O Artigo 54 da Lei n.º 58/2019, que trata da responsabilidade das pessoas coletivas no âmbito do Regulamento Geral de Proteção de Dados (RGPD), assume um papel crucial na garantia da conformidade das organizações com as normas de proteção de dados. Este artigo estabelece claramente as obrigações e responsabilidades das entidades coletivas em relação ao tratamento de dados pessoais, definindo os princípios fundamentais que devem guiar suas práticas. Ao mesmo tempo, delineia as consequências administrativas e jurisdicionais para as organizações que não cumprirem com as disposições do RGPD, enfatizando a importância da implementação de medidas adequadas de proteção de dados dentro das empresas e instituições. Neste artigo, examinaremos em detalhes as implicações legais da responsabilidade das pessoas coletivas e as medidas de tutela aplicáveis para garantir a conformidade com as normas de proteção de dados estabelecidas pela União Europeia.

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho

CAPÍTULO VI - Autoridades de controlo independentes

Secção 2 - Competência, atribuições e poderes

1. As autoridades de controlo são competentes para prosseguir as atribuições e exercer os poderes que lhes são conferidos pelo presente regulamento no território do seu próprio Estado-Membro.
2. Quando o tratamento for efetuado por autoridades públicas ou por organismos privados que atuem ao abrigo do artigo 6.o, n.o 1, alínea c) ou e), é competente a autoridade de controlo do Estado-Membro em causa. Nesses casos, não é aplicável o artigo 56.o.
3. As autoridades de controlo não têm competência para controlar operações de tratamento efetuadas por tribunais que atuem no exercício da sua função jurisdicional.

O Artigo 55 da Lei n.º 58/2019 atribui competências fundamentais à Autoridade Nacional de Proteção de Dados (CNPD), como autoridade de controlo responsável pela supervisão do cumprimento do Regulamento Geral de Proteção de Dados (RGPD) em Portugal. Este artigo delineia as responsabilidades e os poderes da CNPD, incluindo a capacidade de realizar investigações, emitir avisos e sanções, e oferecer orientações sobre questões relacionadas à proteção de dados. Além disso, o Artigo 55 estabelece a independência da CNPD em suas atividades de supervisão, garantindo assim a imparcialidade e a eficácia de suas decisões. Ao explorar as disposições deste artigo, podemos compreender melhor o papel crucial desempenhado pela autoridade de controlo na aplicação e na promoção da conformidade com as normas de proteção de dados estabelecidas pelo RGPD.

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho

CAPÍTULO VI - Autoridades de controlo independentes

Secção 2 - Competência, atribuições e poderes

1. Sem prejuízo do disposto no artigo 55.o, a autoridade de controlo do estabelecimento principal ou do estabelecimento único do responsável pelo tratamento ou do subcontratante é competente para agir como autoridade de controlo principal para o tratamento transfronteiriço efetuado pelo referido responsável pelo tratamento ou subcontratante nos termos do artigo 60.o.
2. Em derrogação do n.o 1, cada autoridade de controlo é competente para tratar reclamações que lhe sejam apresentadas ou a eventuais violações do presente regulamento se a matéria em apreço estiver relacionada apenas com um estabelecimento no seu Estado-Membro ou se afetar substancialmente titulares de dados apenas no seu Estado-Membro.
3. Nos casos previstos no n.o 2 do presente artigo, a autoridade de controlo informa sem demora do assunto a autoridade de controlo principal. No prazo de três semanas a contar do momento em que tiver sido informada, a autoridade de controlo principal decide se trata o caso, nos termos do artigo 60.o, tendo em conta se há ou não algum estabelecimento do responsável pelo tratamento ou subcontratante no Estado-Membro sobre o qual a autoridade de controlo a tenha informado.
4. Quando a autoridade de controlo principal decide tratar o caso, aplica-se o procedimento previsto no artigo 60.o. A autoridade de controlo que tiver informado a autoridade de controlo principal pode apresentar a esta última um projeto de decisão. A autoridade de controlo principal tem esse projeto na melhor conta quando prepara o projeto de decisão referido no artigo 60.o, n.o 3.
5. Caso a autoridade de controlo principal decida não tratar o caso, é a autoridade de controlo que a informou que o trata, nos termos dos artigos 61.o e 62.o.
6. A autoridade de controlo principal é o único interlocutor do responsável pelo tratamento ou do subcontratante no tratamento transfronteiriço efetuado pelo referido responsável pelo tratamento ou subcontratante.

