Você está na página 1de 156

Jornal Oficial L 119

da Unio Europeia




59.o ano
Edio em lngua
portuguesa Legislao 4 de maio de 2016

ndice

I Atos legislativos

REGULAMENTOS

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016,


relativo proteo das pessoas singulares no que diz respeito ao tratamento de dados pessoais
e livre circulao desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a
Proteo de Dados) (1) ...................................................................................................... 1

DIRETIVAS

Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa


proteo das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas
autoridades competentes para efeitos de preveno, investigao, deteo ou represso de
infraes penais ou execuo de sanes penais, e livre circulao desses dados, e que revoga
a Deciso-Quadro 2008/977/JAI do Conselho ...................................................................... 89

Diretiva (UE) 2016/681 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa


utilizao dos dados dos registos de identificao dos passageiros (PNR) para efeitos de
preveno, deteo, investigao e represso das infraes terroristas e da criminalidade grave 132

(1) Texto relevante para efeitos do EEE

PT Os atos cujos ttulos so impressos em tipo fino so atos de gesto corrente adotados no mbito da poltica agrcola e que tm, em geral,
um perodo de validade limitado.
Os atos cujos ttulos so impressos em tipo negro e precedidos de um asterisco so todos os restantes.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/1

(Atos legislativos)

REGULAMENTOS

REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO


de 27 de abril de 2016
relativo proteo das pessoas singulares no que diz respeito ao tratamento de dados pessoais e
livre circulao desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a
Proteo de Dados)

(Texto relevante para efeitos do EEE)

O PARLAMENTO EUROPEU E O CONSELHO DA UNIO EUROPEIA,

Tendo em conta o Tratado sobre o Funcionamento da Unio Europeia, nomeadamente o artigo 16.o,

Tendo em conta a proposta da Comisso Europeia,

Aps transmisso do projeto de ato legislativo aos parlamentos nacionais,

Tendo em conta o parecer do Comit Econmico e Social Europeu (1),

Tendo em conta o parecer do Comit das Regies (2),

Deliberando de acordo com o processo legislativo ordinrio (3),

Considerando o seguinte:

(1) A proteo das pessoas singulares relativamente ao tratamento de dados pessoais um direito fundamental. O
artigo 8.o, n.o 1, da Carta dos Direitos Fundamentais da Unio Europeia (Carta) e o artigo 16.o, n.o 1, do Tratado
sobre o Funcionamento da Unio Europeia (TFUE) estabelecem que todas as pessoas tm direito proteo dos
dados de carter pessoal que lhes digam respeito.

(2) Os princpios e as regras em matria de proteo das pessoas singulares relativamente ao tratamento dos seus
dados pessoais devero respeitar, independentemente da nacionalidade ou do local de residncia dessas pessoas,
os seus direitos e liberdades fundamentais, nomeadamente o direito proteo dos dados pessoais. O presente
regulamento tem como objetivo contribuir para a realizao de um espao de liberdade, segurana e justia e de
uma unio econmica, para o progresso econmico e social, a consolidao e a convergncia das economias a
nvel do mercado interno e para o bem-estar das pessoas singulares.

(3) A Diretiva 95/46/CE do Parlamento Europeu e do Conselho (4) visa harmonizar a defesa dos direitos e das
liberdades fundamentais das pessoas singulares em relao s atividades de tratamento de dados e assegurar a
livre circulao de dados pessoais entre os Estados-Membros.

(1) JO C 229 de 31.7.2012, p. 90.


(2) JO C 391 de 18.12.2012, p. 127.
(3) Posio do Parlamento Europeu de 12 de maro de 2014 (ainda no publicada no Jornal Oficial) e posio do Conselho em primeira
leitura de 8 de abril de 2016 (ainda no publicada no Jornal Oficial). Posio do Parlamento Europeu de 14 de abril de 2016.
(4) Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa proteo das pessoas singulares no que
diz respeito ao tratamento de dados pessoais e livre circulao desses dados (JO L 281 de 23.11.1995, p. 31).
L 119/2 PT Jornal Oficial da Unio Europeia 4.5.2016

(4) O tratamento dos dados pessoais dever ser concebido para servir as pessoas. O direito proteo de dados
pessoais no absoluto; deve ser considerado em relao sua funo na sociedade e ser equilibrado com outros
direitos fundamentais, em conformidade com o princpio da proporcionalidade. O presente regulamento respeita
todos os direitos fundamentais e observa as liberdade e os princpios reconhecidos na Carta, consagrados nos
Tratados, nomeadamente o respeito pela vida privada e familiar, pelo domiclio e pelas comunicaes, a proteo
dos dados pessoais, a liberdade de pensamento, de conscincia e de religio, a liberdade de expresso e de
informao, a liberdade de empresa, o direito ao e a um tribunal imparcial, e a diversidade cultural, religiosa e
lingustica.

(5) A integrao econmica e social resultante do funcionamento do mercado interno provocou um aumento signifi
cativo dos fluxos transfronteirios de dados pessoais. O intercmbio de dados entre intervenientes pblicos e
privados, incluindo as pessoas singulares, as associaes e as empresas, intensificou-se na Unio Europeia. As
autoridades nacionais dos Estados-Membros so chamadas, por fora do direito da Unio, a colaborar e a trocar
dados pessoais entre si, a fim de poderem desempenhar as suas funes ou executar funes por conta de uma
autoridade de outro Estado-Membro.

(6) A rpida evoluo tecnolgica e a globalizao criaram novos desafios em matria de proteo de dados pessoais.
A recolha e a partilha de dados pessoais registaram um aumento significativo. As novas tecnologias permitem s
empresas privadas e s entidades pblicas a utilizao de dados pessoais numa escala sem precedentes no
exerccio das suas atividades. As pessoas singulares disponibilizam cada vez mais as suas informaes pessoais de
uma forma pblica e global. As novas tecnologias transformaram a economia e a vida social e devero contribuir
para facilitar a livre circulao de dados pessoais na Unio e a sua transferncia para pases terceiros e
organizaes internacionais, assegurando simultaneamente um elevado nvel de proteo dos dados pessoais.

(7) Esta evoluo exige um quadro de proteo de dados slido e mais coerente na Unio, apoiado por uma
aplicao rigorosa das regras, pois importante gerar a confiana necessria ao desenvolvimento da economia
digital no conjunto do mercado interno. As pessoas singulares devero poder controlar a utilizao que feita
dos seus dados pessoais. Dever ser reforada a segurana jurdica e a segurana prtica para as pessoas
singulares, os operadores econmicos e as autoridades pblicas.

(8) Caso o presente regulamento preveja especificaes ou restries das suas regras pelo direito de um Estado-
-Membro, estes podem incorporar elementos do presente regulamento no respetivo direito nacional, na medida
do necessrio para manter a coerncia e tornar as disposies nacionais compreensveis para as pessoas a quem
se aplicam.

(9) Os objetivos e os princpios da Diretiva 95/46/CE continuam a ser vlidos, mas no evitaram a fragmentao da
aplicao da proteo dos dados ao nvel da Unio, nem a insegurana jurdica ou o sentimento generalizado da
opinio pblica de que subsistem riscos significativos para a proteo das pessoas singulares, nomeadamente no
que diz respeito s atividades por via eletrnica. As diferenas no nvel de proteo dos direitos e das pessoas
singulares, nomeadamente do direito proteo dos dados pessoais no contexto do tratamento desses dados nos
Estados-Membros, podem impedir a livre circulao de dados pessoais na Unio. Essas diferenas podem, por
conseguinte, constituir um obstculo ao exerccio das atividades econmicas a nvel da Unio, distorcer a
concorrncia e impedir as autoridades de cumprirem as obrigaes que lhes incumbem por fora do direito da
Unio. Essas diferenas entre os nveis de proteo devem-se existncia de disparidades na execuo e aplicao
da Diretiva 95/46/CE.

(10) A fim de assegurar um nvel de proteo coerente e elevado das pessoas singulares e eliminar os obstculos
circulao de dados pessoais na Unio, o nvel de proteo dos direitos e liberdades das pessoas singulares relati
vamente ao tratamento desses dados dever ser equivalente em todos os Estados-Membros. conveniente
assegurar em toda a Unio a aplicao coerente e homognea das regras de defesa dos direitos e das liberdades
fundamentais das pessoas singulares no que diz respeito ao tratamento de dados pessoais. No que diz respeito ao
tratamento de dados pessoais para cumprimento de uma obrigao jurdica, para o exerccio de funes de
interesse pblico ou o exerccio da autoridade pblica de que est investido o responsvel pelo tratamento, os
Estados-Membros devero poder manter ou aprovar disposies nacionais para especificar a aplicao das regras
do presente regulamento. Em conjugao com a legislao geral e horizontal sobre proteo de dados que d
aplicao Diretiva 95/46/CE, os Estados-Membros dispem de vrias leis setoriais em domnios que necessitam
de disposies mais especficas. O presente regulamento tambm d aos Estados-Membros margem de manobra
para especificarem as suas regras, inclusive em matria de tratamento de categorias especiais de dados pessoais
(dados sensveis). Nessa medida, o presente regulamento no exclui o direito dos Estados-Membros que define
as circunstncias de situaes especficas de tratamento, incluindo a determinao mais precisa das condies em
que lcito o tratamento de dados pessoais.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/3

(11) A proteo eficaz dos dados pessoais na Unio exige o reforo e a especificao dos direitos dos titulares dos
dados e as obrigaes dos responsveis pelo tratamento e pela definio do tratamento dos dados pessoais, bem
como poderes equivalentes para controlar e assegurar a conformidade das regras de proteo dos dados pessoais
e sanes equivalentes para as infraes nos Estados-Membros.

(12) O artigo 16.o, n.o 2, do TFUE incumbe o Parlamento Europeu e o Conselho de estabelecerem as normas relativas
proteo das pessoas singulares no que diz respeito ao tratamento de dados pessoais, bem como as normas
relativas livre circulao desses dados.

(13) A fim de assegurar um nvel coerente de proteo das pessoas singulares no conjunto da Unio e evitar que as
divergncias constituam um obstculo livre circulao de dados pessoais no mercado interno, necessrio um
regulamento que garanta a segurana jurdica e a transparncia aos operadores econmicos, incluindo as micro,
pequenas e mdias empresas, que assegure s pessoas singulares de todos os Estados-Membros o mesmo nvel de
direitos suscetveis de proteo judicial e imponha obrigaes e responsabilidades iguais aos responsveis pelo
tratamento e aos seus subcontratantes, que assegure um controlo coerente do tratamento dos dados pessoais,
sanes equivalentes em todos os Estados-Membros, bem como uma cooperao efetiva entre as autoridades de
controlo dos diferentes Estados-Membros. O bom funcionamento do mercado interno impe que a livre
circulao de dados pessoais na Unio no pode ser restringida ou proibida por motivos relacionados com a
proteo das pessoas singulares no que respeita ao tratamento de dados pessoais. Para ter em conta a situao
particular das micro, pequenas e mdias empresas, o presente regulamento prev uma derrogao para as
organizaes com menos de 250 trabalhadores relativamente conservao do registo de atividades. Alm disso,
as instituies e os rgos da Unio, e os Estados-Membros e as suas autoridades de controlo, so incentivados a
tomar em considerao as necessidades especficas das micro, pequenas e mdias empresas no mbito de
aplicao do presente regulamento. A noo de micro, pequenas e mdias empresaster em conta dever inspirar-
-se do artigo 2.o do anexo da Recomendao 2003/361/CE da Comisso (1).

(14) A proteo conferida pelo presente regulamento dever aplicar-se s pessoas singulares, independentemente da
sua nacionalidade ou do seu local de residncia, relativamente ao tratamento dos seus dados pessoais. O presente
regulamento no abrange o tratamento de dados pessoais relativos a pessoas coletivas, em especial a empresas
estabelecidas enquanto pessoas coletivas, incluindo a denominao, a forma jurdica e os contactos da pessoa
coletiva.

(15) A fim de se evitar o srio risco srio de ser contornada a proteo das pessoas singulares, esta dever ser neutra
em termos tecnolgicos e dever ser independente das tcnicas utilizadas. A proteo das pessoas singulares
dever aplicar-se ao tratamento de dados pessoais por meios automatizados, bem como ao tratamento manual, se
os dados pessoais estiverem contidos ou se forem destinados a um sistema de ficheiros. Os ficheiros ou os
conjuntos de ficheiros bem como as suas capas, que no estejam estruturados de acordo com critrios
especficos, no devero ser abrangidos pelo mbito de aplicao do presente regulamento.

(16) O presente regulamento no se aplica s questes de defesa dos direitos e das liberdades fundamentais ou da livre
circulao de dados pessoais relacionados com atividades que se encontrem fora do mbito de aplicao do
direito da Unio, como as que se prendem com a segurana nacional. O presente regulamento no se aplica ao
tratamento de dados pessoais pelos Estados-Membros no exerccio de atividades relacionadas com a poltica
externa e de segurana comum da Unio.

(17) O Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho (2) aplicvel ao tratamento de dados
pessoais pelas instituies, rgos, organismos ou agncias da Unio. O Regulamento (CE) n.o 45/2001, bem
como outros atos jurdicos da Unio aplicveis ao tratamento de dados pessoais, devero ser adaptados aos
princpios e regras estabelecidos pelo presente regulamento e aplicados luz do mesmo. A fim de proporcionar
um quadro de proteo de dados slido e coerente na Unio, e aps a adoo do presente regulamento, devero
ser realizadas as necessrias adaptaes do Regulamento (CE) n.o 45/2001, a fim de permitir a aplicao em
simultneo com o presente regulamento.

(18) O presente regulamento no se aplica ao tratamento de dados pessoais efetuado por pessoas singulares no
exerccio de atividades exclusivamente pessoais ou domsticas e, portanto, sem qualquer ligao com uma

(1) Recomendao 2003/361/CE da Comisso, de 6 de maio de 2003, relativa definio de micro, pequenas e mdias empresas (JO L 124
de 20.5.2003, p. 36).
(2) Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000, relativo proteo das pessoas
singulares no que diz respeito ao tratamento de dados pessoais pelas instituies e pelos rgos comunitrios e livre circulao desses
dados (JO L 8 de 12.1.2001, p. 1).
L 119/4 PT Jornal Oficial da Unio Europeia 4.5.2016

atividade profissional ou comercial. As atividades pessoais ou domsticas podero incluir a troca de correspon
dncia e a conservao de listas de endereos ou a atividade das redes sociais e do ambiente eletrnico no mbito
dessas atividades. Todavia, o presente regulamento aplicvel aos responsveis pelo tratamento e aos subcontra
tantes que forneam os meios para o tratamento dos dados pessoais dessas atividades pessoais ou domsticas.

(19) A proteo das pessoas singulares em matria de tratamento de dados pessoais pelas autoridades competentes
para efeitos de preveno, investigao, deteo e represso de infraes penais ou da execuo de sanes penais,
incluindo a salvaguarda e a preveno de ameaas segurana pblica, e de livre circulao desses dados,
objeto de um ato jurdico da Unio especfico. O presente regulamento no dever, por isso, ser aplicvel s
atividades de tratamento para esses efeitos. Todavia, os dados pessoais tratados pelas autoridades competentes ao
abrigo do presente regulamento devero ser regulados, quando forem usados para os efeitos referidos, por um
ato jurdico da Unio mais especfico, a saber, a Diretiva (UE) 2016/680 do Parlamento Europeu e do
Conselho (1). Os Estados-Membros podem confiar s autoridades competentes na aceo da Diretiva (UE)
2016/680 funes no necessariamente a executar para efeitos de preveno, investigao, deteo e represso de
infraes penais ou da execuo de sanes penais, incluindo a salvaguarda e a preveno de ameaas
segurana pblica, de modo a que o tratamento dos dados pessoais para esses outros efeitos, na medida em que
se insira na esfera do direito da Unio, seja abrangido pelo mbito de aplicao do presente regulamento.

No que respeita ao tratamento de dados pessoais pelas referidas autoridades competentes para efeitos que sejam
abrangidos pelo presente regulamento, os Estados-Membros devero poder manter ou aprovar disposies mais
especficas para adaptar a aplicao das regras previstas no presente regulamento. Tais disposies podem
estabelecer requisitos mais especficos e precisos a respeitar pelas referidas autoridades competentes no
tratamento dos dados pessoais para esses outros efeitos, tendo em conta as estruturas constitucionais, organi
zativas e administrativas do respetivo Estado-Membro. Nos casos em que o tratamento de dados pessoais por
organismos privados fica abrangido pelo presente regulamento, este dever prever a possibilidade de os Estados-
-Membros restringirem legalmente, em determinadas condies, certas obrigaes e direitos, quando tal restrio
constitua medida necessria e proporcionada, numa sociedade democrtica, para salvaguardar interesses
especficos importantes, incluindo a segurana pblica e a preveno, investigao, deteo ou represso de
infraes penais ou a execuo de sanes penais, incluindo a salvaguarda e a preveno de ameaas segurana
pblica. Tal possibilidade importante, por exemplo, no quadro da luta contra o branqueamento de capitais ou
das atividades dos laboratrios de polcia cientfica.

(20) Na medida em que o presente regulamento igualmente aplicvel, entre outras, s atividades dos tribunais e de
outras autoridades judiciais, poder determinar-se no direito da Unio ou dos Estados-Membros quais as
operaes e os procedimentos a seguir pelos tribunais e outras autoridades judiciais para o tratamento de dados
pessoais. A competncia das autoridades de controlo no abrange o tratamento de dados pessoais efetuado pelos
tribunais no exerccio da sua funo jurisdicional, a fim de assegurar a independncia do poder judicial no
exerccio da sua funo jurisdicional, nomeadamente a tomada de decises. Dever ser possvel confiar o controlo
de tais operaes de tratamento de dados a organismos especficos no mbito do sistema judicial do Estado-
-Membro, que devero, nomeadamente, assegurar o cumprimento das regras do presente regulamento, reforar a
sensibilizao os membros do poder judicial para as obrigaes que lhe so impostas pelo presente regulamento
e tratar reclamaes relativas s operaes de tratamento dos dados.

(21) O presente regulamento aplica-se sem prejuzo da aplicao da Diretiva 2000/31/CE do Parlamento Europeu e do
Conselho (2), nomeadamente das normas em matria de responsabilidade dos prestadores intermedirios de
servios previstas nos seus artigos 12.o a 15.o. A referida diretiva tem por objetivo contribuir para o correto
funcionamento do mercado interno, garantindo a livre circulao dos servios da sociedade da informao entre
Estados-Membros.

(22) Qualquer tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento de um
responsvel pelo tratamento ou de um subcontratante situado na Unio dever ser feito em conformidade com o
presente regulamento, independentemente de o tratamento em si ser realizado na Unio. O estabelecimento
pressupe o exerccio efetivo e real de uma atividade com base numa instalao estvel. A forma jurdica de tal
estabelecimento, quer se trate de uma sucursal quer de uma filial com personalidade jurdica, no fator
determinante nesse contexto.

(1) Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa proteo das pessoas singulares no que
diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de preveno, investigao, deteo ou
represso de infraes penais ou execuo de sanes penais, e livre circulao desses dados e que revoga a DecisoQuadro
2008/977/JAI do Conselho (ver pgina 89 do presente Jornal Oficial).
2
( ) Diretiva 2000/31/CE do Parlamento Europeu e do Conselho, de 8 de junho de 2000, relativa a certos aspetos legais dos servios da
sociedade de informao, em especial do comrcio eletrnico, no mercado interno (Diretiva sobre o comrcio eletrnico) (JO L 178
de 17.7.2000, p. 1).
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/5

(23) A fim de evitar que as pessoas singulares sejam privadas da proteo que lhes assiste por fora do presente
regulamento, o tratamento dos dados pessoais de titulares que se encontrem na Unio por um responsvel pelo
tratamento ou subcontratante no estabelecido na Unio dever ser abrangido pelo presente regulamento se as
atividades de tratamento estiverem relacionadas com a oferta de bens ou servios a esses titulares, independen
temente de estarem associadas a um pagamento. A fim de determinar se o responsvel pelo tratamento ou
subcontratante oferece ou no bens ou servios aos titulares dos dados que se encontrem na Unio, h que
determinar em que medida evidente a sua inteno de oferecer servios a titulares de dados num ou mais
Estados-Membros da Unio. O mero facto de estar disponvel na Unio um stio web do responsvel pelo
tratamento ou subcontratante ou de um intermedirio, um endereo eletrnico ou outro tipo de contactos, ou de
ser utilizada uma lngua de uso corrente no pas terceiro em que o referido responsvel est estabelecido, no
suficiente para determinar a inteno acima referida, mas h fatores, como a utilizao de uma lngua ou de uma
moeda de uso corrente num ou mais Estados-Membros, com a possibilidade de encomendar bens ou servios
nessa outra lngua, ou a referncia a clientes ou utilizadores que se encontrem na Unio, que podem ser
reveladores de que o responsvel pelo tratamento tem a inteno de oferecer bens ou servios a titulares de dados
na Unio.

(24) O tratamento de dados pessoais de titulares de dados que se encontrem na Unio por um responsvel ou subcon
tratante que no esteja estabelecido na Unio dever ser tambm abrangido pelo presente regulamento quando
esteja relacionado com o controlo do comportamento dos referidos titulares de dados, na medida em que o seu
comportamento tenha lugar na Unio. A fim de determinar se uma atividade de tratamento pode ser considerada
controlo do comportamento de titulares de dados, dever determinar-se se essas pessoas so seguidas na
Internet e a potencial utilizao subsequente de tcnicas de tratamento de dados pessoais que consistem em
definir o perfil de uma pessoa singular, especialmente para tomar decises relativas a essa pessoa ou analisar ou
prever as suas preferncias, o seu comportamento e as suas atitudes.

(25) Sempre que o direito de um Estado-Membro seja aplicvel por fora do direito internacional pblico, o presente
regulamento dever ser igualmente aplicvel aos responsveis pelo tratamento no estabelecidos na Unio, por
exemplo numa misso diplomtica ou num posto consular de um Estado-Membro.

(26) Os princpios da proteo de dados devero aplicar-se a qualquer informao relativa a uma pessoa singular
identificada ou identificvel. Os dados pessoais que tenham sido pseudonimizados, que possam ser atribudos a
uma pessoa singular mediante a utilizao de informaes suplementares, devero ser considerados informaes
sobre uma pessoa singular identificvel. Para determinar se uma pessoa singular identificvel, importa
considerar todos os meios suscetveis de ser razoavelmente utilizados, tais como a seleo, quer pelo responsvel
pelo tratamento quer por outra pessoa, para identificar direta ou indiretamente a pessoa singular. Para determinar
se h uma probabilidade razovel de os meios serem utilizados para identificar a pessoa singular, importa
considerar todos os fatores objetivos, como os custos e o tempo necessrio para a identificao, tendo em conta
a tecnologia disponvel data do tratamento dos dados e a evoluo tecnolgica. Os princpios da proteo de
dados no devero, pois, aplicar-se s informaes annimas, ou seja, s informaes que no digam respeito a
uma pessoa singular identificada ou identificvel nem a dados pessoais tornados de tal modo annimos que o seu
titular no seja ou j no possa ser identificado. O presente regulamento no diz, por isso, respeito ao tratamento
dessas informaes annimas, inclusive para fins estatsticos ou de investigao.

(27) O presente regulamento no se aplica aos dados pessoais de pessoas falecidas. Os Estados-Membros podero
estabelecer regras para o tratamento dos dados pessoais de pessoas falecidas.

(28) A aplicao da pseudonimizao aos dados pessoais pode reduzir os riscos para os titulares de dados em questo
e ajudar os responsveis pelo tratamento e os seus subcontratantes a cumprir as suas obrigaes de proteo de
dados. A introduo explcita da pseudonimizao no presente regulamento no se destina a excluir eventuais
outras medidas de proteo de dados.

(29) A fim de criar incentivos para aplicar a pseudonimizao durante o tratamento de dados pessoais, dever ser
possvel tomar medidas de pseudonimizao, permitindo-se simultaneamente uma anlise geral, no mbito do
mesmo responsvel pelo tratamento quando este tiver tomado as medidas tcnicas e organizativas necessrias
para assegurar, relativamente ao tratamento em questo, a aplicao do presente regulamento ea conservao em
separado das informaes adicionais que permitem atribuir os dados pessoais a um titular de dados especfico. O
responsvel pelo tratamento que tratar os dados pessoais dever indicar as pessoas autorizadas no mbito do
mesmo responsvel pelo tratamento.
L 119/6 PT Jornal Oficial da Unio Europeia 4.5.2016

(30) As pessoas singulares podem ser associadas a identificadores por via eletrnica, fornecidos pelos respetivos
aparelhos, aplicaes, ferramentas e protocolos, tais como endereos IP (protocolo internet) ou testemunhos de
conexo (cookie) ou outros identificadores, como as etiquetas de identificao por radiofrequncia. Estes identifi
cadores podem deixar vestgios que, em especial quando combinados com identificadores nicos e outras
informaes recebidas pelos servidores, podem ser utilizados para a definio de perfis e a identificao das
pessoas singulares.

(31) As autoridades pblicas a quem forem divulgados dados pessoais em conformidade com obrigaes jurdicas para
o exerccio da sua misso oficial, tais como as autoridades fiscais e aduaneiras, as unidades de investigao
financeira, as autoridades administrativas independentes ou as autoridades dos mercados financeiros, responsveis
pela regulamentao e superviso dos mercados de valores mobilirios, no devero ser consideradas destinatrias
se receberem dados pessoais que sejam necessrios para efetuar um inqurito especfico de interesse geral, em
conformidade com o direito da Unio ou dos Estados-Membros. Os pedidos de divulgao enviados pelas
autoridades pblicas devero ser sempre feitos por escrito, fundamentados e ocasionais e no devero dizer
respeito totalidade de um ficheiro nem implicar a interconexo de ficheiros. O tratamento desses dados pessoais
por essas autoridades pblicas dever respeitar as regras de proteo de dados aplicveis de acordo com as
finalidades do tratamento.

(32) O consentimento do titular dos dados dever ser dado mediante um ato positivo claro que indique uma
manifestao de vontade livre, especfica, informada e inequvoca de que o titular de dados consente no
tratamento dos dados que lhe digam respeito, como por exemplo mediante uma declarao escrita, inclusive em
formato eletrnico, ou uma declarao oral. O consentimento pode ser dado validando uma opo ao visitar um
stio web na Internet, selecionando os parmetros tcnicos para os servios da sociedade da informao ou
mediante outra declarao ou conduta que indique claramente nesse contexto que aceita o tratamento proposto
dos seus dados pessoais. O silncio, as opes pr-validadas ou a omisso no devero, por conseguinte,
constituir um consentimento. O consentimento dever abranger todas as atividades de tratamento realizadas com
a mesma finalidade. Nos casos em que o tratamento sirva fins mltiplos, dever ser dado um consentimento para
todos esses fins. Se o consentimento tiver de ser dado no seguimento de um pedido apresentado por via
eletrnica, esse pedido tem de ser claro e conciso e no pode perturbar desnecessariamente a utilizao do
servio para o qual fornecido.

(33) Muitas vezes no possvel identificar na totalidade a finalidade do tratamento de dados pessoais para efeitos de
investigao cientfica no momento da recolha dos dados. Por conseguinte, os titulares dos dados devero poder
dar o seu consentimento para determinadas reas de investigao cientfica, desde que estejam de acordo com
padres ticos reconhecidos para a investigao cientfica. Os titulares dos dados devero ter a possibilidade de
dar o seu consentimento unicamente para determinados domnios de investigao ou partes de projetos de
investigao, na medida permitida pela finalidade pretendida.

(34) Os dados genticos devero ser definidos como os dados pessoais relativos s caractersticas genticas,
hereditrias ou adquiridas, de uma pessoa singular que resultem da anlise de uma amostra biolgica da pessoa
singular em causa, nomeadamente da anlise de cromossomas, cido desoxirribonucleico (ADN) ou cido
ribonucleico (ARN), ou da anlise de um outro elemento que permita obter informaes equivalentes.

(35) Devero ser considerados dados pessoais relativos sade todos os dados relativos ao estado de sade de um
titular de dados que revelem informaes sobre a sua sade fsica ou mental no passado, no presente ou no
futuro. O que precede inclui informaes sobre a pessoa singular recolhidas durante a inscrio para a prestao
de servios de sade, ou durante essa prestao, conforme referido na Diretiva 2011/24/UE do Parlamento
Europeu e do Conselho (1), a essa pessoa singular; qualquer nmero, smbolo ou sinal particular atribudo a uma
pessoa singular para a identificar de forma inequvoca para fins de cuidados de sade; as informaes obtidas a
partir de anlises ou exames de uma parte do corpo ou de uma substncia corporal, incluindo a partir de dados
genticos e amostras biolgicas; e quaisquer informaes sobre, por exemplo, uma doena, deficincia, um risco
de doena, historial clnico, tratamento clnico ou estado fisiolgico ou biomdico do titular de dados, indepen
dentemente da sua fonte, por exemplo, um mdico ou outro profissional de sade, um hospital, um dispositivo
mdico ou um teste de diagnstico in vitro.

(36) O estabelecimento principal de um responsvel pelo tratamento na Unio dever ser o local onde se encontra a
sua administrao central na Unio, salvo se as decises sobre as finalidades e os meios de tratamento dos dados
pessoais forem tomadas noutro estabelecimento do responsvel pelo tratamento na Unio. Nesse caso, esse outro

(1) Diretiva 2011/24/UE do Parlamento Europeu e do Conselho, de 9 de maro de 2011, relativa ao exerccio dos direitos dos doentes em
matria de cuidados de sade transfronteirios (JO L 88 de 4.4.2011, p. 45).
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/7

estabelecimento dever ser considerado o estabelecimento principal. O estabelecimento principal de um


responsvel pelo tratamento na Unio dever ser determinado de acordo com critrios objetivos e dever
pressupor o exerccio efetivo e real de atividades de gesto que determinem as decises principais quanto s
finalidades e aos meios de tratamento mediante instalaes estveis. Esse critrio no dever depender do facto de
o tratamento ser realizado nesse local. A existncia e utilizao de meios tcnicos e de tecnologias para o
tratamento de dados pessoais ou as atividades de tratamento no constituem, em si mesmas, um estabelecimento
principal nem so, portanto, um critrio definidor de estabelecimento principal. O estabelecimento principal do
subcontratante o local da sua administrao central na Unio, ou, caso no tenha administrao central na
Unio, o local onde so exercidas as principais atividades de tratamento de dados na Unio. Nos casos que
impliquem tanto o responsvel pelo tratamento como o subcontratante, a autoridade de controlo principal
dever continuar a ser a autoridade de controlo do Estado-Membro onde o responsvel pelo tratamento tem o
estabelecimento principal, mas a autoridade de controlo do subcontratante dever ser considerada uma
autoridade de controlo interessada e dever participar no processo de cooperao previsto pelo presente
regulamento. Em qualquer caso, as autoridades de controlo do Estado-Membro ou Estados-Membros em que o
subcontratante tenha um ou mais estabelecimentos no devero ser consideradas autoridades de controlo
interessadas caso o projeto de deciso diga respeito apenas ao responsvel pelo tratamento. Sempre que o
tratamento dos dados seja efetuado por um grupo empresarial, o estabelecimento principal da empresa que
exerce o controlo dever ser considerado o estabelecimento principal do grupo empresarial, exceto quando as
finalidades e os meios do tratamento sejam determinados por uma outra empresa.

(37) Um grupo empresarial dever abranger uma empresa que exerce o controlo e as empresas que controla, devendo
a primeira ser a que pode exercer uma influncia dominante sobre as outras empresas, por exemplo, em virtude
da propriedade, da participao financeira ou das regras que a regem ou da faculdade de fazer aplicar as regras
relativas proteo de dados pessoais. Uma empresa que controla o tratamento dos dados pessoais nas empresas
a ela associadas dever ser considerada, juntamente com essas empresas, um grupo empresarial.

(38) As crianas merecem proteo especial quanto aos seus dados pessoais, uma vez que podem estar menos cientes
dos riscos, consequncias e garantias em questo e dos seus direitos relacionados com o tratamento dos dados
pessoais. Essa proteo especfica dever aplicar-se, nomeadamente, utilizao de dados pessoais de crianas
para efeitos de comercializao ou de criao de perfis de personalidade ou de utilizador, bem como recolha de
dados pessoais em relao s crianas aquando da utilizao de servios disponibilizados diretamente s crianas.
O consentimento do titular das responsabilidades parentais no dever ser necessrio no contexto de servios
preventivos ou de aconselhamento oferecidos diretamente a uma criana.

(39) O tratamento de dados pessoais dever ser efetuado de forma lcita e equitativa. Dever ser transparente para as
pessoas singulares que os dados pessoais que lhes dizem respeito so recolhidos, utilizados, consultados ou
sujeitos a qualquer outro tipo de tratamento e a medida em que os dados pessoais so ou viro a ser tratados. O
princpio da transparncia exige que as informaes ou comunicaes relacionadas com o tratamento desses
dados pessoais sejam de fcil acesso e compreenso, e formuladas numa linguagem clara e simples. Esse princpio
diz respeito, em particular, s informaes fornecidas aos titulares dos dados sobre a identidade do responsvel
pelo tratamento dos mesmos e os fins a que o tratamento se destina, bem como s informaes que se destinam
a assegurar que seja efetuado com equidade e transparncia para com as pessoas singulares em causa, bem como
a salvaguardar o seu direito a obter a confirmao e a comunicao dos dados pessoais que lhes dizem respeito
que esto a ser tratados. As pessoas singulares a quem os dados dizem respeito devero ser alertadas para os
riscos, regras, garantias e direitos associados ao tratamento dos dados pessoais e para os meios de que dispem
para exercer os seus direitos relativamente a esse tratamento. Em especial, as finalidades especficas do tratamento
dos dados pessoais devero ser explcitas e legtimas e ser determinadas aquando da recolha dos dados pessoais.
Os dados pessoais devero ser adequados, pertinentes e limitados ao necessrio para os efeitos para os quais so
tratados. Para isso, necessrio assegurar que o prazo de conservao dos dados seja limitado ao mnimo. Os
dados pessoais apenas devero ser tratados se a finalidade do tratamento no puder ser atingida de forma
razovel por outros meios. A fim de assegurar que os dados pessoais sejam conservados apenas durante o
perodo considerado necessrio, o responsvel pelo tratamento dever fixar os prazos para o apagamento ou a
reviso peridica. Devero ser adotadas todas as medidas razoveis para que os dados pessoais inexatos sejam
retificados ou apagados. Os dados pessoais devero ser tratados de uma forma que garanta a devida segurana e
confidencialidade, incluindo para evitar o acesso a dados pessoais e equipamento utilizado para o seu tratamento,
ou a utilizao dos mesmos, por pessoas no autorizadas.

(40) Para que o tratamento seja lcito, os dados pessoais devero ser tratados com base no consentimento da titular
dos dados em causa ou noutro fundamento legtimo, previsto por lei, quer no presente regulamento quer noutro
L 119/8 PT Jornal Oficial da Unio Europeia 4.5.2016

ato de direito da Unio ou de um Estado-Membro referido no presente regulamento, incluindo a necessidade de


serem cumpridas as obrigaes legais a que o responsvel pelo tratamento se encontre sujeito ou a necessidade
de serem executados contratos em que o titular dos dados seja parte ou a fim de serem efetuadas as diligncias
pr-contratuais que o titular dos dados solicitar.

(41) Caso o presente regulamento se refira a um fundamento jurdico ou a uma medida legislativa, no se trata
necessariamente de um ato legislativo adotado por um parlamento, sem prejuzo dos requisitos que decorram da
ordem constitucional do Estado-Membro em causa. No entanto, esse fundamento jurdico ou essa medida
legislativa devero ser claros e precisos e a sua aplicao dever ser previsvel para os seus destinatrios, em
conformidade com a jurisprudncia do Tribunal de Justia da Unio Europeia (Tribunal de Justia) e pelo
Tribunal Europeu dos Direitos do Homem.

(42) Sempre que o tratamento for realizado com base no consentimento do titular dos dados, o responsvel pelo
tratamento dever poder demonstrar que o titular deu o seu consentimento operao de tratamento dos dados.
Em especial, no contexto de uma declarao escrita relativa a outra matria, devero existir as devidas garantias
de que o titular dos dados est plenamente ciente do consentimento dado e do seu alcance. Em conformidade
com a Diretiva 93/13/CEE do Conselho (1), uma declarao de consentimento, previamente formulada pelo
responsvel pelo tratamento, dever ser fornecida de uma forma inteligvel e de fcil acesso, numa linguagem
clara e simples e sem clusulas abusivas. Para que o consentimento seja dado com conhecimento de causa, o
titular dos dados dever conhecer, pelo menos, a identidade do responsvel pelo tratamento e as finalidades a que
o tratamento se destina. No se dever considerar que o consentimento foi dado de livre vontade se o titular dos
dados no dispuser de uma escolha verdadeira ou livre ou no puder recusar nem retirar o consentimento sem
ser prejudicado.

(43) A fim de assegurar que o consentimento dado de livre vontade, este no dever constituir fundamento jurdico
vlido para o tratamento de dados pessoais em casos especficos em que exista um desequilbrio manifesto entre
o titular dos dados e o responsvel pelo seu tratamento, nomeadamente quando o responsvel pelo tratamento
uma autoridade pblica pelo que improvvel que o consentimento tenha sido dado de livre vontade em todas
as circunstncias associadas situao especfica em causa. Presume-se que o consentimento no dado de livre
vontade se no for possvel dar consentimento separadamente para diferentes operaes de tratamento de dados
pessoais, ainda que seja adequado no caso especfico, ou se a execuo de um contrato, incluindo a prestao de
um servio, depender do consentimento apesar de o consentimento no ser necessrio para a mesma execuo.

(44) O tratamento dever ser considerado lcito caso seja necessrio no contexto de um contrato ou da inteno de
celebrar um contrato.

(45) Sempre que o tratamento dos dados for realizado em conformidade com uma obrigao jurdica qual esteja
sujeito o responsvel pelo tratamento, ou se o tratamento for necessrio ao exerccio de funes de interesse
pblico ou ao exerccio da autoridade pblica, o tratamento dever assentar no direito da Unio ou de um
Estado-Membro. O presente regulamento no exige uma lei especfica para cada tratamento de dados. Poder ser
suficiente uma lei para diversas operaes de tratamento baseadas numa obrigao jurdica qual esteja sujeito o
responsvel pelo tratamento, ou se o tratamento for necessrio ao exerccio de funes de interesse pblico ou ao
exerccio da autoridade pblica. Dever tambm caber ao direito da Unio ou dos Estados-Membros determinar
qual a finalidade do tratamento dos dados. Alm disso, a referida lei poder especificar as condies gerais do
presente regulamento que regem a legalidade do tratamento dos dados pessoais, estabelecer regras especficas
para determinar os responsveis pelo tratamento, o tipo de dados pessoais a tratar, os titulares dos dados em
questo, as entidades a que os dados pessoais podem ser comunicados, os limites a que as finalidades do
tratamento devem obedecer, os prazos de conservao e outras medidas destinadas a garantir a licitude e
equidade do tratamento. Dever igualmente caber ao direito da Unio ou dos Estados-Membros determinar se o
responsvel pelo tratamento que exerce funes de interesse pblico ou prerrogativas de autoridade pblica
dever ser uma autoridade pblica ou outra pessoa singular ou coletiva de direito pblico, ou, caso tal seja do
interesse pblico, incluindo por motivos de sade, como motivos de sade pblica e proteo social e de gesto
dos servios de sade, de direito privado, por exemplo uma associao profissional.

(46) O tratamento de dados pessoais tambm dever ser considerado lcito quando for necessrio proteo de um
interesse essencial vida do titular dos dados ou de qualquer outra pessoa singular. Em princpio, o tratamento

(1) Diretiva 93/13/CEE do Conselho, de 5 de abril de 1993, relativa s clusulas abusivas nos contratos celebrados com os consumidores
(JO L 95 de 21.4.1993, p. 29).
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/9

de dados pessoais com base no interesse vital de outra pessoa singular s pode ter lugar quando o tratamento
no se puder basear manifestamente noutro fundamento jurdico. Alguns tipos de tratamento podem servir tanto
importantes interesses pblicos como interesses vitais do titular dos dados, por exemplo, se o tratamento for
necessrio para fins humanitrios, incluindo a monitorizao de epidemias e da sua propagao ou em situaes
de emergncia humanitria, em especial em situaes de catstrofes naturais e de origem humana.

(47) Os interesses legtimos dos responsveis pelo tratamento, incluindo os dos responsveis a quem os dados
pessoais possam ser comunicados, ou de terceiros, podem constituir um fundamento jurdico para o tratamento,
desde que no prevaleam os interesses ou os direitos e liberdades fundamentais do titular, tomando em conta as
expectativas razoveis dos titulares dos dados baseadas na relao com o responsvel. Poder haver um interesse
legtimo, por exemplo, quando existir uma relao relevante e apropriada entre o titular dos dados e o
responsvel pelo tratamento, em situaes como aquela em que o titular dos dados cliente ou est ao servio
do responsvel pelo tratamento. De qualquer modo, a existncia de um interesse legtimo requer uma avaliao
cuidada, nomeadamente da questo de saber se o titular dos dados pode razoavelmente prever, no momento e no
contexto em que os dados pessoais so recolhidos, que esses podero vir a ser tratados com essa finalidade. Os
interesses e os direitos fundamentais do titular dos dados podem, em particular, sobrepor-se ao interesse do
responsvel pelo tratamento, quando que os dados pessoais sejam tratados em circunstncias em que os seus
titulares j no esperam um tratamento adicional. Dado que incumbe ao legislador prever por lei o fundamento
jurdico para autorizar as autoridades a procederem ao tratamento de dados pessoais, esse fundamento jurdico
no dever ser aplicvel aos tratamentos efetuados pelas autoridades pblicas na prossecuo das suas
atribuies. O tratamento de dados pessoais estritamente necessrio aos objetivos de preveno e controlo da
fraude constitui igualmente um interesse legtimo do responsvel pelo seu tratamento. Poder considerar-se de
interesse legtimo o tratamento de dados pessoais efetuado para efeitos de comercializao direta.

(48) Os responsveis pelo tratamento que faam parte de um grupo empresarial ou de uma instituio associada a um
organismo central podero ter um interesse legtimo em transmitir dados pessoais no mbito do grupo de
empresas para fins administrativos internos, incluindo o tratamento de dados pessoais de clientes ou
funcionrios. Os princpios gerais que regem a transmisso de dados pessoais, no mbito de um grupo
empresarial, para uma empresa localizada num pas terceiro mantm-se inalterados.

(49) O tratamento de dados pessoais, na medida estritamente necessria e proporcionada para assegurar a segurana
da rede e das informaes, ou seja, a capacidade de uma rede ou de um sistema informtico de resistir, com um
dado nvel de confiana, a eventos acidentais ou a aes maliciosas ou ilcitas que comprometam a disponibi
lidade, a autenticidade, a integridade e a confidencialidade dos dados pessoais conservados ou transmitidos, bem
como a segurana dos servios conexos oferecidos ou acessveis atravs destas redes e sistemas, pelas autoridades
pblicas, equipas de interveno em caso de emergncias informticas (CERT), equipas de resposta a incidentes
no domnio da segurana informtica (CSIRT), fornecedores ou redes de servios de comunicaes eletrnicas e
por fornecedores de tecnologias e servios de segurana, constitui um interesse legtimo do responsvel pelo
tratamento. Pode ser esse o caso quando o tratamento vise, por exemplo, impedir o acesso no autorizado a
redes de comunicaes eletrnicas e a distribuio de cdigos maliciosos e pr termo a ataques de negao de
servio e a danos causados aos sistemas de comunicaes informticas e eletrnicas.

(50) O tratamento de dados pessoais para outros fins que no aqueles para os quais os dados pessoais tenham sido
inicialmente recolhidos apenas dever ser autorizado se for compatvel com as finalidades para as quais os dados
pessoais tenham sido inicialmente recolhidos. Nesse caso, no necessrio um fundamento jurdico distinto do
que permitiu a recolha dos dados pessoais. Se o tratamento for necessrio para o exerccio de funes de
interesse pblico ou o exerccio da autoridade pblica de que est investido o responsvel pelo tratamento, o
direito da Unio ou dos Estados-Membros pode determinar e definir as tarefas e finalidades para as quais o
tratamento posterior dever ser considerado compatvel e lcito. As operaes de tratamento posterior para fins
de arquivo de interesse pblico, para fins de investigao cientfica ou histrica ou para fins estatsticos, devero
ser consideradas tratamento lcito compatvel. O fundamento jurdico previsto no direito da Unio ou dos
Estados-Membros para o tratamento dos dados pessoais pode igualmente servir de fundamento jurdico para o
tratamento posterior. A fim de apurar se a finalidade de uma nova operao de tratamento dos dados ou no
compatvel com a finalidade para que os dados pessoais foram inicialmente recolhidos, o responsvel pelo seu
tratamento, aps ter cumprido todos os requisitos para a licitude do tratamento inicial, dever ter em ateno,
entre outros aspetos, a existncia de uma ligao entre a primeira finalidade e aquela a que se destina a nova
operao de tratamento que se pretende efetuar, o contexto em que os dados pessoais foram recolhidos, em
especial as expectativas razoveis do titular dos dados quanto sua posterior utilizao, baseadas na sua relao
L 119/10 PT Jornal Oficial da Unio Europeia 4.5.2016

com o responsvel pelo tratamento; a natureza dos dados pessoais; as consequncias que o posterior tratamento
dos dados pode ter para o seu titular; e a existncia de garantias adequadas tanto no tratamento inicial como nas
outras operaes de tratamento previstas.

Caso o titular dos dados tenha dado o seu consentimento ou o tratamento se baseie em disposies do direito da
Unio ou de um Estado-Membro que constituam uma medida necessria e proporcionada, numa sociedade
democrtica, para salvaguardar, em especial, os importantes objetivos de interesse pblico geral, o responsvel
pelo tratamento dever ser autorizado a proceder ao tratamento posterior dos dados pessoais, independentemente
da compatibilidade das finalidades. Em todo o caso, dever ser garantida a aplicao dos princpios enunciados
pelo presente regulamento e, em particular, a obrigao de informar o titular dos dados sobre essas outras
finalidades e sobre os seus direitos, incluindo o direito de se opor. A indicao pelo responsvel pelo tratamento
de eventuais atos criminosos ou ameaas segurana pblica e a transmisso dos dados pessoais pertinentes, em
casos individuais ou em vrios casos relativos ao mesmo ato criminoso ou ameaa segurana pblica, a uma
autoridade competente devero ser consideradas como sendo do interesse legtimo do responsvel pelo
tratamento. Todavia, dever ser proibido proceder transmisso no interesse legtimo do responsvel pelo
tratamento ou ao tratamento posterior de dados pessoais se a operao no for compatvel com alguma
obrigao legal, profissional ou outra obrigao vinculativa de confidencialidade.

(51) Merecem proteo especfica os dados pessoais que sejam, pela sua natureza, especialmente sensveis do ponto de
vista dos direitos e liberdades fundamentais, dado que o contexto do tratamento desses dados poder implicar
riscos significativos para os direitos e liberdades fundamentais. Devero incluir-se neste caso os dados pessoais
que revelem a origem racial ou tnica, no implicando o uso do termo origem racial no presente regulamento
que a Unio aceite teorias que procuram determinar a existncia de diferentes raas humanas. O tratamento de
fotografias no dever ser considerado sistematicamente um tratamento de categorias especiais de dados pessoais,
uma vez que so apenas abrangidas pela definio de dados biomtricos quando forem processadas por meios
tcnicos especficos que permitam a identificao inequvoca ou a autenticao de uma pessoa singular. Tais
dados pessoais no devero ser objeto de tratamento, salvo se essa operao for autorizada em casos especficos
definidos no presente regulamento, tendo em conta que o direito dos Estados-Membros pode estabelecer
disposies de proteo de dados especficas, a fim de adaptar a aplicao das regras do presente regulamento
para dar cumprimento a uma obrigao legal, para o exerccio de funes de interesse pblico ou para o
exerccio da autoridade pblica de que est investido o responsvel pelo tratamento. Para alm dos requisitos
especficos para este tipo de tratamento, os princpios gerais e outras disposies do presente regulamento
devero ser aplicveis, em especial no que se refere s condies para o tratamento lcito. Devero ser previstas
de forma explcita derrogaes proibio geral de tratamento de categorias especiais de dados pessoais, por
exemplo, se o titular dos dados der o seu consentimento expresso ou para ter em conta necessidades especficas,
designadamente quando o tratamento for efetuado no exerccio de atividades legtimas de certas associaes ou
fundaes que tenham por finalidade permitir o exerccio das liberdades fundamentais.

(52) As derrogaes proibio de tratamento de categorias especiais de dados pessoais devero ser igualmente
permitidas quando estiverem previstas no direito da Unio ou dos Estados-Membros esujeitas a salvaguardas
adequadas, de forma a proteger os dados pessoais e outros direitos fundamentais, casotal seja do interesse
pblico, nomeadamente o tratamento de dados pessoais em matria de direito laboral, de direito de proteo
social, incluindo as penses, e para fins de segurana, monitorizao e alerta em matria de sade, preveno ou
controlo de doenas transmissveis e outras ameaas graves para a sade. Essas derrogaes podero ser previstas
por motivos sanitrios, incluindo de sade pblica e de gesto de servios de sade, designadamente para
assegurar a qualidade e a eficincia em termos de custos dos procedimentos utilizados para regularizar os pedidos
de prestaes sociais e de servios no quadro do regime de seguro de sade, ou para fins de arquivo de interesse
pblico, para fins de investigao cientfica ou histrica ou para fins estatsticos. Uma derrogao dever tambm
permitir o tratamento desses dados pessoais quando tal for necessrio declarao, ao exerccio ou defesa de
um direito, independentemente de se tratar de um processo judicial ou de um processo administrativo ou extraju
dicial.

(53) As categorias especiais de dados pessoais que merecem uma proteo mais elevada s devero ser objeto de
tratamento para fins relacionados com a sade quando tal for necessrio para atingir os objetivos no interesse das
pessoas singulares e da sociedade no seu todo, nomeadamente no contexto da gesto dos servios e sistemas de
sade ou de ao social, incluindo o tratamento por parte da administrao e das autoridades sanitrias centrais
nacionais desses dados para efeitos de controlo da qualidade, informao de gesto e superviso geral a nvel
nacional e local do sistema de sade ou de ao social, assegurando a continuidade dos cuidados de sade ou de
ao social e da prestao de cuidados de sade transfronteiras, ou para fins de segurana, monitorizao e alerta
em matria de sade, ou para fins de arquivo de interesse pblico, para fins de investigao cientfica ou histrica
ou para fins estatsticos baseados no direito da Unio ou dos Estados-Membros e que tm de cumprir um
objetivo, assim como para os estudos realizados no interesse pblico no domnio da sade pblica. Por
conseguinte, o presente regulamento dever estabelecer condies harmonizadas para o tratamento de categorias
especiais de dados pessoais relativos sade, tendo em conta necessidades especficas, designadamente quando o
tratamento desses dados for efetuado para determinadas finalidades ligadas sade por pessoas sujeitas a uma
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/11

obrigao legal de sigilo profissional. O direito da Unio ou dos Estados-Membros dever prever medidas
especficas e adequadas com vista defesa dos direitos fundamentais e dos dados pessoais das pessoas singulares.
Os Estados-Membros devero ser autorizados a manter ou introduzir outras condies, incluindo limitaes, no
que diz respeito ao tratamento de dados genticos, dados biomtricos ou dados relativos sade. Tal no dever,
no entanto, impedir a livre circulao de dados pessoais na Unio, quando essas condies se aplicam ao
tratamento transfronteirio desses dados.

(54) O tratamento de categorias especiais de dados pessoais pode ser necessrio por razes de interesse pblico nos
domnios da sade pblica, sem o consentimento do titular dos dados. Esse tratamento dever ser objeto de
medidas adequadas e especficas, a fim de defender os direitos e liberdades das pessoas singulares. Neste contexto,
a noo de sade pblica dever ser interpretada segundo a definio constante do Regulamento (CE)
n.o 1338/2008 do Parlamento Europeu e do Conselho (1), ou seja, todos os elementos relacionados com a sade,
a saber, o estado de sade, incluindo a morbilidade e a incapacidade, as determinantes desse estado de sade, as
necessidades de cuidados de sade, os recursos atribudos aos cuidados de sade, a prestao de cuidados de
sade e o acesso universal aos mesmos, assim como as despesas e o financiamento dos cuidados de sade, e as
causas de mortalidade. Tais atividades de tratamento de dados sobre a sade autorizadas por motivos de interesse
pblico no devero ter por resultado que os dados sejam tratados para outros fins por terceiros, como os
empregadores ou as companhias de seguros e entidades bancrias.

(55) Alm disso, o tratamento de dados pessoais pelas autoridades pblicas tendo em vista realizar os objetivos,
consagrados no direito constitucional ou no direito internacional pblico, de associaes religiosas oficialmente
reconhecidas, efetuado por motivos de interesse pblico.

(56) Sempre que, no mbito do exerccio de atividades eleitorais, o funcionamento do sistema democrtico num
Estado-Membro exigir que os partidos polticos recolham dados pessoais sobre a opinio poltica dos cidados, o
tratamento desses dados pode ser autorizado por motivos de interesse pblico, desde que sejam estabelecidas
garantias adequadas.

(57) Se os dados pessoais tratados pelo responsvel pelo tratamento no lhe permitirem identificar uma pessoa
singular, aquele no dever ser obrigado a obter informaes suplementares para identificar o titular dos dados
com o nico objetivo de dar cumprimento a uma disposio do presente regulamento. Todavia, o responsvel
pelo tratamento no dever recusar receber informaes suplementares fornecidas pelo titular no intuito de
apoiar o exerccio dos seus direitos. A identificao dever incluir a identificao digital do titular dos dados, por
exemplo com recurso a um procedimento de autenticao com os mesmos dados de identificao usados pelo
titular dos dados para aceder aos servios do responsvel pelo tratamento por via eletrnica.

(58) O princpio da transparncia exige que qualquer informao destinada ao pblico ou ao titular dos dados seja
concisa, de fcil acesso e compreenso, bem como formulada numa linguagem clara e simples, e que se recorra,
adicionalmente, visualizao sempre que for adequado. Essas informaes podero ser fornecidas por via
eletrnica, por exemplo num stio web, quando se destinarem ao pblico. Isto especialmente relevante em
situaes em que a proliferao de operadores e a complexidade tecnolgica das prticas tornam difcil que o
titular dos dados saiba e compreenda se, por quem e para que fins os seus dados pessoais esto a ser recolhidos,
como no caso da publicidade por via eletrnica. Uma vez que as crianas merecem proteo especfica, sempre
que o tratamento lhes seja dirigido, qualquer informao e comunicao dever estar redigida numa linguagem
clara e simples que a criana compreenda facilmente.

(59) Devero ser previstas regras para facilitar o exerccio pelo titular dos dados dos direitos que lhe so conferidos ao
abrigo do presente regulamento, incluindo procedimentos para solicitar e, sendo caso disso, obter a ttulo
gratuito, em especial, o acesso a dados pessoais, a sua retificao ou o seu apagamento e o exerccio do direito de
oposio. O responsvel pelo tratamento dever fornecer os meios necessrios para que os pedidos possam ser
apresentados por via eletrnica, em especial quando os dados sejam tambm tratados por essa via. O responsvel
pelo tratamento dever ser obrigado a responder aos pedidos do titular dos dados sem demora injustificada e o
mais tardar no prazo de um ms e expor as suas razes quando tiver inteno de recusar o pedido.

(1) Regulamento (CE) n.o 1338/2008 do Parlamento Europeu e do Conselho, de 16 de dezembro de 2008, relativo s estatsticas
comunitrias sobre sade pblica e sade e segurana no trabalho (JO L 354 de 31.12.2008, p. 70).
L 119/12 PT Jornal Oficial da Unio Europeia 4.5.2016

(60) Os princpios do tratamento equitativo e transparente exigem que o titular dos dados seja informado da operao
de tratamento de dados e das suas finalidades. O responsvel pelo tratamento dever fornecer ao titular as
informaes adicionais necessrias para assegurar um tratamento equitativo e transparente tendo em conta as cir
cunstncias e o contexto especficos em que os dados pessoais forem tratados. O titular dos dados dever
tambm ser informado da definio de perfis e das consequncias que da advm. Sempre que os dados pessoais
forem recolhidos junto do titular dos dados, este dever ser tambm informado da eventual obrigatoriedade de
fornecer os dados pessoais e das consequncias de no os facultar. Essas informaes podem ser fornecidas em
combinao com cones normalizados a fim de dar, de modo facilmente visvel, inteligvel e claramente legvel
uma til perspetiva geral do tratamento previsto. Se forem apresentados por via eletrnica, os cones devero ser
de leitura automtica.

(61) As informaes sobre o tratamento de dados pessoais relativos ao titular dos dados devero ser a este fornecidas
no momento da sua recolha junto do titular dos dados ou, se os dados pessoais tiverem sido obtidos a partir de
outra fonte, dentro de um prazo razovel, consoante as circunstncias. Sempre que os dados pessoais forem
suscetveis de ser legitimamente comunicados a outro destinatrio, o titular dos dados dever ser informado
aquando da primeira comunicao dos dados pessoais a esse destinatrio. Sempre que o responsvel pelo
tratamento tiver a inteno de tratar os dados pessoais para outro fim que no aquele para o qual tenham sido
recolhidos, antes desse tratamento o responsvel pelo tratamento dever fornecer ao titular dos dados
informaes sobre esse fim e outras informaes necessrias. Quando no for possvel informar o titular dos
dados da origem dos dados pessoais por se ter recorrido a vrias fontes, devero ser-lhe fornecidas informaes
genricas.

(62) Todavia, no necessrio impor a obrigao de fornecer informaes caso o titular dos dados j disponha da
informao, caso a lei disponha expressamente o registo ou a comunicao dos dados pessoais ou caso a
informao ao titular dos dados se revele impossvel de concretizar ou implicar um esforo desproporcionado.
Este ltimo seria, nomeadamente, o caso de um tratamento efetuado para fins de arquivo de interesse pblico,
para fins de investigao cientfica ou histrica ou para fins estatsticos. Para esse efeito, dever ser considerado o
nmero de titulares de dados, a antiguidade dos dados e as devidas garantias que tenham sido adotadas.

(63) Os titulares de dados devero ter o direito de aceder aos dados pessoais recolhidos que lhes digam respeito e de
exercer esse direito com facilidade e a intervalos razoveis, a fim de conhecer e verificar a tomar conhecimento
do tratamento e verificar a sua licitude. Aqui se inclui o seu direito de acederem a dados sobre a sua sade, por
exemplo os dados dos registos mdicos com informaes como diagnsticos, resultados de exames, avaliaes
dos mdicos e quaisquer intervenes ou tratamentos realizados. Por conseguinte, cada titular de dados dever ter
o direito de conhecer e ser informado, nomeadamente, das finalidades para as quais os dados pessoais so
tratados, quando possvel do perodo durante o qual os dados so tratados, da identidade dos destinatrios dos
dados pessoais, da lgica subjacente ao eventual tratamento automtico dos dados pessoais e, pelo menos quando
tiver por base a definio de perfis, das suas consequncias. Quando possvel, o responsvel pelo tratamento
dever poder facultar o acesso a um sistema seguro por via eletrnica que possibilite ao titular aceder diretamente
aos seus dados pessoais. Esse direito no dever prejudicar os direitos ou as liberdades de terceiros, incluindo o
segredo comercial ou a propriedade intelectual e, particularmente, o direito de autor que protege o software.
Todavia, essas consideraes no devero resultar na recusa de prestao de todas as informaes ao titular dos
dados. Quando o responsvel proceder ao tratamento de grande quantidade de informao relativa ao titular dos
dados, dever poder solicitar que, antes de a informao ser fornecida, o titular especifique a que informaes ou
a que atividades de tratamento se refere o seu pedido.

(64) O responsvel pelo tratamento dever adotar todas as medidas razoveis para verificar a identidade do titular dos
dados que solicite o acesso, em especial no contexto de servios e de identificadores por via eletrnica. Os
responsveis pelo tratamento no devero conservar dados pessoais com a finalidade exclusiva de estar em
condies de reagir a eventuais pedidos.

(65) Os titulares dos dados devero ter direito a que os dados que lhes digam respeito sejam retificados e o direito a
serem esquecidos quando a conservao desses dados violar o presente regulamento ou o direito da Unio ou
dos Estados-Membros aplicvel ao responsvel pelo tratamento. Em especial, os titulares de dados devero ter
direito a que os seus dados pessoais sejam apagados e deixem de ser objeto de tratamento se deixarem de ser
necessrios para a finalidade para a qual foram recolhidos ou tratados, se os titulares dos dados retirarem o seu
consentimento ou se opuserem ao tratamento de dados pessoais que lhes digam respeito ou se o tratamento dos
seus dados pessoais no respeitar o disposto no presente regulamento. Esse direito assume particular importncia
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/13

quando o titular dos dados tiver dado o seu consentimento quando era criana e no estava totalmente ciente dos
riscos inerentes ao tratamento, e mais tarde deseje suprimir esses dados pessoais, especialmente na Internet. O
titular dos dados dever ter a possibilidade de exercer esse direito independentemente do facto de j ser adulto.
No entanto, o prolongamento da conservao dos dados pessoais dever ser efetuado de forma lcita quando tal
se revele necessrio para o exerccio do direito de liberdade de expresso e informao, para o cumprimento de
uma obrigao jurdica, para o exerccio de funes de interesse pblico ou o exerccio da autoridade pblica de
que est investido o responsvel pelo tratamento, por razes de interesse pblico no domnio da sade pblica,
para fins de arquivo de interesse pblico, para fins de investigao cientfica ou histrica ou para fins estatsticos,
ou para efeitos de declarao, exerccio ou defesa de um direito num processo judicial.

(66) Para reforar o direito a ser esquecido no ambiente por via eletrnica, o mbito do direito ao apagamento dever
ser alargado atravs da imposio ao responsvel pelo tratamento que tenha tornado pblicos os dados pessoais
da adoo de medidas razoveis, incluindo a aplicao de medidas tcnicas, para informar os responsveis que
estejam a tratar esses dados pessoais de que os titulares dos dados solicitaram a supresso de quaisquer ligaes
para esses dados pessoais ou de cpias ou reprodues dos mesmos. Ao faz-lo, esse responsvel pelo tratamento
dever adotar as medidas que se afigurarem razoveis, tendo em conta a tecnologia disponvel e os meios ao seu
dispor, incluindo medidas tcnicas, para informar do pedido do titular dos dados pessoais os responsveis que
estejam a tratar os dados.

(67) Para restringir o tratamento de dados pessoais pode recorrer-se a mtodos como a transferncia temporria de
determinados dados para outro sistema de tratamento, a indisponibilizao do acesso a determinados dados
pessoais por parte dos utilizadores, ou a retirada temporria de um stio web dos dados a publicados. Nos
ficheiros automatizados, as restries ao tratamento devero, em princpio, ser impostas por meios tcnicos de
modo a que os dados pessoais no sejam sujeitos a outras operaes de tratamento e no possam ser alterados.
Dever indicar-se de forma bem clara no sistema que o tratamento dos dados pessoais se encontra sujeito a
restries.

(68) Para reforar o controlo sobre os seus prprios dados, sempre que o tratamento de dados pessoais for
automatizado, o titular dos dados dever ser autorizado a receber os dados pessoais que lhe digam respeito, que
tenha fornecido a um responsvel pelo tratamento num formato estruturado, de uso corrente, de leitura
automtica e interopervel, e a transmiti-los a outro responsvel. Os responsveis pelo tratamento de dados
devero ser encorajados a desenvolver formatos interoperveis que permitam a portabilidade dos dados. Esse
direito dever aplicar-se tambm se o titular dos dados tiver fornecido os dados pessoais com base no seu consen
timento ou se o tratamento for necessrio para o cumprimento de um contrato. No dever ser aplicvel se o
tratamento se basear num fundamento jurdico que no seja o consentimento ou um contrato. Por natureza
prpria, esse direito no dever ser exercido em relao aos responsveis pelo tratamento que tratem dados
pessoais na prossecuo das suas atribuies pblicas. Por conseguinte, esse direito no dever ser aplicvel
quando o tratamento de dados pessoais for necessrio para o cumprimento de uma obrigao jurdica qual o
responsvel esteja sujeito, para o exerccio de atribuies de interesse pblico ou para o exerccio da autoridade
pblica de que esteja investido o responsvel pelo tratamento. O direito do titular dos dados a transmitir ou
receber dados pessoais que lhe digam respeito no dever implicar para os responsveis pelo tratamento a
obrigao de adotar ou manter sistemas de tratamento que sejam tecnicamente compatveis. Quando um
determinado conjunto de dados pessoais disser respeito a mais de um titular, o direito de receber os dados
pessoais no dever prejudicar os direitos e liberdades de outros titulares de dados nos termos do presente
regulamento. Alm disso, esse direito tambm no dever prejudicar o direito dos titulares dos dados a obter o
apagamento dos dados pessoais nem as restries a esse direito estabelecidas no presente regulamento e,
nomeadamente, no dever implicar o apagamento dos dados pessoais relativos ao titular que este tenha
fornecido para execuo de um contrato, na medida em que e enquanto os dados pessoais forem necessrios para
a execuo do referido contrato. Sempre que seja tecnicamente possvel, o titular dos dados dever ter o direito a
que os dados pessoais sejam transmitidos diretamente entre os responsveis pelo tratamento.

(69) No caso de um tratamento de dados pessoais lcito realizado por ser necessrio ao exerccio de funes de
interesse pblico ou ao exerccio da autoridade pblica de que est investido o responsvel pelo tratamento ou
ainda por motivos de interesse legtimo do responsvel pelo tratamento ou de terceiros, o titular no dever
deixar de ter o direito de se opor ao tratamento dos dados pessoais que digam respeito sua situao especfica.
Dever caber ao responsvel pelo tratamento provar que os seus interesses legtimos imperiosos prevalecem sobre
os interesses ou direitos e liberdades fundamentais do titular dos dados.

(70) Sempre que os dados pessoais forem objeto de tratamento para efeitos de comercializao direta, o titular dever
ter o direito de se opor, em qualquer momento e gratuitamente, a tal tratamento, incluindo a definio de perfis
na medida em que esteja relacionada com a referida comercializao, quer se trate do tratamento inicial quer do
tratamento posterior. Esse direito dever ser explicitamente levado ateno do titular e apresentado de modo
claro e distinto de quaisquer outras informaes.
L 119/14 PT Jornal Oficial da Unio Europeia 4.5.2016

(71) O titular dos dados dever ter o direito de no ficar sujeito a uma deciso, que poder incluir uma medida, que
avalie aspetos pessoais que lhe digam respeito, que se baseie exclusivamente no tratamento automatizado e que
produza efeitos jurdicos que lhe digam respeito ou o afetem significativamente de modo similar, como a recusa
automtica de um pedido de crdito por via eletrnica ou prticas de recrutamento eletrnico sem qualquer
interveno humana. Esse tratamento inclui a definio de perfis mediante qualquer forma de tratamento
automatizado de dados pessoais para avaliar aspetos pessoais relativos a uma pessoa singular, em especial a
anlise e previso de aspetos relacionados com o desempenho profissional, a situao econmica, sade,
preferncias ou interesses pessoais, fiabilidade ou comportamento, localizao ou deslocaes do titular dos
dados, quando produza efeitos jurdicos que lhe digam respeito ou a afetem significativamente de forma similar.
No entanto, a tomada de decises com base nesse tratamento, incluindo a definio de perfis, dever ser
permitida se expressamente autorizada pelo direito da Unio ou dos Estados-Membros aplicvel ao responsvel
pelo tratamento, incluindo para efeitos de controlo e preveno de fraudes e da evaso fiscal, conduzida nos
termos dos regulamentos, normas e recomendaes das instituies da Unio ou das entidades nacionais de
controlo, e para garantir a segurana e a fiabilidade do servio prestado pelo responsvel pelo tratamento, ou se
for necessria para a celebrao ou execuo de um contrato entre o titular dos dados e o responsvel pelo
tratamento, ou mediante o consentimento explcito do titular. Em qualquer dos casos, tal tratamento dever ser
acompanhado das garantias adequadas, que devero incluir a informao especfica ao titular dos dados e o
direito de obter a interveno humana, de manifestar o seu ponto de vista, de obter uma explicao sobre a
deciso tomada na sequncia dessa avaliao e de contestar a deciso. Essa medida no dever dizer respeito a
uma criana.

A fim de assegurar um tratamento equitativo e transparente no que diz respeito ao titular dos dados, tendo em
conta a especificidade das circunstncias e do contexto em que os dados pessoais so tratados, o responsvel pelo
tratamento dever utilizar procedimentos matemticos e estatsticos adequados definio de perfis, aplicar
medidas tcnicas e organizativas que garantam designadamente que os fatores que introduzem imprecises nos
dados pessoais so corrigidos e que o risco de erros minimizado, e proteger os dados pessoais de modo a que
sejam tidos em conta os potenciais riscos para os interesses e direitos do titular dos dados e de forma a prevenir,
por exemplo, efeitos discriminatrios contra pessoas singulares em razo da sua origem racial ou tnica, opinio
poltica, religio ou convices, filiao sindical, estado gentico ou de sade ou orientao sexual, ou a impedir
que as medidas venham a ter tais efeitos. A deciso e definio de perfis automatizada baseada em categorias
especiais de dados pessoais s dever ser permitida em condies especficas.

(72) A definio de perfis est sujeita s regras do presente regulamento que regem o tratamento de dados pessoais,
como o fundamento jurdico do tratamento ou os princpios da proteo de dados. O Comit Europeu para a
Proteo de Dados criado pelo presente regulamento (Comit) dever poder emitir orientaes nesse mbito.

(73) O direito da Unio ou dos Estados-Membros podem impor restries relativas a princpios especficos e aos
direitos de informao, acesso e retificao ou apagamento de dados pessoais e ao direito portabilidade dos
dados, ao direito de oposio, s decises baseadas na definio de perfis, bem como comunicao de uma
violao de dados pessoais ao titular dos dados, e a determinadas obrigaes conexas dos responsveis pelo
tratamento, na medida em que sejam necessrias e proporcionadas numa sociedade democrtica para garantir a
segurana pblica, incluindo a proteo da vida humana, especialmente em resposta a catstrofes naturais ou
provocadas pelo homem, para a preveno, a investigao e a represso de infraes penais ou a execuo de
sanes penais, incluindo a salvaguarda e a preveno de ameaas segurana pblica ou violaes da
deontologia de profisses regulamentadas, para outros objetivos importantes de interesse pblico geral da Unio
ou de um Estado-Membro, nomeadamente um interesse econmico ou financeiro importante da Unio ou de um
Estado-Membro, para a conservao de registos pblicos por motivos de interesse pblico geral, para posterior
tratamento de dados pessoais arquivados para a prestao de informaes especficas relacionadas com o compor
tamento poltico no mbito de antigos regimes totalitrios ou para efeitos de defesa do titular dos dados ou dos
direitos e liberdades de terceiros, incluindo a proteo social, a sade pblica e os fins humanitrios. Essas
restries devero respeitar as exigncias estabelecidas na Carta e na Conveno Europeia para a Proteo dos
Direitos do Homem e das Liberdades Fundamentais.

(74) Dever ser consagrada a responsabilidade do responsvel por qualquer tratamento de dados pessoais realizado
por este ou por sua conta. Em especial, o responsvel pelo tratamento dever ficar obrigado a executar as
medidas que forem adequadas e eficazes e ser capaz de comprovar que as atividades de tratamento so efetuadas
em conformidade com o presente regulamento, incluindo a eficcia das medidas. Essas medidas devero ter em
conta a natureza, o mbito, o contexto e as finalidades do tratamento dos dados, bem como o risco que possa
implicar para os direitos e liberdades das pessoas singulares.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/15

(75) O risco para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variveis,
poder resultar de operaes de tratamento de dados pessoais suscetveis de causar danos fsicos, materiais ou
imateriais, em especial quando o tratamento possa dar origem discriminao, usurpao ou roubo da
identidade, a perdas financeiras, prejuzos para a reputao, perdas de confidencialidade de dados pessoais
protegidos por sigilo profissional, inverso no autorizada da pseudonimizao, ou a quaisquer outros prejuzos
importantes de natureza econmica ou social; quando os titulares dos dados possam ficar privados dos seus
direitos e liberdades ou impedidos do exerccio do controlo sobre os respetivos dados pessoais; quando forem
tratados dados pessoais que revelem a origem racial ou tnica, as opinies polticas, as convices religiosas ou
filosficas e a filiao sindical, bem como dados genticos ou dados relativos sade ou vida sexual ou a
condenaes penais e infraes ou medidas de segurana conexas; quando forem avaliados aspetos de natureza
pessoal, em particular anlises ou previses de aspetos que digam respeito ao desempenho no trabalho, situao
econmica, sade, s preferncias ou interesses pessoais, fiabilidade ou comportamento e localizao ou s
deslocaes das pessoas, a fim de definir ou fazer uso de perfis; quando forem tratados dados relativos a pessoas
singulares vulnerveis, em particular crianas; ou quando o tratamento incidir sobre uma grande quantidade de
dados pessoais e afetar um grande nmero de titulares de dados.

(76) A probabilidade e a gravidade dos riscos para os direitos e liberdades do titular dos dados dever ser determinada
por referncia natureza, mbito, contexto e finalidades do tratamento de dados. Os riscos devero ser aferidos
com base numa avaliao objetiva, que determine se as operaes de tratamento de dados implicam risco ou
risco elevado.

(77) As orientaes sobre a execuo de medidas adequadas e sobre a comprovao de conformidade pelos
responsveis pelo tratamento ou subcontratantes, em especial no que diz respeito identificao dos riscos
relacionados com o tratamento, sua avaliao em termos de origem, natureza, probabilidade e gravidade, bem
como identificao das melhores prticas para a atenuao dos riscos, podero ser obtidas nomeadamente
recorrendo a cdigos de conduta aprovados, a certificaes aprovadas, s orientaes fornecidas pelo Comit ou
s indicaes fornecidas por um encarregado da proteo de dados. O Comit poder emitir igualmente
orientaes sobre operaes de tratamento de dados que no sejam suscetveis de resultar num elevado risco para
os direitos e liberdades das pessoas singulares e indicar quais as medidas adequadas em tais casos para diminuir
esse risco.

