https:\/\/eur-lex.europa.eu\/legal-content\/PT\/TXT\/HTML\/?uri=CELEX:32016R0679&from=PT<\/a><\/p>\n\n\n\nO PARLAMENTO EUROPEU E O CONSELHO DA UNI\u00c3O EUROPEIA,
Tendo em conta o Tratado sobre o Funcionamento da Uni\u00e3o Europeia, nomeadamente o artigo 16.\u00ba,
Tendo em conta a proposta da Comiss\u00e3o Europeia,
Ap\u00f3s transmiss\u00e3o do projeto de ato legislativo aos parlamentos nacionais,
Tendo em conta o parecer do Comit\u00e9 Econ\u00f3mico e Social Europeu (1),
Tendo em conta o parecer do Comit\u00e9 das Regi\u00f5es (2),
Deliberando de acordo com o processo legislativo ordin\u00e1rio (3),
Considerando o seguinte:
(1)A prote\u00e7\u00e3o das pessoas singulares relativamente ao tratamento de dados pessoais \u00e9 um direito fundamental. O artigo 8.\u00ba, n.\u00ba 1, da Carta dos Direitos Fundamentais da Uni\u00e3o Europeia (\u00abCarta\u00bb) e o artigo 16.\u00ba, n.\u00ba 1, do Tratado sobre o Funcionamento da Uni\u00e3o Europeia (TFUE) estabelecem que todas as pessoas t\u00eam direito \u00e0 prote\u00e7\u00e3o dos dados de car\u00e1ter pessoal que lhes digam respeito.
(2)Os princ\u00edpios e as regras em mat\u00e9ria de prote\u00e7\u00e3o das pessoas singulares relativamente ao tratamento dos seus dados pessoais dever\u00e3o respeitar, independentemente da nacionalidade ou do local de resid\u00eancia dessas pessoas, os seus direitos e liberdades fundamentais, nomeadamente o direito \u00e0 prote\u00e7\u00e3o dos dados pessoais. O presente regulamento tem como objetivo contribuir para a realiza\u00e7\u00e3o de um espa\u00e7o de liberdade, seguran\u00e7a e justi\u00e7a e de uma uni\u00e3o econ\u00f3mica, para o progresso econ\u00f3mico e social, a consolida\u00e7\u00e3o e a converg\u00eancia das economias a n\u00edvel do mercado interno e para o bem-estar das pessoas singulares.
(3)A Diretiva 95\/46\/CE do Parlamento Europeu e do Conselho (4) visa harmonizar a defesa dos direitos e das liberdades fundamentais das pessoas singulares em rela\u00e7\u00e3o \u00e0s atividades de tratamento de dados e assegurar a livre circula\u00e7\u00e3o de dados pessoais entre os Estados-Membros.
(4)O tratamento dos dados pessoais dever\u00e1 ser concebido para servir as pessoas. O direito \u00e0 prote\u00e7\u00e3o de dados pessoais n\u00e3o \u00e9 absoluto; deve ser considerado em rela\u00e7\u00e3o \u00e0 sua fun\u00e7\u00e3o na sociedade e ser equilibrado com outros direitos fundamentais, em conformidade com o princ\u00edpio da proporcionalidade. O presente regulamento respeita todos os direitos fundamentais e observa as liberdade e os princ\u00edpios reconhecidos na Carta, consagrados nos Tratados, nomeadamente o respeito pela vida privada e familiar, pelo domic\u00edlio e pelas comunica\u00e7\u00f5es, a prote\u00e7\u00e3o dos dados pessoais, a liberdade de pensamento, de consci\u00eancia e de religi\u00e3o, a liberdade de express\u00e3o e de informa\u00e7\u00e3o, a liberdade de empresa, o direito \u00e0 a\u00e7\u00e3o e a um tribunal imparcial, e a diversidade cultural, religiosa e lingu\u00edstica.
(5)A integra\u00e7\u00e3o econ\u00f3mica e social resultante do funcionamento do mercado interno provocou um aumento significativo dos fluxos transfronteiri\u00e7os de dados pessoais. O interc\u00e2mbio de dados entre intervenientes p\u00fablicos e privados, incluindo as pessoas singulares, as associa\u00e7\u00f5es e as empresas, intensificou-se na Uni\u00e3o Europeia. As autoridades nacionais dos Estados-Membros s\u00e3o chamadas, por for\u00e7a do direito da Uni\u00e3o, a colaborar e a trocar dados pessoais entre si, a fim de poderem desempenhar as suas fun\u00e7\u00f5es ou executar fun\u00e7\u00f5es por conta de uma autoridade de outro Estado-Membro.
(6)A r\u00e1pida evolu\u00e7\u00e3o tecnol\u00f3gica e a globaliza\u00e7\u00e3o criaram novos desafios em mat\u00e9ria de prote\u00e7\u00e3o de dados pessoais. A recolha e a partilha de dados pessoais registaram um aumento significativo. As novas tecnologias permitem \u00e0s empresas privadas e \u00e0s entidades p\u00fablicas a utiliza\u00e7\u00e3o de dados pessoais numa escala sem precedentes no exerc\u00edcio das suas atividades. As pessoas singulares disponibilizam cada vez mais as suas informa\u00e7\u00f5es pessoais de uma forma p\u00fablica e global. As novas tecnologias transformaram a economia e a vida social e dever\u00e3o contribuir para facilitar a livre circula\u00e7\u00e3o de dados pessoais na Uni\u00e3o e a sua transfer\u00eancia para pa\u00edses terceiros e organiza\u00e7\u00f5es internacionais, assegurando simultaneamente um elevado n\u00edvel de prote\u00e7\u00e3o dos dados pessoais.
(7)Esta evolu\u00e7\u00e3o exige um quadro de prote\u00e7\u00e3o de dados s\u00f3lido e mais coerente na Uni\u00e3o, apoiado por uma aplica\u00e7\u00e3o rigorosa das regras, pois \u00e9 importante gerar a confian\u00e7a necess\u00e1ria ao desenvolvimento da economia digital no conjunto do mercado interno. As pessoas singulares dever\u00e3o poder controlar a utiliza\u00e7\u00e3o que \u00e9 feita dos seus dados pessoais. Dever\u00e1 ser refor\u00e7ada a seguran\u00e7a jur\u00eddica e a seguran\u00e7a pr\u00e1tica para as pessoas singulares, os operadores econ\u00f3micos e as autoridades p\u00fablicas.
(8)Caso o presente regulamento preveja especifica\u00e7\u00f5es ou restri\u00e7\u00f5es das suas regras pelo direito de um Estado-Membro, estes podem incorporar elementos do presente regulamento no respetivo direito nacional, na medida do necess\u00e1rio para manter a coer\u00eancia e tornar as disposi\u00e7\u00f5es nacionais compreens\u00edveis para as pessoas a quem se aplicam.
(9)Os objetivos e os princ\u00edpios da Diretiva 95\/46\/CE continuam a ser v\u00e1lidos, mas n\u00e3o evitaram a fragmenta\u00e7\u00e3o da aplica\u00e7\u00e3o da prote\u00e7\u00e3o dos dados ao n\u00edvel da Uni\u00e3o, nem a inseguran\u00e7a jur\u00eddica ou o sentimento generalizado da opini\u00e3o p\u00fablica de que subsistem riscos significativos para a prote\u00e7\u00e3o das pessoas singulares, nomeadamente no que diz respeito \u00e0s atividades por via eletr\u00f3nica. As diferen\u00e7as no n\u00edvel de prote\u00e7\u00e3o dos direitos e das pessoas singulares, nomeadamente do direito \u00e0 prote\u00e7\u00e3o dos dados pessoais no contexto do tratamento desses dados nos Estados-Membros, podem impedir a livre circula\u00e7\u00e3o de dados pessoais na Uni\u00e3o. Essas diferen\u00e7as podem, por conseguinte, constituir um obst\u00e1culo ao exerc\u00edcio das atividades econ\u00f3micas a n\u00edvel da Uni\u00e3o, distorcer a concorr\u00eancia e impedir as autoridades de cumprirem as obriga\u00e7\u00f5es que lhes incumbem por for\u00e7a do direito da Uni\u00e3o. Essas diferen\u00e7as entre os n\u00edveis de prote\u00e7\u00e3o devem-se \u00e0 exist\u00eancia de disparidades na execu\u00e7\u00e3o e aplica\u00e7\u00e3o da Diretiva 95\/46\/CE.
(10)A fim de assegurar um n\u00edvel de prote\u00e7\u00e3o coerente e elevado das pessoas singulares e eliminar os obst\u00e1culos \u00e0 circula\u00e7\u00e3o de dados pessoais na Uni\u00e3o, o n\u00edvel de prote\u00e7\u00e3o dos direitos e liberdades das pessoas singulares relativamente ao tratamento desses dados dever\u00e1 ser equivalente em todos os Estados-Membros. \u00c9 conveniente assegurar em toda a Uni\u00e3o a aplica\u00e7\u00e3o coerente e homog\u00e9nea das regras de defesa dos direitos e das liberdades fundamentais das pessoas singulares no que diz respeito ao tratamento de dados pessoais. No que diz respeito ao tratamento de dados pessoais para cumprimento de uma obriga\u00e7\u00e3o jur\u00eddica, para o exerc\u00edcio de fun\u00e7\u00f5es de interesse p\u00fablico ou o exerc\u00edcio da autoridade p\u00fablica de que est\u00e1 investido o respons\u00e1vel pelo tratamento, os Estados-Membros dever\u00e3o poder manter ou aprovar disposi\u00e7\u00f5es nacionais para especificar a aplica\u00e7\u00e3o das regras do presente regulamento. Em conjuga\u00e7\u00e3o com a legisla\u00e7\u00e3o geral e horizontal sobre prote\u00e7\u00e3o de dados que d\u00e1 aplica\u00e7\u00e3o \u00e0 Diretiva 95\/46\/CE, os Estados-Membros disp\u00f5em de v\u00e1rias leis setoriais em dom\u00ednios que necessitam de disposi\u00e7\u00f5es mais espec\u00edficas. O presente regulamento tamb\u00e9m d\u00e1 aos Estados-Membros margem de manobra para especificarem as suas regras, inclusive em mat\u00e9ria de tratamento de categorias especiais de dados pessoais (\u00abdados sens\u00edveis\u00bb). Nessa medida, o presente regulamento n\u00e3o exclui o direito dos Estados-Membros que define as circunst\u00e2ncias de situa\u00e7\u00f5es espec\u00edficas de tratamento, incluindo a determina\u00e7\u00e3o mais precisa das condi\u00e7\u00f5es em que \u00e9 l\u00edcito o tratamento de dados pessoais.
(11)A prote\u00e7\u00e3o eficaz dos dados pessoais na Uni\u00e3o exige o refor\u00e7o e a especifica\u00e7\u00e3o dos direitos dos titulares dos dados e as obriga\u00e7\u00f5es dos respons\u00e1veis pelo tratamento e pela defini\u00e7\u00e3o do tratamento dos dados pessoais, bem como poderes equivalentes para controlar e assegurar a conformidade das regras de prote\u00e7\u00e3o dos dados pessoais e san\u00e7\u00f5es equivalentes para as infra\u00e7\u00f5es nos Estados-Membros.
(12)O artigo 16.\u00ba, n.\u00ba 2, do TFUE incumbe o Parlamento Europeu e o Conselho de estabelecerem as normas relativas \u00e0 prote\u00e7\u00e3o das pessoas singulares no que diz respeito ao tratamento de dados pessoais, bem como as normas relativas \u00e0 livre circula\u00e7\u00e3o desses dados.
(13)A fim de assegurar um n\u00edvel coerente de prote\u00e7\u00e3o das pessoas singulares no conjunto da Uni\u00e3o e evitar que as diverg\u00eancias constituam um obst\u00e1culo \u00e0 livre circula\u00e7\u00e3o de dados pessoais no mercado interno, \u00e9 necess\u00e1rio um regulamento que garanta a seguran\u00e7a jur\u00eddica e a transpar\u00eancia aos operadores econ\u00f3micos, incluindo as micro, pequenas e m\u00e9dias empresas, que assegure \u00e0s pessoas singulares de todos os Estados-Membros o mesmo n\u00edvel de direitos suscet\u00edveis de prote\u00e7\u00e3o judicial e imponha obriga\u00e7\u00f5es e responsabilidades iguais aos respons\u00e1veis pelo tratamento e aos seus subcontratantes, que assegure um controlo coerente do tratamento dos dados pessoais, san\u00e7\u00f5es equivalentes em todos os Estados-Membros, bem como uma coopera\u00e7\u00e3o efetiva entre as autoridades de controlo dos diferentes Estados-Membros. O bom funcionamento do mercado interno imp\u00f5e que a livre circula\u00e7\u00e3o de dados pessoais na Uni\u00e3o n\u00e3o pode ser restringida ou proibida por motivos relacionados com a prote\u00e7\u00e3o das pessoas singulares no que respeita ao tratamento de dados pessoais. Para ter em conta a situa\u00e7\u00e3o particular das micro, pequenas e m\u00e9dias empresas, o presente regulamento prev\u00ea uma derroga\u00e7\u00e3o para as organiza\u00e7\u00f5es com menos de 250 trabalhadores relativamente \u00e0 conserva\u00e7\u00e3o do registo de atividades. Al\u00e9m disso, as institui\u00e7\u00f5es e os \u00f3rg\u00e3os da Uni\u00e3o, e os Estados-Membros e as suas autoridades de controlo, s\u00e3o incentivados a tomar em considera\u00e7\u00e3o as necessidades espec\u00edficas das micro, pequenas e m\u00e9dias empresas no \u00e2mbito de aplica\u00e7\u00e3o do presente regulamento. A no\u00e7\u00e3o de micro, pequenas e m\u00e9dias empresaster em conta dever\u00e1 inspirar-se do artigo 2.\u00ba do anexo da Recomenda\u00e7\u00e3o 2003\/361\/CE da Comiss\u00e3o (5).
(14)A prote\u00e7\u00e3o conferida pelo presente regulamento dever\u00e1 aplicar-se \u00e0s pessoas singulares, independentemente da sua nacionalidade ou do seu local de resid\u00eancia, relativamente ao tratamento dos seus dados pessoais. O presente regulamento n\u00e3o abrange o tratamento de dados pessoais relativos a pessoas coletivas, em especial a empresas estabelecidas enquanto pessoas coletivas, incluindo a denomina\u00e7\u00e3o, a forma jur\u00eddica e os contactos da pessoa coletiva.
(15)A fim de se evitar o s\u00e9rio risco s\u00e9rio de ser contornada a prote\u00e7\u00e3o das pessoas singulares, esta dever\u00e1 ser neutra em termos tecnol\u00f3gicos e dever\u00e1 ser independente das t\u00e9cnicas utilizadas. A prote\u00e7\u00e3o das pessoas singulares dever\u00e1 aplicar-se ao tratamento de dados pessoais por meios automatizados, bem como ao tratamento manual, se os dados pessoais estiverem contidos ou se forem destinados a um sistema de ficheiros. Os ficheiros ou os conjuntos de ficheiros bem como as suas capas, que n\u00e3o estejam estruturados de acordo com crit\u00e9rios espec\u00edficos, n\u00e3o dever\u00e3o ser abrangidos pelo \u00e2mbito de aplica\u00e7\u00e3o do presente regulamento.
(16)O presente regulamento n\u00e3o se aplica \u00e0s quest\u00f5es de defesa dos direitos e das liberdades fundamentais ou da livre circula\u00e7\u00e3o de dados pessoais relacionados com atividades que se encontrem fora do \u00e2mbito de aplica\u00e7\u00e3o do direito da Uni\u00e3o, como as que se prendem com a seguran\u00e7a nacional. O presente regulamento n\u00e3o se aplica ao tratamento de dados pessoais pelos Estados-Membros no exerc\u00edcio de atividades relacionadas com a pol\u00edtica externa e de seguran\u00e7a comum da Uni\u00e3o.
(17)O Regulamento (CE) n.\u00ba 45\/2001 do Parlamento Europeu e do Conselho (6) \u00e9 aplic\u00e1vel ao tratamento de dados pessoais pelas institui\u00e7\u00f5es, \u00f3rg\u00e3os, organismos ou ag\u00eancias da Uni\u00e3o. O Regulamento (CE) n.\u00ba 45\/2001, bem como outros atos jur\u00eddicos da Uni\u00e3o aplic\u00e1veis ao tratamento de dados pessoais, dever\u00e3o ser adaptados aos princ\u00edpios e regras estabelecidos pelo presente regulamento e aplicados \u00e0 luz do mesmo. A fim de proporcionar um quadro de prote\u00e7\u00e3o de dados s\u00f3lido e coerente na Uni\u00e3o, e ap\u00f3s a ado\u00e7\u00e3o do presente regulamento, dever\u00e3o ser realizadas as necess\u00e1rias adapta\u00e7\u00f5es do Regulamento (CE) n.\u00ba 45\/2001, a fim de permitir a aplica\u00e7\u00e3o em simult\u00e2neo com o presente regulamento.
(18)O presente regulamento n\u00e3o se aplica ao tratamento de dados pessoais efetuado por pessoas singulares no exerc\u00edcio de atividades exclusivamente pessoais ou dom\u00e9sticas e, portanto, sem qualquer liga\u00e7\u00e3o com uma atividade profissional ou comercial. As atividades pessoais ou dom\u00e9sticas poder\u00e3o incluir a troca de correspond\u00eancia e a conserva\u00e7\u00e3o de listas de endere\u00e7os ou a atividade das redes sociais e do ambiente eletr\u00f3nico no \u00e2mbito dessas atividades. Todavia, o presente regulamento \u00e9 aplic\u00e1vel aos respons\u00e1veis pelo tratamento e aos subcontratantes que forne\u00e7am os meios para o tratamento dos dados pessoais dessas atividades pessoais ou dom\u00e9sticas.
(19)A prote\u00e7\u00e3o das pessoas singulares em mat\u00e9ria de tratamento de dados pessoais pelas autoridades competentes para efeitos de preven\u00e7\u00e3o, investiga\u00e7\u00e3o, dete\u00e7\u00e3o e repress\u00e3o de infra\u00e7\u00f5es penais ou da execu\u00e7\u00e3o de san\u00e7\u00f5es penais, incluindo a salvaguarda e a preven\u00e7\u00e3o de amea\u00e7as \u00e0 seguran\u00e7a p\u00fablica, e de livre circula\u00e7\u00e3o desses dados, \u00e9 objeto de um ato jur\u00eddico da Uni\u00e3o espec\u00edfico. O presente regulamento n\u00e3o dever\u00e1, por isso, ser aplic\u00e1vel \u00e0s atividades de tratamento para esses efeitos. Todavia, os dados pessoais tratados pelas autoridades competentes ao abrigo do presente regulamento dever\u00e3o ser regulados, quando forem usados para os efeitos referidos, por um ato jur\u00eddico da Uni\u00e3o mais espec\u00edfico, a saber, a Diretiva (UE) 2016\/680 do Parlamento Europeu e do Conselho (7). Os Estados-Membros podem confiar \u00e0s autoridades competentes na ace\u00e7\u00e3o da Diretiva (UE) 2016\/680 fun\u00e7\u00f5es n\u00e3o necessariamente a executar para efeitos de preven\u00e7\u00e3o, investiga\u00e7\u00e3o, dete\u00e7\u00e3o e repress\u00e3o de infra\u00e7\u00f5es penais ou da execu\u00e7\u00e3o de san\u00e7\u00f5es penais, incluindo a salvaguarda e a preven\u00e7\u00e3o de amea\u00e7as \u00e0 seguran\u00e7a p\u00fablica, de modo a que o tratamento dos dados pessoais para esses outros efeitos, na medida em que se insira na esfera do direito da Uni\u00e3o, seja abrangido pelo \u00e2mbito de aplica\u00e7\u00e3o do presente regulamento.
No que respeita ao tratamento de dados pessoais pelas referidas autoridades competentes para efeitos que sejam abrangidos pelo presente regulamento, os Estados-Membros dever\u00e3o poder manter ou aprovar disposi\u00e7\u00f5es mais espec\u00edficas para adaptar a aplica\u00e7\u00e3o das regras previstas no presente regulamento. Tais disposi\u00e7\u00f5es podem estabelecer requisitos mais espec\u00edficos e precisos a respeitar pelas referidas autoridades competentes no tratamento dos dados pessoais para esses outros efeitos, tendo em conta as estruturas constitucionais, organizativas e administrativas do respetivo Estado-Membro. Nos casos em que o tratamento de dados pessoais por organismos privados fica abrangido pelo presente regulamento, este dever\u00e1 prever a possibilidade de os Estados-Membros restringirem legalmente, em determinadas condi\u00e7\u00f5es, certas obriga\u00e7\u00f5es e direitos, quando tal restri\u00e7\u00e3o constitua medida necess\u00e1ria e proporcionada, numa sociedade democr\u00e1tica, para salvaguardar interesses espec\u00edficos importantes, incluindo a seguran\u00e7a p\u00fablica e a preven\u00e7\u00e3o, investiga\u00e7\u00e3o, dete\u00e7\u00e3o ou repress\u00e3o de infra\u00e7\u00f5es penais ou a execu\u00e7\u00e3o de san\u00e7\u00f5es penais, incluindo a salvaguarda e a preven\u00e7\u00e3o de amea\u00e7as \u00e0 seguran\u00e7a p\u00fablica. Tal possibilidade \u00e9 importante, por exemplo, no quadro da luta contra o branqueamento de capitais ou das atividades dos laborat\u00f3rios de pol\u00edcia cient\u00edfica.
(20)Na medida em que o presente regulamento \u00e9 igualmente aplic\u00e1vel, entre outras, \u00e0s atividades dos tribunais e de outras autoridades judiciais, poder\u00e1 determinar-se no direito da Uni\u00e3o ou dos Estados-Membros quais as opera\u00e7\u00f5es e os procedimentos a seguir pelos tribunais e outras autoridades judiciais para o tratamento de dados pessoais. A compet\u00eancia das autoridades de controlo n\u00e3o abrange o tratamento de dados pessoais efetuado pelos tribunais no exerc\u00edcio da sua fun\u00e7\u00e3o jurisdicional, a fim de assegurar a independ\u00eancia do poder judicial no exerc\u00edcio da sua fun\u00e7\u00e3o jurisdicional, nomeadamente a tomada de decis\u00f5es. Dever\u00e1 ser poss\u00edvel confiar o controlo de tais opera\u00e7\u00f5es de tratamento de dados a organismos espec\u00edficos no \u00e2mbito do sistema judicial do Estado-Membro, que dever\u00e3o, nomeadamente, assegurar o cumprimento das regras do presente regulamento, refor\u00e7ar a sensibiliza\u00e7\u00e3o os membros do poder judicial para as obriga\u00e7\u00f5es que lhe s\u00e3o impostas pelo presente regulamento e tratar reclama\u00e7\u00f5es relativas \u00e0s opera\u00e7\u00f5es de tratamento dos dados.
(21)O presente regulamento aplica-se sem preju\u00edzo da aplica\u00e7\u00e3o da Diretiva 2000\/31\/CE do Parlamento Europeu e do Conselho (8), nomeadamente das normas em mat\u00e9ria de responsabilidade dos prestadores intermedi\u00e1rios de servi\u00e7os previstas nos seus artigos 12.\u00ba a 15.\u00ba. A referida diretiva tem por objetivo contribuir para o correto funcionamento do mercado interno, garantindo a livre circula\u00e7\u00e3o dos servi\u00e7os da sociedade da informa\u00e7\u00e3o entre Estados-Membros.
(22)Qualquer tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento de um respons\u00e1vel pelo tratamento ou de um subcontratante situado na Uni\u00e3o dever\u00e1 ser feito em conformidade com o presente regulamento, independentemente de o tratamento em si ser realizado na Uni\u00e3o. O estabelecimento pressup\u00f5e o exerc\u00edcio efetivo e real de uma atividade com base numa instala\u00e7\u00e3o est\u00e1vel. A forma jur\u00eddica de tal estabelecimento, quer se trate de uma sucursal quer de uma filial com personalidade jur\u00eddica, n\u00e3o \u00e9 fator determinante nesse contexto.
(23)A fim de evitar que as pessoas singulares sejam privadas da prote\u00e7\u00e3o que lhes assiste por for\u00e7a do presente regulamento, o tratamento dos dados pessoais de titulares que se encontrem na Uni\u00e3o por um respons\u00e1vel pelo tratamento ou subcontratante n\u00e3o estabelecido na Uni\u00e3o dever\u00e1 ser abrangido pelo presente regulamento se as atividades de tratamento estiverem relacionadas com a oferta de bens ou servi\u00e7os a esses titulares, independentemente de estarem associadas a um pagamento. A fim de determinar se o respons\u00e1vel pelo tratamento ou subcontratante oferece ou n\u00e3o bens ou servi\u00e7os aos titulares dos dados que se encontrem na Uni\u00e3o, h\u00e1 que determinar em que medida \u00e9 evidente a sua inten\u00e7\u00e3o de oferecer servi\u00e7os a titulares de dados num ou mais Estados-Membros da Uni\u00e3o. O mero facto de estar dispon\u00edvel na Uni\u00e3o um s\u00edtio web do respons\u00e1vel pelo tratamento ou subcontratante ou de um intermedi\u00e1rio, um endere\u00e7o eletr\u00f3nico ou outro tipo de contactos, ou de ser utilizada uma l\u00edngua de uso corrente no pa\u00eds terceiro em que o referido respons\u00e1vel est\u00e1 estabelecido, n\u00e3o \u00e9 suficiente para determinar a inten\u00e7\u00e3o acima referida, mas h\u00e1 fatores, como a utiliza\u00e7\u00e3o de uma l\u00edngua ou de uma moeda de uso corrente num ou mais Estados-Membros, com a possibilidade de encomendar bens ou servi\u00e7os nessa outra l\u00edngua, ou a refer\u00eancia a clientes ou utilizadores que se encontrem na Uni\u00e3o, que podem ser reveladores de que o respons\u00e1vel pelo tratamento tem a inten\u00e7\u00e3o de oferecer bens ou servi\u00e7os a titulares de dados na Uni\u00e3o.
(24)O tratamento de dados pessoais de titulares de dados que se encontrem na Uni\u00e3o por um respons\u00e1vel ou subcontratante que n\u00e3o esteja estabelecido na Uni\u00e3o dever\u00e1 ser tamb\u00e9m abrangido pelo presente regulamento quando esteja relacionado com o controlo do comportamento dos referidos titulares de dados, na medida em que o seu comportamento tenha lugar na Uni\u00e3o. A fim de determinar se uma atividade de tratamento pode ser considerada \u00abcontrolo do comportamento\u00bb de titulares de dados, dever\u00e1 determinar-se se essas pessoas s\u00e3o seguidas na Internet e a potencial utiliza\u00e7\u00e3o subsequente de t\u00e9cnicas de tratamento de dados pessoais que consistem em definir o perfil de uma pessoa singular, especialmente para tomar decis\u00f5es relativas a essa pessoa ou analisar ou prever as suas prefer\u00eancias, o seu comportamento e as suas atitudes.
(25)Sempre que o direito de um Estado-Membro seja aplic\u00e1vel por for\u00e7a do direito internacional p\u00fablico, o presente regulamento dever\u00e1 ser igualmente aplic\u00e1vel aos respons\u00e1veis pelo tratamento n\u00e3o estabelecidos na Uni\u00e3o, por exemplo numa miss\u00e3o diplom\u00e1tica ou num posto consular de um Estado-Membro.