O Artigo 56 da Lei n.º 58/2019 define as responsabilidades e tarefas da Autoridade Nacional de Proteção de Dados (CNPD) como autoridade de controlo designada em Portugal para supervisionar a aplicação do Regulamento Geral de Proteção de Dados (RGPD). Este artigo estabelece as diversas funções que competem à CNPD, incluindo a promoção da consciencialização sobre a proteção de dados, a prestação de orientações sobre o cumprimento do RGPD, a realização de investigações e a aplicação de medidas corretivas e sanções em caso de violações. Ao detalhar as competências da autoridade de controlo, o Artigo 56 visa assegurar uma aplicação coerente e eficaz das disposições do RGPD em território nacional, contribuindo para a proteção dos direitos fundamentais dos cidadãos no que diz respeito ao tratamento de dados pessoais.

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho

CAPÍTULO VI - Autoridades de controlo independentes

Secção 2 - Competência, atribuições e poderes

1. Sem prejuízo de outras atribuições previstas nos termos do presente regulamento, cada autoridade de controlo, no território respetivo:
   1. Controla e executa a aplicação do presente regulamento;
   2. Promove a sensibilização e a compreensão do público relativamente aos riscos, às regras, às garantias e aos direitos associados ao tratamento. As atividades especificamente dirigidas às crianças devem ser alvo de uma atenção especial;
   3. Aconselha, em conformidade com o direito do Estado-Membro, o Parlamento nacional, o Governo e outras instituições e organismos a respeito das medidas legislativas e administrativas relacionadas com a defesa dos direitos e liberdades das pessoas singulares no que diz respeito ao tratamento;
   4. Promove a sensibilização dos responsáveis pelo tratamento e dos subcontratantes para as suas obrigações nos termos do presente regulamento;
   5. Se lhe for solicitado, presta informações a qualquer titular de dados sobre o exercício dos seus direitos nos termos do presente regulamento e, se necessário, coopera com as autoridades de controlo de outros Estados-Membros para esse efeito;
   6. Trata as reclamações apresentadas por qualquer titular de dados, ou organismo, organização ou associação nos termos do artigo 80.o, e investigar, na medida do necessário, o conteúdo da reclamação e informar o autor da reclamação do andamento e do resultado da investigação num prazo razoável, em especial se forem necessárias operações de investigação ou de coordenação complementares com outra autoridade de controlo;
   7. Coopera, incluindo partilhando informações e prestando assistência mútua a outras autoridades de controlo, tendo em vista assegurar a coerência da aplicação e da execução do presente regulamento;
   8. Conduz investigações sobre a aplicação do presente regulamento, incluindo com base em informações recebidas de outra autoridade de controlo ou outra autoridade pública;
   9. Acompanha factos novos relevantes, na medida em que tenham incidência na proteção de dados pessoais, nomeadamente a evolução a nível das tecnologias da informação e das comunicações e das práticas comerciais;
   10. Adota as cláusulas contratuais-tipo previstas no artigo 28.o, n.o 8, e no artigo 46.o, n.o 2, alínea d);
   11. Elabora e conserva uma lista associada à exigência de realizar uma avaliação do impacto sobre a proteção de dados, nos termos do artigo 35.o, n.o 4;
   12. Dá orientações sobre as operações de tratamento previstas no artigo 36.o, n.o 2;
   13. Incentiva a elaboração de códigos de conduta nos termos do artigo 40.o, n.o 1, dá parecer sobre eles e aprova os que preveem garantias suficientes, nos termos do artigo 40.o, n.o 5;
   14. Incentiva o estabelecimento de procedimentos de certificação de proteção de dados, e de selos e marcas de proteção de dados, nos termos do artigo 42.o, n.o 1, e aprova os critérios de certificação nos termos do artigo 42.o, n.o 5;
   15. Se necessário, procede a uma revisão periódica das certificações emitidas, nos termos do artigo 42.o, n.o 7;
   16. Redige e publica os critérios de acreditação de um organismo para monitorizar códigos de conduta nos termos do artigo 41.o e de um organismo de certificação nos termos do artigo 43.o;
   17. Conduz o processo de acreditação de um organismo para monitorizar códigos de conduta nos termos do artigo 41.o e de um organismo de certificação nos termos do artigo 43.o;
   18. Autoriza as cláusulas contratuais e disposições previstas no artigo 46.o, n.o 3;
   19. Aprova as regras vinculativas aplicáveis às empresas nos termos do artigo 47.o;
   20. Contribui para as atividades do Comité;
   21. Conserva registos internos de violações do presente regulamento e das medidas tomadas nos termos do artigo 58.o, n.o 2; e
   22. Desempenha quaisquer outras tarefas relacionadas com a proteção de dados pessoais.
2. As autoridades de controlo facilitam a apresentação das reclamações previstas no n.o 1, alínea f), tomando medidas como disponibilizar formulários de reclamação que possam também ser preenchidos eletronicamente, sem excluir outros meios de comunicação.
3. A prossecução das atribuições de cada autoridade de controlo é gratuita para o titular dos dados e, sendo caso disso, para o encarregado da proteção de dados.
4. Quando os pedidos forem manifestamente infundados ou excessivos, particularmente devido ao seu caráter recorrente, a autoridade de controlo pode exigir o pagamento de uma taxa razoável tendo em conta os custos administrativos ou pode indeferi-los. Cabe à autoridade de controlo demonstrar o caráter manifestamente infundado ou excessivo dos pedidos.