(78) A defesa dos direitos e liberdades das pessoas singulares relativamente ao tratamento dos seus dados pessoais
exige a adoo de medidas tcnicas e organizativas adequadas, a fim de assegurar o cumprimento dos requisitos
do presente regulamento. Para poder comprovar a conformidade com o presente regulamento, o responsvel pelo
tratamento dever adotar orientaes internas e aplicar medidas que respeitem, em especial, os princpios da
proteo de dados desde a conceo e da proteo de dados por defeito. Tais medidas podem incluir a
minimizao do tratamento de dados pessoais, a pseudonimizao de dados pessoais o mais cedo possvel, a
transparncia no que toca s funes e ao tratamento de dados pessoais, a possibilidade de o titular dos dados
controlar o tratamento de dados e a possibilidade de o responsvel pelo tratamento criar e melhorar medidas de
segurana. No contexto do desenvolvimento, conceo, seleo e utilizao de aplicaes, servios e produtos que
se baseiam no tratamento de dados pessoais ou recorrem a este tratamento para executarem as suas funes,
haver que incentivar os fabricantes dos produtos, servios e aplicaes a ter em conta o direito proteo de
dados quando do seu desenvolvimento e conceo e, no devido respeito pelas tcnicas mais avanadas, a garantir
que os responsveis pelo tratamento e os subcontratantes estejam em condies de cumprir as suas obrigaes
em matria de proteo de dados. Os princpios de proteo de dados desde a conceo e, por defeito, devero
tambm ser tomados em considerao no contexto dos contratos pblicos.

(79) A defesa dos direitos e liberdades dos titulares dos dados, bem como a responsabilidade dos responsveis pelo
seu tratamento e dos subcontratantes, incluindo no que diz respeito superviso e s medidas adotadas pelas
autoridades de controlo, exigem uma clara repartio das responsabilidades nos termos do presente regulamento,
nomeadamente quando o responsvel pelo tratamento determina as finalidades e os meios do tratamento conjun
tamente com outros responsveis, ou quando uma operao de tratamento de dados efetuada por conta de um
responsvel pelo tratamento.

(80) Sempre que um responsvel pelo tratamento ou um subcontratante no estabelecidos na Unio efetuarem o
tratamento de dados pessoais de titulares de dados que se encontrem na Unio, e as suas atividades de tratamento
estiverem relacionadas com a oferta de bens ou servios a esses titulares de dados na Unio, independentemente
de a estes ser exigido um pagamento, ou com o controlo do seu comportamento na medida que o seu compor
tamento tenha lugar na Unio, o responsvel pelo tratamento ou o subcontratante devero designar um
representante, a no ser que o tratamento seja ocasional, no inclua o tratamento, em larga escala, de categorias
especiais de dados pessoais, nem o tratamento de dados pessoais relativos a condenaes penais e infraes, e
no seja suscetvel de implicar riscos para os direitos e liberdades das pessoas singulares, tendo em conta a
L 119/16 PT Jornal Oficial da Unio Europeia 4.5.2016

natureza, o contexto, o mbito e as finalidades do tratamento ou se o responsvel pelo tratamento for uma
autoridade ou organismo pblico. O representante dever agir em nome do responsvel pelo tratamento ou do
subcontratante e dever poder ser contactado por qualquer autoridade de controlo. O representante dever ser
explicitamente designado por um mandato do responsvel pelo tratamento ou do subcontratante, emitido por
escrito, que permita ao representante agir em seu nome no que diz respeito s obrigaes que lhes so impostas
pelo presente regulamento. A designao de um tal representante no afeta as responsabilidades que incumbem
ao responsvel pelo tratamento ou ao subcontratante nos termos do presente regulamento. O representante
dever executar as suas tarefas em conformidade com o mandato que recebeu do responsvel pelo tratamento ou
do subcontratante, incluindo no que toca cooperao com as autoridades de controlo competentes relati
vamente a qualquer ao empreendida no sentido de garantir o cumprimento do presente regulamento. O
representante designado dever estar sujeito a procedimentos de execuo em caso de incumprimento pelo
responsvel pelo tratamento ou pelo subcontratante.

(81) Para assegurar o cumprimento do presente regulamento no que se refere ao tratamento a efetuar pelo subcon
tratante por conta do responsvel pelo tratamento, este, quando confiar atividades de tratamento a um subcon
tratante, dever recorrer exclusivamente a subcontratantes que ofeream garantias suficientes, especialmente em
termos de conhecimentos especializados, fiabilidade e recursos, quanto execuo de medidas tcnicas e organi
zativas que cumpram os requisitos do presente regulamento, nomeadamente no que se refere segurana do
tratamento. O facto de o subcontratante cumprir um cdigo de conduta aprovado ou um procedimento de
certificao aprovado poder ser utilizado como elemento para demonstrar o cumprimento das obrigaes do
responsvel pelo tratamento. A realizao de operaes de tratamento de dados em subcontratao dever ser
regulada por um contrato ou por outro ato normativo ao abrigo do direito da Unio ou dos Estados-Membros,
que vincule o subcontratante ao responsvel pelo tratamento e em que seja estabelecido o objeto e a durao do
contrato, a natureza e as finalidades do tratamento, o tipo de dados pessoais e as categorias dos titulares dos
dados, tendo em conta as tarefas e responsabilidades especficas do subcontratante no contexto do tratamento a
realizar e o risco em relao aos direitos e liberdades do titular dos dados. O responsvel pelo tratamento e o
subcontratante podero optar por utilizar um contrato individual ou clusulas contratuais-tipo que so adotadas
quer diretamente pela Comisso quer por uma autoridade de controlo em conformidade com o procedimento de
controlo da coerncia e adotadas posteriormente pela Comisso. Aps concludo o tratamento por conta do
responsvel pelo tratamento, o subcontratante dever, consoante a escolha do primeiro, devolver ou apagar os
dados pessoais, a menos que seja exigida a conservao dos dados pessoais ao abrigo do direito da Unio ou do
Estado-Membro a que o subcontratante est sujeito.

(82) A fim de comprovar a observncia do presente regulamento, o responsvel pelo tratamento ou o subcontratante
dever conservar registos de atividades de tratamento sob a sua responsabilidade. Os responsveis pelo
tratamento e subcontratantes devero ser obrigados a cooperar com a autoridade de controlo e a facultar-lhe
esses registos, a pedido, para fiscalizao dessas operaes de tratamento.

(83) A fim de preservar a segurana e evitar o tratamento em violao do presente regulamento, o responsvel pelo
tratamento, ou o subcontratante, dever avaliar os riscos que o tratamento implica e aplicar medidas que os
atenuem, como a cifragem. Essas medidas devero assegurar um nvel de segurana adequado, nomeadamente a
confidencialidade, tendo em conta as tcnicas mais avanadas e os custos da sua aplicao em funo dos riscos e
da natureza dos dados pessoais a proteger. Ao avaliar os riscos para a segurana dos dados, devero ser tidos em
conta os riscos apresentados pelo tratamento dos dados pessoais, tais como a destruio, perda e alterao
acidentais ou ilcitas, e a divulgao ou o acesso no autorizados a dados pessoais transmitidos, conservados ou
sujeitos a qualquer outro tipo de tratamento, riscos esses que podem dar azo, em particular, a danos fsicos,
materiais ou imateriais.

(84) A fim de promover o cumprimento do presente regulamento nos casos em que as operaes de tratamento de
dados sejam suscetveis de resultar num elevado risco para os direitos e liberdades das pessoas singulares, o
responsvel pelo seu tratamento dever encarregar-se da realizao de uma avaliao de impacto da proteo de
dados para determinao, nomeadamente, da origem, natureza, particularidade e gravidade desse risco. Os
resultados dessa avaliao devero ser tidos em conta na determinao das medidas que devero ser tomadas a
fim de comprovar que o tratamento de dados pessoais est em conformidade com o presente regulamento.
Sempre que a avaliao de impacto sobre a proteo de dados indicar que o tratamento apresenta um elevado
risco que o responsvel pelo tratamento no poder atenuar atravs de medidas adequadas, atendendo
tecnologia disponvel e aos custos de aplicao, ser necessrio consultar a autoridade de controlo antes de se
proceder ao tratamento de dados pessoais.

(85) Se no forem adotadas medidas adequadas e oportunas, a violao de dados pessoais pode causar danos fsicos,
materiais ou imateriais s pessoas singulares, como a perda de controlo sobre os seus dados pessoais, a limitao
dos seus direitos, a discriminao, o roubo ou usurpao da identidade, perdas financeiras, a inverso no
autorizada da pseudonimizao, danos para a reputao, a perda de confidencialidade de dados pessoais
protegidos por sigilo profissional ou qualquer outra desvantagem econmica ou social significativa das pessoas
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/17

singulares. Por conseguinte, logo que o responsvel pelo tratamento tenha conhecimento de uma violao de
dados pessoais, dever notific-la autoridade de controlo, sem demora injustificada e, sempre que possvel, no
prazo de 72 horas aps ter tido conhecimento do ocorrido,a menos que seja capaz de demonstrar em
conformidade com o princpio da responsabilidade, que esssa violao no suscetvel de implicar um risco para
os direitos e liberdades das pessoas singulares. Se no for possvel efetuar essa notificao no prazo de 72 horas,
a notificao dever ser acompanhada dos motivos do atraso, podendo as informaes ser fornecidas por fases
sem demora injustificada.

(86) O responsvel pelo tratamento dever informar, sem demora injustificada, o titular dos dados da violao de
dados pessoais quando for provvel que desta resulte um elevado risco para os direitos e liberdades da pessoa
singular, a fim de lhe permitir tomar as precaues necessrias. A comunicao dever descrever a natureza da
violao de dados pessoais e dirigir recomendaes pessoa singular em causa para atenuar potenciais efeitos
adversos. Essa comunicao aos titulares dos dados dever ser efetuada logo que seja razoavelmente possvel, em
estreita cooperao com a autoridade de controlo e em cumprimento das orientaes fornecidas por esta ou por
outras autoridades competentes, como as autoridades de polcia. Por exemplo, a necessidade de atenuar um risco
imediato de prejuzo exigir uma pronta comunicao aos titulares dos dados, mas a necessidade de aplicar
medidas adequadas contra violaes de dados pessoais recorrentes ou similares poder justificar um perodo mais
alargado para a comunicao.

(87) H que verificar se foram aplicadas todas as medidas tecnolgicas de proteo e de organizao para apurar
imediatamente a ocorrncia de uma violao de dados pessoais e para informar rapidamente a autoridade de
controlo e o titular. Para comprovar que a notificao foi enviada sem demora injustificada importa ter em
considerao, em especial, a natureza e a gravidade da violao dos dados pessoais e as respetivas consequncias
e efeitos adversos para o titular dos dados. Essa notificao poder resultar numa interveno da autoridade de
controlo em conformidade com as suas funes e competncias, definidas pelo presente regulamento.

(88) Ao estabelecer regras pormenorizadas relativamente ao formato e aos procedimentos aplicveis notificao das
violaes de dados pessoais, dever ter-se devidamente em conta as circunstncias dessa violao, nomeadamente
a existncia ou no de proteo dos dados pessoais atravs de medidas tcnicas de proteo adequadas para
reduzir eficazmente a probabilidade de usurpao da identidade ou outras formas de utilizao abusiva. Alm
disso, tais regras e procedimentos devero ter em conta os legtimos interesses das autoridades de polcia nos
casos em que a divulgao precoce de informaes possa dificultar desnecessariamente a investigao das circuns
tncias da violao de dados pessoais.

(89) A Diretiva 95/46/CE estabelece uma obrigao geral de notificao do tratamento de dados pessoais s
autoridades de controlo. Alm de esta obrigao originar encargos administrativos e financeiros, nem sempre
contribuiu para a melhoria da proteo dos dados pessoais. Tais obrigaes gerais e indiscriminadas de
notificao devero, por isso, ser suprimidas e substitudas por regras e procedimentos eficazes mais centrados
nos tipos de operaes de tratamento suscetveis de resultar num elevado risco para os direitos e liberdades das
pessoas singulares, devido sua natureza, mbito, contexto e finalidades. Os referidos tipos de operaes de
tratamento podero, nomeadamente, envolver a utilizao de novas tecnologias, ou pertencer a um novo tipo e
no ter sido antecedidas por uma avaliao de impacto sobre a proteo de dados por parte do responsvel pelo
tratamento, ou ser consideradas necessrias luz do perodo decorrido desde o tratamento inicial responsvel
pelo tratamento.

(90) Nesses casos, o responsvel pelo tratamento dever proceder, antes do tratamento, a uma avaliao do impacto
sobre a proteo de dados, a fim de avaliar a probabilidade ou gravidade particulares do elevado risco, tendo em
conta a natureza, o mbito, o contexto e as finalidades do tratamento e as fontes do risco. Essa avaliao do
impacto dever incluir, nomeadamente, as medidas, garantias e procedimentos previstos para atenuar esse risco,
assegurar a proteo dos dados pessoais e comprovar a observncia do presente regulamento.

(91) Tal dever aplicar-se, nomeadamente, s operaes de tratamento de grande escala que visem o tratamento de
uma grande quantidade de dados pessoais a nvel regional, nacional ou supranacional, possam afetar um nmero
considervel de titulares de dados e sejam suscetveis de implicar um elevado risco, por exemplo, em razo da sua
sensibilidade, nas quais, em conformidade com o nvel de conhecimentos tecnolgicos alcanado, seja utilizada
em grande escala uma nova tecnologia, bem como a outras operaes de tratamento que impliquem um elevado
risco para os direitos e liberdades dos titulares dos dados, em especial quando tais operaes dificultem aos
L 119/18 PT Jornal Oficial da Unio Europeia 4.5.2016

titulares o exerccio dos seus direitos. Dever-se- realizar tambm uma avaliao de impacto sobre a proteo de
dados nos casos em que os dados pessoais so tratados para tomar decises relativas a determinadas pessoas
singulares na sequncia de qualquer avaliao sistemtica e completa dos aspetos pessoais relacionados com
pessoas singulares baseada na definio dos perfis desses dados ou na sequncia do tratamento de categorias
especiais de dados pessoais, de dados biomtricos ou de dados sobre condenaes penais e infraes ou medidas
de segurana conexas. igualmente exigida uma avaliao do impacto sobre a proteo de dados para o controlo
de zonas acessveis ao pblico em grande escala, nomeadamente se forem utilizados mecanismos optoeletrnicos,
ou para quaisquer outras operaes quando a autoridade de controlo competente considere que o tratamento
suscetvel de implicar um elevado risco para os direitos e liberdades dos titulares dos direitos, em especial por
impedirem estes ltimos de exercer um direito ou de utilizar um servio ou um contrato, ou por serem realizadas
sistematicamente em grande escala. O tratamento de dados pessoais no dever ser considerado de grande escala
se disser respeito aos dados pessoais de pacientes ou clientes de um determinado mdico, profissional de
cuidados de sade, hospital ou advogado. Nesses casos, a realizao de uma avaliao de impacto sobre a
proteo de dados no dever ser obrigatria.

(92) Em certas circunstncias pode ser razovel e econmico alargar a avaliao de impacto sobre a proteo de dados
para alm de um projeto nico, por exemplo se as autoridades ou organismos pblicos pretenderem criar uma
aplicao ou uma plataforma de tratamento comum, ou se vrios responsveis pelo tratamento planearem criar
uma aplicao ou um ambiente de tratamento comum em todo um setor ou segmento profissional, ou uma
atividade horizontal amplamente utilizada.

(93) No contexto da adoo da legislao dos Estados-Membros que regula a prossecuo das atribuies da
autoridade ou do organismo pblico, bem como a operao ou o conjunto de operaes em questo, os Estados-
-Membros podem considerar necessrio proceder avaliao antes de iniciar as atividades de tratamento.

(94) Sempre que uma avaliao de impacto relativa proteo de dados indicar que o tratamento, na falta de garantias
e de medidas e procedimentos de segurana para atenuar os riscos, implica um elevado risco para os direitos e
liberdades das pessoas singulares e o responsvel pelo tratamento considerar que o risco no poder ser atenuado
atravs de medidas razoveis, atendendo tecnologia disponvel e aos custos de aplicao, a autoridade de
controlo dever ser consultada antes de as atividades de tratamento terem incio. Provavelmente, esse elevado
risco decorre de determinados tipos de tratamento e da extenso e frequncia do tratamento, que podem originar
igualmente danos ou interferir com os direitos e liberdades da pessoa singular. A autoridade de controlo dever
responder ao pedido de consulta dentro de um determinado prazo. Contudo, a ausncia de reao da autoridade
de controlo no decorrer desse prazo no prejudicar qualquer interveno que esta autoridade venha a fazer em
conformidade com as suas funes e competncias, definidas pelo presente regulamento, incluindo a competncia
para proibir certas operaes de tratamento. No mbito desse processo de consulta, o resultado de uma avaliao
do impacto sobre a proteo de dados efetuada relativamente ao tratamento em questo pode ser apresentado
autoridade de controlo, em especial as medidas previstas para atenuar o risco para os direitos e liberdades das
pessoas singulares.

(95) O subcontratante dever prestar assistncia ao responsvel pelo tratamento, se necessrio e a pedido deste, para
assegurar o cumprimento das obrigaes decorrentes da realizao de avaliaes do impacto sobre a proteo de
dados e da consulta prvia autoridade de controlo.

(96) Dever ter tambm lugar uma consulta autoridade de controlo durante os trabalhos de elaborao de uma
medida legislativa ou regulamentar que preveja o tratamento de dados pessoais, de modo a assegurar a
conformidade do tratamento pretendido com o presente regulamento e, em particular, a atenuar o respetivo risco
para o titular dos dados.

(97) Sempre que o tratamento dos dados for efetuado por uma autoridade pblica, com exceo dos tribunais ou de
autoridades judiciais independentes no exerccio da sua funo jurisdicional, sempre que, no setor privado, for
efetuado por um responsvel pelo tratamento cujas atividades principais consistam em operaes de tratamento
que exijam o controlo regular e sistemtico do titular dos dados em grande escala, ou sempre que as atividades
principais do responsvel pelo tratamento ou do subcontratante consistam em operaes de tratamento em
grande escala de categorias especiais de dados pessoais e de dados relacionados com condenaes penais e
infraes, o responsvel pelo tratamento destes ou o subcontratante pode ser assistido por um especialista em
legislao e prtica de proteo dados no controlo do cumprimento do presente regulamento a nvel interno. No
setor privado, as atividades principais do responsvel pelo tratamento dizem respeito s suas atividades primrias
e no esto relacionadas com o tratamento de dados pessoais como atividade auxiliar. O nvel necessrio de
conhecimentos especializados dever ser determinado, em particular, em funo do tratamento de dados
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/19

realizado e da proteo exigida para os dados pessoais tratados pelo responsvel pelo seu tratamento ou pelo
subcontratante. Estes encarregados da proteo de dados, sejam ou no empregados do responsvel pelo
tratamento, devero estar em condies de desempenhar as suas funes e atribuies com independncia.

(98) As associaes ou outras entidades que representem categorias de responsveis pelo tratamento ou de subcontra
tantes devero ser incentivadas a elaborar cdigos de conduta, no respeito do presente regulamento, com vista a
facilitar a sua aplicao efetiva, tendo em conta as caractersticas especficas do tratamento efetuado em
determinados setores e as necessidades especficas das micro, pequenas e mdias empresas. Esses cdigos de
conduta podero nomeadamente regular as obrigaes dos responsveis pelo tratamento e dos subcontratantes,
tendo em conta o risco que poder resultar do tratamento dos dados no que diz respeito aos direitos e s
liberdades das pessoas singulares.

(99) Durante o processo de elaborao de um cdigo de conduta, ou na sua alterao ou aditamento, as associaes e
outros organismos representantes de categorias de responsveis pelo tratamento ou de subcontratantes devero
consultar as partes interessadas, nomeadamente os titulares dos dados, se possvel, e ter em conta os contributos
recebidos e as opinies expressas em resposta a essas consultas.

(100) A fim de reforar a transparncia e o cumprimento do presente regulamento, dever ser encorajada a criao de
procedimentos de certificao e selos e marcas de proteo de dados, que permitam aos titulares avaliar
rapidamente o nvel de proteo de dados proporcionado pelos produtos e servios em causa.

(101) A circulao de dados pessoais, com origem e destino quer a pases no pertencentes Unio quer a
organizaes internacionais, necessria ao desenvolvimento do comrcio e da cooperao internacionais. O
aumento dessa circulao criou novos desafios e novas preocupaes em relao proteo dos dados pessoais.
Todavia, quando os dados pessoais so transferidos da Unio para responsveis pelo tratamento, para subcontra
tantes ou para outros destinatrios em pases terceiros ou para organizaes internacionais, o nvel de proteo
das pessoas singulares assegurado na Unio pelo presente regulamento dever continuar a ser garantido, inclusive
nos casos de posterior transferncia de dados pessoais do pas terceiro ou da organizao internacional em causa
para responsveis pelo tratamento, subcontratantes desse pas terceiro ou de outro, ou para uma organizao
internacional. Em todo o caso, as transferncias para pases terceiros e organizaes internacionais s podem ser
efetuadas no pleno respeito pelo presente regulamento. S podero ser realizadas transferncias se, sob reserva
das demais disposies do presente regulamento, as condies constantes das disposies do presente
regulamento relativas a transferncias de dados pessoais para pases terceiros e organizaes internacionais forem
cumpridas pelo responsvel pelo tratamento ou subcontratante.

(102) O presente regulamento no prejudica os acordos internacionais celebrados entre a Unio Europeia e pases
terceiros que regulem a transferncia de dados pessoais, incluindo as garantias adequadas em benefcio dos
titulares dos dados. Os Estados-Membros podero celebrar acordos internacionais que impliquem a transferncia
de dados pessoais para pases terceiros ou organizaes internacionais, desde que tais acordos no afetem o
presente regulamento ou quaisquer outras disposies do direito da Unio e prevejam um nvel adequado de
proteo dos direitos fundamentais dos titulares dos dados.

(103) A Comisso pode decidir, com efeitos no conjunto da Unio, que um pas terceiro, um territrio ou um setor
determinado de um pas terceiro, ou uma organizao internacional, oferece um nvel adequado de proteo de
dados adequado, garantindo assim a segurana jurdica e a uniformidade ao nvel da Unio relativamente ao pas
terceiro ou organizao internacional que seja considerado apto a assegurar tal nvel de proteo. Nestes casos,
podem realizar-se transferncias de dados pessoais para esse pas ou organizao internacional sem que para tal
seja necessria mais nenhuma autorizao. A Comisso pode igualmente decidir, aps enviar ao pas terceiro ou
organizao internacional uma notificao e uma declarao completa dos motivos, revogar essa deciso.

(104) Em conformidade com os valores fundamentais em que a Unio assenta, particularmente a defesa dos direitos
humanos, a Comisso dever, na sua avaliao do pas terceiro ou de um territrio ou setor especfico de um pas
terceiro, ter em considerao em que medida esse pas respeita o primado do Estado de direito, o acesso justia
e as regras e normas internacionais no domnio dos direitos humanos e a sua legislao geral e setorial,
nomeadamente a legislao relativa segurana pblica, defesa e segurana nacional, bem como a lei da
ordem pblica e a lei penal. A adoo de uma deciso de adequao relativamente a um territrio ou um setor
especfico num pas terceiro dever ter em conta critrios claros e objetivos, tais como as atividades de
tratamento especficas e o mbito das normas jurdicas aplicveis, bem como a legislao em vigor no pas
L 119/20 PT Jornal Oficial da Unio Europeia 4.5.2016

terceiro. Este dever dar garantias para assegurar um nvel adequado de proteo essencialmente equivalente ao
assegurado na Unio, nomeadamente quando os dados pessoais so tratados num ou mais setores especficos. Em
especial, o pas terceiro dever garantir o controlo efetivo e independente da proteo dos dados e estabelecer
regras de cooperao com as autoridades de proteo de dados dos Estados-Membros, e ainda conferir aos
titulares dos dados direitos efetivos e oponveis e vias efetivas de recurso administrativo e judicial.

(105) Alm dos compromissos internacionais assumidos pelo pas terceiro ou pela organizao internacional, a
Comisso dever ter em conta as obrigaes decorrentes da participao do pas terceiro ou da organizao
internacional nos sistemas multilaterais ou regionais, em especial no que diz respeito proteo dos dados
pessoais, bem como o cumprimento de tais obrigaes. Em especial, h que ter em conta a adeso do pas
terceiro em causa Conveno do Conselho da Europa para a Proteo das Pessoas relativamente ao Tratamento
Automatizado de Dados de Carter Pessoal, de 28 de janeiro de 1981, e ao seu Protocolo Adicional. A Comisso
dever consultar o Comit quando avaliar o nvel de proteo nos pases terceiros ou organizaes internacionais.

(106) A Comisso dever controlar a eficcia das decises sobre o nvel de proteo assegurado num pas terceiro, num
territrio ou num setor especfico de um pas terceiro, ou numa organizao internacional, e acompanhar a
eficcia das decises adotadas com base no artigo 25.o, n.o 6, ou no artigo 26.o, n.o 4, da Diretiva 95/46/CE. Nas
suas decises de adequao, a Comisso dever prever um procedimento de avaliao peridica da aplicao
destas. Essa reviso peridica dever ser feita em consulta com o pas terceiro ou a organizao internacional em
questo e ter em conta todos os desenvolvimentos pertinentes verificados no pas terceiro ou organizao interna
cional. Para efeitos de controlo e de realizao das revises peridicas, a Comisso dever ter em considerao os
pontos de vista e as concluses a que tenham chegado o Parlamento Europeu e o Conselho, bem como outros
organismos e fontes pertinentes. A Comisso dever avaliar, num prazo razovel, a eficcia destas ltimas
decises e comunicar quaisquer resultados pertinentes ao comit na aceo do Regulamento (UE) n.o 182/2011
do Parlamento Europeu e do Conselho (1), tal como estabelecido no presente regulamento, ao Parlamento
Europeu e ao Conselho.

(107) A Comisso pode reconhecer que um pas terceiro, um territrio ou um setor especfico de um pas terceiro, ou
uma organizao internacional, deixou de assegurar um nvel adequado de proteo de dados. Por conseguinte,
dever ser proibida a transferncia de dados pessoais para esse pas terceiro ou organizao internacional, a
menos que sejam cumpridos os requisitos constantes do presente regulamento relativos a transferncias sujeitas a
garantias adequadas, incluindo regras vinculativas aplicveis s empresas, e derrogaes para situaes especficas.
Nesse caso, devero ser tomadas medidas que visem uma consulta entre a Comisso e esse pas terceiro ou
organizao internacional. A Comisso dever, em tempo til, informar o pas terceiro ou a organizao interna
cional das razes da proibio e iniciar consultas com o pas ou organizao em causa, a fim de corrigir a
situao.

(108) Na falta de uma deciso sobre o nvel de proteo adequado, o responsvel pelo tratamento ou o subcontratante
dever adotar as medidas necessrias para colmatar a insuficincia da proteo de dados no pas terceiro dando
para tal garantias adequadas ao titular dos dados. Tais garantias adequadas podem consistir no recurso a regras
vinculativas aplicveis s empresas, clusulas-tipo de proteo de dados adotadas pela Comisso, clusulas-tipo de
proteo de dados adotadas por uma autoridade de controlo, ou clusulas contratuais autorizadas por esta
autoridade. Essas medidas devero assegurar o cumprimento dos requisitos relativos proteo de dados e o
respeito pelos direitos dos titulares dos dados adequados ao tratamento no territrio da Unio, incluindo a
existncia de direitos do titular de dados e de medidas jurdicas corretivas eficazes, nomeadamente o direito de
recurso administrativo ou judicial e de exigir indemnizao, quer no territrio da Unio quer num pas terceiro.
Devero estar relacionadas, em especial, com o respeito pelos princpios gerais relativos ao tratamento de dados
pessoais e pelos princpios de proteo de dados desde a conceo e por defeito. Tambm podem ser efetuadas
transferncias por autoridades ou organismos pblicos para autoridades ou organismos pblicos em pases
terceiros ou para organizaes internacionais que tenham deveres e funes correspondentes, nomeadamente
com base em disposies a inserir no regime administrativo, como seja um memorando de entendimento, que
prevejam a existncia de direitos efetivos e oponveis dos titulares dos dados. Dever ser obtida a autorizao da
autoridade de controlo competente quando as garantias previstas em regimes administrativos no forem juridi
camente vinculativas.

(109) A possibilidade de o responsvel pelo tratamento ou o subcontratante utilizarem clusulas-tipo de proteo de


dados adotadas pela Comisso ou por uma autoridade de controlo no os dever impedir de inclurem estas

(1) Regulamento (UE) n.o 182/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os
princpios gerais relativos aos mecanismos de controlo pelos EstadosMembros do exerccio das competncias de execuo pela
Comisso (JO L 55 de 28.2.2011, p. 13).
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/21

clusulas num contrato mais abrangente, como um contrato entre o subcontratante e outro subcontratante, nem
de acrescentarem outras clusulas ou garantias adicionais desde que no entrem, direta ou indiretamente, em
contradio com as clusulas contratuais-tipo adotadas pela Comisso ou por uma autoridade de controlo, e sem
prejuzo dos direitos ou liberdades fundamentais dos titulares dos dados. Os responsveis pelo tratamento e os
subcontratantes devero ser encorajados a apresentar garantias suplementares atravs de compromissos
contratuais que complementem as clusulas-tipo de proteo.

(110) Os grupos empresariais ou os grupos de empresas envolvidas numa atividade econmica conjunta devero poder
utilizar as regras vinculativas aplicveis s empresas aprovadas para as suas transferncias internacionais da Unio
para entidades pertencentes ao mesmo grupo empresarial ou grupo de empresas envolvidas numa atividade
econmica conjunta, desde que essas regras incluam todos os princpios essenciais e direitos oponveis que visem
assegurar garantias adequadas s transferncias ou categorias de transferncias de dados pessoais.

(111) Dever prever-se a possibilidade de efetuar transferncias em determinadas circunstncias em que o titular dos
dados d o seu consentimento explcito, em que a transferncia seja ocasional e necessria em relao a um
contrato ou a um contencioso judicial, independentemente de se tratar de um processo judicial, de um processo
administrativo ou de um qualquer procedimento no judicial, incluindo procedimentos junto de organismos de
regulao. Dever tambm estar prevista a possibilidade de efetuar transferncias no caso de motivos importantes
de interesse pblico previstos pelo direito da Unio ou de um Estado-Membro o exigirem, ou se a transferncia
for efetuada a partir de um registo criado por lei e destinado consulta por parte do pblico ou de pessoas com
um interesse legtimo. Neste ltimo caso, a transferncia no dever abranger a totalidade dos dados nem
categorias completas de dados pessoais contidos nesse registo e, quando este ltimo se destinar a ser consultado
por pessoas com um interesse legtimo, a transferncia apenas dever ser efetuada a pedido dessas pessoas ou,
caso sejam os seus destinatrios, tendo plenamente em conta os interesses e os direitos fundamentais do titular
dos dados.

(112) Essas derrogaes devero ser aplicveis, em especial, s transferncias de dados exigidas e necessrias por razes
importantes de interesse pblico, por exemplo em caso de intercmbio internacional de dados entre autoridades
de concorrncia, administraes fiscais ou aduaneiras, entre autoridades de superviso financeira, entre servios
competentes em matria de segurana social ou de sade pblica, por exemplo em caso de localizao de
contactos no que respeita a doenas contagiosas ou para reduzir e/ou eliminar a dopagem no desporto. Dever
igualmente ser considerada legal uma transferncia de dados pessoais que seja necessria para a proteo de um
interesse essencial para os interesses vitais do titular dos dados ou de outra pessoa, nomeadamente a integridade
fsica ou a vida, se o titular dos dados estiver impossibilitado de dar o seu consentimento. Na falta de uma
deciso de adequao, o direito da Unio ou de um Estado-Membro pode, por razes importantes de interesse
pblico, estabelecer expressamente limites transferncia de categorias especficas de dados para pases terceiros
ou organizaes internacionais. Os Estados-Membros devero notificar essas decises nacionais Comisso. As
transferncias, para uma organizao humanitria internacional, de dados pessoais de um titular que seja fsica ou
legalmente incapaz de dar o seu consentimento, com vista ao desempenho de misses, ao abrigo das Convenes
de Genebra ou para cumprir o direito internacional humanitrio aplicvel aos conflitos armados, podero ser
consideradas necessrias por uma razo importante de interesse pblico ou por ser do interesse vital do titular
dos dados.

(113) As transferncias que possam ser classificadas como no repetitivas e que apenas digam respeito a um nmero
limitado de titulares de dados podem igualmente ser admitidas para efeitos dos interesses legtimos imperiosos
visados pelo responsvel pelo tratamento, desde que a tais interesses no se sobreponham os interesses ou os
direitos e liberdades do titular dos dados e desde que o responsvel pelo tratamento destes tenha avaliado todas
as circunstncias associadas operao de transferncia. O responsvel pelo tratamento dever atender
especialmente natureza dos dados pessoais, finalidade e durao da operao ou operaes de tratamento
previstas, bem como situao vigente no pas de origem, no pas terceiro e no pas de destino final, e dever
apresentar as garantias adequadas para defender os direitos e liberdades fundamentais das pessoas singulares
relativamente ao tratamento dos seus dados pessoais. Tais transferncias s devero ser possveis em raros casos
em que no se aplique nenhum dos outros motivos de transferncia. Para fins de investigao cientfica ou
histrica ou fins estatsticos, devero ser tidas em considerao as expectativas legtimas da sociedade em matria
de avano do conhecimento. O responsvel pelo tratamento dever informar da transferncia a autoridade de
controlo e o titular dos dados.

(114) Em qualquer caso, se a Comisso no tiver tomado nenhuma deciso relativamente ao nvel de proteo
adequado de dados num determinado pas terceiro, o responsvel pelo tratamento ou o subcontratante dever
adotar solues que confiram aos titulares dos dados direitos efetivos e oponveis quanto ao tratamento dos seus
dados na Unio, aps a transferncia dos mesmos, e lhes garantam que continuaro a beneficiar dos direitos e
garantias fundamentais.
L 119/22 PT Jornal Oficial da Unio Europeia 4.5.2016

(115) Alguns pases terceiros aprovam leis, regulamentos e outros atos normativos destinados a regular diretamente as
atividades de tratamento pelas pessoas singulares e coletivas sob a jurisdio dos Estados-Membros. Pode ser o
caso de sentenas de rgos jurisdicionais ou de decises de autoridades administrativas de pases terceiros que
exijam que o responsvel pelo tratamento ou subcontratante transfira ou divulgue dados pessoais sem
fundamento em nenhum acordo internacional, como seja um acordo de assistncia judiciria mtua, em vigor
entre o pas terceiro em causa e a Unio ou um dos Estados-Membros. Em virtude da sua aplicabilidade extraterri
torial, essas leis, regulamentos e outros atos normativos podem violar o direito internacional e obstar realizao
do objetivo de proteo das pessoas singulares, assegurado na Unio Europeia pelo presente regulamento. As
transferncias s devero ser autorizadas quando estejam preenchidas as condies estabelecidas pelo presente
regulamento para as transferncias para os pases terceiros. Pode ser esse o caso, nomeadamente, sempre que a
divulgao for necessria por um motivo importante de interesse pblico, reconhecido pelo direito da Unio ou
dos Estados-Membros ao qual o responsvel pelo tratamento est sujeito.

(116) Sempre que dados pessoais atravessarem fronteiras fora do territrio da Unio, aumenta o risco de que as pessoas
singulares no possam exercer os seus direitos proteo de dados, nomeadamente para se protegerem da
utilizao ilegal ou da divulgao dessas informaes. Paralelamente, as autoridades de controlo podem ser
incapazes de dar seguimento a reclamaes ou conduzir investigaes relacionadas com atividades exercidas fora
das suas fronteiras. Os seus esforos para colaborar no contexto transfronteiras podem ser tambm restringidos
por poderes preventivos ou medidas de reparao insuficientes, regimes jurdicos incoerentes e obstculos
prticos, tais como a limitao de recursos. Por conseguinte, revela-se necessrio promover uma cooperao mais
estreita entre as autoridades de controlo da proteo de dados, a fim de que possam efetuar o intercmbio de
informaes e realizar investigaes com as suas homlogas internacionais. Para efeitos de criao de regras de
cooperao internacional que facilitem e proporcionem assistncia mtua internacional para a aplicao da
legislao de proteo de dados pessoais, a Comisso e as autoridades de controlo devero trocar informaes e
colaborar com as autoridades competentes de pases terceiros em atividades relacionadas com o exerccio dos
seus poderes, com base na reciprocidade e em conformidade com o presente regulamento.

(117) A criao de autoridades de controlo nos Estados-Membros, habilitadas a desempenhar as suas funes e a
exercer os seus poderes com total independncia, constitui um elemento essencial da proteo das pessoas
singulares no que respeita ao tratamento dos seus dados pessoais. Os Estados-Membros devero poder criar mais
do que uma autoridade de controlo, de modo a refletir a sua estrutura constitucional, organizacional e adminis
trativa.

(118) A independncia das autoridades de controlo no dever implicar que estas autoridades no possam ser sujeitas a
procedimentos de controlo ou monitorizao no que diz respeito s suas despesas nem a fiscalizao judicial.

(119) Os Estados-Membros que criem vrias autoridades de controlo devero prever na sua legislao procedimentos
que garantam a participao efetiva dessas mesmas autoridades no procedimento de controlo da coerncia. Esses
Estados-Membros devero, em particular, designar a autoridade de controlo que servir de ponto de contacto
nico, para permitir a participao efetiva dessas autoridades no referido procedimentoo, a fim de assegurar uma
cooperao rpida e fcil com outras autoridades de controlo, com o Comit e com a Comisso.

(120) Devero ser dados s autoridades de controlo os recursos financeiros e humanos, as instalaes e as infraes
truturas necessrias ao desempenho eficaz das suas atribuies, incluindo as relacionadas com a assistncia e a
cooperao mtuas com outras autoridades de controlo da Unio. As autoridades de controlo devero ter
oramentos anuais pblicos separados, que podero estar integrados no oramento geral do Estado ou nacional.

(121) As condies gerais aplicveis aos membros da autoridade de controlo devero ser definidas por lei em cada
Estado-Membro e devero prever, em especial, que os referidos membros sejam nomeados, com recurso a um
processo transparente, pelo Parlamento, pelo Governo ou pelo Chefe de Estado do Estado-Membro com base
numa proposta do Governo, de um dos seus membros, do Parlamento ou de uma sua cmara, ou por um
organismo independente incumbido da nomeao nos termos do direito do Estado-Membro. A fim de assegurar a
independncia da autoridade de controlo, os membros que a integram devero exercer as suas funes com
integridade, abster-se de qualquer ato incompatvel com as mesmas e, durante o seu mandato, no devero
exercer nenhuma atividade, seja ou no remunerada, que com elas seja incompatvel. A autoridade de controlo
dever dispor do seu prprio pessoal, selecionado por si mesma ou por um organismo independente criado nos
termos do direito do Estado-Membro, que dever estar exclusivamente sujeito orientao do membro ou
membros da autoridade de controlo.

(122) As autoridades de controlo devero ser competentes no territrio do respetivo Estado-Membro para exercer os
poderes e desempenhar as funes que lhes so conferidas nos termos do presente regulamento. Dever ser
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/23

abrangido, em especial, o tratamento de dados efetuado no contexto das atividades de um estabelecimento do


responsvel pelo tratamento ou do subcontratante no territrio do seu prprio Estado-Membro, o tratamento de
dados pessoais efetuado por autoridades pblicas ou por organismos privados que atuem no interesse pblico, o
tratamento que afete os titulares de dados no seu territrio, ou o tratamento de dados efetuado por um
responsvel ou subcontratante no estabelecido na Unio quando diga respeito a titulares de dados residentes no
seu territrio. Dever ficar abrangido o tratamento de reclamaes apresentadas por um titular de dados, a
realizao de investigaes sobre a aplicao do presente regulamento e a promoo da sensibilizao do pblico
para os riscos, regras, garantias e direitos associados ao tratamento de dados pessoais.

(123) As autoridades de controlo devero controlar a aplicao das disposies do presente regulamento e contribuir
para a sua aplicao coerente em toda a Unio, a fim de proteger as pessoas singulares relativamente ao
tratamento dos seus dados pessoais e facilitar a livre circulao desses dados a nvel do mercado interno. Para
esse efeito, as autoridades de controlo devero cooperar entre si e com a Comisso, sem necessidade de qualquer
acordo entre os Estados-Membros quer sobre a prestao de assistncia mtua quer sobre tal cooperao.

(124) Quando o tratamento de dados pessoais ocorra no contexto das atividades de um estabelecimento de um
responsvel pelo tratamento ou de um subcontratante na Unio e o responsvel pelo tratamento ou o subcon
tratante esteja estabelecido em vrios Estados-Membros, ou quando o tratamento no contexto das atividades de
um nico estabelecimento de um responsvel pelo tratamento ou de um subcontratante, na Unio, afete ou seja
suscetvel de afetar substancialmente titulares de dados em diversos Estados-Membros, a autoridade de controlo
do estabelecimento principal ou do estabelecimento nico do responsvel pelo tratamento ou do subcontratante
dever agir na qualidade de autoridade de controlo principal. Esta autoridade dever cooperar com as outras
autoridades interessadas, porque o responsvel pelo tratamento ou o subcontratante tem um estabelecimento no
territrio do seu Estado-Membro, porque h titulares de dados residentes no seu territrio que so substan
cialmente afetados, ou porque lhe foi apresentada uma reclamao. Alm do mais, quando tenha sido apresentada
uma reclamao por um titular de dados que no resida nesse Estado-Membro, a autoridade de controlo qual a
reclamao tiver sido apresentada dever ser tambm autoridade de controlo interessada. No mbito das suas
funes de emisso de orientaes sobre qualquer assunto relativo aplicao do presente regulamento, o Comit
dever poder emitir orientaes nomeadamente sobre os critrios a ter em conta para apurar se o tratamento em
causa afeta substancialmente titulares de dados em mais do que um Estado-Membro e sobre aquilo que constitui
uma objeo pertinente e fundamentada.

(125) A autoridade principal dever ser competente para adotar decises vinculativas relativamente a medidas que deem
execuo s competncias que lhe tenham sido atribudas nos termos do presente regulamento. Na sua qualidade
de autoridade principal, a autoridade de controlo dever implicar no processo decisrio e coordenar as
autoridades de controlo interessadas. Nos casos em que a deciso consista em rejeitar no todo ou em parte a
reclamao apresentada pelo titular dos dados, esta dever ser adotada pela autoridade de controlo qual a
reclamao tenha sido apresentada.

(126) As decises devero ser acordadas conjuntamente pela autoridade de controlo principal e as autoridades de
controlo interessadas e devero visar o estabelecimento principal ou nico do responsvel pelo tratamento ou do
subcontratante e ser vinculativas para ambos. O responsvel pelo tratamento ou o subcontratante dever tomar
as medidas necessrias para assegurar o cumprimento do disposto no presente regulamento e a execuo da
deciso notificada pela autoridade de controlo principal ao estabelecimento principal do responsvel pelo
tratamento ou do subcontratante no que diz respeito s atividades de tratamento de dados na Unio.

(127) As autoridades de controlo que no atuem como autoridade de controlo principal devero ter competncia para
tratar casos a nvel local quando o responsvel pelo tratamento ou subcontratante estiver estabelecido em vrios
Estados-Membros, mas o assunto do tratamento especfico disser respeito unicamente ao tratamento efetuado
num s Estado-Membro, e envolver somente titulares de dados nesse Estado-Membro, por exemplo, no caso de o
assunto dizer respeito ao tratamento de dados pessoais de trabalhadores num contexto especfico de emprego
num Estado-Membro. Nesses casos, a autoridade de controlo dever informar imediatamente do assunto a
autoridade de controlo principal. Aps ter sido informada, a autoridade de controlo principal decidir se trata o
caso de acordo com o disposto em matria de cooperao entre a autoridade de controlo principal e a outra
autoridade de controlointeressada (mecanismo de balco nico), ou se dever ser a autoridade de controlo que a
informou a tratar o caso a nvel local. Ao decidir se trata o caso, a autoridade de controlo principal dever ter em
conta se h algum estabelecimento do responsvel pelo tratamento ou subcontratante no Estado-Membro da
autoridade de controlo que a informou, a fim de garantir a eficaz execuo da deciso relativamente ao
responsvel pelo tratamento ou subcontratante. Quando a autoridade de controlo principal decide tratar o caso, a
L 119/24 PT Jornal Oficial da Unio Europeia 4.5.2016

autoridade de controlo que a informou dever ter a possibilidade de apresentar um projeto de deciso, que a
autoridade de controlo principal dever ter na melhor conta quando prepara o seu projeto de deciso no mbito
desse mecanismo de balco nico.

(128) As regras relativas autoridade de controlo principal e ao mecanismo de balco nico no se devero aplicar
quando o tratamento dos dados for efetuado por autoridades pblicas ou organismos privados que atuem no
interesse pblico. Em tais casos, a nica autoridade de controlo competente para exercer as competncias que lhe
so conferidas nos termos do presente regulamento dever ser a autoridade de controlo do Estado-Membro em
que estiver estabelecida tal autoridade pblica ou organismo privado.

(129) A fim de assegurar o controlo e a aplicao coerentes do presente regulamento em toda a Unio, as autoridades
de controlo devero ter, em cada Estado-Membro, as mesmas funes e poderes efetivos, incluindo poderes de
investigao, poderes de correo e de sano, e poderes consultivos e de autorizao, nomeadamente em caso de
reclamao apresentada por pessoas singulares, sem prejuzo dos poderes das autoridades competentes para o
exerccio da ao penal ao abrigo do direito do Estado-Membro, tendo em vista levar as violaes ao presente
regulamento ao conhecimento das autoridades judiciais e intervir em processos judiciais. Essas competncias
devero incluir o poder de impor uma limitao temporrio ou definitiva ao tratamento, ou mesmo a sua
proibio. Os Estados-Membros podem estabelecer outras funes relacionadas com a proteo de dados pessoais
ao abrigo do presente regulamento. Os poderes das autoridades de controlo devero ser exercidos em
conformidade com as garantias processuais adequadas previstas no direito da Unio e do Estado-Membro, com
imparcialidade, com equidade e num prazo razovel. Em particular, cada medida dever ser adequada, necessria
e proporcionada a fim de garantir a conformidade com o presente regulamento, tendo em conta as circunstncias
de cada caso concreto, respeitar o direito de todas as pessoas a serem ouvidas antes de ser tomada qualquer
medida individual que as prejudique, e evitar custos suprfluos e inconvenientes excessivos para as pessoas em
causa. Os poderes de investigao em matria de acesso s instalaes devero ser exercidos em conformidade
com os requisitos especficos do direito processual do Estado-Membro, como, por exemplo, a obrigao de obter
autorizao judicial prvia. As medidas juridicamente vinculativas da autoridade de controlo devero ser emitidas
por escrito, claras e inequvocas, indicar a autoridade de controlo que as emitiu e a data de emisso, ostentar a
assinatura do diretor ou do membro da autoridade de controlo por eles autorizada, indicar os motivos que as
justifica e mencionar o direito de recurso efetivo. Tal no dever impedir que sejam estabelecidos requisitos
suplementares nos termos do direito processual do Estado-Membro. A adoo de uma deciso juridicamente
vinculativa pode dar origem a controlo jurisdicional nos Estados-Membros da autoridade de controlo que tenha
adotado a deciso.

(130) Nos casos em que a autoridade de controlo a que a reclamao apresentada no seja a principal, a autoridade
de controlo principal dever cooperar estreitamente com a autoridade de controlo qual tiver sido apresentada a
reclamao, de acordo com as disposies em matria de cooperao e coerncia do presente regulamento.
Nestes casos, a autoridade de controlo principal, ao tomar medidas destinadas a produzir efeitos jurdicos,
incluindo a imposio de coimas, dever ter na melhor conta o parecer da autoridade de controlo qual tiver
sido apresentada a reclamao, que dever continuar a ser competente para levar a cabo qualquer investigao no
territrio do respetivo Estado-Membro, em ligao com a autoridade de controlo principal.

(131) Nos casos em que as funes de autoridade principal de controlo devessem ser exercidas por outra autoridade de
controlo relativamente s atividades de tratamento do responsvel pelo tratamento ou do subcontratante, mas em
que o contedo concreto da reclamao ou a eventual violao diga respeito apenas s atividades de tratamento
do responsvel ou do subcontratante realizadas no Estado-Membro onde tenha sido apresentada a reclamao ou
detetada a eventual infrao, e o assunto no afete nem seja suscetvel de afetar substancialmente titulares de
dados noutros Estados-Membros, a autoridade de controlo que recebe uma reclamao, deteta ou de outro
modo informada de situaes que impliquem eventuais violaes do presente regulamento dever procurar obter
um acordo amigvel. Se tal no lhe for possvel, dever exercer todos os poderes de que dispe. Devero ficar
abrangidas: as atividades de tratamento especficas realizadas no territrio do Estado-Membro da autoridade de
controlo ou que digam respeito a titulares de dados em territrio desse Estado-Membro; as atividades de
tratamento realizadas no contexto de uma oferta de bens ou servios destinados especificamente a titulares de
dados no territrio do Estado-Membro da autoridade de controlo; ou as atividades de tratamento que tenham de
ser analisadas tomando em considerao as obrigaes legais aplicveis ao abrigo do direito do Estado-Membro.

(132) As atividades de sensibilizao das autoridades de controlo dirigidas ao pblico devero incluir medidas
especficas a favor dos responsveis pelo tratamento e subcontratantes, incluindo as micro, pequenas e mdias
empresas, bem como as pessoas singulares, em particular num contexto educacional.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/25

(133) As autoridades de controlo devero prestar-se mutuamente assistncia no desempenho das suas funes, por
forma a assegurar a execuo e aplicao coerentes do presente regulamento no mercado interno. A autoridade
de controlo que solicite assistncia mtua pode adotar uma medida provisria se no obtiver resposta relati
vamente a um pedido de assistncia mtua no prazo de um ms a contar da receo desse pedido da outra
autoridade de controlo.

(134) As autoridades de controlo devero participar, sempre que for adequado, em operaes conjuntas com outras
autoridades de controlo. A autoridade de controlo requerida dever ser obrigada a responder ao pedido num
prazo determinado.

(135) A fim de assegurar a aplicao coerente do presente regulamento em toda a Unio, dever ser criado um
procedimento de controlo da coerncia e para a cooperao entre as autoridades de controlo. Esse procedimento
dever ser aplicvel, nomeadamente, quando uma autoridade de controlo tenciona adotar uma medida que vise
produzir efeitos legais em relao a operaes de tratamento que afetem substancialmente um nmero signifi
cativo de titulares de dados em vrios Estados-Membros. Dever aplicar-se igualmente sempre que uma
autoridade de controlo interessada, ou a Comisso, solicitar que essa matria seja tratada no mbito do
procedimento de controlo da coerncia. Esse procedimento no dever prejudicar medidas que a Comisso possa
tomar no exerccio das suas competncias nos termos dos Tratados.

(136) Quando aplicar o procedimento de controlo da coerncia, o Comit dever emitir um parecer, num prazo
determinado, se a maioria dos seus membros assim o decidir ou se tal lhe solicitado por qualquer autoridade de
controlo interessada ou pela Comisso. O Comit dever tambm ser habilitado a adotar decises juridicamente
vinculativas em caso de litgio entre as autoridades de controlo. Para esse efeito, dever emitir, em princpio por
maioria de dois teros dos seus membros, decises vinculativas em casos claramente definidos em que as
autoridades de controlo tenham posies contraditrias, em especial no mbito da cooperao entre a autoridade
de controlo principal e as autoridades de controlo interessadas, a respeito da questo de fundo, designadamente
se h violao do presente regulamento.

(137) Pode ser urgente agir, a fim de defender os direitos e liberdades dos titulares de dados, em especial quando haja
perigo de impedimento considervel do exerccio de um direito do titular dos dados. Por essa razo, a autoridade
de controlo dever poder adotar no seu territrio medidas provisrias devidamente justificadas, vlidas por um
perodo determinado que no dever exceder os trs meses.

(138) A aplicao desse procedimento dever ser condio de legalidade das medidas tomadas pelas autoridades de
controlo que visem produzir efeitos legais nos casos em que a sua aplicao seja obrigatria. Noutros casos com
dimenso transfronteiras, dever ser aplicado o procedimento de cooperao entre a autoridade de controlo
principal e as autoridades de controlo interessadas e a assistncia mtua e as operaes conjuntas podero ser
realizadas entre as autoridades de controlo interessadas, bilateral ou multilateralmente, sem desencadear o
procedimento de controlo da coerncia.

(139) A fim de promover a aplicao coerente do presente regulamento, o Comit dever ser um rgo independente
da Unio. Para atingir os seus objetivos, o Comit dever ser dotado de personalidade jurdica. O Comit
representado pelo seu presidente. Este Comit dever substituir o Grupo de Trabalho sobre a proteo das
pessoas no que diz respeito ao tratamento de dados pessoais institudo pelo artigo 29.o da Diretiva 95/46/CE.
Dever ser composto pelo diretor de uma autoridade de controlo de cada Estado-Membro e da Autoridade
Europeia para a Proteo de Dados ou pelos seus representantes. A Comisso dever participar nas atividades do
Comit, mas sem direito de voto, e a Autoridade Europeia para a Proteo de Dados dever tambm participar
nas suas atividades com direito de voto em casos particulares. O Comit dever contribuir para a aplicao
coerente do presente regulamento em toda a Unio, incluindo mediante o aconselhamento da Comisso,
nomeadamente no que respeita ao nvel de proteo em pases terceiros ou em organizaes internacionais, e
mediante a promoo da cooperao das autoridades de controlo em toda a Unio. O Comit dever ser
independente no prossecuo das suas atribuies.

(140) O Comit dever ser assistido por um secretariado disponibilizado pela Autoridade Europeia para a Proteo de
Dados. O pessoal da Autoridade Europeia para a Proteo de Dados encarregado de exercer as funes conferidas
ao Comit pelo presente regulamento dever agir sob a direo exclusiva do presidente deste Comit, sendo
responsvel perante o mesmo.

(141) Os titulares dos dados devero ter direito a apresentar reclamao a uma nica autoridade de controlo nica,
particularmente no Estado-Membro da sua residncia habitual, e direito a uma ao judicial efetiva, nos termos
L 119/26 PT Jornal Oficial da Unio Europeia 4.5.2016

do artigo 47.o da Carta, se considerarem que os direitos que lhes so conferidos pelo presente regulamento foram
violados ou se a autoridade de controlo no responder a uma reclamao, a recusar ou rejeitar, total ou
parcialmente, ou no tomar as iniciativas necessrias para proteger os seus direitos. A investigao decorrente de
uma reclamao dever ser realizada, sob reserva de controlo jursidicional, na medida adequada ao caso
especfico. A autoridade de controlo dever informar o titular dos dados do andamento e do resultado da
reclamao num prazo razovel. Se o caso exigir maior investigao ou a coordenao com outra autoridade de
controlo, devero ser comunicadas informaes intermdias ao titular dos dados. As autoridades de controlo
devero tomar medidas para facilitar a apresentao de reclamaes, nomeadamente fornecendo formulrios de
reclamao que possam tambm ser preenchidos eletronicamente, sem excluir outros meios de comunicao.

(142) Se o titular dos dados considerar que os direitos que lhe so conferidos pelo presente regulamento foram
violados, dever ter o direito de mandatar um organismo, organizao ou associao sem fins lucrativos que seja
constitudo ao abrigo do direito de um Estado-Membro, cujos objetivos estatutrios sejam de interesse pblico e
que exera a sua atividade no domnio da proteo dos dados pessoais, para apresentar uma reclamao em seu
nome junto de uma autoridade de controlo, ou exercer o direito de recurso judicial em nome dos titulares dos
dados ou, se tal estiver previsto no direito de um Estado-Membro, exercer o direito indemnizao em nome dos
titulares do dados. Os Estados-Membros podem prever que esse organismo, organizao ou associao tenha o
direito de apresentar no Estado-Membro em causa uma reclamao, independentemente do mandato do titular
dos dados, e o direito a um recurso judicial efetivo, se tiver razes para considerar que ocorreu uma violao dos
direitos do titular dos dados por o tratamento dos dados pessoais violar o presente regulamento. Esse organismo,
organizao ou associao pode no ser autorizado a pedir uma indemnizao em nome do titular dos dados
independentemente do mandato que lhe conferido por este.

(143) Todas as pessoas singulares ou coletivas tm o direito de interpor recurso de anulao das decises do Comit
para o Tribunal de Justia nas condies previstas no artigo 263.o do TFUE. Enquanto destinatrias dessas
decises, as autoridades de controlo interessadas que as pretendam contestar tm de interpor recurso no prazo de
dois meses a contar da sua notificao, em conformidade com o artigo 263.o do TFUE. Se as decises do Comit
disserem direta e individualmente respeito a um responsvel pelo tratamento, um subcontratante ou ao autor da
reclamao, este pode interpor recurso de anulao dessas decises no prazo de dois meses a contar da sua
publicao no stio web do Comit, em conformidade com o artigo 263.o do TFUE. Sem prejuzo do direito que
lhes assiste ao abrigo do artigo 263.o do TFUE, todas as pessoas, singulares ou coletivas, devero ter direito a
interpor junto dos tribunais nacionais competentes recurso efetivo das decises das autoridades de controlo que
produzam efeitos jurdicos em relao a essas pessoas. Tais decises dizem respeito, em especial, ao exerccio de
poderes de investigao, correo e autorizao pelas autoridades de controlo ou recusa ou rejeio de
reclamaes. Porm, o direito a um recurso judicial efetivo no abrange medidas tomadas pelas autoridades de
controlo que no sejam juridicamente vinculativas, como os pareceres emitidos ou o aconselhamento prestado
pela autoridade de controlo. Os recursos intepostos contra as autoridades de controlo devero ser intepostos nos
tribunais do Estado-Membro em cujo territrio se encontrem estabelecidas e obedecer s disposies processuais
desse Estado-Membro. Estes tribunais devero ter jurisdio plena, incluindo o poder de analisar todas as
questes de facto e de direito relevantes para o litgio.

Se a autoridade de controlo recusar ou rejeitar uma reclamao, o seu autor pode intentar uma ao perante os
tribunais do mesmo Estado-Membro. No contexto de recursos judiciais relacionados com a aplicao do presente
regulamento, os tribunais nacionais que considerem que uma deciso sobre a matria necessria ao julgamento,
podero, ou, no caso previsto no artigo 267.o do TFUE, so mesmo obrigados a solicitar ao Tribunal de Justia
uma deciso prejudicial sobre a interpretao do direito da Unio, concretamente do presente regulamento. Alm
disso, se a deciso de uma autoridade de controlo que d execuo a uma deciso do Comit for contestada junto
de um tribunal nacional e estiver em causa a validade desta ltima deciso, o tribunal nacional em questo no
tem competncia para a declarar invlida, devendo reenviar a questo da validade para o Tribunal de Justia nos
termos do artigo 267.o do TFUE, na interpretao que lhe d este tribunal, quando considera a deciso invlida.
No entanto, o tribunal nacional no pode reenviar a questo da validade da deciso do Comit a pedido de uma
pessoa singular ou coletiva que, tendo a possibilidade de interpor recurso de anulao da mesma, sobretudo se
for a destinatria direta e individual da deciso, no o tenha feito dentro do prazo fixado no artigo 263.o do
TFUE.

(144) Sempre que um tribunal chamado a pronunciar-se num recurso da deciso de uma autoridade de superviso tiver
motivos para crer que foi interposto perante um tribunal competente noutro Estado-Membro um processo
relativo ao mesmo tratamento, designadamente o mesmo assunto no que se refere s atividades de tratamento do
mesmo responsvel ou subcontratante, ou aes com o mesmo pedido e a mesma causa de pedir, dever
contactar esse outro tribunal a fim de confirmar a existncia de tal processo relacionado. Se estiverem pendentes
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/27

processos relacionados perante um tribunal de outro Estado-Membro, o tribunal em que a ao tiver sido
intentada em segundo lugar poder suspender o processo ou pode, a pedido de uma das partes, declarar-se
incompetente a favor do tribunal em que a ao tiver sido intentada em primeiro lugar se este for competente
para o processo em questo e a sua legislao permitir a apensao deste tipo de processos conexos. Consideram-
-se relacionados os processos ligados entre si por um nexo to estreito que haja interesse em que sejam instrudos
e julgados simultaneamente a fim de evitar solues que poderiam ser inconciliveis se as causas fossem julgadas
separadamente.

(145) No que diz respeito a aes intentadas contra o responsvel pelo tratamento ou o subcontratante, o requerente
pode optar entre intentar a ao nos tribunais do Estado-Membro em que est estabelecido o responsvel ou o
subcontratante, ou nos tribunais do Estado-Membro de residncia do titular dos dados, salvo se o responsvel
pelo tratamento for uma autoridade de um Estado-Membro no exerccio dos seus poderes pblicos.

(146) O responsvel pelo tratamento ou o subcontratante devero reparar quaisquer danos de que algum possa ser
vtima em virtude de um tratamento que viole o presente regulamentoresponsvel pelo tratamento. O responsvel
pelo tratamento ou o subcontratante pode ser exonerado da responsabilidade se provar que o facto que causou o
dano no lhe de modo algum imputvel. O conceito de dano dever ser interpretado em sentido lato luz da
jurisprudncia do Tribunal de Justia, de uma forma que reflita plenamente os objetivos do presente regulamento.
Tal no prejudica os pedidos de indemnizao por danos provocados pela violao de outras regras do direito da
Unio ou dos Estados-Membros. Os tratamentos que violem o presente regulamentoabrangem igualmente os que
violem os atos delegados e de execuo adotados nos termos do presente regulamento e o direito dos Estados-
-Membros que d execuo a regras do presente regulamento. Os titulares dos dados devero ser integral e
efetivamente indemnizados pelos danos que tenham sofrido. Sempre que os responsveis pelo tratamento ou os
subcontratantes estiverem envolvidos no mesmo tratamento, cada um deles dever ser responsabilizado pela
totalidade dos danos causados. Porm, se os processos forem associados a um mesmo processo judicial, em
conformidade com o direito dos Estados-Membros, a indemnizao poder ser repartida em funo da responsa
bilidade que caiba a cada responsvel pelo tratamento ou subcontratante pelos danos causados em virtude do
tratamento efetuado, na condio de ficar assegurada a indemnizao integral e efetiva do titular dos dados pelos
danos que tenha sofrido. Qualquer responsvel pelo tratamento ou subcontratante que tenha pago uma
indemnizao integral, pode posteriormente intentar uma ao de regresso contra outros responsveis pelo
tratamento ou subcontratantes envolvidos no mesmo tratamento.

(147) Quando o presente regulamento previr regras especficas relativas competncia, nomeadamente no que respeita
interposio de recurso judicial, incluindo os pedidos de indemnizao, contra um responsvel pelo tratamento
ou um subcontratante, a aplicao das regras especficas no dever ser prejudicada por regras de competncia
gerais como as previstas no Regulamento (UE) n.o 1215/2012 do Parlamento Europeu e do Conselho (1).

(148) A fim de reforar a execuo das regras do presente regulamento, devero ser impostas sanes, incluindo
coimas, por violao do presente regulamento, para alm, ou em substituio, das medidas adequadas que
venham a ser impostas pela autoridade de controlo nos termos do presente regulamento. Em caso de infrao
menor, ou se o montante da coima suscetvel de ser imposta constituir um encargo desproporcionado para uma
pessoa singular, pode ser feita uma repreenso em vez de ser aplicada uma coima. Importa, porm, ter em devida
conta a natureza, gravidade e durao da infrao, o seu carter doloso, as medidas tomadas para atenuar os
danos sofridos, o grau de responsabilidade ou eventuais infraes anteriores, a via pela qual a infrao chegou ao
conhecimento da autoridade de controlo, o cumprimento das medidas ordenadas contra o responsvel pelo
tratamento ou subcontratante,o cumprimento de um cdigo de conduta ou quaisquer outros fatores agravantes
ou atenuantes. A imposio de sanes, incluindo coimas, dever estar sujeita s garantias processuais adequadas
em conformidade com os princpios gerais do direito da Unio e a Carta, incluindo a proteo jurdica eficaz e
um processo equitativo.

(149) Os Estados-Membros devero poder definir as normas relativas s sanes penais aplicveis por violao do
presente regulamento, inclusive por violao das normas nacionais adotadas em conformidade com o presente
regulamento, e dentro dos seus limites. Essas sanes penais podem igualmente prever a privao dos lucros
auferidos em virtude da violao do presente regulamento. Contudo, a imposio de sanes penais por infrao
s referidas normas nacionais, bem como de sanes administrativas, no dever implicar a violao do princpio
ne bis in idem, conforme interpretado pelo Tribunal de Justia.

(150) A fim de reforar e harmonizar as sanes administrativas para violaes sdo presente regulamento, as
autoridades de controlo devero ter competncia para impor coimas. O presente regulamento dever definir as

(1) Regulamento (UE) n.o 1215/2012 do Parlamento Europeu e do Conselho, de 12 de dezembro de 2012, relativo competncia judiciria,
ao reconhecimento e execuo de decises em matria civil e comercial (JO L 351 de 20.12.2012, p. 1).
L 119/28 PT Jornal Oficial da Unio Europeia 4.5.2016

violaes e o montante mximo e o critrio de fixao do valor das coimas da decorrentes, que dever ser
determinado pela autoridade de controlo competente, em cada caso individual, tendo em conta todas as circuns
tncias relevantes da situao especfica, ponderando devidamente, em particular, a natureza, a gravidade e a
durao da violao e das suas consequncias e as medidas tomadas para garantir o cumprimento das obrigaes
constantes do presente regulamento e para prevenir ou atenuar as consequncias da infrao. Sempre que forem
impostas coimas a empresas, estas devero ser entendidas como empresas nos termos dos artigos 101.o e 102.o
do TFUE para esse efeito. Sempre que forem impostas coimas a pessoas que no sejam empresas, a autoridade de
superviso dever ter em conta o nvel geral de rendimentos no Estado-Membro, bem como a situao
econmica da pessoa em questo, no momento de estabelecer o montante adequado da coima. O procedimento
de controlo da coerncia pode ser utilizado igualmente para a promoo de uma aplicao coerente das coimas.
Dever caber aos Estados-Membros determinar se as autoridades pblicas devero estar sujeitas a coimas, e em
que medida. A imposio de uma coima ou o envio de um aviso no afetam o exerccio de outros poderes das
autoridades de controlo ou a aplicao de outras sanes previstas no presente regulamento.

(151) Os sistemas jurdicos da Dinamarca e da Estnia no conhecem as coimas tal como so previstas no presente
regulamento. As regras relativas s coimas podem ser aplicadas de modo que a coima seja imposta, na
Dinamarca, pelos tribunais nacionais competentes como sano penal e, na Estnia, pela autoridade de controlo
no mbito de um processo por infrao menor, na condio de tal aplicao das regras nestes Estados-Membros
ter um efeito equivalente s coimas impostas pelas autoridades de controlo. Por esse motivo, os tribunais
nacionais competentes devero ter em conta a recomendao da autoridade de controlo que prope a coima. Em
todo o caso, as coimas impostas devero ser efetivas, proporcionadas e dissuasivas.

(152) Sempre que o presente regulamento no harmonize sanes administrativas, ou se necessrio noutros casos, por
exemplo, em caso de infraes graves s disposies do presente regulamento, os Estados-Membros devero criar
um sistema que preveja sanes efetivas, proporcionadas e dissuasivas. A natureza das sanes, penal ou adminis
trativa, dever ser determinada pelo direito do Estado-Membro.

(153) O direito dos Estados-Membros dever conciliar as normas que regem a liberdade de expresso e de informao,
nomeadamente jornalstica, acadmica, artstica e/ou literria com o direito proteo de dados pessoais nos
termos do presente regulamento. O tratamento de dados pessoais para fins exclusivamente jornalsticos ou para
fins de expresso acadmica, artstica ou literria dever estar sujeito derrogao ou iseno de determinadas
disposies do presente regulamento se tal for necessrio para conciliar o direito proteo dos dados pessoais
com o direito liberdade de expresso e de informao, tal como consagrado no artigo 11.o da Carta. Tal dever
ser aplicvel, em especial, ao tratamento de dados pessoais no domnio do audiovisual e em arquivos de notcias
e hemerotecas. Por conseguinte, os Estados-Membros devero adotar medidas legislativas que prevejam as
isenes e derrogaes necessrias para o equilbrio desses direitos fundamentais. Os Estados-Membros devero
adotar essas isenes e derrogaes aos princpios gerais, aos direitos do titular dos dados, ao responsvel pelo
tratamento destes e ao subcontratante, transferncia de dados pessoais para pases terceiros ou para
organizaes internacionais, s autoridades de controlo independentes e cooperao e coerncia e a situaes
especficas de tratamento de dados. Se estas isenes ou derrogaes divergirem de um Estado-Membro para
outro, dever ser aplicvel o direito do Estado-Membro a que esteja sujeito o responsvel pelo tratamento. A fim
de ter em conta a importncia da liberdade de expresso em qualquer sociedade democrtica, h que interpretar
de forma lata as noes associadas a esta liberdade, como por exemplo o jornalismo.

(154) O presente regulamento permite tomar em considerao o princpio do direito de acesso do pblico aos
documentos oficiais na aplicao do mesmo. O acesso do pblico aos documentos oficiais pode ser considerado
de interesse pblico. Os dados pessoais que constem de documentos na posse dessas autoridades pblicas ou
organismos pblicos devero poder ser divulgados publicamente por tais autoridades ou organismos, se a
divulgao estiver prevista no direito da Unio ou do Estado-Membro que lhes for aplicvel. Essas legislaes
devero conciliar o acesso do pblico aos documentos oficiais e a reutilizao da informao do setor pblico
com o direito proteo dos dados pessoais e podem pois prever a necessria conciliao com esse mesmo
direito nos termos do presente regulamento. A referncia a autoridades e organismos pblicos dever incluir,
nesse contexto, todas as autoridades ou outros organismos abrangidos pelo direito do Estado-Membro relativo ao
acesso do pblico aos documentos. A Diretiva 2033/98/CE do Parlamento Europeu e do Conselho (1) no

(1) Diretiva 2003/98/CE do Parlamento Europeu e do Conselho, de 17 de novembro de 2003, relativa reutilizao de informaes do setor
pblico (JO L 345 de 31.12.2003, p. 90).
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/29

modifica nem de modo algum afeta o nvel de proteo das pessoas singulares relativamente ao tratamento de
dados pessoais nos termos das disposies do direito da Unio ou do Estado-Membro, nem altera, em particular,
as obrigaes e direitos estabelecidos no presente regulamento. Em particular, a referida diretiva no dever ser
aplicvel a documentos no acessveis ou de acesso restrito por fora dos regimes de acesso por motivos de
proteo de dados pessoais nem a partes de documentos acessveis por fora desses regimes que contenham
dados pessoais cuja reutilizao tenha sido prevista na lei como incompatvel com o direito relativo proteo
das pessoas singulares no que diz respeito ao tratamento de dados pessoais.

(155) O direito do Estado-Membro ou as convenes coletivas (incluindo acordos setoriais) podem prever regras
especficas para o tratamento de dados pessoais dos trabalhadores no contexto laboral, nomeadamente no que
respeita s condies em que os dados pessoais podem ser tratados no contexto laboral, com base no consen
timento do assalariado, para efeitos de recrutamento, execuo do contrato de trabalho, incluindo o
cumprimento das obrigaes previstas por lei ou por convenes coletivas, de gesto, planeamento e organizao
do trabalho, de igualdade e diversidade no trabalho, de sade e segurana no trabalho, e para efeitos de exerccio
e gozo, individual ou coletivo, dos direitos e benefcios relacionados com o emprego, bem como para efeitos de
cessao da relao de trabalho.

(156) O tratamento de dados pessoais para fins de arquivo de interesse pblico, ou para fins de investigao cientfica
ou histrica ou para fins estatsticos, dever ficar sujeito garantia adequada dos direitos e liberdades do titular
dos dados nos termos do presente regulamento. Essas garantias devero assegurar a existncia de medidas
tcnicas e organizativas que assegurem, nomeadamente, o princpio da minimizao dos dados. O tratamento
posterior de dados pessoais para fins de arquivo de interesse pblico, ou para fins de investigao cientfica ou
histrica ou para fins estatsticos, dever ser efetuado quando o responsvel pelo tratamento tiver avaliado a
possibilidade de tais fins serem alcanados por um tipo de tratamento de dados pessoais que no permita ou
tenha deixado de permitir a identificao dos titulares dos dados, na condio de existirem as garantias adequadas
(como a pseudonimizao dos dados pessoais). Os Estados-Membros devero prever garantias adequadas para o
tratamento dos dados pessoais para fins de arquivo de interesse pblico, ou fins de investigao cientfica ou
histrica ou para fins estatsticos. Os Estados-Membros devero ser autorizados a estabelecer, sob condies
especficas e mediante garantias adequadas para o titular dos dados, especificaes e derrogaes dos requisitos de
informao e direitos retificao, ao apagamento dos dados pessoais, a ser esquecido, limitao do tratamento
e portabilidade dos dados e de oposio aquando do tratamento de dados pessoais para fins de arquivo de
interesse pblico, ou para fins de investigao cientfica ou histrica ou para fins estatsticos. As condies e
garantias em causa podem implicar procedimentos especficos para o exerccio desses direitos por parte do titular
de dados, se tal for adequado luz dos fins visados pelo tratamento especfico a par de medidas tcnicas e organi
zativas destinadas a reduzir o tratamento de dados pessoais de acordo com os princpios da proporcionalidade e
da necessidade. O tratamento de dados para fins cientficos dever igualmente respeitar outra legislao aplicvel,
tal como a relativa aos ensaios clnicos.

(157) Combinando informaes provenientes dos registos, os investigadores podem obter novos conhecimentos de
grande valor relativamente a problemas mdicos generalizados, como as doenas cardiovasculares, o cancro e a
depresso. Com base nos registos, os resultados da investigao podem ser melhorados, j que assentam numa
populao mais ampla. No mbito das cincias sociais, a investigao com base em registos permite que os
investigadores adquiram conhecimentos essenciais sobre a correlao a longo prazo entre uma srie de condies
sociais, como o desemprego e o ensino, e outras condies de vida. Os resultados da investigao obtidos atravs
de registos fornecem conhecimentos slidos e de elevada qualidade, que podem servir de base para a elaborao e
a execuo de polticas assentes no conhecimento, para melhorar a qualidade de vida de uma quantidade de
pessoas e a eficcia dos servios sociais. A fim de facilitar a investigao cientfica, os dados pessoais podem ser
tratados para fins de investigao cientfica, sob reserva do estabelecimento de condies e garantias adequadas
no direito da Unio ou dos Estados-Membros.

