Regulamento(UE) n.º 679/2016, de 27 de Abril REGULAMENTO GERAL SOBRE A PROTEÇÃO DE DADOS (RGPD) DA UNIÃO EUROPEIA (UE)(versão actualizada) |
|
Contém as seguintes alterações: |
Ver versões do diploma:
|
|
|
SUMÁRIO REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO
de 27 de abril de 2016
relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados)
(Texto relevante para efeitos do EEE) _____________________ |
|
Artigo 50.º
Cooperação internacional no domínio da proteção de dados pessoais |
Em relação a países terceiros e a organizações internacionais, a Comissão e as autoridades de controlo tomam as medidas necessárias para:
a)Estabelecer regras internacionais de cooperação destinadas a facilitar a aplicação efetiva da legislação em matéria de proteção de dados pessoais;
b)Prestar assistência mútua a nível internacional no domínio da aplicação da legislação relativa à proteção de dados pessoais, nomeadamente através da notificação, comunicação de reclamações, e assistência na investigação e intercâmbio de informações, sob reserva das garantias adequadas de proteção dos dados pessoais e de outros direitos e liberdades fundamentais;
c)Associar as partes interessadas aos debates e atividades que visem intensificar a cooperação internacional no âmbito da aplicação da legislação relativa à proteção de dados pessoais;
d)Promover o intercâmbio e a documentação da legislação e das práticas em matéria de proteção de dados pessoais, nomeadamente no que diz respeito a conflitos jurisdicionais com países terceiros. |
|
|
|
|
|
CAPÍTULO VI
Autoridades de controlo independentes
Secção 1
Estatuto independente
| Artigo 51.º
Autoridade de controlo |
1. Os Estados-Membros estabelecem que cabe a uma ou mais autoridades públicas independentes a responsabilidade pela fiscalização da aplicação do presente regulamento, a fim de defender os direitos e liberdades fundamentais das pessoas singulares relativamente ao tratamento e facilitar a livre circulação desses dados na União («autoridade de controlo»).
2. As autoridades de controlo contribuem para a aplicação coerente do presente regulamento em toda a União. Para esse efeito, as autoridades de controlo cooperam entre si e com a Comissão, nos termos do capítulo VII.
3. Quando estiverem estabelecidas mais do que uma autoridade de controlo num Estado-Membro, este determina qual a autoridade de controlo que deve representar essas autoridades no Comité e estabelece disposições para assegurar que as regras relativas ao procedimento de controlo da coerência referido no artigo 63.º, sejam cumpridas pelas autoridades.
4. Os Estados-Membros notificam a Comissão das disposições do direito nacional que adotarem nos termos do presente capítulo, até 25 de maio de 2018 e, sem demora, de qualquer alteração posterior a essas mesmas disposições. |
|
|
|
|
|
Artigo 52.º
Independência |
1. As autoridades de controlo agem com total independência no na prossecução das suas atribuições e no exercício dos poderes que lhe são atribuídos nos termos do presente regulamento.
2. Os membros das autoridades de controlo não estão sujeitos a influências externas, diretas ou indiretas no desempenho das suas funções e no exercício dos seus poderes nos termos do presente regulamento, e não solicitam nem recebem instruções de outrem.
3. Os membros da autoridade de controlo abstêm-se de qualquer ato incompatível com as suas funções e, durante o seu mandato, não podem desempenhar nenhuma atividade, remunerada ou não, que com elas seja incompatível.
4. Os Estados-Membros asseguram que cada autoridade de controlo disponha dos recursos humanos, técnicos e financeiros, instalações e infraestruturas necessários à prossecução eficaz das suas atribuições e ao exercício dos seus poderes, incluindo as executadas no contexto da assistência mútua, da cooperação e da participação no Comité.
5. Os Estados-Membros asseguram que cada autoridade de controlo selecione e disponha do seu próprio pessoal, que ficará sob a direção exclusiva dos membros da autoridade de controlo interessada.
