Artigo 77º – Direito de apresentar reclamação a uma autoridade de controlo

Artigo 77º

Direito de apresentar reclamação a uma autoridade de controlo

1. Sem prejuízo de qualquer outra via de recurso administrativo ou judicial, todos os titulares de dados têm direito a apresentar reclamação a uma autoridade de controlo, em especial no Estado-Membro da sua residência habitual, do seu local de trabalho ou do local onde foi alegadamente praticada a infração, se o titular dos dados considerar que o tratamento dos dados pessoais que lhe diga respeito viola o presente regulamento.

2. A autoridade de controlo à qual tiver sido apresentada a reclamação informa o autor da reclamação sobre o andamento e o resultado da reclamação, inclusive sobre a possibilidade de intentar ação judicial nos termos do artigo 78º.

Artigo 71º – Relatórios

Artigo 71º

Relatórios

1. O Comité elabora um relatório anual sobre a proteção das pessoas singulares no que diz respeito ao tratamento na União e, quando for relevante, em países terceiros e organizações internacionais. O relatório é tornado público e enviado ao Parlamento Europeu, ao Conselho e à Comissão.

2. O relatório anual inclui uma análise da aplicação prática das diretrizes, recomendações e melhores práticas a que se refere o artigo 70º, nº 1, alínea l), bem como das decisões vinculativas a que se refere o artigo 65º.

Artigo 65º – Resolução de litígios pelo Comité

Artigo 65º

Resolução de litígios pelo Comité

1. A fim de assegurar a aplicação correta e coerente do presente regulamento em cada caso, o Comité adota uma decisão vinculativa nos seguintes casos:

a) Quando, num dos casos referidos no artigo 60º, nº 4, a autoridade de controlo interessada tiver suscitado uma objeção pertinente e fundamentada a um projeto de decisão da autoridade principal ou esta tiver rejeitado essa objeção por carecer de pertinência ou de fundamento. A decisão vinculativa diz respeito a todos os assuntos sobre que incida a referida objeção pertinente e fundamentada, sobretudo à questão de saber se há violação do presente regulamento;

b) Quando haja posições divergentes sobre a questão de saber qual das autoridades de controlo interessadas é competente para o estabelecimento principal;

c) Quando a autoridade de controlo competente não solicitar o parecer do Comité nos casos referidos no artigo 64º, nº 1, ou não seguir o parecer do Comité emitido nos termos do artigo 64º. Nesse caso, qualquer autoridade de controlo interessada, ou a Comissão, pode remeter o assunto para o Comité.

2. A decisão a que se refere o nº 1 é adotada por maioria de dois terços dos membros do Comité, no prazo de um mês a contar da data em que o assunto lhe é remetido. Este prazo pode ser prorrogado por mais um mês em virtude da complexidade do assunto em apreço. A decisão referida no nº 1 é fundamentada e dirigida à autoridade de controlo principal, bem como a todas as autoridades de controlo interessadas, e é vinculativa para as partes.

3. Se não o puder fazer nos prazos referidos no nº 2, o Comité adota a decisão no prazo de duas semanas a contar do termo do segundo mês a que se refere o nº 2, por maioria simples dos membros que o compõem. Se houver empate na votação, a decisão é adotada pelo voto qualificado do presidente.

4. As autoridades de controlo interessadas não adotam decisão sobre a matéria submetida à apreciação do Comité nos termos do nº 1 enquanto estiver a decorrer o prazo referido nos nºs 2 e 3.

5. O presidente do Comité informa, sem demora injustificada, as autoridades de controlo interessadas da decisão a que se refere o nº 1. Do facto informa a Comissão. A decisão é imediatamente publicada no sítio web do Comité, depois de a autoridade de controlo ter notificado a decisão final a que se refere o nº 6.

