CELEX:32016R0679:PT:TXT

4.5.
2016 PT Jornal Oficial da Unio Europeia L 119/1
(Atos legislativos)
REGULAMENTOS
REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO

de 27 de abril de 2016
relativo proteo das pessoas singulares no que diz respeito ao tratamento de dados pessoais e
livre circulao desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a
Proteo de Dados)
(Texto relevante para efeitos do EEE)
O PARLAMENTO EUROPEU E O CONSELHO DA UNIO EUROPEIA,
Tendo em conta o Tratado sobre o Funcionamento da Unio Europeia, nomeadamente o artigo 16.o,
Tendo em conta a proposta da Comisso Europeia,
Aps transmisso do projeto de ato legislativo aos parlamentos nacionais,
Tendo em conta o parecer do Comit Econmico e Social Europeu (1),
Tendo em conta o parecer do Comit das Regies (2),
Deliberando de acordo com o processo legislativo ordinrio (3),
Considerando o seguinte:
(1) A proteo das pessoas singulares relativamente ao tratamento de dados pessoais um direito fundamental. O
artigo 8.o, n.o 1, da Carta dos Direitos Fundamentais da Unio Europeia (Carta) e o artigo 16.o, n.o 1, do Tratado
sobre o Funcionamento da Unio Europeia (TFUE) estabelecem que todas as pessoas tm direito proteo dos
dados de carter pessoal que lhes digam respeito.
(2) Os princpios e as regras em matria de proteo das pessoas singulares relativamente ao tratamento dos seus
dados pessoais devero respeitar, independentemente da nacionalidade ou do local de residncia dessas pessoas,
os seus direitos e liberdades fundamentais, nomeadamente o direito proteo dos dados pessoais. O presente
regulamento tem como objetivo contribuir para a realizao de um espao de liberdade, segurana e justia e de
uma unio econmica, para o progresso econmico e social, a consolidao e a convergncia das economias a
nvel do mercado interno e para o bem-estar das pessoas singulares.
(3) A Diretiva 95/46/CE do Parlamento Europeu e do Conselho (4) visa harmonizar a defesa dos direitos e das
liberdades fundamentais das pessoas singulares em relao s atividades de tratamento de dados e assegurar a
livre circulao de dados pessoais entre os Estados-Membros.
(1) JO C 229 de 31.7.2012, p. 90.

(2) JO C 391 de 18.12.2012, p. 127.
(3) Posio do Parlamento Europeu de 12 de maro de 2014 (ainda no publicada no Jornal Oficial) e posio do Conselho em primeira
leitura de 8 de abril de 2016 (ainda no publicada no Jornal Oficial). Posio do Parlamento Europeu de 14 de abril de 2016.
(4) Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa proteo das pessoas singulares no que
diz respeito ao tratamento de dados pessoais e livre circulao desses dados (JO L 281 de 23.11.1995, p. 31).
L 119/2 PT Jornal Oficial da Unio Europeia 4.5.2016
(4) O tratamento dos dados pessoais dever ser concebido para servir as pessoas. O direito proteo de dados
pessoais no absoluto; deve ser considerado em relao sua funo na sociedade e ser equilibrado com outros
direitos fundamentais, em conformidade com o princpio da proporcionalidade. O presente regulamento respeita
todos os direitos fundamentais e observa as liberdade e os princpios reconhecidos na Carta, consagrados nos
Tratados, nomeadamente o respeito pela vida privada e familiar, pelo domiclio e pelas comunicaes, a proteo
dos dados pessoais, a liberdade de pensamento, de conscincia e de religio, a liberdade de expresso e de
informao, a liberdade de empresa, o direito ao e a um tribunal imparcial, e a diversidade cultural, religiosa e
lingustica.
(5) A integrao econmica e social resultante do funcionamento do mercado interno provocou um aumento signifi
cativo dos fluxos transfronteirios de dados pessoais. O intercmbio de dados entre intervenientes pblicos e
privados, incluindo as pessoas singulares, as associaes e as empresas, intensificou-se na Unio Europeia. As
autoridades nacionais dos Estados-Membros so chamadas, por fora do direito da Unio, a colaborar e a trocar
dados pessoais entre si, a fim de poderem desempenhar as suas funes ou executar funes por conta de uma
autoridade de outro Estado-Membro.
(6) A rpida evoluo tecnolgica e a globalizao criaram novos desafios em matria de proteo de dados pessoais.
A recolha e a partilha de dados pessoais registaram um aumento significativo. As novas tecnologias permitem s
empresas privadas e s entidades pblicas a utilizao de dados pessoais numa escala sem precedentes no
exerccio das suas atividades. As pessoas singulares disponibilizam cada vez mais as suas informaes pessoais de
uma forma pblica e global. As novas tecnologias transformaram a economia e a vida social e devero contribuir
para facilitar a livre circulao de dados pessoais na Unio e a sua transferncia para pases terceiros e
organizaes internacionais, assegurando simultaneamente um elevado nvel de proteo dos dados pessoais.
(7) Esta evoluo exige um quadro de proteo de dados slido e mais coerente na Unio, apoiado por uma
aplicao rigorosa das regras, pois importante gerar a confiana necessria ao desenvolvimento da economia
digital no conjunto do mercado interno. As pessoas singulares devero poder controlar a utilizao que feita
dos seus dados pessoais. Dever ser reforada a segurana jurdica e a segurana prtica para as pessoas
singulares, os operadores econmicos e as autoridades pblicas.
(8) Caso o presente regulamento preveja especificaes ou restries das suas regras pelo direito de um Estado-
-Membro, estes podem incorporar elementos do presente regulamento no respetivo direito nacional, na medida
do necessrio para manter a coerncia e tornar as disposies nacionais compreensveis para as pessoas a quem
se aplicam.
(9) Os objetivos e os princpios da Diretiva 95/46/CE continuam a ser vlidos, mas no evitaram a fragmentao da
aplicao da proteo dos dados ao nvel da Unio, nem a insegurana jurdica ou o sentimento generalizado da
opinio pblica de que subsistem riscos significativos para a proteo das pessoas singulares, nomeadamente no
que diz respeito s atividades por via eletrnica. As diferenas no nvel de proteo dos direitos e das pessoas
singulares, nomeadamente do direito proteo dos dados pessoais no contexto do tratamento desses dados nos
Estados-Membros, podem impedir a livre circulao de dados pessoais na Unio. Essas diferenas podem, por
conseguinte, constituir um obstculo ao exerccio das atividades econmicas a nvel da Unio, distorcer a
concorrncia e impedir as autoridades de cumprirem as obrigaes que lhes incumbem por fora do direito da
Unio. Essas diferenas entre os nveis de proteo devem-se existncia de disparidades na execuo e aplicao
da Diretiva 95/46/CE.
(10) A fim de assegurar um nvel de proteo coerente e elevado das pessoas singulares e eliminar os obstculos
circulao de dados pessoais na Unio, o nvel de proteo dos direitos e liberdades das pessoas singulares relati
vamente ao tratamento desses dados dever ser equivalente em todos os Estados-Membros. conveniente
assegurar em toda a Unio a aplicao coerente e homognea das regras de defesa dos direitos e das liberdades
fundamentais das pessoas singulares no que diz respeito ao tratamento de dados pessoais. No que diz respeito ao
tratamento de dados pessoais para cumprimento de uma obrigao jurdica, para o exerccio de funes de
interesse pblico ou o exerccio da autoridade pblica de que est investido o responsvel pelo tratamento, os
Estados-Membros devero poder manter ou aprovar disposies nacionais para especificar a aplicao das regras
do presente regulamento. Em conjugao com a legislao geral e horizontal sobre proteo de dados que d
aplicao Diretiva 95/46/CE, os Estados-Membros dispem de vrias leis setoriais em domnios que necessitam
de disposies mais especficas. O presente regulamento tambm d aos Estados-Membros margem de manobra
para especificarem as suas regras, inclusive em matria de tratamento de categorias especiais de dados pessoais
(dados sensveis). Nessa medida, o presente regulamento no exclui o direito dos Estados-Membros que define
as circunstncias de situaes especficas de tratamento, incluindo a determinao mais precisa das condies em
que lcito o tratamento de dados pessoais.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/3
(11) A proteo eficaz dos dados pessoais na Unio exige o reforo e a especificao dos direitos dos titulares dos
dados e as obrigaes dos responsveis pelo tratamento e pela definio do tratamento dos dados pessoais, bem
como poderes equivalentes para controlar e assegurar a conformidade das regras de proteo dos dados pessoais
e sanes equivalentes para as infraes nos Estados-Membros.
(12) O artigo 16.o, n.o 2, do TFUE incumbe o Parlamento Europeu e o Conselho de estabelecerem as normas relativas
proteo das pessoas singulares no que diz respeito ao tratamento de dados pessoais, bem como as normas
relativas livre circulao desses dados.
(13) A fim de assegurar um nvel coerente de proteo das pessoas singulares no conjunto da Unio e evitar que as
divergncias constituam um obstculo livre circulao de dados pessoais no mercado interno, necessrio um
regulamento que garanta a segurana jurdica e a transparncia aos operadores econmicos, incluindo as micro,
pequenas e mdias empresas, que assegure s pessoas singulares de todos os Estados-Membros o mesmo nvel de
direitos suscetveis de proteo judicial e imponha obrigaes e responsabilidades iguais aos responsveis pelo
tratamento e aos seus subcontratantes, que assegure um controlo coerente do tratamento dos dados pessoais,
sanes equivalentes em todos os Estados-Membros, bem como uma cooperao efetiva entre as autoridades de
controlo dos diferentes Estados-Membros. O bom funcionamento do mercado interno impe que a livre
circulao de dados pessoais na Unio no pode ser restringida ou proibida por motivos relacionados com a
proteo das pessoas singulares no que respeita ao tratamento de dados pessoais. Para ter em conta a situao
particular das micro, pequenas e mdias empresas, o presente regulamento prev uma derrogao para as
organizaes com menos de 250 trabalhadores relativamente conservao do registo de atividades. Alm disso,
as instituies e os rgos da Unio, e os Estados-Membros e as suas autoridades de controlo, so incentivados a
tomar em considerao as necessidades especficas das micro, pequenas e mdias empresas no mbito de
aplicao do presente regulamento. A noo de micro, pequenas e mdias empresaster em conta dever inspirar-
-se do artigo 2.o do anexo da Recomendao 2003/361/CE da Comisso (1).
(14) A proteo conferida pelo presente regulamento dever aplicar-se s pessoas singulares, independentemente da
sua nacionalidade ou do seu local de residncia, relativamente ao tratamento dos seus dados pessoais. O presente
regulamento no abrange o tratamento de dados pessoais relativos a pessoas coletivas, em especial a empresas
estabelecidas enquanto pessoas coletivas, incluindo a denominao, a forma jurdica e os contactos da pessoa
coletiva.
(15) A fim de se evitar o srio risco srio de ser contornada a proteo das pessoas singulares, esta dever ser neutra
em termos tecnolgicos e dever ser independente das tcnicas utilizadas. A proteo das pessoas singulares
dever aplicar-se ao tratamento de dados pessoais por meios automatizados, bem como ao tratamento manual, se
os dados pessoais estiverem contidos ou se forem destinados a um sistema de ficheiros. Os ficheiros ou os
conjuntos de ficheiros bem como as suas capas, que no estejam estruturados de acordo com critrios
especficos, no devero ser abrangidos pelo mbito de aplicao do presente regulamento.
(16) O presente regulamento no se aplica s questes de defesa dos direitos e das liberdades fundamentais ou da livre
circulao de dados pessoais relacionados com atividades que se encontrem fora do mbito de aplicao do
direito da Unio, como as que se prendem com a segurana nacional. O presente regulamento no se aplica ao
tratamento de dados pessoais pelos Estados-Membros no exerccio de atividades relacionadas com a poltica
externa e de segurana comum da Unio.
(17) O Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho (2) aplicvel ao tratamento de dados
pessoais pelas instituies, rgos, organismos ou agncias da Unio. O Regulamento (CE) n.o 45/2001, bem
como outros atos jurdicos da Unio aplicveis ao tratamento de dados pessoais, devero ser adaptados aos
princpios e regras estabelecidos pelo presente regulamento e aplicados luz do mesmo. A fim de proporcionar
um quadro de proteo de dados slido e coerente na Unio, e aps a adoo do presente regulamento, devero
ser realizadas as necessrias adaptaes do Regulamento (CE) n.o 45/2001, a fim de permitir a aplicao em
simultneo com o presente regulamento.
(18) O presente regulamento no se aplica ao tratamento de dados pessoais efetuado por pessoas singulares no
exerccio de atividades exclusivamente pessoais ou domsticas e, portanto, sem qualquer ligao com uma
(1) Recomendao 2003/361/CE da Comisso, de 6 de maio de 2003, relativa definio de micro, pequenas e mdias empresas (JO L 124
de 20.5.2003, p. 36).
(2) Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000, relativo proteo das pessoas
singulares no que diz respeito ao tratamento de dados pessoais pelas instituies e pelos rgos comunitrios e livre circulao desses
dados (JO L 8 de 12.1.2001, p. 1).
atividade profissional ou comercial. As atividades pessoais ou domsticas podero incluir a troca de correspon
dncia e a conservao de listas de endereos ou a atividade das redes sociais e do ambiente eletrnico no mbito
dessas atividades. Todavia, o presente regulamento aplicvel aos responsveis pelo tratamento e aos subcontra
tantes que forneam os meios para o tratamento dos dados pessoais dessas atividades pessoais ou domsticas.
(19) A proteo das pessoas singulares em matria de tratamento de dados pessoais pelas autoridades competentes
para efeitos de preveno, investigao, deteo e represso de infraes penais ou da execuo de sanes penais,
incluindo a salvaguarda e a preveno de ameaas segurana pblica, e de livre circulao desses dados,
objeto de um ato jurdico da Unio especfico. O presente regulamento no dever, por isso, ser aplicvel s
atividades de tratamento para esses efeitos. Todavia, os dados pessoais tratados pelas autoridades competentes ao
abrigo do presente regulamento devero ser regulados, quando forem usados para os efeitos referidos, por um
ato jurdico da Unio mais especfico, a saber, a Diretiva (UE) 2016/680 do Parlamento Europeu e do
Conselho (1). Os Estados-Membros podem confiar s autoridades competentes na aceo da Diretiva (UE)
2016/680 funes no necessariamente a executar para efeitos de preveno, investigao, deteo e represso de
infraes penais ou da execuo de sanes penais, incluindo a salvaguarda e a preveno de ameaas
segurana pblica, de modo a que o tratamento dos dados pessoais para esses outros efeitos, na medida em que
se insira na esfera do direito da Unio, seja abrangido pelo mbito de aplicao do presente regulamento.
No que respeita ao tratamento de dados pessoais pelas referidas autoridades competentes para efeitos que sejam
abrangidos pelo presente regulamento, os Estados-Membros devero poder manter ou aprovar disposies mais
especficas para adaptar a aplicao das regras previstas no presente regulamento. Tais disposies podem
estabelecer requisitos mais especficos e precisos a respeitar pelas referidas autoridades competentes no
tratamento dos dados pessoais para esses outros efeitos, tendo em conta as estruturas constitucionais, organi
zativas e administrativas do respetivo Estado-Membro. Nos casos em que o tratamento de dados pessoais por
organismos privados fica abrangido pelo presente regulamento, este dever prever a possibilidade de os Estados-
-Membros restringirem legalmente, em determinadas condies, certas obrigaes e direitos, quando tal restrio
constitua medida necessria e proporcionada, numa sociedade democrtica, para salvaguardar interesses
especficos importantes, incluindo a segurana pblica e a preveno, investigao, deteo ou represso de
infraes penais ou a execuo de sanes penais, incluindo a salvaguarda e a preveno de ameaas segurana
pblica. Tal possibilidade importante, por exemplo, no quadro da luta contra o branqueamento de capitais ou
das atividades dos laboratrios de polcia cientfica.
(20) Na medida em que o presente regulamento igualmente aplicvel, entre outras, s atividades dos tribunais e de
outras autoridades judiciais, poder determinar-se no direito da Unio ou dos Estados-Membros quais as
operaes e os procedimentos a seguir pelos tribunais e outras autoridades judiciais para o tratamento de dados
pessoais. A competncia das autoridades de controlo no abrange o tratamento de dados pessoais efetuado pelos
tribunais no exerccio da sua funo jurisdicional, a fim de assegurar a independncia do poder judicial no
exerccio da sua funo jurisdicional, nomeadamente a tomada de decises. Dever ser possvel confiar o controlo
de tais operaes de tratamento de dados a organismos especficos no mbito do sistema judicial do Estado-
-Membro, que devero, nomeadamente, assegurar o cumprimento das regras do presente regulamento, reforar a
sensibilizao os membros do poder judicial para as obrigaes que lhe so impostas pelo presente regulamento
e tratar reclamaes relativas s operaes de tratamento dos dados.
(21) O presente regulamento aplica-se sem prejuzo da aplicao da Diretiva 2000/31/CE do Parlamento Europeu e do
Conselho (2), nomeadamente das normas em matria de responsabilidade dos prestadores intermedirios de
servios previstas nos seus artigos 12.o a 15.o. A referida diretiva tem por objetivo contribuir para o correto
funcionamento do mercado interno, garantindo a livre circulao dos servios da sociedade da informao entre
Estados-Membros.
(22) Qualquer tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento de um
responsvel pelo tratamento ou de um subcontratante situado na Unio dever ser feito em conformidade com o
presente regulamento, independentemente de o tratamento em si ser realizado na Unio. O estabelecimento
pressupe o exerccio efetivo e real de uma atividade com base numa instalao estvel. A forma jurdica de tal
estabelecimento, quer se trate de uma sucursal quer de uma filial com personalidade jurdica, no fator
determinante nesse contexto.
(1) Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa proteo das pessoas singulares no que
diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de preveno, investigao, deteo ou
represso de infraes penais ou execuo de sanes penais, e livre circulao desses dados e que revoga a DecisoQuadro
2008/977/JAI do Conselho (ver pgina 89 do presente Jornal Oficial).
2
( ) Diretiva 2000/31/CE do Parlamento Europeu e do Conselho, de 8 de junho de 2000, relativa a certos aspetos legais dos servios da
sociedade de informao, em especial do comrcio eletrnico, no mercado interno (Diretiva sobre o comrcio eletrnico) (JO L 178
de 17.7.2000, p. 1).
(23) A fim de evitar que as pessoas singulares sejam privadas da proteo que lhes assiste por fora do presente
regulamento, o tratamento dos dados pessoais de titulares que se encontrem na Unio por um responsvel pelo
tratamento ou subcontratante no estabelecido na Unio dever ser abrangido pelo presente regulamento se as
atividades de tratamento estiverem relacionadas com a oferta de bens ou servios a esses titulares, independen
temente de estarem associadas a um pagamento. A fim de determinar se o responsvel pelo tratamento ou
subcontratante oferece ou no bens ou servios aos titulares dos dados que se encontrem na Unio, h que
determinar em que medida evidente a sua inteno de oferecer servios a titulares de dados num ou mais
Estados-Membros da Unio. O mero facto de estar disponvel na Unio um stio web do responsvel pelo
tratamento ou subcontratante ou de um intermedirio, um endereo eletrnico ou outro tipo de contactos, ou de
ser utilizada uma lngua de uso corrente no pas terceiro em que o referido responsvel est estabelecido, no
suficiente para determinar a inteno acima referida, mas h fatores, como a utilizao de uma lngua ou de uma
moeda de uso corrente num ou mais Estados-Membros, com a possibilidade de encomendar bens ou servios
nessa outra lngua, ou a referncia a clientes ou utilizadores que se encontrem na Unio, que podem ser
reveladores de que o responsvel pelo tratamento tem a inteno de oferecer bens ou servios a titulares de dados
na Unio.
(24) O tratamento de dados pessoais de titulares de dados que se encontrem na Unio por um responsvel ou subcon
tratante que no esteja estabelecido na Unio dever ser tambm abrangido pelo presente regulamento quando
esteja relacionado com o controlo do comportamento dos referidos titulares de dados, na medida em que o seu
comportamento tenha lugar na Unio. A fim de determinar se uma atividade de tratamento pode ser considerada
controlo do comportamento de titulares de dados, dever determinar-se se essas pessoas so seguidas na
Internet e a potencial utilizao subsequente de tcnicas de tratamento de dados pessoais que consistem em
definir o perfil de uma pessoa singular, especialmente para tomar decises relativas a essa pessoa ou analisar ou
prever as suas preferncias, o seu comportamento e as suas atitudes.
(25) Sempre que o direito de um Estado-Membro seja aplicvel por fora do direito internacional pblico, o presente
regulamento dever ser igualmente aplicvel aos responsveis pelo tratamento no estabelecidos na Unio, por
exemplo numa misso diplomtica ou num posto consular de um Estado-Membro.
(26) Os princpios da proteo de dados devero aplicar-se a qualquer informao relativa a uma pessoa singular
identificada ou identificvel. Os dados pessoais que tenham sido pseudonimizados, que possam ser atribudos a
uma pessoa singular mediante a utilizao de informaes suplementares, devero ser considerados informaes
sobre uma pessoa singular identificvel. Para determinar se uma pessoa singular identificvel, importa
considerar todos os meios suscetveis de ser razoavelmente utilizados, tais como a seleo, quer pelo responsvel
pelo tratamento quer por outra pessoa, para identificar direta ou indiretamente a pessoa singular. Para determinar
se h uma probabilidade razovel de os meios serem utilizados para identificar a pessoa singular, importa
considerar todos os fatores objetivos, como os custos e o tempo necessrio para a identificao, tendo em conta
a tecnologia disponvel data do tratamento dos dados e a evoluo tecnolgica. Os princpios da proteo de
dados no devero, pois, aplicar-se s informaes annimas, ou seja, s informaes que no digam respeito a
uma pessoa singular identificada ou identificvel nem a dados pessoais tornados de tal modo annimos que o seu
titular no seja ou j no possa ser identificado. O presente regulamento no diz, por isso, respeito ao tratamento
dessas informaes annimas, inclusive para fins estatsticos ou de investigao.
(27) O presente regulamento no se aplica aos dados pessoais de pessoas falecidas. Os Estados-Membros podero
estabelecer regras para o tratamento dos dados pessoais de pessoas falecidas.
(28) A aplicao da pseudonimizao aos dados pessoais pode reduzir os riscos para os titulares de dados em questo
e ajudar os responsveis pelo tratamento e os seus subcontratantes a cumprir as suas obrigaes de proteo de
dados. A introduo explcita da pseudonimizao no presente regulamento no se destina a excluir eventuais
outras medidas de proteo de dados.
(29) A fim de criar incentivos para aplicar a pseudonimizao durante o tratamento de dados pessoais, dever ser
possvel tomar medidas de pseudonimizao, permitindo-se simultaneamente uma anlise geral, no mbito do
mesmo responsvel pelo tratamento quando este tiver tomado as medidas tcnicas e organizativas necessrias
para assegurar, relativamente ao tratamento em questo, a aplicao do presente regulamento ea conservao em
separado das informaes adicionais que permitem atribuir os dados pessoais a um titular de dados especfico. O
responsvel pelo tratamento que tratar os dados pessoais dever indicar as pessoas autorizadas no mbito do
mesmo responsvel pelo tratamento.
(30) As pessoas singulares podem ser associadas a identificadores por via eletrnica, fornecidos pelos respetivos
aparelhos, aplicaes, ferramentas e protocolos, tais como endereos IP (protocolo internet) ou testemunhos de
conexo (cookie) ou outros identificadores, como as etiquetas de identificao por radiofrequncia. Estes identifi
cadores podem deixar vestgios que, em especial quando combinados com identificadores nicos e outras
informaes recebidas pelos servidores, podem ser utilizados para a definio de perfis e a identificao das
pessoas singulares.
(31) As autoridades pblicas a quem forem divulgados dados pessoais em conformidade com obrigaes jurdicas para
o exerccio da sua misso oficial, tais como as autoridades fiscais e aduaneiras, as unidades de investigao
financeira, as autoridades administrativas independentes ou as autoridades dos mercados financeiros, responsveis
pela regulamentao e superviso dos mercados de valores mobilirios, no devero ser consideradas destinatrias
se receberem dados pessoais que sejam necessrios para efetuar um inqurito especfico de interesse geral, em
conformidade com o direito da Unio ou dos Estados-Membros. Os pedidos de divulgao enviados pelas
autoridades pblicas devero ser sempre feitos por escrito, fundamentados e ocasionais e no devero dizer
respeito totalidade de um ficheiro nem implicar a interconexo de ficheiros. O tratamento desses dados pessoais
por essas autoridades pblicas dever respeitar as regras de proteo de dados aplicveis de acordo com as
finalidades do tratamento.
(32) O consentimento do titular dos dados dever ser dado mediante um ato positivo claro que indique uma
manifestao de vontade livre, especfica, informada e inequvoca de que o titular de dados consente no
tratamento dos dados que lhe digam respeito, como por exemplo mediante uma declarao escrita, inclusive em
formato eletrnico, ou uma declarao oral. O consentimento pode ser dado validando uma opo ao visitar um
stio web na Internet, selecionando os parmetros tcnicos para os servios da sociedade da informao ou
mediante outra declarao ou conduta que indique claramente nesse contexto que aceita o tratamento proposto
dos seus dados pessoais. O silncio, as opes pr-validadas ou a omisso no devero, por conseguinte,
constituir um consentimento. O consentimento dever abranger todas as atividades de tratamento realizadas com
a mesma finalidade. Nos casos em que o tratamento sirva fins mltiplos, dever ser dado um consentimento para
todos esses fins. Se o consentimento tiver de ser dado no seguimento de um pedido apresentado por via
eletrnica, esse pedido tem de ser claro e conciso e no pode perturbar desnecessariamente a utilizao do
servio para o qual fornecido.
(33) Muitas vezes no possvel identificar na totalidade a finalidade do tratamento de dados pessoais para efeitos de
investigao cientfica no momento da recolha dos dados. Por conseguinte, os titulares dos dados devero poder
dar o seu consentimento para determinadas reas de investigao cientfica, desde que estejam de acordo com
padres ticos reconhecidos para a investigao cientfica. Os titulares dos dados devero ter a possibilidade de
dar o seu consentimento unicamente para determinados domnios de investigao ou partes de projetos de
investigao, na medida permitida pela finalidade pretendida.
(34) Os dados genticos devero ser definidos como os dados pessoais relativos s caractersticas genticas,
hereditrias ou adquiridas, de uma pessoa singular que resultem da anlise de uma amostra biolgica da pessoa
singular em causa, nomeadamente da anlise de cromossomas, cido desoxirribonucleico (ADN) ou cido
ribonucleico (ARN), ou da anlise de um outro elemento que permita obter informaes equivalentes.
(35) Devero ser considerados dados pessoais relativos sade todos os dados relativos ao estado de sade de um
titular de dados que revelem informaes sobre a sua sade fsica ou mental no passado, no presente ou no
futuro. O que precede inclui informaes sobre a pessoa singular recolhidas durante a inscrio para a prestao
de servios de sade, ou durante essa prestao, conforme referido na Diretiva 2011/24/UE do Parlamento
Europeu e do Conselho (1), a essa pessoa singular; qualquer nmero, smbolo ou sinal particular atribudo a uma
pessoa singular para a identificar de forma inequvoca para fins de cuidados de sade; as informaes obtidas a
partir de anlises ou exames de uma parte do corpo ou de uma substncia corporal, incluindo a partir de dados
genticos e amostras biolgicas; e quaisquer informaes sobre, por exemplo, uma doena, deficincia, um risco
de doena, historial clnico, tratamento clnico ou estado fisiolgico ou biomdico do titular de dados, indepen
dentemente da sua fonte, por exemplo, um mdico ou outro profissional de sade, um hospital, um dispositivo
mdico ou um teste de diagnstico in vitro.
(36) O estabelecimento principal de um responsvel pelo tratamento na Unio dever ser o local onde se encontra a
sua administrao central na Unio, salvo se as decises sobre as finalidades e os meios de tratamento dos dados
pessoais forem tomadas noutro estabelecimento do responsvel pelo tratamento na Unio. Nesse caso, esse outro
(1) Diretiva 2011/24/UE do Parlamento Europeu e do Conselho, de 9 de maro de 2011, relativa ao exerccio dos direitos dos doentes em
matria de cuidados de sade transfronteirios (JO L 88 de 4.4.2011, p. 45).
estabelecimento dever ser considerado o estabelecimento principal. O estabelecimento principal de um

responsvel pelo tratamento na Unio dever ser determinado de acordo com critrios objetivos e dever
pressupor o exerccio efetivo e real de atividades de gesto que determinem as decises principais quanto s
finalidades e aos meios de tratamento mediante instalaes estveis. Esse critrio no dever depender do facto de
o tratamento ser realizado nesse local. A existncia e utilizao de meios tcnicos e de tecnologias para o
tratamento de dados pessoais ou as atividades de tratamento no constituem, em si mesmas, um estabelecimento
principal nem so, portanto, um critrio definidor de estabelecimento principal. O estabelecimento principal do
subcontratante o local da sua administrao central na Unio, ou, caso no tenha administrao central na
Unio, o local onde so exercidas as principais atividades de tratamento de dados na Unio. Nos casos que
impliquem tanto o responsvel pelo tratamento como o subcontratante, a autoridade de controlo principal
dever continuar a ser a autoridade de controlo do Estado-Membro onde o responsvel pelo tratamento tem o
estabelecimento principal, mas a autoridade de controlo do subcontratante dever ser considerada uma
autoridade de controlo interessada e dever participar no processo de cooperao previsto pelo presente
regulamento. Em qualquer caso, as autoridades de controlo do Estado-Membro ou Estados-Membros em que o
subcontratante tenha um ou mais estabelecimentos no devero ser consideradas autoridades de controlo
interessadas caso o projeto de deciso diga respeito apenas ao responsvel pelo tratamento. Sempre que o
tratamento dos dados seja efetuado por um grupo empresarial, o estabelecimento principal da empresa que
exerce o controlo dever ser considerado o estabelecimento principal do grupo empresarial, exceto quando as
finalidades e os meios do tratamento sejam determinados por uma outra empresa.
(37) Um grupo empresarial dever abranger uma empresa que exerce o controlo e as empresas que controla, devendo
a primeira ser a que pode exercer uma influncia dominante sobre as outras empresas, por exemplo, em virtude
da propriedade, da participao financeira ou das regras que a regem ou da faculdade de fazer aplicar as regras
relativas proteo de dados pessoais. Uma empresa que controla o tratamento dos dados pessoais nas empresas
a ela associadas dever ser considerada, juntamente com essas empresas, um grupo empresarial.
(38) As crianas merecem proteo especial quanto aos seus dados pessoais, uma vez que podem estar menos cientes
dos riscos, consequncias e garantias em questo e dos seus direitos relacionados com o tratamento dos dados
pessoais. Essa proteo especfica dever aplicar-se, nomeadamente, utilizao de dados pessoais de crianas
para efeitos de comercializao ou de criao de perfis de personalidade ou de utilizador, bem como recolha de
dados pessoais em relao s crianas aquando da utilizao de servios disponibilizados diretamente s crianas.
O consentimento do titular das responsabilidades parentais no dever ser necessrio no contexto de servios
preventivos ou de aconselhamento oferecidos diretamente a uma criana.
(39) O tratamento de dados pessoais dever ser efetuado de forma lcita e equitativa. Dever ser transparente para as
pessoas singulares que os dados pessoais que lhes dizem respeito so recolhidos, utilizados, consultados ou
sujeitos a qualquer outro tipo de tratamento e a medida em que os dados pessoais so ou viro a ser tratados. O
princpio da transparncia exige que as informaes ou comunicaes relacionadas com o tratamento desses
dados pessoais sejam de fcil acesso e compreenso, e formuladas numa linguagem clara e simples. Esse princpio
diz respeito, em particular, s informaes fornecidas aos titulares dos dados sobre a identidade do responsvel
pelo tratamento dos mesmos e os fins a que o tratamento se destina, bem como s informaes que se destinam
a assegurar que seja efetuado com equidade e transparncia para com as pessoas singulares em causa, bem como
a salvaguardar o seu direito a obter a confirmao e a comunicao dos dados pessoais que lhes dizem respeito
que esto a ser tratados. As pessoas singulares a quem os dados dizem respeito devero ser alertadas para os
riscos, regras, garantias e direitos associados ao tratamento dos dados pessoais e para os meios de que dispem
para exercer os seus direitos relativamente a esse tratamento. Em especial, as finalidades especficas do tratamento
dos dados pessoais devero ser explcitas e legtimas e ser determinadas aquando da recolha dos dados pessoais.
Os dados pessoais devero ser adequados, pertinentes e limitados ao necessrio para os efeitos para os quais so
tratados. Para isso, necessrio assegurar que o prazo de conservao dos dados seja limitado ao mnimo. Os
dados pessoais apenas devero ser tratados se a finalidade do tratamento no puder ser atingida de forma
razovel por outros meios. A fim de assegurar que os dados pessoais sejam conservados apenas durante o
perodo considerado necessrio, o responsvel pelo tratamento dever fixar os prazos para o apagamento ou a
reviso peridica. Devero ser adotadas todas as medidas razoveis para que os dados pessoais inexatos sejam
retificados ou apagados. Os dados pessoais devero ser tratados de uma forma que garanta a devida segurana e
confidencialidade, incluindo para evitar o acesso a dados pessoais e equipamento utilizado para o seu tratamento,
ou a utilizao dos mesmos, por pessoas no autorizadas.
(40) Para que o tratamento seja lcito, os dados pessoais devero ser tratados com base no consentimento da titular
dos dados em causa ou noutro fundamento legtimo, previsto por lei, quer no presente regulamento quer noutro
ato de direito da Unio ou de um Estado-Membro referido no presente regulamento, incluindo a necessidade de