O Artigo 57 da Lei n.º 58/2019 é uma peça fundamental na estrutura regulatória estabelecida para garantir a conformidade com o Regulamento Geral de Proteção de Dados (RGPD) em Portugal. Este artigo aborda a criação e o papel da Comissão Nacional de Proteção de Dados (CNPD), a autoridade de controlo designada para supervisionar a aplicação do RGPD no país. Além disso, o Artigo 57 estipula disposições finais e transitórias, delineando o processo de transição e adaptação das organizações às novas normas de proteção de dados. Ao detalhar as competências e os procedimentos relacionados à CNPD, este artigo contribui para o fortalecimento da proteção dos direitos fundamentais dos cidadãos no que diz respeito ao tratamento de seus dados pessoais, alinhando assim a legislação portuguesa com os padrões estabelecidos pela União Europeia em matéria de proteção de dados.

Este artigo, o artigo 58.º da Lei n.º 58/2019 estabelece as orientações técnicas no contexto das disposições finais e transitórias do Regulamento Geral de Proteção de Dados (RGPD). Essas orientações são essenciais para a aplicação do RGPD pela administração direta e indireta do Estado. A Comissão Nacional de Proteção de Dados (CNPD) desempenha um papel crucial como autoridade de controlo nacional, garantindo a conformidade com as normas de proteção de dados pessoais. Além disso, a lei abrange o âmbito de aplicação dos tratamentos de dados pessoais, independentemente da natureza pública ou privada do responsável pelo tratamento, bem como os tratamentos realizados fora do território nacional que afetam titulares de dados residentes em Portugal. A Lei n.º 58/2019 visa assegurar a execução do RGPD na ordem jurídica nacional, protegendo os direitos e a privacidade das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho

CAPÍTULO VI - Autoridades de controlo independentes

Secção 2 - Competência, atribuições e poderes

1. Cada autoridade de controlo dispõe dos seguintes poderes de investigação:
   1. Ordenar que o responsável pelo tratamento e o subcontratante e, se existir, o seu representante, lhe forneçam as informações de que necessite para o desempenho das suas funções;
   2. Realizar investigações sob a forma de auditorias sobre a proteção de dados;
   3. Rever as certificações emitidas nos termos do artigo 42.o, n.o 7;
   4. Notificar o responsável pelo tratamento ou o subcontratante de alegadas violações do presente regulamento;
   5. Obter, da parte do responsável pelo tratamento e do subcontratante, acesso a todos os dados pessoais e a todas as informações necessárias ao exercício das suas funções;
   6. Obter acesso a todas as instalações do responsável pelo tratamento e do subcontratante, incluindo os equipamentos e meios de tratamento de dados, em conformidade com o direito processual da União ou dos Estados-Membros.
2. Cada autoridade de controlo dispõe dos seguintes poderes de correção:
   1. Fazer advertências ao responsável pelo tratamento ou ao subcontratante no sentido de que as operações de tratamento previstas são suscetíveis de violar as disposições do presente regulamento;
   2. Fazer repreensões ao responsável pelo tratamento ou ao subcontratante sempre que as operações de tratamento tiverem violado as disposições do presente regulamento;
   3. Ordenar ao responsável pelo tratamento ou ao subcontratante que satisfaça os pedidos de exercício de direitos apresentados pelo titular dos dados nos termos do presente regulamento;
   4. Ordenar ao responsável pelo tratamento ou ao subcontratante que tome medidas para que as operações de tratamento cumpram as disposições do presente regulamento e, se necessário, de uma forma específica e dentro de um prazo determinado;
   5. Ordenar ao responsável pelo tratamento que comunique ao titular dos dados uma violação de dados pessoais;
   6. Impor uma limitação temporária ou definitiva ao tratamento de dados, ou mesmo a sua proibição;
   7. Ordenar a retificação ou o apagamento de dados pessoais ou a limitação do tratamento nos termos dos artigos 16.o, 17.o e 18.o, bem como a notificação dessas medidas aos destinatários a quem tenham sido divulgados os dados pessoais nos termos do artigo 17.o, n.o 2, e do artigo 19.o;
   8. Retirar a certificação ou ordenar ao organismo de certificação que retire uma certificação emitida nos termos dos artigos 42.o e 43.o, ou ordenar ao organismo de certificação que não emita uma certificação se os requisitos de certificação não estiverem ou deixarem de estar cumpridos;
   9. Impor uma coima nos termos do artigo 83.o, para além ou em vez das medidas referidas no presente número, consoante as circunstâncias de cada caso;
   10. Ordenar a suspensão do envio de dados para destinatários em países terceiros ou para organizações internacionais.
3. Cada autoridade de controlo dispõe dos seguintes poderes consultivos e de autorização:
   1. Aconselhar o responsável pelo tratamento, pelo procedimento de consulta prévia referido no artigo 36.o;
   2. Emitir, por iniciativa própria ou se lhe for solicitado, pareceres dirigidos ao Parlamento nacional, ao Governo do Estado-Membro ou, nos termos do direito do Estado-Membro, a outras instituições e organismos, bem como ao público, sobre qualquer assunto relacionado com a proteção de dados pessoais;
   3. Autorizar o tratamento previsto no artigo 36.o, n.o 5, se a lei do Estado-Membro exigir tal autorização prévia;
   4. Emitir pareceres e aprovar projetos de códigos de conduta nos termos do artigo 40.o, n.o 5;
   5. Acreditar organismos de certificação nos termos do artigo 43.o;
   6. Emitir certificações e aprovar os critérios de certificação nos termos do artigo 42.o, n.o 5;
   7. Adotar as cláusulas-tipo de proteção de dados previstas no artigo 28.o, n.o 8, e no artigo 46.o, n.o 2, alínea d);
   8. Autorizar as cláusulas contratuais previstas no artigo 46.o, n.o 3, alínea a);
   9. Autorizar os acordos administrativos previstos no artigo 46.o, n.o 3, alínea b);
   10. Aprovar as regras vinculativas aplicáveis às empresas nos termos do artigo 47.o.
4. O exercício dos poderes conferidos à autoridade de controlo nos termos do presente artigo está sujeito a garantias adequadas, que incluem o direito à ação judicial efetiva e a um processo equitativo, previstas no direito da União e dos Estados-Membros, em conformidade com a Carta.
5. Os Estados-Membros estabelecem por lei que as suas autoridades de controlo estão habilitadas a levar as violações do presente regulamento ao conhecimento das autoridades judiciais e, se necessário, a intentar ou de outro modo intervir em processos judiciais, a fim de fazer aplicar as disposições do presente regulamento.
6. Os Estados-Membros podem estabelecer por lei que as suas autoridades de controlo terão outros poderes para além dos previstos nos n.os 1, 2 e 3. O exercício desses poderes não deve prejudicar o efetivo funcionamento do capítulo VII.

Este artigo, o artigo 59.º da Lei n.º 58/2019 aborda a aplicabilidade das coimas às entidades públicas no contexto das disposições finais e transitórias do Regulamento Geral de Proteção de Dados (RGPD). Este artigo é fundamental para garantir a conformidade das entidades públicas com as normas de proteção de dados pessoais.