6. Os Estados-Membros asseguram que cada autoridade de controlo fique sujeita a um controlo financeiro que não afeta a sua independência e que disponha de orçamentos anuais separados e públicos, que poderão estar integrados no orçamento geral do Estado ou nacional. |
|
|
|
|
|
Artigo 53.º
Condições gerais aplicáveis aos membros da autoridade de controlo |
1. Os Estados-Membros estabelecem que cada membro das respetivas autoridades de controlo seja nomeado por procedimento transparente:
— pelo Parlamento,
— pelo Governo,
— pelo Chefe de Estado, ou
— por um organismo independente incumbido da nomeação nos termos do direito do Estado-Membro.
2. Cada membro possui as habilitações, a experiência e os conhecimentos técnicos necessários, nomeadamente no domínio da proteção de dados pessoais, ao desempenho das suas funções e ao exercício dos seus poderes.
3. As funções dos membros da autoridade de controlo cessam findo o seu mandato, com a sua exoneração ou aposentação compulsiva, nos termos do direito do Estado-Membro em causa.
4. Os membros da autoridade de controlo só são exonerados se tiverem cometido uma falta grave ou se tiverem deixado de cumprir as condições exigidas para o exercício das suas funções. |
|
|
|
|
|
Artigo 54.º
Regras aplicáveis à constituição da autoridade de controlo |
1. Os Estados-Membros estabelecem, por via legislativa:
a)A constituição de cada autoridade de controlo;
b)As qualificações e as condições de elegibilidade necessárias para a nomeação dos membros de cada autoridade de controlo;
c)As regras e os procedimentos de nomeação dos membros de cada autoridade de controlo;
d)A duração do mandato dos membros de cada autoridade de controlo, que não será inferior a quatro anos, salvo no caso do primeiro mandato após 24 de maio de 2016, e ser mais curta quando for necessário proteger a independência da autoridade de controlo através de um procedimento de nomeações escalonadas;
e)Se, e em caso afirmativo, por quantos mandatos os membros de cada autoridade de controlo podem ser renomeados;
f)As condições que regem as obrigações dos membros e do pessoal de cada autoridade de controlo, a proibição das ações, funções e benefícios que com elas são incompatíveis durante o mandato e após o seu termo e as regras que regem a cessação da relação de trabalho.
2. Os membros e o pessoal de cada autoridade de controlo ficam sujeitos, nos termos do direito da União ou dos Estados-Membros, à obrigação de sigilo profissional, tanto durante o mandato como após o seu termo, quanto a quaisquer informações confidenciais a que tenham tido acesso no desempenho das suas funções ou exercício dos seus poderes. Durante o seu mandato, essa obrigação de sigilo profissional aplica-se, em especial, à comunicação por pessoas singulares de violações do presente regulamento. |
|
|
|
|
|
Secção 2
Competência, atribuições e poderes
| Artigo 55.º
Competência |
1. As autoridades de controlo são competentes para prosseguir as atribuições e exercer os poderes que lhes são conferidos pelo presente regulamento no território do seu próprio Estado-Membro.
2. Quando o tratamento for efetuado por autoridades públicas ou por organismos privados que atuem ao abrigo do artigo 6.º, n.º 1, alínea c) ou e), é competente a autoridade de controlo do Estado-Membro em causa. Nesses casos, não é aplicável o artigo 56.º.
3. As autoridades de controlo não têm competência para controlar operações de tratamento efetuadas por tribunais que atuem no exercício da sua função jurisdicional. |
|
|
|
|
|
Artigo 56.º
Competência da autoridade de controlo principal |
1. Sem prejuízo do disposto no artigo 55.º, a autoridade de controlo do estabelecimento principal ou do estabelecimento único do responsável pelo tratamento ou do subcontratante é competente para agir como autoridade de controlo principal para o tratamento transfronteiriço efetuado pelo referido responsável pelo tratamento ou subcontratante nos termos do artigo 60.º.
2. Em derrogação do n.º 1, cada autoridade de controlo é competente para tratar reclamações que lhe sejam apresentadas ou a eventuais violações do presente regulamento se a matéria em apreço estiver relacionada apenas com um estabelecimento no seu Estado-Membro ou se afetar substancialmente titulares de dados apenas no seu Estado-Membro.
