Artigo 72º – Procedimento

Artigo 72º

Procedimento

1. Salvo disposição em contrário do presente regulamento, o Comité decide por maioria simples dos seus membros.

2. O Comité adota o seu regulamento interno por maioria de dois terços dos membros que o compõem e determina as suas regras de funcionamento.

Artigo 65º – Resolução de litígios pelo Comité

Artigo 65º

Resolução de litígios pelo Comité

1. A fim de assegurar a aplicação correta e coerente do presente regulamento em cada caso, o Comité adota uma decisão vinculativa nos seguintes casos:

a) Quando, num dos casos referidos no artigo 60º, nº 4, a autoridade de controlo interessada tiver suscitado uma objeção pertinente e fundamentada a um projeto de decisão da autoridade principal ou esta tiver rejeitado essa objeção por carecer de pertinência ou de fundamento. A decisão vinculativa diz respeito a todos os assuntos sobre que incida a referida objeção pertinente e fundamentada, sobretudo à questão de saber se há violação do presente regulamento;

b) Quando haja posições divergentes sobre a questão de saber qual das autoridades de controlo interessadas é competente para o estabelecimento principal;

c) Quando a autoridade de controlo competente não solicitar o parecer do Comité nos casos referidos no artigo 64º, nº 1, ou não seguir o parecer do Comité emitido nos termos do artigo 64º. Nesse caso, qualquer autoridade de controlo interessada, ou a Comissão, pode remeter o assunto para o Comité.

2. A decisão a que se refere o nº 1 é adotada por maioria de dois terços dos membros do Comité, no prazo de um mês a contar da data em que o assunto lhe é remetido. Este prazo pode ser prorrogado por mais um mês em virtude da complexidade do assunto em apreço. A decisão referida no nº 1 é fundamentada e dirigida à autoridade de controlo principal, bem como a todas as autoridades de controlo interessadas, e é vinculativa para as partes.

3. Se não o puder fazer nos prazos referidos no nº 2, o Comité adota a decisão no prazo de duas semanas a contar do termo do segundo mês a que se refere o nº 2, por maioria simples dos membros que o compõem. Se houver empate na votação, a decisão é adotada pelo voto qualificado do presidente.

4. As autoridades de controlo interessadas não adotam decisão sobre a matéria submetida à apreciação do Comité nos termos do nº 1 enquanto estiver a decorrer o prazo referido nos nºs 2 e 3.

5. O presidente do Comité informa, sem demora injustificada, as autoridades de controlo interessadas da decisão a que se refere o nº 1. Do facto informa a Comissão. A decisão é imediatamente publicada no sítio web do Comité, depois de a autoridade de controlo ter notificado a decisão final a que se refere o nº 6.

6. Sem demora injustificada e o mais tardar um mês depois de o Comité ter notificado a sua decisão, a autoridade de controlo principal ou, consoante o caso, a autoridade de controlo à qual tiver sido apresentada a reclamação adota a decisão final com base na decisão a que se refere o nº 1 do presente artigo. A autoridade de controlo principal ou, consoante o caso, a autoridade de controlo à qual tiver sido apresentada a reclamação, informa o Comité da data em que a decisão final é notificada, respetivamente, ao responsável pelo tratamento ou ao subcontratante e ao titular. A decisão final das autoridades de controlo interessadas é adotada nos termos do artigo 60º, nºs 7, 8 e 9. A decisão final remete para a decisão a que se refere o nº 1 do presente artigo e especifica que a decisão referida no n.o 1 é publicada no sítio web do Comité nos termos do nº 5 do presente artigo. A decisão final é acompanhada da decisão a que se refere o nº 1 do presente artigo.

Artigo 64º – Parecer do Comité

Artigo 64º

Parecer do Comité

1. O Comité emite parecer sempre que uma autoridade de controlo competente tenha a intenção de adotar uma das medidas a seguir enunciadas. Para esse efeito, a autoridade de controlo competente envia o projeto de decisão ao Comité, quando esta:

a) Vise a adoção de uma lista das operações de tratamento sujeitas à exigência de proceder a uma avaliação do impacto
sobre a proteção dos dados, nos termos do artigo 35º, nº 4;

b) Incida sobre uma questão, prevista no artigo 40º, nº 7, de saber se um projeto de código de conduta ou uma alteração ou aditamento a um código de conduta está em conformidade com o presente regulamento;

c) Vise aprovar os critérios de acreditação de um organismo nos termos do artigo 41º, nº 3, ou um organismo de certificação nos termos do artigo 43º, nº 3;

d) Vise determinar as cláusulas-tipo de proteção de dados referidas no artigo 46º, nº 2, alínea d), e no artigo 28º, nº 8;

e) Vise autorizar as cláusulas contratuais previstas no artigo 46º, nº 3, alínea a); ou

f) Vise aprovar regras vinculativas aplicáveis às empresas na aceção do artigo 47º.

