR)(18);
15. «Crise no setor da aviação», circunstâncias em que a capacidade do espaço aéreo é anormalmente reduzida em resultado de condições meteorológicas adversas graves ou a indisponibilidade de partes significativas do espaço aéreo devido a causas naturais ou por razões médicas, de segurança, militares ou políticas; [Alt. 30]
16. «Pacote de serviços», dois ou mais serviços de navegação aéreaprestados pela mesma entidade; [Alt. 31]
17. «Certificado», documento emitido pela Agência da União Europeia para a Aviação (EAA) ou por uma autoridade supervisoraaeronáutica nacional, sob qualquer forma prevista no direito nacionalrelevante, que confirma que o prestador de um serviço de navegação aérea cumpre os requisitos exigidos para prestar um serviço específicoexecutar uma atividade específica; [Alt. 32]
18. «Serviços de comunicação», os serviços aeronáuticos fixos e móveis que permitem comunicações solo/solo, ar/solo e ar/ar para efeitos de CTA;
18-A. «Rede europeia de gestão do tráfego aéreo» (REGTA), uma rede pan‑europeia de sistemas e componentes, assim como os roteiros para as alterações operacionais e tecnológicas essenciais descritas no plano diretor ATM, que permitem prestar serviços de navegação aérea totalmente interoperáveis na União, incluindo os interfaces nas fronteiras com países terceiros, com vista a alcançar os objetivos de desempenho definidos pelo presente regulamento; [Alt. 33]
19. «Componentes», os objetos corpóreos, como os equipamentos, e objetos incorpóreos, como os programas informáticos, dos quais depende a interoperabilidade da Rede Europeia de Gestão do Tráfego Aéreo (REGTA);. [Alt. 34]
19-A. «Gestor da implantação», um grupo de partes operacionais interessadas selecionado pela Comissão através de um convite à apresentação de propostas, responsável pelo nível de gestão da governação da implantação do plano diretor ATM; [Alt. 35]
20. «Declaração», para efeitos de ATM/ANS, qualquer declaração escrita sobre:
– a conformidade ou aptidão para utilização de sistemas e componentes, emitida por uma organização envolvida na conceção, fabrico e manutenção de sistemas e componentes ATM/ANS;
– a conformidade com os requisitos aplicáveis de um serviço ou sistema a colocar em serviço, emitida por um prestador de serviços;
– a capacidade e os meios para cumprir obrigações relacionadas com determinados serviços de informação de voo;
21. «Utilização flexível do espaço aéreo», o conceito de gestão do espaço aéreo aplicado na zona abrangida pela Conferência Europeia da Aviação Civil, com base no “Manual de gestão do espaço aéreo para a aplicação do conceito de utilização flexível do espaço aéreo”, editado pela Organização Europeia para a Segurança da Navegação Aérea (Eurocontrol) (19);
22. «Serviço de informação de voo», serviço destinado a prestar aconselhamento e informações úteis para a condução segura e eficiente dos voos;
23. «Serviço de alerta», serviço prestado com o objetivo de notificar os organismos competentes sempre que uma aeronave tenha necessidade da intervenção dos serviços de busca e salvamento e de prestar assistência a esses organismos sempre que estes o solicitem;
24. «Bloco funcional de espaço aéreo», bloco de espaço aéreo baseado em requisitos operacionais e estabelecido independentemente das fronteiras nacionais, em que a prestação de serviços de navegação aérea e as funções conexas são orientadas para o desempenho e otimizadas tendo em vista introduzir, em cada bloco funcional de espaço aéreo,através de uma cooperação reforçada entre os prestadores de serviços de navegação aérea ou, se apropriado, um prestador integrado; [Alt. 36]
25. «Tráfego aéreo geral», toda a circulação de aeronaves civis, bem como toda a circulação de aeronaves estatais, incluindo militares, aduaneiras e policiais, quando essa circulação se efetue em conformidade com os procedimentos da Organização da Aviação Civil Internacional (OACI), instituída pela Convenção de Chicago de 1944, relativa à Aviação Civil Internacional;
25-A. «Fator humano», as condições sociais, culturais e em termos de pessoal no setor de ATM; [Alt. 37]
26. «Interoperabilidade», um conjunto de características funcionais, técnicas e operacionais de que devem ser dotados os sistemas e componentes da REGTA e os procedimentos para a sua operação, que permita a sua exploração segura, uniforme e eficaz. A interoperabilidade obtém-se fazendo com que os sistemas e componentes cumpram os requisitos essenciais;
27. «Serviços meteorológicos», as instalações e os serviços que fornecem às aeronaves previsões, boletins e observações meteorológicos, bem como quaisquer outras informações ou dados meteorológicos fornecidos pelos Estados para uso aeronáutico;
28. «Serviços de navegação», as instalações e os serviços que fornecem às aeronaves informação de posicionamento e cronometria;
29. «Dados operacionais», a informação respeitante a todas as fases de um voo que é necessária à tomada de decisões operacionais por parte de prestadores de serviços de navegação aérea, utilizadores do espaço aéreo, operadores aeroportuários e outros intervenientes;
30. «Colocação em serviço», a primeira utilização operacional após a instalação inicial ou a introdução de uma versão melhorada de um sistema;
31. «Rede de rotas», uma rede de rotas específicas para canalizar o fluxo de tráfego aéreo geral de acordo com as necessidades deda prestação mais eficiente de serviços de CTA; [Alt. 38]
32. «Serviços de vigilância», as instalações e os serviços utilizados para determinar as posições relativas das aeronaves a fim de permitir uma separação segura;
33. «Sistema», a conjugação dos componentes aéreos e e/ou no solo, bem comoe/ou o equipamento espacial, que presta apoio aos serviços de navegação aérea em todas as fases do voo; [Alt. 39]
34. «Melhoramento», qualquer alteração que modifique as características operacionais de um sistema;.
35. «Serviços transfronteiriços», qualquer situação de prestação de serviços de navegação aérea num Estado-Membro por um prestador de serviços certificado noutro Estado-Membro;
36. «Autoridade supervisoraaeronáutica nacional», um organismo ou organismos nacionais incumbidos nacional incumbido por um Estado‑Membro de executar as, e acreditado pela EAA, das tarefas de supervisão previstas no presente regulamento e as autoridades nacionais competentes incumbidas das tarefas previstas no artigo 8.º-B dono Regulamento (CE) n.º 216/2008; [Alt. 40]
37. «Serviços de apoio», os serviços de CNS (comunicação, navegação aérea que não os serviços de tráfego aéreoe vigilância), MET (meteorológicos) e AIS (informação aeronáutica), bem como outros serviços e atividades com eles relacionados e que apoiam a prestação de serviços de navegação aérea; [Alt. 41]
38. «Objetivos de desempenho locais», objetivos de desempenho estabelecidos pelos Estados‑Membros a nível local, nomeadamente blocos funcionais de espaço aéreo, a nível nacional, de zona de tarifação ou de aeroporto.;
38-A. «Parceria setorial», os acordos de cooperação no âmbito de um contrato celebrado com o intuito de melhorar a gestão do tráfego aéreo entre os vários prestadores de serviços de navegação aérea, incluindo o gestor da rede, os utilizadores do espaço aéreo, os aeroportos ou outros agentes económicos comparáveis; [Alt. 42]
38-B. «Espaço aéreo operacional integrado», o espaço aéreo controlado com dimensões definidas que engloba o espaço aéreo europeu e, sob reserva da existência de mecanismos apropriados, o espaço aéreo dos países terceiros vizinhos onde a estrutura dinâmica de atribuição e a exploração em tempo partilhado, os recursos dos controladores com um melhor desempenho, os serviços de navegação aérea totalmente interoperáveis e as soluções combinadas são utilizados para abordar a utilização ótima, previsível e segura do espaço aéreo para a realização do Céu Único Europeu; [Alt. 43]
38-C. «Planos de desempenho local», os planos estabelecidos por uma ou mais autoridades aeronáuticas nacionais a nível local, nomeadamente a nível dos blocos funcionais de espaço aéreo, a nível regional ou nacional; [Alt. 44]
38-D. «Entidade competente», um organismo ao qual pode ser atribuída uma tarefa específica de certificação ou supervisão pela Agência ou por uma autoridade aeronáutica nacional e exercida sob o controlo e a responsabilidade desta. [Alt. 45]
1. Os Estados-Membros designam ou criam conjunta ou individualmente, como respetiva autoridade supervisoraaeronáutica nacional, um ou mais organismos que assumamorganismo que assuma as funções atribuídas a essa autoridade nos termos do presente regulamento e do Regulamento (CE) n.º 216/2008. [Alt. 47]
2. As autoridades supervisorasaeronáuticas nacionais devem ser juridicamente distintas e independentes, nomeadamente em termos organizativos, hierárquicos e decisórios, dos prestadores de serviços de navegação aérea e de quaisquer incluindo dotações orçamentais anuais separadas, das empresas, organizações, entidades públicas ou privadas com interessesou pessoal que se enquadrem no âmbito da atividade da autoridade, tal como previsto no presente regulamento e no artigo 1.º do Regulamento (CE) n.º 216/2008, ou que tenham interesse nas atividades exercidas por esses prestadores de serviçosessas entidades. [Alt. 48]
3. Sem prejuízo do disposto no n.º 2, as autoridades supervisorasaeronáuticas nacionais podem, em termos organizativos, associar-se a outras entidades reguladoras e/ou autoridades de segurança. [Alt. 49]
4. As autoridades supervisoras nacionais que, na data de entrada em vigor do presente regulamento, não sejam juridicamente distintas dos prestadores de serviços de navegação aérea ou de quaisquer entidades públicas ou privadas com interesses nas atividades destes, conforme previsto no n.º 2, devem satisfazer este requisito até 1 de janeiro de 2020devem assegurar o cumprimento das disposições estabelecidas no presente artigo na data de entrada em vigor do presente regulamento ou, o mais tardar, até 1 de janeiro de 2017. [Alt. 50]
5. As autoridades supervisorasaeronáuticas nacionais devem exercer as suas competências com imparcialidade, independência e transparência. Devem, em especial, estar organizadas, dispor do pessoal necessário e ser geridas e financiadas de modo a poder desempenhar as suas competências nessa conformidade. [Alt. 51]
6. O pessoal das autoridades supervisorasaeronáuticas nacionais deve: [Alt. 52]
a) Ser recrutado de acordo com regras claras e critérios claros e transparentes, que garantam a sua independência e, no caso do pessoal responsável pela adoção de decisões estratégicas, ser nomeado pelo gabinete ou conselho de ministros nacional ou outra autoridade pública que não controle ou beneficie diretamente dos prestadores de serviços de navegação aérea; [Alt. 53]
b) Ser selecionado no âmbito de um processo transparente, com base nas suas qualificações específicas, nomeadamente competências adequadas e experiência pertinente, entre outros, na área da auditoria e dos serviços e sistemas de navegação aérea; [Alt. 54]
b-A) Não ser destacado de prestadores de serviços de navegação aérea (ANSP) ou de empresas sob o controlo de ANSP; [Alt. 55]
c) Atuar de forma independente, em especial de quaisquer interesses relacionados com os prestadores de serviços de navegação aérea, não devendo, no desempenho das funções de autoridade supervisoraaeronáutica nacional, solicitar nem receber instruções de qualquer governo ou outra entidade pública ou privada, sem prejuízo de uma estreita cooperação com outras autoridades nacionais relevantes; [Alt. 56]
d) No caso do pessoal responsável pela adoção de decisões estratégicas, apresentar, anualmente, uma declaração de compromisso e uma declaração de interesses, com indicação de todos os interesses, diretos ou indiretos, que possam ser considerados prejudiciais para a sua independência e possam influenciar o desempenho das suas funções; e
