Regulamento(UE) n.º 679/2016, de 27 de Abril REGULAMENTO GERAL SOBRE A PROTEÇÃO DE DADOS (RGPD) DA UNIÃO EUROPEIA (UE)(versão actualizada) |
|
Contém as seguintes alterações: |
Ver versões do diploma:
|
|
|
SUMÁRIO REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO
de 27 de abril de 2016
relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados)
(Texto relevante para efeitos do EEE) _____________________ |
|
Artigo 62.º
Operações conjuntas das autoridades de controlo |
1. As autoridades de controlo conduzem, sempre que conveniente, operações conjuntas, incluindo investigações e medidas de execução conjuntas nas quais participem membros ou pessoal das autoridades de controlo de outros Estados-Membros.
2. Nos casos em que o responsável pelo tratamento ou o subcontratante tenha estabelecimentos em vários Estados-Membros ou nos casos em que haja um número significativo de titulares de dados em mais do que um Estado-Membro que sejam suscetíveis de ser substancialmente afetados pelas operações de tratamento, uma autoridade de controlo de cada um desses Estados-Membros tem direito a participar nas operações conjuntas. A autoridade de controlo competente nos termos do artigo 56.º, n.º 1 ou n.º 4, convida a autoridade de controlo de cada um desses Estados-Membros a participar nas operações conjuntas e responde sem demora ao pedido de um autoridade de controlo para participar.
3. As autoridades de controlo podem, nos termos do direito do seu Estado-Membro, e com a autorização da autoridade de controlo de origem, conferir poderes, nomeadamente poderes de investigação, aos membros ou ao pessoal da autoridade de controlo de origem implicados nas operações conjuntas ou, na medida em que o direito do Estado-Membro da autoridade de controlo de acolhimento o permita, autorizar os membros ou o pessoal da autoridade de controlo de origem a exercer os seus poderes de investigação nos termos do direito do Estado-Membro da autoridade de controlo de origem. Esses poderes de investigação podem ser exercidos apenas sob a orientação e na presença de membros ou pessoal da autoridade de controlo de acolhimento. Os membros ou pessoal da autoridade de controlo de origem estão sujeitos ao direito do Estado-Membro da autoridade de controlo de acolhimento.
4. Se, nos termos do n.º 1, o pessoal da autoridade de controlo de origem exercer atividades noutro Estado-Membro, o Estado-Membro da autoridade de controlo de acolhimento assume a responsabilidade pelos seus atos, incluindo a responsabilidade por quaisquer danos por ele causados no decurso de tais atividades, de acordo com o direito do Estado-Membro em cujo território atuam.
5. O Estado-Membro em cujo território forem causados os danos indemniza-os nas condições aplicáveis aos danos causados pelo seu próprio pessoal. O Estado-Membro da autoridade de controlo de origem cujo pessoal tenha causado danos a qualquer pessoa no território de outro Estado-Membro reembolsa integralmente esse outro Estado-Membro das somas que tenha pago aos seus representantes legais.
6. Sem prejuízo do exercício dos seus direitos perante terceiros e com exceção do disposto no n.º 5, cada Estado-Membro renuncia, no caso previsto no n.º 1, a solicitar a outro Estado-Membro o reembolso do montante dos danos referido no n.º 4.