3. Nos casos previstos no n.º 2 do presente artigo, a autoridade de controlo informa sem demora do assunto a autoridade de controlo principal. No prazo de três semanas a contar do momento em que tiver sido informada, a autoridade de controlo principal decide se trata o caso, nos termos do artigo 60.º, tendo em conta se há ou não algum estabelecimento do responsável pelo tratamento ou subcontratante no Estado-Membro sobre o qual a autoridade de controlo a tenha informado.
4. Quando a autoridade de controlo principal decide tratar o caso, aplica-se o procedimento previsto no artigo 60.º. A autoridade de controlo que tiver informado a autoridade de controlo principal pode apresentar a esta última um projeto de decisão. A autoridade de controlo principal tem esse projeto na melhor conta quando prepara o projeto de decisão referido no artigo 60.º, n.º 3.
5. Caso a autoridade de controlo principal decida não tratar o caso, é a autoridade de controlo que a informou que o trata, nos termos dos artigos 61.º e 62.º.
6. A autoridade de controlo principal é o único interlocutor do responsável pelo tratamento ou do subcontratante no tratamento transfronteiriço efetuado pelo referido responsável pelo tratamento ou subcontratante. |
|
|
|
|
|
1. Sem prejuízo de outras atribuições previstas nos termos do presente regulamento, cada autoridade de controlo, no território respetivo:
a)Controla e executa a aplicação do presente regulamento;
b)Promove a sensibilização e a compreensão do público relativamente aos riscos, às regras, às garantias e aos direitos associados ao tratamento. As atividades especificamente dirigidas às crianças devem ser alvo de uma atenção especial;
c)Aconselha, em conformidade com o direito do Estado-Membro, o Parlamento nacional, o Governo e outras instituições e organismos a respeito das medidas legislativas e administrativas relacionadas com a defesa dos direitos e liberdades das pessoas singulares no que diz respeito ao tratamento;
d)Promove a sensibilização dos responsáveis pelo tratamento e dos subcontratantes para as suas obrigações nos termos do presente regulamento;
e)Se lhe for solicitado, presta informações a qualquer titular de dados sobre o exercício dos seus direitos nos termos do presente regulamento e, se necessário, coopera com as autoridades de controlo de outros Estados-Membros para esse efeito;
f)Trata as reclamações apresentadas por qualquer titular de dados, ou organismo, organização ou associação nos termos do artigo 80.º, e investigar, na medida do necessário, o conteúdo da reclamação e informar o autor da reclamação do andamento e do resultado da investigação num prazo razoável, em especial se forem necessárias operações de investigação ou de coordenação complementares com outra autoridade de controlo;
g)Coopera, incluindo partilhando informações e prestando assistência mútua a outras autoridades de controlo, tendo em vista assegurar a coerência da aplicação e da execução do presente regulamento;
h)Conduz investigações sobre a aplicação do presente regulamento, incluindo com base em informações recebidas de outra autoridade de controlo ou outra autoridade pública;
i)Acompanha factos novos relevantes, na medida em que tenham incidência na proteção de dados pessoais, nomeadamente a evolução a nível das tecnologias da informação e das comunicações e das práticas comerciais;
j)Adota as cláusulas contratuais-tipo previstas no artigo 28.º, n.º 8, e no artigo 46.º, n.º 2, alínea d);
k)Elabora e conserva uma lista associada à exigência de realizar uma avaliação do impacto sobre a proteção de dados, nos termos do artigo 35.º, n.º 4;
l)Dá orientações sobre as operações de tratamento previstas no artigo 36.º, n.º 2;
m)Incentiva a elaboração de códigos de conduta nos termos do artigo 40.º, n.º 1, dá parecer sobre eles e aprova os que preveem garantias suficientes, nos termos do artigo 40.º, n.º 5;
n)Incentiva o estabelecimento de procedimentos de certificação de proteção de dados, e de selos e marcas de proteção de dados, nos termos do artigo 42.º, n.º 1, e aprova os critérios de certificação nos termos do artigo 42.º, n.º 5;
o)Se necessário, procede a uma revisão periódica das certificações emitidas, nos termos do artigo 42.º, n.º 7;
p)Redige e publica os requisitos de acreditação de um organismo para monitorizar códigos de conduta nos termos do artigo 41.º e de um organismo de certificação nos termos do artigo 43.º;
q)Conduz o processo de acreditação de um organismo para monitorizar códigos de conduta nos termos do artigo 41.º e de um organismo de certificação nos termos do artigo 43.º;
r)Autoriza as cláusulas contratuais e disposições previstas no artigo 46.º, n.º 3;
s)Aprova as regras vinculativas aplicáveis às empresas nos termos do artigo 47.º;
t)Contribui para as atividades do Comité;
u)Conserva registos internos de violações do presente regulamento e das medidas tomadas nos termos do artigo 58.º, n.º 2; e
v)Desempenha quaisquer outras tarefas relacionadas com a proteção de dados pessoais.