(26)Os princ\u00edpios da prote\u00e7\u00e3o de dados dever\u00e3o aplicar-se a qualquer informa\u00e7\u00e3o relativa a uma pessoa singular identificada ou identific\u00e1vel. Os dados pessoais que tenham sido pseudonimizados, que possam ser atribu\u00eddos a uma pessoa singular mediante a utiliza\u00e7\u00e3o de informa\u00e7\u00f5es suplementares, dever\u00e3o ser considerados informa\u00e7\u00f5es sobre uma pessoa singular identific\u00e1vel. Para determinar se uma pessoa singular \u00e9 identific\u00e1vel, importa considerar todos os meios suscet\u00edveis de ser razoavelmente utilizados, tais como a sele\u00e7\u00e3o, quer pelo respons\u00e1vel pelo tratamento quer por outra pessoa, para identificar direta ou indiretamente a pessoa singular. Para determinar se h\u00e1 uma probabilidade razo\u00e1vel de os meios serem utilizados para identificar a pessoa singular, importa considerar todos os fatores objetivos, como os custos e o tempo necess\u00e1rio para a identifica\u00e7\u00e3o, tendo em conta a tecnologia dispon\u00edvel \u00e0 data do tratamento dos dados e a evolu\u00e7\u00e3o tecnol\u00f3gica. Os princ\u00edpios da prote\u00e7\u00e3o de dados n\u00e3o dever\u00e3o, pois, aplicar-se \u00e0s informa\u00e7\u00f5es an\u00f3nimas, ou seja, \u00e0s informa\u00e7\u00f5es que n\u00e3o digam respeito a uma pessoa singular identificada ou identific\u00e1vel nem a dados pessoais tornados de tal modo an\u00f3nimos que o seu titular n\u00e3o seja ou j\u00e1 n\u00e3o possa ser identificado. O presente regulamento n\u00e3o diz, por isso, respeito ao tratamento dessas informa\u00e7\u00f5es an\u00f3nimas, inclusive para fins estat\u00edsticos ou de investiga\u00e7\u00e3o.
(27)O presente regulamento n\u00e3o se aplica aos dados pessoais de pessoas falecidas. Os Estados-Membros poder\u00e3o estabelecer regras para o tratamento dos dados pessoais de pessoas falecidas.
(28)A aplica\u00e7\u00e3o da pseudonimiza\u00e7\u00e3o aos dados pessoais pode reduzir os riscos para os titulares de dados em quest\u00e3o e ajudar os respons\u00e1veis pelo tratamento e os seus subcontratantes a cumprir as suas obriga\u00e7\u00f5es de prote\u00e7\u00e3o de dados. A introdu\u00e7\u00e3o expl\u00edcita da \u00abpseudonimiza\u00e7\u00e3o\u00bb no presente regulamento n\u00e3o se destina a excluir eventuais outras medidas de prote\u00e7\u00e3o de dados.
(29)A fim de criar incentivos para aplicar a pseudonimiza\u00e7\u00e3o durante o tratamento de dados pessoais, dever\u00e1 ser poss\u00edvel tomar medidas de pseudonimiza\u00e7\u00e3o, permitindo-se simultaneamente uma an\u00e1lise geral, no \u00e2mbito do mesmo respons\u00e1vel pelo tratamento quando este tiver tomado as medidas t\u00e9cnicas e organizativas necess\u00e1rias para assegurar, relativamente ao tratamento em quest\u00e3o, a aplica\u00e7\u00e3o do presente regulamento ea conserva\u00e7\u00e3o em separado das informa\u00e7\u00f5es adicionais que permitem atribuir os dados pessoais a um titular de dados espec\u00edfico. O respons\u00e1vel pelo tratamento que tratar os dados pessoais dever\u00e1 indicar as pessoas autorizadas no \u00e2mbito do mesmo respons\u00e1vel pelo tratamento.
(30)As pessoas singulares podem ser associadas a identificadores por via eletr\u00f3nica, fornecidos pelos respetivos aparelhos, aplica\u00e7\u00f5es, ferramentas e protocolos, tais como endere\u00e7os IP (protocolo internet) ou testemunhos de conex\u00e3o () ou outros identificadores, como as etiquetas de identifica\u00e7\u00e3o por radiofrequ\u00eancia. Estes identificadores podem deixar vest\u00edgios que, em especial quando combinados com identificadores \u00fanicos e outras informa\u00e7\u00f5es recebidas pelos servidores, podem ser utilizados para a defini\u00e7\u00e3o de perfis e a identifica\u00e7\u00e3o das pessoas singulares.
(31)As autoridades p\u00fablicas a quem forem divulgados dados pessoais em conformidade com obriga\u00e7\u00f5es jur\u00eddicas para o exerc\u00edcio da sua miss\u00e3o oficial, tais como as autoridades fiscais e aduaneiras, as unidades de investiga\u00e7\u00e3o financeira, as autoridades administrativas independentes ou as autoridades dos mercados financeiros, respons\u00e1veis pela regulamenta\u00e7\u00e3o e supervis\u00e3o dos mercados de valores mobili\u00e1rios, n\u00e3o dever\u00e3o ser consideradas destinat\u00e1rias se receberem dados pessoais que sejam necess\u00e1rios para efetuar um inqu\u00e9rito espec\u00edfico de interesse geral, em conformidade com o direito da Uni\u00e3o ou dos Estados-Membros. Os pedidos de divulga\u00e7\u00e3o enviados pelas autoridades p\u00fablicas dever\u00e3o ser sempre feitos por escrito, fundamentados e ocasionais e n\u00e3o dever\u00e3o dizer respeito \u00e0 totalidade de um ficheiro nem implicar a interconex\u00e3o de ficheiros. O tratamento desses dados pessoais por essas autoridades p\u00fablicas dever\u00e1 respeitar as regras de prote\u00e7\u00e3o de dados aplic\u00e1veis de acordo com as finalidades do tratamento.
(32)O consentimento do titular dos dados dever\u00e1 ser dado mediante um ato positivo claro que indique uma manifesta\u00e7\u00e3o de vontade livre, espec\u00edfica, informada e inequ\u00edvoca de que o titular de dados consente no tratamento dos dados que lhe digam respeito, como por exemplo mediante uma declara\u00e7\u00e3o escrita, inclusive em formato eletr\u00f3nico, ou uma declara\u00e7\u00e3o oral. O consentimento pode ser dado validando uma op\u00e7\u00e3o ao visitar um s\u00edtio web na Internet, selecionando os par\u00e2metros t\u00e9cnicos para os servi\u00e7os da sociedade da informa\u00e7\u00e3o ou mediante outra declara\u00e7\u00e3o ou conduta que indique claramente nesse contexto que aceita o tratamento proposto dos seus dados pessoais. O sil\u00eancio, as op\u00e7\u00f5es pr\u00e9-validadas ou a omiss\u00e3o n\u00e3o dever\u00e3o, por conseguinte, constituir um consentimento. O consentimento dever\u00e1 abranger todas as atividades de tratamento realizadas com a mesma finalidade. Nos casos em que o tratamento sirva fins m\u00faltiplos, dever\u00e1 ser dado um consentimento para todos esses fins. Se o consentimento tiver de ser dado no seguimento de um pedido apresentado por via eletr\u00f3nica, esse pedido tem de ser claro e conciso e n\u00e3o pode perturbar desnecessariamente a utiliza\u00e7\u00e3o do servi\u00e7o para o qual \u00e9 fornecido.
(33)Muitas vezes n\u00e3o \u00e9 poss\u00edvel identificar na totalidade a finalidade do tratamento de dados pessoais para efeitos de investiga\u00e7\u00e3o cient\u00edfica no momento da recolha dos dados. Por conseguinte, os titulares dos dados dever\u00e3o poder dar o seu consentimento para determinadas \u00e1reas de investiga\u00e7\u00e3o cient\u00edfica, desde que estejam de acordo com padr\u00f5es \u00e9ticos reconhecidos para a investiga\u00e7\u00e3o cient\u00edfica. Os titulares dos dados dever\u00e3o ter a possibilidade de dar o seu consentimento unicamente para determinados dom\u00ednios de investiga\u00e7\u00e3o ou partes de projetos de investiga\u00e7\u00e3o, na medida permitida pela finalidade pretendida.
(34)Os dados gen\u00e9ticos dever\u00e3o ser definidos como os dados pessoais relativos \u00e0s caracter\u00edsticas gen\u00e9ticas, heredit\u00e1rias ou adquiridas, de uma pessoa singular que resultem da an\u00e1lise de uma amostra biol\u00f3gica da pessoa singular em causa, nomeadamente da an\u00e1lise de cromossomas, \u00e1cido desoxirribonucleico (ADN) ou \u00e1cido ribonucleico (ARN), ou da an\u00e1lise de um outro elemento que permita obter informa\u00e7\u00f5es equivalentes.
(35)Dever\u00e3o ser considerados dados pessoais relativos \u00e0 sa\u00fade todos os dados relativos ao estado de sa\u00fade de um titular de dados que revelem informa\u00e7\u00f5es sobre a sua sa\u00fade f\u00edsica ou mental no passado, no presente ou no futuro. O que precede inclui informa\u00e7\u00f5es sobre a pessoa singular recolhidas durante a inscri\u00e7\u00e3o para a presta\u00e7\u00e3o de servi\u00e7os de sa\u00fade, ou durante essa presta\u00e7\u00e3o, conforme referido na Diretiva 2011\/24\/UE do Parlamento Europeu e do Conselho (9), a essa pessoa singular; qualquer n\u00famero, s\u00edmbolo ou sinal particular atribu\u00eddo a uma pessoa singular para a identificar de forma inequ\u00edvoca para fins de cuidados de sa\u00fade; as informa\u00e7\u00f5es obtidas a partir de an\u00e1lises ou exames de uma parte do corpo ou de uma subst\u00e2ncia corporal, incluindo a partir de dados gen\u00e9ticos e amostras biol\u00f3gicas; e quaisquer informa\u00e7\u00f5es sobre, por exemplo, uma doen\u00e7a, defici\u00eancia, um risco de doen\u00e7a, historial cl\u00ednico, tratamento cl\u00ednico ou estado fisiol\u00f3gico ou biom\u00e9dico do titular de dados, independentemente da sua fonte, por exemplo, um m\u00e9dico ou outro profissional de sa\u00fade, um hospital, um dispositivo m\u00e9dico ou um teste de diagn\u00f3stico in vitro.
(36)O estabelecimento principal de um respons\u00e1vel pelo tratamento na Uni\u00e3o dever\u00e1 ser o local onde se encontra a sua administra\u00e7\u00e3o central na Uni\u00e3o, salvo se as decis\u00f5es sobre as finalidades e os meios de tratamento dos dados pessoais forem tomadas noutro estabelecimento do respons\u00e1vel pelo tratamento na Uni\u00e3o. Nesse caso, esse outro estabelecimento dever\u00e1 ser considerado o estabelecimento principal. O estabelecimento principal de um respons\u00e1vel pelo tratamento na Uni\u00e3o dever\u00e1 ser determinado de acordo com crit\u00e9rios objetivos e dever\u00e1 pressupor o exerc\u00edcio efetivo e real de atividades de gest\u00e3o que determinem as decis\u00f5es principais quanto \u00e0s finalidades e aos meios de tratamento mediante instala\u00e7\u00f5es est\u00e1veis. Esse crit\u00e9rio n\u00e3o dever\u00e1 depender do facto de o tratamento ser realizado nesse local. A exist\u00eancia e utiliza\u00e7\u00e3o de meios t\u00e9cnicos e de tecnologias para o tratamento de dados pessoais ou as atividades de tratamento n\u00e3o constituem, em si mesmas, um estabelecimento principal nem s\u00e3o, portanto, um crit\u00e9rio definidor de estabelecimento principal. O estabelecimento principal do subcontratante \u00e9 o local da sua administra\u00e7\u00e3o central na Uni\u00e3o, ou, caso n\u00e3o tenha administra\u00e7\u00e3o central na Uni\u00e3o, o local onde s\u00e3o exercidas as principais atividades de tratamento de dados na Uni\u00e3o. Nos casos que impliquem tanto o respons\u00e1vel pelo tratamento como o subcontratante, a autoridade de controlo principal dever\u00e1 continuar a ser a autoridade de controlo do Estado-Membro onde o respons\u00e1vel pelo tratamento tem o estabelecimento principal, mas a autoridade de controlo do subcontratante dever\u00e1 ser considerada uma autoridade de controlo interessada e dever\u00e1 participar no processo de coopera\u00e7\u00e3o previsto pelo presente regulamento. Em qualquer caso, as autoridades de controlo do Estado-Membro ou Estados-Membros em que o subcontratante tenha um ou mais estabelecimentos n\u00e3o dever\u00e3o ser consideradas autoridades de controlo interessadas caso o projeto de decis\u00e3o diga respeito apenas ao respons\u00e1vel pelo tratamento. Sempre que o tratamento dos dados seja efetuado por um grupo empresarial, o estabelecimento principal da empresa que exerce o controlo dever\u00e1 ser considerado o estabelecimento principal do grupo empresarial, exceto quando as finalidades e os meios do tratamento sejam determinados por uma outra empresa.
(37)Um grupo empresarial dever\u00e1 abranger uma empresa que exerce o controlo e as empresas que controla, devendo a primeira ser a que pode exercer uma influ\u00eancia dominante sobre as outras empresas, por exemplo, em virtude da propriedade, da participa\u00e7\u00e3o financeira ou das regras que a regem ou da faculdade de fazer aplicar as regras relativas \u00e0 prote\u00e7\u00e3o de dados pessoais. Uma empresa que controla o tratamento dos dados pessoais nas empresas a ela associadas dever\u00e1 ser considerada, juntamente com essas empresas, um \u00abgrupo empresarial\u00bb.
(38)As crian\u00e7as merecem prote\u00e7\u00e3o especial quanto aos seus dados pessoais, uma vez que podem estar menos cientes dos riscos, consequ\u00eancias e garantias em quest\u00e3o e dos seus direitos relacionados com o tratamento dos dados pessoais. Essa prote\u00e7\u00e3o espec\u00edfica dever\u00e1 aplicar-se, nomeadamente, \u00e0 utiliza\u00e7\u00e3o de dados pessoais de crian\u00e7as para efeitos de comercializa\u00e7\u00e3o ou de cria\u00e7\u00e3o de perfis de personalidade ou de utilizador, bem como \u00e0 recolha de dados pessoais em rela\u00e7\u00e3o \u00e0s crian\u00e7as aquando da utiliza\u00e7\u00e3o de servi\u00e7os disponibilizados diretamente \u00e0s crian\u00e7as. O consentimento do titular das responsabilidades parentais n\u00e3o dever\u00e1 ser necess\u00e1rio no contexto de servi\u00e7os preventivos ou de aconselhamento oferecidos diretamente a uma crian\u00e7a.
(39)O tratamento de dados pessoais dever\u00e1 ser efetuado de forma l\u00edcita e equitativa. Dever\u00e1 ser transparente para as pessoas singulares que os dados pessoais que lhes dizem respeito s\u00e3o recolhidos, utilizados, consultados ou sujeitos a qualquer outro tipo de tratamento e a medida em que os dados pessoais s\u00e3o ou vir\u00e3o a ser tratados. O princ\u00edpio da transpar\u00eancia exige que as informa\u00e7\u00f5es ou comunica\u00e7\u00f5es relacionadas com o tratamento desses dados pessoais sejam de f\u00e1cil acesso e compreens\u00e3o, e formuladas numa linguagem clara e simples. Esse princ\u00edpio diz respeito, em particular, \u00e0s informa\u00e7\u00f5es fornecidas aos titulares dos dados sobre a identidade do respons\u00e1vel pelo tratamento dos mesmos e os fins a que o tratamento se destina, bem como \u00e0s informa\u00e7\u00f5es que se destinam a assegurar que seja efetuado com equidade e transpar\u00eancia para com as pessoas singulares em causa, bem como a salvaguardar o seu direito a obter a confirma\u00e7\u00e3o e a comunica\u00e7\u00e3o dos dados pessoais que lhes dizem respeito que est\u00e3o a ser tratados. As pessoas singulares a quem os dados dizem respeito dever\u00e3o ser alertadas para os riscos, regras, garantias e direitos associados ao tratamento dos dados pessoais e para os meios de que disp\u00f5em para exercer os seus direitos relativamente a esse tratamento. Em especial, as finalidades espec\u00edficas do tratamento dos dados pessoais dever\u00e3o ser expl\u00edcitas e leg\u00edtimas e ser determinadas aquando da recolha dos dados pessoais. Os dados pessoais dever\u00e3o ser adequados, pertinentes e limitados ao necess\u00e1rio para os efeitos para os quais s\u00e3o tratados. Para isso, \u00e9 necess\u00e1rio assegurar que o prazo de conserva\u00e7\u00e3o dos dados seja limitado ao m\u00ednimo. Os dados pessoais apenas dever\u00e3o ser tratados se a finalidade do tratamento n\u00e3o puder ser atingida de forma razo\u00e1vel por outros meios. A fim de assegurar que os dados pessoais sejam conservados apenas durante o per\u00edodo considerado necess\u00e1rio, o respons\u00e1vel pelo tratamento dever\u00e1 fixar os prazos para o apagamento ou a revis\u00e3o peri\u00f3dica. Dever\u00e3o ser adotadas todas as medidas razo\u00e1veis para que os dados pessoais inexatos sejam retificados ou apagados. Os dados pessoais dever\u00e3o ser tratados de uma forma que garanta a devida seguran\u00e7a e confidencialidade, incluindo para evitar o acesso a dados pessoais e equipamento utilizado para o seu tratamento, ou a utiliza\u00e7\u00e3o dos mesmos, por pessoas n\u00e3o autorizadas.
(40)Para que o tratamento seja l\u00edcito, os dados pessoais dever\u00e3o ser tratados com base no consentimento da titular dos dados em causa ou noutro fundamento leg\u00edtimo, previsto por lei, quer no presente regulamento quer noutro ato de direito da Uni\u00e3o ou de um Estado-Membro referido no presente regulamento, incluindo a necessidade de serem cumpridas as obriga\u00e7\u00f5es legais a que o respons\u00e1vel pelo tratamento se encontre sujeito ou a necessidade de serem executados contratos em que o titular dos dados seja parte ou a fim de serem efetuadas as dilig\u00eancias pr\u00e9-contratuais que o titular dos dados solicitar.
(41)Caso o presente regulamento se refira a um fundamento jur\u00eddico ou a uma medida legislativa, n\u00e3o se trata necessariamente de um ato legislativo adotado por um parlamento, sem preju\u00edzo dos requisitos que decorram da ordem constitucional do Estado-Membro em causa. No entanto, esse fundamento jur\u00eddico ou essa medida legislativa dever\u00e3o ser claros e precisos e a sua aplica\u00e7\u00e3o dever\u00e1 ser previs\u00edvel para os seus destinat\u00e1rios, em conformidade com a jurisprud\u00eancia do Tribunal de Justi\u00e7a da Uni\u00e3o Europeia (\u00abTribunal de Justi\u00e7a\u00bb) e pelo Tribunal Europeu dos Direitos do Homem.
(42)Sempre que o tratamento for realizado com base no consentimento do titular dos dados, o respons\u00e1vel pelo tratamento dever\u00e1 poder demonstrar que o titular deu o seu consentimento \u00e0 opera\u00e7\u00e3o de tratamento dos dados. Em especial, no contexto de uma declara\u00e7\u00e3o escrita relativa a outra mat\u00e9ria, dever\u00e3o existir as devidas garantias de que o titular dos dados est\u00e1 plenamente ciente do consentimento dado e do seu alcance. Em conformidade com a Diretiva 93\/13\/CEE do Conselho (10), uma declara\u00e7\u00e3o de consentimento, previamente formulada pelo respons\u00e1vel pelo tratamento, dever\u00e1 ser fornecida de uma forma intelig\u00edvel e de f\u00e1cil acesso, numa linguagem clara e simples e sem cl\u00e1usulas abusivas. Para que o consentimento seja dado com conhecimento de causa, o titular dos dados dever\u00e1 conhecer, pelo menos, a identidade do respons\u00e1vel pelo tratamento e as finalidades a que o tratamento se destina. N\u00e3o se dever\u00e1 considerar que o consentimento foi dado de livre vontade se o titular dos dados n\u00e3o dispuser de uma escolha verdadeira ou livre ou n\u00e3o puder recusar nem retirar o consentimento sem ser prejudicado.
(43)A fim de assegurar que o consentimento \u00e9 dado de livre vontade, este n\u00e3o dever\u00e1 constituir fundamento jur\u00eddico v\u00e1lido para o tratamento de dados pessoais em casos espec\u00edficos em que exista um desequil\u00edbrio manifesto entre o titular dos dados e o respons\u00e1vel pelo seu tratamento, nomeadamente quando o respons\u00e1vel pelo tratamento \u00e9 uma autoridade p\u00fablica pelo que \u00e9 improv\u00e1vel que o consentimento tenha sido dado de livre vontade em todas as circunst\u00e2ncias associadas \u00e0 situa\u00e7\u00e3o espec\u00edfica em causa. Presume-se que o consentimento n\u00e3o \u00e9 dado de livre vontade se n\u00e3o for poss\u00edvel dar consentimento separadamente para diferentes opera\u00e7\u00f5es de tratamento de dados pessoais, ainda que seja adequado no caso espec\u00edfico, ou se a execu\u00e7\u00e3o de um contrato, incluindo a presta\u00e7\u00e3o de um servi\u00e7o, depender do consentimento apesar de o consentimento n\u00e3o ser necess\u00e1rio para a mesma execu\u00e7\u00e3o.
(44)O tratamento dever\u00e1 ser considerado l\u00edcito caso seja necess\u00e1rio no contexto de um contrato ou da inten\u00e7\u00e3o de celebrar um contrato.
(45)Sempre que o tratamento dos dados for realizado em conformidade com uma obriga\u00e7\u00e3o jur\u00eddica \u00e0 qual esteja sujeito o respons\u00e1vel pelo tratamento, ou se o tratamento for necess\u00e1rio ao exerc\u00edcio de fun\u00e7\u00f5es de interesse p\u00fablico ou ao exerc\u00edcio da autoridade p\u00fablica, o tratamento dever\u00e1 assentar no direito da Uni\u00e3o ou de um Estado-Membro. O presente regulamento n\u00e3o exige uma lei espec\u00edfica para cada tratamento de dados. Poder\u00e1 ser suficiente uma lei para diversas opera\u00e7\u00f5es de tratamento baseadas numa obriga\u00e7\u00e3o jur\u00eddica \u00e0 qual esteja sujeito o respons\u00e1vel pelo tratamento, ou se o tratamento for necess\u00e1rio ao exerc\u00edcio de fun\u00e7\u00f5es de interesse p\u00fablico ou ao exerc\u00edcio da autoridade p\u00fablica. Dever\u00e1 tamb\u00e9m caber ao direito da Uni\u00e3o ou dos Estados-Membros determinar qual a finalidade do tratamento dos dados. Al\u00e9m disso, a referida lei poder\u00e1 especificar as condi\u00e7\u00f5es gerais do presente regulamento que regem a legalidade do tratamento dos dados pessoais, estabelecer regras espec\u00edficas para determinar os respons\u00e1veis pelo tratamento, o tipo de dados pessoais a tratar, os titulares dos dados em quest\u00e3o, as entidades a que os dados pessoais podem ser comunicados, os limites a que as finalidades do tratamento devem obedecer, os prazos de conserva\u00e7\u00e3o e outras medidas destinadas a garantir a licitude e equidade do tratamento. Dever\u00e1 igualmente caber ao direito da Uni\u00e3o ou dos Estados-Membros determinar se o respons\u00e1vel pelo tratamento que exerce fun\u00e7\u00f5es de interesse p\u00fablico ou prerrogativas de autoridade p\u00fablica dever\u00e1 ser uma autoridade p\u00fablica ou outra pessoa singular ou coletiva de direito p\u00fablico, ou, caso tal seja do interesse p\u00fablico, incluindo por motivos de sa\u00fade, como motivos de sa\u00fade p\u00fablica e prote\u00e7\u00e3o social e de gest\u00e3o dos servi\u00e7os de sa\u00fade, de direito privado, por exemplo uma associa\u00e7\u00e3o profissional.
(46)O tratamento de dados pessoais tamb\u00e9m dever\u00e1 ser considerado l\u00edcito quando for necess\u00e1rio \u00e0 prote\u00e7\u00e3o de um interesse essencial \u00e0 vida do titular dos dados ou de qualquer outra pessoa singular. Em princ\u00edpio, o tratamento de dados pessoais com base no interesse vital de outra pessoa singular s\u00f3 pode ter lugar quando o tratamento n\u00e3o se puder basear manifestamente noutro fundamento jur\u00eddico. Alguns tipos de tratamento podem servir tanto importantes interesses p\u00fablicos como interesses vitais do titular dos dados, por exemplo, se o tratamento for necess\u00e1rio para fins humanit\u00e1rios, incluindo a monitoriza\u00e7\u00e3o de epidemias e da sua propaga\u00e7\u00e3o ou em situa\u00e7\u00f5es de emerg\u00eancia humanit\u00e1ria, em especial em situa\u00e7\u00f5es de cat\u00e1strofes naturais e de origem humana.
(47)Os interesses leg\u00edtimos dos respons\u00e1veis pelo tratamento, incluindo os dos respons\u00e1veis a quem os dados pessoais possam ser comunicados, ou de terceiros, podem constituir um fundamento jur\u00eddico para o tratamento, desde que n\u00e3o prevale\u00e7am os interesses ou os direitos e liberdades fundamentais do titular, tomando em conta as expectativas razo\u00e1veis dos titulares dos dados baseadas na rela\u00e7\u00e3o com o respons\u00e1vel. Poder\u00e1 haver um interesse leg\u00edtimo, por exemplo, quando existir uma rela\u00e7\u00e3o relevante e apropriada entre o titular dos dados e o respons\u00e1vel pelo tratamento, em situa\u00e7\u00f5es como aquela em que o titular dos dados \u00e9 cliente ou est\u00e1 ao servi\u00e7o do respons\u00e1vel pelo tratamento. De qualquer modo, a exist\u00eancia de um interesse leg\u00edtimo requer uma avalia\u00e7\u00e3o cuidada, nomeadamente da quest\u00e3o de saber se o titular dos dados pode razoavelmente prever, no momento e no contexto em que os dados pessoais s\u00e3o recolhidos, que esses poder\u00e3o vir a ser tratados com essa finalidade. Os interesses e os direitos fundamentais do titular dos dados podem, em particular, sobrepor-se ao interesse do respons\u00e1vel pelo tratamento, quando que os dados pessoais sejam tratados em circunst\u00e2ncias em que os seus titulares j\u00e1 n\u00e3o esperam um tratamento adicional. Dado que incumbe ao legislador prever por lei o fundamento jur\u00eddico para autorizar as autoridades a procederem ao tratamento de dados pessoais, esse fundamento jur\u00eddico n\u00e3o dever\u00e1 ser aplic\u00e1vel aos tratamentos efetuados pelas autoridades p\u00fablicas na prossecu\u00e7\u00e3o das suas atribui\u00e7\u00f5es. O tratamento de dados pessoais estritamente necess\u00e1rio aos objetivos de preven\u00e7\u00e3o e controlo da fraude constitui igualmente um interesse leg\u00edtimo do respons\u00e1vel pelo seu tratamento. Poder\u00e1 considerar-se de interesse leg\u00edtimo o tratamento de dados pessoais efetuado para efeitos de comercializa\u00e7\u00e3o direta.
(48)Os respons\u00e1veis pelo tratamento que fa\u00e7am parte de um grupo empresarial ou de uma institui\u00e7\u00e3o associada a um organismo central poder\u00e3o ter um interesse leg\u00edtimo em transmitir dados pessoais no \u00e2mbito do grupo de empresas para fins administrativos internos, incluindo o tratamento de dados pessoais de clientes ou funcion\u00e1rios. Os princ\u00edpios gerais que regem a transmiss\u00e3o de dados pessoais, no \u00e2mbito de um grupo empresarial, para uma empresa localizada num pa\u00eds terceiro mant\u00eam-se inalterados.