7. Sempre que se tencione efetuar uma operação conjunta e uma autoridade de controlo não cumprir, no prazo de um mês, a obrigação estabelecida n.º 2, segunda frase, do presente artigo, as outras autoridades de controlo podem adotar uma medida provisória no território do respetivo Estado-Membro em conformidade com o artigo 55.º. Nesse caso, presume-se que é urgente intervir, nos termos do artigo 66.º, n.º 1, e solicitar um parecer ou uma decisão vinculativa urgente ao Comité, nos termos do artigo 66.º, n.º 2. |
|
|
|
|
|
Secção 2
Coerência
| Artigo 63.º
Procedimento de controlo da coerência |
A fim de contribuir para a aplicação coerente do presente regulamento em toda a União, as autoridades de controlo cooperam entre si e, quando for relevante, com a Comissão, através do procedimento de controlo da coerência previsto na presente secção. |
|
|
|
|
|
Artigo 64.º
Parecer do Comité |
1. O Comité emite parecer sempre que uma autoridade de controlo competente tenha a intenção de adotar uma das medidas a seguir enunciadas. Para esse efeito, a autoridade de controlo competente envia o projeto de decisão ao Comité, quando esta:
a)Vise a adoção de uma lista das operações de tratamento sujeitas à exigência de proceder a uma avaliação do impacto sobre a proteção dos dados, nos termos do artigo 35.º, n.º 4;
b)Incida sobre uma questão, prevista no artigo 40.º, n.º 7, de saber se um projeto de código de conduta ou uma alteração ou aditamento a um código de conduta está em conformidade com o presente regulamento;
c)Vise aprovar os requisitos de acreditação de um organismo nos termos do artigo 41.º, n.º 3, de um organismo de certificação nos termos do artigo 43.º, n.º 3, ou os critérios de certificação previstos no artigo 42.º, n.º 5;
d)Vise determinar as cláusulas-tipo de proteção de dados referidas no artigo 46.º, n.º 2, alínea d), e no artigo 28.º, n.º 8;
e)Vise autorizar as cláusulas contratuais previstas no artigo 46.º, n.º 3, alínea a); ou
f)Vise aprovar regras vinculativas aplicáveis às empresas na aceção do artigo 47.º.
2. As autoridades de controlo, o presidente do Comité ou a Comissão podem solicitar que o Comité analise qualquer assunto de aplicação geral ou que produza efeitos em mais do que um Estado-Membro, com vista a obter um parecer, nomeadamente se a autoridade de controlo competente não cumprir as obrigações em matéria de assistência mútua previstas no artigo 61.º ou de operações conjuntas previstas no artigo 62.º.
3. Nos casos referidos nos n.ºs 1 e 2, o Comité emite parecer sobre o assunto que lhe é apresentado, a não ser que tenha já antes emitido parecer sobre o mesmo assunto. Esse parecer é adotado no prazo de oito semanas por maioria simples dos membros que compõem o Comité. Esse prazo pode ser prorrogado por mais seis semanas, em virtude da complexidade do assunto em apreço. Para efeitos do projeto de decisão referido no n.º 1 e enviado aos membros do Comité nos termos do n.º 5, considera-se que os membros que não tenham levantado objeções dentro de um prazo razoável fixado pelo presidente estão de acordo com o projeto de decisão.
4. As autoridades de controlo e a Comissão comunicam sem demora injustificada, por via eletrónica, ao Comité, utilizando um formato normalizado, as informações que forem pertinentes, incluindo, consoante o caso, um resumo dos factos, o projeto de decisão, os motivos que tornam necessário adotar tal medida, bem como as posições das outras autoridades de controlo interessadas.
5. O presidente do Comité informa sem demora injustificada, por via eletrónica:
a)Os membros do Comité e a Comissão de quaisquer informações pertinentes que lhe tenham sido comunicadas, utilizando um formato normalizado. Se necessário, o Secretariado do Comité fornece traduções das informações pertinentes; e
b)A autoridade de controlo referida, consoante o caso, nos n.ºs 1 e 2 e a Comissão do parecer e torna-o público.
6. As autoridades de controlo competentes referidas no n.º 1 não adotam os projetos de decisão no decurso do prazo referido no n.º 3.
7. As autoridades de controlo competentes referidas no n.º 1 têm na melhor conta o parecer do Comité e, no prazo de duas semanas a contar da receção do parecer, comunica por via eletrónica ao presidente do Comité se tenciona manter ou alterar o projeto de decisão e, se existir, o projeto de decisão alterado, utilizando um formato normalizado.