6. Sem demora injustificada e o mais tardar um mês depois de o Comité ter notificado a sua decisão, a autoridade de controlo principal ou, consoante o caso, a autoridade de controlo à qual tiver sido apresentada a reclamação adota a decisão final com base na decisão a que se refere o nº 1 do presente artigo. A autoridade de controlo principal ou, consoante o caso, a autoridade de controlo à qual tiver sido apresentada a reclamação, informa o Comité da data em que a decisão final é notificada, respetivamente, ao responsável pelo tratamento ou ao subcontratante e ao titular. A decisão final das autoridades de controlo interessadas é adotada nos termos do artigo 60º, nºs 7, 8 e 9. A decisão final remete para a decisão a que se refere o nº 1 do presente artigo e especifica que a decisão referida no n.o 1 é publicada no sítio web do Comité nos termos do nº 5 do presente artigo. A decisão final é acompanhada da decisão a que se refere o nº 1 do presente artigo.

Artigo 62º – Operações conjuntas das autoridades de controlo

Artigo 62º

Operações conjuntas das autoridades de controlo

1. As autoridades de controlo conduzem, sempre que conveniente, operações conjuntas, incluindo investigações e medidas de execução conjuntas nas quais participem membros ou pessoal das autoridades de controlo de outros Estados-Membros.

2. Nos casos em que o responsável pelo tratamento ou o subcontratante tenha estabelecimentos em vários Estados-Membros ou nos casos em que haja um número significativo de titulares de dados em mais do que um Estado-Membro que sejam suscetíveis de ser substancialmente afetados pelas operações de tratamento, uma autoridade de controlo de cada um desses Estados-Membros tem direito a participar nas operações conjuntas. A autoridade de controlo competente nos termos do artigo 56º, nº 1 ou nº 4, convida a autoridade de controlo de cada um desses Estados-Membros a participar nas operações conjuntas e responde sem demora ao pedido de um autoridade de controlo para participar.

3. As autoridades de controlo podem, nos termos do direito do seu Estado-Membro, e com a autorização da autoridade de controlo de origem, conferir poderes, nomeadamente poderes de investigação, aos membros ou ao pessoal da autoridade de controlo de origem implicados nas operações conjuntas ou, na medida em que o direito do Estado-Membro da autoridade de controlo de acolhimento o permita, autorizar os membros ou o pessoal da autoridade de controlo de origem a exercer os seus poderes de investigação nos termos do direito do Estado-Membro da autoridade de controlo de origem. Esses poderes de investigação podem ser exercidos apenas sob a orientação e na presença de membros ou pessoal da autoridade de controlo de acolhimento. Os membros ou pessoal da autoridade de controlo de origem estão sujeitos ao direito do Estado-Membro da autoridade de controlo de acolhimento.

4. Se, nos termos do nº 1, o pessoal da autoridade de controlo de origem exercer atividades noutro Estado-Membro, o Estado-Membro da autoridade de controlo de acolhimento assume a responsabilidade pelos seus atos, incluindo a responsabilidade por quaisquer danos por ele causados no decurso de tais atividades, de acordo com o direito do Estado-Membro em cujo território atuam.

5. O Estado-Membro em cujo território forem causados os danos indemniza-os nas condições aplicáveis aos danos causados pelo seu próprio pessoal. O Estado-Membro da autoridade de controlo de origem cujo pessoal tenha causado danos a qualquer pessoa no território de outro Estado-Membro reembolsa integralmente esse outro Estado-Membro das somas que tenha pago aos seus representantes legais.

6. Sem prejuízo do exercício dos seus direitos perante terceiros e com exceção do disposto no nº 5, cada Estado-Membro renuncia, no caso previsto no nº 1, a solicitar a outro Estado-Membro o reembolso do montante dos danos referido no nº 4.

7. Sempre que se tencione efetuar uma operação conjunta e uma autoridade de controlo não cumprir, no prazo de um mês, a obrigação estabelecida nº 2, segunda frase, do presente artigo, as outras autoridades de controlo podem adotar uma medida provisória no território do respetivo Estado-Membro em conformidade com o artigo 55º. Nesse caso, presume-se que é urgente intervir, nos termos do artigo 66º, nº 1, e solicitar um parecer ou uma decisão vinculativa urgente ao Comité, nos termos do artigo 66º, nº 2.