(49)O tratamento de dados pessoais, na medida estritamente necess\u00e1ria e proporcionada para assegurar a seguran\u00e7a da rede e das informa\u00e7\u00f5es, ou seja, a capacidade de uma rede ou de um sistema inform\u00e1tico de resistir, com um dado n\u00edvel de confian\u00e7a, a eventos acidentais ou a a\u00e7\u00f5es maliciosas ou il\u00edcitas que comprometam a disponibilidade, a autenticidade, a integridade e a confidencialidade dos dados pessoais conservados ou transmitidos, bem como a seguran\u00e7a dos servi\u00e7os conexos oferecidos ou acess\u00edveis atrav\u00e9s destas redes e sistemas, pelas autoridades p\u00fablicas, equipas de interven\u00e7\u00e3o em caso de emerg\u00eancias inform\u00e1ticas (CERT), equipas de resposta a incidentes no dom\u00ednio da seguran\u00e7a inform\u00e1tica (CSIRT), fornecedores ou redes de servi\u00e7os de comunica\u00e7\u00f5es eletr\u00f3nicas e por fornecedores de tecnologias e servi\u00e7os de seguran\u00e7a, constitui um interesse leg\u00edtimo do respons\u00e1vel pelo tratamento. Pode ser esse o caso quando o tratamento vise, por exemplo, impedir o acesso n\u00e3o autorizado a redes de comunica\u00e7\u00f5es eletr\u00f3nicas e a distribui\u00e7\u00e3o de c\u00f3digos maliciosos e p\u00f4r termo a ataques de \u00abnega\u00e7\u00e3o de servi\u00e7o\u00bb e a danos causados aos sistemas de comunica\u00e7\u00f5es inform\u00e1ticas e eletr\u00f3nicas.
(50)O tratamento de dados pessoais para outros fins que n\u00e3o aqueles para os quais os dados pessoais tenham sido inicialmente recolhidos apenas dever\u00e1 ser autorizado se for compat\u00edvel com as finalidades para as quais os dados pessoais tenham sido inicialmente recolhidos. Nesse caso, n\u00e3o \u00e9 necess\u00e1rio um fundamento jur\u00eddico distinto do que permitiu a recolha dos dados pessoais. Se o tratamento for necess\u00e1rio para o exerc\u00edcio de fun\u00e7\u00f5es de interesse p\u00fablico ou o exerc\u00edcio da autoridade p\u00fablica de que est\u00e1 investido o respons\u00e1vel pelo tratamento, o direito da Uni\u00e3o ou dos Estados-Membros pode determinar e definir as tarefas e finalidades para as quais o tratamento posterior dever\u00e1 ser considerado compat\u00edvel e l\u00edcito. As opera\u00e7\u00f5es de tratamento posterior para fins de arquivo de interesse p\u00fablico, para fins de investiga\u00e7\u00e3o cient\u00edfica ou hist\u00f3rica ou para fins estat\u00edsticos, dever\u00e3o ser consideradas tratamento l\u00edcito compat\u00edvel. O fundamento jur\u00eddico previsto no direito da Uni\u00e3o ou dos Estados-Membros para o tratamento dos dados pessoais pode igualmente servir de fundamento jur\u00eddico para o tratamento posterior. A fim de apurar se a finalidade de uma nova opera\u00e7\u00e3o de tratamento dos dados \u00e9 ou n\u00e3o compat\u00edvel com a finalidade para que os dados pessoais foram inicialmente recolhidos, o respons\u00e1vel pelo seu tratamento, ap\u00f3s ter cumprido todos os requisitos para a licitude do tratamento inicial, dever\u00e1 ter em aten\u00e7\u00e3o, entre outros aspetos, a exist\u00eancia de uma liga\u00e7\u00e3o entre a primeira finalidade e aquela a que se destina a nova opera\u00e7\u00e3o de tratamento que se pretende efetuar, o contexto em que os dados pessoais foram recolhidos, em especial as expectativas razo\u00e1veis do titular dos dados quanto \u00e0 sua posterior utiliza\u00e7\u00e3o, baseadas na sua rela\u00e7\u00e3o com o respons\u00e1vel pelo tratamento; a natureza dos dados pessoais; as consequ\u00eancias que o posterior tratamento dos dados pode ter para o seu titular; e a exist\u00eancia de garantias adequadas tanto no tratamento inicial como nas outras opera\u00e7\u00f5es de tratamento previstas.
Caso o titular dos dados tenha dado o seu consentimento ou o tratamento se baseie em disposi\u00e7\u00f5es do direito da Uni\u00e3o ou de um Estado-Membro que constituam uma medida necess\u00e1ria e proporcionada, numa sociedade democr\u00e1tica, para salvaguardar, em especial, os importantes objetivos de interesse p\u00fablico geral, o respons\u00e1vel pelo tratamento dever\u00e1 ser autorizado a proceder ao tratamento posterior dos dados pessoais, independentemente da compatibilidade das finalidades. Em todo o caso, dever\u00e1 ser garantida a aplica\u00e7\u00e3o dos princ\u00edpios enunciados pelo presente regulamento e, em particular, a obriga\u00e7\u00e3o de informar o titular dos dados sobre essas outras finalidades e sobre os seus direitos, incluindo o direito de se opor. A indica\u00e7\u00e3o pelo respons\u00e1vel pelo tratamento de eventuais atos criminosos ou amea\u00e7as \u00e0 seguran\u00e7a p\u00fablica e a transmiss\u00e3o dos dados pessoais pertinentes, em casos individuais ou em v\u00e1rios casos relativos ao mesmo ato criminoso ou amea\u00e7a \u00e0 seguran\u00e7a p\u00fablica, a uma autoridade competente dever\u00e3o ser consideradas como sendo do interesse leg\u00edtimo do respons\u00e1vel pelo tratamento. Todavia, dever\u00e1 ser proibido proceder \u00e0 transmiss\u00e3o no interesse leg\u00edtimo do respons\u00e1vel pelo tratamento ou ao tratamento posterior de dados pessoais se a opera\u00e7\u00e3o n\u00e3o for compat\u00edvel com alguma obriga\u00e7\u00e3o legal, profissional ou outra obriga\u00e7\u00e3o vinculativa de confidencialidade.
(51)Merecem prote\u00e7\u00e3o espec\u00edfica os dados pessoais que sejam, pela sua natureza, especialmente sens\u00edveis do ponto de vista dos direitos e liberdades fundamentais, dado que o contexto do tratamento desses dados poder\u00e1 implicar riscos significativos para os direitos e liberdades fundamentais. Dever\u00e3o incluir-se neste caso os dados pessoais que revelem a origem racial ou \u00e9tnica, n\u00e3o implicando o uso do termo \u00aborigem racial\u00bb no presente regulamento que a Uni\u00e3o aceite teorias que procuram determinar a exist\u00eancia de diferentes ra\u00e7as humanas. O tratamento de fotografias n\u00e3o dever\u00e1 ser considerado sistematicamente um tratamento de categorias especiais de dados pessoais, uma vez que s\u00e3o apenas abrangidas pela defini\u00e7\u00e3o de dados biom\u00e9tricos quando forem processadas por meios t\u00e9cnicos espec\u00edficos que permitam a identifica\u00e7\u00e3o inequ\u00edvoca ou a autentica\u00e7\u00e3o de uma pessoa singular. Tais dados pessoais n\u00e3o dever\u00e3o ser objeto de tratamento, salvo se essa opera\u00e7\u00e3o for autorizada em casos espec\u00edficos definidos no presente regulamento, tendo em conta que o direito dos Estados-Membros pode estabelecer disposi\u00e7\u00f5es de prote\u00e7\u00e3o de dados espec\u00edficas, a fim de adaptar a aplica\u00e7\u00e3o das regras do presente regulamento para dar cumprimento a uma obriga\u00e7\u00e3o legal, para o exerc\u00edcio de fun\u00e7\u00f5es de interesse p\u00fablico ou para o exerc\u00edcio da autoridade p\u00fablica de que est\u00e1 investido o respons\u00e1vel pelo tratamento. Para al\u00e9m dos requisitos espec\u00edficos para este tipo de tratamento, os princ\u00edpios gerais e outras disposi\u00e7\u00f5es do presente regulamento dever\u00e3o ser aplic\u00e1veis, em especial no que se refere \u00e0s condi\u00e7\u00f5es para o tratamento l\u00edcito. Dever\u00e3o ser previstas de forma expl\u00edcita derroga\u00e7\u00f5es \u00e0 proibi\u00e7\u00e3o geral de tratamento de categorias especiais de dados pessoais, por exemplo, se o titular dos dados der o seu consentimento expresso ou para ter em conta necessidades espec\u00edficas, designadamente quando o tratamento for efetuado no exerc\u00edcio de atividades leg\u00edtimas de certas associa\u00e7\u00f5es ou funda\u00e7\u00f5es que tenham por finalidade permitir o exerc\u00edcio das liberdades fundamentais.
(52)As derroga\u00e7\u00f5es \u00e0 proibi\u00e7\u00e3o de tratamento de categorias especiais de dados pessoais dever\u00e3o ser igualmente permitidas quando estiverem previstas no direito da Uni\u00e3o ou dos Estados-Membros esujeitas a salvaguardas adequadas, de forma a proteger os dados pessoais e outros direitos fundamentais, casotal seja do interesse p\u00fablico, nomeadamente o tratamento de dados pessoais em mat\u00e9ria de direito laboral, de direito de prote\u00e7\u00e3o social, incluindo as pens\u00f5es, e para fins de seguran\u00e7a, monitoriza\u00e7\u00e3o e alerta em mat\u00e9ria de sa\u00fade, preven\u00e7\u00e3o ou controlo de doen\u00e7as transmiss\u00edveis e outras amea\u00e7as graves para a sa\u00fade. Essas derroga\u00e7\u00f5es poder\u00e3o ser previstas por motivos sanit\u00e1rios, incluindo de sa\u00fade p\u00fablica e de gest\u00e3o de servi\u00e7os de sa\u00fade, designadamente para assegurar a qualidade e a efici\u00eancia em termos de custos dos procedimentos utilizados para regularizar os pedidos de presta\u00e7\u00f5es sociais e de servi\u00e7os no quadro do regime de seguro de sa\u00fade, ou para fins de arquivo de interesse p\u00fablico, para fins de investiga\u00e7\u00e3o cient\u00edfica ou hist\u00f3rica ou para fins estat\u00edsticos. Uma derroga\u00e7\u00e3o dever\u00e1 tamb\u00e9m permitir o tratamento desses dados pessoais quando tal for necess\u00e1rio \u00e0 declara\u00e7\u00e3o, ao exerc\u00edcio ou \u00e0 defesa de um direito, independentemente de se tratar de um processo judicial ou de um processo administrativo ou extrajudicial.
(53)As categorias especiais de dados pessoais que merecem uma prote\u00e7\u00e3o mais elevada s\u00f3 dever\u00e3o ser objeto de tratamento para fins relacionados com a sa\u00fade quando tal for necess\u00e1rio para atingir os objetivos no interesse das pessoas singulares e da sociedade no seu todo, nomeadamente no contexto da gest\u00e3o dos servi\u00e7os e sistemas de sa\u00fade ou de a\u00e7\u00e3o social, incluindo o tratamento por parte da administra\u00e7\u00e3o e das autoridades sanit\u00e1rias centrais nacionais desses dados para efeitos de controlo da qualidade, informa\u00e7\u00e3o de gest\u00e3o e supervis\u00e3o geral a n\u00edvel nacional e local do sistema de sa\u00fade ou de a\u00e7\u00e3o social, assegurando a continuidade dos cuidados de sa\u00fade ou de a\u00e7\u00e3o social e da presta\u00e7\u00e3o de cuidados de sa\u00fade transfronteiras, ou para fins de seguran\u00e7a, monitoriza\u00e7\u00e3o e alerta em mat\u00e9ria de sa\u00fade, ou para fins de arquivo de interesse p\u00fablico, para fins de investiga\u00e7\u00e3o cient\u00edfica ou hist\u00f3rica ou para fins estat\u00edsticos baseados no direito da Uni\u00e3o ou dos Estados-Membros e que t\u00eam de cumprir um objetivo, assim como para os estudos realizados no interesse p\u00fablico no dom\u00ednio da sa\u00fade p\u00fablica. Por conseguinte, o presente regulamento dever\u00e1 estabelecer condi\u00e7\u00f5es harmonizadas para o tratamento de categorias especiais de dados pessoais relativos \u00e0 sa\u00fade, tendo em conta necessidades espec\u00edficas, designadamente quando o tratamento desses dados for efetuado para determinadas finalidades ligadas \u00e0 sa\u00fade por pessoas sujeitas a uma obriga\u00e7\u00e3o legal de sigilo profissional. O direito da Uni\u00e3o ou dos Estados-Membros dever\u00e1 prever medidas espec\u00edficas e adequadas com vista \u00e0 defesa dos direitos fundamentais e dos dados pessoais das pessoas singulares. Os Estados-Membros dever\u00e3o ser autorizados a manter ou introduzir outras condi\u00e7\u00f5es, incluindo limita\u00e7\u00f5es, no que diz respeito ao tratamento de dados gen\u00e9ticos, dados biom\u00e9tricos ou dados relativos \u00e0 sa\u00fade. Tal n\u00e3o dever\u00e1, no entanto, impedir a livre circula\u00e7\u00e3o de dados pessoais na Uni\u00e3o, quando essas condi\u00e7\u00f5es se aplicam ao tratamento transfronteiri\u00e7o desses dados.
(54)O tratamento de categorias especiais de dados pessoais pode ser necess\u00e1rio por raz\u00f5es de interesse p\u00fablico nos dom\u00ednios da sa\u00fade p\u00fablica, sem o consentimento do titular dos dados. Esse tratamento dever\u00e1 ser objeto de medidas adequadas e espec\u00edficas, a fim de defender os direitos e liberdades das pessoas singulares. Neste contexto, a no\u00e7\u00e3o de \u00absa\u00fade p\u00fablica\u00bb dever\u00e1 ser interpretada segundo a defini\u00e7\u00e3o constante do Regulamento (CE) n.\u00ba 1338\/2008 do Parlamento Europeu e do Conselho (11), ou seja, todos os elementos relacionados com a sa\u00fade, a saber, o estado de sa\u00fade, incluindo a morbilidade e a incapacidade, as determinantes desse estado de sa\u00fade, as necessidades de cuidados de sa\u00fade, os recursos atribu\u00eddos aos cuidados de sa\u00fade, a presta\u00e7\u00e3o de cuidados de sa\u00fade e o acesso universal aos mesmos, assim como as despesas e o financiamento dos cuidados de sa\u00fade, e as causas de mortalidade. Tais atividades de tratamento de dados sobre a sa\u00fade autorizadas por motivos de interesse p\u00fablico n\u00e3o dever\u00e3o ter por resultado que os dados sejam tratados para outros fins por terceiros, como os empregadores ou as companhias de seguros e entidades banc\u00e1rias.
(55)Al\u00e9m disso, o tratamento de dados pessoais pelas autoridades p\u00fablicas tendo em vista realizar os objetivos, consagrados no direito constitucional ou no direito internacional p\u00fablico, de associa\u00e7\u00f5es religiosas oficialmente reconhecidas, \u00e9 efetuado por motivos de interesse p\u00fablico.
(56)Sempre que, no \u00e2mbito do exerc\u00edcio de atividades eleitorais, o funcionamento do sistema democr\u00e1tico num Estado-Membro exigir que os partidos pol\u00edticos recolham dados pessoais sobre a opini\u00e3o pol\u00edtica dos cidad\u00e3os, o tratamento desses dados pode ser autorizado por motivos de interesse p\u00fablico, desde que sejam estabelecidas garantias adequadas.
(57)Se os dados pessoais tratados pelo respons\u00e1vel pelo tratamento n\u00e3o lhe permitirem identificar uma pessoa singular, aquele n\u00e3o dever\u00e1 ser obrigado a obter informa\u00e7\u00f5es suplementares para identificar o titular dos dados com o \u00fanico objetivo de dar cumprimento a uma disposi\u00e7\u00e3o do presente regulamento. Todavia, o respons\u00e1vel pelo tratamento n\u00e3o dever\u00e1 recusar receber informa\u00e7\u00f5es suplementares fornecidas pelo titular no intuito de apoiar o exerc\u00edcio dos seus direitos. A identifica\u00e7\u00e3o dever\u00e1 incluir a identifica\u00e7\u00e3o digital do titular dos dados, por exemplo com recurso a um procedimento de autentica\u00e7\u00e3o com os mesmos dados de identifica\u00e7\u00e3o usados pelo titular dos dados para aceder aos servi\u00e7os do respons\u00e1vel pelo tratamento por via eletr\u00f3nica.
(58)O princ\u00edpio da transpar\u00eancia exige que qualquer informa\u00e7\u00e3o destinada ao p\u00fablico ou ao titular dos dados seja concisa, de f\u00e1cil acesso e compreens\u00e3o, bem como formulada numa linguagem clara e simples, e que se recorra, adicionalmente, \u00e0 visualiza\u00e7\u00e3o sempre que for adequado. Essas informa\u00e7\u00f5es poder\u00e3o ser fornecidas por via eletr\u00f3nica, por exemplo num s\u00edtio web, quando se destinarem ao p\u00fablico. Isto \u00e9 especialmente relevante em situa\u00e7\u00f5es em que a prolifera\u00e7\u00e3o de operadores e a complexidade tecnol\u00f3gica das pr\u00e1ticas tornam dif\u00edcil que o titular dos dados saiba e compreenda se, por quem e para que fins os seus dados pessoais est\u00e3o a ser recolhidos, como no caso da publicidade por via eletr\u00f3nica. Uma vez que as crian\u00e7as merecem prote\u00e7\u00e3o espec\u00edfica, sempre que o tratamento lhes seja dirigido, qualquer informa\u00e7\u00e3o e comunica\u00e7\u00e3o dever\u00e1 estar redigida numa linguagem clara e simples que a crian\u00e7a compreenda facilmente.
(59)Dever\u00e3o ser previstas regras para facilitar o exerc\u00edcio pelo titular dos dados dos direitos que lhe s\u00e3o conferidos ao abrigo do presente regulamento, incluindo procedimentos para solicitar e, sendo caso disso, obter a t\u00edtulo gratuito, em especial, o acesso a dados pessoais, a sua retifica\u00e7\u00e3o ou o seu apagamento e o exerc\u00edcio do direito de oposi\u00e7\u00e3o. O respons\u00e1vel pelo tratamento dever\u00e1 fornecer os meios necess\u00e1rios para que os pedidos possam ser apresentados por via eletr\u00f3nica, em especial quando os dados sejam tamb\u00e9m tratados por essa via. O respons\u00e1vel pelo tratamento dever\u00e1 ser obrigado a responder aos pedidos do titular dos dados sem demora injustificada e o mais tardar no prazo de um m\u00eas e expor as suas raz\u00f5es quando tiver inten\u00e7\u00e3o de recusar o pedido.
(60)Os princ\u00edpios do tratamento equitativo e transparente exigem que o titular dos dados seja informado da opera\u00e7\u00e3o de tratamento de dados e das suas finalidades. O respons\u00e1vel pelo tratamento dever\u00e1 fornecer ao titular as informa\u00e7\u00f5es adicionais necess\u00e1rias para assegurar um tratamento equitativo e transparente tendo em conta as circunst\u00e2ncias e o contexto espec\u00edficos em que os dados pessoais forem tratados. O titular dos dados dever\u00e1 tamb\u00e9m ser informado da defini\u00e7\u00e3o de perfis e das consequ\u00eancias que da\u00ed adv\u00eam. Sempre que os dados pessoais forem recolhidos junto do titular dos dados, este dever\u00e1 ser tamb\u00e9m informado da eventual obrigatoriedade de fornecer os dados pessoais e das consequ\u00eancias de n\u00e3o os facultar. Essas informa\u00e7\u00f5es podem ser fornecidas em combina\u00e7\u00e3o com \u00edcones normalizados a fim de dar, de modo facilmente vis\u00edvel, intelig\u00edvel e claramente leg\u00edvel uma \u00fatil perspetiva geral do tratamento previsto. Se forem apresentados por via eletr\u00f3nica, os \u00edcones dever\u00e3o ser de leitura autom\u00e1tica.
(61)As informa\u00e7\u00f5es sobre o tratamento de dados pessoais relativos ao titular dos dados dever\u00e3o ser a este fornecidas no momento da sua recolha junto do titular dos dados ou, se os dados pessoais tiverem sido obtidos a partir de outra fonte, dentro de um prazo razo\u00e1vel, consoante as circunst\u00e2ncias. Sempre que os dados pessoais forem suscet\u00edveis de ser legitimamente comunicados a outro destinat\u00e1rio, o titular dos dados dever\u00e1 ser informado aquando da primeira comunica\u00e7\u00e3o dos dados pessoais a esse destinat\u00e1rio. Sempre que o respons\u00e1vel pelo tratamento tiver a inten\u00e7\u00e3o de tratar os dados pessoais para outro fim que n\u00e3o aquele para o qual tenham sido recolhidos, antes desse tratamento o respons\u00e1vel pelo tratamento dever\u00e1 fornecer ao titular dos dados informa\u00e7\u00f5es sobre esse fim e outras informa\u00e7\u00f5es necess\u00e1rias. Quando n\u00e3o for poss\u00edvel informar o titular dos dados da origem dos dados pessoais por se ter recorrido a v\u00e1rias fontes, dever\u00e3o ser-lhe fornecidas informa\u00e7\u00f5es gen\u00e9ricas.
(62)Todavia, n\u00e3o \u00e9 necess\u00e1rio impor a obriga\u00e7\u00e3o de fornecer informa\u00e7\u00f5es caso o titular dos dados j\u00e1 disponha da informa\u00e7\u00e3o, caso a lei disponha expressamente o registo ou a comunica\u00e7\u00e3o dos dados pessoais ou caso a informa\u00e7\u00e3o ao titular dos dados se revele imposs\u00edvel de concretizar ou implicar um esfor\u00e7o desproporcionado. Este \u00faltimo seria, nomeadamente, o caso de um tratamento efetuado para fins de arquivo de interesse p\u00fablico, para fins de investiga\u00e7\u00e3o cient\u00edfica ou hist\u00f3rica ou para fins estat\u00edsticos. Para esse efeito, dever\u00e1 ser considerado o n\u00famero de titulares de dados, a antiguidade dos dados e as devidas garantias que tenham sido adotadas.
(63)Os titulares de dados dever\u00e3o ter o direito de aceder aos dados pessoais recolhidos que lhes digam respeito e de exercer esse direito com facilidade e a intervalos razo\u00e1veis, a fim de conhecer e verificar a tomar conhecimento do tratamento e verificar a sua licitude. Aqui se inclui o seu direito de acederem a dados sobre a sua sa\u00fade, por exemplo os dados dos registos m\u00e9dicos com informa\u00e7\u00f5es como diagn\u00f3sticos, resultados de exames, avalia\u00e7\u00f5es dos m\u00e9dicos e quaisquer interven\u00e7\u00f5es ou tratamentos realizados. Por conseguinte, cada titular de dados dever\u00e1 ter o direito de conhecer e ser informado, nomeadamente, das finalidades para as quais os dados pessoais s\u00e3o tratados, quando poss\u00edvel do per\u00edodo durante o qual os dados s\u00e3o tratados, da identidade dos destinat\u00e1rios dos dados pessoais, da l\u00f3gica subjacente ao eventual tratamento autom\u00e1tico dos dados pessoais e, pelo menos quando tiver por base a defini\u00e7\u00e3o de perfis, das suas consequ\u00eancias. Quando poss\u00edvel, o respons\u00e1vel pelo tratamento dever\u00e1 poder facultar o acesso a um sistema seguro por via eletr\u00f3nica que possibilite ao titular aceder diretamente aos seus dados pessoais. Esse direito n\u00e3o dever\u00e1 prejudicar os direitos ou as liberdades de terceiros, incluindo o segredo comercial ou a propriedade intelectual e, particularmente, o direito de autor que protege o software. Todavia, essas considera\u00e7\u00f5es n\u00e3o dever\u00e3o resultar na recusa de presta\u00e7\u00e3o de todas as informa\u00e7\u00f5es ao titular dos dados. Quando o respons\u00e1vel proceder ao tratamento de grande quantidade de informa\u00e7\u00e3o relativa ao titular dos dados, dever\u00e1 poder solicitar que, antes de a informa\u00e7\u00e3o ser fornecida, o titular especifique a que informa\u00e7\u00f5es ou a que atividades de tratamento se refere o seu pedido.
(64)O respons\u00e1vel pelo tratamento dever\u00e1 adotar todas as medidas razo\u00e1veis para verificar a identidade do titular dos dados que solicite o acesso, em especial no contexto de servi\u00e7os e de identificadores por via eletr\u00f3nica. Os respons\u00e1veis pelo tratamento n\u00e3o dever\u00e3o conservar dados pessoais com a finalidade exclusiva de estar em condi\u00e7\u00f5es de reagir a eventuais pedidos.
(65)Os titulares dos dados dever\u00e3o ter direito a que os dados que lhes digam respeito sejam retificados e o \u00abdireito a serem esquecidos\u00bb quando a conserva\u00e7\u00e3o desses dados violar o presente regulamento ou o direito da Uni\u00e3o ou dos Estados-Membros aplic\u00e1vel ao respons\u00e1vel pelo tratamento. Em especial, os titulares de dados dever\u00e3o ter direito a que os seus dados pessoais sejam apagados e deixem de ser objeto de tratamento se deixarem de ser necess\u00e1rios para a finalidade para a qual foram recolhidos ou tratados, se os titulares dos dados retirarem o seu consentimento ou se opuserem ao tratamento de dados pessoais que lhes digam respeito ou se o tratamento dos seus dados pessoais n\u00e3o respeitar o disposto no presente regulamento. Esse direito assume particular import\u00e2ncia quando o titular dos dados tiver dado o seu consentimento quando era crian\u00e7a e n\u00e3o estava totalmente ciente dos riscos inerentes ao tratamento, e mais tarde deseje suprimir esses dados pessoais, especialmente na Internet. O titular dos dados dever\u00e1 ter a possibilidade de exercer esse direito independentemente do facto de j\u00e1 ser adulto. No entanto, o prolongamento da conserva\u00e7\u00e3o dos dados pessoais dever\u00e1 ser efetuado de forma l\u00edcita quando tal se revele necess\u00e1rio para o exerc\u00edcio do direito de liberdade de express\u00e3o e informa\u00e7\u00e3o, para o cumprimento de uma obriga\u00e7\u00e3o jur\u00eddica, para o exerc\u00edcio de fun\u00e7\u00f5es de interesse p\u00fablico ou o exerc\u00edcio da autoridade p\u00fablica de que est\u00e1 investido o respons\u00e1vel pelo tratamento, por raz\u00f5es de interesse p\u00fablico no dom\u00ednio da sa\u00fade p\u00fablica, para fins de arquivo de interesse p\u00fablico, para fins de investiga\u00e7\u00e3o cient\u00edfica ou hist\u00f3rica ou para fins estat\u00edsticos, ou para efeitos de declara\u00e7\u00e3o, exerc\u00edcio ou defesa de um direito num processo judicial.
(66)Para refor\u00e7ar o direito a ser esquecido no ambiente por via eletr\u00f3nica, o \u00e2mbito do direito ao apagamento dever\u00e1 ser alargado atrav\u00e9s da imposi\u00e7\u00e3o ao respons\u00e1vel pelo tratamento que tenha tornado p\u00fablicos os dados pessoais da ado\u00e7\u00e3o de medidas razo\u00e1veis, incluindo a aplica\u00e7\u00e3o de medidas t\u00e9cnicas, para informar os respons\u00e1veis que estejam a tratar esses dados pessoais de que os titulares dos dados solicitaram a supress\u00e3o de quaisquer liga\u00e7\u00f5es para esses dados pessoais ou de c\u00f3pias ou reprodu\u00e7\u00f5es dos mesmos. Ao faz\u00ea-lo, esse respons\u00e1vel pelo tratamento dever\u00e1 adotar as medidas que se afigurarem razo\u00e1veis, tendo em conta a tecnologia dispon\u00edvel e os meios ao seu dispor, incluindo medidas t\u00e9cnicas, para informar do pedido do titular dos dados pessoais os respons\u00e1veis que estejam a tratar os dados.
(67)Para restringir o tratamento de dados pessoais pode recorrer-se a m\u00e9todos como a transfer\u00eancia tempor\u00e1ria de determinados dados para outro sistema de tratamento, a indisponibiliza\u00e7\u00e3o do acesso a determinados dados pessoais por parte dos utilizadores, ou a retirada tempor\u00e1ria de um s\u00edtio web dos dados a\u00ed publicados. Nos ficheiros automatizados, as restri\u00e7\u00f5es ao tratamento dever\u00e3o, em princ\u00edpio, ser impostas por meios t\u00e9cnicos de modo a que os dados pessoais n\u00e3o sejam sujeitos a outras opera\u00e7\u00f5es de tratamento e n\u00e3o possam ser alterados. Dever\u00e1 indicar-se de forma bem clara no sistema que o tratamento dos dados pessoais se encontra sujeito a restri\u00e7\u00f5es.
