Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho

CAPÍTULO V - Transferências de dados pessoais para países terceiros ou organizações internacionais

1. Pode ser realizada uma transferência de dados pessoais para um país terceiro ou uma organização internacional se a Comissão tiver decidido que o país terceiro, um território ou um ou mais setores específicos desse país terceiro, ou a organização internacional em causa, assegura um nível de proteção adequado. Esta transferência não exige autorização específica.
2. Ao avaliar a adequação do nível de proteção, a Comissão tem nomeadamente em conta os seguintes elementos:
   1. O primado do Estado de direito, o respeito pelos direitos humanos e liberdades fundamentais, a legislação pertinente em vigor, tanto a geral como a setorial, nomeadamente em matéria de segurança pública, defesa, segurança nacional e direito penal, e respeitante ao acesso das autoridades públicas a dados pessoais, bem como a aplicação dessa legislação e das regras de proteção de dados, das regras profissionais e das medidas de segurança, incluindo as regras para a transferência ulterior de dados pessoais para outro país terceiro ou organização internacional, que são cumpridas nesse país ou por essa organização internacional, e a jurisprudência, bem como os direitos dos titulares dos dados efetivos e oponíveis, e vias de recurso administrativo e judicial para os titulares de dados cujos dados pessoais sejam objeto de transferência;
   2. A existência e o efetivo funcionamento de uma ou mais autoridades de controlo independentes no país terceiro ou às quais esteja sujeita uma organização internacional, responsáveis por assegurar e impor o cumprimento das regras de proteção de dados, e dotadas de poderes coercitivos adequados para assistir e aconselhar os titulares dos dados no exercício dos seus direitos, e cooperar com as autoridades de controlo dos Estados-Membros; e
   3. Os compromissos internacionais assumidos pelo país terceiro ou pela organização internacional em causa, ou outras obrigações decorrentes de convenções ou instrumentos juridicamente vinculativos, bem como da sua participação em sistemas multilaterais ou regionais, em especial em relação à proteção de dados pessoais.
3. Após avaliar a adequação do nível de proteção, a Comissão pode decidir, através de um ato de execução, que um país terceiro, um território ou um ou mais setores específicos de um país terceiro, ou uma organização internacional, garante um nível de proteção adequado na aceção do n.o 2 do presente artigo. O ato de execução prevê um procedimento de avaliação periódica, no mínimo de quatro em quatro anos, que deverá ter em conta todos os desenvolvimentos pertinentes no país terceiro ou na organização internacional. O ato de execução especifica o âmbito de aplicação territorial e setorial e, se for caso disso, identifica a autoridade ou autoridades de controlo a que se refere o n.o 2, alínea b), do presente artigo. O referido ato de execução é adotado pelo procedimento de exame a que se refere o artigo 93.o, n.o 2.
4. A Comissão controla, de forma continuada, os desenvolvimentos nos países terceiros e nas organizações internacionais que possam afetar o funcionamento das decisões adotadas nos termos do n.o 3 do presente artigo e das decisões adotadas com base no artigo 25.o, n.o 6, da Diretiva 95/46/CE.
5. A Comissão, sempre que a informação disponível revelar, nomeadamente na sequência da revisão a que se refere o n.o 3 do presente artigo, que um país terceiro, um território ou um ou mais setores específicos de um país terceiro, ou uma organização internacional, deixou de assegurar um nível de proteção adequado na aceção do n.o 2 do presente artigo, na medida do necessário, revoga, altera ou suspende a decisão referida no n.o 3 do presente artigo, através de atos de execução, sem efeitos retroativos. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 93.o, n.o 2.
   
   Por imperativos de urgência devidamente justificados, a Comissão adota atos de execução imediatamente aplicáveis pelo procedimento a que se refere o artigo 93.o, n.o 3.
   