e) No caso do pessoal que, há mais de seis meses, é responsável pela adoção de decisões estratégicas, pela realização de auditorias ou por outras funções diretamente relacionadas com a supervisão ou com objetivos de desempenho dos prestadores de serviços de navegação aérea, não exercer qualquer cargo ou responsabilidade profissional junto dos prestadores de serviços de navegação aérea, após o termo do seu mandato na autoridade supervisoraaeronáutica nacional, durante o período mínimo de um ano.de: [Alt. 57]
i) pelo menos doze meses para o pessoal com cargos de chefia; [Alt. 58]
ii) pelo menos seis meses para o pessoal sem cargos de chefia. [Alt. 59];
e-A) Os gestores da autoridade a nível superior são nomeados por um período fixo de três a sete anos, renovável uma única vez, e só podem ser demitidos das suas funções durante o período do mandato pelo facto de terem deixado de satisfazer as condições estabelecidas no presente artigo ou cometido falta grave nos termos da legislação nacional. [Alt. 60]
7. Os Estados-Membros devem assegurar que as autoridades supervisorasaeronáuticas nacionais dispõem dos recursos e das capacidades necessários para desempenhar as funções que lhes são cometidas nos termos do presente regulamento de forma eficiente e tempestiva. As autoridades supervisorasaeronáuticas nacionais devem ter plenos poderes a nível do recrutamento e da gestão do seu pessoal, com base em dotações próprias, designadamente provenientes de taxas de rota, que devem ser definidas proporcionalmente às tarefas que lhes incumbe executar, em conformidade com o artigo 4.º. [Alt. 61]
8. Os Estados-Membros notificam a Comissão dos nomes e endereços das autoridades supervisorasaeronáuticas nacionais, bem como das suas eventuais alterações, e das medidas aprovadas para garantir a conformidade com o disposto no presente artigo. [Alt. 62]
9. A Comissão deve estabelecer regras pormenorizadas que fixam as condições aplicáveis em matéria de recrutamento e seleção em aplicação do disposto no n.º 6, alíneas a) e b). Esses atos de execução devem ser adotados de acordo com o procedimento de exame a que se refere o artigo 27.º, n.º 3., e devem especificar: [Alt. 63]
a) O nível de separação exigido pela entidade competente para proceder a nomeações das empresas, organizações, entidades públicas ou privadas ou pessoal que se enquadrem no âmbito da atividade da autoridade, tal como previsto no artigo 1.º do Regulamento (CE) n.º 216/2008, ou que tenham interesse nas atividades exercidas por essas entidades, com vista a manter um equilíbrio entre evitar conflitos de interesse e a eficácia administrativa; [Alt. 64]
b) Qualificações técnicas relevantes exigidas ao pessoal envolvido nas auditorias. [Alt. 65]
Artigo 4.º
Funções das autoridades supervisorasaeronáuticas nacionais [Alt. 66]
1. As autoridades supervisorasaeronáuticas nacionais a que se refere o artigo 3.º são responsáveis, nomeadamente, pelas seguintes tarefas: [Alt. 67]
a) Assegurar a supervisão da aplicação do presente regulamento e do Regulamento (CE) n.º 216/2008, em especial no que se refere à segurança e eficiência das operações efetuadas pelos prestadores de serviços de navegação aérea que prestam serviços relacionados com o espaço aéreo sob a responsabilidade do Estado-Membro que tiver designado ou constituído a autoridade supervisora em questão; [Alt. 68]
b) Emitir certificados aos prestadores de serviços de navegação aérea em conformidade com o disposto no artigo 8.º-B do Regulamento (CE) n.º 216/2008 e controlar a aplicação das condições ao abrigo das quais foram emitidosO desempenho ou a delegação, total ou parcial, das tarefas enumeradas nos artigos 8.º-B, 8.º-C e 10.º do Regulamento (CE) n.º 216/2008 e o desempenho da tarefa de assegurar a supervisão da aplicação do presente regulamento, em especial no que se refere à segurança e eficiência das operações efetuadas pelos prestadores de serviços de navegação aérea relacionados com o espaço aéreo sob a responsabilidade dos Estados‑Membros; [Alt. 69]
c) Emitir licenças, qualificações, averbamentos e certificados aos controladores de tráfego aéreo, em conformidade com o artigo 8.º-C do Regulamento (CE) n.º 216/2008, e fiscalizar a aplicação das condições ao abrigo das quais foram emitidos; [Alt. 70]
d) Elaborar planos de desempenho e monitorizar a sua aplicação, em conformidade com o artigo 11.º;
e) Controlar a aplicação do regime de tarifação, em conformidade com os artigos 12.º e 13.º, incluindo as disposições relativas às subvenções cruzadas a que se refere o artigo 13.º, n.º 7; [Alt. 71]
f) Aprovar as condições de acesso aos dados operacionais, em conformidade com o artigo 22.º; e
g) Controlar as declarações e a colocação em serviço dos sistemas.;
g-A) Relatar anualmente a sua atividade e o cumprimento das suas tarefas às autoridades competentes do Estado‑Membro, à EAA e à Comissão. Os relatórios devem abranger as medidas tomadas e os resultados obtidos no que respeita a cada uma das tarefas enunciadas no presente artigo. [Alt. 72]
2. Cada autoridade supervisoraaeronáutica nacional organiza as inspeções e vistorias adequadas para verificar o cumprimento dos requisitos previstos no presente regulamento. O prestador de serviços de navegação aérea em questão deve facilitar essa tarefa e o Estado-Membro em causa deve oferecer toda a assistência necessária para garantir a eficácia do controlo desse cumprimento. [Alt. 73]
Artigo 5.º
Cooperação entre autoridades supervisoras nacionaisaeronáuticas competentes [Alt. 74]
1. As autoridades supervisorasaeronáuticas nacionais devem trocar informações sobre a sua atividade e princípios, práticas e procedimentos em matéria de tomada de decisão, bem como sobre a aplicação do direito da União. Devem colaborar no sentido da coordenação dos seus processos decisórios à escala da União. Devem participar e trabalhar em conjunto no âmbito de uma rede, que deve reunir-se a intervalos regulares e pelo menos uma vez por ano. A Comissão e a Agência da União Europeia para a Aviação (a seguir designada por «EAA») devem ser membros, coordenar e apoiar as atividades da rede e formular-lhe recomendações, conforme adequado. A Comissão e a EAA devem promover a cooperação ativa das autoridades supervisorasaeronáuticas nacionais, bem como os intercâmbios e a utilização de pessoal das autoridades supervisorasaeronáuticas nacionais, com base numa equipa de peritos a criar pela EAA, em conformidade com o artigo 17.º, n.º 2, alínea f), do Regulamento (CE) n.º 216/2008.
Essa rede pode, entre outras coisas,
a) Elaborar e divulgar metodologias e orientações racionalizadas para a implementação das tarefas das autoridades enumeradas no artigo 4.º;
b) Prestar assistência às autoridades aeronáuticas nacionais individuais sobre questões regulamentares;
c) Emitir pareceres para a Comissão e a EAA em matéria de regulamentação e certificação;
d) Emitir pareceres, orientações e recomendações destinadas a facilitar a prestação de serviços transfronteiriços;
e) Desenvolver soluções comuns, a implementar em dois ou mais Estados, para cumprir os objetivos do plano diretor ATM ou da Convenção de Chicago. [Alt. 75]
Sem prejuízo das regras relativas à proteção de dados previstas no artigo 22.º do presente regulamento e no Regulamento (CE) n.º 45/2001, a Comissão deve promoverproporcionar uma plataforma para o intercâmbio dasde informações previstas nos primeiro e segundo parágrafos do presente número entre os membros da rede, se possível através de ferramentas eletrónicas, respeitando a confidencialidade dos segredos comerciais dos prestadores de serviços de navegação aéreadas empresas, organizações ou entidades envolvidas. [Alt. 76]
2. As autoridades supervisorasaeronáuticas nacionais devem manter uma colaboração estreita, incluindo através de protocolos de cooperação, tendo em vista a assistência mútua nas suas tarefas de controlo e de gestão das investigações e inquéritos. [Alt. 77]
3. No que diz respeito aos blocos funcionais de espaço aéreo que se estendem pelo espaço aéreo da responsabilidade de mais de um Estado-Membro, os Estados-Membros em questão devem celebrar um acordo relativo à supervisão prevista no presente artigoartigo 4.º no que se refere aos prestadores de serviços de navegação aérea que prestam serviços relacionados com esses blocos. As autoridades supervisorasaeronáuticas nacionais em causa devem estabelecer um plano que especifica as modalidades da sua cooperação, tendo em vista a aplicação do referido acordo. [Alt. 78]
4. As autoridades supervisorasaeronáuticas nacionais cooperam estreitamente, de modo a assegurar a adequada supervisão dos prestadores de serviços de navegação aérea titulares de um certificado válido de um Estado-Membro que também prestam serviços relacionados com o espaço aéreo sob responsabilidade de outro Estado-Membro. Tal cooperação deve incluir procedimentos para o tratamento dos casos em que se verifique um incumprimento do presente regulamento e dos requisitos comuns aplicáveis adotados em conformidade com o artigo 8.º-B, n.º 1, do Regulamento (CE) n.º 216/2008. [Alt. 79]
5. No caso da prestação de serviços de navegação aérea num espaço aéreo sob a responsabilidade de outro Estado-Membro, os procedimentos a que se referem os n.ºs 2, 3 e 4 devem incluir um acordo sobre o reconhecimento mútuo das tarefas de supervisão enunciadas no artigo 4.º, n.ºs 1 e 2, e dos resultados destas. Esse reconhecimento mútuo aplica-se igualmente quando são utilizados mecanismos de reconhecimento entre autoridades supervisoras nacionais para o processo de certificação dos prestadores de serviços. [Alt. 80]
6. Se a legislação nacional o permitir, e tendo em vista a cooperação regional, as autoridades supervisorasaeronáuticas nacionais podem igualmente celebrar acordos sobre a repartição de responsabilidades no que respeita às tarefas de supervisão. [Alt. 81]
Artigo 6.º
Entidades qualificadas
1. A EEA e as autoridades supervisorasaeronáuticas nacionais podem delegar, no todototalmente ou em parte, as inspeções e, vistorias referidas no artigo 4.º, n.º 2, eme outras tarefas previstas nos termos do presente regulamento a entidades qualificadas que preencham os requisitos estabelecidos no anexo I. [Alt. 82]
2. A delegação pelas autoridades supervisoras nacionais é válida na União por um prazo renovável de três anos. A EEA e as autoridades supervisorasaeronáuticas nacionais podem confiar a realização das inspeções e vistorias a qualquer entidade qualificada estabelecida na União. [Alt. 83]
3. Os Estados-MembrosA EAA e as autoridades aeronáuticas nacionais devem notificar a Comissão, os restantes Estados-Membros e, se for caso disso, a EAA e os restantes Estados‑Membros das entidades qualificadas em quem delegaram tarefas em conformidade com o n.º 1, indicando os domínios da competência de cada entidade e o respetivo número de identificação, bem como quaisquer alterações destes. A Comissão publica no Jornal Oficial da União Europeia a lista das entidades qualificadas, os respetivos números de identificação e os respetivos domínios de competência e mantém a referida lista atualizada. [Alt. 84]
4. Os Estados-MembrosA EAA e as autoridades aeronáuticas nacionais devem retirar a delegação sempre que uma entidade qualificada deixe de satisfazer os requisitos estabelecidos no anexo I. Devem informar imediatamente desse facto a Comissão, a EAA e os restantes Estados-Membros. [Alt. 85]
5. Os organismos designados como organismos notificados antes da entrada em vigor do presente regulamento, em conformidade com o artigo 8.º do Regulamento (CE) n.º 552/2004, consideram-se entidades qualificadas para efeitos do presente artigo.