2. As autoridades de controlo, o presidente do Comité ou a Comissão podem solicitar que o Comité analise qualquer assunto de aplicação geral ou que produza efeitos em mais do que um Estado-Membro, com vista a obter um parecer, nomeadamente se a autoridade de controlo competente não cumprir as obrigações em matéria de assistência mútua previstas no artigo 61º ou de operações conjuntas previstas no artigo 62º.

3. Nos casos referidos nos nºs 1 e 2, o Comité emite parecer sobre o assunto que lhe é apresentado, a não ser que tenha já antes emitido parecer sobre o mesmo assunto. Esse parecer é adotado no prazo de oito semanas por maioria simples dos membros que compõem o Comité. Esse prazo pode ser prorrogado por mais seis semanas, em virtude da complexidade do assunto em apreço. Para efeitos do projeto de decisão referido no nº 1 e enviado aos membros do Comité nos termos do nº 5, considera-se que os membros que não tenham levantado objeções dentro de um prazo razoável fixado pelo presidente estão de acordo com o projeto de decisão.

4. As autoridades de controlo e a Comissão comunicam sem demora injustificada, por via eletrónica, ao Comité, utilizando um formato normalizado, as informações que forem pertinentes, incluindo, consoante o caso, um resumo dos factos, o projeto de decisão, os motivos que tornam necessário adotar tal medida, bem como as posições das outras autoridades de controlo interessadas.

5. O presidente do Comité informa sem demora injustificada, por via eletrónica:

a) Os membros do Comité e a Comissão de quaisquer informações pertinentes que lhe tenham sido comunicadas, utilizando um formato normalizado. Se necessário, o Secretariado do Comité fornece traduções das informações pertinentes; e

b) A autoridade de controlo referida, consoante o caso, nos nºs 1 e 2 e a Comissão do parecer e torna-o público.

6. As autoridades de controlo competentes não adotam os projetos de decisão referidos no n.o 1 no decurso do prazo referido no nº 3.

7. A autoridade de controlo referida no nº 1 tem na melhor conta o parecer do Comité e, no prazo de duas semanas a contar da receção do parecer, comunica por via eletrónica ao presidente do Comité se tenciona manter ou alterar o projeto de decisão e, se existir, o projeto de decisão alterado, utilizando um formato normalizado.

8. Quando as autoridades de controlo interessadas informarem o presidente do Comité, no prazo referido no nº 7 do presente artigo, de que não têm intenção de seguir o parecer do Comité, no todo ou em parte, apresentando os motivos pertinentes de tal decisão, aplica-se o artigo 65º, nº 1.

Artigo 60º – Cooperação entre a autoridade de controlo principal e as outras autoridades de controlo interessadas

Artigo 60º

Cooperação entre a autoridade de controlo principal e as outras autoridades de controlo interessadas

1. A autoridade de controlo principal coopera com as outras autoridades de controlo interessadas nos termos do presente artigo para procurar alcançar um consenso. A autoridade de controlo principal e as autoridades de controlo interessadas trocam entre si todas as informações pertinentes.

2. A autoridade de controlo principal pode a qualquer momento solicitar que as outras autoridades de controlo interessadas prestem assistência mútua nos termos do artigo 61º e pode realizar operações conjuntas nos termos do artigo 62º, nomeadamente para proceder a investigações ou monitorizar a execução de medidas relativas a responsáveis pelo tratamento ou subcontratantes estabelecidos noutros Estados-Membros.

3. A autoridade de controlo principal comunica sem demora as informações pertinentes sobre o assunto às outras autoridades de controlo interessadas. Envia sem demora um projeto de decisão às outras autoridades de controlo interessadas para que emitam parecer e toma as suas posições em devida consideração.