   
6. A Comissão inicia consultas com o país terceiro ou a organização internacional com vista a corrigir a situação que tiver dado origem à decisão tomada nos termos do n.o 5.
7. As decisões tomadas ao abrigo do n.o 5 do presente artigo não prejudicam as transferências de dados pessoais para o país terceiro, um território ou um ou mais setores específicos desse país terceiro, ou para a organização internacional em causa, nos termos dos artigos 46.o a 49.o.
8. A Comissão publica no Jornal Oficial da União Europeia e no seu sítio web uma lista dos países terceiros, territórios e setores específicos de um país terceiro e de organizações internacionais relativamente aos quais tenha declarado, mediante decisão, se asseguram ou não um nível de proteção adequado.
9. As decisões adotadas pela Comissão com base no artigo 25.o, n.o 6, da Diretiva 95/46/CE permanecem em vigor até que sejam alteradas, substituídas ou revogadas por uma decisão da Comissão adotada em conformidade com o n.o 3 ou o n.o 5 do presente artigo.

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho

CAPÍTULO V - Transferências de dados pessoais para países terceiros ou organizações internacionais

1. Não tendo sido tomada qualquer decisão nos termos do artigo 45.o, n.o 3, os responsáveis pelo tratamento ou subcontratantes só podem transferir dados pessoais para um país terceiro ou uma organização internacional se tiverem apresentado garantias adequadas, e na condição de os titulares dos dados gozarem de direitos oponíveis e de medidas jurídicas corretivas eficazes.
2. Podem ser previstas as garantias adequadas referidas no n.o 1, sem requerer nenhuma autorização específica de uma autoridade de controlo, por meio de:
   1. Um instrumento juridicamente vinculativo e com força executiva entre autoridades ou organismos públicos;
   2. Regras vinculativas aplicáveis às empresas em conformidade com o artigo 47.o;
   3. Cláusulas-tipo de proteção de dados adotadas pela Comissão pelo procedimento de exame referido no artigo 93.o, n.o 2;
   4. Cláusulas-tipo de proteção de dados adotadas por uma autoridade de controlo e aprovadas pela Comissão pelo procedimento de exame referido no artigo 93.o, n.o 2;
   5. Um código de conduta, aprovado nos termos do artigo 40.o, acompanhado de compromissos vinculativos e com força executiva assumidos pelos responsáveis pelo tratamento ou pelos subcontratantes no país terceiro no sentido de aplicarem as garantias adequadas, nomeadamente no que respeita aos direitos dos titulares dos dados; ou
   6. Um procedimento de certificação, aprovado nos termos do artigo 42.o, acompanhado de compromissos vinculativos e com força executiva assumidos pelos responsáveis pelo tratamento ou pelos subcontratantes no país terceiro no sentido de aplicarem as garantias adequadas, nomeadamente no que respeita aos direitos dos titulares dos dados.
3. Sob reserva de autorização da autoridade de controlo competente, podem também ser previstas as garantias adequadas referidas no n.o 1, nomeadamente por meio de:
   1. Cláusulas contratuais entre os responsáveis pelo tratamento ou subcontratantes e os responsáveis pelo tratamento, subcontratantes ou destinatários dos dados pessoais no país terceiro ou organização internacional; ou
   2. Disposições a inserir nos acordos administrativos entre as autoridades ou organismos públicos que contemplem os direitos efetivos e oponíveis dos titulares dos dados.
4. A autoridade de controlo aplica o procedimento de controlo da coerência a que se refere o artigo 63.o nos casos enunciados no n.o 3 do presente artigo.
5. As autorizações concedidas por um Estado-Membro ou uma autoridade de controlo com base no artigo 26.o, n.o 2, da Diretiva 95/46/CE continuam válidas até que a mesma autoridade de controlo as altere, substitua ou revogue, caso seja necessário. As decisões adotadas pela Comissão com base no artigo 26.o, n.o 4, da Diretiva 95/46/CE permanecem em vigor até que sejam alteradas, substituídas ou revogadas, caso seja necessário, por uma decisão da Comissão adotada em conformidade com o n.o 2 do presente artigo.

