Os Recitais

Trecho do livro de Bruno DUMAY: DESCRIÇÃO DO GDPR – Para gestores, departamentos estratégicos e funcionários de empresas e organizações – Prefácio de Gaëlle MONTEILLER

Não poderíamos deixar de ler os considerandos, pelo menos os principais que motivaram o RGPD. Eles formam a filosofia restaurada no regulamento final e na diretiva, decifrando e harmonizando, num único prisma, todas as considerações de cada legislação dos Estados-Membros em matéria de proteção de dados. Incorporam a diversidade europeia, formando um corpus único. Iluminam a nossa compreensão e dão sentido, testemunham o facto de que algo profundo está a acontecer, certamente e à primeira vista, em resposta aos GAFA, Google, Apple, Facebook, Amazon, Deezer, Instagram, Snapchat e outros, que saquearam os nossos comportamentos, os nossos desejos e as nossas vontades... Atores cuja única consideração por nós é a do nosso bolso!

Pareceu-me essencial apresentar-lhe as principais considerações e/ou os trechos mais importantes. Se quiser aprofundar, mais uma vez o site da CNIL é particularmente abrangente, e convido-o a visitá-lo...

(Considerando 1) A proteção dos indivíduos no que diz respeito ao processamento de dados pessoais é um direito fundamental. … prevê que todos têm direito à proteção dos dados pessoais que lhes digam respeito.

(Considerando 2) Os princípios e regras que regem a proteção de pessoas físicas no que diz respeito ao processamento de dados pessoais que lhes dizem respeito devem, independentemente da nacionalidade ou residência dessas pessoas físicas, respeitar seus direitos e liberdades fundamentais, em particular seu direito à proteção de dados pessoais. … contribuir para a criação de um espaço de liberdade, segurança e justiça e de uma união econômica, para o progresso econômico e social, para a consolidação e convergência das economias no mercado interno e para o bem-estar das pessoas físicas.

(Considerando 3) … O Conselho visa harmonizar a proteção dos direitos e liberdades fundamentais das pessoas singulares no que diz respeito às atividades de tratamento e garantir o livre fluxo de dados pessoais entre os Estados-Membros.

(Considerando 4) O tratamento de dados pessoais deve ser concebido para servir a humanidade. O direito à proteção de dados pessoais não é um direito absoluto; deve ser considerado em relação à sua função na sociedade e equilibrado com outros direitos fundamentais, em conformidade com o princípio da proporcionalidade. …respeito à vida privada e familiar, ao domicílio e às comunicações, à proteção de dados pessoais, à liberdade de pensamento, consciência e religião, à liberdade de expressão e informação, à liberdade de conduzir negócios, ao direito a um recurso efetivo e a um julgamento justo, e à diversidade cultural, religiosa e linguística.

(Considerando 6) Os rápidos desenvolvimentos tecnológicos e a globalização criaram novos desafios para a proteção de dados pessoais. A escala da coleta e do compartilhamento de dados pessoais aumentou significativamente. A tecnologia permite que empresas privadas e autoridades públicas utilizem dados pessoais em suas atividades comerciais como nunca antes. Os indivíduos tornam cada vez mais informações sobre si mesmos acessíveis ao público e em nível global. A tecnologia transformou as relações econômicas e sociais e deve facilitar ainda mais a livre circulação de dados pessoais na União e sua transferência para países terceiros e organizações internacionais, garantindo ao mesmo tempo um elevado nível de proteção de dados pessoais.

(Considerando 7) …é importante construir confiança que permita que a economia digital prospere em todo o mercado interno. Os indivíduos devem ter controle sobre seus dados pessoais. …

(Considerando 9) … fragmentação da implementação da proteção de dados na União, insegurança jurídica ou uma perceção pública generalizada de que subsistem riscos significativos para a proteção das pessoas singulares, em especial no que se refere ao ambiente online. As diferenças no nível de proteção dos direitos e liberdades das pessoas singulares, em particular o direito à proteção de dados pessoais, no que diz respeito ao tratamento de dados pessoais nos Estados-Membros podem impedir a livre circulação desses dados em toda a União. Tais diferenças podem, por conseguinte, constituir um obstáculo ao exercício de atividades económicas a nível da União, distorcer a concorrência e impedir as autoridades de cumprirem as suas obrigações ao abrigo do direito da União. …

(Considerando 10) A fim de assegurar um nível elevado e coerente de proteção das pessoas singulares e eliminar os obstáculos à circulação de dados pessoais na União, o nível de proteção dos direitos e liberdades das pessoas singulares no que diz respeito ao tratamento desses dados deverá ser equivalente em todos os Estados-Membros. Por conseguinte, é conveniente assegurar a aplicação coerente e uniforme das regras de proteção dos direitos e liberdades fundamentais das pessoas singulares no que diz respeito ao tratamento de dados pessoais em toda a União.

(Considerando 11) A proteção eficaz dos dados pessoais em toda a União exige o reforço e a clarificação dos direitos dos titulares dos dados e das obrigações daqueles que efetuam e determinam o tratamento de dados pessoais, bem como a previsão, nos Estados-Membros, de poderes equivalentes de supervisão e controlo do cumprimento das regras relativas à proteção de dados pessoais e de sanções equivalentes em caso de violação.

(Considerando 13)

A fim de garantir um nível consistente de proteção das pessoas singulares em toda a União e evitar divergências que dificultem a livre circulação de dados pessoais no mercado interno, é necessário um regulamento que garanta a segurança jurídica e a transparência aos operadores económicos, incluindo as micro, pequenas e médias empresas, que garanta às pessoas singulares em todos os Estados-Membros o mesmo nível de direitos, obrigações e responsabilidades aplicáveis aos responsáveis pelo tratamento e aos subcontratantes, e que garanta uma supervisão consistente do tratamento de dados pessoais e sanções equivalentes em todos os Estados-Membros, bem como uma cooperação eficaz entre as autoridades de controlo dos diferentes Estados-Membros. Para que o mercado interno funcione corretamente, é necessário que a livre circulação de dados pessoais na União não seja restringida nem proibida por motivos relacionados com a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais. …

(Considerando 14) A proteção conferida pelo presente regulamento deverá aplicar-se às pessoas singulares, independentemente da sua nacionalidade ou local de residência, no que diz respeito ao tratamento dos seus dados pessoais. O presente regulamento não abrange o tratamento de dados pessoais relativos a pessoas coletivas, …

 (Considerando 17) O Regulamento (CE) n.º 45/2001 do Parlamento Europeu e do Conselho aplica-se ao tratamento de dados pessoais pelas instituições, órgãos, organismos e agências da União. …

(Considerando 19) A proteção de pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou de execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública e a livre circulação desses dados, é objeto de um ato jurídico específico da União. …

(Considerando 22) Qualquer tratamento de dados pessoais que ocorra no contexto das atividades de um estabelecimento de um responsável pelo tratamento ou de um subcontratante no território da União deverá ser efetuado em conformidade com o presente regulamento, independentemente de o tratamento em si ocorrer ou não na União. O estabelecimento pressupõe o exercício efetivo e genuíno de uma atividade por meio de uma relação estável. …

(Considerando 23) A fim de assegurar que uma pessoa singular não seja excluída da proteção a que tem direito ao abrigo do presente regulamento, o tratamento de dados pessoais relativos a titulares de dados que se encontrem na União por um responsável pelo tratamento ou subcontratante não estabelecido na União deverá estar sujeito ao presente regulamento sempre que as atividades de tratamento estejam relacionadas com a oferta de bens ou serviços a esses titulares de dados, independentemente de ser ou não exigido pagamento. Para determinar se esse responsável pelo tratamento ou subcontratante oferece bens ou serviços a titulares de dados que se encontrem na União, deverá determinar-se se é evidente que o responsável pelo tratamento ou subcontratante pretende oferecer serviços a titulares de dados em um ou mais Estados-Membros da União. …

(Considerando 24) O tratamento de dados pessoais de titulares de dados que se encontrem na União por um responsável pelo tratamento ou subcontratante não estabelecido na União deverá também estar sujeito ao presente regulamento, sempre que tal tratamento esteja relacionado com a monitorização do comportamento desses titulares de dados, na medida em que diga respeito ao seu comportamento na União. A fim de determinar se uma atividade de tratamento pode ser considerada como monitorização do comportamento de titulares de dados, deverá determinar-se se as pessoas singulares estão a ser rastreadas na Internet, o que inclui a possível utilização subsequente de técnicas de tratamento de dados pessoais que consistam na definição do perfil de uma pessoa singular, em especial para tomar decisões que lhe digam respeito ou para analisar ou prever as suas preferências, comportamento e atitudes.

