4.5.

2016 PT Jornal Oficial da Unio Europeia L 119/95

implicar riscos significativos para os direitos e liberdades fundamentais. Devero incluir-se os dados pessoais que
revelem a origem racial ou tnica, no implicando o uso do termo origem racial na presente diretiva que a
Unio aceite teorias que procuram determinar a existncia de diferentes raas humanas. Tais dados pessoais no
devero ser objeto de tratamento, a menos que este esteja sujeito a garantias adequadas dos direitos e liberdades
do titular dos dados e seja permitido em casos autorizados por lei ou, se ainda no tiver sido autorizado por lei,
se for necessrio para a proteo dos interesses vitais do titular dos dados ou de um terceiro, ou ainda se estiver
relacionado com dados que tenham sido manifestamente tornados pblicos pelo titular dos dados. As garantias
adequadas dos direitos e liberdades do titular dos dados podem, por exemplo, incluir a possibilidade de recolher
esses dados apenas em ligao com outros dados sobre a pessoa singular em causa, a fim de garantir devidamente
a segurana dos dados recolhidos, o estabelecimento de regras mais rigorosas sobre o acesso do pessoal da
autoridade competente aos dados ou a proibio da transmisso desses dados. O tratamento desses dados dever
tambm ser autorizado por lei quando o titular dos dados tiver dado o seu acordo expresso, nos casos em que o
tratamento de dados particularmente intrusivo para o titular. Todavia, o consentimento do titular dos dados
no dever constituir em si mesmo fundamento jurdico do tratamento de dados pessoais pelas autoridades
competentes.

(38) O titular dos dados dever ter o direito de no ficar sujeito a uma deciso que avalie aspetos pessoais que lhe
digam respeito e se baseie exclusivamente no tratamento automatizado, com efeitos legais que lhe sejam adversos
ou o afetem de forma significativa. Em qualquer dos casos, tal tratamento dever ser acompanhado das garantias
adequadas, incluindo informao especfica ao titular dos dados e o direito de obter a interveno humana e, em
especial, de manifestar o seu ponto de vista, de obter uma explicao sobre a deciso tomada na sequncia dessa
avaliao ou de contestar a deciso. A definio de perfis que conduza a discriminao contra pessoas singulares
com base em dados pessoais que sejam, pela sua natureza, especialmente sensveis do ponto de vista dos direitos
e liberdades fundamentais, dever ser proibida, nas condies estabelecidas nos artigos 21.o e 52.o da Carta.

(39) Para que os titulares de dados possam exercer os seus direitos, as informaes que lhes sejam dirigidas, inclusive
no stio web do responsvel pelo tratamento, devero ser de fcil acesso e compreenso e formuladas em termos
claros e simples. Essas informaes devero ser adaptadas s necessidades das pessoas vulnerveis, como as
crianas.

(40) Devero ser previstas regras para facilitar o exerccio, pelo titular dos dados, dos direitos que lhe so conferidos
pelas disposies adotadas por fora da presente diretiva, incluindo procedimentos para solicitar, a ttulo gratuito,
o acesso aos seus dados pessoais e a sua retificao e apagamento dos dados pessoais e a limitao do
tratamento. O responsvel pelo tratamento dever ser obrigado a responder aos pedidos do titular dos dados sem
demora injustificada, salvo se aplicar limitaes aos direitos do mesmo em conformidade com a presente diretiva.
Alm disso, se os pedidos forem manifestamente infundados ou excessivos, por exemplo quando o titular dos
dados solicitar informaes de forma injustificada e repetida ou abusar do seu direito a receber informaes,
nomeadamente prestando informaes falsas ou suscetveis de induzir em erro, o responsvel pelo tratamento
dever poder cobrar uma taxa razovel ou recusar dar seguimento ao pedido.

(41) Caso o responsvel pelo tratamento solicite que lhe sejam fornecidas as informaes adicionais que forem
necessrias para confirmar a identidade do titular dos dados, essas informaes devero ser tratadas apenas para
essa finalidade especfica e no devero ser conservadas durante mais tempo do que o necessrio para o efeito.