Artigo 7.º
Consulta dos interessados
1. As autoridades supervisorasaeronáuticas nacionais, nos termos da respetiva legislação nacional, estabelecem mecanismos de consulta tendo em vista a participação adequada dos interessados, incluindo dos organismos representativos dos profissionais do setor, no que respeita ao exercício das suas tarefas na implementação do Céu Único Europeu. [Alt. 86]
2. Entre os interessados podem incluir-se:
– os prestadores de serviços de navegação aérea,
– os operadores de aeroportos,
– os utilizadores do espaço aéreo em causa ou os grupos representativos dos utilizadores do espaço aéreo em causa,
– as autoridades militares,
– a indústria transformadora,
– os organismos representativos dos profissionais do setor.
CAPÍTULO III
PRESTAÇÃO DE SERVIÇOS
Artigo 8.º
Certificação dos prestadores de serviços de navegação aérea
1. Todos os serviços de navegação aérea prestados na União devem ser objeto de certificação pelas autoridades supervisorasaeronáuticas nacionais ou pela EAA, ou declarados junto destas, em conformidade com o artigo 8.º-B do Regulamento (CE) n.º 216/2008. [Alt. 87]
2. Caso tal não seja assegurado pelo Estado-Membro em causa, o processo de certificação deve ainda garantir que os requerentes podem demonstrar que dispõem de capacidade financeira suficiente e que estão cobertos por um seguro de responsabilidade civil.
3. O certificado deve prever o acesso não discriminatório aos serviços por parte dos utilizadores do espaço aéreo, dando particular atenção à segurança. A certificação deve satisfazer as condições estabelecidas no anexo II.
4. A emissão de um certificado confere ao prestador de serviços de navegação aérea a possibilidade de oferecer os seus serviços aos Estados-Membros a qualquer Estado-Membro, a outros prestadores de serviços de navegação aérea, a utilizadores do espaço aéreo e a aeroportos na União. No que respeita aos serviços de apoio, esta possibilidade deve ficar sujeita ao cumprimento do disposto no artigo 10.º, n.º 2e nos países terceiros vizinhos, se for o caso, num bloco funcional de espaço aéreo, sob reserva de acordos mútuos entre as partes relevantes. [Alt. 88]
Artigo 9.º
Designação dos prestadores de serviços de tráfego aéreo
1. Os Estados-Membros devem assegurar a prestação de serviços de tráfego aéreo em regime de exclusividade dentro de blocos específicos de espaço aéreo pertencentes ao espaço aéreo sob a sua responsabilidade. Para esse efeito, os Estados-Membros devem designar um prestador de serviços de tráfego aéreo que seja titular de um certificado ou de uma declaração válidos na União.
2. Para a prestação de serviços transfronteiriços, os Estados-Membros devem assegurar que o cumprimento do presente artigo e do artigo 18.º, n.º 3, não seja impedido pelo facto de os respetivos sistemas jurídicos nacionais exigirem que os prestadores de serviços de tráfego aéreo que prestam serviços no espaço aéreo sob a responsabilidade de um Estado‑Membro satisfaçam uma das seguintes condições :
a) Sejam propriedade, diretamente ou através de participação maioritária, desse Estado-Membro ou dos seus nacionais;
b) Tenham o seu estabelecimento principal ou a sua sede no território desse Estado-Membro;
c) Utilizem exclusivamente estruturas nesse Estado-Membro.
3. Os Estados-Membros definem os direitos e as obrigações a cumprir pelos prestadores de serviços de tráfego aéreo designados. Tais obrigações podem incluir condições com vista à prestação atempada de informações que permitam identificar todos os movimentos de aeronaves no espaço aéreo sob a sua responsabilidade.
4. Os Estados-Membros têm o poder discricionário de escolher um prestador de serviços de tráfego aéreo, desde que este esteja certificado ou declarado em conformidade com o Regulamento (CE) n.º 216/2008.
5. No que respeita aos blocos funcionais de espaço aéreo criados nos termos do artigo 16.º que se estendam pelo espaço aéreo sob a responsabilidade de mais de um Estado-Membro, os Estados-Membros em causa devem designar conjuntamente, nos termos do n.º 1 do presente artigo, um ou mais prestadores de serviços de tráfego aéreo, pelo menos um mês antes da implementação do bloco de espaço aéreo em questão. [Alt. 89]
6. Os Estados-Membros devem informar de imediato a Comissão e os outros Estados‑Membros de qualquer decisão tomada ao abrigo do presente artigo relativamente à designação de prestadores de serviços de tráfego aéreo nos blocos específicos de espaço aéreo pertencentes ao espaço aéreo sob a sua responsabilidade.
Artigo 10.º
Prestação de serviços de apoio
1. Os Estados-Membros devem tomar as medidas necessárias para, em conformidade com o presente artigo, assegurar que não existem impedimentos legais que possam impedir os prestadores de serviços de apoio podemde competir na União em condições equitativas, não discriminatórias e transparentes com o objetivo de fornecer esses serviços.
O requisito enunciado no presente artigo deve ser cumprido até 1 de janeiro de 2020.
2. Os Estados-Membros devem tomar todas as medidas necessárias para garantir uma separação entre a prestação de serviços de tráfego aéreo e a prestação de serviços de apoio. Esta separação significa que os serviços de tráfego aéreo e os serviços de apoio são prestados por empresas distintasque os prestadores de serviços de navegação aérea, ao elaborar os seus planos comerciais, peçam propostas a diferentes fornecedores de serviços de apoio, com vista a escolher o mais vantajoso em termos financeiros e qualitativos. O órgão de análise do desempenho previsto no artigo 11.º, n.º 2, deve controlar a conformidade com as disposições do presente número quando avaliar os planos de desempenho.
3. Quando da seleção do prestador externo de serviços de apoio, a entidade que adjudica os serviços deve ter em conta, em especial, a relação custo-eficiência, a qualidade global e a segurança dos serviçosdevem cumprir-se as disposições da Diretiva 2004/18/CE. Mais concretamente, os custos e a eficiência energética, a qualidade global dos serviços, a interoperabilidade e a segurança dos serviços, bem como a transparência do processo de adjudicação, devem ser critérios de seleção vinculativos para a entidade que adjudica os serviços.
4. A fim de poderem ser selecionados para prestar serviços no espaço aéreo de um Estado‑Membro, os prestadores de serviços de apoio devem:
a) Estar certificados em conformidade com o disposto no artigo 8.º-B do Regulamento (CE) n.º 216/2008;
b) Ter o seu estabelecimento principal no território de um Estado-Membro;
c) Ser propriedade, mediante participação superior a 50%, e ser efetivamente controlados pelos Estados-Membros e/ou por nacionais dos Estados-Membros, direta ou indiretamente através de uma ou mais empresas intermediárias, salvo disposição em contrário prevista num acordo com um país terceiro no qual a União seja Parte; e
d) Cumprir os requisitos aplicáveis a nível nacional em matéria de segurança e de defesa.
5. Os serviços de apoio relacionados com as operações da REGTA podem ser prestados pelo gestor da rede de forma centralizada, acrescentando esses serviços aos contemplados no artigo 17.º, n.º 2, em conformidade com o artigo 17.º, n.º 3. Podem também ser prestados em regime de exclusividade por um prestador de serviços de navegação aérea ou por consórcios de prestadores de serviços, nomeadamente os relacionados com o fornecimento de equipamentos ATM. A Comissão deve definir as condições de seleção dos prestadores de serviços ou consórcios destes, em função da sua capacidade profissional e aptidão para prestarem serviços de forma imparcial e economicamente eficiente, e efetuar uma avaliação global dos custos e benefícios estimados da prestação de serviços de apoio centralizados. Esses atos de execução devem ser adotados de acordo com o procedimento de exame a que se refere o artigo 27.º, n.º 3. A Comissão deve designar os prestadores ou consórcios destes em conformidade com tais atos de execução.
5-A. A Comissão deve estabelecer regras pormenorizadas que fixem as modalidades aplicáveis em matéria de seleção dos serviços abrangidos pelo presente artigo. Esses atos de execução devem ser adotados de acordo com o procedimento de exame a que se refere o artigo 27.º, n.º 3.