(158) Quando os dados pessoais sejam tratados para fins de arquivo, o presente regulamento dever ser tambm
aplicvel, tendo em mente que no dever ser aplicvel a pessoas falecidas. As autoridades pblicas ou os
organismos pblicos ou privados que detenham registos de interesse pblico devero ser servios que, nos
termos do direito da Unio ou dos Estados-Membros, tenham a obrigao legal de adquirir, conservar, avaliar,
organizar, descrever, comunicar, promover, divulgar e facultar o acesso a registos de valor duradouro no interesse
pblico geral. Os Estados-Membros devero tambm ser autorizados a determinar o posterior tratamento dos
dados pessoais para efeitos de arquivo, por exemplo tendo em vista a prestao de informaes especficas
relacionadas com o comportamento poltico no mbito de antigos regimes totalitrios, genocdios, crimes contra
a humanidade, em especial o Holocausto, ou crimes de guerra.
L 119/30 PT Jornal Oficial da Unio Europeia 4.5.2016

(159) Quando os dados pessoais sejam tratados para fins de investigao cientfica, o presente regulamento dever ser
tambm aplicvel. Para efeitos do presente regulamento, o tratamento de dados pessoais para fins de investigao
cientfica dever ser entendido em sentido lato, abrangendo, por exemplo, o desenvolvimento tecnolgico e a
demonstrao, a investigao fundamental, a investigao aplicada e a investigao financiada pelo setor privado.
Dever, alm disso, ter em conta o objetivo da Unio mencionado no artigo 179.o, n.o 1, do TFUE, que consiste
na realizao de um espao europeu de investigao. Os fins de investigao cientfica devero tambm incluir os
estudos de interesse pblico realizados no domnio da sade pblica. A fim de atender s especificidades do
tratamento de dados pessoais para fins de investigao cientfica, devero ser aplicveis condies especficas
designadamente no que se refere publicao ou outra forma de divulgao de dados pessoais no mbito dos
fins de investigao cientfica. Se o resultado da investigao cientfica designadamente no domnio da sade
justificar a tomada de novas medidas no interesse do titular dos dados, as normas gerais do presente regulamento
devero ser aplicveis no que respeita a essas medidas.

(160) Quando os dados pessoais sejam tratados para fins de investigao histrica, o presente regulamento dever ser
tambm aplicvel. Dever tambm incluir-se nesse mbito a investigao histrica e a investigao para fins
genealgicos, tendo em mente que o presente regulamento no dever ser aplicvel a pessoas falecidas.

(161) Para efeitos do consentimento na participao em atividades de investigao cientfica em ensaios clnicos
devero ser aplicveis as disposies relevantes do Regulamento (UE) n.o 536/2014 do Parlamento Europeu e do
Conselho (1).

(162) Quando os dados pessoais sejam tratados para fins estatsticos, o presente regulamento dever ser aplicvel. O
direito da Unio ou dos Estados-Membros dever, dentro dos limites do presente regulamento, determinar o
contedo estatstico, o controlo de acesso, as especificaes para o tratamento de dados pessoais para fins
estatsticos e as medidas adequadas para garantir os direitos e liberdades do titular dos dados e para assegurar o
segredo estatstico. Por fins estatsticos entende-se todas as operaes de recolha e de tratamento de dados
pessoais necessrias realizao de estudos estatsticos ou produo de resultados estatsticos. Esses resultados
estatsticos podem ser utilizados posteriormente para fins diferentes, inclusive fins de investigao cientfica. No
fim estatstico est implcito que os resultados do tratamento para esse fim no sejam j dados pessoais, mas
dados agregados e que esses resultados ou os dados pessoais no sejam utilizados para justificar medidas ou
decises tomadas a respeito de uma pessoa singular.

(163) Devero ser protegidas as informaes confidenciais que a Unio e as autoridades nacionais de estatstica
recolham para a produo de estatsticas oficiais europeias e nacionais. Devero ser desenvolvidas, elaboradas e
divulgadas estatsticas europeias de acordo com os princpios estatsticos enunciados no artigo 338.o, n.o 2, do
TFUE, devendo as estatsticas nacionais cumprir tambm o disposto no direito do Estado-Membro. O
Regulamento (CE) n.o 223/2009 do Parlamento Europeu e do Conselho (2) fornece especificaes suplementares
em matria de segredo estatstico aplicvel s estatsticas europeias.

(164) No que se refere aos poderes das autoridades de controlo para obter, junto do responsvel pelo tratamento ou do
subcontratante, o acesso aos dados pessoais e o acesso s suas instalaes, os Estados-Membros podem adotar no
seu ordenamento jurdico, dentro dos limites do presente regulamento, normas especficas que visem preservar o
sigilo profissional ou outras obrigaes equivalentes, na medida do necessrio para conciliar o direito proteo
dos dados pessoais com a obrigao de sigilo profissional. Tal no prejudica as obrigaes de adotar regras em
matria de sigilo profissional a que os Estados-Membros fiquem sujeitos por fora do direito da Unio.

(165) O presente regulamento respeita e no afeta o estatuto de que beneficiam, nos termos do direito constitucional
vigente, as igrejas e associaes ou comunidades religiosas nos Estados-Membros, reconhecido pelo artigo 17.o do
TFUE.

(166) A fim de cumprir os objetivos do presente regulamento, a saber, defender os direitos e liberdades fundamentais
das pessoas singulares, nomeadamente o seu direito proteo dos dados pessoais, e assegurar a livre circulao

(1) Regulamento (UE) n.o 536/2014 do Parlamento Europeu e do Conselho, de 16 de abril de 2014, relativo aos ensaios clnicos de
medicamentos para uso humano e que revoga a Diretiva 2001/20/CE (JO L 158 de 27.5.2014, p. 1).
(2) Regulamento (CE) n.o 223/2009 do Parlamento Europeu e do Conselho, de 11 de maro de 2009, relativo s Estatsticas Europeias e que
revoga o Regulamento (CE, Euratom) n.o 1101/2008 relativo transmisso de informaes abrangidas pelo segredo estatstico ao
Servio de Estatstica das Comunidades Europeias, o Regulamento (CE) n.o 322/97 do Conselho relativo s estatsticas comunitrias e a
Deciso 89/382/CEE, Euratom do Conselho que cria o Comit do Programa Estatstico das Comunidades Europeias (JO L 87
de 31.3.2009, p. 164).
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/31

desses dados na Unio, o poder de adotar atos nos termos do artigo 290.o do TFUE dever ser delegado na
Comisso. Em especial, devero ser adotados atos delegados em relao aos critrios e requisitos aplicveis aos
procedimentos de certificao, s informaes a fornecer por meio de cones normalizados e aos procedimentos
aplicveis ao fornecimentos de tais cones. especialmente importante que a Comisso proceda a consultas
adequadas ao longo dos seus trabalhos preparatrios, incluindo a nvel de peritos. A Comisso, aquando da
preparao e elaborao dos atos delegados, dever assegurar o envio simultneo, em tempo til e em devida
forma, dos documentos relevantes ao Parlamento Europeu e ao Conselho.

(167) A fim de assegurar condies uniformes para a execuo do presente regulamento, devero ser atribudas
competncias de execuo Comisso nos casos previstos no presente regulamento. Essas competncias devero
ser exercidas nos termos do Regulamento (UE) n.o 182/2011. Nesse contexto, a Comisso dever ponderar
medidas especficas para as micro, pequenas e mdias empresas.

(168) O procedimento de exame dever ser utilizado para a adoo de atos de execuo em matria de clusulas
contratuais-tipo entre os responsveis pelo tratamento e os subcontratantes e entre subcontratantes; cdigos de
conduta; normas tcnicas e procedimentos de certificao; nvel de proteo adequado conferido por um pas
terceiro, um territrio ou um setor especfico nesse pas terceiro ou uma organizao internacional; clusulas
normalizadas de proteo; formatos e procedimentos de intercmbio de informaes entre os responsveis pelo
tratamento, os subcontratantes e as autoridades de controlo no que respeita s regras vinculativas aplicveis s
empresas; assistncia mtua; e regras de intercmbio eletrnico de informaes entre as autoridades de controlo e
entre estas e o Comit.

(169) A Comisso dever adotar atos de execuo imediatamente aplicveis quando haja elementos que comprovem
que um pas terceiro, um territrio ou um setor especfico nesse pas terceiro ou uma organizao internacional
no assegura um nvel de proteo adequado, e imperativos urgentes assim o exigirem.

(170) Atendendo a que o objetivo do presente regulamento, a saber, assegurar um nvel equivalente de proteo das
pessoas singulares e a livre circulao de dados pessoais na Unio, no pode ser suficientemente alcanado pelos
Estados-Membros e pode, devido dimenso e aos efeitos da ao, ser mais bem alcanado ao nvel da Unio, a
Unio pode adotar medidas em conformidade com o princpio da subsidiariedade consagrado no artigo 5.o do
Tratado da Unio Europeia (TUE). Em conformidade com o princpio da proporcionalidade consagrado no
mesmo artigo, o presente regulamento no excede o necessrio para alcanar esse objetivo.

(171) A Diretiva 95/46/CE dever ser revogada pelo presente regulamento. Os tratamentos de dados que se encontrem
j em curso data de aplicao do presente regulamento devero passar a cumprir as suas disposies no prazo
de dois anos aps a data de entrada em vigor. Se o tratamento dos dados se basear no consentimento dado nos
termos do disposto na Diretiva 95/46/CE, no ser necessrio obter uma vez mais o consentimento do titular dos
dados, se a forma pela qual o consentimento foi dado cumprir as condies previstas no presente regulamento,
para que o responsvel pelo tratamento prossiga essa atividade aps a data de aplicao do presente regulamento.
As decises da Comisso que tenham sido adotadas e as autorizaes que tenham emitidas pelas autoridades de
controlo com base na Diretiva 95/46/CE, permanecem em vigor at ao momento em que sejam alteradas,
substitudas ou revogadas.

(172) A Autoridade Europeia para a Proteo de Dados foi consultada nos termos do artigo 28.o, n.o 2, do
Regulamento (CE) n.o 45/2001 e emitiu parecer em 7 de maro de 2012 (1).

(173) O presente regulamento dever aplicar-se a todas as matrias relacionadas com a defesa dos direitos e das
liberdades fundamentais em relao ao tratamento de dados pessoais, no sujeitas a obrigaes especficas com o
mesmo objetivo, enunciadas na Diretiva 2002/58/CE do Parlamento Europeu e do Conselho (2), incluindo as
obrigaes que incumbem ao responsvel pelo tratamento e os direitos das pessoas singulares. A fim de clarificar
a relao entre o presente regulamento e a Diretiva 2002/58/CE, esta ltima dever ser alterada em
conformidade. Uma vez adotado o presente regulamento, a Diretiva 2002/58/CE dever ser revista, em especial a
fim de assegurar a coerncia com o presente regulamento,

(1) JO C 192 de 30.6.2012, p. 7.


(2) Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e
proteo da privacidade no setor das comunicaes eletrnicas (Diretiva relativa privacidade e s comunicaes eletrnicas) (JO L 201
de 31.7.2002, p. 37).
L 119/32 PT Jornal Oficial da Unio Europeia 4.5.2016

ADOTARAM O PRESENTE REGULAMENTO:

CAPTULO I

Disposies gerais

Artigo 1.o

Objeto e objetivos

1. O presente regulamento estabelece as regras relativas proteo das pessoas singulares no que diz respeito ao
tratamento de dados pessoais e livre circulao desses dados.

2. O presente regulamento defende os direitos e as liberdades fundamentais das pessoas singulares, nomeadamente o
seu direito proteo dos dados pessoais.

3. A livre circulao de dados pessoais no interior da Unio no restringida nem proibida por motivos relacionados
com a proteo das pessoas singulares no que respeita ao tratamento de dados pessoais.

Artigo 2.o

mbito de aplicao material

1. O presente regulamento aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados,
bem como ao tratamento por meios no automatizados de dados pessoais contidos em ficheiros ou a eles destinados.

2. O presente regulamento no se aplica ao tratamento de dados pessoais:

a) Efetuado no exerccio de atividades no sujeitas aplicao do direito da Unio:

b) Efetuado pelos Estados-Membros no exerccio de atividades abrangidas pelo mbito de aplicao do ttulo V,
captulo 2, do TUE;

c) Efetuado por uma pessoa singular no exerccio de atividades exclusivamente pessoais ou domsticas;

d) Efetuado pelas autoridades competentes para efeitos de preveno, investigao, deteo e represso de infraes
penais ou da execuo de sanes penais, incluindo a salvaguarda e a preveno de ameaas segurana pblica.

3. O Regulamento (CE) n.o 45/2001 aplica-se ao tratamento de dados pessoais pelas instituies, rgos, organismos
ou agncias da Unio. O Regulamento (CE) n.o 45/2001, bem como outros atos jurdicos da Unio aplicveis ao
tratamento de dados pessoais, so adaptados aos princpios e regras do presente regulamento nos termos previstos no
artigo 98.o.

4. O presente regulamento no prejudica a aplicao da Diretiva 2000/31/CE, nomeadamente as normas em matria


de responsabilidade dos prestadores intermedirios de servios previstas nos seus artigos 12.o a 15.o.

Artigo 3.o

mbito de aplicao territorial

1. O presente regulamento aplica-se ao tratamento de dados pessoais efetuado no contexto das atividades de um
estabelecimento de um responsvel pelo tratamento ou de um subcontratante situado no territrio da Unio, indepen
dentemente de o tratamento ocorrer dentro ou fora da Unio.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/33

2. O presente regulamento aplica-se ao tratamento de dados pessoais de titulares residentes no territrio da Unio,
efetuado por um responsvel pelo tratamento ou subcontratante no estabelecido na Unio, quando as atividades de
tratamento estejam relacionadas com:

a) A oferta de bens ou servios a esses titulares de dados na Unio, independentemente da exigncia de os titulares dos
dados procederem a um pagamento;

b) O controlo do seu comportamento, desde que esse comportamento tenha lugar na Unio.

3. O presente regulamento aplica-se ao tratamento de dados pessoais por um responsvel pelo tratamento
estabelecido no na Unio, mas num lugar em que se aplique o direito de um Estado-Membro por fora do direito
internacional pblico.

Artigo 4.o

Definies

Para efeitos do presente regulamento, entende-se por:

1) Dados pessoais, informao relativa a uma pessoa singular identificada ou identificvel (titular dos dados);
considerada identificvel uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por
referncia a um identificador, como por exemplo um nome, um nmero de identificao, dados de localizao,
identificadores por via eletrnica ou a um ou mais elementos especficos da identidade fsica, fisiolgica, gentica,
mental, econmica, cultural ou social dessa pessoa singular;

2) Tratamento, uma operao ou um conjunto de operaes efetuadas sobre dados pessoais ou sobre conjuntos de
dados pessoais, por meios automatizados ou no automatizados, tais como a recolha, o registo, a organizao, a
estruturao, a conservao, a adaptao ou alterao, a recuperao, a consulta, a utilizao, a divulgao por
transmisso, difuso ou qualquer outra forma de disponibilizao, a comparao ou interconexo, a limitao, o
apagamento ou a destruio;

3) Limitao do tratamento, a insero de uma marca nos dados pessoais conservados com o objetivo de limitar o
seu tratamento no futuro;

4) Definio de perfis, qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses
dados pessoais para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever
aspetos relacionados com o seu desempenho profissional, a sua situao econmica, sade, preferncias pessoais,
interesses, fiabilidade, comportamento, localizao ou deslocaes;

5) Pseudonimizao, o tratamento de dados pessoais de forma que deixem de poder ser atribudos a um titular de
dados especfico sem recorrer a informaes suplementares, desde que essas informaes suplementares sejam
mantidas separadamente e sujeitas a medidas tcnicas e organizativas para assegurar que os dados pessoais no
possam ser atribudos a uma pessoa singular identificada ou identificvel;

6) Ficheiro, qualquer conjunto estruturado de dados pessoais, acessvel segundo critrios especficos, quer seja
centralizado, descentralizado ou repartido de modo funcional ou geogrfico;

7) Responsvel pelo tratamento, a pessoa singular ou coletiva, a autoridade pblica, a agncia ou outro organismo
que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados
pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da Unio ou de
um Estado-Membro, o responsvel pelo tratamento ou os critrios especficos aplicveis sua nomeao podem ser
previstos pelo direito da Unio ou de um Estado-Membro;

8) Subcontratante, uma pessoa singular ou coletiva, a autoridade pblica, agncia ou outro organismo que trate os
dados pessoais por conta do responsvel pelo tratamento destes;

9) Destinatrio, uma pessoa singular ou coletiva, a autoridade pblica, agncia ou outro organismo que recebem
comunicaes de dados pessoais, independentemente de se tratar ou no de um terceiro. Contudo, as autoridades
L 119/34 PT Jornal Oficial da Unio Europeia 4.5.2016

pblicas que possam receber dados pessoais no mbito de inquritos especficos nos termos do direito da Unio ou
dos Estados-Membros no so consideradas destinatrios; o tratamento desses dados por essas autoridades pblicas
deve cumprir as regras de proteo de dados aplicveis em funo das finalidades do tratamento;

10) Terceiro, a pessoa singular ou coletiva, a autoridade pblica, o servio ou organismo que no seja o titular dos
dados, o responsvel pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsvel
pelo tratamento ou do subcontratante, esto autorizadas a tratar os dados pessoais;

11) Consentimento do titular dos dados, uma manifestao de vontade, livre, especfica, informada e explcita, pela
qual o titular dos dados aceita, mediante declarao ou ato positivo inequvoco, que os dados pessoais que lhe
dizem respeito sejam objeto de tratamento;

12) Violao de dados pessoais, uma violao da segurana que provoque, de modo acidental ou ilcito, a destruio, a
perda, a alterao, a divulgao ou o acesso, no autorizados, a dados pessoais transmitidos, conservados ou
sujeitos a qualquer outro tipo de tratamento;

13) Dados genticos, os dados pessoais relativos s caractersticas genticas, hereditrias ou adquiridas, de uma pessoa
singular que deem informaes nicas sobre a fisiologia ou a sade dessa pessoa singular e que resulta designa
damente de uma anlise de uma amostra biolgica proveniente da pessoa singular em causa;

14) Dados biomtricos, dados pessoais resultantes de um tratamento tcnico especfico relativo s caractersticas
fsicas, fisiolgicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identificao nica
dessa pessoa singular, nomeadamente imagens faciais ou dados dactiloscpicos;

15) Dados relativos sade, dados pessoais relacionados com a sade fsica ou mental de uma pessoa singular,
incluindo a prestao de servios de sade, que revelem informaes sobre o seu estado de sade;

16) Estabelecimento principal:

a) No que se refere a um responsvel pelo tratamento com estabelecimentos em vrios Estados-Membros, o local
onde se encontra a sua administrao central na Unio, a menos que as decises sobre as finalidades e os meios
de tratamento dos dados pessoais sejam tomadas noutro estabelecimento do responsvel pelo tratamento na
Unio e este ltimo estabelecimento tenha competncia para mandar executar tais decises, sendo neste caso o
estabelecimento que tiver tomado as referidas decises considerado estabelecimento principal;

b) No que se refere a um subcontratante com estabelecimentos em vrios Estados-Membros, o local onde se


encontra a sua administrao central na Unio ou, caso o subcontratante no tenha administrao central na
Unio, o estabelecimento do subcontratante na Unio onde so exercidas as principais atividades de tratamento
no contexto das atividades de um estabelecimento do subcontratante, na medida em que se encontre sujeito a
obrigaes especficas nos termos do presente regulamento;

17) Representante, uma pessoa singular ou coletiva estabelecida na Unio que, designada por escrito pelo responsvel
pelo tratamento ou subcontratante, nos termos do artigo 27.o, representa o responsvel pelo tratamento ou o
subcontratante no que se refere s suas obrigaes respetivas nos termos do presente regulamento;

18) Empresa, uma pessoa singular ou coletiva que, independentemente da sua forma jurdica, exerce uma atividade
econmica, incluindo as sociedades ou associaes que exercem regularmente uma atividade econmica;

19) Grupo empresarial, um grupo composto pela empresa que exerce o controlo e pelas empresas controladas;

20) Regras vinculativas aplicveis s empresas, as regras internas de proteo de dados pessoais aplicadas por um
responsvel pelo tratamento ou um subcontratante estabelecido no territrio de um Estado-Membro para as transfe
rncias ou conjuntos de transferncias de dados pessoais para um responsvel ou subcontratante num ou mais
pases terceiros, dentro de um grupo empresarial ou de um grupo de empresas envolvidas numa atividade
econmica conjunta;

21) Autoridade de controlo, uma autoridade pblica independente criada por um Estado-Membro nos termos do
artigo 51.o;
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/35

22) Autoridade de controlo interessada, uma autoridade de controlo afetada pelo tratamento de dados pessoais pelo
facto de:

a) O responsvel pelo tratamento ou o subcontratante estar estabelecido no territrio do Estado-Membro dessa


autoridade de controlo;

b) Os titulares de dados que residem no Estado-Membro dessa autoridade de controlo serem substancialmente
afetados, ou suscetveis de o ser, pelo tratamento dos dados; ou

c) Ter sido apresentada uma reclamao junto dessa autoridade de controlo;

23) Tratamento transfronteirio:

a) O tratamento de dados pessoais que ocorre no contexto das atividades de estabelecimentos em mais do que um
Estado-Membro de um responsvel pelo tratamento ou um subcontratante na Unio, caso o responsvel pelo
tratamento ou o subcontratante esteja estabelecido em mais do que um Estado-Membro; ou

b) O tratamento de dados pessoais que ocorre no contexto das atividades de um nico estabelecimento de um
responsvel pelo tratamento ou de um subcontratante, mas que afeta substancialmente, ou suscetvel de afetar
substancialmente, titulares de dados em mais do que um Estados-Membro;

24) Objeo pertinente e fundamentada, uma objeo a um projeto de deciso que visa determinar se h violao do
presente regulamento ou se a ao prevista relativamente ao responsvel pelo tratamento ou ao subcontratante est
em conformidade com o presente regulamento, demonstrando claramente a gravidade dos riscos que advm do
projeto de deciso para os direitos e liberdades fundamentais dos titulares dos dados e, eventualmente, para a livre
circulao de dados pessoais no territrio da Unio;

25) Servios da sociedade da informao, um servio definido no artigo 1.o, n.o 1, alnea b), da Diretiva (UE)
2015/1535 do Parlamento Europeu e do Conselho (1);

26) Organizao internacional, uma organizao e os organismos de direito internacional pblico por ela tutelados, ou
outro organismo criado por um acordo celebrado entre dois ou mais pases ou com base num acordo dessa
natureza.

CAPTULO II

Princpios

Artigo 5.o

Princpios relativos ao tratamento de dados pessoais

1. Os dados pessoais so:

a) Objeto de um tratamento lcito, leal e transparente em relao ao titular dos dados (licitude, lealdade e transpa
rncia);

b) Recolhidos para finalidades determinadas, explcitas e legtimas e no podendo ser tratados posteriormente de uma
forma incompatvel com essas finalidades; o tratamento posterior para fins de arquivo de interesse pblico, ou para
fins de investigao cientfica ou histrica ou para fins estatsticos, no considerado incompatvel com as
finalidades iniciais, em conformidade com o artigo 89.o, n.o 1 (limitao das finalidades);

c) Adequados, pertinentes e limitados ao que necessrio relativamente s finalidades para as quais so tratados
(minimizao dos dados);

d) Exatos e atualizados sempre que necessrio; devem ser adotadas todas as medidas adequadas para que os dados
inexatos, tendo em conta as finalidades para que so tratados, sejam apagados ou retificados sem demora (exatido);

(1) Diretiva (UE) 2015/1535 do Parlamento Europeu e do Conselho, de 9 de setembro de 2015, relativa a um procedimento de informao
no domnio das regulamentaes tcnicas e das regras relativas aos servios da sociedade da informao (JO L 241 de 17.9.2015, p. 1).
L 119/36 PT Jornal Oficial da Unio Europeia 4.5.2016

e) Conservados de uma forma que permita a identificao dos titulares dos dados apenas durante o perodo necessrio
para as finalidades para as quais so tratados; os dados pessoais podem ser conservados durante perodos mais
longos, desde que sejam tratados exclusivamente para fins de arquivo de interesse pblico, ou para fins de
investigao cientfica ou histrica ou para fins estatsticos, em conformidade com o artigo 89.o, n.o 1, sujeitos
aplicao das medidas tcnicas e organizativas adequadas exigidas pelo presente regulamento, a fim de salvaguardar
os direitos e liberdades do titular dos dados (limitao da conservao);

f) Tratados de uma forma que garanta a sua segurana, incluindo a proteo contra o seu tratamento no autorizado ou
ilcito e contra a sua perda, destruio ou danificao acidental, adotando as medidas tcnicas ou organizativas
adequadas (integridade e confidencialidade);

2. O responsvel pelo tratamento responsvel pelo cumprimento do disposto no n.o 1 e tem de poder comprov-lo
(responsabilidade).

Artigo 6.o

Licitude do tratamento

1. O tratamento s lcito se e na medida em que se verifique pelo menos uma das seguintes situaes:

a) O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais
finalidades especficas;

b) O tratamento for necessrio para a execuo de um contrato no qual o titular dos dados parte, ou para diligncias
pr-contratuais a pedido do titular dos dados;

c) O tratamento for necessrio para o cumprimento de uma obrigao jurdica a que o responsvel pelo tratamento
esteja sujeito;

d) O tratamento for necessrio para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular;

e) O tratamento for necessrio ao exerccio de funes de interesse pblico ou ao exerccio da autoridade pblica de
que est investido o responsvel pelo tratamento;

f) O tratamento for necessrio para efeito dos interesses legtimos prosseguidos pelo responsvel pelo tratamento ou
por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a
proteo dos dados pessoais, em especial se o titular for uma criana.

O primeiro pargrafo, alnea f), no se aplica ao tratamento de dados efetuado por autoridades pblicas na prossecuo
das suas atribuies por via eletrnica.

2. Os Estados-Membros podem manter ou aprovar disposies mais especficas com o objetivo de adaptar a aplicao
das regras do presente regulamento no que diz respeito ao tratamento de dados para o cumprimento do n.o 1, alneas c)
e e), determinando, de forma mais precisa, requisitos especficos para o tratamento e outras medidas destinadas a
garantir a licitude e lealdade do tratamento, inclusive para outras situaes especficas de tratamento em conformidade
com o captulo IX.

3. O fundamento jurdico para o tratamento referido no n.o 1, alneas c) e e), definido:

a) Pelo direito da Unio; ou

b) Pelo direito do Estado-Membro ao qual o responsvel pelo tratamento est sujeito.

A finalidade do tratamento determinada com esse fundamento jurdico ou, no que respeita ao tratamento referido no
n.o 1, alnea e), deve ser necessria ao exerccio de funes de interesse pblico ou ao exerccio da autoridade pblica de
que est investido o responsvel pelo tratamento. Esse fundamento jurdico pode prever disposies especficas para
adaptar a aplicao das regras do presente regulamento, nomeadamente: as condies gerais de licitude do tratamento
pelo responsvel pelo seu tratamento; os tipos de dados objeto de tratamento; os titulares dos dados em questo; as
entidades a que os dados pessoais podero ser comunicados e para que efeitos; os limites a que as finalidades do
tratamento devem obedecer; os prazos de conservao; e as operaes e procedimentos de tratamento, incluindo as
medidas destinadas a garantir a legalidade e lealdade do tratamento, como as medidas relativas a outras situaes
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/37

especficas de tratamento em conformidade com o captulo IX. O direito da Unio ou do Estado-Membro deve
responder a um objetivo de interesse pblico e ser proporcional ao objetivo legtimo prosseguido.

4. Quando o tratamento para fins que no sejam aqueles para os quais os dados pessoais foram recolhidos no for
realizado com base no consentimento do titular dos dados ou em disposies do direito da Unio ou dos Estados-
-Membros que constituam uma medida necessria e proporcionada numa sociedade democrtica para salvaguardar os
objetivos referidos no artigo 23.o, n.o 1, o responsvel pelo tratamento, a fim de verificar se o tratamento para outros
fins compatvel com a finalidade para a qual os dados pessoais foram inicialmente recolhidos, tem nomeadamente em
conta:

a) Qualquer ligao entre a finalidade para a qual os dados pessoais foram recolhidos e a finalidade do tratamento
posterior;

b) O contexto em que os dados pessoais foram recolhidos, em particular no que respeita relao entre os titulares dos
dados e o responsvel pelo seu tratamento;

c) A natureza dos dados pessoais, em especial se as categorias especiais de dados pessoais forem tratadas nos termos do
artigo 9.o, ou se os dados pessoais relacionados com condenaes penais e infraes forem tratados nos termos do
artigo 10.o;

d) As eventuais consequncias do tratamento posterior pretendido para os titulares dos dados;

e) A existncia de salvaguardas adequadas, que podem ser a cifragem ou a pseudonimizao.

Artigo 7.o

Condies aplicveis ao consentimento

1. Quando o tratamento for realizado com base no consentimento, o responsvel pelo tratamento deve poder
demonstrar que o titular dos dados deu o seu consentimento para o tratamento dos seus dados pessoais.

2. Se o consentimento do titular dos dados for dado no contexto de uma declarao escrita que diga tambm respeito
a outros assuntos, o pedido de consentimento deve ser apresentado de uma forma que o distinga claramente desses
outros assuntos de modo inteligvel e de fcil acesso e numa linguagem clara e simples. No vinculativa qualquer parte
dessa declarao que constitua violao do presente regulamento.

3. O titular dos dados tem o direito de retirar o seu consentimento a qualquer momento. A retirada do consen
timento no compromete a licitude do tratamento efetuado com base no consentimento previamente dado. Antes de dar
o seu consentimento, o titular dos dados informado desse facto. O consentimento deve ser to fcil de retirar quanto
de dar.

4. Ao avaliar se o consentimento dado livremente, h que verificar com a mxima ateno se, designadamente, a
execuo de um contrato, inclusive a prestao de um servio, est subordinada ao consentimento para o tratamento de
dados pessoais que no necessrio para a execuo desse contrato.

Artigo 8.o

Condies aplicveis ao consentimento de crianas em relao aos servios da sociedade da


informao

1. Quando for aplicvel o artigo 6.o, n.o 1, alnea a), no que respeita oferta direta de servios da sociedade da
informao s crianas, dos dados pessoais de crianas lcito se elas tiverem pelo menos 16 anos. Caso a criana tenha
menos de 16 anos, o tratamento s lcito se e na medida em que o consentimento seja dado ou autorizado pelos
titulares das responsabilidades parentais da criana.

Os Estados-Membros podem dispor no seu direito uma idade inferior para os efeitos referidos, desde que essa idade no
seja inferior a 13 anos.
L 119/38 PT Jornal Oficial da Unio Europeia 4.5.2016

2. Nesses casos, o responsvel pelo tratamento envida todos os esforos adequados para verificar que o consen
timento foi dado ou autorizado pelo titular das responsabilidades parentais da criana, tendo em conta a tecnologia
disponvel.

3. O disposto no n.o 1 no afeta o direito contratual geral dos Estados-Membros, como as disposies que regulam a
validade, a formao ou os efeitos de um contrato em relao a uma criana.

Artigo 9.o

Tratamento de categorias especiais de dados pessoais

1. proibido o tratamento de dados pessoais que revelem a origem racial ou tnica, as opinies polticas, as
convices religiosas ou filosficas, ou a filiao sindical, bem como o tratamento de dados genticos, dados biomtricos
para identificar uma pessoa de forma inequvoca, dados relativos sade ou dados relativos vida sexual ou orientao
sexual de uma pessoa.

2. O disposto no n.o 1 no se aplica se se verificar um dos seguintes casos:

a) Se o titular dos dados tiver dado o seu consentimento explcito para o tratamento desses dados pessoais para uma ou
mais finalidades especficas, exceto se o direito da Unio ou de um Estado-Membro previr que a proibio a que se
refere o n.o 1 no pode ser anulada pelo titular dos dados;

b) Se o tratamento for necessrio para efeitos do cumprimento de obrigaes e do exerccio de direitos especficos do
responsvel pelo tratamento ou do titular dos dados em matria de legislao laboral, de segurana social e de
proteo social, na medida em que esse tratamento seja permitido pelo direito da Unio ou dos Estados-Membros ou
ainda por uma conveno coletiva nos termos do direito dos Estados-Membros que preveja garantias adequadas dos
direitos fundamentais e dos interesses do titular dos dados;

c) Se o tratamento for necessrio para proteger os interesses vitais do titular dos dados ou de outra pessoa singular, no
caso de o titular dos dados estar fsica ou legalmente incapacitado de dar o seu consentimento;

d) Se o tratamento for efetuado, no mbito das suas atividades legtimas e mediante garantias adequadas, por uma
fundao, associao ou qualquer outro organismo sem fins lucrativos e que prossiga fins polticos, filosficos,
religiosos ou sindicais, e desde que esse tratamento se refira exclusivamente aos membros ou antigos membros desse
organismo ou a pessoas que com ele tenham mantido contactos regulares relacionados com os seus objetivos, e que
os dados pessoais no sejam divulgados a terceiros sem o consentimento dos seus titulares;

e) Se o tratamento se referir a dados pessoais que tenham sido manifestamente tornados pblicos pelo seu titular;

f) Se o tratamento for necessrio declarao, ao exerccio ou defesa de um direito num processo judicial ou sempre
que os tribunais atuem no exerccio da suas funo jurisdicional;

g) Se o tratamento for necessrio por motivos de interesse pblico importante, com base no direito da Unio ou de um
Estado-Membro, que deve ser proporcional ao objetivo visado, respeitar a essncia do direito proteo dos dados
pessoais e prever medidas adequadas e especficas que salvaguardem os direitos fundamentais e os interesses do
titular dos dados;

h) Se o tratamento for necessrio para efeitos de medicina preventiva ou do trabalho, para a avaliao da capacidade de
trabalho do empregado, o diagnstico mdico, a prestao de cuidados ou tratamentos de sade ou de ao social ou
a gesto de sistemas e servios de sade ou de ao social com base no direito da Unio ou dos Estados-Membros ou
por fora de um contrato com um profissional de sade, sob reserva das condies e garantias previstas no n.o 3;

i) Se o tratamento for necessrio por motivos de interesse pblico no domnio da sade pblica, tais como a proteo
contra ameaas transfronteirias graves para a sade ou para assegurar um elevado nvel de qualidade e de segurana
dos cuidados de sade e dos medicamentos ou dispositivos mdicos, com base no direito da Unio ou dos Estados-
-Membros que preveja medidas adequadas e especficas que salvaguardem os direitos e liberdades do titular dos
dados, em particular o sigilo profissional;
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/39

j) Se o tratamento for necessrio para fins de arquivo de interesse pblico, para fins de investigao cientfica ou
histrica ou para fins estatsticos, em conformidade com o artigo 89.o, n.o 1, com base no direito da Unio ou de um
Estado-Membro, que deve ser proporcional ao objetivo visado, respeitar a essncia do direito proteo dos dados
pessoais e prever medidas adequadas e especficas para a defesa dos direitos fundamentais e dos interesses do titular
dos dados.

3. Os dados pessoais referidos no n.o 1 podem ser tratados para os fins referidos no n.o 2, alnea h), se os dados
forem tratados por ou sob a responsabilidade de um profissional sujeito obrigao de sigilo profissional, nos termos
do direito da Unio ou dos Estados-Membros ou de regulamentao estabelecida pelas autoridades nacionais
competentes, ou por outra pessoa igualmente sujeita a uma obrigao de confidencialidade ao abrigo do direito da
Unio ou dos Estados-Membros ou de regulamentao estabelecida pelas autoridades nacionais competentes.

4. Os Estados-Membros podem manter ou impor novas condies, incluindo limitaes, no que respeita ao
tratamento de dados genticos, dados biomtricos ou dados relativos sade.

Artigo 10.o

Tratamento de dados pessoais relacionados com condenaes penais e infraes

O tratamento de dados pessoais relacionados com condenaes penais e infraes ou com medidas de segurana
conexas com base no artigo 6.o, n.o 1, s efetuado sob o controlo de uma autoridade pblica ou se o tratamento for
autorizado por disposies do direito da Unio ou de um Estado-Membro que prevejam garantias adequadas para os
direitos e liberdades dos titulares dos dados. Os registos completos das condenaes penais s so conservados sob o
controlo das autoridades pblicas.

Artigo 11.o

Tratamento que no exige identificao

1. Se as finalidades para as quais se proceder ao tratamento de dados pessoais no exigirem ou tiverem deixado de
exigir a identificao do titular dos dados por parte do responsvel pelo seu tratamento, este ltimo no obrigado a
manter, obter ou tratar informaes suplementares para identificar o titular dos dados com o nico objetivo de dar
cumprimento ao presente regulamento.

2. Quando, nos casos referidos no n.o 1 do presente artigo, o responsvel pelo tratamento possa demonstrar que no
est em condies de identificar o titular dos dados, informa-o, se possvel, desse facto. Nesses casos, os artigos 15.o
a 20.o no so aplicveis, exceto se o titular dos dados, com a finalidade de exercer os seus direitos ao abrigo dos
referidos artigos, fornecer informaes adicionais que permitam a sua identificao.

CAPTULO III

Direitos do titular dos dados

S ec o 1

Tra ns p ar n ci a e re g r as p ar a o exe r ccio do s d ire ito s d o s tit ula r es do s da do s

Artigo 12.o

Transparncia das informaes, das comunicaes e das regras para exerccio dos direitos dos
titulares dos dados

1. O responsvel pelo tratamento toma as medidas adequadas para fornecer ao titular as informaes a que se
referem os artigos 13.o e 14.o e qualquer comunicao prevista nos artigos 15.o a 22.o e 34.o a respeito do tratamento,
de forma concisa, transparente, inteligvel e de fcil acesso, utilizando uma linguagem clara e simples, em especial
quando as informaes so dirigidas especificamente a crianas. As informaes so prestadas por escrito ou por outros
meios, incluindo, se for caso disso, por meios eletrnicos. Se o titular dos dados o solicitar, a informao pode ser
prestada oralmente, desde que a identidade do titular seja comprovada por outros meios.
L 119/40 PT Jornal Oficial da Unio Europeia 4.5.2016

2. O responsvel pelo tratamento facilita o exerccio dos direitos do titular dos dados nos termos dos artigos 15.o
a 22.o. Nos casos a que se refere o artigo 11.o, n.o 2, o responsvel pelo tratamento no pode recusar-se a dar
seguimento ao pedido do titular no sentido de exercer os seus direitos ao abrigo dos artigos 15.o a 22.o, exceto se
demonstrar que no est em condies de identificar o titular dos dados.

3. O responsvel pelo tratamento fornece ao titular as informaes sobre as medidas tomadas, mediante pedido
apresentado nos termos dos artigos 15.o a 20.o, sem demora injustificada e no prazo de um ms a contar da data de
receo do pedido. Esse prazo pode ser prorrogado at dois meses, quando for necessrio, tendo em conta a
complexidade do pedido e o nmero de pedidos. O responsvel pelo tratamento informa o titular dos dados de alguma
prorrogao e dos motivos da demora no prazo de um ms a contar da data de receo do pedido. Se o titular dos
dados apresentar o pedido por meios eletrnicos, a informao , sempre que possvel, fornecida por meios eletrnicos,
salvo pedido em contrrio do titular.

4. Se o responsvel pelo tratamento no der seguimento ao pedido apresentado pelo titular dos dados, informa-o sem
demora e, o mais tardar, no prazo de um ms a contar da data de receo do pedido, das razes que o levaram a no
tomar medidas e da possibilidade de apresentar reclamao a uma autoridade de controlo e intentar ao judicial.

5. As informaes fornecidas nos termos dos artigos 13.o e 14.o e quaisquer comunicaes e medidas tomadas nos
termos dos artigos 15.o a 22.o e 34.o so fornecidas a ttulo gratuito. Se os pedidos apresentados por um titular de dados
forem manifestamente infundados ou excessivos, nomeadamente devido ao seu carter repetitivo, o responsvel pelo
tratamento pode:

a) Exigir o pagamento de uma taxa razovel tendo em conta os custos administrativos do fornecimento das informaes
ou da comunicao, ou de tomada das medidas solicitadas; ou

b) Recusar-se a dar seguimento ao pedido.

Cabe ao responsvel pelo tratamento demonstrar o carter manifestamente infundado ou excessivo do pedido.

6. Sem prejuzo do artigo 11.o, quando o responsvel pelo tratamento tiver dvidas razoveis quanto identidade da
pessoa singular que apresenta o pedido a que se referem os artigos 15.o a 21.o, pode solicitar que lhe sejam fornecidas as
informaes adicionais que forem necessrias para confirmar a identidade do titular dos dados.

7. As informaes a fornecer pelos titulares dos dados nos termos dos artigos 13.o e 14.o podem ser dadas em
combinao com cones normalizados a fim de dar, de uma forma facilmente visvel, inteligvel e claramente legvel,
uma perspetiva geral significativa do tratamento previsto. Se forem apresentados por via eletrnica, os cones devem ser
de leitura automtica.

8. A Comisso fica habilitada a adotar atos delegados nos termos do artigo 92.o, a fim de determinar quais as
informaes a fornecer por meio dos cones e os procedimentos aplicveis ao fornecimento de cones normalizados.

Sec o 2

In f or m a o e a ce sso a o s da d os pe ss oa is

Artigo 13.o

Informaes a facultar quando os dados pessoais so recolhidos junto do titular

1. Quando os dados pessoais forem recolhidos junto do titular, o responsvel pelo tratamento faculta-lhe, aquando da
recolha desses dados pessoais, as seguintes informaes:

a) A identidade e os contactos do responsvel pelo tratamento e, se for caso disso, do seu representante;

b) Os contactos do encarregado da proteo de dados, se for caso disso;

c) As finalidades do tratamento a que os dados pessoais se destinam, bem como o fundamento jurdico para o
tratamento;
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/41

d) Se o tratamento dos dados se basear no artigo 6.o, n.o 1, alnea f), os interesses legtimos do responsvel pelo
tratamento ou de um terceiro;

e) Os destinatrios ou categorias de destinatrios dos dados pessoais, se os houver;

f) Se for caso disso, o facto de o responsvel pelo tratamento tencionar transferir dados pessoais para um pas terceiro
ou uma organizao internacional, e a existncia ou no de uma deciso de adequao adotada pela Comisso ou, no
caso das transferncias mencionadas nos artigos 46.o ou 47.o, ou no artigo 49.o, n.o 1, segundo pargrafo, a
referncia s garantias apropriadas ou adequadas e aos meios de obter cpia das mesmas, ou onde foram disponibi
lizadas.

2. Para alm das informaes referidas no n.o 1, aquando da recolha dos dados pessoais, o responsvel pelo
tratamento fornece ao titular as seguintes informaes adicionais, necessrias para garantir um tratamento equitativo e
transparente:

a) Prazo de conservao dos dados pessoais ou, se no for possvel, os critrios usados para definir esse prazo;

b) A existncia do direito de solicitar ao responsvel pelo tratamento acesso aos dados pessoais que lhe digam respeito,
bem como a sua retificao ou o seu apagamento, e a limitao do tratamento no que disser respeito ao titular dos
dados, ou do direito de se opor ao tratamento, bem como do direito portabilidade dos dados;

c) Se o tratamento dos dados se basear no artigo 6.o, n.o 1, alnea a), ou no artigo 9.o, n.o 2, alnea a), a existncia do
direito de retirar consentimento em qualquer altura, sem comprometer a licitude do tratamento efetuado com base
no consentimento previamente dado;

d) O direito de apresentar reclamao a uma autoridade de controlo;

e) Se a comunicao de dados pessoais constitui ou no uma obrigao legal ou contratual, ou um requisito necessrio
para celebrar um contrato, bem como se o titular est obrigado a fornecer os dados pessoais e as eventuais
consequncias de no fornecer esses dados;

f) A existncia de decises automatizadas, incluindo a definio de perfis, referida no artigo 22.o, n.os 1 e 4, e, pelo
menos nesses casos, informaes teis relativas lgica subjacente, bem como a importncia e as consequncias
previstas de tal tratamento para o titular dos dados.

3. Quando o responsvel pelo tratamento pessoais tiver a inteno de proceder ao tratamento posterior dos dados
pessoais para um fim que no seja aquele para o qual os dados tenham sido recolhidos, antes desse tratamento o
responsvel fornece ao titular dos dados informaes sobre esse fim e quaisquer outras informaes pertinentes, nos
termos do n.o 2.

4. Os n.os 1, 2 e 3 no se aplicam quando e na medida em que o titular dos dados j tiver conhecimento das
informaes.

Artigo 14.o

Informaes a facultar quando os dados pessoais no so recolhidos junto do titular

1. Quando os dados pessoais no forem recolhidos junto do titular, o responsvel pelo tratamento fornece-lhe as
seguintes informaes:

a) A identidade e os contactos do responsvel pelo tratamento e, se for caso disso, do seu representante;

b) Os contactos do encarregado da proteo de dados, se for caso disso;

c) As finalidades do tratamento a que os dados pessoais se destinam, bem como o fundamento jurdico para o
tratamento;

d) As categorias dos dados pessoais em questo;

e) Os destinatrios ou categorias de destinatrios dos dados pessoais, se os houver;


L 119/42 PT Jornal Oficial da Unio Europeia 4.5.2016

f) Se for caso disso, o facto de o responsvel pelo tratamento tencionar transferir dados pessoais para um pas terceiro
ou uma organizao internacional, e a existncia ou no de uma deciso de adequao adotada pela Comisso ou, no
caso das transferncias mencionadas nos artigos 46.o ou 47.o, ou no artigo 49.o, n.o 1, segundo pargrafo, a
referncia s garantias apropriadas ou adequadas e aos meios de obter cpia das mesmas, ou onde foram disponibi
lizadas;

2. Para alm das informaes referidas no n.o 1, o responsvel pelo tratamento fornece ao titular as seguintes
informaes, necessrias para lhe garantir um tratamento equitativo e transparente:

a) Prazo de conservao dos dados pessoais ou, se no for possvel, os critrios usados para fixar esse prazo;

b) Se o tratamento dos dados se basear no artigo 6.o, n.o 1, alnea f), os interesses legtimos do responsvel pelo
tratamento ou de um terceiro;

c) A existncia do direito de solicitar ao responsvel pelo tratamento o acesso aos dados pessoais que lhe digam
respeito, e a retificao ou o apagamento, ou a limitao do tratamentor no que disser respeito ao titular dos dados,
e do direito de se opor ao tratamento, bem como do direito portabilidade dos dados;

d) Se o tratamento dos dados se basear no artigo 6.o, n.o 1, alnea a), ou no artigo 9.o, n.o 2, alnea a), a existncia do
direito de retirar consentimento em qualquer altura, sem comprometer a licitude do tratamento efetuado com base
no consentimento previamente dado;

e) O direito de apresentar reclamao a uma autoridade de controlo;

f) A origem dos dados pessoais e, eventualmente, se provm de fontes acessveis ao pblico;

g) A existncia de decises automatizadas, incluindo a definio de perfis referida no artigo 22.o, n.os 1 e 4, e, pelo
menos nesses casos, informaes teis relativas lgica subjacente, bem como a importncia e as consequncias
previstas de tal tratamento para o titular dos dados.

3. O responsvel pelo tratamento comunica as informaes referidas nos n.os 1 e 2:

a) Num prazo razovel aps a obteno dos dados pessoais, mas o mais tardar no prazo de um ms, tendo em conta as
circunstncias especficas em que estes forem tratados;

b) Se os dados pessoais se destinarem a ser utilizados para fins de comunicao com o titular dos dados, o mais tardar
no momento da primeira comunicao ao titular dos dados; ou

c) Se estiver prevista a divulgao dos dados pessoais a outro destinatrio, o mais tardar aquando da primeira
divulgao desses dados.

4. Quando o responsvel pelo tratamento tiver a inteno de proceder ao tratamento posterior dos dados pessoais
para um fim que no seja aquele para o qual os dados pessoais tenham sido obtidos, antes desse tratamento o
responsvel fornece ao titular dos dados informaes sobre esse fim e quaisquer outras informaes pertinentes referidas
no n.o 2.

5. Os n.os 1 a 4 no se aplicam quando e na medida em que:

a) O titular dos dados j tenha conhecimento das informaes;

b) Se comprove a impossibilidade de disponibilizar a informao, ou que o esforo envolvido seja desproporcionado,


nomeadamente para o tratamento para fins de arquivo de interesse pblico, para fins de investigao cientfica ou
histrica ou para fins estatsticos, sob reserva das condies e garantias previstas no artigo 89.o, n.o 1, e na medida
em que a obrigao referida no n.o 1 do presente artigo seja suscetvel de tornar impossvel ou prejudicar gravemente
a obteno dos objetivos desse tratamento. Nesses casos, o responsvel pelo tratamento toma as medidas adequadas
para defender os direitos, liberdades e interesses legtimos do titular dos dados, inclusive atravs da divulgao da
informao ao pblico;

c) A obteno ou divulgao dos dados esteja expressamente prevista no direito da Unio ou do Estado-Membro ao
qual o responsvel pelo tratamento estiver sujeito, prevendo medidas adequadas para proteger os legtimos interesses
do titular dos dados; ou

d) Os dados pessoais devam permanecer confidenciais em virtude de uma obrigao de sigilo profissional regulamentada
pelo direito da Unio ou de um Estado-Membro, inclusive uma obrigao legal de confidencialidade.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/43

Artigo 15.o

Direito de acesso do titular dos dados

1. O titular dos dados tem o direito de obter do responsvel pelo tratamento a confirmao de que os dados pessoais
que lhe digam respeito so ou no objeto de tratamento e, se for esse o caso, o direito de aceder aos seus dados pessoais
e s seguintes informaes:

a) As finalidades do tratamento dos dados;

b) As categorias dos dados pessoais em questo;

c) Os destinatrios ou categorias de destinatrios a quem os dados pessoais foram ou sero divulgados, nomeadamente
os destinatrios estabelecidos em pases terceiros ou pertencentes a organizaes internacionais;

d) Se for possvel, o prazo previsto de conservao dos dados pessoais, ou, se no for possvel, os critrios usados para
fixar esse prazo;

e) A existncia do direito de solicitar ao responsvel pelo tratamento a retificao, o apagamento ou a limitao do


tratamento dos dados pessoais no que diz respeito ao titular dos dados, ou do direito de se opor a esse tratamento;

f) O direito de apresentar reclamao a uma autoridade de controlo;

g) Se os dados no tiverem sido recolhidos junto do titular, as informaes disponveis sobre a origem desses dados;

h) A existncia de decises automatizadas, incluindo a definio de perfis, referida no artigo 22.o, n.os 1 e 4, e, pelo
menos nesses casos, informaes teis relativas lgica subjacente, bem como a importncia e as consequncias
previstas de tal tratamento para o titular dos dados.

2. Quando os dados pessoais forem transferidos para um pas terceiro ou uma organizao internacional, o titular
dos dados tem o direito de ser informado das garantias adequadas, nos termos do artigo 46.o relativo transferncia de
dados.

3. O responsvel pelo tratamento fornece uma cpia dos dados pessoais em fase de tratamento. Para fornecer outras
cpias solicitadas pelo titular dos dados, o responsvel pelo tratamento pode exigir o pagamento de uma taxa razovel
tendo em conta os custos administrativos. Se o titular dos dados apresentar o pedido por meios eletrnicos, e salvo
pedido em contrrio do titular dos dados, a informao fornecida num formato eletrnico de uso corrente.

4. O direito de obter uma cpia a que se refere o n.o 3 no prejudica os direitos e as liberdades de terceiros.

Sec o 3

Re ti f ica o e a p aga m e nto

Artigo 16.o

Direito de retificao

O titular tem o direito de obter, sem demora injustificada, do responsvel pelo tratamento a retificao dos dados
pessoais inexatos que lhe digam respeito. Tendo em conta as finalidades do tratamento, o titular dos dados tem direito a
que os seus dados pessoais incompletos sejam completados, incluindo por meio de uma declarao adicional.

Artigo 17.o

Direito ao apagamento dos dados (direito a ser esquecido)

1. O titular tem o direito de obter do responsvel pelo tratamento o apagamento dos seus dados pessoais, sem
demora injustificada, e este tem a obrigao de apagar os dados pessoais, sem demora injustificada, quando se aplique
um dos seguintes motivos:

a) Os dados pessoais deixaram de ser necessrios para a finalidade que motivou a sua recolha ou tratamento;
L 119/44 PT Jornal Oficial da Unio Europeia 4.5.2016

b) O titular retira o consentimento em que se baseia o tratamento dos dados nos termos do artigo 6.o, n.o 1, alnea a),
ou do artigo 9.o, n.o 2, alnea a) e se no existir outro fundamento jurdico para o referido tratamento;

c) O titular ope-se ao tratamento nos termos do artigo 21.o, n.o 1, e no existem interesses legtimos prevalecentes que
justifiquem o tratamento, ou o titular ope-se ao tratamento nos termos do artigo 21.o, n.o 2;

d) Os dados pessoais foram tratados ilicitamente;

e) Os dados pessoais tm de ser apagados para o cumprimento de uma obrigao jurdica decorrente do direito da
Unio ou de um Estado-Membro a que o responsvel pelo tratamento esteja sujeito;

f) Os dados pessoais foram recolhidos no contexto da oferta de servios da sociedade da informao referida no
artigo 8.o, n.o 1.

2. Quando o responsvel pelo tratamento tiver tornado pblicos os dados pessoais e for obrigado a apag-los nos
termos do n.o 1, toma as medidas que forem razoveis, incluindo de carter tcnico, tendo em considerao a tecnologia
disponvel e os custos da sua aplicao, para informar os responsveis pelo tratamento efetivo dos dados pessoais de que
o titular dos dados lhes solicitou o apagamento das ligaes para esses dados pessoais, bem como das cpias ou
reprodues dos mesmos.

3. Os n.os 1 e 2 no se aplicam na medida em que o tratamento se revele necessrio:

a) Ao exerccio da liberdade de expresso e de informao;

b) Ao cumprimento de uma obrigao legal que exija o tratamento prevista pelo direito da Unio ou de um Estado-
-Membro a que o responsvel esteja sujeito, ao exerccio de funes de interesse pblico ou ao exerccio da
autoridade pblica de que esteja investido o responsvel pelo tratamento;

c) Por motivos de interesse pblico no domnio da sade pblica, nos termos do artigo 9.o, n.o 2, alneas h) e i), bem
como do artigo 9.o, n.o 3;

d) Para fins de arquivo de interesse pblico, para fins de investigao cientfica ou histrica ou para fins estatsticos, nos
termos do artigo 89.o, n.o 1, na medida em que o direito referido no n.o 1 seja suscetvel de tornar impossvel ou
prejudicar gravemente a obteno dos objetivos desse tratamento; ou

e) Para efeitos de declarao, exerccio ou defesa de um direito num processo judicial.

Artigo 18.o

Direito limitao do tratamento

1. O titular dos dados tem o direito de obter do responsvel pelo tratamento a limitao do tratamento, se se aplicar
uma das seguintes situaes:

a) Contestar a exatido dos dados pessoais, durante um perodo que permita ao responsvel pelo tratamento verificar a
sua exatido;

b) O tratamento for ilcito e o titular dos dados se opuser ao apagamento dos dados pessoais e solicitar, em contra
partida, a limitao da sua utilizao;

c) O responsvel pelo tratamento j no precisar dos dados pessoais para fins de tratamento, mas esses dados sejam
requeridos pelo titular para efeitos de declarao, exerccio ou defesa de um direito num processo judicial;

d) Se tiver oposto ao tratamento nos termos do artigo 21.o, n.o 1, at se verificar que os motivos legtimos do
responsvel pelo tratamento prevalecem sobre os do titular dos dados.

2. Quando o tratamento tiver sido limitado nos termos do n.o 1, os dados pessoais s podem, exceo da
conservao, ser objeto de tratamento com o consentimento do titular, ou para efeitos de declarao, exerccio ou defesa
de um direito num processo judicial, de defesa dos direitos de outra pessoa singular ou coletiva, ou por motivos
ponderosos de interesse pblico da Unio ou de um Estado-Membro.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/45

3. O titular que tiver obtido a limitao do tratamento nos termos do n.o 1 informado pelo responsvel pelo
tratamento antes de ser anulada a limitao ao referido tratamento.

Artigo 19.o

Obrigao de notificao da retificao ou apagamento dos dados pessoais ou limitao do


tratamento

O responsvel pelo tratamento comunica a cada destinatrio a quem os dados pessoais tenham sido transmitidos
qualquer retificao ou apagamento dos dados pessoais ou limitao do tratamento a que se tenha procedido em
conformidade com o artigo 16.o, o artigo 17.o, n.o 1, e o artigo 18.o, salvo se tal comunicao se revelar impossvel ou
implicar um esforo desproporcionado. Se o titular dos dados o solicitar, o responsvel pelo tratamento fornece-lhe
informaes sobre os referidos destinatrios.

Artigo 20.o

Direito de portabilidade dos dados

1. O titular dos dados tem o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido a um
responsvel pelo tratamento, num formato estruturado, de uso corrente e de leitura automtica, e o direito de transmitir
esses dados a outro responsvel pelo tratamento sem que o responsvel a quem os dados pessoais foram fornecidos o
possa impedir, se:

a) O tratamento se basear no consentimento dado nos termos do artigo 6.o, n.o 1, alnea a), ou do artigo 9.o, n.o 2,
alnea a), ou num contrato referido no artigo 6.o, n.o 1, alnea b); e

b) O tratamento for realizado por meios automatizados.

2 Ao exercer o seu direito de portabilidade dos dados nos termos do n.o 1, o titular dos dados tem o direito a que os
dados pessoais sejam transmitidos diretamente entre os responsveis pelo tratamento, sempre que tal seja tecnicamente
possvel.

3. O exerccio do direito a que se refere o n.o 1 do presente artigo aplica-se sem prejuzo do artigo 17.o. Esse direito
no se aplica ao tratamento necessrio para o exerccio de funes de interesse pblico ou ao exerccio da autoridade
pblica de que est investido o responsvel pelo tratamento.

4. O direito a que se refere o n.o 1 no prejudica os direitos e as liberdades de terceiros.

Sec o 4

Di r eit o d e opo si o e d ec is e s i ndividu ai s a u to ma t i z a da s

Artigo 21.o

Direito de oposio

1. O titular dos dados tem o direito de se opor a qualquer momento, por motivos relacionados com a sua situao
particular, ao tratamento dos dados pessoais que lhe digam respeito com base no artigo 6.o, n.o 1, alnea e) ou f), ou no
artigo 6.o, n.o 4, incluindo a definio de perfis com base nessas disposies. O responsvel pelo tratamento cessa o
tratamento dos dados pessoais, a no ser que apresente razes imperiosas e legtimas para esse tratamento que
prevaleam sobre os interesses, direitos e liberdades do titular dos dados, ou para efeitos de declarao, exerccio ou
defesa de um direito num processo judicial.

2. Quando os dados pessoais forem tratados para efeitos de comercializao direta, o titular dos dados tem o direito
de se opor a qualquer momento ao tratamento dos dados pessoais que lhe digam respeito para os efeitos da referida
comercializao, o que abrange a definio de perfis na medida em que esteja relacionada com a comercializao direta.

3. Caso o titular dos dados se oponha ao tratamento para efeitos de comercializao direta, os dados pessoais deixam
de ser tratados para esse fim.
L 119/46 PT Jornal Oficial da Unio Europeia 4.5.2016

4. O mais tardar no momento da primeira comunicao ao titular dos dados, o direito a que se referem os n.os 1 e 2
explicitamente levado ateno do titular dos dados e apresentado de modo claro e distinto de quaisquer outras
informaes.

5. No contexto da utilizao dos servios da sociedade da informao, e sem prejuzo da Diretiva 2002/58/CE, o
titular dos dados pode exercer o seu direito de oposio por meios automatizados, utilizando especificaes tcnicas.

6. Quando os dados pessoais forem tratados para fins de investigao cientfica ou histrica ou para fins estatsticos,
nos termos do artigo 89.o, n.o 1, o titular dos dados tem o direito de se opor, por motivos relacionados com a sua
situao particular, ao tratamento dos dados pessoais que lhe digam respeito, salvo se o tratamento for necessrio para a
prossecuo de atribuies de interesse pblico.

Artigo 22.o

Decises individuais automatizadas, incluindo definio de perfis

1. O titular dos dados tem o direito de no ficar sujeito a nenhuma deciso tomada exclusivamente com base no
tratamento automatizado, incluindo a definio de perfis, que produza efeitos na sua esfera jurdica ou que o afete
significativamente de forma similar.

2. O n.o 1 no se aplica se a deciso:

a) For necessria para a celebrao ou a execuo de um contrato entre o titular dos dados e um responsvel pelo
tratamento;

b) For autorizada pelo direito da Unio ou do Estado-Membro a que o responsvel pelo tratamento estiver sujeito, e na
qual estejam igualmente previstas medidas adequadas para salvaguardar os direitos e liberdades e os legtimos
interesses do titular dos dados; ou

c) For baseada no consentimento explcito do titular dos dados.

3. Nos casos a que se referem o n.o 2, alneas a) e c), o responsvel pelo tratamento aplica medidas adequadas para
salvaguardar os direitos e liberdades e legtimos interesses do titular dos dados, designadamente o direito de, pelo menos,
obter interveno humana por parte do responsvel, manifestar o seu ponto de vista e contestar a deciso.

4. As decises a que se refere o n.o 2 no se baseiam nas categorias especiais de dados pessoais a que se refere o
artigo 9.o, n.o 1, a no ser que o n.o 2, alnea a) ou g), do mesmo artigo sejam aplicveis e sejam aplicadas medidas
adequadas para salvaguardar os direitos e liberdades e os legtimos interesses do titular.

S ec o 5

Li mit a es

Artigo 23.o

Limitaes

1. O direito da Unio ou dos Estados-Membros a que estejam sujeitos o responsvel pelo tratamento ou o seu
subcontratante pode limitar por medida legislativa o alcance das obrigaes e dos direitos previstos nos artigos 12.o
a 22.o e no artigo 34.o, bem como no artigo 5.o, na medida em que tais disposies correspondam aos direitos e
obrigaes previstos nos artigos 12.o a 22.o, desde que tal limitao respeite a essncia dos direitos e liberdades
fundamentais e constitua uma medida necessria e proporcionada numa sociedade democrtica para assegurar, designa
damente:

a) A segurana do Estado;

b) A defesa;

c) A segurana pblica;
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/47

d) A preveno, investigao, deteo ou represso de infraes penais, ou a execuo de sanes penais, incluindo a
salvaguarda e a preveno de ameaas segurana pblica;

e) Outros objetivos importantes do interesse pblico geral da Unio ou de um Estado-Membro, nomeadamente um


interesse econmico ou financeiro importante da Unio ou de um Estado-Membro, incluindo nos domnios
monetrio, oramental ou fiscal, da sade pblica e da segurana social;

f) A defesa da independncia judiciria e dos processos judiciais;

g) A preveno, investigao, deteo e represso de violaes da deontologia de profisses regulamentadas;

h) Uma misso de controlo, de inspeo ou de regulamentao associada, ainda que ocasionalmente, ao exerccio da
autoridade pblica, nos casos referidos nas alneas a) a e) e g);

i) A defesa do titular dos dados ou dos direitos e liberdades de outrem;

j) A execuo de aes cveis.

2. Em especial, as medidas legislativas referidas no n.o 1 incluem, quando for relevante, disposies explcitas
relativas, pelo menos:

a) s finalidades do tratamento ou s diferentes categorias de tratamento;

b) s categorias de dados pessoais;

c) Ao alcance das limitaes impostas;

d) s garantias para evitar o abuso ou o acesso ou transferncia ilcitos;

e) especificao do responsvel pelo tratamento ou s categorias de responsveis pelo tratamento;

f) Aos prazos de conservao e s garantias aplicveis, tendo em conta a natureza, o mbito e os objetivos do
tratamento ou das categorias de tratamento;

g) Aos riscos especficos para os direitos e liberdades dos titulares dos dados; e

h) Ao direito dos titulares dos dados a serem informados da limitao, a menos que tal possa prejudicar o objetivo da
limitao.

CAPTULO IV

Responsvel pelo tratamento e subcontratante

Se c o 1

Obr ig a e s ge ra i s

Artigo 24.o

Responsabilidade do responsvel pelo tratamento

1. Tendo em conta a natureza, o mbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos
para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variveis, o responsvel
pelo tratamento aplica as medidas tcnicas e organizativas que forem adequadas para assegurar e poder comprovar que
o tratamento realizado em conformidade com o presente regulamento. Essas medidas so revistas e atualizadas
consoante as necessidades.

2 Caso sejam proporcionadas em relao s atividades de tratamento, as medidas a que se refere o n.o 1 incluem a
aplicao de polticas adequadas em matria de proteo de dados pelo responsvel pelo tratamento.

3. O cumprimento de cdigos de conduta aprovados conforme referido no artigo 40.o ou de procedimentos de


certificao aprovados conforme referido no artigo 42.o pode ser utilizada como elemento para demonstrar o
cumprimento das obrigaes do responsvel pelo tratamento.
L 119/48 PT Jornal Oficial da Unio Europeia 4.5.2016

Artigo 25.o

Proteo de dados desde a conceo e por defeito

1. Tendo em conta as tcnicas mais avanadas, os custos da sua aplicao, e a natureza, o mbito, o contexto e as
finalidades do tratamento dos dados, bem como os riscos decorrentes do tratamento para os direitos e liberdades das
pessoas singulares, cuja probabilidade e gravidade podem ser variveis, o responsvel pelo tratamento aplica, tanto no
momento de definio dos meios de tratamento como no momento do prprio tratamento, as medidas tcnicas e
organizativas adequadas, como a pseudonimizao, destinadas a aplicar com eficcia os princpios da proteo de dados,
tais como a minimizao, e a incluir as garantias necessrias no tratamento, de uma forma que este cumpra os requisitos
do presente regulamento e proteja os direitos dos titulares dos dados.

2. O responsvel pelo tratamento aplica medidas tcnicas e organizativas para assegurar que, por defeito, s sejam
tratados os dados pessoais que forem necessrios para cada finalidade especfica do tratamento. Essa obrigao aplica-se
quantidade de dados pessoais recolhidos, extenso do seu tratamento, ao seu prazo de conservao e sua acessibi
lidade. Em especial, essas medidas asseguram que, por defeito, os dados pessoais no sejam disponibilizados sem
interveno humana a um nmero indeterminado de pessoas singulares.

3. Pode ser utilizado como elemento para demonstrar o cumprimento das obrigaes estabelecidas nos n.os 1 e 2 do
presente artigo, um procedimento de certificao aprovado nos termos do artigo 42.o.

Artigo 26.o

Responsveis conjuntos pelo tratamento

1. Quando dois ou mais responsveis pelo tratamento determinem conjuntamente as finalidades e os meios desse
tratamento, ambos so responsveis conjuntos pelo tratamento. Estes determinam, por acordo entre si e de modo
transparente as respetivas responsabilidades pelo cumprimento do presente regulamento, nomeadamente no que diz
respeito ao exerccio dos direitos do titular dos dados e aos respetivos deveres de fornecer as informaes referidas nos
artigos 13.o e 14.o, a menos e na medida em que as suas responsabilidades respetivas sejam determinadas pelo direito da
Unio ou do Estado-Membro a que se estejam sujeitos. O acordo pode designar um ponto de contacto para os titulares
dos dados.

2. O acordo a que se refere o n.o 1 reflete devidamente as funes e relaes respetivas dos responsveis conjuntos
pelo tratamento em relao aos titulares dos dados. A essncia do acordo disponibilizada ao titular dos dados.

3. Independentemente dos termos do acordo a que se refere o n.o 1, o titular dos dados pode exercer os direitos que
lhe confere o presente regulamento em relao e cada um dos responsveis pelo tratamento.

Artigo 27.o

Representantes dos responsveis pelo tratamento ou dos subcontratantes no estabelecidos na


Unio

1. Se for aplicvel o artigo 3.o, n.o 2, o responsvel pelo tratamento ou o subcontratante designa por escrito um
representante seu na Unio.

2. A obrigao a que se refere o n.o 1 do presente artigo no se aplica:

a) s operaes de tratamento que sejam ocasionais, no abranjam o tratamento, em grande escala, de categorias
especiais de dados a que se refere o artigo 9.o, n.o 1, ou o tratamento de dados pessoais relativos a condenaes
penais e infraes referido no artigo 10.o, e no seja suscetvel de implicar riscos para os direitos e liberdades das
pessoas singulares, tendo em conta a natureza, o contexto, o mbito e as finalidades do tratamento; ou

b) s autoridades ou organismos pblicos;


4.5.2016 PT Jornal Oficial da Unio Europeia L 119/49

3. O representante deve estar estabelecido num dos Estados-Membros onde se encontram os titulares dos dados cujos
dados pessoais so objeto do tratamento no contexto da oferta que lhes feita de bens ou servios ou cujo compor
tamento controlado.

4. Para efeitos do cumprimento do presente regulamento, o representante mandatado pelo responsvel pelo
tratamento ou pelo subcontratante para ser contactado em complemento ou em substituio do responsvel pelo
tratamento ou do subcontratante, em especial por autoridades de controlo e por titulares, relativamente a todas as
questes relacionadas com o tratamento.

5. A designao de um representante pelo responsvel pelo tratamento ou pelo subcontratante no prejudica as aes
judiciais que possam vir a ser intentadas contra o prprio responsvel pelo tratamento ou o prprio subcontratante.

Artigo 28.o

Subcontratante

1. Quando o tratamento dos dados for efetuado por sua conta, o responsvel pelo tratamento recorre apenas a
subcontratantes que apresentem garantias suficientes de execuo de medidas tcnicas e organizativas adequadas de uma
forma que o tratamento satisfaa os requisitos do presente regulamento e assegure a defesa dos direitos do titular dos
dados.

2. O subcontratante no contrata outro subcontratante sem que o responsvel pelo tratamento tenha dado,
previamente e por escrito, autorizao especfica ou geral. Em caso de autorizao geral por escrito, o subcontratante
informa o responsvel pelo tratamento de quaisquer alteraes pretendidas quanto ao aumento do nmero ou
substituio de outros subcontratantes, dando assim ao responsvel pelo tratamento a oportunidade de se opor a tais
alteraes.

3. O tratamento em subcontratao regulado por contrato ou outro ato normativo ao abrigo do direito da Unio
ou dos Estados-Membros, que vincule o subcontratante ao responsvel pelo tratamento, estabelea o objeto e a durao
do tratamento, a natureza e finalidade do tratamento, o tipo de dados pessoais e as categorias dos titulares dos dados, e
as obrigaes e direitos do responsvel pelo tratamento. Esse contrato ou outro ato normativo estipulam, designa
damente, que o subcontratante:

a) Trata os dados pessoais apenas mediante instrues documentadas do responsvel pelo tratamento, incluindo no que
respeita s transferncias de dados para pases terceiros ou organizaes internacionais, a menos que seja obrigado a
faz-lo pelo direito da Unio ou do Estado-Membro a que est sujeito, informando nesse caso o responsvel pelo
tratamento desse requisito jurdico antes do tratamento, salvo se a lei proibir tal informao por motivos importantes
de interesse pblico;

b) Assegura que as pessoas autorizadas a tratar os dados pessoais assumiram um compromisso de confidencialidade ou
esto sujeitas a adequadas obrigaes legais de confidencialidade;

c) Adota todas as medidas exigidas nos termos do artigo 32.o;

d) Respeita as condies a que se referem os n.os 2 e 4 para contratar outro subcontratante;

e) Toma em conta a natureza do tratamento, e na medida do possvel, presta assistncia ao responsvel pelo tratamento
atravs de medidas tcnicas e organizativas adequadas, para permitir que este cumpra a sua obrigao de dar resposta
aos pedidos dos titulares dos dados tendo em vista o exerccio dos seus direitos previstos no captulo III;

f) Presta assistncia ao responsvel pelo tratamento no sentido de assegurar o cumprimento das obrigaes previstas
nos artigos 32.o a 36.o, tendo em conta a natureza do tratamento e a informao ao dispor do subcontratante;

g) Consoante a escolha do responsvel pelo tratamento, apaga ou devolve-lhe todos os dados pessoais depois de
concluda a prestao de servios relacionados com o tratamento, apagando as cpias existentes, a menos que a
conservao dos dados seja exigida ao abrigo do direito da Unio ou dos Estados-Membros; e

h) Disponibiliza ao responsvel pelo tratamento todas as informaes necessrias para demonstrar o cumprimento das
obrigaes previstas no presente artigo e facilita e contribui para as auditorias, inclusive as inspees, conduzidas
pelo responsvel pelo tratamento ou por outro auditor por este mandatado.
L 119/50 PT Jornal Oficial da Unio Europeia 4.5.2016

No que diz respeito ao primeiro pargrafo, alnea h), o subcontratante informa imediatamente o responsvel pelo
tratamento se, no seu entender, alguma instruo violar o presente regulamento ou outras disposies do direito da
Unio ou dos Estados-Membros em matria de proteo de dados.

4. Se o subcontratante contratar outro subcontratante para a realizao de operaes especficas de tratamento de


dados por conta do responsvel pelo tratamento, so impostas a esse outro subcontratante, por contrato ou outro ato
normativo ao abrigo do direito da Unio ou dos Estados-Membros, as mesmas obrigaes em matria de proteo de
dados que as estabelecidas no contrato ou outro ato normativo entre o responsvel pelo tratamento e o subcontratante,
referidas no n.o 3, em particular a obrigao de apresentar garantias suficientes de execuo de medidas tcnicas e
organizativas adequadas de uma forma que o tratamento seja conforme com os requisitos do presente regulamento. Se
esse outro subcontratante no cumprir as suas obrigaes em matria de proteo de dados, o subcontratante inicial
continua a ser plenamente responsvel, perante o responsvel pelo tratamento, pelo cumprimento das obrigaes desse
outro subcontratante.

5. O facto de o subcontratante cumprir um cdigo de conduta aprovado conforme referido no artigo 40.o ou um
procedimento de certificao aprovado conforme referido no artigo 42.o pode ser utilizado como elemento para
demonstrar as garantias suficientes a que se referem os n.os 1 e 4 do presente artigo.

6. Sem prejuzo de um eventual contrato individual entre o responsvel pelo tratamento e o subcontratante, o
contrato ou outro ato normativo referidos nos n.os 3 e 4 do presente artigo podem ser baseados, totalmente ou em
parte, nas clusulas contratuais-tipo referidas nos n.os 7 e 8 do presente artigo, inclusivamente quando fazem parte de
uma certificao concedida ao responsvel pelo tratamento ou ao subcontratante por fora dos artigos 42.o e 43.o.

7. A Comisso pode estabelecer clusulas contratuais-tipo para as matrias referidas nos n.os 3 e 4 do presente artigo
pelo procedimento de exame a que se refere o artigo 93.o, n.o 2.

8. A autoridade de controlo pode estabelecer clusulas contratuais-tipo para as matrias referidas nos n.os 3 e 4 do
presente artigo e de acordo com o procedimento de controlo da coerncia referido no artigo 63.o.

9. O contrato ou outro ato normativo a que se referem os n.os 3 e 4 devem ser feitos por escrito, incluindo em
formato eletrnico.