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho

CAPÍTULO VI - Autoridades de controlo independentes

Secção 2 - Competência, atribuições e poderes

As autoridades de controlo elaboram um relatório anual de atividades, que pode incluir uma lista dos tipos de violação notificadas e dos tipos de medidas tomadas nos termos do artigo 58.o, n.o 2. Os relatórios são apresentados ao Parlamento nacional, ao Governo e às outras autoridades designadas no direito do Estado-Membro. Os relatórios são disponibilizados ao público, à Comissão e ao Comité.

No contexto da crescente digitalização e do consequente aumento do volume de dados pessoais circulando no ciberespaço, a proteção da privacidade dos indivíduos torna-se uma questão de primordial importância. Este artigo, o artigo 6.º da Lei n.º 58/2019 estabelece as atribuições e competências da Comissão Nacional de Proteção de Dados (CNPD) em Portugal, delineando o papel desta entidade reguladora na salvaguarda dos direitos fundamentais dos cidadãos no que toca ao tratamento de dados pessoais. Este enquadramento legal não só reforça a transparência e a segurança informacional como também assegura a conformidade com os padrões estabelecidos pelo Regulamento Geral sobre a Proteção de Dados (RGPD), promovendo uma cultura de responsabilidade e confiança indispensável à integridade do espaço digital europeu.

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho

CAPÍTULO II - Princípios

1. O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:
   1. O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas;
   2. O tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados;
   3. O tratamento for necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito;
   4. O tratamento for necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular;
   5. O tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento;
   6. O tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.
      
      O primeiro parágrafo, alínea f), não se aplica ao tratamento de dados efetuado por autoridades públicas na prossecução das suas atribuições por via eletrónica.
      
      
2. Os Estados-Membros podem manter ou aprovar disposições mais específicas com o objetivo de adaptar a aplicação das regras do presente regulamento no que diz respeito ao tratamento de dados para o cumprimento do n.o 1, alíneas c) e e), determinando, de forma mais precisa, requisitos específicos para o tratamento e outras medidas destinadas a garantir a licitude e lealdade do tratamento, inclusive para outras situações específicas de tratamento em conformidade com o capítulo IX.
3. O fundamento jurídico para o tratamento referido no n.o 1, alíneas c) e e), é definido:
   1. Pelo direito da União; ou
   2. Pelo direito do Estado-Membro ao qual o responsável pelo tratamento está sujeito.
      
      A finalidade do tratamento é determinada com esse fundamento jurídico ou, no que respeita ao tratamento referido no n.o 1, alínea e), deve ser necessária ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento. Esse fundamento jurídico pode prever disposições específicas para adaptar a aplicação das regras do presente regulamento, nomeadamente: as condições gerais de licitude do tratamento pelo responsável pelo seu tratamento; os tipos de dados objeto de tratamento; os titulares dos dados em questão; as entidades a que os dados pessoais poderão ser comunicados e para que efeitos; os limites a que as finalidades do tratamento devem obedecer; os prazos de conservação; e as operações e procedimentos de tratamento, incluindo as medidas destinadas a garantir a legalidade e lealdade do tratamento, como as medidas relativas a outras situações específicas de tratamento em conformidade com o capítulo IX. O direito da União ou do Estado-Membro deve responder a um objetivo de interesse público e ser proporcional ao objetivo legítimo prosseguido.
      
      
4. Quando o tratamento para fins que não sejam aqueles para os quais os dados pessoais foram recolhidos não for realizado com base no consentimento do titular dos dados ou em disposições do direito da União ou dos Estados-Membros que constituam uma medida necessária e proporcionada numa sociedade democrática para salvaguardar os objetivos referidos no artigo 23.o, n.o 1, o responsável pelo tratamento, a fim de verificar se o tratamento para outros fins é compatível com a finalidade para a qual os dados pessoais foram inicialmente recolhidos, tem nomeadamente em conta:
   1. Qualquer ligação entre a finalidade para a qual os dados pessoais foram recolhidos e a finalidade do tratamento posterior;
   2. O contexto em que os dados pessoais foram recolhidos, em particular no que respeita à relação entre os titulares dos dados e o responsável pelo seu tratamento;
   3. A natureza dos dados pessoais, em especial se as categorias especiais de dados pessoais forem tratadas nos termos do artigo 9.o, ou se os dados pessoais relacionados com condenações penais e infrações forem tratados nos termos do artigo 10.o;
   4. As eventuais consequências do tratamento posterior pretendido para os titulares dos dados;
   5. A existência de salvaguardas adequadas, que podem ser a cifragem ou a pseudonimização.