(42) Devero ser facultadas ao titular dos dados pelo menos as seguintes informaes: a identidade do responsvel
pelo tratamento, a existncia da operao de tratamento, as finalidades do tratamento, o direito de apresentar
reclamao e a existncia do direito de solicitar ao responsvel pelo tratamento o acesso aos dados pessoais e a
sua retificao ou apagamento ou a limitao do tratamento. Tal poder ser efetuado no stio web da autoridade
competente. Alm disso, em casos especficos e no intuito de que seja permitido o exerccio dos seus direitos, o
titular dos dados dever ser informado sobre o fundamento jurdico do tratamento e a durao da conservao
dos dados, na medida em que tais informaes adicionais sejam necessrias, tendo em conta as circunstncias
especficas em que os dados so tratados, a fim de garantir a lealdade do tratamento no que respeita ao titular
dos dados.

(43) As pessoas singulares devero ter o direito de aceder aos dados recolhidos que lhes digam respeito e de exercer
esse direito com facilidade e a intervalos razoveis, a fim de tomar conhecimento do tratamento e verificar a sua
licitude. Por conseguinte, cada titular de dados dever ter o direito de ser informado das finalidades a que se
destina o tratamento dos seus dados, da sua durao e de quem so os destinatrios, inclusive em pases terceiros.
Nos casos em que essa comunicao inclua informaes relativas origem dos dados pessoais, tais informaes
no devero revelar a identidade das pessoas singulares, em especial de fontes confidenciais. Para que esse direito
seja respeitado, basta que o titular dos dados esteja na posse de um resumo completo desses dados num
formulrio inteligvel, ou seja, um formulrio que permita que o titular dos dados tome conhecimento desses
L 119/96 PT Jornal Oficial da Unio Europeia 4.5.2016

dados e verifique a sua exatido e o seu tratamento em conformidade com a presente diretiva, de modo a que
possa exercer os direitos que esta lhe confere. Esse resumo poder ser concedido por via de uma cpia dos dados
pessoais sujeitos a tratamento.

(44) Os Estados-Membros devero poder adotar medidas legislativas que visem atrasar, limitar ou recusar a
informao prestada a titulares de dados ou restringir, total ou parcialmente, o acesso aos dados pessoais que lhes
digam respeito, desde que tal constitua uma medida necessria e proporcionada numa sociedade democrtica,
tendo devidamente em conta os direitos fundamentais e os interesses legtimos da pessoa singular em causa, para
no prejudicar os inquritos, investigaes ou procedimentos oficiais ou legais, procurar no prejudicar a
preveno, investigao, deteo ou represso de infraes penais ou a execuo de sanes penais, salvaguardar
a segurana pblica ou a segurana nacional ou ainda proteger os direitos e as liberdades de terceiros. O
responsvel pelo tratamento dever avaliar, atravs de uma anlise concreta de cada caso individualmente, se o
direito de acesso dever ser total ou parcialmente restringido.

(45) As recusas ou restries do acesso devero, em princpio, ser comunicadas por escrito ao titular dos dados com
os motivos de facto ou de direito que fundamentam a deciso.

(46) As restries dos direitos do titular dos dados devem respeitar a Carta e a CEDH, de acordo com a interpretao
na jurisprudncia do Tribunal de Justia e do Tribunal Europeu dos Direitos do Homem, respetivamente, e devem
respeitar, em particular, o contedo essencial desses direitos e liberdades.