10. Sem prejuzo do disposto nos artigos 82.o, 83.o e 84.o, o subcontratante que, em violao do presente
regulamento, determinar as finalidades e os meios de tratamento, considerado responsvel pelo tratamento no que
respeita ao tratamento em questo.

Artigo 29.o

Tratamento sob a autoridade do responsvel pelo tratamento ou do subcontratante

O subcontratante ou qualquer pessoa que, agindo sob a autoridade do responsvel pelo tratamento ou do subcon
tratante, tenha acesso a dados pessoais, no procede ao tratamento desses dados exceto por instruo do responsvel
pelo tratamento, salvo se a tal for obrigado por fora do direito da Unio ou dos Estados-Membros.

Artigo 30.o

Registos das atividades de tratamento

1. Cada responsvel pelo tratamento e, sendo caso disso, o seu representante conserva um registo de todas as
atividades de tratamento sob a sua responsabilidade. Desse registo constam todas seguintes informaes:

a) O nome e os contactos do responsvel pelo tratamento e, sendo caso disso, de qualquer responsvel conjunto pelo
tratamento, do representante do responsvel pelo tratamento e do encarregado da proteo de dados;

b) As finalidades do tratamento dos dados;

c) A descrio das categorias de titulares de dados e das categorias de dados pessoais;


4.5.2016 PT Jornal Oficial da Unio Europeia L 119/51

d) As categorias de destinatrios a quem os dados pessoais foram ou sero divulgados, incluindo os destinatrios estabe
lecidos em pases terceiros ou organizaes internacionais;

e) Se for aplicvel, as transferncias de dados pessoais para pases terceiros ou organizaes internacionais, incluindo a
identificao desses pases terceiros ou organizaes internacionais e, no caso das transferncias referidas no
artigo 49.o, n.o 1, segundo pargrafo, a documentao que comprove a existncia das garantias adequadas;

f) Se possvel, os prazos previstos para o apagamento das diferentes categorias de dados;

g) Se possvel, uma descrio geral das medidas tcnicas e organizativas no domnio da segurana referidas no
artigo 32.o, n.o 1.

2. Cada subcontratante e, sendo caso disso, o representante deste, conserva um registo de todas as categorias de
atividades de tratamento realizadas em nome de um responsvel pelo tratamento, do qual constar:

a) O nome e contactos do subcontratante ou subcontratantes e de cada responsvel pelo tratamento em nome do qual
o subcontratante atua, bem como, sendo caso disso do representante do responsvel pelo tratamento ou do subcon
tratante e do encarregado da proteo de dados;

b) As categorias de tratamentos de dados pessoais efetuados em nome de cada responsvel pelo tratamento;

c) Se for aplicvel, as transferncias de dados pessoais para pases terceiros ou organizaes internacionais, incluindo a
identificao desses pases terceiros ou organizaes internacionais e, no caso das transferncias referidas no
artigo 49.o, n.o 1, segundo pargrafo, a documentao que comprove a existncia das garantias adequadas;

d) Se possvel, uma descrio geral das medidas tcnicas e organizativas no domnio da segurana referidas no
artigo 32.o, n.o 1.

3. Os registos a que se referem os n.os 1 e 2 so efetuados por escrito, incluindo em formato eletrnico.

4. O responsvel pelo tratamento e, sendo caso disso, o subcontratante, o representante do responsvel pelo
tratamento ou do subcontratante, disponibilizam, a pedido, o registo autoridade de controlo.

5. As obrigaes a que se referem os n.os 1 e 2 no se aplicam s empresas ou organizaes com menos de


250 trabalhadores, a menos que o tratamento efetuado seja suscetvel de implicar um risco para os direitos e liberdades
do titular dos dados, no seja ocasional ou abranja as categorias especiais de dados a que se refere o artigo 9.o, n.o 1, ou
dados pessoais relativos a condenaes penais e infraes referido no artigo 10.o.

Artigo 31.o

Cooperao com a autoridade de controlo

O responsvel pelo tratamento e o subcontratante e, sendo caso disso, os seus representantes cooperam com a
autoridade de controlo, a pedido desta, na prossecuo das suas atribuies.

S ec o 2

Seg u r ana do s d a dos p e sso ai s

Artigo 32.o

Segurana do tratamento

1. Tendo em conta as tcnicas mais avanadas, os custos de aplicao e a natureza, o mbito, o contexto e as
finalidades do tratamento, bem como os riscos, de probabilidade e gravidade varivel, para os direitos e liberdades das
pessoas singulares, o responsvel pelo tratamento e o subcontratante aplicam as medidas tcnicas e organizativas
adequadas para assegurar um nvel de segurana adequado ao risco, incluindo, consoante o que for adequado:

a) A pseudonimizao e a cifragem dos dados pessoais;


L 119/52 PT Jornal Oficial da Unio Europeia 4.5.2016

b) A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resilincia permanentes dos sistemas e


dos servios de tratamento;

c) A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um
incidente fsico ou tcnico;

d) Um processo para testar, apreciar e avaliar regularmente a eficcia das medidas tcnicas e organizativas para garantir
a segurana do tratamento.

2. Ao avaliar o nvel de segurana adequado, devem ser tidos em conta, designadamente, os riscos apresentados pelo
tratamento, em particular devido destruio, perda e alterao acidentais ou ilcitas, e divulgao ou ao acesso no
autorizados, de dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.

3. O cumprimento de um cdigo de conduta aprovado conforme referido no artigo 40.o ou de um procedimento de


certificao aprovado conforme referido no artigo 42.o pode ser utilizado como elemento para demonstrar o
cumprimento das obrigaes estabelecidas no n.o 1 do presente artigo.

4. O responsvel pelo tratamento e o subcontratante tomam medidas para assegurar que qualquer pessoa singular
que, agindo sob a autoridade do responsvel pelo tratamento ou do subcontratante, tenha acesso a dados pessoais, s
procede ao seu tratamento mediante instrues do responsvel pelo tratamento, exceto se tal lhe for exigido pelo direito
da Unio ou de um Estado-Membro.

Artigo 33.o

Notificao de uma violao de dados pessoais autoridade de controlo

1. Em caso de violao de dados pessoais, o responsvel pelo tratamento notifica desse facto a autoridade de controlo
competente nos termos do artigo 55.o, sem demora injustificada e, sempre que possvel, at 72 horas aps ter tido
conhecimento da mesma, a menos que a violao dos dados pessoais no seja suscetvel de resultar num risco para os
direitos e liberdades das pessoas singulares. Se a notificao autoridade de controlo no for transmitida no prazo
de 72 horas, acompanhada dos motivos do atraso.

2. O subcontratante notifica o responsvel pelo tratamento sem demora injustificada aps ter conhecimento de uma
violao de dados pessoais.

3. A notificao referida no n.o 1 deve, pelo menos:

a) Descrever a natureza da violao dos dados pessoais incluindo, se possvel, as categorias e o nmero aproximado de
titulares de dados afetados, bem como as categorias e o nmero aproximado de registos de dados pessoais em causa;

b) Comunicar o nome e os contactos do encarregado da proteo de dados ou de outro ponto de contacto onde
possam ser obtidas mais informaes;

c) Descrever as consequncias provveis da violao de dados pessoais;

d) Descrever as medidas adotadas ou propostas pelo responsvel pelo tratamento para reparar a violao de dados
pessoais, inclusive, se for caso disso, medidas para atenuar os seus eventuais efeitos negativos;

4. Caso, e na medida em que no seja possvel fornecer todas as informaes ao mesmo tempo, estas podem ser
fornecidas por fases, sem demora injustificada.

5. O responsvel pelo tratamento documenta quaisquer violaes de dados pessoais, compreendendo os factos
relacionados com as mesmas, os respetivos efeitos e a medida de reparao adotada. Essa documentao deve permitir
autoridade de controlo verificar o cumprimento do disposto no presente artigo.

Artigo 34.o

Comunicao de uma violao de dados pessoais ao titular dos dados

1. Quando a violao dos dados pessoais for suscetvel de implicar um elevado risco para os direitos e liberdades das
pessoas singulares, o responsvel pelo tratamento comunica a violao de dados pessoais ao titular dos dados sem
demora injustificada.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/53

2. A comunicao ao titular dos dados a que se refere o n.o 1 do presente artigo descreve em linguagem clara e
simples a natureza da violao dos dados pessoais e fornece, pelo menos, as informaes e medidas previstas no
artigo 33.o, n.o 3, alneas b), c) e d).

3. A comunicao ao titular dos dados a que se refere o n.o 1 no exigida se for preenchida uma das seguintes
condies:

a) O responsvel pelo tratamento tiver aplicado medidas de proteo adequadas, tanto tcnicas como organizativas, e
essas medidas tiverem sido aplicadas aos dados pessoais afetados pela violao de dados pessoais, especialmente
medidas que tornem os dados pessoais incompreensveis para qualquer pessoa no autorizada a aceder a esses dados,
tais como a cifragem;

b) O responsvel pelo tratamento tiver tomado medidas subsequentes que assegurem que o elevado risco para os
direitos e liberdades dos titulares dos dados a que se refere o n.o 1 j no suscetvel de se concretizar; ou

c) Implicar um esforo desproporcionado. Nesse caso, feita uma comunicao pblica ou tomada uma medida
semelhante atravs da qual os titulares dos dados so informados de forma igualmente eficaz.

4. Se o responsvel pelo tratamento no tiver j comunicado a violao de dados pessoais ao titular dos dados, a
autoridade de controlo, tendo considerado a probabilidade de a violao de dados pessoais resultar num elevado risco,
pode exigir-lhe que proceda a essa notificao ou pode constatar que se encontram preenchidas as condies referidas
no n.o 3.

S ec o 3

Av a l ia o de im pa cto s o bre a p r o te o de d ad os e co nsu l ta p r via

Artigo 35.o

Avaliao de impacto sobre a proteo de dados

1. Quando um certo tipo de tratamento, em particular que utilize novas tecnologias e tendo em conta a sua natureza,
mbito, contexto e finalidades, for suscetvel de implicar um elevado risco para os direitos e liberdades das pessoas
singulares, o responsvel pelo tratamento procede, antes de iniciar o tratamento, a uma avaliao de impacto das
operaes de tratamento previstas sobre a proteo de dados pessoais. Se um conjunto de operaes de tratamento que
apresentar riscos elevados semelhantes, pode ser analisado numa nica avaliao.

2. Ao efetuar uma avaliao de impacto sobre a proteo de dados, o responsvel pelo tratamento solicita o parecer
do encarregado da proteo de dados, nos casos em que este tenha sido designado.

3. A realizao de uma avaliao de impacto sobre a proteo de dados a que se refere o n.o 1 obrigatria
nomeadamente em caso de:

a) Avaliao sistemtica e completa dos aspetos pessoais relacionados com pessoas singulares, baseada no tratamento
automatizado, incluindo a definio de perfis, sendo com base nela adotadas decises que produzem efeitos jurdicos
relativamente pessoa singular ou que a afetem significativamente de forma similar;

b) Operaes de tratamento em grande escala de categorias especiais de dados a que se refere o artigo 9.o, n.o 1, ou de
dados pessoais relacionados com condenaes penais e infraes a que se refere o artigo 10.o; ou

c) Controlo sistemtico de zonas acessveis ao pblico em grande escala.

4. A autoridade de controlo elabora e torna pblica uma lista dos tipos de operaes de tratamento sujeitos ao
requisito de avaliao de impacto sobre a proteo de dados por fora do n.o 1. A autoridade de controlo comunica
essas listas ao Comit referido no artigo 68.o.

5. A autoridade de controlo pode tambm elaborar e tornar pblica uma lista dos tipos de operaes de tratamento
em relao aos quais no obrigatria uma anlise de impacto sobre a proteo de dados. A autoridade de controlo
comunica essas listas ao Comit.

6. Antes de adotar as listas a que se referem os n.os 4 e 5, a autoridade de controlo competente aplica o procedimento
de controlo da coerncia referido no artigo 63.o sempre que essas listas enunciem atividades de tratamento relacionadas
com a oferta de bens ou servios a titulares de dados ou com o controlo do seu comportamento em diversos Estados-
-Membros, ou possam afetar substancialmente a livre circulao de dados pessoais na Unio.
L 119/54 PT Jornal Oficial da Unio Europeia 4.5.2016

7. A avaliao inclui, pelo menos:

a) Uma descrio sistemtica das operaes de tratamento previstas e a finalidade do tratamento, inclusive, se for caso
disso, os interesses legtimos do responsvel pelo tratamento;

b) Uma avaliao da necessidade e proporcionalidade das operaes de tratamento em relao aos objetivos;

c) Uma avaliao dos riscos para os direitos e liberdades dos titulares dos direitos a que se refere o n.o 1; e

d) As medidas previstas para fazer face aos riscos, incluindo as garantias, medidas de segurana e procedimentos
destinados a assegurar a proteo dos dados pessoais e a demonstrar a conformidade com o presente regulamento,
tendo em conta os direitos e os legtimos interesses dos titulares dos dados e de outras pessoas em causa.

8. Ao avaliar o impacto das operaes de tratamento efetuadas pelos responsveis pelo tratamento ou pelos subcon
tratantes, em especial para efeitos de uma avaliao de impacto sobre a proteo de dados, tido na devida conta o
cumprimento dos cdigos de conduta aprovados a que se refere o artigo 40.o por parte desses responsveis ou subcon
tratantes.

9. Se for adequado, o responsvel pelo tratamento solicita a opinio dos titulares de dados ou dos seus representantes
sobre o tratamento previsto, sem prejuzo da defesa dos interesses comerciais ou pblicos ou da segurana das
operaes de tratamento.

10. Se o tratamento efetuado por fora do artigo 6.o, n.o 1, alnea c) ou e), tiver por fundamento jurdico o direito da
Unio ou do Estado-Membro a que o responsvel pelo tratamento est sujeito, e esse direito regular a operao ou as
operaes de tratamento especficas em questo, e se j tiver sido realizada uma avaliao de impacto sobre a proteo
de dados no mbito de uma avaliao de impacto geral no contexto da adoo desse fundamento jurdico, no so
aplicveis os n.os 1 a 7, salvo se os Estados-Membros considerarem necessrio proceder a essa avaliao antes das
atividades de tratamento.

11. Se necessrio, o responsvel pelo tratamento procede a um controlo para avaliar se o tratamento realizado em
conformidade com a avaliao de impacto sobre a proteo de dados, pelo menos quando haja uma alterao dos riscos
que as operaes de tratamento representam.

Artigo 36.o

Consulta prvia

1. O responsvel pelo tratamento consulta a autoridade de controlo antes de proceder ao tratamento quando a
avaliao de impacto sobre a proteo de dados nos termos do artigo 35.o indicar que o tratamento resultaria num
elevado risco na ausncia das medidas tomadas pelo responsvel pelo tratamento para atenuar o risco.

2. Sempre que considerar que o tratamento previsto referido no n.o 1 violaria o disposto no presente regulamento,
nomeadamente se o responsvel pelo tratamento no tiver identificado ou atenuado suficientemente os riscos, a
autoridade de controlo, no prazo mximo de oito semanas a contar da receo do pedido de consulta, d orientaes,
por escrito, ao responsvel pelo tratamento e, se o houver, ao subcontratante e pode recorrer a todos os seus poderes
referidos no artigo 58.o. Esse prazo pode ser prorrogado at seis semanas, tendo em conta a complexidade do
tratamento previsto. A autoridade de controlo informa da prorrogao o responsvel pelo tratamento ou, se o houver, o
subcontratante no prazo de um ms a contar da data de receo do pedido de consulta, juntamente com os motivos do
atraso. Esses prazos podem ser suspensos at que a autoridade de controlo tenha obtido as informaes que tenha
solicitado para efeitos da consulta.

3. Quando consultar a autoridade de controlo nos termos do n.o 1, o responsvel pelo tratamento comunica-lhe os
seguintes elementos:

a) Se for aplicvel, a repartio de responsabilidades entre o responsvel pelo tratamento, os responsveis conjuntos
pelo tratamento e os subcontratantes envolvidos no tratamento, nomeadamente no caso de um tratamento dentro de
um grupo empresarial;

b) As finalidades e os meios do tratamento previsto;

c) As medidas e garantias previstas para defesa dos direitos e liberdades dos titulares dos dados nos termos do presente
regulamento;

d) Se for aplicvel, os contactos do encarregado da proteo de dados;


4.5.2016 PT Jornal Oficial da Unio Europeia L 119/55

e) A avaliao de impacto sobre a proteo de dados prevista no artigo 35.o; e

f) Quaisquer outras informaes solicitadas pela autoridade de controlo.

4. Os Estados-Membros consultam a autoridade de controlo durante a preparao de uma proposta de medida


legislativa a adotar por um parlamento nacional ou de uma medida regulamentar baseada nessa medida legislativa, que
esteja relacionada com o tratamento de dados.

5. No obstante o n.o 1, o direito dos Estados-Membros pode exigir que os responsveis pelo tratamento consultem a
autoridade de controlo e dela obtenham uma autorizao prvia em relao ao tratamento por um responsvel no
exerccio de uma misso de interesse pblico, incluindo o tratamento por motivos de proteo social e de sade pblica.

Se c o 4

E n ca r r eg a do da p ro te o de d a do s

Artigo 37.o

Designao do encarregado da proteo de dados

1. O responsvel pelo tratamento e o subcontratante designam um encarregado da proteo de dados sempre que:

a) O tratamento for efetuado por uma autoridade ou um organismo pblico, excetuando os tribunais no exerccio da
sua funo jurisdicional;

b) As atividades principais do responsvel pelo tratamento ou do subcontratante consistam em operaes de tratamento


que, devido sua natureza, mbito e/ou finalidade, exijam um controlo regular e sistemtico dos titulares dos dados
em grande escala; ou

c) As atividades principais do responsvel pelo tratamento ou do subcontratante consistam em operaes de tratamento


em grande escala de categorias especiais de dados nos termos do artigo 9.o e de dados pessoais relacionados com
condenaes penais e infraes a que se refere o artigo 10.o.

2. Um grupo empresarial pode tambm designar um nico encarregado da proteo de dados desde que haja um
encarregado da proteo de dados que seja facilmente acessvel a partir de cada estabelecimento.

3. Quando o responsvel pelo tratamento ou o subcontratante for uma autoridade ou um organismo pblico, pode
ser designado um nico encarregado da proteo de dados para vrias dessas autoridades ou organismos, tendo em
conta a respetiva estrutura organizacional e dimenso.

4. Em casos diferentes dos visados no n.o 1, o responsvel pelo tratamento ou o subcontratante ou as associaes e
outros organismos que representem categorias de responsveis pelo tratamento ou de subcontratantes podem, ou, se tal
lhes for exigido pelo direito da Unio ou dos Estados-Membros, designar um encarregado da proteo de dados. O
encarregado da proteo de dados pode agir em nome das associaes e de outros organismos que representem os
responsveis pelo tratamento ou os subcontratantes.

5. O encarregado da proteo de dados designado com base nas suas qualidades profissionais e, em especial, nos
seus conhecimentos especializados no domnio do direito e das prticas de proteo de dados, bem como na sua
capacidade para desempenhar as funes referidas no artigo 39.o.

6. O encarregado da proteo de dados pode ser um elemento do pessoal da entidade responsvel pelo tratamento ou
do subcontratante, ou exercer as suas funes com base num contrato de prestao de servios.

7. O responsvel pelo tratamento ou o subcontratante publica os contactos do encarregado da proteo de dados e


comunica-os autoridade de controlo.

Artigo 38.o

Posio do encarregado da proteo de dados

1. O responsvel pelo tratamento e o subcontratante asseguram que o encarregado da proteo de dados seja
envolvido, de forma adequada e em tempo til, a todas as questes relacionadas com a proteo de dados pessoais.
L 119/56 PT Jornal Oficial da Unio Europeia 4.5.2016

2. O responsvel pelo tratamento e o subcontratante apoia o encarregado da proteo de dados no exerccio das
funes a que se refere o artigo 39.o, fornecendo-lhe os recursos necessrios ao desempenho dessas funes e
manuteno dos seus conhecimentos, bem como dando-lhe acesso aos dados pessoais e s operaes de tratamento.

3. O responsvel pelo tratamento e o subcontratante asseguram que da proteo de dados no recebe instrues
relativamente ao exerccio das suas funes. O encarregado no pode ser destitudo nem penalizado pelo responsvel
pelo tratamento ou pelo subcontratante pelo facto de exercer as suas funes. O encarregado da proteo de dados
informa diretamente a direo ao mais alto nvel do responsvel pelo tratamento ou do subcontratante.

4. Os titulares dos dados podem contactar o encarregado da proteo de dados sobre todas questes relacionadas
com o tratamento dos seus dados pessoais e com o exerccio dos direitos que lhe so conferidos pelo presente
regulamento.

5. O encarregado da proteo de dados est vinculado obrigao de sigilo ou de confidencialidade no exerccio das
suas funes, em conformidade com o direito da Unio ou dos Estados-Membros.

6. O encarregado da proteo de dados pode exercer outras funes e atribuies. O responsvel pelo tratamento ou
o subcontratante assegura que essas funes e atribuies no resultam num conflito de interesses.

Artigo 39.o

Funes do encarregado da proteo de dados

1. O encarregado da proteo de dados tem, pelo menos, as seguintes funes:

a) Informa e aconselha o responsvel pelo tratamento ou o subcontratante, bem como os trabalhadores que tratem os
dados, a respeito das suas obrigaes nos termos do presente regulamento e de outras disposies de proteo de
dados da Unio ou dos Estados-Membros;

b) Controla a conformidade com o presente regulamento, com outras disposies de proteo de dados da Unio ou
dos Estados-Membros e com as polticas do responsvel pelo tratamento ou do subcontratante relativas proteo de
dados pessoais, incluindo a repartio de responsabilidades, a sensibilizao e formao do pessoal implicado nas
operaes de tratamento de dados, e as auditorias correspondentes;

c) Presta aconselhamento, quando tal lhe for solicitado, no que respeita avaliao de impacto sobre a proteo de
dados e controla a sua realizao nos termos do artigo 35.o;

d) Coopera com a autoridade de controlo;

e) Ponto de contacto para a autoridade de controlo sobre questes relacionadas com o tratamento, incluindo a consulta
prvia a que se refere o artigo 36.o, e consulta, sendo caso disso, esta autoridade sobre qualquer outro assunto.

2. No desempenho das suas funes, o encarregado da proteo de dados tem em devida considerao os riscos
associados s operaes de tratamento, tendo em conta a natureza, o mbito, o contexto e as finalidades do tratamento.

S ec o 5

C di go s de cond ut a e ce r t if ica o

Artigo 40.o

Cdigos de conduta

1. Os Estados-Membros, as autoridades de controlo, o Comit e a Comisso promovem a elaborao de cdigos de


conduta destinados a contribuir para a correta aplicao do presente regulamento, tendo em conta as caractersticas dos
diferentes setores de tratamento e as necessidades especficas das micro, pequenas e mdias empresas.

2. As associaes e outros organismos representantes de categorias de responsveis pelo tratamento ou de subcontra


tantes podem elaborar cdigos de conduta, alterar ou aditar a esses cdigos, a fim de especificar a aplicao do presente
regulamento, como por exemplo:

a) O tratamento equitativo e transparente;


4.5.2016 PT Jornal Oficial da Unio Europeia L 119/57

b) Os legtimos interesses dos responsveis pelo tratamento em contextos especficos;

c) A recolha de dados pessoais;

d) A pseudonimizao dos dados pessoais;

e) A informao prestada ao pblico e aos titulares dos dados;

f) O exerccio dos direitos dos titulares dos dados;

g) As informaes prestadas s crianas e a sua proteo, e o modo pelo qual o consentimento do titular das responsa
bilidades parentais da criana deve ser obtido;

h) As medidas e procedimentos a que se referem os artigos 24.o e 25.o e as medidas destinadas a garantir a segurana
do tratamento referidas no artigo 30.o;

i) A notificao de violaes de dados pessoais s autoridades de controlo e a comunicao dessas violaes de dados
pessoais aos titulares dos dados;

j) A transferncia de dados pessoais para pases terceiros ou organizaes internacionais; ou

k) As aes extrajudiciais e outros procedimentos de resoluo de litgios entre os responsveis pelo tratamento e os
titulares dos dados em relao ao tratamento, sem prejuzo dos direitos dos titulares dos dados nos termos dos
artigos 77.o e 79.o.

3. Alm dos responsveis pelo tratamento ou dos subcontratantes sujeitos ao presente regulamento, tambm os
responsveis pelo tratamento ou subcontratantes que no esto sujeitos ao presente regulamento por fora do artigo 3.o
podem cumprir cdigos de conduta aprovados em conformidade com o n.o 5 do presente artigo e de aplicabilidade
geral por fora do n.o 9 do presente artigo, de modo a fornecer garantias apropriadas no quadro das transferncias dos
dados pessoais para pases terceiros ou organizaes internacionais nos termos referidos no artigo 46.o, n.o 2, alnea e).
Os responsveis pelo tratamento ou os subcontratantes assumem compromissos vinculativos e com fora executiva, por
meio de instrumentos contratuais ou de outros instrumentos juridicamente vinculativos, no sentido de aplicar as
garantias apropriadas, inclusivamente em relao aos direitos dos titulares dos dados.

4. Os cdigos de conduta referidos no n.o 2 do presente artigo devem prever procedimentos que permitam ao
organismo referido no artigo 41.o, n.o 1, efetuar a superviso obrigatria do cumprimento das suas disposies por
parte dos responsveis pelo tratamento ou subcontratantes que se comprometam a aplic-lo, sem prejuzo das funes e
competncias das autoridades de controlo competentes por fora do artigo 55.o ou 56.o.

5. As associaes e outros organismos a que se refere o n.o 2 do presente artigo que tencionem elaborar um cdigo
de conduta, ou alterar ou aditar a um cdigo existente, apresentam o projeto de cdigo, a alterao ou o aditamento
autoridade de controlo que competente por fora do artigo 55.o. A autoridade de controlo emite um parecer sobre a
conformidade do projeto de cdigo de conduta ou da alterao ou do aditamento com o presente regulamento e aprova
este projeto, esta alterao ou este aditamento se determinar que so previstas garantias apropriadas suficientes.

6. Se o cdigo de conduta, ou a alterao ou o aditamento for aprovado nos termos do n.o 5, e se o cdigo de
conduta em causa no estiver relacionado com atividades de tratamento realizadas em vrios Estados-Membros, a
autoridade de controlo regista e publica o cdigo.

7. Se o projeto do cdigo de conduta estiver relacionado com atividades de tratamento realizadas em vrios Estados-
-Membros, a autoridade de controlo competente nos termos do artigo 55.o, antes da aprovao, apresenta o projeto do
cdigo, a alterao ou o aditamento, pelo procedimento referido no artigo 63.o, ao Comit, que emite um parecer sobre
a conformidade do projeto de cdigo de conduta, ou da alterao ou do aditamento, com o presente regulamento, ou,
na situao referida no n.o 3 do presente artigo, sobre a previso de garantias adequadas.

8. Se o parecer a que se refere o n.o 7 confirmar que o projeto do cdigo de conduta, ou a alterao ou o
aditamento, est conforme com o presente regulamento ou, na situao referida no n.o 3, prev garantias adequadas, o
Comit apresenta o seu parecer Comisso.

9. A Comisso pode, atravs de atos de execuo, decidir que os cdigos de conduta aprovados, bem como as
alteraes ou os aditamentos, que lhe sejam apresentados nos termos do n.o 8 do presente artigo, so de aplicabilidade
geral na Unio. Os referidos atos de execuo so adotados pelo procedimento de exame a que se refere o artigo 93.o,
n.o 2.
L 119/58 PT Jornal Oficial da Unio Europeia 4.5.2016

10. A Comisso assegura a publicidade adequada dos cdigos aprovados que declarou, mediante deciso, serem de
aplicabilidade geral em conformidade com o n.o 9.

11. O Comit recolhe todos os cdigos de conduta aprovados, respetivas alteraes e respetivos aditamentos num
registo e disponibiliza-os ao pblico pelos meios adequados.

Artigo 41.o

Superviso dos cdigos de conduta aprovados

1. Sem prejuzo das funes e competncias da autoridade de controlo competente ao abrigo dos artigos 57.o e 58.o,
a superviso de conformidade com um cdigo de conduta nos termos do artigo 40.o pode ser efetuada por um
organismo que tenha um nvel adequado de competncia relativamente ao objeto do cdigo e esteja acreditado para o
efeito pela autoridade de controlo competente.

2. O organismo a que se refere o n.o 1 pode ser acreditado para superviso de conformidade com um cdigo de
conduta, se:

a) Tiver demonstrado que goza de independncia e dispe dos conhecimentos necessrios em relao ao objeto do
cdigo, de forma satisfatria para a autoridade de controlo competente;

b) Tiver estabelecido procedimentos que lhe permitam avaliar a elegibilidade dos responsveis pelo tratamento e dos
subcontratantes em questo para aplicar o cdigo, verificar se estes respeitam as disposies do mesmo e rever
periodicamente o seu funcionamento;

c) Tiver estabelecido procedimentos e estruturas para tratar reclamaes relativas a violaes do cdigo ou forma
como o cdigo tenha sido ou esteja a ser aplicado pelo responsvel pelo tratamento ou subcontratante, e para tornar
estes procedimentos e estruturas transparentes para os titulares dos dados e o pblico; e

d) Demonstrar, de forma satisfatria para a autoridade de controlo competente, que as suas funes e atribuies no
implicam um conflito de interesses.

3. A autoridade de controlo competente apresenta os projetos de critrios para a acreditao do organismo referido
no n.o 1 do presente artigo ao Comit, de acordo com o procedimento de controlo da coerncia referido no artigo 63.o.

4. Sem prejuzo das funes e competncias da autoridade de controlo competente e do disposto no captulo VIII, o
organismo a que se refere o n.o 1 do presente artigo toma, sob reserva das garantias adequadas, as medidas que forem
adequadas em caso de violaes do cdigo por um responsvel pelo tratamento ou por um subcontratante, incluindo a
suspenso ou excluso desse responsvel ou subcontratante do cdigo. O referido organismo informa a autoridade de
controlo competente dessas medidas e dos motivos que levaram sua tomada.

5. A autoridade de controlo competente revoga a acreditao do organismo a que se refere o n.o 1 se as condies
para a acreditao no estiverem ou tiverem deixado de estar reunidas, ou se as medidas tomadas pelo organismo
violarem o presente regulamento.

6. O presente artigo no se aplica ao tratamento realizado por autoridades e organismos pblicos.

Artigo 42.o

Certificao

1. Os Estados-Membros, as autoridades de controlo, o Comit e a Comisso promovem, em especial ao nvel da


Unio, a criao de procedimentos de certificao em matria de proteo de dados, bem como selos e marcas de
proteo de dados, para efeitos de comprovao da conformidade das operaes de tratamento de responsveis pelo
tratamento e subcontratantes com o presente regulamento. Sero tidas em conta as necessidades especficas das micro,
pequenas e mdias empresas.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/59

2. Alm do cumprimento pelos responsveis pelo tratamento ou pelos subcontratantes sujeitos ao presente
regulamento, os procedimentos de certificao em matria de proteo de dados, bem como selos ou marcas aprovados
de acordo com o n.o 5 do presente artigo tambm podem ser estabelecidos para efeitos de comprovao da existncia de
garantias adequadas fornecidas por responsveis pelo tratamento ou por subcontratantes que no esto sujeitos ao
presente regulamento por fora do artigo 3.o no quadro das transferncias de dados pessoais para pases terceiros ou
organizaes internacionais nos termos referidos no artigo 46.o, n.o 2, alnea f). Os responsveis pelo tratamento ou os
subcontratantes assumem compromissos vinculativos e com fora executiva, por meio de instrumentos contratuais ou
de outros instrumentos juridicamente vinculativos, no sentido de aplicar as garantias adequadas, inclusivamente em
relao aos direitos dos titulares dos dados.

3. A certificao voluntria e est disponvel atravs de um processo transparente.

4. A certificao prevista no presente artigo no diminui a responsabilidade dos responsveis pelo tratamento e
subcontratantes pelo cumprimento do presente regulamento nem prejudica as funes e competncias das autoridades
de controlo competentes por fora do artigo 55.o ou 56.o.

5. A certificao prevista no presente artigo emitida pelos organismos de certificao referidos no artigo 43.o ou
pela autoridade de controlo competente, com base nos critrios por esta aprovados por fora do artigo 58.o, n.o 3, ou
pelo Comit por fora do artigo 63.o. Caso os critrios sejam aprovados pelo Comit, podem ter como resultado uma
certificao comum, o Selo Europeu de Proteo de Dados.

6. Os responsveis pelo tratamento ou subcontratantes que submetem o seu tratamento ao procedimento de


certificao fornecem ao organismo de certificao a que se refere o artigo 43.o, ou, consoante o caso, autoridade de
controlo competente, todo o acesso s suas atividades de tratamento e toda a informao de que haja necessidade para
efetuar o procedimento de certificao.

7. A certificao emitida aos responsveis pelo tratamento e subcontratantes por um perodo mximo de trs anos
e pode ser renovada nas mesmas condies, desde que os requisitos aplicveis continuem a estar reunidos. A certificao
retirada, consoante o caso, pelos organismos de certificao referidos no artigo 43.o ou pela autoridade de controlo
competente, se os requisitos para a certificao no estiverem ou tiverem deixados de estar reunidos.

8. O Comit recolhe todos os procedimentos de certificao e todos os selos e marcas de proteo de dados
aprovados num registo e disponibiliza-os ao pblico por todos os meios adequados.

Artigo 43.o

Organismos de certificao

1. Sem prejuzo das atribuies e poderes da autoridade de controlo competente nos termos dos artigos 57.o e 58.o,
um organismo de certificao que tenha um nvel adequado de competncia em matria de proteo de dados emite e
renova a certificao, aps informar a autoridade de controlo para que esta possa exercer as suas competncias nos
termos do artigo 58.o, n.o 2, alnea h), sempre que necessrio. Os Estados-Membros asseguram que estes organismos de
certificao so acreditados:

a) Pela autoridade de controlo que competente nos termos do artigo 55.o ou 56.o;

b) Pelo organismo nacional de acreditao, designado nos termos do Regulamento (CE) n.o 765/2008 do Parlamento
Europeu e do Conselho (1), em conformidade com a norma EN-ISO/IEC 17065/2012 e com os requisitos adicionais
estabelecidos pela autoridade de controlo que competente nos termos do artigo 55.o ou 56.o.

2. Os organismos de certificao referidos no n.o 1 so acreditados em conformidade com o mesmo, apenas se:

a) Tiverem demonstrado que gozam de independncia e dispem dos conhecimentos necessrios em relao ao objeto
da certificao, de forma satisfatria para a autoridade de controlo competente;

(1) Regulamento (CE) n.o 765/2008 do Parlamento Europeu e do Conselho, de 9 de julho de 2008, que estabelece os requisitos de
acreditao e fiscalizao do mercado relativos comercializao de produtos, e que revoga o Regulamento (CEE) n.o 339/93 (JO L 218
de 13.8.2008, p. 30).
L 119/60 PT Jornal Oficial da Unio Europeia 4.5.2016

b) Se tiverem comprometido a respeitar os critrios referidos no artigo 42.o, n.o 5, e aprovados pela autoridade de
controlo que competente por fora do artigo 55.o ou 56.o ou pelo Comit por fora do artigo 63.o;

c) Tiverem estabelecido procedimentos para a emisso, reviso peridica e retirada de procedimentos de certificao,
selos e marcas de proteo de dados;

d) Tiverem estabelecido procedimentos e estruturas para tratar reclamaes relativas a violaes da certificao ou
forma como a certificao tenha sido ou esteja a ser implementada pelo responsvel pelo tratamento ou subcon
tratante, e para tornar estes procedimentos e estruturas transparentes para os titulares dos dados e o pblico; e

e) Demonstrarem, de forma satisfatria para a autoridade de controlo competente, que as suas funes e atribuies
no implicam um conflito de interesses.

3. A acreditao dos organismos de certificao referida nos n.os 1 e 2 do presente artigo, efetuada com base nos
critrios aprovados pela autoridade de controlo que competente por fora do artigo 55.o ou 56.o ou pelo Comit por
fora do artigo 63.o. No caso de acreditaes nos termos do n.o 1, alnea b), do presente artigo, esses requisitos
complementam os requisitos previstos no Regulamento (CE) n.o 765/2008 e as regras tcnicas que descrevem os
mtodos e procedimentos dos organismos de certificao.

4. Os organismos de certificao a que se refere o n.o 1 so responsveis pela correta avaliao necessria
certificao, ou pela revogao dessa certificao, sem prejuzo da responsabilidade que cabe ao responsvel pelo
tratamento ou ao subcontratante pelo cumprimento do presente regulamento. A acreditao emitida por um perodo
mximo de cinco anos e pode ser renovada nas mesmas condies, desde que o organismo de certificao rena os
requisitos estabelecidos no presente artigo.

5. Os organismos de certificao a que se refere o n.o 1 fornecem s autoridades de controlo competentes os motivos
que levaram concesso ou revogao da certificao solicitada.

6. Os requisitos referidos no n.o 3 do presente artigo, e os critrios referidos no artigo 42.o, n.o 5, so publicados pela
autoridade de controlo sob uma forma facilmente acessvel. As autoridades de controlo tambm comunicam estes
requisitos e estas informaes ao Comit. O Comit recolhe todos os procedimentos de certificao e selos de proteo
de dados aprovados num registo e disponibiliza-os ao pblico por todos os meios adequados.

7. Sem prejuzo do captulo VIII, a autoridade de controlo competente ou o organismo nacional de acreditao
revoga uma acreditao do organismo de certificao nos termos do n.o 1 do presente artigo, se as condies para a
acreditao no estiverem ou tiverem deixado de estar reunidas, ou se as medidas tomadas pelo organismo de
certificao violarem o presente regulamento.

8. A Comisso fica habilitada a adotar atos delegados nos termos do artigo 92.o, a fim de especificar os requisitos a
ter em conta relativamente aos procedimentos de certificao em matria de proteo de dados referidos no artigo 42.o,
n.o 1.

9. A Comisso pode adotar atos de execuo estabelecendo normas tcnicas para os procedimentos de certificao e
os selos e marcas em matria de proteo de dados, e regras para promover e reconhecer esses procedimentos de
certificao, selos e marcas. Os referidos atos de execuo so adotados pelo procedimento de exame a que se refere o
artigo 93.o, n.o 2.

CAPTULO V

Transferncias de dados pessoais para pases terceiros ou organizaes internacionais

Artigo 44.o

Princpio geral das transferncias

Qualquer transferncia de dados pessoais que sejam ou venham a ser objeto de tratamento aps transferncia para um
pas terceiro ou uma organizao internacional s realizada se, sem prejuzo das outras disposies do presente
regulamento, as condies estabelecidas no presente captulo forem respeitadas pelo responsvel pelo tratamento e pelo
subcontratante, inclusivamente no que diz respeito s transferncias ulteriores de dados pessoais do pas terceiro ou da
organizao internacional para outro pas terceiro ou outra organizao internacional. Todas as disposies do presente
captulo so aplicadas de forma a assegurar que no comprometido o nvel de proteo das pessoas singulares
garantido pelo presente regulamento.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/61

Artigo 45.o

Transferncias com base numa deciso de adequao

1. Pode ser realizada uma transferncia de dados pessoais para um pas terceiro ou uma organizao internacional se
a Comisso tiver decidido que o pas terceiro, um territrio ou um ou mais setores especficos desse pas terceiro, ou a
organizao internacional em causa, assegura um nvel de proteo adequado. Esta transferncia no exige autorizao
especfica.

2. Ao avaliar a adequao do nvel de proteo, a Comisso tem nomeadamente em conta os seguintes elementos:

a) O primado do Estado de direito, o respeito pelos direitos humanos e liberdades fundamentais, a legislao pertinente
em vigor, tanto a geral como a setorial, nomeadamente em matria de segurana pblica, defesa, segurana nacional
e direito penal, e respeitante ao acesso das autoridades pblicas a dados pessoais, bem como a aplicao dessa
legislao e das regras de proteo de dados, das regras profissionais e das medidas de segurana, incluindo as regras
para a transferncia ulterior de dados pessoais para outro pas terceiro ou organizao internacional, que so
cumpridas nesse pas ou por essa organizao internacional, e a jurisprudncia, bem como os direitos dos titulares
dos dados efetivos e oponveis, e vias de recurso administrativo e judicial para os titulares de dados cujos dados
pessoais sejam objeto de transferncia;

b) A existncia e o efetivo funcionamento de uma ou mais autoridades de controlo independentes no pas terceiro ou s
quais esteja sujeita uma organizao internacional, responsveis por assegurar e impor o cumprimento das regras de
proteo de dados, e dotadas de poderes coercitivos adequados para assistir e aconselhar os titulares dos dados no
exerccio dos seus direitos, e cooperar com as autoridades de controlo dos Estados-Membros; e

c) Os compromissos internacionais assumidos pelo pas terceiro ou pela organizao internacional em causa, ou outras
obrigaes decorrentes de convenes ou instrumentos juridicamente vinculativos, bem como da sua participao em
sistemas multilaterais ou regionais, em especial em relao proteo de dados pessoais.

3. Aps avaliar a adequao do nvel de proteo, a Comisso pode decidir, atravs de um ato de execuo, que um
pas terceiro, um territrio ou um ou mais setores especficos de um pas terceiro, ou uma organizao internacional,
garante um nvel de proteo adequado na aceo do n.o 2 do presente artigo. O ato de execuo prev um
procedimento de avaliao peridica, no mnimo de quatro em quatro anos, que dever ter em conta todos os desenvol
vimentos pertinentes no pas terceiro ou na organizao internacional. O ato de execuo especifica o mbito de
aplicao territorial e setorial e, se for caso disso, identifica a autoridade ou autoridades de controlo a que se refere o
n.o 2, alnea b), do presente artigo. O referido ato de execuo adotado pelo procedimento de exame a que se refere o
artigo 93.o, n.o 2.

4. A Comisso controla, de forma continuada, os desenvolvimentos nos pases terceiros e nas organizaes interna
cionais que possam afetar o funcionamento das decises adotadas nos termos do n.o 3 do presente artigo e das decises
adotadas com base no artigo 25.o, n.o 6, da Diretiva 95/46/CE.

5. A Comisso, sempre que a informao disponvel revelar, nomeadamente na sequncia da reviso a que se refere o
n.o 3 do presente artigo, que um pas terceiro, um territrio ou um ou mais setores especficos de um pas terceiro, ou
uma organizao internacional, deixou de assegurar um nvel de proteo adequado na aceo do n.o 2 do presente
artigo, na medida do necessrio, revoga, altera ou suspende a deciso referida no n.o 3 do presente artigo, atravs de
atos de execuo, sem efeitos retroativos. Os referidos atos de execuo so adotados pelo procedimento de exame a que
se refere o artigo 93.o, n.o 2.

Por imperativos de urgncia devidamente justificados, a Comisso adota atos de execuo imediatamente aplicveis pelo
procedimento a que se refere o artigo 93.o, n.o 3.

6. A Comisso inicia consultas com o pas terceiro ou a organizao internacional com vista a corrigir a situao que
tiver dado origem deciso tomada nos termos do n.o 5.

7. As decises tomadas ao abrigo do n.o 5 do presente artigo no prejudicam as transferncias de dados pessoais para
o pas terceiro, um territrio ou um ou mais setores especficos desse pas terceiro, ou para a organizao internacional
em causa, nos termos dos artigos 46.o a 49.o.

8. A Comisso publica no Jornal Oficial da Unio Europeia e no seu stio web uma lista dos pases terceiros, territrios e
setores especficos de um pas terceiro e de organizaes internacionais relativamente aos quais tenha declarado,
mediante deciso, se asseguram ou no um nvel de proteo adequado.
L 119/62 PT Jornal Oficial da Unio Europeia 4.5.2016

9. As decises adotadas pela Comisso com base no artigo 25.o, n.o 6, da Diretiva 95/46/CE permanecem em vigor
at que sejam alteradas, substitudas ou revogadas por uma deciso da Comisso adotada em conformidade com o n.o 3
ou o n.o 5 do presente artigo.

Artigo 46.o

Transferncias sujeitas a garantias adequadas

1. No tendo sido tomada qualquer deciso nos termos do artigo 45.o, n.o 3, os responsveis pelo tratamento ou
subcontratantes s podem transferir dados pessoais para um pas terceiro ou uma organizao internacional se tiverem
apresentado garantias adequadas, e na condio de os titulares dos dados gozarem de direitos oponveis e de medidas
jurdicas corretivas eficazes.

2. Podem ser previstas as garantias adequadas referidas no n.o 1, sem requerer nenhuma autorizao especfica de
uma autoridade de controlo, por meio de:

a) Um instrumento juridicamente vinculativo e com fora executiva entre autoridades ou organismos pblicos;

b) Regras vinculativas aplicveis s empresas em conformidade com o artigo 47.o;

c) Clusulas-tipo de proteo de dados adotadas pela Comisso pelo procedimento de exame referido no artigo 93.o,
n.o 2;

d) Clusulas-tipo de proteo de dados adotadas por uma autoridade de controlo e aprovadas pela Comisso pelo
procedimento de exame referido no artigo 93.o, n.o 2;

e) Um cdigo de conduta, aprovado nos termos do artigo 40.o, acompanhado de compromissos vinculativos e com
fora executiva assumidos pelos responsveis pelo tratamento ou pelos subcontratantes no pas terceiro no sentido de
aplicarem as garantias adequadas, nomeadamente no que respeita aos direitos dos titulares dos dados; ou

f) Um procedimento de certificao, aprovado nos termos do artigo 42.o, acompanhado de compromissos vinculativos
e com fora executiva assumidos pelos responsveis pelo tratamento ou pelos subcontratantes no pas terceiro no
sentido de aplicarem as garantias adequadas, nomeadamente no que respeita aos direitos dos titulares dos dados.

3. Sob reserva de autorizao da autoridade de controlo competente, podem tambm ser previstas as garantias
adequadas referidas no n.o 1, nomeadamente por meio de:

a) Clusulas contratuais entre os responsveis pelo tratamento ou subcontratantes e os responsveis pelo tratamento,
subcontratantes ou destinatrios dos dados pessoais no pas terceiro ou organizao internacional; ou

b) Disposies a inserir nos acordos administrativos entre as autoridades ou organismos pblicos que contemplem os
direitos efetivos e oponveis dos titulares dos dados.

4. A autoridade de controlo aplica o procedimento de controlo da coerncia a que se refere o artigo 63.o nos casos
enunciados no n.o 3 do presente artigo.

5. As autorizaes concedidas por um Estado-Membro ou uma autoridade de controlo com base no artigo 26.o,
n.o 2, da Diretiva 95/46/CE continuam vlidas at que a mesma autoridade de controlo as altere, substitua ou revogue,
caso seja necessrio. As decises adotadas pela Comisso com base no artigo 26.o, n.o 4, da Diretiva 95/46/CE
permanecem em vigor at que sejam alteradas, substitudas ou revogadas, caso seja necessrio, por uma deciso da
Comisso adotada em conformidade com o n.o 2 do presente artigo.

Artigo 47.o

Regras vinculativas aplicveis s empresas

1. Pelo procedimento de controlo da coerncia previsto no artigo 63.o, a autoridade de controlo competente aprova
regras vinculativas aplicveis s empresas, que devem:

a) Ser juridicamente vinculativas e aplicveis a todas as entidades em causa do grupo empresarial ou do grupo de
empresas envolvidas numa atividade econmica conjunta, incluindo os seus funcionrios, as quais devero assegurar
o seu cumprimento;
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/63

b) Conferir expressamente aos titulares dos dados direitos oponveis relativamente ao tratamento dos seus dados
pessoais; e

c) Preencher os requisitos estabelecidos no n.o 2.

2. As regras vinculativas aplicveis s empresas a que se refere o n.o 1 especificam, pelo menos:

a) A estrutura e os contactos do grupo empresarial ou do grupo de empresas envolvidas numa atividade econmica
conjunta e de cada uma das entidades que o compe;

b) As transferncias ou conjunto de transferncias de dados, incluindo as categorias de dados pessoais, o tipo de


tratamento e suas finalidades, o tipo de titulares de dados afetados e a identificao do pas ou pases terceiros em
questo;

c) O seu carter juridicamente vinculativo, a nvel interno e externo;

d) A aplicao dos princpios gerais de proteo de dados, nomeadamente a limitao das finalidades, a minimizao
dos dados, a limitao dos prazos de conservao, a qualidade dos dados, a proteo dos dados desde a conceo e
por defeito, o fundamento jurdico para o tratamento, o tratamento de categorias especiais de dados pessoais, as
medidas de garantia da segurana dos dados e os requisitos aplicveis a transferncias posteriores para organismos
no abrangidos pelas regras vinculativas aplicveis s empresas;

e) Os direitos dos titulares dos dados relativamente ao tratamento e regras de exerccio desses direitos, incluindo o
direito de no ser objeto de decises baseadas unicamente no tratamento automatizado, nomeadamente a definio
de perfis a que se refere o artigo 22.o, o direito de apresentar uma reclamao autoridade de controlo competente
e aos tribunais competentes dos Estados-Membros nos termos do artigo 79.o, bem como o de obter reparao e, se
for caso disso, indemnizao pela violao das regras vinculativas aplicveis s empresas;

f) A aceitao, por parte do responsvel pelo tratamento ou subcontratante estabelecido no territrio de um Estado-
-Membro, da responsabilidade por toda e qualquer violao das regras vinculativas aplicveis s empresas cometida
por uma entidade envolvida que no se encontre estabelecida na Unio; o responsvel pelo tratamento ou o subcon
tratante s pode ser exonerado dessa responsabilidade, no todo ou em parte, mediante prova de que o facto que
causou o dano no imputvel referida entidade;

g) A forma como as informaes sobre as regras vinculativas aplicveis s empresas, nomeadamente, sobre as
disposies referidas nas alneas d), e) e f) do presente nmero, so comunicadas aos titulares dos dados para alm
das informaes referidas nos artigos 13.o e 14.o;

h) As funes de qualquer encarregado da proteo de dados, designado nos termos do artigo 37.o ou de qualquer
outra pessoa ou entidade responsvel pelo controlo do cumprimento das regras vinculativas aplicveis s empresas,
a nvel do grupo empresarial ou do grupo de empresas envolvidas numa atividade econmica conjunta, e pela
superviso das aes de formao e do tratamento de reclamaes;

i) Os procedimentos de reclamao;

j) Os procedimentos existentes no grupo empresarial ou no grupo de empresas envolvidas numa atividade econmica
conjunta para assegurar a verificao do cumprimento das regras vinculativas aplicveis s empresas. Esses procedi
mentos incluem a realizao de auditorias sobre a proteo de dados e o recurso a mtodos que garantam a adoo
de medidas corretivas capazes de preservar os direitos dos respetivos titulares. Os resultados dessa verificao devem
ser comunicados pessoa ou entidade referida na alnea h) e ao Conselho de Administrao da empresa ou grupo
empresarial que exerce o controlo ou do grupo de empresas envolvidas numa atividade econmica conjunta,
devendo tambm ser facultados autoridade de controlo competente, a pedido desta;

k) Os procedimentos de elaborao de relatrios e de registo de alteraes s regras, bem como de comunicao dessas
alteraes autoridade de controlo;

l) O procedimento de cooperao com a autoridade de controlo para assegurar o cumprimento, por qualquer entidade
do grupo empresarial ou do grupo de empresas envolvidas numa atividade econmica conjunta, em especial
facultando autoridade de controlo os resultados de verificaes das medidas referidas na alnea j);

m) Os procedimentos de comunicao, autoridade de controlo competente, de todos os requisitos legais a que uma
entidade do grupo empresarial ou do grupo de empresas envolvidas numa atividade econmica conjunta esteja
sujeita num pas terceiro que sejam passveis de ter forte impacto negativo nas garantias dadas pelas regras
vinculativas aplicveis s empresas; e

n) Aes de formao especificamente dirigidas a pessoas que tenham, em permanncia ou regularmente, acesso a
dados de natureza pessoal.
L 119/64 PT Jornal Oficial da Unio Europeia 4.5.2016

3. A Comisso pode especificar o formato e os procedimentos de intercmbio de informaes entre os responsveis


pelo tratamento, os subcontratantes e as autoridades de controlo no que respeita s regras vinculativas aplicveis s
empresas na aceo do presente artigo. Os referidos atos de execuo so adotados pelo procedimento de exame a que
se refere o artigo 93.o, n.o 2.

Artigo 48.o

Transferncias ou divulgaes no autorizadas pelo direito da Unio

As decises judiciais e as decises de autoridades administrativas de um pas terceiro que exijam que o responsvel pelo
tratamento ou o subcontratante transfiram ou divulguem dados pessoais s so reconhecidas ou executadas se tiverem
como base um acordo internacional, como um acordo de assistncia judiciria mtua, em vigor entre o pas terceiro em
causa e a Unio ou um dos Estados-Membros, sem prejuzo de outros motivos de transferncia nos termos do presente
captulo.

Artigo 49.o

Derrogaes para situaes especficas

1. Na falta de uma deciso de adequao nos termos do artigo 45.o, n.o 3, ou de garantias adequadas nos termos do
artigo 46.o, designadamente de regras vinculativas aplicveis s empresas, as transferncias ou conjunto de transferncias
de dados pessoais para pases terceiros ou organizaes internacionais s so efetuadas caso se verifique uma das
seguintes condies:

a) O titular dos dados tiver explicitamente dado o seu consentimento transferncia prevista, aps ter sido informado
dos possveis riscos de tais transferncias para si prprio devido falta de uma deciso de adequao e das garantias
adequadas;

b) A transferncia for necessria para a execuo de um contrato entre o titular dos dados e o responsvel pelo
tratamento ou de diligncias prvias formao do contrato decididas a pedido do titular dos dados;

c) A transferncia for necessria para a celebrao ou execuo de um contrato, celebrado no interesse do titular dos
dados, entre o responsvel pelo seu tratamento e outra pessoa singular ou coletiva;

d) A transferncia for necessria por importantes razes de interesse pblico;

e) A transferncia for necessria declarao, ao exerccio ou defesa de um direito num processo judicial;

f) A transferncia for necessria para proteger interesses vitais do titular dos dados ou de outras pessoas, se esse titular
estiver fsica ou legalmente incapaz de dar o seu consentimento;

g) A transferncia for realizada a partir de um registo que, nos termos do direito da Unio ou do Estado-Membro, se
destine a informar o pblico e se encontre aberto consulta do pblico em geral ou de qualquer pessoa que possa
provar nela ter um interesse legtimo, mas apenas na medida em que as condies de consulta estabelecidas no
direito da Unio ou de um Estado-Membro se encontrem preenchidas nesse caso concreto.

Quando uma transferncia no puder basear-se no disposto no artigo 45.o ou 46.o, incluindo nas regras vinculativas
aplicveis s empresas, e no for aplicvel nenhuma das derrogaes previstas para as situaes especficas a que se
refere o primeiro pargrafo do presente nmero, a transferncia para um pas terceiro ou uma organizao internacional
s pode ser efetuada se no for repetitiva, apenas disser respeito a um nmero limitado de titulares dos dados, for
necessria para efeitos dos interesses legtimos visados pelo responsvel pelo seu tratamento, desde que a tais interesses
no se sobreponham os interesses ou os direitos e liberdades do titular dos dados, e o responsvel pelo tratamento tiver
ponderado todas as circunstncias relativas transferncia de dados e, com base nessa avaliao, tiver apresentado
garantias adequadas no que respeita proteo de dados pessoais. O responsvel pelo tratamento informa da transfe
rncia a autoridade de controlo. Para alm de fornecer a informao referida nos artigos 13.o e 14.o, o responsvel pelo
tratamento presta informaes ao titular dos dados sobre a transferncia e os interesses legtimos visados.

2. As transferncias efetuadas nos termos do n.o 1, primeiro pargrafo, alnea g), no envolvem a totalidade dos
dados pessoais nem categorias completas de dados pessoais constantes do registo. Quando o registo se destinar a ser
consultado por pessoas com um interesse legtimo, as transferncias s podem ser efetuadas a pedido dessas pessoas ou
se forem elas os seus destinatrios.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/65

3. O n.o 1, primeiro pargrafo, alneas a), b) e c), e segundo pargrafo, no aplicvel a atividades levadas a cabo por
autoridades pblicas no exerccio dos seus poderes.

4. O interesse pblico referido no n.o 1, primeiro pargrafo, alnea d), reconhecido pelo direito da Unio ou pelo
direito do Estado-Membro a que o responsvel pelo tratamento se encontre sujeito.

5 Na falta de uma deciso de adequao, o direito da Unio ou de um Estado-Membro podem, por razes
importantes de interesse pblico, estabelecer expressamente limites transferncia de categorias especficas de dados
para pases terceiros ou organizaes internacionais. Os Estados-Membros notificam a Comisso dessas disposies.

6. O responsvel pelo tratamento ou o subcontratante documenta a avaliao, bem como as garantias adequadas
referidas no n.o 1, segundo pargrafo, do presente artigo, nos registos a que se refere o artigo 30.o.

Artigo 50.o

Cooperao internacional no domnio da proteo de dados pessoais

Em relao a pases terceiros e a organizaes internacionais, a Comisso e as autoridades de controlo tomam as


medidas necessrias para:

a) Estabelecer regras internacionais de cooperao destinadas a facilitar a aplicao efetiva da legislao em matria de
proteo de dados pessoais;

b) Prestar assistncia mtua a nvel internacional no domnio da aplicao da legislao relativa proteo de dados
pessoais, nomeadamente atravs da notificao, comunicao de reclamaes, e assistncia na investigao e
intercmbio de informaes, sob reserva das garantias adequadas de proteo dos dados pessoais e de outros direitos
e liberdades fundamentais;

c) Associar as partes interessadas aos debates e atividades que visem intensificar a cooperao internacional no mbito
da aplicao da legislao relativa proteo de dados pessoais;

d) Promover o intercmbio e a documentao da legislao e das prticas em matria de proteo de dados pessoais,
nomeadamente no que diz respeito a conflitos jurisdicionais com pases terceiros.

CAPTULO VI

Autoridades de controlo independentes

S ec o 1

Es t a tuto ind ep e nde nte

Artigo 51.o

Autoridade de controlo

1. Os Estados-Membros estabelecem que cabe a uma ou mais autoridades pblicas independentes a responsabilidade
pela fiscalizao da aplicao do presente regulamento, a fim de defender os direitos e liberdades fundamentais das
pessoas singulares relativamente ao tratamento e facilitar a livre circulao desses dados na Unio (autoridade de
controlo).

2. As autoridades de controlo contribuem para a aplicao coerente do presente regulamento em toda a Unio. Para
esse efeito, as autoridades de controlo cooperam entre si e com a Comisso, nos termos do captulo VII.

3. Quando estiverem estabelecidas mais do que uma autoridade de controlo num Estado-Membro, este determina
qual a autoridade de controlo que deve representar essas autoridades no Comit e estabelece disposies para assegurar
que as regras relativas ao procedimento de controlo da coerncia referido no artigo 63.o, sejam cumpridas pelas
autoridades.

4. Os Estados-Membros notificam a Comisso das disposies do direito nacional que adotarem nos termos do
presente captulo, at 25 de maio de 2018 e, sem demora, de qualquer alterao posterior a essas mesmas disposies.
L 119/66 PT Jornal Oficial da Unio Europeia 4.5.2016

Artigo 52.o

Independncia

1. As autoridades de controlo agem com total independncia no na prossecuo das suas atribuies e no exerccio
dos poderes que lhe so atribudos nos termos do presente regulamento.

2. Os membros das autoridades de controlo no esto sujeitos a influncias externas, diretas ou indiretas no
desempenho das suas funes e no exerccio dos seus poderes nos termos do presente regulamento, e no solicitam nem
recebem instrues de outrem.

3. Os membros da autoridade de controlo abstm-se de qualquer ato incompatvel com as suas funes e, durante o
seu mandato, no podem desempenhar nenhuma atividade, remunerada ou no, que com elas seja incompatvel.

4. Os Estados-Membros asseguram que cada autoridade de controlo disponha dos recursos humanos, tcnicos e
financeiros, instalaes e infraestruturas necessrios prossecuo eficaz das suas atribuies e ao exerccio dos seus
poderes, incluindo as executadas no contexto da assistncia mtua, da cooperao e da participao no Comit.

5. Os Estados-Membros asseguram que cada autoridade de controlo selecione e disponha do seu prprio pessoal, que
ficar sob a direo exclusiva dos membros da autoridade de controlo interessada.

6. Os Estados-Membros asseguram que cada autoridade de controlo fique sujeita a um controlo financeiro que no
afeta a sua independncia e que disponha de oramentos anuais separados e pblicos, que podero estar integrados no
oramento geral do Estado ou nacional.

Artigo 53.o

Condies gerais aplicveis aos membros da autoridade de controlo

1. Os Estados-Membros estabelecem que cada membro das respetivas autoridades de controlo seja nomeado por
procedimento transparente:

pelo Parlamento,

pelo Governo,

pelo Chefe de Estado, ou

por um organismo independente incumbido da nomeao nos termos do direito do Estado-Membro.

2. Cada membro possui as habilitaes, a experincia e os conhecimentos tcnicos necessrios, nomeadamente no


domnio da proteo de dados pessoais, ao desempenho das suas funes e ao exerccio dos seus poderes.

3. As funes dos membros da autoridade de controlo cessam findo o seu mandato, com a sua exonerao ou
aposentao compulsiva, nos termos do direito do Estado-Membro em causa.

4. Os membros da autoridade de controlo s so exonerados se tiverem cometido uma falta grave ou se tiverem
deixado de cumprir as condies exigidas para o exerccio das suas funes.

Artigo 54.o

Regras aplicveis constituio da autoridade de controlo

1. Os Estados-Membros estabelecem, por via legislativa:

a) A constituio de cada autoridade de controlo;


4.5.2016 PT Jornal Oficial da Unio Europeia L 119/67

b) As qualificaes e as condies de elegibilidade necessrias para a nomeao dos membros de cada autoridade de
controlo;

c) As regras e os procedimentos de nomeao dos membros de cada autoridade de controlo;

d) A durao do mandato dos membros de cada autoridade de controlo, que no ser inferior a quatro anos, salvo no
caso do primeiro mandato aps 24 de maio de 2016, e ser mais curta quando for necessrio proteger a indepen
dncia da autoridade de controlo atravs de um procedimento de nomeaes escalonadas;

e) Se, e em caso afirmativo, por quantos mandatos os membros de cada autoridade de controlo podem ser renomeados;

f) As condies que regem as obrigaes dos membros e do pessoal de cada autoridade de controlo, a proibio das
aes, funes e benefcios que com elas so incompatveis durante o mandato e aps o seu termo e as regras que
regem a cessao da relao de trabalho.

2. Os membros e o pessoal de cada autoridade de controlo ficam sujeitos, nos termos do direito da Unio ou dos
Estados-Membros, obrigao de sigilo profissional, tanto durante o mandato como aps o seu termo, quanto a
quaisquer informaes confidenciais a que tenham tido acesso no desempenho das suas funes ou exerccio dos seus
poderes. Durante o seu mandato, essa obrigao de sigilo profissional aplica-se, em especial, comunicao por pessoas
singulares de violaes do presente regulamento.

Se c o 2

C o mp e t ncia , at r i bui es e p od ere s

Artigo 55.o

Competncia

1. As autoridades de controlo so competentes para prosseguir as atribuies e exercer os poderes que lhes so
conferidos pelo presente regulamento no territrio do seu prprio Estado-Membro.

2. Quando o tratamento for efetuado por autoridades pblicas ou por organismos privados que atuem ao abrigo do
artigo 6.o, n.o 1, alnea c) ou e), competente a autoridade de controlo do Estado-Membro em causa. Nesses casos, no
aplicvel o artigo 56.o.

3. As autoridades de controlo no tm competncia para controlar operaes de tratamento efetuadas por tribunais
que atuem no exerccio da sua funo jurisdicional.

Artigo 56.o

Competncia da autoridade de controlo principal

1. Sem prejuzo do disposto no artigo 55.o, a autoridade de controlo do estabelecimento principal ou do estabele
cimento nico do responsvel pelo tratamento ou do subcontratante competente para agir como autoridade de
controlo principal para o tratamento transfronteirio efetuado pelo referido responsvel pelo tratamento ou subcon
tratante nos termos do artigo 60.o.

2. Em derrogao do n.o 1, cada autoridade de controlo competente para tratar reclamaes que lhe sejam
apresentadas ou a eventuais violaes do presente regulamento se a matria em apreo estiver relacionada apenas com
um estabelecimento no seu Estado-Membro ou se afetar substancialmente titulares de dados apenas no seu Estado-
-Membro.

3. Nos casos previstos no n.o 2 do presente artigo, a autoridade de controlo informa sem demora do assunto a
autoridade de controlo principal. No prazo de trs semanas a contar do momento em que tiver sido informada, a
autoridade de controlo principal decide se trata o caso, nos termos do artigo 60.o, tendo em conta se h ou no algum
estabelecimento do responsvel pelo tratamento ou subcontratante no Estado-Membro sobre o qual a autoridade de
controlo a tenha informado.
L 119/68 PT Jornal Oficial da Unio Europeia 4.5.2016

4. Quando a autoridade de controlo principal decide tratar o caso, aplica-se o procedimento previsto no artigo 60.o.
A autoridade de controlo que tiver informado a autoridade de controlo principal pode apresentar a esta ltima um
projeto de deciso. A autoridade de controlo principal tem esse projeto na melhor conta quando prepara o projeto de
deciso referido no artigo 60.o, n.o 3.

5. Caso a autoridade de controlo principal decida no tratar o caso, a autoridade de controlo que a informou que o
trata, nos termos dos artigos 61.o e 62.o.

6. A autoridade de controlo principal o nico interlocutor do responsvel pelo tratamento ou do subcontratante no


tratamento transfronteirio efetuado pelo referido responsvel pelo tratamento ou subcontratante.

Artigo 57.o

Atribuies

1. Sem prejuzo de outras atribuies previstas nos termos do presente regulamento, cada autoridade de controlo, no
territrio respetivo:

a) Controla e executa a aplicao do presente regulamento;

b) Promove a sensibilizao e a compreenso do pblico relativamente aos riscos, s regras, s garantias e aos direitos
associados ao tratamento. As atividades especificamente dirigidas s crianas devem ser alvo de uma ateno
especial;

c) Aconselha, em conformidade com o direito do Estado-Membro, o Parlamento nacional, o Governo e outras


instituies e organismos a respeito das medidas legislativas e administrativas relacionadas com a defesa dos direitos
e liberdades das pessoas singulares no que diz respeito ao tratamento;

d) Promove a sensibilizao dos responsveis pelo tratamento e dos subcontratantes para as suas obrigaes nos
termos do presente regulamento;

e) Se lhe for solicitado, presta informaes a qualquer titular de dados sobre o exerccio dos seus direitos nos termos
do presente regulamento e, se necessrio, coopera com as autoridades de controlo de outros Estados-Membros para
esse efeito;

f) Trata as reclamaes apresentadas por qualquer titular de dados, ou organismo, organizao ou associao nos
termos do artigo 80.o, e investigar, na medida do necessrio, o contedo da reclamao e informar o autor da
reclamao do andamento e do resultado da investigao num prazo razovel, em especial se forem necessrias
operaes de investigao ou de coordenao complementares com outra autoridade de controlo;

g) Coopera, incluindo partilhando informaes e prestando assistncia mtua a outras autoridades de controlo, tendo
em vista assegurar a coerncia da aplicao e da execuo do presente regulamento;

h) Conduz investigaes sobre a aplicao do presente regulamento, incluindo com base em informaes recebidas de
outra autoridade de controlo ou outra autoridade pblica;

i) Acompanha factos novos relevantes, na medida em que tenham incidncia na proteo de dados pessoais,
nomeadamente a evoluo a nvel das tecnologias da informao e das comunicaes e das prticas comerciais;

j) Adota as clusulas contratuais-tipo previstas no artigo 28.o, n.o 8, e no artigo 46.o, n.o 2, alnea d);

k) Elabora e conserva uma lista associada exigncia de realizar uma avaliao do impacto sobre a proteo de dados,
nos termos do artigo 35.o, n.o 4;

l) D orientaes sobre as operaes de tratamento previstas no artigo 36.o, n.o 2;

m) Incentiva a elaborao de cdigos de conduta nos termos do artigo 40.o, n.o 1, d parecer sobre eles e aprova os que
preveem garantias suficientes, nos termos do artigo 40.o, n.o 5;

n) Incentiva o estabelecimento de procedimentos de certificao de proteo de dados, e de selos e marcas de proteo


de dados, nos termos do artigo 42.o, n.o 1, e aprova os critrios de certificao nos termos do artigo 42.o, n.o 5;

o) Se necessrio, procede a uma reviso peridica das certificaes emitidas, nos termos do artigo 42.o, n.o 7;
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/69

p) Redige e publica os critrios de acreditao de um organismo para monitorizar cdigos de conduta nos termos do
artigo 41.o e de um organismo de certificao nos termos do artigo 43.o;

q) Conduz o processo de acreditao de um organismo para monitorizar cdigos de conduta nos termos do artigo 41.o
e de um organismo de certificao nos termos do artigo 43.o;

r) Autoriza as clusulas contratuais e disposies previstas no artigo 46.o, n.o 3;

s) Aprova as regras vinculativas aplicveis s empresas nos termos do artigo 47.o;

t) Contribui para as atividades do Comit;

u) Conserva registos internos de violaes do presente regulamento e das medidas tomadas nos termos do artigo 58.o,
n.o 2; e

v) Desempenha quaisquer outras tarefas relacionadas com a proteo de dados pessoais.

2. As autoridades de controlo facilitam a apresentao das reclamaes previstas no n.o 1, alnea f), tomando medidas
como disponibilizar formulrios de reclamao que possam tambm ser preenchidos eletronicamente, sem excluir
outros meios de comunicao.

3. A prossecuo das atribuies de cada autoridade de controlo gratuita para o titular dos dados e, sendo caso
disso, para o encarregado da proteo de dados.

4. Quando os pedidos forem manifestamente infundados ou excessivos, particularmente devido ao seu carter
recorrente, a autoridade de controlo pode exigir o pagamento de uma taxa razovel tendo em conta os custos adminis
trativos ou pode indeferi-los. Cabe autoridade de controlo demonstrar o carter manifestamente infundado ou
excessivo dos pedidos.

Artigo 58.o

Poderes

1. Cada autoridade de controlo dispe dos seguintes poderes de investigao:

a) Ordenar que o responsvel pelo tratamento e o subcontratante e, se existir, o seu representante, lhe forneam as
informaes de que necessite para o desempenho das suas funes;

b) Realizar investigaes sob a forma de auditorias sobre a proteo de dados;

c) Rever as certificaes emitidas nos termos do artigo 42.o, n.o 7;

d) Notificar o responsvel pelo tratamento ou o subcontratante de alegadas violaes do presente regulamento;

e) Obter, da parte do responsvel pelo tratamento e do subcontratante, acesso a todos os dados pessoais e a todas as
informaes necessrias ao exerccio das suas funes;

f) Obter acesso a todas as instalaes do responsvel pelo tratamento e do subcontratante, incluindo os equipamentos e
meios de tratamento de dados, em conformidade com o direito processual da Unio ou dos Estados-Membros.

2. Cada autoridade de controlo dispe dos seguintes poderes de correo:

a) Fazer advertncias ao responsvel pelo tratamento ou ao subcontratante no sentido de que as operaes de


tratamento previstas so suscetveis de violar as disposies do presente regulamento;

b) Fazer repreenses ao responsvel pelo tratamento ou ao subcontratante sempre que as operaes de tratamento
tiverem violado as disposies do presente regulamento;

c) Ordenar ao responsvel pelo tratamento ou ao subcontratante que satisfaa os pedidos de exerccio de direitos
apresentados pelo titular dos dados nos termos do presente regulamento;
L 119/70 PT Jornal Oficial da Unio Europeia 4.5.2016

d) Ordenar ao responsvel pelo tratamento ou ao subcontratante que tome medidas para que as operaes de
tratamento cumpram as disposies do presente regulamento e, se necessrio, de uma forma especfica e dentro de
um prazo determinado;

e) Ordenar ao responsvel pelo tratamento que comunique ao titular dos dados uma violao de dados pessoais;

f) Impor uma limitao temporria ou definitiva ao tratamento de dados, ou mesmo a sua proibio;

g) Ordenar a retificao ou o apagamento de dados pessoais ou a limitao do tratamento nos termos dos artigos 16.o,
17.o e 18.o, bem como a notificao dessas medidas aos destinatrios a quem tenham sido divulgados os dados
pessoais nos termos do artigo 17.o, n.o 2, e do artigo 19.o;

h) Retirar a certificao ou ordenar ao organismo de certificao que retire uma certificao emitida nos termos dos
artigos 42.o e 43.o, ou ordenar ao organismo de certificao que no emita uma certificao se os requisitos de
certificao no estiverem ou deixarem de estar cumpridos;

i) Impor uma coima nos termos do artigo 83.o, para alm ou em vez das medidas referidas no presente nmero,
consoante as circunstncias de cada caso;

j) Ordenar a suspenso do envio de dados para destinatrios em pases terceiros ou para organizaes internacionais.

3. Cada autoridade de controlo dispe dos seguintes poderes consultivos e de autorizao:

a) Aconselhar o responsvel pelo tratamento, pelo procedimento de consulta prvia referido no artigo 36.o;

b) Emitir, por iniciativa prpria ou se lhe for solicitado, pareceres dirigidos ao Parlamento nacional, ao Governo do
Estado-Membro ou, nos termos do direito do Estado-Membro, a outras instituies e organismos, bem como ao
pblico, sobre qualquer assunto relacionado com a proteo de dados pessoais;

c) Autorizar o tratamento previsto no artigo 36.o, n.o 5, se a lei do Estado-Membro exigir tal autorizao prvia;

d) Emitir pareceres e aprovar projetos de cdigos de conduta nos termos do artigo 40.o, n.o 5;

e) Acreditar organismos de certificao nos termos do artigo 43.o;

f) Emitir certificaes e aprovar os critrios de certificao nos termos do artigo 42.o, n.o 5;

g) Adotar as clusulas-tipo de proteo de dados previstas no artigo 28.o, n.o 8, e no artigo 46.o, n.o 2, alnea d);

h) Autorizar as clusulas contratuais previstas no artigo 46.o, n.o 3, alnea a);

i) Autorizar os acordos administrativos previstos no artigo 46.o, n.o 3, alnea b);

j) Aprovar as regras vinculativas aplicveis s empresas nos termos do artigo 47.o.

4. O exerccio dos poderes conferidos autoridade de controlo nos termos do presente artigo est sujeito a garantias
adequadas, que incluem o direito ao judicial efetiva e a um processo equitativo, previstas no direito da Unio e dos
Estados-Membros, em conformidade com a Carta.