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho

CAPÍTULO VII - Cooperação e coerência

Secção 1 - Cooperação

1. A autoridade de controlo principal coopera com as outras autoridades de controlo interessadas nos termos do presente artigo para procurar alcançar um consenso. A autoridade de controlo principal e as autoridades de controlo interessadas trocam entre si todas as informações pertinentes.
2. A autoridade de controlo principal pode a qualquer momento solicitar que as outras autoridades de controlo interessadas prestem assistência mútua nos termos do artigo 61.o e pode realizar operações conjuntas nos termos do artigo 62.o, nomeadamente para proceder a investigações ou monitorizar a execução de medidas relativas a responsáveis pelo tratamento ou subcontratantes estabelecidos noutros Estados-Membros.
3. A autoridade de controlo principal comunica sem demora as informações pertinentes sobre o assunto às outras autoridades de controlo interessadas. Envia sem demora um projeto de decisão às outras autoridades de controlo interessadas para que emitam parecer e toma as suas posições em devida consideração.
4. Quando uma das outras autoridades de controlo interessadas expressa uma objeção pertinente e fundamentada ao projeto de decisão no prazo de quatro semanas após ter sido consultada nos termos do n.o 3 do presente artigo, a autoridade de controlo principal, caso não dê seguimento à objeção ou caso entenda que esta não é pertinente ou fundamentada, remete o assunto para o procedimento de controlo da coerência referido no artigo 63.o.
5. Se a autoridade de controlo principal pretender dar seguimento à objeção pertinente e fundamentada apresentada, envia às outras autoridades de controlo interessadas um projeto de decisão revisto para que emitam parecer. Esse projeto de decisão revisto é sujeito ao procedimento mencionado no n.o 4 no prazo de duas semanas.
6. Se nenhuma das outras autoridades de controlo interessadas se tiver oposto ao projeto de decisão apresentado pela autoridade de controlo principal no prazo referido nos n.os 4 e 5, considera-se que a autoridade de controlo principal e as autoridades de controlo interessadas estão de acordo com esse projeto de decisão e ficam por ela vinculadas.
7. A autoridade de controlo principal adota a decisão e dela notifica o estabelecimento principal ou o estabelecimento único do responsável pelo tratamento ou do subcontratante, consoante o caso, e informa as outras autoridades de controlo interessadas e o Comité da decisão em causa, incluindo um sumário dos factos e motivos pertinentes. A autoridade de controlo à qual tenha sido apresentada uma reclamação, informa da decisão o autor da reclamação.
8. Em derrogação do n.o 7, se for recusada ou rejeitada uma reclamação, a autoridade de controlo à qual a reclamação tiver sido apresentada adota a decisão, notifica o autor da reclamação e informa desse facto o responsável pelo tratamento.
9. Se a autoridade de controlo principal e as autoridades de controlo interessadas estiverem de acordo em recusar ou rejeitar determinadas partes de uma reclamação e tomar medidas relativamente a outras partes da mesma reclamação, é adotada uma decisão separada para cada uma dessas partes da matéria. A autoridade de controlo principal adota a decisão na parte respeitante às medidas relativas ao responsável pelo tratamento e informa desse facto o estabelecimento principal ou o estabelecimento único do responsável pelo tratamento ou do subcontratante no território do seu Estado-Membro, informando desse facto o autor da reclamação, enquanto a autoridade de controlo do autor da reclamação adota a decisão na parte relativa à recusa ou à rejeição da referida reclamação e notifica o autor da reclamação, informando desse facto o responsável pelo tratamento ou o subcontratante.
10. Após ter sido notificado da decisão da autoridade de controlo principal nos termos dos n.os 7 e 9, o responsável pelo tratamento ou o subcontratante tomam as medidas necessárias para garantir o cumprimento da decisão no que se refere às atividades de tratamento no contexto de todos os seus estabelecimentos na União. O responsável pelo tratamento ou o subcontratante comunica as medidas tomadas para fazer cumprir a decisão à autoridade de controlo principal, que informa as outras autoridades de controlo interessadas.
11. Se, em circunstâncias excecionais, alguma autoridade de controlo interessada tiver razões para considerar que existe uma necessidade urgente de agir para defender os interesses dos titulares dos dados, aplica-se o procedimento de urgência referido no artigo 66.o.
12. A autoridade de controlo principal e as outras autoridades de controlo interessadas trocam entre si as informações necessárias nos termos do presente artigo por meios eletrónicos, utilizando um formato normalizado.