5-B. A Comissão deve realizar um estudo pormenorizado sobre os impactos operacionais, económicos, a nível da segurança e sociais da introdução de princípios de mercado na prestação de serviços de apoio, e apresentar esse estudo ao Parlamento Europeu e ao Conselho, até 1 de janeiro de 2016. O estudo deve ter em conta a implementação do plano diretor ATM e o impacto das tecnologias SESAR no setor dos serviços de apoio. [Alt. 90]
Artigo 11.º
Sistema de desempenho
1. A fim de melhorar o desempenho dos serviços de navegação aérea e dos serviços da rede no Céu Único Europeu, deve ser criado um sistema de desempenho para esses serviços. O sistema deve incluir:
a) Objetivos de desempenho a nível da União e local associados nos domínios essenciais de desempenho que são a segurança, o ambiente, a capacidade e a relação custo-eficiência, de acordo com os objetivos de alto nível do plano diretor ATM estabelecidos para a totalidade de um período de referência; [Alt. 91]
b) Planos nacionais ou planos relativos aos blocos funcionais de espaço aéreo de desempenho locais, incluindo objetivos de desempenho, que assegurem a conformidade com os objetivos de desempenho a nível da União e local associados; e [Alt. 92]
c) Uma análise, monitorização e avaliação comparativa periódicas do desempenho dos serviços de navegação aérea e dos serviços de rede.
2. A Comissão deve designar um orgãoórgão independente, imparcial e competente para agir como “orgãoórgão de análise do desempenho”(PRB). O orgão de análise do desempenho PRB deve ter por funçãoser estabelecido como um regulador económico europeu, sob a supervisão da Comissão, a partir de 1 de julho de 2015. O papel do PRB deve ser assistir a Comissão, em coordenação com as autoridades supervisorasaeronáuticas nacionais e, a pedido, assistir e controlar estas últimas, na aplicação do sistema de melhoria do desempenho a que se refere o n.º 1. O PRB deve ser funcional e juridicamente distinto de qualquer prestador de serviços,a nível nacional ou pan-europeu. A assistência técnica ao órgão de análise do desempenho PRB pode ser prestada pela EAA,pelo gestor da rede, e pelo Eurocontrol ou por outra entidade competente. [Alt. 93]
3. Os planos nacionais ou os planos relativos aos blocos funcionais de espaço aéreode desempenho locais a que se refere o n.º 1, alínea b), são elaborados pelas autoridades supervisorasaeronáuticas nacionais e aprovados pelo(s)Estado(s)-Membro(s). Esses planos devem incluir objetivos locais vinculativos e um sistema de incentivos adequado aprovado pelo(s) Estado(s)-Membro(s). Os planos são elaborados em consulta com a Comissão, o PRB, os prestadores de serviços de navegação aérea, os representantes dos utilizadores do espaço aéreo e, se for caso disso, os operadores e os coordenadores dos aeroportos. [Alt. 94]
4. A conformidade dosA conformidade dos planos nacionais ou relativos aos blocos funcionais de espaço aéreode desempenho locais e dos objetivos locais com os objetivos de desempenho à escala da União é avaliada pela Comissão em cooperação com o órgão de análise do desempenho PRB. [Alt. 95]
Se a Comissão verificardeterminar que os planos nacionais ou relativos aos blocos funcionais de espaço aéreo de desempenho locais ou que os objetivos locais não são conformes com os objetivos a nível da União pode instar os Estados-Membros em causa a tomarem as medidas corretivas necessárias. Esses atos de execução devem ser adotados em conformidade com o procedimento consultivo a que se refere o artigo 27.º, n.º 2. [Alt. 96]
5. O período de referência para o sistema de desempenho a que se refere o n.º 1 deve cobrir no mínimo três e no máximo cinco anos. Durante esse período, se os objetivos locais não forem cumpridos, os Estados-Membros em causa devem definir e aplicar as medidas estabelecidas para corrigir a situação. Se concluir que essas medidas não são suficientes para corrigir a situação, a Comissão pode decidir que os Estados‑Membros em causa devem tomar as medidas corretivas necessárias ou aplicar sanções. Esses atos de execução devem ser adotados em conformidade com o procedimento consultivo a que se refere o artigo 27, n.º 2.
6. A Comissão devee a EAA, juntamente com o PRB, devem proceder a avaliações regulares da realização dos objetivos de desempenho a nível da União e local associados. [Alt. 97]
7. O sistema de desempenho a que se refere o n.º 1 baseia-se no seguinte :
a) Recolha, validação, análise, avaliação e divulgação de dados relevantes relacionados com o desempenho dos serviços de navegação aérea e dos serviços da rede de todos os interessados, incluindo prestadores de serviços de navegação aérea, utilizadores do espaço aéreo, operadores de aeroportos, EAA, autoridades supervisorasaeronáuticas nacionais, Estados-Membros e Eurocontrol; [Alt. 98]
b) Seleção de domínios essenciais de desempenho adequados, com base no documento n.º 9854 da OACI «Global Air Traffic Management Operational Concept», e conformes com o quadro de desempenho do plano diretor ATM, nomeadamente a segurança, o ambiente, a capacidade e, a relação custo-eficiência e o fator humano, adaptados sempre que necessário para ter em conta as necessidades específicas do Céu Único Europeu e os objetivos estabelecidos nestes domínios, bem como definição de um conjunto restrito de indicadores essenciais de desempenho para avaliar o desempenho. Deve ser votada uma atenção especial aos indicadores de desempenho no domínio da segurança; [Alt. 99]
c) Fixação e revisão dos objetivos de desempenho a nível da União e locais associados para cuja definição são tidos em conta os contributos recolhidos a nível nacional ou dos blocos funcionais de espaço aéreo. Os objetivos de desempenho a nível da União devem ser estabelecidos com vista a assegurar que cada bloco funcional de espaço aéreo mantenha flexibilidade suficiente para obter os melhores resultados; [Alt. 100]
d) Definição de critérios para a elaboração, pelas autoridades supervisorasaeronáuticas nacionais, dos planos de desempenho nacionais ou relativos aos blocos funcionais de espaço aéreolocais, que compreendam os objetivos de desempenho a nível local e o sistema de incentivos. Os planos de desempenho devem: [Alt. 101]
i) basear-se nos planos comerciais dos prestadores de serviços de navegação aérea, que, por sua vez, devem ter em conta a implementação do plano diretor ATM; [Alt. 102]
ii) tratar de todos os elementos do custo de base a nível nacional ou dos blocos funcionais de espaço aéreo;
iii) incluir objetivos de desempenho obrigatórios a nível local, que sejam conformes com os objetivos de desempenho a nível da União;
e) Avaliação dos objetivos de desempenho a nível local com base no plano nacional ou no plano relativo aos blocos funcionais de espaço aéreode desempenho local; [Alt. 103]
f) Monitorização dos planos de desempenho nacionais ou relativos aos blocos funcionais de espaço aéreolocais, incluindo mecanismos de alerta apropriados; [Alt. 104]
g) Definição dos critérios e mecanismos de compensação a aplicar em caso de sanções por incumprimento dos objetivos de desempenho fixados a nível da União e local associados durante o período de referência e para apoiar os mecanismos de alerta; [Alt. 105]
h) Definição dos princípios gerais a respeitar pelos Estados-Membros para a elaboração do sistema de incentivos;
i) Definição dos princípios para a aplicação de um mecanismo transitório necessário para a adaptação ao funcionamento do sistema de desempenho, que não pode ultrapassar um período de doze meses a contar da aprovação do ato delegado a que é feita referência no presente número;
j) Fixação dos períodos de referência e intervalos adequados para a avaliação do cumprimento dos objetivos de desempenho e o estabelecimento de novos objetivos;
k) Estabelecimento dos calendários necessários respetivos.
A Comissão deve ter poderes para adotar atos delegados em conformidade com o artigo 26.º a fim de adotar os objetivos de desempenho a nível da União e estabelecer regras pormenorizadas para o bom funcionamento do sistema de desempenho de acordo com os pontos enumerados no presente número. [Alt. 106]
8. Aquando da elaboração do sistema de desempenho deve ser tomado em conta o facto de os serviços de rota, os serviços terminais e os serviços de rede serem diferentes, devendo ser tratados em conformidade, se necessário também para efeitos de avaliação do desempenho.
8-A. A Comissão deve realizar um estudo sobre o impacto que o comportamento de intervenientes que não são prestadores de serviços de navegação aérea dentro do sistema de gestão do tráfego aéreo, por exemplo operadores e coordenadores dos aeroportos e operadores de transportes aéreos, pode ter no funcionamento eficiente da rede europeia de gestão do tráfego aéreo.
O âmbito do estudo deve abranger, entre outros:
a) A identificação de intervenientes que não são prestadores de serviços de navegação aérea no sistema de gestão do tráfego aéreo e que podem influenciar o desempenho da rede;
b) Os efeitos que o comportamento desses intervenientes tem no desempenho de ANS relativamente aos domínios de desempenho essenciais da segurança, do ambiente e da capacidade;
c) A viabilidade de desenvolver indicadores de desempenho e indicadores essenciais de desempenho para esses intervenientes;
d) Quaisquer benefícios para a rede europeia de gestão do tráfego aéreo que possam advir da implementação de indicadores de desempenho adicionais e de indicadores essenciais de desempenho; e quaisquer barreiras para alcançar o desempenho ideal.
O estudo deve ser iniciado, o mais tardar, 12 meses após a publicação do presente regulamento e concluído, o mais tardar, 12 meses depois; os resultados do mesmo devem então ser tidos em conta pela Comissão e pelos Estados-Membros com vista a alargar o âmbito do sistema de desempenho para incluir quaisquer indicadores de desempenho adicionais e indicadores essenciais de desempenho para futuros períodos de referência, de acordo com as disposições do presente artigo. [Alt. 107]
Artigo 12.º
Disposições gerais aplicáveis ao regime de tarifação
Nos termos dos requisitos previstos nos artigos 13.º e 14.º, o regime de tarifação dos serviços de navegação aérea deve contribuir para o aumento da transparência no que se refere à determinação, imposição e controlo da aplicação de taxas aos utilizadores do espaço aéreo e para a rentabilidade da prestação de serviços de navegação aérea e eficiência das operações de voo, mantendo simultaneamente um nível otimizado de segurança. O regime deve também ser compatível com o disposto no artigo 15.º da Convenção de Chicago de 1944 sobre a Aviação Civil Internacional e com o regime de tarifação do Eurocontrol relativo a taxas de rota.
Artigo 13.º
Princípios aplicáveis ao regime de tarifação
1. O regime de tarifação deve basear-se nos custos dos serviços de navegação aérea suportados pelos prestadores de serviços em benefício dos utilizadores do espaço aéreo. O regime deve repartir esses custos por categorias de utilizadores.