Artigo 56º – Competência da autoridade de controlo principal

Artigo 56º

Competência da autoridade de controlo principal

1. Sem prejuízo do disposto no artigo 55º, a autoridade de controlo do estabelecimento principal ou do estabelecimento único do responsável pelo tratamento ou do subcontratante é competente para agir como autoridade de controlo principal para o tratamento transfronteiriço efetuado pelo referido responsável pelo tratamento ou subcontratante nos termos do artigo 60º.

2. Em derrogação do nº 1, cada autoridade de controlo é competente para tratar reclamações que lhe sejam apresentadas ou a eventuais violações do presente regulamento se a matéria em apreço estiver relacionada apenas com um estabelecimento no seu Estado-Membro ou se afetar substancialmente titulares de dados apenas no seu Estado-Membro.

3. Nos casos previstos no nº 2 do presente artigo, a autoridade de controlo informa sem demora do assunto a autoridade de controlo principal. No prazo de três semanas a contar do momento em que tiver sido informada, a autoridade de controlo principal decide se trata o caso, nos termos do artigo 60º, tendo em conta se há ou não algum estabelecimento do responsável pelo tratamento ou subcontratante no Estado-Membro sobre o qual a autoridade de controlo a tenha informado.

4. Quando a autoridade de controlo principal decide tratar o caso, aplica-se o procedimento previsto no artigo 60.o. A autoridade de controlo que tiver informado a autoridade de controlo principal pode apresentar a esta última um projeto de decisão. A autoridade de controlo principal tem esse projeto na melhor conta quando prepara o projeto de decisão referido no artigo 60º, nº 3.

5. Caso a autoridade de controlo principal decida não tratar o caso, é a autoridade de controlo que a informou que o trata, nos termos dos artigos 61º e 62º.

6. A autoridade de controlo principal é o único interlocutor do responsável pelo tratamento ou do subcontratante no tratamento transfronteiriço efetuado pelo referido responsável pelo tratamento ou subcontratante.

Artigo 46º – Transferências sujeitas a garantias adequadas

Artigo 46º

Transferências sujeitas a garantias adequadas

1. Não tendo sido tomada qualquer decisão nos termos do artigo 45º, nº 3, os responsáveis pelo tratamento ou subcontratantes só podem transferir dados pessoais para um país terceiro ou uma organização internacional se tiverem apresentado garantias adequadas, e na condição de os titulares dos dados gozarem de direitos oponíveis e de medidas
jurídicas corretivas eficazes.

2. Podem ser previstas as garantias adequadas referidas no nº 1, sem requerer nenhuma autorização específica de uma autoridade de controlo, por meio de:

a) Um instrumento juridicamente vinculativo e com força executiva entre autoridades ou organismos públicos;

b) Regras vinculativas aplicáveis às empresas em conformidade com o artigo 47º;

c) Cláusulas-tipo de proteção de dados adotadas pela Comissão pelo procedimento de exame referido no artigo 93º, nº 2;

d) Cláusulas-tipo de proteção de dados adotadas por uma autoridade de controlo e aprovadas pela Comissão pelo procedimento de exame referido no artigo 93º, nº 2;

e) Um código de conduta, aprovado nos termos do artigo 40º, acompanhado de compromissos vinculativos e com força executiva assumidos pelos responsáveis pelo tratamento ou pelos subcontratantes no país terceiro no sentido de aplicarem as garantias adequadas, nomeadamente no que respeita aos direitos dos titulares dos dados; ou

f) Um procedimento de certificação, aprovado nos termos do artigo 42º, acompanhado de compromissos vinculativos e com força executiva assumidos pelos responsáveis pelo tratamento ou pelos subcontratantes no país terceiro no sentido de aplicarem as garantias adequadas, nomeadamente no que respeita aos direitos dos titulares dos dados.