Este artigo, o Artigo 46.º da Lei n.º 58/2019, que diz respeito ao Regulamento Geral sobre a Proteção de Dados (RGPD), aborda a utilização de dados de forma incompatível com a finalidade da recolha. Segundo este artigo, quem utilizar dados pessoais de maneira incompatível com a finalidade original da sua recolha está sujeito a pena de prisão até um ano ou a multa até 120 dias. Este dispositivo legal visa proteger a privacidade dos indivíduos e garantir que os dados pessoais sejam tratados de acordo com os princípios estabelecidos no RGPD. A tutela administrativa e jurisdicional é fundamental para assegurar o cumprimento dessas normas e prevenir abusos na utilização dos dados pessoais.

Este artigo, o Artigo 47.º da Lei n.º 58/2019, que diz respeito ao Regulamento Geral sobre a Proteção de Dados (RGPD), aborda o acesso indevido a dados pessoais. De acordo com este artigo, qualquer pessoa que, sem a devida autorização ou justificação, aceda a dados pessoais está sujeita a pena de prisão até 1 ano ou a multa até 120 dias. Além disso, a pena é agravada para o dobro nos seus limites quando se trata dos dados pessoais referentes aos artigos 9.º e 10.º do RGPD. Este dispositivo legal visa proteger a privacidade dos indivíduos e garantir que o acesso aos dados pessoais seja realizado de forma legal e justificada.

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho

CAPÍTULO V - Transferências de dados pessoais para países terceiros ou organizações internacionais