(68)Para refor\u00e7ar o controlo sobre os seus pr\u00f3prios dados, sempre que o tratamento de dados pessoais for automatizado, o titular dos dados dever\u00e1 ser autorizado a receber os dados pessoais que lhe digam respeito, que tenha fornecido a um respons\u00e1vel pelo tratamento num formato estruturado, de uso corrente, de leitura autom\u00e1tica e interoper\u00e1vel, e a transmiti-los a outro respons\u00e1vel. Os respons\u00e1veis pelo tratamento de dados dever\u00e3o ser encorajados a desenvolver formatos interoper\u00e1veis que permitam a portabilidade dos dados. Esse direito dever\u00e1 aplicar-se tamb\u00e9m se o titular dos dados tiver fornecido os dados pessoais com base no seu consentimento ou se o tratamento for necess\u00e1rio para o cumprimento de um contrato. N\u00e3o dever\u00e1 ser aplic\u00e1vel se o tratamento se basear num fundamento jur\u00eddico que n\u00e3o seja o consentimento ou um contrato. Por natureza pr\u00f3pria, esse direito n\u00e3o dever\u00e1 ser exercido em rela\u00e7\u00e3o aos respons\u00e1veis pelo tratamento que tratem dados pessoais na prossecu\u00e7\u00e3o das suas atribui\u00e7\u00f5es p\u00fablicas. Por conseguinte, esse direito n\u00e3o dever\u00e1 ser aplic\u00e1vel quando o tratamento de dados pessoais for necess\u00e1rio para o cumprimento de uma obriga\u00e7\u00e3o jur\u00eddica \u00e0 qual o respons\u00e1vel esteja sujeito, para o exerc\u00edcio de atribui\u00e7\u00f5es de interesse p\u00fablico ou para o exerc\u00edcio da autoridade p\u00fablica de que esteja investido o respons\u00e1vel pelo tratamento. O direito do titular dos dados a transmitir ou receber dados pessoais que lhe digam respeito n\u00e3o dever\u00e1 implicar para os respons\u00e1veis pelo tratamento a obriga\u00e7\u00e3o de adotar ou manter sistemas de tratamento que sejam tecnicamente compat\u00edveis. Quando um determinado conjunto de dados pessoais disser respeito a mais de um titular, o direito de receber os dados pessoais n\u00e3o dever\u00e1 prejudicar os direitos e liberdades de outros titulares de dados nos termos do presente regulamento. Al\u00e9m disso, esse direito tamb\u00e9m n\u00e3o dever\u00e1 prejudicar o direito dos titulares dos dados a obter o apagamento dos dados pessoais nem as restri\u00e7\u00f5es a esse direito estabelecidas no presente regulamento e, nomeadamente, n\u00e3o dever\u00e1 implicar o apagamento dos dados pessoais relativos ao titular que este tenha fornecido para execu\u00e7\u00e3o de um contrato, na medida em que e enquanto os dados pessoais forem necess\u00e1rios para a execu\u00e7\u00e3o do referido contrato. Sempre que seja tecnicamente poss\u00edvel, o titular dos dados dever\u00e1 ter o direito a que os dados pessoais sejam transmitidos diretamente entre os respons\u00e1veis pelo tratamento.
(69)No caso de um tratamento de dados pessoais l\u00edcito realizado por ser necess\u00e1rio ao exerc\u00edcio de fun\u00e7\u00f5es de interesse p\u00fablico ou ao exerc\u00edcio da autoridade p\u00fablica de que est\u00e1 investido o respons\u00e1vel pelo tratamento ou ainda por motivos de interesse leg\u00edtimo do respons\u00e1vel pelo tratamento ou de terceiros, o titular n\u00e3o dever\u00e1 deixar de ter o direito de se opor ao tratamento dos dados pessoais que digam respeito \u00e0 sua situa\u00e7\u00e3o espec\u00edfica. Dever\u00e1 caber ao respons\u00e1vel pelo tratamento provar que os seus interesses leg\u00edtimos imperiosos prevalecem sobre os interesses ou direitos e liberdades fundamentais do titular dos dados.
(70)Sempre que os dados pessoais forem objeto de tratamento para efeitos de comercializa\u00e7\u00e3o direta, o titular dever\u00e1 ter o direito de se opor, em qualquer momento e gratuitamente, a tal tratamento, incluindo a defini\u00e7\u00e3o de perfis na medida em que esteja relacionada com a referida comercializa\u00e7\u00e3o, quer se trate do tratamento inicial quer do tratamento posterior. Esse direito dever\u00e1 ser explicitamente levado \u00e0 aten\u00e7\u00e3o do titular e apresentado de modo claro e distinto de quaisquer outras informa\u00e7\u00f5es.
(71)O titular dos dados dever\u00e1 ter o direito de n\u00e3o ficar sujeito a uma decis\u00e3o, que poder\u00e1 incluir uma medida, que avalie aspetos pessoais que lhe digam respeito, que se baseie exclusivamente no tratamento automatizado e que produza efeitos jur\u00eddicos que lhe digam respeito ou o afetem significativamente de modo similar, como a recusa autom\u00e1tica de um pedido de cr\u00e9dito por via eletr\u00f3nica ou pr\u00e1ticas de recrutamento eletr\u00f3nico sem qualquer interven\u00e7\u00e3o humana. Esse tratamento inclui a defini\u00e7\u00e3o de perfis mediante qualquer forma de tratamento automatizado de dados pessoais para avaliar aspetos pessoais relativos a uma pessoa singular, em especial a an\u00e1lise e previs\u00e3o de aspetos relacionados com o desempenho profissional, a situa\u00e7\u00e3o econ\u00f3mica, sa\u00fade, prefer\u00eancias ou interesses pessoais, fiabilidade ou comportamento, localiza\u00e7\u00e3o ou desloca\u00e7\u00f5es do titular dos dados, quando produza efeitos jur\u00eddicos que lhe digam respeito ou a afetem significativamente de forma similar. No entanto, a tomada de decis\u00f5es com base nesse tratamento, incluindo a defini\u00e7\u00e3o de perfis, dever\u00e1 ser permitida se expressamente autorizada pelo direito da Uni\u00e3o ou dos Estados-Membros aplic\u00e1vel ao respons\u00e1vel pelo tratamento, incluindo para efeitos de controlo e preven\u00e7\u00e3o de fraudes e da evas\u00e3o fiscal, conduzida nos termos dos regulamentos, normas e recomenda\u00e7\u00f5es das institui\u00e7\u00f5es da Uni\u00e3o ou das entidades nacionais de controlo, e para garantir a seguran\u00e7a e a fiabilidade do servi\u00e7o prestado pelo respons\u00e1vel pelo tratamento, ou se for necess\u00e1ria para a celebra\u00e7\u00e3o ou execu\u00e7\u00e3o de um contrato entre o titular dos dados e o respons\u00e1vel pelo tratamento, ou mediante o consentimento expl\u00edcito do titular. Em qualquer dos casos, tal tratamento dever\u00e1 ser acompanhado das garantias adequadas, que dever\u00e3o incluir a informa\u00e7\u00e3o espec\u00edfica ao titular dos dados e o direito de obter a interven\u00e7\u00e3o humana, de manifestar o seu ponto de vista, de obter uma explica\u00e7\u00e3o sobre a decis\u00e3o tomada na sequ\u00eancia dessa avalia\u00e7\u00e3o e de contestar a decis\u00e3o. Essa medida n\u00e3o dever\u00e1 dizer respeito a uma crian\u00e7a.
A fim de assegurar um tratamento equitativo e transparente no que diz respeito ao titular dos dados, tendo em conta a especificidade das circunst\u00e2ncias e do contexto em que os dados pessoais s\u00e3o tratados, o respons\u00e1vel pelo tratamento dever\u00e1 utilizar procedimentos matem\u00e1ticos e estat\u00edsticos adequados \u00e0 defini\u00e7\u00e3o de perfis, aplicar medidas t\u00e9cnicas e organizativas que garantam designadamente que os fatores que introduzem imprecis\u00f5es nos dados pessoais s\u00e3o corrigidos e que o risco de erros \u00e9 minimizado, e proteger os dados pessoais de modo a que sejam tidos em conta os potenciais riscos para os interesses e direitos do titular dos dados, e evitar, por exemplo, efeitos discriminat\u00f3rios contra pessoas singulares em raz\u00e3o da sua origem racial ou \u00e9tnica, opini\u00e3o pol\u00edtica, religi\u00e3o ou convic\u00e7\u00f5es, filia\u00e7\u00e3o sindical, estado gen\u00e9tico ou de sa\u00fade ou orienta\u00e7\u00e3o sexual, ou que o tratamento dos dados resulte em medidas que venham a ter tais efeitos.\u00bb.
(72)A defini\u00e7\u00e3o de perfis est\u00e1 sujeita \u00e0s regras do presente regulamento que regem o tratamento de dados pessoais, como o fundamento jur\u00eddico do tratamento ou os princ\u00edpios da prote\u00e7\u00e3o de dados. O Comit\u00e9 Europeu para a Prote\u00e7\u00e3o de Dados criado pelo presente regulamento (\u00abComit\u00e9\u00bb) dever\u00e1 poder emitir orienta\u00e7\u00f5es nesse \u00e2mbito.
(73)O direito da Uni\u00e3o ou dos Estados-Membros podem impor restri\u00e7\u00f5es relativas a princ\u00edpios espec\u00edficos e aos direitos de informa\u00e7\u00e3o, acesso e retifica\u00e7\u00e3o ou apagamento de dados pessoais e ao direito \u00e0 portabilidade dos dados, ao direito de oposi\u00e7\u00e3o, \u00e0s decis\u00f5es baseadas na defini\u00e7\u00e3o de perfis, bem como \u00e0 comunica\u00e7\u00e3o de uma viola\u00e7\u00e3o de dados pessoais ao titular dos dados, e a determinadas obriga\u00e7\u00f5es conexas dos respons\u00e1veis pelo tratamento, na medida em que sejam necess\u00e1rias e proporcionadas numa sociedade democr\u00e1tica para garantir a seguran\u00e7a p\u00fablica, incluindo a prote\u00e7\u00e3o da vida humana, especialmente em resposta a cat\u00e1strofes naturais ou provocadas pelo homem, para a preven\u00e7\u00e3o, a investiga\u00e7\u00e3o e a repress\u00e3o de infra\u00e7\u00f5es penais ou a execu\u00e7\u00e3o de san\u00e7\u00f5es penais, incluindo a salvaguarda e a preven\u00e7\u00e3o de amea\u00e7as \u00e0 seguran\u00e7a p\u00fablica ou viola\u00e7\u00f5es da deontologia de profiss\u00f5es regulamentadas, para outros objetivos importantes de interesse p\u00fablico geral da Uni\u00e3o ou de um Estado-Membro, nomeadamente um interesse econ\u00f3mico ou financeiro importante da Uni\u00e3o ou de um Estado-Membro, para a conserva\u00e7\u00e3o de registos p\u00fablicos por motivos de interesse p\u00fablico geral, para posterior tratamento de dados pessoais arquivados para a presta\u00e7\u00e3o de informa\u00e7\u00f5es espec\u00edficas relacionadas com o comportamento pol\u00edtico no \u00e2mbito de antigos regimes totalit\u00e1rios ou para efeitos de defesa do titular dos dados ou dos direitos e liberdades de terceiros, incluindo a prote\u00e7\u00e3o social, a sa\u00fade p\u00fablica e os fins humanit\u00e1rios. Essas restri\u00e7\u00f5es dever\u00e3o respeitar as exig\u00eancias estabelecidas na Carta e na Conven\u00e7\u00e3o Europeia para a Prote\u00e7\u00e3o dos Direitos do Homem e das Liberdades Fundamentais.
(74)Dever\u00e1 ser consagrada a responsabilidade do respons\u00e1vel por qualquer tratamento de dados pessoais realizado por este ou por sua conta. Em especial, o respons\u00e1vel pelo tratamento dever\u00e1 ficar obrigado a executar as medidas que forem adequadas e eficazes e ser capaz de comprovar que as atividades de tratamento s\u00e3o efetuadas em conformidade com o presente regulamento, incluindo a efic\u00e1cia das medidas. Essas medidas dever\u00e3o ter em conta a natureza, o \u00e2mbito, o contexto e as finalidades do tratamento dos dados, bem como o risco que possa implicar para os direitos e liberdades das pessoas singulares.
(75)O risco para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser vari\u00e1veis, poder\u00e1 resultar de opera\u00e7\u00f5es de tratamento de dados pessoais suscet\u00edveis de causar danos f\u00edsicos, materiais ou imateriais, em especial quando o tratamento possa dar origem \u00e0 discrimina\u00e7\u00e3o, \u00e0 usurpa\u00e7\u00e3o ou roubo da identidade, a perdas financeiras, preju\u00edzos para a reputa\u00e7\u00e3o, perdas de confidencialidade de dados pessoais protegidos por sigilo profissional, \u00e0 invers\u00e3o n\u00e3o autorizada da pseudonimiza\u00e7\u00e3o, ou a quaisquer outros preju\u00edzos importantes de natureza econ\u00f3mica ou social; quando os titulares dos dados possam ficar privados dos seus direitos e liberdades ou impedidos do exerc\u00edcio do controlo sobre os respetivos dados pessoais; quando forem tratados dados pessoais que revelem a origem racial ou \u00e9tnica, as opini\u00f5es pol\u00edticas, as convic\u00e7\u00f5es religiosas ou filos\u00f3ficas e a filia\u00e7\u00e3o sindical, bem como dados gen\u00e9ticos ou dados relativos \u00e0 sa\u00fade ou \u00e0 vida sexual ou a condena\u00e7\u00f5es penais e infra\u00e7\u00f5es ou medidas de seguran\u00e7a conexas; quando forem avaliados aspetos de natureza pessoal, em particular an\u00e1lises ou previs\u00f5es de aspetos que digam respeito ao desempenho no trabalho, \u00e0 situa\u00e7\u00e3o econ\u00f3mica, \u00e0 sa\u00fade, \u00e0s prefer\u00eancias ou interesses pessoais, \u00e0 fiabilidade ou comportamento e \u00e0 localiza\u00e7\u00e3o ou \u00e0s desloca\u00e7\u00f5es das pessoas, a fim de definir ou fazer uso de perfis; quando forem tratados dados relativos a pessoas singulares vulner\u00e1veis, em particular crian\u00e7as; ou quando o tratamento incidir sobre uma grande quantidade de dados pessoais e afetar um grande n\u00famero de titulares de dados.
(76)A probabilidade e a gravidade dos riscos para os direitos e liberdades do titular dos dados dever\u00e1 ser determinada por refer\u00eancia \u00e0 natureza, \u00e2mbito, contexto e finalidades do tratamento de dados. Os riscos dever\u00e3o ser aferidos com base numa avalia\u00e7\u00e3o objetiva, que determine se as opera\u00e7\u00f5es de tratamento de dados implicam risco ou risco elevado.
(77)As orienta\u00e7\u00f5es sobre a execu\u00e7\u00e3o de medidas adequadas e sobre a comprova\u00e7\u00e3o de conformidade pelos respons\u00e1veis pelo tratamento ou subcontratantes, em especial no que diz respeito \u00e0 identifica\u00e7\u00e3o dos riscos relacionados com o tratamento, \u00e0 sua avalia\u00e7\u00e3o em termos de origem, natureza, probabilidade e gravidade, bem como \u00e0 identifica\u00e7\u00e3o das melhores pr\u00e1ticas para a atenua\u00e7\u00e3o dos riscos, poder\u00e3o ser obtidas nomeadamente recorrendo a c\u00f3digos de conduta aprovados, a certifica\u00e7\u00f5es aprovadas, \u00e0s orienta\u00e7\u00f5es fornecidas pelo Comit\u00e9 ou \u00e0s indica\u00e7\u00f5es fornecidas por um encarregado da prote\u00e7\u00e3o de dados. O Comit\u00e9 poder\u00e1 emitir igualmente orienta\u00e7\u00f5es sobre opera\u00e7\u00f5es de tratamento de dados que n\u00e3o sejam suscet\u00edveis de resultar num elevado risco para os direitos e liberdades das pessoas singulares e indicar quais as medidas adequadas em tais casos para diminuir esse risco.
(78)A defesa dos direitos e liberdades das pessoas singulares relativamente ao tratamento dos seus dados pessoais exige a ado\u00e7\u00e3o de medidas t\u00e9cnicas e organizativas adequadas, a fim de assegurar o cumprimento dos requisitos do presente regulamento. Para poder comprovar a conformidade com o presente regulamento, o respons\u00e1vel pelo tratamento dever\u00e1 adotar orienta\u00e7\u00f5es internas e aplicar medidas que respeitem, em especial, os princ\u00edpios da prote\u00e7\u00e3o de dados desde a conce\u00e7\u00e3o e da prote\u00e7\u00e3o de dados por defeito. Tais medidas podem incluir a minimiza\u00e7\u00e3o do tratamento de dados pessoais, a pseudonimiza\u00e7\u00e3o de dados pessoais o mais cedo poss\u00edvel, a transpar\u00eancia no que toca \u00e0s fun\u00e7\u00f5es e ao tratamento de dados pessoais, a possibilidade de o titular dos dados controlar o tratamento de dados e a possibilidade de o respons\u00e1vel pelo tratamento criar e melhorar medidas de seguran\u00e7a. No contexto do desenvolvimento, conce\u00e7\u00e3o, sele\u00e7\u00e3o e utiliza\u00e7\u00e3o de aplica\u00e7\u00f5es, servi\u00e7os e produtos que se baseiam no tratamento de dados pessoais ou recorrem a este tratamento para executarem as suas fun\u00e7\u00f5es, haver\u00e1 que incentivar os fabricantes dos produtos, servi\u00e7os e aplica\u00e7\u00f5es a ter em conta o direito \u00e0 prote\u00e7\u00e3o de dados quando do seu desenvolvimento e conce\u00e7\u00e3o e, no devido respeito pelas t\u00e9cnicas mais avan\u00e7adas, a garantir que os respons\u00e1veis pelo tratamento e os subcontratantes estejam em condi\u00e7\u00f5es de cumprir as suas obriga\u00e7\u00f5es em mat\u00e9ria de prote\u00e7\u00e3o de dados. Os princ\u00edpios de prote\u00e7\u00e3o de dados desde a conce\u00e7\u00e3o e, por defeito, dever\u00e3o tamb\u00e9m ser tomados em considera\u00e7\u00e3o no contexto dos contratos p\u00fablicos.
(79)A defesa dos direitos e liberdades dos titulares dos dados, bem como a responsabilidade dos respons\u00e1veis pelo seu tratamento e dos subcontratantes, incluindo no que diz respeito \u00e0 supervis\u00e3o e \u00e0s medidas adotadas pelas autoridades de controlo, exigem uma clara reparti\u00e7\u00e3o das responsabilidades nos termos do presente regulamento, nomeadamente quando o respons\u00e1vel pelo tratamento determina as finalidades e os meios do tratamento conjuntamente com outros respons\u00e1veis, ou quando uma opera\u00e7\u00e3o de tratamento de dados \u00e9 efetuada por conta de um respons\u00e1vel pelo tratamento.
(80)Sempre que um respons\u00e1vel pelo tratamento ou um subcontratante n\u00e3o estabelecidos na Uni\u00e3o efetuarem o tratamento de dados pessoais de titulares de dados que se encontrem na Uni\u00e3o, e as suas atividades de tratamento estiverem relacionadas com a oferta de bens ou servi\u00e7os a esses titulares de dados na Uni\u00e3o, independentemente de a estes ser exigido um pagamento, ou com o controlo do seu comportamento na medida que o seu comportamento tenha lugar na Uni\u00e3o, o respons\u00e1vel pelo tratamento ou o subcontratante dever\u00e3o designar um representante, a n\u00e3o ser que o tratamento seja ocasional, n\u00e3o inclua o tratamento, em larga escala, de categorias especiais de dados pessoais, nem o tratamento de dados pessoais relativos a condena\u00e7\u00f5es penais e infra\u00e7\u00f5es, e n\u00e3o seja suscet\u00edvel de implicar riscos para os direitos e liberdades das pessoas singulares, tendo em conta a natureza, o contexto, o \u00e2mbito e as finalidades do tratamento ou se o respons\u00e1vel pelo tratamento for uma autoridade ou organismo p\u00fablico. O representante dever\u00e1 agir em nome do respons\u00e1vel pelo tratamento ou do subcontratante e dever\u00e1 poder ser contactado por qualquer autoridade de controlo. O representante dever\u00e1 ser explicitamente designado por um mandato do respons\u00e1vel pelo tratamento ou do subcontratante, emitido por escrito, que permita ao representante agir em seu nome no que diz respeito \u00e0s obriga\u00e7\u00f5es que lhes s\u00e3o impostas pelo presente regulamento. A designa\u00e7\u00e3o de um tal representante n\u00e3o afeta as responsabilidades que incumbem ao respons\u00e1vel pelo tratamento ou ao subcontratante nos termos do presente regulamento. O representante dever\u00e1 executar as suas tarefas em conformidade com o mandato que recebeu do respons\u00e1vel pelo tratamento ou do subcontratante, incluindo no que toca \u00e0 coopera\u00e7\u00e3o com as autoridades de controlo competentes relativamente a qualquer a\u00e7\u00e3o empreendida no sentido de garantir o cumprimento do presente regulamento. O representante designado dever\u00e1 estar sujeito a procedimentos de execu\u00e7\u00e3o em caso de incumprimento pelo respons\u00e1vel pelo tratamento ou pelo subcontratante.
(81)Para assegurar o cumprimento do presente regulamento no que se refere ao tratamento a efetuar pelo subcontratante por conta do respons\u00e1vel pelo tratamento, este, quando confiar atividades de tratamento a um subcontratante, dever\u00e1 recorrer exclusivamente a subcontratantes que ofere\u00e7am garantias suficientes, especialmente em termos de conhecimentos especializados, fiabilidade e recursos, quanto \u00e0 execu\u00e7\u00e3o de medidas t\u00e9cnicas e organizativas que cumpram os requisitos do presente regulamento, nomeadamente no que se refere \u00e0 seguran\u00e7a do tratamento. O facto de o subcontratante cumprir um c\u00f3digo de conduta aprovado ou um procedimento de certifica\u00e7\u00e3o aprovado poder\u00e1 ser utilizado como elemento para demonstrar o cumprimento das obriga\u00e7\u00f5es do respons\u00e1vel pelo tratamento. A realiza\u00e7\u00e3o de opera\u00e7\u00f5es de tratamento de dados em subcontrata\u00e7\u00e3o dever\u00e1 ser regulada por um contrato ou por outro ato normativo ao abrigo do direito da Uni\u00e3o ou dos Estados-Membros, que vincule o subcontratante ao respons\u00e1vel pelo tratamento e em que seja estabelecido o objeto e a dura\u00e7\u00e3o do contrato, a natureza e as finalidades do tratamento, o tipo de dados pessoais e as categorias dos titulares dos dados, tendo em conta as tarefas e responsabilidades espec\u00edficas do subcontratante no contexto do tratamento a realizar e o risco em rela\u00e7\u00e3o aos direitos e liberdades do titular dos dados. O respons\u00e1vel pelo tratamento e o subcontratante poder\u00e3o optar por utilizar um contrato individual ou cl\u00e1usulas contratuais-tipo que s\u00e3o adotadas quer diretamente pela Comiss\u00e3o quer por uma autoridade de controlo em conformidade com o procedimento de controlo da coer\u00eancia e adotadas posteriormente pela Comiss\u00e3o. Ap\u00f3s conclu\u00eddo o tratamento por conta do respons\u00e1vel pelo tratamento, o subcontratante dever\u00e1, consoante a escolha do primeiro, devolver ou apagar os dados pessoais, a menos que seja exigida a conserva\u00e7\u00e3o dos dados pessoais ao abrigo do direito da Uni\u00e3o ou do Estado-Membro a que o subcontratante est\u00e1 sujeito.
(82)A fim de comprovar a observ\u00e2ncia do presente regulamento, o respons\u00e1vel pelo tratamento ou o subcontratante dever\u00e1 conservar registos de atividades de tratamento sob a sua responsabilidade. Os respons\u00e1veis pelo tratamento e subcontratantes dever\u00e3o ser obrigados a cooperar com a autoridade de controlo e a facultar-lhe esses registos, a pedido, para fiscaliza\u00e7\u00e3o dessas opera\u00e7\u00f5es de tratamento.
(83)A fim de preservar a seguran\u00e7a e evitar o tratamento em viola\u00e7\u00e3o do presente regulamento, o respons\u00e1vel pelo tratamento, ou o subcontratante, dever\u00e1 avaliar os riscos que o tratamento implica e aplicar medidas que os atenuem, como a cifragem. Essas medidas dever\u00e3o assegurar um n\u00edvel de seguran\u00e7a adequado, nomeadamente a confidencialidade, tendo em conta as t\u00e9cnicas mais avan\u00e7adas e os custos da sua aplica\u00e7\u00e3o em fun\u00e7\u00e3o dos riscos e da natureza dos dados pessoais a proteger. Ao avaliar os riscos para a seguran\u00e7a dos dados, dever\u00e3o ser tidos em conta os riscos apresentados pelo tratamento dos dados pessoais, tais como a destrui\u00e7\u00e3o, perda e altera\u00e7\u00e3o acidentais ou il\u00edcitas, e a divulga\u00e7\u00e3o ou o acesso n\u00e3o autorizados a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento, riscos esses que podem dar azo, em particular, a danos f\u00edsicos, materiais ou imateriais.
(84)A fim de promover o cumprimento do presente regulamento nos casos em que as opera\u00e7\u00f5es de tratamento de dados sejam suscet\u00edveis de resultar num elevado risco para os direitos e liberdades das pessoas singulares, o respons\u00e1vel pelo seu tratamento dever\u00e1 encarregar-se da realiza\u00e7\u00e3o de uma avalia\u00e7\u00e3o de impacto da prote\u00e7\u00e3o de dados para determina\u00e7\u00e3o, nomeadamente, da origem, natureza, particularidade e gravidade desse risco. Os resultados dessa avalia\u00e7\u00e3o dever\u00e3o ser tidos em conta na determina\u00e7\u00e3o das medidas que dever\u00e3o ser tomadas a fim de comprovar que o tratamento de dados pessoais est\u00e1 em conformidade com o presente regulamento. Sempre que a avalia\u00e7\u00e3o de impacto sobre a prote\u00e7\u00e3o de dados indicar que o tratamento apresenta um elevado risco que o respons\u00e1vel pelo tratamento n\u00e3o poder\u00e1 atenuar atrav\u00e9s de medidas adequadas, atendendo \u00e0 tecnologia dispon\u00edvel e aos custos de aplica\u00e7\u00e3o, ser\u00e1 necess\u00e1rio consultar a autoridade de controlo antes de se proceder ao tratamento de dados pessoais.
(85)Se n\u00e3o forem adotadas medidas adequadas e oportunas, a viola\u00e7\u00e3o de dados pessoais pode causar danos f\u00edsicos, materiais ou imateriais \u00e0s pessoas singulares, como a perda de controlo sobre os seus dados pessoais, a limita\u00e7\u00e3o dos seus direitos, a discrimina\u00e7\u00e3o, o roubo ou usurpa\u00e7\u00e3o da identidade, perdas financeiras, a invers\u00e3o n\u00e3o autorizada da pseudonimiza\u00e7\u00e3o, danos para a reputa\u00e7\u00e3o, a perda de confidencialidade de dados pessoais protegidos por sigilo profissional ou qualquer outra desvantagem econ\u00f3mica ou social significativa das pessoas singulares. Por conseguinte, logo que o respons\u00e1vel pelo tratamento tenha conhecimento de uma viola\u00e7\u00e3o de dados pessoais, dever\u00e1 notific\u00e1-la \u00e0 autoridade de controlo, sem demora injustificada e, sempre que poss\u00edvel, no prazo de 72 horas ap\u00f3s ter tido conhecimento do ocorrido,a menos que seja capaz de demonstrar em conformidade com o princ\u00edpio da responsabilidade, que esssa viola\u00e7\u00e3o n\u00e3o \u00e9 suscet\u00edvel de implicar um risco para os direitos e liberdades das pessoas singulares. Se n\u00e3o for poss\u00edvel efetuar essa notifica\u00e7\u00e3o no prazo de 72 horas, a notifica\u00e7\u00e3o dever\u00e1 ser acompanhada dos motivos do atraso, podendo as informa\u00e7\u00f5es ser fornecidas por fases sem demora injustificada.
