https:\/\/eur-lex.europa.eu\/legal-content\/PT\/TXT\/PDF\/?uri=CELEX:32020Q0210(01)&from=EN<\/a><\/p>\nTendo em conta o Tratado sobre o Funcionamento da Uni\u00e3o Europeia,<\/p>\n
Tendo em conta o Regulamento (UE) 2018\/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo \u00e0 prote\u00e7\u00e3o das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas institui\u00e7\u00f5es e pelos \u00f3rg\u00e3os e organismos da Uni\u00e3o e \u00e0 livre circula\u00e7\u00e3o desses dados, e que revoga o Regulamento (CE) n.o 45\/2001 e a Decis\u00e3o n.o 1247\/2002\/CE (1), e em particular o artigo 25.o do mesmo,<\/p>\n
Tendo em conta o Regulamento (UE) 2019\/881 do Parlamento Europeu e do Conselho, de 17 de abril de 2019, relativo \u00e0 ENISA (Ag\u00eancia da Uni\u00e3o Europeia para a Ciberseguran\u00e7a) e \u00e0 certifica\u00e7\u00e3o da ciberseguran\u00e7a das tecnologias da informa\u00e7\u00e3o e comunica\u00e7\u00e3o e que revoga o Regulamento (UE) n.o 526\/2013 (Regulamento Ciberseguran\u00e7a) (2), e em particular o artigo 15, n.o 1, do mesmo,<\/p>\n
Tendo em conta o parecer da Autoridade Europeia para a Prote\u00e7\u00e3o de Dados (AEPD), de 17 de outubro de 2019, bem como as suas orienta\u00e7\u00f5es relativas ao artigo 25.o do Regulamento (UE) 2018\/1725 e \u00e0s normas internas,<\/p>\n
Considerando o seguinte:<\/p>\n
(1) Em conformidade com o artigo 25.o, n.o 1, do Regulamento (UE) 2018\/1725, as limita\u00e7\u00f5es \u00e0 aplica\u00e7\u00e3o dos artigos 14.o a 22.o, 35.o e 36.o, bem como do artigo 4.o do mesmo regulamento, na medida em que as disposi\u00e7\u00f5es deste artigo correspondam aos direitos e obriga\u00e7\u00f5es previstos nos artigos 14.o a 22.o, devem basear-se nas normas internas a adotar pela ENISA, quando estas n\u00e3o se baseiem em atos normativos adotados com base nos Tratados.<\/p>\n
(2) Estas normas internas, incluindo as respetivas disposi\u00e7\u00f5es sobre a avalia\u00e7\u00e3o da necessidade e da proporcionalidade de uma limita\u00e7\u00e3o, n\u00e3o devem aplicar-se nos casos em que um ato normativo adotado com base nos Tratados preveja uma limita\u00e7\u00e3o dos direitos do titular dos dados.<\/p>\n
(3) Nos casos em que a ENISA desempenha as suas fun\u00e7\u00f5es relativamente a direitos do titular dos dados nos termos do Regulamento (UE) 2018\/1725, deve ter em conta se s\u00e3o aplic\u00e1veis algumas das derroga\u00e7\u00f5es previstas nesse regulamento.<\/p>\n
(4) No contexto do seu funcionamento administrativo, a ENISA pode conduzir inqu\u00e9ritos administrativos e processos disciplinares, levar a cabo atividades preliminares relacionadas com casos de eventuais irregularidades comunicadas ao Organismo Europeu de Luta Antifraude (OLAF), tratar casos de den\u00fancias, tratar procedimentos (formais e informais) relativos a casos de ass\u00e9dio, tratar reclama\u00e7\u00f5es internas e externas, realizar auditorias internas, conduzir avalia\u00e7\u00f5es de incidentes de ciberseguran\u00e7a nos termos do artigo 7.o, n.o 4, do Regulamento (UE) 2019\/881, levar a cabo investiga\u00e7\u00f5es atrav\u00e9s do encarregado da prote\u00e7\u00e3o de dados, em conformidade com o artigo 45.o, n.o 2, do Regulamento (UE) 2018\/1725, e realizar investiga\u00e7\u00f5es em mat\u00e9ria de seguran\u00e7a (inform\u00e1tica) interna.<\/p>\n
A ENISA trata v\u00e1rias categorias de dados pessoais, incluindo dados tang\u00edveis (dados \u00abobjetivos\u00bb, como dados de identifica\u00e7\u00e3o, dados de contacto, dados profissionais, detalhes administrativos, dados recebidos de fontes espec\u00edficas, comunica\u00e7\u00f5es eletr\u00f3nicas e dados de tr\u00e1fego) e\/ou dados intang\u00edveis (dados \u00absubjetivos\u00bb relacionados com o caso, como fundamenta\u00e7\u00f5es, dados comportamentais, avalia\u00e7\u00f5es, dados de desempenho e conduta e dados relacionados com ou apresentados no \u00e2mbito da mat\u00e9ria a que se refere o procedimento ou a atividade).<\/p>\n
(5) A ENISA, representada pelo seu diretor-executivo, atua como respons\u00e1vel pelo tratamento dos dados, sem preju\u00edzo de subsequentes delega\u00e7\u00f5es dessa fun\u00e7\u00e3o no seio da ENISA, a fim de refletir as responsabilidades operacionais no que se refere a opera\u00e7\u00f5es espec\u00edficas de tratamento de dados pessoais.<\/p>\n