4. Quando uma das outras autoridades de controlo interessadas expressa uma objeção pertinente e fundamentada ao projeto de decisão no prazo de quatro semanas após ter sido consultada nos termos do nº 3 do presente artigo, a autoridade de controlo principal, caso não dê seguimento à objeção ou caso entenda que esta não é pertinente ou fundamentada, remete o assunto para o procedimento de controlo da coerência referido no artigo 63º.

5. Se a autoridade de controlo principal pretender dar seguimento à objeção pertinente e fundamentada apresentada, envia às outras autoridades de controlo interessadas um projeto de decisão revisto para que emitam parecer. Esse projeto de decisão revisto é sujeito ao procedimento mencionado no nº 4 no prazo de duas semanas.

6. Se nenhuma das outras autoridades de controlo interessadas se tiver oposto ao projeto de decisão apresentado pela autoridade de controlo principal no prazo referido nos nºs 4 e 5, considera-se que a autoridade de controlo principal e as autoridades de controlo interessadas estão de acordo com esse projeto de decisão e ficam por ela vinculadas.

7. A autoridade de controlo principal adota a decisão e dela notifica o estabelecimento principal ou o estabelecimento único do responsável pelo tratamento ou do subcontratante, consoante o caso, e informa as outras autoridades de controlo interessadas e o Comité da decisão em causa, incluindo um sumário dos factos e motivos pertinentes. A autoridade de controlo à qual tenha sido apresentada uma reclamação, informa da decisão o autor da reclamação.

8. Em derrogação do nº 7, se for recusada ou rejeitada uma reclamação, a autoridade de controlo à qual a reclamação tiver sido apresentada adota a decisão, notifica o autor da reclamação e informa desse facto o responsável pelo tratamento.

9. Se a autoridade de controlo principal e as autoridades de controlo interessadas estiverem de acordo em recusar ou rejeitar determinadas partes de uma reclamação e tomar medidas relativamente a outras partes da mesma reclamação, é adotada uma decisão separada para cada uma dessas partes da matéria. A autoridade de controlo principal adota a decisão na parte respeitante às medidas relativas ao responsável pelo tratamento e informa desse facto o estabelecimento principal ou o estabelecimento único do responsável pelo tratamento ou do subcontratante no território do seu Estado-Membro, informando desse facto o autor da reclamação, enquanto a autoridade de controlo do autor da reclamação adota a decisão na parte relativa à recusa ou à rejeição da referida reclamação e notifica o autor da reclamação, informando desse facto o responsável pelo tratamento ou o subcontratante.

10. Após ter sido notificado da decisão da autoridade de controlo principal nos termos dos nºs 7 e 9, o responsável pelo tratamento ou o subcontratante tomam as medidas necessárias para garantir o cumprimento da decisão no que se refere às atividades de tratamento no contexto de todos os seus estabelecimentos na União. O responsável pelo tratamento ou o subcontratante comunica as medidas tomadas para fazer cumprir a decisão à autoridade de controlo principal, que informa as outras autoridades de controlo interessadas.

11. Se, em circunstâncias excecionais, alguma autoridade de controlo interessada tiver razões para considerar que existe uma necessidade urgente de agir para defender os interesses dos titulares dos dados, aplica-se o procedimento de urgência referido no artigo 66º.

12. A autoridade de controlo principal e as outras autoridades de controlo interessadas trocam entre si as informações necessárias nos termos do presente artigo por meios eletrónicos, utilizando um formato normalizado.

Artigo 47º – Regras vinculativas aplicáveis às empresas

Artigo 47º

Regras vinculativas aplicáveis às empresas

1. Pelo procedimento de controlo da coerência previsto no artigo 63º, a autoridade de controlo competente aprova regras vinculativas aplicáveis às empresas, que devem:

a) Ser juridicamente vinculativas e aplicáveis a todas as entidades em causa do grupo empresarial ou do grupo de empresas envolvidas numa atividade económica conjunta, incluindo os seus funcionários, as quais deverão assegurar o seu cumprimento;

b) Conferir expressamente aos titulares dos dados direitos oponíveis relativamente ao tratamento dos seus dados pessoais; e

c) Preencher os requisitos estabelecidos no nº 2.