2. As autoridades de controlo facilitam a apresentação das reclamações previstas no n.º 1, alínea f), tomando medidas como disponibilizar formulários de reclamação que possam também ser preenchidos eletronicamente, sem excluir outros meios de comunicação.
3. A prossecução das atribuições de cada autoridade de controlo é gratuita para o titular dos dados e, sendo caso disso, para o encarregado da proteção de dados.
4. Quando os pedidos forem manifestamente infundados ou excessivos, particularmente devido ao seu caráter recorrente, a autoridade de controlo pode exigir o pagamento de uma taxa razoável tendo em conta os custos administrativos ou pode indeferi-los. Cabe à autoridade de controlo demonstrar o caráter manifestamente infundado ou excessivo dos pedidos. |
Contém as alterações dos seguintes diplomas: - Retificação n.º 00/2016, de 04/05
|
Consultar versões anteriores deste artigo: -1ª versão: Regulamento(UE) n.º 679/2016, de 27/04
|
|
|
|
1. Cada autoridade de controlo dispõe dos seguintes poderes de investigação:
a)Ordenar que o responsável pelo tratamento e o subcontratante e, se existir, o seu representante, lhe forneçam as informações de que necessite para o desempenho das suas funções;
b)Realizar investigações sob a forma de auditorias sobre a proteção de dados;
c)Rever as certificações emitidas nos termos do artigo 42.º, n.º 7;
d)Notificar o responsável pelo tratamento ou o subcontratante de alegadas violações do presente regulamento;
e)Obter, da parte do responsável pelo tratamento e do subcontratante, acesso a todos os dados pessoais e a todas as informações necessárias ao exercício das suas funções;
f)Obter acesso a todas as instalações do responsável pelo tratamento e do subcontratante, incluindo os equipamentos e meios de tratamento de dados, em conformidade com o direito processual da União ou dos Estados-Membros.
2. Cada autoridade de controlo dispõe dos seguintes poderes de correção:
a)Fazer advertências ao responsável pelo tratamento ou ao subcontratante no sentido de que as operações de tratamento previstas são suscetíveis de violar as disposições do presente regulamento;
b)Fazer repreensões ao responsável pelo tratamento ou ao subcontratante sempre que as operações de tratamento tiverem violado as disposições do presente regulamento;
c)Ordenar ao responsável pelo tratamento ou ao subcontratante que satisfaça os pedidos de exercício de direitos apresentados pelo titular dos dados nos termos do presente regulamento;
d)Ordenar ao responsável pelo tratamento ou ao subcontratante que tome medidas para que as operações de tratamento cumpram as disposições do presente regulamento e, se necessário, de uma forma específica e dentro de um prazo determinado;
e)Ordenar ao responsável pelo tratamento que comunique ao titular dos dados uma violação de dados pessoais;
f)Impor uma limitação temporária ou definitiva ao tratamento de dados, ou mesmo a sua proibição;
g)Ordenar a retificação ou o apagamento de dados pessoais ou a limitação do tratamento nos termos dos artigos 16.º, 17.º e 18.º, bem como a notificação dessas medidas aos destinatários a quem tenham sido divulgados os dados pessoais nos termos do artigo 17.º, n.º 2, e do artigo 19.º;
h)Retirar a certificação ou ordenar ao organismo de certificação que retire uma certificação emitida nos termos dos artigos 42.º e 43.º, ou ordenar ao organismo de certificação que não emita uma certificação se os requisitos de certificação não estiverem ou deixarem de estar cumpridos;
i)Impor uma coima nos termos do artigo 83.º, para além ou em vez das medidas referidas no presente número, consoante as circunstâncias de cada caso;
j)Ordenar a suspensão do envio de dados para destinatários em países terceiros ou para organizações internacionais.