8. Quando as autoridades de controlo competentes referidas no n.º 1 informarem o presidente do Comité, no prazo referido no n.º 7 do presente artigo, de que não têm intenção de seguir o parecer do Comité, no todo ou em parte, apresentando os motivos pertinentes de tal decisão, aplica-se o artigo 65.º, n.º 1. |
Contém as alterações dos seguintes diplomas: - Retificação n.º 00/2016, de 04/05
|
Consultar versões anteriores deste artigo: -1ª versão: Regulamento(UE) n.º 679/2016, de 27/04
|
|
|
|
Artigo 65.º
Resolução de litígios pelo Comité |
1. A fim de assegurar a aplicação correta e coerente do presente regulamento em cada caso, o Comité adota uma decisão vinculativa nos seguintes casos:
«a)Quando, num dos casos referidos no artigo 60.º, n.º 4, a autoridade de controlo interessada tiver suscitado uma objeção pertinente e fundamentada a um projeto de decisão da autoridade de controlo principal e esta não tiver seguido a objeção ou tiver rejeitado essa objeção por carecer de pertinência ou de fundamento. A decisão vinculativa diz respeito a todos os assuntos sobre que incida a referida objeção pertinente e fundamentada, sobretudo à questão de saber se há violação do presente regulamento;
b)Quando haja posições divergentes sobre a questão de saber qual das autoridades de controlo interessadas é competente para o estabelecimento principal;
c)Quando a autoridade de controlo competente não solicitar o parecer do Comité nos casos referidos no artigo 64.º, n.º 1, ou não seguir o parecer do Comité emitido nos termos do artigo 64.º. Nesse caso, qualquer autoridade de controlo interessada, ou a Comissão, pode remeter o assunto para o Comité.
2. A decisão a que se refere o n.º 1 é adotada por maioria de dois terços dos membros do Comité, no prazo de um mês a contar da data em que o assunto lhe é remetido. Este prazo pode ser prorrogado por mais um mês em virtude da complexidade do assunto em apreço. A decisão referida no n.º 1 é fundamentada e dirigida à autoridade de controlo principal, bem como a todas as autoridades de controlo interessadas, e é vinculativa para as partes.
3. Se não o puder fazer nos prazos referidos no n.º 2, o Comité adota a decisão no prazo de duas semanas a contar do termo do segundo mês a que se refere o n.º 2, por maioria simples dos membros que o compõem. Se houver empate na votação, a decisão é adotada pelo voto qualificado do presidente.
4. As autoridades de controlo interessadas não adotam decisão sobre a matéria submetida à apreciação do Comité nos termos do n.º 1 enquanto estiver a decorrer o prazo referido nos n.ºs 2 e 3.
5. O presidente do Comité informa, sem demora injustificada, as autoridades de controlo interessadas da decisão a que se refere o n.º 1. Do facto informa a Comissão. A decisão é imediatamente publicada no sítio web do Comité, depois de a autoridade de controlo ter notificado a decisão final a que se refere o n.º 6.
6. Sem demora injustificada e o mais tardar um mês depois de o Comité ter notificado a sua decisão, a autoridade de controlo principal ou, consoante o caso, a autoridade de controlo à qual tiver sido apresentada a reclamação adota a decisão final com base na decisão a que se refere o n.º 1 do presente artigo. A autoridade de controlo principal ou, consoante o caso, a autoridade de controlo à qual tiver sido apresentada a reclamação, informa o Comité da data em que a decisão final é notificada, respetivamente, ao responsável pelo tratamento ou ao subcontratante e ao titular. A decisão final das autoridades de controlo interessadas é adotada nos termos do artigo 60.º, n.ºs 7, 8 e 9. A decisão final remete para a decisão a que se refere o n.º 1 do presente artigo e especifica que a decisão referida no n.º 1 é publicada no sítio web do Comité nos termos do n.º 5 do presente artigo. A decisão final é acompanhada da decisão a que se refere o n.º 1 do presente artigo. |
Contém as alterações dos seguintes diplomas: - Retificação n.º 00/2016, de 04/05
|
Consultar versões anteriores deste artigo: -1ª versão: Regulamento(UE) n.º 679/2016, de 27/04
|
|
|
|
Artigo 66.º
Procedimento de urgência |
1. Em circunstâncias excecionais, quando a autoridade de controlo interessada considerar que é urgente intervir a fim de defender os direitos e liberdades dos titulares dos dados, pode, em derrogação do procedimento de controlo da coerência referido nos artigos 63.º, 64.º e 65.º ou do procedimento a que se refere o artigo 60.º, adotar imediatamente medidas provisórias destinadas a produzir efeitos legais no seu próprio território, válidas por um período determinado que não seja superior a três meses. A autoridade de controlo dá sem demora conhecimento dessas medidas e dos motivos que a levaram a adotá-la às outras autoridades de controlo interessadas, ao Comité e à Comissão.
