Machine Translated by Google

Fluxogramas e Checklists sobre

Proteção de Dados
Machine Translated by Google

© União Europeia 2020

A reprodução é autorizada desde que citada a fonte.

PDF ISBN 978-92-9242-461-9 doi: 10.2804/823679 QT-02-20-505-EN-C

IMPRIMIR ISBN 978-92-9242-462-6 doi: 10.2804/912368 QT-02-20-505 -PT-N
Machine Translated by Google

Índice

Fluxograma: você é processador, controlador ou controlador conjunto? ................................ 3

Lista de verificação 1: Quais são as funções do controlador? .................................................. ... 4

Lista de verificação 2: Quais são as funções do processador? .................................................. ... 7

Lista de verificação 3: O que é exigido em um acordo de processamento?................................... 8
Dicas e perguntas úteis sobre proteção de dados .......................................... .............. 10
Transferências de dados e Brexit ............................................. .................................................. .... 13

Poderes da AEPD ao abrigo do Regulamento (UE) 2018/1725

(Regulamento sobre a proteção de dados das instituições da UE - EUDPR) ........................................... ... 14
Multas administrativas e sanções ao abrigo do EUDPR ..................................... ........ 16

EUDPR - Infrações ............................................. .................................................. ...... 17

Machine Translated by Google

Você é um processador, controlador ou controlador conjunto?

Fluxograma para EUIs. Você está envolvido em uma operação de

processamento com um ou mais terceiros: você é um
processador, um controlador ou um controlador conjunto?
!

Este gráfico w é para situações em que

a alocação do processador e
funções de controlador não foram

estabelecido em ato jurídico.

1

Determina determinadas finalidades e meios Sim

essenciais da operação de tratamento, com base
numa competência legal específica?

Não
2

Determina determinadas finalidades e meios Sim

essenciais da operação de tratamento, com base
numa competência implícita?

Não
3

Você determina determinadas finalidades e Sim

meios essenciais da operação de tratamento na Você é um controlador.

prática?

Qual é a relação entre

Não
você (A) e a outra parte (B)?

Você é um processador

Você em conjunto Você em conjunto Você e B Só você determina

determinar os determinar alguns separadamente os propósitos e
propósitos e meios e propósitos determinar as finalidades meios essenciais de
meios essenciais para o essenciais com B, e os meios essenciais para o processamento
processamento enquanto outros são o tratamento Operação.
operação com B. determinados Operação.
separadamente.

Você é um
Você e B estão juntos Você é conjunto B é o controlador para
controladores. controlador, B é o seu
controlador com B para seus próprios meios e
processador.
o conjunto propósitos, mas
determinadas partes do processador para o seu.
A
+ processamento
B Operação. A

AB A B

Nota: O objetivo deste fluxograma é esclarecer a qualificação inicial como responsável pelo tratamento ou subcontratante, em vez de definir o que acontece quando um
subcontratante excede o seu mandato/função ao envolver-se na determinação dos meios essenciais de tratamento.

3
Machine Translated by Google

Lista de verificação 1:

Quais são as funções

do controlador?

O processamento de dados pessoais deve obedecer aos

seguintes princípios:

•a operação de tratamento deve ser lícita, leal e •os dados pessoais devem ser precisos
transparente (licitude, equidade, transparência); (precisão);

•os dados pessoais não devem ser conservados durante mais

•a operação de tratamento deve estar vinculada a tempo do que o necessário (limitação de armazenamento);
finalidades específicas (limitação de finalidade);
•os dados pessoais precisam permanecer bem
•os dados pessoais processados devem ser protegidos e confidenciais (integridade e
adequado, relevante e limitado ao necessário confidencialidade).
(minimização de dados);

Ver o guia da AEPD, Responsabilidade no terreno, parte II, páginas 11-15, para questões orientadoras sobre estes princípios de
protecção de dados.