serem cumpridas as obrigaes legais a que o responsvel pelo tratamento se encontre sujeito ou a necessidade
de serem executados contratos em que o titular dos dados seja parte ou a fim de serem efetuadas as diligncias
pr-contratuais que o titular dos dados solicitar.
(41) Caso o presente regulamento se refira a um fundamento jurdico ou a uma medida legislativa, no se trata
necessariamente de um ato legislativo adotado por um parlamento, sem prejuzo dos requisitos que decorram da
ordem constitucional do Estado-Membro em causa. No entanto, esse fundamento jurdico ou essa medida
legislativa devero ser claros e precisos e a sua aplicao dever ser previsvel para os seus destinatrios, em
conformidade com a jurisprudncia do Tribunal de Justia da Unio Europeia (Tribunal de Justia) e pelo
Tribunal Europeu dos Direitos do Homem.
(42) Sempre que o tratamento for realizado com base no consentimento do titular dos dados, o responsvel pelo
tratamento dever poder demonstrar que o titular deu o seu consentimento operao de tratamento dos dados.
Em especial, no contexto de uma declarao escrita relativa a outra matria, devero existir as devidas garantias
de que o titular dos dados est plenamente ciente do consentimento dado e do seu alcance. Em conformidade
com a Diretiva 93/13/CEE do Conselho (1), uma declarao de consentimento, previamente formulada pelo
responsvel pelo tratamento, dever ser fornecida de uma forma inteligvel e de fcil acesso, numa linguagem
clara e simples e sem clusulas abusivas. Para que o consentimento seja dado com conhecimento de causa, o
titular dos dados dever conhecer, pelo menos, a identidade do responsvel pelo tratamento e as finalidades a que
o tratamento se destina. No se dever considerar que o consentimento foi dado de livre vontade se o titular dos
dados no dispuser de uma escolha verdadeira ou livre ou no puder recusar nem retirar o consentimento sem
ser prejudicado.
(43) A fim de assegurar que o consentimento dado de livre vontade, este no dever constituir fundamento jurdico
vlido para o tratamento de dados pessoais em casos especficos em que exista um desequilbrio manifesto entre
o titular dos dados e o responsvel pelo seu tratamento, nomeadamente quando o responsvel pelo tratamento
uma autoridade pblica pelo que improvvel que o consentimento tenha sido dado de livre vontade em todas
as circunstncias associadas situao especfica em causa. Presume-se que o consentimento no dado de livre
vontade se no for possvel dar consentimento separadamente para diferentes operaes de tratamento de dados
pessoais, ainda que seja adequado no caso especfico, ou se a execuo de um contrato, incluindo a prestao de
um servio, depender do consentimento apesar de o consentimento no ser necessrio para a mesma execuo.
(44) O tratamento dever ser considerado lcito caso seja necessrio no contexto de um contrato ou da inteno de
celebrar um contrato.
(45) Sempre que o tratamento dos dados for realizado em conformidade com uma obrigao jurdica qual esteja
sujeito o responsvel pelo tratamento, ou se o tratamento for necessrio ao exerccio de funes de interesse
pblico ou ao exerccio da autoridade pblica, o tratamento dever assentar no direito da Unio ou de um
Estado-Membro. O presente regulamento no exige uma lei especfica para cada tratamento de dados. Poder ser
suficiente uma lei para diversas operaes de tratamento baseadas numa obrigao jurdica qual esteja sujeito o
responsvel pelo tratamento, ou se o tratamento for necessrio ao exerccio de funes de interesse pblico ou ao
exerccio da autoridade pblica. Dever tambm caber ao direito da Unio ou dos Estados-Membros determinar
qual a finalidade do tratamento dos dados. Alm disso, a referida lei poder especificar as condies gerais do
presente regulamento que regem a legalidade do tratamento dos dados pessoais, estabelecer regras especficas
para determinar os responsveis pelo tratamento, o tipo de dados pessoais a tratar, os titulares dos dados em
questo, as entidades a que os dados pessoais podem ser comunicados, os limites a que as finalidades do
tratamento devem obedecer, os prazos de conservao e outras medidas destinadas a garantir a licitude e
equidade do tratamento. Dever igualmente caber ao direito da Unio ou dos Estados-Membros determinar se o
responsvel pelo tratamento que exerce funes de interesse pblico ou prerrogativas de autoridade pblica
dever ser uma autoridade pblica ou outra pessoa singular ou coletiva de direito pblico, ou, caso tal seja do
interesse pblico, incluindo por motivos de sade, como motivos de sade pblica e proteo social e de gesto
dos servios de sade, de direito privado, por exemplo uma associao profissional.
(46) O tratamento de dados pessoais tambm dever ser considerado lcito quando for necessrio proteo de um
interesse essencial vida do titular dos dados ou de qualquer outra pessoa singular. Em princpio, o tratamento
(1) Diretiva 93/13/CEE do Conselho, de 5 de abril de 1993, relativa s clusulas abusivas nos contratos celebrados com os consumidores
(JO L 95 de 21.4.1993, p. 29).
de dados pessoais com base no interesse vital de outra pessoa singular s pode ter lugar quando o tratamento
no se puder basear manifestamente noutro fundamento jurdico. Alguns tipos de tratamento podem servir tanto
importantes interesses pblicos como interesses vitais do titular dos dados, por exemplo, se o tratamento for
necessrio para fins humanitrios, incluindo a monitorizao de epidemias e da sua propagao ou em situaes
de emergncia humanitria, em especial em situaes de catstrofes naturais e de origem humana.
(47) Os interesses legtimos dos responsveis pelo tratamento, incluindo os dos responsveis a quem os dados
pessoais possam ser comunicados, ou de terceiros, podem constituir um fundamento jurdico para o tratamento,
desde que no prevaleam os interesses ou os direitos e liberdades fundamentais do titular, tomando em conta as
expectativas razoveis dos titulares dos dados baseadas na relao com o responsvel. Poder haver um interesse
legtimo, por exemplo, quando existir uma relao relevante e apropriada entre o titular dos dados e o
responsvel pelo tratamento, em situaes como aquela em que o titular dos dados cliente ou est ao servio
do responsvel pelo tratamento. De qualquer modo, a existncia de um interesse legtimo requer uma avaliao
cuidada, nomeadamente da questo de saber se o titular dos dados pode razoavelmente prever, no momento e no
contexto em que os dados pessoais so recolhidos, que esses podero vir a ser tratados com essa finalidade. Os
interesses e os direitos fundamentais do titular dos dados podem, em particular, sobrepor-se ao interesse do
responsvel pelo tratamento, quando que os dados pessoais sejam tratados em circunstncias em que os seus
titulares j no esperam um tratamento adicional. Dado que incumbe ao legislador prever por lei o fundamento
jurdico para autorizar as autoridades a procederem ao tratamento de dados pessoais, esse fundamento jurdico
no dever ser aplicvel aos tratamentos efetuados pelas autoridades pblicas na prossecuo das suas
atribuies. O tratamento de dados pessoais estritamente necessrio aos objetivos de preveno e controlo da
fraude constitui igualmente um interesse legtimo do responsvel pelo seu tratamento. Poder considerar-se de
interesse legtimo o tratamento de dados pessoais efetuado para efeitos de comercializao direta.
(48) Os responsveis pelo tratamento que faam parte de um grupo empresarial ou de uma instituio associada a um
organismo central podero ter um interesse legtimo em transmitir dados pessoais no mbito do grupo de
empresas para fins administrativos internos, incluindo o tratamento de dados pessoais de clientes ou
funcionrios. Os princpios gerais que regem a transmisso de dados pessoais, no mbito de um grupo
empresarial, para uma empresa localizada num pas terceiro mantm-se inalterados.
(49) O tratamento de dados pessoais, na medida estritamente necessria e proporcionada para assegurar a segurana
da rede e das informaes, ou seja, a capacidade de uma rede ou de um sistema informtico de resistir, com um
dado nvel de confiana, a eventos acidentais ou a aes maliciosas ou ilcitas que comprometam a disponibi
lidade, a autenticidade, a integridade e a confidencialidade dos dados pessoais conservados ou transmitidos, bem
como a segurana dos servios conexos oferecidos ou acessveis atravs destas redes e sistemas, pelas autoridades
pblicas, equipas de interveno em caso de emergncias informticas (CERT), equipas de resposta a incidentes
no domnio da segurana informtica (CSIRT), fornecedores ou redes de servios de comunicaes eletrnicas e
por fornecedores de tecnologias e servios de segurana, constitui um interesse legtimo do responsvel pelo
tratamento. Pode ser esse o caso quando o tratamento vise, por exemplo, impedir o acesso no autorizado a
redes de comunicaes eletrnicas e a distribuio de cdigos maliciosos e pr termo a ataques de negao de
servio e a danos causados aos sistemas de comunicaes informticas e eletrnicas.
(50) O tratamento de dados pessoais para outros fins que no aqueles para os quais os dados pessoais tenham sido
inicialmente recolhidos apenas dever ser autorizado se for compatvel com as finalidades para as quais os dados
pessoais tenham sido inicialmente recolhidos. Nesse caso, no necessrio um fundamento jurdico distinto do
que permitiu a recolha dos dados pessoais. Se o tratamento for necessrio para o exerccio de funes de
interesse pblico ou o exerccio da autoridade pblica de que est investido o responsvel pelo tratamento, o
direito da Unio ou dos Estados-Membros pode determinar e definir as tarefas e finalidades para as quais o
tratamento posterior dever ser considerado compatvel e lcito. As operaes de tratamento posterior para fins
de arquivo de interesse pblico, para fins de investigao cientfica ou histrica ou para fins estatsticos, devero
ser consideradas tratamento lcito compatvel. O fundamento jurdico previsto no direito da Unio ou dos
Estados-Membros para o tratamento dos dados pessoais pode igualmente servir de fundamento jurdico para o
tratamento posterior. A fim de apurar se a finalidade de uma nova operao de tratamento dos dados ou no
compatvel com a finalidade para que os dados pessoais foram inicialmente recolhidos, o responsvel pelo seu
tratamento, aps ter cumprido todos os requisitos para a licitude do tratamento inicial, dever ter em ateno,
entre outros aspetos, a existncia de uma ligao entre a primeira finalidade e aquela a que se destina a nova
operao de tratamento que se pretende efetuar, o contexto em que os dados pessoais foram recolhidos, em
especial as expectativas razoveis do titular dos dados quanto sua posterior utilizao, baseadas na sua relao
com o responsvel pelo tratamento; a natureza dos dados pessoais; as consequncias que o posterior tratamento
dos dados pode ter para o seu titular; e a existncia de garantias adequadas tanto no tratamento inicial como nas
outras operaes de tratamento previstas.
Caso o titular dos dados tenha dado o seu consentimento ou o tratamento se baseie em disposies do direito da
Unio ou de um Estado-Membro que constituam uma medida necessria e proporcionada, numa sociedade
democrtica, para salvaguardar, em especial, os importantes objetivos de interesse pblico geral, o responsvel
pelo tratamento dever ser autorizado a proceder ao tratamento posterior dos dados pessoais, independentemente
da compatibilidade das finalidades. Em todo o caso, dever ser garantida a aplicao dos princpios enunciados
pelo presente regulamento e, em particular, a obrigao de informar o titular dos dados sobre essas outras
finalidades e sobre os seus direitos, incluindo o direito de se opor. A indicao pelo responsvel pelo tratamento
de eventuais atos criminosos ou ameaas segurana pblica e a transmisso dos dados pessoais pertinentes, em
casos individuais ou em vrios casos relativos ao mesmo ato criminoso ou ameaa segurana pblica, a uma
autoridade competente devero ser consideradas como sendo do interesse legtimo do responsvel pelo
tratamento. Todavia, dever ser proibido proceder transmisso no interesse legtimo do responsvel pelo
tratamento ou ao tratamento posterior de dados pessoais se a operao no for compatvel com alguma
obrigao legal, profissional ou outra obrigao vinculativa de confidencialidade.
(51) Merecem proteo especfica os dados pessoais que sejam, pela sua natureza, especialmente sensveis do ponto de
vista dos direitos e liberdades fundamentais, dado que o contexto do tratamento desses dados poder implicar
riscos significativos para os direitos e liberdades fundamentais. Devero incluir-se neste caso os dados pessoais
que revelem a origem racial ou tnica, no implicando o uso do termo origem racial no presente regulamento
que a Unio aceite teorias que procuram determinar a existncia de diferentes raas humanas. O tratamento de
fotografias no dever ser considerado sistematicamente um tratamento de categorias especiais de dados pessoais,
uma vez que so apenas abrangidas pela definio de dados biomtricos quando forem processadas por meios
tcnicos especficos que permitam a identificao inequvoca ou a autenticao de uma pessoa singular. Tais
dados pessoais no devero ser objeto de tratamento, salvo se essa operao for autorizada em casos especficos
definidos no presente regulamento, tendo em conta que o direito dos Estados-Membros pode estabelecer
disposies de proteo de dados especficas, a fim de adaptar a aplicao das regras do presente regulamento
para dar cumprimento a uma obrigao legal, para o exerccio de funes de interesse pblico ou para o
exerccio da autoridade pblica de que est investido o responsvel pelo tratamento. Para alm dos requisitos
especficos para este tipo de tratamento, os princpios gerais e outras disposies do presente regulamento
devero ser aplicveis, em especial no que se refere s condies para o tratamento lcito. Devero ser previstas
de forma explcita derrogaes proibio geral de tratamento de categorias especiais de dados pessoais, por
exemplo, se o titular dos dados der o seu consentimento expresso ou para ter em conta necessidades especficas,
designadamente quando o tratamento for efetuado no exerccio de atividades legtimas de certas associaes ou
fundaes que tenham por finalidade permitir o exerccio das liberdades fundamentais.
(52) As derrogaes proibio de tratamento de categorias especiais de dados pessoais devero ser igualmente
permitidas quando estiverem previstas no direito da Unio ou dos Estados-Membros esujeitas a salvaguardas
adequadas, de forma a proteger os dados pessoais e outros direitos fundamentais, casotal seja do interesse
pblico, nomeadamente o tratamento de dados pessoais em matria de direito laboral, de direito de proteo
social, incluindo as penses, e para fins de segurana, monitorizao e alerta em matria de sade, preveno ou
controlo de doenas transmissveis e outras ameaas graves para a sade. Essas derrogaes podero ser previstas
por motivos sanitrios, incluindo de sade pblica e de gesto de servios de sade, designadamente para
assegurar a qualidade e a eficincia em termos de custos dos procedimentos utilizados para regularizar os pedidos
de prestaes sociais e de servios no quadro do regime de seguro de sade, ou para fins de arquivo de interesse
pblico, para fins de investigao cientfica ou histrica ou para fins estatsticos. Uma derrogao dever tambm
permitir o tratamento desses dados pessoais quando tal for necessrio declarao, ao exerccio ou defesa de
um direito, independentemente de se tratar de um processo judicial ou de um processo administrativo ou extraju
dicial.
(53) As categorias especiais de dados pessoais que merecem uma proteo mais elevada s devero ser objeto de
tratamento para fins relacionados com a sade quando tal for necessrio para atingir os objetivos no interesse das
pessoas singulares e da sociedade no seu todo, nomeadamente no contexto da gesto dos servios e sistemas de
sade ou de ao social, incluindo o tratamento por parte da administrao e das autoridades sanitrias centrais
nacionais desses dados para efeitos de controlo da qualidade, informao de gesto e superviso geral a nvel
nacional e local do sistema de sade ou de ao social, assegurando a continuidade dos cuidados de sade ou de
ao social e da prestao de cuidados de sade transfronteiras, ou para fins de segurana, monitorizao e alerta
em matria de sade, ou para fins de arquivo de interesse pblico, para fins de investigao cientfica ou histrica
ou para fins estatsticos baseados no direito da Unio ou dos Estados-Membros e que tm de cumprir um
objetivo, assim como para os estudos realizados no interesse pblico no domnio da sade pblica. Por
conseguinte, o presente regulamento dever estabelecer condies harmonizadas para o tratamento de categorias
especiais de dados pessoais relativos sade, tendo em conta necessidades especficas, designadamente quando o
tratamento desses dados for efetuado para determinadas finalidades ligadas sade por pessoas sujeitas a uma
obrigao legal de sigilo profissional. O direito da Unio ou dos Estados-Membros dever prever medidas
especficas e adequadas com vista defesa dos direitos fundamentais e dos dados pessoais das pessoas singulares.
Os Estados-Membros devero ser autorizados a manter ou introduzir outras condies, incluindo limitaes, no
que diz respeito ao tratamento de dados genticos, dados biomtricos ou dados relativos sade. Tal no dever,
no entanto, impedir a livre circulao de dados pessoais na Unio, quando essas condies se aplicam ao
tratamento transfronteirio desses dados.
(54) O tratamento de categorias especiais de dados pessoais pode ser necessrio por razes de interesse pblico nos
domnios da sade pblica, sem o consentimento do titular dos dados. Esse tratamento dever ser objeto de
medidas adequadas e especficas, a fim de defender os direitos e liberdades das pessoas singulares. Neste contexto,
a noo de sade pblica dever ser interpretada segundo a definio constante do Regulamento (CE)
n.o 1338/2008 do Parlamento Europeu e do Conselho (1), ou seja, todos os elementos relacionados com a sade,
a saber, o estado de sade, incluindo a morbilidade e a incapacidade, as determinantes desse estado de sade, as
necessidades de cuidados de sade, os recursos atribudos aos cuidados de sade, a prestao de cuidados de
sade e o acesso universal aos mesmos, assim como as despesas e o financiamento dos cuidados de sade, e as
causas de mortalidade. Tais atividades de tratamento de dados sobre a sade autorizadas por motivos de interesse
pblico no devero ter por resultado que os dados sejam tratados para outros fins por terceiros, como os
empregadores ou as companhias de seguros e entidades bancrias.
(55) Alm disso, o tratamento de dados pessoais pelas autoridades pblicas tendo em vista realizar os objetivos,
consagrados no direito constitucional ou no direito internacional pblico, de associaes religiosas oficialmente
reconhecidas, efetuado por motivos de interesse pblico.
(56) Sempre que, no mbito do exerccio de atividades eleitorais, o funcionamento do sistema democrtico num
Estado-Membro exigir que os partidos polticos recolham dados pessoais sobre a opinio poltica dos cidados, o
tratamento desses dados pode ser autorizado por motivos de interesse pblico, desde que sejam estabelecidas
garantias adequadas.
(57) Se os dados pessoais tratados pelo responsvel pelo tratamento no lhe permitirem identificar uma pessoa
singular, aquele no dever ser obrigado a obter informaes suplementares para identificar o titular dos dados
com o nico objetivo de dar cumprimento a uma disposio do presente regulamento. Todavia, o responsvel
pelo tratamento no dever recusar receber informaes suplementares fornecidas pelo titular no intuito de
apoiar o exerccio dos seus direitos. A identificao dever incluir a identificao digital do titular dos dados, por
exemplo com recurso a um procedimento de autenticao com os mesmos dados de identificao usados pelo
titular dos dados para aceder aos servios do responsvel pelo tratamento por via eletrnica.
(58) O princpio da transparncia exige que qualquer informao destinada ao pblico ou ao titular dos dados seja
concisa, de fcil acesso e compreenso, bem como formulada numa linguagem clara e simples, e que se recorra,
adicionalmente, visualizao sempre que for adequado. Essas informaes podero ser fornecidas por via
eletrnica, por exemplo num stio web, quando se destinarem ao pblico. Isto especialmente relevante em
situaes em que a proliferao de operadores e a complexidade tecnolgica das prticas tornam difcil que o
titular dos dados saiba e compreenda se, por quem e para que fins os seus dados pessoais esto a ser recolhidos,
como no caso da publicidade por via eletrnica. Uma vez que as crianas merecem proteo especfica, sempre
que o tratamento lhes seja dirigido, qualquer informao e comunicao dever estar redigida numa linguagem
clara e simples que a criana compreenda facilmente.
(59) Devero ser previstas regras para facilitar o exerccio pelo titular dos dados dos direitos que lhe so conferidos ao
abrigo do presente regulamento, incluindo procedimentos para solicitar e, sendo caso disso, obter a ttulo
gratuito, em especial, o acesso a dados pessoais, a sua retificao ou o seu apagamento e o exerccio do direito de
oposio. O responsvel pelo tratamento dever fornecer os meios necessrios para que os pedidos possam ser
apresentados por via eletrnica, em especial quando os dados sejam tambm tratados por essa via. O responsvel
pelo tratamento dever ser obrigado a responder aos pedidos do titular dos dados sem demora injustificada e o
mais tardar no prazo de um ms e expor as suas razes quando tiver inteno de recusar o pedido.
(1) Regulamento (CE) n.o 1338/2008 do Parlamento Europeu e do Conselho, de 16 de dezembro de 2008, relativo s estatsticas
comunitrias sobre sade pblica e sade e segurana no trabalho (JO L 354 de 31.12.2008, p. 70).
(60) Os princpios do tratamento equitativo e transparente exigem que o titular dos dados seja informado da operao
de tratamento de dados e das suas finalidades. O responsvel pelo tratamento dever fornecer ao titular as
informaes adicionais necessrias para assegurar um tratamento equitativo e transparente tendo em conta as cir
cunstncias e o contexto especficos em que os dados pessoais forem tratados. O titular dos dados dever
tambm ser informado da definio de perfis e das consequncias que da advm. Sempre que os dados pessoais
forem recolhidos junto do titular dos dados, este dever ser tambm informado da eventual obrigatoriedade de
fornecer os dados pessoais e das consequncias de no os facultar. Essas informaes podem ser fornecidas em
combinao com cones normalizados a fim de dar, de modo facilmente visvel, inteligvel e claramente legvel
uma til perspetiva geral do tratamento previsto. Se forem apresentados por via eletrnica, os cones devero ser
de leitura automtica.
(61) As informaes sobre o tratamento de dados pessoais relativos ao titular dos dados devero ser a este fornecidas
no momento da sua recolha junto do titular dos dados ou, se os dados pessoais tiverem sido obtidos a partir de
outra fonte, dentro de um prazo razovel, consoante as circunstncias. Sempre que os dados pessoais forem
suscetveis de ser legitimamente comunicados a outro destinatrio, o titular dos dados dever ser informado
aquando da primeira comunicao dos dados pessoais a esse destinatrio. Sempre que o responsvel pelo
tratamento tiver a inteno de tratar os dados pessoais para outro fim que no aquele para o qual tenham sido
recolhidos, antes desse tratamento o responsvel pelo tratamento dever fornecer ao titular dos dados
informaes sobre esse fim e outras informaes necessrias. Quando no for possvel informar o titular dos
dados da origem dos dados pessoais por se ter recorrido a vrias fontes, devero ser-lhe fornecidas informaes
genricas.
(62) Todavia, no necessrio impor a obrigao de fornecer informaes caso o titular dos dados j disponha da
informao, caso a lei disponha expressamente o registo ou a comunicao dos dados pessoais ou caso a
informao ao titular dos dados se revele impossvel de concretizar ou implicar um esforo desproporcionado.
Este ltimo seria, nomeadamente, o caso de um tratamento efetuado para fins de arquivo de interesse pblico,
para fins de investigao cientfica ou histrica ou para fins estatsticos. Para esse efeito, dever ser considerado o
nmero de titulares de dados, a antiguidade dos dados e as devidas garantias que tenham sido adotadas.
(63) Os titulares de dados devero ter o direito de aceder aos dados pessoais recolhidos que lhes digam respeito e de
exercer esse direito com facilidade e a intervalos razoveis, a fim de conhecer e verificar a tomar conhecimento
do tratamento e verificar a sua licitude. Aqui se inclui o seu direito de acederem a dados sobre a sua sade, por
exemplo os dados dos registos mdicos com informaes como diagnsticos, resultados de exames, avaliaes
dos mdicos e quaisquer intervenes ou tratamentos realizados. Por conseguinte, cada titular de dados dever ter
o direito de conhecer e ser informado, nomeadamente, das finalidades para as quais os dados pessoais so
tratados, quando possvel do perodo durante o qual os dados so tratados, da identidade dos destinatrios dos
dados pessoais, da lgica subjacente ao eventual tratamento automtico dos dados pessoais e, pelo menos quando
tiver por base a definio de perfis, das suas consequncias. Quando possvel, o responsvel pelo tratamento
dever poder facultar o acesso a um sistema seguro por via eletrnica que possibilite ao titular aceder diretamente
aos seus dados pessoais. Esse direito no dever prejudicar os direitos ou as liberdades de terceiros, incluindo o
segredo comercial ou a propriedade intelectual e, particularmente, o direito de autor que protege o software.
Todavia, essas consideraes no devero resultar na recusa de prestao de todas as informaes ao titular dos
dados. Quando o responsvel proceder ao tratamento de grande quantidade de informao relativa ao titular dos
dados, dever poder solicitar que, antes de a informao ser fornecida, o titular especifique a que informaes ou
a que atividades de tratamento se refere o seu pedido.
(64) O responsvel pelo tratamento dever adotar todas as medidas razoveis para verificar a identidade do titular dos
dados que solicite o acesso, em especial no contexto de servios e de identificadores por via eletrnica. Os
responsveis pelo tratamento no devero conservar dados pessoais com a finalidade exclusiva de estar em
condies de reagir a eventuais pedidos.
(65) Os titulares dos dados devero ter direito a que os dados que lhes digam respeito sejam retificados e o direito a
serem esquecidos quando a conservao desses dados violar o presente regulamento ou o direito da Unio ou
dos Estados-Membros aplicvel ao responsvel pelo tratamento. Em especial, os titulares de dados devero ter
direito a que os seus dados pessoais sejam apagados e deixem de ser objeto de tratamento se deixarem de ser
necessrios para a finalidade para a qual foram recolhidos ou tratados, se os titulares dos dados retirarem o seu
consentimento ou se opuserem ao tratamento de dados pessoais que lhes digam respeito ou se o tratamento dos
seus dados pessoais no respeitar o disposto no presente regulamento. Esse direito assume particular importncia
quando o titular dos dados tiver dado o seu consentimento quando era criana e no estava totalmente ciente dos
riscos inerentes ao tratamento, e mais tarde deseje suprimir esses dados pessoais, especialmente na Internet. O
titular dos dados dever ter a possibilidade de exercer esse direito independentemente do facto de j ser adulto.
No entanto, o prolongamento da conservao dos dados pessoais dever ser efetuado de forma lcita quando tal
se revele necessrio para o exerccio do direito de liberdade de expresso e informao, para o cumprimento de
uma obrigao jurdica, para o exerccio de funes de interesse pblico ou o exerccio da autoridade pblica de
que est investido o responsvel pelo tratamento, por razes de interesse pblico no domnio da sade pblica,
para fins de arquivo de interesse pblico, para fins de investigao cientfica ou histrica ou para fins estatsticos,
ou para efeitos de declarao, exerccio ou defesa de um direito num processo judicial.
(66) Para reforar o direito a ser esquecido no ambiente por via eletrnica, o mbito do direito ao apagamento dever
ser alargado atravs da imposio ao responsvel pelo tratamento que tenha tornado pblicos os dados pessoais
da adoo de medidas razoveis, incluindo a aplicao de medidas tcnicas, para informar os responsveis que
estejam a tratar esses dados pessoais de que os titulares dos dados solicitaram a supresso de quaisquer ligaes
para esses dados pessoais ou de cpias ou reprodues dos mesmos. Ao faz-lo, esse responsvel pelo tratamento
dever adotar as medidas que se afigurarem razoveis, tendo em conta a tecnologia disponvel e os meios ao seu
dispor, incluindo medidas tcnicas, para informar do pedido do titular dos dados pessoais os responsveis que
estejam a tratar os dados.
(67) Para restringir o tratamento de dados pessoais pode recorrer-se a mtodos como a transferncia temporria de
determinados dados para outro sistema de tratamento, a indisponibilizao do acesso a determinados dados
pessoais por parte dos utilizadores, ou a retirada temporria de um stio web dos dados a publicados. Nos
ficheiros automatizados, as restries ao tratamento devero, em princpio, ser impostas por meios tcnicos de
modo a que os dados pessoais no sejam sujeitos a outras operaes de tratamento e no possam ser alterados.
Dever indicar-se de forma bem clara no sistema que o tratamento dos dados pessoais se encontra sujeito a
restries.
(68) Para reforar o controlo sobre os seus prprios dados, sempre que o tratamento de dados pessoais for
automatizado, o titular dos dados dever ser autorizado a receber os dados pessoais que lhe digam respeito, que
tenha fornecido a um responsvel pelo tratamento num formato estruturado, de uso corrente, de leitura
automtica e interopervel, e a transmiti-los a outro responsvel. Os responsveis pelo tratamento de dados
devero ser encorajados a desenvolver formatos interoperveis que permitam a portabilidade dos dados. Esse
direito dever aplicar-se tambm se o titular dos dados tiver fornecido os dados pessoais com base no seu consen
timento ou se o tratamento for necessrio para o cumprimento de um contrato. No dever ser aplicvel se o
tratamento se basear num fundamento jurdico que no seja o consentimento ou um contrato. Por natureza
prpria, esse direito no dever ser exercido em relao aos responsveis pelo tratamento que tratem dados
pessoais na prossecuo das suas atribuies pblicas. Por conseguinte, esse direito no dever ser aplicvel
quando o tratamento de dados pessoais for necessrio para o cumprimento de uma obrigao jurdica qual o
responsvel esteja sujeito, para o exerccio de atribuies de interesse pblico ou para o exerccio da autoridade
pblica de que esteja investido o responsvel pelo tratamento. O direito do titular dos dados a transmitir ou
receber dados pessoais que lhe digam respeito no dever implicar para os responsveis pelo tratamento a
obrigao de adotar ou manter sistemas de tratamento que sejam tecnicamente compatveis. Quando um
determinado conjunto de dados pessoais disser respeito a mais de um titular, o direito de receber os dados
pessoais no dever prejudicar os direitos e liberdades de outros titulares de dados nos termos do presente
regulamento. Alm disso, esse direito tambm no dever prejudicar o direito dos titulares dos dados a obter o
apagamento dos dados pessoais nem as restries a esse direito estabelecidas no presente regulamento e,
nomeadamente, no dever implicar o apagamento dos dados pessoais relativos ao titular que este tenha
fornecido para execuo de um contrato, na medida em que e enquanto os dados pessoais forem necessrios para
a execuo do referido contrato. Sempre que seja tecnicamente possvel, o titular dos dados dever ter o direito a
que os dados pessoais sejam transmitidos diretamente entre os responsveis pelo tratamento.
(69) No caso de um tratamento de dados pessoais lcito realizado por ser necessrio ao exerccio de funes de
interesse pblico ou ao exerccio da autoridade pblica de que est investido o responsvel pelo tratamento ou
ainda por motivos de interesse legtimo do responsvel pelo tratamento ou de terceiros, o titular no dever
deixar de ter o direito de se opor ao tratamento dos dados pessoais que digam respeito sua situao especfica.
Dever caber ao responsvel pelo tratamento provar que os seus interesses legtimos imperiosos prevalecem sobre
os interesses ou direitos e liberdades fundamentais do titular dos dados.
(70) Sempre que os dados pessoais forem objeto de tratamento para efeitos de comercializao direta, o titular dever
ter o direito de se opor, em qualquer momento e gratuitamente, a tal tratamento, incluindo a definio de perfis
na medida em que esteja relacionada com a referida comercializao, quer se trate do tratamento inicial quer do
tratamento posterior. Esse direito dever ser explicitamente levado ateno do titular e apresentado de modo
claro e distinto de quaisquer outras informaes.
(71) O titular dos dados dever ter o direito de no ficar sujeito a uma deciso, que poder incluir uma medida, que
avalie aspetos pessoais que lhe digam respeito, que se baseie exclusivamente no tratamento automatizado e que
produza efeitos jurdicos que lhe digam respeito ou o afetem significativamente de modo similar, como a recusa
automtica de um pedido de crdito por via eletrnica ou prticas de recrutamento eletrnico sem qualquer
interveno humana. Esse tratamento inclui a definio de perfis mediante qualquer forma de tratamento
automatizado de dados pessoais para avaliar aspetos pessoais relativos a uma pessoa singular, em especial a
anlise e previso de aspetos relacionados com o desempenho profissional, a situao econmica, sade,
preferncias ou interesses pessoais, fiabilidade ou comportamento, localizao ou deslocaes do titular dos
dados, quando produza efeitos jurdicos que lhe digam respeito ou a afetem significativamente de forma similar.
No entanto, a tomada de decises com base nesse tratamento, incluindo a definio de perfis, dever ser
permitida se expressamente autorizada pelo direito da Unio ou dos Estados-Membros aplicvel ao responsvel
pelo tratamento, incluindo para efeitos de controlo e preveno de fraudes e da evaso fiscal, conduzida nos
termos dos regulamentos, normas e recomendaes das instituies da Unio ou das entidades nacionais de
controlo, e para garantir a segurana e a fiabilidade do servio prestado pelo responsvel pelo tratamento, ou se
for necessria para a celebrao ou execuo de um contrato entre o titular dos dados e o responsvel pelo
tratamento, ou mediante o consentimento explcito do titular. Em qualquer dos casos, tal tratamento dever ser
acompanhado das garantias adequadas, que devero incluir a informao especfica ao titular dos dados e o
direito de obter a interveno humana, de manifestar o seu ponto de vista, de obter uma explicao sobre a
deciso tomada na sequncia dessa avaliao e de contestar a deciso. Essa medida no dever dizer respeito a
uma criana.
A fim de assegurar um tratamento equitativo e transparente no que diz respeito ao titular dos dados, tendo em
conta a especificidade das circunstncias e do contexto em que os dados pessoais so tratados, o responsvel pelo
tratamento dever utilizar procedimentos matemticos e estatsticos adequados definio de perfis, aplicar
medidas tcnicas e organizativas que garantam designadamente que os fatores que introduzem imprecises nos
dados pessoais so corrigidos e que o risco de erros minimizado, e proteger os dados pessoais de modo a que
sejam tidos em conta os potenciais riscos para os interesses e direitos do titular dos dados e de forma a prevenir,
por exemplo, efeitos discriminatrios contra pessoas singulares em razo da sua origem racial ou tnica, opinio
poltica, religio ou convices, filiao sindical, estado gentico ou de sade ou orientao sexual, ou a impedir
que as medidas venham a ter tais efeitos. A deciso e definio de perfis automatizada baseada em categorias
especiais de dados pessoais s dever ser permitida em condies especficas.
(72) A definio de perfis est sujeita s regras do presente regulamento que regem o tratamento de dados pessoais,
como o fundamento jurdico do tratamento ou os princpios da proteo de dados. O Comit Europeu para a
Proteo de Dados criado pelo presente regulamento (Comit) dever poder emitir orientaes nesse mbito.
(73) O direito da Unio ou dos Estados-Membros podem impor restries relativas a princpios especficos e aos
direitos de informao, acesso e retificao ou apagamento de dados pessoais e ao direito portabilidade dos
dados, ao direito de oposio, s decises baseadas na definio de perfis, bem como comunicao de uma
violao de dados pessoais ao titular dos dados, e a determinadas obrigaes conexas dos responsveis pelo
tratamento, na medida em que sejam necessrias e proporcionadas numa sociedade democrtica para garantir a
segurana pblica, incluindo a proteo da vida humana, especialmente em resposta a catstrofes naturais ou
provocadas pelo homem, para a preveno, a investigao e a represso de infraes penais ou a execuo de
sanes penais, incluindo a salvaguarda e a preveno de ameaas segurana pblica ou violaes da
deontologia de profisses regulamentadas, para outros objetivos importantes de interesse pblico geral da Unio
ou de um Estado-Membro, nomeadamente um interesse econmico ou financeiro importante da Unio ou de um
Estado-Membro, para a conservao de registos pblicos por motivos de interesse pblico geral, para posterior
tratamento de dados pessoais arquivados para a prestao de informaes especficas relacionadas com o compor
tamento poltico no mbito de antigos regimes totalitrios ou para efeitos de defesa do titular dos dados ou dos
direitos e liberdades de terceiros, incluindo a proteo social, a sade pblica e os fins humanitrios. Essas
restries devero respeitar as exigncias estabelecidas na Carta e na Conveno Europeia para a Proteo dos
Direitos do Homem e das Liberdades Fundamentais.
(74) Dever ser consagrada a responsabilidade do responsvel por qualquer tratamento de dados pessoais realizado
por este ou por sua conta. Em especial, o responsvel pelo tratamento dever ficar obrigado a executar as
medidas que forem adequadas e eficazes e ser capaz de comprovar que as atividades de tratamento so efetuadas
em conformidade com o presente regulamento, incluindo a eficcia das medidas. Essas medidas devero ter em
conta a natureza, o mbito, o contexto e as finalidades do tratamento dos dados, bem como o risco que possa
implicar para os direitos e liberdades das pessoas singulares.
(75) O risco para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variveis,
poder resultar de operaes de tratamento de dados pessoais suscetveis de causar danos fsicos, materiais ou
imateriais, em especial quando o tratamento possa dar origem discriminao, usurpao ou roubo da
identidade, a perdas financeiras, prejuzos para a reputao, perdas de confidencialidade de dados pessoais
protegidos por sigilo profissional, inverso no autorizada da pseudonimizao, ou a quaisquer outros prejuzos
importantes de natureza econmica ou social; quando os titulares dos dados possam ficar privados dos seus
direitos e liberdades ou impedidos do exerccio do controlo sobre os respetivos dados pessoais; quando forem
tratados dados pessoais que revelem a origem racial ou tnica, as opinies polticas, as convices religiosas ou
filosficas e a filiao sindical, bem como dados genticos ou dados relativos sade ou vida sexual ou a
condenaes penais e infraes ou medidas de segurana conexas; quando forem avaliados aspetos de natureza
pessoal, em particular anlises ou previses de aspetos que digam respeito ao desempenho no trabalho, situao
econmica, sade, s preferncias ou interesses pessoais, fiabilidade ou comportamento e localizao ou s
deslocaes das pessoas, a fim de definir ou fazer uso de perfis; quando forem tratados dados relativos a pessoas
singulares vulnerveis, em particular crianas; ou quando o tratamento incidir sobre uma grande quantidade de
dados pessoais e afetar um grande nmero de titulares de dados.
(76) A probabilidade e a gravidade dos riscos para os direitos e liberdades do titular dos dados dever ser determinada
por referncia natureza, mbito, contexto e finalidades do tratamento de dados. Os riscos devero ser aferidos
com base numa avaliao objetiva, que determine se as operaes de tratamento de dados implicam risco ou
risco elevado.
(77) As orientaes sobre a execuo de medidas adequadas e sobre a comprovao de conformidade pelos
responsveis pelo tratamento ou subcontratantes, em especial no que diz respeito identificao dos riscos
relacionados com o tratamento, sua avaliao em termos de origem, natureza, probabilidade e gravidade, bem
como identificao das melhores prticas para a atenuao dos riscos, podero ser obtidas nomeadamente
recorrendo a cdigos de conduta aprovados, a certificaes aprovadas, s orientaes fornecidas pelo Comit ou
s indicaes fornecidas por um encarregado da proteo de dados. O Comit poder emitir igualmente
orientaes sobre operaes de tratamento de dados que no sejam suscetveis de resultar num elevado risco para
os direitos e liberdades das pessoas singulares e indicar quais as medidas adequadas em tais casos para diminuir
esse risco.
(78) A defesa dos direitos e liberdades das pessoas singulares relativamente ao tratamento dos seus dados pessoais
exige a adoo de medidas tcnicas e organizativas adequadas, a fim de assegurar o cumprimento dos requisitos
do presente regulamento. Para poder comprovar a conformidade com o presente regulamento, o responsvel pelo
tratamento dever adotar orientaes internas e aplicar medidas que respeitem, em especial, os princpios da
proteo de dados desde a conceo e da proteo de dados por defeito. Tais medidas podem incluir a
minimizao do tratamento de dados pessoais, a pseudonimizao de dados pessoais o mais cedo possvel, a
transparncia no que toca s funes e ao tratamento de dados pessoais, a possibilidade de o titular dos dados
controlar o tratamento de dados e a possibilidade de o responsvel pelo tratamento criar e melhorar medidas de
segurana. No contexto do desenvolvimento, conceo, seleo e utilizao de aplicaes, servios e produtos que
se baseiam no tratamento de dados pessoais ou recorrem a este tratamento para executarem as suas funes,
haver que incentivar os fabricantes dos produtos, servios e aplicaes a ter em conta o direito proteo de
dados quando do seu desenvolvimento e conceo e, no devido respeito pelas tcnicas mais avanadas, a garantir
que os responsveis pelo tratamento e os subcontratantes estejam em condies de cumprir as suas obrigaes
em matria de proteo de dados. Os princpios de proteo de dados desde a conceo e, por defeito, devero
tambm ser tomados em considerao no contexto dos contratos pblicos.
(79) A defesa dos direitos e liberdades dos titulares dos dados, bem como a responsabilidade dos responsveis pelo
seu tratamento e dos subcontratantes, incluindo no que diz respeito superviso e s medidas adotadas pelas
autoridades de controlo, exigem uma clara repartio das responsabilidades nos termos do presente regulamento,
nomeadamente quando o responsvel pelo tratamento determina as finalidades e os meios do tratamento conjun
tamente com outros responsveis, ou quando uma operao de tratamento de dados efetuada por conta de um
responsvel pelo tratamento.
(80) Sempre que um responsvel pelo tratamento ou um subcontratante no estabelecidos na Unio efetuarem o
tratamento de dados pessoais de titulares de dados que se encontrem na Unio, e as suas atividades de tratamento
estiverem relacionadas com a oferta de bens ou servios a esses titulares de dados na Unio, independentemente
de a estes ser exigido um pagamento, ou com o controlo do seu comportamento na medida que o seu compor
tamento tenha lugar na Unio, o responsvel pelo tratamento ou o subcontratante devero designar um
representante, a no ser que o tratamento seja ocasional, no inclua o tratamento, em larga escala, de categorias
especiais de dados pessoais, nem o tratamento de dados pessoais relativos a condenaes penais e infraes, e
no seja suscetvel de implicar riscos para os direitos e liberdades das pessoas singulares, tendo em conta a
natureza, o contexto, o mbito e as finalidades do tratamento ou se o responsvel pelo tratamento for uma
autoridade ou organismo pblico. O representante dever agir em nome do responsvel pelo tratamento ou do
subcontratante e dever poder ser contactado por qualquer autoridade de controlo. O representante dever ser
explicitamente designado por um mandato do responsvel pelo tratamento ou do subcontratante, emitido por
escrito, que permita ao representante agir em seu nome no que diz respeito s obrigaes que lhes so impostas
pelo presente regulamento. A designao de um tal representante no afeta as responsabilidades que incumbem
ao responsvel pelo tratamento ou ao subcontratante nos termos do presente regulamento. O representante
dever executar as suas tarefas em conformidade com o mandato que recebeu do responsvel pelo tratamento ou
do subcontratante, incluindo no que toca cooperao com as autoridades de controlo competentes relati
vamente a qualquer ao empreendida no sentido de garantir o cumprimento do presente regulamento. O
representante designado dever estar sujeito a procedimentos de execuo em caso de incumprimento pelo
responsvel pelo tratamento ou pelo subcontratante.
(81) Para assegurar o cumprimento do presente regulamento no que se refere ao tratamento a efetuar pelo subcon
tratante por conta do responsvel pelo tratamento, este, quando confiar atividades de tratamento a um subcon
tratante, dever recorrer exclusivamente a subcontratantes que ofeream garantias suficientes, especialmente em
termos de conhecimentos especializados, fiabilidade e recursos, quanto execuo de medidas tcnicas e organi
zativas que cumpram os requisitos do presente regulamento, nomeadamente no que se refere segurana do
tratamento. O facto de o subcontratante cumprir um cdigo de conduta aprovado ou um procedimento de
certificao aprovado poder ser utilizado como elemento para demonstrar o cumprimento das obrigaes do
responsvel pelo tratamento. A realizao de operaes de tratamento de dados em subcontratao dever ser
regulada por um contrato ou por outro ato normativo ao abrigo do direito da Unio ou dos Estados-Membros,
que vincule o subcontratante ao responsvel pelo tratamento e em que seja estabelecido o objeto e a durao do
contrato, a natureza e as finalidades do tratamento, o tipo de dados pessoais e as categorias dos titulares dos
dados, tendo em conta as tarefas e responsabilidades especficas do subcontratante no contexto do tratamento a
realizar e o risco em relao aos direitos e liberdades do titular dos dados. O responsvel pelo tratamento e o
subcontratante podero optar por utilizar um contrato individual ou clusulas contratuais-tipo que so adotadas
quer diretamente pela Comisso quer por uma autoridade de controlo em conformidade com o procedimento de
controlo da coerncia e adotadas posteriormente pela Comisso. Aps concludo o tratamento por conta do
responsvel pelo tratamento, o subcontratante dever, consoante a escolha do primeiro, devolver ou apagar os
dados pessoais, a menos que seja exigida a conservao dos dados pessoais ao abrigo do direito da Unio ou do
Estado-Membro a que o subcontratante est sujeito.
(82) A fim de comprovar a observncia do presente regulamento, o responsvel pelo tratamento ou o subcontratante
dever conservar registos de atividades de tratamento sob a sua responsabilidade. Os responsveis pelo
tratamento e subcontratantes devero ser obrigados a cooperar com a autoridade de controlo e a facultar-lhe
esses registos, a pedido, para fiscalizao dessas operaes de tratamento.
(83) A fim de preservar a segurana e evitar o tratamento em violao do presente regulamento, o responsvel pelo
tratamento, ou o subcontratante, dever avaliar os riscos que o tratamento implica e aplicar medidas que os
atenuem, como a cifragem. Essas medidas devero assegurar um nvel de segurana adequado, nomeadamente a
confidencialidade, tendo em conta as tcnicas mais avanadas e os custos da sua aplicao em funo dos riscos e
da natureza dos dados pessoais a proteger. Ao avaliar os riscos para a segurana dos dados, devero ser tidos em
conta os riscos apresentados pelo tratamento dos dados pessoais, tais como a destruio, perda e alterao
acidentais ou ilcitas, e a divulgao ou o acesso no autorizados a dados pessoais transmitidos, conservados ou
sujeitos a qualquer outro tipo de tratamento, riscos esses que podem dar azo, em particular, a danos fsicos,
materiais ou imateriais.
(84) A fim de promover o cumprimento do presente regulamento nos casos em que as operaes de tratamento de
dados sejam suscetveis de resultar num elevado risco para os direitos e liberdades das pessoas singulares, o
responsvel pelo seu tratamento dever encarregar-se da realizao de uma avaliao de impacto da proteo de
dados para determinao, nomeadamente, da origem, natureza, particularidade e gravidade desse risco. Os
resultados dessa avaliao devero ser tidos em conta na determinao das medidas que devero ser tomadas a
fim de comprovar que o tratamento de dados pessoais est em conformidade com o presente regulamento.
Sempre que a avaliao de impacto sobre a proteo de dados indicar que o tratamento apresenta um elevado
risco que o responsvel pelo tratamento no poder atenuar atravs de medidas adequadas, atendendo
tecnologia disponvel e aos custos de aplicao, ser necessrio consultar a autoridade de controlo antes de se
proceder ao tratamento de dados pessoais.
(85) Se no forem adotadas medidas adequadas e oportunas, a violao de dados pessoais pode causar danos fsicos,
materiais ou imateriais s pessoas singulares, como a perda de controlo sobre os seus dados pessoais, a limitao
dos seus direitos, a discriminao, o roubo ou usurpao da identidade, perdas financeiras, a inverso no
autorizada da pseudonimizao, danos para a reputao, a perda de confidencialidade de dados pessoais
protegidos por sigilo profissional ou qualquer outra desvantagem econmica ou social significativa das pessoas
singulares. Por conseguinte, logo que o responsvel pelo tratamento tenha conhecimento de uma violao de
dados pessoais, dever notific-la autoridade de controlo, sem demora injustificada e, sempre que possvel, no
prazo de 72 horas aps ter tido conhecimento do ocorrido,a menos que seja capaz de demonstrar em
conformidade com o princpio da responsabilidade, que esssa violao no suscetvel de implicar um risco para
os direitos e liberdades das pessoas singulares. Se no for possvel efetuar essa notificao no prazo de 72 horas,
a notificao dever ser acompanhada dos motivos do atraso, podendo as informaes ser fornecidas por fases
sem demora injustificada.
(86) O responsvel pelo tratamento dever informar, sem demora injustificada, o titular dos dados da violao de
dados pessoais quando for provvel que desta resulte um elevado risco para os direitos e liberdades da pessoa
singular, a fim de lhe permitir tomar as precaues necessrias. A comunicao dever descrever a natureza da
violao de dados pessoais e dirigir recomendaes pessoa singular em causa para atenuar potenciais efeitos
adversos. Essa comunicao aos titulares dos dados dever ser efetuada logo que seja razoavelmente possvel, em
estreita cooperao com a autoridade de controlo e em cumprimento das orientaes fornecidas por esta ou por
outras autoridades competentes, como as autoridades de polcia. Por exemplo, a necessidade de atenuar um risco
imediato de prejuzo exigir uma pronta comunicao aos titulares dos dados, mas a necessidade de aplicar
medidas adequadas contra violaes de dados pessoais recorrentes ou similares poder justificar um perodo mais
alargado para a comunicao.
(87) H que verificar se foram aplicadas todas as medidas tecnolgicas de proteo e de organizao para apurar
imediatamente a ocorrncia de uma violao de dados pessoais e para informar rapidamente a autoridade de
controlo e o titular. Para comprovar que a notificao foi enviada sem demora injustificada importa ter em
considerao, em especial, a natureza e a gravidade da violao dos dados pessoais e as respetivas consequncias
e efeitos adversos para o titular dos dados. Essa notificao poder resultar numa interveno da autoridade de
controlo em conformidade com as suas funes e competncias, definidas pelo presente regulamento.
(88) Ao estabelecer regras pormenorizadas relativamente ao formato e aos procedimentos aplicveis notificao das
violaes de dados pessoais, dever ter-se devidamente em conta as circunstncias dessa violao, nomeadamente
a existncia ou no de proteo dos dados pessoais atravs de medidas tcnicas de proteo adequadas para
reduzir eficazmente a probabilidade de usurpao da identidade ou outras formas de utilizao abusiva. Alm
disso, tais regras e procedimentos devero ter em conta os legtimos interesses das autoridades de polcia nos
casos em que a divulgao precoce de informaes possa dificultar desnecessariamente a investigao das circuns
tncias da violao de dados pessoais.
(89) A Diretiva 95/46/CE estabelece uma obrigao geral de notificao do tratamento de dados pessoais s
autoridades de controlo. Alm de esta obrigao originar encargos administrativos e financeiros, nem sempre
contribuiu para a melhoria da proteo dos dados pessoais. Tais obrigaes gerais e indiscriminadas de
notificao devero, por isso, ser suprimidas e substitudas por regras e procedimentos eficazes mais centrados
nos tipos de operaes de tratamento suscetveis de resultar num elevado risco para os direitos e liberdades das
pessoas singulares, devido sua natureza, mbito, contexto e finalidades. Os referidos tipos de operaes de
tratamento podero, nomeadamente, envolver a utilizao de novas tecnologias, ou pertencer a um novo tipo e
no ter sido antecedidas por uma avaliao de impacto sobre a proteo de dados por parte do responsvel pelo
tratamento, ou ser consideradas necessrias luz do perodo decorrido desde o tratamento inicial responsvel
pelo tratamento.
(90) Nesses casos, o responsvel pelo tratamento dever proceder, antes do tratamento, a uma avaliao do impacto
sobre a proteo de dados, a fim de avaliar a probabilidade ou gravidade particulares do elevado risco, tendo em
conta a natureza, o mbito, o contexto e as finalidades do tratamento e as fontes do risco. Essa avaliao do
impacto dever incluir, nomeadamente, as medidas, garantias e procedimentos previstos para atenuar esse risco,
assegurar a proteo dos dados pessoais e comprovar a observncia do presente regulamento.
(91) Tal dever aplicar-se, nomeadamente, s operaes de tratamento de grande escala que visem o tratamento de
uma grande quantidade de dados pessoais a nvel regional, nacional ou supranacional, possam afetar um nmero
considervel de titulares de dados e sejam suscetveis de implicar um elevado risco, por exemplo, em razo da sua
sensibilidade, nas quais, em conformidade com o nvel de conhecimentos tecnolgicos alcanado, seja utilizada
em grande escala uma nova tecnologia, bem como a outras operaes de tratamento que impliquem um elevado
risco para os direitos e liberdades dos titulares dos dados, em especial quando tais operaes dificultem aos
titulares o exerccio dos seus direitos. Dever-se- realizar tambm uma avaliao de impacto sobre a proteo de
dados nos casos em que os dados pessoais so tratados para tomar decises relativas a determinadas pessoas
singulares na sequncia de qualquer avaliao sistemtica e completa dos aspetos pessoais relacionados com
pessoas singulares baseada na definio dos perfis desses dados ou na sequncia do tratamento de categorias
especiais de dados pessoais, de dados biomtricos ou de dados sobre condenaes penais e infraes ou medidas
de segurana conexas. igualmente exigida uma avaliao do impacto sobre a proteo de dados para o controlo
de zonas acessveis ao pblico em grande escala, nomeadamente se forem utilizados mecanismos optoeletrnicos,
ou para quaisquer outras operaes quando a autoridade de controlo competente considere que o tratamento
suscetvel de implicar um elevado risco para os direitos e liberdades dos titulares dos direitos, em especial por
impedirem estes ltimos de exercer um direito ou de utilizar um servio ou um contrato, ou por serem realizadas
sistematicamente em grande escala. O tratamento de dados pessoais no dever ser considerado de grande escala
se disser respeito aos dados pessoais de pacientes ou clientes de um determinado mdico, profissional de
cuidados de sade, hospital ou advogado. Nesses casos, a realizao de uma avaliao de impacto sobre a
proteo de dados no dever ser obrigatria.
(92) Em certas circunstncias pode ser razovel e econmico alargar a avaliao de impacto sobre a proteo de dados
para alm de um projeto nico, por exemplo se as autoridades ou organismos pblicos pretenderem criar uma
aplicao ou uma plataforma de tratamento comum, ou se vrios responsveis pelo tratamento planearem criar
uma aplicao ou um ambiente de tratamento comum em todo um setor ou segmento profissional, ou uma
atividade horizontal amplamente utilizada.
(93) No contexto da adoo da legislao dos Estados-Membros que regula a prossecuo das atribuies da
autoridade ou do organismo pblico, bem como a operao ou o conjunto de operaes em questo, os Estados-
-Membros podem considerar necessrio proceder avaliao antes de iniciar as atividades de tratamento.
(94) Sempre que uma avaliao de impacto relativa proteo de dados indicar que o tratamento, na falta de garantias
e de medidas e procedimentos de segurana para atenuar os riscos, implica um elevado risco para os direitos e
liberdades das pessoas singulares e o responsvel pelo tratamento considerar que o risco no poder ser atenuado
atravs de medidas razoveis, atendendo tecnologia disponvel e aos custos de aplicao, a autoridade de
controlo dever ser consultada antes de as atividades de tratamento terem incio. Provavelmente, esse elevado
risco decorre de determinados tipos de tratamento e da extenso e frequncia do tratamento, que podem originar
igualmente danos ou interferir com os direitos e liberdades da pessoa singular. A autoridade de controlo dever
responder ao pedido de consulta dentro de um determinado prazo. Contudo, a ausncia de reao da autoridade
de controlo no decorrer desse prazo no prejudicar qualquer interveno que esta autoridade venha a fazer em
conformidade com as suas funes e competncias, definidas pelo presente regulamento, incluindo a competncia
para proibir certas operaes de tratamento. No mbito desse processo de consulta, o resultado de uma avaliao
do impacto sobre a proteo de dados efetuada relativamente ao tratamento em questo pode ser apresentado
autoridade de controlo, em especial as medidas previstas para atenuar o risco para os direitos e liberdades das
pessoas singulares.
(95) O subcontratante dever prestar assistncia ao responsvel pelo tratamento, se necessrio e a pedido deste, para
assegurar o cumprimento das obrigaes decorrentes da realizao de avaliaes do impacto sobre a proteo de
dados e da consulta prvia autoridade de controlo.
(96) Dever ter tambm lugar uma consulta autoridade de controlo durante os trabalhos de elaborao de uma
medida legislativa ou regulamentar que preveja o tratamento de dados pessoais, de modo a assegurar a
conformidade do tratamento pretendido com o presente regulamento e, em particular, a atenuar o respetivo risco
para o titular dos dados.
(97) Sempre que o tratamento dos dados for efetuado por uma autoridade pblica, com exceo dos tribunais ou de
autoridades judiciais independentes no exerccio da sua funo jurisdicional, sempre que, no setor privado, for
efetuado por um responsvel pelo tratamento cujas atividades principais consistam em operaes de tratamento
que exijam o controlo regular e sistemtico do titular dos dados em grande escala, ou sempre que as atividades
principais do responsvel pelo tratamento ou do subcontratante consistam em operaes de tratamento em
grande escala de categorias especiais de dados pessoais e de dados relacionados com condenaes penais e
infraes, o responsvel pelo tratamento destes ou o subcontratante pode ser assistido por um especialista em
legislao e prtica de proteo dados no controlo do cumprimento do presente regulamento a nvel interno. No
setor privado, as atividades principais do responsvel pelo tratamento dizem respeito s suas atividades primrias
e no esto relacionadas com o tratamento de dados pessoais como atividade auxiliar. O nvel necessrio de
conhecimentos especializados dever ser determinado, em particular, em funo do tratamento de dados
realizado e da proteo exigida para os dados pessoais tratados pelo responsvel pelo seu tratamento ou pelo
subcontratante. Estes encarregados da proteo de dados, sejam ou no empregados do responsvel pelo
tratamento, devero estar em condies de desempenhar as suas funes e atribuies com independncia.
(98) As associaes ou outras entidades que representem categorias de responsveis pelo tratamento ou de subcontra
tantes devero ser incentivadas a elaborar cdigos de conduta, no respeito do presente regulamento, com vista a
facilitar a sua aplicao efetiva, tendo em conta as caractersticas especficas do tratamento efetuado em
determinados setores e as necessidades especficas das micro, pequenas e mdias empresas. Esses cdigos de
conduta podero nomeadamente regular as obrigaes dos responsveis pelo tratamento e dos subcontratantes,
tendo em conta o risco que poder resultar do tratamento dos dados no que diz respeito aos direitos e s
liberdades das pessoas singulares.
(99) Durante o processo de elaborao de um cdigo de conduta, ou na sua alterao ou aditamento, as associaes e
outros organismos representantes de categorias de responsveis pelo tratamento ou de subcontratantes devero
consultar as partes interessadas, nomeadamente os titulares dos dados, se possvel, e ter em conta os contributos
recebidos e as opinies expressas em resposta a essas consultas.
(100) A fim de reforar a transparncia e o cumprimento do presente regulamento, dever ser encorajada a criao de
procedimentos de certificao e selos e marcas de proteo de dados, que permitam aos titulares avaliar
rapidamente o nvel de proteo de dados proporcionado pelos produtos e servios em causa.
(101) A circulao de dados pessoais, com origem e destino quer a pases no pertencentes Unio quer a
organizaes internacionais, necessria ao desenvolvimento do comrcio e da cooperao internacionais. O
aumento dessa circulao criou novos desafios e novas preocupaes em relao proteo dos dados pessoais.
Todavia, quando os dados pessoais so transferidos da Unio para responsveis pelo tratamento, para subcontra
tantes ou para outros destinatrios em pases terceiros ou para organizaes internacionais, o nvel de proteo
das pessoas singulares assegurado na Unio pelo presente regulamento dever continuar a ser garantido, inclusive
nos casos de posterior transferncia de dados pessoais do pas terceiro ou da organizao internacional em causa
para responsveis pelo tratamento, subcontratantes desse pas terceiro ou de outro, ou para uma organizao
internacional. Em todo o caso, as transferncias para pases terceiros e organizaes internacionais s podem ser
efetuadas no pleno respeito pelo presente regulamento. S podero ser realizadas transferncias se, sob reserva
das demais disposies do presente regulamento, as condies constantes das disposies do presente
regulamento relativas a transferncias de dados pessoais para pases terceiros e organizaes internacionais forem
cumpridas pelo responsvel pelo tratamento ou subcontratante.
(102) O presente regulamento no prejudica os acordos internacionais celebrados entre a Unio Europeia e pases
terceiros que regulem a transferncia de dados pessoais, incluindo as garantias adequadas em benefcio dos
titulares dos dados. Os Estados-Membros podero celebrar acordos internacionais que impliquem a transferncia
de dados pessoais para pases terceiros ou organizaes internacionais, desde que tais acordos no afetem o
presente regulamento ou quaisquer outras disposies do direito da Unio e prevejam um nvel adequado de
proteo dos direitos fundamentais dos titulares dos dados.
(103) A Comisso pode decidir, com efeitos no conjunto da Unio, que um pas terceiro, um territrio ou um setor
determinado de um pas terceiro, ou uma organizao internacional, oferece um nvel adequado de proteo de
dados adequado, garantindo assim a segurana jurdica e a uniformidade ao nvel da Unio relativamente ao pas
terceiro ou organizao internacional que seja considerado apto a assegurar tal nvel de proteo. Nestes casos,
podem realizar-se transferncias de dados pessoais para esse pas ou organizao internacional sem que para tal
seja necessria mais nenhuma autorizao. A Comisso pode igualmente decidir, aps enviar ao pas terceiro ou
organizao internacional uma notificao e uma declarao completa dos motivos, revogar essa deciso.
(104) Em conformidade com os valores fundamentais em que a Unio assenta, particularmente a defesa dos direitos
humanos, a Comisso dever, na sua avaliao do pas terceiro ou de um territrio ou setor especfico de um pas
terceiro, ter em considerao em que medida esse pas respeita o primado do Estado de direito, o acesso justia
e as regras e normas internacionais no domnio dos direitos humanos e a sua legislao geral e setorial,
nomeadamente a legislao relativa segurana pblica, defesa e segurana nacional, bem como a lei da
ordem pblica e a lei penal. A adoo de uma deciso de adequao relativamente a um territrio ou um setor
especfico num pas terceiro dever ter em conta critrios claros e objetivos, tais como as atividades de
tratamento especficas e o mbito das normas jurdicas aplicveis, bem como a legislao em vigor no pas
terceiro. Este dever dar garantias para assegurar um nvel adequado de proteo essencialmente equivalente ao
assegurado na Unio, nomeadamente quando os dados pessoais so tratados num ou mais setores especficos. Em
especial, o pas terceiro dever garantir o controlo efetivo e independente da proteo dos dados e estabelecer
regras de cooperao com as autoridades de proteo de dados dos Estados-Membros, e ainda conferir aos
titulares dos dados direitos efetivos e oponveis e vias efetivas de recurso administrativo e judicial.
(105) Alm dos compromissos internacionais assumidos pelo pas terceiro ou pela organizao internacional, a
Comisso dever ter em conta as obrigaes decorrentes da participao do pas terceiro ou da organizao
internacional nos sistemas multilaterais ou regionais, em especial no que diz respeito proteo dos dados
pessoais, bem como o cumprimento de tais obrigaes. Em especial, h que ter em conta a adeso do pas
terceiro em causa Conveno do Conselho da Europa para a Proteo das Pessoas relativamente ao Tratamento
Automatizado de Dados de Carter Pessoal, de 28 de janeiro de 1981, e ao seu Protocolo Adicional. A Comisso
dever consultar o Comit quando avaliar o nvel de proteo nos pases terceiros ou organizaes internacionais.
(106) A Comisso dever controlar a eficcia das decises sobre o nvel de proteo assegurado num pas terceiro, num
territrio ou num setor especfico de um pas terceiro, ou numa organizao internacional, e acompanhar a
eficcia das decises adotadas com base no artigo 25.o, n.o 6, ou no artigo 26.o, n.o 4, da Diretiva 95/46/CE. Nas
suas decises de adequao, a Comisso dever prever um procedimento de avaliao peridica da aplicao
destas. Essa reviso peridica dever ser feita em consulta com o pas terceiro ou a organizao internacional em
questo e ter em conta todos os desenvolvimentos pertinentes verificados no pas terceiro ou organizao interna
cional. Para efeitos de controlo e de realizao das revises peridicas, a Comisso dever ter em considerao os
pontos de vista e as concluses a que tenham chegado o Parlamento Europeu e o Conselho, bem como outros
organismos e fontes pertinentes. A Comisso dever avaliar, num prazo razovel, a eficcia destas ltimas
decises e comunicar quaisquer resultados pertinentes ao comit na aceo do Regulamento (UE) n.o 182/2011
do Parlamento Europeu e do Conselho (1), tal como estabelecido no presente regulamento, ao Parlamento
Europeu e ao Conselho.
(107) A Comisso pode reconhecer que um pas terceiro, um territrio ou um setor especfico de um pas terceiro, ou
uma organizao internacional, deixou de assegurar um nvel adequado de proteo de dados. Por conseguinte,
dever ser proibida a transferncia de dados pessoais para esse pas terceiro ou organizao internacional, a
menos que sejam cumpridos os requisitos constantes do presente regulamento relativos a transferncias sujeitas a
garantias adequadas, incluindo regras vinculativas aplicveis s empresas, e derrogaes para situaes especficas.
Nesse caso, devero ser tomadas medidas que visem uma consulta entre a Comisso e esse pas terceiro ou
organizao internacional. A Comisso dever, em tempo til, informar o pas terceiro ou a organizao interna
cional das razes da proibio e iniciar consultas com o pas ou organizao em causa, a fim de corrigir a
situao.
(108) Na falta de uma deciso sobre o nvel de proteo adequado, o responsvel pelo tratamento ou o subcontratante
dever adotar as medidas necessrias para colmatar a insuficincia da proteo de dados no pas terceiro dando
para tal garantias adequadas ao titular dos dados. Tais garantias adequadas podem consistir no recurso a regras
vinculativas aplicveis s empresas, clusulas-tipo de proteo de dados adotadas pela Comisso, clusulas-tipo de
proteo de dados adotadas por uma autoridade de controlo, ou clusulas contratuais autorizadas por esta
autoridade. Essas medidas devero assegurar o cumprimento dos requisitos relativos proteo de dados e o
respeito pelos direitos dos titulares dos dados adequados ao tratamento no territrio da Unio, incluindo a
existncia de direitos do titular de dados e de medidas jurdicas corretivas eficazes, nomeadamente o direito de
recurso administrativo ou judicial e de exigir indemnizao, quer no territrio da Unio quer num pas terceiro.
Devero estar relacionadas, em especial, com o respeito pelos princpios gerais relativos ao tratamento de dados
pessoais e pelos princpios de proteo de dados desde a conceo e por defeito. Tambm podem ser efetuadas
transferncias por autoridades ou organismos pblicos para autoridades ou organismos pblicos em pases
terceiros ou para organizaes internacionais que tenham deveres e funes correspondentes, nomeadamente
com base em disposies a inserir no regime administrativo, como seja um memorando de entendimento, que
prevejam a existncia de direitos efetivos e oponveis dos titulares dos dados. Dever ser obtida a autorizao da
autoridade de controlo competente quando as garantias previstas em regimes administrativos no forem juridi
camente vinculativas.
(109) A possibilidade de o responsvel pelo tratamento ou o subcontratante utilizarem clusulas-tipo de proteo de