2. As regras vinculativas aplicáveis às empresas a que se refere o nº 1 especificam, pelo menos:

a) A estrutura e os contactos do grupo empresarial ou do grupo de empresas envolvidas numa atividade económica conjunta e de cada uma das entidades que o compõe;

b) As transferências ou conjunto de transferências de dados, incluindo as categorias de dados pessoais, o tipo de tratamento e suas finalidades, o tipo de titulares de dados afetados e a identificação do país ou países terceiros em questão;

c) O seu caráter juridicamente vinculativo, a nível interno e externo;

d) A aplicação dos princípios gerais de proteção de dados, nomeadamente a limitação das finalidades, a minimização dos dados, a limitação dos prazos de conservação, a qualidade dos dados, a proteção dos dados desde a conceção e por defeito, o fundamento jurídico para o tratamento, o tratamento de categorias especiais de dados pessoais, as medidas de garantia da segurança dos dados e os requisitos aplicáveis a transferências posteriores para organismos não abrangidos pelas regras vinculativas aplicáveis às empresas;

e) Os direitos dos titulares dos dados relativamente ao tratamento e regras de exercício desses direitos, incluindo o direito de não ser objeto de decisões baseadas unicamente no tratamento automatizado, nomeadamente a definição de perfis a que se refere o artigo 22º, o direito de apresentar uma reclamação à autoridade de controlo competente e aos tribunais competentes dos Estados-Membros nos termos do artigo 79º, bem como o de obter reparação e, se for caso disso, indemnização pela violação das regras vinculativas aplicáveis às empresas;

f) A aceitação, por parte do responsável pelo tratamento ou subcontratante estabelecido no território de um Estado-Membro, da responsabilidade por toda e qualquer violação das regras vinculativas aplicáveis às empresas cometida por uma entidade envolvida que não se encontre estabelecida na União; o responsável pelo tratamento ou o subcontratante só pode ser exonerado dessa responsabilidade, no todo ou em parte, mediante prova de que o facto que causou o dano não é imputável à referida entidade;

g) A forma como as informações sobre as regras vinculativas aplicáveis às empresas, nomeadamente, sobre as disposições referidas nas alíneas d), e) e f) do presente número, são comunicadas aos titulares dos dados para além das informações referidas nos artigos 13º e 14º;

h) As funções de qualquer encarregado da proteção de dados, designado nos termos do artigo 37º ou de qualquer outra pessoa ou entidade responsável pelo controlo do cumprimento das regras vinculativas aplicáveis às empresas, a nível do grupo empresarial ou do grupo de empresas envolvidas numa atividade económica conjunta, e pela supervisão das ações de formação e do tratamento de reclamações;

i) Os procedimentos de reclamação;

j) Os procedimentos existentes no grupo empresarial ou no grupo de empresas envolvidas numa atividade económica conjunta para assegurar a verificação do cumprimento das regras vinculativas aplicáveis às empresas. Esses procedimentos incluem a realização de auditorias sobre a proteção de dados e o recurso a métodos que garantam a adoção de medidas corretivas capazes de preservar os direitos dos respetivos titulares. Os resultados dessa verificação devem ser comunicados à pessoa ou entidade referida na alínea h) e ao Conselho de Administração da empresa ou grupo empresarial que exerce o controlo ou do grupo de empresas envolvidas numa atividade económica conjunta, devendo também ser facultados à autoridade de controlo competente, a pedido desta;

k) Os procedimentos de elaboração de relatórios e de registo de alterações às regras, bem como de comunicação dessas alterações à autoridade de controlo;

l) O procedimento de cooperação com a autoridade de controlo para assegurar o cumprimento, por qualquer entidade do grupo empresarial ou do grupo de empresas envolvidas numa atividade económica conjunta, em especial facultando à autoridade de controlo os resultados de verificações das medidas referidas na alínea j);

m) Os procedimentos de comunicação, à autoridade de controlo competente, de todos os requisitos legais a que uma entidade do grupo empresarial ou do grupo de empresas envolvidas numa atividade económica conjunta esteja sujeita num país terceiro que sejam passíveis de ter forte impacto negativo nas garantias dadas pelas regras vinculativas aplicáveis às empresas; e

n) Ações de formação especificamente dirigidas a pessoas que tenham, em permanência ou regularmente, acesso a dados de natureza pessoal.

3. A Comissão pode especificar o formato e os procedimentos de intercâmbio de informações entre os responsáveis pelo tratamento, os subcontratantes e as autoridades de controlo no que respeita às regras vinculativas aplicáveis às empresas na aceção do presente artigo. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 93º, nº 2.