(6) Os dados pessoais s\u00e3o armazenados em seguran\u00e7a num ambiente eletr\u00f3nico ou em papel, evitando o acesso ou a transfer\u00eancia il\u00edcitos de dados para pessoas que n\u00e3o tenham de os conhecer. Os dados pessoais tratados s\u00e3o conservados apenas durante o tempo necess\u00e1rio e adequado \u00e0s finalidades do respetivo tratamento, num per\u00edodo especificado nos avisos sobre a prote\u00e7\u00e3o de dados, nas declara\u00e7\u00f5es de privacidade ou nos registos da ENISA.<\/p>\n
(7) Estas normas internas devem aplicar-se a todas as opera\u00e7\u00f5es de tratamento realizadas pela ENISA no \u00e2mbito de inqu\u00e9ritos administrativos, processos disciplinares, atividades relacionadas com casos de eventuais irregularidades comunicadas ao OLAF, procedimentos de den\u00fancia, procedimentos (formais e informais) relativos a casos de ass\u00e9dio, tratamento de reclama\u00e7\u00f5es internas e externas, auditorias internas, avalia\u00e7\u00f5es de incidentes de ciberseguran\u00e7a nos termos do artigo 7.o, n.o 4, do Regulamento (UE) 2019\/881, investiga\u00e7\u00f5es realizadas pelo encarregado da prote\u00e7\u00e3o de dados, em conformidade com o artigo 45.o, n.o 2, do Regulamento (UE) 2018\/1725, e investiga\u00e7\u00f5es em mat\u00e9ria de seguran\u00e7a (inform\u00e1tica) levadas a cabo internamente ou com participa\u00e7\u00e3o externa (por exemplo, a CERT-UE).<\/p>\n
(8) Estas normas internas devem aplicar-se a opera\u00e7\u00f5es de tratamento realizadas antes do in\u00edcio dos procedimentos acima referidos, ao longo dos mesmos e durante a supervis\u00e3o do seguimento dado aos resultados de tais procedimentos. Devem ainda abranger a assist\u00eancia e a coopera\u00e7\u00e3o disponibilizadas pela ENISA, fora do \u00e2mbito das suas investiga\u00e7\u00f5es administrativas, a autoridades nacionais e a organiza\u00e7\u00f5es internacionais.<\/p>\n
(9) Sempre que tais normas internas se apliquem, a ENISA tem de apresentar justifica\u00e7\u00f5es em que explique a raz\u00e3o pela qual as limita\u00e7\u00f5es s\u00e3o estritamente necess\u00e1rias e proporcionadas numa sociedade democr\u00e1tica, e a forma como respeitam a ess\u00eancia dos direitos e liberdades fundamentais.<\/p>\n
(10) Neste contexto, compete \u00e0 ENISA respeitar tanto quanto poss\u00edvel, durante os procedimentos acima referidos, os direitos fundamentais dos titulares dos dados, em especial os relacionados com o direito de comunica\u00e7\u00e3o de informa\u00e7\u00f5es, direito de acesso e retifica\u00e7\u00e3o, direito ao apagamento, limita\u00e7\u00e3o do tratamento, direito de comunica\u00e7\u00e3o ao titular dos dados de uma viola\u00e7\u00e3o de dados pessoais ou a confidencialidade da comunica\u00e7\u00e3o, conforme estabelecido no Regulamento (UE) 2018\/1725.<\/p>\n
(11) Contudo, a ENISA poder\u00e1 ser obrigada a limitar a comunica\u00e7\u00e3o de informa\u00e7\u00f5es ao titular dos dados, e outros direitos deste, a fim de proteger, em especial, as suas pr\u00f3prias investiga\u00e7\u00f5es, as investiga\u00e7\u00f5es e os processos de outras autoridades p\u00fablicas, bem como os direitos de outras pessoas relacionadas com as suas investiga\u00e7\u00f5es ou com outros procedimentos.<\/p>\n
(12) Assim, a ENISA pode limitar a comunica\u00e7\u00e3o de informa\u00e7\u00f5es para proteger a investiga\u00e7\u00e3o e os direitos e liberdades fundamentais de outros titulares de dados.<\/p>\n
(13) A ENISA deve verificar regularmente se as condi\u00e7\u00f5es que justificam a limita\u00e7\u00e3o ainda se mant\u00eam e anular essa limita\u00e7\u00e3o em caso negativo.<\/p>\n
(14) O respons\u00e1vel pelo tratamento deve informar o encarregado da prote\u00e7\u00e3o de dados aquando da prorroga\u00e7\u00e3o de uma limita\u00e7\u00e3o e durante as respetivas revis\u00f5es.<\/p>\n
(15) Dada a import\u00e2ncia das normas internas para a prote\u00e7\u00e3o dos direitos do titular de dados, a decis\u00e3o deve entrar em vigor o mais rapidamente poss\u00edvel ap\u00f3s a sua publica\u00e7\u00e3o no Jornal Oficial da Uni\u00e3o Europeia,<\/p>\n
ADOTOU A PRESENTE DECIS\u00c3O:<\/p>\n
Artigo 1.o<\/p>\n
Objeto e \u00e2mbito<\/p>\n