(86)O respons\u00e1vel pelo tratamento dever\u00e1 informar, sem demora injustificada, o titular dos dados da viola\u00e7\u00e3o de dados pessoais quando for prov\u00e1vel que desta resulte um elevado risco para os direitos e liberdades da pessoa singular, a fim de lhe permitir tomar as precau\u00e7\u00f5es necess\u00e1rias. A comunica\u00e7\u00e3o dever\u00e1 descrever a natureza da viola\u00e7\u00e3o de dados pessoais e dirigir recomenda\u00e7\u00f5es \u00e0 pessoa singular em causa para atenuar potenciais efeitos adversos. Essa comunica\u00e7\u00e3o aos titulares dos dados dever\u00e1 ser efetuada logo que seja razoavelmente poss\u00edvel, em estreita coopera\u00e7\u00e3o com a autoridade de controlo e em cumprimento das orienta\u00e7\u00f5es fornecidas por esta ou por outras autoridades competentes, como as autoridades de pol\u00edcia. Por exemplo, a necessidade de atenuar um risco imediato de preju\u00edzo exigir\u00e1 uma pronta comunica\u00e7\u00e3o aos titulares dos dados, mas a necessidade de aplicar medidas adequadas contra viola\u00e7\u00f5es de dados pessoais recorrentes ou similares poder\u00e1 justificar um per\u00edodo mais alargado para a comunica\u00e7\u00e3o.
(87)H\u00e1 que verificar se foram aplicadas todas as medidas tecnol\u00f3gicas de prote\u00e7\u00e3o e de organiza\u00e7\u00e3o para apurar imediatamente a ocorr\u00eancia de uma viola\u00e7\u00e3o de dados pessoais e para informar rapidamente a autoridade de controlo e o titular. Para comprovar que a notifica\u00e7\u00e3o foi enviada sem demora injustificada importa ter em considera\u00e7\u00e3o, em especial, a natureza e a gravidade da viola\u00e7\u00e3o dos dados pessoais e as respetivas consequ\u00eancias e efeitos adversos para o titular dos dados. Essa notifica\u00e7\u00e3o poder\u00e1 resultar numa interven\u00e7\u00e3o da autoridade de controlo em conformidade com as suas fun\u00e7\u00f5es e compet\u00eancias, definidas pelo presente regulamento.
(88)Ao estabelecer regras pormenorizadas relativamente ao formato e aos procedimentos aplic\u00e1veis \u00e0 notifica\u00e7\u00e3o das viola\u00e7\u00f5es de dados pessoais, dever\u00e1 ter-se devidamente em conta as circunst\u00e2ncias dessa viola\u00e7\u00e3o, nomeadamente a exist\u00eancia ou n\u00e3o de prote\u00e7\u00e3o dos dados pessoais atrav\u00e9s de medidas t\u00e9cnicas de prote\u00e7\u00e3o adequadas para reduzir eficazmente a probabilidade de usurpa\u00e7\u00e3o da identidade ou outras formas de utiliza\u00e7\u00e3o abusiva. Al\u00e9m disso, tais regras e procedimentos dever\u00e3o ter em conta os leg\u00edtimos interesses das autoridades de pol\u00edcia nos casos em que a divulga\u00e7\u00e3o precoce de informa\u00e7\u00f5es possa dificultar desnecessariamente a investiga\u00e7\u00e3o das circunst\u00e2ncias da viola\u00e7\u00e3o de dados pessoais.
(89)A Diretiva 95\/46\/CE estabelece uma obriga\u00e7\u00e3o geral de notifica\u00e7\u00e3o do tratamento de dados pessoais \u00e0s autoridades de controlo. Al\u00e9m de esta obriga\u00e7\u00e3o originar encargos administrativos e financeiros, nem sempre contribuiu para a melhoria da prote\u00e7\u00e3o dos dados pessoais. Tais obriga\u00e7\u00f5es gerais e indiscriminadas de notifica\u00e7\u00e3o dever\u00e3o, por isso, ser suprimidas e substitu\u00eddas por regras e procedimentos eficazes mais centrados nos tipos de opera\u00e7\u00f5es de tratamento suscet\u00edveis de resultar num elevado risco para os direitos e liberdades das pessoas singulares, devido \u00e0 sua natureza, \u00e2mbito, contexto e finalidades. Os referidos tipos de opera\u00e7\u00f5es de tratamento poder\u00e3o, nomeadamente, envolver a utiliza\u00e7\u00e3o de novas tecnologias, ou pertencer a um novo tipo e n\u00e3o ter sido antecedidas por uma avalia\u00e7\u00e3o de impacto sobre a prote\u00e7\u00e3o de dados por parte do respons\u00e1vel pelo tratamento, ou ser consideradas necess\u00e1rias \u00e0 luz do per\u00edodo decorrido desde o tratamento inicial respons\u00e1vel pelo tratamento.
(90)Nesses casos, o respons\u00e1vel pelo tratamento dever\u00e1 proceder, antes do tratamento, a uma avalia\u00e7\u00e3o do impacto sobre a prote\u00e7\u00e3o de dados, a fim de avaliar a probabilidade ou gravidade particulares do elevado risco, tendo em conta a natureza, o \u00e2mbito, o contexto e as finalidades do tratamento e as fontes do risco. Essa avalia\u00e7\u00e3o do impacto dever\u00e1 incluir, nomeadamente, as medidas, garantias e procedimentos previstos para atenuar esse risco, assegurar a prote\u00e7\u00e3o dos dados pessoais e comprovar a observ\u00e2ncia do presente regulamento.
(91)Tal dever\u00e1 aplicar-se, nomeadamente, \u00e0s opera\u00e7\u00f5es de tratamento de grande escala que visem o tratamento de uma grande quantidade de dados pessoais a n\u00edvel regional, nacional ou supranacional, possam afetar um n\u00famero consider\u00e1vel de titulares de dados e sejam suscet\u00edveis de implicar um elevado risco, por exemplo, em raz\u00e3o da sua sensibilidade, nas quais, em conformidade com o n\u00edvel de conhecimentos tecnol\u00f3gicos alcan\u00e7ado, seja utilizada em grande escala uma nova tecnologia, bem como a outras opera\u00e7\u00f5es de tratamento que impliquem um elevado risco para os direitos e liberdades dos titulares dos dados, em especial quando tais opera\u00e7\u00f5es dificultem aos titulares o exerc\u00edcio dos seus direitos. Dever-se-\u00e1 realizar tamb\u00e9m uma avalia\u00e7\u00e3o de impacto sobre a prote\u00e7\u00e3o de dados nos casos em que os dados pessoais s\u00e3o tratados para tomar decis\u00f5es relativas a determinadas pessoas singulares na sequ\u00eancia de qualquer avalia\u00e7\u00e3o sistem\u00e1tica e completa dos aspetos pessoais relacionados com pessoas singulares baseada na defini\u00e7\u00e3o dos perfis desses dados ou na sequ\u00eancia do tratamento de categorias especiais de dados pessoais, de dados biom\u00e9tricos ou de dados sobre condena\u00e7\u00f5es penais e infra\u00e7\u00f5es ou medidas de seguran\u00e7a conexas. \u00c9 igualmente exigida uma avalia\u00e7\u00e3o do impacto sobre a prote\u00e7\u00e3o de dados para o controlo de zonas acess\u00edveis ao p\u00fablico em grande escala, nomeadamente se forem utilizados mecanismos optoeletr\u00f3nicos, ou para quaisquer outras opera\u00e7\u00f5es quando a autoridade de controlo competente considere que o tratamento \u00e9 suscet\u00edvel de implicar um elevado risco para os direitos e liberdades dos titulares dos direitos, em especial por impedirem estes \u00faltimos de exercer um direito ou de utilizar um servi\u00e7o ou um contrato, ou por serem realizadas sistematicamente em grande escala. O tratamento de dados pessoais n\u00e3o dever\u00e1 ser considerado de grande escala se disser respeito aos dados pessoais de pacientes ou clientes de um determinado m\u00e9dico, profissional de cuidados de sa\u00fade, hospital ou advogado. Nesses casos, a realiza\u00e7\u00e3o de uma avalia\u00e7\u00e3o de impacto sobre a prote\u00e7\u00e3o de dados n\u00e3o dever\u00e1 ser obrigat\u00f3ria.
(92)Em certas circunst\u00e2ncias pode ser razo\u00e1vel e econ\u00f3mico alargar a avalia\u00e7\u00e3o de impacto sobre a prote\u00e7\u00e3o de dados para al\u00e9m de um projeto \u00fanico, por exemplo se as autoridades ou organismos p\u00fablicos pretenderem criar uma aplica\u00e7\u00e3o ou uma plataforma de tratamento comum, ou se v\u00e1rios respons\u00e1veis pelo tratamento planearem criar uma aplica\u00e7\u00e3o ou um ambiente de tratamento comum em todo um setor ou segmento profissional, ou uma atividade horizontal amplamente utilizada.
(93)No contexto da ado\u00e7\u00e3o da legisla\u00e7\u00e3o dos Estados-Membros que regula a prossecu\u00e7\u00e3o das atribui\u00e7\u00f5es da autoridade ou do organismo p\u00fablico, bem como a opera\u00e7\u00e3o ou o conjunto de opera\u00e7\u00f5es em quest\u00e3o, os Estados-Membros podem considerar necess\u00e1rio proceder \u00e0 avalia\u00e7\u00e3o antes de iniciar as atividades de tratamento.
(94)Sempre que uma avalia\u00e7\u00e3o de impacto relativa \u00e0 prote\u00e7\u00e3o de dados indicar que o tratamento, na falta de garantias e de medidas e procedimentos de seguran\u00e7a para atenuar os riscos, implica um elevado risco para os direitos e liberdades das pessoas singulares e o respons\u00e1vel pelo tratamento considerar que o risco n\u00e3o poder\u00e1 ser atenuado atrav\u00e9s de medidas razo\u00e1veis, atendendo \u00e0 tecnologia dispon\u00edvel e aos custos de aplica\u00e7\u00e3o, a autoridade de controlo dever\u00e1 ser consultada antes de as atividades de tratamento terem in\u00edcio. Provavelmente, esse elevado risco decorre de determinados tipos de tratamento e da extens\u00e3o e frequ\u00eancia do tratamento, que podem originar igualmente danos ou interferir com os direitos e liberdades da pessoa singular. A autoridade de controlo dever\u00e1 responder ao pedido de consulta dentro de um determinado prazo. Contudo, a aus\u00eancia de rea\u00e7\u00e3o da autoridade de controlo no decorrer desse prazo n\u00e3o prejudicar\u00e1 qualquer interven\u00e7\u00e3o que esta autoridade venha a fazer em conformidade com as suas fun\u00e7\u00f5es e compet\u00eancias, definidas pelo presente regulamento, incluindo a compet\u00eancia para proibir certas opera\u00e7\u00f5es de tratamento. No \u00e2mbito desse processo de consulta, o resultado de uma avalia\u00e7\u00e3o do impacto sobre a prote\u00e7\u00e3o de dados efetuada relativamente ao tratamento em quest\u00e3o pode ser apresentado \u00e0 autoridade de controlo, em especial as medidas previstas para atenuar o risco para os direitos e liberdades das pessoas singulares.
(95)O subcontratante dever\u00e1 prestar assist\u00eancia ao respons\u00e1vel pelo tratamento, se necess\u00e1rio e a pedido deste, para assegurar o cumprimento das obriga\u00e7\u00f5es decorrentes da realiza\u00e7\u00e3o de avalia\u00e7\u00f5es do impacto sobre a prote\u00e7\u00e3o de dados e da consulta pr\u00e9via \u00e0 autoridade de controlo.
(96)Dever\u00e1 ter tamb\u00e9m lugar uma consulta \u00e0 autoridade de controlo durante os trabalhos de elabora\u00e7\u00e3o de uma medida legislativa ou regulamentar que preveja o tratamento de dados pessoais, de modo a assegurar a conformidade do tratamento pretendido com o presente regulamento e, em particular, a atenuar o respetivo risco para o titular dos dados.
(97)Sempre que o tratamento dos dados for efetuado por uma autoridade p\u00fablica, com exce\u00e7\u00e3o dos tribunais ou de autoridades judiciais independentes no exerc\u00edcio da sua fun\u00e7\u00e3o jurisdicional, sempre que, no setor privado, for efetuado por um respons\u00e1vel pelo tratamento cujas atividades principais consistam em opera\u00e7\u00f5es de tratamento que exijam o controlo regular e sistem\u00e1tico do titular dos dados em grande escala, ou sempre que as atividades principais do respons\u00e1vel pelo tratamento ou do subcontratante consistam em opera\u00e7\u00f5es de tratamento em grande escala de categorias especiais de dados pessoais e de dados relacionados com condena\u00e7\u00f5es penais e infra\u00e7\u00f5es, o respons\u00e1vel pelo tratamento destes ou o subcontratante pode ser assistido por um especialista em legisla\u00e7\u00e3o e pr\u00e1tica de prote\u00e7\u00e3o dados no controlo do cumprimento do presente regulamento a n\u00edvel interno. No setor privado, as atividades principais do respons\u00e1vel pelo tratamento dizem respeito \u00e0s suas atividades prim\u00e1rias e n\u00e3o est\u00e3o relacionadas com o tratamento de dados pessoais como atividade auxiliar. O n\u00edvel necess\u00e1rio de conhecimentos especializados dever\u00e1 ser determinado, em particular, em fun\u00e7\u00e3o do tratamento de dados realizado e da prote\u00e7\u00e3o exigida para os dados pessoais tratados pelo respons\u00e1vel pelo seu tratamento ou pelo subcontratante. Estes encarregados da prote\u00e7\u00e3o de dados, sejam ou n\u00e3o empregados do respons\u00e1vel pelo tratamento, dever\u00e3o estar em condi\u00e7\u00f5es de desempenhar as suas fun\u00e7\u00f5es e atribui\u00e7\u00f5es com independ\u00eancia.
(98)As associa\u00e7\u00f5es ou outras entidades que representem categorias de respons\u00e1veis pelo tratamento ou de subcontratantes dever\u00e3o ser incentivadas a elaborar c\u00f3digos de conduta, no respeito do presente regulamento, com vista a facilitar a sua aplica\u00e7\u00e3o efetiva, tendo em conta as caracter\u00edsticas espec\u00edficas do tratamento efetuado em determinados setores e as necessidades espec\u00edficas das micro, pequenas e m\u00e9dias empresas. Esses c\u00f3digos de conduta poder\u00e3o nomeadamente regular as obriga\u00e7\u00f5es dos respons\u00e1veis pelo tratamento e dos subcontratantes, tendo em conta o risco que poder\u00e1 resultar do tratamento dos dados no que diz respeito aos direitos e \u00e0s liberdades das pessoas singulares.
(99)Durante o processo de elabora\u00e7\u00e3o de um c\u00f3digo de conduta, ou na sua altera\u00e7\u00e3o ou aditamento, as associa\u00e7\u00f5es e outros organismos representantes de categorias de respons\u00e1veis pelo tratamento ou de subcontratantes dever\u00e3o consultar as partes interessadas, nomeadamente os titulares dos dados, se poss\u00edvel, e ter em conta os contributos recebidos e as opini\u00f5es expressas em resposta a essas consultas.
(100)A fim de refor\u00e7ar a transpar\u00eancia e o cumprimento do presente regulamento, dever\u00e1 ser encorajada a cria\u00e7\u00e3o de procedimentos de certifica\u00e7\u00e3o e selos e marcas de prote\u00e7\u00e3o de dados, que permitam aos titulares avaliar rapidamente o n\u00edvel de prote\u00e7\u00e3o de dados proporcionado pelos produtos e servi\u00e7os em causa.
(101)A circula\u00e7\u00e3o de dados pessoais, com origem e destino quer a pa\u00edses n\u00e3o pertencentes \u00e0 Uni\u00e3o quer a organiza\u00e7\u00f5es internacionais, \u00e9 necess\u00e1ria ao desenvolvimento do com\u00e9rcio e da coopera\u00e7\u00e3o internacionais. O aumento dessa circula\u00e7\u00e3o criou novos desafios e novas preocupa\u00e7\u00f5es em rela\u00e7\u00e3o \u00e0 prote\u00e7\u00e3o dos dados pessoais. Todavia, quando os dados pessoais s\u00e3o transferidos da Uni\u00e3o para respons\u00e1veis pelo tratamento, para subcontratantes ou para outros destinat\u00e1rios em pa\u00edses terceiros ou para organiza\u00e7\u00f5es internacionais, o n\u00edvel de prote\u00e7\u00e3o das pessoas singulares assegurado na Uni\u00e3o pelo presente regulamento dever\u00e1 continuar a ser garantido, inclusive nos casos de posterior transfer\u00eancia de dados pessoais do pa\u00eds terceiro ou da organiza\u00e7\u00e3o internacional em causa para respons\u00e1veis pelo tratamento, subcontratantes desse pa\u00eds terceiro ou de outro, ou para uma organiza\u00e7\u00e3o internacional. Em todo o caso, as transfer\u00eancias para pa\u00edses terceiros e organiza\u00e7\u00f5es internacionais s\u00f3 podem ser efetuadas no pleno respeito pelo presente regulamento. S\u00f3 poder\u00e3o ser realizadas transfer\u00eancias se, sob reserva das demais disposi\u00e7\u00f5es do presente regulamento, as condi\u00e7\u00f5es constantes das disposi\u00e7\u00f5es do presente regulamento relativas a transfer\u00eancias de dados pessoais para pa\u00edses terceiros e organiza\u00e7\u00f5es internacionais forem cumpridas pelo respons\u00e1vel pelo tratamento ou subcontratante.
(102)O presente regulamento n\u00e3o prejudica os acordos internacionais celebrados entre a Uni\u00e3o Europeia e pa\u00edses terceiros que regulem a transfer\u00eancia de dados pessoais, incluindo as garantias adequadas em benef\u00edcio dos titulares dos dados. Os Estados-Membros poder\u00e3o celebrar acordos internacionais que impliquem a transfer\u00eancia de dados pessoais para pa\u00edses terceiros ou organiza\u00e7\u00f5es internacionais, desde que tais acordos n\u00e3o afetem o presente regulamento ou quaisquer outras disposi\u00e7\u00f5es do direito da Uni\u00e3o e prevejam um n\u00edvel adequado de prote\u00e7\u00e3o dos direitos fundamentais dos titulares dos dados.
(103)A Comiss\u00e3o pode decidir, com efeitos no conjunto da Uni\u00e3o, que um pa\u00eds terceiro, um territ\u00f3rio ou um setor determinado de um pa\u00eds terceiro, ou uma organiza\u00e7\u00e3o internacional, oferece um n\u00edvel adequado de prote\u00e7\u00e3o de dados adequado, garantindo assim a seguran\u00e7a jur\u00eddica e a uniformidade ao n\u00edvel da Uni\u00e3o relativamente ao pa\u00eds terceiro ou \u00e0 organiza\u00e7\u00e3o internacional que seja considerado apto a assegurar tal n\u00edvel de prote\u00e7\u00e3o. Nestes casos, podem realizar-se transfer\u00eancias de dados pessoais para esse pa\u00eds ou organiza\u00e7\u00e3o internacional sem que para tal seja necess\u00e1ria mais nenhuma autoriza\u00e7\u00e3o. A Comiss\u00e3o pode igualmente decidir, ap\u00f3s enviar ao pa\u00eds terceiro ou organiza\u00e7\u00e3o internacional uma notifica\u00e7\u00e3o e uma declara\u00e7\u00e3o completa dos motivos, revogar essa decis\u00e3o.
(104)Em conformidade com os valores fundamentais em que a Uni\u00e3o assenta, particularmente a defesa dos direitos humanos, a Comiss\u00e3o dever\u00e1, na sua avalia\u00e7\u00e3o do pa\u00eds terceiro ou de um territ\u00f3rio ou setor espec\u00edfico de um pa\u00eds terceiro, ter em considera\u00e7\u00e3o em que medida esse pa\u00eds respeita o primado do Estado de direito, o acesso \u00e0 justi\u00e7a e as regras e normas internacionais no dom\u00ednio dos direitos humanos e a sua legisla\u00e7\u00e3o geral e setorial, nomeadamente a legisla\u00e7\u00e3o relativa \u00e0 seguran\u00e7a p\u00fablica, \u00e0 defesa e \u00e0 seguran\u00e7a nacional, bem como a lei da ordem p\u00fablica e a lei penal. A ado\u00e7\u00e3o de uma decis\u00e3o de adequa\u00e7\u00e3o relativamente a um territ\u00f3rio ou um setor espec\u00edfico num pa\u00eds terceiro dever\u00e1 ter em conta crit\u00e9rios claros e objetivos, tais como as atividades de tratamento espec\u00edficas e o \u00e2mbito das normas jur\u00eddicas aplic\u00e1veis, bem como a legisla\u00e7\u00e3o em vigor no pa\u00eds terceiro. Este dever\u00e1 dar garantias para assegurar um n\u00edvel adequado de prote\u00e7\u00e3o essencialmente equivalente ao assegurado na Uni\u00e3o, nomeadamente quando os dados pessoais s\u00e3o tratados num ou mais setores espec\u00edficos. Em especial, o pa\u00eds terceiro dever\u00e1 garantir o controlo efetivo e independente da prote\u00e7\u00e3o dos dados e estabelecer regras de coopera\u00e7\u00e3o com as autoridades de prote\u00e7\u00e3o de dados dos Estados-Membros, e ainda conferir aos titulares dos dados direitos efetivos e opon\u00edveis e vias efetivas de recurso administrativo e judicial.
(105)Al\u00e9m dos compromissos internacionais assumidos pelo pa\u00eds terceiro ou pela organiza\u00e7\u00e3o internacional, a Comiss\u00e3o dever\u00e1 ter em conta as obriga\u00e7\u00f5es decorrentes da participa\u00e7\u00e3o do pa\u00eds terceiro ou da organiza\u00e7\u00e3o internacional nos sistemas multilaterais ou regionais, em especial no que diz respeito \u00e0 prote\u00e7\u00e3o dos dados pessoais, bem como o cumprimento de tais obriga\u00e7\u00f5es. Em especial, h\u00e1 que ter em conta a ades\u00e3o do pa\u00eds terceiro em causa \u00e0 Conven\u00e7\u00e3o do Conselho da Europa para a Prote\u00e7\u00e3o das Pessoas relativamente ao Tratamento Automatizado de Dados de Car\u00e1ter Pessoal, de 28 de janeiro de 1981, e ao seu Protocolo Adicional. A Comiss\u00e3o dever\u00e1 consultar o Comit\u00e9 quando avaliar o n\u00edvel de prote\u00e7\u00e3o nos pa\u00edses terceiros ou organiza\u00e7\u00f5es internacionais.
(106)A Comiss\u00e3o dever\u00e1 controlar a efic\u00e1cia das decis\u00f5es sobre o n\u00edvel de prote\u00e7\u00e3o assegurado num pa\u00eds terceiro, num territ\u00f3rio ou num setor espec\u00edfico de um pa\u00eds terceiro, ou numa organiza\u00e7\u00e3o internacional, e acompanhar a efic\u00e1cia das decis\u00f5es adotadas com base no artigo 25.\u00ba, n.\u00ba 6, ou no artigo 26.\u00ba, n.\u00ba 4, da Diretiva 95\/46\/CE. Nas suas decis\u00f5es de adequa\u00e7\u00e3o, a Comiss\u00e3o dever\u00e1 prever um procedimento de avalia\u00e7\u00e3o peri\u00f3dica da aplica\u00e7\u00e3o destas. Essa revis\u00e3o peri\u00f3dica dever\u00e1 ser feita em consulta com o pa\u00eds terceiro ou a organiza\u00e7\u00e3o internacional em quest\u00e3o e ter em conta todos os desenvolvimentos pertinentes verificados no pa\u00eds terceiro ou organiza\u00e7\u00e3o internacional. Para efeitos de controlo e de realiza\u00e7\u00e3o das revis\u00f5es peri\u00f3dicas, a Comiss\u00e3o dever\u00e1 ter em considera\u00e7\u00e3o os pontos de vista e as conclus\u00f5es a que tenham chegado o Parlamento Europeu e o Conselho, bem como outros organismos e fontes pertinentes. A Comiss\u00e3o dever\u00e1 avaliar, num prazo razo\u00e1vel, a efic\u00e1cia destas \u00faltimas decis\u00f5es e comunicar quaisquer resultados pertinentes ao comit\u00e9 na ace\u00e7\u00e3o do Regulamento (UE) n.\u00ba 182\/2011 do Parlamento Europeu e do Conselho (12), tal como estabelecido no presente regulamento, ao Parlamento Europeu e ao Conselho.
(107)A Comiss\u00e3o pode reconhecer que um pa\u00eds terceiro, um territ\u00f3rio ou um setor espec\u00edfico de um pa\u00eds terceiro, ou uma organiza\u00e7\u00e3o internacional, deixou de assegurar um n\u00edvel adequado de prote\u00e7\u00e3o de dados. Por conseguinte, dever\u00e1 ser proibida a transfer\u00eancia de dados pessoais para esse pa\u00eds terceiro ou organiza\u00e7\u00e3o internacional, a menos que sejam cumpridos os requisitos constantes do presente regulamento relativos a transfer\u00eancias sujeitas a garantias adequadas, incluindo regras vinculativas aplic\u00e1veis \u00e0s empresas, e derroga\u00e7\u00f5es para situa\u00e7\u00f5es espec\u00edficas. Nesse caso, dever\u00e3o ser tomadas medidas que visem uma consulta entre a Comiss\u00e3o e esse pa\u00eds terceiro ou organiza\u00e7\u00e3o internacional. A Comiss\u00e3o dever\u00e1, em tempo \u00fatil, informar o pa\u00eds terceiro ou a organiza\u00e7\u00e3o internacional das raz\u00f5es da proibi\u00e7\u00e3o e iniciar consultas com o pa\u00eds ou organiza\u00e7\u00e3o em causa, a fim de corrigir a situa\u00e7\u00e3o.
(108)Na falta de uma decis\u00e3o sobre o n\u00edvel de prote\u00e7\u00e3o adequado, o respons\u00e1vel pelo tratamento ou o subcontratante dever\u00e1 adotar as medidas necess\u00e1rias para colmatar a insufici\u00eancia da prote\u00e7\u00e3o de dados no pa\u00eds terceiro dando para tal garantias adequadas ao titular dos dados. Tais garantias adequadas podem consistir no recurso a regras vinculativas aplic\u00e1veis \u00e0s empresas, cl\u00e1usulas-tipo de prote\u00e7\u00e3o de dados adotadas pela Comiss\u00e3o, cl\u00e1usulas-tipo de prote\u00e7\u00e3o de dados adotadas por uma autoridade de controlo, ou cl\u00e1usulas contratuais autorizadas por esta autoridade. Essas medidas dever\u00e3o assegurar o cumprimento dos requisitos relativos \u00e0 prote\u00e7\u00e3o de dados e o respeito pelos direitos dos titulares dos dados adequados ao tratamento no territ\u00f3rio da Uni\u00e3o, incluindo a exist\u00eancia de direitos do titular de dados e de medidas jur\u00eddicas corretivas eficazes, nomeadamente o direito de recurso administrativo ou judicial e de exigir indemniza\u00e7\u00e3o, quer no territ\u00f3rio da Uni\u00e3o quer num pa\u00eds terceiro. Dever\u00e3o estar relacionadas, em especial, com o respeito pelos princ\u00edpios gerais relativos ao tratamento de dados pessoais e pelos princ\u00edpios de prote\u00e7\u00e3o de dados desde a conce\u00e7\u00e3o e por defeito. Tamb\u00e9m podem ser efetuadas transfer\u00eancias por autoridades ou organismos p\u00fablicos para autoridades ou organismos p\u00fablicos em pa\u00edses terceiros ou para organiza\u00e7\u00f5es internacionais que tenham deveres e fun\u00e7\u00f5es correspondentes, nomeadamente com base em disposi\u00e7\u00f5es a inserir no regime administrativo, como seja um memorando de entendimento, que prevejam a exist\u00eancia de direitos efetivos e opon\u00edveis dos titulares dos dados. Dever\u00e1 ser obtida a autoriza\u00e7\u00e3o da autoridade de controlo competente quando as garantias previstas em regimes administrativos n\u00e3o forem juridicamente vinculativas.