O artigo 60.º da Lei n.º 58/2019 aborda as situações específicas de tratamento de dados pessoais pré-existentes no contexto das disposições finais e transitórias do Regulamento Geral de Proteção de Dados (RGPD).

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho

CAPÍTULO VII - Cooperação e coerência

Secção 1 - Cooperação

1. As autoridades de controlo prestam entre si informações úteis e assistência mútua a fim de executar e aplicar o presente regulamento de forma coerente, e tomam as medidas para cooperar eficazmente entre si. A assistência mútua abrange, em especial, os pedidos de informação e as medidas de controlo, tais como os pedidos de autorização prévia e de consulta prévia, bem como de inspeção e de investigação.
2. As autoridades de controlo tomam todas as medidas adequadas que forem necessárias para responder a um pedido de outra autoridade de controlo sem demora injustificada e, o mais tardar, um mês após a receção do pedido. Essas medidas podem incluir, particularmente, a transmissão de informações úteis sobre a condução de uma investigação.
3. Os pedidos de assistência incluem todas as informações necessárias, nomeadamente a finalidade e os motivos do pedido. As informações trocadas só podem ser utilizadas para a finalidade para que tiverem sido solicitadas.
4. A autoridade de controlo requerida não pode indeferir o pedido, a não ser que:
   1. Não seja competente relativamente ao assunto do pedido ou às medidas cuja execução lhe é pedida; ou
   2. Dar seguimento ao viole o presente regulamento ou o direito da União ou do Estado-Membro ao qual a autoridade de controlo que recebe o pedido está sujeita.
5. A autoridade de controlo requerida informa a autoridade de controlo requerente dos resultados obtidos ou, consoante o caso, do andamento do pedido ou das medidas tomadas para lhe dar resposta pedido. A autoridade de controlo requerida indica os motivos de indeferimento de um pedido por força do n.o 4.
6. As autoridades de controlo requeridas fornecem, em regra, as informações solicitadas por outras autoridades de controlo por meios eletrónicos, utilizando um formato normalizado.
7. As autoridades de controlo requeridas não cobram taxas pelas medidas por elas tomadas por força de pedidos de assistência mútua. As autoridades de controlo podem acordar regras para a indemnização recíproca de despesas específicas decorrentes da prestação de assistência mútua em circunstâncias excecionais.
8. Quando uma autoridade de controlo não prestar as informações referidas no n.o 5 do presente artigo no prazo de um mês a contar da receção do pedido apresentado por outra autoridade de controlo, a autoridade de controlo requerente pode adotar uma medida provisória no território do respetivo Estado-Membro nos termos do artigo 55.o, n.o 1. Nesse caso, presume-se que é urgente intervir, nos termos do artigo 66.o, n.o 1, e solicitar uma decisão vinculativa urgente ao Comité, nos termos do artigo 66.o, n.o 2.
9. A Comissão pode especificar, por meio de atos de execução, o formato e os procedimentos para a assistência mútua referidos no presente artigo, bem como as regras de intercâmbio por meios eletrónicos de informações entre as autoridades de controlo e entre estas e o Comité, nomeadamente o formato normalizado referido no n.o 6 do presente artigo. Os referidos atos de execução são adotados pelo procedimento de exame a que se refere o artigo 93.o, n.o 2.

Este artigo, o artigo 61.º da Lei n.º 58/2019 aborda a renovação do consentimento no contexto das disposições finais e transitórias do Regulamento Geral de Proteção de Dados (RGPD).