2. Na definição da base de custos para a fixação das taxas, são aplicáveis os princípios estabelecidos nos n.ºs 3 a 8.
3. O custo a partilhar pelos utilizadores do espaço aéreo deve corresponder ao custo determinado para a prestação de serviços de navegação aérea, incluindo os montantes adequados relativos a juros sobre o investimento de capital e à depreciação de ativos, bem como aos custos de manutenção, exploração, gestão e administração, incluindo os custos suportados pela EAA para realizar tarefas da responsabilidade da autoridade competente. O custo determinado é aquele que é estabelecido pelo Estado-Membro a nível nacional ou de bloco funcional de espaço aéreo no início do período de referência para cada ano civil do período de referência a que se refere o artigo 11.º, n.º 5, ou durante o período de referência, na sequência de adaptações apropriadas decorrentes da aplicação dos mecanismos de alerta previstos no artigo 11.º.
4. Os custos a considerar neste contexto são os respeitantes às estruturas e serviços oferecidos e utilizados em conformidade com o plano regional de navegação aérea da OACI para a região europeia. Devem igualmente incluir os custos suportados pelas autoridades supervisorasaeronáuticas nacionais e/ou pelas entidades qualificadas, bem como outros custos decorrentes da prestação de serviços de navegação aérea suportados pelo Estado-Membro e pelo prestador de serviços em causa. Não incluem os custos de sanções aplicadas pelos Estados-Membros, tal como previsto no artigo 33.º, nemou os custos de eventuais medidas corretivas ou sanções, tal como previsto no artigo 11.º, n.º 5. [Alt. 108]
5. No que diz respeito aos blocos funcionais de espaço aéreo e como parte dos respetivos acordos-quadro, os Estados-Membros devem envidar esforços razoáveis para chegar a acordo em relação a princípios comuns da política tarifária, com vista a chegar a uma taxa única, em conformidade com os respetivos planos de desempenho. [Alt. 109]
6. O custo dos diferentes serviços de navegação aérea deve ser identificado de forma separada, tal como previsto no artigo 21.º, n.º 3.
7. Não são autorizadas subvenções cruzadas entre serviços de rota e serviços terminais. Os custos decorrentes tanto dos serviços terminais como dos serviços de rota são repartidos de forma proporcional entre os serviços de rota e os serviços terminais, com base numa metodologia transparente. As subvenções cruzadas são autorizadas entre serviços de tráfego aéreo distintos numa das duas categorias, desde que justificadas por razões objetivas e claramente identificadas. Não são autorizadas subvenções cruzadas entre serviços de tráfego aéreo e serviços de apoio.
8. Deve ser assegurada a transparência da base de custos relativa às taxas. Devem ser fixadas regras de execução relativamente à prestação de informações pelos prestadores de serviços, tendo em vista a realização de análises das previsões dos prestadores e dos custos e receitas reais. As autoridades supervisoras nacionais, os prestadores de serviços, os utilizadores do espaço aéreo, a Comissão e o Eurocontrol devem proceder a um intercâmbio regular de informações.
9. Na fixação das taxas nos termos dos n.ºs 3 a 8, os Estados-Membros devem respeitar os seguintes princípios:
a) Devem ser fixadas taxas pela disponibilização dos serviços de navegação aérea em condições não discriminatórias. Aquando da imposição de taxas a diferentes utilizadores do espaço aéreo pela utilização do mesmo serviço, não deve ser estabelecida qualquer distinção relacionada com a nacionalidade ou a categoria do utilizador;
b) Pode ser autorizada a isenção de determinados utilizadores, em especial de aeronaves ligeiras e aeronaves do Estado, desde que o custo dessas isenções não seja repercutido noutros utilizadores;
c) As taxas devem ser fixadas por ano civil com base nos custos determinados;
d) Os serviços de navegação aérea podem produzir receitas suficientes para garantir uma rentabilidade razoável que contribua para os aumentos de capital necessários;
e) As taxas devem refletir o custo dos serviços de navegação aérea e das estruturas disponibilizadas aos utilizadores do espaço aéreo, incluindo os custos suportados pela EAA para realizar tarefas da responsabilidade da autoridade competente, tendo em conta as capacidades produtivas relativas dos diferentes tipos de aeronaves considerados;
f) As taxas devem incentivar a prestação segura, eficiente, eficaz e sustentável de serviços de navegação aérea, tendo como objetivo obter um elevado nível de segurança, uma boa relação custo-eficiência e a consecução dos objetivos de desempenho, assim como promover a prestação integrada de serviços, reduzindo simultaneamente o impacto ambiental da aviação. Para efeitos da alínea f)presentealínea, e no que respeita aos planos de desempenho nacionais ou relativos aos blocos funcionais de espaço aéreo, as autoridades supervisoras nacionais podemlocais, a autoridade aeronáutica nacional pode instituir mecanismos, incluindo incentivos que consistam em vantagens e desvantagens financeiras, destinados a encorajar os prestadores de serviços de navegação aérea e/ou os utilizadores do espaço aéreo a apoiar melhorias da prestação de serviços de navegação aérea, nomeadamente o aumento da capacidade, a diminuição dos atrasos e o desenvolvimento sustentável, mantendo ao mesmo tempo um nível de segurança otimizado. [Alt. 110]
10. A Comissão deve adotar medidas que definam pormenorizadamente o procedimento a aplicar nos termos dos n.ºs 1 a 9. A Comissão pode propor mecanismos financeiros para melhorar a sincronização dos investimentos aéreos e no solo relacionados com a implantação das tecnologias SESAR. Esses atos de execução devem ser adotados de acordo com o procedimento de exame a que se refere o artigo 27.º, n.º 3. [Alt. 111]
Artigo 14.º
Fiscalização do cumprimento dos artigos 12.º e 13.º
1. A Comissão deve proceder à fiscalização contínua do cumprimento dos princípios e das regras a que se referem os artigos 12.º e 13.º, em cooperação com os Estados‑Membros. A Comissão deve diligenciar no sentido de estabelecer os mecanismos necessários para tirar partido da competência técnica do Eurocontrol e partilhar os resultados da fiscalização com os Estados‑Membros, o Eurocontrol e os representantes dos utilizadores do espaço aéreo.
2. A pedido de um ou mais Estados-Membros, ou por iniciativa própria, a Comissão deve examinar as medidas específicas adotadas pelas autoridades nacionais em aplicação dos artigos 12.º e 13.º no que respeita à determinação de custos e taxas. Sem prejuízo do artigo 32.º, n.º 1, a Comissão partilha os resultados da investigação com os Estados-Membros, o Eurocontrol e os representantes dos utilizadores do espaço aéreo. No prazo de dois meses a contar da receção de um pedido, depois de ouvido o Estado‑Membro em questão, a Comissão decide se os artigos 12.º e 13.º foram respeitados e se as medidas podem, por conseguinte, continuar a ser aplicadas. Esses atos de execução devem ser adotados nos termos do procedimento consultivo a que se refere o artigo 27.º, n.º 2.
Artigo 14.º-A
Implementação do plano diretor ATM
A implementação do plano diretor ATM deve ser coordenada pela Comissão. O gestor da rede, o PRB e o gestor da implantação devem contribuir para a implementação do plano diretor ATM, de acordo com as disposições do presente regulamento. [Alt. 112]
Artigo 14.º-B
A Comissão deve adotar medidas que estabeleçam a governação da implementação do plano diretor ATM, incluindo a definição e seleção do órgão responsável a nível da gestão (gestor da implantação). Esses atos de execução devem ser adotados de acordo com o procedimento de exame a que se refere o artigo 27.º, n.º 3. [Alt. 113]
Artigo 14.º-C
O gestor da implantação deve recomendar à Comissão prazos vinculativos para a implantação e ações corretivas apropriadas relativas aos atrasos na implementação. [Alt. 114]
Artigo 15.º
Projetos comuns
1. A execução do plano diretor ATM pode ser apoiada por projetos comuns. Esses projetos devem contribuir para a realização dos objetivos do presente regulamento, que consistem na melhoria do desempenho do sistema de aviação europeu em domínios fundamentais como a capacidade, a eficiência de voo e de custos e a sustentabilidade ambiental, no cumprimento dos objetivos imperativos de segurança. Os projetos comuns devem visar a implantação das funcionalidades ATM de forma atempada, coordenada e sincronizada, de modo a completar com vista a realizar as alterações operacionais essenciais identificadas no plano diretor ATM, incluindo a identificação da dimensão geográfica, da arquitetura de projeto orientada para o desempenho e da abordagem de prestação de serviços mais apropriadas a aplicar pelo gestor da implantação. Quando aplicável, a conceção e a execução de projetos comuns destinam-se a permitir a existência de um conjunto de capacidades básicas interoperáveis em todos os Estados-Membros. [Alt. 115]
2. A Comissão pode adotar medidas no domínio da governação dos projetos comuns e identificar incentivos à sua execução. O órgão que gere a execução dos projetos comuns deve ser o mesmo órgão que é responsável pela implementação da base do plano diretor ATM. Esses atos de execução devem ser adotados de acordo com o procedimento de exame a que se refere o artigo 27.º, n.º 3. Essas medidas não devem prejudicar devem complementar os mecanismos de execução dos projetos relativos aos blocos funcionais de espaço aéreo acordados pelos respetivos parceiros. [Alt. 116]
3. A Comissão pode adotar projetos comuns para as funções relacionadas com a rede, que se revistam de particular importância para a melhoria do desempenho global da gestão do tráfego aéreo e dos serviços de navegação aérea na Europa, identificando as funcionalidades ATM prontas para serem implantadas, juntamente com o calendário e o âmbito geográfico da implantação. Esses atos de execução devem ser adotados de acordo com o procedimento de exame a que se refere o artigo 27.º, n.º 3. Os projetos comuns podem ser considerados elegíveis para financiamento da União no âmbito do quadro financeiro plurianual. Para esse efeito, e sem prejuízo da competência dos Estados-Membros para decidir sobre a utilização dos seus recursos financeiros, a Comissão procede a uma análise de custos‑benefícios independente e à consulta dos Estados-Membros e dos interessados, nos termos do artigo 28.º, a fim de examinar todos os meios adequados para financiar a implantação dos projetos. Os custos da implantação de projetos comuns elegíveis para financiamento são recuperados de acordo com os princípios da transparência e da não-discriminação.