1. A presente decis\u00e3o estabelece as regras relativas \u00e0s condi\u00e7\u00f5es em que a ENISA, no \u00e2mbito dos seus procedimentos descritos no n.o 2, pode limitar a aplica\u00e7\u00e3o dos direitos consagrados nos artigos 14.o a 21.o, 35.o e 36.o do Regulamento (UE) 2018\/1725, bem como no artigo 4.o, conforme previsto no artigo 25.o do mesmo regulamento.<\/p>\n
2. No \u00e2mbito do funcionamento administrativo da ENISA, a presente decis\u00e3o aplica-se \u00e0s opera\u00e7\u00f5es de tratamento de dados pessoais realizadas pela ENISA com as seguintes finalidades: realizar inqu\u00e9ritos administrativos, processos disciplinares, atividades preliminares relacionadas com casos de eventuais irregularidades comunicadas ao OLAF, tratar casos de den\u00fancia, procedimentos (formais e informais) de ass\u00e9dio, tratar reclama\u00e7\u00f5es internas e externas, realizar auditorias internas, conduzir avalia\u00e7\u00f5es de incidentes de ciberseguran\u00e7a nos termos do artigo 7.o, n.o 4, do Regulamento (UE) 2019\/881, investiga\u00e7\u00f5es realizadas pelo encarregado da prote\u00e7\u00e3o de dados, em conformidade com o artigo 45.o, n.o 2, do Regulamento (UE) 2018\/1725, e investiga\u00e7\u00f5es em mat\u00e9ria de seguran\u00e7a (inform\u00e1tica), levadas a cabo internamente ou com participa\u00e7\u00e3o externa (por exemplo, a CERT-UE).<\/p>\n
3. As categorias de dados em quest\u00e3o consistem em dados tang\u00edveis (dados \u00abobjetivos\u00bb, como dados de identifica\u00e7\u00e3o, dados de contacto, dados profissionais, detalhes administrativos, dados recebidos de fontes espec\u00edficas, comunica\u00e7\u00f5es eletr\u00f3nicas e dados de tr\u00e1fego) e\/ou dados intang\u00edveis (dados \u00absubjetivos\u00bb relacionados com o caso, como fundamenta\u00e7\u00f5es, dados comportamentais, avalia\u00e7\u00f5es, dados de desempenho e conduta e dados relacionados com ou apresentados no \u00e2mbito da mat\u00e9ria a que se refere o procedimento ou a atividade).<\/p>\n
4. Nos casos em que a ENISA desempenha as suas fun\u00e7\u00f5es relativamente a direitos do titular dos dados nos termos do Regulamento (UE) 2018\/1725, deve ter em conta se s\u00e3o aplic\u00e1veis algumas das derroga\u00e7\u00f5es previstas nesse regulamento.<\/p>\n
5. Sob reserva das condi\u00e7\u00f5es estabelecidas na presente decis\u00e3o, as limita\u00e7\u00f5es podem aplicar-se aos seguintes direitos: comunica\u00e7\u00e3o de informa\u00e7\u00f5es a titulares de dados, direito de acesso, retifica\u00e7\u00e3o, apagamento, limita\u00e7\u00e3o do tratamento, comunica\u00e7\u00e3o de uma viola\u00e7\u00e3o de dados pessoais ao titular dos dados ou confidencialidade da comunica\u00e7\u00e3o.<\/p>\n
Artigo 2.o<\/p>\n
Especifica\u00e7\u00e3o do respons\u00e1vel pelo tratamento e salvaguardas<\/p>\n
1. As salvaguardas existentes para evitar viola\u00e7\u00f5es, fugas ou divulga\u00e7\u00f5es n\u00e3o autorizadas de dados s\u00e3o as seguintes:<\/p>\n
a) os documentos em papel s\u00e3o mantidos em arm\u00e1rios de arquivo seguros e est\u00e3o acess\u00edveis apenas a membros autorizados do pessoal;<\/p>\n
b) todos os dados eletr\u00f3nicos s\u00e3o conservados numa aplica\u00e7\u00e3o inform\u00e1tica segura, de acordo com as normas de seguran\u00e7a da ENISA, bem como em pastas eletr\u00f3nicas espec\u00edficas, acess\u00edveis apenas a membros autorizados do pessoal. Os n\u00edveis adequados de acesso s\u00e3o concedidos individualmente;<\/p>\n
c) o acesso \u00e0 base de dados est\u00e1 protegido por uma palavra-passe num sistema de in\u00edcio de sess\u00e3o \u00fanico e associado automaticamente \u00e0 palavra-passe e ao ID do utilizador. A substitui\u00e7\u00e3o de utilizadores \u00e9 estritamente proibida. Os registos eletr\u00f3nicos s\u00e3o mantidos em seguran\u00e7a para salvaguardar a confidencialidade e a privacidade dos dados que cont\u00eam;<\/p>\n
d) todas as pessoas que disponham de acesso aos dados est\u00e3o sujeitas \u00e0 obriga\u00e7\u00e3o de confidencialidade.<\/p>\n
2. O respons\u00e1vel pelas opera\u00e7\u00f5es de tratamento \u00e9 a ENISA, representada pelo seu diretor-executivo, que pode delegar a fun\u00e7\u00e3o de respons\u00e1vel pelo tratamento. Os titulares dos dados devem ser informados acerca do respons\u00e1vel pelo tratamento delegado por meio dos avisos sobre a prote\u00e7\u00e3o de dados ou de registos publicados no s\u00edtio Web e\/ou na intranet da ENISA.<\/p>\n