3. Sob reserva de autorização da autoridade de controlo competente, podem também ser previstas as garantias adequadas referidas no nº 1, nomeadamente por meio de:

a) Cláusulas contratuais entre os responsáveis pelo tratamento ou subcontratantes e os responsáveis pelo tratamento, subcontratantes ou destinatários dos dados pessoais no país terceiro ou organização internacional; ou

b) Disposições a inserir nos acordos administrativos entre as autoridades ou organismos públicos que contemplem os direitos efetivos e oponíveis dos titulares dos dados.

4. A autoridade de controlo aplica o procedimento de controlo da coerência a que se refere o artigo 63º nos casos enunciados no nº 3 do presente artigo.

5. As autorizações concedidas por um Estado-Membro ou uma autoridade de controlo com base no artigo 26º, nº 2, da Diretiva 95/46/CE continuam válidas até que a mesma autoridade de controlo as altere, substitua ou revogue, caso seja necessário. As decisões adotadas pela Comissão com base no artigo 26º, nº 4, da Diretiva 95/46/CE permanecem em vigor até que sejam alteradas, substituídas ou revogadas, caso seja necessário, por uma decisão da Comissão adotada em conformidade com o nº 2 do presente artigo.

Artigo 53º – Condições gerais aplicáveis aos membros da autoridade de controlo

Artigo 53º

Condições gerais aplicáveis aos membros da autoridade de controlo

1. Os Estados-Membros estabelecem que cada membro das respetivas autoridades de controlo seja nomeado por procedimento transparente:

— pelo Parlamento,

— pelo Governo,

— pelo Chefe de Estado, ou

— por um organismo independente incumbido da nomeação nos termos do direito do Estado-Membro.

2. Cada membro possui as habilitações, a experiência e os conhecimentos técnicos necessários, nomeadamente no domínio da proteção de dados pessoais, ao desempenho das suas funções e ao exercício dos seus poderes.

3. As funções dos membros da autoridade de controlo cessam findo o seu mandato, com a sua exoneração ou aposentação compulsiva, nos termos do direito do Estado-Membro em causa.

4. Os membros da autoridade de controlo só são exonerados se tiverem cometido uma falta grave ou se tiverem deixado de cumprir as condições exigidas para o exercício das suas funções.

Artigo 52º – Independência

Artigo 52º

Independência

1. As autoridades de controlo agem com total independência no na prossecução das suas atribuições e no exercício dos poderes que lhe são atribuídos nos termos do presente regulamento.

2. Os membros das autoridades de controlo não estão sujeitos a influências externas, diretas ou indiretas no desempenho das suas funções e no exercício dos seus poderes nos termos do presente regulamento, e não solicitam nem recebem instruções de outrem.

3. Os membros da autoridade de controlo abstêm-se de qualquer ato incompatível com as suas funções e, durante o seu mandato, não podem desempenhar nenhuma atividade, remunerada ou não, que com elas seja incompatível.

4. Os Estados-Membros asseguram que cada autoridade de controlo disponha dos recursos humanos, técnicos e financeiros, instalações e infraestruturas necessários à prossecução eficaz das suas atribuições e ao exercício dos seus poderes, incluindo as executadas no contexto da assistência mútua, da cooperação e da participação no Comité.

5. Os Estados-Membros asseguram que cada autoridade de controlo selecione e disponha do seu próprio pessoal, que ficará sob a direção exclusiva dos membros da autoridade de controlo interessada.

6. Os Estados-Membros asseguram que cada autoridade de controlo fique sujeita a um controlo financeiro que não afeta a sua independência e que disponha de orçamentos anuais separados e públicos, que poderão estar integrados no orçamento geral do Estado ou nacional.

Artigo 51º – Autoridade de controlo

Artigo 51º

Autoridade de controlo

1. Os Estados-Membros estabelecem que cabe a uma ou mais autoridades públicas independentes a responsabilidade pela fiscalização da aplicação do presente regulamento, a fim de defender os direitos e liberdades fundamentais das pessoas singulares relativamente ao tratamento e facilitar a livre circulação desses dados na União («autoridade de controlo»).

2. As autoridades de controlo contribuem para a aplicação coerente do presente regulamento em toda a União. Para esse efeito, as autoridades de controlo cooperam entre si e com a Comissão, nos termos do capítulo VII.