dados adotadas pela Comisso ou por uma autoridade de controlo no os dever impedir de inclurem estas
(1) Regulamento (UE) n.o 182/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os
princpios gerais relativos aos mecanismos de controlo pelos EstadosMembros do exerccio das competncias de execuo pela
Comisso (JO L 55 de 28.2.2011, p. 13).
clusulas num contrato mais abrangente, como um contrato entre o subcontratante e outro subcontratante, nem
de acrescentarem outras clusulas ou garantias adicionais desde que no entrem, direta ou indiretamente, em
contradio com as clusulas contratuais-tipo adotadas pela Comisso ou por uma autoridade de controlo, e sem
prejuzo dos direitos ou liberdades fundamentais dos titulares dos dados. Os responsveis pelo tratamento e os
subcontratantes devero ser encorajados a apresentar garantias suplementares atravs de compromissos
contratuais que complementem as clusulas-tipo de proteo.
(110) Os grupos empresariais ou os grupos de empresas envolvidas numa atividade econmica conjunta devero poder
utilizar as regras vinculativas aplicveis s empresas aprovadas para as suas transferncias internacionais da Unio
para entidades pertencentes ao mesmo grupo empresarial ou grupo de empresas envolvidas numa atividade
econmica conjunta, desde que essas regras incluam todos os princpios essenciais e direitos oponveis que visem
assegurar garantias adequadas s transferncias ou categorias de transferncias de dados pessoais.
(111) Dever prever-se a possibilidade de efetuar transferncias em determinadas circunstncias em que o titular dos
dados d o seu consentimento explcito, em que a transferncia seja ocasional e necessria em relao a um
contrato ou a um contencioso judicial, independentemente de se tratar de um processo judicial, de um processo
administrativo ou de um qualquer procedimento no judicial, incluindo procedimentos junto de organismos de
regulao. Dever tambm estar prevista a possibilidade de efetuar transferncias no caso de motivos importantes
de interesse pblico previstos pelo direito da Unio ou de um Estado-Membro o exigirem, ou se a transferncia
for efetuada a partir de um registo criado por lei e destinado consulta por parte do pblico ou de pessoas com
um interesse legtimo. Neste ltimo caso, a transferncia no dever abranger a totalidade dos dados nem
categorias completas de dados pessoais contidos nesse registo e, quando este ltimo se destinar a ser consultado
por pessoas com um interesse legtimo, a transferncia apenas dever ser efetuada a pedido dessas pessoas ou,
caso sejam os seus destinatrios, tendo plenamente em conta os interesses e os direitos fundamentais do titular
dos dados.
(112) Essas derrogaes devero ser aplicveis, em especial, s transferncias de dados exigidas e necessrias por razes
importantes de interesse pblico, por exemplo em caso de intercmbio internacional de dados entre autoridades
de concorrncia, administraes fiscais ou aduaneiras, entre autoridades de superviso financeira, entre servios
competentes em matria de segurana social ou de sade pblica, por exemplo em caso de localizao de
contactos no que respeita a doenas contagiosas ou para reduzir e/ou eliminar a dopagem no desporto. Dever
igualmente ser considerada legal uma transferncia de dados pessoais que seja necessria para a proteo de um
interesse essencial para os interesses vitais do titular dos dados ou de outra pessoa, nomeadamente a integridade
fsica ou a vida, se o titular dos dados estiver impossibilitado de dar o seu consentimento. Na falta de uma
deciso de adequao, o direito da Unio ou de um Estado-Membro pode, por razes importantes de interesse
pblico, estabelecer expressamente limites transferncia de categorias especficas de dados para pases terceiros
ou organizaes internacionais. Os Estados-Membros devero notificar essas decises nacionais Comisso. As
transferncias, para uma organizao humanitria internacional, de dados pessoais de um titular que seja fsica ou
legalmente incapaz de dar o seu consentimento, com vista ao desempenho de misses, ao abrigo das Convenes
de Genebra ou para cumprir o direito internacional humanitrio aplicvel aos conflitos armados, podero ser
consideradas necessrias por uma razo importante de interesse pblico ou por ser do interesse vital do titular
dos dados.
(113) As transferncias que possam ser classificadas como no repetitivas e que apenas digam respeito a um nmero
limitado de titulares de dados podem igualmente ser admitidas para efeitos dos interesses legtimos imperiosos
visados pelo responsvel pelo tratamento, desde que a tais interesses no se sobreponham os interesses ou os
direitos e liberdades do titular dos dados e desde que o responsvel pelo tratamento destes tenha avaliado todas
as circunstncias associadas operao de transferncia. O responsvel pelo tratamento dever atender
especialmente natureza dos dados pessoais, finalidade e durao da operao ou operaes de tratamento
previstas, bem como situao vigente no pas de origem, no pas terceiro e no pas de destino final, e dever
apresentar as garantias adequadas para defender os direitos e liberdades fundamentais das pessoas singulares
relativamente ao tratamento dos seus dados pessoais. Tais transferncias s devero ser possveis em raros casos
em que no se aplique nenhum dos outros motivos de transferncia. Para fins de investigao cientfica ou
histrica ou fins estatsticos, devero ser tidas em considerao as expectativas legtimas da sociedade em matria
de avano do conhecimento. O responsvel pelo tratamento dever informar da transferncia a autoridade de
controlo e o titular dos dados.
(114) Em qualquer caso, se a Comisso no tiver tomado nenhuma deciso relativamente ao nvel de proteo
adequado de dados num determinado pas terceiro, o responsvel pelo tratamento ou o subcontratante dever
adotar solues que confiram aos titulares dos dados direitos efetivos e oponveis quanto ao tratamento dos seus
dados na Unio, aps a transferncia dos mesmos, e lhes garantam que continuaro a beneficiar dos direitos e
garantias fundamentais.
(115) Alguns pases terceiros aprovam leis, regulamentos e outros atos normativos destinados a regular diretamente as
atividades de tratamento pelas pessoas singulares e coletivas sob a jurisdio dos Estados-Membros. Pode ser o
caso de sentenas de rgos jurisdicionais ou de decises de autoridades administrativas de pases terceiros que
exijam que o responsvel pelo tratamento ou subcontratante transfira ou divulgue dados pessoais sem
fundamento em nenhum acordo internacional, como seja um acordo de assistncia judiciria mtua, em vigor
entre o pas terceiro em causa e a Unio ou um dos Estados-Membros. Em virtude da sua aplicabilidade extraterri
torial, essas leis, regulamentos e outros atos normativos podem violar o direito internacional e obstar realizao
do objetivo de proteo das pessoas singulares, assegurado na Unio Europeia pelo presente regulamento. As
transferncias s devero ser autorizadas quando estejam preenchidas as condies estabelecidas pelo presente
regulamento para as transferncias para os pases terceiros. Pode ser esse o caso, nomeadamente, sempre que a
divulgao for necessria por um motivo importante de interesse pblico, reconhecido pelo direito da Unio ou
dos Estados-Membros ao qual o responsvel pelo tratamento est sujeito.
(116) Sempre que dados pessoais atravessarem fronteiras fora do territrio da Unio, aumenta o risco de que as pessoas
singulares no possam exercer os seus direitos proteo de dados, nomeadamente para se protegerem da
utilizao ilegal ou da divulgao dessas informaes. Paralelamente, as autoridades de controlo podem ser
incapazes de dar seguimento a reclamaes ou conduzir investigaes relacionadas com atividades exercidas fora
das suas fronteiras. Os seus esforos para colaborar no contexto transfronteiras podem ser tambm restringidos
por poderes preventivos ou medidas de reparao insuficientes, regimes jurdicos incoerentes e obstculos
prticos, tais como a limitao de recursos. Por conseguinte, revela-se necessrio promover uma cooperao mais
estreita entre as autoridades de controlo da proteo de dados, a fim de que possam efetuar o intercmbio de
informaes e realizar investigaes com as suas homlogas internacionais. Para efeitos de criao de regras de
cooperao internacional que facilitem e proporcionem assistncia mtua internacional para a aplicao da
legislao de proteo de dados pessoais, a Comisso e as autoridades de controlo devero trocar informaes e
colaborar com as autoridades competentes de pases terceiros em atividades relacionadas com o exerccio dos
seus poderes, com base na reciprocidade e em conformidade com o presente regulamento.
(117) A criao de autoridades de controlo nos Estados-Membros, habilitadas a desempenhar as suas funes e a
exercer os seus poderes com total independncia, constitui um elemento essencial da proteo das pessoas
singulares no que respeita ao tratamento dos seus dados pessoais. Os Estados-Membros devero poder criar mais
do que uma autoridade de controlo, de modo a refletir a sua estrutura constitucional, organizacional e adminis
trativa.
(118) A independncia das autoridades de controlo no dever implicar que estas autoridades no possam ser sujeitas a
procedimentos de controlo ou monitorizao no que diz respeito s suas despesas nem a fiscalizao judicial.
(119) Os Estados-Membros que criem vrias autoridades de controlo devero prever na sua legislao procedimentos
que garantam a participao efetiva dessas mesmas autoridades no procedimento de controlo da coerncia. Esses
Estados-Membros devero, em particular, designar a autoridade de controlo que servir de ponto de contacto
nico, para permitir a participao efetiva dessas autoridades no referido procedimentoo, a fim de assegurar uma
cooperao rpida e fcil com outras autoridades de controlo, com o Comit e com a Comisso.
(120) Devero ser dados s autoridades de controlo os recursos financeiros e humanos, as instalaes e as infraes
truturas necessrias ao desempenho eficaz das suas atribuies, incluindo as relacionadas com a assistncia e a
cooperao mtuas com outras autoridades de controlo da Unio. As autoridades de controlo devero ter
oramentos anuais pblicos separados, que podero estar integrados no oramento geral do Estado ou nacional.
(121) As condies gerais aplicveis aos membros da autoridade de controlo devero ser definidas por lei em cada
Estado-Membro e devero prever, em especial, que os referidos membros sejam nomeados, com recurso a um
processo transparente, pelo Parlamento, pelo Governo ou pelo Chefe de Estado do Estado-Membro com base
numa proposta do Governo, de um dos seus membros, do Parlamento ou de uma sua cmara, ou por um
organismo independente incumbido da nomeao nos termos do direito do Estado-Membro. A fim de assegurar a
independncia da autoridade de controlo, os membros que a integram devero exercer as suas funes com
integridade, abster-se de qualquer ato incompatvel com as mesmas e, durante o seu mandato, no devero
exercer nenhuma atividade, seja ou no remunerada, que com elas seja incompatvel. A autoridade de controlo
dever dispor do seu prprio pessoal, selecionado por si mesma ou por um organismo independente criado nos
termos do direito do Estado-Membro, que dever estar exclusivamente sujeito orientao do membro ou
membros da autoridade de controlo.
(122) As autoridades de controlo devero ser competentes no territrio do respetivo Estado-Membro para exercer os
poderes e desempenhar as funes que lhes so conferidas nos termos do presente regulamento. Dever ser
abrangido, em especial, o tratamento de dados efetuado no contexto das atividades de um estabelecimento do