5. Os Estados-Membros estabelecem por lei que as suas autoridades de controlo esto habilitadas a levar as violaes
do presente regulamento ao conhecimento das autoridades judiciais e, se necessrio, a intentar ou de outro modo
intervir em processos judiciais, a fim de fazer aplicar as disposies do presente regulamento.

6. Os Estados-Membros podem estabelecer por lei que as suas autoridades de controlo tero outros poderes para
alm dos previstos nos n.os 1, 2 e 3. O exerccio desses poderes no deve prejudicar o efetivo funcionamento do
captulo VII.

Artigo 59.o

Relatrios de atividades

As autoridades de controlo elaboram um relatrio anual de atividades, que pode incluir uma lista dos tipos de violao
notificadas e dos tipos de medidas tomadas nos termos do artigo 58.o, n.o 2. Os relatrios so apresentados ao
Parlamento nacional, ao Governo e s outras autoridades designadas no direito do Estado-Membro. Os relatrios so
disponibilizados ao pblico, Comisso e ao Comit.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/71

CAPTULO VII

Cooperao e coerncia

S ec o 1

Co o pe r a o

Artigo 60.o

Cooperao entre a autoridade de controlo principal e as outras autoridades de controlo


interessadas

1. A autoridade de controlo principal coopera com as outras autoridades de controlo interessadas nos termos do
presente artigo para procurar alcanar um consenso. A autoridade de controlo principal e as autoridades de controlo
interessadas trocam entre si todas as informaes pertinentes.

2. A autoridade de controlo principal pode a qualquer momento solicitar que as outras autoridades de controlo
interessadas prestem assistncia mtua nos termos do artigo 61.o e pode realizar operaes conjuntas nos termos do
artigo 62.o, nomeadamente para proceder a investigaes ou monitorizar a execuo de medidas relativas a responsveis
pelo tratamento ou subcontratantes estabelecidos noutros Estados-Membros.

3. A autoridade de controlo principal comunica sem demora as informaes pertinentes sobre o assunto s outras
autoridades de controlo interessadas. Envia sem demora um projeto de deciso s outras autoridades de controlo
interessadas para que emitam parecer e toma as suas posies em devida considerao.

4. Quando uma das outras autoridades de controlo interessadas expressa uma objeo pertinente e fundamentada ao
projeto de deciso no prazo de quatro semanas aps ter sido consultada nos termos do n.o 3 do presente artigo, a
autoridade de controlo principal, caso no d seguimento objeo ou caso entenda que esta no pertinente ou
fundamentada, remete o assunto para o procedimento de controlo da coerncia referido no artigo 63.o.

5. Se a autoridade de controlo principal pretender dar seguimento objeo pertinente e fundamentada apresentada,
envia s outras autoridades de controlo interessadas um projeto de deciso revisto para que emitam parecer. Esse projeto
de deciso revisto sujeito ao procedimento mencionado no n.o 4 no prazo de duas semanas.

6. Se nenhuma das outras autoridades de controlo interessadas se tiver oposto ao projeto de deciso apresentado pela
autoridade de controlo principal no prazo referido nos n.os 4 e 5, considera-se que a autoridade de controlo principal e
as autoridades de controlo interessadas esto de acordo com esse projeto de deciso e ficam por ela vinculadas.

7. A autoridade de controlo principal adota a deciso e dela notifica o estabelecimento principal ou o estabelecimento
nico do responsvel pelo tratamento ou do subcontratante, consoante o caso, e informa as outras autoridades de
controlo interessadas e o Comit da deciso em causa, incluindo um sumrio dos factos e motivos pertinentes. A
autoridade de controlo qual tenha sido apresentada uma reclamao, informa da deciso o autor da reclamao.

8. Em derrogao do n.o 7, se for recusada ou rejeitada uma reclamao, a autoridade de controlo qual a
reclamao tiver sido apresentada adota a deciso, notifica o autor da reclamao e informa desse facto o responsvel
pelo tratamento.

9. Se a autoridade de controlo principal e as autoridades de controlo interessadas estiverem de acordo em recusar ou


rejeitar determinadas partes de uma reclamao e tomar medidas relativamente a outras partes da mesma reclamao,
adotada uma deciso separada para cada uma dessas partes da matria. A autoridade de controlo principal adota a
deciso na parte respeitante s medidas relativas ao responsvel pelo tratamento e informa desse facto o estabelecimento
principal ou o estabelecimento nico do responsvel pelo tratamento ou do subcontratante no territrio do seu Estado-
-Membro, informando desse facto o autor da reclamao, enquanto a autoridade de controlo do autor da reclamao
adota a deciso na parte relativa recusa ou rejeio da referida reclamao e notifica o autor da reclamao,
informando desse facto o responsvel pelo tratamento ou o subcontratante.

10. Aps ter sido notificado da deciso da autoridade de controlo principal nos termos dos n.os 7 e 9, o responsvel
pelo tratamento ou o subcontratante tomam as medidas necessrias para garantir o cumprimento da deciso no que se
refere s atividades de tratamento no contexto de todos os seus estabelecimentos na Unio. O responsvel pelo
tratamento ou o subcontratante comunica as medidas tomadas para fazer cumprir a deciso autoridade de controlo
principal, que informa as outras autoridades de controlo interessadas.
L 119/72 PT Jornal Oficial da Unio Europeia 4.5.2016

11. Se, em circunstncias excecionais, alguma autoridade de controlo interessada tiver razes para considerar que
existe uma necessidade urgente de agir para defender os interesses dos titulares dos dados, aplica-se o procedimento de
urgncia referido no artigo 66.o.

12. A autoridade de controlo principal e as outras autoridades de controlo interessadas trocam entre si as
informaes necessrias nos termos do presente artigo por meios eletrnicos, utilizando um formato normalizado.

Artigo 61.o

Assistncia mtua

1. As autoridades de controlo prestam entre si informaes teis e assistncia mtua a fim de executar e aplicar o
presente regulamento de forma coerente, e tomam as medidas para cooperar eficazmente entre si. A assistncia mtua
abrange, em especial, os pedidos de informao e as medidas de controlo, tais como os pedidos de autorizao prvia e
de consulta prvia, bem como de inspeo e de investigao.

2. As autoridades de controlo tomam todas as medidas adequadas que forem necessrias para responder a um pedido
de outra autoridade de controlo sem demora injustificada e, o mais tardar, um ms aps a receo do pedido. Essas
medidas podem incluir, particularmente, a transmisso de informaes teis sobre a conduo de uma investigao.

3. Os pedidos de assistncia incluem todas as informaes necessrias, nomeadamente a finalidade e os motivos do


pedido. As informaes trocadas s podem ser utilizadas para a finalidade para que tiverem sido solicitadas.

4. A autoridade de controlo requerida no pode indeferir o pedido, a no ser que:

a) No seja competente relativamente ao assunto do pedido ou s medidas cuja execuo lhe pedida; ou

b) Dar seguimento ao viole o presente regulamento ou o direito da Unio ou do Estado-Membro ao qual a autoridade
de controlo que recebe o pedido est sujeita.

5. A autoridade de controlo requerida informa a autoridade de controlo requerente dos resultados obtidos ou,
consoante o caso, do andamento do pedido ou das medidas tomadas para lhe dar resposta pedido. A autoridade de
controlo requerida indica os motivos de indeferimento de um pedido por fora do n.o 4.

6. As autoridades de controlo requeridas fornecem, em regra, as informaes solicitadas por outras autoridades de
controlo por meios eletrnicos, utilizando um formato normalizado.

7. As autoridades de controlo requeridas no cobram taxas pelas medidas por elas tomadas por fora de pedidos de
assistncia mtua. As autoridades de controlo podem acordar regras para a indemnizao recproca de despesas
especficas decorrentes da prestao de assistncia mtua em circunstncias excecionais.

8. Quando uma autoridade de controlo no prestar as informaes referidas no n.o 5 do presente artigo no prazo de
um ms a contar da receo do pedido apresentado por outra autoridade de controlo, a autoridade de controlo
requerente pode adotar uma medida provisria no territrio do respetivo Estado-Membro nos termos do artigo 55.o,
n.o 1. Nesse caso, presume-se que urgente intervir, nos termos do artigo 66.o, n.o 1, e solicitar uma deciso vinculativa
urgente ao Comit, nos termos do artigo 66.o, n.o 2.

9. A Comisso pode especificar, por meio de atos de execuo, o formato e os procedimentos para a assistncia
mtua referidos no presente artigo, bem como as regras de intercmbio por meios eletrnicos de informaes entre as
autoridades de controlo e entre estas e o Comit, nomeadamente o formato normalizado referido no n.o 6 do presente
artigo. Os referidos atos de execuo so adotados pelo procedimento de exame a que se refere o artigo 93.o, n.o 2.

Artigo 62.o

Operaes conjuntas das autoridades de controlo

1. As autoridades de controlo conduzem, sempre que conveniente, operaes conjuntas, incluindo investigaes e
medidas de execuo conjuntas nas quais participem membros ou pessoal das autoridades de controlo de outros
Estados-Membros.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/73

2. Nos casos em que o responsvel pelo tratamento ou o subcontratante tenha estabelecimentos em vrios Estados-
-Membros ou nos casos em que haja um nmero significativo de titulares de dados em mais do que um Estado-Membro
que sejam suscetveis de ser substancialmente afetados pelas operaes de tratamento, uma autoridade de controlo de
cada um desses Estados-Membros tem direito a participar nas operaes conjuntas. A autoridade de controlo
competente nos termos do artigo 56.o, n.o 1 ou n.o 4, convida a autoridade de controlo de cada um desses Estados-
-Membros a participar nas operaes conjuntas e responde sem demora ao pedido de um autoridade de controlo para
participar.

3. As autoridades de controlo podem, nos termos do direito do seu Estado-Membro, e com a autorizao da
autoridade de controlo de origem, conferir poderes, nomeadamente poderes de investigao, aos membros ou ao pessoal
da autoridade de controlo de origem implicados nas operaes conjuntas ou, na medida em que o direito do Estado-
-Membro da autoridade de controlo de acolhimento o permita, autorizar os membros ou o pessoal da autoridade de
controlo de origem a exercer os seus poderes de investigao nos termos do direito do Estado-Membro da autoridade de
controlo de origem. Esses poderes de investigao podem ser exercidos apenas sob a orientao e na presena de
membros ou pessoal da autoridade de controlo de acolhimento. Os membros ou pessoal da autoridade de controlo de
origem esto sujeitos ao direito do Estado-Membro da autoridade de controlo de acolhimento.

4. Se, nos termos do n.o 1, o pessoal da autoridade de controlo de origem exercer atividades noutro Estado-Membro,
o Estado-Membro da autoridade de controlo de acolhimento assume a responsabilidade pelos seus atos, incluindo a
responsabilidade por quaisquer danos por ele causados no decurso de tais atividades, de acordo com o direito do Estado-
-Membro em cujo territrio atuam.

5. O Estado-Membro em cujo territrio forem causados os danos indemniza-os nas condies aplicveis aos danos
causados pelo seu prprio pessoal. O Estado-Membro da autoridade de controlo de origem cujo pessoal tenha causado
danos a qualquer pessoa no territrio de outro Estado-Membro reembolsa integralmente esse outro Estado-Membro das
somas que tenha pago aos seus representantes legais.

6. Sem prejuzo do exerccio dos seus direitos perante terceiros e com exceo do disposto no n.o 5, cada Estado-
-Membro renuncia, no caso previsto no n.o 1, a solicitar a outro Estado-Membro o reembolso do montante dos danos
referido no n.o 4.

7. Sempre que se tencione efetuar uma operao conjunta e uma autoridade de controlo no cumprir, no prazo de
um ms, a obrigao estabelecida n.o 2, segunda frase, do presente artigo, as outras autoridades de controlo podem
adotar uma medida provisria no territrio do respetivo Estado-Membro em conformidade com o artigo 55.o. Nesse
caso, presume-se que urgente intervir, nos termos do artigo 66.o, n.o 1, e solicitar um parecer ou uma deciso
vinculativa urgente ao Comit, nos termos do artigo 66.o, n.o 2.

S ec o 2

C oe r nci a

Artigo 63.o

Procedimento de controlo da coerncia

A fim de contribuir para a aplicao coerente do presente regulamento em toda a Unio, as autoridades de controlo
cooperam entre si e, quando for relevante, com a Comisso, atravs do procedimento de controlo da coerncia previsto
na presente seco.

Artigo 64.o

Parecer do Comit

1. O Comit emite parecer sempre que uma autoridade de controlo competente tenha a inteno de adotar uma das
medidas a seguir enunciadas. Para esse efeito, a autoridade de controlo competente envia o projeto de deciso ao
Comit, quando esta:

a) Vise a adoo de uma lista das operaes de tratamento sujeitas exigncia de proceder a uma avaliao do impacto
sobre a proteo dos dados, nos termos do artigo 35.o, n.o 4;

b) Incida sobre uma questo, prevista no artigo 40.o, n.o 7, de saber se um projeto de cdigo de conduta ou uma
alterao ou aditamento a um cdigo de conduta est em conformidade com o presente regulamento;
L 119/74 PT Jornal Oficial da Unio Europeia 4.5.2016

c) Vise aprovar os critrios de acreditao de um organismo nos termos do artigo 41.o, n.o 3, ou um organismo de
certificao nos termos do artigo 43.o, n.o 3;

d) Vise determinar as clusulas-tipo de proteo de dados referidas no artigo 46.o, n.o 2, alnea d), e no artigo 28.o,
n.o 8;

e) Vise autorizar as clusulas contratuais previstas no artigo 46.o, n.o 3, alnea a); ou

f) Vise aprovar regras vinculativas aplicveis s empresas na aceo do artigo 47.o.

2. As autoridades de controlo, o presidente do Comit ou a Comisso podem solicitar que o Comit analise qualquer
assunto de aplicao geral ou que produza efeitos em mais do que um Estado-Membro, com vista a obter um parecer,
nomeadamente se a autoridade de controlo competente no cumprir as obrigaes em matria de assistncia mtua
previstas no artigo 61.o ou de operaes conjuntas previstas no artigo 62.o.

3. Nos casos referidos nos n.os 1 e 2, o Comit emite parecer sobre o assunto que lhe apresentado, a no ser que
tenha j antes emitido parecer sobre o mesmo assunto. Esse parecer adotado no prazo de oito semanas por maioria
simples dos membros que compem o Comit. Esse prazo pode ser prorrogado por mais seis semanas, em virtude da
complexidade do assunto em apreo. Para efeitos do projeto de deciso referido no n.o 1 e enviado aos membros do
Comit nos termos do n.o 5, considera-se que os membros que no tenham levantado objees dentro de um prazo
razovel fixado pelo presidente esto de acordo com o projeto de deciso.

4. As autoridades de controlo e a Comisso comunicam sem demora injustificada, por via eletrnica, ao Comit,
utilizando um formato normalizado, as informaes que forem pertinentes, incluindo, consoante o caso, um resumo dos
factos, o projeto de deciso, os motivos que tornam necessrio adotar tal medida, bem como as posies das outras
autoridades de controlo interessadas.

5. O presidente do Comit informa sem demora injustificada, por via eletrnica:

a) Os membros do Comit e a Comisso de quaisquer informaes pertinentes que lhe tenham sido comunicadas,
utilizando um formato normalizado. Se necessrio, o Secretariado do Comit fornece tradues das informaes
pertinentes; e

b) A autoridade de controlo referida, consoante o caso, nos n.os 1 e 2 e a Comisso do parecer e torna-o pblico.

6. As autoridades de controlo competentes no adotam os projetos de deciso referidos no n.o 1 no decurso do prazo
referido no n.o 3.

7. A autoridade de controlo referida no n.o 1 tem na melhor conta o parecer do Comit e, no prazo de duas semanas
a contar da receo do parecer, comunica por via eletrnica ao presidente do Comit se tenciona manter ou alterar o
projeto de deciso e, se existir, o projeto de deciso alterado, utilizando um formato normalizado.

8. Quando as autoridades de controlo interessadas informarem o presidente do Comit, no prazo referido no n.o 7 do
presente artigo, de que no tm inteno de seguir o parecer do Comit, no todo ou em parte, apresentando os motivos
pertinentes de tal deciso, aplica-se o artigo 65.o, n.o 1.

Artigo 65.o

Resoluo de litgios pelo Comit

1. A fim de assegurar a aplicao correta e coerente do presente regulamento em cada caso, o Comit adota uma
deciso vinculativa nos seguintes casos:

a) Quando, num dos casos referidos no artigo 60.o, n.o 4, a autoridade de controlo interessada tiver suscitado uma
objeo pertinente e fundamentada a um projeto de deciso da autoridade principal ou esta tiver rejeitado essa
objeo por carecer de pertinncia ou de fundamento. A deciso vinculativa diz respeito a todos os assuntos sobre
que incida a referida objeo pertinente e fundamentada, sobretudo questo de saber se h violao do presente
regulamento;
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/75

b) Quando haja posies divergentes sobre a questo de saber qual das autoridades de controlo interessadas
competente para o estabelecimento principal;

c) Quando a autoridade de controlo competente no solicitar o parecer do Comit nos casos referidos no artigo 64.o,
n.o 1, ou no seguir o parecer do Comit emitido nos termos do artigo 64.o. Nesse caso, qualquer autoridade de
controlo interessada, ou a Comisso, pode remeter o assunto para o Comit.

2. A deciso a que se refere o n.o 1 adotada por maioria de dois teros dos membros do Comit, no prazo de um
ms a contar da data em que o assunto lhe remetido. Este prazo pode ser prorrogado por mais um ms em virtude da
complexidade do assunto em apreo. A deciso referida no n.o 1 fundamentada e dirigida autoridade de controlo
principal, bem como a todas as autoridades de controlo interessadas, e vinculativa para as partes.

3. Se no o puder fazer nos prazos referidos no n.o 2, o Comit adota a deciso no prazo de duas semanas a contar
do termo do segundo ms a que se refere o n.o 2, por maioria simples dos membros que o compem. Se houver empate
na votao, a deciso adotada pelo voto qualificado do presidente.

4. As autoridades de controlo interessadas no adotam deciso sobre a matria submetida apreciao do Comit
nos termos do n.o 1 enquanto estiver a decorrer o prazo referido nos n.os 2 e 3.

5. O presidente do Comit informa, sem demora injustificada, as autoridades de controlo interessadas da deciso a
que se refere o n.o 1. Do facto informa a Comisso. A deciso imediatamente publicada no stio web do Comit, depois
de a autoridade de controlo ter notificado a deciso final a que se refere o n.o 6.

6. Sem demora injustificada e o mais tardar um ms depois de o Comit ter notificado a sua deciso, a autoridade de
controlo principal ou, consoante o caso, a autoridade de controlo qual tiver sido apresentada a reclamao adota a
deciso final com base na deciso a que se refere o n.o 1 do presente artigo. A autoridade de controlo principal ou,
consoante o caso, a autoridade de controlo qual tiver sido apresentada a reclamao, informa o Comit da data em
que a deciso final notificada, respetivamente, ao responsvel pelo tratamento ou ao subcontratante e ao titular. A
deciso final das autoridades de controlo interessadas adotada nos termos do artigo 60.o, n.os 7, 8 e 9. A deciso final
remete para a deciso a que se refere o n.o 1 do presente artigo e especifica que a deciso referida no n.o 1 publicada
no stio web do Comit nos termos do n.o 5 do presente artigo. A deciso final acompanhada da deciso a que se
refere o n.o 1 do presente artigo.

Artigo 66.o

Procedimento de urgncia

1. Em circunstncias excecionais, quando a autoridade de controlo interessada considerar que urgente intervir a fim
de defender os direitos e liberdades dos titulares dos dados, pode, em derrogao do procedimento de controlo da
coerncia referido nos artigos 63.o, 64.o e 65.o ou do procedimento a que se refere o artigo 60.o, adotar imediatamente
medidas provisrias destinadas a produzir efeitos legais no seu prprio territrio, vlidas por um perodo determinado
que no seja superior a trs meses. A autoridade de controlo d sem demora conhecimento dessas medidas e dos
motivos que a levaram a adot-la s outras autoridades de controlo interessadas, ao Comit e Comisso.

2. Quando a autoridade de controlo tiver tomado uma medida nos termos do n.o 1 e considerar necessrio adotar
urgentemente medidas definitivas, pode solicitar um parecer urgente ou uma deciso vinculativa urgente ao Comit,
fundamentando o seu pedido de parecer ou deciso.

3. As autoridades de controlo podem solicitar um parecer urgente ou uma deciso vinculativa urgente, conforme o
caso, ao Comit, quando a autoridade de controlo competente no tiver tomado nenhuma medida adequada numa
situao que exija uma iniciativa urgente para defender os direitos e liberdades dos titulares dos dados, apresentando os
motivos por que pede parecer ou deciso, e por que h necessidade urgente de agir.

4. Em derrogao do artigo 64.o, n.o 3, e do artigo 65.o, n.o 2, os pareceres urgentes ou decises vinculativas urgentes
a que se referem os n.os 2 e 3 do presente artigo so adotados no prazo de duas semanas por maioria simples dos
membros do Comit.
L 119/76 PT Jornal Oficial da Unio Europeia 4.5.2016

Artigo 67.o

Troca de informaes

Comisso pode adotar atos de execuo de aplicao geral a fim de especificar as regras de intercmbio eletrnico de
informaes entre as autoridades de controlo e entre estas e o Comit, nomeadamente o formato normalizado referido
no artigo 64.o.

Os referidos atos de execuo so adotados pelo procedimento de exame a que se refere o artigo 93.o, n.o 2.

S e c o 3

Co mit eu r o pe u p a r a a p rot e o de d ad o s

Artigo 68.o

Comit Europeu para a Proteo de Dados

1. O Comit Europeu para a Proteo de Dados (Comit) criado enquanto organismo da Unio e est dotado de
personalidade jurdica.

2. O Comit representado pelo seu presidente.

3. O Comit composto pelo diretor de uma autoridade de controlo de cada Estado-Membro e da Autoridade
Europeia para a Proteo de Dados, ou pelos respetivos representantes.

4. Quando, num determinado Estado-Membro, haja mais do que uma autoridade de controlo com responsabilidade
pelo controlo da aplicao do presente regulamento, nomeado um representante comum nos termos do direito desse
Estado-Membro.

5. A Comisso tem o direito de participar nas atividades e reunies do Comit, sem direito de voto. A Comisso
designa um representante. O presidente do Comit informa a Comisso das atividades do Comit.

6. Nos casos referidos no artigo 65.o, a Autoridade Europeia para a Proteo de Dados apenas tem direito de voto nas
decises que digam respeito a princpios e normas aplicveis s instituies, rgos, organismos e agncias da Unio que
correspondam, em substncia, s do presente regulamento.

Artigo 69.o

Independncia

1. O Comit independente na prossecuo das suas atribuies ou no exerccio dos seus poderes, nos termos dos
artigos 70.o e 71.o.

2. Sem prejuzo dos pedidos da Comisso referidos no artigo 70.o, n.o 1, alnea b), e n.o 2, o Comit no solicita nem
recebe instrues de outrem na prossecuo das suas atribuies ou no exerccio dos seus poderes.

Artigo 70.o

Atribuies do Comit

1. O Comit assegura a aplicao coerente do presente regulamento. Para o efeito, o Comit exerce, por iniciativa
prpria ou, nos casos pertinentes, a pedido da Comisso, as seguintes atividades:

a) Controla e assegura a correta aplicao do presente regulamento nos casos previstos nos artigos 64.o e 65.o, sem
prejuzo das funes das autoridades nacionais de controlo;
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/77

b) Aconselha a Comisso em todas as questes relacionadas com a proteo de dados pessoais na Unio,
nomeadamente em qualquer projeto de alterao ao presente regulamento;

c) Aconselha a Comisso sobre o formato e os procedimentos de intercmbio de informaes entre os responsveis


pelo tratamento, os subcontratantes e as autoridades de controlo no que respeita s regras vinculativas aplicveis s
empresas;

d) Emite diretrizes, recomendaes e melhores prticas para os procedimentos de apagamento de ligaes para os
dados pessoais, de cpias ou reprodues desses dados existentes em servios de comunicao acessveis ao pblico,
tal como previsto no artigo 17.o, n.o 2;

e) Analisa, por iniciativa prpria, a pedido de um dos seus membros da Comisso, qualquer questo relativa
aplicao do presente regulamento e emite diretrizes, recomendaes e melhores prticas, a fim de incentivar a
aplicao coerente do presente regulamento;

f) Emite diretrizes, recomendaes e melhores prticas nos termos da alnea e) do presente nmero, para definir mais
concretamente os critrios e condies aplicveis s decises baseadas na definio de perfis, nos termos do
artigo 22.o, n.o 2;

g) Emite diretrizes, recomendaes e melhores prticas nos termos da alnea e) do presente nmero, para definir
violaes de dados pessoais e determinar a demora injustificada a que se refere o artigo 33.o, n.os 1 e 2, bem como
as circunstncias particulares em que o responsvel pelo tratamento ou o subcontratante obrigado a notificar a
violao de dados pessoais;

h) Emite diretrizes, recomendaes e melhores prticas nos termos da alnea e) do presente nmero, a respeito das cir
cunstncias em que as violaes de dados pessoais so suscetveis de resultar num risco elevado para os direitos e
liberdades das pessoas singulares a que se refere o artigo 34.o, n.o 1;

i) Emite diretrizes, recomendaes e melhores prticas nos termos da alnea e) do presente nmero, para definir mais
concretamente os critrios e requisitos aplicveis s transferncias de dados baseadas em regras vinculativas
aplicveis s empresas aceites pelos responsveis pelo tratamento e em regras vinculativas aplicveis s empresas
aceites pelos subcontratantes, e outros requisitos necessrios para assegurar a proteo dos dados pessoais dos
titulares dos dados em causa a que se refere o artigo 47.o;

j) Emite diretrizes, recomendaes e melhores prticas nos termos da alnea e) do presente nmero para definir mais
concretamente os critrios e requisitos aplicveis transferncia de dados efetuadas com base no artigo 49.o, n.o 1;

k) Elabora diretrizes dirigidas s autoridades de controlo em matria de aplicao das medidas a que se refere o
artigo 58.o, n.os 1, 2 e 3, e de fixao de coimas nos termos do artigo 83.o;

l) Examina a aplicao prtica das diretrizes, recomendaes e melhores prticas referidas nas alneas e) e f);

m) Emite diretrizes, recomendaes e melhores prticas nos termos da alnea e) do presente nmero para definir
procedimentos comuns para a comunicao por pessoas singulares de violaes do presente regulamento, nos
termos do artigo 54.o, n.o 2;

n) Incentiva a elaborao de cdigos de conduta e a criao de procedimentos de certificao, bem como de selos e
marcas de proteo dos dados nos termos dos artigos 40.o e 42.o;

o) Procede acreditao dos organismos de certificao e respetiva reviso peridica nos termos do artigo 43.o e
conserva um registo pblico de organismos acreditados, nos termos do artigo 43.o, n.o 6, e de responsveis pelo
tratamento ou subcontratantes acreditados, estabelecidos em pases terceiros, nos termos do artigo 42.o, n.o 7;

p) Especifica os requisitos referidos no artigo 43.o, n.o 3, para acreditao dos organismos de certificao nos termos
do artigo 42.o;

q) D parecer Comisso a respeito dos requisitos de certificao a que se refere o artigo 43.o, n.o 8;

r) D parecer Comisso sobre os smbolos a que se refere o artigo 12.o, n.o 7;

s) D parecer Comisso para a avaliao da adequao do nvel de proteo num pas terceiro ou organizao
internacional, e tambm para avaliar se um pas terceiro, um territrio ou um ou mais setores especficos desse pas
terceiro, ou uma organizao internacional, deixou de garantir um nvel adequado de proteo. Para esse efeito, a
Comisso fornece ao Comit toda a documentao necessria, inclusive a correspondncia com o Governo do pas
terceiro, relativamente a esse pas terceiro, territrio ou setor especfico, ou com a organizao internacional;
L 119/78 PT Jornal Oficial da Unio Europeia 4.5.2016

t) Emite pareceres relativos aos projetos de deciso das autoridades de controlo nos termos do procedimento de
controlo da coerncia referido no artigo 64.o, n.o 1, sobre os assuntos apresentados nos termos do artigo 64.o, n.o 2,
e emite decises vinculativas nos termos do artigo 65.o, incluindo nos casos referidos no artigo 66.o;

u) Promover a cooperao e o intercmbio bilateral e plurilateral efetivo de informaes e as melhores prticas entre as
autoridades de controlo;

v) Promover programas de formao comuns e facilitar o intercmbio de pessoal entre as autoridades de controlo, e, se
necessrio, com as autoridades de controlo de pases terceiros ou com organizaes internacionais;

w) Promover o intercmbio de conhecimentos e de documentao sobre as prticas e a legislao no domnio da


proteo de dados com autoridades de controlo de todo o mundo;

x) Emitir pareceres sobre os cdigos de conduta elaborados a nvel da Unio nos termos do artigo 40.o, n.o 9; e

y) Conservar um registo eletrnico, acessvel ao pblico, das decises tomadas pelas autoridades de controlo e pelos
tribunais sobre questes tratadas no mbito do procedimento de controlo da coerncia.

2. Quando a Comisso consultar o Comit, pode indicar um prazo para a formulao do parecer, tendo em conta a
urgncia do assunto.

3. O Comit dirige os seus pareceres, diretrizes e melhores prticas Comisso e ao comit referido no artigo 93.o, e
procede sua publicao.

4. Quando for caso disso, o Comit consulta as partes interessadas e d-lhes a oportunidade de formular observaes,
num prazo razovel. Sem prejuzo do artigo 76.o, o Comit torna pblicos os resultados do processo de consulta.

Artigo 71.o

Relatrios

1. O Comit elabora um relatrio anual sobre a proteo das pessoas singulares no que diz respeito ao tratamento na
Unio e, quando for relevante, em pases terceiros e organizaes internacionais. O relatrio tornado pblico e enviado
ao Parlamento Europeu, ao Conselho e Comisso.

2. O relatrio anual inclui uma anlise da aplicao prtica das diretrizes, recomendaes e melhores prticas a que
se refere o artigo 70.o, n.o 1, alnea l), bem como das decises vinculativas a que se refere o artigo 65.o.

Artigo 72.o

Procedimento

1. Salvo disposio em contrrio do presente regulamento, o Comit decide por maioria simples dos seus membros.

2. O Comit adota o seu regulamento interno por maioria de dois teros dos membros que o compem e determina
as suas regras de funcionamento.

Artigo 73.o

Presidente

1. O Comit elege de entre os seus membros, por maioria simples, um presidente e dois vice-presidentes.

2. O mandato do presidente e dos vice-presidentes tem a durao de cinco anos e renovvel uma vez.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/79

Artigo 74.o

Funes do presidente

1. O presidente tem as seguintes funes:

a) Convoca as reunies do Comit e prepara a respetiva ordem de trabalhos;

b) Comunica as decises adotadas pelo Comit nos termos do artigo 65.o autoridade de controlo principal e s
autoridades de controlo interessadas;

c) Assegura o exerccio das atribuies do Comit dentro dos prazos previstos, nomeadamente no que respeita ao
procedimento de controlo da coerncia referido no artigo 63.o.

2. O Comit estabelece a repartio de funes entre o presidente e os vice-presidentes no seu regulamento interno.

Artigo 75.o

Secretariado

1. O Comit dispe de um secretariado disponibilizado pela Autoridade Europeia para a Proteo de Dados.

2. O secretariado desempenha as suas funes sob a direo exclusiva do presidente do Comit.

3. O pessoal da Autoridade Europeia para a Proteo de Dados envolvido na prossecuo das atribuies conferidas
ao Comit pelo presente regulamento est sujeito a uma hierarquia distinta do pessoal envolvido na prossecuo das
atribuies conferidas Autoridade Europeia para a Proteo de Dados.

4. Quando for caso disso, o Comit e a Autoridade Europeia para a Proteo de Dados elaboram e publicam um
memorando de entendimento que d execuo ao presente artigo e defina os termos da sua cooperao, aplicvel ao
pessoal da Autoridade Europeia para a Proteo de Dados envolvido na prossecuo das atribuies conferidas ao
Comit pelo presente regulamento.

5. O secretariado fornece ao Comit apoio de carter analtico, administrativo e logstico.

6. O secretariado responsvel, em especial:

a) Pela gesto corrente do Comit;

b) Pela comunicao entre os membros do Comit, o seu presidente e a Comisso;

c) Pela comunicao com outras instituies e o pblico;

d) Pelo recurso a meios eletrnicos para a comunicao interna e externa;

e) Pela traduo de informaes pertinentes;

f) Pela preparao e acompanhamento das reunies do Comit;

g) Pela preparao, redao e publicao dos pareceres, das decises em matria de resoluo de litgios entre
autoridades de controlo e de outros textos adotados pelo Comit.

Artigo 76.o

Confidencialidade

1. Os debates do Comit so confidenciais quando o Comit o considerar necessrio, nos termos do seu regulamento
interno.
L 119/80 PT Jornal Oficial da Unio Europeia 4.5.2016

2. O acesso aos documentos apresentados aos membros do Comit, aos peritos e aos representantes de pases
terceiros regido pelo Regulamento (CE) n.o 1049/2001 do Parlamento Europeu e do Conselho (1).

CAPTULO VIII

Vias de recurso, responsabilidade e sanes

Artigo 77.o

Direito de apresentar reclamao a uma autoridade de controlo

1. Sem prejuzo de qualquer outra via de recurso administrativo ou judicial, todos os titulares de dados tm direito a
apresentar reclamao a uma autoridade de controlo, em especial no Estado-Membro da sua residncia habitual, do seu
local de trabalho ou do local onde foi alegadamente praticada a infrao, se o titular dos dados considerar que o
tratamento dos dados pessoais que lhe diga respeito viola o presente regulamento.

2. A autoridade de controlo qual tiver sido apresentada a reclamao informa o autor da reclamao sobre o
andamento e o resultado da reclamao, inclusive sobre a possibilidade de intentar ao judicial nos termos do
artigo 78.o.

Artigo 78.o

Direito ao judicial contra uma autoridade de controlo

1. Sem prejuzo de qualquer outra via de recurso administrativo ou extrajudicial, todas as pessoas singulares ou
coletivas tm direito ao judicial contra as decises juridicamente vinculativas das autoridades de controlo que lhes
digam respeito.

2. Sem prejuzo de qualquer outra via de recurso administrativo ou extrajudicial, os titulares dos dados tm direito
ao judicial se a autoridade de controlo competente nos termos dos artigos 55.o e 56.o no tratar a reclamao ou no
informar o titular dos dados, no prazo de trs meses, sobre o andamento ou o resultado da reclamao que tenha
apresentado nos termos do artigo 77.o.

3. Os recursos contra as autoridades de controlo so interpostos nos tribunais do Estado-Membro em cujo territrio
se encontrem estabelecidas.

4. Quando for interposto recurso de uma deciso de uma autoridade de controlo que tenha sido precedida de um
parecer ou uma deciso do Comit no mbito do procedimento de controlo da coerncia, a autoridade de controlo
transmite esse parecer ou deciso ao tribunal.

Artigo 79.o

Direito ao judicial contra um responsvel pelo tratamento ou um subcontratante

1. Sem prejuzo de qualquer outra via de recurso administrativo ou extrajudicial, nomeadamente o direito de
apresentar reclamao a uma autoridade de controlo, nos termos do artigo 77.o, todos os titulares de dados tm direito
ao judicial se considerarem ter havido violao dos direitos que lhes assistem nos termos do presente regulamento,
na sequncia do tratamento dos seus dados pessoais efetuado em violao do referido regulamento.

2. Os recursos contra os responsveis pelo tratamento ou os subcontratantes so propostos nos tribunais do Estado-
-Membro em que tenham estabelecimento. Em alternativa, os recursos podem ser interpostos nos tribunais do Estado-
-Membro em que o titular dos dados tenha a sua residncia habitual, salvo se o responsvel pelo tratamento ou o
subcontratante for uma autoridade de um Estado-Membro no exerccio dos seus poderes pblicos.

(1) Regulamento (CE) n.o 1049/2001 do Parlamento Europeu e do Conselho, de 30 de maio de 2001, relativo ao acesso do pblico aos
documentos do Parlamento Europeu, do Conselho e da Comisso (JO L 145 de 31.5.2001, p. 43).
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/81

Artigo 80.o

Representao dos titulares dos dados

1. O titular dos dados tem o direito de mandatar um organismo, organizao ou associao sem fins lucrativos, que
esteja devidamente constitudo ao abrigo do direito de um Estado-Membro, cujos objetivos estatutrios sejam do
interesse pblico e cuja atividade abranja a defesa dos direitos e liberdades do titular dos dados no que respeita
proteo dos seus dados pessoais, para, em seu nome, apresentar reclamao, exercer os direitos previstos nos
artigos 77.o, 78.o e 79.o, e exercer o direito de receber uma indemnizao referido no artigo 82.o, se tal estiver previsto
no direito do Estado-Membro.

2. Os Estados-Membros podem prever que o organismo, a organizao ou a associao referidos no n.o 1 do presente
artigo, independentemente de um mandato conferido pelo titular dos dados, tenham nesse Estado-Membro direito a
apresentar uma reclamao autoridade de controlo competente nos termos do artigo 77.o e a exercer os direitos a que
se referem os artigos 78.o e 79.o, caso considerem que os direitos do titular dos dados, nos termos do presente
regulamento, foram violados em virtude do tratamento.

Artigo 81.o

Suspenso do processo

1. Caso um tribunal de um Estado-Membro tenha informaes sobre um processo pendente num tribunal de outro
Estado-Membro, relativo ao mesmo assunto no que se refere s atividades de tratamento do mesmo responsvel pelo
tratamento ou subcontratante, deve contactar o referido tribunal desse outro Estado-Membro a fim de confirmar a
existncia de tal processo.

2. Caso esteja pendente num tribunal de outro Estado-Membro um processo relativo ao mesmo assunto no que se
refere s atividades de tratamento do mesmo responsvel pelo tratamento ou subcontratante, o tribunal onde a ao foi
intentada em segundo lugar pode suspender o seu processo.

3. Caso o referido processo esteja pendente em primeira instncia, o tribunal onde a ao foi intentada em segundo
lugar pode igualmente declinar a sua competncia, a pedido de uma das partes, se o rgo jurisdicional onde a ao foi
intentada em primeiro lugar for competente para conhecer dos pedidos em questo e a sua lei permitir a respetiva
apensao.

Artigo 82.o

Direito de indemnizao e responsabilidade

1. Qualquer pessoa que tenha sofrido danos materiais ou imateriais devido a uma violao do presente regulamento
tem direito a receber uma indemnizao do responsvel pelo tratamento ou do subcontratante pelos danos sofridos.

2. Qualquer responsvel pelo tratamento que esteja envolvido no tratamento responsvel pelos danos causados por
um tratamento que viole o presente regulamento. O subcontratante responsvel pelos danos causados pelo tratamento
apenas se no tiver cumprido as obrigaes decorrentes do presente regulamento dirigidas especificamente aos subcon
tratantes ou se no tiver seguido as instrues lcitas do responsvel pelo tratamento.

3. O responsvel pelo tratamento ou o subcontratante fica isento de responsabilidade nos termos do n.o 2, se provar
que no de modo algum responsvel pelo evento que deu origem aos danos.

4. Quando mais do que um responsvel pelo tratamento ou subcontratante, ou um responsvel pelo tratamento e um
subcontratante, estejam envolvidos no mesmo tratamento e sejam, nos termos dos n.os 2 e 3, responsveis por eventuais
danos causados pelo tratamento, cada responsvel pelo tratamento ou subcontratante responsvel pela totalidade dos
danos, a fim de assegurar a efetiva indemnizao do titular dos dados.

5. Quando tenha pago, em conformidade com o n.o 4, uma indemnizao integral pelos danos sofridos, um
responsvel pelo tratamento ou um subcontratante tem o direito de reclamar a outros responsveis pelo tratamento ou
subcontratantes envolvidos no mesmo tratamento a parte da indemnizao correspondente respetiva parte de respon
sabilidade pelo dano em conformidade com as condies previstas no n.o 2.
L 119/82 PT Jornal Oficial da Unio Europeia 4.5.2016

6. Os processos judiciais para exercer o direito de receber uma indemnizao so apresentados perante os tribunais
competentes nos termos do direito do Estado-Membro a que se refere o artigo 79.o, n.o 2.

Artigo 83.o

Condies gerais para a aplicao de coimas

1. Cada autoridade de controlo assegura que a aplicao de coimas nos termos do presente artigo relativamente a
violaes do presente regulamento a que se referem os n.os 4, 5 e 6 , em cada caso individual, efetiva, proporcionada e
dissuasiva.

2. Consoante as circunstncias de cada caso, as coimas so aplicadas para alm ou em vez das medidas referidas no
artigo 58.o, n.o 2, alneas a) a h) e j). Ao decidir sobre a aplicao de uma coima e sobre o montante da coima em cada
caso individual, tido em devida considerao o seguinte:

a) A natureza, a gravidade e a durao da infrao tendo em conta a natureza, o mbito ou o objetivo do tratamento de
dados em causa, bem como o nmero de titulares de dados afetados e o nvel de danos por eles sofridos;

b) O carter intencional ou negligente da infrao;

c) A iniciativa tomada pelo responsvel pelo tratamento ou pelo subcontratante para atenuar os danos sofridos pelos
titulares;

d) O grau de responsabilidade do responsvel pelo tratamento ou do subcontratante tendo em conta as medidas


tcnicas ou organizativas por eles implementadas nos termos dos artigos 25.o e 32.o;

e) Quaisquer infraes pertinentes anteriormente cometidas pelo responsvel pelo tratamento ou pelo subcontratante;

f) O grau de cooperao com a autoridade de controlo, a fim de sanar a infrao e atenuar os seus eventuais efeitos
negativos;

g) As categorias especficas de dados pessoais afetadas pela infrao;

h) A forma como a autoridade de controlo tomou conhecimento da infrao, em especial se o responsvel pelo
tratamento ou o subcontratante a notificaram, e em caso afirmativo, em que medida o fizeram;

i) O cumprimento das medidas a que se refere o artigo 58.o, n.o 2, caso as mesmas tenham sido previamente impostas
ao responsvel pelo tratamento ou ao subcontratante em causa relativamente mesma matria;

j) O cumprimento de cdigos de conduta aprovados nos termos do artigo 40.o ou de procedimento de certificao
aprovados nos termos do artigo 42.o; e

k) Qualquer outro fator agravante ou atenuante aplicvel s circunstncias do caso, como os benefcios financeiros
obtidos ou as perdas evitadas, direta ou indiretamente, por intermdio da infrao.

3. Se o responsvel pelo tratamento ou o subcontratante violar, intencionalmente ou por negligncia, no mbito das
mesmas operaes de tratamento ou de operaes ligadas entre si, vrias disposies do presente regulamento, o
montante total da coima no pode exceder o montante especificado para a violao mais grave.

4. A violao das disposies a seguir enumeradas est sujeita, em conformidade com o n.o 2, a coimas at
10 000 000 EUR ou, no caso de uma empresa, at 2 % do seu volume de negcios anual a nvel mundial corres
pondente ao exerccio financeiro anterior, consoante o montante que for mais elevado:

a) As obrigaes do responsvel pelo tratamento e do subcontratante nos termos dos artigos 8.o, 11.o, 25.o a 39.o e 42.o
e 43.o;

b) As obrigaes do organismo de certificao nos termos dos artigos 42.o e 43.o;

c) As obrigaes do organismo de superviso nos termos do artigo 41.o, n.o 4;


4.5.2016 PT Jornal Oficial da Unio Europeia L 119/83

5. A violao das disposies a seguir enumeradas est sujeita, em conformidade com o n.o 2, a coimas at
20 000 000 EUR ou, no caso de uma empresa, at 4 % do seu volume de negcios anual a nvel mundial corres
pondente ao exerccio financeiro anterior, consoante o montante que for mais elevado:

a) Os princpios bsicos do tratamento, incluindo as condies de consentimento, nos termos dos artigos 5.o, 6.o, 7.o
e 9.o;

b) Os direitos dos titulares dos dados nos termos dos artigos 12.o a 22.o;

c) As transferncias de dados pessoais para um destinatrio num pas terceiro ou uma organizao internacional nos
termos dos artigos 44.o a 49.o;

d) As obrigaes nos termos do direito do Estado-Membro adotado ao abrigo do captulo IX;

e) O incumprimento de uma ordem de limitao, temporria ou definitiva, relativa ao tratamento ou suspenso de


fluxos de dados, emitida pela autoridade de controlo nos termos do artigo 58.o, n.o 2, ou o facto de no facultar
acesso, em violao do artigo 58.o, n.o 1.

6. O incumprimento de uma ordem emitida pela autoridade de controlo a que se refere o artigo 58.o, n.o 2, est
sujeito, em conformidade com o n.o 2 do presente artigo, a coimas at 20 000 000 EUR ou, no caso de uma empresa,
at 4 % do seu volume de negcios anual a nvel mundial correspondente ao exerccio financeiro anterior, consoante o
montante mais elevado.

7. Sem prejuzo dos poderes de correo das autoridades de controlo nos termos do artigo 58.o, n.o 2, os Estados-
-Membros podem prever normas que permitam determinar se e em que medida as coimas podem ser aplicadas s
autoridades e organismos pblicos estabelecidos no seu territrio.

8. O exerccio das competncias que lhe so atribudas pelo presente artigo por parte da autoridade de controlo fica
sujeito s garantias processuais adequadas nos termos do direito da Unio e dos Estados-Membros, incluindo o direito
ao judicial e a um processo equitativo.

9. Quando o sistema jurdico dos Estados-Membros no preveja coimas, pode aplicar-se o presente artigo de modo a
que a coima seja proposta pela autoridade de controlo competente e imposta pelos tribunais nacionais competentes,
garantindo ao mesmo tempo que estas medidas jurdicas corretivas so eficazes e tm um efeito equivalente s coimas
impostas pelas autoridades de controlo. Em todo o caso, as coimas impostas devem ser efetivas, proporcionadas e
dissuasivas. Os referidos Estados-Membros notificam a Comisso das disposies de direito interno que adotarem nos
termos do presente nmero at 25 de maio de 2018 e, sem demora, de qualquer alterao subsequente das mesmas.

Artigo 84.o

Sanes

1. Os Estados-Membros estabelecem as regras relativas s outras sanes aplicveis em caso de violao do disposto
no presente regulamento, nomeadamente s violaes que no so sujeitas a coimas nos termos do artigo 7983.o, e
tomam todas as medidas necessrias para garantir a sua aplicao. As sanes previstas devem ser efetivas, propor
cionadas e dissuasivas.

2. Os Estados-Membros notificam a Comisso das disposies do direito interno que adotarem nos termos do n.o 1,
at 25 de maio de 2018 e, sem demora, de qualquer alterao subsequente das mesmas.

CAPTULO IX

Disposies relativas a situaes especficas de tratamento

Artigo 85.o

Tratamento e liberdade de expresso e de informao

1. Os Estados-Membros conciliam por lei o direito proteo de dados pessoais nos termos do presente regulamento
com o direito liberdade de expresso e de informao, incluindo o tratamento para fins jornalsticos e para fins de
expresso acadmica, artstica ou literria.
L 119/84 PT Jornal Oficial da Unio Europeia 4.5.2016

2. Para o tratamento efetuado para fins jornalsticos ou para fins de expresso acadmica, artstica ou literria, os
Estados-Membros estabelecem isenes ou derrogaes do captulo II (princpios), do captulo III (direitos do titular dos
dados), do captulo IV (responsvel pelo tratamento e subcontratante), do captulo V (transferncia de dados pessoais
para pases terceiros e organizaes internacionais), do captulo VI (autoridades de controlo independentes), do
captulo VII (cooperao e coerncia) e do captulo IX (situaes especficas de tratamento de dados) se tais isenes ou
derrogaes forem necessrias para conciliar o direito proteo de dados pessoais com a liberdade de expresso e de
informao.

3. Os Estados-Membros notificam a Comisso das disposies de direito interno que adotarem nos termos do n.o 2 e,
sem demora, de qualquer alterao subsequente das mesmas.

Artigo 86.o

Tratamento e acesso do pblico aos documentos oficiais

Os dados pessoais que constem de documentos oficiais na posse de uma autoridade pblica ou de um organismo
pblico ou privado para a prossecuo de atribuies de interesse pblico podem ser divulgados pela autoridade ou
organismo nos termos do direito da Unio ou do Estado-Membro que for aplicvel autoridade ou organismo pblico,
a fim de conciliar o acesso do pblico a documentos oficiais com o direito proteo dos dados pessoais nos termos do
presente regulamento.

Artigo 87.o

Tratamento do nmero de identificao nacional

Os Estados-Membros podem determinar em pormenor as condies especficas aplicveis ao tratamento de um nmero


de identificao nacional ou de qualquer outro elemento de identificao de aplicao geral. Nesse caso, o nmero de
identificao nacional ou qualquer outro elemento de identificao de aplicao geral exclusivamente utilizado
mediante garantias adequadas dos direitos e liberdades do titular dos dados nos termos do presente regulamento.

Artigo 88.o

Tratamento no contexto laboral

1. Os Estados-Membros podem estabelecer, no seu ordenamento jurdico ou em convenes coletivas, normas mais
especficas para garantir a defesa dos direitos e liberdades no que respeita ao tratamento de dados pessoais dos
trabalhadores no contexto laboral, nomeadamente para efeitos de recrutamento, execuo do contrato de trabalho,
incluindo o cumprimento das obrigaes previstas no ordenamento jurdico ou em convenes coletivas, de gesto,
planeamento e organizao do trabalho, de igualdade e diversidade no local de trabalho, de sade e segurana no
trabalho, de proteo dos bens do empregador ou do cliente e para efeitos do exerccio e gozo, individual ou coletivo,
dos direitos e benefcios relacionados com o emprego, bem como para efeitos de cessao da relao de trabalho.

2. As normas referidas incluem medidas adequadas e especficas para salvaguardar a dignidade, os interesses legtimos
e os direitos fundamentais do titular dos dados, com especial relevo para a transparncia do tratamento de dados, a
transferncia de dados pessoais num grupo empresarial ou num grupo de empresas envolvidas numa atividade
econmica conjunta e os sistemas de controlo no local de trabalho.

3. Os Estados-Membros notificam a Comisso das disposies de direito interno que adotarem nos termos do n.o 1,
at 25 de maio de 2018 e, sem demora, de qualquer alterao subsequente das mesmas.

Artigo 89.o

Garantias e derrogaes relativas ao tratamento para fins de arquivo de interesse pblico ou para
fins de investigao cientfica ou histrica ou para fins estatsticos

1. O tratamento para fins de arquivo de interesse pblico, ou para fins de investigao cientfica ou histrica ou para
fins estatsticos, est sujeito a garantias adequadas, nos termos do presente regulamento, para os direitos e liberdades do
titular dos dados. Essas garantias asseguram a adoo de medidas tcnicas e organizativas a fim de assegurar,
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/85

nomeadamente, o respeito do princpio da minimizao dos dados. Essas medidas podem incluir a pseudonimizao,
desde que os fins visados possam ser atingidos desse modo. Sempre que esses fins possam ser atingidos por novos
tratamentos que no permitam, ou j no permitam, a identificao dos titulares dos dados, os referidos fins so
atingidos desse modo.

2. Quando os dados pessoais sejam tratados para fins de investigao cientfica ou histrica ou para fins estatsticos,
o direito da Unio ou dos Estados-Membros pode prever derrogaes aos direitos a que se referem os artigos 15.o, 16.o,
18.o e 21.o, sob reserva das condies e garantias previstas no n.o 1 do presente artigo, na medida em que esses direitos
sejam suscetveis de tornar impossvel ou prejudicar gravemente a realizao dos fins especficos e que tais derrogaes
sejam necessrias para a prossecuo desses fins.

3. Quando os dados pessoais sejam tratados para fins de arquivo de interesse pblico, o direito da Unio ou dos
Estados-Membros pode prever derrogaes aos direitos a que se referem os artigos 15.o, 16.o, 18.o, 19.o, 20.o e 21.o, sob
reserva das condies e garantias previstas no n.o 1 do presente artigo, na medida em que esses direitos sejam suscetveis
de tornar impossvel ou prejudicar gravemente a realizao dos fins especficos e que tais derrogaes sejam necessrias
para a prossecuo desses fins.

4. Quando o tratamento de dados previsto no n.os 2 e 3 tambm se destine, simultaneamente, a outros fins, as
derrogaes aplicam-se apenas ao tratamento de dados para os fins previstos nesses nmeros.

Artigo 90.o

Obrigaes de sigilo

1. Os Estados-Membros podem adotar normas especficas para estabelecer os poderes das autoridades de controlo
previstos no artigo 58.o, n.o 1, alneas e) e f), relativamente a responsveis pelo tratamento ou a subcontratantes sujeitos,
nos termos do direito da Unio ou do Estado-Membro ou de normas institudas pelos organismos nacionais
competentes, a uma obrigao de sigilo profissional ou a outras obrigaes de sigilo equivalentes, caso tal seja necessrio
e proporcionado para conciliar o direito proteo de dados pessoais com a obrigao de sigilo. Essas normas so
aplicveis apenas no que diz respeito aos dados pessoais que o responsvel pelo seu tratamento ou o subcontratante
tenha recebido, ou que tenha recolhido no mbito de uma atividade abrangida por essa obrigao de sigilo ou em
resultado da mesma.

2. Os Estados-Membros notificam a Comisso das normas que adotarem nos termos do n.o 1, at 25 de maio
de 2018 e, sem demora, de qualquer alterao subsequente das mesmas.

Artigo 91.o

Normas vigentes em matria de proteo dos dados das igrejas e associaes religiosas

1. Quando, num Estado-Membro, as igrejas e associaes ou comunidades religiosas apliquem, data da entrada em
vigor do presente regulamento, um conjunto completo de normas relativas proteo das pessoas singulares relati
vamente ao tratamento, tais normas podem continuar a ser aplicadas, desde que cumpram o presente regulamento.

2. As igrejas e associaes religiosas que apliquem um conjunto completo de normas nos termos do n.o 1 do
presente artigo ficam sujeitas superviso de uma autoridade de controlo independente que pode ser especfico, desde
que cumpra as condies estabelecidas no captulo VI do presente regulamento.

CAPTULO X

Atos delegados e atos de execuo

Artigo 92.o

Exerccio da delegao

1. O poder de adotar atos delegados conferido Comisso nas condies estabelecidas no presente artigo.
L 119/86 PT Jornal Oficial da Unio Europeia 4.5.2016

2. O poder de adotar atos delegados referido no artigo 12.o, n.o 8, e no artigo 43.o, n.o 8, conferido Comisso por
tempo indeterminado a contar de 24 de maio de 2016.

3. A delegao de poderes referida no artigo 12.o, n.o 8, e no artigo 43.o, n.o 8, pode ser revogada em qualquer
momento pelo Parlamento Europeu ou pelo Conselho. A deciso de revogao pe termo delegao dos poderes nela
especificados. A deciso de revogao produz efeitos a partir do dia seguinte ao da sua publicao no Jornal Oficial da
Unio Europeia ou de uma data posterior nela especificada. A deciso de revogao no afeta os atos delegados j em
vigor.

4. Assim que adotar um ato delegado, a Comisso notifica-o simultaneamente ao Parlamento Europeu e ao Conselho.

5. Os atos delegados adotados nos termos do artigo 12.o, n.o 8, e do artigo 43.o, n.o 8, s entram em vigor se no
tiverem sido formuladas objees pelo Parlamento Europeu ou pelo Conselho no prazo de trs meses a contar da
notificao do ato ao Parlamento Europeu e ao Conselho, ou se, antes do termo desse prazo, o Parlamento Europeu e o
Conselho tiverem informado a Comisso de que no tm objees a formular. O referido prazo prorrogvel por trs
meses por iniciativa do Parlamento Europeu ou do Conselho.

Artigo 93.o

Procedimento de comit

1. A Comisso assistida por um comit. Esse comit um comit na aceo do Regulamento (UE) n.o 182/2011.

2. Caso se remeta para o presente nmero, aplica-se o artigo 5.o do Regulamento (UE) n.o 182/2011.

3. Caso se remeta para o presente nmero, aplica-se o artigo 8.o do Regulamento (UE) n.o 182/2011, em conjugao
com o seu artigo 5.o.

CAPTULO XI

Disposies finais

Artigo 94.o

Revogao da Diretiva 95/46/CE

1. A Diretiva 95/46/CE revogada com efeitos a partir de 25 de maio de 2018.

2. As remisses para a diretiva revogada so consideradas remisses para presente regulamento. As referncias ao
Grupo de proteo das pessoas no que diz respeito ao tratamento de dados pessoais, criado pelo artigo 29.o da
Diretiva 95/46/CE, so consideradas referncias ao Comit Europeu para a Proteo de Dados criado pelo presente
regulamento.

Artigo 95.o

Relao com a Diretiva 2002/58/CE

O presente regulamento no impe obrigaes suplementares a pessoas singulares ou coletivas no que respeita ao
tratamento no contexto da prestao de servios de comunicaes eletrnicas disponveis nas redes pblicas de
comunicaes na Unio em matrias que estejam sujeitas a obrigaes especficas com o mesmo objetivo estabelecidas
na Diretiva 2002/58/CE.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/87

Artigo 96.o

Relao com acordos celebrados anteriormente

Os acordos internacionais celebrados pelos Estados-Membros antes de 24 de maio de 2016, que impliquem a transfe
rncia de dados pessoais para pases terceiros ou organizaes internacionais e que sejam conformes com o direito da
Unio aplicvel antes dessa data, permanecem em vigor at serem alterados, substitudos ou revogados.

Artigo 97.o

Relatrios da Comisso

1. At 25 de maio de 2020 e subsequentemente de quatro anos em quatro anos, a Comisso apresenta ao


Parlamento Europeu e ao Conselho um relatrio sobre a avaliao e reviso do presente regulamento. Os relatrios so
tornados pblicos.

2. No contexto das avaliaes e revises referidas no n.o 1, a Comisso examina, nomeadamente, a aplicao e o
funcionamento do:

a) Captulo V sobre a transferncia de dados pessoas para pases terceiros ou organizaes internacionais, com especial
destaque para as decises adotadas nos termos do artigo 45.o, n.o 3, do presente regulamento, e as decises adotadas
com base no artigo 25.o, n.o 6, da Diretiva 95/46/CE;

b) Captulo VII sobre cooperao e coerncia.

3. Para o efeito do n.o 1, a Comisso pode solicitar informaes aos Estados-Membros e s autoridades de controlo.

4. Ao efetuar as avaliaes e as revises a que se referem os n.os 1 e 2, a Comisso tem em considerao as posies e
as concluses a que tenham chegado o Parlamento Europeu, o Conselho e outros organismos ou fontes pertinentes.

5. Se necessrio, a Comisso apresenta propostas adequadas com vista alterao do presente regulamento
atendendo, em especial, evoluo das tecnologias da informao e aos progressos da Sociedade da Informao.

Artigo 98.o

Reviso de outros atos jurdicos da Unio em matria de proteo de dados

Se necessrio, a Comisso apresenta propostas legislativas com vista alterao de outros atos jurdicos da Unio sobre
a proteo dos dados pessoais, a fim de assegurar uma proteo uniforme e coerente das pessoas singulares no que diz
respeito ao tratamento. Tal incide nomeadamente sobre as normas relativas proteo das pessoas singulares no que diz
respeito ao tratamento pelas instituies, rgos, organismos e agncias da Unio e a livre circulao desses dados.

Artigo 99.o

Entrada em vigor e aplicao

1. O presente regulamento entra em vigor no vigsimo dia seguinte ao da sua publicao no Jornal Oficial da Unio
Europeia.

2. O presente regulamento aplicvel a partir de 25 de maio de 2018.


L 119/88 PT Jornal Oficial da Unio Europeia 4.5.2016

O presente regulamento obrigatrio em todos os seus elementos e diretamente aplicvel em


todos os Estados-Membros.

Feito em Bruxelas, em 27 de abril de 2016.

Pelo Parlamento Europeu Pelo Conselho


O Presidente A Presidente
M. SCHULZ J.A. HENNIS-PLASSCHAERT
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/89

DIRETIVAS

DIRETIVA (UE) 2016/680 DO PARLAMENTO EUROPEU E DO CONSELHO


de 27 de abril de 2016
relativa proteo das pessoas singulares no que diz respeito ao tratamento de dados pessoais
pelas autoridades competentes para efeitos de preveno, investigao, deteo ou represso de
infraes penais ou execuo de sanes penais, e livre circulao desses dados, e que revoga a
Deciso-Quadro 2008/977/JAI do Conselho

O PARLAMENTO EUROPEU E O CONSELHO DA UNIO EUROPEIA,

Tendo em conta o Tratado sobre o Funcionamento da Unio Europeia, nomeadamente o artigo 16.o, n.o 2,

Tendo em conta a proposta da Comisso Europeia,

Aps transmisso do projeto de ato legislativo aos parlamentos nacionais,

Tendo em conta o parecer do Comit das Regies (1),

Deliberando de acordo com o processo legislativo ordinrio (2),

Considerando o seguinte:

(1) A proteo das pessoas singulares relativamente ao tratamento de dados pessoais um direito fundamental. O
artigo 8.o, n.o 1, da Carta dos Direitos Fundamentais da Unio Europeia (Carta) e o artigo 16.o, n.o 1, do Tratado
sobre o Funcionamento da Unio Europeia (TFUE) estabelecem que todas as pessoas tm direito proteo dos
dados de carter pessoal que lhes digam respeito.

(2) Os princpios e as regras em matria de proteo das pessoas singulares relativamente ao tratamento dos seus
dados pessoais devero respeitar, independentemente da nacionalidade ou do local de residncia dessas pessoas,
os seus direitos e liberdades fundamentais, particularmente o direito proteo dos dados pessoais. A presente
diretiva destina-se a contribuir para a realizao de um espao de liberdade, segurana e justia.

(3) A rpida evoluo tecnolgica e a globalizao criaram novos desafios em matria de proteo de dados pessoais.
A partilha e a recolha de dados pessoais registaram um aumento significativo. A tecnologia permite o tratamento
de dados pessoais numa escala sem precedentes para o exerccio de funes como a preveno, investigao,
deteo ou represso de infraes penais e a execuo de sanes penais.

(4) A livre circulao de dados pessoais entre as autoridades competentes para efeitos de preveno, investigao,
deteo ou represso de infraes penais ou execuo de sanes penais, incluindo a salvaguarda e a preveno
de ameaas segurana pblica a nvel da Unio, e a sua transferncia para pases terceiros e organizaes
internacionais devero ser facilitadas, assegurando simultaneamente um elevado nvel de proteo dos dados
pessoais. Este contexto obriga ao estabelecimento de um regime de proteo de dados pessoais slido e mais
coerente na Unio, apoiado por uma aplicao rigorosa das regras.

(5) A Diretiva 95/46/CE do Parlamento Europeu e do Conselho (3) aplicvel a todo os tratamentos de dados
pessoais nos Estados-Membros, nos setores pblico e privado. No , porm, aplicvel ao tratamento de dados
pessoais no exerccio de atividades no sujeitas aplicao do direito comunitrio, como as atividades
realizadas nos domnios da cooperao judiciria em matria penal e da cooperao policial.

(1) JO C 391 de 18.12.2012, p. 127.


(2) Posio do Parlamento Europeu de 12 de maro de 2014 (ainda no publicada no Jornal Oficial) e posio do Conselho em primeira
leitura de 8 de abril de 2016 (ainda no publicada no Jornal Oficial). Posio do Parlamento Europeu de 14 de abril de 2016.
(3) Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa proteo das pessoas singulares no que
diz respeito ao tratamento de dados pessoais e livre circulao desses dados (JO L 281 de 23.11.1995, p. 31).
L 119/90 PT Jornal Oficial da Unio Europeia 4.5.2016

(6) A Deciso-Quadro 2008/977/JAI do Conselho (1) aplicvel no domnio da cooperao judiciria em matria
penal e da cooperao policial. O seu mbito de aplicao limita-se ao tratamento de dados pessoais transmitidos
ou disponibilizados entre Estados-Membros.

(7) crucial assegurar um nvel elevado e coerente de proteo dos dados pessoais das pessoas singulares e facilitar o
intercmbio de dados pessoais entre as autoridades competentes dos Estados-Membros, a fim de assegurar a
eficcia da cooperao judiciria em matria penal e da cooperao policial. Para tal, o nvel de proteo dos
direitos e liberdades individuais no que diz respeito ao tratamento de dados pessoais pelas autoridades
competentes para efeitos de preveno, investigao, deteo ou represso de infraes penais ou execuo de
sanes penais incluindo a salvaguarda e a preveno de ameaas segurana pblica dever ser
equivalente em todos os Estados-Membros. A proteo eficaz dos dados pessoais na Unio exige no s que
sejam reforados os direitos dos titulares dos dados e as obrigaes de quem trata dados pessoais, mas tambm
que haja reforo dos poderes equivalentes para controlar e assegurar a conformidade com as regras de proteo
dos dados pessoais nos Estados-Membros.

(8) O artigo 16.o, n.o 2, do TFUE atribui ao Parlamento Europeu e ao Conselho a competncia para estabelecerem
regras relativas proteo das pessoas singulares no que diz respeito ao tratamento de dados pessoais, bem como
as regras relativas livre circulao desses dados.

(9) Nesse sentido, o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (2), estabelece regras gerais
para proteger as pessoas singulares relativamente ao tratamento de dados pessoais e assegurar a livre circulao
de dados pessoais na Unio.

(10) Na Declarao 21 sobre a proteo de dados pessoais no domnio da cooperao judiciria em matria penal e
da cooperao policial, anexada Ata Final da Conferncia Intergovernamental que adotou o Tratado de Lisboa, a
conferncia reconheceu que, atendendo especificidade dos domnios em causa, podero ser necessrias
disposies especficas sobre proteo de dados pessoais e sobre a livre circulao dos dados pessoais, nos
domnios da cooperao judiciria em matria penal e da cooperao policial, com base no artigo 16.o do TFUE.

(11) Por conseguinte, esses domnios devero ser objeto de uma diretiva que estabelea regras especficas relativas
proteo das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades
competentes para efeitos de preveno, investigao, deteo ou represso de infraes penais ou execuo de
sanes penais, incluindo a salvaguarda e a preveno de ameaas segurana pblica, no respeito da natureza
especfica dessas atividades. Essas autoridades competentes podem incluir no s as autoridades pblicas como,
por exemplo, as autoridades judicirias, a polcia ou outras autoridades de aplicao da lei, mas tambm outros
organismos ou entidades designados pelo direito dos Estados-Membros para o exerccio da autoridade e dos
poderes pblicos para efeitos da presente diretiva. Caso esses organismos ou entidades tratem dados pessoais para
efeitos que no sejam os da presente diretiva, aplicvel o Regulamento (UE) 2016/679. O Regulamento (UE)
2016/679 , pois, aplicvel nos casos em que um organismo ou uma entidade recolhe dados pessoais para outros
efeitos e, em seguida, os trata a fim de dar cumprimento a uma obrigao legal a que est sujeito. Pode ser o caso
das instituies financeiras quando retm, para efeitos de investigao, deteo ou represso de infraes penais,
certos dados pessoais por si tratados e os fornecem apenas s autoridades nacionais competentes em casos
especficos e nos termos do direito dos Estados-Membros. Os organismos ou entidades que tratam dados pessoais
em nome dessas autoridades no mbito da presente diretiva devero estar vinculados por contrato ou por outro
ato jurdico e pelas disposies aplicveis aos subcontratantes nos termos da presente diretiva, sem prejuzo da
aplicao do Regulamento (UE) 2016/679 ao tratamento de dados pessoais pelo subcontratante no abrangido
pela presente diretiva.

(12) As funes de polcia ou de outras autoridades de aplicao da lei centram-se principalmente na preveno,
investigao, deteo ou represso de infraes penais, incluindo as atividades policiais sem conhecimento prvio
de que um incidente constitui ou no uma infrao penal. Estas funes podem incluir o exerccio da autoridade
atravs de medidas coercivas, tais como as atividades da polcia em manifestaes, grandes eventos desportivos e
distrbios. Essas funes incluem tambm a manuteno da ordem pblica enquanto atribuio da polcia ou de

(1) Deciso-Quadro 2008/977/JAI do Conselho, de 27 de novembro de 2008, relativa proteo dos dados pessoais tratados no mbito da
cooperao policial e judiciria em matria penal (JO L 350 de 30.12.2008, p. 60).
(2) Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo proteo das pessoas singulares
no que diz respeito ao tratamento de dados pessoais e livre circulao desses dados e que revoga a Diretiva 95/46/CE (Regulamento
Geral sobre a Proteo de Dados) (ver pgina 1 do presente Jornal Oficial).
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/91

outras autoridades de aplicao da lei, quando necessrias para a salvaguarda e preveno de ameaas segurana
pblica e aos interesses fundamentais da sociedade protegidos por lei, e prtica de infraes penais. Os Estados-
-Membros podem atribuir s autoridades competentes outras funes que no sejam necessariamente executadas
para efeitos de preveno, investigao, deteo ou represso de infraes penais, nomeadamente a salvaguarda e
a preveno de ameaas segurana pblica, de modo que o tratamento dos dados pessoais para esses outros
efeitos, na medida em que se insira na esfera do direito da Unio, seja abrangido pelo mbito de aplicao do
Regulamento (UE) 2016/679.

(13) O conceito de infrao penal, na aceo da presente diretiva, dever ser um conceito autnomo do direito da
Unio, tal como interpretado pelo Tribunal de Justia da Unio Europeia (Tribunal de Justia).

(14) Uma vez que a presente diretiva no dever aplicar-se ao tratamento de dados pessoais efetuado no exerccio de
atividades no sujeitas ao direito da Unio, no devero ser consideradas atividades abrangidas pela presente
diretiva as atividades relacionadas com a segurana nacional e as atividades das agncias ou unidades que se
dedicam a questes de segurana nacional e ao tratamento de dados pessoais pelos Estados-Membros no exerccio
de atividades inseridas no mbito de aplicao do Ttulo V, Captulo 2, do Tratado da Unio Europeia (TUE).

(15) A fim de assegurar o mesmo nvel de proteo para as pessoas singulares atravs de direitos suscetveis de
proteo judicial no conjunto da Unio e evitar divergncias que criem obstculos ao intercmbio de dados
pessoais entre as autoridades competentes, a presente diretiva dever prever regras harmonizadas para a proteo
e a livre circulao de dados pessoais tratados para efeitos de preveno, investigao, deteo ou represso de
infraes penais ou execuo de sanes penais, nomeadamente a salvaguarda e a preveno de ameaas
segurana pblica. A aproximao das legislaes dos Estados-Membros no dever implicar uma diminuio da
proteo dos dados pessoais, devendo, pelo contrrio, ter por objetivo garantir um elevado nvel de proteo na
Unio. Os Estados-Membros no devero ser impedidos de prever garantias mais elevadas do que as estabelecidas
na presente diretiva para a proteo dos direitos e liberdades do titular dos dados no que diz respeito ao
tratamento de dados pessoais pelas autoridades competentes.

(16) A presente diretiva no prejudica o princpio do direito de acesso do pblico aos documentos oficiais. Ao abrigo
do Regulamento (UE) 2016/679, os dados pessoais que constem de documentos oficiais na posse de uma
autoridade pblica ou de um organismo pblico ou privado para o exerccio de funes de interesse pblico
podem ser divulgados por essa autoridade ou organismo nos termos do direito da Unio ou do Estado-Membro
que for aplicvel autoridade ou organismo pblico, a fim de conciliar o acesso do pblico a documentos
oficiais com o direito proteo dos dados pessoais.

(17) A proteo conferida pela presente diretiva dever abranger as pessoas singulares, independentemente da sua
nacionalidade ou lugar de residncia, relativamente ao tratamento dos seus dados pessoais.

(18) A fim de se evitar um srio risco de ser contornada, a proteo das pessoas singulares dever ser neutra em
termos tecnolgicos e no dever depender das tcnicas utilizadas. A proteo das pessoas singulares dever
aplicar-se ao tratamento de dados pessoais por meios automatizados, bem como ao tratamento manual se os
dados pessoais estiverem contidos ou se destinarem a um ficheiro. Os ficheiros ou conjuntos de ficheiros, bem
como as suas capas, que no estejam estruturados de acordo com critrios especficos, no devero ser includos
no mbito de aplicao da presente diretiva.

(19) O Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho (1) aplica-se ao tratamento de dados
pessoais pelas instituies, rgos, organismos ou agncias da Unio. O Regulamento (CE) n.o 45/2001, bem
como outros atos jurdicos da Unio aplicveis ao tratamento de dados pessoais, devero ser adaptados aos
princpios e regras do Regulamento (UE) 2016/679.

(20) A presente diretiva no obsta a que os Estados-Membros especifiquem as operaes e os procedimentos de


tratamento na legislao processual penal nacional no que se refere ao tratamento de dados pessoais pelos
tribunais e as outras autoridades judiciais, em particular no que respeita aos dados pessoais que constem de uma
deciso judicial ou de um registo relacionado com uma ao penal.

(1) Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000, relativo proteo das pessoas
singulares no que diz respeito ao tratamento de dados pessoais pelas instituies e pelos rgos comunitrios e livre circulao desses
dados (JO L 8 de 12.1.2001, p. 1).
L 119/92 PT Jornal Oficial da Unio Europeia 4.5.2016

(21) Os princpios da proteo de dados devero aplicar-se a qualquer informao relativa a uma pessoa singular
identificada ou identificvel. Para determinar se uma pessoa singular identificvel, importa considerar todos os
meios que possam ser razoavelmente utilizados, quer pelo responsvel pelo tratamento quer por qualquer outra
pessoa, para identificar direta ou indiretamente a pessoa singular. Para determinar se h uma probabilidade
razovel de os meios serem utilizados para identificar a pessoa singular, importa considerar todos os fatores
objetivos, como os custos e o tempo necessrio para a identificao, tendo em conta tanto a tecnologia
disponvel data do tratamento dos dados como a evoluo tecnolgica. Os princpios da proteo de dados no
devero, pois, aplicar-se s informaes annimas, isto , informaes que no digam respeito a nenhuma pessoa
singular identificada ou identificvel nem a dados pessoais tornados de tal forma annimos que o seu titular j
no possa ser identificado.

(22) As autoridades pblicas a quem os dados pessoais forem divulgados de acordo com obrigaes jurdicas no
exerccio da sua misso oficial, tais como as autoridades fiscais e aduaneiras, as unidades de investigao
financeira, as autoridades administrativas independentes, ou as autoridades dos mercados financeiros,
responsveis pela regulamentao e superviso dos mercados de valores mobilirios no podero ser
consideradas destinatrias se receberem dados pessoais que forem necessrios para efetuar um inqurito
especfico de interesse geral, em conformidade com o direito da Unio ou dos Estados-Membros. Os pedidos de
divulgao enviados pelas autoridades pblicas devero ser sempre feitos por escrito, fundamentados e ocasionais
e no devero dizer respeito totalidade de um ficheiro ou levar interconexo de ficheiros. O tratamento de
dados pessoais por essas autoridades pblicas dever estar em conformidade com as regras de proteo de dados
aplicveis de acordo com as finalidades do tratamento.