3. O per\u00edodo de conserva\u00e7\u00e3o dos dados pessoais mencionado no artigo 1.o, n.o 3, n\u00e3o deve exceder o necess\u00e1rio e adequado para os fins a que se destina o tratamento dos dados. Em qualquer caso, n\u00e3o pode exceder o per\u00edodo de conserva\u00e7\u00e3o indicado nos avisos sobre a prote\u00e7\u00e3o de dados, nas declara\u00e7\u00f5es de privacidade ou nos registos a que se refere o artigo 5.o, n.o 1.<\/p>\n
4. Sempre que a ENISA pondere aplicar uma limita\u00e7\u00e3o, os riscos para os direitos e liberdades do titular dos dados devem ser avaliados, em especial, face aos riscos para os direitos e liberdades de outros titulares dos dados e ao risco de anular o efeito de investiga\u00e7\u00f5es ou procedimentos da ENISA, nomeadamente atrav\u00e9s da destrui\u00e7\u00e3o de provas. Os riscos para os direitos e liberdades do titular dos dados dizem respeito sobretudo, mas n\u00e3o exclusivamente, a riscos para a reputa\u00e7\u00e3o e a riscos para o direito de defesa e o direito a ser ouvido.<\/p>\n
Artigo 3.o<\/p>\n
Limita\u00e7\u00f5es<\/p>\n
1. A ENISA s\u00f3 pode aplicar uma limita\u00e7\u00e3o a fim de salvaguardar:<\/p>\n
a) a preven\u00e7\u00e3o, investiga\u00e7\u00e3o, dete\u00e7\u00e3o e repress\u00e3o de infra\u00e7\u00f5es penais, ou a execu\u00e7\u00e3o de san\u00e7\u00f5es penais, incluindo a salvaguarda e a preven\u00e7\u00e3o de amea\u00e7as \u00e0 seguran\u00e7a p\u00fablica;<\/p>\n
b) outros objetivos importantes do interesse p\u00fablico geral da Uni\u00e3o ou de um Estado-Membro, em particular, os objetivos da pol\u00edtica externa e de seguran\u00e7a comum da Uni\u00e3o, ou um interesse econ\u00f3mico ou financeiro importante da Uni\u00e3o ou de um Estado-Membro, inclusive de ordem monet\u00e1ria, or\u00e7amental e fiscal, de sa\u00fade p\u00fablica e de seguran\u00e7a social;<\/p>\n
c) a seguran\u00e7a interna das institui\u00e7\u00f5es e \u00f3rg\u00e3os da Uni\u00e3o, incluindo a das suas redes de comunica\u00e7\u00f5es eletr\u00f3nicas;<\/p>\n
d) a preven\u00e7\u00e3o, investiga\u00e7\u00e3o, dete\u00e7\u00e3o e repress\u00e3o de viola\u00e7\u00f5es da deontologia de profiss\u00f5es regulamentadas;<\/p>\n
e) uma miss\u00e3o de controlo, de inspe\u00e7\u00e3o ou de regulamenta\u00e7\u00e3o associada, ainda que ocasionalmente, ao exerc\u00edcio da autoridade p\u00fablica, nos casos referidos nas al\u00edneas a) e b);<\/p>\n
f) a defesa do titular dos dados ou dos direitos e liberdades de terceiros.<\/p>\n
2. A avalia\u00e7\u00e3o dos incidentes de ciberseguran\u00e7a efetuada pela ENISA nos termos do artigo 7.o, n.o 4, do Regulamento (UE) 2019\/881 (Regulamento Ciberseguran\u00e7a) \u00e9 abrangida pelo n.o 1, al\u00ednea (b), do presente artigo.<\/p>\n
3. Enquanto aplica\u00e7\u00e3o espec\u00edfica dos fins descritos no n.o 1 acima, a ENISA pode aplicar limita\u00e7\u00f5es em rela\u00e7\u00e3o a dados pessoais trocados com servi\u00e7os da Comiss\u00e3o ou com outras institui\u00e7\u00f5es, \u00f3rg\u00e3os, ag\u00eancias e servi\u00e7os da Uni\u00e3o, autoridades competentes dos Estados-Membros ou de pa\u00edses terceiros ou organiza\u00e7\u00f5es internacionais, respetivamente, nas seguintes circunst\u00e2ncias:<\/p>\n
a) nos casos em que o exerc\u00edcio desses direitos e obriga\u00e7\u00f5es puder ser limitado por servi\u00e7os da Comiss\u00e3o ou outras institui\u00e7\u00f5es, \u00f3rg\u00e3os, ag\u00eancias e servi\u00e7os da Uni\u00e3o com base noutros atos previstos no artigo 25.o do Regulamento (UE) 2018\/1725, ou em conformidade com o cap\u00edtulo IX desse regulamento, ou com os atos constitutivos de outras institui\u00e7\u00f5es, \u00f3rg\u00e3os, ag\u00eancias e servi\u00e7os da Uni\u00e3o;<\/p>\n
b) no caso em que o exerc\u00edcio desses direitos e obriga\u00e7\u00f5es puder ser limitado pelas autoridades competentes dos Estados-Membros com base nos atos referidos no artigo 23.o do Regulamento (UE) 2016\/679 do Parlamento Europeu e do Conselho (3), ou ao abrigo de medidas nacionais de transposi\u00e7\u00e3o dos artigos 13.o, n.o 3, 15.o, n.o 3, ou 16.o, n.o 3, da Diretiva (UE) 2016\/680 do Parlamento Europeu e do Conselho (4);<\/p>\n
c) nos casos em que o exerc\u00edcio desses direitos e obriga\u00e7\u00f5es possa p\u00f4r em causa a coopera\u00e7\u00e3o da ENISA com pa\u00edses terceiros ou organiza\u00e7\u00f5es internacionais no exerc\u00edcio das suas fun\u00e7\u00f5es.<\/p>\n