O responsável pelo tratamento é responsável pelo
cumprimento destes princípios e deverá ser capaz de
demonstrar esse cumprimento (princípio da
responsabilização). Para conseguir isto, na prática, os
responsáveis pelo tratamento necessitam, em especial:
•documentar suas operações de processamento com
registros; (Nota: a AEPD recomenda vivamente
que estes registos sejam mantidos num registo
central e acessível ao público);
•realizar uma avaliação de impacto na proteção de
dados (AIPD), antes de operações que representem
um alto risco para os direitos e liberdades dos
titulares dos dados;
•sob certas circunstâncias, consulte o
AEPD antes de tais operações de tratamento de
alto risco;
•ao projetar operações de processamento, tenha em
mente os princípios de privacidade desde a
concepção e privacidade por padrão;
•tomar medidas de segurança adequadas para
proteger os dados pessoais;
•
em caso de violação de dados pessoais, notificar
a AEPD, bem como, em determinadas
circunstâncias, os titulares dos dados envolvidos;
•celebrar acordos/contratos com processadores
(apenas aqueles que forneçam garantias suficientes);
•celebrar acordos com outros controladores nos casos
de controladoria conjunta;
•transferir dados pessoais dentro da instituição, agência
ou organismo europeu (IUE), para outros IUE, para
países fora da UE ou organizações internacionais
apenas quando as condições do Regulamento (UE)
2018/1725 forem cumpridas;
•cooperar com a AEPD.
Veja a responsabilidade da AEPD no terreno para
orientação sobre registros, DPIAs, consulta prévia e muito
mais.

Por último, o responsável pelo tratamento deve fornecer informações claras e acessíveis aos titulares dos dados sobre o
tratamento, respeitar os direitos dos titulares dos dados e garantir a sua disponibilidade na prática.

Ver as orientações da AEPD sobre transparência e outros direitos e obrigações.

4
Machine Translated by Google

Conheça suas operações de processamento

O artigo 4.º do EUDPR enumera os princípios de proteção de dados. Os artigos adicionais deste regulamento
explicam-nos mais detalhadamente:

Princípio DP Artigos Considerandos

Justiça Artigo 4.º, n.º 1, artigos 17.º a 25.º 20, 26, 34, 35, 37-41

Transparência Artigos 4.º, n.º 1, alínea a), 14.º a 16.º, 25.º 20, 35, 36
Limitação de finalidade Artigos 4.º, n.º 1, alínea b), 6.º, 13.º e 38.º 25
Minimização de dados Artigos 4.º, n.º 1, alínea c), 12.º, 13.º, 37.º, 38.º 20

Precisão Artigos 4.º, n.º 1, alínea d), 18.º 38

Limitação de armazenamento Artigos 4.º, n.º 1, alínea e), 13.º 20, 33

Segurança Artigos 4.º, n.º 1, alínea f), 33.º, 36.º, 37.º, 39.º 53, 54, 58

Crie uma descrição sistemática do processamento. Comece pelas informações que você já possui em sua
notificação ou registro e acrescente os seguintes pontos:

•diagrama de fluxo de dados do processo (fluxograma): o que coletamos de onde/quem,

o que fazemos com ele, onde o guardamos, a quem o damos?

• descrição detalhada da(s) finalidade(s) do processamento: explique as etapas do processo-

passo a passo, distinguindo entre finalidades quando necessário;

•descrição de suas interações com outros processos - esse processo depende de dados pessoais
alimentados por outros sistemas? Os dados pessoais deste processo são reutilizados noutros processos?

•descrição da infra-estrutura de apoio: sistemas de arquivamento, TIC, etc.

Utilize a documentação existente do processo ou de seu desenvolvimento para gerar esta documentação. Releia
esta documentação existente sob a perspectiva de “como isso afetará as pessoas cujos dados processamos?”
e adaptar e expandir quando necessário.

Analise o seu diagrama de fluxo de dados e, para cada etapa, pergunte-se como isso poderia afetar as pessoas
envolvidas no contexto dos princípios de proteção de dados.

A tabela abaixo mapeia as metas para algumas etapas genéricas de processamento, indicando as metas mais
relevantes para cada uma. Estes são os aspectos mínimos a verificar.

A legalidade deve ser garantida na primeira fase e em cada etapa do processamento.

5
Machine Translated by Google

Objetivo de Transparência de Justiça Dados Armazenar Minimização

Limitação de segurança da limitação

Coleção X X X X X X

Mesclando conjuntos de dados X X X X X X

Organização/estruturas Ó Ó X X X X

Recuperação/consulta/
usar X X X Ó X X

Edição/alteração E X Ó X Ó X

Divulgação/Transferência X X X X Ó X

Restrição R R X X X X

Armazenar X X X Ó X X

Apagamento/destruição X Ó X X

Ver as orientações sobre a responsabilização no terreno da AEPD , parte II, páginas 7, 9-11, para mapear os princípios
de proteção de dados em etapas genéricas de processamento.

