Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União Europeia

SÍNTESE DE:

Regulamento (UE) 2018/1725 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados

QUAL É O OBJETIVO DESTE REGULAMENTO?

O regulamento:

estabelece regras relativas à forma como as instituições, organismos e órgãos da União Europeia (UE) deverão tratar os dados pessoais* que detenham sobre pessoas;
defende os direitos e as liberdades fundamentais das pessoas, especialmente o direito de proteção dos dados pessoais e o direito à privacidade;
alinha as regras aplicáveis às instituições, órgãos e organismos da UE com as do regulamento geral sobre a proteção de dados (RGPD) e da Diretiva (UE) 2016/680, conhecida como diretiva de aplicação da lei (DAL) de proteção de dados, que são aplicáveis desde maio de 2018;
revoga o Regulamento (CE) n.^o 45/2001, que continha anteriormente as regras relativas ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da UE, e assegura que estes cumprem as normas estritas estabelecidas no RGPD;
revoga a Decisão n.^o 1247/2002/CE relativa à Autoridade Europeia para a Proteção de Dados (AEPD).

PONTOS-CHAVE

Os dados pessoais devem ser:

tratados de forma lícita, leal e transparente;
recolhidos para finalidades determinadas, explícitas e legítimas;
adequados, pertinentes e limitados ao que é necessário;
exatos e, se necessário, atualizados;
conservados de forma a permitir a identificação das pessoas em causa apenas durante o período necessário;
tratados com adequada confidencialidade.

O responsável pelo tratamento* é responsável por todos os princípios de tratamento de dados acima enunciados, devendo conseguir demonstrar o respetivo cumprimento.

Além disso, os dados pessoais:

apenas podem ser transmitidos a destinatários na UE que não sejam instituições, órgãos ou organismos da UE sob reserva de garantias adicionais;
apenas podem ser transferidos para fora da UE em condições estritas;
que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical de uma pessoa, bem como o tratamento de dados genéticos, de dados biométricos para identificar uma pessoa de forma inequívoca, de dados relativos à saúde ou de dados relativos à vida sexual ou à orientação sexual de uma pessoa não podem ser tratados, exceto em circunstâncias especiais;
precisam de garantias adequadas se forem arquivados no interesse público ou para fins científicos, históricos ou estatísticos.

Os pedidos de consentimento de uma pessoa para a utilização dos seus dados devem ser apresentados de modo inteligível e de fácil acesso e numa linguagem clara e simples. O consentimento deve constituir um ato positivo claro da pessoa.

As pessoas (conhecidas como «titulares dos dados» na legislação) têm o direito de:

retirar o seu consentimento a qualquer momento, o que deve ser tão fácil como a sua concessão;
saber se os seus dados pessoais estão a ser tratados ou não e ter acesso aos mesmos;
obter a correção de quaisquer dados pessoais inexatos;
suprimir ou limitar quaisquer dados pessoais do tratamento desde que sejam cumpridas certas condições;
receber os dados pessoais que lhe digam respeito e que tenham fornecido ao responsável pelo tratamento dos dados num formato estruturado, de uso corrente e de leitura automática e transmiti-los a outro responsável pelo tratamento dos dados;
se opor à utilização dos seus dados pessoais para fins de interesse público em virtude da sua situação particular;
não ficarem sujeitas a decisões tomadas exclusivamente com base no tratamento automatizado de dados, que tenham consequências jurídicas para as mesmas;
reclamar junto da AEPD caso considerem que os seus dados pessoais estão a ser tratados de um modo que viola o regulamento;
ser indemnizadas por quaisquer danos materiais ou imateriais que sofram devido às ações de uma instituição, órgão ou organismo da UE;
mandatar uma organização sem fins lucrativos para apresentar uma reclamação à AEPD.

Os responsáveis pelo tratamento:

têm de informar os titulares dos dados, numa linguagem simples e com informações factuais, tais como os contactos dos responsáveis pelo tratamento de dados e a finalidade do exercício, aquando da recolha dos dados pessoais;
devem responder a quaisquer pedidos dos titulares dos dados, tais como pedidos de acesso aos seus dados pessoais ou de retificação dos mesmos, o mais cedo possível e no prazo máximo de um mês;
aplicam medidas técnicas e organizativas, incluindo a pseudonimização*, para assegurar que o tratamento dos dados pessoais cumpre o regulamento;
devem apenas utilizar subcontratantes que cumpram os requisitos da UE;
conservam registos pormenorizados do tratamento de dados sob a sua responsabilidade;
cooperam com a AEPD;
notificam a AEPD e, em alguns casos, a pessoa em causa o mais cedo possível de qualquer violação de dados pessoais;
levam a cabo a avaliação do impacto da proteção de dados relativamente ao tratamento de determinados dados pessoais de alto risco;
asseguram a confidencialidade e a segurança das suas redes de comunicações eletrónicas;
informam a AEPD aquando da elaboração de medidas administrativas ou de regras internas sobre o tratamento de dados pessoais.