1. Pelo procedimento de controlo da coerência previsto no artigo 63.o, a autoridade de controlo competente aprova regras vinculativas aplicáveis às empresas, que devem:
   1. Ser juridicamente vinculativas e aplicáveis a todas as entidades em causa do grupo empresarial ou do grupo de empresas envolvidas numa atividade económica conjunta, incluindo os seus funcionários, as quais deverão assegurar o seu cumprimento;
   2. Conferir expressamente aos titulares dos dados direitos oponíveis relativamente ao tratamento dos seus dados pessoais; e
   3. Preencher os requisitos estabelecidos no n.o 2.
2. As regras vinculativas aplicáveis às empresas a que se refere o n.o 1 especificam, pelo menos:
   1. A estrutura e os contactos do grupo empresarial ou do grupo de empresas envolvidas numa atividade económica conjunta e de cada uma das entidades que o compõe;
   2. As transferências ou conjunto de transferências de dados, incluindo as categorias de dados pessoais, o tipo de tratamento e suas finalidades, o tipo de titulares de dados afetados e a identificação do país ou países terceiros em questão;
   3. O seu caráter juridicamente vinculativo, a nível interno e externo;
   4. A aplicação dos princípios gerais de proteção de dados, nomeadamente a limitação das finalidades, a minimização dos dados, a limitação dos prazos de conservação, a qualidade dos dados, a proteção dos dados desde a conceção e por defeito, o fundamento jurídico para o tratamento, o tratamento de categorias especiais de dados pessoais, as medidas de garantia da segurança dos dados e os requisitos aplicáveis a transferências posteriores para organismos não abrangidos pelas regras vinculativas aplicáveis às empresas;
   5. Os direitos dos titulares dos dados relativamente ao tratamento e regras de exercício desses direitos, incluindo o direito de não ser objeto de decisões baseadas unicamente no tratamento automatizado, nomeadamente a definição de perfis a que se refere o artigo 22.o, o direito de apresentar uma reclamação à autoridade de controlo competente e aos tribunais competentes dos Estados-Membros nos termos do artigo 79.o, bem como o de obter reparação e, se for caso disso, indemnização pela violação das regras vinculativas aplicáveis às empresas;
   6. A aceitação, por parte do responsável pelo tratamento ou subcontratante estabelecido no território de um Estado-Membro, da responsabilidade por toda e qualquer violação das regras vinculativas aplicáveis às empresas cometida por uma entidade envolvida que não se encontre estabelecida na União; o responsável pelo tratamento ou o subcontratante só pode ser exonerado dessa responsabilidade, no todo ou em parte, mediante prova de que o facto que causou o dano não é imputável à referida entidade;
   7. A forma como as informações sobre as regras vinculativas aplicáveis às empresas, nomeadamente, sobre as disposições referidas nas alíneas d), e) e f) do presente número, são comunicadas aos titulares dos dados para além das informações referidas nos artigos 13.o e 14.o;
   8. As funções de qualquer encarregado da proteção de dados, designado nos termos do artigo 37.o ou de qualquer outra pessoa ou entidade responsável pelo controlo do cumprimento das regras vinculativas aplicáveis às empresas, a nível do grupo empresarial ou do grupo de empresas envolvidas numa atividade económica conjunta, e pela supervisão das ações de formação e do tratamento de reclamações;
   9. Os procedimentos de reclamação;
   10. Os procedimentos existentes no grupo empresarial ou no grupo de empresas envolvidas numa atividade económica conjunta para assegurar a verificação do cumprimento das regras vinculativas aplicáveis às empresas. Esses procedimentos incluem a realização de auditorias sobre a proteção de dados e o recurso a métodos que garantam a adoção de medidas corretivas capazes de preservar os direitos dos respetivos titulares. Os resultados dessa verificação devem ser comunicados à pessoa ou entidade referida na alínea h) e ao Conselho de Administração da empresa ou grupo empresarial que exerce o controlo ou do grupo de empresas envolvidas numa atividade económica conjunta, devendo também ser facultados à autoridade de controlo competente, a pedido desta;
   11. Os procedimentos de elaboração de relatórios e de registo de alterações às regras, bem como de comunicação dessas alterações à autoridade de controlo;
   12. O procedimento de cooperação com a autoridade de controlo para assegurar o cumprimento, por qualquer entidade do grupo empresarial ou do grupo de empresas envolvidas numa atividade económica conjunta, em especial facultando à autoridade de controlo os resultados de verificações das medidas referidas na alínea j);
   13. Os procedimentos de comunicação, à autoridade de controlo competente, de todos os requisitos legais a que uma entidade do grupo empresarial ou do grupo de empresas envolvidas numa atividade económica conjunta esteja sujeita num país terceiro que sejam passíveis de ter forte impacto negativo nas garantias dadas pelas regras vinculativas aplicáveis às empresas; e
   14. Ações de formação especificamente dirigidas a pessoas que tenham, em permanência ou regularmente, acesso a dados de natureza pessoal.
3. A Comissão pode especificar o formato e os procedimentos de intercâmbio de informações entre os responsáveis pelo tratamento, os subcontratantes e as autoridades de controlo no que respeita às regras vinculativas aplicáveis às empresas na aceção do presente artigo. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 93.o, n.o 2.

Este artigo, o Artigo 48.º da Lei n.º 58/2019, que diz respeito ao Regulamento Geral sobre a Proteção de Dados (RGPD), aborda o desvio de dados. De acordo com este artigo, quem copiar, subtrair, ceder ou transferir, a título oneroso ou gratuito, dados pessoais sem previsão legal ou consentimento, independentemente da finalidade prosseguida, está sujeito a pena de prisão até 1 ano ou a multa até 120 dias. Este dispositivo legal visa proteger a privacidade dos indivíduos e garantir que o tratamento de dados pessoais seja realizado de forma legal e consentida.

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho

CAPÍTULO V - Transferências de dados pessoais para países terceiros ou organizações internacionais

As decisões judiciais e as decisões de autoridades administrativas de um país terceiro que exijam que o responsável pelo tratamento ou o subcontratante transfiram ou divulguem dados pessoais só são reconhecidas ou executadas se tiverem como base um acordo internacional, como um acordo de assistência judiciária mútua, em vigor entre o país terceiro em causa e a União ou um dos Estados-Membros, sem prejuízo de outros motivos de transferência nos termos do presente capítulo.