responsvel pelo tratamento ou do subcontratante no territrio do seu prprio Estado-Membro, o tratamento de
dados pessoais efetuado por autoridades pblicas ou por organismos privados que atuem no interesse pblico, o
tratamento que afete os titulares de dados no seu territrio, ou o tratamento de dados efetuado por um
responsvel ou subcontratante no estabelecido na Unio quando diga respeito a titulares de dados residentes no
seu territrio. Dever ficar abrangido o tratamento de reclamaes apresentadas por um titular de dados, a
realizao de investigaes sobre a aplicao do presente regulamento e a promoo da sensibilizao do pblico
para os riscos, regras, garantias e direitos associados ao tratamento de dados pessoais.
(123) As autoridades de controlo devero controlar a aplicao das disposies do presente regulamento e contribuir
para a sua aplicao coerente em toda a Unio, a fim de proteger as pessoas singulares relativamente ao
tratamento dos seus dados pessoais e facilitar a livre circulao desses dados a nvel do mercado interno. Para
esse efeito, as autoridades de controlo devero cooperar entre si e com a Comisso, sem necessidade de qualquer
acordo entre os Estados-Membros quer sobre a prestao de assistncia mtua quer sobre tal cooperao.
(124) Quando o tratamento de dados pessoais ocorra no contexto das atividades de um estabelecimento de um
responsvel pelo tratamento ou de um subcontratante na Unio e o responsvel pelo tratamento ou o subcon
tratante esteja estabelecido em vrios Estados-Membros, ou quando o tratamento no contexto das atividades de
um nico estabelecimento de um responsvel pelo tratamento ou de um subcontratante, na Unio, afete ou seja
suscetvel de afetar substancialmente titulares de dados em diversos Estados-Membros, a autoridade de controlo
do estabelecimento principal ou do estabelecimento nico do responsvel pelo tratamento ou do subcontratante
dever agir na qualidade de autoridade de controlo principal. Esta autoridade dever cooperar com as outras
autoridades interessadas, porque o responsvel pelo tratamento ou o subcontratante tem um estabelecimento no
territrio do seu Estado-Membro, porque h titulares de dados residentes no seu territrio que so substan
cialmente afetados, ou porque lhe foi apresentada uma reclamao. Alm do mais, quando tenha sido apresentada
uma reclamao por um titular de dados que no resida nesse Estado-Membro, a autoridade de controlo qual a
reclamao tiver sido apresentada dever ser tambm autoridade de controlo interessada. No mbito das suas
funes de emisso de orientaes sobre qualquer assunto relativo aplicao do presente regulamento, o Comit
dever poder emitir orientaes nomeadamente sobre os critrios a ter em conta para apurar se o tratamento em
causa afeta substancialmente titulares de dados em mais do que um Estado-Membro e sobre aquilo que constitui
uma objeo pertinente e fundamentada.
(125) A autoridade principal dever ser competente para adotar decises vinculativas relativamente a medidas que deem
execuo s competncias que lhe tenham sido atribudas nos termos do presente regulamento. Na sua qualidade
de autoridade principal, a autoridade de controlo dever implicar no processo decisrio e coordenar as
autoridades de controlo interessadas. Nos casos em que a deciso consista em rejeitar no todo ou em parte a
reclamao apresentada pelo titular dos dados, esta dever ser adotada pela autoridade de controlo qual a
reclamao tenha sido apresentada.
(126) As decises devero ser acordadas conjuntamente pela autoridade de controlo principal e as autoridades de
controlo interessadas e devero visar o estabelecimento principal ou nico do responsvel pelo tratamento ou do
subcontratante e ser vinculativas para ambos. O responsvel pelo tratamento ou o subcontratante dever tomar
as medidas necessrias para assegurar o cumprimento do disposto no presente regulamento e a execuo da
deciso notificada pela autoridade de controlo principal ao estabelecimento principal do responsvel pelo
tratamento ou do subcontratante no que diz respeito s atividades de tratamento de dados na Unio.
(127) As autoridades de controlo que no atuem como autoridade de controlo principal devero ter competncia para
tratar casos a nvel local quando o responsvel pelo tratamento ou subcontratante estiver estabelecido em vrios
Estados-Membros, mas o assunto do tratamento especfico disser respeito unicamente ao tratamento efetuado
num s Estado-Membro, e envolver somente titulares de dados nesse Estado-Membro, por exemplo, no caso de o
assunto dizer respeito ao tratamento de dados pessoais de trabalhadores num contexto especfico de emprego
num Estado-Membro. Nesses casos, a autoridade de controlo dever informar imediatamente do assunto a
autoridade de controlo principal. Aps ter sido informada, a autoridade de controlo principal decidir se trata o
caso de acordo com o disposto em matria de cooperao entre a autoridade de controlo principal e a outra
autoridade de controlointeressada (mecanismo de balco nico), ou se dever ser a autoridade de controlo que a
informou a tratar o caso a nvel local. Ao decidir se trata o caso, a autoridade de controlo principal dever ter em
conta se h algum estabelecimento do responsvel pelo tratamento ou subcontratante no Estado-Membro da
autoridade de controlo que a informou, a fim de garantir a eficaz execuo da deciso relativamente ao
responsvel pelo tratamento ou subcontratante. Quando a autoridade de controlo principal decide tratar o caso, a
autoridade de controlo que a informou dever ter a possibilidade de apresentar um projeto de deciso, que a
autoridade de controlo principal dever ter na melhor conta quando prepara o seu projeto de deciso no mbito
desse mecanismo de balco nico.
(128) As regras relativas autoridade de controlo principal e ao mecanismo de balco nico no se devero aplicar
quando o tratamento dos dados for efetuado por autoridades pblicas ou organismos privados que atuem no
interesse pblico. Em tais casos, a nica autoridade de controlo competente para exercer as competncias que lhe
so conferidas nos termos do presente regulamento dever ser a autoridade de controlo do Estado-Membro em
que estiver estabelecida tal autoridade pblica ou organismo privado.
(129) A fim de assegurar o controlo e a aplicao coerentes do presente regulamento em toda a Unio, as autoridades
de controlo devero ter, em cada Estado-Membro, as mesmas funes e poderes efetivos, incluindo poderes de
investigao, poderes de correo e de sano, e poderes consultivos e de autorizao, nomeadamente em caso de
reclamao apresentada por pessoas singulares, sem prejuzo dos poderes das autoridades competentes para o
exerccio da ao penal ao abrigo do direito do Estado-Membro, tendo em vista levar as violaes ao presente
regulamento ao conhecimento das autoridades judiciais e intervir em processos judiciais. Essas competncias
devero incluir o poder de impor uma limitao temporrio ou definitiva ao tratamento, ou mesmo a sua
proibio. Os Estados-Membros podem estabelecer outras funes relacionadas com a proteo de dados pessoais
ao abrigo do presente regulamento. Os poderes das autoridades de controlo devero ser exercidos em
conformidade com as garantias processuais adequadas previstas no direito da Unio e do Estado-Membro, com
imparcialidade, com equidade e num prazo razovel. Em particular, cada medida dever ser adequada, necessria
e proporcionada a fim de garantir a conformidade com o presente regulamento, tendo em conta as circunstncias
de cada caso concreto, respeitar o direito de todas as pessoas a serem ouvidas antes de ser tomada qualquer
medida individual que as prejudique, e evitar custos suprfluos e inconvenientes excessivos para as pessoas em
causa. Os poderes de investigao em matria de acesso s instalaes devero ser exercidos em conformidade
com os requisitos especficos do direito processual do Estado-Membro, como, por exemplo, a obrigao de obter
autorizao judicial prvia. As medidas juridicamente vinculativas da autoridade de controlo devero ser emitidas
por escrito, claras e inequvocas, indicar a autoridade de controlo que as emitiu e a data de emisso, ostentar a
assinatura do diretor ou do membro da autoridade de controlo por eles autorizada, indicar os motivos que as
justifica e mencionar o direito de recurso efetivo. Tal no dever impedir que sejam estabelecidos requisitos
suplementares nos termos do direito processual do Estado-Membro. A adoo de uma deciso juridicamente
vinculativa pode dar origem a controlo jurisdicional nos Estados-Membros da autoridade de controlo que tenha
adotado a deciso.
(130) Nos casos em que a autoridade de controlo a que a reclamao apresentada no seja a principal, a autoridade
de controlo principal dever cooperar estreitamente com a autoridade de controlo qual tiver sido apresentada a
reclamao, de acordo com as disposies em matria de cooperao e coerncia do presente regulamento.
Nestes casos, a autoridade de controlo principal, ao tomar medidas destinadas a produzir efeitos jurdicos,
incluindo a imposio de coimas, dever ter na melhor conta o parecer da autoridade de controlo qual tiver
sido apresentada a reclamao, que dever continuar a ser competente para levar a cabo qualquer investigao no
territrio do respetivo Estado-Membro, em ligao com a autoridade de controlo principal.
(131) Nos casos em que as funes de autoridade principal de controlo devessem ser exercidas por outra autoridade de
controlo relativamente s atividades de tratamento do responsvel pelo tratamento ou do subcontratante, mas em
que o contedo concreto da reclamao ou a eventual violao diga respeito apenas s atividades de tratamento
do responsvel ou do subcontratante realizadas no Estado-Membro onde tenha sido apresentada a reclamao ou
detetada a eventual infrao, e o assunto no afete nem seja suscetvel de afetar substancialmente titulares de
dados noutros Estados-Membros, a autoridade de controlo que recebe uma reclamao, deteta ou de outro
modo informada de situaes que impliquem eventuais violaes do presente regulamento dever procurar obter
um acordo amigvel. Se tal no lhe for possvel, dever exercer todos os poderes de que dispe. Devero ficar
abrangidas: as atividades de tratamento especficas realizadas no territrio do Estado-Membro da autoridade de
controlo ou que digam respeito a titulares de dados em territrio desse Estado-Membro; as atividades de
tratamento realizadas no contexto de uma oferta de bens ou servios destinados especificamente a titulares de
dados no territrio do Estado-Membro da autoridade de controlo; ou as atividades de tratamento que tenham de
ser analisadas tomando em considerao as obrigaes legais aplicveis ao abrigo do direito do Estado-Membro.
(132) As atividades de sensibilizao das autoridades de controlo dirigidas ao pblico devero incluir medidas
especficas a favor dos responsveis pelo tratamento e subcontratantes, incluindo as micro, pequenas e mdias
empresas, bem como as pessoas singulares, em particular num contexto educacional.
(133) As autoridades de controlo devero prestar-se mutuamente assistncia no desempenho das suas funes, por
forma a assegurar a execuo e aplicao coerentes do presente regulamento no mercado interno. A autoridade
de controlo que solicite assistncia mtua pode adotar uma medida provisria se no obtiver resposta relati
vamente a um pedido de assistncia mtua no prazo de um ms a contar da receo desse pedido da outra
autoridade de controlo.
(134) As autoridades de controlo devero participar, sempre que for adequado, em operaes conjuntas com outras
autoridades de controlo. A autoridade de controlo requerida dever ser obrigada a responder ao pedido num
prazo determinado.
(135) A fim de assegurar a aplicao coerente do presente regulamento em toda a Unio, dever ser criado um
procedimento de controlo da coerncia e para a cooperao entre as autoridades de controlo. Esse procedimento
dever ser aplicvel, nomeadamente, quando uma autoridade de controlo tenciona adotar uma medida que vise
produzir efeitos legais em relao a operaes de tratamento que afetem substancialmente um nmero signifi
cativo de titulares de dados em vrios Estados-Membros. Dever aplicar-se igualmente sempre que uma
autoridade de controlo interessada, ou a Comisso, solicitar que essa matria seja tratada no mbito do
procedimento de controlo da coerncia. Esse procedimento no dever prejudicar medidas que a Comisso possa
tomar no exerccio das suas competncias nos termos dos Tratados.
(136) Quando aplicar o procedimento de controlo da coerncia, o Comit dever emitir um parecer, num prazo
determinado, se a maioria dos seus membros assim o decidir ou se tal lhe solicitado por qualquer autoridade de
controlo interessada ou pela Comisso. O Comit dever tambm ser habilitado a adotar decises juridicamente
vinculativas em caso de litgio entre as autoridades de controlo. Para esse efeito, dever emitir, em princpio por
maioria de dois teros dos seus membros, decises vinculativas em casos claramente definidos em que as
autoridades de controlo tenham posies contraditrias, em especial no mbito da cooperao entre a autoridade
de controlo principal e as autoridades de controlo interessadas, a respeito da questo de fundo, designadamente
se h violao do presente regulamento.
(137) Pode ser urgente agir, a fim de defender os direitos e liberdades dos titulares de dados, em especial quando haja
perigo de impedimento considervel do exerccio de um direito do titular dos dados. Por essa razo, a autoridade
de controlo dever poder adotar no seu territrio medidas provisrias devidamente justificadas, vlidas por um
perodo determinado que no dever exceder os trs meses.
(138) A aplicao desse procedimento dever ser condio de legalidade das medidas tomadas pelas autoridades de
controlo que visem produzir efeitos legais nos casos em que a sua aplicao seja obrigatria. Noutros casos com
dimenso transfronteiras, dever ser aplicado o procedimento de cooperao entre a autoridade de controlo
principal e as autoridades de controlo interessadas e a assistncia mtua e as operaes conjuntas podero ser
realizadas entre as autoridades de controlo interessadas, bilateral ou multilateralmente, sem desencadear o
procedimento de controlo da coerncia.
(139) A fim de promover a aplicao coerente do presente regulamento, o Comit dever ser um rgo independente
da Unio. Para atingir os seus objetivos, o Comit dever ser dotado de personalidade jurdica. O Comit
representado pelo seu presidente. Este Comit dever substituir o Grupo de Trabalho sobre a proteo das
pessoas no que diz respeito ao tratamento de dados pessoais institudo pelo artigo 29.o da Diretiva 95/46/CE.
Dever ser composto pelo diretor de uma autoridade de controlo de cada Estado-Membro e da Autoridade
Europeia para a Proteo de Dados ou pelos seus representantes. A Comisso dever participar nas atividades do
Comit, mas sem direito de voto, e a Autoridade Europeia para a Proteo de Dados dever tambm participar
nas suas atividades com direito de voto em casos particulares. O Comit dever contribuir para a aplicao
coerente do presente regulamento em toda a Unio, incluindo mediante o aconselhamento da Comisso,
nomeadamente no que respeita ao nvel de proteo em pases terceiros ou em organizaes internacionais, e
mediante a promoo da cooperao das autoridades de controlo em toda a Unio. O Comit dever ser
independente no prossecuo das suas atribuies.
(140) O Comit dever ser assistido por um secretariado disponibilizado pela Autoridade Europeia para a Proteo de
Dados. O pessoal da Autoridade Europeia para a Proteo de Dados encarregado de exercer as funes conferidas
ao Comit pelo presente regulamento dever agir sob a direo exclusiva do presidente deste Comit, sendo
responsvel perante o mesmo.
(141) Os titulares dos dados devero ter direito a apresentar reclamao a uma nica autoridade de controlo nica,
particularmente no Estado-Membro da sua residncia habitual, e direito a uma ao judicial efetiva, nos termos
do artigo 47.o da Carta, se considerarem que os direitos que lhes so conferidos pelo presente regulamento foram
violados ou se a autoridade de controlo no responder a uma reclamao, a recusar ou rejeitar, total ou
parcialmente, ou no tomar as iniciativas necessrias para proteger os seus direitos. A investigao decorrente de
uma reclamao dever ser realizada, sob reserva de controlo jursidicional, na medida adequada ao caso
especfico. A autoridade de controlo dever informar o titular dos dados do andamento e do resultado da
reclamao num prazo razovel. Se o caso exigir maior investigao ou a coordenao com outra autoridade de
controlo, devero ser comunicadas informaes intermdias ao titular dos dados. As autoridades de controlo
devero tomar medidas para facilitar a apresentao de reclamaes, nomeadamente fornecendo formulrios de
reclamao que possam tambm ser preenchidos eletronicamente, sem excluir outros meios de comunicao.
(142) Se o titular dos dados considerar que os direitos que lhe so conferidos pelo presente regulamento foram
violados, dever ter o direito de mandatar um organismo, organizao ou associao sem fins lucrativos que seja
constitudo ao abrigo do direito de um Estado-Membro, cujos objetivos estatutrios sejam de interesse pblico e
que exera a sua atividade no domnio da proteo dos dados pessoais, para apresentar uma reclamao em seu
nome junto de uma autoridade de controlo, ou exercer o direito de recurso judicial em nome dos titulares dos
dados ou, se tal estiver previsto no direito de um Estado-Membro, exercer o direito indemnizao em nome dos
titulares do dados. Os Estados-Membros podem prever que esse organismo, organizao ou associao tenha o
direito de apresentar no Estado-Membro em causa uma reclamao, independentemente do mandato do titular
dos dados, e o direito a um recurso judicial efetivo, se tiver razes para considerar que ocorreu uma violao dos
direitos do titular dos dados por o tratamento dos dados pessoais violar o presente regulamento. Esse organismo,
organizao ou associao pode no ser autorizado a pedir uma indemnizao em nome do titular dos dados
independentemente do mandato que lhe conferido por este.
(143) Todas as pessoas singulares ou coletivas tm o direito de interpor recurso de anulao das decises do Comit
para o Tribunal de Justia nas condies previstas no artigo 263.o do TFUE. Enquanto destinatrias dessas
decises, as autoridades de controlo interessadas que as pretendam contestar tm de interpor recurso no prazo de
dois meses a contar da sua notificao, em conformidade com o artigo 263.o do TFUE. Se as decises do Comit
disserem direta e individualmente respeito a um responsvel pelo tratamento, um subcontratante ou ao autor da
reclamao, este pode interpor recurso de anulao dessas decises no prazo de dois meses a contar da sua
publicao no stio web do Comit, em conformidade com o artigo 263.o do TFUE. Sem prejuzo do direito que
lhes assiste ao abrigo do artigo 263.o do TFUE, todas as pessoas, singulares ou coletivas, devero ter direito a
interpor junto dos tribunais nacionais competentes recurso efetivo das decises das autoridades de controlo que
produzam efeitos jurdicos em relao a essas pessoas. Tais decises dizem respeito, em especial, ao exerccio de
poderes de investigao, correo e autorizao pelas autoridades de controlo ou recusa ou rejeio de
reclamaes. Porm, o direito a um recurso judicial efetivo no abrange medidas tomadas pelas autoridades de
controlo que no sejam juridicamente vinculativas, como os pareceres emitidos ou o aconselhamento prestado
pela autoridade de controlo. Os recursos intepostos contra as autoridades de controlo devero ser intepostos nos
tribunais do Estado-Membro em cujo territrio se encontrem estabelecidas e obedecer s disposies processuais
desse Estado-Membro. Estes tribunais devero ter jurisdio plena, incluindo o poder de analisar todas as
questes de facto e de direito relevantes para o litgio.
Se a autoridade de controlo recusar ou rejeitar uma reclamao, o seu autor pode intentar uma ao perante os
tribunais do mesmo Estado-Membro. No contexto de recursos judiciais relacionados com a aplicao do presente
regulamento, os tribunais nacionais que considerem que uma deciso sobre a matria necessria ao julgamento,
podero, ou, no caso previsto no artigo 267.o do TFUE, so mesmo obrigados a solicitar ao Tribunal de Justia
uma deciso prejudicial sobre a interpretao do direito da Unio, concretamente do presente regulamento. Alm
disso, se a deciso de uma autoridade de controlo que d execuo a uma deciso do Comit for contestada junto
de um tribunal nacional e estiver em causa a validade desta ltima deciso, o tribunal nacional em questo no
tem competncia para a declarar invlida, devendo reenviar a questo da validade para o Tribunal de Justia nos
termos do artigo 267.o do TFUE, na interpretao que lhe d este tribunal, quando considera a deciso invlida.
No entanto, o tribunal nacional no pode reenviar a questo da validade da deciso do Comit a pedido de uma
pessoa singular ou coletiva que, tendo a possibilidade de interpor recurso de anulao da mesma, sobretudo se
for a destinatria direta e individual da deciso, no o tenha feito dentro do prazo fixado no artigo 263.o do
TFUE.
(144) Sempre que um tribunal chamado a pronunciar-se num recurso da deciso de uma autoridade de superviso tiver
motivos para crer que foi interposto perante um tribunal competente noutro Estado-Membro um processo
relativo ao mesmo tratamento, designadamente o mesmo assunto no que se refere s atividades de tratamento do
mesmo responsvel ou subcontratante, ou aes com o mesmo pedido e a mesma causa de pedir, dever
contactar esse outro tribunal a fim de confirmar a existncia de tal processo relacionado. Se estiverem pendentes
processos relacionados perante um tribunal de outro Estado-Membro, o tribunal em que a ao tiver sido
intentada em segundo lugar poder suspender o processo ou pode, a pedido de uma das partes, declarar-se
incompetente a favor do tribunal em que a ao tiver sido intentada em primeiro lugar se este for competente
para o processo em questo e a sua legislao permitir a apensao deste tipo de processos conexos. Consideram-
-se relacionados os processos ligados entre si por um nexo to estreito que haja interesse em que sejam instrudos
e julgados simultaneamente a fim de evitar solues que poderiam ser inconciliveis se as causas fossem julgadas
separadamente.
(145) No que diz respeito a aes intentadas contra o responsvel pelo tratamento ou o subcontratante, o requerente
pode optar entre intentar a ao nos tribunais do Estado-Membro em que est estabelecido o responsvel ou o
subcontratante, ou nos tribunais do Estado-Membro de residncia do titular dos dados, salvo se o responsvel
pelo tratamento for uma autoridade de um Estado-Membro no exerccio dos seus poderes pblicos.
(146) O responsvel pelo tratamento ou o subcontratante devero reparar quaisquer danos de que algum possa ser
vtima em virtude de um tratamento que viole o presente regulamentoresponsvel pelo tratamento. O responsvel
pelo tratamento ou o subcontratante pode ser exonerado da responsabilidade se provar que o facto que causou o
dano no lhe de modo algum imputvel. O conceito de dano dever ser interpretado em sentido lato luz da
jurisprudncia do Tribunal de Justia, de uma forma que reflita plenamente os objetivos do presente regulamento.
Tal no prejudica os pedidos de indemnizao por danos provocados pela violao de outras regras do direito da
Unio ou dos Estados-Membros. Os tratamentos que violem o presente regulamentoabrangem igualmente os que
violem os atos delegados e de execuo adotados nos termos do presente regulamento e o direito dos Estados-
-Membros que d execuo a regras do presente regulamento. Os titulares dos dados devero ser integral e
efetivamente indemnizados pelos danos que tenham sofrido. Sempre que os responsveis pelo tratamento ou os
subcontratantes estiverem envolvidos no mesmo tratamento, cada um deles dever ser responsabilizado pela
totalidade dos danos causados. Porm, se os processos forem associados a um mesmo processo judicial, em
conformidade com o direito dos Estados-Membros, a indemnizao poder ser repartida em funo da responsa
bilidade que caiba a cada responsvel pelo tratamento ou subcontratante pelos danos causados em virtude do
tratamento efetuado, na condio de ficar assegurada a indemnizao integral e efetiva do titular dos dados pelos
danos que tenha sofrido. Qualquer responsvel pelo tratamento ou subcontratante que tenha pago uma
indemnizao integral, pode posteriormente intentar uma ao de regresso contra outros responsveis pelo
tratamento ou subcontratantes envolvidos no mesmo tratamento.
(147) Quando o presente regulamento previr regras especficas relativas competncia, nomeadamente no que respeita
interposio de recurso judicial, incluindo os pedidos de indemnizao, contra um responsvel pelo tratamento
ou um subcontratante, a aplicao das regras especficas no dever ser prejudicada por regras de competncia
gerais como as previstas no Regulamento (UE) n.o 1215/2012 do Parlamento Europeu e do Conselho (1).
(148) A fim de reforar a execuo das regras do presente regulamento, devero ser impostas sanes, incluindo
coimas, por violao do presente regulamento, para alm, ou em substituio, das medidas adequadas que
venham a ser impostas pela autoridade de controlo nos termos do presente regulamento. Em caso de infrao
menor, ou se o montante da coima suscetvel de ser imposta constituir um encargo desproporcionado para uma
pessoa singular, pode ser feita uma repreenso em vez de ser aplicada uma coima. Importa, porm, ter em devida
conta a natureza, gravidade e durao da infrao, o seu carter doloso, as medidas tomadas para atenuar os
danos sofridos, o grau de responsabilidade ou eventuais infraes anteriores, a via pela qual a infrao chegou ao
conhecimento da autoridade de controlo, o cumprimento das medidas ordenadas contra o responsvel pelo
tratamento ou subcontratante,o cumprimento de um cdigo de conduta ou quaisquer outros fatores agravantes
ou atenuantes. A imposio de sanes, incluindo coimas, dever estar sujeita s garantias processuais adequadas
em conformidade com os princpios gerais do direito da Unio e a Carta, incluindo a proteo jurdica eficaz e
um processo equitativo.
(149) Os Estados-Membros devero poder definir as normas relativas s sanes penais aplicveis por violao do
presente regulamento, inclusive por violao das normas nacionais adotadas em conformidade com o presente
regulamento, e dentro dos seus limites. Essas sanes penais podem igualmente prever a privao dos lucros
auferidos em virtude da violao do presente regulamento. Contudo, a imposio de sanes penais por infrao
s referidas normas nacionais, bem como de sanes administrativas, no dever implicar a violao do princpio
ne bis in idem, conforme interpretado pelo Tribunal de Justia.
(150) A fim de reforar e harmonizar as sanes administrativas para violaes sdo presente regulamento, as
autoridades de controlo devero ter competncia para impor coimas. O presente regulamento dever definir as
(1) Regulamento (UE) n.o 1215/2012 do Parlamento Europeu e do Conselho, de 12 de dezembro de 2012, relativo competncia judiciria,
ao reconhecimento e execuo de decises em matria civil e comercial (JO L 351 de 20.12.2012, p. 1).
violaes e o montante mximo e o critrio de fixao do valor das coimas da decorrentes, que dever ser
determinado pela autoridade de controlo competente, em cada caso individual, tendo em conta todas as circuns
tncias relevantes da situao especfica, ponderando devidamente, em particular, a natureza, a gravidade e a
durao da violao e das suas consequncias e as medidas tomadas para garantir o cumprimento das obrigaes
constantes do presente regulamento e para prevenir ou atenuar as consequncias da infrao. Sempre que forem
impostas coimas a empresas, estas devero ser entendidas como empresas nos termos dos artigos 101.o e 102.o
do TFUE para esse efeito. Sempre que forem impostas coimas a pessoas que no sejam empresas, a autoridade de
superviso dever ter em conta o nvel geral de rendimentos no Estado-Membro, bem como a situao
econmica da pessoa em questo, no momento de estabelecer o montante adequado da coima. O procedimento
de controlo da coerncia pode ser utilizado igualmente para a promoo de uma aplicao coerente das coimas.
Dever caber aos Estados-Membros determinar se as autoridades pblicas devero estar sujeitas a coimas, e em
que medida. A imposio de uma coima ou o envio de um aviso no afetam o exerccio de outros poderes das
autoridades de controlo ou a aplicao de outras sanes previstas no presente regulamento.
(151) Os sistemas jurdicos da Dinamarca e da Estnia no conhecem as coimas tal como so previstas no presente
regulamento. As regras relativas s coimas podem ser aplicadas de modo que a coima seja imposta, na
Dinamarca, pelos tribunais nacionais competentes como sano penal e, na Estnia, pela autoridade de controlo
no mbito de um processo por infrao menor, na condio de tal aplicao das regras nestes Estados-Membros
ter um efeito equivalente s coimas impostas pelas autoridades de controlo. Por esse motivo, os tribunais
nacionais competentes devero ter em conta a recomendao da autoridade de controlo que prope a coima. Em
todo o caso, as coimas impostas devero ser efetivas, proporcionadas e dissuasivas.
(152) Sempre que o presente regulamento no harmonize sanes administrativas, ou se necessrio noutros casos, por
exemplo, em caso de infraes graves s disposies do presente regulamento, os Estados-Membros devero criar
um sistema que preveja sanes efetivas, proporcionadas e dissuasivas. A natureza das sanes, penal ou adminis
trativa, dever ser determinada pelo direito do Estado-Membro.
(153) O direito dos Estados-Membros dever conciliar as normas que regem a liberdade de expresso e de informao,
nomeadamente jornalstica, acadmica, artstica e/ou literria com o direito proteo de dados pessoais nos
termos do presente regulamento. O tratamento de dados pessoais para fins exclusivamente jornalsticos ou para
fins de expresso acadmica, artstica ou literria dever estar sujeito derrogao ou iseno de determinadas
disposies do presente regulamento se tal for necessrio para conciliar o direito proteo dos dados pessoais
com o direito liberdade de expresso e de informao, tal como consagrado no artigo 11.o da Carta. Tal dever
ser aplicvel, em especial, ao tratamento de dados pessoais no domnio do audiovisual e em arquivos de notcias
e hemerotecas. Por conseguinte, os Estados-Membros devero adotar medidas legislativas que prevejam as
isenes e derrogaes necessrias para o equilbrio desses direitos fundamentais. Os Estados-Membros devero
adotar essas isenes e derrogaes aos princpios gerais, aos direitos do titular dos dados, ao responsvel pelo
tratamento destes e ao subcontratante, transferncia de dados pessoais para pases terceiros ou para
organizaes internacionais, s autoridades de controlo independentes e cooperao e coerncia e a situaes
especficas de tratamento de dados. Se estas isenes ou derrogaes divergirem de um Estado-Membro para
outro, dever ser aplicvel o direito do Estado-Membro a que esteja sujeito o responsvel pelo tratamento. A fim
de ter em conta a importncia da liberdade de expresso em qualquer sociedade democrtica, h que interpretar
de forma lata as noes associadas a esta liberdade, como por exemplo o jornalismo.
(154) O presente regulamento permite tomar em considerao o princpio do direito de acesso do pblico aos
documentos oficiais na aplicao do mesmo. O acesso do pblico aos documentos oficiais pode ser considerado
de interesse pblico. Os dados pessoais que constem de documentos na posse dessas autoridades pblicas ou
organismos pblicos devero poder ser divulgados publicamente por tais autoridades ou organismos, se a
divulgao estiver prevista no direito da Unio ou do Estado-Membro que lhes for aplicvel. Essas legislaes
devero conciliar o acesso do pblico aos documentos oficiais e a reutilizao da informao do setor pblico
com o direito proteo dos dados pessoais e podem pois prever a necessria conciliao com esse mesmo
direito nos termos do presente regulamento. A referncia a autoridades e organismos pblicos dever incluir,
nesse contexto, todas as autoridades ou outros organismos abrangidos pelo direito do Estado-Membro relativo ao
acesso do pblico aos documentos. A Diretiva 2033/98/CE do Parlamento Europeu e do Conselho (1) no
(1) Diretiva 2003/98/CE do Parlamento Europeu e do Conselho, de 17 de novembro de 2003, relativa reutilizao de informaes do setor
pblico (JO L 345 de 31.12.2003, p. 90).
modifica nem de modo algum afeta o nvel de proteo das pessoas singulares relativamente ao tratamento de
dados pessoais nos termos das disposies do direito da Unio ou do Estado-Membro, nem altera, em particular,
as obrigaes e direitos estabelecidos no presente regulamento. Em particular, a referida diretiva no dever ser
aplicvel a documentos no acessveis ou de acesso restrito por fora dos regimes de acesso por motivos de
proteo de dados pessoais nem a partes de documentos acessveis por fora desses regimes que contenham
dados pessoais cuja reutilizao tenha sido prevista na lei como incompatvel com o direito relativo proteo
das pessoas singulares no que diz respeito ao tratamento de dados pessoais.
(155) O direito do Estado-Membro ou as convenes coletivas (incluindo acordos setoriais) podem prever regras
especficas para o tratamento de dados pessoais dos trabalhadores no contexto laboral, nomeadamente no que
respeita s condies em que os dados pessoais podem ser tratados no contexto laboral, com base no consen
timento do assalariado, para efeitos de recrutamento, execuo do contrato de trabalho, incluindo o
cumprimento das obrigaes previstas por lei ou por convenes coletivas, de gesto, planeamento e organizao
do trabalho, de igualdade e diversidade no trabalho, de sade e segurana no trabalho, e para efeitos de exerccio
e gozo, individual ou coletivo, dos direitos e benefcios relacionados com o emprego, bem como para efeitos de
cessao da relao de trabalho.
(156) O tratamento de dados pessoais para fins de arquivo de interesse pblico, ou para fins de investigao cientfica
ou histrica ou para fins estatsticos, dever ficar sujeito garantia adequada dos direitos e liberdades do titular
dos dados nos termos do presente regulamento. Essas garantias devero assegurar a existncia de medidas
tcnicas e organizativas que assegurem, nomeadamente, o princpio da minimizao dos dados. O tratamento
posterior de dados pessoais para fins de arquivo de interesse pblico, ou para fins de investigao cientfica ou
histrica ou para fins estatsticos, dever ser efetuado quando o responsvel pelo tratamento tiver avaliado a
possibilidade de tais fins serem alcanados por um tipo de tratamento de dados pessoais que no permita ou
tenha deixado de permitir a identificao dos titulares dos dados, na condio de existirem as garantias adequadas
(como a pseudonimizao dos dados pessoais). Os Estados-Membros devero prever garantias adequadas para o
tratamento dos dados pessoais para fins de arquivo de interesse pblico, ou fins de investigao cientfica ou
histrica ou para fins estatsticos. Os Estados-Membros devero ser autorizados a estabelecer, sob condies
especficas e mediante garantias adequadas para o titular dos dados, especificaes e derrogaes dos requisitos de
informao e direitos retificao, ao apagamento dos dados pessoais, a ser esquecido, limitao do tratamento
e portabilidade dos dados e de oposio aquando do tratamento de dados pessoais para fins de arquivo de
interesse pblico, ou para fins de investigao cientfica ou histrica ou para fins estatsticos. As condies e
garantias em causa podem implicar procedimentos especficos para o exerccio desses direitos por parte do titular
de dados, se tal for adequado luz dos fins visados pelo tratamento especfico a par de medidas tcnicas e organi
zativas destinadas a reduzir o tratamento de dados pessoais de acordo com os princpios da proporcionalidade e
da necessidade. O tratamento de dados para fins cientficos dever igualmente respeitar outra legislao aplicvel,
tal como a relativa aos ensaios clnicos.
(157) Combinando informaes provenientes dos registos, os investigadores podem obter novos conhecimentos de
grande valor relativamente a problemas mdicos generalizados, como as doenas cardiovasculares, o cancro e a
depresso. Com base nos registos, os resultados da investigao podem ser melhorados, j que assentam numa
populao mais ampla. No mbito das cincias sociais, a investigao com base em registos permite que os
investigadores adquiram conhecimentos essenciais sobre a correlao a longo prazo entre uma srie de condies
sociais, como o desemprego e o ensino, e outras condies de vida. Os resultados da investigao obtidos atravs
de registos fornecem conhecimentos slidos e de elevada qualidade, que podem servir de base para a elaborao e
a execuo de polticas assentes no conhecimento, para melhorar a qualidade de vida de uma quantidade de
pessoas e a eficcia dos servios sociais. A fim de facilitar a investigao cientfica, os dados pessoais podem ser
tratados para fins de investigao cientfica, sob reserva do estabelecimento de condies e garantias adequadas
no direito da Unio ou dos Estados-Membros.
(158) Quando os dados pessoais sejam tratados para fins de arquivo, o presente regulamento dever ser tambm
aplicvel, tendo em mente que no dever ser aplicvel a pessoas falecidas. As autoridades pblicas ou os
organismos pblicos ou privados que detenham registos de interesse pblico devero ser servios que, nos
termos do direito da Unio ou dos Estados-Membros, tenham a obrigao legal de adquirir, conservar, avaliar,
organizar, descrever, comunicar, promover, divulgar e facultar o acesso a registos de valor duradouro no interesse
pblico geral. Os Estados-Membros devero tambm ser autorizados a determinar o posterior tratamento dos
dados pessoais para efeitos de arquivo, por exemplo tendo em vista a prestao de informaes especficas
relacionadas com o comportamento poltico no mbito de antigos regimes totalitrios, genocdios, crimes contra
a humanidade, em especial o Holocausto, ou crimes de guerra.
(159) Quando os dados pessoais sejam tratados para fins de investigao cientfica, o presente regulamento dever ser
tambm aplicvel. Para efeitos do presente regulamento, o tratamento de dados pessoais para fins de investigao
cientfica dever ser entendido em sentido lato, abrangendo, por exemplo, o desenvolvimento tecnolgico e a
demonstrao, a investigao fundamental, a investigao aplicada e a investigao financiada pelo setor privado.
Dever, alm disso, ter em conta o objetivo da Unio mencionado no artigo 179.o, n.o 1, do TFUE, que consiste
na realizao de um espao europeu de investigao. Os fins de investigao cientfica devero tambm incluir os
estudos de interesse pblico realizados no domnio da sade pblica. A fim de atender s especificidades do
tratamento de dados pessoais para fins de investigao cientfica, devero ser aplicveis condies especficas
designadamente no que se refere publicao ou outra forma de divulgao de dados pessoais no mbito dos
fins de investigao cientfica. Se o resultado da investigao cientfica designadamente no domnio da sade
justificar a tomada de novas medidas no interesse do titular dos dados, as normas gerais do presente regulamento
devero ser aplicveis no que respeita a essas medidas.
(160) Quando os dados pessoais sejam tratados para fins de investigao histrica, o presente regulamento dever ser
tambm aplicvel. Dever tambm incluir-se nesse mbito a investigao histrica e a investigao para fins
genealgicos, tendo em mente que o presente regulamento no dever ser aplicvel a pessoas falecidas.
(161) Para efeitos do consentimento na participao em atividades de investigao cientfica em ensaios clnicos
devero ser aplicveis as disposies relevantes do Regulamento (UE) n.o 536/2014 do Parlamento Europeu e do
Conselho (1).
(162) Quando os dados pessoais sejam tratados para fins estatsticos, o presente regulamento dever ser aplicvel. O
direito da Unio ou dos Estados-Membros dever, dentro dos limites do presente regulamento, determinar o
contedo estatstico, o controlo de acesso, as especificaes para o tratamento de dados pessoais para fins
estatsticos e as medidas adequadas para garantir os direitos e liberdades do titular dos dados e para assegurar o
segredo estatstico. Por fins estatsticos entende-se todas as operaes de recolha e de tratamento de dados
pessoais necessrias realizao de estudos estatsticos ou produo de resultados estatsticos. Esses resultados
estatsticos podem ser utilizados posteriormente para fins diferentes, inclusive fins de investigao cientfica. No
fim estatstico est implcito que os resultados do tratamento para esse fim no sejam j dados pessoais, mas
dados agregados e que esses resultados ou os dados pessoais no sejam utilizados para justificar medidas ou
decises tomadas a respeito de uma pessoa singular.
(163) Devero ser protegidas as informaes confidenciais que a Unio e as autoridades nacionais de estatstica
recolham para a produo de estatsticas oficiais europeias e nacionais. Devero ser desenvolvidas, elaboradas e
divulgadas estatsticas europeias de acordo com os princpios estatsticos enunciados no artigo 338.o, n.o 2, do
TFUE, devendo as estatsticas nacionais cumprir tambm o disposto no direito do Estado-Membro. O
Regulamento (CE) n.o 223/2009 do Parlamento Europeu e do Conselho (2) fornece especificaes suplementares
em matria de segredo estatstico aplicvel s estatsticas europeias.
(164) No que se refere aos poderes das autoridades de controlo para obter, junto do responsvel pelo tratamento ou do
subcontratante, o acesso aos dados pessoais e o acesso s suas instalaes, os Estados-Membros podem adotar no
seu ordenamento jurdico, dentro dos limites do presente regulamento, normas especficas que visem preservar o
sigilo profissional ou outras obrigaes equivalentes, na medida do necessrio para conciliar o direito proteo
dos dados pessoais com a obrigao de sigilo profissional. Tal no prejudica as obrigaes de adotar regras em
matria de sigilo profissional a que os Estados-Membros fiquem sujeitos por fora do direito da Unio.
(165) O presente regulamento respeita e no afeta o estatuto de que beneficiam, nos termos do direito constitucional
vigente, as igrejas e associaes ou comunidades religiosas nos Estados-Membros, reconhecido pelo artigo 17.o do
TFUE.
(166) A fim de cumprir os objetivos do presente regulamento, a saber, defender os direitos e liberdades fundamentais
das pessoas singulares, nomeadamente o seu direito proteo dos dados pessoais, e assegurar a livre circulao
(1) Regulamento (UE) n.o 536/2014 do Parlamento Europeu e do Conselho, de 16 de abril de 2014, relativo aos ensaios clnicos de
medicamentos para uso humano e que revoga a Diretiva 2001/20/CE (JO L 158 de 27.5.2014, p. 1).
(2) Regulamento (CE) n.o 223/2009 do Parlamento Europeu e do Conselho, de 11 de maro de 2009, relativo s Estatsticas Europeias e que
revoga o Regulamento (CE, Euratom) n.o 1101/2008 relativo transmisso de informaes abrangidas pelo segredo estatstico ao
Servio de Estatstica das Comunidades Europeias, o Regulamento (CE) n.o 322/97 do Conselho relativo s estatsticas comunitrias e a
Deciso 89/382/CEE, Euratom do Conselho que cria o Comit do Programa Estatstico das Comunidades Europeias (JO L 87
de 31.3.2009, p. 164).
desses dados na Unio, o poder de adotar atos nos termos do artigo 290.o do TFUE dever ser delegado na
Comisso. Em especial, devero ser adotados atos delegados em relao aos critrios e requisitos aplicveis aos
procedimentos de certificao, s informaes a fornecer por meio de cones normalizados e aos procedimentos
aplicveis ao fornecimentos de tais cones. especialmente importante que a Comisso proceda a consultas
adequadas ao longo dos seus trabalhos preparatrios, incluindo a nvel de peritos. A Comisso, aquando da
preparao e elaborao dos atos delegados, dever assegurar o envio simultneo, em tempo til e em devida
forma, dos documentos relevantes ao Parlamento Europeu e ao Conselho.
(167) A fim de assegurar condies uniformes para a execuo do presente regulamento, devero ser atribudas
competncias de execuo Comisso nos casos previstos no presente regulamento. Essas competncias devero
ser exercidas nos termos do Regulamento (UE) n.o 182/2011. Nesse contexto, a Comisso dever ponderar
medidas especficas para as micro, pequenas e mdias empresas.
(168) O procedimento de exame dever ser utilizado para a adoo de atos de execuo em matria de clusulas
contratuais-tipo entre os responsveis pelo tratamento e os subcontratantes e entre subcontratantes; cdigos de
conduta; normas tcnicas e procedimentos de certificao; nvel de proteo adequado conferido por um pas
terceiro, um territrio ou um setor especfico nesse pas terceiro ou uma organizao internacional; clusulas
normalizadas de proteo; formatos e procedimentos de intercmbio de informaes entre os responsveis pelo
tratamento, os subcontratantes e as autoridades de controlo no que respeita s regras vinculativas aplicveis s
empresas; assistncia mtua; e regras de intercmbio eletrnico de informaes entre as autoridades de controlo e
entre estas e o Comit.
(169) A Comisso dever adotar atos de execuo imediatamente aplicveis quando haja elementos que comprovem
que um pas terceiro, um territrio ou um setor especfico nesse pas terceiro ou uma organizao internacional
no assegura um nvel de proteo adequado, e imperativos urgentes assim o exigirem.
(170) Atendendo a que o objetivo do presente regulamento, a saber, assegurar um nvel equivalente de proteo das
pessoas singulares e a livre circulao de dados pessoais na Unio, no pode ser suficientemente alcanado pelos
Estados-Membros e pode, devido dimenso e aos efeitos da ao, ser mais bem alcanado ao nvel da Unio, a
Unio pode adotar medidas em conformidade com o princpio da subsidiariedade consagrado no artigo 5.o do
Tratado da Unio Europeia (TUE). Em conformidade com o princpio da proporcionalidade consagrado no
mesmo artigo, o presente regulamento no excede o necessrio para alcanar esse objetivo.
(171) A Diretiva 95/46/CE dever ser revogada pelo presente regulamento. Os tratamentos de dados que se encontrem
j em curso data de aplicao do presente regulamento devero passar a cumprir as suas disposies no prazo
de dois anos aps a data de entrada em vigor. Se o tratamento dos dados se basear no consentimento dado nos
termos do disposto na Diretiva 95/46/CE, no ser necessrio obter uma vez mais o consentimento do titular dos
dados, se a forma pela qual o consentimento foi dado cumprir as condies previstas no presente regulamento,
para que o responsvel pelo tratamento prossiga essa atividade aps a data de aplicao do presente regulamento.
As decises da Comisso que tenham sido adotadas e as autorizaes que tenham emitidas pelas autoridades de
controlo com base na Diretiva 95/46/CE, permanecem em vigor at ao momento em que sejam alteradas,
substitudas ou revogadas.
(172) A Autoridade Europeia para a Proteo de Dados foi consultada nos termos do artigo 28.o, n.o 2, do
Regulamento (CE) n.o 45/2001 e emitiu parecer em 7 de maro de 2012 (1).
(173) O presente regulamento dever aplicar-se a todas as matrias relacionadas com a defesa dos direitos e das
liberdades fundamentais em relao ao tratamento de dados pessoais, no sujeitas a obrigaes especficas com o
mesmo objetivo, enunciadas na Diretiva 2002/58/CE do Parlamento Europeu e do Conselho (2), incluindo as
obrigaes que incumbem ao responsvel pelo tratamento e os direitos das pessoas singulares. A fim de clarificar
a relao entre o presente regulamento e a Diretiva 2002/58/CE, esta ltima dever ser alterada em
conformidade. Uma vez adotado o presente regulamento, a Diretiva 2002/58/CE dever ser revista, em especial a
fim de assegurar a coerncia com o presente regulamento,
(1) JO C 192 de 30.6.2012, p. 7.

(2) Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e
proteo da privacidade no setor das comunicaes eletrnicas (Diretiva relativa privacidade e s comunicaes eletrnicas) (JO L 201
de 31.7.2002, p. 37).
ADOTARAM O PRESENTE REGULAMENTO:
CAPTULO I
Disposies gerais
Artigo 1.o
Objeto e objetivos
1. O presente regulamento estabelece as regras relativas proteo das pessoas singulares no que diz respeito ao
tratamento de dados pessoais e livre circulao desses dados.
2. O presente regulamento defende os direitos e as liberdades fundamentais das pessoas singulares, nomeadamente o
seu direito proteo dos dados pessoais.
3. A livre circulao de dados pessoais no interior da Unio no restringida nem proibida por motivos relacionados
com a proteo das pessoas singulares no que respeita ao tratamento de dados pessoais.
Artigo 2.o
mbito de aplicao material
1. O presente regulamento aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados,
bem como ao tratamento por meios no automatizados de dados pessoais contidos em ficheiros ou a eles destinados.
2. O presente regulamento no se aplica ao tratamento de dados pessoais:
a) Efetuado no exerccio de atividades no sujeitas aplicao do direito da Unio:
b) Efetuado pelos Estados-Membros no exerccio de atividades abrangidas pelo mbito de aplicao do ttulo V,
captulo 2, do TUE;
c) Efetuado por uma pessoa singular no exerccio de atividades exclusivamente pessoais ou domsticas;
d) Efetuado pelas autoridades competentes para efeitos de preveno, investigao, deteo e represso de infraes
penais ou da execuo de sanes penais, incluindo a salvaguarda e a preveno de ameaas segurana pblica.
3. O Regulamento (CE) n.o 45/2001 aplica-se ao tratamento de dados pessoais pelas instituies, rgos, organismos
ou agncias da Unio. O Regulamento (CE) n.o 45/2001, bem como outros atos jurdicos da Unio aplicveis ao
tratamento de dados pessoais, so adaptados aos princpios e regras do presente regulamento nos termos previstos no
artigo 98.o.
4. O presente regulamento no prejudica a aplicao da Diretiva 2000/31/CE, nomeadamente as normas em matria

de responsabilidade dos prestadores intermedirios de servios previstas nos seus artigos 12.o a 15.o.
Artigo 3.o
mbito de aplicao territorial
1. O presente regulamento aplica-se ao tratamento de dados pessoais efetuado no contexto das atividades de um
estabelecimento de um responsvel pelo tratamento ou de um subcontratante situado no territrio da Unio, indepen
dentemente de o tratamento ocorrer dentro ou fora da Unio.
2. O presente regulamento aplica-se ao tratamento de dados pessoais de titulares residentes no territrio da Unio,
efetuado por um responsvel pelo tratamento ou subcontratante no estabelecido na Unio, quando as atividades de
tratamento estejam relacionadas com:
a) A oferta de bens ou servios a esses titulares de dados na Unio, independentemente da exigncia de os titulares dos
dados procederem a um pagamento;
b) O controlo do seu comportamento, desde que esse comportamento tenha lugar na Unio.
3. O presente regulamento aplica-se ao tratamento de dados pessoais por um responsvel pelo tratamento
estabelecido no na Unio, mas num lugar em que se aplique o direito de um Estado-Membro por fora do direito
internacional pblico.
Artigo 4.o
Definies
Para efeitos do presente regulamento, entende-se por:
1) Dados pessoais, informao relativa a uma pessoa singular identificada ou identificvel (titular dos dados);
considerada identificvel uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por
referncia a um identificador, como por exemplo um nome, um nmero de identificao, dados de localizao,
identificadores por via eletrnica ou a um ou mais elementos especficos da identidade fsica, fisiolgica, gentica,
mental, econmica, cultural ou social dessa pessoa singular;
2) Tratamento, uma operao ou um conjunto de operaes efetuadas sobre dados pessoais ou sobre conjuntos de
dados pessoais, por meios automatizados ou no automatizados, tais como a recolha, o registo, a organizao, a
estruturao, a conservao, a adaptao ou alterao, a recuperao, a consulta, a utilizao, a divulgao por
transmisso, difuso ou qualquer outra forma de disponibilizao, a comparao ou interconexo, a limitao, o
apagamento ou a destruio;
3) Limitao do tratamento, a insero de uma marca nos dados pessoais conservados com o objetivo de limitar o
seu tratamento no futuro;
4) Definio de perfis, qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses
dados pessoais para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever
aspetos relacionados com o seu desempenho profissional, a sua situao econmica, sade, preferncias pessoais,
interesses, fiabilidade, comportamento, localizao ou deslocaes;
5) Pseudonimizao, o tratamento de dados pessoais de forma que deixem de poder ser atribudos a um titular de
dados especfico sem recorrer a informaes suplementares, desde que essas informaes suplementares sejam
mantidas separadamente e sujeitas a medidas tcnicas e organizativas para assegurar que os dados pessoais no
possam ser atribudos a uma pessoa singular identificada ou identificvel;
6) Ficheiro, qualquer conjunto estruturado de dados pessoais, acessvel segundo critrios especficos, quer seja
centralizado, descentralizado ou repartido de modo funcional ou geogrfico;
7) Responsvel pelo tratamento, a pessoa singular ou coletiva, a autoridade pblica, a agncia ou outro organismo
que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados
pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da Unio ou de
um Estado-Membro, o responsvel pelo tratamento ou os critrios especficos aplicveis sua nomeao podem ser
previstos pelo direito da Unio ou de um Estado-Membro;
8) Subcontratante, uma pessoa singular ou coletiva, a autoridade pblica, agncia ou outro organismo que trate os
dados pessoais por conta do responsvel pelo tratamento destes;
9) Destinatrio, uma pessoa singular ou coletiva, a autoridade pblica, agncia ou outro organismo que recebem
comunicaes de dados pessoais, independentemente de se tratar ou no de um terceiro. Contudo, as autoridades
pblicas que possam receber dados pessoais no mbito de inquritos especficos nos termos do direito da Unio ou
dos Estados-Membros no so consideradas destinatrios; o tratamento desses dados por essas autoridades pblicas
deve cumprir as regras de proteo de dados aplicveis em funo das finalidades do tratamento;
10) Terceiro, a pessoa singular ou coletiva, a autoridade pblica, o servio ou organismo que no seja o titular dos
dados, o responsvel pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsvel
pelo tratamento ou do subcontratante, esto autorizadas a tratar os dados pessoais;
11) Consentimento do titular dos dados, uma manifestao de vontade, livre, especfica, informada e explcita, pela
qual o titular dos dados aceita, mediante declarao ou ato positivo inequvoco, que os dados pessoais que lhe
dizem respeito sejam objeto de tratamento;
12) Violao de dados pessoais, uma violao da segurana que provoque, de modo acidental ou ilcito, a destruio, a
perda, a alterao, a divulgao ou o acesso, no autorizados, a dados pessoais transmitidos, conservados ou
sujeitos a qualquer outro tipo de tratamento;
13) Dados genticos, os dados pessoais relativos s caractersticas genticas, hereditrias ou adquiridas, de uma pessoa
singular que deem informaes nicas sobre a fisiologia ou a sade dessa pessoa singular e que resulta designa
damente de uma anlise de uma amostra biolgica proveniente da pessoa singular em causa;
14) Dados biomtricos, dados pessoais resultantes de um tratamento tcnico especfico relativo s caractersticas
fsicas, fisiolgicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identificao nica
dessa pessoa singular, nomeadamente imagens faciais ou dados dactiloscpicos;
15) Dados relativos sade, dados pessoais relacionados com a sade fsica ou mental de uma pessoa singular,
incluindo a prestao de servios de sade, que revelem informaes sobre o seu estado de sade;
16) Estabelecimento principal:
a) No que se refere a um responsvel pelo tratamento com estabelecimentos em vrios Estados-Membros, o local
onde se encontra a sua administrao central na Unio, a menos que as decises sobre as finalidades e os meios
de tratamento dos dados pessoais sejam tomadas noutro estabelecimento do responsvel pelo tratamento na
Unio e este ltimo estabelecimento tenha competncia para mandar executar tais decises, sendo neste caso o
estabelecimento que tiver tomado as referidas decises considerado estabelecimento principal;
b) No que se refere a um subcontratante com estabelecimentos em vrios Estados-Membros, o local onde se

encontra a sua administrao central na Unio ou, caso o subcontratante no tenha administrao central na
Unio, o estabelecimento do subcontratante na Unio onde so exercidas as principais atividades de tratamento
no contexto das atividades de um estabelecimento do subcontratante, na medida em que se encontre sujeito a
obrigaes especficas nos termos do presente regulamento;
17) Representante, uma pessoa singular ou coletiva estabelecida na Unio que, designada por escrito pelo responsvel
pelo tratamento ou subcontratante, nos termos do artigo 27.o, representa o responsvel pelo tratamento ou o
subcontratante no que se refere s suas obrigaes respetivas nos termos do presente regulamento;
18) Empresa, uma pessoa singular ou coletiva que, independentemente da sua forma jurdica, exerce uma atividade
econmica, incluindo as sociedades ou associaes que exercem regularmente uma atividade econmica;
19) Grupo empresarial, um grupo composto pela empresa que exerce o controlo e pelas empresas controladas;
20) Regras vinculativas aplicveis s empresas, as regras internas de proteo de dados pessoais aplicadas por um
responsvel pelo tratamento ou um subcontratante estabelecido no territrio de um Estado-Membro para as transfe
rncias ou conjuntos de transferncias de dados pessoais para um responsvel ou subcontratante num ou mais
pases terceiros, dentro de um grupo empresarial ou de um grupo de empresas envolvidas numa atividade
econmica conjunta;
21) Autoridade de controlo, uma autoridade pblica independente criada por um Estado-Membro nos termos do
artigo 51.o;
22) Autoridade de controlo interessada, uma autoridade de controlo afetada pelo tratamento de dados pessoais pelo
facto de:
a) O responsvel pelo tratamento ou o subcontratante estar estabelecido no territrio do Estado-Membro dessa

autoridade de controlo;
b) Os titulares de dados que residem no Estado-Membro dessa autoridade de controlo serem substancialmente
afetados, ou suscetveis de o ser, pelo tratamento dos dados; ou
c) Ter sido apresentada uma reclamao junto dessa autoridade de controlo;
23) Tratamento transfronteirio:
a) O tratamento de dados pessoais que ocorre no contexto das atividades de estabelecimentos em mais do que um
Estado-Membro de um responsvel pelo tratamento ou um subcontratante na Unio, caso o responsvel pelo
tratamento ou o subcontratante esteja estabelecido em mais do que um Estado-Membro; ou
b) O tratamento de dados pessoais que ocorre no contexto das atividades de um nico estabelecimento de um
responsvel pelo tratamento ou de um subcontratante, mas que afeta substancialmente, ou suscetvel de afetar
substancialmente, titulares de dados em mais do que um Estados-Membro;
24) Objeo pertinente e fundamentada, uma objeo a um projeto de deciso que visa determinar se h violao do
presente regulamento ou se a ao prevista relativamente ao responsvel pelo tratamento ou ao subcontratante est
em conformidade com o presente regulamento, demonstrando claramente a gravidade dos riscos que advm do
projeto de deciso para os direitos e liberdades fundamentais dos titulares dos dados e, eventualmente, para a livre
circulao de dados pessoais no territrio da Unio;
25) Servios da sociedade da informao, um servio definido no artigo 1.o, n.o 1, alnea b), da Diretiva (UE)
2015/1535 do Parlamento Europeu e do Conselho (1);
26) Organizao internacional, uma organizao e os organismos de direito internacional pblico por ela tutelados, ou
outro organismo criado por um acordo celebrado entre dois ou mais pases ou com base num acordo dessa
natureza.
CAPTULO II
Princpios
Artigo 5.o
Princpios relativos ao tratamento de dados pessoais
1. Os dados pessoais so:
a) Objeto de um tratamento lcito, leal e transparente em relao ao titular dos dados (licitude, lealdade e transpa
rncia);
b) Recolhidos para finalidades determinadas, explcitas e legtimas e no podendo ser tratados posteriormente de uma
forma incompatvel com essas finalidades; o tratamento posterior para fins de arquivo de interesse pblico, ou para
fins de investigao cientfica ou histrica ou para fins estatsticos, no considerado incompatvel com as
finalidades iniciais, em conformidade com o artigo 89.o, n.o 1 (limitao das finalidades);
c) Adequados, pertinentes e limitados ao que necessrio relativamente s finalidades para as quais so tratados
(minimizao dos dados);
d) Exatos e atualizados sempre que necessrio; devem ser adotadas todas as medidas adequadas para que os dados
inexatos, tendo em conta as finalidades para que so tratados, sejam apagados ou retificados sem demora (exatido);
(1) Diretiva (UE) 2015/1535 do Parlamento Europeu e do Conselho, de 9 de setembro de 2015, relativa a um procedimento de informao
no domnio das regulamentaes tcnicas e das regras relativas aos servios da sociedade da informao (JO L 241 de 17.9.2015, p. 1).
e) Conservados de uma forma que permita a identificao dos titulares dos dados apenas durante o perodo necessrio
para as finalidades para as quais so tratados; os dados pessoais podem ser conservados durante perodos mais
longos, desde que sejam tratados exclusivamente para fins de arquivo de interesse pblico, ou para fins de
investigao cientfica ou histrica ou para fins estatsticos, em conformidade com o artigo 89.o, n.o 1, sujeitos
aplicao das medidas tcnicas e organizativas adequadas exigidas pelo presente regulamento, a fim de salvaguardar
os direitos e liberdades do titular dos dados (limitao da conservao);
f) Tratados de uma forma que garanta a sua segurana, incluindo a proteo contra o seu tratamento no autorizado ou
ilcito e contra a sua perda, destruio ou danificao acidental, adotando as medidas tcnicas ou organizativas
adequadas (integridade e confidencialidade);
2. O responsvel pelo tratamento responsvel pelo cumprimento do disposto no n.o 1 e tem de poder comprov-lo
(responsabilidade).
Artigo 6.o
Licitude do tratamento
1. O tratamento s lcito se e na medida em que se verifique pelo menos uma das seguintes situaes:
a) O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais
finalidades especficas;
b) O tratamento for necessrio para a execuo de um contrato no qual o titular dos dados parte, ou para diligncias
pr-contratuais a pedido do titular dos dados;
c) O tratamento for necessrio para o cumprimento de uma obrigao jurdica a que o responsvel pelo tratamento
esteja sujeito;
d) O tratamento for necessrio para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular;
e) O tratamento for necessrio ao exerccio de funes de interesse pblico ou ao exerccio da autoridade pblica de
que est investido o responsvel pelo tratamento;
f) O tratamento for necessrio para efeito dos interesses legtimos prosseguidos pelo responsvel pelo tratamento ou
por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a
proteo dos dados pessoais, em especial se o titular for uma criana.
O primeiro pargrafo, alnea f), no se aplica ao tratamento de dados efetuado por autoridades pblicas na prossecuo
das suas atribuies por via eletrnica.
2. Os Estados-Membros podem manter ou aprovar disposies mais especficas com o objetivo de adaptar a aplicao
das regras do presente regulamento no que diz respeito ao tratamento de dados para o cumprimento do n.o 1, alneas c)
e e), determinando, de forma mais precisa, requisitos especficos para o tratamento e outras medidas destinadas a
garantir a licitude e lealdade do tratamento, inclusive para outras situaes especficas de tratamento em conformidade
com o captulo IX.
3. O fundamento jurdico para o tratamento referido no n.o 1, alneas c) e e), definido:
a) Pelo direito da Unio; ou
b) Pelo direito do Estado-Membro ao qual o responsvel pelo tratamento est sujeito.
A finalidade do tratamento determinada com esse fundamento jurdico ou, no que respeita ao tratamento referido no
n.o 1, alnea e), deve ser necessria ao exerccio de funes de interesse pblico ou ao exerccio da autoridade pblica de
que est investido o responsvel pelo tratamento. Esse fundamento jurdico pode prever disposies especficas para
adaptar a aplicao das regras do presente regulamento, nomeadamente: as condies gerais de licitude do tratamento
pelo responsvel pelo seu tratamento; os tipos de dados objeto de tratamento; os titulares dos dados em questo; as
entidades a que os dados pessoais podero ser comunicados e para que efeitos; os limites a que as finalidades do
tratamento devem obedecer; os prazos de conservao; e as operaes e procedimentos de tratamento, incluindo as
medidas destinadas a garantir a legalidade e lealdade do tratamento, como as medidas relativas a outras situaes
especficas de tratamento em conformidade com o captulo IX. O direito da Unio ou do Estado-Membro deve
responder a um objetivo de interesse pblico e ser proporcional ao objetivo legtimo prosseguido.
4. Quando o tratamento para fins que no sejam aqueles para os quais os dados pessoais foram recolhidos no for
realizado com base no consentimento do titular dos dados ou em disposies do direito da Unio ou dos Estados-
-Membros que constituam uma medida necessria e proporcionada numa sociedade democrtica para salvaguardar os
objetivos referidos no artigo 23.o, n.o 1, o responsvel pelo tratamento, a fim de verificar se o tratamento para outros
fins compatvel com a finalidade para a qual os dados pessoais foram inicialmente recolhidos, tem nomeadamente em
conta:
a) Qualquer ligao entre a finalidade para a qual os dados pessoais foram recolhidos e a finalidade do tratamento
posterior;
b) O contexto em que os dados pessoais foram recolhidos, em particular no que respeita relao entre os titulares dos
dados e o responsvel pelo seu tratamento;
c) A natureza dos dados pessoais, em especial se as categorias especiais de dados pessoais forem tratadas nos termos do
artigo 9.o, ou se os dados pessoais relacionados com condenaes penais e infraes forem tratados nos termos do
artigo 10.o;
d) As eventuais consequncias do tratamento posterior pretendido para os titulares dos dados;
e) A existncia de salvaguardas adequadas, que podem ser a cifragem ou a pseudonimizao.
Artigo 7.o
Condies aplicveis ao consentimento
1. Quando o tratamento for realizado com base no consentimento, o responsvel pelo tratamento deve poder
demonstrar que o titular dos dados deu o seu consentimento para o tratamento dos seus dados pessoais.
2. Se o consentimento do titular dos dados for dado no contexto de uma declarao escrita que diga tambm respeito
a outros assuntos, o pedido de consentimento deve ser apresentado de uma forma que o distinga claramente desses
outros assuntos de modo inteligvel e de fcil acesso e numa linguagem clara e simples. No vinculativa qualquer parte
dessa declarao que constitua violao do presente regulamento.
3. O titular dos dados tem o direito de retirar o seu consentimento a qualquer momento. A retirada do consen
timento no compromete a licitude do tratamento efetuado com base no consentimento previamente dado. Antes de dar
o seu consentimento, o titular dos dados informado desse facto. O consentimento deve ser to fcil de retirar quanto
de dar.
4. Ao avaliar se o consentimento dado livremente, h que verificar com a mxima ateno se, designadamente, a
execuo de um contrato, inclusive a prestao de um servio, est subordinada ao consentimento para o tratamento de
dados pessoais que no necessrio para a execuo desse contrato.
Artigo 8.o
Condies aplicveis ao consentimento de crianas em relao aos servios da sociedade da