(47) As pessoas singulares devero ter direito a que os dados inexatos que lhe dizem respeito sejam retificados, em
especial no que diz respeito a factos, e a que sejam apagados, caso o seu tratamento no seja conforme com o
disposto na presente diretiva. No entanto, o direito de retificao no dever afetar, por exemplo, o contedo do
depoimento de uma testemunha. As pessoas singulares devero ter direito a que o tratamento seja limitado,
sempre que conteste a exatido dos dados pessoais e no possa ser apurado se os dados so exatos ou no ou,
ainda, quando os dados pessoais tiverem de ser conservados para efeitos de prova. Em particular, os dados
pessoais no devero ser apagados, mas apenas limitados se, num dado caso, existirem motivos razoveis para
crer que o seu apagamento poder prejudicar interesses legtimos do titular. Nesse caso, os dados limitados s
devero ser tratados para a finalidade que impediu o seu apagamento. Para limitar o tratamento de dados
pessoais pode recorrer-se a mtodos como a transferncia de determinados dados para outro sistema de
tratamento, nomeadamente para efeitos de arquivo, ou impedir o acesso a esses dados. Nos ficheiros automa
tizados, as limitaes ao tratamento devero, em princpio, ser impostas por meios tcnicos; dever ser indicado
de forma bem clara no sistema que o tratamento dos dados pessoais est sujeito a limitaes. Tal retificao ou
apagamento dos dados pessoais ou a limitao do tratamento devero ser comunicados aos destinatrios a quem
os dados tenham sido divulgados e s autoridades competentes que esto na origem dos dados inexatos. Os
responsveis pelo tratamento devero igualmente abster-se de qualquer comunicao ulterior desses dados.

(48) Caso o responsvel pelo tratamento recuse ao titular dos dados o direito informao, o acesso aos dados
pessoais ou a sua retificao ou apagamento ou a limitao do tratamento, o titular dos dados dever ter o direito
de solicitar que a autoridade nacional de controlo verifique a licitude do tratamento. O titular dos dados dever
ser informado desse direito. Quando a autoridade de controlo agir em nome do titular dos dados, dever, pelo
menos, inform-lo de que foram realizadas todas as verificaes ou revises necessrias. A autoridade de controlo
dever tambm informar o titular de dados do seu direito de intentar ao judicial.

(49) Caso os dados pessoais sejam tratados no mbito de uma investigao criminal ou de um processo judicial em
matria penal, os Estados-Membros devero poder dispor que o exerccio do direito informao, ao acesso aos
dados pessoais e sua retificao ou apagamento, bem como limitao do tratamento, seja feito nos termos das
regras nacionais aplicveis aos processos judiciais.

(50) Dever ser estabelecida a responsabilidade do responsvel pelo tratamento de dados pessoais realizado por si
prprio ou em seu nome. Em especial, o responsvel pelo tratamento dever ficar obrigado a executar as medidas
adequadas e eficazes e dever estar em condies de demonstrar que as atividades de tratamento so efetuadas
em conformidade com a presente diretiva. Tais medidas devero ter em conta a natureza, o mbito, o contexto e
as finalidades do tratamento de dados, bem como o risco que possa implicar para os direitos e liberdades das
pessoas singulares. As medidas tomadas pelo responsvel pelo tratamento devero incluir a elaborao e
execuo de garantias especficas para o tratamento de dados pessoais de pessoas singulares vulnerveis, como
crianas.

(51) Os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variveis,
podero resultar de operaes de tratamento de dados suscetveis de causar danos fsicos, materiais ou morais,
em especial caso o tratamento possa dar origem discriminao, usurpao ou roubo da identidade, a perdas
financeiras, prejuzos para a reputao, perdas de confidencialidade de dados protegidos por sigilo profissional,
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/97

inverso no autorizada da pseudonimizao, ou a outros prejuzos importantes de natureza econmica ou

social; ou caso os titulares dos dados possam ficar privados dos seus direitos e liberdades ou do exerccio do
controlo sobre os respetivos dados pessoais; caso sejam tratados dados pessoais que revelem a origem racial ou
tnica, as opinies polticas, as convices religiosas ou filosficas e a filiao sindical; caso sejam tratados dados
genticos ou dados biomtricos a fim de identificar uma pessoa de forma inequvoca ou caso sejam tratados
dados relativos sade ou vida sexual ou orientao sexual ou, ainda, a condenaes e infraes penais ou
medidas de segurana conexas; caso sejam avaliados aspetos de natureza pessoal, nomeadamente anlises e
previses de aspetos que digam respeito ao desempenho no trabalho, situao econmica, sade, s
preferncias ou interesses pessoais, fiabilidade ou comportamento e localizao ou s deslocaes das pessoas,
a fim de definir ou fazer uso de perfis; ou caso sejam tratados dados pessoais de pessoas singulares vulnerveis,
em particular crianas; ou caso o tratamento incida sobre uma grande quantidade de dados pessoais e afetar um
grande nmero de titulares de dados.