6
Machine Translated by Google

Lista de verificação 2:

Quais são as funções

do processador?

Para cumprir o Regulamento (UE) 2018/1725 (EUDPR), os transformadores devem, em particular:

•processar dados pessoais apenas de acordo com as instruções documentadas do controlador, a menos que
obrigado a fazê-lo pela legislação da UE ou dos Estados-Membros;

•tratar dados pessoais conforme regido por contrato ou ato jurídico que vincule o processador e que
estabeleça os pré-requisitos necessários para a atividade de processamento;

•NÃO processar dados para outras finalidades incompatíveis;

• ajudar o responsável pelo tratamento na obrigação de garantir os direitos dos titulares dos dados e de
cumprir as obrigações do responsável pelo tratamento nos termos dos artigos 33 a 41 do EUDPR
(notificação de segurança e violação de dados, avaliação de impacto na proteção de dados e consulta
prévia, confidencialidade das comunicações eletrónicas, informação e consulta da AEPD);

•notificar qualquer pedido juridicamente vinculativo de

divulgação dos dados pessoais tratados em nome do
responsável pelo tratamento e só poderá conceder acesso
aos dados com a autorização prévia por escrito do
responsável pelo tratamento;

•SÓ terceirizar/subcontratar com autorização prévia por

escrito do controlador; informar o controlador sobre
quaisquer alterações, dando ao controlador a oportunidade
de se opor; repassar as mesmas obrigações contratuais a
quaisquer subcontratados;

•manter um registro de todas as categorias de atividades de

processamento realizadas em nome do controlador;

•tomar medidas de segurança adequadas para

proteger os dados pessoais;

•sem demora injustificada, informar o controlador sobre uma

violação de dados;

•cooperar, mediante pedido, com a AEPD no desempenho

das suas tarefas.

7
Machine Translated by Google

Lista de verificação 3:

O que é necessário em um
acordo de processamento?

Os controladores podem fazer com que outra entidade processe dados pessoais em seu nome. O tratamento
subcontratado diz respeito, portanto, aos dados pessoais produzidos e tratados pelo contrato e não aos dados do
contratante ou do seu pessoal.

O processamento por um processador requer um contrato ou outro ato jurídico ao abrigo da legislação da UE ou
do Estado-Membro, que é vinculativo para o processador e estabelece:

•finalidade, duração, natureza e escopo do processamento;

•categorias de dados e titulares de dados;

•período de retenção;

•localização e acesso aos dados (com base na avaliação preliminar de risco pode ser limitado
ou não para o EEE);

•destinatários de dados e transferências de dados (dentro do EUI, para outros EUIs, para países terceiros ou
organizações internacionais);

•medidas de segurança (garantindo no mínimo o mesmo nível de segurança para o

dados pessoais como controlador);

•proibição de divulgação de dados – referência ao Protocolo sobre Privilégios e

Imunidades da UE;

•quaisquer leis adicionais de proteção de dados (por exemplo, Diretiva de Privacidade Eletrônica, Diretiva NIS) – se aplicável;

•o processador só pode agir de acordo com instruções documentadas do controlador, a menos que seja obrigado a
fazê-lo pela legislação da UE ou do Estado-Membro (instruções também sobre transferências de dados
pessoais e assistência ao controlador);

•subcontratação somente com autorização prévia por escrito do controlador, informações oportunas antes de
quaisquer alterações;

•medidas de confidencialidade, acesso apenas com base na necessidade de conhecimento a pessoas autorizadas;

•direitos de auditoria pelo controlador de processadores e subprocessadores;

8
Machine Translated by Google

•cooperação, mediante pedido, com a AEPD no desempenho das suas tarefas (incluindo
auditoria/investigação da AEPD aos subcontratantes e subcontratantes);

•divisão de tarefas entre controladores conjuntos – se aplicável – para que o processador saiba como ajudar qual
controlador conjunto;

•assistência com solicitações de direitos do titular dos dados;

•assistência nas obrigações do responsável pelo tratamento (notificação de segurança e violação de dados, avaliação
de impacto na proteção de dados e consulta prévia, confidencialidade das comunicações eletrónicas, informação e
consulta da AEPD) e registo do tratamento em nome do responsável pelo tratamento;