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho

CAPÍTULO V - Transferências de dados pessoais para países terceiros ou organizações internacionais

1. Na falta de uma decisão de adequação nos termos do artigo 45.o, n.o 3, ou de garantias adequadas nos termos do artigo 46.o, designadamente de regras vinculativas aplicáveis às empresas, as transferências ou conjunto de transferências de dados pessoais para países terceiros ou organizações internacionais só são efetuadas caso se verifique uma das seguintes condições:
   1. O titular dos dados tiver explicitamente dado o seu consentimento à transferência prevista, após ter sido informado dos possíveis riscos de tais transferências para si próprio devido à falta de uma decisão de adequação e das garantias adequadas;
   2. A transferência for necessária para a execução de um contrato entre o titular dos dados e o responsável pelo tratamento ou de diligências prévias à formação do contrato decididas a pedido do titular dos dados;
   3. A transferência for necessária para a celebração ou execução de um contrato, celebrado no interesse do titular dos dados, entre o responsável pelo seu tratamento e outra pessoa singular ou coletiva;
   4. A transferência for necessária por importantes razões de interesse público;
   5. A transferência for necessária à declaração, ao exercício ou à defesa de um direito num processo judicial;
   6. A transferência for necessária para proteger interesses vitais do titular dos dados ou de outras pessoas, se esse titular estiver física ou legalmente incapaz de dar o seu consentimento;
   7. A transferência for realizada a partir de um registo que, nos termos do direito da União ou do Estado-Membro, se destine a informar o público e se encontre aberto à consulta do público em geral ou de qualquer pessoa que possa provar nela ter um interesse legítimo, mas apenas na medida em que as condições de consulta estabelecidas no direito da União ou de um Estado-Membro se encontrem preenchidas nesse caso concreto.
      
      Quando uma transferência não puder basear-se no disposto no artigo 45.o ou 46.o, incluindo nas regras vinculativas aplicáveis às empresas, e não for aplicável nenhuma das derrogações previstas para as situações específicas a que se refere o primeiro parágrafo do presente número, a transferência para um país terceiro ou uma organização internacional só pode ser efetuada se não for repetitiva, apenas disser respeito a um número limitado de titulares dos dados, for necessária para efeitos dos interesses legítimos visados pelo responsável pelo seu tratamento, desde que a tais interesses não se sobreponham os interesses ou os direitos e liberdades do titular dos dados, e o responsável pelo tratamento tiver ponderado todas as circunstâncias relativas à transferência de dados e, com base nessa avaliação, tiver apresentado garantias adequadas no que respeita à proteção de dados pessoais. O responsável pelo tratamento informa da transferência a autoridade de controlo. Para além de fornecer a informação referida nos artigos 13.o e 14.o, o responsável pelo tratamento presta informações ao titular dos dados sobre a transferência e os interesses legítimos visados.
      
      
2. As transferências efetuadas nos termos do n.o 1, primeiro parágrafo, alínea g), não envolvem a totalidade dos dados pessoais nem categorias completas de dados pessoais constantes do registo. Quando o registo se destinar a ser consultado por pessoas com um interesse legítimo, as transferências só podem ser efetuadas a pedido dessas pessoas ou se forem elas os seus destinatários.
3. O n.o 1, primeiro parágrafo, alíneas a), b) e c), e segundo parágrafo, não é aplicável a atividades levadas a cabo por autoridades públicas no exercício dos seus poderes.
4. O interesse público referido no n.o 1, primeiro parágrafo, alínea d), é reconhecido pelo direito da União ou pelo direito do Estado-Membro a que o responsável pelo tratamento se encontre sujeito.
5. Na falta de uma decisão de adequação, o direito da União ou de um Estado-Membro podem, por razões importantes de interesse público, estabelecer expressamente limites à transferência de categorias específicas de dados para países terceiros ou organizações internacionais. Os Estados-Membros notificam a Comissão dessas disposições.
6. O responsável pelo tratamento ou o subcontratante documenta a avaliação, bem como as garantias adequadas referidas no n.o 1, segundo parágrafo, do presente artigo, nos registos a que se refere o artigo 30.o.