(109)A possibilidade de o respons\u00e1vel pelo tratamento ou o subcontratante utilizarem cl\u00e1usulas-tipo de prote\u00e7\u00e3o de dados adotadas pela Comiss\u00e3o ou por uma autoridade de controlo n\u00e3o os dever\u00e1 impedir de inclu\u00edrem estas cl\u00e1usulas num contrato mais abrangente, como um contrato entre o subcontratante e outro subcontratante, nem de acrescentarem outras cl\u00e1usulas ou garantias adicionais desde que n\u00e3o entrem, direta ou indiretamente, em contradi\u00e7\u00e3o com as cl\u00e1usulas contratuais-tipo adotadas pela Comiss\u00e3o ou por uma autoridade de controlo, e sem preju\u00edzo dos direitos ou liberdades fundamentais dos titulares dos dados. Os respons\u00e1veis pelo tratamento e os subcontratantes dever\u00e3o ser encorajados a apresentar garantias suplementares atrav\u00e9s de compromissos contratuais que complementem as cl\u00e1usulas-tipo de prote\u00e7\u00e3o.
(110)Os grupos empresariais ou os grupos de empresas envolvidas numa atividade econ\u00f3mica conjunta dever\u00e3o poder utilizar as regras vinculativas aplic\u00e1veis \u00e0s empresas aprovadas para as suas transfer\u00eancias internacionais da Uni\u00e3o para entidades pertencentes ao mesmo grupo empresarial ou grupo de empresas envolvidas numa atividade econ\u00f3mica conjunta, desde que essas regras incluam todos os princ\u00edpios essenciais e direitos opon\u00edveis que visem assegurar garantias adequadas \u00e0s transfer\u00eancias ou categorias de transfer\u00eancias de dados pessoais.
(111)Dever\u00e1 prever-se a possibilidade de efetuar transfer\u00eancias em determinadas circunst\u00e2ncias em que o titular dos dados d\u00ea o seu consentimento expl\u00edcito, em que a transfer\u00eancia seja ocasional e necess\u00e1ria em rela\u00e7\u00e3o a um contrato ou a um contencioso judicial, independentemente de se tratar de um processo judicial, de um processo administrativo ou de um qualquer procedimento n\u00e3o judicial, incluindo procedimentos junto de organismos de regula\u00e7\u00e3o. Dever\u00e1 tamb\u00e9m estar prevista a possibilidade de efetuar transfer\u00eancias no caso de motivos importantes de interesse p\u00fablico previstos pelo direito da Uni\u00e3o ou de um Estado-Membro o exigirem, ou se a transfer\u00eancia for efetuada a partir de um registo criado por lei e destinado \u00e0 consulta por parte do p\u00fablico ou de pessoas com um interesse leg\u00edtimo. Neste \u00faltimo caso, a transfer\u00eancia n\u00e3o dever\u00e1 abranger a totalidade dos dados nem categorias completas de dados pessoais contidos nesse registo e, quando este \u00faltimo se destinar a ser consultado por pessoas com um interesse leg\u00edtimo, a transfer\u00eancia apenas dever\u00e1 ser efetuada a pedido dessas pessoas ou, caso sejam os seus destinat\u00e1rios, tendo plenamente em conta os interesses e os direitos fundamentais do titular dos dados.
(112)Essas derroga\u00e7\u00f5es dever\u00e3o ser aplic\u00e1veis, em especial, \u00e0s transfer\u00eancias de dados exigidas e necess\u00e1rias por raz\u00f5es importantes de interesse p\u00fablico, por exemplo em caso de interc\u00e2mbio internacional de dados entre autoridades de concorr\u00eancia, administra\u00e7\u00f5es fiscais ou aduaneiras, entre autoridades de supervis\u00e3o financeira, entre servi\u00e7os competentes em mat\u00e9ria de seguran\u00e7a social ou de sa\u00fade p\u00fablica, por exemplo em caso de localiza\u00e7\u00e3o de contactos no que respeita a doen\u00e7as contagiosas ou para reduzir e\/ou eliminar a dopagem no desporto. Dever\u00e1 igualmente ser considerada legal uma transfer\u00eancia de dados pessoais que seja necess\u00e1ria para a prote\u00e7\u00e3o de um interesse essencial para os interesses vitais do titular dos dados ou de outra pessoa, nomeadamente a integridade f\u00edsica ou a vida, se o titular dos dados estiver impossibilitado de dar o seu consentimento. Na falta de uma decis\u00e3o de adequa\u00e7\u00e3o, o direito da Uni\u00e3o ou de um Estado-Membro pode, por raz\u00f5es importantes de interesse p\u00fablico, estabelecer expressamente limites \u00e0 transfer\u00eancia de categorias espec\u00edficas de dados para pa\u00edses terceiros ou organiza\u00e7\u00f5es internacionais. Os Estados-Membros dever\u00e3o notificar essas decis\u00f5es nacionais \u00e0 Comiss\u00e3o. As transfer\u00eancias, para uma organiza\u00e7\u00e3o humanit\u00e1ria internacional, de dados pessoais de um titular que seja f\u00edsica ou legalmente incapaz de dar o seu consentimento, com vista ao desempenho de miss\u00f5es, ao abrigo das Conven\u00e7\u00f5es de Genebra ou para cumprir o direito internacional humanit\u00e1rio aplic\u00e1vel aos conflitos armados, poder\u00e3o ser consideradas necess\u00e1rias por uma raz\u00e3o importante de interesse p\u00fablico ou por ser do interesse vital do titular dos dados.
(113)As transfer\u00eancias que possam ser classificadas como n\u00e3o repetitivas e que apenas digam respeito a um n\u00famero limitado de titulares de dados podem igualmente ser admitidas para efeitos dos interesses leg\u00edtimos imperiosos visados pelo respons\u00e1vel pelo tratamento, desde que a tais interesses n\u00e3o se sobreponham os interesses ou os direitos e liberdades do titular dos dados e desde que o respons\u00e1vel pelo tratamento destes tenha avaliado todas as circunst\u00e2ncias associadas \u00e0 opera\u00e7\u00e3o de transfer\u00eancia. O respons\u00e1vel pelo tratamento dever\u00e1 atender especialmente \u00e0 natureza dos dados pessoais, \u00e0 finalidade e \u00e0 dura\u00e7\u00e3o da opera\u00e7\u00e3o ou opera\u00e7\u00f5es de tratamento previstas, bem como \u00e0 situa\u00e7\u00e3o vigente no pa\u00eds de origem, no pa\u00eds terceiro e no pa\u00eds de destino final, e dever\u00e1 apresentar as garantias adequadas para defender os direitos e liberdades fundamentais das pessoas singulares relativamente ao tratamento dos seus dados pessoais. Tais transfer\u00eancias s\u00f3 dever\u00e3o ser poss\u00edveis em raros casos em que n\u00e3o se aplique nenhum dos outros motivos de transfer\u00eancia. Para fins de investiga\u00e7\u00e3o cient\u00edfica ou hist\u00f3rica ou fins estat\u00edsticos, dever\u00e3o ser tidas em considera\u00e7\u00e3o as expectativas leg\u00edtimas da sociedade em mat\u00e9ria de avan\u00e7o do conhecimento. O respons\u00e1vel pelo tratamento dever\u00e1 informar da transfer\u00eancia a autoridade de controlo e o titular dos dados.
(114)Em qualquer caso, se a Comiss\u00e3o n\u00e3o tiver tomado nenhuma decis\u00e3o relativamente ao n\u00edvel de prote\u00e7\u00e3o adequado de dados num determinado pa\u00eds terceiro, o respons\u00e1vel pelo tratamento ou o subcontratante dever\u00e1 adotar solu\u00e7\u00f5es que confiram aos titulares dos dados direitos efetivos e opon\u00edveis quanto ao tratamento dos seus dados na Uni\u00e3o, ap\u00f3s a transfer\u00eancia dos mesmos, e lhes garantam que continuar\u00e3o a beneficiar dos direitos e garantias fundamentais.
(115)Alguns pa\u00edses terceiros aprovam leis, regulamentos e outros atos normativos destinados a regular diretamente as atividades de tratamento pelas pessoas singulares e coletivas sob a jurisdi\u00e7\u00e3o dos Estados-Membros. Pode ser o caso de senten\u00e7as de \u00f3rg\u00e3os jurisdicionais ou de decis\u00f5es de autoridades administrativas de pa\u00edses terceiros que exijam que o respons\u00e1vel pelo tratamento ou subcontratante transfira ou divulgue dados pessoais sem fundamento em nenhum acordo internacional, como seja um acordo de assist\u00eancia judici\u00e1ria m\u00fatua, em vigor entre o pa\u00eds terceiro em causa e a Uni\u00e3o ou um dos Estados-Membros. Em virtude da sua aplicabilidade extraterritorial, essas leis, regulamentos e outros atos normativos podem violar o direito internacional e obstar \u00e0 realiza\u00e7\u00e3o do objetivo de prote\u00e7\u00e3o das pessoas singulares, assegurado na Uni\u00e3o Europeia pelo presente regulamento. As transfer\u00eancias s\u00f3 dever\u00e3o ser autorizadas quando estejam preenchidas as condi\u00e7\u00f5es estabelecidas pelo presente regulamento para as transfer\u00eancias para os pa\u00edses terceiros. Pode ser esse o caso, nomeadamente, sempre que a divulga\u00e7\u00e3o for necess\u00e1ria por um motivo importante de interesse p\u00fablico, reconhecido pelo direito da Uni\u00e3o ou dos Estados-Membros ao qual o respons\u00e1vel pelo tratamento est\u00e1 sujeito.
(116)Sempre que dados pessoais atravessarem fronteiras fora do territ\u00f3rio da Uni\u00e3o, aumenta o risco de que as pessoas singulares n\u00e3o possam exercer os seus direitos \u00e0 prote\u00e7\u00e3o de dados, nomeadamente para se protegerem da utiliza\u00e7\u00e3o ilegal ou da divulga\u00e7\u00e3o dessas informa\u00e7\u00f5es. Paralelamente, as autoridades de controlo podem ser incapazes de dar seguimento a reclama\u00e7\u00f5es ou conduzir investiga\u00e7\u00f5es relacionadas com atividades exercidas fora das suas fronteiras. Os seus esfor\u00e7os para colaborar no contexto transfronteiras podem ser tamb\u00e9m restringidos por poderes preventivos ou medidas de repara\u00e7\u00e3o insuficientes, regimes jur\u00eddicos incoerentes e obst\u00e1culos pr\u00e1ticos, tais como a limita\u00e7\u00e3o de recursos. Por conseguinte, revela-se necess\u00e1rio promover uma coopera\u00e7\u00e3o mais estreita entre as autoridades de controlo da prote\u00e7\u00e3o de dados, a fim de que possam efetuar o interc\u00e2mbio de informa\u00e7\u00f5es e realizar investiga\u00e7\u00f5es com as suas hom\u00f3logas internacionais. Para efeitos de cria\u00e7\u00e3o de regras de coopera\u00e7\u00e3o internacional que facilitem e proporcionem assist\u00eancia m\u00fatua internacional para a aplica\u00e7\u00e3o da legisla\u00e7\u00e3o de prote\u00e7\u00e3o de dados pessoais, a Comiss\u00e3o e as autoridades de controlo dever\u00e3o trocar informa\u00e7\u00f5es e colaborar com as autoridades competentes de pa\u00edses terceiros em atividades relacionadas com o exerc\u00edcio dos seus poderes, com base na reciprocidade e em conformidade com o presente regulamento.
(117)A cria\u00e7\u00e3o de autoridades de controlo nos Estados-Membros, habilitadas a desempenhar as suas fun\u00e7\u00f5es e a exercer os seus poderes com total independ\u00eancia, constitui um elemento essencial da prote\u00e7\u00e3o das pessoas singulares no que respeita ao tratamento dos seus dados pessoais. Os Estados-Membros dever\u00e3o poder criar mais do que uma autoridade de controlo, de modo a refletir a sua estrutura constitucional, organizacional e administrativa.
(118)A independ\u00eancia das autoridades de controlo n\u00e3o dever\u00e1 implicar que estas autoridades n\u00e3o possam ser sujeitas a procedimentos de controlo ou monitoriza\u00e7\u00e3o no que diz respeito \u00e0s suas despesas nem a fiscaliza\u00e7\u00e3o judicial.
(119)Os Estados-Membros que criem v\u00e1rias autoridades de controlo dever\u00e3o prever na sua legisla\u00e7\u00e3o procedimentos que garantam a participa\u00e7\u00e3o efetiva dessas mesmas autoridades no procedimento de controlo da coer\u00eancia. Esses Estados-Membros dever\u00e3o, em particular, designar a autoridade de controlo que servir\u00e1 de ponto de contacto \u00fanico, para permitir a participa\u00e7\u00e3o efetiva dessas autoridades no referido procedimentoo, a fim de assegurar uma coopera\u00e7\u00e3o r\u00e1pida e f\u00e1cil com outras autoridades de controlo, com o Comit\u00e9 e com a Comiss\u00e3o.
(120)Dever\u00e3o ser dados \u00e0s autoridades de controlo os recursos financeiros e humanos, as instala\u00e7\u00f5es e as infraestruturas necess\u00e1rias ao desempenho eficaz das suas atribui\u00e7\u00f5es, incluindo as relacionadas com a assist\u00eancia e a coopera\u00e7\u00e3o m\u00fatuas com outras autoridades de controlo da Uni\u00e3o. As autoridades de controlo dever\u00e3o ter or\u00e7amentos anuais p\u00fablicos separados, que poder\u00e3o estar integrados no or\u00e7amento geral do Estado ou nacional.
(121)As condi\u00e7\u00f5es gerais aplic\u00e1veis aos membros da autoridade de controlo dever\u00e3o ser definidas por lei em cada Estado-Membro e dever\u00e3o prever, em especial, que os referidos membros sejam nomeados, com recurso a um processo transparente, pelo Parlamento, pelo Governo ou pelo Chefe de Estado do Estado-Membro com base numa proposta do Governo, de um dos seus membros, do Parlamento ou de uma sua c\u00e2mara, ou por um organismo independente incumbido da nomea\u00e7\u00e3o nos termos do direito do Estado-Membro. A fim de assegurar a independ\u00eancia da autoridade de controlo, os membros que a integram dever\u00e3o exercer as suas fun\u00e7\u00f5es com integridade, abster-se de qualquer ato incompat\u00edvel com as mesmas e, durante o seu mandato, n\u00e3o dever\u00e3o exercer nenhuma atividade, seja ou n\u00e3o remunerada, que com elas seja incompat\u00edvel. A autoridade de controlo dever\u00e1 dispor do seu pr\u00f3prio pessoal, selecionado por si mesma ou por um organismo independente criado nos termos do direito do Estado-Membro, que dever\u00e1 estar exclusivamente sujeito \u00e0 orienta\u00e7\u00e3o do membro ou membros da autoridade de controlo.
(122)As autoridades de controlo dever\u00e3o ser competentes no territ\u00f3rio do respetivo Estado-Membro para exercer os poderes e desempenhar as fun\u00e7\u00f5es que lhes s\u00e3o conferidas nos termos do presente regulamento. Dever\u00e1 ser abrangido, em especial, o tratamento de dados efetuado no contexto das atividades de um estabelecimento do respons\u00e1vel pelo tratamento ou do subcontratante no territ\u00f3rio do seu pr\u00f3prio Estado-Membro, o tratamento de dados pessoais efetuado por autoridades p\u00fablicas ou por organismos privados que atuem no interesse p\u00fablico, o tratamento que afete os titulares de dados no seu territ\u00f3rio, ou o tratamento de dados efetuado por um respons\u00e1vel ou subcontratante n\u00e3o estabelecido na Uni\u00e3o quando diga respeito a titulares de dados residentes no seu territ\u00f3rio. Dever\u00e1 ficar abrangido o tratamento de reclama\u00e7\u00f5es apresentadas por um titular de dados, a realiza\u00e7\u00e3o de investiga\u00e7\u00f5es sobre a aplica\u00e7\u00e3o do presente regulamento e a promo\u00e7\u00e3o da sensibiliza\u00e7\u00e3o do p\u00fablico para os riscos, regras, garantias e direitos associados ao tratamento de dados pessoais.
(123)As autoridades de controlo dever\u00e3o controlar a aplica\u00e7\u00e3o das disposi\u00e7\u00f5es do presente regulamento e contribuir para a sua aplica\u00e7\u00e3o coerente em toda a Uni\u00e3o, a fim de proteger as pessoas singulares relativamente ao tratamento dos seus dados pessoais e facilitar a livre circula\u00e7\u00e3o desses dados a n\u00edvel do mercado interno. Para esse efeito, as autoridades de controlo dever\u00e3o cooperar entre si e com a Comiss\u00e3o, sem necessidade de qualquer acordo entre os Estados-Membros quer sobre a presta\u00e7\u00e3o de assist\u00eancia m\u00fatua quer sobre tal coopera\u00e7\u00e3o.
(124)Quando o tratamento de dados pessoais ocorra no contexto das atividades de um estabelecimento de um respons\u00e1vel pelo tratamento ou de um subcontratante na Uni\u00e3o e o respons\u00e1vel pelo tratamento ou o subcontratante esteja estabelecido em v\u00e1rios Estados-Membros, ou quando o tratamento no contexto das atividades de um \u00fanico estabelecimento de um respons\u00e1vel pelo tratamento ou de um subcontratante, na Uni\u00e3o, afete ou seja suscet\u00edvel de afetar substancialmente titulares de dados em diversos Estados-Membros, a autoridade de controlo do estabelecimento principal ou do estabelecimento \u00fanico do respons\u00e1vel pelo tratamento ou do subcontratante dever\u00e1 agir na qualidade de autoridade de controlo principal. Esta autoridade dever\u00e1 cooperar com as outras autoridades interessadas, porque o respons\u00e1vel pelo tratamento ou o subcontratante tem um estabelecimento no territ\u00f3rio do seu Estado-Membro, porque h\u00e1 titulares de dados residentes no seu territ\u00f3rio que s\u00e3o substancialmente afetados, ou porque lhe foi apresentada uma reclama\u00e7\u00e3o. Al\u00e9m do mais, quando tenha sido apresentada uma reclama\u00e7\u00e3o por um titular de dados que n\u00e3o resida nesse Estado-Membro, a autoridade de controlo \u00e0 qual a reclama\u00e7\u00e3o tiver sido apresentada dever\u00e1 ser tamb\u00e9m autoridade de controlo interessada. No \u00e2mbito das suas fun\u00e7\u00f5es de emiss\u00e3o de orienta\u00e7\u00f5es sobre qualquer assunto relativo \u00e0 aplica\u00e7\u00e3o do presente regulamento, o Comit\u00e9 dever\u00e1 poder emitir orienta\u00e7\u00f5es nomeadamente sobre os crit\u00e9rios a ter em conta para apurar se o tratamento em causa afeta substancialmente titulares de dados em mais do que um Estado-Membro e sobre aquilo que constitui uma obje\u00e7\u00e3o pertinente e fundamentada.
(125)A autoridade principal dever\u00e1 ser competente para adotar decis\u00f5es vinculativas relativamente a medidas que deem execu\u00e7\u00e3o \u00e0s compet\u00eancias que lhe tenham sido atribu\u00eddas nos termos do presente regulamento. Na sua qualidade de autoridade principal, a autoridade de controlo dever\u00e1 implicar no processo decis\u00f3rio e coordenar as autoridades de controlo interessadas. Nos casos em que a decis\u00e3o consista em rejeitar no todo ou em parte a reclama\u00e7\u00e3o apresentada pelo titular dos dados, esta dever\u00e1 ser adotada pela autoridade de controlo \u00e0 qual a reclama\u00e7\u00e3o tenha sido apresentada.
(126)As decis\u00f5es dever\u00e3o ser acordadas conjuntamente pela autoridade de controlo principal e as autoridades de controlo interessadas e dever\u00e3o visar o estabelecimento principal ou \u00fanico do respons\u00e1vel pelo tratamento ou do subcontratante e ser vinculativas para ambos. O respons\u00e1vel pelo tratamento ou o subcontratante dever\u00e1 tomar as medidas necess\u00e1rias para assegurar o cumprimento do disposto no presente regulamento e a execu\u00e7\u00e3o da decis\u00e3o notificada pela autoridade de controlo principal ao estabelecimento principal do respons\u00e1vel pelo tratamento ou do subcontratante no que diz respeito \u00e0s atividades de tratamento de dados na Uni\u00e3o.
(127)As autoridades de controlo que n\u00e3o atuem como autoridade de controlo principal dever\u00e3o ter compet\u00eancia para tratar casos a n\u00edvel local quando o respons\u00e1vel pelo tratamento ou subcontratante estiver estabelecido em v\u00e1rios Estados-Membros, mas o assunto do tratamento espec\u00edfico disser respeito unicamente ao tratamento efetuado num s\u00f3 Estado-Membro, e envolver somente titulares de dados nesse Estado-Membro, por exemplo, no caso de o assunto dizer respeito ao tratamento de dados pessoais de trabalhadores num contexto espec\u00edfico de emprego num Estado-Membro. Nesses casos, a autoridade de controlo dever\u00e1 informar imediatamente do assunto a autoridade de controlo principal. Ap\u00f3s ter sido informada, a autoridade de controlo principal decidir\u00e1 se trata o caso de acordo com o disposto em mat\u00e9ria de coopera\u00e7\u00e3o entre a autoridade de controlo principal e a outra autoridade de controlointeressada (\u00abmecanismo de balc\u00e3o \u00fanico\u00bb), ou se dever\u00e1 ser a autoridade de controlo que a informou a tratar o caso a n\u00edvel local. Ao decidir se trata o caso, a autoridade de controlo principal dever\u00e1 ter em conta se h\u00e1 algum estabelecimento do respons\u00e1vel pelo tratamento ou subcontratante no Estado-Membro da autoridade de controlo que a informou, a fim de garantir a eficaz execu\u00e7\u00e3o da decis\u00e3o relativamente ao respons\u00e1vel pelo tratamento ou subcontratante. Quando a autoridade de controlo principal decide tratar o caso, a autoridade de controlo que a informou dever\u00e1 ter a possibilidade de apresentar um projeto de decis\u00e3o, que a autoridade de controlo principal dever\u00e1 ter na melhor conta quando prepara o seu projeto de decis\u00e3o no \u00e2mbito desse mecanismo de balc\u00e3o \u00fanico.
(128)As regras relativas \u00e0 autoridade de controlo principal e ao mecanismo de balc\u00e3o \u00fanico n\u00e3o se dever\u00e3o aplicar quando o tratamento dos dados for efetuado por autoridades p\u00fablicas ou organismos privados que atuem no interesse p\u00fablico. Em tais casos, a \u00fanica autoridade de controlo competente para exercer as compet\u00eancias que lhe s\u00e3o conferidas nos termos do presente regulamento dever\u00e1 ser a autoridade de controlo do Estado-Membro em que estiver estabelecida tal autoridade p\u00fablica ou organismo privado.
(129)A fim de assegurar o controlo e a aplica\u00e7\u00e3o coerentes do presente regulamento em toda a Uni\u00e3o, as autoridades de controlo dever\u00e3o ter, em cada Estado-Membro, as mesmas fun\u00e7\u00f5es e poderes efetivos, incluindo poderes de investiga\u00e7\u00e3o, poderes de corre\u00e7\u00e3o e de san\u00e7\u00e3o, e poderes consultivos e de autoriza\u00e7\u00e3o, nomeadamente em caso de reclama\u00e7\u00e3o apresentada por pessoas singulares, sem preju\u00edzo dos poderes das autoridades competentes para o exerc\u00edcio da a\u00e7\u00e3o penal ao abrigo do direito do Estado-Membro, tendo em vista levar as viola\u00e7\u00f5es ao presente regulamento ao conhecimento das autoridades judiciais e intervir em processos judiciais. Essas compet\u00eancias dever\u00e3o incluir o poder de impor uma limita\u00e7\u00e3o tempor\u00e1rio ou definitiva ao tratamento, ou mesmo a sua proibi\u00e7\u00e3o. Os Estados-Membros podem estabelecer outras fun\u00e7\u00f5es relacionadas com a prote\u00e7\u00e3o de dados pessoais ao abrigo do presente regulamento. Os poderes das autoridades de controlo dever\u00e3o ser exercidos em conformidade com as garantias processuais adequadas previstas no direito da Uni\u00e3o e do Estado-Membro, com imparcialidade, com equidade e num prazo razo\u00e1vel. Em particular, cada medida dever\u00e1 ser adequada, necess\u00e1ria e proporcionada a fim de garantir a conformidade com o presente regulamento, tendo em conta as circunst\u00e2ncias de cada caso concreto, respeitar o direito de todas as pessoas a serem ouvidas antes de ser tomada qualquer medida individual que as prejudique, e evitar custos sup\u00e9rfluos e inconvenientes excessivos para as pessoas em causa. Os poderes de investiga\u00e7\u00e3o em mat\u00e9ria de acesso \u00e0s instala\u00e7\u00f5es dever\u00e3o ser exercidos em conformidade com os requisitos espec\u00edficos do direito processual do Estado-Membro, como, por exemplo, a obriga\u00e7\u00e3o de obter autoriza\u00e7\u00e3o judicial pr\u00e9via. As medidas juridicamente vinculativas da autoridade de controlo dever\u00e3o ser emitidas por escrito, claras e inequ\u00edvocas, indicar a autoridade de controlo que as emitiu e a data de emiss\u00e3o, ostentar a assinatura do diretor ou do membro da autoridade de controlo por eles autorizada, indicar os motivos que as justifica e mencionar o direito de recurso efetivo. Tal n\u00e3o dever\u00e1 impedir que sejam estabelecidos requisitos suplementares nos termos do direito processual do Estado-Membro. A ado\u00e7\u00e3o de uma decis\u00e2o juridicamente vinculativa pode dar origem a controlo jurisdicional nos Estados-Membros da autoridade de controlo que tenha adotado a decis\u00e3o.
(130)Nos casos em que a autoridade de controlo a que a reclama\u00e7\u00e3o \u00e9 apresentada n\u00e3o seja a principal, a autoridade de controlo principal dever\u00e1 cooperar estreitamente com a autoridade de controlo \u00e0 qual tiver sido apresentada a reclama\u00e7\u00e3o, de acordo com as disposi\u00e7\u00f5es em mat\u00e9ria de coopera\u00e7\u00e3o e coer\u00eancia do presente regulamento. Nestes casos, a autoridade de controlo principal, ao tomar medidas destinadas a produzir efeitos jur\u00eddicos, incluindo a imposi\u00e7\u00e3o de coimas, dever\u00e1 ter na melhor conta o parecer da autoridade de controlo \u00e0 qual tiver sido apresentada a reclama\u00e7\u00e3o, que dever\u00e1 continuar a ser competente para levar a cabo qualquer investiga\u00e7\u00e3o no territ\u00f3rio do respetivo Estado-Membro, em liga\u00e7\u00e3o com a autoridade de controlo principal.