3-A. Os projetos comuns devem constituir o meio de execução das melhorias operacionais, desenvolvidas pelo projeto SESAR, de forma coordenada e tempestiva, contribuindo assim decisivamente para a consecução dos objetivos a nível da União. [Alt. 117]
Artigo 16.º
Blocos funcionais de espaço aéreo
1. Os Estados-Membros tomam todas as medidas necessárias para garantir a criação e a implementação de blocos funcionais de espaço aéreo com base na prestação integrada de serviços de tráfego aéreo navegação aérea, tendo em vista atingir a capacidade e a eficácia necessárias da rede de gestão do tráfego aéreo no Céu Único Europeu, manter um nível de segurança elevado e contribuir para o desempenho global do sistema de transporte aéreo e para a redução do impacto ambiental. [Alt. 118]
2. Os blocos funcionais de espaço aéreo devem, sempre que possível, ser criados com base em parcerias de cooperação setorial entre prestadores de serviços de navegação aérea, nomeadamente no que respeita à prestação de serviços de apoio, em conformidade com o artigo 10.º. As parcerias setoriais podem apoiar um ou mais blocos funcionais de espaço aéreo, ou partes destes, de modo a otimizar o seu desempenho. [Alt. 119]
3. Os Estados-Membros, as autoridades aeronáuticas nacionais e os prestadores de serviços de tráfego aéreonavegação aérea devem cooperar tanto quanto possível entre si para garantir o cumprimento do presente artigo. Se for caso disso, a cooperação pode incluir as autoridades aeronáuticas nacionais e os prestadores de serviços de tráfego aéreonavegação aérea dos países terceiros que façam parte dos blocos funcionais de espaço aéreo. [Alt. 120]
4. Concretamente, os blocos funcionais de espaço aéreo devem:
a) Justificar-se por questões de segurança;
b) Ser concebidos de modo a procurar garantir o máximo de sinergias resultantes das parcerias setoriais tendo em vista cumprir e, sempre que possível, ir além dos os objetivos de desempenho fixados em conformidade com o artigo 11.º; [Alt. 121]
c) Permitir otimizar e flexibilizar a utilização do espaço aéreo, tendo em conta os fluxos de tráfego aéreo; [Alt. 122]
d) Assegurar a coerência com a rede europeia de rotas criada nos termos do artigo 17.º;
e) Justificar-se pelo seu valor acrescentado global, incluindo a otimização da utilização dos recursos técnicos e humanos, com base em análises de custos‑benefícios;
f) Assegurar, quando aplicável, uma transferência fluida e flexível da responsabilidade pelo controlo do tráfego aéreo entre unidades dos serviços de tráfego aéreo;
g) Garantir a compatibilidade entre as diversas configurações do espaço aéreo;
h) Cumprir as condições decorrentes de acordos regionais celebrados no âmbito da OACI;
i) Respeitar os acordos regionais vigentes à data de entrada em vigor do presente regulamento, designadamente os que envolvem países terceiros europeus;
i-A) Consolidar a aquisição de infraestruturas ATM e aumentar a interoperabilidade dos equipamentos existentes; [Alt. 123]
i-B) Facilitar a coerência com os objetivos de desempenho a nível da União. [Alt. 124]
Os requisitos estabelecidos no n.º 4, alíneas c), d) e g), devem ser cumpridos de harmonia com a conceção otimizada do espaço aéreo pelo gestor da rede, em conformidade com o artigo 17.º.
5. Os requisitos enunciados no presente artigo podem ser cumpridos através da participação dos prestadores de serviços de navegação aérea num ou mais blocos funcionais de espaço aéreo.
6. Devem ser criados blocos funcionais operacionais de espaço aéreo que abranjam o espaço aéreo sob a responsabilidade de mais de um Estado-Membro por designação aéreo por designação conjunta entre todos os Estados-Membros bem como, se for caso disso, países terceiros que tenham sob a sua responsabilidade qualquer parte do espaço aéreo incluído nos blocos funcionais de espaço aéreo. [Alt. 126]
A designação conjunta, mediante a qual é criado o bloco funcional de espaço aéreo, deve incluir as disposições necessárias sobre a forma de alterar o bloco e o modo como um Estado-Membro ou, se for caso disso, um país terceiro, se pode retirar do mesmo, incluindo disposições transitórias.
7. Os Estados-Membros devem notificar a criação de blocos funcionais de espaço aéreo à Comissão. Antes de notificarem a Comissão da criação de um bloco funcional de espaço aéreo, o(s)Estado(s)-Membro(s) em causa presta(m) à Comissão, aos restantes Estados‑Membros e a outros interessados informações adequadas e concedem-lhes a oportunidade de apresentar as suas observações.
8. Caso surjam dificuldades entre dois ou mais Estados-Membros a propósito de um bloco funcional de espaço aéreo transfronteiriço que diga respeito a espaço aéreo sob a sua responsabilidade, os Estados-Membros em causa podem submeter conjuntamente o assunto à apreciação do Comité do Céu Único, para parecer. O parecer é dirigido a esses Estados‑Membros. Sem prejuízo do disposto no n.º 6, os Estados-Membros devem ter em conta esse parecer para encontrar uma solução.
9. Depois de receber as notificações dos Estados-Membros a que se referem os n.ºs 6 e 7, a Comissão avalia o cumprimento, por cada bloco funcional de espaço aéreo, dos requisitos enunciados no n.º 4 e apresenta os resultados aos Estados-Membros, para debate. Se considerar que um ou vários dos blocos funcionais de espaço aéreo não cumprem os requisitos, a Comissão estabelece um diálogo com os Estados-Membros em questão, a fim de chegar a um consenso sobre as medidas necessárias para corrigir a situação.
10. A Comissão pode adotar medidas em relação à designação conjunta dos prestadores de serviços de tráfego aéreo a que se refere o n.º 6, especificando as condições de seleção dos prestadores de serviços, o período de designação, os acordos de supervisão, a disponibilidade dos serviços a prestar e o regime de responsabilidade. Esses atos de execução devem ser adotados de acordo com o procedimento de exame a que se refere o artigo 27.º, n.º 3.
11. A Comissão pode adotar medidas relativas às informações a fornecer pelos Estados-Membros a que refere o n.º 6. Esses atos de execução devem ser adotados de acordo com o procedimento a que se refere o artigo 27.º, n.º 3. As disposições do presente número não afetam os acordos FAB existentes à data de entrada em vigor do presente regulamento, desde que esses acordos cumpram e, sempre que possível, superem os objetivos de desempenho fixados em conformidade com o artigo 11.º. [Alt. 127]
Artigo 16.º-A
Parcerias setoriais
1. Os prestadores de serviços de navegação aérea podem cooperar para criar parcerias setoriais, nomeadamente relacionadas com a prestação de serviços de apoio nos termos do artigo 10.º. As parcerias setoriais podem apoiar um ou mais blocos funcionais de espaço aéreo, ou partes destes, de modo a otimizar o seu desempenho.
2. A Comissão e os Estados-Membros devem envidar todos os esforços para assegurar a eliminação de quaisquer barreiras às parcerias entre prestadores de serviços de navegação aérea, tendo especialmente em conta questões de responsabilidade, modelos de tarifação e obstáculos à interoperabilidade. [Alt. 128]
Artigo 17.º
Gestão e conceção da rede
1. Os serviços da rede de gestão do tráfego aéreo devem permitir uma utilização otimizada e flexível do espaço aéreo e garantir que os utilizadores do espaço aéreo possam operar as suas trajetórias preferidas, assegurando simultaneamente o máximo acesso ao espaço aéreo e aos serviços de navegação aérea. Esses serviços da rede destinam-se a apoiar as iniciativas a nível nacional e a nível dos blocos funcionais de espaço aéreo e devem ser prestados de forma a respeitar a separação entre funções de regulação e funções operacionais. [Alt. 129]
2. Para alcançar os objetivos mencionados no n.º 1, e sem prejuízo das competências dos Estados-Membros relativamente às rotas nacionais e às estruturas do espaço aéreo, a Comissão garante que sejam prestados, sob a responsabilidade de um gestor de rede os seguintes serviços as seguintes funções e serviços são coordenados por um gestor da rede: [Alt. 130]
a) Conceção da rede de rotas europeia;
b) Coordenação de recursos escassos nas faixas de frequências aeronáuticas utilizadas pelo tráfego aéreo geral, designadamente radiofrequências, bem como coordenação de códigos dos transponders de radar;
c) Função central de gestão do fluxo de tráfego aéreo;
d) Criação de um portal de informação aeronáutica em conformidade com o artigo 23.º;
e) Conceção otimizada do espaço aéreo, incluindo dos setores do espaço aéreo e das estruturas do espaço aéreo nas zonas de rota e dos terminais, em cooperação com os prestadores de serviços de navegação aérea e os blocos funcionais de espaço aéreo a que se refere o artigo 16.º; [Alt. 131]
f) Função central de coordenação de crises no setor da aviação.
OsAs funções e serviços referidos no presente número não envolvem a aprovação de medidas vinculativas de âmbito geral nem o exercício de um poder de apreciação política. Têm em conta as propostas elaboradas a nível nacional e a nível dos blocos funcionais de espaço aéreo. Devem ser prestados em coordenação com as autoridades militares, de acordo com os procedimentos acordados relativos à utilização flexível do espaço aéreo. [Alt. 132]
A Comissão pode, nos termos das regras de execução referidas no n.º 4, designar o Eurocontrol, ou outro organismo imparcial e competente, para executar as tarefas do gestor da rede. Essas tarefas devem ser executadas de forma imparcial e economicamente eficiente e em nome da União, dos Estados-Membros e dos interessados. São sujeitas a uma governação apropriada, que reconhece responsabilidades separadas pela prestação de serviços e pela regulação, tendo em conta as necessidades do conjunto da rede de gestão do tráfego aéreo e com a plena participação dos utilizadores do espaço aéreo e dos prestadores de serviços de navegação aérea. A Comissão deve, até 1 de janeiro de 20201 de janeiro de 2016, designar o gestor da rede como prestador de serviços independente, constituído, na medida do possível, sob a forma de parceria setorial. [Alt. 133]
3. A Comissão deve ter poderes para adotar atos delegados em conformidade com o artigo 26.º a fim de fazer aditamentos à lista de serviços constante do n.º 2, de modo a adaptá-la ao progresso técnico e operacional no que respeita à prestação centralizada de serviços de apoio.
4. A Comissão deve adotar regras de execução nos seguintes domínios :
a) Coordenação e harmonização de processos e procedimentos para aumentar a eficiência da gestão das frequências aeronáuticas, incluindo a definição de princípios e critérios;
b) Função central de coordenação da identificação e resolução precoce das necessidades de frequências nas faixas atribuídas ao tráfego aéreo geral europeu, a fim de apoiar a conceção e o funcionamento da rede europeia de aviação;
c) Serviços adicionais da rede definidos no plano diretor ATM;
d) Regras detalhadas do processo de decisão cooperativo entre os Estados-Membros, os prestadores de serviços de navegação aérea e a função de gestão da rede relativamente às tarefas referidas no n.º 2;
e) Regras detalhadas aplicáveis à governação do gestor da rede, com a participação de todas as partes operacionais interessadas;
f) Procedimentos de consulta dos interessados no âmbito do processo de decisão, tanto a nível nacional como a nível europeu; e
g) No espetro de radiofrequências atribuído ao tráfego aéreo geral pela União Internacional das Telecomunicações, repartição de tarefas e responsabilidades entre a função de gestão da rede e os gestores de frequências nacionais, de modo a assegurar que os serviços de gestão das frequências nacionais continuam a atribuir frequências que não tenham qualquer impacto na rede. Nos casos em que não haja qualquer impacto na rede, os gestores de frequências nacionais cooperam com os responsáveis pela função de gestão da rede, a fim de otimizar a utilização das frequências.
Esses atos de execução devem ser adotados de acordo com o procedimento de exame a que se refere o artigo 27.º, n.º 3.
5. Os aspetos da conceção do espaço aéreo distintos dos mencionados no n.º 2 e no n.º 4, alínea c), devem ser tratados a nível nacional ou a nível dos blocos funcionais de espaço aéreo. Esse processo de conceção deve ter em conta as exigências e a complexidade do tráfego e os planos de desempenho nacionais ou a nível dos blocos funcionais de espaço aéreolocais e incluir a consulta exaustiva de utilizadores do espaço aéreo ou de grupos que representem utilizadores do espaço aéreo e as autoridades militares, conforme o caso. [Alt. 134]
Artigo 18.º
Relações entre prestadores de serviços
1. Os prestadores de serviços de navegação aérea podem recorrer aos serviços de outros prestadores de serviços certificados ou declarados na União.
2. Os prestadores de serviços de navegação aérea devem formalizar as suas relações de trabalho através da celebração de acordos escritos ou de convénios legais equivalentes que fixem os deveres e funções específicos assumidos por cada prestador e permitam o intercâmbio de dados operacionais entre todos os prestadores de serviços na medida em que digam respeito ao tráfego aéreo geral. Esses acordos ou convénios devem ser notificados à autoridade supervisora nacional competente.
3. A aprovação dos Estados-Membros em questão é necessária nos casos de prestação de serviços de tráfego aéreo.
Artigo 19.º
Relações com as partes interessadas
Os prestadores de serviços de navegação aérea devem estabelecer mecanismos de consulta dos grupos de utilizadores do espaço aéreo e dos operadores de aeródromos interessados sobre todas as matérias importantes relacionadas com os serviços prestados e os planos de investimento estratégicos, nomeadamente no que diz respeito aos aspetos que exigem a sincronização entre a implantação de equipamento aéreo e no solo ou com alterações pertinentes das configurações do espaço aéreo. Os utilizadores do espaço aéreo devem também participar no processo de aprovação dos planos de investimento estratégicos. A Comissão deve adotar medidas que descrevam pormenorizadamente as modalidades de consulta e de participação dos utilizadores do espaço aéreo no processo de aprovação na elaboração dos planos de investimentoestratégicos para assegurar a sua coerência com o plano diretor ATM e os projetos comuns a que se refere o artigo 15.º. Esses atos de execução devem ser adotados de acordo com o procedimento de exame a que se refere o artigo 27.º, n.º 3. [Alt. 135]
Sem prejuízo do papel do Comité do Céu Único, a Comissão deve estabelecer um grupo de peritos consultivo sobre o fator humano, ao qual devem pertencer os parceiros sociais europeus da Gestão do Tráfego Aéreo e outros peritos de organismos representativos dos profissionais do setor. O papel deste grupo deve ser aconselhar a Comissão sobre a interação entre as operações e o fator humano no setor de gestão do tráfego aéreo. [Alt. 136]
Artigo 20.º
Relações com as autoridades militares
No contexto da política comum de transportes, os Estados-Membros devem tomar as medidas necessárias para assegurar que as autoridades civis e militares competentes estabelecem ou renovam acordos escritos ou convénios legais equivalentes, relativamente à gestão de blocos específicos de espaço aéreo.
Artigo 21.º
Transparência contabilística
1. Independentemente do seu regime de propriedade ou forma jurídica, os prestadores de serviços de navegação aérea devem elaborar, submeter a auditoria e publicar as suas contas. Estas contas devem obedecer às normas internacionais de contabilidade aprovadas pela União. Nos casos em que, devido ao estatuto jurídico do prestador de serviços, não for possível o pleno cumprimento dessas normas, o prestador deve esforçar-se por as cumprir tanto quanto for possível.
Os Estados-Membros devem tomar todas as medidas necessárias para assegurar que os prestadores de serviços de navegação aérea cumpram o disposto no presente artigo até 1 de julho de 2017. [Alt. 137]
2. Em qualquer caso, os prestadores de serviços de navegação aérea devem publicar um relatório anual e ser regularmente sujeitos a uma auditoria independente.
3. Sempre que ofereçam pacotes de serviços, os prestadores de serviços de navegação aérea devem identificar e revelar os custos e as receitas decorrentes dos serviços de navegação aérea, discriminados de acordo com o regime de tarifação dos serviços de navegação aérea a que se refere o artigo 12.º, e, se necessário, manter contas consolidadas para serviços diversos dos de navegação aérea, como seriam obrigados a fazer caso os serviços em questão fossem prestados por empresas distintas.
4. Os Estados-Membros devem designar as autoridades competentes com direito de acesso à contabilidade dos prestadores de serviços que exercem atividade no espaço aéreo sob a sua responsabilidade.
5. Os Estados-Membros podem aplicar as disposições transitórias do artigo 9.º do Regulamento (CE) n.º 1606/2002 do Parlamento Europeu e do Conselho, de 19 de julho de 2002, relativo à aplicação das normas internacionais de contabilidade(20), aos prestadores de serviços de navegação aérea que se enquadrem no âmbito de aplicação desse regulamento. [Alt. 138]
Artigo 22.º
Acesso e proteção de dados
1. Na medida em que diga respeito ao tráfego aéreo geral, o intercâmbio de dados operacionais pertinentes entre todos os prestadores de serviços de navegação aérea, utilizadores do espaço aéreo e aeroportos deve ocorrer em tempo real, para facilitar a satisfação das suas necessidades operacionais. Os dados devem ser utilizados exclusivamente para fins operacionais.
2. O acesso aos dados operacionais pertinentes deve ser concedido às autoridades competentes, aos prestadores de serviços de navegação aérea certificados ou declarados, aos utilizadores do espaço aéreo e aos aeroportos numa base não discriminatória.
3. Os prestadores de serviços certificados ou declarados, os utilizadores do espaço aéreo e os aeroportos devem estabelecer as condições normalizadas de acesso aos seus dados operacionais pertinentes não referidos no n.º 1. As autoridades supervisoras nacionais devem aprovar essas condições normalizadas. A Comissão pode estabelecer medidas no que respeita aos procedimentos a aplicar no intercâmbio de dados e tipos de dados relativamente a essas condições de acesso e respetiva aprovação. Esses atos de execução devem ser adotados de acordo com o procedimento de exame a que se refere o artigo 27.º, n.º 3.
CAPÍTULO IV
ESPAÇO AÉREO
Artigo 23.º
Informação aeronáutica eletrónica
1. Sem prejuízo da publicação de informação aeronáutica pelos Estados-Membros e em consonância com esta, a Comissão, em cooperação com o gestor da rede, deve garantir a disponibilização de informação aeronáutica eletrónica de alta qualidade, que deve ser apresentada de forma harmonizada, satisfazendo os requisitos de todos os utilizadores interessados em termos de qualidade e tempestividade.
2. Para efeitos do disposto no n.º 1, a Comissão deve assegurar o desenvolvimento de uma infraestrutura de informação aeronáutica à escala da União, sob a forma de portal eletrónico integrado de informação, com livre acesso de todos os interessados. Essa infraestrutura deve integrar o acesso e a disponibilização dos dados necessários, nomeadamente informação aeronáutica, informação do gabinete de informação dos serviços de tráfego aéreo (ARO), informação meteorológica e informação sobre a gestão do fluxo de tráfego aéreo.
3. A Comissão deve adotar medidas para a criação e a implementação de um portal eletrónico integrado de informação. Esses atos de execução devem ser adotados de acordo com o procedimento de exame a que se refere o artigo 27.º, nº 3.
Artigo 24.º
Desenvolvimento tecnológico e interoperabilidade da gestão do tráfego aéreo
1. A Comissão deve adotar regras com vista a promover o desenvolvimento tecnológico e a interoperabilidade da gestão do tráfego aéreo no que respeita à criação e à implantação do plano diretor ATM. Esses atos de execução devem ser adotados de acordo com o procedimento de exame a que se refere o artigo 27.º, n.º 3.
2. No que respeita às regras a que se refere o n.º 1, aplica-se o artigo 17.º, n.º 2, alínea b), do Regulamento (CE) n.º 216/2008. Se for caso disso, a Comissão deve solicitar à EAA que inclua essas regras no programa de trabalho anual referido no artigo 56.º do mesmo regulamento.
CAPÍTULO V
Disposições finais
Artigo 25.º
Adaptação dos anexos
A Comissão deve ter poderes para adotar atos delegados, em conformidade com o artigo 26.º, a fim de complementar ou alterar os requisitos aplicáveis às entidades qualificadas, enumerados no anexo I, e as condições a associar aos certificados a conceder aos prestadores de serviços de navegação aérea, enumeradas no anexo II, de modo a ter em conta a experiência adquirida pelas autoridades supervisoras nacionais na aplicação desses requisitos e condições e os progressos registados ao nível do sistema de gestão do tráfego aéreo em termos de interoperabilidade e da prestação integrada de serviços de navegação aérea.
Artigo 26.º
Exercício da delegação
1. O poder de adoptar actos delegados é conferido à Comissão nas condições estabelecidas no presente artigo.
2. O poder de adoptar actos delegados referido no artigo 11.º, n.º 7, no artigo 17.º, n.º 3, e no artigo 25.º é conferido à Comissão por tempo indeterminadoum prazo de sete anos.
A Comissão elabora um relatório relativo à delegação de poderes pelo menos nove meses antes do final do prazo de sete anos. A delegação de poderes é tacitamente prorrogada por prazos de igual duração, salvo se o Parlamento Europeu ou o Conselho a tal se opuserem pelo menos três meses antes do final de cada prazo. [Alt. 139]
3. A delegação de poderes referida no artigo 11.º, n.º 7, no artigo 17.º, n.º 3, e no artigo 25.º pode ser revogada em qualquer momento pelo Parlamento Europeu ou pelo Conselho. A decisão de revogação põe termo à delegação dos poderes nela especificados. A decisão de revogação produz efeitos a partir do dia seguinte ao da sua publicação no Jornal Oficial da União Europeia ou de uma data posterior nela especificada. A decisão de revogação não afecta os actos delegados já em vigor.