A legislação cria a posição da AEPD, nomeada para um mandato de 5 anos renovável uma vez. Estabelecida em Bruxelas, a pessoa titular do cargo:

atua com total independência;
trata toda a informação confidencial com sigilo profissional;
controla a forma como as instituições, órgãos e organismos da UE aplicam a legislação;
promove a sensibilização do público e a sua compreensão do tratamento de dados pessoais;
trata as reclamações e realiza investigações;
adverte e sanciona os responsáveis pelo tratamento dos dados;
remete questões para o Tribunal de Justiça, que trata de quaisquer litígios sobre a legislação;
apresenta um relatório anual ao Parlamento Europeu, ao Conselho e à Comissão Europeia;
coopera com as autoridades nacionais de controlo da proteção de dados.

Regulamento interno da AEPD

Uma decisão de 15 de maio de 2020 adota o regulamento interno da AEPD. Estabelece de forma pormenorizada:

a missão, os princípios orientadores e a organização da AEPD;
a forma como efetuará o controlo e a execução do regulamento;
procedimentos para a respetiva consulta legislativa, acompanhamento tecnológico, projetos de investigação e processos judiciais; e
procedimentos de cooperação com as autoridades nacionais de controlo e cooperação internacional.

Regras especiais aplicáveis a órgãos e organismos da UE

As regras especiais aplicam-se aos órgãos e organismos da UE que tratam dados pessoais operacionais* com o fim de aplicar a lei (por ex., a Eurojust). São abrangidos por um capítulo específico do regulamento. As regras deste capítulo estão alinhadas com a DAL. Acresce que, nos atos constitutivos destes órgãos e organismos, podem ser estabelecidas regras mais específicas para ter em conta as suas características especiais.

O tratamento dos dados pessoais operacionais pela Europol e pela Procuradoria Europeia exclui-se do âmbito do regulamento e, alternativamente, é regido por disposições específicas nos atos jurídicos que o estabelece. No entanto, o tratamento de dados pessoais administrativos (p. ex., para a gestão do pessoal) está sujeito ao regulamento.

Encarregados da proteção de dados

Os responsáveis pelo tratamento também nomeiam um encarregado da proteção de dados para um mandato de três a cinco anos para:

prestar aconselhamento independente sobre o tratamento de dados pessoais;
controlar o cumprimento das regras de proteção de dados.

Relatórios

A Comissão Europeia deve submeter o seu primeiro relatório sobre o impacto do presente regulamento até 30 de abril de 2022.

A PARTIR DE QUANDO É APLICÁVEL O REGULAMENTO?

O regulamento é aplicável desde 11 de dezembro de 2018, exceto no que respeita ao tratamento de dados pessoais pela Eurojust, em que é aplicável desde 12 de dezembro de 2019.

CONTEXTO

O artigo 8.^o da Carta dos Direitos Fundamentais declara que todas as pessoas têm direito à proteção dos dados de caráter pessoal. O artigo 16.^o do Tratado sobre o Funcionamento da UE aprofunda esse direito. Este artigo constitui a base legal de qualquer legislação da UE sobre proteção de dados.

Para mais informações, consultar:

Proteção de dados na UE (Comissão Europeia).

PRINCIPAIS TERMOS

Dados pessoais. Quaisquer informações relativas a uma pessoa identificada ou identificável.

Responsável pelo tratamento. Qualquer instituição, órgão ou organismo da UE ou a sua entidade organizativa que determine os meios e as finalidades de tratamento dos dados pessoais.

Pseudonimização. Tratamento de dados pessoais de forma que uma pessoa não possa ser identificada sem recorrer a informações suplementares mantidas noutro local.

Dados pessoais operacionais. Todos os dados pessoais tratados com o fim de exercer funções de aplicação da lei.

PRINCIPAL DOCUMENTO

Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, de 23 de outubro de 2018, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas instituições e pelos órgãos e organismos da União e à livre circulação desses dados, e que revoga o Regulamento (CE) n.^o 45/2001 e a Decisão n.^o 1247/2002/CE (JO L 295 de 21.11.2018, p. 39-98).

DOCUMENTOS RELACIONADOS

Decisão (UE) 2020/969 da Comissão, de 3 de julho de 2020, que estabelece regras de execução relativas ao responsável pela proteção de dados, à limitação dos direitos dos titulares dos dados e à aplicação do Regulamento (UE) 2018/1725 do Parlamento Europeu e do Conselho, e que revoga a Decisão 2008/597/CE da Comissão (JO L 213 de 6.7.2020, p. 12-22).

Decisão da Autoridade Europeia para a Proteção de Dados, de 15 de maio de 2020, que adota o regulamento interno da AEPD (JO L 204 de 26.6.2020, p. 49-59).

Decisão da Autoridade Europeia para a Proteção de Dados, de 2 de abril de 2019, relativa às regras internas em matéria de limitações de determinados direitos dos titulares de dados no que diz respeito ao tratamento de dados pessoais no âmbito das atividades realizadas pela Autoridade Europeia para a Proteção de Dados (JO L 99I de 10.4.2019, p. 1-7).

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO L 119 de 4.5.2016, p. 1-88).

As sucessivas alterações ao Regulamento (UE) 2016/679 foram integradas no documento original. A versão consolidada apenas tem valor documental.

Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI do Conselho (JO L 119 de 4.5.2016, p. 89-131).

Ver versão consolidada.

última atualização 14.01.2022