(131)Nos casos em que as fun\u00e7\u00f5es de autoridade principal de controlo devessem ser exercidas por outra autoridade de controlo relativamente \u00e0s atividades de tratamento do respons\u00e1vel pelo tratamento ou do subcontratante, mas em que o conte\u00fado concreto da reclama\u00e7\u00e3o ou a eventual viola\u00e7\u00e3o diga respeito apenas \u00e0s atividades de tratamento do respons\u00e1vel ou do subcontratante realizadas no Estado-Membro onde tenha sido apresentada a reclama\u00e7\u00e3o ou detetada a eventual infra\u00e7\u00e3o, e o assunto n\u00e3o afete nem seja suscet\u00edvel de afetar substancialmente titulares de dados noutros Estados-Membros, a autoridade de controlo que recebe uma reclama\u00e7\u00e3o, deteta ou \u00e9 de outro modo informada de situa\u00e7\u00f5es que impliquem eventuais viola\u00e7\u00f5es do presente regulamento dever\u00e1 procurar obter um acordo amig\u00e1vel. Se tal n\u00e3o lhe for poss\u00edvel, dever\u00e1 exercer todos os poderes de que disp\u00f5e. Dever\u00e3o ficar abrangidas: as atividades de tratamento espec\u00edficas realizadas no territ\u00f3rio do Estado-Membro da autoridade de controlo ou que digam respeito a titulares de dados em territ\u00f3rio desse Estado-Membro; as atividades de tratamento realizadas no contexto de uma oferta de bens ou servi\u00e7os destinados especificamente a titulares de dados no territ\u00f3rio do Estado-Membro da autoridade de controlo; ou as atividades de tratamento que tenham de ser analisadas tomando em considera\u00e7\u00e3o as obriga\u00e7\u00f5es legais aplic\u00e1veis ao abrigo do direito do Estado-Membro.
(132)As atividades de sensibiliza\u00e7\u00e3o das autoridades de controlo dirigidas ao p\u00fablico dever\u00e3o incluir medidas espec\u00edficas a favor dos respons\u00e1veis pelo tratamento e subcontratantes, incluindo as micro, pequenas e m\u00e9dias empresas, bem como as pessoas singulares, em particular num contexto educacional.
(133)As autoridades de controlo dever\u00e3o prestar-se mutuamente assist\u00eancia no desempenho das suas fun\u00e7\u00f5es, por forma a assegurar a execu\u00e7\u00e3o e aplica\u00e7\u00e3o coerentes do presente regulamento no mercado interno. A autoridade de controlo que solicite assist\u00eancia m\u00fatua pode adotar uma medida provis\u00f3ria se n\u00e3o obtiver resposta relativamente a um pedido de assist\u00eancia m\u00fatua no prazo de um m\u00eas a contar da rece\u00e7\u00e3o desse pedido da outra autoridade de controlo.
(134)As autoridades de controlo dever\u00e3o participar, sempre que for adequado, em opera\u00e7\u00f5es conjuntas com outras autoridades de controlo. A autoridade de controlo requerida dever\u00e1 ser obrigada a responder ao pedido num prazo determinado.
(135)A fim de assegurar a aplica\u00e7\u00e3o coerente do presente regulamento em toda a Uni\u00e3o, dever\u00e1 ser criado um procedimento de controlo da coer\u00eancia e para a coopera\u00e7\u00e3o entre as autoridades de controlo. Esse procedimento dever\u00e1 ser aplic\u00e1vel, nomeadamente, quando uma autoridade de controlo tenciona adotar uma medida que vise produzir efeitos legais em rela\u00e7\u00e3o a opera\u00e7\u00f5es de tratamento que afetem substancialmente um n\u00famero significativo de titulares de dados em v\u00e1rios Estados-Membros. Dever\u00e1 aplicar-se igualmente sempre que uma autoridade de controlo interessada, ou a Comiss\u00e3o, solicitar que essa mat\u00e9ria seja tratada no \u00e2mbito do procedimento de controlo da coer\u00eancia. Esse procedimento n\u00e3o dever\u00e1 prejudicar medidas que a Comiss\u00e3o possa tomar no exerc\u00edcio das suas compet\u00eancias nos termos dos Tratados.
(136)Quando aplicar o procedimento de controlo da coer\u00eancia, o Comit\u00e9 dever\u00e1 emitir um parecer, num prazo determinado, se a maioria dos seus membros assim o decidir ou se tal lhe solicitado por qualquer autoridade de controlo interessada ou pela Comiss\u00e3o. O Comit\u00e9 dever\u00e1 tamb\u00e9m ser habilitado a adotar decis\u00f5es juridicamente vinculativas em caso de lit\u00edgio entre as autoridades de controlo. Para esse efeito, dever\u00e1 emitir, em princ\u00edpio por maioria de dois ter\u00e7os dos seus membros, decis\u00f5es vinculativas em casos claramente definidos em que as autoridades de controlo tenham posi\u00e7\u00f5es contradit\u00f3rias, em especial no \u00e2mbito da coopera\u00e7\u00e3o entre a autoridade de controlo principal e as autoridades de controlo interessadas, a respeito da quest\u00e3o de fundo, designadamente se h\u00e1 viola\u00e7\u00e3o do presente regulamento.
(137)Pode ser urgente agir, a fim de defender os direitos e liberdades dos titulares de dados, em especial quando haja perigo de impedimento consider\u00e1vel do exerc\u00edcio de um direito do titular dos dados. Por essa raz\u00e3o, a autoridade de controlo dever\u00e1 poder adotar no seu territ\u00f3rio medidas provis\u00f3rias devidamente justificadas, v\u00e1lidas por um per\u00edodo determinado que n\u00e3o dever\u00e1 exceder os tr\u00eas meses.
(138)A aplica\u00e7\u00e3o desse procedimento dever\u00e1 ser condi\u00e7\u00e3o de legalidade das medidas tomadas pelas autoridades de controlo que visem produzir efeitos legais nos casos em que a sua aplica\u00e7\u00e3o seja obrigat\u00f3ria. Noutros casos com dimens\u00e3o transfronteiras, dever\u00e1 ser aplicado o procedimento de coopera\u00e7\u00e3o entre a autoridade de controlo principal e as autoridades de controlo interessadas e a assist\u00eancia m\u00fatua e as opera\u00e7\u00f5es conjuntas poder\u00e3o ser realizadas entre as autoridades de controlo interessadas, bilateral ou multilateralmente, sem desencadear o procedimento de controlo da coer\u00eancia.
(139)A fim de promover a aplica\u00e7\u00e3o coerente do presente regulamento, o Comit\u00e9 dever\u00e1 ser um \u00f3rg\u00e3o independente da Uni\u00e3o. Para atingir os seus objetivos, o Comit\u00e9 dever\u00e1 ser dotado de personalidade jur\u00eddica. O Comit\u00e9 \u00e9 representado pelo seu presidente. Este Comit\u00e9 dever\u00e1 substituir o Grupo de Trabalho sobre a prote\u00e7\u00e3o das pessoas no que diz respeito ao tratamento de dados pessoais institu\u00eddo pelo artigo 29.\u00ba da Diretiva 95\/46\/CE. Dever\u00e1 ser composto pelo diretor de uma autoridade de controlo de cada Estado-Membro e da Autoridade Europeia para a Prote\u00e7\u00e3o de Dados ou pelos seus representantes. A Comiss\u00e3o dever\u00e1 participar nas atividades do Comit\u00e9, mas sem direito de voto, e a Autoridade Europeia para a Prote\u00e7\u00e3o de Dados dever\u00e1 tamb\u00e9m participar nas suas atividades com direito de voto em casos particulares. O Comit\u00e9 dever\u00e1 contribuir para a aplica\u00e7\u00e3o coerente do presente regulamento em toda a Uni\u00e3o, incluindo mediante o aconselhamento da Comiss\u00e3o, nomeadamente no que respeita ao n\u00edvel de prote\u00e7\u00e3o em pa\u00edses terceiros ou em organiza\u00e7\u00f5es internacionais, e mediante a promo\u00e7\u00e3o da coopera\u00e7\u00e3o das autoridades de controlo em toda a Uni\u00e3o. O Comit\u00e9 dever\u00e1 ser independente no prossecu\u00e7\u00e3o das suas atribui\u00e7\u00f5es.
(140)O Comit\u00e9 dever\u00e1 ser assistido por um secretariado disponibilizado pela Autoridade Europeia para a Prote\u00e7\u00e3o de Dados. O pessoal da Autoridade Europeia para a Prote\u00e7\u00e3o de Dados encarregado de exercer as fun\u00e7\u00f5es conferidas ao Comit\u00e9 pelo presente regulamento dever\u00e1 agir sob a dire\u00e7\u00e3o exclusiva do presidente deste Comit\u00e9, sendo respons\u00e1vel perante o mesmo.
(141)Os titulares dos dados dever\u00e3o ter direito a apresentar reclama\u00e7\u00e3o a uma \u00fanica autoridade de controlo \u00fanica, particularmente no Estado-Membro da sua resid\u00eancia habitual, e direito a uma a\u00e7\u00e3o judicial efetiva, nos termos do artigo 47.\u00ba da Carta, se considerarem que os direitos que lhes s\u00e3o conferidos pelo presente regulamento foram violados ou se a autoridade de controlo n\u00e3o responder a uma reclama\u00e7\u00e3o, a recusar ou rejeitar, total ou parcialmente, ou n\u00e3o tomar as iniciativas necess\u00e1rias para proteger os seus direitos. A investiga\u00e7\u00e3o decorrente de uma reclama\u00e7\u00e3o dever\u00e1 ser realizada, sob reserva de controlo jursidicional, na medida adequada ao caso espec\u00edfico. A autoridade de controlo dever\u00e1 informar o titular dos dados do andamento e do resultado da reclama\u00e7\u00e3o num prazo razo\u00e1vel. Se o caso exigir maior investiga\u00e7\u00e3o ou a coordena\u00e7\u00e3o com outra autoridade de controlo, dever\u00e3o ser comunicadas informa\u00e7\u00f5es interm\u00e9dias ao titular dos dados. As autoridades de controlo dever\u00e3o tomar medidas para facilitar a apresenta\u00e7\u00e3o de reclama\u00e7\u00f5es, nomeadamente fornecendo formul\u00e1rios de reclama\u00e7\u00e3o que possam tamb\u00e9m ser preenchidos eletronicamente, sem excluir outros meios de comunica\u00e7\u00e3o.
(142)Se o titular dos dados considerar que os direitos que lhe s\u00e3o conferidos pelo presente regulamento foram violados, dever\u00e1 ter o direito de mandatar um organismo, organiza\u00e7\u00e3o ou associa\u00e7\u00e3o sem fins lucrativos que seja constitu\u00eddo ao abrigo do direito de um Estado-Membro, cujos objetivos estatut\u00e1rios sejam de interesse p\u00fablico e que exer\u00e7a a sua atividade no dom\u00ednio da prote\u00e7\u00e3o dos dados pessoais, para apresentar uma reclama\u00e7\u00e3o em seu nome junto de uma autoridade de controlo, ou exercer o direito de recurso judicial em nome dos titulares dos dados ou, se tal estiver previsto no direito de um Estado-Membro, exercer o direito \u00e0 indemniza\u00e7\u00e3o em nome dos titulares do dados. Os Estados-Membros podem prever que esse organismo, organiza\u00e7\u00e3o ou associa\u00e7\u00e3o tenha o direito de apresentar no Estado-Membro em causa uma reclama\u00e7\u00e3o, independentemente do mandato do titular dos dados, e o direito a um recurso judicial efetivo, se tiver raz\u00f5es para considerar que ocorreu uma viola\u00e7\u00e3o dos direitos do titular dos dados por o tratamento dos dados pessoais violar o presente regulamento. Esse organismo, organiza\u00e7\u00e3o ou associa\u00e7\u00e3o pode n\u00e3o ser autorizado a pedir uma indemniza\u00e7\u00e3o em nome do titular dos dados independentemente do mandato que lhe \u00e9 conferido por este.
(143)Todas as pessoas singulares ou coletivas t\u00eam o direito de interpor recurso de anula\u00e7\u00e3o das decis\u00f5es do Comit\u00e9 para o Tribunal de Justi\u00e7a nas condi\u00e7\u00f5es previstas no artigo 263.\u00ba do TFUE. Enquanto destinat\u00e1rias dessas decis\u00f5es, as autoridades de controlo interessadas que as pretendam contestar t\u00eam de interpor recurso no prazo de dois meses a contar da sua notifica\u00e7\u00e3o, em conformidade com o artigo 263.\u00ba do TFUE. Se as decis\u00f5es do Comit\u00e9 disserem direta e individualmente respeito a um respons\u00e1vel pelo tratamento, um subcontratante ou ao autor da reclama\u00e7\u00e3o, este pode interpor recurso de anula\u00e7\u00e3o dessas decis\u00f5es no prazo de dois meses a contar da sua publica\u00e7\u00e3o no s\u00edtio web do Comit\u00e9, em conformidade com o artigo 263.\u00ba do TFUE. Sem preju\u00edzo do direito que lhes assiste ao abrigo do artigo 263.\u00ba do TFUE, todas as pessoas, singulares ou coletivas, dever\u00e3o ter direito a interpor junto dos tribunais nacionais competentes recurso efetivo das decis\u00f5es das autoridades de controlo que produzam efeitos jur\u00eddicos em rela\u00e7\u00e3o a essas pessoas. Tais decis\u00f5es dizem respeito, em especial, ao exerc\u00edcio de poderes de investiga\u00e7\u00e3o, corre\u00e7\u00e3o e autoriza\u00e7\u00e3o pelas autoridades de controlo ou \u00e0 recusa ou rejei\u00e7\u00e3o de reclama\u00e7\u00f5es. Por\u00e9m, o direito a um recurso judicial efetivo n\u00e3o abrange medidas tomadas pelas autoridades de controlo que n\u00e3o sejam juridicamente vinculativas, como os pareceres emitidos ou o aconselhamento prestado pela autoridade de controlo. Os recursos intepostos contra as autoridades de controlo dever\u00e3o ser intepostos nos tribunais do Estado-Membro em cujo territ\u00f3rio se encontrem estabelecidas e obedecer \u00e0s disposi\u00e7\u00f5es processuais desse Estado-Membro. Estes tribunais dever\u00e3o ter jurisdi\u00e7\u00e3o plena, incluindo o poder de analisar todas as quest\u00f5es de facto e de direito relevantes para o lit\u00edgio.
Se a autoridade de controlo recusar ou rejeitar uma reclama\u00e7\u00e3o, o seu autor pode intentar uma a\u00e7\u00e3o perante os tribunais do mesmo Estado-Membro. No contexto de recursos judiciais relacionados com a aplica\u00e7\u00e3o do presente regulamento, os tribunais nacionais que considerem que uma decis\u00e3o sobre a mat\u00e9ria \u00e9 necess\u00e1ria ao julgamento, poder\u00e3o, ou, no caso previsto no artigo 267.\u00ba do TFUE, s\u00e3o mesmo obrigados a solicitar ao Tribunal de Justi\u00e7a uma decis\u00e3o prejudicial sobre a interpreta\u00e7\u00e3o do direito da Uni\u00e3o, concretamente do presente regulamento. Al\u00e9m disso, se a decis\u00e3o de uma autoridade de controlo que d\u00e1 execu\u00e7\u00e3o a uma decis\u00e3o do Comit\u00e9 for contestada junto de um tribunal nacional e estiver em causa a validade desta \u00faltima decis\u00e3o, o tribunal nacional em quest\u00e3o n\u00e3o tem compet\u00eancia para a declarar inv\u00e1lida, devendo reenviar a quest\u00e3o da validade para o Tribunal de Justi\u00e7a nos termos do artigo 267.\u00ba do TFUE, na interpreta\u00e7\u00e3o que lhe d\u00e1 este tribunal, quando considera a decis\u00e3o inv\u00e1lida. No entanto, o tribunal nacional n\u00e3o pode reenviar a quest\u00e3o da validade da decis\u00e3o do Comit\u00e9 a pedido de uma pessoa singular ou coletiva que, tendo a possibilidade de interpor recurso de anula\u00e7\u00e3o da mesma, sobretudo se for a destinat\u00e1ria direta e individual da decis\u00e3o, n\u00e3o o tenha feito dentro do prazo fixado no artigo 263.\u00ba do TFUE.
(144)Sempre que um tribunal chamado a pronunciar-se num recurso da decis\u00e3o de uma autoridade de supervis\u00e3o tiver motivos para crer que foi interposto perante um tribunal competente noutro Estado-Membro um processo relativo ao mesmo tratamento, designadamente o mesmo assunto no que se refere \u00e0s atividades de tratamento do mesmo respons\u00e1vel ou subcontratante, ou a\u00e7\u00f5es com o mesmo pedido e a mesma causa de pedir, dever\u00e1 contactar esse outro tribunal a fim de confirmar a exist\u00eancia de tal processo relacionado. Se estiverem pendentes processos relacionados perante um tribunal de outro Estado-Membro, o tribunal em que a a\u00e7\u00e3o tiver sido intentada em segundo lugar poder\u00e1 suspender o processo ou pode, a pedido de uma das partes, declarar-se incompetente a favor do tribunal em que a a\u00e7\u00e3o tiver sido intentada em primeiro lugar se este for competente para o processo em quest\u00e3o e a sua legisla\u00e7\u00e3o permitir a apensa\u00e7\u00e3o deste tipo de processos conexos. Consideram-se relacionados os processos ligados entre si por um nexo t\u00e3o estreito que haja interesse em que sejam instru\u00eddos e julgados simultaneamente a fim de evitar solu\u00e7\u00f5es que poderiam ser inconcili\u00e1veis se as causas fossem julgadas separadamente.
(145)No que diz respeito a a\u00e7\u00f5es intentadas contra o respons\u00e1vel pelo tratamento ou o subcontratante, o requerente pode optar entre intentar a a\u00e7\u00e3o nos tribunais do Estado-Membro em que est\u00e1 estabelecido o respons\u00e1vel ou o subcontratante, ou nos tribunais do Estado-Membro de resid\u00eancia do titular dos dados, salvo se o respons\u00e1vel pelo tratamento for uma autoridade de um Estado-Membro no exerc\u00edcio dos seus poderes p\u00fablicos.
(146)O respons\u00e1vel pelo tratamento ou o subcontratante dever\u00e3o reparar quaisquer danos de que algu\u00e9m possa ser v\u00edtima em virtude de um tratamento que viole o presente regulamentorespons\u00e1vel pelo tratamento. O respons\u00e1vel pelo tratamento ou o subcontratante pode ser exonerado da responsabilidade se provar que o facto que causou o dano n\u00e3o lhe \u00e9 de modo algum imput\u00e1vel. O conceito de dano dever\u00e1 ser interpretado em sentido lato \u00e0 luz da jurisprud\u00eancia do Tribunal de Justi\u00e7a, de uma forma que reflita plenamente os objetivos do presente regulamento. Tal n\u00e3o prejudica os pedidos de indemniza\u00e7\u00e3o por danos provocados pela viola\u00e7\u00e3o de outras regras do direito da Uni\u00e3o ou dos Estados-Membros. Os tratamentos que violem o presente regulamentoabrangem igualmente os que violem os atos delegados e de execu\u00e7\u00e3o adotados nos termos do presente regulamento e o direito dos Estados-Membros que d\u00ea execu\u00e7\u00e3o a regras do presente regulamento. Os titulares dos dados dever\u00e3o ser integral e efetivamente indemnizados pelos danos que tenham sofrido. Sempre que os respons\u00e1veis pelo tratamento ou os subcontratantes estiverem envolvidos no mesmo tratamento, cada um deles dever\u00e1 ser responsabilizado pela totalidade dos danos causados. Por\u00e9m, se os processos forem associados a um mesmo processo judicial, em conformidade com o direito dos Estados-Membros, a indemniza\u00e7\u00e3o poder\u00e1 ser repartida em fun\u00e7\u00e3o da responsabilidade que caiba a cada respons\u00e1vel pelo tratamento ou subcontratante pelos danos causados em virtude do tratamento efetuado, na condi\u00e7\u00e3o de ficar assegurada a indemniza\u00e7\u00e3o integral e efetiva do titular dos dados pelos danos que tenha sofrido. Qualquer respons\u00e1vel pelo tratamento ou subcontratante que tenha pago uma indemniza\u00e7\u00e3o integral, pode posteriormente intentar uma a\u00e7\u00e3o de regresso contra outros respons\u00e1veis pelo tratamento ou subcontratantes envolvidos no mesmo tratamento.
(147)Quando o presente regulamento previr regras espec\u00edficas relativas \u00e0 compet\u00eancia, nomeadamente no que respeita \u00e0 interposi\u00e7\u00e3o de recurso judicial, incluindo os pedidos de indemniza\u00e7\u00e3o, contra um respons\u00e1vel pelo tratamento ou um subcontratante, a aplica\u00e7\u00e3o das regras espec\u00edficas n\u00e3o dever\u00e1 ser prejudicada por regras de compet\u00eancia gerais como as previstas no Regulamento (UE) n.\u00ba 1215\/2012 do Parlamento Europeu e do Conselho (13).
(148)A fim de refor\u00e7ar a execu\u00e7\u00e3o das regras do presente regulamento, dever\u00e3o ser impostas san\u00e7\u00f5es, incluindo coimas, por viola\u00e7\u00e3o do presente regulamento, para al\u00e9m, ou em substitui\u00e7\u00e3o, das medidas adequadas que venham a ser impostas pela autoridade de controlo nos termos do presente regulamento. Em caso de infra\u00e7\u00e3o menor, ou se o montante da coima suscet\u00edvel de ser imposta constituir um encargo desproporcionado para uma pessoa singular, pode ser feita uma repreens\u00e3o em vez de ser aplicada uma coima. Importa, por\u00e9m, ter em devida conta a natureza, gravidade e dura\u00e7\u00e3o da infra\u00e7\u00e3o, o seu car\u00e1ter doloso, as medidas tomadas para atenuar os danos sofridos, o grau de responsabilidade ou eventuais infra\u00e7\u00f5es anteriores, a via pela qual a infra\u00e7\u00e3o chegou ao conhecimento da autoridade de controlo, o cumprimento das medidas ordenadas contra o respons\u00e1vel pelo tratamento ou subcontratante,o cumprimento de um c\u00f3digo de conduta ou quaisquer outros fatores agravantes ou atenuantes. A imposi\u00e7\u00e3o de san\u00e7\u00f5es, incluindo coimas, dever\u00e1 estar sujeita \u00e0s garantias processuais adequadas em conformidade com os princ\u00edpios gerais do direito da Uni\u00e3o e a Carta, incluindo a prote\u00e7\u00e3o jur\u00eddica eficaz e um processo equitativo.
(149)Os Estados-Membros dever\u00e3o poder definir as normas relativas \u00e0s san\u00e7\u00f5es penais aplic\u00e1veis por viola\u00e7\u00e3o do presente regulamento, inclusive por viola\u00e7\u00e3o das normas nacionais adotadas em conformidade com o presente regulamento, e dentro dos seus limites. Essas san\u00e7\u00f5es penais podem igualmente prever a priva\u00e7\u00e3o dos lucros auferidos em virtude da viola\u00e7\u00e3o do presente regulamento. Contudo, a imposi\u00e7\u00e3o de san\u00e7\u00f5es penais por infra\u00e7\u00e3o \u00e0s referidas normas nacionais, bem como de san\u00e7\u00f5es administrativas, n\u00e3o dever\u00e1 implicar a viola\u00e7\u00e3o do princ\u00edpio ne bis in idem, conforme \u00e9 interpretado pelo Tribunal de Justi\u00e7a.
(150)A fim de refor\u00e7ar e harmonizar as san\u00e7\u00f5es administrativas para viola\u00e7\u00f5es sdo presente regulamento, as autoridades de controlo dever\u00e3o ter compet\u00eancia para impor coimas. O presente regulamento dever\u00e1 definir as viola\u00e7\u00f5es e o montante m\u00e1ximo e o crit\u00e9rio de fixa\u00e7\u00e3o do valor das coimas da\u00ed decorrentes, que dever\u00e1 ser determinado pela autoridade de controlo competente, em cada caso individual, tendo em conta todas as circunst\u00e2ncias relevantes da situa\u00e7\u00e3o espec\u00edfica, ponderando devidamente, em particular, a natureza, a gravidade e a dura\u00e7\u00e3o da viola\u00e7\u00e3o e das suas consequ\u00eancias e as medidas tomadas para garantir o cumprimento das obriga\u00e7\u00f5es constantes do presente regulamento e para prevenir ou atenuar as consequ\u00eancias da infra\u00e7\u00e3o. Sempre que forem impostas coimas a empresas, estas dever\u00e3o ser entendidas como empresas nos termos dos artigos 101.\u00ba e 102.\u00ba do TFUE para esse efeito. Sempre que forem impostas coimas a pessoas que n\u00e3o sejam empresas, a autoridade de supervis\u00e3o dever\u00e1 ter em conta o n\u00edvel geral de rendimentos no Estado-Membro, bem como a situa\u00e7\u00e3o econ\u00f3mica da pessoa em quest\u00e3o, no momento de estabelecer o montante adequado da coima. O procedimento de controlo da coer\u00eancia pode ser utilizado igualmente para a promo\u00e7\u00e3o de uma aplica\u00e7\u00e3o coerente das coimas. Dever\u00e1 caber aos Estados-Membros determinar se as autoridades p\u00fablicas dever\u00e3o estar sujeitas a coimas, e em que medida. A imposi\u00e7\u00e3o de uma coima ou o envio de um aviso n\u00e3o afetam o exerc\u00edcio de outros poderes das autoridades de controlo ou a aplica\u00e7\u00e3o de outras san\u00e7\u00f5es previstas no presente regulamento.
(151)Os sistemas jur\u00eddicos da Dinamarca e da Est\u00f3nia n\u00e3o conhecem as coimas tal como s\u00e3o previstas no presente regulamento. As regras relativas \u00e0s coimas podem ser aplicadas de modo que a coima seja imposta, na Dinamarca, pelos tribunais nacionais competentes como san\u00e7\u00e3o penal e, na Est\u00f3nia, pela autoridade de controlo no \u00e2mbito de um processo por infra\u00e7\u00e3o menor, na condi\u00e7\u00e3o de tal aplica\u00e7\u00e3o das regras nestes Estados-Membros ter um efeito equivalente \u00e0s coimas impostas pelas autoridades de controlo. Por esse motivo, os tribunais nacionais competentes dever\u00e3o ter em conta a recomenda\u00e7\u00e3o da autoridade de controlo que prop\u00f5e a coima. Em todo o caso, as coimas impostas dever\u00e3o ser efetivas, proporcionadas e dissuasivas.
(152)Sempre que o presente regulamento n\u00e3o harmonize san\u00e7\u00f5es administrativas, ou se necess\u00e1rio noutros casos, por exemplo, em caso de infra\u00e7\u00f5es graves \u00e0s disposi\u00e7\u00f5es do presente regulamento, os Estados-Membros dever\u00e3o criar um sistema que preveja san\u00e7\u00f5es efetivas, proporcionadas e dissuasivas. A natureza das san\u00e7\u00f5es, penal ou administrativa, dever\u00e1 ser determinada pelo direito do Estado-Membro.