4. Assim que adotar um ato delegado, a Comissão notifica-o simultaneamente ao Parlamento Europeu e ao Conselho.
5. Os actos delegados adoptados nos termos do artigo 11.º, n.º 7, do artigo 17.º, n.º 3, e do artigo 25.ºartigo só entram em vigor se não tiverem sido formuladas objecções pelo Parlamento Europeu ou pelo Conselho no prazo de dois meses a contar da notificação desse acto ao Parlamento Europeu e ao Conselho, ou se, antes do termo desse prazo, o Parlamento Europeu e o Conselho tiverem informado a Comissão de que não têm objecções a formular. O referido prazo é prorrogado por dois meses or iniciativa do Parlamento Europeu ou do Conselho.
Artigo 27.º
Procedimento de comité
1. A Comissão é assistida pelo Comité do Céu Único, doravante designado por «comité». O referido Comité deve ser entendido como comité na aceção de Regulamento (UE) n.º 182/2011.
2. Caso se faça referência ao presente número, é aplicável o artigo 4.º do Regulamento (UE) n.º 182/2011.
3. Caso se faça referência ao presente número, é aplicável o artigo 5.º do Regulamento (UE) n.º 182/2011.
Artigo 28.º
Consulta da Comissão às partes interessadas
1. A Comissão estabelece um procedimento de consulta a nível da União para as questões relacionadas com a aplicação do presente regulamento, conforme adequado. O Comité de Diálogo Setorial específico criado pela Decisão 98/500/CE da Comissão participa na consulta.
2. Entre os interessados podem incluir-se:
– os prestadores de serviços de navegação aérea,
– os operadores de aeroportos,
– os utilizadores do espaço aéreo em causa ou os grupos representativos dos utilizadores do espaço aéreo em causa,
– as autoridades militares,
– os fabricantes, e
– os organismos representativos dos profissionais do setor.
Artigo 29.º
Órgão consultivo do setor
Sem prejuízo do papel do Comité e do Eurocontrol, a Comissão cria um órgão consultivo do setor que deve ser composto pelos prestadores de serviços de navegação aérea, pelas associações de utilizadores do espaço aéreo, operadores dos aeroportos, fabricantes e organismos representativos dos profissionais do setor. Esse órgão tem por única função aconselhar a Comissão sobre a implemenatação do Céu Único Europeu.
Artigo 30.º
Relações com países terceiros
A União e os seus Estados-Membros devem visar e apoiar a extensão do Céu Único Europeu a países que não sejam membros da União Europeia. Com esse objetivo, devem diligenciar, quer no âmbito de acordos celebrados com países terceiros vizinhos, quer no contexto da designação conjunta de blocos funcionais de espaço aéreo ou de acordos no domínio das funções de rede, alargar os objetivos do presente regulamento a esses países.
Artigo 31.º
Apoio de organismos externos
A Comissão pode requerer o apoio de um organismo externo para executar as tarefas que lhe incumbem no quadro do presente regulamento.
Artigo 32.º
Confidencialidade
1. Nem as autoridades supervisorasaeronáuticas nacionais, agindo nos termos da respetiva legislação nacional, nem a Comissão, podem revelar informações de natureza confidencial, especialmente informações sobre os prestadores de serviços de navegação aéreaANSP, as suas relações profissionais ou os seus componentes de custos. [Alt. 140]
2. O disposto no n.º 1 não prejudica o direito de divulgação de informações pelas autoridades supervisorasaeronáuticas nacionais ou pela Comissão, quando tal seja indispensável para darem cumprimento às suas obrigações. Nesse caso, a divulgação deve ser proporcionada e ter em conta os legítimos interesses dos prestadores de serviços de navegação aéreaANSP, utilizadores do espaço aéreo, aeroportos ou outros interessados na proteção do seu segredo comercial. [Alt. 141]
3. A informação e os dados facultados com base no regime de tarifação referido no artigo 12.º devem ser divulgados ao público.
Artigo 33.º
Sanções
Os Estados-Membros devem estabelecer regras relativas às sanções e aos mecanismos de compensação aplicáveis em caso de infrações ao disposto no presente regulamento, em especial por utilizadores do espaço aéreo e por prestadores de serviços, e tomar todas as medidas necessárias para garantir a sua aplicação. Essas sanções devem ser efetivas, proporcionadas e dissuasivas. [Alt. 142]
Artigo 34.º
Revisão e métodos de avaliação do impacto
1. A Comissão deve proceder periodicamente à revisão da aplicação do presente regulamento e apresentar um relatório ao Parlamento Europeu e ao Conselho no fim de cada período de referência a que se refere o artigo 11.º, n.º 5, alínea d). Para o efeito e quando se justifique, a Comissão pode solicitar aos Estados‑Membros informações pertinentes sobre a aplicação do presente regulamento.
2. Os relatórios devem conter uma avaliação dos resultados obtidos através das medidas tomadas nos termos do presente regulamento, incluindo informações adequadas sobre a evolução no setor, em especial no que respeita aos aspetos económicos, sociais, ambientais, laborais e tecnológicos, bem como sobre a qualidade do serviço, tendo em conta os objetivos iniciais e tendo em vista as necessidades futuras.
Artigo 35.º
Salvaguardas
O presente regulamento não impede que um Estado-Membro aplique medidas conquanto estas sejam necessárias à salvaguarda de interesses essenciais em matéria de política de segurança ou defesa. Tais medidas são, nomeadamente, as que forem imperativas:
a) Para a vigilância do espaço aéreo sob a sua responsabilidade em conformidade com os acordos regionais de navegação aérea da OACI, incluindo a capacidade de detetar, identificar e avaliar todas as aeronaves que utilizem esse espaço aéreo, tendo em vista procurar salvaguardar a segurança dos voos e agir a fim de satisfazer as necessidades de segurança e defesa,
b) Em caso de graves perturbações internas que afetem a manutenção da lei e da ordem pública,
c) Em caso de guerra ou de tensões internacionais graves que constituam uma ameaça de guerra,
d) Para o cumprimento das obrigações assumidas a nível internacional por um Estado‑Membro tendo em vista a manutenção da paz e da segurança internacional,
e) Para a condução de operações e treinos militares, incluindo as possibilidades necessárias aos exercícios.
Artigo 36.º
Agência da União Europeia para a Aviação (EAA)
Na execução do presente regulamento, os Estados-Membros e a Comissão, de acordo com as atribuições que lhes são conferidas pelo presente regulamento, estabelecem a necessária coordenação com a EAA.
Artigo 37.º
Revogação
Os Regulamentos (CE) n.º 549/2004, (CE) n.º 550/2004, (CE) n.º 551/2004 e (CE) n.º 552/2004 são revogados.
As referências aos regulamentos revogados devem entender-se como referências ao presente regulamento e ser lidas de acordo com o quadro de correspondência constante do anexo III.
Artigo 38.º
Entrada em vigor
O presente regulamento entra em vigor vinte dias após a sua publicação no Jornal Oficial da União Europeia.
O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.
Feito em ...,
Pelo Parlamento Europeu Pelo Conselho
O Presidente O Presidente
ANEXO I
REQUISITOS APLICÁVEIS ÀS ENTIDADES QUALIFICADAS
1. As entidades qualificadas :
– devem demonstrar uma larga experiência na avaliação de entidades públicas e privadas nos setores dos transportes aéreos, em especial prestadores de serviços de navegação aérea, e noutros setores similares, num ou mais domínios abrangidos pelo presente regulamento;
– devem dispor de regras e regulamentação completas para o controlo periódico das entidades acima mencionadas, publicadas e continuamente atualizadas e melhoradas através de programas de investigação e desenvolvimento;
– não devem ser controladas por prestadores de serviços de navegação aérea, autoridades de gestão de aeroportos ou outras entidades comercialmente envolvidas na prestação de serviços de navegação aérea ou de transporte aéreo;
– devem dispor de um número significativo de pessoal técnico, de gestão, apoio e investigação, proporcional às tarefas a realizar;
– devem subscrever um seguro de responsabilidade, exceto se o Estado‑Membro a assumir, em conformidade com a legislação nacional, ou o próprio Estado‑Membro for diretamente responsável pelas inspeções.
A entidade qualificada, o seu diretor e o pessoal responsável pela realização dos controlos não podem ser envolvidos, diretamente ou na qualidade de representantes autorizados, na conceção, fabrico, comercialização ou manutenção dos componentes ou sistemas ou na respetiva utilização. Tal não exclui a possibilidade de o fabricante ou construtor procederem a um intercâmbio de informações técnicas.
A entidade qualificada deve efectuar os controlos com a maior integridade profissional e competência técnica possíveis e estar isenta de pressões e incentivos, em especial de natureza financeira, que possam afetar a sua apreciação ou os resultados das inspeções, especialmente por parte de pessoas ou grupos de pessoas afetados por esses resultados.
2. O pessoal da entidade qualificada deve ter:
– uma formação técnica e profissional sólida,
– um conhecimento satisfatório dos requisitos das inspeções que realizam e uma experiência adequada no domínio de tais operações,
– a capacidade necessária para elaborar declarações, registos e relatórios para demonstrar a realização das inspeções.
– imparcialidade garantida. A remuneração do pessoal não deve depender do número de inspeções realizadas, nem dos resultados das mesmas.
ANEXO II
CONDIÇÕES A ASSOCIAR AOS CERTIFICADOS
1. Os certificados devem incluir as informações seguintes :
a) A autoridade supervisoraaeronáutica nacional que emitiu o certificado; [Alt. 143]
b) O requerente (nome e endereço);
c) Os serviços certificados;
d) Uma declaração de conformidade do requerente com os requisitos comuns definidos no artigo 8.º-B do Regulamento (CE) n.º 216/2008;
e) A data de emissão e período de validade do certificado.
2. As condições adicionais associadas poderão, se for caso disso, dizer respeito:
a) Ao acesso não discriminatório aos serviços por parte dos utilizadores do espaço aéreo e ao nível de desempenho exigido a tais serviços, inclusive níveis de segurança e de interoperabilidade;
b) Aos requisitos operacionais dos serviços em questão;
c) À data a partir da qual devem ser prestados os serviços;
d) Aos diversos equipamentos operacionais a ser utilizados nos serviços em questão;
e) À delimitação ou restrição de operações de serviços diversos dos relacionados com a prestação de serviços de navegação aérea;
f) Aos contratos, acordos ou outras medidas entre o(s) prestador(es) de serviço(s) e terceiros relativos ao(s) serviço(s) em questão;
g) Ao fornecimento de informações que possam razoavelmente ser exigidas para o controlo da conformidade do(s) serviço(s) com os requisitos comuns, incluindo planos e dados financeiros e operacionais, bem como alterações importantes do tipo e/ou âmbito dos serviços de navegação aérea prestados;
h) A outras exigências legais não específicas dos serviços de navegação aérea, tal como as condições relacionadas com a suspensão ou revogação do certificado.