(Considerando 25) Quando a legislação de um Estado-Membro for aplicável por força do direito internacional público, o presente regulamento deverá aplicar-se também a um responsável pelo tratamento não estabelecido na União, …

(Considerando 26) Os princípios de proteção de dados devem ser aplicados a qualquer informação relativa a uma pessoa física identificada ou identificável. Dados pessoais que tenham sido pseudonimizados e que possam ser atribuídos a uma pessoa física por meio de informações adicionais devem ser considerados informações relativas a uma pessoa física identificável. Ao determinar se uma pessoa física é identificável, devem ser considerados todos os meios razoavelmente prováveis de serem utilizados pelo controlador...

(Considerando 27) O presente regulamento não se aplica aos dados pessoais de pessoas falecidas. Os Estados-Membros podem estabelecer regras relativas ao tratamento de dados pessoais de pessoas falecidas.

(Considerando 28) A pseudonimização de dados pessoais pode reduzir os riscos para os titulares dos dados e ajudar os responsáveis pelo tratamento e subcontratantes a cumprir as suas obrigações em matéria de proteção de dados. A introdução explícita da pseudonimização no presente Regulamento não visa excluir quaisquer outras medidas de proteção de dados.

(Considerando 29) A fim de incentivar a pseudonimização no tratamento de dados pessoais, as medidas de pseudonimização deverão ser possíveis dentro do mesmo responsável pelo tratamento, permitindo simultaneamente uma análise geral, desde que o responsável pelo tratamento tenha tomado as medidas técnicas e organizacionais necessárias para garantir, relativamente ao tratamento em causa, a aplicação do presente regulamento e que as informações adicionais que permitam a atribuição dos dados pessoais a um titular específico sejam conservadas separadamente. O responsável pelo tratamento dos dados pessoais deverá indicar as pessoas autorizadas para esse fim dentro do mesmo responsável pelo tratamento.

(Considerando 30) Indivíduos podem ser associados, por meio dos dispositivos, aplicativos, ferramentas e protocolos que utilizam, a identificadores online, como endereços IP e cookies, ou outros identificadores, como etiquetas de identificação por radiofrequência. Esses identificadores podem deixar rastros que, principalmente quando combinados com identificadores exclusivos e outras informações recebidas por servidores, podem ser usados para criar perfis de indivíduos e identificá-los.

(Considerando 31) As autoridades públicas às quais dados pessoais são divulgados em virtude de uma obrigação legal para o exercício de suas funções oficiais, como autoridades fiscais e aduaneiras, unidades de investigação financeira, autoridades administrativas independentes ou autoridades do mercado financeiro responsáveis pela regulação e supervisão dos mercados de valores mobiliários, não devem ser consideradas destinatárias se receberem dados pessoais que sejam necessários para realizar uma investigação específica de interesse público, …

(Considerando 32) O consentimento deve ser dado por meio de uma ação afirmativa clara, pela qual o titular dos dados expressa livremente, de forma específica, informada e inequívoca, sua concordância com o tratamento de dados pessoais que lhe digam respeito, por exemplo, por meio de uma declaração escrita, inclusive por meios eletrônicos, ou de uma declaração oral. Isso pode ser, por exemplo, marcando uma caixa ao visitar um site, optando por determinadas configurações técnicas para serviços da sociedade da informação ou por meio de uma declaração ou conduta adicional que indique claramente, neste contexto, que o titular dos dados concorda com o tratamento proposto de seus dados pessoais. Portanto, não se pode presumir que o consentimento se baseie em silêncio, marcações padrão ou inatividade.

(Considerando 36) O estabelecimento principal de um responsável pelo tratamento na União deverá ser o local da sua administração central na União, a menos que as decisões sobre as finalidades e os meios do tratamento de dados pessoais sejam tomadas noutro estabelecimento do responsável pelo tratamento na União, caso em que esse outro estabelecimento deverá ser considerado o estabelecimento principal. O estabelecimento principal de um responsável pelo tratamento na União deverá ser determinado com base em critérios objetivos e deverá envolver o exercício efetivo e genuíno de atividades de gestão que determinem as principais decisões sobre as finalidades e os meios do tratamento no âmbito de uma estrutura estável.

(Considerando 37) Um grupo de empresas deve abranger uma empresa controladora e suas empresas controladas, sendo a primeira aquela que pode exercer influência dominante sobre as demais empresas em virtude, por exemplo, de sua participação no capital, participação financeira ou das regras que a regem, ou do poder de aplicar regras sobre a proteção de dados pessoais. Uma empresa que controla o tratamento de dados pessoais em empresas a ela afiliadas deve ser considerada como formando um grupo de empresas com essas empresas.

(Considerando 38) As crianças merecem proteção específica no que diz respeito aos seus dados pessoais, uma vez que podem estar menos conscientes dos riscos, consequências e salvaguardas em causa, bem como dos seus direitos relacionados com o tratamento de dados pessoais. Esta proteção específica deverá aplicar-se, em particular, à utilização de dados pessoais relativos a crianças para fins de marketing ou para a criação de perfis de personalidade ou de utilizador, bem como à recolha de dados pessoais relativos a crianças quando utilizam serviços oferecidos diretamente a uma criança. O consentimento do titular da responsabilidade parental não deverá ser exigido no contexto de serviços de prevenção ou aconselhamento oferecidos diretamente a uma criança.

(Considerando 39) Todo o processamento de dados pessoais deve ser lícito e justo. O fato de dados pessoais relativos a pessoas físicas serem coletados, utilizados, acessados ou de outra forma processados, bem como a extensão em que tais dados são ou serão processados, devem ser transparentes para as pessoas físicas em questão. O princípio da transparência exige que todas as informações e comunicações relacionadas ao processamento de tais dados pessoais sejam facilmente acessíveis, fáceis de entender e formuladas em linguagem clara e simples. Este princípio se aplica, em particular, às informações fornecidas aos titulares dos dados sobre a identidade do controlador e as finalidades do processamento, bem como a outras informações destinadas a garantir um processamento justo e transparente em relação às pessoas físicas em questão e seu direito de obter confirmação e comunicação sobre se seus dados pessoais estão sendo processados. As pessoas físicas devem ser informadas dos riscos, regras, salvaguardas e direitos relacionados ao processamento de dados pessoais e das modalidades para o exercício de seus direitos em relação a tal processamento.

(Considerando 40) Para ser lícito, o tratamento de dados pessoais deve basear-se no consentimento do titular dos dados ou em qualquer outro fundamento legítimo previsto na lei, …

(Considerando 42) Quando o processamento for baseado no consentimento do titular dos dados, o controlador deverá ser capaz de demonstrar que o titular dos dados consentiu com a operação de processamento. …

(Considerando 43) Para garantir que o consentimento seja dado livremente, este não deve constituir fundamento jurídico válido para o tratamento de dados pessoais num caso específico em que exista um desequilíbrio manifesto entre o titular dos dados e o responsável pelo tratamento, em particular quando o responsável pelo tratamento for uma autoridade pública e for improvável que o consentimento tenha sido dado livremente em todas as circunstâncias dessa situação específica. Presume-se que o consentimento não foi dado livremente se não for possível dar consentimento separado para diferentes operações de tratamento de dados pessoais, mesmo que tal seja apropriado no caso individual, ou se a execução de um contrato, incluindo a prestação de um serviço, for condicionada ao consentimento, mesmo que este não seja necessário para tal execução.

(Considerando 44) O processamento deve ser considerado legal quando for necessário para a execução de um contrato ou para a intenção de celebrar um contrato.

(Considerando 45) Quando o tratamento for efetuado em conformidade com uma obrigação legal à qual o responsável pelo tratamento esteja sujeito ou quando for necessário para o desempenho de uma tarefa de interesse público ou no exercício de autoridade pública, o tratamento deverá ter por base o direito da União ou do Estado-Membro. …

(Considerando 46) O tratamento de dados pessoais também deve ser considerado lícito quando for necessário para proteger um interesse essencial à vida do titular dos dados ou de outra pessoa física. O tratamento de dados pessoais com base no interesse vital de outra pessoa física deve, em princípio, ocorrer apenas quando o tratamento manifestamente não puder se basear em outra base legal.

(Considerando 47) Os interesses legítimos de um controlador, incluindo aqueles de um controlador a quem os dados pessoais podem ser divulgados, ou de um terceiro podem constituir uma base legal para o processamento, a menos que os interesses ou direitos e liberdades fundamentais do titular dos dados prevaleçam, levando em consideração as expectativas razoáveis dos titulares dos dados com base em seu relacionamento com o controlador. …

(Considerando 48) Os controladores que fazem parte de um grupo de empresas ou estabelecimentos afiliados a um órgão central podem ter um interesse legítimo na transmissão de dados pessoais dentro do grupo de empresas para fins administrativos internos, incluindo o processamento de dados pessoais relativos a clientes ou funcionários. …

(Considerando 49) O tratamento de dados pessoais, na medida estritamente necessária e proporcional, para garantir a segurança da rede e da informação, ou seja, a capacidade de uma rede ou sistema de informação de resistir, com um determinado nível de confiança, a eventos acidentais ou ações ilícitas ou maliciosas que comprometam a disponibilidade, a autenticidade, a integridade e a confidencialidade dos dados pessoais armazenados ou transmitidos, bem como a segurança dos serviços conexos oferecidos ou disponibilizados através dessas redes e sistemas, por autoridades públicas, Equipas de Resposta a Emergências Informáticas (CERT), Equipas de Resposta a Incidentes de Segurança Informática (CSIRT), fornecedores de redes e serviços de comunicações eletrónicas e fornecedores de tecnologias e serviços de segurança, constitui um interesse legítimo do responsável pelo tratamento em causa. Isto poderá incluir, por exemplo, impedir o acesso não autorizado a redes de comunicações eletrónicas e a distribuição de código malicioso, e impedir ataques de "negação de serviço" e danos a sistemas informáticos e de comunicações eletrónicas.

(Considerando 50) O processamento de dados pessoais para finalidades diferentes daquelas para as quais os dados pessoais foram originalmente coletados só deve ser permitido se for compatível com as finalidades para as quais os dados pessoais foram originalmente coletados. …

Quando o titular dos dados tiver dado consentimento ou o tratamento for baseado na legislação da União ou de um Estado-Membro que constitua uma medida necessária e proporcionada numa sociedade democrática para garantir, em particular, objetivos importantes de interesse público geral, o responsável pelo tratamento deverá ser autorizado a efetuar o tratamento posterior dos dados pessoais, independentemente da compatibilidade das finalidades. …

(Considerando 51) Dados pessoais que, por sua natureza, sejam particularmente sensíveis do ponto de vista dos direitos e liberdades fundamentais merecem proteção específica, uma vez que o contexto em que são tratados pode dar origem a riscos significativos para esses direitos e liberdades. Tais dados pessoais devem incluir dados pessoais que revelem a origem racial ou étnica, entendendo-se que a utilização do termo "origem racial" no presente regulamento não implica que a União aprove teorias sobre a existência de raças humanas distintas.

(Considerando 52) As derrogações à proibição de processamento de categorias especiais de dados pessoais também devem ser permitidas quando a legislação da União ou dos Estados-Membros assim o previr, e sujeitas a salvaguardas adequadas, de modo a proteger dados pessoais e outros direitos fundamentais, quando o interesse público o exigir, incluindo o processamento de dados pessoais no domínio do direito do trabalho e da proteção social, incluindo pensões, e para efeitos de segurança, vigilância e alerta sanitário, prevenção ou controlo de doenças transmissíveis e outras ameaças graves à saúde.

(Considerando 53) Categorias especiais de dados pessoais que merecem maior proteção devem ser processadas apenas para fins relacionados à saúde, quando necessário para atingir esses fins no interesse dos indivíduos e da sociedade como um todo, em particular no contexto da gestão de serviços e sistemas de saúde ou assistência social, incluindo o processamento por autoridades de gestão nacionais e autoridades centrais de saúde desses dados, para fins de controle de qualidade, informação dos gestores e supervisão geral, em nível nacional e local, do sistema de saúde ou assistência social e para fins de garantir a continuidade da saúde ou assistência social e dos cuidados de saúde transfronteiriços ou para fins de segurança sanitária, vigilância e alerta, ou para fins de arquivamento de interesse público, para fins de pesquisa científica ou histórica ou para fins estatísticos, com base na legislação da União ou do Estado-Membro que deve atender a um objetivo de interesse público, bem como para estudos realizados no interesse público no campo da saúde pública.

(Considerando 54) O processamento de categorias especiais de dados pessoais pode ser necessário por razões de interesse público nas áreas da saúde pública, sem o consentimento do titular dos dados. … Esse processamento de dados relativos à saúde por razões de interesse público não deve resultar no processamento de dados pessoais para outros fins por terceiros, como empregadores, seguradoras e bancos.

(Considerando 56) Quando, no contexto de atividades eleitorais, o funcionamento do sistema democrático num Estado-Membro exigir que os partidos políticos recolham dados pessoais relativos às opiniões políticas de indivíduos, o tratamento desses dados poderá ser permitido por motivos de interesse público, desde que sejam fornecidas salvaguardas adequadas.

(Considerando 57) Se os dados pessoais que trata não permitirem a identificação de uma pessoa singular, o responsável pelo tratamento não deverá ser obrigado a obter informações adicionais para identificar o titular dos dados apenas para efeitos de cumprimento de uma disposição do presente regulamento. No entanto, o responsável pelo tratamento não deverá recusar informações adicionais fornecidas pelo titular dos dados para facilitar o exercício dos seus direitos. A identificação deverá incluir a identificação digital do titular dos dados, por exemplo, através de um mecanismo de autenticação, como as mesmas credenciais utilizadas pelo titular dos dados para iniciar sessão no serviço online oferecido pelo responsável pelo tratamento.

(Considerando 58) O princípio da transparência exige que qualquer informação dirigida ao público ou ao titular dos dados seja concisa, facilmente acessível e compreensível, formulada em termos claros e simples e, além disso, quando apropriado, ilustrada com elementos visuais. Tais informações podem ser fornecidas em formato eletrônico, por exemplo, por meio de um site, quando dirigidas ao público. … Uma vez que as crianças merecem proteção específica, todas as informações e comunicações, quando o tratamento lhes disser respeito, devem ser redigidas em termos claros e simples, que a criança possa compreender facilmente.

(Considerando 59) Deverão ser previstas disposições para facilitar o exercício, pelo titular dos dados, dos seus direitos ao abrigo do presente regulamento, incluindo meios para solicitar e, se aplicável, obter gratuitamente, em particular, o acesso, a retificação ou o apagamento de dados pessoais e o exercício do direito de oposição. O responsável pelo tratamento deverá também disponibilizar meios para a apresentação de pedidos por via eletrónica, em especial quando os dados pessoais forem tratados eletronicamente. O responsável pelo tratamento deverá ser obrigado a responder aos pedidos do titular dos dados sem demora injustificada e, o mais tardar, no prazo de um mês, e a fundamentar a sua resposta caso pretenda não dar seguimento a tais pedidos.

(Considerando 60) O princípio do tratamento leal e transparente exige que o titular dos dados seja informado da existência da operação de tratamento e das suas finalidades. O responsável pelo tratamento deverá fornecer ao titular dos dados quaisquer outras informações necessárias para garantir um tratamento leal e transparente, tendo em conta as circunstâncias e o contexto específicos em que os dados pessoais são tratados. Além disso, o titular dos dados deverá ser informado da existência de definição de perfis e das suas consequências. Quando forem recolhidos dados pessoais do titular dos dados, é importante que este também saiba se é obrigado a fornecer os dados pessoais e quais as consequências da sua não disponibilização.

(Considerando 61) As informações sobre o tratamento de dados pessoais relativos ao titular dos dados devem ser-lhe fornecidas no momento em que os dados pessoais forem recolhidos ou, se os dados pessoais forem obtidos de outra fonte, dentro de um prazo razoável, dependendo das circunstâncias de cada caso. Quando os dados pessoais puderem ser legalmente divulgados a outro destinatário, o titular dos dados deve ser informado do momento em que os dados pessoais forem divulgados pela primeira vez a esse destinatário.

(Considerando 62) No entanto, não é necessário impor uma obrigação de fornecer informações quando o titular dos dados já possui essas informações, quando o registro ou a divulgação de dados pessoais é expressamente previsto por lei ou quando o fornecimento de informações ao titular dos dados se mostra impossível ou exigiria um esforço desproporcional. …

(Considerando 63) O titular dos dados deve ter o direito de acessar os dados pessoais coletados sobre si e de exercer esse direito facilmente e em intervalos razoáveis, a fim de estar ciente do processamento e verificar sua legalidade. Isso inclui o direito do titular dos dados de acessar dados relativos à sua saúde, por exemplo, dados de seus registros médicos contendo informações como diagnósticos, resultados de exames, pareceres de médicos assistentes e qualquer tratamento ou intervenção administrada. Consequentemente, todo titular de dados deve ter o direito de saber e ser informado, em particular, sobre as finalidades do processamento de dados pessoais, se possível, a duração do processamento desses dados pessoais, a identidade dos destinatários desses dados pessoais, a lógica envolvida em qualquer processamento automatizado e as possíveis consequências de tal processamento, pelo menos no caso de criação de perfil.

(Considerando 64) O controlador deve tomar todas as medidas razoáveis para verificar a identidade do titular dos dados que solicita acesso aos dados, em particular no contexto de serviços e identificadores online. O controlador não deve reter dados pessoais com o único propósito de responder a possíveis solicitações.

(Considerando 65) Os titulares dos dados deverão ter o direito à retificação dos dados pessoais que lhes digam respeito e deverão ter o direito de ser esquecidos sempre que a conservação desses dados viole o presente regulamento ou a legislação da União ou do Estado-Membro a que o responsável pelo tratamento esteja sujeito. Em particular, os titulares dos dados deverão ter o direito de obter o apagamento dos seus dados pessoais e o seu fim, sempre que esses dados pessoais deixem de ser necessários para as finalidades para as quais foram recolhidos ou tratados, sempre que os titulares dos dados tenham retirado o seu consentimento para o tratamento ou se oponham ao tratamento dos seus dados pessoais, ou sempre que o tratamento dos seus dados pessoais seja de outro modo incompatível com o presente regulamento. Este direito é relevante, em particular, quando o titular dos dados deu o seu consentimento quando era criança e não estava plenamente ciente dos riscos envolvidos no tratamento e, posteriormente, pretende que esses dados pessoais sejam eliminados, em especial na Internet. …

(Considerando 66) Para fortalecer o "direito de ser esquecido" digital, o direito de apagamento também deve ser estendido para que o controlador que tornou os dados pessoais públicos seja obrigado a informar os controladores que processam esses dados pessoais de que quaisquer links, cópias ou reproduções desses dados devem ser apagados.

(Considerando 67) Os métodos para restringir o tratamento de dados pessoais podem incluir, entre outros, a transferência temporária de dados selecionados para outro sistema de tratamento, a inacessibilidade de dados pessoais selecionados aos utilizadores ou a remoção temporária de dados publicados de um website. Nos sistemas de arquivo automatizados, a restrição do tratamento deve, em princípio, ser assegurada por meios técnicos, de forma a que os dados pessoais não sejam sujeitos a operações de tratamento posteriores e não possam ser alterados. A restrição do tratamento de dados pessoais deve ser claramente indicada no sistema de arquivo.

(Considerando 68) Para reforçar ainda mais o seu controlo sobre os seus próprios dados, os titulares dos dados devem também ter o direito, quando os dados pessoais forem tratados por meios automatizados, de receber os dados pessoais que lhes digam respeito, que tenham fornecido a um responsável pelo tratamento, num formato estruturado, de uso corrente, legível por máquina e interoperável, e de transmitir esses dados a outro responsável pelo tratamento. Os responsáveis pelo tratamento devem ser incentivados a desenvolver formatos interoperáveis que permitam a portabilidade dos dados. …

(Considerando 69) Quando os dados pessoais puderem ser tratados legalmente por serem necessários para a execução de uma tarefa de interesse público ou para o exercício da autoridade pública de que está investido o responsável pelo tratamento, ou por interesses legítimos do responsável pelo tratamento ou de terceiros, os titulares dos dados deverão, no entanto, ter o direito de se opor ao tratamento de quaisquer dados pessoais relacionados com a sua situação específica. O ónus da prova de que os seus interesses legítimos imperiosos prevalecem sobre os interesses ou direitos e liberdades fundamentais do titular dos dados deverá caber ao responsável pelo tratamento.

(Considerando 70) Quando os dados pessoais são processados para fins de marketing direto, o titular dos dados deve ter o direito de se opor a esse processamento a qualquer momento e gratuitamente, incluindo a criação de perfis na medida em que esteja relacionada a esse marketing direto, seja para o processamento inicial ou para processamento posterior. …

(Considerando 71) O titular dos dados deve ter o direito de não ser sujeito a uma decisão, que pode incluir uma medida, envolvendo a avaliação de certos aspectos pessoais relacionados a ele ou ela, que se baseia exclusivamente no processamento automatizado e que produz efeitos legais a seu respeito ou o afeta significativamente de forma similar, como a rejeição automática de uma solicitação de crédito on-line ou práticas de recrutamento on-line sem qualquer intervenção humana. Este tipo de processamento inclui a "criação de perfil", que consiste em qualquer forma de processamento automatizado de dados pessoais para avaliar aspectos pessoais relacionados a uma pessoa física, em particular para analisar ou prever aspectos relativos ao desempenho do titular dos dados no trabalho, situação econômica, saúde, preferências ou interesses pessoais, confiabilidade ou comportamento, ou localização e movimentos, desde que produza efeitos legais a respeito do titular dos dados ou o afete significativamente de forma similar. …

(Considerando 73) Limitações a certos princípios específicos, bem como ao direito à informação, ao direito de acesso a dados pessoais, ao direito à retificação ou eliminação desses dados, ao direito à portabilidade de dados, ao direito de oposição, a decisões baseadas na definição de perfis, bem como à comunicação de uma violação de dados pessoais a um titular de dados e a certas obrigações relacionadas dos controladores podem ser impostas pela legislação da União ou dos Estados-Membros, …

(Considerando 74) É apropriado estabelecer a responsabilidade do responsável pelo tratamento por qualquer tratamento de dados pessoais realizado por si ou em seu nome. Em particular, é importante que o responsável pelo tratamento seja obrigado a implementar medidas adequadas e eficazes e seja capaz de demonstrar a conformidade das atividades de tratamento com o presente Regulamento, incluindo a eficácia das medidas. …

(Considerando 75) Riscos aos direitos e liberdades das pessoas físicas, cuja probabilidade e gravidade variam, podem resultar do processamento de dados pessoais que provavelmente resultará em danos físicos, materiais ou imateriais, em particular: quando o processamento puder dar origem a discriminação, roubo de identidade ou fraude, perda financeira, dano à reputação, perda de confidencialidade de dados protegidos por sigilo profissional, reversão não autorizada do processo de pseudonimização ou qualquer outro dano econômico ou social significativo; quando os titulares dos dados puderem ser privados de seus direitos e liberdades ou impedidos de exercer controle sobre seus dados pessoais; quando o processamento disser respeito a dados pessoais que revelem origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, filiação sindical, bem como dados genéticos, dados relativos à saúde ou dados relativos à vida sexual ou dados relativos a condenações e infrações penais, ou medidas de segurança relacionadas; quando aspectos pessoais forem avaliados, em particular no contexto da análise ou previsão de elementos relativos ao desempenho no trabalho, situação econômica, saúde, preferências ou interesses pessoais, confiabilidade ou comportamento, localização ou movimentos, com vistas à criação ou utilização de perfis individuais; quando o tratamento disser respeito a dados pessoais relativos a pessoas singulares vulneráveis, em particular crianças; ou quando o tratamento disser respeito a um grande volume de dados pessoais e afetar um grande número de titulares de dados.

(Considerando 76) A probabilidade e a gravidade do risco aos direitos e liberdades do titular dos dados devem ser determinadas à luz da natureza, do âmbito, do contexto e das finalidades do tratamento. …

(Considerando 78) A proteção dos direitos e liberdades das pessoas singulares no que diz respeito ao tratamento de dados pessoais exige a adoção de medidas técnicas e organizacionais adequadas para garantir o cumprimento dos requisitos do presente regulamento. Para poder demonstrar o cumprimento do presente regulamento, o responsável pelo tratamento deverá adotar regras internas e implementar medidas que respeitem, em especial, os princípios da proteção de dados desde a conceção e da proteção de dados por defeito. Essas medidas poderão incluir, nomeadamente, a minimização do tratamento de dados pessoais, a pseudonimização dos dados pessoais sempre que possível, a garantia da transparência relativamente às funções e ao tratamento de dados pessoais, a permissão para que o titular dos dados controle o tratamento de dados e a permissão para que o responsável pelo tratamento implemente ou melhore os dispositivos de segurança. Ao desenvolver, conceber, selecionar e utilizar aplicações, serviços e produtos que dependam do tratamento de dados pessoais ou que tratem dados pessoais para o desempenho das suas funções, os fabricantes de produtos, os prestadores de serviços e os produtores de aplicações deverão ser incentivados a ter em conta o direito à proteção de dados ao desenvolver e conceber tais produtos, serviços e aplicações e, tendo em devida conta o estado da técnica, a garantir que os responsáveis pelo tratamento e os subcontratantes consigam cumprir as suas obrigações em matéria de proteção de dados. Os princípios de proteção de dados desde a concepção e proteção de dados por padrão também devem ser levados em consideração nas contratações públicas.

(Considerando 79) A proteção dos direitos e liberdades dos titulares dos dados, bem como a responsabilidade dos responsáveis pelo tratamento e dos subcontratantes, incluindo no contexto da supervisão pelas autoridades de controlo e das medidas por estas tomadas, exige uma atribuição clara de responsabilidades ao abrigo do presente regulamento, …

(Considerando 80) Quando um responsável pelo tratamento ou um subcontratante não estabelecido na União tratar dados pessoais de titulares de dados que se encontrem na União e as suas atividades de tratamento estiverem relacionadas com a oferta de bens ou serviços a esses titulares de dados na União, independentemente de ser ou não exigido pagamento, ou com a monitorização do seu comportamento, na medida em que ocorra na União, o responsável pelo tratamento ou o subcontratante deverá designar um representante, a menos que o tratamento seja ocasional, não envolva o tratamento, em larga escala, de categorias especiais de dados pessoais ou o tratamento de dados pessoais relacionados com condenações penais e infrações, e seja pouco provável que resulte num risco para os direitos e liberdades das pessoas singulares, tendo em conta a natureza, o contexto, o âmbito e as finalidades do tratamento, ou que o responsável pelo tratamento seja uma autoridade ou organismo público. O representante deverá agir em nome do responsável pelo tratamento ou do subcontratante e poderá ser contactado por qualquer autoridade de controlo. O representante deverá ser expressamente designado por mandato escrito do responsável pelo tratamento ou do subcontratante para agir em seu nome no que se refere às suas obrigações ao abrigo do presente regulamento. A designação desse representante não prejudica as responsabilidades do responsável pelo tratamento ou do subcontratante ao abrigo do presente regulamento.

(Considerando 81) Para garantir que os requisitos do presente regulamento sejam cumpridos no contexto do tratamento efetuado por um subcontratante em nome do responsável pelo tratamento, quando este último confia atividades de tratamento a um subcontratante, o responsável pelo tratamento deverá recorrer apenas a subcontratantes que ofereçam garantias suficientes, nomeadamente em termos de conhecimentos especializados, fiabilidade e recursos, para a implementação de medidas técnicas e organizacionais que cumpram os requisitos do presente regulamento, incluindo a segurança do tratamento. …

(Considerando 82) Para demonstrar a conformidade com o presente Regulamento, o responsável pelo tratamento ou o subcontratante deverá manter registos das atividades de tratamento sob a sua responsabilidade. …

(Considerando 83) Para garantir a segurança e prevenir o tratamento em violação do presente regulamento, é importante que o responsável pelo tratamento ou o subcontratante avalie os riscos inerentes ao tratamento e implemente medidas para os mitigar, como a encriptação. Essas medidas devem garantir um nível adequado de segurança, incluindo a confidencialidade, tendo em conta o estado da técnica e os custos de implementação em relação aos riscos e à natureza dos dados pessoais a proteger. …

(Considerando 84) A fim de melhor garantir o cumprimento do presente regulamento quando as operações de tratamento forem suscetíveis de resultar num risco elevado para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento deverá ser responsável pela realização de uma avaliação de impacto na proteção de dados para avaliar, em particular, a origem, a natureza, a especificidade e a gravidade desse risco. O resultado dessa avaliação deverá ser tido em conta na determinação das medidas adequadas para demonstrar que o tratamento de dados pessoais cumpre o presente regulamento. Sempre que a avaliação de impacto na proteção de dados revelar que as operações de tratamento de dados envolvem um risco elevado que não pode ser mitigado pelo responsável pelo tratamento através da adoção de medidas adequadas, tendo em conta as técnicas disponíveis e os custos relacionados com a sua implementação, a autoridade de controlo deverá ser consultada antes da realização do tratamento.

(Considerando 85) Uma violação de dados pessoais pode, se não forem tomadas medidas oportunas e adequadas, causar danos físicos, materiais ou morais às pessoas singulares em causa, tais como perda de controlo sobre os seus dados pessoais ou limitação dos seus direitos, discriminação, usurpação ou fraude de identidade, perdas financeiras, reversão não autorizada do procedimento de pseudonimização, danos à reputação, perda de confidencialidade de dados pessoais protegidos por sigilo profissional ou outros danos económicos ou sociais significativos. Consequentemente, assim que o responsável pelo tratamento tomar conhecimento de uma violação de dados pessoais, deverá notificar a autoridade de controlo sem demora injustificada e, sempre que possível, no prazo máximo de 72 horas após ter tido conhecimento da mesma, a menos que possa demonstrar, em conformidade com o princípio da responsabilização, que a violação em questão é pouco susceptível de resultar num risco para os direitos e liberdades das pessoas singulares. Se tal notificação não puder ser feita no prazo de 72 horas, a notificação deverá ser acompanhada dos motivos da demora e as informações poderão ser fornecidas por fases, sem demora injustificada.

(Considerando 86) O controlador deve notificar o titular dos dados sobre uma violação de dados pessoais sem demora injustificada, caso a violação possa resultar em um alto risco aos direitos e liberdades da pessoa física, para que o titular dos dados possa tomar as precauções adequadas.

(Considerando 87) Deve ser verificado se todas as salvaguardas técnicas e organizacionais apropriadas foram implementadas para estabelecer imediatamente se ocorreu uma violação de dados pessoais e informar prontamente a autoridade supervisora e o titular dos dados. …

(Considerando 91) Isto deve aplicar-se, em particular, a operações de tratamento em larga escala que visem tratar uma quantidade considerável de dados pessoais a nível regional, nacional ou supranacional, que possam afetar um número significativo de titulares de dados e que sejam suscetíveis de resultar num risco elevado, por exemplo, devido à sua sensibilidade, quando, de acordo com o estado da técnica, uma nova técnica é aplicada em larga escala, bem como a outras operações de tratamento que resultem num risco elevado para os direitos e liberdades dos titulares de dados, em particular quando, como resultado de tais operações, seja mais difícil para os titulares de dados exercerem os seus direitos. Deve também ser realizada uma avaliação de impacto da proteção de dados quando os dados pessoais forem tratados para efeitos de tomada de decisões relativas a pessoas singulares específicas, na sequência de uma avaliação sistemática e aprofundada dos aspetos pessoais específicos das pessoas singulares com base na definição de perfis desses dados ou na sequência do tratamento de categorias especiais de dados pessoais, dados biométricos ou dados relativos a condenações e infrações penais, ou medidas de segurança conexas. …

(Considerando 92) Há casos em que pode ser razoável e econômico ampliar o escopo da avaliação de impacto da proteção de dados para além de um único projeto, por exemplo, quando autoridades públicas ou órgãos públicos pretendem implementar uma plataforma de aplicação ou processamento comum, ou quando vários controladores pretendem criar um ambiente de aplicação ou processamento comum em todo um setor ou segmento profissional, ou para uma atividade multifuncional amplamente utilizada.

(Considerando 94) Quando uma avaliação de impacto da proteção de dados mostrar que, na ausência de salvaguardas, medidas de segurança e mecanismos de mitigação de riscos, o processamento resultaria em um alto risco para os direitos e liberdades das pessoas físicas e o controlador for da opinião de que o risco não pode ser mitigado por meios razoáveis, levando em consideração a tecnologia disponível e os custos de implementação, a autoridade supervisora deve ser consultada antes do início das operações de processamento.

(Considerando 97) Quando o processamento for realizado por uma autoridade pública, com exceção de tribunais ou autoridades judiciais independentes que atuem em sua capacidade judicial, quando, no setor privado, for realizado por um controlador cujas atividades principais consistam em operações de processamento que exijam monitoramento regular e sistemático de titulares de dados em larga escala, ou quando as atividades principais do controlador ou do processador consistam no processamento em larga escala de categorias especiais de dados pessoais e dados relacionados a condenações e infrações penais, uma pessoa com conhecimento especializado em leis e práticas de proteção de dados deve auxiliar o controlador ou o processador na verificação da conformidade interna com este Regulamento.

(Considerando 98) As associações ou outros organismos que representem categorias de responsáveis pelo tratamento ou de subcontratantes deverão ser incentivados a elaborar códigos de conduta, dentro dos limites do presente regulamento, de modo a facilitar a sua correta aplicação, tendo em conta as especificidades do tratamento efetuado em determinados setores e as necessidades específicas das micro, pequenas e médias empresas. …

(Considerando 101) Os fluxos de dados pessoais de e para países fora da União e organizações internacionais são necessários para o desenvolvimento do comércio internacional e da cooperação internacional. O aumento desses fluxos criou novos desafios e preocupações em relação à proteção de dados pessoais. No entanto, é importante que, quando dados pessoais são transferidos da União para responsáveis pelo tratamento, subcontratantes ou outros destinatários em países terceiros ou para organizações internacionais, o nível de proteção das pessoas singulares garantido na União pelo presente regulamento não seja comprometido, incluindo no caso de transferências subsequentes de dados pessoais do país terceiro ou organização internacional para responsáveis pelo tratamento ou subcontratantes no mesmo país terceiro ou num país terceiro diferente, ou para outra organização internacional. Em qualquer caso, as transferências para países terceiros e para organizações internacionais só podem ocorrer em plena conformidade com o presente regulamento. …

(Considerando 103) A Comissão pode decidir, com efeitos em toda a União, que um país terceiro, um território ou um setor específico dentro de um país terceiro, ou uma organização internacional, oferece um nível adequado de proteção de dados, garantindo assim a segurança jurídica e a uniformidade em toda a União relativamente ao país terceiro ou à organização internacional que se considere oferecer tal nível de proteção. Nesse caso, as transferências de dados pessoais para esse país terceiro ou organização internacional podem ocorrer sem necessidade de obter autorização adicional.

(Considerando 104) Tendo em conta os valores fundamentais em que a União se funda, em especial a proteção dos direitos humanos, a Comissão deverá, na sua avaliação de um país terceiro, de um território ou de um setor específico dentro de um país terceiro, ter em conta a forma como um país terceiro específico respeita o Estado de direito, garante o acesso à justiça e observa as regras e normas internacionais no domínio dos direitos humanos, bem como a sua legislação geral e setorial, incluindo a legislação em matéria de segurança pública, defesa e segurança nacional, bem como a ordem pública e o direito penal.

(Considerando 105) Além dos compromissos internacionais assumidos pelo país terceiro ou pela organização internacional, a Comissão deverá ter em conta as obrigações decorrentes da participação do país terceiro ou da organização internacional em sistemas multilaterais ou regionais, em especial no que diz respeito à proteção de dados pessoais, e a execução dessas obrigações. Em particular, deverá ter-se em conta a adesão do país terceiro à Convenção do Conselho da Europa, de 28 de janeiro de 1981, para a Proteção das Pessoas relativamente ao Tratamento Automatizado de Dados de Caráter Pessoal e ao seu Protocolo Adicional.

(Considerando 108) Na ausência de uma decisão de adequação, o controlador ou o processador deve tomar medidas para compensar a inadequação da proteção de dados no país terceiro por meio de salvaguardas adequadas para o titular dos dados. …

(Considerando 109) A possibilidade de os responsáveis pelo tratamento e os subcontratantes utilizarem cláusulas-tipo de proteção de dados adotadas pela Comissão ou por uma autoridade de controlo não os deve impedir de incluir essas cláusulas num contrato mais amplo, como um contrato entre o subcontratante e outro subcontratante, ou de adicionar outras cláusulas ou salvaguardas adicionais, desde que estas não contradigam, direta ou indiretamente, as cláusulas contratuais-tipo adotadas pela Comissão ou por uma autoridade de controlo e não afetem negativamente os direitos e liberdades fundamentais dos titulares dos dados.

(Considerando 110) Um grupo de empresas ou um grupo de empresas envolvidas em uma atividade econômica conjunta deve poder usar regras corporativas vinculativas aprovadas para suas transferências internacionais da União para entidades no mesmo grupo de empresas, ou no mesmo grupo de empresas envolvidas em uma atividade econômica conjunta, desde que essas regras corporativas incluam todos os princípios essenciais e direitos executáveis para garantir salvaguardas adequadas para transferências ou categorias de transferências de dados pessoais.

(Considerando 114) Em qualquer caso, quando a Comissão não tiver tomado posição sobre a adequação do nível de proteção de dados num país terceiro, o responsável pelo tratamento ou o subcontratante deverá adotar soluções que garantam aos titulares dos dados direitos oponíveis e efetivos no que diz respeito ao tratamento dos seus dados na União, uma vez que esses dados tenham sido transferidos, para que esses titulares dos dados continuem a beneficiar dos direitos e garantias fundamentais.

(Considerando 116) Quando dados pessoais atravessam as fronteiras externas da União, isso pode aumentar o risco de que os indivíduos não consigam exercer seus direitos de proteção de dados, em especial para se protegerem contra o uso ou a divulgação ilícitos dessas informações. … Consequentemente, é necessário promover uma cooperação mais estreita entre as autoridades de supervisão da proteção de dados, para ajudá-las a trocar informações e conduzir investigações com suas contrapartes internacionais. …

(Considerando 121) As condições gerais aplicáveis ao(s) membro(s) da autoridade de supervisão devem ser estabelecidas por lei em cada Estado-Membro e devem prever, em particular, que esses membros sejam nomeados, de acordo com um procedimento transparente, pelo parlamento, pelo governo ou pelo chefe de Estado desse Estado-Membro, mediante proposta do governo ou de um membro do governo, ou do parlamento ou de uma câmara do parlamento, ou por um organismo independente incumbido dessa tarefa ao abrigo da legislação de um Estado-Membro. …

(Considerando 122) Cada autoridade de controlo deverá ser competente no território do seu Estado-Membro para exercer as funções e os poderes que lhe são conferidos em conformidade com o presente regulamento. …

(Considerando 124) Quando o tratamento de dados pessoais ocorre no contexto das atividades de um estabelecimento de um controlador ou subcontratante na União e esse controlador ou subcontratante está estabelecido em mais de um Estado-Membro, ou quando o tratamento que ocorre no contexto das atividades de um único estabelecimento de um controlador ou subcontratante na União afeta substancialmente ou é suscetível de afetar substancialmente titulares de dados em mais de um Estado-Membro, a autoridade de controlo com jurisdição sobre o estabelecimento principal ou único do controlador ou subcontratante deve atuar como autoridade principal.

(Considerando 125) A autoridade principal deverá ter competência para adotar decisões vinculativas sobre medidas de execução dos poderes que lhe são conferidos em conformidade com o presente regulamento. Na sua qualidade de autoridade principal, a autoridade de controlo deverá envolver estreitamente as autoridades de controlo relevantes no processo de tomada de decisões e assegurar uma coordenação estreita nesse contexto.

(Considerando 129) A fim de assegurar a aplicação e o acompanhamento coerentes do presente regulamento em toda a União, as autoridades de controlo deverão ter, em cada Estado-Membro, as mesmas atribuições e poderes efetivos, incluindo poderes de investigação, o poder de adotar medidas corretivas e impor sanções, bem como o poder de autorizar e emitir pareceres consultivos, em especial no caso de queixas apresentadas por pessoas singulares, e, sem prejuízo dos poderes das autoridades responsáveis pelo processo nos termos do direito do Estado-Membro, o poder de levar as infrações ao presente regulamento ao conhecimento das autoridades judiciais e de intentar ações judiciais. Esses poderes deverão incluir também o poder de impor uma restrição temporária ou permanente ao tratamento, incluindo uma proibição. …

(Considerando 130) Quando a autoridade de supervisão à qual a reclamação foi apresentada não for a autoridade de supervisão principal, a autoridade de supervisão principal deverá cooperar estreitamente com a autoridade de supervisão à qual a reclamação foi apresentada, em conformidade com as disposições em matéria de cooperação e coerência estabelecidas no presente regulamento. …

(Considerando 137) Poderá ser necessária uma ação urgente para proteger os direitos e liberdades dos titulares dos dados, em especial quando existir o risco de o exercício dos direitos do titular dos dados ser significativamente dificultado. Consequentemente, uma autoridade de controlo deverá poder adotar, no seu território, medidas provisórias devidamente justificadas e com um prazo de validade específico, que não deverá exceder três meses.

(Considerando 138) A aplicação de tal mecanismo deverá condicionar a legalidade de uma medida destinada a produzir efeitos jurídicos tomada por uma autoridade de controlo nos casos em que tal aplicação seja obrigatória. …

(Considerando 141) Cada titular de dados deverá ter o direito de apresentar queixa a uma única autoridade de controlo, em especial no Estado-Membro onde tem a sua residência habitual, e o direito a um recurso judicial efetivo, nos termos do artigo 47.º da Carta, se considerar que os seus direitos ao abrigo do presente regulamento foram violados ou se a autoridade de controlo não der seguimento à sua queixa, a recusar ou rejeitar, no todo ou em parte, ou não agir quando for necessário tomar medidas para proteger os direitos do titular dos dados. A investigação na sequência de uma queixa deverá ser conduzida sob supervisão judicial, na medida adequada exigida pelo caso concreto.

(Considerando 142) Caso um titular de dados considere que os seus direitos ao abrigo do presente regulamento foram violados, deverá ter o direito de mandatar um organismo, organização ou associação sem fins lucrativos, estabelecido em conformidade com a legislação de um Estado-Membro, cujos objetivos estatutários sejam de interesse público e que atue no domínio da proteção de dados pessoais, para apresentar uma reclamação em seu nome junto de uma autoridade de controlo, para exercer o direito a um recurso judicial em nome dos titulares dos dados ou, se previsto pela legislação do Estado-Membro, para exercer o direito de obter indemnização em nome dos titulares dos dados. …

(Considerando 143) Qualquer pessoa singular ou coletiva tem o direito de interpor recurso de anulação das decisões do Comité perante o Tribunal de Justiça, nas condições estabelecidas no artigo 263.º do Tratado sobre o Funcionamento da União Europeia. Após a receção dessas decisões, as autoridades de controlo interessadas que pretendam contestá-las devem fazê-lo no prazo de dois meses a contar da sua notificação, em conformidade com o artigo 263.º do Tratado sobre o Funcionamento da União Europeia.