2. Quando a autoridade de controlo tiver tomado uma medida nos termos do n.º 1 e considerar necessário adotar urgentemente medidas definitivas, pode solicitar um parecer urgente ou uma decisão vinculativa urgente ao Comité, fundamentando o seu pedido de parecer ou decisão.
3. As autoridades de controlo podem solicitar um parecer urgente ou uma decisão vinculativa urgente, conforme o caso, ao Comité, quando a autoridade de controlo competente não tiver tomado nenhuma medida adequada numa situação que exija uma iniciativa urgente para defender os direitos e liberdades dos titulares dos dados, apresentando os motivos por que pede parecer ou decisão, e por que há necessidade urgente de agir.
4. Em derrogação do artigo 64.º, n.º 3, e do artigo 65.º, n.º 2, os pareceres urgentes ou decisões vinculativas urgentes a que se referem os n.ºs 2 e 3 do presente artigo são adotados no prazo de duas semanas por maioria simples dos membros do Comité. |
|
|
|
|
|
Artigo 67.º
Troca de informações |
Comissão pode adotar atos de execução de aplicação geral a fim de especificar as regras de intercâmbio eletrónico de informações entre as autoridades de controlo e entre estas e o Comité, nomeadamente o formato normalizado referido no artigo 64.º.
Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 93.º, n.º 2. |
|
|
|
|
|
Secção 3
Comité europeu para a proteção de dados
| Artigo 68.º
Comité Europeu para a Proteção de Dados |
1. O Comité Europeu para a Proteção de Dados («Comité») é criado enquanto organismo da União e está dotado de personalidade jurídica.
2. O Comité é representado pelo seu presidente.
3. O Comité é composto pelo diretor de uma autoridade de controlo de cada Estado-Membro e da Autoridade Europeia para a Proteção de Dados, ou pelos respetivos representantes.
4. Quando, num determinado Estado-Membro, haja mais do que uma autoridade de controlo com responsabilidade pelo controlo da aplicação do presente regulamento, é nomeado um representante comum nos termos do direito desse Estado-Membro.
5. A Comissão tem o direito de participar nas atividades e reuniões do Comité, sem direito de voto. A Comissão designa um representante. O presidente do Comité informa a Comissão das atividades do Comité.
6. Nos casos referidos no artigo 65.º, a Autoridade Europeia para a Proteção de Dados apenas tem direito de voto nas decisões que digam respeito a princípios e normas aplicáveis às instituições, órgãos, organismos e agências da União que correspondam, em substância, às do presente regulamento. |
|
|
|
|
|
Artigo 69.º
Independência |
1. O Comité é independente na prossecução das suas atribuições ou no exercício dos seus poderes, nos termos dos artigos 70.º e 71.º.