informao
1. Quando for aplicvel o artigo 6.o, n.o 1, alnea a), no que respeita oferta direta de servios da sociedade da
informao s crianas, dos dados pessoais de crianas lcito se elas tiverem pelo menos 16 anos. Caso a criana tenha
menos de 16 anos, o tratamento s lcito se e na medida em que o consentimento seja dado ou autorizado pelos
titulares das responsabilidades parentais da criana.
Os Estados-Membros podem dispor no seu direito uma idade inferior para os efeitos referidos, desde que essa idade no
seja inferior a 13 anos.
2. Nesses casos, o responsvel pelo tratamento envida todos os esforos adequados para verificar que o consen
timento foi dado ou autorizado pelo titular das responsabilidades parentais da criana, tendo em conta a tecnologia
disponvel.
3. O disposto no n.o 1 no afeta o direito contratual geral dos Estados-Membros, como as disposies que regulam a
validade, a formao ou os efeitos de um contrato em relao a uma criana.
Artigo 9.o
Tratamento de categorias especiais de dados pessoais
1. proibido o tratamento de dados pessoais que revelem a origem racial ou tnica, as opinies polticas, as
convices religiosas ou filosficas, ou a filiao sindical, bem como o tratamento de dados genticos, dados biomtricos
para identificar uma pessoa de forma inequvoca, dados relativos sade ou dados relativos vida sexual ou orientao
sexual de uma pessoa.
2. O disposto no n.o 1 no se aplica se se verificar um dos seguintes casos:
a) Se o titular dos dados tiver dado o seu consentimento explcito para o tratamento desses dados pessoais para uma ou
mais finalidades especficas, exceto se o direito da Unio ou de um Estado-Membro previr que a proibio a que se
refere o n.o 1 no pode ser anulada pelo titular dos dados;
b) Se o tratamento for necessrio para efeitos do cumprimento de obrigaes e do exerccio de direitos especficos do
responsvel pelo tratamento ou do titular dos dados em matria de legislao laboral, de segurana social e de
proteo social, na medida em que esse tratamento seja permitido pelo direito da Unio ou dos Estados-Membros ou
ainda por uma conveno coletiva nos termos do direito dos Estados-Membros que preveja garantias adequadas dos
direitos fundamentais e dos interesses do titular dos dados;
c) Se o tratamento for necessrio para proteger os interesses vitais do titular dos dados ou de outra pessoa singular, no
caso de o titular dos dados estar fsica ou legalmente incapacitado de dar o seu consentimento;
d) Se o tratamento for efetuado, no mbito das suas atividades legtimas e mediante garantias adequadas, por uma
fundao, associao ou qualquer outro organismo sem fins lucrativos e que prossiga fins polticos, filosficos,
religiosos ou sindicais, e desde que esse tratamento se refira exclusivamente aos membros ou antigos membros desse
organismo ou a pessoas que com ele tenham mantido contactos regulares relacionados com os seus objetivos, e que
os dados pessoais no sejam divulgados a terceiros sem o consentimento dos seus titulares;
e) Se o tratamento se referir a dados pessoais que tenham sido manifestamente tornados pblicos pelo seu titular;
f) Se o tratamento for necessrio declarao, ao exerccio ou defesa de um direito num processo judicial ou sempre
que os tribunais atuem no exerccio da suas funo jurisdicional;
g) Se o tratamento for necessrio por motivos de interesse pblico importante, com base no direito da Unio ou de um
Estado-Membro, que deve ser proporcional ao objetivo visado, respeitar a essncia do direito proteo dos dados
pessoais e prever medidas adequadas e especficas que salvaguardem os direitos fundamentais e os interesses do
titular dos dados;
h) Se o tratamento for necessrio para efeitos de medicina preventiva ou do trabalho, para a avaliao da capacidade de
trabalho do empregado, o diagnstico mdico, a prestao de cuidados ou tratamentos de sade ou de ao social ou
a gesto de sistemas e servios de sade ou de ao social com base no direito da Unio ou dos Estados-Membros ou
por fora de um contrato com um profissional de sade, sob reserva das condies e garantias previstas no n.o 3;
i) Se o tratamento for necessrio por motivos de interesse pblico no domnio da sade pblica, tais como a proteo
contra ameaas transfronteirias graves para a sade ou para assegurar um elevado nvel de qualidade e de segurana
dos cuidados de sade e dos medicamentos ou dispositivos mdicos, com base no direito da Unio ou dos Estados-
-Membros que preveja medidas adequadas e especficas que salvaguardem os direitos e liberdades do titular dos
dados, em particular o sigilo profissional;
j) Se o tratamento for necessrio para fins de arquivo de interesse pblico, para fins de investigao cientfica ou
histrica ou para fins estatsticos, em conformidade com o artigo 89.o, n.o 1, com base no direito da Unio ou de um
Estado-Membro, que deve ser proporcional ao objetivo visado, respeitar a essncia do direito proteo dos dados
pessoais e prever medidas adequadas e especficas para a defesa dos direitos fundamentais e dos interesses do titular
dos dados.
3. Os dados pessoais referidos no n.o 1 podem ser tratados para os fins referidos no n.o 2, alnea h), se os dados
forem tratados por ou sob a responsabilidade de um profissional sujeito obrigao de sigilo profissional, nos termos
do direito da Unio ou dos Estados-Membros ou de regulamentao estabelecida pelas autoridades nacionais
competentes, ou por outra pessoa igualmente sujeita a uma obrigao de confidencialidade ao abrigo do direito da
Unio ou dos Estados-Membros ou de regulamentao estabelecida pelas autoridades nacionais competentes.
4. Os Estados-Membros podem manter ou impor novas condies, incluindo limitaes, no que respeita ao
tratamento de dados genticos, dados biomtricos ou dados relativos sade.
Artigo 10.o
Tratamento de dados pessoais relacionados com condenaes penais e infraes
O tratamento de dados pessoais relacionados com condenaes penais e infraes ou com medidas de segurana
conexas com base no artigo 6.o, n.o 1, s efetuado sob o controlo de uma autoridade pblica ou se o tratamento for
autorizado por disposies do direito da Unio ou de um Estado-Membro que prevejam garantias adequadas para os
direitos e liberdades dos titulares dos dados. Os registos completos das condenaes penais s so conservados sob o
controlo das autoridades pblicas.
Artigo 11.o
Tratamento que no exige identificao
1. Se as finalidades para as quais se proceder ao tratamento de dados pessoais no exigirem ou tiverem deixado de
exigir a identificao do titular dos dados por parte do responsvel pelo seu tratamento, este ltimo no obrigado a
manter, obter ou tratar informaes suplementares para identificar o titular dos dados com o nico objetivo de dar
cumprimento ao presente regulamento.
2. Quando, nos casos referidos no n.o 1 do presente artigo, o responsvel pelo tratamento possa demonstrar que no
est em condies de identificar o titular dos dados, informa-o, se possvel, desse facto. Nesses casos, os artigos 15.o
a 20.o no so aplicveis, exceto se o titular dos dados, com a finalidade de exercer os seus direitos ao abrigo dos
referidos artigos, fornecer informaes adicionais que permitam a sua identificao.
CAPTULO III
Direitos do titular dos dados
S ec o 1
Tra ns p ar n ci a e re g r as p ar a o exe r ccio do s d ire ito s d o s tit ula r es do s da do s
Artigo 12.o
Transparncia das informaes, das comunicaes e das regras para exerccio dos direitos dos
titulares dos dados
1. O responsvel pelo tratamento toma as medidas adequadas para fornecer ao titular as informaes a que se
referem os artigos 13.o e 14.o e qualquer comunicao prevista nos artigos 15.o a 22.o e 34.o a respeito do tratamento,
de forma concisa, transparente, inteligvel e de fcil acesso, utilizando uma linguagem clara e simples, em especial
quando as informaes so dirigidas especificamente a crianas. As informaes so prestadas por escrito ou por outros
meios, incluindo, se for caso disso, por meios eletrnicos. Se o titular dos dados o solicitar, a informao pode ser
prestada oralmente, desde que a identidade do titular seja comprovada por outros meios.
2. O responsvel pelo tratamento facilita o exerccio dos direitos do titular dos dados nos termos dos artigos 15.o
a 22.o. Nos casos a que se refere o artigo 11.o, n.o 2, o responsvel pelo tratamento no pode recusar-se a dar
seguimento ao pedido do titular no sentido de exercer os seus direitos ao abrigo dos artigos 15.o a 22.o, exceto se
demonstrar que no est em condies de identificar o titular dos dados.
3. O responsvel pelo tratamento fornece ao titular as informaes sobre as medidas tomadas, mediante pedido
apresentado nos termos dos artigos 15.o a 20.o, sem demora injustificada e no prazo de um ms a contar da data de
receo do pedido. Esse prazo pode ser prorrogado at dois meses, quando for necessrio, tendo em conta a
complexidade do pedido e o nmero de pedidos. O responsvel pelo tratamento informa o titular dos dados de alguma
prorrogao e dos motivos da demora no prazo de um ms a contar da data de receo do pedido. Se o titular dos
dados apresentar o pedido por meios eletrnicos, a informao , sempre que possvel, fornecida por meios eletrnicos,
salvo pedido em contrrio do titular.
4. Se o responsvel pelo tratamento no der seguimento ao pedido apresentado pelo titular dos dados, informa-o sem
demora e, o mais tardar, no prazo de um ms a contar da data de receo do pedido, das razes que o levaram a no
tomar medidas e da possibilidade de apresentar reclamao a uma autoridade de controlo e intentar ao judicial.
5. As informaes fornecidas nos termos dos artigos 13.o e 14.o e quaisquer comunicaes e medidas tomadas nos
termos dos artigos 15.o a 22.o e 34.o so fornecidas a ttulo gratuito. Se os pedidos apresentados por um titular de dados
forem manifestamente infundados ou excessivos, nomeadamente devido ao seu carter repetitivo, o responsvel pelo
tratamento pode:
a) Exigir o pagamento de uma taxa razovel tendo em conta os custos administrativos do fornecimento das informaes
ou da comunicao, ou de tomada das medidas solicitadas; ou
b) Recusar-se a dar seguimento ao pedido.
Cabe ao responsvel pelo tratamento demonstrar o carter manifestamente infundado ou excessivo do pedido.
6. Sem prejuzo do artigo 11.o, quando o responsvel pelo tratamento tiver dvidas razoveis quanto identidade da
pessoa singular que apresenta o pedido a que se referem os artigos 15.o a 21.o, pode solicitar que lhe sejam fornecidas as
informaes adicionais que forem necessrias para confirmar a identidade do titular dos dados.
7. As informaes a fornecer pelos titulares dos dados nos termos dos artigos 13.o e 14.o podem ser dadas em
combinao com cones normalizados a fim de dar, de uma forma facilmente visvel, inteligvel e claramente legvel,
uma perspetiva geral significativa do tratamento previsto. Se forem apresentados por via eletrnica, os cones devem ser
de leitura automtica.
8. A Comisso fica habilitada a adotar atos delegados nos termos do artigo 92.o, a fim de determinar quais as
informaes a fornecer por meio dos cones e os procedimentos aplicveis ao fornecimento de cones normalizados.
Sec o 2
In f or m a o e a ce sso a o s da d os pe ss oa is
Artigo 13.o
Informaes a facultar quando os dados pessoais so recolhidos junto do titular
1. Quando os dados pessoais forem recolhidos junto do titular, o responsvel pelo tratamento faculta-lhe, aquando da
recolha desses dados pessoais, as seguintes informaes:
a) A identidade e os contactos do responsvel pelo tratamento e, se for caso disso, do seu representante;
b) Os contactos do encarregado da proteo de dados, se for caso disso;
c) As finalidades do tratamento a que os dados pessoais se destinam, bem como o fundamento jurdico para o
tratamento;
d) Se o tratamento dos dados se basear no artigo 6.o, n.o 1, alnea f), os interesses legtimos do responsvel pelo
tratamento ou de um terceiro;
e) Os destinatrios ou categorias de destinatrios dos dados pessoais, se os houver;
f) Se for caso disso, o facto de o responsvel pelo tratamento tencionar transferir dados pessoais para um pas terceiro
ou uma organizao internacional, e a existncia ou no de uma deciso de adequao adotada pela Comisso ou, no
caso das transferncias mencionadas nos artigos 46.o ou 47.o, ou no artigo 49.o, n.o 1, segundo pargrafo, a
referncia s garantias apropriadas ou adequadas e aos meios de obter cpia das mesmas, ou onde foram disponibi
lizadas.
2. Para alm das informaes referidas no n.o 1, aquando da recolha dos dados pessoais, o responsvel pelo
tratamento fornece ao titular as seguintes informaes adicionais, necessrias para garantir um tratamento equitativo e
transparente:
a) Prazo de conservao dos dados pessoais ou, se no for possvel, os critrios usados para definir esse prazo;
b) A existncia do direito de solicitar ao responsvel pelo tratamento acesso aos dados pessoais que lhe digam respeito,
bem como a sua retificao ou o seu apagamento, e a limitao do tratamento no que disser respeito ao titular dos
dados, ou do direito de se opor ao tratamento, bem como do direito portabilidade dos dados;
c) Se o tratamento dos dados se basear no artigo 6.o, n.o 1, alnea a), ou no artigo 9.o, n.o 2, alnea a), a existncia do
direito de retirar consentimento em qualquer altura, sem comprometer a licitude do tratamento efetuado com base
no consentimento previamente dado;
d) O direito de apresentar reclamao a uma autoridade de controlo;
e) Se a comunicao de dados pessoais constitui ou no uma obrigao legal ou contratual, ou um requisito necessrio
para celebrar um contrato, bem como se o titular est obrigado a fornecer os dados pessoais e as eventuais
consequncias de no fornecer esses dados;
f) A existncia de decises automatizadas, incluindo a definio de perfis, referida no artigo 22.o, n.os 1 e 4, e, pelo
menos nesses casos, informaes teis relativas lgica subjacente, bem como a importncia e as consequncias
previstas de tal tratamento para o titular dos dados.
3. Quando o responsvel pelo tratamento pessoais tiver a inteno de proceder ao tratamento posterior dos dados
pessoais para um fim que no seja aquele para o qual os dados tenham sido recolhidos, antes desse tratamento o
responsvel fornece ao titular dos dados informaes sobre esse fim e quaisquer outras informaes pertinentes, nos
termos do n.o 2.
4. Os n.os 1, 2 e 3 no se aplicam quando e na medida em que o titular dos dados j tiver conhecimento das
informaes.
Artigo 14.o
Informaes a facultar quando os dados pessoais no so recolhidos junto do titular
1. Quando os dados pessoais no forem recolhidos junto do titular, o responsvel pelo tratamento fornece-lhe as
seguintes informaes:
a) A identidade e os contactos do responsvel pelo tratamento e, se for caso disso, do seu representante;
b) Os contactos do encarregado da proteo de dados, se for caso disso;
c) As finalidades do tratamento a que os dados pessoais se destinam, bem como o fundamento jurdico para o
tratamento;
d) As categorias dos dados pessoais em questo;
e) Os destinatrios ou categorias de destinatrios dos dados pessoais, se os houver;

f) Se for caso disso, o facto de o responsvel pelo tratamento tencionar transferir dados pessoais para um pas terceiro
ou uma organizao internacional, e a existncia ou no de uma deciso de adequao adotada pela Comisso ou, no
caso das transferncias mencionadas nos artigos 46.o ou 47.o, ou no artigo 49.o, n.o 1, segundo pargrafo, a
referncia s garantias apropriadas ou adequadas e aos meios de obter cpia das mesmas, ou onde foram disponibi
lizadas;
2. Para alm das informaes referidas no n.o 1, o responsvel pelo tratamento fornece ao titular as seguintes
informaes, necessrias para lhe garantir um tratamento equitativo e transparente:
a) Prazo de conservao dos dados pessoais ou, se no for possvel, os critrios usados para fixar esse prazo;
b) Se o tratamento dos dados se basear no artigo 6.o, n.o 1, alnea f), os interesses legtimos do responsvel pelo
tratamento ou de um terceiro;
c) A existncia do direito de solicitar ao responsvel pelo tratamento o acesso aos dados pessoais que lhe digam
respeito, e a retificao ou o apagamento, ou a limitao do tratamentor no que disser respeito ao titular dos dados,
e do direito de se opor ao tratamento, bem como do direito portabilidade dos dados;
d) Se o tratamento dos dados se basear no artigo 6.o, n.o 1, alnea a), ou no artigo 9.o, n.o 2, alnea a), a existncia do
direito de retirar consentimento em qualquer altura, sem comprometer a licitude do tratamento efetuado com base
no consentimento previamente dado;
e) O direito de apresentar reclamao a uma autoridade de controlo;
f) A origem dos dados pessoais e, eventualmente, se provm de fontes acessveis ao pblico;
g) A existncia de decises automatizadas, incluindo a definio de perfis referida no artigo 22.o, n.os 1 e 4, e, pelo
3. O responsvel pelo tratamento comunica as informaes referidas nos n.os 1 e 2:
a) Num prazo razovel aps a obteno dos dados pessoais, mas o mais tardar no prazo de um ms, tendo em conta as
circunstncias especficas em que estes forem tratados;
b) Se os dados pessoais se destinarem a ser utilizados para fins de comunicao com o titular dos dados, o mais tardar
no momento da primeira comunicao ao titular dos dados; ou
c) Se estiver prevista a divulgao dos dados pessoais a outro destinatrio, o mais tardar aquando da primeira
divulgao desses dados.
4. Quando o responsvel pelo tratamento tiver a inteno de proceder ao tratamento posterior dos dados pessoais
para um fim que no seja aquele para o qual os dados pessoais tenham sido obtidos, antes desse tratamento o
responsvel fornece ao titular dos dados informaes sobre esse fim e quaisquer outras informaes pertinentes referidas
no n.o 2.
5. Os n.os 1 a 4 no se aplicam quando e na medida em que:
a) O titular dos dados j tenha conhecimento das informaes;
b) Se comprove a impossibilidade de disponibilizar a informao, ou que o esforo envolvido seja desproporcionado,

nomeadamente para o tratamento para fins de arquivo de interesse pblico, para fins de investigao cientfica ou
histrica ou para fins estatsticos, sob reserva das condies e garantias previstas no artigo 89.o, n.o 1, e na medida
em que a obrigao referida no n.o 1 do presente artigo seja suscetvel de tornar impossvel ou prejudicar gravemente
a obteno dos objetivos desse tratamento. Nesses casos, o responsvel pelo tratamento toma as medidas adequadas
para defender os direitos, liberdades e interesses legtimos do titular dos dados, inclusive atravs da divulgao da
informao ao pblico;
c) A obteno ou divulgao dos dados esteja expressamente prevista no direito da Unio ou do Estado-Membro ao
qual o responsvel pelo tratamento estiver sujeito, prevendo medidas adequadas para proteger os legtimos interesses
do titular dos dados; ou
d) Os dados pessoais devam permanecer confidenciais em virtude de uma obrigao de sigilo profissional regulamentada
pelo direito da Unio ou de um Estado-Membro, inclusive uma obrigao legal de confidencialidade.
Artigo 15.o
Direito de acesso do titular dos dados
1. O titular dos dados tem o direito de obter do responsvel pelo tratamento a confirmao de que os dados pessoais
que lhe digam respeito so ou no objeto de tratamento e, se for esse o caso, o direito de aceder aos seus dados pessoais
e s seguintes informaes:
a) As finalidades do tratamento dos dados;
b) As categorias dos dados pessoais em questo;
c) Os destinatrios ou categorias de destinatrios a quem os dados pessoais foram ou sero divulgados, nomeadamente
os destinatrios estabelecidos em pases terceiros ou pertencentes a organizaes internacionais;
d) Se for possvel, o prazo previsto de conservao dos dados pessoais, ou, se no for possvel, os critrios usados para
fixar esse prazo;
e) A existncia do direito de solicitar ao responsvel pelo tratamento a retificao, o apagamento ou a limitao do

tratamento dos dados pessoais no que diz respeito ao titular dos dados, ou do direito de se opor a esse tratamento;
f) O direito de apresentar reclamao a uma autoridade de controlo;
g) Se os dados no tiverem sido recolhidos junto do titular, as informaes disponveis sobre a origem desses dados;
h) A existncia de decises automatizadas, incluindo a definio de perfis, referida no artigo 22.o, n.os 1 e 4, e, pelo
2. Quando os dados pessoais forem transferidos para um pas terceiro ou uma organizao internacional, o titular
dos dados tem o direito de ser informado das garantias adequadas, nos termos do artigo 46.o relativo transferncia de
dados.
3. O responsvel pelo tratamento fornece uma cpia dos dados pessoais em fase de tratamento. Para fornecer outras
cpias solicitadas pelo titular dos dados, o responsvel pelo tratamento pode exigir o pagamento de uma taxa razovel
tendo em conta os custos administrativos. Se o titular dos dados apresentar o pedido por meios eletrnicos, e salvo
pedido em contrrio do titular dos dados, a informao fornecida num formato eletrnico de uso corrente.
4. O direito de obter uma cpia a que se refere o n.o 3 no prejudica os direitos e as liberdades de terceiros.
Sec o 3
Re ti f ica o e a p aga m e nto
Artigo 16.o
Direito de retificao
O titular tem o direito de obter, sem demora injustificada, do responsvel pelo tratamento a retificao dos dados
pessoais inexatos que lhe digam respeito. Tendo em conta as finalidades do tratamento, o titular dos dados tem direito a
que os seus dados pessoais incompletos sejam completados, incluindo por meio de uma declarao adicional.
Artigo 17.o
Direito ao apagamento dos dados (direito a ser esquecido)
1. O titular tem o direito de obter do responsvel pelo tratamento o apagamento dos seus dados pessoais, sem
demora injustificada, e este tem a obrigao de apagar os dados pessoais, sem demora injustificada, quando se aplique
um dos seguintes motivos:
a) Os dados pessoais deixaram de ser necessrios para a finalidade que motivou a sua recolha ou tratamento;
b) O titular retira o consentimento em que se baseia o tratamento dos dados nos termos do artigo 6.o, n.o 1, alnea a),
ou do artigo 9.o, n.o 2, alnea a) e se no existir outro fundamento jurdico para o referido tratamento;
c) O titular ope-se ao tratamento nos termos do artigo 21.o, n.o 1, e no existem interesses legtimos prevalecentes que
justifiquem o tratamento, ou o titular ope-se ao tratamento nos termos do artigo 21.o, n.o 2;
d) Os dados pessoais foram tratados ilicitamente;
e) Os dados pessoais tm de ser apagados para o cumprimento de uma obrigao jurdica decorrente do direito da
Unio ou de um Estado-Membro a que o responsvel pelo tratamento esteja sujeito;
f) Os dados pessoais foram recolhidos no contexto da oferta de servios da sociedade da informao referida no
artigo 8.o, n.o 1.
2. Quando o responsvel pelo tratamento tiver tornado pblicos os dados pessoais e for obrigado a apag-los nos
termos do n.o 1, toma as medidas que forem razoveis, incluindo de carter tcnico, tendo em considerao a tecnologia
disponvel e os custos da sua aplicao, para informar os responsveis pelo tratamento efetivo dos dados pessoais de que
o titular dos dados lhes solicitou o apagamento das ligaes para esses dados pessoais, bem como das cpias ou
reprodues dos mesmos.
3. Os n.os 1 e 2 no se aplicam na medida em que o tratamento se revele necessrio:
a) Ao exerccio da liberdade de expresso e de informao;
b) Ao cumprimento de uma obrigao legal que exija o tratamento prevista pelo direito da Unio ou de um Estado-
-Membro a que o responsvel esteja sujeito, ao exerccio de funes de interesse pblico ou ao exerccio da
autoridade pblica de que esteja investido o responsvel pelo tratamento;
c) Por motivos de interesse pblico no domnio da sade pblica, nos termos do artigo 9.o, n.o 2, alneas h) e i), bem
como do artigo 9.o, n.o 3;
d) Para fins de arquivo de interesse pblico, para fins de investigao cientfica ou histrica ou para fins estatsticos, nos
termos do artigo 89.o, n.o 1, na medida em que o direito referido no n.o 1 seja suscetvel de tornar impossvel ou
prejudicar gravemente a obteno dos objetivos desse tratamento; ou
e) Para efeitos de declarao, exerccio ou defesa de um direito num processo judicial.
Artigo 18.o
Direito limitao do tratamento
1. O titular dos dados tem o direito de obter do responsvel pelo tratamento a limitao do tratamento, se se aplicar
uma das seguintes situaes:
a) Contestar a exatido dos dados pessoais, durante um perodo que permita ao responsvel pelo tratamento verificar a
sua exatido;
b) O tratamento for ilcito e o titular dos dados se opuser ao apagamento dos dados pessoais e solicitar, em contra
partida, a limitao da sua utilizao;
c) O responsvel pelo tratamento j no precisar dos dados pessoais para fins de tratamento, mas esses dados sejam
requeridos pelo titular para efeitos de declarao, exerccio ou defesa de um direito num processo judicial;
d) Se tiver oposto ao tratamento nos termos do artigo 21.o, n.o 1, at se verificar que os motivos legtimos do
responsvel pelo tratamento prevalecem sobre os do titular dos dados.
2. Quando o tratamento tiver sido limitado nos termos do n.o 1, os dados pessoais s podem, exceo da
conservao, ser objeto de tratamento com o consentimento do titular, ou para efeitos de declarao, exerccio ou defesa
de um direito num processo judicial, de defesa dos direitos de outra pessoa singular ou coletiva, ou por motivos
ponderosos de interesse pblico da Unio ou de um Estado-Membro.
3. O titular que tiver obtido a limitao do tratamento nos termos do n.o 1 informado pelo responsvel pelo
tratamento antes de ser anulada a limitao ao referido tratamento.
Artigo 19.o
Obrigao de notificao da retificao ou apagamento dos dados pessoais ou limitao do

tratamento
O responsvel pelo tratamento comunica a cada destinatrio a quem os dados pessoais tenham sido transmitidos
qualquer retificao ou apagamento dos dados pessoais ou limitao do tratamento a que se tenha procedido em
conformidade com o artigo 16.o, o artigo 17.o, n.o 1, e o artigo 18.o, salvo se tal comunicao se revelar impossvel ou
implicar um esforo desproporcionado. Se o titular dos dados o solicitar, o responsvel pelo tratamento fornece-lhe
informaes sobre os referidos destinatrios.
Artigo 20.o
Direito de portabilidade dos dados
1. O titular dos dados tem o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido a um
responsvel pelo tratamento, num formato estruturado, de uso corrente e de leitura automtica, e o direito de transmitir
esses dados a outro responsvel pelo tratamento sem que o responsvel a quem os dados pessoais foram fornecidos o
possa impedir, se:
a) O tratamento se basear no consentimento dado nos termos do artigo 6.o, n.o 1, alnea a), ou do artigo 9.o, n.o 2,
alnea a), ou num contrato referido no artigo 6.o, n.o 1, alnea b); e
b) O tratamento for realizado por meios automatizados.
2 Ao exercer o seu direito de portabilidade dos dados nos termos do n.o 1, o titular dos dados tem o direito a que os
dados pessoais sejam transmitidos diretamente entre os responsveis pelo tratamento, sempre que tal seja tecnicamente
possvel.
3. O exerccio do direito a que se refere o n.o 1 do presente artigo aplica-se sem prejuzo do artigo 17.o. Esse direito
no se aplica ao tratamento necessrio para o exerccio de funes de interesse pblico ou ao exerccio da autoridade
pblica de que est investido o responsvel pelo tratamento.
4. O direito a que se refere o n.o 1 no prejudica os direitos e as liberdades de terceiros.
Sec o 4
Di r eit o d e opo si o e d ec is e s i ndividu ai s a u to ma t i z a da s
Artigo 21.o
Direito de oposio
1. O titular dos dados tem o direito de se opor a qualquer momento, por motivos relacionados com a sua situao
particular, ao tratamento dos dados pessoais que lhe digam respeito com base no artigo 6.o, n.o 1, alnea e) ou f), ou no
artigo 6.o, n.o 4, incluindo a definio de perfis com base nessas disposies. O responsvel pelo tratamento cessa o
tratamento dos dados pessoais, a no ser que apresente razes imperiosas e legtimas para esse tratamento que
prevaleam sobre os interesses, direitos e liberdades do titular dos dados, ou para efeitos de declarao, exerccio ou
defesa de um direito num processo judicial.
2. Quando os dados pessoais forem tratados para efeitos de comercializao direta, o titular dos dados tem o direito
de se opor a qualquer momento ao tratamento dos dados pessoais que lhe digam respeito para os efeitos da referida
comercializao, o que abrange a definio de perfis na medida em que esteja relacionada com a comercializao direta.
3. Caso o titular dos dados se oponha ao tratamento para efeitos de comercializao direta, os dados pessoais deixam
de ser tratados para esse fim.
4. O mais tardar no momento da primeira comunicao ao titular dos dados, o direito a que se referem os n.os 1 e 2
explicitamente levado ateno do titular dos dados e apresentado de modo claro e distinto de quaisquer outras
informaes.
5. No contexto da utilizao dos servios da sociedade da informao, e sem prejuzo da Diretiva 2002/58/CE, o
titular dos dados pode exercer o seu direito de oposio por meios automatizados, utilizando especificaes tcnicas.
6. Quando os dados pessoais forem tratados para fins de investigao cientfica ou histrica ou para fins estatsticos,
nos termos do artigo 89.o, n.o 1, o titular dos dados tem o direito de se opor, por motivos relacionados com a sua
situao particular, ao tratamento dos dados pessoais que lhe digam respeito, salvo se o tratamento for necessrio para a
prossecuo de atribuies de interesse pblico.
Artigo 22.o
Decises individuais automatizadas, incluindo definio de perfis
1. O titular dos dados tem o direito de no ficar sujeito a nenhuma deciso tomada exclusivamente com base no
tratamento automatizado, incluindo a definio de perfis, que produza efeitos na sua esfera jurdica ou que o afete
significativamente de forma similar.
2. O n.o 1 no se aplica se a deciso:
a) For necessria para a celebrao ou a execuo de um contrato entre o titular dos dados e um responsvel pelo
tratamento;
b) For autorizada pelo direito da Unio ou do Estado-Membro a que o responsvel pelo tratamento estiver sujeito, e na
qual estejam igualmente previstas medidas adequadas para salvaguardar os direitos e liberdades e os legtimos
interesses do titular dos dados; ou
c) For baseada no consentimento explcito do titular dos dados.
3. Nos casos a que se referem o n.o 2, alneas a) e c), o responsvel pelo tratamento aplica medidas adequadas para
salvaguardar os direitos e liberdades e legtimos interesses do titular dos dados, designadamente o direito de, pelo menos,
obter interveno humana por parte do responsvel, manifestar o seu ponto de vista e contestar a deciso.
4. As decises a que se refere o n.o 2 no se baseiam nas categorias especiais de dados pessoais a que se refere o
artigo 9.o, n.o 1, a no ser que o n.o 2, alnea a) ou g), do mesmo artigo sejam aplicveis e sejam aplicadas medidas
adequadas para salvaguardar os direitos e liberdades e os legtimos interesses do titular.
S ec o 5
Li mit a es
Artigo 23.o
Limitaes
1. O direito da Unio ou dos Estados-Membros a que estejam sujeitos o responsvel pelo tratamento ou o seu
subcontratante pode limitar por medida legislativa o alcance das obrigaes e dos direitos previstos nos artigos 12.o
a 22.o e no artigo 34.o, bem como no artigo 5.o, na medida em que tais disposies correspondam aos direitos e
obrigaes previstos nos artigos 12.o a 22.o, desde que tal limitao respeite a essncia dos direitos e liberdades
fundamentais e constitua uma medida necessria e proporcionada numa sociedade democrtica para assegurar, designa
damente:
a) A segurana do Estado;
b) A defesa;
c) A segurana pblica;
d) A preveno, investigao, deteo ou represso de infraes penais, ou a execuo de sanes penais, incluindo a
salvaguarda e a preveno de ameaas segurana pblica;
e) Outros objetivos importantes do interesse pblico geral da Unio ou de um Estado-Membro, nomeadamente um

interesse econmico ou financeiro importante da Unio ou de um Estado-Membro, incluindo nos domnios
monetrio, oramental ou fiscal, da sade pblica e da segurana social;
f) A defesa da independncia judiciria e dos processos judiciais;
g) A preveno, investigao, deteo e represso de violaes da deontologia de profisses regulamentadas;
h) Uma misso de controlo, de inspeo ou de regulamentao associada, ainda que ocasionalmente, ao exerccio da
autoridade pblica, nos casos referidos nas alneas a) a e) e g);
i) A defesa do titular dos dados ou dos direitos e liberdades de outrem;
j) A execuo de aes cveis.
2. Em especial, as medidas legislativas referidas no n.o 1 incluem, quando for relevante, disposies explcitas
relativas, pelo menos:
a) s finalidades do tratamento ou s diferentes categorias de tratamento;
b) s categorias de dados pessoais;
c) Ao alcance das limitaes impostas;
d) s garantias para evitar o abuso ou o acesso ou transferncia ilcitos;
e) especificao do responsvel pelo tratamento ou s categorias de responsveis pelo tratamento;
f) Aos prazos de conservao e s garantias aplicveis, tendo em conta a natureza, o mbito e os objetivos do
tratamento ou das categorias de tratamento;
g) Aos riscos especficos para os direitos e liberdades dos titulares dos dados; e
h) Ao direito dos titulares dos dados a serem informados da limitao, a menos que tal possa prejudicar o objetivo da
limitao.
CAPTULO IV
Responsvel pelo tratamento e subcontratante
Se c o 1
Obr ig a e s ge ra i s
Artigo 24.o
Responsabilidade do responsvel pelo tratamento
1. Tendo em conta a natureza, o mbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos
para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variveis, o responsvel
pelo tratamento aplica as medidas tcnicas e organizativas que forem adequadas para assegurar e poder comprovar que
o tratamento realizado em conformidade com o presente regulamento. Essas medidas so revistas e atualizadas
consoante as necessidades.
2 Caso sejam proporcionadas em relao s atividades de tratamento, as medidas a que se refere o n.o 1 incluem a
aplicao de polticas adequadas em matria de proteo de dados pelo responsvel pelo tratamento.
3. O cumprimento de cdigos de conduta aprovados conforme referido no artigo 40.o ou de procedimentos de

certificao aprovados conforme referido no artigo 42.o pode ser utilizada como elemento para demonstrar o
cumprimento das obrigaes do responsvel pelo tratamento.
Artigo 25.o
Proteo de dados desde a conceo e por defeito
1. Tendo em conta as tcnicas mais avanadas, os custos da sua aplicao, e a natureza, o mbito, o contexto e as
finalidades do tratamento dos dados, bem como os riscos decorrentes do tratamento para os direitos e liberdades das
pessoas singulares, cuja probabilidade e gravidade podem ser variveis, o responsvel pelo tratamento aplica, tanto no
momento de definio dos meios de tratamento como no momento do prprio tratamento, as medidas tcnicas e
organizativas adequadas, como a pseudonimizao, destinadas a aplicar com eficcia os princpios da proteo de dados,
tais como a minimizao, e a incluir as garantias necessrias no tratamento, de uma forma que este cumpra os requisitos
do presente regulamento e proteja os direitos dos titulares dos dados.
2. O responsvel pelo tratamento aplica medidas tcnicas e organizativas para assegurar que, por defeito, s sejam
tratados os dados pessoais que forem necessrios para cada finalidade especfica do tratamento. Essa obrigao aplica-se
quantidade de dados pessoais recolhidos, extenso do seu tratamento, ao seu prazo de conservao e sua acessibi
lidade. Em especial, essas medidas asseguram que, por defeito, os dados pessoais no sejam disponibilizados sem
interveno humana a um nmero indeterminado de pessoas singulares.
3. Pode ser utilizado como elemento para demonstrar o cumprimento das obrigaes estabelecidas nos n.os 1 e 2 do
presente artigo, um procedimento de certificao aprovado nos termos do artigo 42.o.
Artigo 26.o
Responsveis conjuntos pelo tratamento
1. Quando dois ou mais responsveis pelo tratamento determinem conjuntamente as finalidades e os meios desse
tratamento, ambos so responsveis conjuntos pelo tratamento. Estes determinam, por acordo entre si e de modo
transparente as respetivas responsabilidades pelo cumprimento do presente regulamento, nomeadamente no que diz
respeito ao exerccio dos direitos do titular dos dados e aos respetivos deveres de fornecer as informaes referidas nos
artigos 13.o e 14.o, a menos e na medida em que as suas responsabilidades respetivas sejam determinadas pelo direito da
Unio ou do Estado-Membro a que se estejam sujeitos. O acordo pode designar um ponto de contacto para os titulares
dos dados.
2. O acordo a que se refere o n.o 1 reflete devidamente as funes e relaes respetivas dos responsveis conjuntos
pelo tratamento em relao aos titulares dos dados. A essncia do acordo disponibilizada ao titular dos dados.
3. Independentemente dos termos do acordo a que se refere o n.o 1, o titular dos dados pode exercer os direitos que
lhe confere o presente regulamento em relao e cada um dos responsveis pelo tratamento.
Artigo 27.o
Representantes dos responsveis pelo tratamento ou dos subcontratantes no estabelecidos na

Unio
1. Se for aplicvel o artigo 3.o, n.o 2, o responsvel pelo tratamento ou o subcontratante designa por escrito um
representante seu na Unio.
2. A obrigao a que se refere o n.o 1 do presente artigo no se aplica:
a) s operaes de tratamento que sejam ocasionais, no abranjam o tratamento, em grande escala, de categorias
especiais de dados a que se refere o artigo 9.o, n.o 1, ou o tratamento de dados pessoais relativos a condenaes
penais e infraes referido no artigo 10.o, e no seja suscetvel de implicar riscos para os direitos e liberdades das
pessoas singulares, tendo em conta a natureza, o contexto, o mbito e as finalidades do tratamento; ou
b) s autoridades ou organismos pblicos;

3. O representante deve estar estabelecido num dos Estados-Membros onde se encontram os titulares dos dados cujos
dados pessoais so objeto do tratamento no contexto da oferta que lhes feita de bens ou servios ou cujo compor
tamento controlado.
4. Para efeitos do cumprimento do presente regulamento, o representante mandatado pelo responsvel pelo
tratamento ou pelo subcontratante para ser contactado em complemento ou em substituio do responsvel pelo
tratamento ou do subcontratante, em especial por autoridades de controlo e por titulares, relativamente a todas as
questes relacionadas com o tratamento.
5. A designao de um representante pelo responsvel pelo tratamento ou pelo subcontratante no prejudica as aes
judiciais que possam vir a ser intentadas contra o prprio responsvel pelo tratamento ou o prprio subcontratante.
Artigo 28.o
Subcontratante
1. Quando o tratamento dos dados for efetuado por sua conta, o responsvel pelo tratamento recorre apenas a
subcontratantes que apresentem garantias suficientes de execuo de medidas tcnicas e organizativas adequadas de uma
forma que o tratamento satisfaa os requisitos do presente regulamento e assegure a defesa dos direitos do titular dos
dados.
2. O subcontratante no contrata outro subcontratante sem que o responsvel pelo tratamento tenha dado,
previamente e por escrito, autorizao especfica ou geral. Em caso de autorizao geral por escrito, o subcontratante
informa o responsvel pelo tratamento de quaisquer alteraes pretendidas quanto ao aumento do nmero ou
substituio de outros subcontratantes, dando assim ao responsvel pelo tratamento a oportunidade de se opor a tais
alteraes.
3. O tratamento em subcontratao regulado por contrato ou outro ato normativo ao abrigo do direito da Unio
ou dos Estados-Membros, que vincule o subcontratante ao responsvel pelo tratamento, estabelea o objeto e a durao
do tratamento, a natureza e finalidade do tratamento, o tipo de dados pessoais e as categorias dos titulares dos dados, e
as obrigaes e direitos do responsvel pelo tratamento. Esse contrato ou outro ato normativo estipulam, designa
damente, que o subcontratante:
a) Trata os dados pessoais apenas mediante instrues documentadas do responsvel pelo tratamento, incluindo no que
respeita s transferncias de dados para pases terceiros ou organizaes internacionais, a menos que seja obrigado a
faz-lo pelo direito da Unio ou do Estado-Membro a que est sujeito, informando nesse caso o responsvel pelo
tratamento desse requisito jurdico antes do tratamento, salvo se a lei proibir tal informao por motivos importantes
de interesse pblico;
b) Assegura que as pessoas autorizadas a tratar os dados pessoais assumiram um compromisso de confidencialidade ou
esto sujeitas a adequadas obrigaes legais de confidencialidade;
c) Adota todas as medidas exigidas nos termos do artigo 32.o;
d) Respeita as condies a que se referem os n.os 2 e 4 para contratar outro subcontratante;
e) Toma em conta a natureza do tratamento, e na medida do possvel, presta assistncia ao responsvel pelo tratamento
atravs de medidas tcnicas e organizativas adequadas, para permitir que este cumpra a sua obrigao de dar resposta
aos pedidos dos titulares dos dados tendo em vista o exerccio dos seus direitos previstos no captulo III;
f) Presta assistncia ao responsvel pelo tratamento no sentido de assegurar o cumprimento das obrigaes previstas
nos artigos 32.o a 36.o, tendo em conta a natureza do tratamento e a informao ao dispor do subcontratante;
g) Consoante a escolha do responsvel pelo tratamento, apaga ou devolve-lhe todos os dados pessoais depois de
concluda a prestao de servios relacionados com o tratamento, apagando as cpias existentes, a menos que a
conservao dos dados seja exigida ao abrigo do direito da Unio ou dos Estados-Membros; e
h) Disponibiliza ao responsvel pelo tratamento todas as informaes necessrias para demonstrar o cumprimento das
obrigaes previstas no presente artigo e facilita e contribui para as auditorias, inclusive as inspees, conduzidas
pelo responsvel pelo tratamento ou por outro auditor por este mandatado.
No que diz respeito ao primeiro pargrafo, alnea h), o subcontratante informa imediatamente o responsvel pelo
tratamento se, no seu entender, alguma instruo violar o presente regulamento ou outras disposies do direito da
Unio ou dos Estados-Membros em matria de proteo de dados.
4. Se o subcontratante contratar outro subcontratante para a realizao de operaes especficas de tratamento de

dados por conta do responsvel pelo tratamento, so impostas a esse outro subcontratante, por contrato ou outro ato
normativo ao abrigo do direito da Unio ou dos Estados-Membros, as mesmas obrigaes em matria de proteo de
dados que as estabelecidas no contrato ou outro ato normativo entre o responsvel pelo tratamento e o subcontratante,
referidas no n.o 3, em particular a obrigao de apresentar garantias suficientes de execuo de medidas tcnicas e
organizativas adequadas de uma forma que o tratamento seja conforme com os requisitos do presente regulamento. Se
esse outro subcontratante no cumprir as suas obrigaes em matria de proteo de dados, o subcontratante inicial
continua a ser plenamente responsvel, perante o responsvel pelo tratamento, pelo cumprimento das obrigaes desse
outro subcontratante.
5. O facto de o subcontratante cumprir um cdigo de conduta aprovado conforme referido no artigo 40.o ou um
procedimento de certificao aprovado conforme referido no artigo 42.o pode ser utilizado como elemento para
demonstrar as garantias suficientes a que se referem os n.os 1 e 4 do presente artigo.
6. Sem prejuzo de um eventual contrato individual entre o responsvel pelo tratamento e o subcontratante, o
contrato ou outro ato normativo referidos nos n.os 3 e 4 do presente artigo podem ser baseados, totalmente ou em
parte, nas clusulas contratuais-tipo referidas nos n.os 7 e 8 do presente artigo, inclusivamente quando fazem parte de
uma certificao concedida ao responsvel pelo tratamento ou ao subcontratante por fora dos artigos 42.o e 43.o.
7. A Comisso pode estabelecer clusulas contratuais-tipo para as matrias referidas nos n.os 3 e 4 do presente artigo
pelo procedimento de exame a que se refere o artigo 93.o, n.o 2.
8. A autoridade de controlo pode estabelecer clusulas contratuais-tipo para as matrias referidas nos n.os 3 e 4 do
presente artigo e de acordo com o procedimento de controlo da coerncia referido no artigo 63.o.
9. O contrato ou outro ato normativo a que se referem os n.os 3 e 4 devem ser feitos por escrito, incluindo em
formato eletrnico.
10. Sem prejuzo do disposto nos artigos 82.o, 83.o e 84.o, o subcontratante que, em violao do presente
regulamento, determinar as finalidades e os meios de tratamento, considerado responsvel pelo tratamento no que
respeita ao tratamento em questo.
Artigo 29.o
Tratamento sob a autoridade do responsvel pelo tratamento ou do subcontratante
O subcontratante ou qualquer pessoa que, agindo sob a autoridade do responsvel pelo tratamento ou do subcon
tratante, tenha acesso a dados pessoais, no procede ao tratamento desses dados exceto por instruo do responsvel
pelo tratamento, salvo se a tal for obrigado por fora do direito da Unio ou dos Estados-Membros.
Artigo 30.o
Registos das atividades de tratamento
1. Cada responsvel pelo tratamento e, sendo caso disso, o seu representante conserva um registo de todas as
atividades de tratamento sob a sua responsabilidade. Desse registo constam todas seguintes informaes:
a) O nome e os contactos do responsvel pelo tratamento e, sendo caso disso, de qualquer responsvel conjunto pelo
tratamento, do representante do responsvel pelo tratamento e do encarregado da proteo de dados;
b) As finalidades do tratamento dos dados;
c) A descrio das categorias de titulares de dados e das categorias de dados pessoais;

d) As categorias de destinatrios a quem os dados pessoais foram ou sero divulgados, incluindo os destinatrios estabe
lecidos em pases terceiros ou organizaes internacionais;
e) Se for aplicvel, as transferncias de dados pessoais para pases terceiros ou organizaes internacionais, incluindo a
identificao desses pases terceiros ou organizaes internacionais e, no caso das transferncias referidas no
artigo 49.o, n.o 1, segundo pargrafo, a documentao que comprove a existncia das garantias adequadas;
f) Se possvel, os prazos previstos para o apagamento das diferentes categorias de dados;
g) Se possvel, uma descrio geral das medidas tcnicas e organizativas no domnio da segurana referidas no
artigo 32.o, n.o 1.
2. Cada subcontratante e, sendo caso disso, o representante deste, conserva um registo de todas as categorias de
atividades de tratamento realizadas em nome de um responsvel pelo tratamento, do qual constar:
a) O nome e contactos do subcontratante ou subcontratantes e de cada responsvel pelo tratamento em nome do qual
o subcontratante atua, bem como, sendo caso disso do representante do responsvel pelo tratamento ou do subcon
tratante e do encarregado da proteo de dados;
b) As categorias de tratamentos de dados pessoais efetuados em nome de cada responsvel pelo tratamento;
c) Se for aplicvel, as transferncias de dados pessoais para pases terceiros ou organizaes internacionais, incluindo a
identificao desses pases terceiros ou organizaes internacionais e, no caso das transferncias referidas no
artigo 49.o, n.o 1, segundo pargrafo, a documentao que comprove a existncia das garantias adequadas;
d) Se possvel, uma descrio geral das medidas tcnicas e organizativas no domnio da segurana referidas no
artigo 32.o, n.o 1.
3. Os registos a que se referem os n.os 1 e 2 so efetuados por escrito, incluindo em formato eletrnico.
4. O responsvel pelo tratamento e, sendo caso disso, o subcontratante, o representante do responsvel pelo
tratamento ou do subcontratante, disponibilizam, a pedido, o registo autoridade de controlo.
5. As obrigaes a que se referem os n.os 1 e 2 no se aplicam s empresas ou organizaes com menos de