(153)O direito dos Estados-Membros dever\u00e1 conciliar as normas que regem a liberdade de express\u00e3o e de informa\u00e7\u00e3o, nomeadamente jornal\u00edstica, acad\u00e9mica, art\u00edstica e\/ou liter\u00e1ria com o direito \u00e0 prote\u00e7\u00e3o de dados pessoais nos termos do presente regulamento. O tratamento de dados pessoais para fins exclusivamente jornal\u00edsticos ou para fins de express\u00e3o acad\u00e9mica, art\u00edstica ou liter\u00e1ria dever\u00e1 estar sujeito \u00e0 derroga\u00e7\u00e3o ou isen\u00e7\u00e3o de determinadas disposi\u00e7\u00f5es do presente regulamento se tal for necess\u00e1rio para conciliar o direito \u00e0 prote\u00e7\u00e3o dos dados pessoais com o direito \u00e0 liberdade de express\u00e3o e de informa\u00e7\u00e3o, tal como consagrado no artigo 11.\u00ba da Carta. Tal dever\u00e1 ser aplic\u00e1vel, em especial, ao tratamento de dados pessoais no dom\u00ednio do audiovisual e em arquivos de not\u00edcias e hemerotecas. Por conseguinte, os Estados-Membros dever\u00e3o adotar medidas legislativas que prevejam as isen\u00e7\u00f5es e derroga\u00e7\u00f5es necess\u00e1rias para o equil\u00edbrio desses direitos fundamentais. Os Estados-Membros dever\u00e3o adotar essas isen\u00e7\u00f5es e derroga\u00e7\u00f5es aos princ\u00edpios gerais, aos direitos do titular dos dados, ao respons\u00e1vel pelo tratamento destes e ao subcontratante, \u00e0 transfer\u00eancia de dados pessoais para pa\u00edses terceiros ou para organiza\u00e7\u00f5es internacionais, \u00e0s autoridades de controlo independentes e \u00e0 coopera\u00e7\u00e3o e \u00e0 coer\u00eancia e a situa\u00e7\u00f5es espec\u00edficas de tratamento de dados. Se estas isen\u00e7\u00f5es ou derroga\u00e7\u00f5es divergirem de um Estado-Membro para outro, dever\u00e1 ser aplic\u00e1vel o direito do Estado-Membro a que esteja sujeito o respons\u00e1vel pelo tratamento. A fim de ter em conta a import\u00e2ncia da liberdade de express\u00e3o em qualquer sociedade democr\u00e1tica, h\u00e1 que interpretar de forma lata as no\u00e7\u00f5es associadas a esta liberdade, como por exemplo o jornalismo.
(154)O presente regulamento permite tomar em considera\u00e7\u00e3o o princ\u00edpio do direito de acesso do p\u00fablico aos documentos oficiais na aplica\u00e7\u00e3o do mesmo. O acesso do p\u00fablico aos documentos oficiais pode ser considerado de interesse p\u00fablico. Os dados pessoais que constem de documentos na posse dessas autoridades p\u00fablicas ou organismos p\u00fablicos dever\u00e3o poder ser divulgados publicamente por tais autoridades ou organismos, se a divulga\u00e7\u00e3o estiver prevista no direito da Uni\u00e3o ou do Estado-Membro que lhes for aplic\u00e1vel. Essas legisla\u00e7\u00f5es dever\u00e3o conciliar o acesso do p\u00fablico aos documentos oficiais e a reutiliza\u00e7\u00e3o da informa\u00e7\u00e3o do setor p\u00fablico com o direito \u00e0 prote\u00e7\u00e3o dos dados pessoais e podem pois prever a necess\u00e1ria concilia\u00e7\u00e3o com esse mesmo direito nos termos do presente regulamento. A refer\u00eancia a autoridades e organismos p\u00fablicos dever\u00e1 incluir, nesse contexto, todas as autoridades ou outros organismos abrangidos pelo direito do Estado-Membro relativo ao acesso do p\u00fablico aos documentos. A Diretiva 2033\/98\/CE do Parlamento Europeu e do Conselho (14) n\u00e3o modifica nem de modo algum afeta o n\u00edvel de prote\u00e7\u00e3o das pessoas singulares relativamente ao tratamento de dados pessoais nos termos das disposi\u00e7\u00f5es do direito da Uni\u00e3o ou do Estado-Membro, nem altera, em particular, as obriga\u00e7\u00f5es e direitos estabelecidos no presente regulamento. Em particular, a referida diretiva n\u00e3o dever\u00e1 ser aplic\u00e1vel a documentos n\u00e3o acess\u00edveis ou de acesso restrito por for\u00e7a dos regimes de acesso por motivos de prote\u00e7\u00e3o de dados pessoais nem a partes de documentos acess\u00edveis por for\u00e7a desses regimes que contenham dados pessoais cuja reutiliza\u00e7\u00e3o tenha sido prevista na lei como incompat\u00edvel com o direito relativo \u00e0 prote\u00e7\u00e3o das pessoas singulares no que diz respeito ao tratamento de dados pessoais.
(155)O direito do Estado-Membro ou as conven\u00e7\u00f5es coletivas (incluindo \u00abacordos setoriais\u00bb) podem prever regras espec\u00edficas para o tratamento de dados pessoais dos trabalhadores no contexto laboral, nomeadamente no que respeita \u00e0s condi\u00e7\u00f5es em que os dados pessoais podem ser tratados no contexto laboral, com base no consentimento do assalariado, para efeitos de recrutamento, execu\u00e7\u00e3o do contrato de trabalho, incluindo o cumprimento das obriga\u00e7\u00f5es previstas por lei ou por conven\u00e7\u00f5es coletivas, de gest\u00e3o, planeamento e organiza\u00e7\u00e3o do trabalho, de igualdade e diversidade no trabalho, de sa\u00fade e seguran\u00e7a no trabalho, e para efeitos de exerc\u00edcio e gozo, individual ou coletivo, dos direitos e benef\u00edcios relacionados com o emprego, bem como para efeitos de cessa\u00e7\u00e3o da rela\u00e7\u00e3o de trabalho.
(156)O tratamento de dados pessoais para fins de arquivo de interesse p\u00fablico, ou para fins de investiga\u00e7\u00e3o cient\u00edfica ou hist\u00f3rica ou para fins estat\u00edsticos, dever\u00e1 ficar sujeito \u00e0 garantia adequada dos direitos e liberdades do titular dos dados nos termos do presente regulamento. Essas garantias dever\u00e3o assegurar a exist\u00eancia de medidas t\u00e9cnicas e organizativas que assegurem, nomeadamente, o princ\u00edpio da minimiza\u00e7\u00e3o dos dados. O tratamento posterior de dados pessoais para fins de arquivo de interesse p\u00fablico, ou para fins de investiga\u00e7\u00e3o cient\u00edfica ou hist\u00f3rica ou para fins estat\u00edsticos, dever\u00e1 ser efetuado quando o respons\u00e1vel pelo tratamento tiver avaliado a possibilidade de tais fins serem alcan\u00e7ados por um tipo de tratamento de dados pessoais que n\u00e3o permita ou tenha deixado de permitir a identifica\u00e7\u00e3o dos titulares dos dados, na condi\u00e7\u00e3o de existirem as garantias adequadas (como a pseudonimiza\u00e7\u00e3o dos dados pessoais). Os Estados-Membros dever\u00e3o prever garantias adequadas para o tratamento dos dados pessoais para fins de arquivo de interesse p\u00fablico, ou fins de investiga\u00e7\u00e3o cient\u00edfica ou hist\u00f3rica ou para fins estat\u00edsticos. Os Estados-Membros dever\u00e3o ser autorizados a estabelecer, sob condi\u00e7\u00f5es espec\u00edficas e mediante garantias adequadas para o titular dos dados, especifica\u00e7\u00f5es e derroga\u00e7\u00f5es dos requisitos de informa\u00e7\u00e3o e direitos \u00e0 retifica\u00e7\u00e3o, ao apagamento dos dados pessoais, a ser esquecido, \u00e0 limita\u00e7\u00e3o do tratamento e \u00e0 portabilidade dos dados e de oposi\u00e7\u00e3o aquando do tratamento de dados pessoais para fins de arquivo de interesse p\u00fablico, ou para fins de investiga\u00e7\u00e3o cient\u00edfica ou hist\u00f3rica ou para fins estat\u00edsticos. As condi\u00e7\u00f5es e garantias em causa podem implicar procedimentos espec\u00edficos para o exerc\u00edcio desses direitos por parte do titular de dados, se tal for adequado \u00e0 luz dos fins visados pelo tratamento espec\u00edfico a par de medidas t\u00e9cnicas e organizativas destinadas a reduzir o tratamento de dados pessoais de acordo com os princ\u00edpios da proporcionalidade e da necessidade. O tratamento de dados para fins cient\u00edficos dever\u00e1 igualmente respeitar outra legisla\u00e7\u00e3o aplic\u00e1vel, tal como a relativa aos ensaios cl\u00ednicos.
(157)Combinando informa\u00e7\u00f5es provenientes dos registos, os investigadores podem obter novos conhecimentos de grande valor relativamente a problemas m\u00e9dicos generalizados, como as doen\u00e7as cardiovasculares, o cancro e a depress\u00e3o. Com base nos registos, os resultados da investiga\u00e7\u00e3o podem ser melhorados, j\u00e1 que assentam numa popula\u00e7\u00e3o mais ampla. No \u00e2mbito das ci\u00eancias sociais, a investiga\u00e7\u00e3o com base em registos permite que os investigadores adquiram conhecimentos essenciais sobre a correla\u00e7\u00e3o a longo prazo entre uma s\u00e9rie de condi\u00e7\u00f5es sociais, como o desemprego e o ensino, e outras condi\u00e7\u00f5es de vida. Os resultados da investiga\u00e7\u00e3o obtidos atrav\u00e9s de registos fornecem conhecimentos s\u00f3lidos e de elevada qualidade, que podem servir de base para a elabora\u00e7\u00e3o e a execu\u00e7\u00e3o de pol\u00edticas assentes no conhecimento, para melhorar a qualidade de vida de uma quantidade de pessoas e a efic\u00e1cia dos servi\u00e7os sociais. A fim de facilitar a investiga\u00e7\u00e3o cient\u00edfica, os dados pessoais podem ser tratados para fins de investiga\u00e7\u00e3o cient\u00edfica, sob reserva do estabelecimento de condi\u00e7\u00f5es e garantias adequadas no direito da Uni\u00e3o ou dos Estados-Membros.
(158)Quando os dados pessoais sejam tratados para fins de arquivo, o presente regulamento dever\u00e1 ser tamb\u00e9m aplic\u00e1vel, tendo em mente que n\u00e3o dever\u00e1 ser aplic\u00e1vel a pessoas falecidas. As autoridades p\u00fablicas ou os organismos p\u00fablicos ou privados que detenham registos de interesse p\u00fablico dever\u00e3o ser servi\u00e7os que, nos termos do direito da Uni\u00e3o ou dos Estados-Membros, tenham a obriga\u00e7\u00e3o legal de adquirir, conservar, avaliar, organizar, descrever, comunicar, promover, divulgar e facultar o acesso a registos de valor duradouro no interesse p\u00fablico geral. Os Estados-Membros dever\u00e3o tamb\u00e9m ser autorizados a determinar o posterior tratamento dos dados pessoais para efeitos de arquivo, por exemplo tendo em vista a presta\u00e7\u00e3o de informa\u00e7\u00f5es espec\u00edficas relacionadas com o comportamento pol\u00edtico no \u00e2mbito de antigos regimes totalit\u00e1rios, genoc\u00eddios, crimes contra a humanidade, em especial o Holocausto, ou crimes de guerra.
(159)Quando os dados pessoais sejam tratados para fins de investiga\u00e7\u00e3o cient\u00edfica, o presente regulamento dever\u00e1 ser tamb\u00e9m aplic\u00e1vel. Para efeitos do presente regulamento, o tratamento de dados pessoais para fins de investiga\u00e7\u00e3o cient\u00edfica dever\u00e1 ser entendido em sentido lato, abrangendo, por exemplo, o desenvolvimento tecnol\u00f3gico e a demonstra\u00e7\u00e3o, a investiga\u00e7\u00e3o fundamental, a investiga\u00e7\u00e3o aplicada e a investiga\u00e7\u00e3o financiada pelo setor privado. Dever\u00e1, al\u00e9m disso, ter em conta o objetivo da Uni\u00e3o mencionado no artigo 179.\u00ba, n.\u00ba 1, do TFUE, que consiste na realiza\u00e7\u00e3o de um espa\u00e7o europeu de investiga\u00e7\u00e3o. Os fins de investiga\u00e7\u00e3o cient\u00edfica dever\u00e3o tamb\u00e9m incluir os estudos de interesse p\u00fablico realizados no dom\u00ednio da sa\u00fade p\u00fablica. A fim de atender \u00e0s especificidades do tratamento de dados pessoais para fins de investiga\u00e7\u00e3o cient\u00edfica, dever\u00e3o ser aplic\u00e1veis condi\u00e7\u00f5es espec\u00edficas designadamente no que se refere \u00e0 publica\u00e7\u00e3o ou outra forma de divulga\u00e7\u00e3o de dados pessoais no \u00e2mbito dos fins de investiga\u00e7\u00e3o cient\u00edfica. Se o resultado da investiga\u00e7\u00e3o cient\u00edfica designadamente no dom\u00ednio da sa\u00fade justificar a tomada de novas medidas no interesse do titular dos dados, as normas gerais do presente regulamento dever\u00e3o ser aplic\u00e1veis no que respeita a essas medidas.
(160)Quando os dados pessoais sejam tratados para fins de investiga\u00e7\u00e3o hist\u00f3rica, o presente regulamento dever\u00e1 ser tamb\u00e9m aplic\u00e1vel. Dever\u00e1 tamb\u00e9m incluir-se nesse \u00e2mbito a investiga\u00e7\u00e3o hist\u00f3rica e a investiga\u00e7\u00e3o para fins geneal\u00f3gicos, tendo em mente que o presente regulamento n\u00e3o dever\u00e1 ser aplic\u00e1vel a pessoas falecidas.
(161)Para efeitos do consentimento na participa\u00e7\u00e3o em atividades de investiga\u00e7\u00e3o cient\u00edfica em ensaios cl\u00ednicos dever\u00e3o ser aplic\u00e1veis as disposi\u00e7\u00f5es relevantes do Regulamento (UE) n.\u00ba 536\/2014 do Parlamento Europeu e do Conselho (15).
(162)Quando os dados pessoais sejam tratados para fins estat\u00edsticos, o presente regulamento dever\u00e1 ser aplic\u00e1vel. O direito da Uni\u00e3o ou dos Estados-Membros dever\u00e1, dentro dos limites do presente regulamento, determinar o conte\u00fado estat\u00edstico, o controlo de acesso, as especifica\u00e7\u00f5es para o tratamento de dados pessoais para fins estat\u00edsticos e as medidas adequadas para garantir os direitos e liberdades do titular dos dados e para assegurar o segredo estat\u00edstico. Por fins estat\u00edsticos entende-se todas as opera\u00e7\u00f5es de recolha e de tratamento de dados pessoais necess\u00e1rias \u00e0 realiza\u00e7\u00e3o de estudos estat\u00edsticos ou \u00e0 produ\u00e7\u00e3o de resultados estat\u00edsticos. Esses resultados estat\u00edsticos podem ser utilizados posteriormente para fins diferentes, inclusive fins de investiga\u00e7\u00e3o cient\u00edfica. No fim estat\u00edstico est\u00e1 impl\u00edcito que os resultados do tratamento para esse fim n\u00e3o sejam j\u00e1 dados pessoais, mas dados agregados e que esses resultados ou os dados pessoais n\u00e3o sejam utilizados para justificar medidas ou decis\u00f5es tomadas a respeito de uma pessoa singular.
(163)Dever\u00e3o ser protegidas as informa\u00e7\u00f5es confidenciais que a Uni\u00e3o e as autoridades nacionais de estat\u00edstica recolham para a produ\u00e7\u00e3o de estat\u00edsticas oficiais europeias e nacionais. Dever\u00e3o ser desenvolvidas, elaboradas e divulgadas estat\u00edsticas europeias de acordo com os princ\u00edpios estat\u00edsticos enunciados no artigo 338.\u00ba, n.\u00ba 2, do TFUE, devendo as estat\u00edsticas nacionais cumprir tamb\u00e9m o disposto no direito do Estado-Membro. O Regulamento (CE) n.\u00ba 223\/2009 do Parlamento Europeu e do Conselho (16) fornece especifica\u00e7\u00f5es suplementares em mat\u00e9ria de segredo estat\u00edstico aplic\u00e1vel \u00e0s estat\u00edsticas europeias.
(164)No que se refere aos poderes das autoridades de controlo para obter, junto do respons\u00e1vel pelo tratamento ou do subcontratante, o acesso aos dados pessoais e o acesso \u00e0s suas instala\u00e7\u00f5es, os Estados-Membros podem adotar no seu ordenamento jur\u00eddico, dentro dos limites do presente regulamento, normas espec\u00edficas que visem preservar o sigilo profissional ou outras obriga\u00e7\u00f5es equivalentes, na medida do necess\u00e1rio para conciliar o direito \u00e0 prote\u00e7\u00e3o dos dados pessoais com a obriga\u00e7\u00e3o de sigilo profissional. Tal n\u00e3o prejudica as obriga\u00e7\u00f5es de adotar regras em mat\u00e9ria de sigilo profissional a que os Estados-Membros fiquem sujeitos por for\u00e7a do direito da Uni\u00e3o.
(165)O presente regulamento respeita e n\u00e3o afeta o estatuto de que beneficiam, nos termos do direito constitucional vigente, as igrejas e associa\u00e7\u00f5es ou comunidades religiosas nos Estados-Membros, reconhecido pelo artigo 17.\u00ba do TFUE.
(166)A fim de cumprir os objetivos do presente regulamento, a saber, defender os direitos e liberdades fundamentais das pessoas singulares, nomeadamente o seu direito \u00e0 prote\u00e7\u00e3o dos dados pessoais, e assegurar a livre circula\u00e7\u00e3o desses dados na Uni\u00e3o, o poder de adotar atos nos termos do artigo 290.\u00ba do TFUE dever\u00e1 ser delegado na Comiss\u00e3o. Em especial, dever\u00e3o ser adotados atos delegados em rela\u00e7\u00e3o aos crit\u00e9rios e requisitos aplic\u00e1veis aos procedimentos de certifica\u00e7\u00e3o, \u00e0s informa\u00e7\u00f5es a fornecer por meio de \u00edcones normalizados e aos procedimentos aplic\u00e1veis ao fornecimentos de tais \u00edcones. \u00c9 especialmente importante que a Comiss\u00e3o proceda a consultas adequadas ao longo dos seus trabalhos preparat\u00f3rios, incluindo a n\u00edvel de peritos. A Comiss\u00e3o, aquando da prepara\u00e7\u00e3o e elabora\u00e7\u00e3o dos atos delegados, dever\u00e1 assegurar o envio simult\u00e2neo, em tempo \u00fatil e em devida forma, dos documentos relevantes ao Parlamento Europeu e ao Conselho.
(167)A fim de assegurar condi\u00e7\u00f5es uniformes para a execu\u00e7\u00e3o do presente regulamento, dever\u00e3o ser atribu\u00eddas compet\u00eancias de execu\u00e7\u00e3o \u00e0 Comiss\u00e3o nos casos previstos no presente regulamento. Essas compet\u00eancias dever\u00e3o ser exercidas nos termos do Regulamento (UE) n.\u00ba 182\/2011. Nesse contexto, a Comiss\u00e3o dever\u00e1 ponderar medidas espec\u00edficas para as micro, pequenas e m\u00e9dias empresas.
(168)O procedimento de exame dever\u00e1 ser utilizado para a ado\u00e7\u00e3o de atos de execu\u00e7\u00e3o em mat\u00e9ria de cl\u00e1usulas contratuais-tipo entre os respons\u00e1veis pelo tratamento e os subcontratantes e entre subcontratantes; c\u00f3digos de conduta; normas t\u00e9cnicas e procedimentos de certifica\u00e7\u00e3o; n\u00edvel de prote\u00e7\u00e3o adequado conferido por um pa\u00eds terceiro, um territ\u00f3rio ou um setor espec\u00edfico nesse pa\u00eds terceiro ou uma organiza\u00e7\u00e3o internacional; cl\u00e1usulas normalizadas de prote\u00e7\u00e3o; formatos e procedimentos de interc\u00e2mbio de informa\u00e7\u00f5es entre os respons\u00e1veis pelo tratamento, os subcontratantes e as autoridades de controlo no que respeita \u00e0s regras vinculativas aplic\u00e1veis \u00e0s empresas; assist\u00eancia m\u00fatua; e regras de interc\u00e2mbio eletr\u00f3nico de informa\u00e7\u00f5es entre as autoridades de controlo e entre estas e o Comit\u00e9.
(169)A Comiss\u00e3o dever\u00e1 adotar atos de execu\u00e7\u00e3o imediatamente aplic\u00e1veis quando haja elementos que comprovem que um pa\u00eds terceiro, um territ\u00f3rio ou um setor espec\u00edfico nesse pa\u00eds terceiro ou uma organiza\u00e7\u00e3o internacional n\u00e3o assegura um n\u00edvel de prote\u00e7\u00e3o adequado, e imperativos urgentes assim o exigirem.
(170)Atendendo a que o objetivo do presente regulamento, a saber, assegurar um n\u00edvel equivalente de prote\u00e7\u00e3o das pessoas singulares e a livre circula\u00e7\u00e3o de dados pessoais na Uni\u00e3o, n\u00e3o pode ser suficientemente alcan\u00e7ado pelos Estados-Membros e pode, devido \u00e0 dimens\u00e3o e aos efeitos da a\u00e7\u00e3o, ser mais bem alcan\u00e7ado ao n\u00edvel da Uni\u00e3o, a Uni\u00e3o pode adotar medidas em conformidade com o princ\u00edpio da subsidiariedade consagrado no artigo 5.\u00ba do Tratado da Uni\u00e3o Europeia (TUE). Em conformidade com o princ\u00edpio da proporcionalidade consagrado no mesmo artigo, o presente regulamento n\u00e3o excede o necess\u00e1rio para alcan\u00e7ar esse objetivo.
(171)A Diretiva 95\/46\/CE dever\u00e1 ser revogada pelo presente regulamento. Os tratamentos de dados que se encontrem j\u00e1 em curso \u00e0 data de aplica\u00e7\u00e3o do presente regulamento dever\u00e3o passar a cumprir as suas disposi\u00e7\u00f5es no prazo de dois anos ap\u00f3s a data de entrada em vigor. Se o tratamento dos dados se basear no consentimento dado nos termos do disposto na Diretiva 95\/46\/CE, n\u00e3o ser\u00e1 necess\u00e1rio obter uma vez mais o consentimento do titular dos dados, se a forma pela qual o consentimento foi dado cumprir as condi\u00e7\u00f5es previstas no presente regulamento, para que o respons\u00e1vel pelo tratamento prossiga essa atividade ap\u00f3s a data de aplica\u00e7\u00e3o do presente regulamento. As decis\u00f5es da Comiss\u00e3o que tenham sido adotadas e as autoriza\u00e7\u00f5es que tenham emitidas pelas autoridades de controlo com base na Diretiva 95\/46\/CE, permanecem em vigor at\u00e9 ao momento em que sejam alteradas, substitu\u00eddas ou revogadas.
(172)A Autoridade Europeia para a Prote\u00e7\u00e3o de Dados foi consultada nos termos do artigo 28.\u00ba, n.\u00ba 2, do Regulamento (CE) n.\u00ba 45\/2001 e emitiu parecer em 7 de mar\u00e7o de 2012 (17).
(173)O presente regulamento dever\u00e1 aplicar-se a todas as mat\u00e9rias relacionadas com a defesa dos direitos e das liberdades fundamentais em rela\u00e7\u00e3o ao tratamento de dados pessoais, n\u00e3o sujeitas a obriga\u00e7\u00f5es espec\u00edficas com o mesmo objetivo, enunciadas na Diretiva 2002\/58\/CE do Parlamento Europeu e do Conselho (18), incluindo as obriga\u00e7\u00f5es que incumbem ao respons\u00e1vel pelo tratamento e os direitos das pessoas singulares. A fim de clarificar a rela\u00e7\u00e3o entre o presente regulamento e a Diretiva 2002\/58\/CE, esta \u00faltima dever\u00e1 ser alterada em conformidade. Uma vez adotado o presente regulamento, a Diretiva 2002\/58\/CE dever\u00e1 ser revista, em especial a fim de assegurar a coer\u00eancia com o presente regulamento,
ADOTARAM O PRESENTE REGULAMENTO:<\/p>\n\n\n\n
CAP\u00cdTULO I
Disposi\u00e7\u00f5es gerais
Artigo 1.\u00ba
Objeto e objectivos<\/p>\n\n\n\n
- O presente regulamento estabelece as regras relativas \u00e0 prote\u00e7\u00e3o das pessoas singulares no que diz respeito ao tratamento de dados pessoais e \u00e0 livre circula\u00e7\u00e3o desses dados.<\/li>
- O presente regulamento defende os direitos e as liberdades fundamentais das pessoas singulares, nomeadamente o seu direito \u00e0 prote\u00e7\u00e3o dos dados pessoais.<\/li>
- A livre circula\u00e7\u00e3o de dados pessoais no interior da Uni\u00e3o n\u00e3o \u00e9 restringida nem proibida por motivos relacionados com a prote\u00e7\u00e3o das pessoas singulares no que respeita ao tratamento de dados pessoais. Artigo 2.\u00ba
\u00c2mbito de aplica\u00e7\u00e3o material<\/li> - O presente regulamento aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios n\u00e3o automatizados de dados pessoais contidos em ficheiros ou a eles destinados.<\/li>
- O presente regulamento n\u00e3o se aplica ao tratamento de dados pessoais:
a)Efetuado no exerc\u00edcio de atividades n\u00e3o sujeitas \u00e0 aplica\u00e7\u00e3o do direito da Uni\u00e3o:
b)Efetuado pelos Estados-Membros no exerc\u00edcio de atividades abrangidas pelo \u00e2mbito de aplica\u00e7\u00e3o do t\u00edtulo V, cap\u00edtulo 2, do TUE;
c)Efetuado por uma pessoa singular no exerc\u00edcio de atividades exclusivamente pessoais ou dom\u00e9sticas;
d)Efetuado pelas autoridades competentes para efeitos de preven\u00e7\u00e3o, investiga\u00e7\u00e3o, dete\u00e7\u00e3o e repress\u00e3o de infra\u00e7\u00f5es penais ou da execu\u00e7\u00e3o de san\u00e7\u00f5es penais, incluindo a salvaguarda e a preven\u00e7\u00e3o de amea\u00e7as \u00e0 seguran\u00e7a p\u00fablica.<\/li> - O Regulamento (CE) n.\u00ba 45\/2001 aplica-se ao tratamento de dados pessoais pelas institui\u00e7\u00f5es, \u00f3rg\u00e3os, organismos ou ag\u00eancias da Uni\u00e3o. O Regulamento (CE) n.\u00ba 45\/2001, bem como outros atos jur\u00eddicos da Uni\u00e3o aplic\u00e1veis ao tratamento de dados pessoais, s\u00e3o adaptados aos princ\u00edpios e regras do presente regulamento nos termos previstos no artigo 98.\u00ba.<\/li>
- O presente regulamento n\u00e3o prejudica a aplica\u00e7\u00e3o da Diretiva 2000\/31\/CE, nomeadamente as normas em mat\u00e9ria de responsabilidade dos prestadores intermedi\u00e1rios de servi\u00e7os previstas nos seus artigos 12.\u00ba a 15.\u00ba. Artigo 3.\u00ba
\u00c2mbito de aplica\u00e7\u00e3o territorial<\/li> - O presente regulamento aplica-se ao tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento de um respons\u00e1vel pelo tratamento ou de um subcontratante situado no territ\u00f3rio da Uni\u00e3o, independentemente de o tratamento ocorrer dentro ou fora da Uni\u00e3o.<\/li>
- O presente regulamento aplica-se ao tratamento de dados pessoais de titulares que se encontrem no territ\u00f3rio da Uni\u00e3o, efetuado por um respons\u00e1vel pelo tratamento ou subcontratante n\u00e3o estabelecido na Uni\u00e3o, quando as atividades de tratamento estejam relacionadas com:
a)A oferta de bens ou servi\u00e7os a esses titulares de dados na Uni\u00e3o, independentemente da exig\u00eancia de os titulares dos dados procederem a um pagamento;
b)O controlo do seu comportamento, desde que esse comportamento tenha lugar na Uni\u00e3o.<\/li> - O presente regulamento aplica-se ao tratamento de dados pessoais por um respons\u00e1vel pelo tratamento estabelecido n\u00e3o na Uni\u00e3o, mas num lugar em que se aplique o direito de um Estado-Membro por for\u00e7a do direito internacional p\u00fablico. Cont\u00e9m as altera\u00e7\u00f5es introduzidas pelos seguintes diplomas:<\/li><\/ol>\n\n\n\n
- Retifica\u00e7\u00e3o n.\u00ba 00\/2016, de 04 de Maio Vers\u00f5es anteriores deste artigo: