Regulamento Geral de Proteção de Dados - Manual Prático 2ª edição revista e ampliada by Vida Económica

MANUAL PRĂ TICO O Regulamento Geral de ProteĂ§ĂŁo de Dados introduz no regime jurĂdico da proteĂ§ĂŁo dos dados pessoais novos conceitos, novos direitos e novas obrigaĂ§Ăľes. As organizaĂ§Ăľes tĂŞm atĂŠ o dia 25 de maio de 2018 para garantir a conformidade dos seus procedimentos com o disposto no Regulamento Geral de ProteĂ§ĂŁo de Dados, incorrendo, a partir daquela data, em elevadas coimas que poderĂŁo atingir 4% da faturaĂ§ĂŁo anual ou 20 milhĂľes de euros. Neste Manual, eminentemente prĂĄtico e conciso, o leitor encontrarĂĄ: â&#x20AC;&#x201C; Uma introduĂ§ĂŁo clara e objetiva ao Regulamento Geral de ProteĂ§ĂŁo de Dados; â&#x20AC;&#x201C; A resposta Ă s dĂşvidas mais frequentes relacionadas com os novos conceitos, direitos e obrigaĂ§Ăľes decorrentes do Regulamento; â&#x20AC;&#x201C; Um guiĂŁo das medidas tĂŠcnicas e organizacionais a implementar para garantir a conformidade com o Regulamento e evitar coimas; â&#x20AC;&#x201C; Um glossĂĄrio com os termos do regulamento; â&#x20AC;&#x201C; O Regulamento (EU) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016. EdiĂ§ĂŁo atualizada com as linhas orientadoras do grupo de trabalho do artigo 29Âş.

www.vidaeconomica.pt ,6%1 Visite-nos em livraria.vidaeconomica.pt

9 789897 684456

REGULAMENTO GERAL DE PROTEĂ&#x2021;Ă&#x192;O DE DADOS - MANUAL PRĂ TICO

REGULAMENTO GERAL DE PROTEĂ&#x2021;Ă&#x192;O DE DADOS

FILIPA MATIAS MAGALHĂ&#x192;ES MARIA LEITĂ&#x192;O PEREIRA

REGULAMENTO GERAL DE PROTEĂ&#x2021;Ă&#x192;O DE DADOS MANUAL PRĂ TICO 2ÂŞ EDIĂ&#x2021;Ă&#x192;O Revista e ampliada

“– Na verdade, pensando bem, as leis até ocupam espaço, bem mais espaço do que um palácio. – Como assim? – As leis ocupam todo o espaço de um país, só que não se veem. Não pesam. – Não percebo. – É assim mesmo. As leis são como o oxigénio: estão em todo o lado mas não as vês.”

Gonçalo M. Tavares, in O Torcicologista, excelência.

NOTA JUSTIFICATIVA Porquê um Manual de aplicação prática do Regulamento Geral de Proteção de Dados? Aproximando-se a data da plena aplicação do novo Regulamento Europeu de Proteção de Dados e apesar da afirmação proferida pela Presidente da Comissão Nacional de Proteção de Dados (CNPD) na conferência “O novo Regulamento Europeu de Proteção de Dados”, promovida pela Ordem dos Advogados, no passado dia 25 de maio de 2017 – "O regulamento não tem nada de muito novo. Haverá alterações nas obrigações, mas o registo substantivo é o mesmo. Até está mais simplificado” –, a verdade é que, por detrás da tranquilidade mitigada pela responsabilidade que está inerente a esta afirmação, as organizações, empresas e instituições encaram este Regulamento com alguma preocupação. É para esses, e também para aqueles que, a menos de um ano da plena aplicação do Regulamento, ainda desconhecem as obrigações e direitos que dele decorrem, que este Manual se destina! Aqui poderá encontrar, de forma clara e objetiva, as maiores novidades introduzidas por este Regulamento Comunitário, a forma como o mesmo será aplicado em Portugal e que preocupações, cuidados, documentos e procedimentos terão que ser adaptados ou alterados. É um Manual para nos lembrar das nossas obrigações, mas também dos nossos direitos e das implicações práticas que tudo isto terá nas organizações. Esperamos, com o presente Manual, contribuir para descomplicar um instrumento legal que se pretende percetível por todos, como garante da sua boa implementação.

GLOSSÁRIO CONSENTIMENTO DO TITULAR DOS DADOS Manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento. O consentimento do titular dos dados pode ser dado mediante uma declaração escrita, inclusive em formato eletrónico, ou uma declaração oral, bem como pode passar pela validação de uma opção ao visitar um sítio web na Internet, selecionando os parâmetros técnicos para os serviços da sociedade da informação ou mediante outra declaração ou conduta que indique claramente nesse contexto que aceita o tratamento proposto dos seus dados pessoais. Não se considera consentimento o silêncio, as opções pré-validadas ou a omissão do titular dos dados. DADOS PESSOAIS Informação relativa a uma pessoa singular identificada ou identificável (titular dos dados); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular. DESTINATÁRIO A pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que recebem comunicações de dados pessoais, independentemente de se tratar ou não de um terceiro. Contudo, as autoridades públicas (tais como as autoridades fiscais e aduaneiras, as unidades de investigação financeira, as autoridades administrativas independentes ou as autoridades dos mercados financeiros, responsáveis pela regulamentação e supervisão dos mercados de valores mobiliários) que

Regulamento Geral de Proteção de Dados – Manual Prático

possam receber dados pessoais no âmbito de inquéritos específicos nos termos do direito da União ou dos Estados-Membros não são consideradas destinatários; o tratamento desses dados por essas autoridades públicas deve cumprir as regras de proteção de dados aplicáveis em função das finalidades do tratamento. Os pedidos de divulgação enviados pelas autoridades públicas deverão ser sempre feitos por escrito, fundamentados e ocasionais e não deverão dizer respeito à totalidade de um ficheiro nem implicar a interconexão de ficheiros ENCARREGADO DE PROTEÇÃO DE DADOS (DPO) Pessoa designada pela organização que estará envolvida em todas as questões relacionadas com a proteção de dados pessoais e cujas principais funções envolvem informar e aconselhar a empresa sobre a conformidade da proteção de dados, aconselhar sobre a avaliação de impacto da proteção de dados, monitorizar a conformidade da proteção de dados, que inclui, por exemplo, formar a equipa e realizar auditorias relacionadas com esta área e cooperar e atuar como ponto de contacto com as autoridades de proteção de dados. MINIMIZAÇÃO DOS DADOS (DATA MINIMISATION) Princípio que impõe que que os dados pessoais recolhidos devem ser limitados ao que é necessário relativamente às finalidades para as quais são tratados. DIREITO DE NÃO SUJEIÇÃO A DECISÕES AUTOMATIZADAS (OPOSIÇÃO AO PROFILING) Os titulares dos dados têm direito a opor-se ao uso de profiling, ou seja, qualquer forma automatizada de processamento de informação pessoal, com o objetivo de avaliar e tipificar indivíduos com base nos seus dados pessoais. PRIVACIDADE DESDE A CONCEÇÃO (PRIVACY BY DESIGN) Abordagem pró-ativa que assenta na necessidade de garantir a privacidade durante todo o processo de desenvolvimento de um novo produto/processo. Aquando da conceção de um novo produto ou de um novo serviço, deve-se considerar o risco que tal representa para a privacidade, em vez de considerar as questões de privacidade apenas posteriormente.

Glossário

PRIVACIDADE POR DEFEITO (PRIVACY BY DEFAULT) Obrigação de assegurar que são colocados em prática os mecanismos necessários para garantir que, por defeito, apenas será recolhida, utilizada e conservada para cada tratamento a quantidade necessária de dados pessoais. Esta obrigação aplica-se à extensão do seu tratamento, ao prazo de conservação e à sua acessibilidade. AVALIAÇÃO DE IMPACTO (PRIVACY IMPACT ASSESSMENTS) Avaliação que visa identificar e minimizar os riscos por incumprimento das regras de proteção de dados, permitindo que a organização encontre problemas nas fases iniciais de qualquer projeto. PSEUDONIMIZAÇÃO Tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável. A pseudonimização aos dados pessoais pode reduzir os riscos para os titulares de dados e ajudar os responsáveis pelo tratamento e os seus subcontratados a cumprir as suas obrigações de proteção de dados. RESPONSÁVEL PELO TRATAMENTO DOS DADOS PESSOAIS Pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado-Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado-Membro. SUBCONTRATANTE1 A pessoa singular ou coletiva, a autoridade pública, a agência ou qualquer outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes.

1. De acordo com a CNPD o termo correto será subcontratado e não subcontratante como consta do regulamento. Optamos, no entanto por recorrer a terminologia usada no regulamento, até o mesmo ser (eventualmente) corrigido.

Regulamento Geral de Proteção de Dados – Manual Prático

TRATAMENTO DOS DADOS PESSOAIS Qualquer operação ou conjunto de operações efetuadas sobre dados pessoais, com ou sem meios automatizados, tais como a recolha, o registo, a organização, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, por difusão ou por qualquer outra forma de disponibilização, a comparação ou interconexão, bem como a limitação, apagamento ou destruição. TERCEIRO Pessoa singular ou coletiva, a autoridade pública, o serviço ou organismo que não seja o titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar os dados pessoais. VIOLAÇÃO DE DADOS PESSOAIS Violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizado a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.

ÍNDICE Nota justificativa ----------------------------------------------------------------

Glossário ------------------------------------------------------------------------

PARTE 1: O REGULAMENTO GERAL SOBRE A PROTEÇÃO DE DADOS Âmbito de aplicação do Regulamento ----------------------------------------

1. O organismo procede ao tratamento de dados pessoais? ---------

2. O organismo, empresa ou instituição intervém como responsável pelo tratamento ou como subcontratante? ---------------------------

3. Existe uma ligação geográfica com a União Europeia? --------------

Os direitos dos titulares dos dados -------------------------------------------

1. Direito de acesso ------------------------------------------------------

2. Direito de retificação ---------------------------------------------------

3. Direito de apagamento -------------------------------------------------

4. Direito à limitação do tratamento --------------------------------------

5. Direito de portabilidade dos dados -----------------------------------

6. Direito de oposição e decisões individuais automatizadas ----------

O direito/dever a informação -------------------------------------------------

Os princípios aplicáveis ao tratamento dos dados pessoais ---------------

1. Os princípios previstos pelo RGPD ------------------------------------

2. Licitude do tratamento dos dados pessoais --------------------------

As obrigações do responsável pelo tratamento dos dados pessoais -----

1. Proteção de dados desde a conceção e por defeito -----------------

2. Documentação e registo de atividades de tratamento ---------------

3. O reforço de políticas e procedimentos de segurança de dados ---

4. Notificação da violação dos dados ------------------------------------

A avaliação de impacto ---------------------------------------------------------

O encarregado de proteção dos dados DPO ----------------------------------

1. Todas as entidades devem obrigatoriamente nomear um DPO? ---

Regulamento Geral de Proteção de Dados – Manual Prático

2. Quem pode ser nomeado encarregado de proteção dos dados? --

3. Quais são as atribuições de um DPO? --------------------------------

O tratamento de dados pessoais especiais -----------------------------------

1. Os dados sensíveis -----------------------------------------------------

2. Os dados referentes a condenações penais e infrações ------------

O incumprimento do RGPD -----------------------------------------------------

1. A autoridade de controlo -----------------------------------------------

2. O recurso aos tribunais judiciais --------------------------------------

PARTE 2: IMPLEMENTAR O RGPD Implementar o RGPD – passo a passo ----------------------------------------

Designar um responsável pela compliance ----------------------------------

Levantamento e mapeamento de todos os tratamentos de dados pessoais

Diagnóstico ----------------------------------------------------------------------

Compliance ---------------------------------------------------------------------

1. Garantir a prestação da informação ao titular dos dados ------------

2. Documentar a conformidade ao RGPD --------------------------------

3. Preparar e divulgar políticas e regulamentos internos ---------------

Conclusão -----------------------------------------------------------------------

PARTE 3: ANEXO I Orientações sobre a identificação da autoridade de controlo principal do responsável pelo tratamento ou do subcontratante ---------------------

Anexo II wp244 - Perguntas Frequentes --------------------------------------

Orientações sobre os encarregados da proteção de dados (EPD) ----------

199

Orientações sobre o direito à portabilidade dos dados ----------------------

128

Anexo II wp242 - Perguntas Frequentes --------------------------------------

153

Orientações relativas à Avaliação de Impacto sobre a Proteção de Dados (AIPD) e que determinam se o tratamento é «suscetível de resultar num elevado risco» para efeitos do Regulamento (UE) 2016/679 ----------

158

PARTE 4: ANEXO II Regulamento (UE) 2016/680 do Parlamento Europeu e do Conselho de 24 Abril de 2016 -------------------------------------------------------------

187

Diretório ------------------------------------------------------------------------

269

PARTE I O REGULAMENTO GERAL SOBRE A PROTEÇÃO DE DADOS

O presente Regulamento reflete a vontade do Parlamento Europeu e do Conselho da União Europeia de implementar “um quadro de proteção de dados sólido e mais coerente, apoiado por uma aplicação rigorosa das regras, pois é importante gerar a confiança necessária ao desenvolvimento da economia digital no conjunto do mercado interno”. Após vários anos de utilização massiva da rede para comunicar, comprar, promover produtos e aproximar as pessoas e as empresas, fica o sentimento de insegurança que resulta destas relações virtuais, tendo-se considerado essencial devolver às pessoas singulares o controlo da utilização que é feita dos seus dados pessoais, devendo ser reforçada a segurança jurídica e a segurança prática para as pessoas singulares, os operadores económicos e as autoridades públicas. Na linha desse objetivo, a publicação, no dia 4 de maio de 2016, do novo Regulamento Geral sobre a Proteção de Dados – RGPD – constitui um marco fundamental na regulação do tratamento dos dados pessoais, tendo como escopo responder aos novos desafios na área de proteção de dados pessoais gerados pela evolução das novas tecnologias e pela globalização dos mercados. Este regulamento faz parte do pacote da União Europeia relativo à reforma da proteção de dados e passará a ser aplicado direta e obrigatoriamente a partir de 25 de maio de 2018, trazendo impactos significativos na vida das organizações. O RGPD introduz um conjunto de novas regras, que nos propomos aqui analisar, entre as quais se destaca a obrigação de designar um encarregado de proteção de dados, regras sobre pseudonimização de dados, a alteração das regras sobre obtenção de consentimento, a eliminação do sistema de notificações e autorizações, a implementação do direito ao esquecimento, a criação de obrigações acrescidas para os subcontratados, a introdução de coimas de valor muito elevado e obrigações de informação relativas a quebras de segurança.

ÂMBITO DE APLICAÇÃO DO REGULAMENTO PERGUNTA: A quem se aplica o Regulamento Geral sobre a Proteção dos Dados Pessoais?

A primeira questão que o Leitor deve colocar é a de saber se a sua empresa, o seu serviço, a sua instituição está, ou não, sujeito à disciplina do Regulamento Geral sobre a Proteção de Dados. Atrevemo-nos a afirmar que, se comprou este manual, é porque já suspeita que sim! E a verdade é que estará, muito provavelmente, certo, uma vez que praticamente todas as organizações se encontram sujeitas ao regime do RGPD, ainda que nem todas se encontrem sujeitas às mesmas obrigações. Nos seus artigos 2.º, 3.º e 4.º, o RGPD estipula o seu âmbito de aplicação territorial e material, prevendo-se aí três requisitos para determinar se uma empresa/instituição recai, ou não, no âmbito de aplicação do RGPD.

1. O ORGANISMO PROCEDE AO TRATAMENTO DE DADOS PESSOAIS? O RGPD aplica-se aos tratamentos de dados pessoais realizados por meios total ou parcialmente automatizados, ou por meios não automatizados (desde que contidos em ficheiros).

O Regulamento Geral sobre a Proteção de Dados

Dois aspetos se destacam desta noção: • Não são abrangidos os dados das pessoas coletivas; e • O regulamento aplica-se também ao tratamento de dados por meios não automatizados, desde que os dados se encontrem vertidos em ficheiros ou que se destinem a constar num ficheiro (conjunto estruturado de dados acessiveis em funções de determinados critérios). O QUE SE CONSIDERA TRATAMENTO DE DADOS? Qualquer operação ou conjunto de operações efetuadas sobre dados pessoais, com ou sem recurso a meios automatizados, entre as quais se encontram as seguintes: • Recolha de dados; • Registo desses dados; • Organização de dados; • Conservação; • Adaptação ou alteração; • Recuperação; • Consulta; • Utilização; • Divulgação por qualquer forma de disponibilização; • Comparação ou interconexão; • Limitação; • Apagamento; ou • Destruição. Todavia o RGPD não tem vocação a aplicar-se a todo e qualquer tratamento, mas apenas ao tratamento de dados pessoais. Vejamos, então, o que se deve entender por dados pessoais? O QUE SE CONSIDERA DADOS PESSOAIS? Consideram-se “dados pessoais” todos e quaisquer dados relativos a pessoas singulares identificadas ou identificáveis, como o nome, morada, e-mail, idade, estado civil, dados de localização, genéticos, fisiológicos, económicos, culturais ou sociais.

PARTE 2 IMPLEMENTAR O RGPD

IMPLEMENTAR O RGPD PASSO A PASSO Chegado aqui, o Leitor já sabe que quase todos os organismos estão sujeitos ao RGPD, conhece detalhadamente as obrigações do Regulamento e sabe que, em caso de incumprimento, as empresas/instituições estarão sujeitas a medidas corretivas, entre as quais elevadas coimas, sem prejuízo da possibilidade de serem obrigadas a indemnizar os titulares dos dados pelos danos sofridos. Uma vez que o RGPD passará a ser aplicado direta e obrigatoriamente a partir de 25 de maio de 2018, é premente que as organizações procurem identificar as medidas que deverão implementar para se poder considerar compliant com o Regulamento. De seguida, o Leitor encontrará um guia com a descrição de todos os passos necessários para garantir que a sua empresa, a sua instituição ou o seu serviço se adequam às exigências decorrentes do RGPD.

DESIGNAR UM RESPONSÁVEL PELA COMPLIANCE Conforme vimos, a maioria das organizações deverá nomear um encarregado de proteção de dados, um DPO, ao qual compete garantir que a organização cumpre todas as obrigações legais do RGPD, informando e aconselhando o responsável pelo tratamento ou o subcontratante, bem como os trabalhadores que tratem os dados, a respeito das suas obrigações no âmbito da proteção dos dados pessoais. Assim, pese embora a nomeação do DPO só seja obrigatória a partir de 25 de maio de 2018 – e não em todas as organizações –, recomendamos que cada empresa pondere designar um DPO para a auxiliar na implementação das medidas previstas pelo RGPD. Ainda que, após reflexão, a empresa chegue à conclusão de que não necessita de designar um DPO, ou que não será necessária a sua nomeação antes de 25 de maio de 2018, é aconselhável que designe uma pessoa (interna ou externa) que será responsável pela compliance com as regras vertidas no RGPD.

LEVANTAMENTO E MAPEAMENTO DE TODOS OS TRATAMENTOS DE DADOS PESSOAIS Para conhecer o impacto exato do RGPD na sua atividade, as organizações devem identificar, de forma detalhada, os tratamentos de dados pelos quais são responsáveis. A ideia-chave é efetuar um levantamento exaustivo dos tratamentos de dados realizados pela empresa ou pela instituição para depois mapear os dados utilizados e identificar as operações a que estão sujeitos e os intervenientes nestas operações. Os dados poderão assim ser agrupados em conjuntos identificáveis, funcionais e com riscos similares ao nível da sua proteção e conservação. Para tal será necessário ter em conta as categorias de dados, a finalidade de tratamento, o prazo de conservação e o âmbito geográfico do tratamento. Para conseguir avaliar o impacto do RGPD na sua empresa ou organização, o responsável pela implementação do regulamento deve: • Recensear os vários tratamentos de dados pessoais realizados; • Identificar fundamentos para o tratamento (A legitimidade do tratamento dos dados pessoais decorre da execução de um contrato? De diligências pré-contratuais? Do cumprimento de uma obrigação legal? Do consentimento informado do titular dos dados?); • Mapear as categorias dos dados pessoais objetos do tratamento; • Identificar as finalidades dos diversos tratamentos; • Identificar Subcontratantes ou Terceiros a quem são transmitidos dados

DIAGNÓSTICO Concluído o levantamento e o mapeamento dos tratamentos de dados pessoais realizados na empresa ou organização, o responsável pela implementação do RGPD poderá identificar os gaps – as lacunas – entre a atuação da instituição, nos diversos processos, e o previsto no Regulamento de Proteção de Dados. Só depois de responder às questões infra é que o responsável poderá ajustar a atuação da empresa ou da organização à realidade do RGPD e identificar os passos seguintes para garantir que está compliant com o Regulamento. a) O tratamento recai no âmbito de aplicação do RGPD? Sim

Âmbito territorial

O estabelecimento do responsável pelo tratamento dos dados situa-se em território da UE? Se os titulares dos dados não se encontrarem na UE e o tratamento se encontrar relacionado com: Oferta de bens/serviços aos residentes da UE?

Âmbito material

Controlo do comportamento de residentes da UE? A instituição trata dados pessoais por meios total ou parcialmente automatizados? A instituição efetua tratamento de dados pessoais por meios não automatizados mas contidos em ficheiros?

Não

PARTE 3 ANEXO I

ORIENTAÇÕES SOBRE A IDENTIFICAÇÃO DA AUTORIDADE DE CONTROLO PRINCIPAL DO RESPONSÁVEL PELO TRATAMENTO OU DO SUBCONTRATANTE ADOTADAS EM 13 DE DEZEMBRO DE 2016 ÚLTIMA REDAÇÃO REVISTA E ADOTADA EM 5 DE ABRIL DE 2017

1. IDENTIFICAÇÃO DA AUTORIDADE DE CONTROLO PRINCIPAL: CONCEITOS PRINCIPAIS. 1.1 «TRATAMENTO TRANSFRONTEIRIÇO DE DADOS PESSOAIS». A identificação da autoridade de controlo principal é pertinente apenas quando o responsável pelo tratamento ou o subcontratante procede ao tratamento transfronteiriço de dados pessoais. O artigo 4.º, ponto 23, do Regulamento Geral sobre a Proteção de Dados (RGPD) define o «tratamento transfronteiriço» como: - O tratamento de dados pessoais que ocorre no contexto das atividades de estabelecimentos em mais do que um Estado-Membro de um responsável pelo tratamento ou

Este Grupo de Trabalho foi instituído ao abrigo do artigo 29.º da Diretiva 95/46/CE. Trata-se de um órgão consultivo europeu independente em matéria de proteção de dados e privacidade. As suas atribuições encontram-se descritas no artigo 30.º da Diretiva 95/46/CE e no artigo 15.º da Diretiva 2002/58/CE. O secretariado é assegurado pela Direção C (Direitos Fundamentais e Estado de Direito) da Comissão Europeia, Direção-Geral da Justiça e dos Consumidores, B-1049 Bruxelas, Bélgica, Gabinete n.º MO59 05/35.

ANEXO II wp244 PERGUNTAS FREQUENTES O QUE É UMA «AUTORIDADE DE CONTROLO PRINCIPAL»? No RGPD, a título de regra geral, o controlo das atividades de tratamento transfronteiriço, ou que envolva cidadãos de mais do que um Estado-Membro da UE, é dirigido por uma única autoridade de controlo, intitulada «autoridade de controlo principal». Este sistema é conhecido como princípio do balcão único. A autoridade de controlo principal é o organismo que tem como responsabilidade principal gerir uma atividade de tratamento transfronteiriço, por exemplo, quando está a ser investigada uma empresa que exerça atividades de tratamento em vários Estados-Membros. A autoridade principal coordena as operações que impliquem as autoridades de controlo interessadas, em conformidade com os artigos 60.º a 62.º do regulamento (p.ex., balcão único, assistência mútua e operações conjuntas). Apresenta qualquer projeto de decisão às autoridades de controlo com interesse na matéria. O QUE É O TRATAMENTO TRANSFRONTEIRIÇO? O mecanismo da autoridade de controlo principal só é acionado no âmbito de um tratamento transfronteiriço. Por conseguinte, é necessário identificar se está a ser efetuado um eventual tratamento transfronteiriço. Nos termos do artigo 4.º, ponto 23, do regulamento, entende-se por «tratamento transfronteiriço»: - o tratamento de dados pessoais que ocorre no contexto das atividades de estabelecimentos em mais do que um Estado-Membro de um responsável pelo tratamento ou um subcontratante na União, caso o responsável pelo tratamento ou o subcontratante esteja estabelecido em mais do que um Estado-Membro; - o tratamento de dados pessoais que ocorre no contexto das atividades de um único estabelecimento de um responsável pelo tratamento ou de um subcontratante, mas

ORIENTAÇÕES SOBRE OS ENCARREGADOS DA PROTEÇÃO DE DADOS (EPD) ADOTADAS EM 13 DE DEZEMBRO DE 2016 COM A ÚLTIMA REDAÇÃO REVISTA E ADOTADA EM 5 DE ABRIL DE 2017

O GRUPO DE TRABALHO PARA A PROTEÇÃO DAS PESSOAS NO QUE DIZ RESPEITO AO TRATAMENTO DE DADOS PESSOAIS instituído pela Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, Tendo em conta os artigos 29.º e 30.º da referida diretiva, Tendo em conta o seu regulamento interno, ADOTOU AS PRESENTES ORIENTAÇÕES:

100

Regulamento Geral de Proteção de Dados – Manual Prático

1. INTRODUÇÃO O Regulamento Geral sobre a Proteção de Dados (RGPD)1, cuja entrada em vigor está prevista para 25 de maio de 2018, proporciona um quadro de cumprimento modernizado e assente na responsabilidade em matéria de proteção de dados na Europa. Os encarregados da proteção de dados (EPD)2 terão um papel central neste novo quadro normativo relativamente a um vasto número de organizações, facilitando o cumprimento das disposições do RGPD. Nos termos do RGPD, determinados responsáveis pelo tratamento e subcontratantes devem obrigatoriamente designar um EPD2. É o caso de todas as autoridades e organismos públicos (independentemente do tipo de dados que tratam) e de outras organizações cuja atividade principal consista no controlo de pessoas de forma sistemática e em grande escala, ou que tratam de categorias especiais de dados pessoais em larga escala. Mesmo quando o RGPD não exige especificamente a nomeação de um EPD, as organizações poderão, nalguns casos, considerar conveniente designar um EPD a título voluntário. O Grupo do Artigo 29.º para a Proteção de Dados (GT 29) é favorável a estas iniciativas voluntárias. O conceito de EPD não é novo. A Diretiva 95/46/CE3 não obrigava nenhuma organização a nomear um EPD, mas, ainda assim, a prática da nomeação de EPD desenvolveu-se em vários Estados-Membros ao longo dos anos. Já antes da adoção do RGPD, o GT 29 defendia que a figura do EPD é um pilar da responsabilidade e que a nomeação de um EPD pode facilitar a conformidade e, além disso, propiciar uma vantagem competitiva às empresas4. Além de facilitar a conformidade

1. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016). O RGPD é relevante para efeitos do EEE e será aplicável depois de ser integrado no Acordo EEE. 2. A nomeação de um EPD é igualmente obrigatória para as autoridades competentes, em conformidade com o artigo 32.º da Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI do Conselho (JO L 119 de 4.5.2016, pp. 89-131), e com a legislação nacional de execução. Embora as presentes orientações incidam nos EPD ao abrigo do RGPD, são igualmente pertinentes para os EPD ao abrigo da Diretiva (UE) 2016/680, no que diz respeito às suas disposições semelhantes. 3. Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO L 281 de 23.11.1995, p. 31). 4. Ver: http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2015/20150617_appendix_core_issues_plenary_en.pdf

153

ANEXO wp242 PERGUNTAS FREQUENTES 1. QUAL O OBJETIVO DO DIREITO À PORTABILIDADE DOS DADOS? Essencialmente, a portabilidade dos dados prevê a possibilidade de os titulares dos dados obterem e reutilizarem «os seus» dados para os seus próprios fins e entre diferentes serviços. Este direito viabiliza a capacidade dos titulares para transferir, copiar ou transmitir facilmente dados pessoais de um ambiente informático para outro sem impedimentos. Além de favorecer a capacitação dos consumidores, evitando a «vinculação a um prestador», espera-se que promova oportunidades de inovação e de partilha segura de dados pessoais entre os responsáveis pelo tratamento sob o controlo do titular dos dados.

2. O QUE PERMITE O EXERCÍCIO DO DIREITO À PORTABILIDADE DOS DADOS? Em primeiro lugar, confere o direito a receber os dados pessoais («num formato estruturado, de uso corrente e de leitura automática») tratados por um responsável pelo tratamento e a armazená-los num dispositivo privado para posterior uso pessoal, sem os transferir para outro responsável pelo tratamento. Este direito proporciona aos titulares de dados uma forma simples de gerirem por si próprios os respetivos dados pessoais. Em segundo lugar, este direito também confere aos titulares dos dados a possibilidade de transmitir os respetivos dados pessoais de um responsável pelo tratamento para outro responsável pelo tratamento «sem impedimentos» e viabiliza a sua capacidade para transferir, copiar ou transmitir facilmente dados pessoais de um ambiente informático para outro.

3. QUAIS SÃO AS FERRAMENTAS RECOMENDADAS PARA RESPONDER AOS PEDIDOS DE PORTABILIDADE DOS DADOS? Em primeiro lugar, os responsáveis pelo tratamento devem dar ao titular a possibilidade de descarregar diretamente os seus dados e, em segundo lugar, devem permitir aos titulares de dados transmitir diretamente os dados a outro responsável pelo tratamento.

158

ORIENTAÇÕES RELATIVAS À AVALIAÇÃO DE IMPACTO SOBRE A PROTEÇÃO DE DADOS (AIPD) E QUE DETERMINAM SE O TRATAMENTO É «SUSCETÍVEL DE RESULTAR NUM ELEVADO RISCO» PARA EFEITOS DO REGULAMENTO (UE) 2016/679 ADOTADAS EM 4 DE ABRIL DE 2017 REVISTAS E ADOTADAS PELA ÚLTIMA VEZ EM 4 DE OUTUBRO DE 2017

Este grupo de trabalho foi instituído ao abrigo do artigo 29.º da Diretiva 95/46/CE. Trata-se de um órgão consultivo europeu independente em matéria de proteção de dados e privacidade. As suas atribuições encontram-se descritas no artigo 30.º da Diretiva 95/46/CE e no artigo 15.º da Diretiva 2002/58/CE. Os serviços de secretariado são prestados pela Direção C (Direitos Fundamentais e Cidadania da União da Comissão Europeia, Direção-Geral de Justiça, B-1049 Bruxelas, Bélgica, Gabinete n.º MO-59 03/075.

Grupo do Artigo 29.º para a Proteção de Dados

O GRUPO DE PROTEÇÃO DAS PESSOAS NO QUE DIZ RESPEITO AO TRATAMENTO DE DADOS PESSOAIS instituído pela Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, tendo em conta os artigos 29.º e 30.º da referida diretiva, tendo em conta o seu regulamento interno, ADOTOU AS PRESENTES ORIENTAÇÕES:

I. INTRODUÇÃO O Regulamento 2016/6791 (RGPD) é aplicável a partir de 25 de maio de 2018. O artigo 35.º do RGPD introduz o conceito de Avaliação de Impacto sobre a Proteção de Dados (AIPD2), tal como a Diretiva 2016/6803. Uma AIPD é um processo concebido para descrever o tratamento, avaliar a necessidade e proporcionalidade desse tratamento e ajudar a gerir os riscos para os direitos e liberdades das pessoas singulares decorrentes do tratamento dos dados pessoais4

1. Regulamento (UE) n.º 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados). 2. A expressão «Avaliação de Impacto na Privacidade» (AIP) é frequentemente utilizada noutros contextos como referência ao mesmo conceito. 3. O artigo 27.º da Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, também refere que é necessária uma avaliação de impacto na privacidade «[c]aso um tipo de tratamento [...] seja suscetível de resultar num elevado risco para os direitos e liberdades das pessoas singulares». 4. O RGPD não define formalmente o conceito de uma AIPD propriamente dita, mas - o seu conteúdo mínimo encontra-se especificado no artigo 35.º, n.º 7, da seguinte forma: • «a) Uma descrição sistemática das operações de tratamento previstas e a finalidade do tratamento, inclusive, se for caso disso, os interesses legítimos do responsável pelo tratamento; • b) Uma avaliação da necessidade e proporcionalidade das operações de tratamento em relação aos objetivos; • c) Uma avaliação dos riscos para os direitos e liberdades dos titulares dos direitos a que se refere o n.º 1; e • d) As medidas previstas para fazer face aos riscos, incluindo as garantias, medidas de segurança e procedimentos destinados a assegurar a proteção dos dados pessoais e a demonstrar a conformidade com o presente regulamento, tendo em conta os direitos e os legítimos interesses dos titulares dos dados e de outras pessoas em causa». - qual o seu sentido e para que serve são aspetos que se encontram clarificados no considerando 84 da seguinte forma: «A fim de promover o cumprimento do presente regulamento nos casos em que as operações de tratamento de dados sejam suscetíveis de resultar num elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo seu tratamento deverá encarregar-se da realização de uma avaliação de impacto da proteção de dados para determinação, nomeadamente, da origem, natureza, particularidade e gravidade desse risco».

159

PARTE 4 ANEXO II

187

REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO DE 27 DE ABRIL DE 2016 CAPÍTULO I DISPOSIÇÕES GERAIS ARTIGO 1.º - OBJETO E OBJETIVOS 1. O presente regulamento estabelece as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. 2. O presente regulamento defende os direitos e as liberdades fundamentais das pessoas singulares, nomeadamente o seu direito à proteção dos dados pessoais. 3. A livre circulação de dados pessoais no interior da União não é restringida nem proibida por motivos relacionados com a proteção das pessoas singulares no que respeita ao tratamento de dados pessoais. ARTIGO 2.º - ÂMBITO DE APLICAÇÃO MATERIAL 1. O presente regulamento aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados. 2. O presente regulamento não se aplica ao tratamento de dados pessoais: a) Efetuado no exercício de atividades não sujeitas à aplicação do direito da União: b) Efetuado pelos Estados-Membros no exercício de atividades abrangidas pelo âmbito de aplicação do título V, capítulo 2, do TUE; c) Efetuado por uma pessoa singular no exercício de atividades exclusivamente pessoais ou domésticas; d) Efetuado pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou da execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública.

188

Regulamento Geral de Proteção de Dados – Manual Prático

3. O Regulamento (CE) n.º 45/2001 aplica-se ao tratamento de dados pessoais pelas instituições, órgãos, organismos ou agências da União. O Regulamento (CE) n.º 45/2001, bem como outros atos jurídicos da União aplicáveis ao tratamento de dados pessoais, são adaptados aos princípios e regras do presente regulamento nos termos previstos no artigo 98.º. 4. O presente regulamento não prejudica a aplicação da Diretiva 2000/31/CE, nomeadamente as normas em matéria de responsabilidade dos prestadores intermediários de serviços previstas nos seus artigos 12.º a 15.º. ARTIGO 3.º - ÂMBITO DE APLICAÇÃO TERRITORIAL 1. O presente regulamento aplica-se ao tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento de um responsável pelo tratamento ou de um subcontratante situado no território da União, independentemente de o tratamento ocorrer dentro ou fora da União. 2. O presente regulamento aplica-se ao tratamento de dados pessoais de titulares residentes no território da União, efetuado por um responsável pelo tratamento ou subcontratante não estabelecido na União, quando as atividades de tratamento estejam relacionadas com: a) A oferta de bens ou serviços a esses titulares de dados na União, independentemente da exigência de os titulares dos dados procederem a um pagamento; b) O controlo do seu comportamento, desde que esse comportamento tenha lugar na União. 3. O presente regulamento aplica-se ao tratamento de dados pessoais por um responsável pelo tratamento estabelecido não na União, mas num lugar em que se aplique o direito de um Estado-Membro por força do direito internacional público. ARTIGO 4.º - DEFINIÇÕES Para efeitos do presente regulamento, entende-se por: 1) «Dados pessoais», informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular; 2) «Tratamento», uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição; 3) «Limitação do tratamento», a inserção de uma marca nos dados pessoais conservados com o objetivo de limitar o seu tratamento no futuro;

263

ÍNDICE SISTEMÁTICO REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO DE 27 DE ABRIL DE 2016 CAPÍTULO I - DISPOSIÇÕES GERAIS --------------------------------------

187

Artigo 1.º - Objeto e objetivos ---------------------------------------------

187

Artigo 2.º - Âmbito de aplicação material ---------------------------------

187

Artigo 3.º - Âmbito de aplicação territorial --------------------------------

188

Artigo 4.º - Definições ------------------------------------------------------

188

CAPÍTULO II - PRINCÍPIOS --------------------------------------------------Artigo 5.º - Princípios relativos ao tratamento de dados pessoais -----

191

Artigo 6.º - Licitude do tratamento ---------------------------------------Artigo 7.º - Condições aplicáveis ao consentimento---------------------

192

191 194

Artigo 8.º - Condições aplicáveis ao consentimento de crianças em relação aos serviços da sociedade da informação -----

194

Artigo 9.º - Tratamento de categorias especiais de dados pessoais --Artigo 10.º - Tratamento de dados pessoais relacionados

195

com condenações penais e infrações ---------------------º Artigo 11. - Tratamento que não exige identificação--------------------

196 196

CAPÍTULO III - DIREITOS DO TITULAR DOS DADOS ---------------------

197

Secção 1 - Transparência e regras para o exercício dos direitos dos titulares dos dados -------------------------------------------

197

Artigo 12.º - Transparência das informações, das comunicações e das regras para exercício dos direitos dos titulares dos dados -----------------------------------------------------

197

Secção 2 - Informação e acesso aos dados pessoais ---------------------

198

264

Regulamento Geral de Proteção de Dados – Manual Prático

Artigo 13.º - Informações a facultar quando os dados pessoais são recolhidos junto do titular -----------------------------º Artigo 14. Informações a facultar quando os dados pessoais

198

não são recolhidos junto do titular --------------------------

199

Artigo 15.º - Direito de acesso do titular dos dados ---------------------

201

Secção 3 - Retificação e apagamento --------------------------------------Artigo 16.º - Direito de retificação -----------------------------------------

202 202

Artigo 17.º - Direito ao apagamento dos dados («direito a ser esquecido») -----------------------------------

202

Artigo 18.º - Direito à limitação do tratamento --------------------------Artigo 19.º - Obrigação de notificação da retificação ou apagamento

203

dos dados pessoais ou limitação do tratamento ---------º Artigo 20. Direito de portabilidade dos dados -------------------------

204

Secção 4 - Direito de oposição e decisões individuais automatizadas ---Artigo 22.º - Decisões individuais automatizadas, incluindo definição

205

de perfis -------------------------------------------------------

205

Secção 5 - Limitações --------------------------------------------------------Artigo 23.º - Limitações ----------------------------------------------------

206

204

206

CAPÍTULO IV - RESPONSÁVEL PELO TRATAMENTO E SUBCONTRATANTE ---------------------------------------

207

Secção 1 - Obrigações gerais ------------------------------------------------Artigo 24.º - Responsabilidade do responsável pelo tratamento -------

207

Artigo 25.º - Proteção de dados desde a conceção e por defeito ------

207

Artigo 26.º - Responsáveis conjuntos pelo tratamento ------------------

208

207

Artigo 27.º - Representantes dos responsáveis pelo tratamento ou dos subcontratantes não estabelecidos na União ----º Artigo 28. Subcontratante -----------------------------------------------

208

ou do subcontratante ----------------------------------------

211

Artigo 30.º - Registos das atividades de tratamento --------------------Artigo 31.º - Cooperação com a autoridade de controlo ----------------

211

Secção 2 - Segurança dos dados pessoais --------------------------------Artigo 32.º - Segurança do tratamento------------------------------------

212

209 º Artigo 29. Tratamento sob a autoridade do responsável pelo tratamento

212

265

Índice sistemático

Artigo 33.º - Notificação de uma violação de dados pessoais à autoridade de controlo -----------------------------------º Artigo 34. Comunicação de uma violação de dados pessoais

213

ao titular dos dados ------------------------------------------

214

Secção 3 - Avaliação de impacto sobre a proteção de dados e consulta prévia -------------------------------------------------Artigo 35.º - Avaliação de impacto sobre a proteção de dados --------

215

Artigo 36.º - Consulta prévia -----------------------------------------------

216

Secção 4 - Encarregado da proteção de dados ---------------------------Artigo 37.º - Designação do encarregado da proteção de dados ------

217

Artigo 38.º - Posição do encarregado da proteção de dados-----------

218

Artigo 39.º - Funções do encarregado da proteção de dados ----------

219

Secção 5 - Códigos de conduta e certificação -----------------------------Artigo 40.º - Códigos de conduta -----------------------------------------

219

Artigo 41.º - Supervisão dos códigos de conduta aprovados-----------

221

Artigo 42.º - Certificação ---------------------------------------------------

222

Artigo 43.º - Organismos de certificação ---------------------------------

223

215

217

219

CAPÍTULO V - TRANSFERÊNCIAS DE DADOS PESSOAIS PARA PAÍSES TERCEIROS OU ORGANIZAÇÕES INTERNACIONAIS --Artigo 44.º - Princípio geral das transferências ---------------------------

225

Artigo 45.º - Transferências com base numa decisão de adequação --

225

Artigo 46.º - Transferências sujeitas a garantias adequadas ------------

227

Artigo 47.º - Regras vinculativas aplicáveis às empresas --------------Artigo 48.º - Transferências ou divulgações não autorizadas

228

pelo direito da União----------------------------------------º Artigo 49. Derrogações para situações específicas -------------------

230

225

230

Artigo 50.º - Cooperação internacional no domínio da proteção de dados pessoais -------------------------------------------

232

CAPÍTULO VI - AUTORIDADES DE CONTROLO INDEPENDENTES ----

232

Secção 1 - Estatuto independente -------------------------------------------Artigo 51.º - Autoridade de controlo --------------------------------------

232

Artigo 52.º - Independência ------------------------------------------------

233

232

266

Regulamento Geral de Proteção de Dados – Manual Prático

Artigo 53.º - Condições gerais aplicáveis aos membros da autoridade de controlo ---------------------------------------------------º Artigo 54. Regras aplicáveis à constituição da autoridade

233

de controlo ----------------------------------------------------

234

Secção 2 - Competência, atribuições e poderes ---------------------------Artigo 55.º - Competência--------------------------------------------------

234

Artigo 56.º - Competência da autoridade de controlo principal--------Artigo 57.º - Atribuições ----------------------------------------------------

234 235 235

Artigo 58.º - Poderes ------------------------------------------------------Artigo 59.º - Relatórios de atividades -------------------------------------

237

CAPÍTULO VII - COOPERAÇÃO E COERÊNCIA --------------------------

239

Secção 1 - Cooperação -------------------------------------------------------

239

Artigo 60.º - Cooperação entre a autoridade de controlo principal e as outras autoridades de controlo interessadas ---------

239

Artigo 61.º - Assistência mútua --------------------------------------------

241

Artigo 62.º - Operações conjuntas das autoridades de controlo -------

242

Secção 2 - Coerência ---------------------------------------------------------Artigo 63.º - Procedimento de controlo da coerência -------------------

243

Artigo 64.º - Parecer do Comité ------------------------------------------Artigo 65.º - Resolução de litígios pelo Comité --------------------------

243

Artigo 66.º - Procedimento de urgência-----------------------------------

245

Artigo 67.º - Troca de informações ----------------------------------------

246

Secção 3 - Comité europeu para a proteção de dados ---------------------

246

Artigo 68.º - Comité Europeu para a Proteção de Dados --------------Artigo 69.º - Independência ------------------------------------------------

247

243 244

246

Artigo 70.º - Atribuições do Comité --------------------------------------Artigo 71.º - Relatórios -----------------------------------------------------

247

Artigo 72.º - Procedimento -------------------------------------------------

250

Artigo 73.º - Presidente -----------------------------------------------------

250

Artigo 74.º - Funções do presidente -------------------------------------Artigo 75.º - Secretariado --------------------------------------------------

250

Artigo 76.º - Confidencialidade --------------------------------------------

251

249

250

267

Índice sistemático

CAPÍTULO VIII - VIAS DE RECURSO, RESPONSABILIDADE E SANÇÕES 251 Artigo 77.º - Direito de apresentar reclamação a uma autoridade de controlo ----------------------------------------------------

251

Artigo 78.º - Direito à ação judicial contra uma autoridade de controlo251 Artigo 79.º - Direito à ação judicial contra um responsável pelo tratamento ou um subcontratante ---------------------

252

Artigo 80.º - Representação dos titulares dos dados -------------------Artigo 81.º - Suspensão do processo -------------------------------------

253

252

Artigo 82.º - Direito de indemnização e responsabilidade --------------Artigo 83.º - Condições gerais para a aplicação de coimas-------------

253

Artigo 84.º - Sanções -------------------------------------------------------

256

254

CAPÍTULO IX - DISPOSIÇÕES RELATIVAS A SITUAÇÕES ESPECÍFICAS DE TRATAMENTO --------------------------------------------

256

Artigo 85.º - Tratamento e liberdade de expressão e de informação ---

256

Artigo 86.º - Tratamento e acesso do público aos documentos oficiais

256

Artigo 87.º - Tratamento do número de identificação nacional ---------

257

Artigo 88.º - Tratamento no contexto laboral -----------------------------

257

Artigo 89.º - Garantias e derrogações relativas ao tratamento para fins de arquivo de interesse público ou para fins de investigação científica ou histórica ou para fins estatísticos ------------º Artigo 90. Obrigações de sigilo -----------------------------------------

257 258

Artigo 91.º - Normas vigentes em matéria de proteção dos dados das igrejas e associações religiosas ------------------------

258

CAPÍTULO X - ATOS DELEGADOS E ATOS DE EXECUÇÃO ------------

259

Artigo 92.º - Exercício da delegação --------------------------------------

259

Artigo 93.º - Procedimento de comité -------------------------------------

259

CAPÍTULO XI - DISPOSIÇÕES FINAIS --------------------------------------

260

Artigo 94.º - Revogação da Diretiva 95/46/CE --------------------------Artigo 95.º - Relação com a Diretiva 2002/58/CE ------------------------

260

Artigo 96.º - Relação com acordos celebrados anteriormente----------

260

Artigo 97.º - Relatórios da Comissão--------------------------------------

260

Artigo 98.º - Revisão de outros atos jurídicos da União em matéria de proteção de dados ----------------------------------------

261

Artigo 99.º - Entrada em vigor e aplicação -------------------------------

261

269

DIRETÓRIO LEGISLAÇÃO http://eur-lex.europa.eu/legal-content/PT/TXT/?uri=CELEX%3A32016L0680 COMISSÃO NACIONAL DE PROTEÇÃO DE DADOS https://www.cnpd.pt/ GUIDESLINES GRUPO 29 http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083 COMISSÃO EUROPEIA http://ec.europa.eu/newsroom/just/news.cfm?tpa_id=2026 CONSULTA PÚBLICA PARA APROVAÇÃO DE LEGISLAÇÃO NACIONAL RELATIVA AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS http://www.portugal.gov.pt/pt/consultas-publicas/consultas-legistativas-curso/20170905-mpma-protecao-dados.aspx

Notas

271

272

Notas

www.vidaeconomica.pt ,6%1 Visite-nos em livraria.vidaeconomica.pt

9 789897 684456

REGULAMENTO GERAL DE PROTEĂ&#x2021;Ă&#x192;O DE DADOS - MANUAL PRĂ TICO

REGULAMENTO GERAL DE PROTEĂ&#x2021;Ă&#x192;O DE DADOS

FILIPA MATIAS MAGALHĂ&#x192;ES MARIA LEITĂ&#x192;O PEREIRA

REGULAMENTO GERAL DE PROTEĂ&#x2021;Ă&#x192;O DE DADOS MANUAL PRĂ TICO 2ÂŞ EDIĂ&#x2021;Ă&#x192;O Revista e ampliada