•assistência em violações de dados – definir prazo específico;

• escolha pelo controlador para que o processador retorne ou exclua os dados no final do
em processamento;

•obrigação de informar o responsável pelo tratamento se as suas instruções violarem o Regulamento (UE) 2018/1725
ou outras disposições de proteção de dados da UE ou dos Estados-Membros;

•motivo para rescisão em caso de não conformidade substancial do processador, responsabilidade

etc.;

•lei de proteção de dados aplicável;

•outras disposições aplicáveis que afetam a proteção de dados, por exemplo, escolha da lei e jurisdição aplicáveis
(Estado-Membro da sede do IUE), alterações (apenas bilaterais), etc.

O contrato ou outro ato jurídico pode basear-se, no todo ou em parte, em cláusulas contratuais-tipo para transformadores
adotadas pela AEPD ou pela CE.

9
Machine Translated by Google

Dicas e perguntas úteis sobre

Proteção de dados

Linhas principais Algumas perguntas úteis

•Pense no que você precisa fazer para atender às •O que exatamente queremos fazer e por quê?
necessidades do seu negócio e limite-se a isso.
•Por que temos permissão para fazer isso?

•Quais dados precisamos para fazer isso e por quanto

•Defina o que você faz, documente.
tempo?
•
Conte às pessoas sobre isso e respeite suas •Quem precisa ter acesso aos dados?
direitos.
•Como podemos ter certeza de que não será usado de
outra forma?

•Como podemos contar às pessoas sobre isso e dar-lhes

acesso aos seus dados?

•Como documentamos tudo isso?

•Quer saber mais? Precisa de orientação?

Fale com o seu responsável pela proteção de dados.
Documente cada etapa para fins de prestação de
contas.

10
Machine Translated by Google
Por que informar as pessoas sobre o
processamento de dados?
Para que eles possam:
• entender quais dos seus dados são
processado e como;
•verificar a qualidade dos seus próprios dados;
• exercer suas outras proteções de dados
direitos (acesso, retificação, apagamento, restrição
do tratamento, notificação de retificação, apagamento,
restrição do tratamento, portabilidade dos dados,
oposição, não estar sujeito a uma decisão baseada
exclusivamente no tratamento automatizado, incluindo
a definição de perfis).
Perguntas orientadoras sobre justiça
•As pessoas podem esperar que isso aconteça, mesmo
se não lerem as informações que você lhes fornece?
• outros fins (desvio de função)?
Caso você dependa do consentimento, ele é
realmente gratuito? Como você documenta que as
pessoas o deram? Como eles podem revogar seu
consentimento?
•Isso poderia gerar efeitos assustadores?
•Isso poderia levar à discriminação?
•
É fácil para as pessoas exercerem os seus direitos
de acesso, retificação, etc.?
11
Fatores de proteção de dados na
publicação de dados pessoais
•Sou obrigado a publicar? Posso publicar?
(Base jurídica)
•O que posso publicar? (Minimização de dados)
•Como posso informar as pessoas envolvidas?
(Informação)
•Como posso ter certeza de que os dados estão corretos?
(Precisão)
Transparência nas questões sobre
norteadoras
•Como você contará às pessoas sobre seu processamento?
•Como você garante que as informações
atinge as pessoas afetadas?
•Você forneceu todas as informações
necessário e é fácil de entender?
•
A linguagem é adaptada ao público Por exemplo,
crianças?
•
Caso você adie o fornecimento de informações, qual
a sua justificativa?
Perguntas orientadoras sobre limitação
de propósito
•Você identificou todos os propósitos do seu processo?
•Todos os propósitos são compatíveis com o propósito
inicial?
• Existe o risco de os dados serem reutilizados para
•Como você pode garantir que os dados sejam apenas
usados para os fins definidos?
•
Se pretender disponibilizar/reutilizar dados para
investigação científica, para fins estatísticos ou
históricos, que salvaguardas aplica para proteger os
indivíduos em causa?
Machine Translated by Google

Perguntas orientadoras sobre minimização Perguntas orientadoras sobre precisão

de dados
•Quais poderiam ser as consequências para as pessoas

•Os dados têm qualidade suficiente para o efeito? afetadas se agirem com base em informações
imprecisas neste processo?