(52) A probabilidade e a gravidade dos riscos dever ser determinada por referncia natureza, mbito, contexto e
finalidades do tratamento. Os riscos devero ser aferidos com base numa avaliao objetiva, de modo a
determinar se provvel que as operaes de tratamento de dados impliquem um elevado risco. Entende-se por
elevado risco um risco particular que prejudique os direitos e liberdades dos titulares de dados.

(53) A proteo dos direitos e liberdades das pessoas singulares relativamente ao tratamento dos seus dados pessoais
exige que sejam tomadas medidas tcnicas e organizativas adequadas para assegurar o cumprimento dos
requisitos da presente diretiva. A execuo dessas medidas no poder depender exclusivamente de consideraes
econmicas. A fim de poder demonstrar a conformidade com a presente diretiva, o responsvel pelo tratamento
dever adotar diretrizes internas e aplicar medidas que respeitem, em especial, os princpios da proteo de dados
desde a conceo e da proteo de dados por defeito. Sempre que o responsvel pelo tratamento tenha efetuado
uma avaliao do impacto na proteo de dados nos termos da presente diretiva, os resultados da referida
avaliao devero ser tidos em conta para efeitos de desenvolvimento dessas medidas e procedimentos. As
medidas podero incluir, nomeadamente, o recurso pseudonimizao, efetuada o mais cedo possvel. O recurso
pseudonimizao para efeitos da presente diretiva poder facilitar, designadamente, a livre circulao de dados
pessoais no espao de liberdade, segurana e justia.

(54) A proteo dos direitos e liberdades dos titulares de dados, bem como a responsabilidade dos responsveis pelo
tratamento e dos subcontratantes, inclusive no que diz respeito superviso e s medidas adotadas pelas
autoridades de controlo, exigem uma clara repartio de responsabilidades nos termos da presente diretiva,
designadamente caso o responsvel pelo tratamento dos dados determine as finalidades e os meios do tratamento
conjuntamente com outros responsveis ou uma operao de tratamento de dados seja efetuada em nome de um
responsvel pelo tratamento.

(55) O tratamento executado por um subcontratante dever ser regido por um ato jurdico, que pode ser um contrato
que vincule o subcontratante ao responsvel pelo tratamento e estipule, nomeadamente, que o subcontratante s
dever agir segundo instrues do responsvel pelo tratamento. O subcontratante dever ter em considerao o
princpio da proteo de dados desde a conceo e por defeito.

(56) A fim de comprovar o cumprimento da presente diretiva, o responsvel pelo tratamento ou o subcontratante
dever manter registos de todas as categorias de atividades de tratamento sob a sua responsabilidade. Os
responsveis pelo tratamento dos dados e os subcontratantes devero ser obrigados a cooperar com a autoridade
de controlo e a facultar-lhe esses registos, a pedido, para fiscalizao dessas operaes de tratamento. O
responsvel pelo tratamento ou o subcontratante que trate dados pessoais em sistemas de tratamento no
automatizados dever dispor de mtodos eficazes, tais como registos cronolgicos ou outros, para demonstrar a
licitude do tratamento, permitir o autocontrolo e garantir a integridade e segurana dos dados.