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho

CAPÍTULO VII - Cooperação e coerência

Secção 1 - Cooperação

1. As autoridades de controlo conduzem, sempre que conveniente, operações conjuntas, incluindo investigações e medidas de execução conjuntas nas quais participem membros ou pessoal das autoridades de controlo de outros Estados-Membros.
2. Nos casos em que o responsável pelo tratamento ou o subcontratante tenha estabelecimentos em vários Estados-Membros ou nos casos em que haja um número significativo de titulares de dados em mais do que um Estado-Membro que sejam suscetíveis de ser substancialmente afetados pelas operações de tratamento, uma autoridade de controlo de cada um desses Estados-Membros tem direito a participar nas operações conjuntas. A autoridade de controlo competente nos termos do artigo 56.o, n.o 1 ou n.o 4, convida a autoridade de controlo de cada um desses Estados-Membros a participar nas operações conjuntas e responde sem demora ao pedido de um autoridade de controlo para participar.
3. As autoridades de controlo podem, nos termos do direito do seu Estado-Membro, e com a autorização da autoridade de controlo de origem, conferir poderes, nomeadamente poderes de investigação, aos membros ou ao pessoal da autoridade de controlo de origem implicados nas operações conjuntas ou, na medida em que o direito do Estado-Membro da autoridade de controlo de acolhimento o permita, autorizar os membros ou o pessoal da autoridade de controlo de origem a exercer os seus poderes de investigação nos termos do direito do Estado-Membro da autoridade de controlo de origem. Esses poderes de investigação podem ser exercidos apenas sob a orientação e na presença de membros ou pessoal da autoridade de controlo de acolhimento. Os membros ou pessoal da autoridade de controlo de origem estão sujeitos ao direito do Estado-Membro da autoridade de controlo de acolhimento.
4. Se, nos termos do n.o 1, o pessoal da autoridade de controlo de origem exercer atividades noutro Estado-Membro, o Estado-Membro da autoridade de controlo de acolhimento assume a responsabilidade pelos seus atos, incluindo a responsabilidade por quaisquer danos por ele causados no decurso de tais atividades, de acordo com o direito do Estado-Membro em cujo território atuam.
5. O Estado-Membro em cujo território forem causados os danos indemniza-os nas condições aplicáveis aos danos causados pelo seu próprio pessoal. O Estado-Membro da autoridade de controlo de origem cujo pessoal tenha causado danos a qualquer pessoa no território de outro Estado-Membro reembolsa integralmente esse outro Estado-Membro das somas que tenha pago aos seus representantes legais.
6. Sem prejuízo do exercício dos seus direitos perante terceiros e com exceção do disposto no n.o 5, cada Estado-Membro renuncia, no caso previsto no n.o 1, a solicitar a outro Estado-Membro o reembolso do montante dos danos referido no n.o 4.
7. Sempre que se tencione efetuar uma operação conjunta e uma autoridade de controlo não cumprir, no prazo de um mês, a obrigação estabelecida n.o 2, segunda frase, do presente artigo, as outras autoridades de controlo podem adotar uma medida provisória no território do respetivo Estado-Membro em conformidade com o artigo 55.o. Nesse caso, presume-se que é urgente intervir, nos termos do artigo 66.o, n.o 1, e solicitar um parecer ou uma decisão vinculativa urgente ao Comité, nos termos do artigo 66.o, n.o 2.

Este artigo, o artigo 62.º da Lei n.º 58/2019 trata dos regimes de proteção de dados pessoais no contexto das disposições finais e transitórias do Regulamento Geral de Proteção de Dados (RGPD).

Este artigo, oArtigo 63.º da Lei n.º 58/2019 introduz alterações à Lei n.º 43/2004, datada de 18 de agosto, que trata das disposições legislativas relacionadas com a proteção de dados pessoais. Essas alterações visam atualizar e adequar a legislação portuguesa às diretrizes do Regulamento Geral de Proteção de Dados (RGPD). No âmbito dessas mudanças, a Lei n.º 43/2004 foi republicada com a redação atual e correções formais, e algumas disposições foram revogadas. Além disso, o fiscal único, conforme estabelecido no artigo 19.º-A, só pode iniciar o seu mandato a partir de 1 de janeiro de 2020. A Lei n.º 58/2019 foi aprovada em 14 de junho de 2019, promulgada em 26 de julho de 2019 e referendada em 30 de julho de 2019.