Este artigo, o Artigo 49.º da Lei n.º 58/2019, que diz respeito ao Regulamento Geral sobre a Proteção de Dados (RGPD), aborda a viciação ou destruição de dados. Segundo este artigo, quem, sem a devida autorização ou justificação, apagar, destruir, danificar, ocultar, suprimir ou modificar dados pessoais, tornando-os inutilizáveis ou afetando o seu potencial de utilização, está sujeito a pena de prisão até 2 anos ou a multa até 240 dias. Este dispositivo legal visa proteger a privacidade dos indivíduos e garantir que o tratamento de dados pessoais seja realizado de forma legal e consentida.

Este artigo da Lei n.º 58/2019 aborda especificamente a composição e funcionamento da Comissão Nacional de Proteção de Dados (CNPD), a autoridade supervisora para a proteção de dados em Portugal. Este artigo é importante porque estabelece a estrutura organizacional e administrativa da CNPD, garantindo que ela tenha os meios necessários para cumprir suas funções de forma eficaz.

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho

CAPÍTULO II - Princípios

1. Os dados pessoais são:
   1. Objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados («licitude, lealdade e transparência»);
   2. Recolhidos para finalidades determinadas, explícitas e legítimas e não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades; o tratamento posterior para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, não é considerado incompatível com as finalidades iniciais, em conformidade com o artigo 89.o, n.o 1 («limitação das finalidades»);
   3. Adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados («minimização dos dados»);
   4. Exatos e atualizados sempre que necessário; devem ser adotadas todas as medidas adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora («exatidão»);
   5. Conservados de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados; os dados pessoais podem ser conservados durante períodos mais longos, desde que sejam tratados exclusivamente para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, em conformidade com o artigo 89.o, n.o 1, sujeitos à aplicação das medidas técnicas e organizativas adequadas exigidas pelo presente regulamento, a fim de salvaguardar os direitos e liberdades do titular dos dados («limitação da conservação»);
   6. Tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas adequadas («integridade e confidencialidade»);
2. O responsável pelo tratamento é responsável pelo cumprimento do disposto no n.o 1 e tem de poder comprová-lo («responsabilidade»).

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho

CAPÍTULO V - Transferências de dados pessoais para países terceiros ou organizações internacionais

Em relação a países terceiros e a organizações internacionais, a Comissão e as autoridades de controlo tomam as medidas necessárias para:

1. Estabelecer regras internacionais de cooperação destinadas a facilitar a aplicação efetiva da legislação em matéria de proteção de dados pessoais;
2. Prestar assistência mútua a nível internacional no domínio da aplicação da legislação relativa à proteção de dados pessoais, nomeadamente através da notificação, comunicação de reclamações, e assistência na investigação e intercâmbio de informações, sob reserva das garantias adequadas de proteção dos dados pessoais e de outros direitos e liberdades fundamentais;
3. Associar as partes interessadas aos debates e atividades que visem intensificar a cooperação internacional no âmbito da aplicação da legislação relativa à proteção de dados pessoais;
4. Promover o intercâmbio e a documentação da legislação e das práticas em matéria de proteção de dados pessoais, nomeadamente no que diz respeito a conflitos jurisdicionais com países terceiros.

Este artigo, o Artigo 50 da Lei n.º 58/2019, que incorpora as disposições do Regulamento Geral de Proteção de Dados (RGPD) na legislação portuguesa, destaca-se por abordar a questão crítica da inserção de dados falsos. Esta prática, além de violar os princípios fundamentais de proteção de dados estabelecidos pelo RGPD, também acarreta implicações significativas tanto a nível administrativo quanto jurisdicional. Ao inserir deliberadamente informações falsas em sistemas de tratamento de dados pessoais, indivíduos e organizações podem estar sujeitos a sanções severas, conforme estabelecido pela legislação nacional e europeia. O Artigo 50 serve como um instrumento legal crucial na proteção da integridade e da confiança nos processos de tratamento de dados, reforçando a importância do cumprimento das normas de privacidade e segurança estabelecidas pelo RGPD.

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho

CAPÍTULO VI - Autoridades de controlo independentes

Secção 1 - Estatuto independente

1. Os Estados-Membros estabelecem que cabe a uma ou mais autoridades públicas independentes a responsabilidade pela fiscalização da aplicação do presente regulamento, a fim de defender os direitos e liberdades fundamentais das pessoas singulares relativamente ao tratamento e facilitar a livre circulação desses dados na União («autoridade de controlo»).
2. As autoridades de controlo contribuem para a aplicação coerente do presente regulamento em toda a União. Para esse efeito, as autoridades de controlo cooperam entre si e com a Comissão, nos termos do capítulo VII.
3. Quando estiverem estabelecidas mais do que uma autoridade de controlo num Estado-Membro, este determina qual a autoridade de controlo que deve representar essas autoridades no Comité e estabelece disposições para assegurar que as regras relativas ao procedimento de controlo da coerência referido no artigo 63.o, sejam cumpridas pelas autoridades.
4. Os Estados-Membros notificam a Comissão das disposições do direito nacional que adotarem nos termos do presente capítulo, até 25 de maio de 2018 e, sem demora, de qualquer alteração posterior a essas mesmas disposições.

O dever de sigilo é um princípio fundamental no tratamento de dados pessoais, consagrado tanto no Regulamento Geral de Proteção de Dados (RGPD) da União Europeia quanto na legislação nacional portuguesa. O Artigo 51 da Lei n.º 58/2019 destaca as consequências legais da violação desse dever, delineando tanto as medidas administrativas quanto as ações jurisdicionais aplicáveis a indivíduos e organizações que negligenciam a confidencialidade dos dados pessoais. Em um contexto onde a proteção da privacidade é uma prioridade, a violação do dever de sigilo é tratada com seriedade, refletindo a importância de salvaguardar os direitos dos titulares de dados e promover a conformidade com os padrões éticos e legais estabelecidos para o tratamento de informações pessoais.

O princípio da conformidade com as disposições legais é essencial no contexto do Regulamento Geral de Proteção de Dados (RGPD), visando garantir a proteção adequada dos direitos individuais no tratamento de dados pessoais. O Artigo 52 da Lei n.º 58/2019 aborda especificamente as consequências da desobediência às normas estabelecidas pelo RGPD e pela legislação nacional portuguesa em matéria de proteção de dados. A desobediência a tais normas pode resultar em sanções administrativas e ações jurisdicionais, sendo crucial para a manutenção da integridade e confiança nos sistemas de tratamento de dados. Este artigo visa promover a responsabilidade e o cumprimento das obrigações legais pelos responsáveis pelo tratamento de dados, reforçando a importância do respeito aos direitos dos titulares de dados e à legislação em vigor.

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho

CAPÍTULO VI - Autoridades de controlo independentes

Secção 1 - Estatuto independente

1. As autoridades de controlo agem com total independência no na prossecução das suas atribuições e no exercício dos poderes que lhe são atribuídos nos termos do presente regulamento.
2. Os membros das autoridades de controlo não estão sujeitos a influências externas, diretas ou indiretas no desempenho das suas funções e no exercício dos seus poderes nos termos do presente regulamento, e não solicitam nem recebem instruções de outrem.
3. Os membros da autoridade de controlo abstêm-se de qualquer ato incompatível com as suas funções e, durante o seu mandato, não podem desempenhar nenhuma atividade, remunerada ou não, que com elas seja incompatível.
4. Os Estados-Membros asseguram que cada autoridade de controlo disponha dos recursos humanos, técnicos e financeiros, instalações e infraestruturas necessários à prossecução eficaz das suas atribuições e ao exercício dos seus poderes, incluindo as executadas no contexto da assistência mútua, da cooperação e da participação no Comité.
5. Os Estados-Membros asseguram que cada autoridade de controlo selecione e disponha do seu próprio pessoal, que ficará sob a direção exclusiva dos membros da autoridade de controlo interessada.
6. Os Estados-Membros asseguram que cada autoridade de controlo fique sujeita a um controlo financeiro que não afeta a sua independência e que disponha de orçamentos anuais separados e públicos, que poderão estar integrados no orçamento geral do Estado ou nacional.