Caso uma reclamação tenha sido rejeitada ou recusada por uma autoridade de supervisão, o reclamante pode intentar uma ação nos tribunais desse mesmo Estado-Membro. …

(Considerando 144) Quando um tribunal chamado a decidir sobre uma ação contra uma decisão tomada por uma autoridade de supervisão tiver motivos para acreditar que ações relativas ao mesmo tratamento, por exemplo, ao mesmo objeto, realizadas pelo mesmo responsável pelo tratamento ou subcontratante, ou à mesma causa de pedir, estão a ser intentadas perante um tribunal competente noutro Estado-Membro, deverá contactar esse outro tribunal para confirmar a existência de tais ações relacionadas. …

(Considerando 145) No que diz respeito a ações contra um responsável pelo tratamento ou um subcontratante, o requerente deve poder optar por intentar a ação perante os tribunais dos Estados-Membros em que o responsável pelo tratamento ou o subcontratante tem um estabelecimento ou no Estado-Membro em que o titular dos dados reside, a menos que o responsável pelo tratamento seja uma autoridade pública de um Estado-Membro que atue no exercício dos seus poderes públicos.

(Considerando 146) O responsável pelo tratamento ou o subcontratante deverá indemnizar qualquer dano que o titular dos dados possa sofrer em resultado do tratamento efetuado em violação do presente regulamento. O responsável pelo tratamento ou o subcontratante deverá ser isento de responsabilidade se provar que o dano não lhe é de forma alguma imputável. … No entanto, quando os responsáveis pelo tratamento e os subcontratantes estiverem envolvidos no mesmo processo judicial, nos termos da legislação de um Estado-Membro, a indemnização poderá ser repartida de acordo com a quota-parte de responsabilidade de cada responsável pelo tratamento ou subcontratante pelos danos causados pelo tratamento, desde que o dano sofrido pelo titular dos dados seja plena e efetivamente indemnizado. …

(Considerando 148) A fim de reforçar a aplicação das regras do presente regulamento, deverão ser impostas sanções, incluindo coimas administrativas, por qualquer infração ao presente regulamento, em complemento ou em substituição das medidas adequadas impostas pela autoridade de controlo nos termos do mesmo. Em caso de infração menor ou se a coima eventualmente imposta impuser um encargo desproporcionado a uma pessoa singular, poderá ser emitida uma advertência em vez de uma coima. No entanto, deverá ter-se em devida conta a natureza, a gravidade e a duração da infração, a natureza intencional da infração e as medidas tomadas para atenuar os danos sofridos, o grau de responsabilidade ou quaisquer infrações relevantes anteriores, a forma como a autoridade de controlo tomou conhecimento da infração, o cumprimento das medidas ordenadas contra o responsável pelo tratamento ou o subcontratante, a aplicação de um código de conduta e quaisquer outras circunstâncias agravantes ou atenuantes. A aplicação de sanções, incluindo coimas administrativas, deverá estar sujeita a garantias processuais adequadas, em conformidade com os princípios gerais do direito da União e da Carta, incluindo o direito à proteção jurisdicional efetiva e a um processo equitativo.

(Considerando 150) A fim de reforçar e harmonizar as sanções administrativas aplicáveis às infrações ao presente regulamento, cada autoridade de controlo deverá ter competência para impor coimas. O presente regulamento deverá definir as infrações, o seu montante máximo e os critérios de fixação das coimas a que estão sujeitas, os quais deverão ser fixados pela autoridade de controlo competente em cada caso individual, tendo em conta todas as características específicas de cada caso e tendo devidamente em conta, em especial, a natureza, a gravidade e a duração da infração e as suas consequências, bem como as medidas tomadas para garantir o cumprimento das obrigações decorrentes do regulamento e para prevenir ou atenuar as consequências da infração.

(Considerando 152) Caso o presente regulamento não harmonize as sanções administrativas ou, quando necessário em outras circunstâncias, por exemplo em casos de infrações graves ao presente regulamento, os Estados-Membros deverão implementar um sistema que preveja sanções eficazes, proporcionais e dissuasivas. A natureza dessas sanções, sejam elas penais ou administrativas, deverá ser determinada pela legislação dos Estados-Membros.

(Considerando 153) A legislação dos Estados-Membros deverá conciliar as normas que regem a liberdade de expressão e de informação, incluindo a expressão jornalística, académica, artística ou literária, com o direito à proteção de dados pessoais ao abrigo do presente regulamento. No contexto do tratamento de dados pessoais exclusivamente para fins jornalísticos ou para fins de expressão académica, artística ou literária, deverão ser previstas derrogações ou isenções a determinadas disposições do presente regulamento, se tal for necessário para conciliar o direito à proteção de dados pessoais com o direito à liberdade de expressão e de informação, consagrado no artigo 11.º da Carta.

(Considerando 154) Este Regulamento permite que o princípio do acesso público a documentos oficiais seja levado em consideração em sua aplicação. O acesso público a documentos oficiais pode ser considerado de interesse público. …

(Considerando 155) A legislação dos Estados-Membros ou os acordos coletivos, incluindo os "acordos de empresa", podem prever regras específicas sobre o processamento de dados pessoais dos funcionários no contexto de relações de trabalho, incluindo as condições sob as quais os dados pessoais no contexto de relações de trabalho podem ser processados com base no consentimento do funcionário, para fins de recrutamento, execução do contrato de trabalho, incluindo o cumprimento de obrigações estabelecidas por lei ou por acordos coletivos, gestão, planeamento e organização do trabalho, igualdade e diversidade no local de trabalho, saúde e segurança no trabalho e para efeitos de exercício e gozo de direitos e benefícios laborais, individual ou coletivamente, bem como para efeitos de rescisão da relação de trabalho.

(Considerando 162) Quando dados pessoais forem tratados para fins estatísticos, o presente regulamento deverá aplicar-se a esse tratamento. O direito da União ou dos Estados-Membros deverá, dentro dos limites do presente regulamento, determinar o conteúdo estatístico, definir o controlo do acesso aos dados e estabelecer disposições específicas para o tratamento de dados pessoais para fins estatísticos, bem como medidas adequadas para salvaguardar os direitos e liberdades do titular dos dados e manter a confidencialidade estatística.

(Considerando 163) As informações confidenciais recolhidas pelas autoridades estatísticas da União e dos Estados-Membros para efeitos de produção de estatísticas oficiais europeias e nacionais devem ser protegidas. …

(Considerando 164) No que diz respeito aos poderes das autoridades de supervisão para obter do responsável pelo tratamento ou do subcontratante acesso a dados pessoais e acesso às suas instalações, os Estados-Membros podem, dentro dos limites do presente regulamento, adotar por lei regras específicas para garantir a obrigação de sigilo profissional ou outras obrigações de sigilo equivalentes, na medida em que tal seja necessário para conciliar o direito à proteção de dados pessoais e a obrigação de sigilo profissional. …

 (Considerando 166) A fim de atingir os objetivos do presente regulamento, nomeadamente proteger os direitos e liberdades fundamentais das pessoas singulares, em especial o seu direito à proteção de dados pessoais, e assegurar a livre circulação desses dados na União, deverá ser delegado na Comissão o poder de adotar atos em conformidade com o artigo 290.º do Tratado sobre o Funcionamento da União Europeia. Em particular, deverão ser adotados atos delegados relativos aos critérios e requisitos aplicáveis aos mecanismos de certificação, às informações a apresentar sob a forma de ícones normalizados e aos procedimentos para o fornecimento desses ícones.

(Considerando 168) Dado o âmbito geral dos atos em causa, o procedimento de exame deverá ser utilizado para a adoção de atos de execução relativos a cláusulas contratuais-tipo entre responsáveis pelo tratamento e subcontratantes e entre subcontratantes; códigos de conduta; normas técnicas e mecanismos de certificação; …

(Considerando 170) Atendendo a que o objetivo do presente regulamento, nomeadamente assegurar um nível equivalente de proteção das pessoas singulares e a livre circulação de dados pessoais em toda a União, não pode ser suficientemente alcançado pelos Estados-Membros, mas pode, devido à dimensão ou aos efeitos da ação, ser mais bem alcançado ao nível da União, a União pode adotar medidas, …