3. Cada autoridade de controlo dispõe dos seguintes poderes consultivos e de autorização:
a)Aconselhar o responsável pelo tratamento, pelo procedimento de consulta prévia referido no artigo 36.º;
b)Emitir, por iniciativa própria ou se lhe for solicitado, pareceres dirigidos ao Parlamento nacional, ao Governo do Estado-Membro ou, nos termos do direito do Estado-Membro, a outras instituições e organismos, bem como ao público, sobre qualquer assunto relacionado com a proteção de dados pessoais;
c)Autorizar o tratamento previsto no artigo 36.º, n.º 5, se a lei do Estado-Membro exigir tal autorização prévia;
d)Emitir pareceres e aprovar projetos de códigos de conduta nos termos do artigo 40.º, n.º 5;
e)Acreditar organismos de certificação nos termos do artigo 43.º;
f)Emitir certificações e aprovar os critérios de certificação nos termos do artigo 42.º, n.º 5;
g)Adotar as cláusulas-tipo de proteção de dados previstas no artigo 28.º, n.º 8, e no artigo 46.º, n.º 2, alínea d);
h)Autorizar as cláusulas contratuais previstas no artigo 46.º, n.º 3, alínea a);
i)Autorizar os acordos administrativos previstos no artigo 46.º, n.º 3, alínea b);
j)Aprovar as regras vinculativas aplicáveis às empresas nos termos do artigo 47.º.
4. O exercício dos poderes conferidos à autoridade de controlo nos termos do presente artigo está sujeito a garantias adequadas, que incluem o direito à ação judicial efetiva e a um processo equitativo, previstas no direito da União e dos Estados-Membros, em conformidade com a Carta.
5. Os Estados-Membros estabelecem por lei que as suas autoridades de controlo estão habilitadas a levar as violações do presente regulamento ao conhecimento das autoridades judiciais e, se necessário, a intentar ou de outro modo intervir em processos judiciais, a fim de fazer aplicar as disposições do presente regulamento.
6. Os Estados-Membros podem estabelecer por lei que as suas autoridades de controlo terão outros poderes para além dos previstos nos n.ºs 1, 2 e 3. O exercício desses poderes não deve prejudicar o efetivo funcionamento do capítulo VII. |
|
|
|
|
|
Artigo 59.º
Relatórios de actividades |
As autoridades de controlo elaboram um relatório anual de atividades, que pode incluir uma lista dos tipos de violação notificadas e dos tipos de medidas tomadas nos termos do artigo 58.º, n.º 2. Os relatórios são apresentados ao Parlamento nacional, ao Governo e às outras autoridades designadas no direito do Estado-Membro. Os relatórios são disponibilizados ao público, à Comissão e ao Comité. |
|
|
|
|
|
CAPÍTULO VII
Cooperação e coerência
Secção 1
Cooperação
| Artigo 60.º
Cooperação entre a autoridade de controlo principal e as outras autoridades de controlo interessadas |
1. A autoridade de controlo principal coopera com as outras autoridades de controlo interessadas nos termos do presente artigo para procurar alcançar um consenso. A autoridade de controlo principal e as autoridades de controlo interessadas trocam entre si todas as informações pertinentes.