Antes de aplicar limita\u00e7\u00f5es nas circunst\u00e2ncias referidas nas al\u00edneas a) e b) do primeiro par\u00e1grafo, a ENISA deve consultar os servi\u00e7os competentes da Comiss\u00e3o, de outras institui\u00e7\u00f5es, \u00f3rg\u00e3os, ag\u00eancias e servi\u00e7os da Uni\u00e3o ou de autoridades competentes dos Estados-Membros, salvo se para a ENISA for claro que a aplica\u00e7\u00e3o de uma limita\u00e7\u00e3o est\u00e1 prevista num dos atos referidos nessas al\u00edneas.<\/p>\n
4. Qualquer limita\u00e7\u00e3o deve ser necess\u00e1ria e proporcionada, tendo em conta os riscos para os direitos e liberdades dos titulares dos dados, devendo ainda respeitar a ess\u00eancia dos direitos e liberdades fundamentais numa sociedade democr\u00e1tica.<\/p>\n
5. Se for ponderada a aplica\u00e7\u00e3o de uma limita\u00e7\u00e3o, deve ser realizado um teste de necessidade e de proporcionalidade baseado nas presentes regras. O mesmo deve ser documentado, caso a caso, mediante uma nota de avalia\u00e7\u00e3o interna, para efeitos de responsabiliza\u00e7\u00e3o.<\/p>\n
6. As limita\u00e7\u00f5es devem ser anuladas assim que cessarem as circunst\u00e2ncias que as justificam. Em especial, \u00e9 esse o caso quando se considera que o exerc\u00edcio do direito limitado j\u00e1 n\u00e3o anula o efeito da limita\u00e7\u00e3o imposta nem afeta negativamente os direitos ou liberdades de outros titulares dos dados.<\/p>\n
Artigo 4.o<\/p>\n
Reexame pelo encarregado da prote\u00e7\u00e3o de dados<\/p>\n
1. A ENISA deve informar, sem demora injustificada, o seu encarregado da prote\u00e7\u00e3o de dados (o \u00abEPD\u00bb) sempre que o respons\u00e1vel pelo tratamento limite a aplica\u00e7\u00e3o de direitos dos titulares dos dados, ou prorrogue a limita\u00e7\u00e3o, em conformidade com a presente decis\u00e3o. O respons\u00e1vel pelo tratamento deve conceder ao EPD acesso ao registo que cont\u00e9m a avalia\u00e7\u00e3o da necessidade e proporcionalidade da limita\u00e7\u00e3o, bem como documentar, nesse registo, a data em que informou o EPD. A ENISA deve envolver o EPD em todos os procedimentos pertinentes e a participa\u00e7\u00e3o do EPD deve ser documentada.<\/p>\n
2. O EPD pode pedir por escrito, ao respons\u00e1vel pelo tratamento, o reexame da aplica\u00e7\u00e3o das limita\u00e7\u00f5es. O respons\u00e1vel pelo tratamento deve informar o EPD, por escrito, acerca do resultado do reexame solicitado.<\/p>\n
3. O respons\u00e1vel pelo tratamento deve informar o EPD aquando do levantamento da limita\u00e7\u00e3o.<\/p>\n
Artigo 5.o<\/p>\n
Comunica\u00e7\u00e3o de informa\u00e7\u00f5es ao titular dos dados<\/p>\n
1. Em casos devidamente fundamentados, e cumprindo as condi\u00e7\u00f5es definidas na presente decis\u00e3o, o direito \u00e0 informa\u00e7\u00e3o pode ser limitado pelo respons\u00e1vel pelo tratamento no contexto das seguintes opera\u00e7\u00f5es de tratamento:<\/p>\n
a) realiza\u00e7\u00e3o de inqu\u00e9ritos administrativos e de processos disciplinares;<\/p>\n
b) atividades preliminares relacionadas com casos de eventuais irregularidades comunicadas ao OLAF;<\/p>\n
c) procedimentos de den\u00fancia;<\/p>\n
d) procedimentos (formais e informais) relativos a casos de ass\u00e9dio;<\/p>\n
e) tratamento de reclama\u00e7\u00f5es internas e externas;<\/p>\n
f) auditorias internas;<\/p>\n
g) investiga\u00e7\u00f5es realizadas pelo encarregado da prote\u00e7\u00e3o de dados, em conson\u00e2ncia com o artigo 45.o, n.o 2, do Regulamento (UE) 2018\/1725;<\/p>\n
h) investiga\u00e7\u00f5es em mat\u00e9ria de seguran\u00e7a (inform\u00e1tica) levadas a cabo internamente ou com participa\u00e7\u00e3o externa (por exemplo, a CERT-UE);<\/p>\n
i) avalia\u00e7\u00f5es de incidentes de ciberseguran\u00e7a realizadas pela ENISA nos termos do artigo 7.o, n.o 4, do Regulamento (UE) 2019\/881, em conformidade com o artigo 3.o, n.o 2, da presente decis\u00e3o.<\/p>\n
Nos avisos sobre a prote\u00e7\u00e3o de dados, declara\u00e7\u00f5es de privacidade ou registos, na ace\u00e7\u00e3o do artigo 31.o do Regulamento (UE) 2018\/1725, publicados no seu s\u00edtio Web e\/ou na intranet para informar os titulares dos dados acerca dos seus direitos no \u00e2mbito de um determinado procedimento, a ENISA deve incluir informa\u00e7\u00f5es relacionadas com a eventual limita\u00e7\u00e3o desses direitos. As informa\u00e7\u00f5es devem abranger os direitos pass\u00edveis de serem limitados, bem como os motivos e a dura\u00e7\u00e3o da eventual limita\u00e7\u00e3o.<\/p>\n