Artigo 46º – Transferências sujeitas a garantias adequadas

Artigo 46º

Transferências sujeitas a garantias adequadas

1. Não tendo sido tomada qualquer decisão nos termos do artigo 45º, nº 3, os responsáveis pelo tratamento ou subcontratantes só podem transferir dados pessoais para um país terceiro ou uma organização internacional se tiverem apresentado garantias adequadas, e na condição de os titulares dos dados gozarem de direitos oponíveis e de medidas
jurídicas corretivas eficazes.

2. Podem ser previstas as garantias adequadas referidas no nº 1, sem requerer nenhuma autorização específica de uma autoridade de controlo, por meio de:

a) Um instrumento juridicamente vinculativo e com força executiva entre autoridades ou organismos públicos;

b) Regras vinculativas aplicáveis às empresas em conformidade com o artigo 47º;

c) Cláusulas-tipo de proteção de dados adotadas pela Comissão pelo procedimento de exame referido no artigo 93º, nº 2;

d) Cláusulas-tipo de proteção de dados adotadas por uma autoridade de controlo e aprovadas pela Comissão pelo procedimento de exame referido no artigo 93º, nº 2;

e) Um código de conduta, aprovado nos termos do artigo 40º, acompanhado de compromissos vinculativos e com força executiva assumidos pelos responsáveis pelo tratamento ou pelos subcontratantes no país terceiro no sentido de aplicarem as garantias adequadas, nomeadamente no que respeita aos direitos dos titulares dos dados; ou

f) Um procedimento de certificação, aprovado nos termos do artigo 42º, acompanhado de compromissos vinculativos e com força executiva assumidos pelos responsáveis pelo tratamento ou pelos subcontratantes no país terceiro no sentido de aplicarem as garantias adequadas, nomeadamente no que respeita aos direitos dos titulares dos dados.

3. Sob reserva de autorização da autoridade de controlo competente, podem também ser previstas as garantias adequadas referidas no nº 1, nomeadamente por meio de:

a) Cláusulas contratuais entre os responsáveis pelo tratamento ou subcontratantes e os responsáveis pelo tratamento, subcontratantes ou destinatários dos dados pessoais no país terceiro ou organização internacional; ou

b) Disposições a inserir nos acordos administrativos entre as autoridades ou organismos públicos que contemplem os direitos efetivos e oponíveis dos titulares dos dados.

4. A autoridade de controlo aplica o procedimento de controlo da coerência a que se refere o artigo 63º nos casos enunciados no nº 3 do presente artigo.

5. As autorizações concedidas por um Estado-Membro ou uma autoridade de controlo com base no artigo 26º, nº 2, da Diretiva 95/46/CE continuam válidas até que a mesma autoridade de controlo as altere, substitua ou revogue, caso seja necessário. As decisões adotadas pela Comissão com base no artigo 26º, nº 4, da Diretiva 95/46/CE permanecem em vigor até que sejam alteradas, substituídas ou revogadas, caso seja necessário, por uma decisão da Comissão adotada em conformidade com o nº 2 do presente artigo.

Artigo 40º – Códigos de conduta

Artigo 40º

Códigos de conduta

1. Os Estados-Membros, as autoridades de controlo, o Comité e a Comissão promovem a elaboração de códigos de conduta destinados a contribuir para a correta aplicação do presente regulamento, tendo em conta as características dos diferentes setores de tratamento e as necessidades específicas das micro, pequenas e médias empresas.

2. As associações e outros organismos representantes de categorias de responsáveis pelo tratamento ou de subcontratantes podem elaborar códigos de conduta, alterar ou aditar a esses códigos, a fim de especificar a aplicação do presente regulamento, como por exemplo:

a) O tratamento equitativo e transparente;

b) Os legítimos interesses dos responsáveis pelo tratamento em contextos específicos;

c) A recolha de dados pessoais;

d) A pseudonimização dos dados pessoais;

e) A informação prestada ao público e aos titulares dos dados;

f) O exercício dos direitos dos titulares dos dados;

g) As informações prestadas às crianças e a sua proteção, e o modo pelo qual o consentimento do titular das responsabilidades parentais da criança deve ser obtido;

h) As medidas e procedimentos a que se referem os artigos 24º e 25º e as medidas destinadas a garantir a segurança do tratamento referidas no artigo 30º;

i) A notificação de violações de dados pessoais às autoridades de controlo e a comunicação dessas violações de dados pessoais aos titulares dos dados;

j) A transferência de dados pessoais para países terceiros ou organizações internacionais; ou

k) As ações extrajudiciais e outros procedimentos de resolução de litígios entre os responsáveis pelo tratamento e os titulares dos dados em relação ao tratamento, sem prejuízo dos direitos dos titulares dos dados nos termos dos artigos 77º e 79º.