(23) Os dados genticos devero ser definidos como todos os dados pessoais relacionados com as caractersticas
genticas, hereditrias ou adquiridas, de uma pessoa, e que do informaes nicas sobre a fisionomia ou a sade
do indivduo, resultantes, designadamente, da anlise de cromossomas, do cido desoxirribonucleico (ADN), do
cido ribonucleico (ARN) ou de qualquer outro elemento que permita obter informaes equivalentes. Tendo em
conta a complexidade e a natureza sensvel das informaes genticas, existe um elevado risco de utilizao
injustificada e de reutilizao para diversos fins no autorizados por parte do responsvel pelo tratamento. As
discriminaes com base em caractersticas genticas devero ser proibidas.

(24) Devero ser considerados dados pessoais relativos sade todos os dados relativos ao estado de sade de um
titular de dados que revelem informaes sobre a sua sade fsica ou mental no passado, no presente ou no
futuro. Tal abrange informaes sobre a pessoa singular recolhidas durante a sua inscrio para a prestao de
servios de sade e durante essa prestao a que se refere a Diretiva 2011/24/UE do Parlamento Europeu e do
Conselho (1) em relao a uma pessoas singular; qualquer nmero, smbolo ou sinal particular atribudo a uma
pessoa singular para a identificar de forma inequvoca para fins de cuidados de sade; as informaes obtidas a
partir de anlises ou exames de uma parte do corpo ou de uma substncia corporal, incluindo a partir dados
genticos e amostras biolgicas; ou quaisquer informaes sobre, por exemplo, uma doena, deficincia, risco de
doena, historial clnico, tratamento clnico ou estado fisiolgico ou biomdico atual do titular dos dados,
independentemente da sua fonte, por exemplo um mdico ou outro profissional de sade, um hospital, um
dispositivo mdico ou um teste de diagnstico in vitro.

(25) Todos os Estados-Membros fazem parte da Organizao Internacional da Polcia Criminal (Interpol). No exerccio
das suas atribuies, a Interpol recebe, conserva e divulga dados pessoais a fim de auxiliar as autoridades
competentes na preveno e no combate criminalidade internacional. Por conseguinte, conveniente reforar a
cooperao entre a Unio e a Interpol mediante a promoo de um eficaz intercmbio de dados pessoais,
assegurando ao mesmo tempo o respeito pelos direitos e liberdades fundamentais no que se refere ao tratamento
dos dados pessoais. Caso sejam transferidos dados pessoais da Unio para a Interpol e para pases que destacaram
membros para a Interpol, a presente diretiva dever aplicar-se, em particular, no que diz respeito s disposies
sobre transferncias internacionais. A presente diretiva no dever prejudicar as regras especficas previstas na
Posio Comum 2005/69/JAI do Conselho (2) e na Deciso 2007/533/JAI do Conselho (3).

(26) O tratamento de dados pessoais tem de ser feito de forma lcita, leal e transparente para com as pessoas
singulares em causa, e exclusivamente para os efeitos especficos previstos na lei. Tal no obsta, em si mesmo, a
que as autoridades de aplicao da lei exeram atividades tais como investigaes encobertas ou videovigilncia.
Tais atividades podem ser executadas para efeitos de preveno, investigao, deteo ou represso de infraes

(1) Diretiva 2011/24/UE do Parlamento Europeu e do Conselho, de 9 de maro de 2011, relativa ao exerccio dos direitos dos doentes em
matria de cuidados de sade transfronteirios (JO L 88 de 4.4.2011, p. 45).
(2) Posio Comum 2005/69/JAI do Conselho, de 24 de janeiro de 2005, relativa ao intercmbio de certos dados com a Interpol (JO L 27 de
29.1.2005, p. 61).
(3) Deciso 2007/533/JAI do Conselho, de 12 de junho de 2007, relativa ao estabelecimento, ao funcionamento e utilizao do Sistema de
Informao Schengen de segunda gerao (SIS II) (JO L 205 de 7.8.2007, p. 63).
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/93

penais ou execuo de sanes penais, incluindo a salvaguarda e a preveno de ameaas segurana pblica,
desde que estejam previstas na lei e constituam uma medida necessria e proporcionada numa sociedade
democrtica, tendo devidamente em conta os interesses legtimos da pessoa singular em causa. A lealdade de
tratamento, que constitui um dos princpios da proteo de dados, uma noo distinta do direito a um tribunal
imparcial, tal como definido no artigo 47.o da Carta e no artigo 6.o da Conveno Europeia para a Proteo dos
Direitos do Homem e das Liberdades Fundamentais (CEDH). As pessoas singulares devero ser alertadas para os
riscos, regras, garantias e direitos associados ao tratamento dos seus dados pessoais e para os meios de que
dispem para exercer os seus direitos relativamente ao tratamento desses dados. Em especial, os efeitos
especficos do tratamento devero ser explcitos e legtimos, e devero estar determinados no momento da
recolha dos dados pessoais. Os dados pessoais devero ser adequados e relevantes para os efeitos para os quais
so tratados. especialmente necessrio garantir que os dados pessoais recolhidos no sejam excessivos nem
conservados durante mais tempo do que o necessrio para os efeitos para os quais so tratados. Os dados
pessoais s devero ser tratados se a finalidade do tratamento no puder ser atingida de forma razovel por
outros meios. A fim de assegurar que os dados so conservados apenas durante o perodo considerado
necessrio, o responsvel pelo tratamento dever fixar prazos para o seu apagamento ou reviso peridica. Os
Estados-Membros devero prever garantias adequadas aplicveis aos dados pessoais conservados durante perodos
mais longos a fim de fazerem parte de arquivos de interesse pblico ou de serem utilizados para fins cientficos,
estatsticos ou histricos.

(27) Para efeitos de preveno, investigao ou represso de infraes penais, necessrio que as autoridades
competentes tratem os dados pessoais, recolhidos no contexto da preveno, investigao, deteo ou represso
de infraes penais especficas para alm desse contexto, a fim de obter uma melhor compreenso das atividades
criminais e de estabelecer ligaes entre as diferentes infraes penais detetadas.

(28) A fim de preservar a segurana do tratamento e de evitar o tratamento em violao da presente diretiva, os dados
pessoais devero ser tratados de uma forma que garanta um nvel adequado de segurana e confidencialidade,
nomeadamente para evitar o acesso ou a utilizao desses dados e do equipamento utilizado para o seu
tratamento por parte de pessoas no autorizadas, e que tenha em conta as tcnicas e tecnologias mais avanadas,
os custos da sua aplicao em funo dos riscos e a natureza dos dados pessoais a proteger.

(29) Os dados pessoais devero ser recolhidos para finalidades determinadas, explcitas e legtimas abrangidas pelo
mbito de aplicao da presente diretiva e no devero ser tratados para fins incompatveis com os da preveno,
investigao, deteo ou represso de infraes penais ou execuo de sanes penais nomeadamente a
salvaguarda e a preveno de ameaas segurana pblica. Se os dados pessoais forem tratados, pelo mesmo ou
por outro responsvel pelo tratamento, para uma finalidade abrangida pelo mbito de aplicao da presente
diretiva que no aquela para a qual foram recolhidos, esse tratamento dever ser permitido, na condio de que
esse tratamento seja autorizado em conformidade com as disposies legais aplicveis e necessrio e propor
cionado para a prossecuo dessa outra finalidade.

(30) conveniente aplicar o princpio da exatido dos dados tendo em conta a natureza e a finalidade do tratamento
em causa. Especialmente quando se trata de processos judiciais, as declaraes que contm dados pessoais so
baseadas em percees subjetivas da pessoa singular e nem sempre so verificveis. Este princpio no dever, por
conseguinte, aplicar-se exatido da prpria declarao, mas simplesmente ao facto de tal declarao ter sido
feita.

(31) O tratamento de dados pessoais nos domnios da cooperao judiciria em matria penal e da cooperao
policial implica necessariamente o tratamento de dados pessoais relativos a categorias diferentes de titulares de
dados. Importa, portanto, estabelecer, se aplicvel e tanto quanto possvel, uma clara distino entre dados
pessoais de diferentes categorias de titulares de dados, tais como suspeitos, pessoas condenadas por um crime,
vtimas e terceiros, designadamente testemunhas, pessoas que detenham informaes ou contactos teis, e os
cmplices de pessoas suspeitas ou condenadas. Tal no dever impedir a aplicao do direito presuno de
inocncia, tal como garantido pela Carta e pela CEDH, de acordo com a interpretao da jurisprudncia do
Tribunal de Justia e do Tribunal Europeu dos Direitos do Homem, respetivamente.

(32) As autoridades competentes devero assegurar que no sejam transmitidos nem disponibilizados dados pessoais
incorretos, incompletos ou desatualizados. A fim de assegurar a proteo das pessoas singulares e a exatido,
exaustividade ou atualidade e fiabilidade dos dados pessoais transmitidos ou disponibilizados, as autoridades
competentes devero acrescentar, na medida do possvel, as informaes necessrias em todas as transmisses de
dados pessoais.

(33) Sempre que a presente diretiva se refira ao direito de um Estado-Membro, a um fundamento jurdico ou a uma
medida legislativa, no se trata necessariamente de um ato legislativo adotado por um parlamento, sem prejuzo
L 119/94 PT Jornal Oficial da Unio Europeia 4.5.2016

dos requisitos que decorram da ordem constitucional do Estado-Membro em causa. No entanto, esse direito de
um Estado-Membro, esse fundamento jurdico ou essa medida legislativa devero ser claros e precisos, e a sua
aplicao dever ser previsvel para os particulares, como exigido pela jurisprudncia do Tribunal de Justia e pelo
Tribunal Europeu dos Direitos do Homem. O direito dos Estados-Membros que rege o tratamento de dados
pessoais no mbito da presente diretiva dever especificar, pelo menos, os objetivos, os dados pessoais a tratar, as
finalidades do tratamento e os procedimentos destinados a preservar a integridade e a confidencialidade dos
dados pessoais, bem como os procedimentos para a destruio dos mesmos, proporcionando assim garantias
suficientes contra o risco de abusos e de arbitrariedade.

(34) O tratamento de dados pessoais pelas autoridades competentes para efeitos de preveno, investigao, deteo
ou represso de infraes penais ou execuo de sanes penais incluindo a salvaguarda e a preveno de
ameaas segurana pblica dever abranger qualquer operao ou conjunto de operaes efetuadas sobre
dados pessoais ou conjuntos de dados pessoais para esses efeitos, com ou sem meios automatizados, tais como a
recolha, o registo, a organizao, a estruturao, a conservao, a adaptao ou alterao, a recuperao, a
consulta, a utilizao, a comparao ou interconexo, a limitao do tratamento, o apagamento ou a destruio.
As regras previstas na presente diretiva devero, em especial, aplicar-se transmisso de dados pessoais para as
finalidades nela previstas aos destinatrios a que esta se no aplique. Tais destinatrios so as pessoas singulares
ou coletivas, autoridades pblicas, agncias ou qualquer outro organismo a que os dados tenham sido disponibi
lizados de forma lcita pela autoridade competente. Caso os dados tenham sido inicialmente recolhidos por uma
autoridade competente para uma das finalidades prosseguidas pela presente diretiva, o Regulamento
(UE) 2016/679 dever aplicar-se ao tratamento desses dados para fins que no os da presente diretiva se tal
tratamento for autorizado pelo direito da Unio ou dos Estados-Membros. As regras previstas no Regulamento
(UE) 2016/679 devero, em especial, aplicar-se transmisso de dados pessoais para fins que se no insiram no
mbito de aplicao da presente diretiva. O Regulamento (UE) 2016/679 dever aplicar-se ao tratamento de
dados pessoais por um destinatrio que no seja uma autoridade competente ou que no atue nessa qualidade, na
aceo da presente diretiva, e qual os dados pessoais sejam disponibilizados de forma lcita por uma autoridade
competente. Ao transporem a presente diretiva, os Estados-Membros devero tambm especificar mais pormeno
rizadamente a aplicao das regras do Regulamento (UE) 2016/679, sob reserva das condies nele previstas.

(35) Para ser lcito, o tratamento de dados pessoais nos termos da presente diretiva dever ser necessrio para a
execuo de uma misso de interesse pblico por uma autoridade competente com base no direito da Unio ou
dos Estados-Membros para efeitos de preveno, investigao, deteo ou represso de infraes penais ou
execuo de sanes penais, incluindo a salvaguarda e a preveno de ameaas segurana pblica. Estas funes
devero abranger a proteo dos interesses vitais do titular dos dados. O exerccio das funes de preveno,
investigao, deteo ou represso de infraes penais conferidas institucionalmente por lei s autoridades
competentes permite-lhes exigir que as pessoas singulares cumpram o que lhes solicitado. Neste caso, o consen
timento do titular dos dados, na aceo do Regulamento (UE) 2016/679, no dever constituir a fundamento
jurdico do tratamento de dados pessoais pelas autoridades competentes. Caso seja obrigado a cumprir uma
obrigao legal, o titular dos dados no tem verdadeira liberdade de escolha, pelo que a sua reao no poder
ser considerada uma livre manifestao da sua vontade. Tal no dever obstar a que os Estados-Membros
prevejam por lei a possibilidade de o titular dos dados consentir que os seus dados pessoais sejam tratados para
as finalidades previstas na presente diretiva, nomeadamente que sejam efetuados testes de ADN no mbito de
investigaes penais ou controlada a sua localizao por meio de etiquetas eletrnicas tendo em vista a execuo
de sanes penais.

(36) Os Estados-Membros devero prever que, caso o direito da Unio ou dos Estados-Membros aplicvel autoridade
transmissora competente preveja condies especficas aplicveis em circunstncias especficas ao tratamento de
dados pessoais, como a utilizao de cdigos de tratamento, a autoridade competente dever informar o
destinatrio dos dados pessoais dessas condies e da obrigao de as respeitar. Tais condies podero, por
exemplo, incluir a proibio de transmitir os dados pessoais a terceiros, ou que sejam utilizados para fins que no
os fins para os quais foram transmitidos, ou, ainda, no informar o titular dos dados em caso de limitao do
direito de obter informaes sem a aprovao prvia da autoridade transmissora competente. Essas obrigaes
devero aplicar-se igualmente s transferncias da autoridade transmissora competente para destinatrios situados
em pases terceiros ou para organizaes internacionais. Os Estados-Membros devero assegurar que essa
autoridade competente no aplique a destinatrios situados noutros Estados-Membros nem a agncias,
organismos e rgos criados nos termos do Ttulo V, Captulos 4 e 5, do TFUE condies diferentes das aplicveis
a transmisses de dados similares no Estado-Membro da autoridade transmissora competente.

(37) Os dados pessoais que sejam, pela sua natureza, especialmente sensveis do ponto de vista dos direitos e
liberdades fundamentais, merecem uma proteo especial, dado que o contexto do tratamento desses dados pode
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/95

implicar riscos significativos para os direitos e liberdades fundamentais. Devero incluir-se os dados pessoais que
revelem a origem racial ou tnica, no implicando o uso do termo origem racial na presente diretiva que a
Unio aceite teorias que procuram determinar a existncia de diferentes raas humanas. Tais dados pessoais no
devero ser objeto de tratamento, a menos que este esteja sujeito a garantias adequadas dos direitos e liberdades
do titular dos dados e seja permitido em casos autorizados por lei ou, se ainda no tiver sido autorizado por lei,
se for necessrio para a proteo dos interesses vitais do titular dos dados ou de um terceiro, ou ainda se estiver
relacionado com dados que tenham sido manifestamente tornados pblicos pelo titular dos dados. As garantias
adequadas dos direitos e liberdades do titular dos dados podem, por exemplo, incluir a possibilidade de recolher
esses dados apenas em ligao com outros dados sobre a pessoa singular em causa, a fim de garantir devidamente
a segurana dos dados recolhidos, o estabelecimento de regras mais rigorosas sobre o acesso do pessoal da
autoridade competente aos dados ou a proibio da transmisso desses dados. O tratamento desses dados dever
tambm ser autorizado por lei quando o titular dos dados tiver dado o seu acordo expresso, nos casos em que o
tratamento de dados particularmente intrusivo para o titular. Todavia, o consentimento do titular dos dados
no dever constituir em si mesmo fundamento jurdico do tratamento de dados pessoais pelas autoridades
competentes.

(38) O titular dos dados dever ter o direito de no ficar sujeito a uma deciso que avalie aspetos pessoais que lhe
digam respeito e se baseie exclusivamente no tratamento automatizado, com efeitos legais que lhe sejam adversos
ou o afetem de forma significativa. Em qualquer dos casos, tal tratamento dever ser acompanhado das garantias
adequadas, incluindo informao especfica ao titular dos dados e o direito de obter a interveno humana e, em
especial, de manifestar o seu ponto de vista, de obter uma explicao sobre a deciso tomada na sequncia dessa
avaliao ou de contestar a deciso. A definio de perfis que conduza a discriminao contra pessoas singulares
com base em dados pessoais que sejam, pela sua natureza, especialmente sensveis do ponto de vista dos direitos
e liberdades fundamentais, dever ser proibida, nas condies estabelecidas nos artigos 21.o e 52.o da Carta.

(39) Para que os titulares de dados possam exercer os seus direitos, as informaes que lhes sejam dirigidas, inclusive
no stio web do responsvel pelo tratamento, devero ser de fcil acesso e compreenso e formuladas em termos
claros e simples. Essas informaes devero ser adaptadas s necessidades das pessoas vulnerveis, como as
crianas.

(40) Devero ser previstas regras para facilitar o exerccio, pelo titular dos dados, dos direitos que lhe so conferidos
pelas disposies adotadas por fora da presente diretiva, incluindo procedimentos para solicitar, a ttulo gratuito,
o acesso aos seus dados pessoais e a sua retificao e apagamento dos dados pessoais e a limitao do
tratamento. O responsvel pelo tratamento dever ser obrigado a responder aos pedidos do titular dos dados sem
demora injustificada, salvo se aplicar limitaes aos direitos do mesmo em conformidade com a presente diretiva.
Alm disso, se os pedidos forem manifestamente infundados ou excessivos, por exemplo quando o titular dos
dados solicitar informaes de forma injustificada e repetida ou abusar do seu direito a receber informaes,
nomeadamente prestando informaes falsas ou suscetveis de induzir em erro, o responsvel pelo tratamento
dever poder cobrar uma taxa razovel ou recusar dar seguimento ao pedido.

(41) Caso o responsvel pelo tratamento solicite que lhe sejam fornecidas as informaes adicionais que forem
necessrias para confirmar a identidade do titular dos dados, essas informaes devero ser tratadas apenas para
essa finalidade especfica e no devero ser conservadas durante mais tempo do que o necessrio para o efeito.

(42) Devero ser facultadas ao titular dos dados pelo menos as seguintes informaes: a identidade do responsvel
pelo tratamento, a existncia da operao de tratamento, as finalidades do tratamento, o direito de apresentar
reclamao e a existncia do direito de solicitar ao responsvel pelo tratamento o acesso aos dados pessoais e a
sua retificao ou apagamento ou a limitao do tratamento. Tal poder ser efetuado no stio web da autoridade
competente. Alm disso, em casos especficos e no intuito de que seja permitido o exerccio dos seus direitos, o
titular dos dados dever ser informado sobre o fundamento jurdico do tratamento e a durao da conservao
dos dados, na medida em que tais informaes adicionais sejam necessrias, tendo em conta as circunstncias
especficas em que os dados so tratados, a fim de garantir a lealdade do tratamento no que respeita ao titular
dos dados.

(43) As pessoas singulares devero ter o direito de aceder aos dados recolhidos que lhes digam respeito e de exercer
esse direito com facilidade e a intervalos razoveis, a fim de tomar conhecimento do tratamento e verificar a sua
licitude. Por conseguinte, cada titular de dados dever ter o direito de ser informado das finalidades a que se
destina o tratamento dos seus dados, da sua durao e de quem so os destinatrios, inclusive em pases terceiros.
Nos casos em que essa comunicao inclua informaes relativas origem dos dados pessoais, tais informaes
no devero revelar a identidade das pessoas singulares, em especial de fontes confidenciais. Para que esse direito
seja respeitado, basta que o titular dos dados esteja na posse de um resumo completo desses dados num
formulrio inteligvel, ou seja, um formulrio que permita que o titular dos dados tome conhecimento desses
L 119/96 PT Jornal Oficial da Unio Europeia 4.5.2016

dados e verifique a sua exatido e o seu tratamento em conformidade com a presente diretiva, de modo a que
possa exercer os direitos que esta lhe confere. Esse resumo poder ser concedido por via de uma cpia dos dados
pessoais sujeitos a tratamento.

(44) Os Estados-Membros devero poder adotar medidas legislativas que visem atrasar, limitar ou recusar a
informao prestada a titulares de dados ou restringir, total ou parcialmente, o acesso aos dados pessoais que lhes
digam respeito, desde que tal constitua uma medida necessria e proporcionada numa sociedade democrtica,
tendo devidamente em conta os direitos fundamentais e os interesses legtimos da pessoa singular em causa, para
no prejudicar os inquritos, investigaes ou procedimentos oficiais ou legais, procurar no prejudicar a
preveno, investigao, deteo ou represso de infraes penais ou a execuo de sanes penais, salvaguardar
a segurana pblica ou a segurana nacional ou ainda proteger os direitos e as liberdades de terceiros. O
responsvel pelo tratamento dever avaliar, atravs de uma anlise concreta de cada caso individualmente, se o
direito de acesso dever ser total ou parcialmente restringido.

(45) As recusas ou restries do acesso devero, em princpio, ser comunicadas por escrito ao titular dos dados com
os motivos de facto ou de direito que fundamentam a deciso.

(46) As restries dos direitos do titular dos dados devem respeitar a Carta e a CEDH, de acordo com a interpretao
na jurisprudncia do Tribunal de Justia e do Tribunal Europeu dos Direitos do Homem, respetivamente, e devem
respeitar, em particular, o contedo essencial desses direitos e liberdades.

(47) As pessoas singulares devero ter direito a que os dados inexatos que lhe dizem respeito sejam retificados, em
especial no que diz respeito a factos, e a que sejam apagados, caso o seu tratamento no seja conforme com o
disposto na presente diretiva. No entanto, o direito de retificao no dever afetar, por exemplo, o contedo do
depoimento de uma testemunha. As pessoas singulares devero ter direito a que o tratamento seja limitado,
sempre que conteste a exatido dos dados pessoais e no possa ser apurado se os dados so exatos ou no ou,
ainda, quando os dados pessoais tiverem de ser conservados para efeitos de prova. Em particular, os dados
pessoais no devero ser apagados, mas apenas limitados se, num dado caso, existirem motivos razoveis para
crer que o seu apagamento poder prejudicar interesses legtimos do titular. Nesse caso, os dados limitados s
devero ser tratados para a finalidade que impediu o seu apagamento. Para limitar o tratamento de dados
pessoais pode recorrer-se a mtodos como a transferncia de determinados dados para outro sistema de
tratamento, nomeadamente para efeitos de arquivo, ou impedir o acesso a esses dados. Nos ficheiros automa
tizados, as limitaes ao tratamento devero, em princpio, ser impostas por meios tcnicos; dever ser indicado
de forma bem clara no sistema que o tratamento dos dados pessoais est sujeito a limitaes. Tal retificao ou
apagamento dos dados pessoais ou a limitao do tratamento devero ser comunicados aos destinatrios a quem
os dados tenham sido divulgados e s autoridades competentes que esto na origem dos dados inexatos. Os
responsveis pelo tratamento devero igualmente abster-se de qualquer comunicao ulterior desses dados.

(48) Caso o responsvel pelo tratamento recuse ao titular dos dados o direito informao, o acesso aos dados
pessoais ou a sua retificao ou apagamento ou a limitao do tratamento, o titular dos dados dever ter o direito
de solicitar que a autoridade nacional de controlo verifique a licitude do tratamento. O titular dos dados dever
ser informado desse direito. Quando a autoridade de controlo agir em nome do titular dos dados, dever, pelo
menos, inform-lo de que foram realizadas todas as verificaes ou revises necessrias. A autoridade de controlo
dever tambm informar o titular de dados do seu direito de intentar ao judicial.

(49) Caso os dados pessoais sejam tratados no mbito de uma investigao criminal ou de um processo judicial em
matria penal, os Estados-Membros devero poder dispor que o exerccio do direito informao, ao acesso aos
dados pessoais e sua retificao ou apagamento, bem como limitao do tratamento, seja feito nos termos das
regras nacionais aplicveis aos processos judiciais.

(50) Dever ser estabelecida a responsabilidade do responsvel pelo tratamento de dados pessoais realizado por si
prprio ou em seu nome. Em especial, o responsvel pelo tratamento dever ficar obrigado a executar as medidas
adequadas e eficazes e dever estar em condies de demonstrar que as atividades de tratamento so efetuadas
em conformidade com a presente diretiva. Tais medidas devero ter em conta a natureza, o mbito, o contexto e
as finalidades do tratamento de dados, bem como o risco que possa implicar para os direitos e liberdades das
pessoas singulares. As medidas tomadas pelo responsvel pelo tratamento devero incluir a elaborao e
execuo de garantias especficas para o tratamento de dados pessoais de pessoas singulares vulnerveis, como
crianas.

(51) Os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variveis,
podero resultar de operaes de tratamento de dados suscetveis de causar danos fsicos, materiais ou morais,
em especial caso o tratamento possa dar origem discriminao, usurpao ou roubo da identidade, a perdas
financeiras, prejuzos para a reputao, perdas de confidencialidade de dados protegidos por sigilo profissional,
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/97

inverso no autorizada da pseudonimizao, ou a outros prejuzos importantes de natureza econmica ou


social; ou caso os titulares dos dados possam ficar privados dos seus direitos e liberdades ou do exerccio do
controlo sobre os respetivos dados pessoais; caso sejam tratados dados pessoais que revelem a origem racial ou
tnica, as opinies polticas, as convices religiosas ou filosficas e a filiao sindical; caso sejam tratados dados
genticos ou dados biomtricos a fim de identificar uma pessoa de forma inequvoca ou caso sejam tratados
dados relativos sade ou vida sexual ou orientao sexual ou, ainda, a condenaes e infraes penais ou
medidas de segurana conexas; caso sejam avaliados aspetos de natureza pessoal, nomeadamente anlises e
previses de aspetos que digam respeito ao desempenho no trabalho, situao econmica, sade, s
preferncias ou interesses pessoais, fiabilidade ou comportamento e localizao ou s deslocaes das pessoas,
a fim de definir ou fazer uso de perfis; ou caso sejam tratados dados pessoais de pessoas singulares vulnerveis,
em particular crianas; ou caso o tratamento incida sobre uma grande quantidade de dados pessoais e afetar um
grande nmero de titulares de dados.

(52) A probabilidade e a gravidade dos riscos dever ser determinada por referncia natureza, mbito, contexto e
finalidades do tratamento. Os riscos devero ser aferidos com base numa avaliao objetiva, de modo a
determinar se provvel que as operaes de tratamento de dados impliquem um elevado risco. Entende-se por
elevado risco um risco particular que prejudique os direitos e liberdades dos titulares de dados.

(53) A proteo dos direitos e liberdades das pessoas singulares relativamente ao tratamento dos seus dados pessoais
exige que sejam tomadas medidas tcnicas e organizativas adequadas para assegurar o cumprimento dos
requisitos da presente diretiva. A execuo dessas medidas no poder depender exclusivamente de consideraes
econmicas. A fim de poder demonstrar a conformidade com a presente diretiva, o responsvel pelo tratamento
dever adotar diretrizes internas e aplicar medidas que respeitem, em especial, os princpios da proteo de dados
desde a conceo e da proteo de dados por defeito. Sempre que o responsvel pelo tratamento tenha efetuado
uma avaliao do impacto na proteo de dados nos termos da presente diretiva, os resultados da referida
avaliao devero ser tidos em conta para efeitos de desenvolvimento dessas medidas e procedimentos. As
medidas podero incluir, nomeadamente, o recurso pseudonimizao, efetuada o mais cedo possvel. O recurso
pseudonimizao para efeitos da presente diretiva poder facilitar, designadamente, a livre circulao de dados
pessoais no espao de liberdade, segurana e justia.

(54) A proteo dos direitos e liberdades dos titulares de dados, bem como a responsabilidade dos responsveis pelo
tratamento e dos subcontratantes, inclusive no que diz respeito superviso e s medidas adotadas pelas
autoridades de controlo, exigem uma clara repartio de responsabilidades nos termos da presente diretiva,
designadamente caso o responsvel pelo tratamento dos dados determine as finalidades e os meios do tratamento
conjuntamente com outros responsveis ou uma operao de tratamento de dados seja efetuada em nome de um
responsvel pelo tratamento.

(55) O tratamento executado por um subcontratante dever ser regido por um ato jurdico, que pode ser um contrato
que vincule o subcontratante ao responsvel pelo tratamento e estipule, nomeadamente, que o subcontratante s
dever agir segundo instrues do responsvel pelo tratamento. O subcontratante dever ter em considerao o
princpio da proteo de dados desde a conceo e por defeito.

(56) A fim de comprovar o cumprimento da presente diretiva, o responsvel pelo tratamento ou o subcontratante
dever manter registos de todas as categorias de atividades de tratamento sob a sua responsabilidade. Os
responsveis pelo tratamento dos dados e os subcontratantes devero ser obrigados a cooperar com a autoridade
de controlo e a facultar-lhe esses registos, a pedido, para fiscalizao dessas operaes de tratamento. O
responsvel pelo tratamento ou o subcontratante que trate dados pessoais em sistemas de tratamento no
automatizados dever dispor de mtodos eficazes, tais como registos cronolgicos ou outros, para demonstrar a
licitude do tratamento, permitir o autocontrolo e garantir a integridade e segurana dos dados.

(57) Devero ser conservados registos cronolgicos pelo menos de operaes em sistemas de tratamento
automatizado, como a recolha, alterao, consulta, divulgao incluindo transferncias , interconexo ou
apagamento. A identificao da pessoa que consultou ou divulgou dados pessoais dever ser registada e a partir
dessa identificao ser talvez possvel determinar a justificao das operaes de tratamento. Os registos
cronolgicos devero ser utilizados exclusivamente para efeitos de verificao da licitude do tratamento,
autocontrolo, garantia da integridade e segurana dos dados e aes penais. O autocontrolo abrange igualmente
as aes disciplinares internas das autoridades competentes.

(58) Dever ser efetuada uma avaliao do impacto na proteo de dados pelo responsvel pelo tratamento quando as
operaes de tratamento forem suscetveis de constituir um elevado risco para os direitos e liberdades dos
titulares dos dados devido sua natureza, mbito ou finalidades, a qual dever incluir, em particular, as medidas
previstas, as garantias e os mecanismos previstos para assegurar a proteo dos dados pessoais e demonstrar a
conformidade com a presente diretiva. As avaliaes de impacto devero ter como objeto os sistemas e processos
pertinentes das operaes de tratamento, mas no casos individuais.
L 119/98 PT Jornal Oficial da Unio Europeia 4.5.2016

(59) A fim de assegurar a proteo efetiva dos direitos e liberdades dos titulares dos dados, o responsvel pelo
tratamento ou o subcontratante dever, em certos casos, consultar a autoridade de controlo antes do tratamento.

(60) A fim de preservar a segurana e evitar o tratamento em violao da presente diretiva, o responsvel pelo
tratamento, ou o subcontratante, dever avaliar os riscos que o tratamento implica e dever aplicar medidas que
os atenuem, como, por exemplo, a cifragem. Estas medidas devero assegurar um nvel de segurana adequado,
nomeadamente no que respeita confidencialidade, tendo em conta as tcnicas mais avanadas e os custos da sua
aplicao em funo do risco e da natureza dos dados pessoais a proteger. Ao avaliar os riscos para a segurana
dos dados, devero ser tidos em conta os riscos apresentados pelo tratamento dos dados, tais como a destruio,
perda e alterao acidentais ou ilcitas, e a divulgao ou o acesso no autorizados, de dados pessoais
transmitidos, conservados ou tratados de outro modo, riscos esses que podem conduzir, em particular, a danos
fsicos, materiais ou morais. O responsvel pelo tratamento e o subcontratante devero assegurar que o
tratamento de dados pessoais no seja efetuado por pessoas no autorizadas.

(61) Se no forem tomadas medidas adequadas e oportunas, a violao de dados pessoais pode causar danos fsicos,
materiais ou imateriais s pessoas singulares, tais como a perda de controlo dos dados pessoais, a limitao dos
seus direitos, a discriminao, o roubo ou usurpao de identidade, perdas financeiras, a inverso no autorizada
da pseudonimizao, danos para a reputao, a perda de confidencialidade de dados pessoais protegidos por
sigilo profissional ou qualquer outra desvantagem econmica ou social importante para as pessoas singulares em
causa. Por conseguinte, logo que o responsvel pelo tratamento tenha conhecimento de uma violao de dados
pessoais, dever comunic-la autoridade de controlo, sem demora injustificada e, sempre que possvel, no prazo
de 72 horas aps ter tido conhecimento do ocorrido, a menos que seja capaz de demonstrar, em conformidade
com o princpio da responsabilidade, que essa violao no suscetvel de implicar um risco para os direitos e
liberdades das pessoas singulares. Se no for possvel efetuar a comunicao no prazo de 72 horas, a notificao
dever ser acompanhada dos motivos do atraso, podendo as informaes ser fornecidas por fases sem mais
demora injustificada.

(62) Caso a violao de dados pessoais seja suscetvel de criar um elevado risco para os direitos e liberdades das
pessoas singulares, estas devero ser informadas sem demora injustificada, a fim de permitir que tomem as
precaues necessrias. Da comunicao dever constar a natureza da violao de dados pessoais e recomen
daes destinadas pessoa singular em causa para atenuar potenciais efeitos adversos. A comunicao aos
titulares dos dados dever ser feita o mais rapidamente possvel, em estreita cooperao com a autoridade de
controlo, e de acordo com as orientaes fornecidas por esta ou por outras autoridades competentes. Por
exemplo, a necessidade de atenuar um risco imediato de prejuzo exigir que se envie uma comunicao rpida
aos titulares dos dados, enquanto a necessidade de aplicar medidas adequadas contra violaes de dados
recorrentes ou similares poder justificar um prazo maior para a comunicao. Se no for possvel, atravs do
atraso ou da restrio da comunicao pessoa singular em causa de uma violao de dados pessoais, evitar criar
entraves a inquritos, investigaes ou procedimentos oficiais ou legais, evitar prejudicar a preveno, deteo,
investigao ou represso de infraes penais ou a execuo de sanes penais, salvaguardar a segurana pblica,
preservar a segurana nacional ou ainda proteger os direitos e as liberdades de terceiros, essa comunicao
poder, em circunstncias excecionais, ser omitida.

(63) O responsvel pelo tratamento dever designar uma pessoa para o assistir no controlo do cumprimento, a nvel
interno, das disposies adotadas por fora da presente diretiva. Os Estados-Membros podero isentar desta
obrigao os tribunais e outras autoridades judiciais independentes no exerccio da sua funo jurisdicional. Essa
pessoa pode ser um membro do pessoal do responsvel pelo tratamento, que tenha recebido uma formao
especfica no domnio da legislao e das prticas em matria de proteo de dados a fim de adquirir conheci
mentos especializados nesta matria. O nvel de conhecimentos especializados necessrios dever ser
determinado, em particular, em funo do tratamento de dados efetuado e da proteo exigida para os dados
pessoais tratados pelo responsvel pelo tratamento. As suas funes podem ser exercidas a tempo parcial ou a
tempo inteiro. Um encarregado da proteo de dados poder ser nomeado conjuntamente por vrios
responsveis pelo tratamento, tendo em conta a dimenso e estrutura organizativa destes, por exemplo no caso
de partilha de recursos em unidades centrais. Essa pessoa pode igualmente ser nomeada para diferentes funes
no interior das estruturados responsveis pelo tratamento. Essa pessoa dever ajudar o responsvel pelo
tratamento e os empregados que tratem dados pessoais, informando-os e aconselhando-os a respeito do
cumprimento das suas obrigaes relevantes em matria de proteo de dados. Essas pessoas encarregadas da
proteo de dados devero estar em condies de desempenhar as suas funes e cumprir os seus deveres de
forma independente e de acordo com o direito dos Estados-Membros.

(64) Os Estados-Membros devero assegurar que as transferncias para um pas terceiro ou para uma organizao
internacional s possam ser realizadas se forem necessrias para efeitos de preveno, investigao, deteo ou
represso de infraes penais ou execuo de sanes penais nomeadamente, a salvaguarda e a preveno de
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/99

ameaas segurana pblica e se o responsvel pelo tratamento no pas terceiro ou na organizao interna
cional for uma autoridade competente na aceo da presente diretiva. Apenas as autoridades competentes, na
qualidade de responsveis pelo tratamento, podem efetuar transferncias, salvo se os subcontratantes tiverem
instrues explcitas para efetuar a transferncia em causa por conta dos responsveis pelo tratamento. Tal
transferncia pode ser efetuada caso a Comisso tenha decidido que o pas terceiro ou a organizao internacional
em causa garante um nvel de proteo adequado, ou quando tiverem sido apresentadas garantias adequadas ou
forem aplicveis derrogaes em situaes especficas. Caso os dados pessoais sejam transferidos da Unio para
responsveis pelo tratamento de dados, para subcontratantes ou para outros destinatrios em pases terceiros ou
organizaes internacionais, o nvel de proteo das pessoas singulares assegurado na Unio pela presente diretiva
dever continuar a ser garantido, inclusive nos casos de posterior transferncia de dados pessoais do pas terceiro
ou da organizao internacional em causa para responsveis pelo tratamento de dados, ou subcontratantes desse
pas terceiro ou de outro, ou para uma organizao internacional.

(65) Caso sejam transferidos dados pessoais de um Estado-Membro para pases terceiros ou organizaes interna
cionais, essa transferncia apenas dever, em princpio, ser efetuada depois de o Estado-Membro de onde provm
os dados ter dado a sua autorizao. O interesse de uma cooperao eficiente em matria de aplicao da lei
exige que, caso a natureza de uma ameaa segurana pblica de um Estado-Membro ou pas terceiro ou aos
interesses essenciais de um Estado-Membro seja to iminente que impossibilite a obteno de autorizao prvia
em tempo til, a autoridade competente deva poder transferir os dados pessoais pertinentes para o pas terceiro
ou a organizao internacional em causa sem essa autorizao prvia. Os Estados-Membros devero prever que
sejam comunicadas aos pases terceiros ou s organizaes internacionais as condies especficas relativas
transferncia. As transferncias ulteriores de dados pessoais devero ser submetidas a autorizao prvia pela
autoridade competente que realizou a transferncia inicial. Ao decidir sobre um pedido de autorizao para uma
transferncia ulterior, a autoridade competente que realizou a transferncia inicial dever ter devidamente em
conta todos os fatores relevantes, designadamente a gravidade da infrao penal, as condies especficas
associadas e a finalidade para a qual os dados foram inicialmente transferidos, a natureza e as condies de
execuo da sano penal e o nvel de proteo de dados pessoais do pas terceiro ou da organizao interna
cional para os quais os dados pessoais so ulteriormente transferidos. A autoridade competente que realizou a
transferncia inicial poder igualmente sujeitar a transferncia ulterior a condies especficas. Tais condies
especficas podem ser descritas, por exemplo, em cdigos de tratamento.

(66) A Comisso poder decidir, com efeitos no conjunto da Unio, que determinados pases terceiros, um territrio
ou um ou vrios setores especificados num pas terceiro ou numa organizao internacional asseguram um nvel
adequado de proteo de dados, garantindo assim a segurana jurdica e a uniformidade a nvel da Unio relati
vamente a pases terceiros ou organizaes internacionais que sejam considerados aptos a assegurar tal nvel de
proteo. Nesses casos, podero ser feitas transferncias de dados pessoais para esses pases sem necessidade de
qualquer autorizao especfica, exceto se outro Estado-Membro de onde provm os dados tiver de dar a sua
autorizao transferncia.

(67) De acordo com os valores fundamentais em que a Unio assenta, particularmente a defesa dos direitos humanos,
a Comisso dever, na sua avaliao do pas terceiro ou de um territrio ou de um setor especfico num pas
terceiro, ter em considerao em que medida um determinado pas respeita o primado do Estado de direito, o
acesso justia, bem como as regras e normas internacionais no domnio dos direitos humanos e a sua legislao
geral e setorial, nomeadamente a legislao relativa segurana pblica, defesa e segurana nacional, bem
como a lei da ordem pblica e a lei penal. A adoo de uma deciso de adequao relativa a um territrio ou um
setor especfico num pas terceiro dever ter em conta critrios claros e objetivos, tais como as atividades de
tratamento especficas e o mbito das normas jurdicas aplicveis, bem como a legislao em vigor no pas
terceiro. Este dever dar garantias de assegurar um nvel adequado de proteo, essencialmente equivalente ao
assegurado na Unio, em particular quando os dados so tratados num ou em vrios setores especficos. Em
especial, o pas terceiro dever garantir o controlo efetivo e independente da proteo dos dados e estabelecer
mecanismos de cooperao com as autoridades s de proteo de dados dos Estados-Membros, e ainda conferir
aos titulares dos dados direitos efetivos e oponveis e vias efetivas de recurso administrativo e judicial.

(68) Alm dos compromissos internacionais assumidos pelo pas terceiro ou pela organizao internacional, a
Comisso dever tambm ter em conta as obrigaes decorrentes da participao do pas terceiro ou da
organizao internacional nos sistemas multilaterais ou regionais, em especial no que diz respeito proteo dos
dados pessoais, bem como o cumprimento de tais obrigaes. Em especial, h que ter em conta a adeso do pas
terceiro em causa Conveno do Conselho da Europa para a proteo das pessoas relativamente ao tratamento
automatizado de dados de carter pessoal, de 28 de janeiro de 1981, e respetivo Protocolo Adicional. A
L 119/100 PT Jornal Oficial da Unio Europeia 4.5.2016

Comisso dever consultar o Comit Europeu para a Proteo de Dados criado pelo Regulamento (UE)
2016/679 (Comit) quando avalia o nvel de proteo nos pases terceiros ou organizaes internacionais. A
Comisso dever ter igualmente em conta as decises de adequao da Comisso pertinentes, adotadas em
conformidade com o artigo 41.o do Regulamento (UE) 2016/679.

(69) A Comisso dever controlar a eficcia das decises sobre o nvel de proteo assegurado num pas terceiro, num
territrio ou num setor especfico de um pas terceiro, ou numa organizao internacional. Nas suas decises de
adequao, a Comisso dever prever um processo de avaliao peridica da aplicao destas. A avaliao
peridica dever ser feita em consulta com o pas terceiro ou a organizao internacional em questo e ter em
conta todos os desenvolvimentos pertinentes verificados no pas terceiro ou organizao internacional.

(70) A Comisso dever igualmente poder reconhecer que um pas terceiro, um territrio ou um setor especfico de
um pas terceiro, ou uma organizao internacional, deixou de assegurar um nvel adequado de proteo de
dados. Se for esse o caso, dever ser proibida a transferncia de dados pessoais para esse pas terceiro ou
organizao internacional, a menos que sejam cumpridos os requisitos previstos na presente diretiva relativos s
transferncias sujeitas a garantias adequadas e s derrogaes aplicveis a situaes especficas. conveniente
prever procedimentos de consulta entre a Comisso e esses pases terceiros ou organizaes internacionais. A
Comisso dever, em tempo til, informar o pas terceiro ou a organizao internacional das razes de tal
proibio e iniciar consultas com o pas ou organizao em causa a fim de corrigir a situao.

(71) As transferncias no baseadas numa deciso de adequao s devero ser autorizadas caso sejam apresentadas
garantias adequadas num instrumento juridicamente vinculativo que garanta a proteo dos dados pessoais ou o
responsvel pelo tratamento tenha avaliado todas as circunstncias inerentes transferncia de dados e, com base
nessa avaliao, considere que existem garantias adequadas no que diz respeito proteo de dados pessoais. Tais
instrumentos juridicamente vinculativos podero ser, por exemplo, acordos bilaterais juridicamente vinculativos
que os Estados-Membros tenham celebrado e integrado no seu ordenamento jurdico e que possam ser
executados pelos titulares de dados desses Estados-Membros, assegurando a observncia dos requisitos relativos
proteo de dados e dos direitos dos titulares dos dados, incluindo o direito de recurso administrativo ou judicial.
Ao avaliar todas as circunstncias relativas transferncia de dados, o responsvel pelo tratamento poder ter em
conta os acordos de cooperao que tenham sido celebrados entre a Europol ou a Eurojust e pases terceiros e
que permitam o intercmbio de dados pessoais. O responsvel pelo tratamento poder ainda ter em conta que a
transferncia de dados pessoais ficar sujeita a obrigaes de confidencialidade e ao princpio da especificidade,
assegurando que os dados no sejam tratados para efeitos que no sejam os da transferncia. Alm disso, o
responsvel pelo tratamento dever ter em conta que os dados pessoais no sero utilizados para requerer, aplicar
ou executar uma pena de morte ou qualquer forma de tratamento cruel ou desumano. Embora essas condies
possam ser consideradas garantias adequadas para a transferncia de dados, o responsvel pelo tratamento pode
exigir garantias adicionais.

(72) Na falta de deciso de adequao ou de garantias adequadas, s podero ser efetuadas transferncias ou categorias
de transferncias em situaes especficas, se necessrio para: proteger os interesses vitais do titular dos dados ou
de um terceiro ou salvaguardar os interesses legtimos do titular dos dados, desde que o direito do Estado-
-Membro que efetua a transferncia dos dados assim o preveja; prevenir uma ameaa iminente e grave para a
segurana pblica de um Estado-Membro ou de um pas terceiro; em determinados casos, para efeitos de
preveno, investigao, deteo ou represso de infraes penais ou execuo de sanes penais, incluindo a
salvaguarda e preveno de ameaas segurana pblica; em determinados casos, para efeitos de declarao,
exerccio ou defesa de um direito num processo judicial. Essas derrogaes devero ser interpretadas de forma
restritiva e no permitir transferncias frequentes, macias e estruturais de dados pessoais nem transferncias
macias de dados, devendo ser limitadas aos dados estritamente necessrios. Tais transferncias devero ser
documentadas e disponibilizadas, a pedido, autoridade de controlo para verificar a licitude da transferncia.

(73) As autoridades competentes dos Estados-Membros aplicam os acordos internacionais bilaterais ou multilaterais
vigentes celebrados com pases terceiros no domnio da cooperao judiciria em matria penal e da cooperao
policial com vista ao intercmbio de informaes relevantes que lhes permitam exercer as atribuies previstas na
lei. Em princpio, esse intercmbio efetuado em cooperao com as autoridades competentes dos pases
terceiros em causa ou, pelo menos, com a cooperao dessas autoridades, e por vezes at na falta de um acordo
internacional bilateral ou multilateral. Todavia, em determinados casos especficos, os procedimentos normais que
requerem contactar essa autoridade do pas terceiro podem revelar-se ineficazes ou desadequados, nomeadamente
devido impossibilidade de a transferncia ser efetuada em tempo til ou devido ao facto de essa autoridade do
pas terceiro no respeitar o Estado de direito ou as regras e normas internacionais no domnio dos direitos
humanos, de tal modo que as autoridades competentes dos Estados-Membros podero decidir transferir os dados
pessoais diretamente para os destinatrios estabelecidos em pases terceiros. Poder ser o caso se houver
necessidade urgente de transferir dados pessoais para salvar a vida de uma pessoa que corra o risco de ser vtima
de uma infrao penal ou prevenir a prtica iminente de um crime, incluindo o terrorismo. Mesmo que essa
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/101

transferncia entre autoridades competentes e destinatrios estabelecidos em pases terceiros s deva ter lugar em
determinados casos especficos, a presente diretiva dever prever condies para regular tais casos. Essas
disposies no devero ser consideradas derrogaes aos acordos internacionais bilaterais ou multilaterais
vigentes no domnio da cooperao judiciria em matria penal e da cooperao policial. Essas regras devero
complementar a aplicao das demais regras da presente diretiva, especialmente as que dizem respeito licitude
do tratamento e as que estabelece o Captulo V.

(74) Quando os dados pessoais atravessam fronteiras h um risco acrescido de que as pessoas singulares no possam
exercer os seus direitos proteo de dados, nomeadamente para se proteger da utilizao ilcita ou da
divulgao dessas informaes. Paralelamente, as autoridades de controlo podem ser incapazes de dar seguimento
a reclamaes ou conduzir investigaes relacionadas com atividades exercidas fora das suas fronteiras. Os seus
esforos para colaborar no contexto transfronteirio podem ser tambm prejudicados pela falta poderes para
tomar medidas preventivas ou de reparao, bem como pela incoerncia e insuficincia dos regimes jurdicos
aplicveis Por conseguinte, revela-se necessrio promover uma cooperao mais estreita entre as autoridades de
controlo da proteo de dados a fim de que possam efetuar o intercmbio de informaes com as suas
homlogas internacionais.

(75) A criao de autoridades de controlo nos Estados-Membros, com total independncia no exerccio das suas
atribuies, constitui um elemento essencial da proteo das pessoas singulares no que diz respeito ao tratamento
dos seus dados pessoais. As autoridades de controlo devero fiscalizar a aplicao das disposies adotadas por
fora da presente diretiva e devero contribuir para a sua aplicao coerente em toda a Unio, a fim de proteger
as pessoas singulares relativamente ao tratamento dos seus dados pessoais. Para esse efeito, as autoridades de
controlo devero cooperar entre si e com a Comisso.

(76) Os Estados Membros podem confiar a uma autoridade de controlo j criada nos termos do Regulamento (UE)
2016/679 o exerccio das atribuies das autoridades nacionais de controlo criadas por fora da presente diretiva.

(77) Os Estados-Membros devero poder criar vrias autoridades de controlo de modo a refletir a sua estrutura consti
tucional, organizativa e administrativa. Devero ser dados s autoridades de controlo os meios financeiros e
humanos, as instalaes e as infraestruturas necessrias ao exerccio eficaz das suas atribuies, incluindo as
relacionadas com a assistncia e a cooperao mtuas com outras autoridades de controlo da Unio. As
autoridades de controlo devero ter oramentos anuais pblicos separados, que podero estar integrados no
oramento geral do estado ou do oramento nacional.

(78) As autoridades de controlo devero ficar sujeitas a procedimentos de controlo ou fiscalizao independentes no
que diz respeito s suas despesas financeiras, desde que tal no afete a sua independncia.

(79) As condies gerais aplicveis aos membros da autoridade de controlo devero ser definidas pelo direito do
Estado-Membro e devero prever, em especial, que os referidos membros sejam nomeados por procedimento
transparente pelo Parlamento, pelo Governo nacional ou pelo Chefe de Estado do Estado-Membro, com base
numa proposta do governo ou de um dos seus membros ou do parlamento ou da sua cmara competente, ou
por um organismo independente incumbido da nomeao nos termos do direito do Estado-Membro. A fim de
assegurar a independncia da autoridade de controlo, os membros que a integram devero atuar com integridade,
abster-se de qualquer ato incompatvel com as suas funes e, durante o seu mandato, no devero exercer
nenhuma ocupao, seja ou no remunerada, que com elas seja incompatvel. A fim de assegurar a independncia
da autoridade de controlo, o pessoal dever ser selecionado pela autoridade de controlo, eventualmente com a
interveno de um organismo independente incumbido nos termos do direito do Estado-Membro.

(80) Embora a presente diretiva se aplique tambm s atividades dos tribunais nacionais e outras autoridades judiciais,
a competncia das autoridades de controlo no dever abranger o tratamento de dados pessoais efetuado pelos
tribunais no exerccio da sua funo jurisdicional, a fim de assegurar a independncia dos juzes no desempenho
das suas funes jurisdicionais. Esta exceo dever ser estritamente limitada s atividades judiciais relativas a
processos judiciais, no se aplicando a outras atividades a que os juzes possam estar associados por fora do
direito do Estado-Membro. Os Estados-Membros podem tambm prever a possibilidade de a competncia das
autoridades de controlo no abranger o tratamento de dados pessoais efetuado por outras autoridades judiciais
independentes no exerccio da sua funo jurisdicional, nomeadamente o Ministrio Pblico. Em todo o caso, o
cumprimento das regras da presente diretiva pelos tribunais e outras autoridades judiciais independentes dever
ficar sempre sujeito a uma fiscalizao independente nos termos do artigo 8.o, n.o 3, da Carta.
L 119/102 PT Jornal Oficial da Unio Europeia 4.5.2016

(81) Cada autoridade de controlo dever tratar as reclamaes apresentadas por qualquer titular de dados e investigar
o assunto ou transmiti-lo autoridade de controlo competente. A investigao decorrente de uma reclamao
dever ser realizada, sob reserva de controlo jurisdicional, na medida adequada ao caso especfico. A autoridade
de controlo dever informar o titular dos dados da evoluo e do resultado da reclamao num prazo razovel.
Se o caso exigir maior investigao ou a coordenao com outra autoridade de controlo, devero ser fornecidas
informaes intermdias ao titular dos dados.

(82) A fim de assegurar o controlo eficaz, fivel e coerente da conformidade com a presente diretiva e da sua
aplicao em toda a Unio e nos termos do TFUE, conforme interpretado pelo Tribunal de Justia, as autoridades
de controlo devero ter, em cada Estado-Membro, as mesmas atribuies e poderes, incluindo poderes de
investigao e de correo, bem como funes consultivas, que constituem meios necessrios no exerccio das
suas atribuies. Os seus poderes no devero, contudo, interferir com as regras especficas aplicveis ao processo
penal, nomeadamente investigao e represso de infrao penais, nem com a independncia do poder judicial.
Sem prejuzo dos poderes das autoridades responsveis pela aplicao da lei nos termos do direito do Estado-
-Membro, as autoridades de controlo devero ainda dispor do poder de levar as violaes presente diretiva ao
conhecimento das autoridades judiciais e de intentar processos judiciais. Os poderes das autoridades de controlo
devero ser exercidos em conformidade com as garantias processuais adequadas previstas pelo direito da Unio e
dos Estados-Membros, com imparcialidade e equidade e num prazo razovel. Em particular, cada medida dever
ser adequada, necessria e proporcionada a fim de garantir a conformidade com a presente diretiva, tendo em
conta as circunstncias de cada caso concreto, respeitar o direito de qualquer pessoa a ser ouvida antes de a seu
respeito ser tomada qualquer medida individual que a afete desfavoravelmente e evitar custos suprfluos e
inconvenientes excessivos para a pessoa em causa. Os poderes de investigao em matria de acesso s
instalaes devero ser exercidos em conformidade com os requisitos especficos do direito do Estado-Membro,
como, por exemplo, a obrigao de obter autorizao judicial prvia. A adoo de uma deciso juridicamente
vinculativa dever ficar sujeita a controlo jurisdicional no Estado-Membro da autoridade de controlo que tenha
adotado a deciso.

(83) As autoridades de controlo devero prestar-se mutuamente assistncia no exerccio das suas atribuies, por
forma a assegurar a execuo e aplicao coerentes das disposies adotadas por fora da presente diretiva.

(84) O Comit dever contribuir para a aplicao coerente da presente diretiva em toda a Unio, nomeadamente
aconselhando a Comisso e promovendo a cooperao das autoridades de controlo em toda a Unio.

(85) Os titulares de dados devero ter direito a apresentar reclamao a uma autoridade de controlo nica e a intentar
uma ao judicial, nos termos do artigo 47.o da Carta, se considerarem que os direitos que lhes so conferidos
por disposies adotadas por fora da presente diretiva foram violados ou a autoridade de controlo no
responder reclamao, a recusar ou rejeitar, total ou parcialmente, ou no tomar as iniciativas necessrias para
proteger os seus direitos. A investigao decorrente de uma reclamao dever ser realizada, sob reserva de
controlo jurisdicional, na medida adequada ao caso especfico. A autoridade de controlo competente dever
informar o titular dos dados da evoluo e do resultado da reclamao num prazo razovel. Se o caso exigir
maior investigao ou a coordenao com outra autoridade de controlo, devero ser fornecidas informaes
intermdias ao titular dos dados. As autoridades de controlo devero tomar medidas para facilitar a apresentao
de reclamaes, como, por exemplo, fornecer formulrios para apresentao de reclamaes que possam tambm
ser preenchidos eletronicamente, sem excluir outros meios de comunicao.

(86) Todas as pessoas, singulares ou coletivas, devero ter direito a intentar uma ao judicial perante os tribunais
nacionais competentes contra as decises das autoridades de controlo que produzam efeitos jurdicos que lhes
digam respeito. Tais decises prendem-se, em especial, com o exerccio de poderes de investigao, correo e
autorizao pelas autoridades de controlo ou com a recusa ou rejeio de reclamaes. Porm, este direito no
abrange outras medidas das autoridades de controlo que no sejam juridicamente vinculativas, como os pareceres
emitidos ou o aconselhamento prestado pela autoridade de controlo. As aes contra as autoridades de controlo
devero ser instauradas nos tribunais do Estado-Membro em cujo territrio a autoridade de controlo esteja
estabelecida e devero ser conduzidas nos termos do direito desse Estado-Membro. Estes tribunais devero ter
jurisdio plena, incluindo o poder de analisar todas as questes de facto e de direito relevantes para o litgio.

(87) Se considerar que os direitos que lhe so conferidos pela presente diretiva foram violados, o titular dos dados
dever ter o direito de mandatar um organismo que vise proteger os direitos e interesses dos titulares de dados
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/103

no que respeita proteo dos seus dados pessoais, e que seja constitudo ao abrigo do direito de um Estado-
-Membro, para apresentar reclamao em seu nome a uma autoridade de controlo e exercer o direito de intentar
ao judicial. O direito de representao dos titulares dos dados no dever prejudicar o direito processual do
Estado-Membro, que poder exigir que estes se faam obrigatoriamente representar perante os tribunais nacionais
por um advogado, tal como previsto na Diretiva 77/249/CEE do Conselho (1).

(88) Os danos sofridos por uma pessoa em virtude de um tratamento em violao da presente diretiva devero ser
ressarcidos pelo responsvel pelo tratamento dos dados ou por qualquer outra autoridade competente nos termos
do direito do Estado-Membro. O conceito de dano dever ser interpretado em sentido lato luz da jurispru
dncia do Tribunal de Justia de uma forma que reflita plenamente os objetivos da presente diretiva. Tal no
prejudica os pedidos de indemnizao por danos provocados pela violao de outras regras constantes do direito
da Unio ou dos Estados-Membros. Quando se faa referncia a tratamentos ilcitos ou a tratamentos que violem
disposies adotadas por fora da presente diretiva, ficam igualmente abrangidos os tratamentos que violem os
atos de execuo adotados nos termos da presente diretiva. Os titulares dos dados devero ser integral e
efetivamente indemnizados pelos danos que tenham sofrido.

(89) Devero ser aplicadas sanes s pessoas singulares ou s pessoas coletivas, de direito privado ou pblico, que
violem a presente diretiva. Os Estados-Membros devero assegurar que as sanes sejam efetivas, proporcionadas
e dissuasivas e tomar todas as medidas necessrias sua aplicao.

(90) A fim de assegurar condies uniformes para a execuo da presente diretiva, devero ser conferidas
competncias de execuo Comisso no que diz respeito ao nvel de proteo adequado garantido por um pas
terceiro, um territrio ou um setor especfico desse pas terceiro, ou por uma organizao internacional, e o
formato e os procedimentos de assistncia mtua, bem como as regras de intercmbio eletrnico de informaes
entre as autoridades de controlo e entre estas e o Comit. Essas competncias devero ser exercidas nos termos
do Regulamento (UE) n.o 182/2011 do Parlamento Europeu e do Conselho (2).

(91) Dever ser utilizado o procedimento de exame para a adoo de atos de execuo sobre o nvel de proteo
adequado garantido por um pas terceiro, um territrio ou um setor especfico desse pas terceiro, ou por uma
organizao internacional, o formato e os procedimentos de assistncia mtua, bem como as regras de
intercmbio eletrnico de informaes entre as autoridades de controlo e entre estas e o Comit, atendendo a que
se trata de atos de alcance geral.

(92) A Comisso dever adotar atos de execuo imediatamente aplicveis quando imperativos urgentes assim o
exijam, em casos devidamente fundamentados relacionados com um pas terceiro, um territrio ou um setor
especfico desse pas terceiro ou uma organizao internacional que tenha deixado de assegurar um nvel de
proteo adequado.

(93) Atendendo a que os objetivos da presente diretiva, a saber, proteger os direitos e liberdades fundamentais das
pessoas singulares, nomeadamente o seu direito proteo de dados pessoais, e assegurar o livre intercmbio
desses dados pelas autoridades competentes na Unio, no podem ser suficientemente alcanados pelos Estados-
-Membros, mas podem, devido dimenso e aos efeitos da ao, ser mais bem alcanados ao nvel da Unio, a
Unio pode tomar medidas em conformidade com o princpio da subsidiariedade consagrado no artigo 5.o do
TUE. Em conformidade com o princpio da proporcionalidade consagrado no mesmo artigo, a presente diretiva
no excede o necessrio para atingir esses objetivos.

(94) No devero ser afetadas as disposies especficas dos atos, adotados pela Unio no domnio da cooperao
judiciria em matria penal e da cooperao policial antes da data de adoo da presente diretiva, que regulem o

(1) Diretiva 77/249/CEE do Conselho, de 22 de maro de 1977, tendente a facilitar o exerccio efetivo da livre prestao de servios pelos
advogados (JO L 78 de 26.3.1977, p. 17).
(2) Regulamento (UE) n.o 182/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os
princpios gerais relativos aos mecanismos de controlo pelos Estados-Membros do exerccio das competncias de execuo pela
Comisso (JO L 55 de 28.2.2011, p. 13).
L 119/104 PT Jornal Oficial da Unio Europeia 4.5.2016

tratamento de dados pessoais entre Estados-Membros ou o acesso das autoridades designadas dos Estados-
-Membros aos sistemas de informao criados nos termos dos Tratados, como, por exemplo, as disposies
especficas relativas proteo dos dados pessoais aplicadas por fora da Deciso 2008/615/JAI do Conselho (1)
ou o artigo 23.o da Conveno relativa ao Auxlio Judicirio Mtuo em Matria Penal entre os Estados-Membros
da Unio Europeia (2). Dado que o artigo 8.o da Carta e o artigo 16.o do TFUE exigem que o direito fundamental
proteo de dados pessoais seja garantido de forma coerente em toda a Unio, a Comisso dever examinar a
situao quanto relao entre a presente diretiva e os atos adotados anteriormente data de adoo da presente
diretiva que regulem o tratamento de dados pessoais entre Estados-Membros ou o acesso de autoridades
designadas dos Estados-Membros a sistemas de informao criados por fora dos Tratados, a fim de avaliar a
necessidade de adaptar essas disposies especficas presente diretiva. Sempre que apropriado, a Comisso
dever apresentar propostas para assegurar regras jurdicas coerentes relacionadas com o tratamento de dados
pessoais.

(95) A fim de assegurar uma proteo global e coerente dos dados pessoais na Unio, os acordos internacionais
celebrados pelos Estados-Membros antes de a presente diretiva entrar em vigor que sejam conformes com o
direito da Unio aplicvel antes dessa data devero continuar a vigorar at serem alterados, substitudos ou
revogados.

(96) Os Estados-Membros devero dispor de um prazo, no superior a dois anos, a contar da data de entrada em
vigor da presente diretiva para a transpor. Os tratamentos de dados que se encontrem j em curso data de
entrada em vigor da presente diretiva devero passar a cumprir as disposies da presente diretiva no prazo de
dois anos aps a data da respetiva entrada em vigor. Todavia, caso tal tratamento cumpra o disposto no direito
da Unio aplicvel antes da entrada em vigor da presente diretiva, os requisitos por ela estabelecidos no que
respeita consulta prvia da autoridade de controlo no devero ser aplicveis s operaes de tratamento j em
curso antes da entrada em vigor da presente diretiva, uma vez que, pela sua natureza, tais requisitos devero ser
cumpridos antes do incio do tratamento. Caso os Estados-Membros utilizem o perodo de transposio mais
longo, que termina setes anos a contar da data de entrada em vigor da presente diretiva, para cumprir as
obrigaes de registo cronolgico no que respeita a sistemas de tratamento automatizado criados antes da data
de entrada em vigor da presente diretiva, o responsvel pelo tratamento, ou o subcontratante, dever dispor de
mtodos eficazes para demonstrar a licitude do tratamento dos dados, permitir o autocontrolo e garantir a
integridade e a segurana dos dados, tais como registos cronolgicos ou outros.

(97) A presente diretiva no prejudica as disposies relativas luta contra o abuso sexual, a explorao sexual de
crianas e a pornografia infantil, previstas na Diretiva 2011/93/UE do Parlamento Europeu e do Conselho (3).

(98) Por conseguinte, a Deciso-Quadro 2008/977/JAI dever ser revogada.

(99) Nos termos do artigo 6.o-A do Protocolo n.o 21 relativo posio do Reino Unido e da Irlanda em relao ao
espao de liberdade, segurana e justia, anexo ao TUE e ao TFUE, o Reino Unido e a Irlanda no ficam
vinculados pelas regras estabelecidas na presente diretiva que digam respeito ao tratamento de dados pessoais
pelos Estados-Membros no exerccio de atividades relativas aplicao da Parte III, Ttulo V, Captulos 4 ou 5, do
TFUE, caso no estejam vinculados por regras que regulem formas de cooperao judiciria em matria penal ou
de cooperao policial no mbito das quais devam ser observadas as disposies definidas com base no
artigo 16.o do TFUE.

(100) Nos termos dos artigos 2.o e 2.o-A do Protocolo n.o 22 relativo posio da Dinamarca, anexo ao TUE e ao
TFUE, a Dinamarca no fica vinculada nem sujeita aplicao das regras da presente diretiva que digam respeito
ao tratamento de dados pessoais pelos Estados-Membros no exerccio de atividades relativas aplicao da
Parte III, Ttulo V, Captulos 4 ou 5, do TFUE. Uma vez que a presente diretiva constitui um desenvolvimento do
acervo de Schengen, por fora do disposto na Parte III, Ttulo V, do TFUE, cabe Dinamarca decidir, nos termos
do artigo 4.o do referido Protocolo, no prazo de seis meses a contar da data de adoo da presente diretiva, se
proceder transposio da presente diretiva para o seu direito nacional.

(101) No que diz respeito Islndia e Noruega, a presente diretiva constitui um desenvolvimento das disposies do
acervo de Schengen, na aceo do Acordo celebrado pelo Conselho da Unio Europeia e a Repblica da Islndia e
o Reino da Noruega relativo associao destes Estados execuo, aplicao e ao desenvolvimento do acervo
de Schengen (4).

(1) Deciso 2008/615/JAI do Conselho, de 23 de junho de 2008, relativa ao aprofundamento da cooperao transfronteiras, em particular
no domnio da luta contra o terrorismo e a criminalidade transfronteiras (JO L 210 de 6.8.2008, p. 1).
(2) Ato do Conselho, de 29 de maio de 2000, que estabelece, nos termos do artigo 34.o do Tratado da Unio Europeia, a Conveno relativa
ao auxlio judicirio mtuo em matria penal entre os Estados-Membros da Unio Europeia (JO C 197 de 12.7.2000, p. 1).
(3) Diretiva 2011/93/UE do Parlamento Europeu e do Conselho, de 13 de dezembro de 2011, relativa luta contra o abuso sexual e a
explorao sexual de crianas e a pornografia infantil, e que substitui a Deciso-Quadro 2004/68/JAI do Conselho (JO L 335 de
17.12.2011, p. 1).
(4) JO L 176 de 10.7.1999, p. 36.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/105

(102) No que diz respeito Sua, a presente diretiva constitui um desenvolvimento das disposies do acervo de
Schengen, na aceo do Acordo entre a Unio Europeia, a Comunidade Europeia e a Confederao Sua relativo
associao da Confederao Sua execuo, aplicao e ao desenvolvimento do acervo de Schengen (1).

(103) No que diz respeito ao Liechtenstein, a presente diretiva constitui um desenvolvimento das disposies do acervo
de Schengen, na aceo do Protocolo entre a Unio Europeia, a Comunidade Europeia, a Confederao Sua e o
Principado do Liechtenstein relativo adeso do Principado do Liechtenstein ao Acordo entre a Unio Europeia, a
Comunidade Europeia e a Confederao Sua relativo associao da Confederao Sua execuo, aplicao
e ao desenvolvimento do acervo de Schengen (2).

(104) A presente diretiva respeita os direitos fundamentais e observa os princpios reconhecidos na Carta, consagrados
pelo TFUE, nomeadamente o direito ao respeito da vida privada e familiar, o direito proteo dos dados
pessoais e o direito ao e a um tribunal imparcial. As restries introduzidas em relao a estes direitos so
conformes com o artigo 52.o, n.o 1, da Carta, uma vez que so necessrias para cumprir os objetivos de interesse
geral reconhecidos pela Unio ou para satisfazer a necessidade de proteger os direitos e as liberdades de outrem.

(105) De acordo com a declarao poltica conjunta dos Estados-Membros e da Comisso, de 28 de setembro de 2011,
sobre os documentos explicativos, os Estados-Membros assumiram o compromisso de fazer acompanhar a
notificao das suas medidas de transposio, nos casos em que tal se justifique, de um ou mais documentos que
expliquem a relao entre as componentes de uma diretiva e as partes correspondentes das disposies nacionais
de transposio. Em relao presente diretiva, o legislador considera que a transmisso desses documentos se
justifica.

(106) A Autoridade Europeia para a Proteo de Dados foi consultada nos termos do artigo 28.o, n.o 2, do
Regulamento (CE) n.o 45/2001 e emitiu parecer em 7 de maro de 2012 (3).

(107) A presente diretiva no obsta a que os Estados-Membros possam aplicar disposies respeitantes ao exerccio dos
direitos dos titulares de dados em matria de informao, de acesso e de retificao ou apagamento dos dados
pessoais e de limitao do tratamento no mbito de uma ao penal, bem como eventuais restries desses
direitos, na legislao processual penal nacional,

ADOTARAM A PRESENTE DIRETIVA:

CAPTULO I

Disposies gerais

Artigo 1.o

Objeto e objetivos

1. A presente diretiva estabelece as regras relativas proteo das pessoas singulares no que diz respeito ao
tratamento de dados pessoais pelas autoridades competentes para efeitos de preveno, investigao, deteo ou
represso de infraes penais ou execuo de sanes penais, incluindo a salvaguarda e preveno de ameaas
segurana pblica.

2. Nos termos da presente diretiva, os Estados-Membros asseguram:

a) A proteo dos direitos e das liberdades fundamentais das pessoas singulares e, em especial, o seu direito proteo
dos dados pessoais; e

b) Que o intercmbio de dados pessoais entre autoridades competentes na Unio, caso seja previsto pelo direito da
Unio ou do Estado-Membro, no seja limitado nem proibido por razes relacionadas com a proteo das pessoas
singulares no que diz respeito ao tratamento de dados pessoais.

(1) JO L 53 de 27.2.2008, p. 52.


(2) JO L 160 de 18.6.2011, p. 21.
(3) JO C 192 de 30.6.2012, p. 7.
L 119/106 PT Jornal Oficial da Unio Europeia 4.5.2016

3. A presente diretiva no obsta a que os Estados-Membros prevejam garantias mais elevadas do que as nela estabe
lecidas para a proteo dos direitos e liberdades do titular dos dados no que diz respeito ao tratamento de dados
pessoais pelas autoridades competentes.

Artigo 2.o

mbito de aplicao

1. A presente diretiva aplica-se ao tratamento de dados pessoais pelas autoridades competentes para os efeitos estabe
lecidos no artigo 1.o, n.o 1.

2. A presente diretiva aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem
como ao tratamento de dados pessoais contidos num ficheiro ou a ele destinados por meios no automatizados.

3. A presente diretiva no se aplica ao tratamento de dados pessoais:

a) Efetuado no exerccio de atividades no sujeitas aplicao do direito da Unio;

b) Efetuado pelas instituies, organismos, servios e agncias da Unio.

Artigo 3.o

Definies

Para efeitos da presente diretiva, entende-se por:

1) Dados pessoais, informaes relativas a uma pessoa singular identificada ou identificvel (titular dos dados);
considerada identificvel uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por
referncia a um identificador como, por exemplo, um nome, um nmero de identificao, dados de localizao,
identificadores em linha ou um ou mais elementos especficos da identidade fsica, fisiolgica, gentica, mental,
econmica, cultural ou social dessa pessoa singular;

2) Tratamento, uma operao ou um conjunto de operaes efetuadas sobre dados pessoais ou sobre conjuntos de
dados pessoais, por meios automatizados ou no automatizados, tais como a recolha, o registo, a organizao, a
estruturao, a conservao, a adaptao ou alterao, a recuperao, a consulta, a utilizao, a divulgao por
transmisso, por difuso ou por qualquer outra forma de disponibilizao, a comparao ou interconexo, a
limitao, o apagamento ou a destruio;

3) Limitao do tratamento, a insero de uma marca nos dados pessoais conservados com o objetivo de limitar o
seu tratamento no futuro;

4) Definio de perfis, qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses
dados pessoais para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever
aspetos relacionados com o seu desempenho profissional, a sua situao econmica, sade, preferncias pessoais,
interesses, fiabilidade, comportamento, localizao ou deslocaes;

5) Pseudonimizao, o tratamento de dados pessoais de forma a que deixem de poder ser atribudos a um titular de
dados especfico sem recurso a informaes suplementares, desde que essas informaes suplementares sejam
mantidas separadamente e sujeitas a medidas tcnicas e organizativas para assegurar que os dados pessoais no
possam ser atribudos a uma pessoa singular identificada ou identificvel;

6) Ficheiro, um conjunto estruturado de dados pessoais acessveis segundo critrios especficos, centralizado, descen
tralizado ou repartido de modo funcional ou geogrfico;

7) Autoridade competente:

a) Uma autoridade pblica competente para efeitos de preveno, investigao, deteo ou represso de infraes
penais ou execuo de sanes penais, incluindo a salvaguarda e a preveno de ameaas segurana pblica; ou

b) Qualquer outro organismo ou entidade designados pelo direito de um Estado-Membro para exercer a autoridade
pblica e os poderes pblicos para efeitos de preveno, investigao, deteo ou represso de infraes penais
ou execuo de sanes penais, incluindo a salvaguarda e a preveno de ameaas segurana pblica;
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/107

8) Responsvel pelo tratamento, a autoridade competente que, individualmente ou em conjunto com outras,
determina as finalidades e os meios de tratamento dos dados pessoais; caso as finalidades e os meios desse
tratamento sejam determinados pelo direito da Unio ou pelo direito de um Estado-Membro, o responsvel pelo
tratamento ou os critrios especficos aplicveis sua nomeao podem ser previstos pelo direito da Unio ou de
um Estado-Membro;

9) Subcontratante, uma pessoa singular ou coletiva, uma autoridade pblica, uma agncia ou outro organismo que
tratam dados pessoais por conta do responsvel pelo tratamento;

10) Destinatrio, uma pessoa singular ou coletiva, uma autoridade pblica, uma agncia ou outro organismo que
recebem comunicaes de dados pessoais, independentemente de se tratar ou no de um terceiro. Contudo, as
autoridades pblicas que possam receber dados pessoais no mbito de inquritos especficos nos termos do direito
de um Estado-Membro no so consideradas como destinatrios; o tratamento desses dados por essas autoridades
pblicas deve cumprir as regras de proteo de dados aplicveis em funo das finalidades do tratamento;

11) Violao de dados pessoais, uma violao da segurana que provoca, de modo acidental ou ilcito, a destruio, a
perda, a alterao, a divulgao no autorizada de dados pessoais transmitidos, conservados ou tratados de outro
modo, ou o acesso no autorizado a esses dados;

12) Dados genticos, dados pessoais, relativos s caractersticas genticas, hereditrias ou adquiridas, de uma pessoa
singular, que do informaes nicas sobre a sua fisiologia ou sobre a sua sade e que resultam, designadamente, da
anlise de uma amostra biolgica da pessoa singular em causa;

13) Dados biomtricos, dados pessoais resultantes de um tratamento tcnico especfico, relativos s caractersticas
fsicas, fisiolgicas ou comportamentais de uma pessoa singular, que permitem ou confirmam a sua identificao
nica, tais como imagens faciais ou dados dactiloscpicos;

14) Dados relativos sade, dados pessoais relativos sade fsica ou mental de uma pessoa singular, incluindo a
prestao de servios de sade, que revelam informaes sobre o seu estado de sade;

15) Autoridade de controlo, uma autoridade pblica independente criada por um Estado-Membro nos termos do
artigo 41.o;

16) Organizao internacional, uma organizao e os organismos de direito internacional pblico por ela tutelados, ou
outro organismo criado por um acordo celebrado entre dois ou mais pases ou com base num acordo dessa
natureza.