2. A autoridade de controlo principal pode a qualquer momento solicitar que as outras autoridades de controlo interessadas prestem assistência mútua nos termos do artigo 61.º e pode realizar operações conjuntas nos termos do artigo 62.º, nomeadamente para proceder a investigações ou monitorizar a execução de medidas relativas a responsáveis pelo tratamento ou subcontratantes estabelecidos noutros Estados-Membros.
3. A autoridade de controlo principal comunica sem demora as informações pertinentes sobre o assunto às outras autoridades de controlo interessadas. Envia sem demora um projeto de decisão às outras autoridades de controlo interessadas para que emitam parecer e toma as suas posições em devida consideração.
4. Quando uma das outras autoridades de controlo interessadas expressa uma objeção pertinente e fundamentada ao projeto de decisão no prazo de quatro semanas após ter sido consultada nos termos do n.º 3 do presente artigo, a autoridade de controlo principal, caso não dê seguimento à objeção ou caso entenda que esta não é pertinente ou fundamentada, remete o assunto para o procedimento de controlo da coerência referido no artigo 63.º.
5. Se a autoridade de controlo principal pretender dar seguimento à objeção pertinente e fundamentada apresentada, envia às outras autoridades de controlo interessadas um projeto de decisão revisto para que emitam parecer. Esse projeto de decisão revisto é sujeito ao procedimento mencionado no n.º 4 no prazo de duas semanas.
6. Se nenhuma das outras autoridades de controlo interessadas se tiver oposto ao projeto de decisão apresentado pela autoridade de controlo principal no prazo referido nos n.ºs 4 e 5, considera-se que a autoridade de controlo principal e as autoridades de controlo interessadas estão de acordo com esse projeto de decisão e ficam por ela vinculadas.
7. A autoridade de controlo principal adota a decisão e dela notifica o estabelecimento principal ou o estabelecimento único do responsável pelo tratamento ou do subcontratante, consoante o caso, e informa as outras autoridades de controlo interessadas e o Comité da decisão em causa, incluindo um sumário dos factos e motivos pertinentes. A autoridade de controlo à qual tenha sido apresentada uma reclamação, informa da decisão o autor da reclamação.
8. Em derrogação do n.º 7, se for recusada ou rejeitada uma reclamação, a autoridade de controlo à qual a reclamação tiver sido apresentada adota a decisão, notifica o autor da reclamação e informa desse facto o responsável pelo tratamento.
9. Se a autoridade de controlo principal e as autoridades de controlo interessadas estiverem de acordo em recusar ou rejeitar determinadas partes de uma reclamação e tomar medidas relativamente a outras partes da mesma reclamação, é adotada uma decisão separada para cada uma dessas partes da matéria. A autoridade de controlo principal adota a decisão na parte respeitante às medidas relativas ao responsável pelo tratamento e informa desse facto o estabelecimento principal ou o estabelecimento único do responsável pelo tratamento ou do subcontratante no território do seu Estado-Membro, informando desse facto o autor da reclamação, enquanto a autoridade de controlo do autor da reclamação adota a decisão na parte relativa à recusa ou à rejeição da referida reclamação e notifica o autor da reclamação, informando desse facto o responsável pelo tratamento ou o subcontratante.
10. Após ter sido notificado da decisão da autoridade de controlo principal nos termos dos n.ºs 7 e 9, o responsável pelo tratamento ou o subcontratante tomam as medidas necessárias para garantir o cumprimento da decisão no que se refere às atividades de tratamento no contexto de todos os seus estabelecimentos na União. O responsável pelo tratamento ou o subcontratante comunica as medidas tomadas para fazer cumprir a decisão à autoridade de controlo principal, que informa as outras autoridades de controlo interessadas.
11. Se, em circunstâncias excecionais, alguma autoridade de controlo interessada tiver razões para considerar que existe uma necessidade urgente de agir para defender os interesses dos titulares dos dados, aplica-se o procedimento de urgência referido no artigo 66.º.
12. A autoridade de controlo principal e as outras autoridades de controlo interessadas trocam entre si as informações necessárias nos termos do presente artigo por meios eletrónicos, utilizando um formato normalizado. |
|
|
|
|
|
|