250 trabalhadores, a menos que o tratamento efetuado seja suscetvel de implicar um risco para os direitos e liberdades
do titular dos dados, no seja ocasional ou abranja as categorias especiais de dados a que se refere o artigo 9.o, n.o 1, ou
dados pessoais relativos a condenaes penais e infraes referido no artigo 10.o.
Artigo 31.o
Cooperao com a autoridade de controlo
O responsvel pelo tratamento e o subcontratante e, sendo caso disso, os seus representantes cooperam com a
autoridade de controlo, a pedido desta, na prossecuo das suas atribuies.
S ec o 2
Seg u r ana do s d a dos p e sso ai s
Artigo 32.o
Segurana do tratamento
1. Tendo em conta as tcnicas mais avanadas, os custos de aplicao e a natureza, o mbito, o contexto e as
finalidades do tratamento, bem como os riscos, de probabilidade e gravidade varivel, para os direitos e liberdades das
pessoas singulares, o responsvel pelo tratamento e o subcontratante aplicam as medidas tcnicas e organizativas
adequadas para assegurar um nvel de segurana adequado ao risco, incluindo, consoante o que for adequado:
a) A pseudonimizao e a cifragem dos dados pessoais;

b) A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resilincia permanentes dos sistemas e

dos servios de tratamento;
c) A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um
incidente fsico ou tcnico;
d) Um processo para testar, apreciar e avaliar regularmente a eficcia das medidas tcnicas e organizativas para garantir
a segurana do tratamento.
2. Ao avaliar o nvel de segurana adequado, devem ser tidos em conta, designadamente, os riscos apresentados pelo
tratamento, em particular devido destruio, perda e alterao acidentais ou ilcitas, e divulgao ou ao acesso no
autorizados, de dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
3. O cumprimento de um cdigo de conduta aprovado conforme referido no artigo 40.o ou de um procedimento de

certificao aprovado conforme referido no artigo 42.o pode ser utilizado como elemento para demonstrar o
cumprimento das obrigaes estabelecidas no n.o 1 do presente artigo.
4. O responsvel pelo tratamento e o subcontratante tomam medidas para assegurar que qualquer pessoa singular
que, agindo sob a autoridade do responsvel pelo tratamento ou do subcontratante, tenha acesso a dados pessoais, s
procede ao seu tratamento mediante instrues do responsvel pelo tratamento, exceto se tal lhe for exigido pelo direito
da Unio ou de um Estado-Membro.
Artigo 33.o
Notificao de uma violao de dados pessoais autoridade de controlo
1. Em caso de violao de dados pessoais, o responsvel pelo tratamento notifica desse facto a autoridade de controlo
competente nos termos do artigo 55.o, sem demora injustificada e, sempre que possvel, at 72 horas aps ter tido
conhecimento da mesma, a menos que a violao dos dados pessoais no seja suscetvel de resultar num risco para os
direitos e liberdades das pessoas singulares. Se a notificao autoridade de controlo no for transmitida no prazo
de 72 horas, acompanhada dos motivos do atraso.
2. O subcontratante notifica o responsvel pelo tratamento sem demora injustificada aps ter conhecimento de uma
violao de dados pessoais.
3. A notificao referida no n.o 1 deve, pelo menos:
a) Descrever a natureza da violao dos dados pessoais incluindo, se possvel, as categorias e o nmero aproximado de
titulares de dados afetados, bem como as categorias e o nmero aproximado de registos de dados pessoais em causa;
b) Comunicar o nome e os contactos do encarregado da proteo de dados ou de outro ponto de contacto onde
possam ser obtidas mais informaes;
c) Descrever as consequncias provveis da violao de dados pessoais;
d) Descrever as medidas adotadas ou propostas pelo responsvel pelo tratamento para reparar a violao de dados
pessoais, inclusive, se for caso disso, medidas para atenuar os seus eventuais efeitos negativos;
4. Caso, e na medida em que no seja possvel fornecer todas as informaes ao mesmo tempo, estas podem ser
fornecidas por fases, sem demora injustificada.
5. O responsvel pelo tratamento documenta quaisquer violaes de dados pessoais, compreendendo os factos
relacionados com as mesmas, os respetivos efeitos e a medida de reparao adotada. Essa documentao deve permitir
autoridade de controlo verificar o cumprimento do disposto no presente artigo.
Artigo 34.o
Comunicao de uma violao de dados pessoais ao titular dos dados
1. Quando a violao dos dados pessoais for suscetvel de implicar um elevado risco para os direitos e liberdades das
pessoas singulares, o responsvel pelo tratamento comunica a violao de dados pessoais ao titular dos dados sem
demora injustificada.
2. A comunicao ao titular dos dados a que se refere o n.o 1 do presente artigo descreve em linguagem clara e
simples a natureza da violao dos dados pessoais e fornece, pelo menos, as informaes e medidas previstas no
artigo 33.o, n.o 3, alneas b), c) e d).
3. A comunicao ao titular dos dados a que se refere o n.o 1 no exigida se for preenchida uma das seguintes
condies:
a) O responsvel pelo tratamento tiver aplicado medidas de proteo adequadas, tanto tcnicas como organizativas, e
essas medidas tiverem sido aplicadas aos dados pessoais afetados pela violao de dados pessoais, especialmente
medidas que tornem os dados pessoais incompreensveis para qualquer pessoa no autorizada a aceder a esses dados,
tais como a cifragem;
b) O responsvel pelo tratamento tiver tomado medidas subsequentes que assegurem que o elevado risco para os
direitos e liberdades dos titulares dos dados a que se refere o n.o 1 j no suscetvel de se concretizar; ou
c) Implicar um esforo desproporcionado. Nesse caso, feita uma comunicao pblica ou tomada uma medida
semelhante atravs da qual os titulares dos dados so informados de forma igualmente eficaz.
4. Se o responsvel pelo tratamento no tiver j comunicado a violao de dados pessoais ao titular dos dados, a
autoridade de controlo, tendo considerado a probabilidade de a violao de dados pessoais resultar num elevado risco,
pode exigir-lhe que proceda a essa notificao ou pode constatar que se encontram preenchidas as condies referidas
no n.o 3.
S ec o 3
Av a l ia o de im pa cto s o bre a p r o te o de d ad os e co nsu l ta p r via
Artigo 35.o
Avaliao de impacto sobre a proteo de dados
1. Quando um certo tipo de tratamento, em particular que utilize novas tecnologias e tendo em conta a sua natureza,
mbito, contexto e finalidades, for suscetvel de implicar um elevado risco para os direitos e liberdades das pessoas
singulares, o responsvel pelo tratamento procede, antes de iniciar o tratamento, a uma avaliao de impacto das
operaes de tratamento previstas sobre a proteo de dados pessoais. Se um conjunto de operaes de tratamento que
apresentar riscos elevados semelhantes, pode ser analisado numa nica avaliao.
2. Ao efetuar uma avaliao de impacto sobre a proteo de dados, o responsvel pelo tratamento solicita o parecer
do encarregado da proteo de dados, nos casos em que este tenha sido designado.
3. A realizao de uma avaliao de impacto sobre a proteo de dados a que se refere o n.o 1 obrigatria
nomeadamente em caso de:
a) Avaliao sistemtica e completa dos aspetos pessoais relacionados com pessoas singulares, baseada no tratamento
automatizado, incluindo a definio de perfis, sendo com base nela adotadas decises que produzem efeitos jurdicos
relativamente pessoa singular ou que a afetem significativamente de forma similar;
b) Operaes de tratamento em grande escala de categorias especiais de dados a que se refere o artigo 9.o, n.o 1, ou de
dados pessoais relacionados com condenaes penais e infraes a que se refere o artigo 10.o; ou
c) Controlo sistemtico de zonas acessveis ao pblico em grande escala.
4. A autoridade de controlo elabora e torna pblica uma lista dos tipos de operaes de tratamento sujeitos ao
requisito de avaliao de impacto sobre a proteo de dados por fora do n.o 1. A autoridade de controlo comunica
essas listas ao Comit referido no artigo 68.o.
5. A autoridade de controlo pode tambm elaborar e tornar pblica uma lista dos tipos de operaes de tratamento
em relao aos quais no obrigatria uma anlise de impacto sobre a proteo de dados. A autoridade de controlo
comunica essas listas ao Comit.
6. Antes de adotar as listas a que se referem os n.os 4 e 5, a autoridade de controlo competente aplica o procedimento
de controlo da coerncia referido no artigo 63.o sempre que essas listas enunciem atividades de tratamento relacionadas
com a oferta de bens ou servios a titulares de dados ou com o controlo do seu comportamento em diversos Estados-
-Membros, ou possam afetar substancialmente a livre circulao de dados pessoais na Unio.
7. A avaliao inclui, pelo menos:
a) Uma descrio sistemtica das operaes de tratamento previstas e a finalidade do tratamento, inclusive, se for caso
disso, os interesses legtimos do responsvel pelo tratamento;
b) Uma avaliao da necessidade e proporcionalidade das operaes de tratamento em relao aos objetivos;
c) Uma avaliao dos riscos para os direitos e liberdades dos titulares dos direitos a que se refere o n.o 1; e
d) As medidas previstas para fazer face aos riscos, incluindo as garantias, medidas de segurana e procedimentos
destinados a assegurar a proteo dos dados pessoais e a demonstrar a conformidade com o presente regulamento,
tendo em conta os direitos e os legtimos interesses dos titulares dos dados e de outras pessoas em causa.
8. Ao avaliar o impacto das operaes de tratamento efetuadas pelos responsveis pelo tratamento ou pelos subcon
tratantes, em especial para efeitos de uma avaliao de impacto sobre a proteo de dados, tido na devida conta o
cumprimento dos cdigos de conduta aprovados a que se refere o artigo 40.o por parte desses responsveis ou subcon
tratantes.
9. Se for adequado, o responsvel pelo tratamento solicita a opinio dos titulares de dados ou dos seus representantes
sobre o tratamento previsto, sem prejuzo da defesa dos interesses comerciais ou pblicos ou da segurana das
operaes de tratamento.
10. Se o tratamento efetuado por fora do artigo 6.o, n.o 1, alnea c) ou e), tiver por fundamento jurdico o direito da
Unio ou do Estado-Membro a que o responsvel pelo tratamento est sujeito, e esse direito regular a operao ou as
operaes de tratamento especficas em questo, e se j tiver sido realizada uma avaliao de impacto sobre a proteo
de dados no mbito de uma avaliao de impacto geral no contexto da adoo desse fundamento jurdico, no so
aplicveis os n.os 1 a 7, salvo se os Estados-Membros considerarem necessrio proceder a essa avaliao antes das
atividades de tratamento.
11. Se necessrio, o responsvel pelo tratamento procede a um controlo para avaliar se o tratamento realizado em
conformidade com a avaliao de impacto sobre a proteo de dados, pelo menos quando haja uma alterao dos riscos
que as operaes de tratamento representam.
Artigo 36.o
Consulta prvia
1. O responsvel pelo tratamento consulta a autoridade de controlo antes de proceder ao tratamento quando a
avaliao de impacto sobre a proteo de dados nos termos do artigo 35.o indicar que o tratamento resultaria num
elevado risco na ausncia das medidas tomadas pelo responsvel pelo tratamento para atenuar o risco.
2. Sempre que considerar que o tratamento previsto referido no n.o 1 violaria o disposto no presente regulamento,
nomeadamente se o responsvel pelo tratamento no tiver identificado ou atenuado suficientemente os riscos, a
autoridade de controlo, no prazo mximo de oito semanas a contar da receo do pedido de consulta, d orientaes,
por escrito, ao responsvel pelo tratamento e, se o houver, ao subcontratante e pode recorrer a todos os seus poderes
referidos no artigo 58.o. Esse prazo pode ser prorrogado at seis semanas, tendo em conta a complexidade do
tratamento previsto. A autoridade de controlo informa da prorrogao o responsvel pelo tratamento ou, se o houver, o
subcontratante no prazo de um ms a contar da data de receo do pedido de consulta, juntamente com os motivos do
atraso. Esses prazos podem ser suspensos at que a autoridade de controlo tenha obtido as informaes que tenha
solicitado para efeitos da consulta.
3. Quando consultar a autoridade de controlo nos termos do n.o 1, o responsvel pelo tratamento comunica-lhe os
seguintes elementos:
a) Se for aplicvel, a repartio de responsabilidades entre o responsvel pelo tratamento, os responsveis conjuntos
pelo tratamento e os subcontratantes envolvidos no tratamento, nomeadamente no caso de um tratamento dentro de
um grupo empresarial;
b) As finalidades e os meios do tratamento previsto;
c) As medidas e garantias previstas para defesa dos direitos e liberdades dos titulares dos dados nos termos do presente
regulamento;
d) Se for aplicvel, os contactos do encarregado da proteo de dados;

e) A avaliao de impacto sobre a proteo de dados prevista no artigo 35.o; e
f) Quaisquer outras informaes solicitadas pela autoridade de controlo.
4. Os Estados-Membros consultam a autoridade de controlo durante a preparao de uma proposta de medida

legislativa a adotar por um parlamento nacional ou de uma medida regulamentar baseada nessa medida legislativa, que
esteja relacionada com o tratamento de dados.
5. No obstante o n.o 1, o direito dos Estados-Membros pode exigir que os responsveis pelo tratamento consultem a
autoridade de controlo e dela obtenham uma autorizao prvia em relao ao tratamento por um responsvel no
exerccio de uma misso de interesse pblico, incluindo o tratamento por motivos de proteo social e de sade pblica.
Se c o 4
E n ca r r eg a do da p ro te o de d a do s
Artigo 37.o
Designao do encarregado da proteo de dados
1. O responsvel pelo tratamento e o subcontratante designam um encarregado da proteo de dados sempre que:
a) O tratamento for efetuado por uma autoridade ou um organismo pblico, excetuando os tribunais no exerccio da
sua funo jurisdicional;
b) As atividades principais do responsvel pelo tratamento ou do subcontratante consistam em operaes de tratamento

que, devido sua natureza, mbito e/ou finalidade, exijam um controlo regular e sistemtico dos titulares dos dados
em grande escala; ou
c) As atividades principais do responsvel pelo tratamento ou do subcontratante consistam em operaes de tratamento

em grande escala de categorias especiais de dados nos termos do artigo 9.o e de dados pessoais relacionados com
condenaes penais e infraes a que se refere o artigo 10.o.
2. Um grupo empresarial pode tambm designar um nico encarregado da proteo de dados desde que haja um
encarregado da proteo de dados que seja facilmente acessvel a partir de cada estabelecimento.
3. Quando o responsvel pelo tratamento ou o subcontratante for uma autoridade ou um organismo pblico, pode
ser designado um nico encarregado da proteo de dados para vrias dessas autoridades ou organismos, tendo em
conta a respetiva estrutura organizacional e dimenso.
4. Em casos diferentes dos visados no n.o 1, o responsvel pelo tratamento ou o subcontratante ou as associaes e
outros organismos que representem categorias de responsveis pelo tratamento ou de subcontratantes podem, ou, se tal
lhes for exigido pelo direito da Unio ou dos Estados-Membros, designar um encarregado da proteo de dados. O
encarregado da proteo de dados pode agir em nome das associaes e de outros organismos que representem os
responsveis pelo tratamento ou os subcontratantes.
5. O encarregado da proteo de dados designado com base nas suas qualidades profissionais e, em especial, nos
seus conhecimentos especializados no domnio do direito e das prticas de proteo de dados, bem como na sua
capacidade para desempenhar as funes referidas no artigo 39.o.
6. O encarregado da proteo de dados pode ser um elemento do pessoal da entidade responsvel pelo tratamento ou
do subcontratante, ou exercer as suas funes com base num contrato de prestao de servios.
7. O responsvel pelo tratamento ou o subcontratante publica os contactos do encarregado da proteo de dados e

comunica-os autoridade de controlo.
Artigo 38.o
Posio do encarregado da proteo de dados
1. O responsvel pelo tratamento e o subcontratante asseguram que o encarregado da proteo de dados seja
envolvido, de forma adequada e em tempo til, a todas as questes relacionadas com a proteo de dados pessoais.
2. O responsvel pelo tratamento e o subcontratante apoia o encarregado da proteo de dados no exerccio das
funes a que se refere o artigo 39.o, fornecendo-lhe os recursos necessrios ao desempenho dessas funes e
manuteno dos seus conhecimentos, bem como dando-lhe acesso aos dados pessoais e s operaes de tratamento.
3. O responsvel pelo tratamento e o subcontratante asseguram que da proteo de dados no recebe instrues
relativamente ao exerccio das suas funes. O encarregado no pode ser destitudo nem penalizado pelo responsvel
pelo tratamento ou pelo subcontratante pelo facto de exercer as suas funes. O encarregado da proteo de dados
informa diretamente a direo ao mais alto nvel do responsvel pelo tratamento ou do subcontratante.
4. Os titulares dos dados podem contactar o encarregado da proteo de dados sobre todas questes relacionadas
com o tratamento dos seus dados pessoais e com o exerccio dos direitos que lhe so conferidos pelo presente
regulamento.
5. O encarregado da proteo de dados est vinculado obrigao de sigilo ou de confidencialidade no exerccio das
suas funes, em conformidade com o direito da Unio ou dos Estados-Membros.
6. O encarregado da proteo de dados pode exercer outras funes e atribuies. O responsvel pelo tratamento ou
o subcontratante assegura que essas funes e atribuies no resultam num conflito de interesses.
Artigo 39.o
Funes do encarregado da proteo de dados
1. O encarregado da proteo de dados tem, pelo menos, as seguintes funes:
a) Informa e aconselha o responsvel pelo tratamento ou o subcontratante, bem como os trabalhadores que tratem os
dados, a respeito das suas obrigaes nos termos do presente regulamento e de outras disposies de proteo de
dados da Unio ou dos Estados-Membros;
b) Controla a conformidade com o presente regulamento, com outras disposies de proteo de dados da Unio ou
dos Estados-Membros e com as polticas do responsvel pelo tratamento ou do subcontratante relativas proteo de
dados pessoais, incluindo a repartio de responsabilidades, a sensibilizao e formao do pessoal implicado nas
operaes de tratamento de dados, e as auditorias correspondentes;
c) Presta aconselhamento, quando tal lhe for solicitado, no que respeita avaliao de impacto sobre a proteo de
dados e controla a sua realizao nos termos do artigo 35.o;
d) Coopera com a autoridade de controlo;
e) Ponto de contacto para a autoridade de controlo sobre questes relacionadas com o tratamento, incluindo a consulta
prvia a que se refere o artigo 36.o, e consulta, sendo caso disso, esta autoridade sobre qualquer outro assunto.
2. No desempenho das suas funes, o encarregado da proteo de dados tem em devida considerao os riscos
associados s operaes de tratamento, tendo em conta a natureza, o mbito, o contexto e as finalidades do tratamento.
S ec o 5
C di go s de cond ut a e ce r t if ica o
Artigo 40.o
Cdigos de conduta
1. Os Estados-Membros, as autoridades de controlo, o Comit e a Comisso promovem a elaborao de cdigos de

conduta destinados a contribuir para a correta aplicao do presente regulamento, tendo em conta as caractersticas dos
diferentes setores de tratamento e as necessidades especficas das micro, pequenas e mdias empresas.
2. As associaes e outros organismos representantes de categorias de responsveis pelo tratamento ou de subcontra

tantes podem elaborar cdigos de conduta, alterar ou aditar a esses cdigos, a fim de especificar a aplicao do presente
regulamento, como por exemplo:
a) O tratamento equitativo e transparente;

b) Os legtimos interesses dos responsveis pelo tratamento em contextos especficos;
c) A recolha de dados pessoais;
d) A pseudonimizao dos dados pessoais;
e) A informao prestada ao pblico e aos titulares dos dados;
f) O exerccio dos direitos dos titulares dos dados;
g) As informaes prestadas s crianas e a sua proteo, e o modo pelo qual o consentimento do titular das responsa
bilidades parentais da criana deve ser obtido;
h) As medidas e procedimentos a que se referem os artigos 24.o e 25.o e as medidas destinadas a garantir a segurana
do tratamento referidas no artigo 30.o;
i) A notificao de violaes de dados pessoais s autoridades de controlo e a comunicao dessas violaes de dados
pessoais aos titulares dos dados;
j) A transferncia de dados pessoais para pases terceiros ou organizaes internacionais; ou
k) As aes extrajudiciais e outros procedimentos de resoluo de litgios entre os responsveis pelo tratamento e os
titulares dos dados em relao ao tratamento, sem prejuzo dos direitos dos titulares dos dados nos termos dos
artigos 77.o e 79.o.
3. Alm dos responsveis pelo tratamento ou dos subcontratantes sujeitos ao presente regulamento, tambm os
responsveis pelo tratamento ou subcontratantes que no esto sujeitos ao presente regulamento por fora do artigo 3.o
podem cumprir cdigos de conduta aprovados em conformidade com o n.o 5 do presente artigo e de aplicabilidade
geral por fora do n.o 9 do presente artigo, de modo a fornecer garantias apropriadas no quadro das transferncias dos
dados pessoais para pases terceiros ou organizaes internacionais nos termos referidos no artigo 46.o, n.o 2, alnea e).
Os responsveis pelo tratamento ou os subcontratantes assumem compromissos vinculativos e com fora executiva, por
meio de instrumentos contratuais ou de outros instrumentos juridicamente vinculativos, no sentido de aplicar as
garantias apropriadas, inclusivamente em relao aos direitos dos titulares dos dados.
4. Os cdigos de conduta referidos no n.o 2 do presente artigo devem prever procedimentos que permitam ao
organismo referido no artigo 41.o, n.o 1, efetuar a superviso obrigatria do cumprimento das suas disposies por
parte dos responsveis pelo tratamento ou subcontratantes que se comprometam a aplic-lo, sem prejuzo das funes e
competncias das autoridades de controlo competentes por fora do artigo 55.o ou 56.o.
5. As associaes e outros organismos a que se refere o n.o 2 do presente artigo que tencionem elaborar um cdigo
de conduta, ou alterar ou aditar a um cdigo existente, apresentam o projeto de cdigo, a alterao ou o aditamento
autoridade de controlo que competente por fora do artigo 55.o. A autoridade de controlo emite um parecer sobre a
conformidade do projeto de cdigo de conduta ou da alterao ou do aditamento com o presente regulamento e aprova
este projeto, esta alterao ou este aditamento se determinar que so previstas garantias apropriadas suficientes.
6. Se o cdigo de conduta, ou a alterao ou o aditamento for aprovado nos termos do n.o 5, e se o cdigo de
conduta em causa no estiver relacionado com atividades de tratamento realizadas em vrios Estados-Membros, a
autoridade de controlo regista e publica o cdigo.
7. Se o projeto do cdigo de conduta estiver relacionado com atividades de tratamento realizadas em vrios Estados-
-Membros, a autoridade de controlo competente nos termos do artigo 55.o, antes da aprovao, apresenta o projeto do
cdigo, a alterao ou o aditamento, pelo procedimento referido no artigo 63.o, ao Comit, que emite um parecer sobre
a conformidade do projeto de cdigo de conduta, ou da alterao ou do aditamento, com o presente regulamento, ou,
na situao referida no n.o 3 do presente artigo, sobre a previso de garantias adequadas.
8. Se o parecer a que se refere o n.o 7 confirmar que o projeto do cdigo de conduta, ou a alterao ou o
aditamento, est conforme com o presente regulamento ou, na situao referida no n.o 3, prev garantias adequadas, o
Comit apresenta o seu parecer Comisso.
9. A Comisso pode, atravs de atos de execuo, decidir que os cdigos de conduta aprovados, bem como as
alteraes ou os aditamentos, que lhe sejam apresentados nos termos do n.o 8 do presente artigo, so de aplicabilidade
geral na Unio. Os referidos atos de execuo so adotados pelo procedimento de exame a que se refere o artigo 93.o,
n.o 2.
10. A Comisso assegura a publicidade adequada dos cdigos aprovados que declarou, mediante deciso, serem de
aplicabilidade geral em conformidade com o n.o 9.
11. O Comit recolhe todos os cdigos de conduta aprovados, respetivas alteraes e respetivos aditamentos num
registo e disponibiliza-os ao pblico pelos meios adequados.
Artigo 41.o
Superviso dos cdigos de conduta aprovados
1. Sem prejuzo das funes e competncias da autoridade de controlo competente ao abrigo dos artigos 57.o e 58.o,
a superviso de conformidade com um cdigo de conduta nos termos do artigo 40.o pode ser efetuada por um
organismo que tenha um nvel adequado de competncia relativamente ao objeto do cdigo e esteja acreditado para o
efeito pela autoridade de controlo competente.
2. O organismo a que se refere o n.o 1 pode ser acreditado para superviso de conformidade com um cdigo de
conduta, se:
a) Tiver demonstrado que goza de independncia e dispe dos conhecimentos necessrios em relao ao objeto do
cdigo, de forma satisfatria para a autoridade de controlo competente;
b) Tiver estabelecido procedimentos que lhe permitam avaliar a elegibilidade dos responsveis pelo tratamento e dos
subcontratantes em questo para aplicar o cdigo, verificar se estes respeitam as disposies do mesmo e rever
periodicamente o seu funcionamento;
c) Tiver estabelecido procedimentos e estruturas para tratar reclamaes relativas a violaes do cdigo ou forma
como o cdigo tenha sido ou esteja a ser aplicado pelo responsvel pelo tratamento ou subcontratante, e para tornar
estes procedimentos e estruturas transparentes para os titulares dos dados e o pblico; e
d) Demonstrar, de forma satisfatria para a autoridade de controlo competente, que as suas funes e atribuies no
implicam um conflito de interesses.
3. A autoridade de controlo competente apresenta os projetos de critrios para a acreditao do organismo referido
no n.o 1 do presente artigo ao Comit, de acordo com o procedimento de controlo da coerncia referido no artigo 63.o.
4. Sem prejuzo das funes e competncias da autoridade de controlo competente e do disposto no captulo VIII, o
organismo a que se refere o n.o 1 do presente artigo toma, sob reserva das garantias adequadas, as medidas que forem
adequadas em caso de violaes do cdigo por um responsvel pelo tratamento ou por um subcontratante, incluindo a
suspenso ou excluso desse responsvel ou subcontratante do cdigo. O referido organismo informa a autoridade de
controlo competente dessas medidas e dos motivos que levaram sua tomada.
5. A autoridade de controlo competente revoga a acreditao do organismo a que se refere o n.o 1 se as condies
para a acreditao no estiverem ou tiverem deixado de estar reunidas, ou se as medidas tomadas pelo organismo
violarem o presente regulamento.
6. O presente artigo no se aplica ao tratamento realizado por autoridades e organismos pblicos.
Artigo 42.o
Certificao
1. Os Estados-Membros, as autoridades de controlo, o Comit e a Comisso promovem, em especial ao nvel da

Unio, a criao de procedimentos de certificao em matria de proteo de dados, bem como selos e marcas de
proteo de dados, para efeitos de comprovao da conformidade das operaes de tratamento de responsveis pelo
tratamento e subcontratantes com o presente regulamento. Sero tidas em conta as necessidades especficas das micro,
pequenas e mdias empresas.
2. Alm do cumprimento pelos responsveis pelo tratamento ou pelos subcontratantes sujeitos ao presente
regulamento, os procedimentos de certificao em matria de proteo de dados, bem como selos ou marcas aprovados
de acordo com o n.o 5 do presente artigo tambm podem ser estabelecidos para efeitos de comprovao da existncia de
garantias adequadas fornecidas por responsveis pelo tratamento ou por subcontratantes que no esto sujeitos ao
presente regulamento por fora do artigo 3.o no quadro das transferncias de dados pessoais para pases terceiros ou
organizaes internacionais nos termos referidos no artigo 46.o, n.o 2, alnea f). Os responsveis pelo tratamento ou os
subcontratantes assumem compromissos vinculativos e com fora executiva, por meio de instrumentos contratuais ou
de outros instrumentos juridicamente vinculativos, no sentido de aplicar as garantias adequadas, inclusivamente em
relao aos direitos dos titulares dos dados.
3. A certificao voluntria e est disponvel atravs de um processo transparente.
4. A certificao prevista no presente artigo no diminui a responsabilidade dos responsveis pelo tratamento e
subcontratantes pelo cumprimento do presente regulamento nem prejudica as funes e competncias das autoridades
de controlo competentes por fora do artigo 55.o ou 56.o.
5. A certificao prevista no presente artigo emitida pelos organismos de certificao referidos no artigo 43.o ou
pela autoridade de controlo competente, com base nos critrios por esta aprovados por fora do artigo 58.o, n.o 3, ou
pelo Comit por fora do artigo 63.o. Caso os critrios sejam aprovados pelo Comit, podem ter como resultado uma
certificao comum, o Selo Europeu de Proteo de Dados.
6. Os responsveis pelo tratamento ou subcontratantes que submetem o seu tratamento ao procedimento de

certificao fornecem ao organismo de certificao a que se refere o artigo 43.o, ou, consoante o caso, autoridade de
controlo competente, todo o acesso s suas atividades de tratamento e toda a informao de que haja necessidade para
efetuar o procedimento de certificao.
7. A certificao emitida aos responsveis pelo tratamento e subcontratantes por um perodo mximo de trs anos
e pode ser renovada nas mesmas condies, desde que os requisitos aplicveis continuem a estar reunidos. A certificao
retirada, consoante o caso, pelos organismos de certificao referidos no artigo 43.o ou pela autoridade de controlo
competente, se os requisitos para a certificao no estiverem ou tiverem deixados de estar reunidos.
8. O Comit recolhe todos os procedimentos de certificao e todos os selos e marcas de proteo de dados
aprovados num registo e disponibiliza-os ao pblico por todos os meios adequados.
Artigo 43.o
Organismos de certificao
1. Sem prejuzo das atribuies e poderes da autoridade de controlo competente nos termos dos artigos 57.o e 58.o,
um organismo de certificao que tenha um nvel adequado de competncia em matria de proteo de dados emite e
renova a certificao, aps informar a autoridade de controlo para que esta possa exercer as suas competncias nos
termos do artigo 58.o, n.o 2, alnea h), sempre que necessrio. Os Estados-Membros asseguram que estes organismos de
certificao so acreditados:
a) Pela autoridade de controlo que competente nos termos do artigo 55.o ou 56.o;
b) Pelo organismo nacional de acreditao, designado nos termos do Regulamento (CE) n.o 765/2008 do Parlamento
Europeu e do Conselho (1), em conformidade com a norma EN-ISO/IEC 17065/2012 e com os requisitos adicionais
estabelecidos pela autoridade de controlo que competente nos termos do artigo 55.o ou 56.o.
2. Os organismos de certificao referidos no n.o 1 so acreditados em conformidade com o mesmo, apenas se:
a) Tiverem demonstrado que gozam de independncia e dispem dos conhecimentos necessrios em relao ao objeto
da certificao, de forma satisfatria para a autoridade de controlo competente;
(1) Regulamento (CE) n.o 765/2008 do Parlamento Europeu e do Conselho, de 9 de julho de 2008, que estabelece os requisitos de
acreditao e fiscalizao do mercado relativos comercializao de produtos, e que revoga o Regulamento (CEE) n.o 339/93 (JO L 218
de 13.8.2008, p. 30).
b) Se tiverem comprometido a respeitar os critrios referidos no artigo 42.o, n.o 5, e aprovados pela autoridade de
controlo que competente por fora do artigo 55.o ou 56.o ou pelo Comit por fora do artigo 63.o;
c) Tiverem estabelecido procedimentos para a emisso, reviso peridica e retirada de procedimentos de certificao,
selos e marcas de proteo de dados;
d) Tiverem estabelecido procedimentos e estruturas para tratar reclamaes relativas a violaes da certificao ou
forma como a certificao tenha sido ou esteja a ser implementada pelo responsvel pelo tratamento ou subcon
tratante, e para tornar estes procedimentos e estruturas transparentes para os titulares dos dados e o pblico; e
e) Demonstrarem, de forma satisfatria para a autoridade de controlo competente, que as suas funes e atribuies
no implicam um conflito de interesses.
3. A acreditao dos organismos de certificao referida nos n.os 1 e 2 do presente artigo, efetuada com base nos
critrios aprovados pela autoridade de controlo que competente por fora do artigo 55.o ou 56.o ou pelo Comit por
fora do artigo 63.o. No caso de acreditaes nos termos do n.o 1, alnea b), do presente artigo, esses requisitos
complementam os requisitos previstos no Regulamento (CE) n.o 765/2008 e as regras tcnicas que descrevem os
mtodos e procedimentos dos organismos de certificao.
4. Os organismos de certificao a que se refere o n.o 1 so responsveis pela correta avaliao necessria
certificao, ou pela revogao dessa certificao, sem prejuzo da responsabilidade que cabe ao responsvel pelo
tratamento ou ao subcontratante pelo cumprimento do presente regulamento. A acreditao emitida por um perodo
mximo de cinco anos e pode ser renovada nas mesmas condies, desde que o organismo de certificao rena os
requisitos estabelecidos no presente artigo.
5. Os organismos de certificao a que se refere o n.o 1 fornecem s autoridades de controlo competentes os motivos
que levaram concesso ou revogao da certificao solicitada.
6. Os requisitos referidos no n.o 3 do presente artigo, e os critrios referidos no artigo 42.o, n.o 5, so publicados pela
autoridade de controlo sob uma forma facilmente acessvel. As autoridades de controlo tambm comunicam estes
requisitos e estas informaes ao Comit. O Comit recolhe todos os procedimentos de certificao e selos de proteo
de dados aprovados num registo e disponibiliza-os ao pblico por todos os meios adequados.
7. Sem prejuzo do captulo VIII, a autoridade de controlo competente ou o organismo nacional de acreditao
revoga uma acreditao do organismo de certificao nos termos do n.o 1 do presente artigo, se as condies para a
acreditao no estiverem ou tiverem deixado de estar reunidas, ou se as medidas tomadas pelo organismo de
certificao violarem o presente regulamento.
8. A Comisso fica habilitada a adotar atos delegados nos termos do artigo 92.o, a fim de especificar os requisitos a
ter em conta relativamente aos procedimentos de certificao em matria de proteo de dados referidos no artigo 42.o,
n.o 1.
9. A Comisso pode adotar atos de execuo estabelecendo normas tcnicas para os procedimentos de certificao e
os selos e marcas em matria de proteo de dados, e regras para promover e reconhecer esses procedimentos de
certificao, selos e marcas. Os referidos atos de execuo so adotados pelo procedimento de exame a que se refere o
artigo 93.o, n.o 2.
CAPTULO V
Transferncias de dados pessoais para pases terceiros ou organizaes internacionais
Artigo 44.o
Princpio geral das transferncias
Qualquer transferncia de dados pessoais que sejam ou venham a ser objeto de tratamento aps transferncia para um
pas terceiro ou uma organizao internacional s realizada se, sem prejuzo das outras disposies do presente
regulamento, as condies estabelecidas no presente captulo forem respeitadas pelo responsvel pelo tratamento e pelo
subcontratante, inclusivamente no que diz respeito s transferncias ulteriores de dados pessoais do pas terceiro ou da
organizao internacional para outro pas terceiro ou outra organizao internacional. Todas as disposies do presente
captulo so aplicadas de forma a assegurar que no comprometido o nvel de proteo das pessoas singulares
garantido pelo presente regulamento.
Artigo 45.o
Transferncias com base numa deciso de adequao
1. Pode ser realizada uma transferncia de dados pessoais para um pas terceiro ou uma organizao internacional se
a Comisso tiver decidido que o pas terceiro, um territrio ou um ou mais setores especficos desse pas terceiro, ou a
organizao internacional em causa, assegura um nvel de proteo adequado. Esta transferncia no exige autorizao
especfica.
2. Ao avaliar a adequao do nvel de proteo, a Comisso tem nomeadamente em conta os seguintes elementos:
a) O primado do Estado de direito, o respeito pelos direitos humanos e liberdades fundamentais, a legislao pertinente
em vigor, tanto a geral como a setorial, nomeadamente em matria de segurana pblica, defesa, segurana nacional
e direito penal, e respeitante ao acesso das autoridades pblicas a dados pessoais, bem como a aplicao dessa
legislao e das regras de proteo de dados, das regras profissionais e das medidas de segurana, incluindo as regras
para a transferncia ulterior de dados pessoais para outro pas terceiro ou organizao internacional, que so
cumpridas nesse pas ou por essa organizao internacional, e a jurisprudncia, bem como os direitos dos titulares
dos dados efetivos e oponveis, e vias de recurso administrativo e judicial para os titulares de dados cujos dados
pessoais sejam objeto de transferncia;
b) A existncia e o efetivo funcionamento de uma ou mais autoridades de controlo independentes no pas terceiro ou s
quais esteja sujeita uma organizao internacional, responsveis por assegurar e impor o cumprimento das regras de
proteo de dados, e dotadas de poderes coercitivos adequados para assistir e aconselhar os titulares dos dados no
exerccio dos seus direitos, e cooperar com as autoridades de controlo dos Estados-Membros; e
c) Os compromissos internacionais assumidos pelo pas terceiro ou pela organizao internacional em causa, ou outras
obrigaes decorrentes de convenes ou instrumentos juridicamente vinculativos, bem como da sua participao em
sistemas multilaterais ou regionais, em especial em relao proteo de dados pessoais.
3. Aps avaliar a adequao do nvel de proteo, a Comisso pode decidir, atravs de um ato de execuo, que um
pas terceiro, um territrio ou um ou mais setores especficos de um pas terceiro, ou uma organizao internacional,
garante um nvel de proteo adequado na aceo do n.o 2 do presente artigo. O ato de execuo prev um
procedimento de avaliao peridica, no mnimo de quatro em quatro anos, que dever ter em conta todos os desenvol
vimentos pertinentes no pas terceiro ou na organizao internacional. O ato de execuo especifica o mbito de
aplicao territorial e setorial e, se for caso disso, identifica a autoridade ou autoridades de controlo a que se refere o
n.o 2, alnea b), do presente artigo. O referido ato de execuo adotado pelo procedimento de exame a que se refere o
artigo 93.o, n.o 2.
4. A Comisso controla, de forma continuada, os desenvolvimentos nos pases terceiros e nas organizaes interna
cionais que possam afetar o funcionamento das decises adotadas nos termos do n.o 3 do presente artigo e das decises
adotadas com base no artigo 25.o, n.o 6, da Diretiva 95/46/CE.
5. A Comisso, sempre que a informao disponvel revelar, nomeadamente na sequncia da reviso a que se refere o
n.o 3 do presente artigo, que um pas terceiro, um territrio ou um ou mais setores especficos de um pas terceiro, ou
uma organizao internacional, deixou de assegurar um nvel de proteo adequado na aceo do n.o 2 do presente
artigo, na medida do necessrio, revoga, altera ou suspende a deciso referida no n.o 3 do presente artigo, atravs de
atos de execuo, sem efeitos retroativos. Os referidos atos de execuo so adotados pelo procedimento de exame a que
se refere o artigo 93.o, n.o 2.
Por imperativos de urgncia devidamente justificados, a Comisso adota atos de execuo imediatamente aplicveis pelo
procedimento a que se refere o artigo 93.o, n.o 3.
6. A Comisso inicia consultas com o pas terceiro ou a organizao internacional com vista a corrigir a situao que
tiver dado origem deciso tomada nos termos do n.o 5.
7. As decises tomadas ao abrigo do n.o 5 do presente artigo no prejudicam as transferncias de dados pessoais para
o pas terceiro, um territrio ou um ou mais setores especficos desse pas terceiro, ou para a organizao internacional
em causa, nos termos dos artigos 46.o a 49.o.
8. A Comisso publica no Jornal Oficial da Unio Europeia e no seu stio web uma lista dos pases terceiros, territrios e
setores especficos de um pas terceiro e de organizaes internacionais relativamente aos quais tenha declarado,
mediante deciso, se asseguram ou no um nvel de proteo adequado.
9. As decises adotadas pela Comisso com base no artigo 25.o, n.o 6, da Diretiva 95/46/CE permanecem em vigor
at que sejam alteradas, substitudas ou revogadas por uma deciso da Comisso adotada em conformidade com o n.o 3
ou o n.o 5 do presente artigo.
Artigo 46.o
Transferncias sujeitas a garantias adequadas
1. No tendo sido tomada qualquer deciso nos termos do artigo 45.o, n.o 3, os responsveis pelo tratamento ou
subcontratantes s podem transferir dados pessoais para um pas terceiro ou uma organizao internacional se tiverem
apresentado garantias adequadas, e na condio de os titulares dos dados gozarem de direitos oponveis e de medidas
jurdicas corretivas eficazes.
2. Podem ser previstas as garantias adequadas referidas no n.o 1, sem requerer nenhuma autorizao especfica de
uma autoridade de controlo, por meio de:
a) Um instrumento juridicamente vinculativo e com fora executiva entre autoridades ou organismos pblicos;
b) Regras vinculativas aplicveis s empresas em conformidade com o artigo 47.o;
c) Clusulas-tipo de proteo de dados adotadas pela Comisso pelo procedimento de exame referido no artigo 93.o,
n.o 2;
d) Clusulas-tipo de proteo de dados adotadas por uma autoridade de controlo e aprovadas pela Comisso pelo
procedimento de exame referido no artigo 93.o, n.o 2;
e) Um cdigo de conduta, aprovado nos termos do artigo 40.o, acompanhado de compromissos vinculativos e com
fora executiva assumidos pelos responsveis pelo tratamento ou pelos subcontratantes no pas terceiro no sentido de
aplicarem as garantias adequadas, nomeadamente no que respeita aos direitos dos titulares dos dados; ou
f) Um procedimento de certificao, aprovado nos termos do artigo 42.o, acompanhado de compromissos vinculativos
e com fora executiva assumidos pelos responsveis pelo tratamento ou pelos subcontratantes no pas terceiro no
sentido de aplicarem as garantias adequadas, nomeadamente no que respeita aos direitos dos titulares dos dados.
3. Sob reserva de autorizao da autoridade de controlo competente, podem tambm ser previstas as garantias
adequadas referidas no n.o 1, nomeadamente por meio de:
a) Clusulas contratuais entre os responsveis pelo tratamento ou subcontratantes e os responsveis pelo tratamento,
subcontratantes ou destinatrios dos dados pessoais no pas terceiro ou organizao internacional; ou
b) Disposies a inserir nos acordos administrativos entre as autoridades ou organismos pblicos que contemplem os
direitos efetivos e oponveis dos titulares dos dados.
4. A autoridade de controlo aplica o procedimento de controlo da coerncia a que se refere o artigo 63.o nos casos
enunciados no n.o 3 do presente artigo.
5. As autorizaes concedidas por um Estado-Membro ou uma autoridade de controlo com base no artigo 26.o,
n.o 2, da Diretiva 95/46/CE continuam vlidas at que a mesma autoridade de controlo as altere, substitua ou revogue,
caso seja necessrio. As decises adotadas pela Comisso com base no artigo 26.o, n.o 4, da Diretiva 95/46/CE
permanecem em vigor at que sejam alteradas, substitudas ou revogadas, caso seja necessrio, por uma deciso da
Comisso adotada em conformidade com o n.o 2 do presente artigo.
Artigo 47.o
Regras vinculativas aplicveis s empresas
1. Pelo procedimento de controlo da coerncia previsto no artigo 63.o, a autoridade de controlo competente aprova
regras vinculativas aplicveis s empresas, que devem:
a) Ser juridicamente vinculativas e aplicveis a todas as entidades em causa do grupo empresarial ou do grupo de
empresas envolvidas numa atividade econmica conjunta, incluindo os seus funcionrios, as quais devero assegurar
o seu cumprimento;
b) Conferir expressamente aos titulares dos dados direitos oponveis relativamente ao tratamento dos seus dados
pessoais; e
c) Preencher os requisitos estabelecidos no n.o 2.
2. As regras vinculativas aplicveis s empresas a que se refere o n.o 1 especificam, pelo menos:
a) A estrutura e os contactos do grupo empresarial ou do grupo de empresas envolvidas numa atividade econmica
conjunta e de cada uma das entidades que o compe;
b) As transferncias ou conjunto de transferncias de dados, incluindo as categorias de dados pessoais, o tipo de