2. Sem preju\u00edzo do disposto no n.o 3 do presente artigo, quando tal for proporcionado, a ENISA deve informa tamb\u00e9m individualmente, por escrito e sem demora injustificada, todos os titulares dos dados que sejam considerados pessoas afetadas pela opera\u00e7\u00e3o de tratamento em causa acerca dos seus direitos no que diz respeito a limita\u00e7\u00f5es presentes e futuras.<\/p>\n
3. Nos casos em que a ENISA limitar, no todo ou em parte, a comunica\u00e7\u00e3o de informa\u00e7\u00f5es aos titulares dos dados a que se refere o n.o 2 do presente artigo, deve documentar os motivos dessa limita\u00e7\u00e3o e a base jur\u00eddica, em conformidade com o artigo 3.o da presente decis\u00e3o, incluindo uma avalia\u00e7\u00e3o da necessidade e proporcionalidade da limita\u00e7\u00e3o.<\/p>\n
O registo e, se for caso disso, os documentos que cont\u00eam os elementos factuais e jur\u00eddicos subjacentes devem ser registados. Estes elementos devem ser colocados \u00e0 disposi\u00e7\u00e3o da Autoridade Europeia para a Prote\u00e7\u00e3o de Dados, a pedido desta.<\/p>\n
4. A limita\u00e7\u00e3o a que se refere o n.o 3 do presente artigo continuar\u00e1 a aplicar-se enquanto se mantiverem aplic\u00e1veis as raz\u00f5es que a justificam.<\/p>\n
Quando as raz\u00f5es para a limita\u00e7\u00e3o cessarem, a ENISA deve fornecer informa\u00e7\u00f5es ao titular dos dados sobre os principais motivos em que se baseia a aplica\u00e7\u00e3o de uma limita\u00e7\u00e3o. Simultaneamente, a ENISA deve informar o titular dos dados do direito de apresentar uma reclama\u00e7\u00e3o \u00e0 Autoridade Europeia para a Prote\u00e7\u00e3o de Dados, a qualquer momento, ou de intentar uma a\u00e7\u00e3o judicial no Tribunal de Justi\u00e7a da Uni\u00e3o Europeia.<\/p>\n
A ENISA deve reexaminar a aplica\u00e7\u00e3o da limita\u00e7\u00e3o semestralmente ap\u00f3s a sua ado\u00e7\u00e3o e aquando do encerramento do inqu\u00e9rito, procedimento ou investiga\u00e7\u00e3o pertinentes. Da\u00ed em diante, o respons\u00e1vel pelo tratamento deve verificar, de seis em seis meses, a necessidade de manter uma determinada limita\u00e7\u00e3o.<\/p>\n
Artigo 6.o<\/p>\n
Direito de acesso do titular dos dados<\/p>\n
1. Em casos devidamente fundamentados, e cumprindo as condi\u00e7\u00f5es definidas na presente decis\u00e3o, o direito de acesso pode ser limitado pelo respons\u00e1vel pelo tratamento no contexto das seguintes opera\u00e7\u00f5es de tratamento, quando necess\u00e1rio e proporcionado:<\/p>\n
a) realiza\u00e7\u00e3o de inqu\u00e9ritos administrativos e de processos disciplinares;<\/p>\n
b) atividades preliminares relacionadas com casos de eventuais irregularidades comunicadas ao OLAF;<\/p>\n
c) procedimentos de den\u00fancia;<\/p>\n
d) procedimentos (formais e informais) relativos a casos de ass\u00e9dio;<\/p>\n
e) tratamento de reclama\u00e7\u00f5es internas e externas;<\/p>\n
f) auditorias internas;<\/p>\n
g) investiga\u00e7\u00f5es realizadas pelo encarregado da prote\u00e7\u00e3o de dados, em conson\u00e2ncia com o artigo 45.o, n.o 2, do Regulamento (UE) 2018\/1725;<\/p>\n
h) investiga\u00e7\u00f5es em mat\u00e9ria de seguran\u00e7a (inform\u00e1tica) levadas a cabo internamente ou com participa\u00e7\u00e3o externa (por exemplo, a CERT-UE);<\/p>\n
i) avalia\u00e7\u00f5es de incidentes de ciberseguran\u00e7a realizadas pela ENISA nos termos do artigo 7.o, n.o 4, do Regulamento (UE) 2019\/881, em conformidade com o artigo 3.o, n.o 2, da presente decis\u00e3o.<\/p>\n
Sempre que os titulares dos dados solicitarem o acesso aos seus dados pessoais tratados no contexto de um ou mais casos espec\u00edficos ou de uma determinada opera\u00e7\u00e3o de tratamento, em conformidade com o artigo 17.o do Regulamento (UE) 2018\/1725, a ENISA deve restringir a sua aprecia\u00e7\u00e3o do pedido a esses dados pessoais.<\/p>\n
2. Se a ENISA limitar, no todo ou em parte, o direito de acesso previsto no artigo 17.o do Regulamento (UE) 2018\/1725, deve tomar as seguintes medidas:<\/p>\n