•Os dados que você coleta medem o que você pretende •Como você garante que os dados que você

medir? colete-se são precisos?

•Existem itens de dados que você poderia remover sem •Como você garante que os dados obtidos de terceiros

comprometer a finalidade do processo? sejam precisos?

•Suas ferramentas permitem atualizações/correções

•Você distingue claramente entre itens obrigatórios e de dados quando necessário?

opcionais nos formulários? •Suas ferramentas permitem consistência

• Verificações?
Caso pretenda guardar informação para fins
estatísticos, como gere o risco de reidentificação?

Perguntas orientadoras sobre limitação Perguntas orientadoras sobre segurança

de armazenamento
•Você possui um procedimento para realizar uma

•A legislação da UE define períodos de armazenamento identificação, análise e avaliação dos riscos de

para o seu processo? segurança da informação que possam afetar os

dados pessoais e os sistemas de TI que suportam
•Quanto tempo você precisa para manter quais dados?
o seu processamento?
Para qual(is) propósito(s)?
•Você visa o impacto nos direitos, liberdades e interesses
•Você consegue distinguir períodos de armazenamento
fundamentais das pessoas e não apenas nos riscos
para diferentes partes dos dados?
para a organização?
•
Se você ainda não pode excluir os dados, pode
restringir o acesso a eles?
•Você leva em consideração o
•Suas ferramentas permitirão o apagamento automático natureza, âmbito, contexto e finalidades do
no final do período de armazenamento? tratamento ao avaliar os riscos?

•Você gerencia as vulnerabilidades e ameaças do seu

sistema para seus dados e sistemas?

•Você tem algum recurso ou equipe com funções

designadas para realizar avaliações de risco?

12
Machine Translated by Google

Fluxograma: transferências de dados no contexto do Brexit

1
Primeiro, mapeie as suas

Você mapeou suas transferências de atividades de processamento

dados para o Reino Unido? que envolvem transferências
Não
para o Reino Unido.

Sim
!
2
Observe que um art. 47 A decisão de
Para essas transferências, você verificou adequação do DPR da UE antes
qual das transferências de dados disponíveis Não do Brexit é improvável.
mecanismos que melhor se adaptam à sua situação?

Alguns instrumentos são

Confira a arte. disponível exclusivamente para
48 EUDPR transferências entre público
Sim
proteções autoridades
Adoptado pela AEPD e
aprovado pela
a CE

Cláusulas padrão Um instrumento juridicamente

Ou Se vinculativo e executório, como um acordo
de proteção de dados para Encadernação e
transferências* administrativo, um acordo bilateral ou
executória
Adotado pelo multilateral
CE Apenas para os
Acordo internacional.
se signatários
Ou
Ou
Dados ad hoc
Autorizado por
cláusulas de proteção. Administrativo, não vinculativo
AEPD. Somente
se
acordos que, no entanto,
Autorizado
Ou prevêem
direitos efetivos dos titulares dos dados. por
Apenas AEPD
Aprovado por Corporativo vinculativo se
supervisão
regras*
Somente
nacional
se
autoridade,
seguindo um
Ou
Parecer do CEPD.

Códigos de conduta Ou
Não é viável antes e mecanismos de
para o Brexit. certificação

Ou

Se nenhuma das opções acima: Art. 50 O DPR da UE permite derrogações para situações específicas, mas apenas para transferências ocasionais e apenas
por motivos exaustivos. Este artigo deve ser usado de forma restritiva.

3
4 5

Você implementou o Sim

Sim Você atualizou a documentação interna? Você atualizou o aviso de proteção
transferência de dados escolhida
de dados?
mecanismo?

Não Não Não Sim

Atualizar a documentação
Sua instituição é
Implementar o mecanismo de Atualizar o aviso de
transferência de dados interna proteção de dados adequadamente preparado.

* Regras corporativas vinculativas e cláusulas contratuais padrão (adotadas pela CE) sob a antiga Diretiva 95/46 ainda são válidas, mas precisarão ser atualizadas ao longo do
tempo, de acordo com o GDPR. Em qualquer caso, antes de utilizar antigas cláusulas contratuais padrão da CE, certifique-se de adaptá-las ao Regulamento (UE) 2018/1725 [EUDPR].