tratamento e suas finalidades, o tipo de titulares de dados afetados e a identificao do pas ou pases terceiros em
questo;
c) O seu carter juridicamente vinculativo, a nvel interno e externo;
d) A aplicao dos princpios gerais de proteo de dados, nomeadamente a limitao das finalidades, a minimizao
dos dados, a limitao dos prazos de conservao, a qualidade dos dados, a proteo dos dados desde a conceo e
por defeito, o fundamento jurdico para o tratamento, o tratamento de categorias especiais de dados pessoais, as
medidas de garantia da segurana dos dados e os requisitos aplicveis a transferncias posteriores para organismos
no abrangidos pelas regras vinculativas aplicveis s empresas;
e) Os direitos dos titulares dos dados relativamente ao tratamento e regras de exerccio desses direitos, incluindo o
direito de no ser objeto de decises baseadas unicamente no tratamento automatizado, nomeadamente a definio
de perfis a que se refere o artigo 22.o, o direito de apresentar uma reclamao autoridade de controlo competente
e aos tribunais competentes dos Estados-Membros nos termos do artigo 79.o, bem como o de obter reparao e, se
for caso disso, indemnizao pela violao das regras vinculativas aplicveis s empresas;
f) A aceitao, por parte do responsvel pelo tratamento ou subcontratante estabelecido no territrio de um Estado-
-Membro, da responsabilidade por toda e qualquer violao das regras vinculativas aplicveis s empresas cometida
por uma entidade envolvida que no se encontre estabelecida na Unio; o responsvel pelo tratamento ou o subcon
tratante s pode ser exonerado dessa responsabilidade, no todo ou em parte, mediante prova de que o facto que
causou o dano no imputvel referida entidade;
g) A forma como as informaes sobre as regras vinculativas aplicveis s empresas, nomeadamente, sobre as
disposies referidas nas alneas d), e) e f) do presente nmero, so comunicadas aos titulares dos dados para alm
das informaes referidas nos artigos 13.o e 14.o;
h) As funes de qualquer encarregado da proteo de dados, designado nos termos do artigo 37.o ou de qualquer
outra pessoa ou entidade responsvel pelo controlo do cumprimento das regras vinculativas aplicveis s empresas,
a nvel do grupo empresarial ou do grupo de empresas envolvidas numa atividade econmica conjunta, e pela
superviso das aes de formao e do tratamento de reclamaes;
i) Os procedimentos de reclamao;
j) Os procedimentos existentes no grupo empresarial ou no grupo de empresas envolvidas numa atividade econmica
conjunta para assegurar a verificao do cumprimento das regras vinculativas aplicveis s empresas. Esses procedi
mentos incluem a realizao de auditorias sobre a proteo de dados e o recurso a mtodos que garantam a adoo
de medidas corretivas capazes de preservar os direitos dos respetivos titulares. Os resultados dessa verificao devem
ser comunicados pessoa ou entidade referida na alnea h) e ao Conselho de Administrao da empresa ou grupo
empresarial que exerce o controlo ou do grupo de empresas envolvidas numa atividade econmica conjunta,
devendo tambm ser facultados autoridade de controlo competente, a pedido desta;
k) Os procedimentos de elaborao de relatrios e de registo de alteraes s regras, bem como de comunicao dessas
alteraes autoridade de controlo;
l) O procedimento de cooperao com a autoridade de controlo para assegurar o cumprimento, por qualquer entidade
do grupo empresarial ou do grupo de empresas envolvidas numa atividade econmica conjunta, em especial
facultando autoridade de controlo os resultados de verificaes das medidas referidas na alnea j);
m) Os procedimentos de comunicao, autoridade de controlo competente, de todos os requisitos legais a que uma
entidade do grupo empresarial ou do grupo de empresas envolvidas numa atividade econmica conjunta esteja
sujeita num pas terceiro que sejam passveis de ter forte impacto negativo nas garantias dadas pelas regras
vinculativas aplicveis s empresas; e
n) Aes de formao especificamente dirigidas a pessoas que tenham, em permanncia ou regularmente, acesso a
dados de natureza pessoal.
3. A Comisso pode especificar o formato e os procedimentos de intercmbio de informaes entre os responsveis

pelo tratamento, os subcontratantes e as autoridades de controlo no que respeita s regras vinculativas aplicveis s
empresas na aceo do presente artigo. Os referidos atos de execuo so adotados pelo procedimento de exame a que
se refere o artigo 93.o, n.o 2.
Artigo 48.o
Transferncias ou divulgaes no autorizadas pelo direito da Unio
As decises judiciais e as decises de autoridades administrativas de um pas terceiro que exijam que o responsvel pelo
tratamento ou o subcontratante transfiram ou divulguem dados pessoais s so reconhecidas ou executadas se tiverem
como base um acordo internacional, como um acordo de assistncia judiciria mtua, em vigor entre o pas terceiro em
causa e a Unio ou um dos Estados-Membros, sem prejuzo de outros motivos de transferncia nos termos do presente
captulo.
Artigo 49.o
Derrogaes para situaes especficas
1. Na falta de uma deciso de adequao nos termos do artigo 45.o, n.o 3, ou de garantias adequadas nos termos do
artigo 46.o, designadamente de regras vinculativas aplicveis s empresas, as transferncias ou conjunto de transferncias
de dados pessoais para pases terceiros ou organizaes internacionais s so efetuadas caso se verifique uma das
seguintes condies:
a) O titular dos dados tiver explicitamente dado o seu consentimento transferncia prevista, aps ter sido informado
dos possveis riscos de tais transferncias para si prprio devido falta de uma deciso de adequao e das garantias
adequadas;
b) A transferncia for necessria para a execuo de um contrato entre o titular dos dados e o responsvel pelo
tratamento ou de diligncias prvias formao do contrato decididas a pedido do titular dos dados;
c) A transferncia for necessria para a celebrao ou execuo de um contrato, celebrado no interesse do titular dos
dados, entre o responsvel pelo seu tratamento e outra pessoa singular ou coletiva;
d) A transferncia for necessria por importantes razes de interesse pblico;
e) A transferncia for necessria declarao, ao exerccio ou defesa de um direito num processo judicial;
f) A transferncia for necessria para proteger interesses vitais do titular dos dados ou de outras pessoas, se esse titular
estiver fsica ou legalmente incapaz de dar o seu consentimento;
g) A transferncia for realizada a partir de um registo que, nos termos do direito da Unio ou do Estado-Membro, se
destine a informar o pblico e se encontre aberto consulta do pblico em geral ou de qualquer pessoa que possa
provar nela ter um interesse legtimo, mas apenas na medida em que as condies de consulta estabelecidas no
direito da Unio ou de um Estado-Membro se encontrem preenchidas nesse caso concreto.
Quando uma transferncia no puder basear-se no disposto no artigo 45.o ou 46.o, incluindo nas regras vinculativas
aplicveis s empresas, e no for aplicvel nenhuma das derrogaes previstas para as situaes especficas a que se
refere o primeiro pargrafo do presente nmero, a transferncia para um pas terceiro ou uma organizao internacional
s pode ser efetuada se no for repetitiva, apenas disser respeito a um nmero limitado de titulares dos dados, for
necessria para efeitos dos interesses legtimos visados pelo responsvel pelo seu tratamento, desde que a tais interesses
no se sobreponham os interesses ou os direitos e liberdades do titular dos dados, e o responsvel pelo tratamento tiver
ponderado todas as circunstncias relativas transferncia de dados e, com base nessa avaliao, tiver apresentado
garantias adequadas no que respeita proteo de dados pessoais. O responsvel pelo tratamento informa da transfe
rncia a autoridade de controlo. Para alm de fornecer a informao referida nos artigos 13.o e 14.o, o responsvel pelo
tratamento presta informaes ao titular dos dados sobre a transferncia e os interesses legtimos visados.
2. As transferncias efetuadas nos termos do n.o 1, primeiro pargrafo, alnea g), no envolvem a totalidade dos
dados pessoais nem categorias completas de dados pessoais constantes do registo. Quando o registo se destinar a ser
consultado por pessoas com um interesse legtimo, as transferncias s podem ser efetuadas a pedido dessas pessoas ou
se forem elas os seus destinatrios.
3. O n.o 1, primeiro pargrafo, alneas a), b) e c), e segundo pargrafo, no aplicvel a atividades levadas a cabo por
autoridades pblicas no exerccio dos seus poderes.
4. O interesse pblico referido no n.o 1, primeiro pargrafo, alnea d), reconhecido pelo direito da Unio ou pelo
direito do Estado-Membro a que o responsvel pelo tratamento se encontre sujeito.
5 Na falta de uma deciso de adequao, o direito da Unio ou de um Estado-Membro podem, por razes
importantes de interesse pblico, estabelecer expressamente limites transferncia de categorias especficas de dados
para pases terceiros ou organizaes internacionais. Os Estados-Membros notificam a Comisso dessas disposies.
6. O responsvel pelo tratamento ou o subcontratante documenta a avaliao, bem como as garantias adequadas
referidas no n.o 1, segundo pargrafo, do presente artigo, nos registos a que se refere o artigo 30.o.
Artigo 50.o
Cooperao internacional no domnio da proteo de dados pessoais
Em relao a pases terceiros e a organizaes internacionais, a Comisso e as autoridades de controlo tomam as

medidas necessrias para:
a) Estabelecer regras internacionais de cooperao destinadas a facilitar a aplicao efetiva da legislao em matria de
proteo de dados pessoais;
b) Prestar assistncia mtua a nvel internacional no domnio da aplicao da legislao relativa proteo de dados
pessoais, nomeadamente atravs da notificao, comunicao de reclamaes, e assistncia na investigao e
intercmbio de informaes, sob reserva das garantias adequadas de proteo dos dados pessoais e de outros direitos
e liberdades fundamentais;
c) Associar as partes interessadas aos debates e atividades que visem intensificar a cooperao internacional no mbito
da aplicao da legislao relativa proteo de dados pessoais;
d) Promover o intercmbio e a documentao da legislao e das prticas em matria de proteo de dados pessoais,
nomeadamente no que diz respeito a conflitos jurisdicionais com pases terceiros.
CAPTULO VI
Autoridades de controlo independentes
S ec o 1
Es t a tuto ind ep e nde nte
Artigo 51.o
Autoridade de controlo
1. Os Estados-Membros estabelecem que cabe a uma ou mais autoridades pblicas independentes a responsabilidade
pela fiscalizao da aplicao do presente regulamento, a fim de defender os direitos e liberdades fundamentais das
pessoas singulares relativamente ao tratamento e facilitar a livre circulao desses dados na Unio (autoridade de
controlo).
2. As autoridades de controlo contribuem para a aplicao coerente do presente regulamento em toda a Unio. Para
esse efeito, as autoridades de controlo cooperam entre si e com a Comisso, nos termos do captulo VII.
3. Quando estiverem estabelecidas mais do que uma autoridade de controlo num Estado-Membro, este determina
qual a autoridade de controlo que deve representar essas autoridades no Comit e estabelece disposies para assegurar
que as regras relativas ao procedimento de controlo da coerncia referido no artigo 63.o, sejam cumpridas pelas
autoridades.
4. Os Estados-Membros notificam a Comisso das disposies do direito nacional que adotarem nos termos do
presente captulo, at 25 de maio de 2018 e, sem demora, de qualquer alterao posterior a essas mesmas disposies.
Artigo 52.o
Independncia
1. As autoridades de controlo agem com total independncia no na prossecuo das suas atribuies e no exerccio
dos poderes que lhe so atribudos nos termos do presente regulamento.
2. Os membros das autoridades de controlo no esto sujeitos a influncias externas, diretas ou indiretas no
desempenho das suas funes e no exerccio dos seus poderes nos termos do presente regulamento, e no solicitam nem
recebem instrues de outrem.
3. Os membros da autoridade de controlo abstm-se de qualquer ato incompatvel com as suas funes e, durante o
seu mandato, no podem desempenhar nenhuma atividade, remunerada ou no, que com elas seja incompatvel.
4. Os Estados-Membros asseguram que cada autoridade de controlo disponha dos recursos humanos, tcnicos e
financeiros, instalaes e infraestruturas necessrios prossecuo eficaz das suas atribuies e ao exerccio dos seus
poderes, incluindo as executadas no contexto da assistncia mtua, da cooperao e da participao no Comit.
5. Os Estados-Membros asseguram que cada autoridade de controlo selecione e disponha do seu prprio pessoal, que
ficar sob a direo exclusiva dos membros da autoridade de controlo interessada.
6. Os Estados-Membros asseguram que cada autoridade de controlo fique sujeita a um controlo financeiro que no
afeta a sua independncia e que disponha de oramentos anuais separados e pblicos, que podero estar integrados no
oramento geral do Estado ou nacional.
Artigo 53.o
Condies gerais aplicveis aos membros da autoridade de controlo
1. Os Estados-Membros estabelecem que cada membro das respetivas autoridades de controlo seja nomeado por
procedimento transparente:
pelo Parlamento,
pelo Governo,
pelo Chefe de Estado, ou
por um organismo independente incumbido da nomeao nos termos do direito do Estado-Membro.
2. Cada membro possui as habilitaes, a experincia e os conhecimentos tcnicos necessrios, nomeadamente no

domnio da proteo de dados pessoais, ao desempenho das suas funes e ao exerccio dos seus poderes.
3. As funes dos membros da autoridade de controlo cessam findo o seu mandato, com a sua exonerao ou
aposentao compulsiva, nos termos do direito do Estado-Membro em causa.
4. Os membros da autoridade de controlo s so exonerados se tiverem cometido uma falta grave ou se tiverem
deixado de cumprir as condies exigidas para o exerccio das suas funes.
Artigo 54.o
Regras aplicveis constituio da autoridade de controlo
1. Os Estados-Membros estabelecem, por via legislativa:
a) A constituio de cada autoridade de controlo;

b) As qualificaes e as condies de elegibilidade necessrias para a nomeao dos membros de cada autoridade de
controlo;
c) As regras e os procedimentos de nomeao dos membros de cada autoridade de controlo;
d) A durao do mandato dos membros de cada autoridade de controlo, que no ser inferior a quatro anos, salvo no
caso do primeiro mandato aps 24 de maio de 2016, e ser mais curta quando for necessrio proteger a indepen
dncia da autoridade de controlo atravs de um procedimento de nomeaes escalonadas;
e) Se, e em caso afirmativo, por quantos mandatos os membros de cada autoridade de controlo podem ser renomeados;
f) As condies que regem as obrigaes dos membros e do pessoal de cada autoridade de controlo, a proibio das
aes, funes e benefcios que com elas so incompatveis durante o mandato e aps o seu termo e as regras que
regem a cessao da relao de trabalho.
2. Os membros e o pessoal de cada autoridade de controlo ficam sujeitos, nos termos do direito da Unio ou dos
Estados-Membros, obrigao de sigilo profissional, tanto durante o mandato como aps o seu termo, quanto a
quaisquer informaes confidenciais a que tenham tido acesso no desempenho das suas funes ou exerccio dos seus
poderes. Durante o seu mandato, essa obrigao de sigilo profissional aplica-se, em especial, comunicao por pessoas
singulares de violaes do presente regulamento.
Se c o 2
C o mp e t ncia , at r i bui es e p od ere s
Artigo 55.o
Competncia
1. As autoridades de controlo so competentes para prosseguir as atribuies e exercer os poderes que lhes so
conferidos pelo presente regulamento no territrio do seu prprio Estado-Membro.
2. Quando o tratamento for efetuado por autoridades pblicas ou por organismos privados que atuem ao abrigo do
artigo 6.o, n.o 1, alnea c) ou e), competente a autoridade de controlo do Estado-Membro em causa. Nesses casos, no
aplicvel o artigo 56.o.
3. As autoridades de controlo no tm competncia para controlar operaes de tratamento efetuadas por tribunais
que atuem no exerccio da sua funo jurisdicional.
Artigo 56.o
Competncia da autoridade de controlo principal
1. Sem prejuzo do disposto no artigo 55.o, a autoridade de controlo do estabelecimento principal ou do estabele
cimento nico do responsvel pelo tratamento ou do subcontratante competente para agir como autoridade de
controlo principal para o tratamento transfronteirio efetuado pelo referido responsvel pelo tratamento ou subcon
tratante nos termos do artigo 60.o.
2. Em derrogao do n.o 1, cada autoridade de controlo competente para tratar reclamaes que lhe sejam
apresentadas ou a eventuais violaes do presente regulamento se a matria em apreo estiver relacionada apenas com
um estabelecimento no seu Estado-Membro ou se afetar substancialmente titulares de dados apenas no seu Estado-
-Membro.
3. Nos casos previstos no n.o 2 do presente artigo, a autoridade de controlo informa sem demora do assunto a
autoridade de controlo principal. No prazo de trs semanas a contar do momento em que tiver sido informada, a
autoridade de controlo principal decide se trata o caso, nos termos do artigo 60.o, tendo em conta se h ou no algum
estabelecimento do responsvel pelo tratamento ou subcontratante no Estado-Membro sobre o qual a autoridade de
controlo a tenha informado.
4. Quando a autoridade de controlo principal decide tratar o caso, aplica-se o procedimento previsto no artigo 60.o.
A autoridade de controlo que tiver informado a autoridade de controlo principal pode apresentar a esta ltima um
projeto de deciso. A autoridade de controlo principal tem esse projeto na melhor conta quando prepara o projeto de
deciso referido no artigo 60.o, n.o 3.
5. Caso a autoridade de controlo principal decida no tratar o caso, a autoridade de controlo que a informou que o
trata, nos termos dos artigos 61.o e 62.o.
6. A autoridade de controlo principal o nico interlocutor do responsvel pelo tratamento ou do subcontratante no

tratamento transfronteirio efetuado pelo referido responsvel pelo tratamento ou subcontratante.
Artigo 57.o
Atribuies
1. Sem prejuzo de outras atribuies previstas nos termos do presente regulamento, cada autoridade de controlo, no
territrio respetivo:
a) Controla e executa a aplicao do presente regulamento;
b) Promove a sensibilizao e a compreenso do pblico relativamente aos riscos, s regras, s garantias e aos direitos
associados ao tratamento. As atividades especificamente dirigidas s crianas devem ser alvo de uma ateno
especial;
c) Aconselha, em conformidade com o direito do Estado-Membro, o Parlamento nacional, o Governo e outras

instituies e organismos a respeito das medidas legislativas e administrativas relacionadas com a defesa dos direitos
e liberdades das pessoas singulares no que diz respeito ao tratamento;
d) Promove a sensibilizao dos responsveis pelo tratamento e dos subcontratantes para as suas obrigaes nos
termos do presente regulamento;
e) Se lhe for solicitado, presta informaes a qualquer titular de dados sobre o exerccio dos seus direitos nos termos
do presente regulamento e, se necessrio, coopera com as autoridades de controlo de outros Estados-Membros para
esse efeito;
f) Trata as reclamaes apresentadas por qualquer titular de dados, ou organismo, organizao ou associao nos
termos do artigo 80.o, e investigar, na medida do necessrio, o contedo da reclamao e informar o autor da
reclamao do andamento e do resultado da investigao num prazo razovel, em especial se forem necessrias
operaes de investigao ou de coordenao complementares com outra autoridade de controlo;
g) Coopera, incluindo partilhando informaes e prestando assistncia mtua a outras autoridades de controlo, tendo
em vista assegurar a coerncia da aplicao e da execuo do presente regulamento;
h) Conduz investigaes sobre a aplicao do presente regulamento, incluindo com base em informaes recebidas de
outra autoridade de controlo ou outra autoridade pblica;
i) Acompanha factos novos relevantes, na medida em que tenham incidncia na proteo de dados pessoais,
nomeadamente a evoluo a nvel das tecnologias da informao e das comunicaes e das prticas comerciais;
j) Adota as clusulas contratuais-tipo previstas no artigo 28.o, n.o 8, e no artigo 46.o, n.o 2, alnea d);
k) Elabora e conserva uma lista associada exigncia de realizar uma avaliao do impacto sobre a proteo de dados,
nos termos do artigo 35.o, n.o 4;
l) D orientaes sobre as operaes de tratamento previstas no artigo 36.o, n.o 2;
m) Incentiva a elaborao de cdigos de conduta nos termos do artigo 40.o, n.o 1, d parecer sobre eles e aprova os que
preveem garantias suficientes, nos termos do artigo 40.o, n.o 5;
n) Incentiva o estabelecimento de procedimentos de certificao de proteo de dados, e de selos e marcas de proteo

de dados, nos termos do artigo 42.o, n.o 1, e aprova os critrios de certificao nos termos do artigo 42.o, n.o 5;
o) Se necessrio, procede a uma reviso peridica das certificaes emitidas, nos termos do artigo 42.o, n.o 7;
p) Redige e publica os critrios de acreditao de um organismo para monitorizar cdigos de conduta nos termos do
artigo 41.o e de um organismo de certificao nos termos do artigo 43.o;
q) Conduz o processo de acreditao de um organismo para monitorizar cdigos de conduta nos termos do artigo 41.o
e de um organismo de certificao nos termos do artigo 43.o;
r) Autoriza as clusulas contratuais e disposies previstas no artigo 46.o, n.o 3;
s) Aprova as regras vinculativas aplicveis s empresas nos termos do artigo 47.o;
t) Contribui para as atividades do Comit;
u) Conserva registos internos de violaes do presente regulamento e das medidas tomadas nos termos do artigo 58.o,
n.o 2; e
v) Desempenha quaisquer outras tarefas relacionadas com a proteo de dados pessoais.
2. As autoridades de controlo facilitam a apresentao das reclamaes previstas no n.o 1, alnea f), tomando medidas
como disponibilizar formulrios de reclamao que possam tambm ser preenchidos eletronicamente, sem excluir
outros meios de comunicao.
3. A prossecuo das atribuies de cada autoridade de controlo gratuita para o titular dos dados e, sendo caso
disso, para o encarregado da proteo de dados.
4. Quando os pedidos forem manifestamente infundados ou excessivos, particularmente devido ao seu carter
recorrente, a autoridade de controlo pode exigir o pagamento de uma taxa razovel tendo em conta os custos adminis
trativos ou pode indeferi-los. Cabe autoridade de controlo demonstrar o carter manifestamente infundado ou
excessivo dos pedidos.
Artigo 58.o
Poderes
1. Cada autoridade de controlo dispe dos seguintes poderes de investigao:
a) Ordenar que o responsvel pelo tratamento e o subcontratante e, se existir, o seu representante, lhe forneam as
informaes de que necessite para o desempenho das suas funes;
b) Realizar investigaes sob a forma de auditorias sobre a proteo de dados;
c) Rever as certificaes emitidas nos termos do artigo 42.o, n.o 7;
d) Notificar o responsvel pelo tratamento ou o subcontratante de alegadas violaes do presente regulamento;
e) Obter, da parte do responsvel pelo tratamento e do subcontratante, acesso a todos os dados pessoais e a todas as
informaes necessrias ao exerccio das suas funes;
f) Obter acesso a todas as instalaes do responsvel pelo tratamento e do subcontratante, incluindo os equipamentos e
meios de tratamento de dados, em conformidade com o direito processual da Unio ou dos Estados-Membros.
2. Cada autoridade de controlo dispe dos seguintes poderes de correo:
a) Fazer advertncias ao responsvel pelo tratamento ou ao subcontratante no sentido de que as operaes de

tratamento previstas so suscetveis de violar as disposies do presente regulamento;
b) Fazer repreenses ao responsvel pelo tratamento ou ao subcontratante sempre que as operaes de tratamento
tiverem violado as disposies do presente regulamento;
c) Ordenar ao responsvel pelo tratamento ou ao subcontratante que satisfaa os pedidos de exerccio de direitos
apresentados pelo titular dos dados nos termos do presente regulamento;
d) Ordenar ao responsvel pelo tratamento ou ao subcontratante que tome medidas para que as operaes de
tratamento cumpram as disposies do presente regulamento e, se necessrio, de uma forma especfica e dentro de
um prazo determinado;
e) Ordenar ao responsvel pelo tratamento que comunique ao titular dos dados uma violao de dados pessoais;
f) Impor uma limitao temporria ou definitiva ao tratamento de dados, ou mesmo a sua proibio;
g) Ordenar a retificao ou o apagamento de dados pessoais ou a limitao do tratamento nos termos dos artigos 16.o,
17.o e 18.o, bem como a notificao dessas medidas aos destinatrios a quem tenham sido divulgados os dados
pessoais nos termos do artigo 17.o, n.o 2, e do artigo 19.o;
h) Retirar a certificao ou ordenar ao organismo de certificao que retire uma certificao emitida nos termos dos
artigos 42.o e 43.o, ou ordenar ao organismo de certificao que no emita uma certificao se os requisitos de
certificao no estiverem ou deixarem de estar cumpridos;
i) Impor uma coima nos termos do artigo 83.o, para alm ou em vez das medidas referidas no presente nmero,
consoante as circunstncias de cada caso;
j) Ordenar a suspenso do envio de dados para destinatrios em pases terceiros ou para organizaes internacionais.
3. Cada autoridade de controlo dispe dos seguintes poderes consultivos e de autorizao:
a) Aconselhar o responsvel pelo tratamento, pelo procedimento de consulta prvia referido no artigo 36.o;
b) Emitir, por iniciativa prpria ou se lhe for solicitado, pareceres dirigidos ao Parlamento nacional, ao Governo do
Estado-Membro ou, nos termos do direito do Estado-Membro, a outras instituies e organismos, bem como ao
pblico, sobre qualquer assunto relacionado com a proteo de dados pessoais;
c) Autorizar o tratamento previsto no artigo 36.o, n.o 5, se a lei do Estado-Membro exigir tal autorizao prvia;
d) Emitir pareceres e aprovar projetos de cdigos de conduta nos termos do artigo 40.o, n.o 5;
e) Acreditar organismos de certificao nos termos do artigo 43.o;
f) Emitir certificaes e aprovar os critrios de certificao nos termos do artigo 42.o, n.o 5;
g) Adotar as clusulas-tipo de proteo de dados previstas no artigo 28.o, n.o 8, e no artigo 46.o, n.o 2, alnea d);
h) Autorizar as clusulas contratuais previstas no artigo 46.o, n.o 3, alnea a);
i) Autorizar os acordos administrativos previstos no artigo 46.o, n.o 3, alnea b);
j) Aprovar as regras vinculativas aplicveis s empresas nos termos do artigo 47.o.
4. O exerccio dos poderes conferidos autoridade de controlo nos termos do presente artigo est sujeito a garantias
adequadas, que incluem o direito ao judicial efetiva e a um processo equitativo, previstas no direito da Unio e dos
Estados-Membros, em conformidade com a Carta.
5. Os Estados-Membros estabelecem por lei que as suas autoridades de controlo esto habilitadas a levar as violaes
do presente regulamento ao conhecimento das autoridades judiciais e, se necessrio, a intentar ou de outro modo
intervir em processos judiciais, a fim de fazer aplicar as disposies do presente regulamento.
6. Os Estados-Membros podem estabelecer por lei que as suas autoridades de controlo tero outros poderes para
alm dos previstos nos n.os 1, 2 e 3. O exerccio desses poderes no deve prejudicar o efetivo funcionamento do
captulo VII.
Artigo 59.o
Relatrios de atividades
As autoridades de controlo elaboram um relatrio anual de atividades, que pode incluir uma lista dos tipos de violao
notificadas e dos tipos de medidas tomadas nos termos do artigo 58.o, n.o 2. Os relatrios so apresentados ao
Parlamento nacional, ao Governo e s outras autoridades designadas no direito do Estado-Membro. Os relatrios so
disponibilizados ao pblico, Comisso e ao Comit.
CAPTULO VII
Cooperao e coerncia
S ec o 1
Co o pe r a o
Artigo 60.o
Cooperao entre a autoridade de controlo principal e as outras autoridades de controlo

interessadas
1. A autoridade de controlo principal coopera com as outras autoridades de controlo interessadas nos termos do
presente artigo para procurar alcanar um consenso. A autoridade de controlo principal e as autoridades de controlo
interessadas trocam entre si todas as informaes pertinentes.
2. A autoridade de controlo principal pode a qualquer momento solicitar que as outras autoridades de controlo
interessadas prestem assistncia mtua nos termos do artigo 61.o e pode realizar operaes conjuntas nos termos do
artigo 62.o, nomeadamente para proceder a investigaes ou monitorizar a execuo de medidas relativas a responsveis
pelo tratamento ou subcontratantes estabelecidos noutros Estados-Membros.
3. A autoridade de controlo principal comunica sem demora as informaes pertinentes sobre o assunto s outras
autoridades de controlo interessadas. Envia sem demora um projeto de deciso s outras autoridades de controlo
interessadas para que emitam parecer e toma as suas posies em devida considerao.
4. Quando uma das outras autoridades de controlo interessadas expressa uma objeo pertinente e fundamentada ao
projeto de deciso no prazo de quatro semanas aps ter sido consultada nos termos do n.o 3 do presente artigo, a
autoridade de controlo principal, caso no d seguimento objeo ou caso entenda que esta no pertinente ou
fundamentada, remete o assunto para o procedimento de controlo da coerncia referido no artigo 63.o.
5. Se a autoridade de controlo principal pretender dar seguimento objeo pertinente e fundamentada apresentada,
envia s outras autoridades de controlo interessadas um projeto de deciso revisto para que emitam parecer. Esse projeto
de deciso revisto sujeito ao procedimento mencionado no n.o 4 no prazo de duas semanas.
6. Se nenhuma das outras autoridades de controlo interessadas se tiver oposto ao projeto de deciso apresentado pela
autoridade de controlo principal no prazo referido nos n.os 4 e 5, considera-se que a autoridade de controlo principal e
as autoridades de controlo interessadas esto de acordo com esse projeto de deciso e ficam por ela vinculadas.
7. A autoridade de controlo principal adota a deciso e dela notifica o estabelecimento principal ou o estabelecimento
nico do responsvel pelo tratamento ou do subcontratante, consoante o caso, e informa as outras autoridades de
controlo interessadas e o Comit da deciso em causa, incluindo um sumrio dos factos e motivos pertinentes. A
autoridade de controlo qual tenha sido apresentada uma reclamao, informa da deciso o autor da reclamao.
8. Em derrogao do n.o 7, se for recusada ou rejeitada uma reclamao, a autoridade de controlo qual a
reclamao tiver sido apresentada adota a deciso, notifica o autor da reclamao e informa desse facto o responsvel
pelo tratamento.
9. Se a autoridade de controlo principal e as autoridades de controlo interessadas estiverem de acordo em recusar ou

rejeitar determinadas partes de uma reclamao e tomar medidas relativamente a outras partes da mesma reclamao,
adotada uma deciso separada para cada uma dessas partes da matria. A autoridade de controlo principal adota a
deciso na parte respeitante s medidas relativas ao responsvel pelo tratamento e informa desse facto o estabelecimento
principal ou o estabelecimento nico do responsvel pelo tratamento ou do subcontratante no territrio do seu Estado-
-Membro, informando desse facto o autor da reclamao, enquanto a autoridade de controlo do autor da reclamao
adota a deciso na parte relativa recusa ou rejeio da referida reclamao e notifica o autor da reclamao,
informando desse facto o responsvel pelo tratamento ou o subcontratante.
10. Aps ter sido notificado da deciso da autoridade de controlo principal nos termos dos n.os 7 e 9, o responsvel
pelo tratamento ou o subcontratante tomam as medidas necessrias para garantir o cumprimento da deciso no que se
refere s atividades de tratamento no contexto de todos os seus estabelecimentos na Unio. O responsvel pelo
tratamento ou o subcontratante comunica as medidas tomadas para fazer cumprir a deciso autoridade de controlo
principal, que informa as outras autoridades de controlo interessadas.
11. Se, em circunstncias excecionais, alguma autoridade de controlo interessada tiver razes para considerar que
existe uma necessidade urgente de agir para defender os interesses dos titulares dos dados, aplica-se o procedimento de
urgncia referido no artigo 66.o.
12. A autoridade de controlo principal e as outras autoridades de controlo interessadas trocam entre si as
informaes necessrias nos termos do presente artigo por meios eletrnicos, utilizando um formato normalizado.
Artigo 61.o
Assistncia mtua
1. As autoridades de controlo prestam entre si informaes teis e assistncia mtua a fim de executar e aplicar o
presente regulamento de forma coerente, e tomam as medidas para cooperar eficazmente entre si. A assistncia mtua
abrange, em especial, os pedidos de informao e as medidas de controlo, tais como os pedidos de autorizao prvia e
de consulta prvia, bem como de inspeo e de investigao.
2. As autoridades de controlo tomam todas as medidas adequadas que forem necessrias para responder a um pedido
de outra autoridade de controlo sem demora injustificada e, o mais tardar, um ms aps a receo do pedido. Essas
medidas podem incluir, particularmente, a transmisso de informaes teis sobre a conduo de uma investigao.
3. Os pedidos de assistncia incluem todas as informaes necessrias, nomeadamente a finalidade e os motivos do

pedido. As informaes trocadas s podem ser utilizadas para a finalidade para que tiverem sido solicitadas.
4. A autoridade de controlo requerida no pode indeferir o pedido, a no ser que:
a) No seja competente relativamente ao assunto do pedido ou s medidas cuja execuo lhe pedida; ou
b) Dar seguimento ao viole o presente regulamento ou o direito da Unio ou do Estado-Membro ao qual a autoridade
de controlo que recebe o pedido est sujeita.
5. A autoridade de controlo requerida informa a autoridade de controlo requerente dos resultados obtidos ou,
consoante o caso, do andamento do pedido ou das medidas tomadas para lhe dar resposta pedido. A autoridade de
controlo requerida indica os motivos de indeferimento de um pedido por fora do n.o 4.
6. As autoridades de controlo requeridas fornecem, em regra, as informaes solicitadas por outras autoridades de
controlo por meios eletrnicos, utilizando um formato normalizado.
7. As autoridades de controlo requeridas no cobram taxas pelas medidas por elas tomadas por fora de pedidos de
assistncia mtua. As autoridades de controlo podem acordar regras para a indemnizao recproca de despesas
especficas decorrentes da prestao de assistncia mtua em circunstncias excecionais.
8. Quando uma autoridade de controlo no prestar as informaes referidas no n.o 5 do presente artigo no prazo de
um ms a contar da receo do pedido apresentado por outra autoridade de controlo, a autoridade de controlo
requerente pode adotar uma medida provisria no territrio do respetivo Estado-Membro nos termos do artigo 55.o,
n.o 1. Nesse caso, presume-se que urgente intervir, nos termos do artigo 66.o, n.o 1, e solicitar uma deciso vinculativa
urgente ao Comit, nos termos do artigo 66.o, n.o 2.
9. A Comisso pode especificar, por meio de atos de execuo, o formato e os procedimentos para a assistncia
mtua referidos no presente artigo, bem como as regras de intercmbio por meios eletrnicos de informaes entre as
autoridades de controlo e entre estas e o Comit, nomeadamente o formato normalizado referido no n.o 6 do presente
artigo. Os referidos atos de execuo so adotados pelo procedimento de exame a que se refere o artigo 93.o, n.o 2.
Artigo 62.o
Operaes conjuntas das autoridades de controlo
1. As autoridades de controlo conduzem, sempre que conveniente, operaes conjuntas, incluindo investigaes e
medidas de execuo conjuntas nas quais participem membros ou pessoal das autoridades de controlo de outros
Estados-Membros.
2. Nos casos em que o responsvel pelo tratamento ou o subcontratante tenha estabelecimentos em vrios Estados-
-Membros ou nos casos em que haja um nmero significativo de titulares de dados em mais do que um Estado-Membro
que sejam suscetveis de ser substancialmente afetados pelas operaes de tratamento, uma autoridade de controlo de
cada um desses Estados-Membros tem direito a participar nas operaes conjuntas. A autoridade de controlo
competente nos termos do artigo 56.o, n.o 1 ou n.o 4, convida a autoridade de controlo de cada um desses Estados-
-Membros a participar nas operaes conjuntas e responde sem demora ao pedido de um autoridade de controlo para
participar.
3. As autoridades de controlo podem, nos termos do direito do seu Estado-Membro, e com a autorizao da
autoridade de controlo de origem, conferir poderes, nomeadamente poderes de investigao, aos membros ou ao pessoal
da autoridade de controlo de origem implicados nas operaes conjuntas ou, na medida em que o direito do Estado-
-Membro da autoridade de controlo de acolhimento o permita, autorizar os membros ou o pessoal da autoridade de
controlo de origem a exercer os seus poderes de investigao nos termos do direito do Estado-Membro da autoridade de
controlo de origem. Esses poderes de investigao podem ser exercidos apenas sob a orientao e na presena de
membros ou pessoal da autoridade de controlo de acolhimento. Os membros ou pessoal da autoridade de controlo de
origem esto sujeitos ao direito do Estado-Membro da autoridade de controlo de acolhimento.
4. Se, nos termos do n.o 1, o pessoal da autoridade de controlo de origem exercer atividades noutro Estado-Membro,
o Estado-Membro da autoridade de controlo de acolhimento assume a responsabilidade pelos seus atos, incluindo a
responsabilidade por quaisquer danos por ele causados no decurso de tais atividades, de acordo com o direito do Estado-
-Membro em cujo territrio atuam.
5. O Estado-Membro em cujo territrio forem causados os danos indemniza-os nas condies aplicveis aos danos
causados pelo seu prprio pessoal. O Estado-Membro da autoridade de controlo de origem cujo pessoal tenha causado
danos a qualquer pessoa no territrio de outro Estado-Membro reembolsa integralmente esse outro Estado-Membro das
somas que tenha pago aos seus representantes legais.
6. Sem prejuzo do exerccio dos seus direitos perante terceiros e com exceo do disposto no n.o 5, cada Estado-
-Membro renuncia, no caso previsto no n.o 1, a solicitar a outro Estado-Membro o reembolso do montante dos danos
referido no n.o 4.
7. Sempre que se tencione efetuar uma operao conjunta e uma autoridade de controlo no cumprir, no prazo de
um ms, a obrigao estabelecida n.o 2, segunda frase, do presente artigo, as outras autoridades de controlo podem
adotar uma medida provisria no territrio do respetivo Estado-Membro em conformidade com o artigo 55.o. Nesse
caso, presume-se que urgente intervir, nos termos do artigo 66.o, n.o 1, e solicitar um parecer ou uma deciso
vinculativa urgente ao Comit, nos termos do artigo 66.o, n.o 2.
S ec o 2
C oe r nci a
Artigo 63.o
Procedimento de controlo da coerncia
A fim de contribuir para a aplicao coerente do presente regulamento em toda a Unio, as autoridades de controlo
cooperam entre si e, quando for relevante, com a Comisso, atravs do procedimento de controlo da coerncia previsto
na presente seco.
Artigo 64.o
Parecer do Comit
1. O Comit emite parecer sempre que uma autoridade de controlo competente tenha a inteno de adotar uma das
medidas a seguir enunciadas. Para esse efeito, a autoridade de controlo competente envia o projeto de deciso ao
Comit, quando esta:
a) Vise a adoo de uma lista das operaes de tratamento sujeitas exigncia de proceder a uma avaliao do impacto
sobre a proteo dos dados, nos termos do artigo 35.o, n.o 4;
b) Incida sobre uma questo, prevista no artigo 40.o, n.o 7, de saber se um projeto de cdigo de conduta ou uma
alterao ou aditamento a um cdigo de conduta est em conformidade com o presente regulamento;
c) Vise aprovar os critrios de acreditao de um organismo nos termos do artigo 41.o, n.o 3, ou um organismo de
certificao nos termos do artigo 43.o, n.o 3;
d) Vise determinar as clusulas-tipo de proteo de dados referidas no artigo 46.o, n.o 2, alnea d), e no artigo 28.o,
n.o 8;
e) Vise autorizar as clusulas contratuais previstas no artigo 46.o, n.o 3, alnea a); ou
f) Vise aprovar regras vinculativas aplicveis s empresas na aceo do artigo 47.o.
2. As autoridades de controlo, o presidente do Comit ou a Comisso podem solicitar que o Comit analise qualquer
assunto de aplicao geral ou que produza efeitos em mais do que um Estado-Membro, com vista a obter um parecer,
nomeadamente se a autoridade de controlo competente no cumprir as obrigaes em matria de assistncia mtua
previstas no artigo 61.o ou de operaes conjuntas previstas no artigo 62.o.
3. Nos casos referidos nos n.os 1 e 2, o Comit emite parecer sobre o assunto que lhe apresentado, a no ser que
tenha j antes emitido parecer sobre o mesmo assunto. Esse parecer adotado no prazo de oito semanas por maioria
simples dos membros que compem o Comit. Esse prazo pode ser prorrogado por mais seis semanas, em virtude da
complexidade do assunto em apreo. Para efeitos do projeto de deciso referido no n.o 1 e enviado aos membros do
Comit nos termos do n.o 5, considera-se que os membros que no tenham levantado objees dentro de um prazo
razovel fixado pelo presidente esto de acordo com o projeto de deciso.
4. As autoridades de controlo e a Comisso comunicam sem demora injustificada, por via eletrnica, ao Comit,
utilizando um formato normalizado, as informaes que forem pertinentes, incluindo, consoante o caso, um resumo dos
factos, o projeto de deciso, os motivos que tornam necessrio adotar tal medida, bem como as posies das outras
autoridades de controlo interessadas.
5. O presidente do Comit informa sem demora injustificada, por via eletrnica:
a) Os membros do Comit e a Comisso de quaisquer informaes pertinentes que lhe tenham sido comunicadas,
utilizando um formato normalizado. Se necessrio, o Secretariado do Comit fornece tradues das informaes
pertinentes; e
b) A autoridade de controlo referida, consoante o caso, nos n.os 1 e 2 e a Comisso do parecer e torna-o pblico.
6. As autoridades de controlo competentes no adotam os projetos de deciso referidos no n.o 1 no decurso do prazo
referido no n.o 3.
7. A autoridade de controlo referida no n.o 1 tem na melhor conta o parecer do Comit e, no prazo de duas semanas
a contar da receo do parecer, comunica por via eletrnica ao presidente do Comit se tenciona manter ou alterar o
projeto de deciso e, se existir, o projeto de deciso alterado, utilizando um formato normalizado.
8. Quando as autoridades de controlo interessadas informarem o presidente do Comit, no prazo referido no n.o 7 do
presente artigo, de que no tm inteno de seguir o parecer do Comit, no todo ou em parte, apresentando os motivos
pertinentes de tal deciso, aplica-se o artigo 65.o, n.o 1.
Artigo 65.o
Resoluo de litgios pelo Comit
1. A fim de assegurar a aplicao correta e coerente do presente regulamento em cada caso, o Comit adota uma
deciso vinculativa nos seguintes casos:
a) Quando, num dos casos referidos no artigo 60.o, n.o 4, a autoridade de controlo interessada tiver suscitado uma
objeo pertinente e fundamentada a um projeto de deciso da autoridade principal ou esta tiver rejeitado essa
objeo por carecer de pertinncia ou de fundamento. A deciso vinculativa diz respeito a todos os assuntos sobre
que incida a referida objeo pertinente e fundamentada, sobretudo questo de saber se h violao do presente
regulamento;
b) Quando haja posies divergentes sobre a questo de saber qual das autoridades de controlo interessadas
competente para o estabelecimento principal;
c) Quando a autoridade de controlo competente no solicitar o parecer do Comit nos casos referidos no artigo 64.o,
n.o 1, ou no seguir o parecer do Comit emitido nos termos do artigo 64.o. Nesse caso, qualquer autoridade de
controlo interessada, ou a Comisso, pode remeter o assunto para o Comit.
2. A deciso a que se refere o n.o 1 adotada por maioria de dois teros dos membros do Comit, no prazo de um
ms a contar da data em que o assunto lhe remetido. Este prazo pode ser prorrogado por mais um ms em virtude da
complexidade do assunto em apreo. A deciso referida no n.o 1 fundamentada e dirigida autoridade de controlo
principal, bem como a todas as autoridades de controlo interessadas, e vinculativa para as partes.
3. Se no o puder fazer nos prazos referidos no n.o 2, o Comit adota a deciso no prazo de duas semanas a contar
do termo do segundo ms a que se refere o n.o 2, por maioria simples dos membros que o compem. Se houver empate
na votao, a deciso adotada pelo voto qualificado do presidente.
4. As autoridades de controlo interessadas no adotam deciso sobre a matria submetida apreciao do Comit
nos termos do n.o 1 enquanto estiver a decorrer o prazo referido nos n.os 2 e 3.
5. O presidente do Comit informa, sem demora injustificada, as autoridades de controlo interessadas da deciso a
que se refere o n.o 1. Do facto informa a Comisso. A deciso imediatamente publicada no stio web do Comit, depois
de a autoridade de controlo ter notificado a deciso final a que se refere o n.o 6.
6. Sem demora injustificada e o mais tardar um ms depois de o Comit ter notificado a sua deciso, a autoridade de
controlo principal ou, consoante o caso, a autoridade de controlo qual tiver sido apresentada a reclamao adota a
deciso final com base na deciso a que se refere o n.o 1 do presente artigo. A autoridade de controlo principal ou,
consoante o caso, a autoridade de controlo qual tiver sido apresentada a reclamao, informa o Comit da data em
que a deciso final notificada, respetivamente, ao responsvel pelo tratamento ou ao subcontratante e ao titular. A
deciso final das autoridades de controlo interessadas adotada nos termos do artigo 60.o, n.os 7, 8 e 9. A deciso final
remete para a deciso a que se refere o n.o 1 do presente artigo e especifica que a deciso referida no n.o 1 publicada
no stio web do Comit nos termos do n.o 5 do presente artigo. A deciso final acompanhada da deciso a que se
refere o n.o 1 do presente artigo.
Artigo 66.o
Procedimento de urgncia
1. Em circunstncias excecionais, quando a autoridade de controlo interessada considerar que urgente intervir a fim
de defender os direitos e liberdades dos titulares dos dados, pode, em derrogao do procedimento de controlo da
coerncia referido nos artigos 63.o, 64.o e 65.o ou do procedimento a que se refere o artigo 60.o, adotar imediatamente
medidas provisrias destinadas a produzir efeitos legais no seu prprio territrio, vlidas por um perodo determinado
que no seja superior a trs meses. A autoridade de controlo d sem demora conhecimento dessas medidas e dos
motivos que a levaram a adot-la s outras autoridades de controlo interessadas, ao Comit e Comisso.
2. Quando a autoridade de controlo tiver tomado uma medida nos termos do n.o 1 e considerar necessrio adotar
urgentemente medidas definitivas, pode solicitar um parecer urgente ou uma deciso vinculativa urgente ao Comit,
fundamentando o seu pedido de parecer ou deciso.
3. As autoridades de controlo podem solicitar um parecer urgente ou uma deciso vinculativa urgente, conforme o
caso, ao Comit, quando a autoridade de controlo competente no tiver tomado nenhuma medida adequada numa
situao que exija uma iniciativa urgente para defender os direitos e liberdades dos titulares dos dados, apresentando os
motivos por que pede parecer ou deciso, e por que h necessidade urgente de agir.
4. Em derrogao do artigo 64.o, n.o 3, e do artigo 65.o, n.o 2, os pareceres urgentes ou decises vinculativas urgentes
a que se referem os n.os 2 e 3 do presente artigo so adotados no prazo de duas semanas por maioria simples dos
membros do Comit.
Artigo 67.o
Troca de informaes
Comisso pode adotar atos de execuo de aplicao geral a fim de especificar as regras de intercmbio eletrnico de
informaes entre as autoridades de controlo e entre estas e o Comit, nomeadamente o formato normalizado referido
no artigo 64.o.
Os referidos atos de execuo so adotados pelo procedimento de exame a que se refere o artigo 93.o, n.o 2.
S e c o 3
Co mit eu r o pe u p a r a a p rot e o de d ad o s
Artigo 68.o
Comit Europeu para a Proteo de Dados
1. O Comit Europeu para a Proteo de Dados (Comit) criado enquanto organismo da Unio e est dotado de
personalidade jurdica.
2. O Comit representado pelo seu presidente.
3. O Comit composto pelo diretor de uma autoridade de controlo de cada Estado-Membro e da Autoridade
Europeia para a Proteo de Dados, ou pelos respetivos representantes.
4. Quando, num determinado Estado-Membro, haja mais do que uma autoridade de controlo com responsabilidade
pelo controlo da aplicao do presente regulamento, nomeado um representante comum nos termos do direito desse
Estado-Membro.
5. A Comisso tem o direito de participar nas atividades e reunies do Comit, sem direito de voto. A Comisso
designa um representante. O presidente do Comit informa a Comisso das atividades do Comit.
6. Nos casos referidos no artigo 65.o, a Autoridade Europeia para a Proteo de Dados apenas tem direito de voto nas
decises que digam respeito a princpios e normas aplicveis s instituies, rgos, organismos e agncias da Unio que
correspondam, em substncia, s do presente regulamento.
Artigo 69.o
Independncia
1. O Comit independente na prossecuo das suas atribuies ou no exerccio dos seus poderes, nos termos dos
artigos 70.o e 71.o.
2. Sem prejuzo dos pedidos da Comisso referidos no artigo 70.o, n.o 1, alnea b), e n.o 2, o Comit no solicita nem
recebe instrues de outrem na prossecuo das suas atribuies ou no exerccio dos seus poderes.
Artigo 70.o
Atribuies do Comit
1. O Comit assegura a aplicao coerente do presente regulamento. Para o efeito, o Comit exerce, por iniciativa
prpria ou, nos casos pertinentes, a pedido da Comisso, as seguintes atividades:
a) Controla e assegura a correta aplicao do presente regulamento nos casos previstos nos artigos 64.o e 65.o, sem
prejuzo das funes das autoridades nacionais de controlo;
b) Aconselha a Comisso em todas as questes relacionadas com a proteo de dados pessoais na Unio,
nomeadamente em qualquer projeto de alterao ao presente regulamento;
c) Aconselha a Comisso sobre o formato e os procedimentos de intercmbio de informaes entre os responsveis