3. Quando estiverem estabelecidas mais do que uma autoridade de controlo num Estado-Membro, este determina qual a autoridade de controlo que deve representar essas autoridades no Comité e estabelece disposições para assegurar que as regras relativas ao procedimento de controlo da coerência referido no artigo 63º, sejam cumpridas pelas autoridades.

4. Os Estados-Membros notificam a Comissão das disposições do direito nacional que adotarem nos termos do presente capítulo, até 25 de maio de 2018 e, sem demora, de qualquer alteração posterior a essas mesmas disposições.

Segurança da informação e o RGPD

Os princípios da segurança da informação foram, em muitos aspetos, as bases do Regulamento Geral de Proteção de Dados (RGPD). Embora com a promulgação da norma as regras impostas e as condutas exigidas tenham se tornado algo aparentemente mais afeito à seara jurídica, a verdade é que engenheiros e informáticos que lidam com processamento de dados em grande empresas já possuem um cotidiano similar ao exigido no RGPD há anos.

Em primeiro lugar: sim, os direitos do titular dos dados no RGPD estão claramente baseados nos princípios da segurança da informação, do ponto de vista técnico. Esses princípios podem ser resumidos em:

  1. Confidencialidade – proteção da informação contra qualquer tipo de acesso não autorizado ou interceptações.
  2. Integridade – garantia de que a informação seja armazenada e possa ser acessada ou recuperada a qualquer momento, sem prejuízos para o seu conteúdo.
  3. Disponibilidade – garantia de que toda a informação armazenada possa ser disponibilizada aos responsáveis e pessoas autorizadas, quando requerida.
  4. Autenticidade – relacionado à confidencialidade e também à disponibilidade, a autenticidade garante a origem de uma informação e também a identidade das pessoas que a manipularam.

Um dos aspetos principais do RGPD é exatamente a garantia e proteção dos direitos do usuário relacionados a esses quatro princípios da segurança da informação. Todo titular de dados tem por direito o “apagamento” dos seus dados, acesso irrestrito aos mesmos, transferência ou portabilidade, direito à retificação dos dados, oposição e limitação à forma com que seja feito o processamento e também transparência e informação no sentido de estar ciente de mudanças, novas políticas ou mesmo ameaças e vazamentos dos dados.

Todos esses direitos concedidos podem, sem exceção, ser enquadrados em um ou mais princípios da segurança da informação. Assim sendo, é justo considerar que, para toda e qualquer “boa prática” não definida por ora para o RGPD, aplica-se por exclusão uma boa prática consolidada na área de segurança e privacidade da informação. Notadamente, estamos a falar das normas específicas desse segmento.

Como gerenciar a Segurança da Informação

Descrição de responsabilidades, tarefas e encargos são os pontos de partida obrigatórios para uma boa gestão da segurança da informação – gerir o RGPD exigirá do encarregado da proteção de dados o mesmo. De forma mais detalhada possível, devem ser descritos de forma clara:

  • A política ou normas de conduta.
  • Os processos, ou tudo o que precisa ocorrer para atender aos objetivos de segurança.
  • Os procedimentos, com detalhes de quem deve fazer o que e quando.
  • Instruções claras de trabalho, se possível descritas em passos.

O RGPD estabelece procedimentos específicos, mas em linhas gerais, é exatamente disso que a norma trata. A diferença aqui é que, para além do âmbito de uma empresa ou organização em particular, o foco passa a partir do usuário ou titular dos dados. De qualquer modo, normas voltadas à padronização na segurança da informação, como a família ISO 27000 de normas técnicas, já colocavam não apenas a “empresa” como cliente, mas todos os demais stakeholders possíveis ou existentes: empregados, clientes, usuários externos e internos em geral, parceiros, autoridades, etc.

A gestão da segurança da informação é um processo contínuo. Fatores externos e internos influenciam toda a política e a gestão da informação e precisam ser constantemente monitorados, para que modificações sejam realizadas. Exatamente o mesmo se passa no escopo do RGPD.