2. Sem prejuízo dos pedidos da Comissão referidos no artigo 70.º, n.ºs 1 e 2, o Comité não solicita nem recebe instruções de outrem na prossecução das suas atribuições ou no exercício dos seus poderes. |
Contém as alterações dos seguintes diplomas: - Retificação n.º 00/2016, de 04/05
|
Consultar versões anteriores deste artigo: -1ª versão: Regulamento(UE) n.º 679/2016, de 27/04
|
|
|
|
Artigo 70.º
Atribuições do Comité |
1. O Comité assegura a aplicação coerente do presente regulamento. Para o efeito, o Comité exerce, por iniciativa própria ou, nos casos pertinentes, a pedido da Comissão, as seguintes atividades:
a)Controla e assegura a correta aplicação do presente regulamento nos casos previstos nos artigos 64.º e 65.º, sem prejuízo das funções das autoridades nacionais de controlo;
b)Aconselha a Comissão em todas as questões relacionadas com a proteção de dados pessoais na União, nomeadamente em qualquer projeto de alteração ao presente regulamento;
c)Aconselha a Comissão sobre o formato e os procedimentos de intercâmbio de informações entre os responsáveis pelo tratamento, os subcontratantes e as autoridades de controlo no que respeita às regras vinculativas aplicáveis às empresas;
d)Emite diretrizes, recomendações e melhores práticas para os procedimentos de apagamento de ligações para os dados pessoais, de cópias ou reproduções desses dados existentes em serviços de comunicação acessíveis ao público, tal como previsto no artigo 17.º, n.º 2;
e)Analisa, por iniciativa própria, a pedido de um dos seus membros da Comissão, qualquer questão relativa à aplicação do presente regulamento e emite diretrizes, recomendações e melhores práticas, a fim de incentivar a aplicação coerente do presente regulamento;
f)Emite diretrizes, recomendações e melhores práticas nos termos da alínea e) do presente número, para definir mais concretamente os critérios e condições aplicáveis às decisões baseadas na definição de perfis, nos termos do artigo 22.º, n.º 2;
g)Emite diretrizes, recomendações e melhores práticas nos termos da alínea e) do presente número, para definir violações de dados pessoais e determinar a demora injustificada a que se refere o artigo 33.º, n.ºs 1 e 2, bem como as circunstâncias particulares em que o responsável pelo tratamento ou o subcontratante é obrigado a notificar a violação de dados pessoais;
h)Emite diretrizes, recomendações e melhores práticas nos termos da alínea e) do presente número, a respeito das circunstâncias em que as violações de dados pessoais são suscetíveis de resultar num risco elevado para os direitos e liberdades das pessoas singulares a que se refere o artigo 34.º, n.º 1;
i)Emite diretrizes, recomendações e melhores práticas nos termos da alínea e) do presente número, para definir mais concretamente os critérios e requisitos aplicáveis às transferências de dados baseadas em regras vinculativas aplicáveis às empresas aceites pelos responsáveis pelo tratamento e em regras vinculativas aplicáveis às empresas aceites pelos subcontratantes, e outros requisitos necessários para assegurar a proteção dos dados pessoais dos titulares dos dados em causa a que se refere o artigo 47.º;
j)Emite diretrizes, recomendações e melhores práticas nos termos da alínea e) do presente número para definir mais concretamente os critérios e requisitos aplicáveis à transferência de dados efetuadas com base no artigo 49.º, n.º 1;
k)Elabora diretrizes dirigidas às autoridades de controlo em matéria de aplicação das medidas a que se refere o artigo 58.º, n.ºs 1, 2 e 3, e de fixação de coimas nos termos do artigo 83.º;
l)Examina a aplicação prática das diretrizes, recomendações e melhores práticas;
m)Emite diretrizes, recomendações e melhores práticas nos termos da alínea e) do presente número para definir procedimentos comuns para a comunicação por pessoas singulares de violações do presente regulamento, nos termos do artigo 54.º, n.º 2;