a) informar o titular dos dados em causa, na sua resposta ao pedido, da limita\u00e7\u00e3o aplicada e dos principais motivos para tal, bem como da possibilidade de apresentar uma reclama\u00e7\u00e3o \u00e0 Autoridade Europeia para a Prote\u00e7\u00e3o de Dados ou de intentar uma a\u00e7\u00e3o judicial no Tribunal de Justi\u00e7a da Uni\u00e3o Europeia;<\/p>\n
b) documentar, numa nota de avalia\u00e7\u00e3o interna, os motivos da limita\u00e7\u00e3o, incluindo uma avalia\u00e7\u00e3o da necessidade e proporcionalidade da limita\u00e7\u00e3o e a respetiva dura\u00e7\u00e3o.<\/p>\n
A comunica\u00e7\u00e3o das informa\u00e7\u00f5es a que se refere a al\u00ednea (a) pode ser adiada, omitida ou recusada caso se presuma que anule o efeito da limita\u00e7\u00e3o, em conformidade com o artigo 25.o, n.o 8, do Regulamento (UE) 2018\/1725.<\/p>\n
A ENISA deve reexaminar a aplica\u00e7\u00e3o da limita\u00e7\u00e3o semestralmente ap\u00f3s a sua ado\u00e7\u00e3o e aquando do encerramento da investiga\u00e7\u00e3o pertinente. Da\u00ed em diante, o respons\u00e1vel pelo tratamento deve verificar, de seis em seis meses, a necessidade de manter uma determinada limita\u00e7\u00e3o.<\/p>\n
3. O registo e, se for caso disso, os documentos que cont\u00eam os elementos factuais e jur\u00eddicos subjacentes devem ser registados. Estes elementos devem ser disponibilizados \u00e0 Autoridade Europeia para a Prote\u00e7\u00e3o de Dados mediante pedido.<\/p>\n
Artigo 7.o<\/p>\n
Direito de retifica\u00e7\u00e3o, apagamento e limita\u00e7\u00e3o do tratamento<\/p>\n
1. Em casos devidamente fundamentados, e cumprindo as condi\u00e7\u00f5es definidas na presente decis\u00e3o, o direito \u00e0 retifica\u00e7\u00e3o, apagamento e limita\u00e7\u00e3o pode ser limitado pelo respons\u00e1vel pelo tratamento no contexto das seguintes opera\u00e7\u00f5es de tratamento, quando necess\u00e1rio e adequado:<\/p>\n
a) realiza\u00e7\u00e3o de inqu\u00e9ritos administrativos e de processos disciplinares;<\/p>\n
b) atividades preliminares relacionadas com casos de eventuais irregularidades comunicadas ao OLAF;<\/p>\n
c) procedimentos de den\u00fancia;<\/p>\n
d) procedimentos (formais e informais) relativos a casos de ass\u00e9dio;<\/p>\n
e) tratamento de reclama\u00e7\u00f5es internas e externas;<\/p>\n
f) auditorias internas;<\/p>\n
g) investiga\u00e7\u00f5es realizadas pelo encarregado da prote\u00e7\u00e3o de dados, em conson\u00e2ncia com o artigo 45.o, n.o 2, do Regulamento (UE) 2018\/1725;<\/p>\n
h) investiga\u00e7\u00f5es em mat\u00e9ria de seguran\u00e7a (inform\u00e1tica) levadas a cabo internamente ou com participa\u00e7\u00e3o externa (por exemplo, a CERT-UE);<\/p>\n
i) avalia\u00e7\u00f5es de incidentes de ciberseguran\u00e7a realizadas pela ENISA nos termos do artigo 7.o, n.o 4, do Regulamento (UE) 2019\/881, em conformidade com o artigo 3.o, n.o 2, da presente decis\u00e3o.<\/p>\n
2. Se a ENISA limitar, no todo ou em parte, a aplica\u00e7\u00e3o do direito de retifica\u00e7\u00e3o, apagamento e limita\u00e7\u00e3o do tratamento a que se referem os artigos 18.o, 19.o, n.o 1, e 20.o, n.o 1, do Regulamento (UE) 2018\/1725, deve tomar as medidas indicadas no artigo 6.o, n.o 2, da presente decis\u00e3o, e em conformidade com o artigo 6.o, n.o 3 da mesma.<\/p>\n
Artigo 8.o<\/p>\n
Comunica\u00e7\u00e3o de uma viola\u00e7\u00e3o de dados pessoais ao titular dos dados e confidencialidade das comunica\u00e7\u00f5es eletr\u00f3nicas<\/p>\n
1. Em casos devidamente fundamentados, e cumprindo as condi\u00e7\u00f5es definidas na presente decis\u00e3o, o direito \u00e0 comunica\u00e7\u00e3o de uma viola\u00e7\u00e3o de dados pessoais pode ser limitado pelo respons\u00e1vel pelo tratamento no contexto das seguintes opera\u00e7\u00f5es de tratamento, quando necess\u00e1rio e adequado:<\/p>\n
a) realiza\u00e7\u00e3o de inqu\u00e9ritos administrativos e de processos disciplinares;<\/p>\n
b) atividades preliminares relacionadas com casos de eventuais irregularidades comunicadas ao OLAF;<\/p>\n
c) procedimentos de den\u00fancia;<\/p>\n
d) tratamento de reclama\u00e7\u00f5es internas e externas;<\/p>\n
e) auditorias internas;<\/p>\n
f) investiga\u00e7\u00f5es realizadas pelo encarregado da prote\u00e7\u00e3o de dados, em conson\u00e2ncia com o artigo 45.o, n.o 2, do Regulamento (UE) 2018\/1725;<\/p>\n
g) investiga\u00e7\u00f5es em mat\u00e9ria de seguran\u00e7a (inform\u00e1tica) levadas a cabo internamente ou com participa\u00e7\u00e3o externa (por exemplo, a CERT-UE);<\/p>\n