13
Machine Translated by Google

Poderes da AEPD ao abrigo do Regulamento (UE) 2018/1725

(Regulamento de Proteção de Dados das Instituições da UE - EUDPR)

Artigo 58.º Poderes

1. A Autoridade Europeia para a Proteção de Dados terá as seguintes competências de investigação

poderes:

• ordenar ao controlador e ao processador que forneçam todas as informações necessárias para o desempenho
de suas tarefas;

•realizar investigações sob a forma de auditorias de proteção de dados;

• notificar o responsável pelo tratamento ou o subcontratante de uma alegada violação do presente Regulamento;

• obter, do controlador e do processador, acesso a todos os dados pessoais e para

todas as informações necessárias ao desempenho das suas tarefas;

• obter acesso a quaisquer instalações do responsável pelo tratamento e do subcontratante, incluindo quaisquer
equipamentos e meios de processamento de dados, em conformidade com o direito da União.

2. A Autoridade Europeia para a Proteção de Dados terá as seguintes medidas corretivas

poderes:

• emitir avisos a um controlador ou processador que pretendia operações de processamento

são suscetíveis de infringir as disposições do presente regulamento;

• emitir repreensões a um controlador ou processador onde as operações de processamento

infringiram disposições do presente regulamento;

• encaminhar assuntos ao controlador ou processador em questão e, se necessário, ao

Parlamento Europeu, Conselho e Comissão;

• ordenar ao controlador ou ao processador que cumpra as solicitações do titular dos dados

exercer os seus direitos nos termos do presente Regulamento;

• ordenar que o controlador ou processador coloque as operações de processamento em conformidade

com as disposições do presente regulamento, se for caso disso, de uma forma determinada e num prazo
determinado;

• ordenar ao responsável pelo tratamento que comunique uma violação de dados pessoais ao titular dos dados;

• impor uma limitação temporária ou definitiva, incluindo uma proibição de processamento;

• ordenar a retificação ou eliminação de dados pessoais ou restrição de processamento nos termos dos artigos
18, 19 e 20 e a notificação de tais ações aos destinatários
a quem os dados pessoais foram divulgados nos termos do artigo 19.º, n.º 2, e do artigo 21.º;

14
Machine Translated by Google

• impor uma multa administrativa nos termos do artigo 66.º em caso de incumprimento por um IUE de
uma das medidas referidas nas alíneas (d) a (h) e (j) deste número, dependendo das circunstâncias de
cada caso individual;

• ordenar a suspensão dos fluxos de dados para um destinatário num Estado-Membro, num país fora da
UE ou para uma organização internacional.

3. A Autoridade Europeia para a Proteção de Dados terá a seguinte autorização

e poderes consultivos:

• aconselhar os titulares dos dados no exercício dos seus direitos;

• avisar o controlador de acordo com o procedimento de consulta prévia referido

no artigo 40.º e em conformidade com o artigo 41.º, n.º 2;

• emitir, por iniciativa própria ou a pedido, pareceres aos IUE e ao público sobre qualquer questão
relacionada com a proteção de dados pessoais;

• adotar cláusulas-tipo de proteção de dados referidas no artigo 29.º, n.º 8, e no artigo 48.º, n.º 2, alínea
c);

• autorizar as cláusulas contratuais referidas no artigo 48.º, n.º 3, alínea a);

• autorizar os acordos administrativos referidos no artigo 48.º, n.º 3, alínea b);

• autorizar operações de processamento nos termos de atos de execução adotados nos termos
Artigo 40.º, n.º 4.

4. A Autoridade Europeia para a Protecção de Dados tem competência para submeter a questão ao
Tribunal de Justiça nas condições previstas nos Tratados e para
intervir nos recursos interpostos no Tribunal de Justiça.

5. O exercício dos poderes conferidos à Autoridade Europeia para a Proteção de Dados nos termos
do presente artigo está sujeito a garantias adequadas, incluindo
recursos judiciais eficazes e um processo equitativo, previstos no direito da UE.