n)Incentiva a elaboração de códigos de conduta e a criação de procedimentos de certificação, bem como de selos e marcas de proteção dos dados nos termos dos artigos 40.º e 42.º;
o)Aprova os critérios de certificação nos termos do artigo 42.º, n.º 5, e conserva um registo público de procedimentos de certificação e de selos e marcas de proteção de dados nos termos do artigo 42.º, n.º 8, e dos responsáveis pelo tratamento ou subcontratantes certificados, estabelecidos em países terceiros, nos termos do artigo 42.º, n.º 7;
p)Aprova os requisitos referidos no artigo 43.º, n.º 3, para acreditação dos organismos de certificação referidos no artigo 43.º;
q)Dá parecer à Comissão a respeito dos requisitos de certificação a que se refere o artigo 43.º, n.º 8;
r)Dá parecer à Comissão sobre os símbolos a que se refere o artigo 12.º, n.º 7;
s)Dá parecer à Comissão para a avaliação da adequação do nível de proteção num país terceiro ou organização internacional, e também para avaliar se um país terceiro, um território ou um ou mais setores específicos desse país terceiro, ou uma organização internacional, deixou de garantir um nível adequado de proteção. Para esse efeito, a Comissão fornece ao Comité toda a documentação necessária, inclusive a correspondência com o Governo do país terceiro, relativamente a esse país terceiro, território ou setor específico, ou com a organização internacional;
t)Emite pareceres relativos aos projetos de decisão das autoridades de controlo nos termos do procedimento de controlo da coerência referido no artigo 64.º, n.º 1, sobre os assuntos apresentados nos termos do artigo 64.º, n.º 2, e emite decisões vinculativas nos termos do artigo 65.º, incluindo nos casos referidos no artigo 66.º;
u)Promover a cooperação e o intercâmbio bilateral e plurilateral efetivo de informações e as melhores práticas entre as autoridades de controlo;
v)Promover programas de formação comuns e facilitar o intercâmbio de pessoal entre as autoridades de controlo, e, se necessário, com as autoridades de controlo de países terceiros ou com organizações internacionais;
w)Promover o intercâmbio de conhecimentos e de documentação sobre as práticas e a legislação no domínio da proteção de dados com autoridades de controlo de todo o mundo;
x)Emitir pareceres sobre os códigos de conduta elaborados a nível da União nos termos do artigo 40.º, n.º 9; e
y)Conservar um registo eletrónico, acessível ao público, das decisões tomadas pelas autoridades de controlo e pelos tribunais sobre questões tratadas no âmbito do procedimento de controlo da coerência.
2. Quando a Comissão consultar o Comité, pode indicar um prazo para a formulação do parecer, tendo em conta a urgência do assunto.
3. O Comité dirige os seus pareceres, diretrizes e melhores práticas à Comissão e ao comité referido no artigo 93.º, e procede à sua publicação.
4. Quando for caso disso, o Comité consulta as partes interessadas e dá-lhes a oportunidade de formular observações, num prazo razoável. Sem prejuízo do artigo 76.º, o Comité torna públicos os resultados do processo de consulta. |
Contém as alterações dos seguintes diplomas: - Retificação n.º 00/2016, de 04/05
|
Consultar versões anteriores deste artigo: -1ª versão: Regulamento(UE) n.º 679/2016, de 27/04
|
|
|
|
1. O Comité elabora um relatório anual sobre a proteção das pessoas singulares no que diz respeito ao tratamento na União e, quando for relevante, em países terceiros e organizações internacionais. O relatório é tornado público e enviado ao Parlamento Europeu, ao Conselho e à Comissão.
2. O relatório anual inclui uma análise da aplicação prática das diretrizes, recomendações e melhores práticas a que se refere o artigo 70.º, n.º 1, alínea l), bem como das decisões vinculativas a que se refere o artigo 65.º. |
|
|
|
|
|
1. Salvo disposição em contrário do presente regulamento, o Comité decide por maioria simples dos seus membros.
2. O Comité adota o seu regulamento interno por maioria de dois terços dos membros que o compõem e determina as suas regras de funcionamento. |
|
|
|
|
|
|