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho

CAPÍTULO VI - Autoridades de controlo independentes

Secção 1 - Estatuto independente

1. Os Estados-Membros estabelecem que cada membro das respetivas autoridades de controlo seja nomeado por procedimento transparente:
   — pelo Parlamento,
   — pelo Governo,
   — pelo Chefe de Estado, ou
   — por um organismo independente incumbido da nomeação nos termos do direito do Estado-Membro.
2. Cada membro possui as habilitações, a experiência e os conhecimentos técnicos necessários, nomeadamente no domínio da proteção de dados pessoais, ao desempenho das suas funções e ao exercício dos seus poderes.
3. As funções dos membros da autoridade de controlo cessam findo o seu mandato, com a sua exoneração ou aposentação compulsiva, nos termos do direito do Estado-Membro em causa.
4. Os membros da autoridade de controlo só são exonerados se tiverem cometido uma falta grave ou se tiverem deixado de cumprir as condições exigidas para o exercício das suas funções.

O Artigo 53 da Lei n.º 58/2019 desempenha um papel central na implementação do Regulamento Geral de Proteção de Dados (RGPD), ao estipular a designação e as responsabilidades do Encarregado de Proteção de Dados (DPO). Este artigo estabelece a obrigação das entidades coletivas designarem um DPO, cuja função é supervisionar a conformidade com o RGPD e servir como ponto de contato para questões relacionadas à proteção de dados. Além disso, o Artigo 53 delineia as qualificações e as tarefas específicas do DPO, destacando sua importância na garantia da conformidade com as disposições de proteção de dados. Ao examinar detalhadamente as disposições deste artigo, podemos compreender melhor como as organizações devem estruturar suas práticas de proteção de dados para cumprir efetivamente as exigências do RGPD e garantir a segurança dos dados pessoais dos cidadãos.

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho

CAPÍTULO VI - Autoridades de controlo independentes

Secção 1 - Estatuto independente

1. Os Estados-Membros estabelecem, por via legislativa:
   1. A constituição de cada autoridade de controlo;
   2. As qualificações e as condições de elegibilidade necessárias para a nomeação dos membros de cada autoridade de controlo;
   3. As regras e os procedimentos de nomeação dos membros de cada autoridade de controlo;
   4. A duração do mandato dos membros de cada autoridade de controlo, que não será inferior a quatro anos, salvo no caso do primeiro mandato após 24 de maio de 2016, e ser mais curta quando for necessário proteger a independência da autoridade de controlo através de um procedimento de nomeações escalonadas;
   5. Se, e em caso afirmativo, por quantos mandatos os membros de cada autoridade de controlo podem ser renomeados;
   6. As condições que regem as obrigações dos membros e do pessoal de cada autoridade de controlo, a proibição das ações, funções e benefícios que com elas são incompatíveis durante o mandato e após o seu termo e as regras que regem a cessação da relação de trabalho.
2. Os membros e o pessoal de cada autoridade de controlo ficam sujeitos, nos termos do direito da União ou dos Estados-Membros, à obrigação de sigilo profissional, tanto durante o mandato como após o seu termo, quanto a quaisquer informações confidenciais a que tenham tido acesso no desempenho das suas funções ou exercício dos seus poderes. Durante o seu mandato, essa obrigação de sigilo profissional aplica-se, em especial, à comunicação por pessoas singulares de violações do presente regulamento.