3. Além dos responsáveis pelo tratamento ou dos subcontratantes sujeitos ao presente regulamento, também os responsáveis pelo tratamento ou subcontratantes que não estão sujeitos ao presente regulamento por força do artigo 3º podem cumprir códigos de conduta aprovados em conformidade com o nº 5 do presente artigo e de aplicabilidade geral por força do nº 9 do presente artigo, de modo a fornecer garantias apropriadas no quadro das transferências dos dados pessoais para países terceiros ou organizações internacionais nos termos referidos no artigo 46º, nº 2, alínea e). Os responsáveis pelo tratamento ou os subcontratantes assumem compromissos vinculativos e com força executiva, por meio de instrumentos contratuais ou de outros instrumentos juridicamente vinculativos, no sentido de aplicar as garantias apropriadas, inclusivamente em relação aos direitos dos titulares dos dados.

4. Os códigos de conduta referidos no nº 2 do presente artigo devem prever procedimentos que permitam ao organismo referido no artigo 41º, nº 1, efetuar a supervisão obrigatória do cumprimento das suas disposições por parte dos responsáveis pelo tratamento ou subcontratantes que se comprometam a aplicá-lo, sem prejuízo das funções e competências das autoridades de controlo competentes por força do artigo 55º ou 56º.

5. As associações e outros organismos a que se refere o nº 2 do presente artigo que tencionem elaborar um código de conduta, ou alterar ou aditar a um código existente, apresentam o projeto de código, a alteração ou o aditamento à autoridade de controlo que é competente por força do artigo 55º. A autoridade de controlo emite um parecer sobre a conformidade do projeto de código de conduta ou da alteração ou do aditamento com o presente regulamento e aprova este projeto, esta alteração ou este aditamento se determinar que são previstas garantias apropriadas suficientes.

6. Se o código de conduta, ou a alteração ou o aditamento for aprovado nos termos do nº 5, e se o código de conduta em causa não estiver relacionado com atividades de tratamento realizadas em vários Estados-Membros, a autoridade de controlo regista e publica o código.

7. Se o projeto do código de conduta estiver relacionado com atividades de tratamento realizadas em vários Estados-Membros, a autoridade de controlo competente nos termos do artigo 55º, antes da aprovação, apresenta o projeto do código, a alteração ou o aditamento, pelo procedimento referido no artigo 63º, ao Comité, que emite um parecer sobre a conformidade do projeto de código de conduta, ou da alteração ou do aditamento, com o presente regulamento, ou, na situação referida no nº 3 do presente artigo, sobre a previsão de garantias adequadas.

8. Se o parecer a que se refere o nº 7 confirmar que o projeto do código de conduta, ou a alteração ou o aditamento, está conforme com o presente regulamento ou, na situação referida no nº 3, prevê garantias adequadas, o Comité apresenta o seu parecer à Comissão.

9. A Comissão pode, através de atos de execução, decidir que os códigos de conduta aprovados, bem como as alterações ou os aditamentos, que lhe sejam apresentados nos termos do n.o 8 do presente artigo, são de aplicabilidade geral na União. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 93º, nº 2.

10. A Comissão assegura a publicidade adequada dos códigos aprovados que declarou, mediante decisão, serem de aplicabilidade geral em conformidade com o nº 9.

11. O Comité recolhe todos os códigos de conduta aprovados, respetivas alterações e respetivos aditamentos num registo e disponibiliza-os ao público pelos meios adequados.

Artigo 38º – Posição do encarregado da proteção de dados

Artigo 38º

Posição do encarregado da proteção de dados

1. O responsável pelo tratamento e o subcontratante asseguram que o encarregado da proteção de dados seja envolvido, de forma adequada e em tempo útil, a todas as questões relacionadas com a proteção de dados pessoais.

2. O responsável pelo tratamento e o subcontratante apoia o encarregado da proteção de dados no exercício das funções a que se refere o artigo 39º, fornecendo-lhe os recursos necessários ao desempenho dessas funções e à manutenção dos seus conhecimentos, bem como dando-lhe acesso aos dados pessoais e às operações de tratamento.