pelo tratamento, os subcontratantes e as autoridades de controlo no que respeita s regras vinculativas aplicveis s
empresas;
d) Emite diretrizes, recomendaes e melhores prticas para os procedimentos de apagamento de ligaes para os
dados pessoais, de cpias ou reprodues desses dados existentes em servios de comunicao acessveis ao pblico,
tal como previsto no artigo 17.o, n.o 2;
e) Analisa, por iniciativa prpria, a pedido de um dos seus membros da Comisso, qualquer questo relativa
aplicao do presente regulamento e emite diretrizes, recomendaes e melhores prticas, a fim de incentivar a
aplicao coerente do presente regulamento;
f) Emite diretrizes, recomendaes e melhores prticas nos termos da alnea e) do presente nmero, para definir mais
concretamente os critrios e condies aplicveis s decises baseadas na definio de perfis, nos termos do
artigo 22.o, n.o 2;
g) Emite diretrizes, recomendaes e melhores prticas nos termos da alnea e) do presente nmero, para definir
violaes de dados pessoais e determinar a demora injustificada a que se refere o artigo 33.o, n.os 1 e 2, bem como
as circunstncias particulares em que o responsvel pelo tratamento ou o subcontratante obrigado a notificar a
violao de dados pessoais;
h) Emite diretrizes, recomendaes e melhores prticas nos termos da alnea e) do presente nmero, a respeito das cir
cunstncias em que as violaes de dados pessoais so suscetveis de resultar num risco elevado para os direitos e
liberdades das pessoas singulares a que se refere o artigo 34.o, n.o 1;
i) Emite diretrizes, recomendaes e melhores prticas nos termos da alnea e) do presente nmero, para definir mais
concretamente os critrios e requisitos aplicveis s transferncias de dados baseadas em regras vinculativas
aplicveis s empresas aceites pelos responsveis pelo tratamento e em regras vinculativas aplicveis s empresas
aceites pelos subcontratantes, e outros requisitos necessrios para assegurar a proteo dos dados pessoais dos
titulares dos dados em causa a que se refere o artigo 47.o;
j) Emite diretrizes, recomendaes e melhores prticas nos termos da alnea e) do presente nmero para definir mais
concretamente os critrios e requisitos aplicveis transferncia de dados efetuadas com base no artigo 49.o, n.o 1;
k) Elabora diretrizes dirigidas s autoridades de controlo em matria de aplicao das medidas a que se refere o
artigo 58.o, n.os 1, 2 e 3, e de fixao de coimas nos termos do artigo 83.o;
l) Examina a aplicao prtica das diretrizes, recomendaes e melhores prticas referidas nas alneas e) e f);
m) Emite diretrizes, recomendaes e melhores prticas nos termos da alnea e) do presente nmero para definir
procedimentos comuns para a comunicao por pessoas singulares de violaes do presente regulamento, nos
termos do artigo 54.o, n.o 2;
n) Incentiva a elaborao de cdigos de conduta e a criao de procedimentos de certificao, bem como de selos e
marcas de proteo dos dados nos termos dos artigos 40.o e 42.o;
o) Procede acreditao dos organismos de certificao e respetiva reviso peridica nos termos do artigo 43.o e
conserva um registo pblico de organismos acreditados, nos termos do artigo 43.o, n.o 6, e de responsveis pelo
tratamento ou subcontratantes acreditados, estabelecidos em pases terceiros, nos termos do artigo 42.o, n.o 7;
p) Especifica os requisitos referidos no artigo 43.o, n.o 3, para acreditao dos organismos de certificao nos termos
do artigo 42.o;
q) D parecer Comisso a respeito dos requisitos de certificao a que se refere o artigo 43.o, n.o 8;
r) D parecer Comisso sobre os smbolos a que se refere o artigo 12.o, n.o 7;
s) D parecer Comisso para a avaliao da adequao do nvel de proteo num pas terceiro ou organizao
internacional, e tambm para avaliar se um pas terceiro, um territrio ou um ou mais setores especficos desse pas
terceiro, ou uma organizao internacional, deixou de garantir um nvel adequado de proteo. Para esse efeito, a
Comisso fornece ao Comit toda a documentao necessria, inclusive a correspondncia com o Governo do pas
terceiro, relativamente a esse pas terceiro, territrio ou setor especfico, ou com a organizao internacional;
t) Emite pareceres relativos aos projetos de deciso das autoridades de controlo nos termos do procedimento de
controlo da coerncia referido no artigo 64.o, n.o 1, sobre os assuntos apresentados nos termos do artigo 64.o, n.o 2,
e emite decises vinculativas nos termos do artigo 65.o, incluindo nos casos referidos no artigo 66.o;
u) Promover a cooperao e o intercmbio bilateral e plurilateral efetivo de informaes e as melhores prticas entre as
autoridades de controlo;
v) Promover programas de formao comuns e facilitar o intercmbio de pessoal entre as autoridades de controlo, e, se
necessrio, com as autoridades de controlo de pases terceiros ou com organizaes internacionais;
w) Promover o intercmbio de conhecimentos e de documentao sobre as prticas e a legislao no domnio da

proteo de dados com autoridades de controlo de todo o mundo;
x) Emitir pareceres sobre os cdigos de conduta elaborados a nvel da Unio nos termos do artigo 40.o, n.o 9; e
y) Conservar um registo eletrnico, acessvel ao pblico, das decises tomadas pelas autoridades de controlo e pelos
tribunais sobre questes tratadas no mbito do procedimento de controlo da coerncia.
2. Quando a Comisso consultar o Comit, pode indicar um prazo para a formulao do parecer, tendo em conta a
urgncia do assunto.
3. O Comit dirige os seus pareceres, diretrizes e melhores prticas Comisso e ao comit referido no artigo 93.o, e
procede sua publicao.
4. Quando for caso disso, o Comit consulta as partes interessadas e d-lhes a oportunidade de formular observaes,
num prazo razovel. Sem prejuzo do artigo 76.o, o Comit torna pblicos os resultados do processo de consulta.
Artigo 71.o
Relatrios
1. O Comit elabora um relatrio anual sobre a proteo das pessoas singulares no que diz respeito ao tratamento na
Unio e, quando for relevante, em pases terceiros e organizaes internacionais. O relatrio tornado pblico e enviado
ao Parlamento Europeu, ao Conselho e Comisso.
2. O relatrio anual inclui uma anlise da aplicao prtica das diretrizes, recomendaes e melhores prticas a que
se refere o artigo 70.o, n.o 1, alnea l), bem como das decises vinculativas a que se refere o artigo 65.o.
Artigo 72.o
Procedimento
1. Salvo disposio em contrrio do presente regulamento, o Comit decide por maioria simples dos seus membros.
2. O Comit adota o seu regulamento interno por maioria de dois teros dos membros que o compem e determina
as suas regras de funcionamento.
Artigo 73.o
Presidente
1. O Comit elege de entre os seus membros, por maioria simples, um presidente e dois vice-presidentes.
2. O mandato do presidente e dos vice-presidentes tem a durao de cinco anos e renovvel uma vez.
Artigo 74.o
Funes do presidente
1. O presidente tem as seguintes funes:
a) Convoca as reunies do Comit e prepara a respetiva ordem de trabalhos;
b) Comunica as decises adotadas pelo Comit nos termos do artigo 65.o autoridade de controlo principal e s
autoridades de controlo interessadas;
c) Assegura o exerccio das atribuies do Comit dentro dos prazos previstos, nomeadamente no que respeita ao
procedimento de controlo da coerncia referido no artigo 63.o.
2. O Comit estabelece a repartio de funes entre o presidente e os vice-presidentes no seu regulamento interno.
Artigo 75.o
Secretariado
1. O Comit dispe de um secretariado disponibilizado pela Autoridade Europeia para a Proteo de Dados.
2. O secretariado desempenha as suas funes sob a direo exclusiva do presidente do Comit.
3. O pessoal da Autoridade Europeia para a Proteo de Dados envolvido na prossecuo das atribuies conferidas
ao Comit pelo presente regulamento est sujeito a uma hierarquia distinta do pessoal envolvido na prossecuo das
atribuies conferidas Autoridade Europeia para a Proteo de Dados.
4. Quando for caso disso, o Comit e a Autoridade Europeia para a Proteo de Dados elaboram e publicam um
memorando de entendimento que d execuo ao presente artigo e defina os termos da sua cooperao, aplicvel ao
pessoal da Autoridade Europeia para a Proteo de Dados envolvido na prossecuo das atribuies conferidas ao
Comit pelo presente regulamento.
5. O secretariado fornece ao Comit apoio de carter analtico, administrativo e logstico.
6. O secretariado responsvel, em especial:
a) Pela gesto corrente do Comit;
b) Pela comunicao entre os membros do Comit, o seu presidente e a Comisso;
c) Pela comunicao com outras instituies e o pblico;
d) Pelo recurso a meios eletrnicos para a comunicao interna e externa;
e) Pela traduo de informaes pertinentes;
f) Pela preparao e acompanhamento das reunies do Comit;
g) Pela preparao, redao e publicao dos pareceres, das decises em matria de resoluo de litgios entre
autoridades de controlo e de outros textos adotados pelo Comit.
Artigo 76.o
Confidencialidade
1. Os debates do Comit so confidenciais quando o Comit o considerar necessrio, nos termos do seu regulamento
interno.
2. O acesso aos documentos apresentados aos membros do Comit, aos peritos e aos representantes de pases
terceiros regido pelo Regulamento (CE) n.o 1049/2001 do Parlamento Europeu e do Conselho (1).
CAPTULO VIII
Vias de recurso, responsabilidade e sanes
Artigo 77.o
Direito de apresentar reclamao a uma autoridade de controlo
1. Sem prejuzo de qualquer outra via de recurso administrativo ou judicial, todos os titulares de dados tm direito a
apresentar reclamao a uma autoridade de controlo, em especial no Estado-Membro da sua residncia habitual, do seu
local de trabalho ou do local onde foi alegadamente praticada a infrao, se o titular dos dados considerar que o
tratamento dos dados pessoais que lhe diga respeito viola o presente regulamento.
2. A autoridade de controlo qual tiver sido apresentada a reclamao informa o autor da reclamao sobre o
andamento e o resultado da reclamao, inclusive sobre a possibilidade de intentar ao judicial nos termos do
artigo 78.o.
Artigo 78.o
Direito ao judicial contra uma autoridade de controlo
1. Sem prejuzo de qualquer outra via de recurso administrativo ou extrajudicial, todas as pessoas singulares ou
coletivas tm direito ao judicial contra as decises juridicamente vinculativas das autoridades de controlo que lhes
digam respeito.
2. Sem prejuzo de qualquer outra via de recurso administrativo ou extrajudicial, os titulares dos dados tm direito
ao judicial se a autoridade de controlo competente nos termos dos artigos 55.o e 56.o no tratar a reclamao ou no
informar o titular dos dados, no prazo de trs meses, sobre o andamento ou o resultado da reclamao que tenha
apresentado nos termos do artigo 77.o.
3. Os recursos contra as autoridades de controlo so interpostos nos tribunais do Estado-Membro em cujo territrio
se encontrem estabelecidas.
4. Quando for interposto recurso de uma deciso de uma autoridade de controlo que tenha sido precedida de um
parecer ou uma deciso do Comit no mbito do procedimento de controlo da coerncia, a autoridade de controlo
transmite esse parecer ou deciso ao tribunal.
Artigo 79.o
Direito ao judicial contra um responsvel pelo tratamento ou um subcontratante
1. Sem prejuzo de qualquer outra via de recurso administrativo ou extrajudicial, nomeadamente o direito de
apresentar reclamao a uma autoridade de controlo, nos termos do artigo 77.o, todos os titulares de dados tm direito
ao judicial se considerarem ter havido violao dos direitos que lhes assistem nos termos do presente regulamento,
na sequncia do tratamento dos seus dados pessoais efetuado em violao do referido regulamento.
2. Os recursos contra os responsveis pelo tratamento ou os subcontratantes so propostos nos tribunais do Estado-
-Membro em que tenham estabelecimento. Em alternativa, os recursos podem ser interpostos nos tribunais do Estado-
-Membro em que o titular dos dados tenha a sua residncia habitual, salvo se o responsvel pelo tratamento ou o
subcontratante for uma autoridade de um Estado-Membro no exerccio dos seus poderes pblicos.
(1) Regulamento (CE) n.o 1049/2001 do Parlamento Europeu e do Conselho, de 30 de maio de 2001, relativo ao acesso do pblico aos
documentos do Parlamento Europeu, do Conselho e da Comisso (JO L 145 de 31.5.2001, p. 43).
Artigo 80.o
Representao dos titulares dos dados
1. O titular dos dados tem o direito de mandatar um organismo, organizao ou associao sem fins lucrativos, que
esteja devidamente constitudo ao abrigo do direito de um Estado-Membro, cujos objetivos estatutrios sejam do
interesse pblico e cuja atividade abranja a defesa dos direitos e liberdades do titular dos dados no que respeita
proteo dos seus dados pessoais, para, em seu nome, apresentar reclamao, exercer os direitos previstos nos
artigos 77.o, 78.o e 79.o, e exercer o direito de receber uma indemnizao referido no artigo 82.o, se tal estiver previsto
no direito do Estado-Membro.
2. Os Estados-Membros podem prever que o organismo, a organizao ou a associao referidos no n.o 1 do presente
artigo, independentemente de um mandato conferido pelo titular dos dados, tenham nesse Estado-Membro direito a
apresentar uma reclamao autoridade de controlo competente nos termos do artigo 77.o e a exercer os direitos a que
se referem os artigos 78.o e 79.o, caso considerem que os direitos do titular dos dados, nos termos do presente
regulamento, foram violados em virtude do tratamento.
Artigo 81.o
Suspenso do processo
1. Caso um tribunal de um Estado-Membro tenha informaes sobre um processo pendente num tribunal de outro
Estado-Membro, relativo ao mesmo assunto no que se refere s atividades de tratamento do mesmo responsvel pelo
tratamento ou subcontratante, deve contactar o referido tribunal desse outro Estado-Membro a fim de confirmar a
existncia de tal processo.
2. Caso esteja pendente num tribunal de outro Estado-Membro um processo relativo ao mesmo assunto no que se
refere s atividades de tratamento do mesmo responsvel pelo tratamento ou subcontratante, o tribunal onde a ao foi
intentada em segundo lugar pode suspender o seu processo.
3. Caso o referido processo esteja pendente em primeira instncia, o tribunal onde a ao foi intentada em segundo
lugar pode igualmente declinar a sua competncia, a pedido de uma das partes, se o rgo jurisdicional onde a ao foi
intentada em primeiro lugar for competente para conhecer dos pedidos em questo e a sua lei permitir a respetiva
apensao.
Artigo 82.o
Direito de indemnizao e responsabilidade
1. Qualquer pessoa que tenha sofrido danos materiais ou imateriais devido a uma violao do presente regulamento
tem direito a receber uma indemnizao do responsvel pelo tratamento ou do subcontratante pelos danos sofridos.
2. Qualquer responsvel pelo tratamento que esteja envolvido no tratamento responsvel pelos danos causados por
um tratamento que viole o presente regulamento. O subcontratante responsvel pelos danos causados pelo tratamento
apenas se no tiver cumprido as obrigaes decorrentes do presente regulamento dirigidas especificamente aos subcon
tratantes ou se no tiver seguido as instrues lcitas do responsvel pelo tratamento.
3. O responsvel pelo tratamento ou o subcontratante fica isento de responsabilidade nos termos do n.o 2, se provar
que no de modo algum responsvel pelo evento que deu origem aos danos.
4. Quando mais do que um responsvel pelo tratamento ou subcontratante, ou um responsvel pelo tratamento e um
subcontratante, estejam envolvidos no mesmo tratamento e sejam, nos termos dos n.os 2 e 3, responsveis por eventuais
danos causados pelo tratamento, cada responsvel pelo tratamento ou subcontratante responsvel pela totalidade dos
danos, a fim de assegurar a efetiva indemnizao do titular dos dados.
5. Quando tenha pago, em conformidade com o n.o 4, uma indemnizao integral pelos danos sofridos, um
responsvel pelo tratamento ou um subcontratante tem o direito de reclamar a outros responsveis pelo tratamento ou
subcontratantes envolvidos no mesmo tratamento a parte da indemnizao correspondente respetiva parte de respon
sabilidade pelo dano em conformidade com as condies previstas no n.o 2.
6. Os processos judiciais para exercer o direito de receber uma indemnizao so apresentados perante os tribunais
competentes nos termos do direito do Estado-Membro a que se refere o artigo 79.o, n.o 2.
Artigo 83.o
Condies gerais para a aplicao de coimas
1. Cada autoridade de controlo assegura que a aplicao de coimas nos termos do presente artigo relativamente a
violaes do presente regulamento a que se referem os n.os 4, 5 e 6 , em cada caso individual, efetiva, proporcionada e
dissuasiva.
2. Consoante as circunstncias de cada caso, as coimas so aplicadas para alm ou em vez das medidas referidas no
artigo 58.o, n.o 2, alneas a) a h) e j). Ao decidir sobre a aplicao de uma coima e sobre o montante da coima em cada
caso individual, tido em devida considerao o seguinte:
a) A natureza, a gravidade e a durao da infrao tendo em conta a natureza, o mbito ou o objetivo do tratamento de
dados em causa, bem como o nmero de titulares de dados afetados e o nvel de danos por eles sofridos;
b) O carter intencional ou negligente da infrao;
c) A iniciativa tomada pelo responsvel pelo tratamento ou pelo subcontratante para atenuar os danos sofridos pelos
titulares;
d) O grau de responsabilidade do responsvel pelo tratamento ou do subcontratante tendo em conta as medidas

tcnicas ou organizativas por eles implementadas nos termos dos artigos 25.o e 32.o;
e) Quaisquer infraes pertinentes anteriormente cometidas pelo responsvel pelo tratamento ou pelo subcontratante;
f) O grau de cooperao com a autoridade de controlo, a fim de sanar a infrao e atenuar os seus eventuais efeitos
negativos;
g) As categorias especficas de dados pessoais afetadas pela infrao;
h) A forma como a autoridade de controlo tomou conhecimento da infrao, em especial se o responsvel pelo
tratamento ou o subcontratante a notificaram, e em caso afirmativo, em que medida o fizeram;
i) O cumprimento das medidas a que se refere o artigo 58.o, n.o 2, caso as mesmas tenham sido previamente impostas
ao responsvel pelo tratamento ou ao subcontratante em causa relativamente mesma matria;
j) O cumprimento de cdigos de conduta aprovados nos termos do artigo 40.o ou de procedimento de certificao
aprovados nos termos do artigo 42.o; e
k) Qualquer outro fator agravante ou atenuante aplicvel s circunstncias do caso, como os benefcios financeiros
obtidos ou as perdas evitadas, direta ou indiretamente, por intermdio da infrao.
3. Se o responsvel pelo tratamento ou o subcontratante violar, intencionalmente ou por negligncia, no mbito das
mesmas operaes de tratamento ou de operaes ligadas entre si, vrias disposies do presente regulamento, o
montante total da coima no pode exceder o montante especificado para a violao mais grave.
4. A violao das disposies a seguir enumeradas est sujeita, em conformidade com o n.o 2, a coimas at
10 000 000 EUR ou, no caso de uma empresa, at 2 % do seu volume de negcios anual a nvel mundial corres
pondente ao exerccio financeiro anterior, consoante o montante que for mais elevado:
a) As obrigaes do responsvel pelo tratamento e do subcontratante nos termos dos artigos 8.o, 11.o, 25.o a 39.o e 42.o
e 43.o;
b) As obrigaes do organismo de certificao nos termos dos artigos 42.o e 43.o;
c) As obrigaes do organismo de superviso nos termos do artigo 41.o, n.o 4;

5. A violao das disposies a seguir enumeradas est sujeita, em conformidade com o n.o 2, a coimas at
20 000 000 EUR ou, no caso de uma empresa, at 4 % do seu volume de negcios anual a nvel mundial corres
pondente ao exerccio financeiro anterior, consoante o montante que for mais elevado:
a) Os princpios bsicos do tratamento, incluindo as condies de consentimento, nos termos dos artigos 5.o, 6.o, 7.o
e 9.o;
b) Os direitos dos titulares dos dados nos termos dos artigos 12.o a 22.o;
c) As transferncias de dados pessoais para um destinatrio num pas terceiro ou uma organizao internacional nos
termos dos artigos 44.o a 49.o;
d) As obrigaes nos termos do direito do Estado-Membro adotado ao abrigo do captulo IX;
e) O incumprimento de uma ordem de limitao, temporria ou definitiva, relativa ao tratamento ou suspenso de

fluxos de dados, emitida pela autoridade de controlo nos termos do artigo 58.o, n.o 2, ou o facto de no facultar
acesso, em violao do artigo 58.o, n.o 1.
6. O incumprimento de uma ordem emitida pela autoridade de controlo a que se refere o artigo 58.o, n.o 2, est
sujeito, em conformidade com o n.o 2 do presente artigo, a coimas at 20 000 000 EUR ou, no caso de uma empresa,
at 4 % do seu volume de negcios anual a nvel mundial correspondente ao exerccio financeiro anterior, consoante o
montante mais elevado.
7. Sem prejuzo dos poderes de correo das autoridades de controlo nos termos do artigo 58.o, n.o 2, os Estados-
-Membros podem prever normas que permitam determinar se e em que medida as coimas podem ser aplicadas s
autoridades e organismos pblicos estabelecidos no seu territrio.
8. O exerccio das competncias que lhe so atribudas pelo presente artigo por parte da autoridade de controlo fica
sujeito s garantias processuais adequadas nos termos do direito da Unio e dos Estados-Membros, incluindo o direito
ao judicial e a um processo equitativo.
9. Quando o sistema jurdico dos Estados-Membros no preveja coimas, pode aplicar-se o presente artigo de modo a
que a coima seja proposta pela autoridade de controlo competente e imposta pelos tribunais nacionais competentes,
garantindo ao mesmo tempo que estas medidas jurdicas corretivas so eficazes e tm um efeito equivalente s coimas
impostas pelas autoridades de controlo. Em todo o caso, as coimas impostas devem ser efetivas, proporcionadas e
dissuasivas. Os referidos Estados-Membros notificam a Comisso das disposies de direito interno que adotarem nos
termos do presente nmero at 25 de maio de 2018 e, sem demora, de qualquer alterao subsequente das mesmas.
Artigo 84.o
Sanes
1. Os Estados-Membros estabelecem as regras relativas s outras sanes aplicveis em caso de violao do disposto
no presente regulamento, nomeadamente s violaes que no so sujeitas a coimas nos termos do artigo 7983.o, e
tomam todas as medidas necessrias para garantir a sua aplicao. As sanes previstas devem ser efetivas, propor
cionadas e dissuasivas.
2. Os Estados-Membros notificam a Comisso das disposies do direito interno que adotarem nos termos do n.o 1,
at 25 de maio de 2018 e, sem demora, de qualquer alterao subsequente das mesmas.
CAPTULO IX
Disposies relativas a situaes especficas de tratamento
Artigo 85.o
Tratamento e liberdade de expresso e de informao
1. Os Estados-Membros conciliam por lei o direito proteo de dados pessoais nos termos do presente regulamento
com o direito liberdade de expresso e de informao, incluindo o tratamento para fins jornalsticos e para fins de
expresso acadmica, artstica ou literria.
2. Para o tratamento efetuado para fins jornalsticos ou para fins de expresso acadmica, artstica ou literria, os
Estados-Membros estabelecem isenes ou derrogaes do captulo II (princpios), do captulo III (direitos do titular dos
dados), do captulo IV (responsvel pelo tratamento e subcontratante), do captulo V (transferncia de dados pessoais
para pases terceiros e organizaes internacionais), do captulo VI (autoridades de controlo independentes), do
captulo VII (cooperao e coerncia) e do captulo IX (situaes especficas de tratamento de dados) se tais isenes ou
derrogaes forem necessrias para conciliar o direito proteo de dados pessoais com a liberdade de expresso e de
informao.
3. Os Estados-Membros notificam a Comisso das disposies de direito interno que adotarem nos termos do n.o 2 e,
sem demora, de qualquer alterao subsequente das mesmas.
Artigo 86.o
Tratamento e acesso do pblico aos documentos oficiais
Os dados pessoais que constem de documentos oficiais na posse de uma autoridade pblica ou de um organismo
pblico ou privado para a prossecuo de atribuies de interesse pblico podem ser divulgados pela autoridade ou
organismo nos termos do direito da Unio ou do Estado-Membro que for aplicvel autoridade ou organismo pblico,
a fim de conciliar o acesso do pblico a documentos oficiais com o direito proteo dos dados pessoais nos termos do
presente regulamento.
Artigo 87.o
Tratamento do nmero de identificao nacional
Os Estados-Membros podem determinar em pormenor as condies especficas aplicveis ao tratamento de um nmero

de identificao nacional ou de qualquer outro elemento de identificao de aplicao geral. Nesse caso, o nmero de
identificao nacional ou qualquer outro elemento de identificao de aplicao geral exclusivamente utilizado
mediante garantias adequadas dos direitos e liberdades do titular dos dados nos termos do presente regulamento.
Artigo 88.o
Tratamento no contexto laboral
1. Os Estados-Membros podem estabelecer, no seu ordenamento jurdico ou em convenes coletivas, normas mais
especficas para garantir a defesa dos direitos e liberdades no que respeita ao tratamento de dados pessoais dos
trabalhadores no contexto laboral, nomeadamente para efeitos de recrutamento, execuo do contrato de trabalho,
incluindo o cumprimento das obrigaes previstas no ordenamento jurdico ou em convenes coletivas, de gesto,
planeamento e organizao do trabalho, de igualdade e diversidade no local de trabalho, de sade e segurana no
trabalho, de proteo dos bens do empregador ou do cliente e para efeitos do exerccio e gozo, individual ou coletivo,
dos direitos e benefcios relacionados com o emprego, bem como para efeitos de cessao da relao de trabalho.
2. As normas referidas incluem medidas adequadas e especficas para salvaguardar a dignidade, os interesses legtimos
e os direitos fundamentais do titular dos dados, com especial relevo para a transparncia do tratamento de dados, a
transferncia de dados pessoais num grupo empresarial ou num grupo de empresas envolvidas numa atividade
econmica conjunta e os sistemas de controlo no local de trabalho.
3. Os Estados-Membros notificam a Comisso das disposies de direito interno que adotarem nos termos do n.o 1,
at 25 de maio de 2018 e, sem demora, de qualquer alterao subsequente das mesmas.
Artigo 89.o
Garantias e derrogaes relativas ao tratamento para fins de arquivo de interesse pblico ou para
fins de investigao cientfica ou histrica ou para fins estatsticos
1. O tratamento para fins de arquivo de interesse pblico, ou para fins de investigao cientfica ou histrica ou para
fins estatsticos, est sujeito a garantias adequadas, nos termos do presente regulamento, para os direitos e liberdades do
titular dos dados. Essas garantias asseguram a adoo de medidas tcnicas e organizativas a fim de assegurar,
nomeadamente, o respeito do princpio da minimizao dos dados. Essas medidas podem incluir a pseudonimizao,
desde que os fins visados possam ser atingidos desse modo. Sempre que esses fins possam ser atingidos por novos
tratamentos que no permitam, ou j no permitam, a identificao dos titulares dos dados, os referidos fins so
atingidos desse modo.
2. Quando os dados pessoais sejam tratados para fins de investigao cientfica ou histrica ou para fins estatsticos,
o direito da Unio ou dos Estados-Membros pode prever derrogaes aos direitos a que se referem os artigos 15.o, 16.o,
18.o e 21.o, sob reserva das condies e garantias previstas no n.o 1 do presente artigo, na medida em que esses direitos
sejam suscetveis de tornar impossvel ou prejudicar gravemente a realizao dos fins especficos e que tais derrogaes
sejam necessrias para a prossecuo desses fins.
3. Quando os dados pessoais sejam tratados para fins de arquivo de interesse pblico, o direito da Unio ou dos
Estados-Membros pode prever derrogaes aos direitos a que se referem os artigos 15.o, 16.o, 18.o, 19.o, 20.o e 21.o, sob
reserva das condies e garantias previstas no n.o 1 do presente artigo, na medida em que esses direitos sejam suscetveis
de tornar impossvel ou prejudicar gravemente a realizao dos fins especficos e que tais derrogaes sejam necessrias
para a prossecuo desses fins.
4. Quando o tratamento de dados previsto no n.os 2 e 3 tambm se destine, simultaneamente, a outros fins, as
derrogaes aplicam-se apenas ao tratamento de dados para os fins previstos nesses nmeros.
Artigo 90.o
Obrigaes de sigilo
1. Os Estados-Membros podem adotar normas especficas para estabelecer os poderes das autoridades de controlo
previstos no artigo 58.o, n.o 1, alneas e) e f), relativamente a responsveis pelo tratamento ou a subcontratantes sujeitos,
nos termos do direito da Unio ou do Estado-Membro ou de normas institudas pelos organismos nacionais
competentes, a uma obrigao de sigilo profissional ou a outras obrigaes de sigilo equivalentes, caso tal seja necessrio
e proporcionado para conciliar o direito proteo de dados pessoais com a obrigao de sigilo. Essas normas so
aplicveis apenas no que diz respeito aos dados pessoais que o responsvel pelo seu tratamento ou o subcontratante
tenha recebido, ou que tenha recolhido no mbito de uma atividade abrangida por essa obrigao de sigilo ou em
resultado da mesma.
2. Os Estados-Membros notificam a Comisso das normas que adotarem nos termos do n.o 1, at 25 de maio
de 2018 e, sem demora, de qualquer alterao subsequente das mesmas.
Artigo 91.o
Normas vigentes em matria de proteo dos dados das igrejas e associaes religiosas
1. Quando, num Estado-Membro, as igrejas e associaes ou comunidades religiosas apliquem, data da entrada em
vigor do presente regulamento, um conjunto completo de normas relativas proteo das pessoas singulares relati
vamente ao tratamento, tais normas podem continuar a ser aplicadas, desde que cumpram o presente regulamento.
2. As igrejas e associaes religiosas que apliquem um conjunto completo de normas nos termos do n.o 1 do
presente artigo ficam sujeitas superviso de uma autoridade de controlo independente que pode ser especfico, desde
que cumpra as condies estabelecidas no captulo VI do presente regulamento.
CAPTULO X
Atos delegados e atos de execuo
Artigo 92.o
Exerccio da delegao
1. O poder de adotar atos delegados conferido Comisso nas condies estabelecidas no presente artigo.
2. O poder de adotar atos delegados referido no artigo 12.o, n.o 8, e no artigo 43.o, n.o 8, conferido Comisso por
tempo indeterminado a contar de 24 de maio de 2016.
3. A delegao de poderes referida no artigo 12.o, n.o 8, e no artigo 43.o, n.o 8, pode ser revogada em qualquer
momento pelo Parlamento Europeu ou pelo Conselho. A deciso de revogao pe termo delegao dos poderes nela
especificados. A deciso de revogao produz efeitos a partir do dia seguinte ao da sua publicao no Jornal Oficial da
Unio Europeia ou de uma data posterior nela especificada. A deciso de revogao no afeta os atos delegados j em
vigor.
4. Assim que adotar um ato delegado, a Comisso notifica-o simultaneamente ao Parlamento Europeu e ao Conselho.
5. Os atos delegados adotados nos termos do artigo 12.o, n.o 8, e do artigo 43.o, n.o 8, s entram em vigor se no
tiverem sido formuladas objees pelo Parlamento Europeu ou pelo Conselho no prazo de trs meses a contar da
notificao do ato ao Parlamento Europeu e ao Conselho, ou se, antes do termo desse prazo, o Parlamento Europeu e o
Conselho tiverem informado a Comisso de que no tm objees a formular. O referido prazo prorrogvel por trs
meses por iniciativa do Parlamento Europeu ou do Conselho.
Artigo 93.o
Procedimento de comit
1. A Comisso assistida por um comit. Esse comit um comit na aceo do Regulamento (UE) n.o 182/2011.
2. Caso se remeta para o presente nmero, aplica-se o artigo 5.o do Regulamento (UE) n.o 182/2011.
3. Caso se remeta para o presente nmero, aplica-se o artigo 8.o do Regulamento (UE) n.o 182/2011, em conjugao
com o seu artigo 5.o.
CAPTULO XI
Disposies finais
Artigo 94.o
Revogao da Diretiva 95/46/CE
1. A Diretiva 95/46/CE revogada com efeitos a partir de 25 de maio de 2018.
2. As remisses para a diretiva revogada so consideradas remisses para presente regulamento. As referncias ao
Grupo de proteo das pessoas no que diz respeito ao tratamento de dados pessoais, criado pelo artigo 29.o da
Diretiva 95/46/CE, so consideradas referncias ao Comit Europeu para a Proteo de Dados criado pelo presente
regulamento.
Artigo 95.o
Relao com a Diretiva 2002/58/CE
O presente regulamento no impe obrigaes suplementares a pessoas singulares ou coletivas no que respeita ao
tratamento no contexto da prestao de servios de comunicaes eletrnicas disponveis nas redes pblicas de
comunicaes na Unio em matrias que estejam sujeitas a obrigaes especficas com o mesmo objetivo estabelecidas
na Diretiva 2002/58/CE.
Artigo 96.o
Relao com acordos celebrados anteriormente
Os acordos internacionais celebrados pelos Estados-Membros antes de 24 de maio de 2016, que impliquem a transfe
rncia de dados pessoais para pases terceiros ou organizaes internacionais e que sejam conformes com o direito da
Unio aplicvel antes dessa data, permanecem em vigor at serem alterados, substitudos ou revogados.
Artigo 97.o
Relatrios da Comisso
1. At 25 de maio de 2020 e subsequentemente de quatro anos em quatro anos, a Comisso apresenta ao

Parlamento Europeu e ao Conselho um relatrio sobre a avaliao e reviso do presente regulamento. Os relatrios so
tornados pblicos.
2. No contexto das avaliaes e revises referidas no n.o 1, a Comisso examina, nomeadamente, a aplicao e o
funcionamento do:
a) Captulo V sobre a transferncia de dados pessoas para pases terceiros ou organizaes internacionais, com especial
destaque para as decises adotadas nos termos do artigo 45.o, n.o 3, do presente regulamento, e as decises adotadas
com base no artigo 25.o, n.o 6, da Diretiva 95/46/CE;
b) Captulo VII sobre cooperao e coerncia.
3. Para o efeito do n.o 1, a Comisso pode solicitar informaes aos Estados-Membros e s autoridades de controlo.
4. Ao efetuar as avaliaes e as revises a que se referem os n.os 1 e 2, a Comisso tem em considerao as posies e
as concluses a que tenham chegado o Parlamento Europeu, o Conselho e outros organismos ou fontes pertinentes.
5. Se necessrio, a Comisso apresenta propostas adequadas com vista alterao do presente regulamento
atendendo, em especial, evoluo das tecnologias da informao e aos progressos da Sociedade da Informao.
Artigo 98.o
Reviso de outros atos jurdicos da Unio em matria de proteo de dados
Se necessrio, a Comisso apresenta propostas legislativas com vista alterao de outros atos jurdicos da Unio sobre
a proteo dos dados pessoais, a fim de assegurar uma proteo uniforme e coerente das pessoas singulares no que diz
respeito ao tratamento. Tal incide nomeadamente sobre as normas relativas proteo das pessoas singulares no que diz
respeito ao tratamento pelas instituies, rgos, organismos e agncias da Unio e a livre circulao desses dados.
Artigo 99.o
Entrada em vigor e aplicao
1. O presente regulamento entra em vigor no vigsimo dia seguinte ao da sua publicao no Jornal Oficial da Unio
Europeia.
2. O presente regulamento aplicvel a partir de 25 de maio de 2018.

O presente regulamento obrigatrio em todos os seus elementos e diretamente aplicvel em

todos os Estados-Membros.
Feito em Bruxelas, em 27 de abril de 2016.
Pelo Parlamento Europeu Pelo Conselho

O Presidente A Presidente
M. SCHULZ J.A. HENNIS-PLASSCHAERT

CELEX:32016R0679:PT:TXT

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

CELEX:32016R0679:PT:TXT

Uploaded by

Copyright:

Available Formats

4.5.

2016 PT Jornal Oficial da Unio Europeia L 119/1

REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO

(Texto relevante para efeitos do EEE)

O PARLAMENTO EUROPEU E O CONSELHO DA UNIO EUROPEIA,

Tendo em conta a proposta da Comisso Europeia,

Aps transmisso do projeto de ato legislativo aos parlamentos nacionais,

Tendo em conta o parecer do Comit Econmico e Social Europeu (1),

Tendo em conta o parecer do Comit das Regies (2),

Deliberando de acordo com o processo legislativo ordinrio (3),

(1) JO C 229 de 31.7.2012, p. 90.

estabelecimento dever ser considerado o estabelecimento principal. O estabelecimento principal de um

ato de direito da Unio ou de um Estado-Membro referido no presente regulamento, incluindo a necessidade de

(109) A possibilidade de o responsvel pelo tratamento ou o subcontratante utilizarem clusulas-tipo de proteo de

abrangido, em especial, o tratamento de dados efetuado no contexto das atividades de um estabelecimento do

(1) JO C 192 de 30.6.2012, p. 7.

ADOTARAM O PRESENTE REGULAMENTO:

mbito de aplicao material

2. O presente regulamento no se aplica ao tratamento de dados pessoais:

a) Efetuado no exerccio de atividades no sujeitas aplicao do direito da Unio:

4. O presente regulamento no prejudica a aplicao da Diretiva 2000/31/CE, nomeadamente as normas em matria

mbito de aplicao territorial

Para efeitos do presente regulamento, entende-se por:

16) Estabelecimento principal:

b) No que se refere a um subcontratante com estabelecimentos em vrios Estados-Membros, o local onde se

a) O responsvel pelo tratamento ou o subcontratante estar estabelecido no territrio do Estado-Membro dessa

c) Ter sido apresentada uma reclamao junto dessa autoridade de controlo;

23) Tratamento transfronteirio:

Princpios relativos ao tratamento de dados pessoais

1. Os dados pessoais so:

3. O fundamento jurdico para o tratamento referido no n.o 1, alneas c) e e), definido:

a) Pelo direito da Unio; ou

b) Pelo direito do Estado-Membro ao qual o responsvel pelo tratamento est sujeito.

d) As eventuais consequncias do tratamento posterior pretendido para os titulares dos dados;

e) A existncia de salvaguardas adequadas, que podem ser a cifragem ou a pseudonimizao.

Condies aplicveis ao consentimento

Condies aplicveis ao consentimento de crianas em relao aos servios da sociedade da

Tratamento de categorias especiais de dados pessoais

2. O disposto no n.o 1 no se aplica se se verificar um dos seguintes casos:

Tratamento de dados pessoais relacionados com condenaes penais e infraes

Tratamento que no exige identificao

Direitos do titular dos dados

Tra ns p ar n ci a e re g r as p ar a o exe r ccio do s d ire ito s d o s tit ula r es do s da do s

b) Recusar-se a dar seguimento ao pedido.

Informaes a facultar quando os dados pessoais so recolhidos junto do titular

b) Os contactos do encarregado da proteo de dados, se for caso disso;

e) Os destinatrios ou categorias de destinatrios dos dados pessoais, se os houver;

d) O direito de apresentar reclamao a uma autoridade de controlo;

Informaes a facultar quando os dados pessoais no so recolhidos junto do titular

b) Os contactos do encarregado da proteo de dados, se for caso disso;

d) As categorias dos dados pessoais em questo;

e) Os destinatrios ou categorias de destinatrios dos dados pessoais, se os houver;

e) O direito de apresentar reclamao a uma autoridade de controlo;

f) A origem dos dados pessoais e, eventualmente, se provm de fontes acessveis ao pblico;

3. O responsvel pelo tratamento comunica as informaes referidas nos n.os 1 e 2:

5. Os n.os 1 a 4 no se aplicam quando e na medida em que:

a) O titular dos dados j tenha conhecimento das informaes;

b) Se comprove a impossibilidade de disponibilizar a informao, ou que o esforo envolvido seja desproporcionado,

Direito de acesso do titular dos dados

a) As finalidades do tratamento dos dados;

b) As categorias dos dados pessoais em questo;

e) A existncia do direito de solicitar ao responsvel pelo tratamento a retificao, o apagamento ou a limitao do

f) O direito de apresentar reclamao a uma autoridade de controlo;