15
Machine Translated by Google

Multas administrativas e sanções ao abrigo do EUDPR

16
Machine Translated by Google

EUDPR - Infrações

Infracções da categoria 1 multa Categoria 2 Infracções multa máxima

máxima de 25 000 EUR por infracção e de 250 000 EUR por ano Infracções para de 50 000 EUR por infracção e de 500 000 EUR por ano Infracções para as quais a coima
as quais a coima está

está explicitamente prevista no art. 66(2) do EUDPR Art. 8 - Condições aplicáveis explicitamente prevista no art. 66(3) do EUDPR
ao consentimento da criança

em relação aos serviços da sociedade da informação Art. 12 - Tratamento que não Arte. 4 - Princípios relativos ao tratamento de dados pessoais
exige identificação

Arte. 5 - Legalidade do tratamento

Arte. 27 - Proteção de dados desde a conceção e por defeito Arte. 7 – Condições para consentimento

Arte. 28 - Controladores conjuntos Arte. 10 - Tratamento de categorias especiais de dados pessoais

Arte. 29 – Processador Arte. 14 - Informação, comunicação e modalidades transparentes para o exercício dos
direitos do titular dos dados Art. 15 - Informações a serem

Arte. 30 - Tratamento sob autoridade do controlador ou processador Art. 31 - fornecidas quando forem coletados dados pessoais do titular dos dados Art. 16 - Informações
Registros de a serem fornecidas quando

atividades de processamento os dados pessoais não tiverem sido obtidos do titular dos dados Art. 17 – Direito de acesso do
titular dos dados

Arte. 32 - Cooperação com a Autoridade Europeia para a Proteção de

Dados Art. 33

- Segurança do processamento Arte. 18 – Direito à retificação

Arte. 34 - Notificação de violação de dados pessoais à Autoridade Europeia para a Arte. 19 - Direito ao apagamento ('direito ao esquecimento')
Proteção de Dados Art. 35 -

Comunicação de violação de dados pessoais ao titular dos dados Arte. 20 - Direito à restrição do tratamento

Arte. 39 - Avaliação de impacto na proteção de dados Arte. 21 - Obrigação de notificação sobre retificação ou apagamento de dados pessoais
ou restrição de tratamento Art. 22 -
Direito à
Arte. 40 - Consulta prévia portabilidade dos dados

Arte. 43 - Designação do responsável pela proteção de dados Arte. 23 - Direito de oposição

Arte. 44 - Cargo do responsável pela proteção de dados Arte. 24 - Tomada de decisão individual automatizada, incluindo criação de perfis

Arte. 45 - Tarefas do responsável pela proteção de dados Arte. 46 - Princípio geral para transferências

Arte. 47 - Transferências com base numa decisão de adequação

Arte. 48 - Transferências sujeitas a salvaguardas adequadas

Arte. 49 - Transferências ou divulgações não autorizadas pelo direito da União

Arte. 50 - Derrogações para situações específicas

As infrações para as quais a multa não esteja explicitamente prevista no art. As infrações para as quais a multa não esteja explicitamente prevista no art. 66(2)
66(2) ou (3), mas pode ser sancionado de acordo com o Art. 66 (1) como ou (3), mas pode ser sancionado de acordo com o Art. 66 (1) como descumprimento
descumprimento da ordem do art. 58(2)(e) do EUDPR da ordem do art. 58(2)(e) do EUDPR

Rec (49) EUDPR em conexão com o Art. 42 GDPR - Certificação de EUI Arte. 6 – Processamento para outra finalidade compatível

Arte. 26 - Responsabilidade do controlador Recomendação (21) em conexão com o art. 5 - Transmissão de dados pessoais dentro da
mesma instituição ou órgão
da União e o destinatário não faça parte do responsável pelo tratamento, ou para outras
instituições ou órgãos da União

Arte. 37 - Proteção de informações transmitidas, armazenadas, relacionadas, processadas Arte. 9 - Transmissões de dados pessoais a destinatários estabelecidos na UE que não sejam
e coletadas de equipamentos terminais de usuários Art. 38 - Diretórios de usuários instituições e órgãos da União

Arte. 11 - Tratamento de dados pessoais relativos a condenações penais e infrações

Arte. 13 - Das salvaguardas relativas ao tratamento para fins de arquivo de interesse

público, para fins de pesquisa
científica ou histórica ou para fins estatísticos Art. 25 - Restrições

Arte. 36 - Confidencialidade das comunicações eletrónicas

17
Machine Translated by Google
Machine Translated by Google

www.edps.europa.eu

@EU_EDPS

AEPD

Autoridade Europeia para a Proteção de Dados