CAPTULO II

Princpios

Artigo 4.o

Princpios relativos ao tratamento de dados pessoais

1. Os Estados-Membros preveem que os dados pessoais sejam:

a) Objeto de um tratamento lcito e leal;

b) Recolhidos para finalidades determinadas, explcitas e legtimas, e no tratados de uma forma incompatvel com essas
finalidades;

c) Adequados, pertinentes e limitados ao mnimo necessrio relativamente s finalidades para as quais so tratados;

d) Exatos e atualizados sempre que necessrio; devem ser tomadas todas as medidas razoveis para que os dados
inexatos, tendo em conta as finalidades para as quais so tratados, sejam apagados ou retificados sem demora;

e) Conservados de forma a permitir a identificao dos titulares dos dados apenas durante o perodo necessrio para as
finalidades para as quais so tratados;

f) Tratados de uma forma que garanta a sua segurana adequada, incluindo a proteo contra o seu tratamento no
autorizado ou ilcito e contra a sua perda, destruio ou danificao acidentais, recorrendo a medidas tcnicas ou
organizativas adequadas;
L 119/108 PT Jornal Oficial da Unio Europeia 4.5.2016

2. permitido o tratamento pelo mesmo ou por outro responsvel pelo tratamento para as finalidades previstas no
artigo 1.o, n.o 1, diferentes da finalidade para a qual os dados pessoais foram recolhidos, desde que:

a) O responsvel pelo tratamento esteja autorizado a tratar esses dados pessoais com essa finalidade, nos termos do
direito da Unio ou dos Estados-Membros; e

b) O tratamento seja necessrio e proporcionado para essa outra finalidade, nos termos do direito da Unio ou dos
Estados-Membros.

3. O tratamento pelo mesmo ou por outro responsvel pelo tratamento pode incluir o arquivo de interesse pblico e
a utilizao cientfica, estatstica ou histrica dos dados para as finalidades previstas no artigo 1.o, n.o 1, sob reserva de
garantias adequadas dos direitos e liberdades do titular dos dados.

4. O responsvel pelo tratamento responsvel pelo cumprimento do disposto nos n.os 1, 2 e 3 e deve poder
comprovar esse cumprimento.

Artigo 5.o

Prazos para a conservao e avaliao

Os Estados-Membros preveem prazos adequados para o apagamento dos dados pessoais ou para a avaliao peridica
da necessidade de os conservar. Devem ser previstas regras processuais que garantam o cumprimento desses prazos.

Artigo 6.o

Distino entre diferentes categorias de titulares de dados

Os Estados-Membros preveem que o responsvel pelo tratamento estabelea, se aplicvel, e na medida do possvel, uma
distino clara entre os dados pessoais de diferentes categorias de titulares de dados, tais como:

a) Pessoas relativamente s quais existem motivos fundados para crer que cometeram ou esto prestes a cometer uma
infrao penal;

b) Pessoas condenadas por uma infrao penal;

c) Vtimas de uma infrao penal ou pessoas relativamente s quais certos factos levam a crer que possam vir a ser
vtimas de uma infrao penal; e

d) Terceiros envolvidos numa infrao penal, tais como pessoas que possam ser chamadas a testemunhar em investi
gaes penais relacionadas com infraes penais ou em processos penais subsequentes, pessoas que possam fornecer
informaes sobre infraes penais, ou contactos ou associados de uma das pessoas a que se referem as alneas a)
e b).

Artigo 7.o

Distino entre dados pessoais e verificao da qualidade dos dados pessoais

1. Os Estados-Membros preveem que os dados pessoais baseados em factos sejam, na medida do possvel,
distinguidos dos dados pessoais baseados em apreciaes pessoais.

2. Os Estados-Membros preveem que as autoridades competentes tomem todas as medidas razoveis para assegurar
que os dados pessoais inexatos, incompletos ou desatualizados no possam ser transmitidos nem disponibilizados. Para
o efeito, as autoridades competentes verificam, na medida do possvel, a qualidade dos dados pessoais antes de estes
serem transmitidos ou disponibilizados. Em todas as transmisses de dados pessoais devem ser fornecidas, na medida do
possvel, as informaes necessrias para que a autoridade competente que as recebe possa apreciar at que ponto os
dados so exatos, completos e fiveis, e esto atualizados.

3. Se se verificar que foram transmitidos dados inexatos ou que foram transmitidos dados pessoais de forma ilcita, o
destinatrio deve ser informado sem demora. Neste caso, os dados pessoais so retificados ou apagados, ou o tratamento
limitado nos termos do artigo 16.o.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/109

Artigo 8.o

Licitude do tratamento

1. Os Estados-Membros preveem que o tratamento s seja lcito se e na medida em que for necessrio para o
exerccio de uma atribuio pela autoridade competente para os efeitos previstos no artigo 1.o, n.o 1, e tiver por base o
direito da Unio ou de um Estado-Membro.

2. O direito de um Estado-Membro que rege o tratamento no mbito da presente diretiva especifica pelo menos os
objetivos do tratamento, os dados pessoais a tratar e as finalidades do tratamento.

Artigo 9.o

Condies especficas do tratamento

1. Os dados pessoais recolhidos pelas autoridades competentes para os fins do artigo 1.o, n.o 1, no podem ser
tratados para fins diferentes dos previstos no artigo 1.o, n.o 1, a no ser que esse tratamento seja autorizado pelo direito
da Unio ou de um Estado-Membro. Caso os dados pessoais sejam tratados para esses outros fins, aplicvel o
Regulamento (UE) 2016/679, salvo se tratamento for efetuado no mbito de uma atividade no sujeita aplicao do
direito da Unio.

2. Caso o direito dos Estados-Membros confie s autoridades competentes o exerccio de atribuies diferentes das
exercidas para os fins do artigo 1.o, n.o 1, o Regulamento (UE) 2016/679 aplicvel ao tratamento para esses fins,
inclusive para fins de arquivo de interesse pblico, para fins de investigao cientfica ou histrica ou para fins
estatsticos, salvo se o tratamento for efetuado no mbito de uma atividade no sujeita aplicao do direito da Unio.

3. Caso o direito da Unio ou dos Estados-Membros aplicvel autoridade transmissora competente preveja
condies especficas para o tratamento, os Estados-Membros preveem que a autoridade transmissora competente
informe o destinatrio dos dados pessoais dessas condies e da obrigao de as cumprir.

4. Os Estados-Membros preveem que a autoridade transmissora competente no aplique condies ao abrigo do n.o 3
a destinatrios situados noutros Estados-Membros nem a agncias, organismos e rgos criados nos termos do Ttulo V,
Captulos 4 e 5, do TFUE, diferentes das aplicveis a transmisses de dados similares no Estado-Membro da autoridade
transmissora competente.

Artigo 10.o

Tratamento de categorias especiais de dados pessoais

O tratamento de dados pessoais que revelem a origem racial ou tnica, as opinies polticas, as convices religiosas ou
filosficas, a filiao sindical, o tratamento de dados genticos, dados biomtricos destinados a identificar uma pessoa
singular de forma inequvoca, dados relativos sade ou dados relativos vida sexual ou orientao sexual, s
autorizado se for estritamente necessrio, se estiver sujeito a garantias adequadas dos direitos e liberdades do titular dos
dados, e se:

a) For autorizado pelo direito da Unio ou de um Estado-Membro;

b) Se destinar a proteger os interesses vitais do titular dos dados ou de outra pessoa singular; ou

c) Estiver relacionado com dados manifestamente tornados pblicos pelo titular dos dados.

Artigo 11.o

Decises individuais automatizadas

1. Os Estados-Membros preveem a proibio de decises tomadas exclusivamente com base no tratamento


automatizado, incluindo a definio de perfis, que produzam efeitos adversos na esfera jurdica do titular dos dados ou
que o afetem de forma significativa, a menos que sejam autorizadas pelo direito da Unio ou do Estado-Membro ao qual
o responsvel pelo tratamento est sujeito, e que o direito da Unio ou desse Estado-Membro preveja garantias
adequadas dos direitos e liberdades do titular dos dados, pelo menos o direito de obter a interveno humana do
responsvel pelo tratamento.
L 119/110 PT Jornal Oficial da Unio Europeia 4.5.2016

2. As decises a que se refere o n.o 1 do presente artigo no se baseiam nas categorias especiais de dados pessoais a
que se refere o artigo 8.o, a no ser que sejam aplicadas medidas adequadas para salvaguardar os direitos e liberdades e
os legtimos interesses do titular.

3. Em conformidade com o direito da Unio, so proibidas as definies de perfis que conduzam discriminao de
pessoas singulares com base nas categorias especiais de dados pessoais a que se refere o artigo 10.o.

CAPTULO III

Direitos do titular dos dados

Artigo 12.o

Comunicao e regras de exerccio dos direitos dos titulares dos dados

1. Os Estados-Membros preveem que o responsvel pelo tratamento tome todas as medidas razoveis para fornecer
ao titular dos dados as informaes a que se refere o artigo 13.o e efetue as comunicaes relativas aos artigos 11.o, 14.o
a 18.o e 31.o a respeito do tratamento de uma forma concisa, inteligvel e de fcil acesso, utilizando uma linguagem clara
e simples. As informaes so fornecidas pelos meios adequados, inclusive eletrnicos. Em regra geral, o responsvel
pelo tratamento fornece as informaes na mesma forma que o pedido.

2. Os Estados-Membros preveem que o responsvel pelo tratamento facilite o exerccio dos direitos do titular dos
dados nos termos dos artigos 11.o e 14.o a 18.o.

3. Os Estados-Membros preveem que o responsvel pelo tratamento informe por escrito, sem demora injustificada, o
titular dos dados do seguimento dado ao seu pedido.

4. Os Estados-Membros preveem que as informaes fornecidas nos termos do artigo 13.o e as comunicaes
efetuadas ou as medidas tomadas previstas nos termos dos artigos 11.o, 14.o a 18.o e 31.o, sejam gratuitas. Caso os
pedidos de um titular dos dados sejam manifestamente infundados ou excessivos, particularmente devido ao seu carter
recorrente, o responsvel pelo tratamento pode:
a) Exigir o pagamento de uma taxa razovel, tendo em conta os custos administrativos da prestao das informaes ou
da comunicao ou da tomada das medidas solicitadas; ou
b) Recusar dar seguimento ao pedido.
Nesses casos, cabe ao responsvel pelo tratamento demonstrar o carter manifestamente infundado ou excessivo dos
pedidos.

5. Se tiver dvidas razoveis quanto identidade da pessoa singular que apresenta o pedido a que se referem os
artigos 14.o e 16.o, o responsvel pelo tratamento pode solicitar que lhe sejam fornecidas as informaes adicionais que
forem necessrias para confirmar a identidade do titular dos dados.

Artigo 13.o

Informaes a facultar ou a fornecer ao titular dos dados

1. Os Estados-Membros preveem que o responsvel pelo tratamento faculte ao titular dos dados pelo menos as
seguintes informaes:
a) A identidade e os contactos do responsvel pelo tratamento;
b) Os contactos do encarregado da proteo de dados, se for caso disso;
c) As finalidades do tratamento a que os dados pessoais se destinam;
d) O direito de apresentar reclamao autoridade de controlo e de obter os contactos dessa autoridade;
e) A existncia do direito de solicitar ao responsvel pelo tratamento acesso aos dados pessoais que dizem respeito ao
titular, bem como a sua retificao ou o seu apagamento e a limitao do tratamento.
2. Para alm das informaes a que se refere o n.o 1, os Estados-Membros preveem por lei que o responsvel pelo
tratamento fornea ao titular dos dados, em determinados casos, as seguintes informaes adicionais, a fim de lhe
permitir exercer os seus direitos:
a) O fundamento jurdico do tratamento;
b) O prazo de conservao dos dados pessoais ou, se tal no for possvel, os critrios usados para definir esse perodo;
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/111

c) Se aplicvel, as categorias de destinatrios dos dados pessoais, inclusive nos pases terceiros ou nas organizaes
internacionais;

d) Se for caso disso, informaes adicionais, especialmente se os dados pessoais forem recolhidos sem conhecimento do
seu titular.

3. Os Estados-Membros podem adotar medidas legislativas que prevejam o adiamento, a limitao ou a no prestao
aos titulares dos dados das informaes a que se refere o n.o 2 se e enquanto tais medidas constiturem medidas
necessrias e proporcionadas numa sociedade democrtica, tendo devidamente em conta os direitos fundamentais e os
interesses legtimos das pessoas singulares em causa, a fim de:

a) Evitar prejudicar os inquritos, as investigaes ou os procedimentos oficiais ou judiciais;

b) Evitar prejudicar a preveno, deteo, investigao ou represso de infraes penais ou a execuo de sanes
penais;

c) Proteger a segurana pblica;

d) Proteger a segurana nacional;

e) Proteger os direitos e as liberdades de terceiros.

4. Os Estados-Membros podem adotar medidas legislativas a fim de determinar as categorias de tratamento


suscetveis de ser abrangidas, total ou parcialmente, por uma das alneas do n.o 3.

Artigo 14.o

Direito de acesso do titular dos dados aos seus dados pessoais

Sem prejuzo do artigo 15.o, os Estados-Membros preveem que o titular dos dados tenha o direito de obter do
responsvel pelo tratamento a confirmao de que os dados pessoais que lhe dizem respeito esto ou no a ser objeto
de tratamento e, em caso afirmativo, acesso aos seus dados pessoais e s seguintes informaes:

a) As finalidades e o fundamento jurdico do tratamento;

b) As categorias dos dados pessoais em causa;

c) Os destinatrios ou as categorias de destinatrios aos quais os dados pessoais foram divulgados, especialmente se se
tratar de destinatrios de pases terceiros ou de organizaes internacionais;

d) Sempre que possvel, o prazo previsto de conservao dos dados pessoais ou, se tal no for possvel, os critrios
usados para fixar esse prazo;

e) A existncia do direito de solicitar ao responsvel pelo tratamento a retificao ou o apagamento dos dados pessoais
ou a limitao do tratamento dos dados pessoais que dizem respeito ao titular dos dados;

f) O direito de apresentar reclamao autoridade de controlo e de obter os contactos dessa autoridade;

g) A comunicao dos dados pessoais sujeitos a tratamento e as informaes disponveis sobre a origem dos dados.

Artigo 15.o

Limitaes do direito de acesso

1. Os Estados-Membros podem adotar medidas legislativas para limitar, total ou parcialmente, o direito de acesso do
titular dos dados, se e enquanto tal limitao, total ou parcial, constituir uma medida necessria e proporcionada numa
sociedade democrtica, tendo devidamente em conta os direitos fundamentais e os interesses legtimos das pessoas
singulares em causa, a fim de:

a) Evitar prejudicar os inquritos, as investigaes ou os procedimentos oficiais ou judiciais;

b) Evitar prejudicar a preveno, deteo, investigao ou represso de infraes penais ou a execuo de sanes
penais;

c) Proteger a segurana pblica;


L 119/112 PT Jornal Oficial da Unio Europeia 4.5.2016

d) Proteger a segurana nacional;

e) Proteger os direitos e as liberdades de terceiros.

2. Os Estados-Membros podem adotar medidas legislativas a fim de determinar as categorias de tratamento


suscetveis de ser abrangidas, total ou parcialmente, por uma das categorias previstas no n.o 1.

3. Nos casos a que se referem os n.os 1 e 2, os Estados-Membros preveem que o responsvel pelo tratamento informe
por escrito o titular dos dados, sem demora injustificada, de todos os casos de recusa ou limitao de acesso, e dos
motivos da recusa ou da limitao. Essa informao pode ser omitida caso a sua prestao possa prejudicar uma das
finalidades enunciadas no n.o 1. Os Estados-Membros preveem que o responsvel pelo tratamento informe o titular dos
dados do direito que lhe assiste de apresentar reclamao autoridade de controlo ou de intentar uma ao judicial.

4. Os Estados-Membros preveem que o responsvel pelo tratamento detalhe os motivos de facto ou de direito em que
a sua deciso se baseou. Essa informao deve ser facultada s autoridades de controlo.

Artigo 16.o

Direito de retificao ou apagamento dos dados pessoais e limitao do tratamento

1. Os Estados-Membros preveem que o titular dos dados tenha o direito de obter sem demora injustificada do
responsvel pelo tratamento a retificao dos dados pessoais inexatos que lhe digam respeito. Tendo em conta a
finalidade do tratamento, os Estados-Membros preveem que o titular dos dados tenha direito a que os seus dados
pessoais incompletos sejam completados, inclusive por meio de declarao adicional.

2. Os Estados-Membros exigem que o responsvel pelo tratamento apague os dados pessoais sem demora injustificada
e preveem que o titular dos dados tenha o direito de obter sem demora injustificada do responsvel pelo tratamento o
apagamento dos dados pessoais que lhe digam respeito caso o tratamento infrinja as disposies adotadas nos termos
dos artigos 4.o, 8.o ou 10.o, ou caso os dados pessoais tenham de ser apagados a fim de cumprir uma obrigao legal a
que o responsvel pelo tratamento esteja sujeito.

3. Em vez de proceder ao apagamento, o responsvel pelo tratamento limita o tratamento caso:

a) O titular dos dados conteste a exatido dos dados pessoais e a sua exatido ou inexatido no possa ser apurada; ou

b) Os dados pessoais tenham de ser conservados para efeitos de prova.

Caso o tratamento seja limitado nos termos do primeiro pargrafo, alnea a), o responsvel pelo tratamento informa o
titular dos dados antes de anular a limitao do tratamento.

4. Os Estados-Membros preveem que o responsvel pelo tratamento informe o titular dos dados, por escrito, de
todos os casos de recusa da retificao ou do apagamento de dados pessoais ou da limitao do tratamento, e dos
motivos da recusa. Os Estados-Membros podem adotar medidas legislativas que limitem, total ou parcialmente, a
obrigao de fornecer essas informaes, na medida em que tal limitao constitua uma medida necessria e propor
cionada numa sociedade democrtica, tendo devidamente em conta os direitos fundamentais e os interesses legtimos
das pessoas singulares em causa, a fim de:

a) Evitar prejudicar os inquritos, as investigaes ou os procedimentos oficiais ou judiciais;

b) Evitar prejudicar a preveno, deteo, investigao ou represso de infraes penais ou a execuo de sanes
penais;

c) Proteger a segurana pblica;

d) Proteger a segurana nacional;

e) Proteger os direitos e as liberdades de terceiros.

Os Estados-Membros preveem que o responsvel pelo tratamento informe o titular dos dados do direito de apresentar
reclamao autoridade de controlo ou de intentar ao judicial.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/113

5. Os Estados-Membros preveem que o responsvel pelo tratamento de dados comunique a retificao de dados
pessoais inexatos autoridade competente que est na origem dos dados pessoais inexatos.

6. Os Estados-Membros preveem que, caso os dados pessoais tenham sido retificados ou apagados ou o tratamento
tenha sido limitado nos termos dos n.os 1, 2 e 3, o responsvel pelo tratamento notifique os destinatrios e estes
retifiquem ou apaguem os dados pessoais ou limitem o tratamento de dados pessoais sob a sua responsabilidade.

Artigo 17.o

Exerccio dos direitos do titular dos dados e verificao pela autoridade de controlo

1. Nos casos referidos no artigo 13.o, n.o 3, no artigo 15.o, n.o 3 e no artigo 16.o, n.o 4, os Estados-Membros adotam
medidas que prevejam a possibilidade de os direitos do titular dos dados serem igualmente exercidos atravs da
autoridade de controlo competente.

2. Os Estados-Membros preveem que o responsvel pelo tratamento informe o titular dos dados que os seus direitos
podem ser exercidos atravs da autoridade de controlo nos termos do n.o 1.

3. Se for exercido o direito referido no n.o 1, a autoridade de controlo informa, pelo menos, o titular dos dados de
que procedeu a todas as verificaes necessrias ou a um reexame. A autoridade de controlo informa tambm o titular
dos dados acerca do seu direito de intentar ao judicial.

Artigo 18.o

Direitos do titular dos dados no mbito de investigaes e aes penais

Os Estados-Membros podem prever que os direitos referidos nos artigos 13.o, 14.o e 16.o sejam exercidos nos termos do
direito dos Estados-Membros se os dados pessoais constarem de uma deciso judicial ou registo criminal ou de um
processo objeto de tratamento no mbito de uma investigao ou ao penal.

CAPTULO IV

Responsvel pelo tratamento e subcontratante

Se c o 1
Obr ig a e s ge ra i s

Artigo 19.o

Obrigaes do responsvel pelo tratamento

1. Os Estados-Membros preveem que o responsvel pelo tratamento, tendo em conta a natureza, o mbito, o
contexto e as finalidades do tratamento dos dados, bem como os riscos de probabilidade e gravidade variveis para os
direitos e liberdades das pessoas singulares, aplique as medidas tcnicas e organizativas adequadas para assegurar e poder
comprovar que o tratamento realizado em conformidade com a presente diretiva. Estas medidas so avaliadas e
atualizadas, se necessrio.

2. Caso sejam proporcionadas em relao s atividades de tratamento de dados, as medidas referidas no n.o 1 incluem
a aplicao, pelo responsvel pelo tratamento, de polticas adequadas em matria de proteo de dados.

Artigo 20.o

Proteo de dados desde a conceo e por defeito

1. Os Estados-Membros preveem que o responsvel pelo tratamento, tendo em conta as tcnicas mais avanadas e os
custos da sua aplicao e a natureza, o mbito, o contexto e as finalidades do tratamento, bem como os riscos de
probabilidade e gravidade variveis que representa para os direitos e liberdades das pessoas singulares, aplique, tanto no
momento da definio dos meios de tratamento como no momento do prprio tratamento, as medidas tcnicas e
organizativas como a pseudonimizao concebidas para aplicar de forma eficaz os princpios da proteo de
dados, como a minimizao dos dados, e para integrar as garantias necessrias no tratamento de dados a fim de
satisfazer os requisitos da presente diretiva e de proteger os direitos dos titulares dos dados.
L 119/114 PT Jornal Oficial da Unio Europeia 4.5.2016

2. Os Estados-Membros preveem que o responsvel pelo tratamento aplique as medidas tcnicas e organizativas
adequadas que assegurem, por defeito, que apenas so tratados os dados pessoais necessrios para cada finalidade
especfica do tratamento; tal aplica-se ao volume de dados pessoais recolhidos, extenso do seu tratamento, ao prazo
de conservao e sua acessibilidade. Em especial, estas medidas asseguram que, por defeito, os dados pessoais no so
disponibilizados a um nmero indeterminado de pessoas sem a interveno da pessoa singular em causa.

Artigo 21.o

Responsveis conjuntos pelo tratamento

1. Os Estados-Membros preveem que, quando dois ou mais responsveis pelo tratamento de dados determinam
conjuntamente as finalidades e os meios do tratamento, ambos so responsveis conjuntos pelo tratamento. Ambos
determinam as respetivas responsabilidades por acordo entre si e de modo transparente, a fim de garantir o
cumprimento da presente diretiva, nomeadamente no que diz respeito ao exerccio dos direitos do titular dos dados, e os
respetivos deveres de fornecer as informaes referidas no artigo 13.o, a menos e na medida em que as suas responsabi
lidades respetivas sejam determinadas pelo direito da Unio ou do Estado-Membro a que estejam sujeitos. Desse acordo
deve constar o ponto de contacto dos titulares dos dados. Os Estados-Membros podem determinar qual dos dois
responsveis conjuntos fica habilitado a agir como o ponto de contacto nico para que os titulares dos dados exeram
os seus direitos.

2. Independentemente do acordo a que se refere o n.o 1, os Estados-Membros podem prever que o titular dos dados
exera, em relao a cada um dos responsveis pelo tratamento de dados, os direitos que lhe conferem as disposies
adotadas por fora da presente diretiva.

Artigo 22.o

Subcontratante

1. Os Estados-Membros preveem que, caso o tratamento de dados seja efetuado por conta do responsvel pelo
tratamento, este recorra apenas a subcontratantes que apresentem garantias suficientes de executar medidas tcnicas e
organizativas adequadas, de modo a que o tratamento satisfaa os requisitos estabelecidos na presente diretiva e assegure
a proteo dos direitos do titular dos dados.

2. Os Estados-Membros preveem que o subcontratante no contrate outro subcontratante sem a autorizao prvia
especfica ou geral por escrito do responsvel pelo tratamento. Em caso de autorizao geral por escrito, o subcon
tratante informa o responsvel pelo tratamento de quaisquer alteraes pretendidas quanto ao aditamento ou
substituio de outros subcontratantes, dando, assim ao responsvel pelo tratamento a oportunidade de se opor a tais
alteraes.

3. Os Estados-Membros preveem que o tratamento em subcontratao seja regulada por um contrato ou outro ato
normativo sujeito ao direito da Unio ou dos Estados-Membros, que vincule o subcontratante ao responsvel pelo
tratamento e que estabelea o objeto e a durao do tratamento, a natureza e finalidade do tratamento, o tipo de dados
pessoais e as categorias de titulares de dados, as obrigaes e os direitos do responsvel pelo tratamento. Esse contrato
ou outro ato normativo prev, designadamente, que o subcontratante:

a) S age de acordo com instrues do responsvel pelo tratamento;

b) Assegura que as pessoas autorizadas a tratar os dados pessoais assumiram um compromisso de confidencialidade ou
se encontram sujeitas s obrigaes legais de confidencialidade adequada;

c) Presta assistncia ao responsvel pelo tratamento por todos os meios adequados de modo a assegurar o cumprimento
das disposies relativas aos direitos do titular dos dados;

d) Apaga todos os dados pessoais ou devolve-os ao responsvel pelo tratamento, consoante a escolha deste, depois de
concluir os servios de tratamento de dados, e apaga as cpias existentes, a menos que a sua conservao seja exigida
pelo direito da Unio ou do Estado-Membro;
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/115

e) Disponibiliza ao responsvel pelo tratamento dos dados todas as informaes necessrias para demonstrar o
cumprimento do presente artigo;

f) Respeita as condies referidas nos n.os 2 e 3 na contratao de outro subcontratante.

4. O contrato ou outro ato normativo a que se refere o n.o 3 feito por escrito, inclusivamente em formato
eletrnico.

5. Se, em violao da presente diretiva, um subcontratante determinar as finalidades e os meios do tratamento, esse
mesmo subcontratante considerado responsvel pelo tratamento em relao ao referido tratamento.

Artigo 23.o

Tratamento sob a autoridade do responsvel pelo tratamento ou do subcontratante

Os Estados-Membros preveem que o subcontratante, bem como qualquer pessoa que, agindo sob a autoridade do
responsvel pelo tratamento ou do subcontratante, tenha acesso a dados pessoais, no possa efetuar o seu tratamento
sem instrues do responsvel pelo tratamento, salvo se tal for previsto pelo direito da Unio ou de um Estado-Membro.

Artigo 24.o

Registos das atividades de tratamento

1. Os Estados-Membros preveem que os responsveis pelo tratamento conservem um registo de todas as categorias
de atividades de tratamento sob a sua responsabilidade. Desse registo deve constar:

a) O nome e contactos do responsvel pelo tratamento de dados e, se for caso disso, do responsvel conjunto pelo
tratamento de dados e do encarregado da proteo de dados;

b) As finalidades do tratamento;

c) As categorias de destinatrios a quem os dados pessoais foram ou sero divulgados, incluindo os destinatrios estabe
lecidos em pases terceiros ou organizaes internacionais;

d) A descrio das categorias de titulares de dados e das categorias de dados pessoais;

e) Se for caso disso, a utilizao da definio de perfis;

f) Se for caso disso, as categorias de transferncias de dados pessoais para um pas terceiro ou uma organizao interna
cional;

g) Uma indicao da fundamento jurdico da operao de tratamento, incluindo transferncias, a que os dados pessoais
se destinam;

h) Se possvel, os prazos fixados para o apagamento das diferentes categorias de dados pessoais;

i) Se possvel, uma descrio geral das medidas tcnicas e organizativas em matria de segurana referidas no
artigo 29.o, n.o 1.

2. Os Estados-Membros preveem que os subcontratantes conservem um registo de todas as categorias de atividades


de tratamento realizadas em nome de um responsvel pelo tratamento, do qual constem:

a) O nome e contactos do subcontratante ou subcontratantes, de cada responsvel pelo tratamento em nome do qual
atua o subcontratante, bem como do encarregado da proteo de dados, se for caso disso;

b) As categorias de tratamentos de dados efetuados em nome de cada responsvel pelo tratamento;

c) Se for caso disso, as transferncias de dados pessoais para um pas terceiro ou uma organizao internacional se o
responsvel pelo tratamento der instrues explcitas nesse sentido, incluindo a identificao desse pas terceiro ou
dessa organizao internacional;

d) Se possvel, uma descrio geral das medidas tcnicas e organizativas em matria de segurana referidas no
artigo 29.o, n.o 1.
L 119/116 PT Jornal Oficial da Unio Europeia 4.5.2016

3. Os registos a que se referem os n.os 1 e 2 so conservados por escrito, inclusivamente em formato eletrnico.

O responsvel pelo tratamento e o subcontratante facultam o registo autoridade de controlo, a pedido desta.

Artigo 25.o

Registo cronolgico

1. Os Estados-Membros preveem que sejam conservados em sistemas de tratamento automatizado registos


cronolgicos pelo menos das seguintes operaes de tratamento: recolha, alterao, consulta, divulgao incluindo
transferncias , interconexo e apagamento. Os registos cronolgicos das operaes de consulta e divulgao
permitem determinar o motivo, a data e a hora dessas operaes e, na medida do possvel, a identificao da pessoa que
consultou ou divulgou dados pessoais, e a identidade dos destinatrios desses dados pessoais.

2. Os registos cronolgicos so utilizados exclusivamente para efeitos de verificao da licitude do tratamento,


autocontrolo e garantia da integridade e segurana dos dados pessoais, bem como para aes penais.

3. O responsvel pelo tratamento e o subcontratante disponibilizam os registos cronolgicos autoridade de


controlo, a pedido desta.

Artigo 26.o

Cooperao com a autoridade de controlo

Os Estados-Membros preveem que o responsvel pelo tratamento e o subcontratante cooperem, a pedido, com a
autoridade de controlo no exerccio das suas atribuies.

Artigo 27.o

Avaliao de impacto sobre a proteo de dados

1. Caso um tipo de tratamento, em particular que utilize novas tecnologias, e tendo em conta a sua natureza, mbito,
contexto e finalidades, seja suscetvel de resultar num elevado risco para os direitos e liberdades das pessoas singulares,
os Estados-Membros preveem que o responsvel efetue, antes de iniciar o tratamento, uma avaliao do impacto das
operaes de tratamento previstas na proteo dos dados pessoais.

2. A avaliao a que se refere o n.o 1 inclui pelo menos uma descrio geral das operaes de tratamento de dados
previstas, uma avaliao dos riscos para os direitos e liberdades dos titulares dos dados, as medidas previstas para fazer
face a esses riscos, as garantias, medidas de segurana e mecanismos para assegurar a proteo dos dados pessoais e
demonstrar a conformidade com a presente diretiva, tendo em conta os direitos e os legtimos interesses dos titulares
dos dados e de outras pessoas em causa.

Artigo 28.o

Consulta prvia da autoridade de controlo

1. Os Estados-Membros preveem que o responsvel pelo tratamento ou o subcontratante consulte a autoridade de


controlo antes de proceder ao tratamento de dados pessoais que faro parte de um novo ficheiro a criar caso:
a) A avaliao de impacto sobre a proteo de dados prevista no artigo 27.o indique que o tratamento resultaria num
elevado risco na ausncia das medidas a tomar pelo responsvel pelo tratamento para atenuar o risco; ou
b) O tipo de tratamento envolva, especialmente no caso de se utilizarem novas tecnologias, mecanismos ou procedi
mentos, um elevado risco para os direitos e liberdades dos titulares dos dados.
2. Os Estados-Membros preveem que a autoridade de controlo seja consultada durante a elaborao de propostas de
medidas legislativas a adotar por um parlamento nacional ou de medidas regulamentares baseadas nessas medidas
legislativas, quando tais propostas estejam relacionadas com o tratamento.

3. Os Estados-Membros preveem que a autoridade de controlo possa estabelecer uma lista das operaes de
tratamento de dados sujeitas a consulta prvia nos termos do n.o 1.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/117

4. Os Estados-Membros preveem que o responsvel pelo tratamento fornea autoridade de controlo a avaliao de
impacto sobre a proteo de dados nos termos do artigo 27.o e, quando solicitado, qualquer outra informao que
permita autoridade de controlo avaliar a conformidade do tratamento e, nomeadamente, os riscos para a proteo dos
dados pessoais do titular dos dados e as respetivas garantias.

5. Os Estados-Membros preveem que, caso considere que o tratamento previsto referido no n.o 1 do presente
artigo violaria as disposies adotadas nos termos da presente diretiva, especialmente se o responsvel pelo tratamento
no tiver identificado ou atenuado suficientemente os riscos, a autoridade de controlo, no prazo de seis semanas a
contar da receo do pedido de consulta, d orientaes, por escrito, ao responsvel pelo tratamento e, se aplicvel, ao
subcontratante e possa recorrer a todos os seus poderes referidos no artigo 47.o. Esse prazo pode ser prorrogado por
um ms, tendo em conta a complexidade do tratamento previsto. A autoridade de controlo informa o responsvel pelo
tratamento e, se for caso disso, o subcontratante dessa prorrogao e dos seus fundamentos no prazo de um ms a
contar da data de receo do pedido de consulta.

S ec o 2

Se g ur a na d o s d a do s p es so ai s

Artigo 29.o

Segurana do tratamento

1. Os Estados-Membros preveem que o responsvel pelo tratamento e o subcontratante, tendo em conta as tcnicas
mais avanadas, os custos da sua aplicao e a natureza, o mbito, o contexto e as finalidades do tratamento dos dados,
bem como os riscos de probabilidade e gravidade variveis que este tratamento representa para os direitos e liberdades
das pessoas singulares, apliquem medidas tcnicas e organizativas adequadas a fim de assegurar um nvel de segurana
adequado ao risco, em especial no que respeita ao tratamento das categorias especiais de dados pessoais a que se refere
o artigo 10.o.

2. No que respeita ao tratamento automatizado de dados, cada Estado-Membro prev que o responsvel pelo
tratamento ou o subcontratante, na sequncia de uma avaliao dos riscos, aplique medidas para os seguintes efeitos:

a) Impedir o acesso de pessoas no autorizadas ao equipamento utilizado para o tratamento (controlo de acesso ao
equipamento);

b) Impedir que os suportes de dados sejam lidos, copiados, alterados ou retirados sem autorizao (controlo dos
suportes de dados);

c) Impedir a introduo no autorizada de dados pessoais, bem como qualquer inspeo, alterao ou apagamento no
autorizados de dados pessoais conservados (controlo da conservao);

d) Impedir que os sistemas de tratamento automatizado sejam utilizados por pessoas no autorizadas por meio de
equipamento de comunicao de dados (controlo dos utilizadores);

e) Assegurar que as pessoas autorizadas a utilizar um sistema de tratamento automatizado s tenham acesso aos dados
pessoais abrangidos pela sua autorizao de acesso (controlo do acesso aos dados);

f) Assegurar que possa ser verificado e determinado a organismos os dados pessoais foram ou podem ser transmitidos
ou facultados utilizando equipamento de comunicao de dados (controlo da comunicao);

g) Assegurar que possa ser verificado e determinado a posteriori quais os dados pessoais introduzidos nos sistemas de
tratamento automatizado, quando e por quem (controlo da introduo);

h) Impedir que, durante as transferncias de dados pessoais ou o transporte de suportes de dados, os dados pessoais
possam ser lidos, copiados, alterados ou suprimidos sem autorizao (controlo do transporte);

i) Assegurar que os sistemas utilizados possam ser restaurados em caso de interrupo (recuperao);

j) Assegurar que as funes do sistema funcionem, que os erros de funcionamento sejam assinalados (fiabilidade) e que
os dados pessoais conservados no possam ser falseados por um disfuncionamento do sistema (integridade).
L 119/118 PT Jornal Oficial da Unio Europeia 4.5.2016

Artigo 30.o

Notificao de uma violao de dados pessoais autoridade de controlo

1. Os Estados-Membros preveem que, em caso de violao de dados pessoais, o responsvel pelo tratamento
notifique desse facto a autoridade de controlo sem demora injustificada e, sempre que possvel, at 72 horas aps ter
tido conhecimento da mesma, a menos que a violao dos dados pessoais no seja suscetvel de resultar num risco para
os direitos e liberdades das pessoas singulares. Se a notificao da autoridade de controlo no for feita no prazo de 72
horas, acompanhada dos motivos do atraso.

2. O subcontratante notifica o responsvel pelo tratamento sem demora injustificada aps ter conhecimento de uma
violao de dados pessoais.

3. A notificao referida no n.o 1 deve, pelo menos:

a) Descrever a natureza da violao de dados pessoais incluindo, se possvel e adequado, as categorias e nmero
aproximados de titulares dos dados afetados, bem como as categorias e o nmero aproximado de registos de dados
pessoais em causa;

b) Comunicar o nome e os contactos do encarregado da proteo de dados ou de outro ponto de contacto onde
possam ser obtidas informaes adicionais;

c) Descrever as consequncias provveis da violao de dados pessoais;

d) Descrever as medidas adotadas ou propostas pelo responsvel pelo tratamento para reparar a violao de dados
pessoais, inclusive, se for caso disso, para atenuar os seus eventuais efeitos negativos.

4. Caso, e na medida em que, no seja possvel fornecer as informaes ao mesmo tempo, estas podem ser fornecidas
por fases sem demora injustificada.

5. Os Estados-Membros preveem que o responsvel pelo tratamento documente qualquer violao de dados pessoais
referida no n.o 1, compreendendo os factos relacionados com a violao de dados pessoais, os seus efeitos e as medidas
de reparao adotadas. Essa documentao deve permitir autoridade de controlo verificar o cumprimento do disposto
no presente artigo.

6. Os Estados-Membros preveem que, caso a violao de dados pessoais envolva dados pessoais que tenham sido
transmitidos pelo ou ao responsvel pelo tratamento de outro Estado-Membro, as informaes referidas no n.o 3 sejam
comunicadas sem demora injustificada ao responsvel pelo tratamento deste ltimo Estado-Membro.

Artigo 31.o

Comunicao de uma violao de dados pessoais ao titular dos dados

1. Os Estados-Membros preveem que, quando a violao dos dados pessoais for suscetvel de resultar num elevado
risco para os direitos e liberdades das pessoas singulares, o responsvel pelo tratamento comunique a violao de dados
pessoais ao titular dos dados sem demora injustificada.

2. A comunicao ao titular dos dados referida no n.o 1 do presente artigo descreve numa linguagem clara e simples
a natureza da violao dos dados pessoais e inclui, pelo menos, as informaes e as medidas referidas no artigo 30.o,
n.o 3, alneas b), c) e d).

3. A comunicao ao titular dos dados referida no n.o 1 no exigida se:

a) O responsvel pelo tratamento de dados tiver aplicado medidas de proteo adequadas, tanto tecnolgicas como
organizativas, e essas medidas tiverem sido aplicadas aos dados afetados pela violao de dados pessoais,
especialmente medidas que tornem os dados pessoais incompreensveis para qualquer pessoa no autorizada a aceder
a esses dados, como, por exemplo, a cifragem; ou

b) O responsvel pelo tratamento de dados tiver tomado medidas subsequentes capazes de assegurar que a ocorrncia
de elevado risco para os direitos e liberdades dos titulares referida no n.o 1 deixou de ser provvel; ou

c) Implicar um esforo desproporcionado. Nesse caso, feita uma comunicao pblica ou tomada uma medida
semelhante atravs da qual os titulares dos dados so informados de forma igualmente eficaz.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/119

4. Se o responsvel pelo tratamento no tiver j comunicado a violao de dados pessoais ao titular dos dados, a
autoridade de controlo, tendo considerado a probabilidade de a violao de dados pessoais resultar num elevado risco,
pode exigir que o referido responsvel proceda a essa notificao, ou pode decidir que se encontra preenchida uma das
condies referidas no n.o 3.

5. A comunicao ao titular dos dados referida no n.o 1 do presente artigo pode ser adiada, limitada ou omitida sob
reserva das condies e pelos motivos enunciados no artigo 13.o, n.o 3.

Se c o 3
E nc ar re ga d o da p r ot e o d e d ad o s

Artigo 32.o

Designao do encarregado da proteo de dados

1. Os Estados-Membros preveem que o responsvel pelo tratamento designe um encarregado da proteo de dados.
Os Estados-Membros podem isentar dessa obrigao os tribunais e outras autoridades judiciais independentes no
exerccio da sua funo jurisdicional.

2. O encarregado da proteo de dados designado com base nas suas qualidades profissionais e, em especial, nos
seus conhecimentos especializados no domnio da legislao e prticas de proteo de dados, bem como na sua
capacidade para desempenhar as funes referidas no artigo 34.o.

3. Pode ser designado um nico encarregado da proteo de dados para vrias autoridades competentes, tendo em
conta a sua dimenso e estrutura organizativa.

4. Os Estados-Membros preveem que o responsvel pelo tratamento dos dados publique os contactos do encarregado
da proteo de dados e os comunique autoridade de controlo.

Artigo 33.o

Cargo de encarregado da proteo de dados

1. Os Estados-Membros preveem que o responsvel pelo tratamento assegure que o encarregado da proteo de
dados seja envolvido, de forma adequada e em tempo til, em todas as questes relacionadas com a proteo de dados
pessoais.

2. O responsvel pelo tratamento dos dados apoia o encarregado da proteo de dados no desempenho das funes a
que se refere o artigo 34.o, fornecendo-lhe os recursos necessrios para o efeito e para a manuteno dos seus conheci
mentos, e dando-lhe acesso aos dados pessoais e s operaes de tratamento.

Artigo 34.o

Funes do encarregado da proteo de dados

Os Estados-Membros preveem que o responsvel pelo tratamento confie ao encarregado da proteo de dados, pelo
menos, as seguintes funes:
a) Informar e aconselhar o responsvel pelo tratamento dos dados e os empregados que efetuem o tratamento quanto
s obrigaes que lhes incumbem por fora da presente diretiva e a outras disposies da Unio ou dos Estados-
-Membros de proteo de dados;
b) Fiscalizar a conformidade com a presente diretiva, com outras disposies da Unio ou dos Estados-Membros de
proteo de dados e com as polticas do responsvel pelo tratamento de dados em matria de proteo de dados
pessoais, incluindo a repartio de responsabilidades, a sensibilizao e formao do pessoal implicado nas operaes
de tratamento de dados e as auditorias correspondentes;
c) Prestar aconselhamento, quando tal lhe for solicitado, no que respeita avaliao de impacto sobre a proteo de
dados e controlar a sua realizao nos termos do artigo 27.o;
d) Cooperar com a autoridade de controlo;
e) Ponto de contacto para a autoridade de controlo em assuntos relacionados com o tratamento, incluindo a consulta
prvia referida no artigo 28.o, e aconselhar esta autoridade, se for caso disso, sobre qualquer outro assunto.
L 119/120 PT Jornal Oficial da Unio Europeia 4.5.2016

CAPTULO V

Transferncias de dados pessoais para pases terceiros ou organizaes internacionais

Artigo 35.o

Princpios gerais das transferncias de dados pessoais

1. Os Estados-Membros preveem que qualquer transferncia, por parte das autoridades competentes, de dados
pessoais que sejam ou se destinem a ser objeto de tratamento aps transferncia para um pas terceiro ou uma
organizao internacional, inclusivamente que se destinem a transferncias ulteriores para outro pas terceiro ou outra
organizao internacional, s possa ser efetuada nos termos das disposies nacionais adotadas por fora de outras
disposies da presente diretiva, se forem preenchidas as condies previstas neste captulo, a saber:

a) A transferncia se necessria para a consecuo das finalidades estabelecidas no artigo 1.o, n.o 1;

b) Os dados pessoais serem transferidos para um responsvel pelo tratamento no pas terceiro ou na organizao
internacional que seja uma autoridade competente para as finalidades referidas no artigo 1.o, n.o 1;

c) Caso os dados pessoais sejam transmitidos ou disponibilizados por outro Estado-Membro, esse Estado ter dado o seu
consentimento prvio transferncia nos termos do seu direito nacional;

d) A Comisso ter adotado uma deciso de adequao nos termos do artigo 36.o ou, na falta dessa deciso de
adequao, terem sido apresentadas ou existirem garantias adequadas nos termos do artigo 37.o, ou, na falta de
deciso de adequao nos termos do artigo 36.o ou de garantias adequadas nos termos do artigo 37.o, se forem
aplicveis derrogaes a situaes especficas nos termos do artigo 38.o; e

e) No caso de uma transferncia ulterior para um pas terceiro ou uma organizao internacional, a autoridade
competente que realizou a transferncia inicial, ou outra autoridade competente do mesmo Estado-Membro, autorizar
a transferncia ulterior aps ter em conta todos os fatores pertinentes, incluindo a gravidade da infrao penal, a
finalidade para que os dados pessoais foram transferidos inicialmente e o nvel de proteo dos dados pessoais no
pas terceiro ou na organizao internacional para os quais os dados pessoais so ulteriormente transferidos.

2. Os Estados-Membros preveem que as transferncias sem consentimento prvio de outro Estado-Membro nos
termos do n.o 1, alnea c), s sejam permitidas se a transferncia de dados pessoais for necessria para prevenir uma
ameaa imediata e grave segurana pblica de um Estado-Membro ou de um pas terceiro ou aos interesses essenciais
de um Estado-Membro e o consentimento prvio no puder ser obtido em tempo til. A autoridade responsvel por dar
o consentimento prvio informada sem demora.

3. Todas as disposies do presente captulo so aplicadas de forma a assegurar que no fique comprometido o nvel
de proteo das pessoas singulares assegurado pela presente diretiva.

Artigo 36.o

Transferncias com base numa deciso de adequao

1. Os Estados-Membros preveem que uma transferncia de dados pessoais para um pas terceiro ou uma organizao
internacional possa ser efetuada se a Comisso tiver determinado que o pas terceiro, um territrio ou um ou mais
setores especficos desse pas terceiro, ou a organizao internacional em causa, assegura um nvel de proteo
adequado. Esta transferncia no exige autorizao especfica.

2. Ao avaliar a adequao do nvel de proteo, a Comisso tem particularmente em conta os seguintes elementos:

a) O primado do Estado de direito, o respeito pelos direitos humanos e liberdades fundamentais, a legislao pertinente
em vigor, tanto a geral como a setorial, nomeadamente em matria de segurana pblica, defesa, segurana nacional
e direito penal, e respeitante ao acesso das autoridades pblicas a dados pessoais, bem como a aplicao desta
legislao, das regras de proteo de dados, das regras profissionais e das medidas de segurana relativas proteo
de dados, incluindo as regras para transferncia ulterior de dados pessoais para outro pas terceiro ou organizao
internacional, que so cumpridas nesse pas ou por essa organizao internacional, e a jurisprudncia, bem como os
direitos dos titulares dos dados efetivos e oponveis, e meios efetivos de recurso administrativo e judicial para os
titulares dos dados cujos dados pessoais sejam objeto de transferncia;

b) A existncia e o funcionamento efetivo de uma ou mais autoridades de controlo independentes no pas terceiro ou s
quais esteja sujeita uma organizao internacional, responsveis por assegurar e fazer cumprir as regras de proteo
de dados e dotadas de poderes sancionatrios adequados para assistir e aconselhar os titulares dos dados no exerccio
dos seus direitos, e por cooperar com as autoridades de controlo dos Estados-Membros; e
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/121

c) Os compromissos internacionais assumidos pelo pas terceiro ou pela organizao internacional em causa, ou outras
obrigaes decorrentes de convenes ou instrumentos juridicamente vinculativos, bem como da sua participao em
sistemas multilaterais ou regionais, em especial em relao proteo de dados pessoais.

3. Uma vez avaliada a adequao do nvel de proteo, a Comisso pode decidir, por meio de um ato de execuo,
que um pas terceiro, um territrio, um ou mais setores especficos desse pas terceiro, ou uma organizao interna
cional, assegura um nvel de proteo adequado na aceo do n.o 2 do presente artigo. O ato de execuo prev um
processo de avaliao peridica, no mnimo de quatro em quatro anos, que dever ter em conta todos os desenvolvi
mentos pertinentes no pas terceiro ou na organizao internacional. O ato de execuo especifica o mbito de aplicao
territorial e setorial e, se existir, identifica a autoridade ou autoridades de controlo a que se refere o n.o 2, alnea b) do
presente artigo. O ato de execuo adotado pelo procedimento de exame a que se refere o artigo 58.o, n.o 2.

4. A Comisso controla, de forma continuada, os desenvolvimentos nos pases terceiros e nas organizaes interna
cionais que possam afetar o funcionamento das decises adotadas nos termos do n.o 3.

5. A Comisso, sempre que a informao disponvel revelar, nomeadamente na sequncia da reviso a que se refere o
n.o 3 do presente artigo, que um pas terceiro, um territrio ou um ou mais setores especficos de um pas terceiro, ou
uma organizao internacional, deixou de assegurar um nvel de proteo adequado na aceo do n.o 2 do presente
artigo, na medida do necessrio, revoga, altera ou suspende a deciso referida no n.o 3 do presente artigo, por meio de
atos de execuo sem efeitos retroativos. Esses atos de execuo so adotados pelo procedimento de exame a que se
refere o artigo 58.o, n.o 2.

Por imperativos de urgncia devidamente justificados, a Comisso adota atos de execuo imediatamente aplicveis pelo
procedimento a que se refere o artigo 58.o, n.o 3.

6. A Comisso inicia consultas com o pas terceiro ou a organizao internacional com vista a remediar a situao
que tiver dado origem deciso adotada nos termos do n.o 5.

7. Os Estados-Membros preveem que as decises adotadas nos termos do n.o 5 no prejudicam as transferncias de
dados pessoais para o pas terceiro, o territrio ou o setor especfico desse pas terceiro, ou para a organizao interna
cional em causa, nos termos dos artigos 37.o e 38.o.

8. A Comisso publica no Jornal Oficial da Unio Europeia e no seu stio web uma lista dos pases terceiros, territrios e
setores especficos de um pas terceiro e de organizaes internacionais relativamente aos quais tenha declarado,
mediante deciso, se asseguram ou no um nvel de proteo adequado.

Artigo 37.o

Transferncias sujeitas a garantias adequadas

1. Na falta de uma deciso nos termos do artigo 36.o, n.o 3, os Estados-Membros preveem a possibilidade de se
transferirem dados pessoais para um pas terceiro ou organizao internacional se:

a) Tiverem sido apresentadas garantias adequadas no que diz respeito proteo de dados pessoais mediante um
instrumento juridicamente vinculativo; ou

b) O responsvel pelo tratamento de dados tiver avaliado todas as circunstncias inerentes transferncia de dados
pessoais e concludo que existem garantias adequadas r no que diz respeito proteo desses dados.

2. O responsvel pelo tratamento informa a autoridade de controlo sobre as categorias de transferncias abrangidas
pelo n.o 1, alnea b).

3. As transferncias baseadas no n.o 1, alnea b), so documentadas, devendo a documentao ser disponibilizada
autoridade de controlo, a pedido desta, incluindo a data e hora da transferncia, informaes acerca da autoridade
competente que as recebe, a justificao da transferncia e os dados pessoais transferidos.
L 119/122 PT Jornal Oficial da Unio Europeia 4.5.2016

Artigo 38.o

Derrogaes aplicveis a situaes especficas

1. Na falta de uma deciso de adequao nos termos do artigo 36.o ou de garantias adequadas nos termos do
artigo 37.o, os Estados-Membros preveem que s se possa efetuar uma transferncia ou uma categoria de transferncias
de dados pessoais para um pas terceiro ou uma organizao internacional se a transferncia for necessria:

a) Para proteger os interesses vitais do titular dos dados ou de outra pessoa;

b) Para salvaguardar os legtimos interesses do titular dos dados caso a legislao do Estado-Membro que transfere os
dados pessoais o preveja;

c) Para prevenir uma ameaa imediata e grave contra a segurana pblica de um Estado-Membro ou de um pas
terceiro;

d) Em determinados casos, para a consecuo das finalidades estabelecidas no artigo 1.o, n.o 1; ou

e) Num dado caso, para declarar, exercer ou defender num processo judicial um direito relacionado com as finalidades
estabelecidas no artigo 1.o, n.o 1.

2. Os dados pessoais no so transferidos se a autoridade competente que procede transferncia determinar que,
aquando da transferncia referida no n.o 1, alneas d) e e), os direitos e liberdades fundamentais do titular dos dados em
causa primam sobre o interesse pblico.

3. As transferncias baseadas no n.o 1 so documentadas, devendo a documentao ser disponibilizada autoridade


de controlo, a pedido desta, incluindo a data e hora da transferncia, informaes acerca da autoridade competente que
as recebe, a justificao da transferncia e os dados pessoais transferidos.

Artigo 39.o

Transferncias de dados pessoais para destinatrios estabelecidos em pases terceiros

1. Em derrogao do artigo 35.o, n.o 1, alnea b), e sem prejuzo de qualquer acordo internacional referido no n.o 2
do presente artigo, o direito da Unio ou dos Estados-Membros pode prever a possibilidade de, em determinados casos
especficos, as autoridades competentes referidas no artigo 3.o, ponto 7), alnea a), transferirem dados pessoais
diretamente para destinatrios estabelecidos em pases terceiros unicamente no caso de serem cumpridas as demais
disposies da presente diretiva e preenchidas todas as seguintes condies:

a) A transferncia estritamente necessria a uma funo desempenhada pela autoridade competente que efetua a
transferncia e prevista pelo direito da Unio ou dos Estados-Membros tendo em vista a consecuo das finalidades
estabelecidas no artigo 1.o, n.o 1;

b) A autoridade competente que efetua a transferncia determina que nenhum direito ou liberdade fundamental do
titular dos dados em causa prevalece sobre o interesse pblico que exige a transferncia no caso em apreo;

c) A autoridade competente que efetua a transferncia considera que a transferncia para uma autoridade que
competente para os efeitos referidos no artigo 1.o, n.o 1, no pas terceiro se revela ineficaz ou desadequada,
nomeadamente por no ser possvel efetu-la em tempo til;

d) A autoridade que competente para os efeitos referidos no artigo 1.o, n.o 1, no pas terceiro informada sem demora
injustificada, a menos que tal se revele ineficaz ou inadequado; e

e) A autoridade competente que efetua a transferncia informa o destinatrio da finalidade ou finalidades especficas
para as quais o destinatrio apenas pode tratar os dados pessoais, desde que o tratamento seja necessrio.

2. Por acordo internacional a que se refere o n.o 1 entende-se um acordo internacional bilateral ou multilateral em
vigor entre os Estados-Membros e pases terceiros no domnio da cooperao judiciria em matria penal e da
cooperao policial.

3. A autoridade competente que efetua a transferncia informa a autoridade de controlo sobre as transferncias
abrangidas pelo presente artigo.

4. As transferncias efetuadas nos termos do n.o 1 devem ser documentadas.


4.5.2016 PT Jornal Oficial da Unio Europeia L 119/123

Artigo 40.o

Cooperao internacional no domnio da proteo de dados pessoais

Em relao a pases terceiros e a organizaes internacionais, a Comisso e os Estados-Membros adotam as medidas


necessrias destinadas a:
a) Estabelecer procedimentos internacionais de cooperao destinados a facilitar a aplicao efetiva da legislao em
matria de proteo de dados pessoais;
b) Prestar assistncia mtua a nvel internacional no domnio da aplicao da legislao de proteo de dados pessoais,
nomeadamente atravs da notificao, transmisso das reclamaes, assistncia na investigao e intercmbio de
informaes, sob reserva das garantias adequadas para a proteo dos dados pessoais e outros direitos e liberdades
fundamentais;
c) Associar as partes interessadas aos debates e atividades que visem promover a cooperao internacional no mbito da
aplicao da legislao relativa proteo de dados pessoais;
d) Promover o intercmbio e a documentao da legislao e das prticas em matria de proteo de dados pessoais,
inclusive sobre conflitos jurisdicionais com pases terceiros.

CAPTULO VI

Autoridades de controlo independentes

S ec o 1
Es t a tuto ind ep e nde nte

Artigo 41.o

Autoridade de controlo

1. Cada Estado-Membro prev que cabe a uma ou mais autoridades pblicas independentes a responsabilidade pela
fiscalizao da aplicao da presente diretiva, a fim de proteger os direitos e liberdades fundamentais das pessoas
singulares relativamente ao tratamento e de facilitar a livre circulao desses dados na Unio (autoridade de controlo).

2. Cada autoridade de controlo contribui para a aplicao coerente da presente diretiva em toda a Unio. Para esse
efeito, as autoridades de controlo cooperam entre si e com a Comisso nos termos do Captulo VII.

3. Os Estados-Membros podem prever que uma autoridade de controlo criada pelo Regulamento (UE) 2016/679 seja
a autoridade de controlo a que se refere a presente diretiva e assuma as funes de autoridade de controlo a definir nos
termos do n.o 1 do presente artigo.

4. Se for criada mais do que uma autoridade de controlo num Estado-Membro, o Estado-Membro em questo designa
a autoridade de controlo que representa as demais no Comit a que se refere o artigo 51.o.

Artigo 42.o

Independncia

1. Os Estados-Membros preveem que cada autoridade de controlo aja com total independncia no exerccio das suas
atribuies e dos poderes que lhe forem atribudos nos termos da presente diretiva.

2. Os Estados-Membros preveem que os membros das autoridades de controlo, no desempenho das suas funes e
no exerccio dos poderes nos termos da presente diretiva, no estejam sujeitos a influncias externas, diretas ou
indiretas, e no solicitem nem recebam instrues de outrem.

3. Os membros das autoridades de controlo dos Estados-Membros abstm-se de qualquer ato incompatvel com as
suas funes e, durante o seu mandato, no podem desempenhar qualquer atividade profissional incompatvel,
remunerada ou no.

4. Os Estados-Membros asseguram que as suas autoridades de controlo disponham dos recursos humanos, tcnicos e
financeiros, instalaes e infraestruturas necessrios ao exerccio eficaz das suas atribuies e dos seus poderes, designa
damente no contexto da assistncia mtua, da cooperao e da participao no Comit.
L 119/124 PT Jornal Oficial da Unio Europeia 4.5.2016

5. Os Estados-Membros asseguram que as suas autoridades de controlo escolham e disponham do seu prprio
pessoal, que ficar sob a direo exclusiva dos membros da autoridade de controlo interessadas.

6. Os Estados-Membros asseguram que as suas autoridades de controlo fiquem sujeitas a um controlo financeiro que
no afete a sua independncia e que disponham de oramentos anuais separados e pblicos, que podero estar
integrados no oramento geral do Estado ou no oramento nacional.

Artigo 43.o

Condies gerais aplicveis aos membros da autoridade de controlo

1. Os Estados-Membros preveem que cada membro das respetivas autoridades de controlo seja nomeado por
procedimento transparente:

pelo Parlamento,

pelo Governo,

pelo Chefe de Estado, ou

por um organismo independente incumbido da nomeao nos termos do direito do Estado-Membro.

2. Cada membro possui as habilitaes, a experincia e os conhecimentos tcnicos necessrios, nomeadamente no


domnio da proteo de dados pessoais, ao desempenho das suas funes e ao exerccio dos seus poderes.

3. As funes de membro da autoridade de controlo cessam findo o seu mandato, com a sua exonerao ou
aposentao compulsiva, nos termos do direito do Estado-Membro em causa.

4. Um membro pode ser exonerado apenas se tiver cometido uma falta grave ou se tiver deixado de cumprir os
requisitos previstos para o exerccio das suas funes.

Artigo 44.o

Regras aplicveis criao da autoridade de controlo

1. Cada Estado-Membro estabelece por lei:

a) A criao da respetiva autoridade de controlo;

b) As qualificaes e condies de elegibilidade necessrias para a nomeao dos membros da respetiva autoridade de
controlo;

c) As regras e procedimentos aplicveis nomeao dos membros da respetiva autoridade de controlo;

d) A durao do mandato dos membros da respetiva autoridade de controlo, que no deve ser inferior a quatro anos,
salvo no caso do primeiro mandato aps 6 de maio de 2016, que pode ser mais curta caso seja necessrio preservar
a independncia da autoridade de controlo atravs de um procedimento de nomeaes escalonadas;

e) Se for caso disso, o nmero mximo, de mandatos dos membros da respetiva autoridade de controlo;

f) As condies que regem as obrigaes dos membros e do pessoal da respetiva autoridade de controlo, a proibio
das aes, funes e benefcios que com elas so incompatveis durante o mandato e aps o seu termo e as normas
que regem a cessao da relao de trabalho.

2. Os membros e o pessoal de cada autoridade de controlo ficam sujeitos, nos termos do direito da Unio ou dos
Estados-Membros, obrigao de sigilo profissional, tanto durante o seu mandato como aps o seu termo, no que
respeita a quaisquer informaes confidenciais a que tenham tido acesso no desempenho das suas funes ou no
exerccio dos seus poderes. Durante o seu mandato, essa obrigao de sigilo profissional aplica-se, em especial,
comunicao por pessoas singulares das violaes da presente diretiva.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/125

S ec o 2

Co mpe t ncia , at r ibu i e s e p o de re s

Artigo 45.o

Competncia

1. Os Estados-Membros preveem que a respetiva autoridade de controlo seja competente para, no respetivo territrio,
exercer as atribuies e os poderes que lhe so conferidos pela presente diretiva.

2. Os Estados-Membros preveem que a respetiva autoridade de controlo no seja responsvel pela superviso de
operaes de tratamento efetuadas pelos tribunais no exerccio da sua funo jurisdicional. Os Estados-Membros podem
estabelecer que a respetiva autoridade de controlo no tenha competncia para supervisionar operaes de tratamento
efetuadas por outras autoridades judiciais independentes no exerccio da sua funo jurisdicional

Artigo 46.o

Atribuies

1. Os Estados-Membros preveem que, no territrio respetivo, cada autoridade de controlo:

a) Fiscalize e faa aplicar a presente diretiva e as suas medidas de execuo;

b) Promova a sensibilizao e a compreenso do pblico relativamente aos riscos, regras, garantias e direitos associados
ao tratamento;

c) Aconselhe, nos termos do direito do Estado-Membro, o Parlamento nacional, o Governo e outras instituies e
organismos quanto s medidas legislativas e administrativas relacionadas com a proteo dos direitos e liberdades das
pessoas singulares em matria de tratamento;

d) Promova a sensibilizao dos responsveis pelo tratamento e dos subcontratantes para as obrigaes que lhes
incumbem nos termos da presente diretiva;

e) Se tal lhe for solicitado, preste informaes a qualquer titular de dados sobre o exerccio dos seus direitos nos termos
da presente diretiva e, se adequado, coopere para esse efeito com as autoridades de controlo de outros Estados-
-Membros;

f) Trate de reclamaes apresentadas pelos titulares de dados ou por um organismo, organizao ou associao, nos
termos do artigo 55.o, e investigue, na medida do necessrio, o contedo da reclamao, informando o autor da
reclamao do andamento e do resultado da investigao num prazo razovel, especialmente se forem necessrias
operaes de investigao ou de coordenao complementares com outra autoridade de controlo;

g) Verifique a licitude do tratamento nos termos do artigo 17.o e, num prazo razovel, informe o respetivo titular do
resultado da verificao, conforme previsto no n.o 3 desse artigo, ou dos motivos que impediram a sua realizao;

h) Coopere, nomeadamente partilhando informaes, e preste assistncia mtua a outras autoridades de controlo, tendo
em vista assegurar a coerncia da aplicao e da execuo da presente diretiva;

i) Conduza investigaes sobre a aplicao da presente diretiva, nomeadamente com base em informaes recebidas de
outra autoridade de controlo ou outra autoridade pblica;

j) Acompanhe factos novos relevantes na medida em que tenham incidncia na proteo de dados pessoais, particu
larmente a evoluo a nvel das tecnologias da informao e comunicao;

k) Preste aconselhamento sobre as operaes de tratamento referidas no artigo 28.o;

l) Contribua para as atividades do Comit.

2. As autoridades de controlo facilitam a apresentao das reclamaes previstas no n.o 1, alnea f), tomando certas
medidas, como, por exemplo, fornecer formulrios para apresentao de reclamaes que possam tambm ser
preenchidos eletronicamente, sem excluir outros meios de comunicao.
L 119/126 PT Jornal Oficial da Unio Europeia 4.5.2016

3. O exerccio das atribuies de cada autoridade de controlo gratuito para o titular dos dados e para o encarregado
da proteo de dados.

4. Caso os pedidos sejam manifestamente infundados ou excessivos, particularmente devido ao seu carter recorrente,
a autoridade de controlo pode exigir o pagamento de uma taxa razovel, com base nos custos administrativos, ou
indeferi-los. Cabe autoridade de controlo demonstrar o carter manifestamente infundado ou excessivo do pedido.

Artigo 47.o

Poderes

1. Cada Estado-Membro prev, por lei, que a sua autoridade de controlo detenha poderes de investigao efetivos.
Esses poderes incluem, pelo menos, o poder de obter do responsvel pelo tratamento de dados e do subcontratante
autorizao de acesso a todos os dados pessoais objeto de tratamento e a todas as informaes necessrias ao exerccio
das suas atribuies.

2. Cada Estado-Membro prev, por lei, que a sua autoridade de controlo tenha poderes de correo efetivos, como,
por exemplo:

a) Advertir o responsvel pelo tratamento de dados ou o subcontratante de que as operaes de tratamento previstas
so suscetveis de violar as disposies adotadas por fora da presente diretiva;

b) Ordenar ao responsvel pelo tratamento de dados ou ao subcontratante que, na medida do necessrio, proceda por
forma a que as operaes de tratamento cumpram as disposies adotadas por fora da presente diretiva, de
determinada forma e num prazo determinado; em especial, ordenar a retificao ou apagamento dos dados pessoais
ou a limitao tratamento nos termos do artigo 16.o;

c) Impor uma limitao temporria ou definitiva, inclusive uma proibio, ao tratamento.

3. Cada Estado-Membro prev, por lei, que a sua autoridade de controlo tenha poderes consultivos efetivos para
aconselhar o responsvel pelo tratamento de dados pelo procedimento de consulta prvia previsto no artigo 28.o e
emitir, por iniciativa prpria ou a pedido, pareceres dirigidos ao seu Parlamento nacional, ao seu Governo ou, nos
termos do direito do Estado-Membro, a outras instituies e organismos, bem como ao pblico, sobre qualquer questo
relacionada com a proteo de dados pessoais.

4. O exerccio dos poderes conferidos autoridade de controlo nos termos do presente artigo est sujeito a garantias
adequadas, incluindo o direito ao judicial e a um processo equitativo, previstas no direito da Unio e dos Estados-
-Membros em conformidade com a Carta.

5. Cada Estado-Membro prev, por lei, que a sua autoridade de controlo tenha o poder de apresentar as violaes das
disposies adotadas por fora da presente diretiva ao conhecimento das autoridades judiciais e, se adequado, de intentar
ou de outro modo intervir em processos judiciais, a fim de fazer aplicar as disposies adotadas por fora da presente
diretiva.

Artigo 48.o

Comunicao das violaes

Os Estados-Membros preveem que as autoridades competentes aplicam procedimentos eficazes para incentivar a
comunicao confidencial das violaes da presente diretiva.

Artigo 49.o

Relatrio de atividades

Cada autoridade de controlo elabora um relatrio anual de atividades, que pode incluir uma lista dos tipos de violaes
notificadas e dos tipos de sanes aplicadas. Esses relatrios so apresentados ao Parlamento nacional, ao Governo e s
outras autoridades designadas pelo direito do Estado-Membro. Os relatrio so disponibilizados ao pblico, Comisso
e ao Comit.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/127

CAPTULO VII

Cooperao

Artigo 50.o

Assistncia mtua

1. Os Estados-Membros preveem que as suas autoridades de controlo prestem entre si informaes relevantes e
assistncia mtua a fim de executar e aplicar a presente diretiva de forma coerente, e ponham em prtica medidas para
cooperar eficazmente entre si. A assistncia mtua abrange, em especial, os pedidos de informao e as medidas de
controlo, como os pedidos de consulta, inspeo e investigao.

2. Os Estados-Membros preveem que cada autoridade de controlo tome todas as medidas adequadas para responder
aos pedidos de outra autoridade de controlo sem demora injustificada e, o mais tardar, um ms aps a receo do
pedido. Essas medidas podem incluir, particularmente, a transmisso de informaes teis sobre a conduo de uma
investigao.

3. Os pedidos de assistncia inclui todas as informaes necessrias, nomeadamente a finalidade e os motivos do


pedido. As informaes trocadas s so utilizadas para a finalidade para que tenham sido solicitadas.

4. A autoridade de controlo requerida no pode indeferir um pedido, salvo se:

a) No for competente em razo do objeto do pedido ou das medidas cuja execuo lhe solicitada; ou

b) O deferimento do pedido viole a presente diretiva ou o direito da Unio ou do Estado-Membro ao qual a autoridade
de controlo que recebe o pedido esteja sujeita.

5. A autoridade de controlo requerida informa a autoridade de controlo requerente dos resultados obtidos ou,
consoante o caso, do andamento do pedido ou das medidas tomadas para lhe dar resposta. A autoridade de controlo
requerida deve fundamentar a deciso de indeferir o pedido nos termos do n.o 4.

6. As autoridades de controlo requeridas fornecem, em regra, as informaes solicitadas por outras autoridades de
controlo por meios eletrnicos, utilizando um formato normalizado.

7. As autoridades de controlo requeridas no cobram taxas pelas medidas por elas tomadas por fora de pedidos de
assistncia mtua. As autoridades de controlo podem acordar regras para a indemnizao recproca de despesas
especficas decorrentes da prestao de assistncia mtua em circunstncias excecionais.

8. A Comisso pode especificar, por atos de execuo, o formato e os procedimentos de assistncia mtua referidos
no presente artigo, bem como as regras de intercmbio eletrnico de informaes entre as autoridades de controlo e
entre estas e o Comit. Os referidos atos de execuo so adotados pelo procedimento de exame a que se refere o
artigo 58.o, n.o 2.

Artigo 51.o

Atribuies do Comit

1. O Comit criado pelo Regulamento (UE) 2016/679 exerce as seguintes atribuies no que diz respeito ao
tratamento no mbito de aplicao da presente diretiva:

a) Aconselhar a Comisso em todas as questes relacionadas com a proteo de dados pessoais na Unio,
nomeadamente em qualquer projeto de alterao da presente diretiva;

b) Analisar, por iniciativa prpria ou a pedido de um dos seus membros ou da Comisso, qualquer questo relativa
aplicao da presente diretiva e emitir diretrizes, recomendaes e boas prticas a fim de incentivar a aplicao
coerente da presente diretiva;

c) Elaborar diretrizes dirigidas s autoridades de controlo em matria de aplicao das medidas referidas no artigo 47.o,
n.os 1 e 3;

d) Emitir diretrizes, recomendaes e boas prticas em conformidade com a alnea b) do presente pargrafo, aplicveis
determinao das violaes de dados pessoais e da demora injustificada referidas no artigo 30.o, n.os 1 e 2, e s cir
cunstncias particulares em que um responsvel pelo tratamento ou um subcontratante obrigado a notificar a
violao de dados pessoais;
L 119/128 PT Jornal Oficial da Unio Europeia 4.5.2016

e) Emitir diretrizes, recomendaes e boas prticas em conformidade com a alnea b) do presente pargrafo em relao
s circunstncias em que uma violao de dados pessoais suscetvel de resultar num elevado risco para os direitos e
liberdades das pessoas singulares a que se refere o artigo 31.o, n.o 1;

f) Examinar a aplicao prtica das diretrizes, recomendaes e boas prticas referidas nas alneas b) e c);

g) Dar parecer Comisso tendo em vista avaliar a adequao do nvel de proteo num pas terceiro ou organizao
internacional e tambm avaliar se um pas terceiro, o territrio ou a organizao internacional ou o setor especfico
deixou de garantir um nvel de proteo adequado;

h) Promover a cooperao e o intercmbio bilateral e multilateral efetivo de informaes e melhores prticas entre as
autoridades de controlo;

i) Promover programas de formao comuns e facilitar o intercmbio de pessoal entre autoridades de controlo, bem
como, se necessrio, com as autoridades de controlo de pases terceiros ou organizaes internacionais;

j) Promover o intercmbio de conhecimentos e documentao sobre direito e prticas de proteo de dados com
autoridades de controlo de todo o mundo.