3. O responsável pelo tratamento e o subcontratante asseguram que da proteção de dados não recebe instruções relativamente ao exercício das suas funções. O encarregado não pode ser destituído nem penalizado pelo responsável pelo tratamento ou pelo subcontratante pelo facto de exercer as suas funções. O encarregado da proteção de dados informa diretamente a direção ao mais alto nível do responsável pelo tratamento ou do subcontratante.

4. Os titulares dos dados podem contactar o encarregado da proteção de dados sobre todas questões relacionadas com o tratamento dos seus dados pessoais e com o exercício dos direitos que lhe são conferidos pelo presente regulamento.

5. O encarregado da proteção de dados está vinculado à obrigação de sigilo ou de confidencialidade no exercício das suas funções, em conformidade com o direito da União ou dos Estados-Membros.

6. O encarregado da proteção de dados pode exercer outras funções e atribuições. O responsável pelo tratamento ou o subcontratante assegura que essas funções e atribuições não resultam num conflito de interesses.

Artigo 34º – Comunicação de uma violação de dados pessoais ao titular dos dados

Artigo 34º

Comunicação de uma violação de dados pessoais ao titular dos dados

1. Quando a violação dos dados pessoais for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento comunica a violação de dados pessoais ao titular dos dados sem demora injustificada.

2. A comunicação ao titular dos dados a que se refere o nº 1 do presente artigo descreve em linguagem clara e simples a natureza da violação dos dados pessoais e fornece, pelo menos, as informações e medidas previstas no artigo 33º, nº 3, alíneas b), c) e d).

3. A comunicação ao titular dos dados a que se refere o nº 1 não é exigida se for preenchida uma das seguintes condições:

a) O responsável pelo tratamento tiver aplicado medidas de proteção adequadas, tanto técnicas como organizativas, e essas medidas tiverem sido aplicadas aos dados pessoais afetados pela violação de dados pessoais, especialmente medidas que tornem os dados pessoais incompreensíveis para qualquer pessoa não autorizada a aceder a esses dados, tais como a cifragem;

b) O responsável pelo tratamento tiver tomado medidas subsequentes que assegurem que o elevado risco para os direitos e liberdades dos titulares dos dados a que se refere o nº 1 já não é suscetível de se concretizar; ou

c) Implicar um esforço desproporcionado. Nesse caso, é feita uma comunicação pública ou tomada uma medida semelhante através da qual os titulares dos dados são informados de forma igualmente eficaz.

4. Se o responsável pelo tratamento não tiver já comunicado a violação de dados pessoais ao titular dos dados, a autoridade de controlo, tendo considerado a probabilidade de a violação de dados pessoais resultar num elevado risco, pode exigir-lhe que proceda a essa notificação ou pode constatar que se encontram preenchidas as condições referidas no nº 3.

Artigo 27º – Representantes dos responsáveis pelo tratamento ou dos subcontratantes não estabelecidos na União

Artigo 27º

Representantes dos responsáveis pelo tratamento ou dos subcontratantes não estabelecidos na União

1. Se for aplicável o artigo 3º, nº 2, o responsável pelo tratamento ou o subcontratante designa por escrito um representante seu na União.

2. A obrigação a que se refere o nº 1 do presente artigo não se aplica:

a) Às operações de tratamento que sejam ocasionais, não abranjam o tratamento, em grande escala, de categorias especiais de dados a que se refere o artigo 9º, nº 1, ou o tratamento de dados pessoais relativos a condenações penais e infrações referido no artigo 10º, e não seja suscetível de implicar riscos para os direitos e liberdades das pessoas singulares, tendo em conta a natureza, o contexto, o âmbito e as finalidades do tratamento; ou

b) Às autoridades ou organismos públicos;

3. O representante deve estar estabelecido num dos Estados-Membros onde se encontram os titulares dos dados cujos dados pessoais são objeto do tratamento no contexto da oferta que lhes é feita de bens ou serviços ou cujo comportamento é controlado.
4. Para efeitos do cumprimento do presente regulamento, o representante é mandatado pelo responsável pelo tratamento ou pelo subcontratante para ser contactado em complemento ou em substituição do responsável pelo tratamento ou do subcontratante, em especial por autoridades de controlo e por titulares, relativamente a todas as questões relacionadas com o tratamento.

5. A designação de um representante pelo responsável pelo tratamento ou pelo subcontratante não prejudica as ações judiciais que possam vir a ser intentadas contra o próprio responsável pelo tratamento ou o próprio subcontratante.