h) avalia\u00e7\u00f5es de incidentes de ciberseguran\u00e7a realizadas pela ENISA nos termos do artigo 7.o, n.o 4, do Regulamento (UE) 2019\/881, em conformidade com o artigo 3.o, n.o 2, da presente decis\u00e3o.<\/p>\n
2. Em casos devidamente fundamentados, e cumprindo as condi\u00e7\u00f5es definidas na presente decis\u00e3o, o direito \u00e0 confidencialidade das comunica\u00e7\u00f5es eletr\u00f3nicas pode ser limitado pelo respons\u00e1vel pelo tratamento no contexto das seguintes opera\u00e7\u00f5es de tratamento, quando necess\u00e1rio e adequado:<\/p>\n
a) realiza\u00e7\u00e3o de inqu\u00e9ritos administrativos e de processos disciplinares;<\/p>\n
b) atividades preliminares relacionadas com casos de eventuais irregularidades comunicadas ao OLAF;<\/p>\n
c) procedimentos de den\u00fancia;<\/p>\n
d) procedimentos formais relativos a casos de ass\u00e9dio;<\/p>\n
e) tratamento de reclama\u00e7\u00f5es internas e externas;<\/p>\n
f) investiga\u00e7\u00f5es em mat\u00e9ria de seguran\u00e7a (inform\u00e1tica) levadas a cabo internamente ou com participa\u00e7\u00e3o externa (por exemplo, a CERT-UE);<\/p>\n
g) avalia\u00e7\u00f5es de incidentes de ciberseguran\u00e7a realizadas pela ENISA nos termos do artigo 7.o, n.o 4, do Regulamento (UE) 2019\/881, em conformidade com o artigo 3.o, n.o 2.<\/p>\n
3. Se a ENISA limitar a comunica\u00e7\u00e3o de uma viola\u00e7\u00e3o de dados pessoais ao titular de dados ou a confidencialidade das comunica\u00e7\u00f5es eletr\u00f3nicas a que se referem os artigos 35.o e 36.o do Regulamento (UE) 2018\/1725, deve aplicar o disposto no artigo 5.o, n.o 3, da presente decis\u00e3o. Aplica-se o artigo 5.o, n.o 4, da presente decis\u00e3o.<\/p>\n
Artigo 9.o<\/p>\n
Entrada em vigor<\/p>\n
A presente decis\u00e3o entra em vigor no dia seguinte ao da sua publica\u00e7\u00e3o no Jornal Oficial da Uni\u00e3o Europeia.<\/p>\n
Feito em Atenas, em 21 de novembro de 2019.<\/p>\n
Pela ENISA<\/p>\n
Jean Baptiste DEMAISON<\/p>\n
Presidente do Conselho de Administra\u00e7\u00e3o<\/p>\n
(1) JO L 295 de 21.11.2018, p. 39.<\/p>\n
(2) JO L 151 de 7.6.2019, p. 15.<\/p>\n
(3) Regulamento (UE) 2016\/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo \u00e0 prote\u00e7\u00e3o das pessoas singulares no que diz respeito ao tratamento de dados pessoais e \u00e0 livre circula\u00e7\u00e3o desses dados e que revoga a Diretiva 95\/46\/CE (Regulamento Geral sobre a Prote\u00e7\u00e3o de Dados) (JO L 119 de 4.5.2016, p. 1).<\/p>\n
(4) Diretiva (UE) 2016\/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa \u00e0 prote\u00e7\u00e3o das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de preven\u00e7\u00e3o, investiga\u00e7\u00e3o, dete\u00e7\u00e3o ou repress\u00e3o de infra\u00e7\u00f5es penais ou execu\u00e7\u00e3o de san\u00e7\u00f5es penais, e \u00e0 livre circula\u00e7\u00e3o desses dados, e que revoga a Decis\u00e3o-Quadro 2008\/977\/JAI do Conselho (JO L 119 de 4.5.2016, p. 89).<\/p>\n","protected":false},"excerpt":{"rendered":"
Decis\u00e3o do Conselho de Administra\u00e7\u00e3o da Ag\u00eancia da Uni\u00e3o Europeia para a Ciberseguran\u00e7a, de 21 de novembro – Normas internas em mat\u00e9ria de limita\u00e7\u00f5es de determinados direitos dos titulares de dados em rela\u00e7\u00e3o ao tratamento de dados pessoais no contexto do funcionamento da ENISA. Relativa \u00e0s normas internas em mat\u00e9ria de limita\u00e7\u00f5es de determinados direitos […]<\/p>\n","protected":false},"author":1,"featured_media":56,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":""},"categories":[6,3],"tags":[],"_links":{"self":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts\/299"}],"collection":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/comments?post=299"}],"version-history":[{"count":4,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts\/299\/revisions"}],"predecessor-version":[{"id":477,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/posts\/299\/revisions\/477"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/media\/56"}],"wp:attachment":[{"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/media?parent=299"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/categories?post=299"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/regulacaodociberespaco.com\/inicio\/wp-json\/wp\/v2\/tags?post=299"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}