Para efeitos do primeiro pargrafo, da alnea g), a Comisso fornece ao Comit toda a documentao necessria,
incluindo a correspondncia com o governo do pas terceiro, o territrio ou o setor especfico nesse pas terceiro, ou
com a organizao internacional.

2. Se consultar o Comit, a Comisso pode fixar um prazo para tal, tendo em conta a urgncia do assunto.

3. O Comit transmite os seus pareceres, diretrizes, recomendaes e melhores prticas Comisso e ao comit
referido no artigo 58.o, n.o 1, e procede sua publicao.

4. A Comisso informa o Comit das medidas tomadas na sequncia dos pareceres, diretrizes, recomendaes e
melhores prticas por ele emitidos.

CAPTULO VIII

Vias de recurso, responsabilidade e sanes

Artigo 52.o

Direito de apresentar reclamao a uma autoridade de controlo

1. Sem prejuzo de qualquer outra via de recurso administrativo ou judicial, os Estados-Membros preveem que todos
os titulares de dados tm o direito de apresentar reclamao a uma autoridade de controlo nica, se o titular dos dados
considerar que o tratamento dos dados pessoais que lhe diz respeito viola as disposies adotadas por fora da presente
diretiva.

2. Os Estados-Membros preveem que, se a reclamao no for apresentada autoridade de controlo competente nos
termos do artigo 45.o, n.o 1, a autoridade de controlo a que apresentada a transmita, sem demora injustificada,
autoridade de controlo competente. O titular dos dados informado dessa transmisso.

3. Os Estados-Membros preveem que a autoridade de controlo qual a reclamao apresentada preste assistncia
complementar a pedido do titular dos dados.

4. O titular dos dados informado pela autoridade de controlo competente do andamento e do resultado da
reclamao apresentada, nomeadamente da possibilidade de intentar ao judicial nos termos do artigo 53.o.

Artigo 53.o

Direito de intentar ao judicial contra uma autoridade de controlo

1. Sem prejuzo de qualquer outra via de recurso administrativo ou extrajudicial, os Estados-Membros preveem que as
pessoas singulares ou coletivas tenham o direito de intentar ao judicial contra qualquer deciso juridicamente
vinculativa tomada por uma autoridade de controlo que lhes diga respeito.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/129

2. Sem prejuzo de qualquer outra via de recurso administrativo ou extrajudicial, todos os titulares de dados tm o
direito de intentar ao judicial se a autoridade de controlo competente nos termos do artigo 45.o, n.o 1, no atender
reclamao ou no informar o titular dos dados, no prazo de trs meses, do andamento ou do resultado da reclamao
apresentada nos termos do artigo 52.o.

3. Os Estados-Membros preveem que os recursos contra uma autoridade de controlo sejam interpostos nos tribunais
do Estado-Membro em cujo territrio essa autoridade se encontre estabelecida.

Artigo 54.o

Direito de intentar uma ao judicial contra um responsvel pelo tratamento de dados ou um


subcontratante

Sem prejuzo de qualquer via de recurso administrativo ou extrajudicial disponvel, nomeadamente o direito de
apresentar reclamao junto de uma autoridade de controlo nos termos do artigo 52.o, os Estados-Membros preveem
que os titulares dos dados tm o direito de intentar ao judicial se considerarem ter havido violao dos direitos que
lhes assistem nos termos das disposies adotadas por fora da presente diretiva na sequncia de um tratamento dos
seus dados pessoais que no cumpra tais disposies.

Artigo 55.o

Representao dos titulares dos dados

Os Estados-Membros preveem, nos termos do direito processual dos Estados-Membros, que o titular dos dados tem o
direito de mandatar um organismo, organizao ou associao, sem fins lucrativos, devidamente constitudo nos termos
do direito de um Estado-Membro, cujos objetivos estatutrios sejam do interesse pblico e cuja atividade abranja a
proteo dos direitos e liberdades dos titulares de dados no que respeita proteo dos seus dados pessoais, para
apresentar reclamao em seu nome e exercer tambm em seu nome os direitos previstos nos artigos 52.o, 53.o e 54.o.

Artigo 56.o

Direito de indemnizao

Os Estados-Membros preveem que qualquer pessoa que tenha sofrido danos materiais ou morais causados por uma
operao de tratamento ilcito de dados ou por qualquer outro ato que viole as disposies nacionais adotadas por fora
da presente diretiva tem direito a receber do responsvel pelo tratamento de dados ou de qualquer outra autoridade
competente nos termos do direito dos Estados-Membros uma indemnizao pelos danos sofridos.

Artigo 57.o

Sanes

Os Estados-Membros estabelecem regras respeitantes s sanes aplicveis s violaes das disposies adotadas por
fora da presente diretiva e tomam todas as medidas necessrias para assegurar a sua aplicao. As sanes previstas
devem ser eficazes, proporcionadas e dissuasivas.

CAPTULO IX

Atos de execuo

Artigo 58.o

Procedimento de comit

1. A Comisso assistida pelo comit criado pelo artigo 93.o do Regulamento (UE) 2016/679. Esse comit um
comit na aceo do Regulamento (UE) n.o 182/2011.

2. Caso se remeta para o presente nmero, aplica-se o artigo 5.o do Regulamento (UE) n.o 182/2011.

3. Caso se remeta para o presente nmero, aplica-se o artigo 8.o do Regulamento (UE) n.o 182/2011, em conjugao
com o seu artigo 5.o.
L 119/130 PT Jornal Oficial da Unio Europeia 4.5.2016

CAPTULO X

Disposies finais

Artigo 59.o

Revogao da Deciso-Quadro 2008/977/JAI

1. A Deciso-Quadro 2008/977/JAI revogada com efeitos a partir de 6 de maio de 2018.

2. As remisses para a deciso revogada a que se refere o n.o 1 entendem-se como sendo feitas para a presente
diretiva.

Artigo 60.o

Atos jurdicos da Unio em vigor

As disposies especficas de proteo de dados pessoais, previstas em atos jurdicos da Unio adotados antes de
6 de maio de 2016 no domnio da cooperao judiciria em matria penal e da cooperao policial, que regulam o
tratamento entre os Estados-Membros e o acesso das autoridades designadas dos Estados-Membros aos sistemas de
informao criados, por fora dos Tratados, no mbito da presente diretiva mantm-se inalteradas.

Artigo 61.o

Relao com acordos internacionais celebrados anteriormente no domnio da cooperao judiciria


em matria penal e da cooperao policial

Os acordos internacionais que impliquem a transferncia de dados pessoais para pases terceiros ou para organizaes
internacionais, celebrados pelos Estados-Membros antes de 6 de maio de 2016, e que sejam conformes com o direito da
Unio tal como aplicvel antes dessa data, continuam a vigorar at serem alterados, substitudos ou revogados.

Artigo 62.o

Relatrios da Comisso

1. At 6 de maio de 2022 e, posteriormente, de quatro em quatro anos, a Comisso apresenta ao Parlamento


Europeu e ao Conselho um relatrio sobre a avaliao e a reviso da presente diretiva. Os relatrios devem ser tornados
pblicos.

2. No mbito das avaliaes e revises a que se refere o n.o 1, a Comisso examina, em particular, a aplicao e o
funcionamento do Captulo V sobre a transferncia de dados pessoais para pases terceiros ou organizaes interna
cionais, em especial no que diz respeito s decises adotadas nos termos do artigo 36.o, n.o 3, e do artigo 39.o.

3. Para os efeitos dos n.os 1 e 2, a Comisso pode solicitar informaes aos Estados-Membros e s autoridades de
controlo.

4. Ao proceder s avaliaes e revises a que se referem os n.os 1 e 2, a Comisso tem em considerao as posies e
concluses a que tenham chegado o Parlamento Europeu, o Conselho e outros organismos e fontes pertinentes.

5. Se necessrio, a Comisso apresenta propostas adequadas com vista alterao da presente diretiva atendendo, em
especial, evoluo das tecnologias da informao e aos progressos da sociedade da informao e harmonizao de
outros instrumentos jurdicos.

6. At 6 de maio de 2019, a Comisso reexamina outros atos jurdicos adotados pela Unio que regulam o
tratamento pelas autoridades competentes para efeitos do artigo 1.o, n.o 1, designadamente os referidos no artigo 60.o, a
fim de avaliar a necessidade de os harmonizar com a presente diretiva e apresenta, se for caso disso, as propostas
necessrias alterao desses atos de forma a assegurar uma abordagem coerente da proteo de dados pessoais no
mbito da presente diretiva.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/131

Artigo 63.o

Transposio

1. Os Estados-Membros adotam e publicam, at 6 de maio de 2018, as disposies legislativas, regulamentares e


administrativas necessrias para dar cumprimento presente diretiva. Os Estados-Membros comunicam imediatamente
Comisso o texto dessas disposies. Os Estados-Membros aplicam as referidas disposies a partir de 6 de maio
de 2018.

Quando os Estados-Membros adotarem essas disposies, estas incluem uma referncia presente diretiva ou so
acompanhadas dessa referncia aquando da sua publicao oficial. As modalidades dessa referncia so estabelecidas
pelos Estados-Membros.

2. Em derrogao do n.o 1, um Estado-Membro pode estabelecer que, excecionalmente, quando o esforo envolvido
for desproporcionado, os sistemas de tratamento automatizado estabelecidos antes de 6 de maio de 2016 seja tornado
conforme com o artigo 25.o, n.o 1, at 6 de maio de 2023.

3. Em derrogao dos n.os 1 e 2 do presente artigo, um Estado-Membro pode, em circunstncias excecionais, tornar
um sistema de tratamento automatizado, referido no n.o 2 do presente artigo, conforme com o artigo 25.o, n.o 1, num
prazo fixado aps o perodo a que se refere o n.o 2 do presente artigo, caso, de outra forma, sejam causadas graves
dificuldades ao funcionamento desse sistema de tratamento automatizado. O Estado-Membro em causa notifica a
Comisso dos motivos para essas graves dificuldades e dos motivos para o prazo especificado em que tornar esse
particular sistema de tratamento automatizado conforme com o artigo 25.o, n.o 1. O prazo fixado no pode, em caso
algum, ir alm de 6 de maio de 2026.

4. Os Estados-Membros comunicam Comisso o texto das principais disposies de direito interno que adotarem
no domnio abrangido pela presente diretiva.

Artigo 64.o

Entrada em vigor

A presente diretiva entra em vigor no dia seguinte ao da sua publicao no Jornal Oficial da Unio Europeia.

Artigo 65.o

Destinatrios

Os destinatrios da presente diretiva so os Estados-Membros.

Feito em Bruxelas, em 27 de abril de 2016.

Pelo Parlamento Europeu Pelo Conselho


O Presidente A Presidente
M. SCHULZ J.A. HENNIS-PLASSCHAERT
L 119/132 PT Jornal Oficial da Unio Europeia 4.5.2016

DIRETIVA (UE) 2016/681 DO PARLAMENTO EUROPEU E DO CONSELHO


de 27 de abril de 2016
relativa utilizao dos dados dos registos de identificao dos passageiros (PNR) para efeitos de
preveno, deteo, investigao e represso das infraes terroristas e da criminalidade grave

O PARLAMENTO EUROPEU E O CONSELHO DA UNIO EUROPEIA,

Tendo em conta o Tratado sobre o Funcionamento da Unio Europeia, nomeadamente o artigo 82.o, n.o 1, alnea d), e o
artigo 87.o, n.o 2, alnea a),

Tendo em conta a proposta da Comisso Europeia,

Aps transmisso do projeto de ato legislativo aos parlamentos nacionais,

Tendo em conta o parecer do Comit Econmico e Social Europeu (1),

Aps consulta ao Comit das Regies,

Deliberando de acordo com o processo legislativo ordinrio (2),

Considerando o seguinte:

(1) Em 6 de novembro de 2007, a Comisso adotou uma proposta de deciso-quadro do Conselho relativa
utilizao dos dados dos registos de identificao dos passageiros (passenger name record PNR) para fins
policiais. No entanto, com a entrada em vigor do Tratado de Lisboa em 1 de dezembro de 2009, a proposta, que
no fora adotada pelo Conselho at essa data, tornou-se obsoleta.

(2) O Programa de Estocolmo Uma Europa aberta e segura que sirva e proteja os cidados (3) convidou a
Comisso a apresentar uma proposta relativa utilizao de dados PNR para fins de preveno, deteo,
investigao e represso do terrorismo e da criminalidade grave.

(3) Na sua comunicao intitulada Abordagem global relativa transferncia dos dados do registo de identificao
dos passageiros (PNR) para pases terceiros, de 21 de setembro de 2010, a Comisso exps vrios elementos
centrais de uma poltica da Unio neste domnio.

(4) A Diretiva 2004/82/CE do Conselho (4) regula a transmisso antecipada de dados referentes a informaes
prvias sobre passageiros (API advance passenger information) pelas transportadoras areas s autoridades
nacionais competentes, a fim de melhorar os controlos nas fronteiras e combater a imigrao ilegal.

(5) A presente diretiva tem nomeadamente por objetivos garantir a segurana e proteger a vida e a segurana das
pessoas e criar um regime jurdico aplicvel proteo dos dados PNR no que respeita ao seu tratamento pelas
autoridades competentes.

(6) A utilizao eficaz de dados PNR, nomeadamente mediante a sua comparao com vrias bases de dados sobre as
pessoas e os objetos procurados a fim de obter provas e, se for caso disso, detetar cmplices de criminosos e
desmantelar redes criminosas, necessria para prevenir, detetar, investigar e reprimir infraes terroristas e a
criminalidade grave e, assim, reforar a segurana interna.

(7) A avaliao dos dados PNR permite identificar pessoas insuspeitas de envolvimento em infraes terroristas ou
criminalidade grave antes de tal avaliao e que devero ser sujeitas a um controlo mais minucioso pelas

(1) JO C 218 de 23.7.2011, p. 107.


(2) Posio do Parlamento Europeu de 14 de abril de 2016 (ainda no publicada no Jornal Oficial) e deciso do Conselho de 21 de abril
de 2016.
(3) JO C 115 de 4.5.2010, p. 1.
(4) Diretiva 2004/82/CE do Conselho, de 29 de abril de 2004, relativa obrigao de comunicao de dados dos passageiros pelas transpor
tadoras (JO L 261 de 6.8.2004, p. 24).
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/133

autoridades competentes. Atravs da utilizao dos dados PNR possvel fazer face ameaa que representam as
infraes terroristas e a criminalidade grave numa perspetiva diferente da do tratamento de outras categorias de
dados pessoais. Contudo, a fim de assegurar que o tratamento de dados PNR se continua a restringir ao
necessrio, a fixao e a aplicao de critrios de avaliao devero limitar-se a infraes terroristas e crimina
lidade grave para as quais a utilizao de tais critrios seja relevante. Alm disso, os critrios de avaliao devero
ser definidos de modo a reduzir ao mnimo o nmero de pessoas inocentes incorretamente identificadas pelo
sistema.

(8) As transportadoras areas j fazem a recolha e o tratamento dos dados PNR dos seus passageiros para fins
comerciais. A presente diretiva no dever impor s transportadoras areas a obrigao de recolherem ou
conservarem dados adicionais dos passageiros, nem a estes ltimos a obrigao de fornecerem outros dados para
alm dos que j so fornecidos s transportadoras areas.

(9) Algumas transportadoras areas conservam os dados API que recolhem como parte dos dados PNR, enquanto
outras no o fazem. A utilizao dos dados PNR em conjunto com os dados API contribui para ajudar os
Estados-Membros a verificar a identidade dos indivduos, reforando, assim, a utilidade desse resultado para fins
policiais e minimizando o risco de controlar e investigar pessoas inocentes. Importa, pois, garantir que, caso
recolham dados API, as transportadoras areas procedam sua transferncia, independentemente de os
conservarem por meios tcnicos distintos dos utilizados para outros dados PNR.

(10) A fim de prevenir, detetar, investigar e reprimir as infraes terroristas e a criminalidade grave, essencial que
todos os Estados-Membros adotem disposies que prevejam a obrigao de as transportadoras areas que
operam voos extra-UE transferirem os dados PNR que recolham, incluindo os dados API. Os Estados-Membros
devero ter igualmente a possibilidade de alargar esta obrigao s transportadoras areas que operam voos
intra-UE. Essas disposies devero aplicar-se sem prejuzo do disposto na Diretiva 2004/82/CE.

(11) O tratamento de dados pessoais dever ser proporcionado em relao aos objetivos especficos de segurana
visados pela presente diretiva.

(12) A definio de infraes terroristas utilizada na presente diretiva dever ser idntica que consta da Deciso-
-Quadro 2002/475/JAI do Conselho (1). A definio de criminalidade grave dever abranger as categorias de
infraes enumeradas no anexo II da presente diretiva.

(13) Os dados PNR devero ser transferidos para uma nica unidade de informaes de passageiros (UIP) designada
no Estado-Membro em causa, de modo a assegurar a clareza e a reduzir os custos para as transportadoras areas.
A UIP pode ter diversas seces num Estado-Membro, podendo tambm os Estados-Membros criar conjuntamente
uma UIP. Os Estados-Membros devero trocar informaes entre si atravs de redes apropriadas de intercmbio
de informaes, de modo a facilitar a partilha de informaes e a garantir a interoperabilidade.

(14) Caber aos Estados-Membros suportar os custos da utilizao, da conservao e do intercmbio de dados PNR.

(15) Uma lista de dados PNR, a obter por uma UIP, dever ser elaborada com o objetivo de refletir as exigncias
legtimas das autoridades pblicas a fim de prevenirem, detetarem, investigarem e reprimirem as infraes
terroristas ou a criminalidade grave, aumentando assim a segurana interna na Unio e salvaguardando os
direitos fundamentais, nomeadamente o direito privacidade e proteo dos dados pessoais. Para o efeito,
devero ser aplicadas normas exigentes, de acordo com a Carta dos Direitos Fundamentais da Unio Europeia (a
Carta), a Conveno para a Proteo das Pessoas relativamente ao Tratamento Automatizado de Dados de
Carter Pessoal (a Conveno n.o 108) e a Conveno para a Proteo dos Direitos do Homem e das Liberdades
Fundamentais (a CEDH). Essa lista no dever basear-se na raa ou origem tnica, na religio ou nas convices
da pessoa, nem nas suas opinies, polticas ou outras, na sua filiao sindical nem na sua sade, vida ou
orientao sexual. Os dados PNR devero incluir unicamente informaes pormenorizadas sobre as reservas e os
itinerrios do passageiro que permitam s autoridades competentes identificar os passageiros areos que
representem uma ameaa para a segurana interna.

(16) Existem atualmente dois mtodos possveis para a transferncia de dados: o mtodo de transferncia por extrao
(pull), pelo qual as autoridades competentes do Estado-Membro que solicita os dados PNR podem aceder ao
sistema de reservas da transportadora area e extrair uma cpia dos dados PNR requeridos, e o mtodo de
transferncia por exportao (push), pelo qual as transportadoras areas transmitem (exportam) os dados PNR
requeridos para a autoridade que os solicita, o que permite s transportadoras areas manter o controlo sobre os
dados transmitidos. Considera-se que o mtodo de transferncia por exportao (push) proporciona um nvel
mais elevado de proteo dos dados e que dever ser obrigatrio para todas as transportadoras areas.

(1) Deciso-Quadro 2002/475/JAI do Conselho, de 13 de junho de 2002, relativa luta contra o terrorismo (JO L 164 de 22.6.2002, p. 3).
L 119/134 PT Jornal Oficial da Unio Europeia 4.5.2016

(17) A Comisso apoia as orientaes da Organizao da Aviao Civil Internacional (OACI) em matria de dados
PNR. Essas orientaes devero, portanto, servir de base para a adoo de formatos de dados reconhecidos para
as transferncias de dados PNR pelas transportadoras areas para os Estados-Membros. A fim de assegurar
condies uniformes de execuo de tais formatos de dados reconhecidos e dos protocolos relevantes aplicveis
transferncia de dados das transportadoras areas, devero ser atribudas competncias de execuo Comisso.
Essas competncias devero ser exercidas nos termos do Regulamento (UE) n.o 182/2011 do Parlamento Europeu
e do Conselho (1).

(18) Os Estados-Membros devero adotar todas as medidas necessrias para permitir que as transportadoras areas
cumpram as obrigaes que lhes incumbem por fora da presente diretiva. Os Estados-Membros devero
estabelecer sanes efetivas, proporcionadas e dissuasivas, incluindo sanes financeiras, contra as transportadoras
areas que no cumpram as suas obrigaes no que respeita transferncia de dados PNR.

(19) Cada Estado-Membro dever ser responsvel pela avaliao das ameaas potenciais relacionadas com infraes
terroristas e criminalidade grave.

(20) Tendo plenamente em conta o direito proteo dos dados pessoais e no discriminao, no dever ser
tomada qualquer deciso que produza efeitos jurdicos que prejudiquem uma pessoa ou que a afete significati
vamente apenas com base no tratamento automatizado dos dados PNR. Alm disso, nos termos dos artigos 8.o
e 21.o da Carta, nenhuma deciso dessa natureza dever introduzir uma discriminao em razo do sexo, da raa,
da cor ou origem tnica ou social, das caractersticas genticas, da lngua, da religio ou das convices, das
opinies polticas ou outras, da pertena a uma minoria nacional, da riqueza, do nascimento, da deficincia, da
idade ou da orientao sexual. A Comisso dever igualmente ter em conta estes princpios quando proceder ao
reexame da aplicao da presente diretiva.

(21) O resultado do tratamento dos dados PNR no dever, em circunstncia alguma, ser utilizado pelos Estados-
-Membros como motivo para contornar as obrigaes internacionais que lhes incumbem por fora da Conveno
de 28 de julho de 1951 relativa ao Estatuto dos Refugiados conforme alterada pelo Protocolo de 31 de janeiro
de 1967, nem para negar aos requerentes de asilo vias legais seguras e eficazes para aceder ao territrio da Unio
a fim de exercerem o seu direito proteo internacional.

(22) Tendo plenamente em conta os princpios enunciados na recente jurisprudncia do Tribunal de Justia da Unio
Europeia na matria, a aplicao da presente diretiva dever garantir o pleno respeito dos direitos fundamentais,
do direito privacidade e do princpio da proporcionalidade. Dever tambm cumprir efetivamente os objetivos
da necessidade e proporcionalidade a fim de respeitar os interesses gerais reconhecidos pela Unio e atender
necessidade de proteger os direitos e as liberdades de terceiros na luta contra as infraes terroristas e a crimina
lidade grave. A aplicao da presente diretiva dever ser devidamente justificada e devero ser criadas as garantias
necessrias para assegurar a legalidade da conservao, anlise, transferncia ou utilizao de dados PNR.

(23) Os Estados-Membros devero partilhar entre si, e com a Europol, os dados PNR que recebem caso tal seja
considerado necessrio para efeitos de preveno, deteo, investigao ou represso de infraes terroristas ou
da criminalidade grave. Se necessrio, as UIP devero transmitir sem demora o resultado do tratamento dos
dados PNR s UIP de outros Estados-Membros, para efeitos de investigao complementar. As disposies da
presente diretiva devero aplicar-se sem prejuzo da aplicao de outros instrumentos da Unio em matria de
intercmbio de informaes entre as autoridades policiais, outras autoridades responsveis pela aplicao da lei e
autoridades judicirias, incluindo a Deciso 2009/371/JAI do Conselho (2) e a Deciso-Quadro 2006/960/JAI do
Conselho (3). Tal intercmbio de dados PNR dever reger-se pelas disposies em matria de cooperao policial e
judiciria e no atentar contra o elevado nvel de proteo da privacidade e dos dados pessoais exigido pela
Carta, pela Conveno n.o 108 e pela CEDH.

(24) Dever ser garantida a segurana do intercmbio de informaes sobre dados PNR entre os Estados-Membros,
atravs de qualquer dos canais de cooperao existentes entre as respetivas autoridades competentes, e, em
especial, com a Europol, atravs da rede de intercmbio seguro de informaes (SIENA) da Europol.

(1) Regulamento (UE) n.o 182/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os
princpios gerais relativos aos mecanismos de controlo pelos Estados-Membros do exerccio das competncias de execuo pela
Comisso (JO L 55 de 28.2.2011, p. 13).
(2) Deciso 2009/371/JAI do Conselho, de 6 de abril de 2009, que cria o Servio Europeu de Polcia (Europol) (JO L 121 de 15.5.2009,
p. 37).
(3) Deciso-Quadro 2006/960/JAI do Conselho, de 18 de dezembro de 2006, relativa simplificao do intercmbio de dados e
informaes entre as autoridades de aplicao da lei dos Estados-Membros da Unio Europeia (JO L 386 de 29.12.2006, p. 89).
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/135

(25) O prazo durante ao qual devero ser conservados os dados PNR dever ser to longo quanto necessrio e propor
cionado consecuo dos objetivos de preveno, deteo, investigao e represso das infraes terroristas e da
criminalidade grave. Atendendo natureza dos dados e sua utilizao, necessrio que os dados PNR sejam
conservados durante um prazo suficientemente longo para permitir a realizao de anlises e a sua utilizao no
mbito de investigaes. A fim de evitar uma utilizao desproporcionada, aps o prazo inicial de conservao,
os dados PNR devero ser anonimizados mediante o mascaramento de elementos dos dados. A fim de assegurar
o nvel mais elevado de proteo de dados, o acesso aos dados PNR integrais, que permitem a identificao direta
do seu titular, s dever ser concedido em condies muito estritas e limitadas aps aquele prazo inicial.

(26) Caso tenham sido transferidos dados PNR especficos para uma autoridade competente e estes sejam utilizados
no quadro de determinadas investigaes ou processos penais, o prazo de conservao dos dados por essa
autoridade dever reger-se pelo direito nacional, independentemente dos prazos de conservao dos dados estabe
lecidos na presente diretiva.

(27) Em cada Estado-Membro, o tratamento dos dados PNR pela UIP e pelas autoridades competentes dever estar
sujeito a uma norma de proteo de dados pessoais, prevista pelo direito nacional, que seja conforme com a
Deciso-Quadro 2008/977/JAI do Conselho (1), e com os requisitos especficos em matria de proteo de dados
estabelecidos na presente diretiva. As remisses para a Deciso-Quadro 2008/977/JAI devero ser entendidas
como remisses para a legislao atualmente em vigor e para a legislao que a substitua.

(28) Tendo em conta o direito proteo dos dados pessoais, os direitos dos titulares dos dados no que se refere ao
tratamento dos dados PNR que lhes dizem respeito, nomeadamente os direitos de acesso, retificao, apagamento
ou limitao, e os direitos a indemnizao e a recurso judicial, devero ser conformes com a Deciso-Quadro
2008/977/JAI e com o elevado nvel de proteo conferido pela Carta e pela CEDH.

(29) Tendo em conta o direito que assiste aos passageiros de serem informados do tratamento dos seus dados
pessoais, os Estados-Membros devero assegurar que estes recebem informaes precisas, de fcil acesso e
compreenso, sobre a recolha de dados PNR, a sua transferncia para a UIP e os seus direitos enquanto titulares
dos dados.

(30) A presente diretiva aplicvel sem prejuzo do direito da Unio e nacional sobre o princpio do direito de acesso
do pblico aos documentos oficiais.

(31) As transferncias de dados PNR dos Estados-Membros para pases terceiros s devero ser autorizadas caso a caso
e no pleno respeito das disposies adotadas pelos Estados-Membros em aplicao da Deciso-Quadro
2008/977/JAI. Para assegurar a proteo dos dados pessoais, essas transferncias devero ficar sujeitas a requisitos
adicionais no que respeita finalidade destas. Devero ainda respeitar os princpios da necessidade e da propor
cionalidade, e o elevado nvel de proteo conferido pela Carta e pela CEDH.

(32) As autoridades nacionais de controlo criadas em aplicao da Deciso-Quadro 2008/977/JAI devero ter
igualmente a responsabilidade de prestar aconselhamento e monitorizar a aplicao das disposies adotadas
pelos Estados-Membros em aplicao da presente diretiva.

(33) A presente diretiva no obsta a que os Estados-Membros prevejam, no mbito do respetivo direito nacional, um
sistema de recolha e tratamento dos dados PNR provenientes de operadores econmicos que no sejam as
transportadoras, tais como agncias de viagem e operadores tursticos que prestam servios afins, incluindo a
reserva de voos, para os quais procedem recolha e ao tratamento de dados PNR, ou de fornecedores de servios
de transporte que no sejam os especificados na presente diretiva, desde que esse direito nacional seja conforme
com o acervo da Unio.

(34) A presente diretiva aplicvel sem prejuzo das atuais regras da Unio sobre a forma como so efetuados os
controlos nas fronteiras, nem das regras da Unio que regem a entrada e a sada do territrio da Unio.

(35) Dadas as diferenas jurdicas e tcnicas entre as disposies nacionais aplicveis ao tratamento de dados pessoais,
incluindo dados PNR, as transportadoras areas j so, e continuaro a ser, confrontadas com exigncias
diferentes relativamente ao tipo de informaes a transmitir e s condies em que estas devem ser fornecidas s

(1) Deciso-Quadro 2008/977/JAI do Conselho, de 27 de novembro de 2008, relativa proteo dos dados pessoais tratados no mbito da
cooperao policial e judiciria em matria penal (JO L 350 de 30.12.2008, p. 60).
L 119/136 PT Jornal Oficial da Unio Europeia 4.5.2016

autoridades nacionais competentes. Essas diferenas podem ser prejudiciais cooperao efetiva entre essas
autoridades para efeitos de preveno, deteo, investigao e represso das infraes terroristas e da crimina
lidade grave. Por conseguinte, necessrio prever, a nvel da Unio, um regime jurdico comum para a transfe
rncia e o tratamento de dados PNR.

(36) A presente diretiva respeita os direitos fundamentais e os princpios enunciados na Carta, em especial o direito
proteo de dados pessoais, o direito ao respeito pela vida privada e o direito no discriminao, consagrados
nos artigos 8.o, 7.o e 21.o da mesma, e dever, assim, ser aplicada em conformidade. A presente diretiva
compatvel com os princpios da proteo de dados e as suas disposies so conformes com a Deciso-Quadro
2008/977/JAI. Alm disso, a fim de respeitar o princpio da proporcionalidade, a presente diretiva prev, em
relao a determinadas matrias, normas de proteo de dados mais estritas do que as estabelecidas na Deciso-
-Quadro 2008/977/JAI.

(37) O mbito de aplicao da presente diretiva o mais limitado possvel, uma vez que: prev que os dados PNR
sejam conservados nas UIP durante um prazo no superior a cinco anos, aps o qual tais dados devero ser
apagados; prev que os dados sejam anonimizados mediante mascaramento de elementos de dados aps o
decurso de um prazo inicial de seis meses; e probe recolher e utilizar dados sensveis. A fim de assegurar a
eficcia do sistema e um elevado nvel de proteo dos dados, os Estados-Membros devero garantir que uma
autoridade de controlo independente a nvel nacional e, especificamente, um responsvel pela proteo de dados,
sejam incumbidos de prestar aconselhamento sobre a forma como os dados PNR so tratados e de a monitorizar.
Qualquer tratamento de dados PNR dever ser registado ou documentado para efeitos de verificao da sua
legalidade, autocontrolo e garantia da integridade dos dados e da segurana do seu tratamento. Os Estados-
-Membros devero tambm assegurar que os passageiros sejam informados de forma clara e precisa sobre a
recolha de dados PNR e sobre os seus direitos.

(38) Atendendo a que os objetivos da presente diretiva, a saber, a transferncia de dados PNR pelas transportadoras
areas e o tratamento desses dados para fins de preveno, deteo, investigao e represso das infraes
terroristas e da criminalidade grave, no podem ser suficientemente alcanados pelos Estados-Membros mas
podem ser mais bem alcanados ao nvel da Unio, a Unio pode tomar medidas, em conformidade com o
princpio da subsidiariedade consagrado no artigo 5.o do Tratado da Unio Europeia. Em conformidade com o
princpio da proporcionalidade, consagrado no mesmo artigo, a presente diretiva no excede o necessrio para
alcanar esses objetivos.

(39) Nos termos do artigo 3.o do Protocolo n.o 21 relativo posio do Reino Unido e da Irlanda em relao ao
espao de liberdade, segurana e justia, anexo ao Tratado da Unio Europeia e ao Tratado sobre o Funcionamento
da Unio Europeia, estes Estados-Membros notificaram a sua inteno de participar na adoo e na aplicao da
presente diretiva.

(40) Nos termos dos artigos 1.o e 2.o do Protocolo n.o 22 relativo posio da Dinamarca, anexo ao Tratado da Unio
Europeia e ao Tratado sobre o Funcionamento da Unio Europeia, a Dinamarca no participa na adoo da
presente diretiva e no fica a ela vinculada nem sujeita sua aplicao.

(41) A Autoridade Europeia para a Proteo de Dados foi consultada nos termos do artigo 28.o, n.o 2, do Regulamento
(CE) n.o 45/2001 do Parlamento Europeu e do Conselho (1) e emitiu um parecer em 25 de maro de 2011,

ADOTARAM A PRESENTE DIRETIVA:

CAPTULO I

Disposies gerais

Artigo 1.o

Objeto e mbito de aplicao

1. A presente diretiva prev:

a) A transferncia, pelas transportadoras areas, dos dados dos registos de identificao dos passageiros (PNR) de voos
extra-UE;

b) O tratamento dos dados referidos na alnea a), inclusive a sua recolha, utilizao e conservao pelos Estados-
-Membros, e o respetivo intercmbio entre Estados-Membros.

(1) Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000, relativo proteo das pessoas
singulares no que diz respeito ao tratamento de dados pessoais pelas instituies e pelos rgos comunitrios e livre circulao desses
dados (JO L 8 de 12.1.2001, p. 1).
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/137

2. Os dados PNR recolhidos nos termos da presente diretiva s podem ser tratados para fins de preveno, deteo,
investigao e represso das infraes terroristas e da criminalidade grave, conforme previsto no artigo 6.o, n.o 2,
alneas a), b) e c).

Artigo 2.o

Aplicao da presente diretiva aos voos intra-UE

1. Se decidirem aplicar a presente diretiva aos voos intra-UE, os Estados-Membros notificam a Comisso por escrito.
Os Estados-Membros podem efetuar ou revogar essa notificao a todo o tempo. A Comisso publica essa notificao ou
uma eventual revogao da mesma no Jornal Oficial da Unio Europeia.

2. Caso seja efetuada a notificao a que se refere o n.o 1, todas as disposies da presente diretiva so aplicveis aos
voos intra-UE como se se tratassem de voos extra-UE e aos dados PNR respeitantes aos voos intra-UE como se se
tratassem de dados referentes a voos extra-UE.

3. Os Estados-Membros podem decidir aplicar a presente diretiva apenas a voos intra-UE selecionados. Ao tomarem
essa deciso, selecionam os voos que considerem necessrio a fim de prosseguir os objetivos da presente diretiva. Os
Estados-Membros podem decidir alterar a seleo de voos intra-UE, a todo o tempo.

Artigo 3.o

Definies

Para efeitos da presente diretiva, entende-se por:

1) Transportadora area, uma empresa de transporte areo titular de uma licena de explorao vlida ou equivalente
que lhe permite transportar passageiros por via area;

2) Voo extra-UE, um voo regular ou no regular efetuado por uma transportadora area a partir de um pas terceiro
e programado para aterrar no territrio de um Estado-Membro, ou a partir do territrio de um Estado-Membro e
programado para aterrar num pas terceiro, incluindo, em ambos os casos, os voos com escala no territrio de
Estados-Membros ou de pases terceiros;

3) Voo intra-UE, um voo regular ou no regular efetuado por uma transportadora area a partir do territrio de um
Estado-Membro, programado para aterrar no territrio de um ou mais Estados-Membros, sem escala no territrio
de um pas terceiro;

4) Passageiro, uma pessoa, incluindo pessoas em trnsito ou em correspondncia e excluindo membros da


tripulao, transportada ou a transportar numa aeronave com o consentimento da transportadora area,
decorrendo esse consentimento do registo dessa pessoa na lista de passageiros;

5) Registo de identificao dos passageiros ou PNR (Passenger Name Record), um registo das formalidades de viagem
impostas a cada passageiro que contm as informaes necessrias para permitir o tratamento e o controlo das
reservas feitas pelas transportadoras areas participantes relativamente a cada viagem reservada por uma pessoa ou
em seu nome, quer o registo conste dos sistemas de reserva, dos sistemas de controlo das partidas utilizado para
efetuar o controlo dos passageiros embarcados nos voos, ou de sistemas equivalentes que ofeream as mesmas
funcionalidades;

6) Sistema de reservas, o sistema interno da transportadora area, no qual so recolhidos dados PNR para o
tratamento das reservas;

7) Mtodo de transferncia por exportao, o mtodo atravs do qual as transportadoras areas transferem os dados
PNR enumerados no anexo I para a base de dados da autoridade requerente;
L 119/138 PT Jornal Oficial da Unio Europeia 4.5.2016

8) Infraes terroristas, as infraes definidas no direito nacional a que se referem os artigos 1.o a 4.o da Deciso-
-Quadro 2002/475/JAI;

9) Criminalidade grave, as infraes enumeradas no anexo II punveis com pena ou medida de segurana privativas
de liberdade de durao mxima no inferior a trs anos nos termos do direito nacional de um Estado-Membro;

10) Anonimizar mediante mascaramento de elementos de dados, tornar invisveis para os utilizadores os elementos
dos dados suscetveis de identificar diretamente o seu titular.

CAPTULO II

Responsabilidades dos estados-membros

Artigo 4.o

Unidade de informaes de passageiros

1. Cada Estado-Membro cria ou designa uma autoridade competente para efeitos de preveno, deteo, investigao
ou represso das infraes terroristas e da criminalidade grave, ou cria ou designa uma seco de tal autoridade, para
agir na qualidade da sua unidade de informaes de passageiros (UIP).

2. A UIP responsvel:

a) Pela recolha dos dados PNR junto das transportadoras areas, pela conservao e pelo tratamento desses dados e pela
transferncia desses dados ou dos resultados do seu tratamento s autoridades competentes referidas no artigo 7.o;

b) Pelo intercmbio de dados PNR e dos resultados do seu tratamento com as UIP de outros Estados-Membros e com a
Europol, nos termos dos artigos 9.o e 10.o.

3. Os membros do pessoal das UIP podem ser agentes destacados pelas autoridades competentes. Os Estados-
-Membros dotam as UIP dos recursos adequados para o exerccio das suas funes.

4. Dois ou mais Estados-Membros (Estados-Membros participantes) podem criar ou designar uma nica autoridade
como a sua UIP. Essa UIP fica estabelecida num dos Estados-Membros participantes, e considerada a UIP nacional de
todos os Estados-Membros participantes. Estes determinam de comum acordo as regras pormenorizadas de funcio
namento da UIP, respeitando os requisitos previstos na presente diretiva.

5. Cada Estado-Membro notifica a constituio da sua UIP Comisso no prazo de um ms a contar da mesma e
pode alterar a sua notificao a todo o tempo. A Comisso publica a notificao, bem como as respetivas alteraes, no
Jornal Oficial da Unio Europeia.

Artigo 5.o

Responsvel pela proteo de dados na UIP

1. A UIP nomeia um responsvel pela proteo de dados incumbido de controlar o tratamento dos dados PNR e de
aplicar as salvaguardas relevantes.

2. Os Estados-Membros dotam os responsveis pela proteo de dados dos meios necessrios ao desempenho dos
deveres e das funes que lhes incumbem nos termos do presente artigo, de forma eficaz e independente.

3. Os Estados-Membros asseguram que o titular dos dados tenha o direito de contactar o responsvel pela proteo
de dados, enquanto ponto de contacto nico, para todos os assuntos respeitantes ao tratamento dos dados PNR de que
titular.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/139

Artigo 6.o

Tratamento dos dados PNR

1. Os dados PNR transferidos pelas transportadoras areas so recolhidos pela UIP do Estado-Membro em causa,
conforme previsto no artigo 8.o. Caso os dados PNR transferidos pelas transportadoras areas incluam dados distintos
dos enumerados no anexo I, a UIP apaga imediata e definitivamente esses dados assim que os receber.

2. A UIP procede ao tratamento dos dados PNR exclusivamente para os seguintes fins:

a) Proceder a uma avaliao dos passageiros antes da sua chegada prevista ao Estado-Membro ou da sua partida prevista
desse Estado-Membro, a fim de identificar as pessoas que, pelo facto de poderem estar implicadas numa infrao
terrorista ou numa forma de criminalidade grave, devem ser sujeitas a um controlo mais minucioso pelas autoridades
competentes a que se refere o artigo 7.o e, se for caso disso, pela Europol, nos termos do artigo 10.o;

b) Responder, caso a caso, aos pedidos devidamente fundamentados, baseados em motivos suficientes, apresentados
pelas autoridades competentes, para fornecer e tratar dados PNR, em casos especficos, para efeitos de preveno,
deteo, investigao e represso de infraes terroristas ou da criminalidade grave, e para disponibilizar s
autoridades competentes ou, se for caso disso, Europol os resultados desse tratamento; e

c) Analisar os dados PNR com o objetivo de atualizar ou criar novos critrios a utilizar nas avaliaes realizadas nos
termos do n.o 3, alnea b), a fim de identificar pessoas que possam estar implicadas em infraes terroristas ou em
formas de criminalidade grave.

3. Ao realizar a avaliao a que se refere o n.o 2, alnea a), a UIP pode:

a) Comparar os dados PNR com os que constam das bases de dados relevantes para efeitos de preveno, deteo,
investigao e represso de infraes terroristas e da criminalidade grave, incluindo bases de dados sobre pessoas ou
objetos procurados ou alvo de um alerta, de acordo com as regras da Unio, internacionais e nacionais, aplicveis a
essas bases de dados; ou

b) Proceder ao tratamento dos dados PNR de acordo com critrios pr-estabelecidos.

4. Qualquer avaliao dos passageiros antes da sua chegada prevista ao Estado-Membro ou da sua partida prevista do
Estado-Membro, feita nos termos do n.o 3, alnea b), de acordo com os critrios pr-estabelecidos, realizada de forma
no discriminatria. Os referidos critrios pr-estabelecidos devem ser orientados em funo dos objetivos, propor
cionados e especficos. Os Estados-Membros asseguram que esses critrios sejam fixados e revistos regularmente pelas
UIP, em cooperao com as autoridades competentes a que se refere o artigo 7.o. Esses critrios no podem, em caso
algum, basear-se na raa ou na origem tnica de uma pessoa, nas suas opinies polticas, religio ou convices
filosficas, na sua filiao sindical, na sua sade, vida ou orientao sexual.

5. Os Estados-Membros asseguram que qualquer resultado positivo obtido atravs do tratamento automatizado dos
dados PNR efetuado ao abrigo n.o 2, alnea a), seja verificado individualmente por meios no automatizados, para aferir
se ou no necessrio que a autoridade competente referida no artigo 7.o intervenha, de acordo com o direito nacional.

6. A UIP de um Estado-Membro transmite os dados PNR das pessoas identificadas nos termos do n.o 2, alnea a), ou
os resultados do tratamento desses dados, s autoridades competentes referidas no artigo 7.o desse mesmo Estado-
-Membro, para efeitos de um controlo mais minucioso. Essas transferncias de dados s podem ser feitas caso a caso e,
se houver tratamento automatizado dos dados PNR, aps verificao individual por meios no automatizados.

7. Os Estados-Membros asseguram que o responsvel pela proteo de dados tenha acesso a todos os dados tratados
pela UIP. Se o responsvel pela proteo de dados considerar que o tratamento dos dados no foi efetuado em
conformidade com a lei, pode remeter a questo para a autoridade nacional de controlo.

8. Os dados PNR s podem ser conservados, tratados e analisados pela UIP em local ou locais seguros no territrio
dos Estados-Membros.
L 119/140 PT Jornal Oficial da Unio Europeia 4.5.2016

9. As consequncias das avaliaes dos passageiros, referidas no n.o 2, alnea a), do presente artigo, no pem em
causa o direito das pessoas que gozam do direito de livre circulao da Unio de entrarem no territrio do Estado-
-Membro em causa, tal como estabelecido na Diretiva 2004/38/CE do Parlamento Europeu e do Conselho (1). Alm
disso, quando as avaliaes sejam efetuadas em relao a voos intra-UE operados entre Estados-Membros aos quais seja
aplicvel o Regulamento (CE) n.o 562/2006 do Parlamento Europeu e do Conselho (2), as consequncias de tais
avaliaes devem observar o referido regulamento.

Artigo 7.o

Autoridades competentes

1. Cada Estado-Membro adota uma lista das autoridades competentes habilitadas a solicitar s UIP ou a delas receber
dados PNR ou o resultado do tratamento de tais dados, a fim de analisar mais minuciosamente essas informaes ou de
tomar medidas apropriadas para efeitos de preveno, deteo, investigao e represso das infraes terroristas e da
criminalidade grave.

2. As autoridades referidas no n.o 1 so as autoridades competentes para fins de preveno, deteo, investigao ou
represso das infraes terroristas ou da criminalidade grave.

3. Para efeitos do artigo 9.o, n.o 3, cada Estado-Membro notifica a Comisso da lista das respetivas autoridades
competentes at 25 de maio de 2017, podendo alterar a sua notificao a todo o tempo. A Comisso publica a
notificao, bem como as suas eventuais alteraes, no Jornal Oficial da Unio Europeia.

4. Os dados PNR e o resultado do tratamento de tais dados recebidos pela UIP podem ser objeto de tratamento
ulterior pelas autoridades competentes dos Estados-Membros exclusivamente para efeitos especficos de preveno,
deteo, investigao ou represso das infraes terroristas ou da criminalidade grave.

5. O disposto no n.o 4 aplicvel sem prejuzo das competncias das autoridades policiais ou judicirias nacionais
quando forem detetadas outras infraes ou indcios de outras infraes no decurso de aes repressivas desencadeadas
na sequncia do referido tratamento.

6. As autoridades competentes abstm-se de tomar qualquer deciso que produza efeitos jurdicos adversos para uma
pessoa ou que a afete de forma grave apenas com base no tratamento automatizado dos dados PNR. Tais decises no
podem basear-se na raa ou origem tnica da pessoa, nas suas opinies polticas, religio ou convices filosficas,
filiao sindical nem na sua sade, vida ou orientao sexual.

Artigo 8.o

Obrigaes impostas s transportadoras areas em matria de transferncia de dados

1. Os Estados-Membros adotam as medidas necessrias para assegurar que as transportadoras areas transfiram, pelo
mtodo de exportao, os dados PNR enumerados no anexo I, na medida em que j tenham recolhido esses dados no
exerccio normal das suas atividades, para a base de dados da UIP do Estado-Membro em cujo territrio o voo aterrar
ou do qual descolar. Caso um voo seja explorado por uma ou mais transportadoras areas em regime de partilha de
cdigo, a obrigao de transferir os dados PNR de todos os passageiros do voo cabe transportadora area que o opera.
Caso os voos extra-UE incluam uma ou mais escalas em aeroportos de diferentes Estados-Membros, as transportadoras
areas transferem os dados PNR da totalidade dos passageiros para as UIP de todos os Estados-Membros em causa. O
mesmo se aplica aos voos intra-UE com uma ou mais escalas nos aeroportos de diferentes Estados-Membros, mas s em
relao aos Estados-Membros que recolhem dados PNR de voos intra-UE.

(1) Diretiva 2004/38/CE do Parlamento Europeu e do Conselho, de 29 de abril de 2004, relativa ao direito de livre circulao e residncia
dos cidados da Unio e dos membros das suas famlias no territrio dos Estados-Membros, que altera o Regulamento (CEE) n.o 1612/68
e que revoga as Diretivas 64/221/CEE, 68/360/CEE, 72/194/CEE, 73/148/CEE, 75/34/CEE, 75/35/CEE, 90/364/CEE, 90/365/CEE e
93/96/CEE (JO L 158 de 30.4.2004, p. 77).
(2) Regulamento (CE) n.o 562/2006 do Parlamento Europeu e do Conselho, de 15 de maro de 2006, que estabelece o cdigo comunitrio
relativo ao regime de passagem de pessoas nas fronteiras (Cdigo das Fronteiras Schengen) (JO L 105 de 13.4.2006, p. 1).
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/141

2. Caso as transportadoras areas tenham recolhido dados referentes a informaes prvias sobre passageiros (API)
enumeradas no ponto 18 do anexo I, mas no os conservem pelos mesmos meios tcnicos que os dados PNR, os
Estados-Membros adotam as medidas necessrias para garantir que as transportadoras areas tambm transfiram, pelo
mtodo de exportao, esses dados para a UIP do Estado-Membro a que se refere o n.o 1. Em caso de tal transferncia,
todas as disposies da presente diretiva so aplicveis aos dados API em causa.

3. As transportadoras areas transferem os dados PNR por via eletrnica, utilizando protocolos comuns e formatos
de dados reconhecidos, adotados pelo procedimento de exame a que se refere o artigo 17.o, n.o 2, ou, em caso de avaria
tcnica, por quaisquer outros meios apropriados que assegurem um nvel adequado de segurana dos dados:

a) 24 a 48 horas antes da hora programada da partida do voo; e

b) Imediatamente aps o encerramento do voo, ou seja, logo que os passageiros se encontrem a bordo do avio
preparados para partir e o embarque ou desembarque j no seja possvel.

4. Os Estados-Membros autorizam as transportadoras areas a limitar as transferncias referidas no n.o 3, alnea b), s
atualizaes das transferncias referidas na alnea a) desse nmero.

5. Caso seja necessrio aceder aos dados PNR para dar resposta a uma ameaa especfica e concreta relacionada com
infraes terroristas ou criminalidade grave, as transportadoras areas transmitem os dados PNR noutros momentos que
no os mencionados no n.o 3, caso a caso e mediante pedido apresentado por uma UIP, nos termos do direito nacional.

Artigo 9.o

Intercmbio de informaes entre Estados-Membros

1. Os Estados-Membros asseguram que, no que respeita a pessoas identificadas por uma UIP nos termos do
artigo 6.o, n.o 2, todos os dados PNR relevantes e necessrios, ou o resultado do seu tratamento, sejam transmitidos por
essa UIP s UIP correspondentes dos outros Estados-Membros. Nos termos do artigo 6.o, n.o 6, as UIP dos Estados-
-Membros destinatrios transmitem as informaes recebidas s respetivas autoridades competentes.

2. A UIP de um Estado-Membro tem o direito de solicitar, se necessrio, UIP de qualquer outro Estado-Membro que
lhe fornea dados PNR conservados na sua base de dados e ainda no anonimizados mediante mascaramento de
elementos de dados, nos termos do artigo 12.o, n.o 2, e, se necessrio, tambm o resultado do tratamento desses dados,
se este j tiver sido efetuado nos termos do artigo 6.o, n.o 2, alnea a). Esse pedido devidamente fundamentado e pode
basear-se num elemento de dados ou numa combinao de tais elementos, consoante o que a UIP requerente entenda
como adequado no mbito de um caso especfico de preveno, deteo, investigao ou represso de infraes
terroristas ou de criminalidade grave. As UIP fornecem as informaes requeridas logo que possvel. Caso os dados
solicitados tenham sido anonimizados mediante mascaramento de elementos de dados, nos termos do artigo 12.o, n.o 2,
a UIP s fornece os dados PNR na ntegra se for razovel considerar que tal necessrio para o fim referido no
artigo 6.o, n.o 2, alnea b), e apenas se para tal for autorizada por uma autoridade a que se refere o artigo 12.o, n.o 3,
alnea b).

3. As autoridades competentes de um Estado-Membro s podem solicitar diretamente UIP de qualquer outro


Estado-Membro que lhes fornea dados PNR conservados na sua base de dados se necessrio, em casos de emergncia, e
nas condies previstas no n.o 2. Os pedidos das autoridades competentes devem ser devidamente fundamentados. Deve
ser sempre enviada uma cpia do pedido UIP do Estado-Membro requerente. Em todos os outros casos, as autoridades
competentes encaminham os seus pedidos atravs da UIP do seu prprio Estado-Membro.

4. Em circunstncias excecionais, quando seja necessrio aceder a dados PNR para dar resposta a uma ameaa
especfica e concreta relacionada com infraes terroristas ou com a criminalidade grave, a UIP de um Estado-Membro
tem o direito de solicitar UIP de outro Estado-Membro que obtenha dados PNR, nos termos do artigo 8.o, n.o 5, e os
fornea UIP requerente.

5. O intercmbio de informaes previsto no presente artigo pode ser feito atravs de qualquer canal de cooperao
existente entre as autoridades competentes dos Estados-Membros. A lngua utilizada para o pedido e para o intercmbio
L 119/142 PT Jornal Oficial da Unio Europeia 4.5.2016

de informaes a que for aplicvel ao canal usado. Ao proceder s notificaes nos termos do artigo 4.o, n.o 5, os
Estados-Membros comunicam igualmente Comisso os dados relativos aos pontos de contacto aos quais os pedidos
podem ser enviados em caso de emergncia. A Comisso comunica tais dados aos Estados-Membros.

Artigo 10.o

Condies de acesso da Europol aos dados PNR

1. A Europol est habilitada a solicitar dados PNR ou o resultado do seu tratamento s UIP dos Estados-Membros,
nos limites das suas competncias e para o exerccio das suas funes.

2. A Europol pode apresentar, caso a caso, UIP de qualquer Estado-Membro atravs da sua unidade nacional, um
pedido eletrnico devidamente fundamentado de transmisso de dados PNR especficos ou dos resultados do tratamento
desses dados. A Europol pode apresentar esse pedido quando tal for estritamente necessrio para apoiar e reforar a
ao dos Estados-Membros na preveno, deteo ou investigao de uma infrao terrorista especfica ou uma forma de
criminalidade grave, na medida em que essa infrao ou forma de criminalidade estejam abrangidas pelas competncias
da Europol nos termos da Deciso 2009/371/JAI. Esse pedido fundamentado indica os motivos razoveis com base nos
quais a Europol considera que a transmisso dos dados PNR ou dos resultados do tratamento dos dados PNR constitui
um contributo substancial para a preveno, deteo ou investigao da infrao penal em causa.

3. A Europol comunica ao responsvel pela proteo de dados, nomeado nos termos do artigo 28.o da Deciso
2009/371/JAI, todos os intercmbios de informaes realizados ao abrigo do presente artigo.

4. O intercmbio de informaes ao abrigo do presente artigo feito atravs da rede SIENA, nos termos da Deciso
2009/371/JAI. A lngua utilizada para o pedido e para o intercmbio de informaes a que for aplicvel na rede
SIENA.

Artigo 11.o

Transferncia de dados para pases terceiros

1. Os Estados-Membros s podem transferir para um pas terceiro os dados PNR e os resultados do seu tratamento
que tenham sido armazenados pela UIP, nos termos do artigo 12.o, caso a caso e se:

a) Estiverem preenchidas as condies estabelecidas no artigo 13.o da Deciso-Quadro 2008/977/JAI;

b) A transferncia for necessria para os fins prosseguidos pela presente diretiva referidos no artigo 1.o, n.o 2;

c) O pas terceiro s aceitar transferir os dados para outro pas terceiro caso tal seja estritamente necessrio para os fins
da presente diretiva referidos no artigo 1.o, n.o 2, e unicamente mediante autorizao expressa desse Estado-Membro;
e

d) Estiverem preenchidas as mesmas condies que as estabelecidas no artigo 9.o, n.o 2.

2. Sem prejuzo do artigo 13.o, n.o 2, da Deciso-Quadro 2008/977/JAI, a transferncia de dados PNR sem
autorizao prvia do Estado-Membro a partir do qual foram obtidos os dados permitida em circunstncias
excecionais e apenas se:

a) Essa transferncia for essencial para dar resposta a uma ameaa especfica e concreta relacionada com infraes
terroristas ou com criminalidade grave num Estado-Membro ou um pas terceiro; e

b) A autorizao prvia no puder ser obtida em tempo til.

A autoridade responsvel por conceder a autorizao informada sem demora e a transferncia devidamente registada
e sujeita a uma verificao ex-post.

3. Os Estados-Membros s podem transferir os dados PNR para as autoridades competentes de pases terceiros em
condies compatveis com a presente diretiva, e apenas depois de se terem certificado de que o destinatrio os tenciona
utilizar de forma compatvel com essas condies e salvaguardas.

4. O responsvel pela proteo de dados da UIP do Estado-Membro que transfere os dados PNR informado sempre
que o Estado-Membro transfira dados PNR nos termos do presente artigo.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/143

Artigo 12.o

Prazo de conservao e anonimizao dos dados

1. Os Estados-Membros asseguram que os dados PNR fornecidos pelas transportadoras areas UIP sejam
conservados numa base de dados dessa UIP por um prazo de cinco anos contados a partir da sua transferncia para a
UIP do Estado-Membro em cujo territrio o voo aterre ou de cujo territrio descole.

2. Decorrido um prazo de seis meses aps a transferncia dos dados PNR referida no n.o 1, todos os dados PNR so
anonimizados mediante mascaramento dos seguintes elementos de dados suscetveis de identificar diretamente o
passageiro ao qual dizem respeito os dados PNR:

a) Nome(s), incluindo os nomes de outros passageiros mencionados nos PNR, bem como o nmero de passageiros nos
PNR que viajam em conjunto;

b) Endereo e informaes de contacto;

c) Todas as informaes sobre os meios de pagamento, incluindo o endereo de faturao, na medida em que
contenham informaes suscetveis de identificar diretamente o passageiro ao qual os PNR dizem respeito ou
quaisquer outras pessoas;

d) Informao de passageiro frequente;

e) Observaes gerais, na medida em que contenham informaes suscetveis de permitir identificar diretamente o
passageiro ao qual os PNR dizem respeito; e

f) Quaisquer dados API que tenham sido recolhidos.

3. Decorrido o prazo de seis meses referido no n.o 2, s permitida a divulgao dos dados PNR integrais caso essa
divulgao seja:

a) Considerada necessria, com base em motivos razoveis, para os fins referidos no artigo 6.o, n.o 2, alnea b); e

b) Autorizada por:

i) uma autoridade judiciria, ou

ii) outra autoridade nacional competente, nos termos do direito nacional, para verificar se esto reunidas as
condies de divulgao, sob reserva de o responsvel pela proteo de dados da UIP ser informado e proceder a
uma verificao ex-post.

4. Os Estados-Membros asseguram que os dados PNR sejam apagados de forma definitiva no termo do prazo referido
no n.o 1. Esta obrigao aplica-se sem prejuzo dos casos em que dados PNR especficos tenham sido transferidos para
uma autoridade competente e sejam utilizados no mbito de um caso especfico para efeitos de preveno, deteo,
investigao ou represso de infraes terroristas ou criminalidade grave; nesse caso a conservao dos dados pela
autoridade competente rege-se pelo direito nacional.

5. O resultado do tratamento a que se refere o artigo 6.o, n.o 2, alnea a), s conservado pela UIP durante o perodo
necessrio para informar as autoridades competentes e, nos termos do artigo 9.o, n.o 1, as UIP de outros Estados-
-Membros, de um resultado positivo. Caso se constate, na sequncia de uma verificao individual por meios no
automatizados referida no artigo 6.o, n.o 5, alnea a), que o resultado do tratamento automatizado negativo, este pode,
ainda assim, ser conservado a fim de evitar falsos resultados positivos no futuro, desde que os dados de base no sejam
apagados, nos termos do n.o 4 do presente artigo.

Artigo 13.o

Proteo de dados pessoais

1. Os Estados-Membros asseguram que, em qualquer tratamento de dados pessoais nos termos da presente diretiva,
todos os passageiros tenham o mesmo direito proteo dos seus dados pessoais, os direitos de acesso, retificao,
apagamento e limitao, e os direitos a indemnizao e recurso judicial, nos termos do direito da Unio e do direito
nacional, e em aplicao dos artigos 17.o, 18.o, 19.o e 20.o da Deciso-Quadro 2008/977/JAI. Esses artigos so, por
conseguinte, aplicveis.
L 119/144 PT Jornal Oficial da Unio Europeia 4.5.2016

2. Os Estados-Membros prevm que as disposies adotadas nos termos do direito nacional em aplicao dos
artigos 21.o e 22.o da Deciso-Quadro 2008/977/JAI, respeitantes confidencialidade do tratamento e segurana dos
dados, sejam igualmente aplicveis a qualquer tratamento de dados pessoais efetuado nos termos da presente diretiva.

3. A presente diretiva no prejudica a aplicabilidade da Diretiva 95/46/CE do Parlamento Europeu e do Conselho (1)
ao tratamento dos dados pessoais pelas transportadoras areas, em especial as suas obrigaes de tomarem as medidas
tcnicas e organizativas adequadas para proteger a segurana e confidencialidade dos dados pessoais.

4. Os Estados-Membros probem o tratamento de dados PNR que revelem a raa ou origem tnica da pessoa, as suas
opinies polticas, religio ou convices filosficas, filiao sindical sade, vida ou orientao sexual. Se receber dados
PNR que revelem tais informaes, a UIP apaga-os imediatamente.

5. Os Estados-Membros asseguram que a UIP conserve a documentao relativa a todos os sistemas e procedimentos
de tratamento sob a sua responsabilidade. Essa documentao deve conter, no mnimo:

a) O nome e os contactos da organizao e do pessoal da UIP a quem confiado o tratamento de dados PNR e os
diferentes nveis de autorizao de acesso;

b) Os pedidos apresentados pelas autoridades competentes e pelas UIP de outros Estados-Membros;

c) Todos os pedidos e transferncias de dados PNR para um pas terceiro.

A UIP disponibiliza toda a documentao existente autoridade nacional de controlo, a pedido desta.

6. Os Estados-Membros asseguram que a UIP conserve registos, pelo menos, das seguintes operaes de tratamento:
recolha, consulta, divulgao e apagamento. Os registos das operaes de consulta e de divulgao indicam, em especial,
a finalidade, a data e a hora dessas operaes e, se possvel, a identidade da pessoa que consultou ou divulgou os dados
PNR e a identidade dos destinatrios desses dados. Os registos s podem ser utilizados para efeitos de verificao e de
autocontrolo, para garantir a integridade e a segurana dos dados e para auditoria. A UIP disponibiliza os registos
autoridade nacional de controlo, a pedido desta.

Esses registos so conservados durante um prazo de cinco anos.

7. Os Estados-Membros asseguram que a respetiva UIP aplique medidas tcnicas e organizativas e procedimentos
adequados para garantir um elevado nvel de segurana, adaptado aos riscos que o tratamento representa e natureza
dos dados PNR.

8. Os Estados-Membros asseguram que, caso a violao de dados pessoais seja suscetvel de resultar num elevado
risco para a proteo dos dados pessoais ou de prejudicar a privacidade do titular dos dados, a UIP comunique tal
violao de dados ao titular dos dados e autoridade nacional de controlo sem demora injustificada.

Artigo 14.o

Sanes

O Estados-Membros estabelecem as regras relativas s sanes aplicveis violao das disposies nacionais adotadas
em aplicao da presente diretiva e tomam todas as medidas necessrias para assegurar a sua aplicao.

Em especial, os Estados-Membros estabelecem as regras relativas s sanes, incluindo sanes financeiras, a aplicar s
transportadoras areas que no transmitam dados conforme previsto no artigo 8.o ou no os transmitam no formato
requerido.

As sanes previstas devem ser efetivas, proporcionadas e dissuasivas.

(1) Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa proteo das pessoas singulares no que
diz respeito ao tratamento de dados pessoais e livre circulao desses dados (JO L 281 de 23.11.1995, p. 31).
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/145

Artigo 15.o

Autoridade nacional de controlo

1. Cada Estado-Membro estabelece que a autoridade nacional de controlo referida no artigo 25.o da Deciso-Quadro
2008/977/JAI seja responsvel por prestar aconselhamento e monitorizar a aplicao, no seu territrio, das disposies
adotadas pelos Estados-Membros por fora da presente diretiva. aplicvel o artigo 25.o da Deciso-Quadro
2008/977/JAI.

2. As referidas autoridades nacionais de controlo exercem as atividades previstas no n.o 1, tendo em vista a proteo
dos direitos fundamentais no mbito do tratamento de dados pessoais.

3. Cabe a cada autoridade nacional de controlo:

a) Analisar as reclamaes apresentadas por qualquer titular de dados, investigar a questo e informar os titulares dos
dados sobre os progressos e os resultados da reclamao num prazo razovel;

b) Verificar a legalidade do tratamento de dados, proceder a investigaes, inspees e auditorias nos termos do direito
nacional, por sua prpria iniciativa ou com base numa reclamao a que se refere a alnea a).

4. A autoridade nacional de controlo aconselha, mediante pedido, os titulares de dados sobre o exerccio dos direitos
previstos em disposies adotadas em aplicao da presente diretiva.

CAPTULO III

Medidas de execuo

Artigo 16.o

Protocolos comuns e formatos de dados reconhecidos

1. Todas as transferncias de dados PNR das transportadoras areas para as UIP para efeitos da presente diretiva so
efetuadas por meios eletrnicos, que ofeream garantias suficientes no que respeita s medidas tcnicas de segurana e s
medidas organizativas que regulam o tratamento a efetuar. Em caso de avaria tcnica, os dados PNR podem ser
transferidos por qualquer outro meio adequado, desde que o mesmo nvel de segurana seja mantido e o direito da
Unio em matria de proteo de dados seja plenamente respeitado.

2. Um ano aps a data em que a Comisso adotar, nos termos do n.o 3, pela primeira vez, os protocolos comuns e
os formatos de dados reconhecidos, todas as transferncias de dados PNR pelas transportadoras areas para as UIP para
efeitos da presente diretiva so efetuadas eletronicamente atravs de mtodos seguros, conformes com esses protocolos
comuns. Tais protocolos so idnticos para todas as transferncias, a fim de garantir a segurana dos dados PNR durante
a transferncia. Os dados PNR so transferidos num formato de dados reconhecido, a fim de assegurar a sua legibilidade
por todas as partes envolvidas. Todas as transportadoras areas so obrigadas a selecionar e a identificar junto da UIP o
protocolo comum e o formato de dados que tencionam utilizar para as suas transferncias.

3. A Comisso elabora a lista dos protocolos comuns e dos formatos de dados reconhecidos e, se necessrio, adapta-a
por meio de atos de execuo. Os referidos atos de execuo so adotados pelo procedimento de exame a que se refere
o artigo 17.o, n.o 2.

4. aplicvel o n.o 1 enquanto os protocolos comuns aceites e os formatos de dados reconhecidos referidos nos
n.os 2 e 3 no estiverem disponveis

5. No prazo de um ano a contar da data de adoo dos protocolos comuns e dos formatos de dados reconhecidos
referidos no n.o 2, os Estados-Membros asseguram que sejam adotadas as medidas tcnicas necessrias para permitir a
utilizao desses protocolos comuns e formatos de dados.
L 119/146 PT Jornal Oficial da Unio Europeia 4.5.2016

Artigo 17.o

Procedimento de comit

1. A Comisso assistida por um comit. Esse comit um comit na aceo do Regulamento (UE) n.o 182/2011.

2. Caso se remeta para o presente nmero, aplica-se o artigo 5.o do Regulamento (UE) n.o 182/2011.

Na falta de parecer do Comit, a Comisso no adota o projeto de ato de execuo, aplicando-se o artigo 5.o, n.o 4,
terceiro pargrafo, do Regulamento (UE) n.o 182/2011.

CAPTULO IV

Disposies finais

Artigo 18.o

Transposio

1. Os Estados-Membros pem em vigor as disposies legislativas, regulamentares e administrativas necessrias para


dar cumprimento presente diretiva at 25 de maio de 2018. Comunicam imediatamente Comisso o texto dessas
disposies.

Quando os Estados-Membros adotarem essas disposies, estas incluem uma remisso para a presente diretiva ou so
acompanhadas dessa remisso aquando da sua publicao oficial. Os Estados-Membros estabelecem o modo como deve
ser feita a remisso e formulada a meno.

2. Os Estados-Membros comunicam Comisso o texto das principais disposies de direito interno que adotarem
no domnio regulado pela presente diretiva.

Artigo 19.o

Reexame

1. Com base nas informaes prestadas pelos Estados-Membros, incluindo as informaes estatsticas referidas no
artigo 20.o, n.o 2, a Comisso procede, at 25 de maio de 2020, a um reexame de todos os elementos da presente
diretiva e apresenta um relatrio ao Parlamento Europeu e ao Conselho.

2. Ao proceder ao reexame, a Comisso presta especial ateno:

a) Ao cumprimento das normas aplicveis de proteo de dados pessoais;

b) necessidade e proporcionalidade da recolha e do tratamento dos dados PNR para cada um dos fins fixados na
presente diretiva;

c) durao do prazo de conservao dos dados;

d) eficcia do intercmbio de informaes entre os Estados-Membros; e

e) qualidade das avaliaes, nomeadamente no que respeita s informaes estatsticas recolhidas nos termos do
artigo 20.o.

3. O relatrio referido no n.o 1 inclui tambm um reexame da necessidade, proporcionalidade e eficcia da incluso,
no mbito de aplicao da presente diretiva, da recolha e transferncia obrigatrias de dados PNR, no que respeita a
todos os voos intra-UE ou a uma seleo destes. A Comisso tem em conta a experincia adquirida pelos Estados-
-Membros, especialmente por aqueles que aplicam a presente diretiva a voos intra-UE, nos termos do artigo 2.o. O
relatrio considera tambm a necessidade de incluir no mbito de aplicao da presente diretiva operadores econmicos
que no sejam transportadoras, tais como agncias de viagem e operadores tursticos que prestam servios afins,
incluindo a reserva de voos.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/147

4. luz do reexame efetuado nos termos do presente artigo, a Comisso apresenta, se necessrio, ao Parlamento
Europeu e ao Conselho uma proposta legislativa destinada a alterar a presente diretiva.

Artigo 20.o

Dados estatsticos

1. Os Estados-Membros fornecem anualmente Comisso um conjunto de informaes estatsticas sobre os dados


PNR comunicados s UIP. As referidas estatsticas no podem incluir dados pessoais.

2. As estatsticas indicam, pelo menos:

a) O nmero total de passageiros cujos dados PNR foram objeto de recolha e de intercmbio;

b) O nmero de passageiros identificados sujeitos a um controlo mais minucioso.

Artigo 21.o

Relao com outros instrumentos

1. Os Estados-Membros podem continuar a aplicar entre si os acordos ou convnios bilaterais ou multilaterais em


matria de intercmbio de informaes entre autoridades competentes que estejam em vigor em 24 de maio de 2016,
na medida em que tais acordos ou convnios sejam compatveis com esta ltima.

2. A presente diretiva no prejudica a aplicabilidade da Diretiva 95/46/CE ao tratamento de dados pessoais pelas
transportadoras areas.

3. A presente diretiva aplica-se sem prejuzo das obrigaes e dos compromissos j assumidos pelos Estados-
-Membros ou pela Unio por fora de acordos bilaterais ou multilaterais com pases terceiros.

Artigo 22.o

Entrada em vigor

A presente diretiva entra em vigor no vigsimo dia seguinte ao da sua publicao no Jornal Oficial da Unio Europeia.

Os destinatrios da presente diretiva so os Estados-Membros, em conformidade com os Tratados.

Feito em Bruxelas, em 27 de abril de 2016.

Pelo Parlamento Europeu Pelo Conselho


O Presidente A Presidente
M. SCHULZ J.A. HENNIS-PLASSCHAERT
L 119/148 PT Jornal Oficial da Unio Europeia 4.5.2016

ANEXO I

Dados dos registos de identificao dos passageiros recolhidos pelas transportadoras areas

1. Cdigo de identificao do registo PNR

2. Data da reserva/emisso do bilhete

3. Data(s) da viagem prevista

4. Nome(s)

5. Endereo e informaes de contacto (nmero de telefone, endereo de correio eletrnico)

6. Todas as informaes sobre as modalidades de pagamento, incluindo o endereo de faturao

7. Itinerrio completo para o PNR em causa

8. Informao de passageiro frequente

9. Agncia/agente de viagens

10. Situao do passageiro, incluindo confirmaes, situao do registo, no comparncia ou passageiro de ltima hora
sem reserva

11. Informao do PNR separada/dividida

12. Observaes gerais (designadamente todas as informaes disponveis sobre menores no acompanhados com idade
inferior a 18 anos, como nome e sexo do menor, idade, lngua(s) falada(s), nome e contactos da pessoa que o
acompanha no momento da partida e sua relao com o menor, nome e contactos da pessoa que o acompanha no
momento da chegada e sua relao com o menor, agente presente na partida e na chegada)

13. Informaes sobre a emisso dos bilhetes, incluindo nmero do bilhete, data de emisso, bilhetes s de ida, dados
ATFQ (Automatic Ticket Fare Quote)

14. Nmero do lugar e outras informaes relativas ao lugar

15. Informaes sobre a partilha de cdigo

16. Todas as informaes relativas s bagagens

17. Nmero e outros nomes de passageiros que figuram no PNR

18. Todas as informaes prvias sobre os passageiros (dados API) que tenham sido recolhidas (incluindo, tipo e
nmero de documento(s), pas de emisso e termo de validade do(s) documento(s), nacionalidade, nome(s) e apelido
(s), sexo, data de nascimento, companhia area, nmero de voo, data de partida, data de chegada, aeroporto de
partida, aeroporto de chegada, hora de partida e hora de chegada)

19. Historial completo das modificaes dos dados PNR enumerados nos pontos 1 a 18.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/149

ANEXO II

Lista de infraes a que se refere o artigo 3.o, n.o 9

1. Participao em organizao criminosa

2. Trfico de seres humanos

3. Explorao sexual de crianas e pedopornografia

4. Trfico de estupefacientes e substncias psicotrpicas

5. Trfico de armas, munies e explosivos

6. Corrupo

7. Fraude, incluindo a fraude lesiva dos interesses financeiros da Unio

8. Branqueamento dos produtos do crime e contrafao de moeda, incluindo o euro

9. Criminalidade informtica/cibercrime

10. Crimes contra o ambiente, incluindo o trfico de espcies animais ameaadas e de espcies e variedades vegetais
ameaadas

11. Auxlio entrada e permanncia irregulares

12. Homicdio voluntrio, ofensas corporais graves

13. Trfico de rgos e tecidos humanos

14. Rapto, sequestro e tomada de refns

15. Assalto organizado ou mo armada

16. Trfico de bens culturais, incluindo antiguidades e obras de arte

17. Contrafao e piratagem de produtos

18. Falsificao de documentos administrativos e respetivo trfico

19. Trfico de substncias hormonais e de outros estimuladores de crescimento

20. Trfico de materiais nucleares e radioativos

21. Violao

22. Crimes abrangidos pela jurisdio do Tribunal Penal Internacional

23. Desvio de avio ou navio

24. Sabotagem

25. Trfico de veculos roubados

26. Espionagem industrial


ISSN 1977-0774 (edio eletrnica)
ISSN 1725-2601 (edio em papel)

PT





Servio das Publicaes da Unio Europeia


2985 Luxemburgo
LUXEMBURGO

Você também pode gostar