(57) Devero ser conservados registos cronolgicos pelo menos de operaes em sistemas de tratamento
automatizado, como a recolha, alterao, consulta, divulgao incluindo transferncias , interconexo ou
apagamento. A identificao da pessoa que consultou ou divulgou dados pessoais dever ser registada e a partir
dessa identificao ser talvez possvel determinar a justificao das operaes de tratamento. Os registos
cronolgicos devero ser utilizados exclusivamente para efeitos de verificao da licitude do tratamento,
autocontrolo, garantia da integridade e segurana dos dados e aes penais. O autocontrolo abrange igualmente
as aes disciplinares internas das autoridades competentes.

(58) Dever ser efetuada uma avaliao do impacto na proteo de dados pelo responsvel pelo tratamento quando as
operaes de tratamento forem suscetveis de constituir um elevado risco para os direitos e liberdades dos
titulares dos dados devido sua natureza, mbito ou finalidades, a qual dever incluir, em particular, as medidas
previstas, as garantias e os mecanismos previstos para assegurar a proteo dos dados pessoais e demonstrar a
conformidade com a presente diretiva. As avaliaes de impacto devero ter como objeto os sistemas e processos
pertinentes das operaes de tratamento, mas no casos individuais.
L 119/98 PT Jornal Oficial da Unio Europeia 4.5.2016

(59) A fim de assegurar a proteo efetiva dos direitos e liberdades dos titulares dos dados, o responsvel pelo
tratamento ou o subcontratante dever, em certos casos, consultar a autoridade de controlo antes do tratamento.

(60) A fim de preservar a segurana e evitar o tratamento em violao da presente diretiva, o responsvel pelo
tratamento, ou o subcontratante, dever avaliar os riscos que o tratamento implica e dever aplicar medidas que
os atenuem, como, por exemplo, a cifragem. Estas medidas devero assegurar um nvel de segurana adequado,
nomeadamente no que respeita confidencialidade, tendo em conta as tcnicas mais avanadas e os custos da sua
aplicao em funo do risco e da natureza dos dados pessoais a proteger. Ao avaliar os riscos para a segurana
dos dados, devero ser tidos em conta os riscos apresentados pelo tratamento dos dados, tais como a destruio,
perda e alterao acidentais ou ilcitas, e a divulgao ou o acesso no autorizados, de dados pessoais
transmitidos, conservados ou tratados de outro modo, riscos esses que podem conduzir, em particular, a danos
fsicos, materiais ou morais. O responsvel pelo tratamento e o subcontratante devero assegurar que o
tratamento de dados pessoais no seja efetuado por pessoas no autorizadas.

(61) Se no forem tomadas medidas adequadas e oportunas, a violao de dados pessoais pode causar danos fsicos,
materiais ou imateriais s pessoas singulares, tais como a perda de controlo dos dados pessoais, a limitao dos
seus direitos, a discriminao, o roubo ou usurpao de identidade, perdas financeiras, a inverso no autorizada
da pseudonimizao, danos para a reputao, a perda de confidencialidade de dados pessoais protegidos por
sigilo profissional ou qualquer outra desvantagem econmica ou social importante para as pessoas singulares em
causa. Por conseguinte, logo que o responsvel pelo tratamento tenha conhecimento de uma violao de dados
pessoais, dever comunic-la autoridade de controlo, sem demora injustificada e, sempre que possvel, no prazo
de 72 horas aps ter tido conhecimento do ocorrido, a menos que seja capaz de demonstrar, em conformidade
com o princpio da responsabilidade, que essa violao no suscetvel de implicar um risco para os direitos e
liberdades das pessoas singulares. Se no for possvel efetuar a comunicao no prazo de 72 horas, a notificao
dever ser acompanhada dos motivos do atraso, podendo as informaes ser fornecidas por fases sem mais
demora injustificada.

(62) Caso a violao de dados pessoais seja suscetvel de criar um elevado risco para os direitos e liberdades das
pessoas singulares, estas devero ser informadas sem demora injustificada, a fim de permitir que tomem as
precaues necessrias. Da comunicao dever constar a natureza da violao de dados pessoais e recomen
daes destinadas pessoa singular em causa para atenuar potenciais efeitos adversos. A comunicao aos
titulares dos dados dever ser feita o mais rapidamente possvel, em estreita cooperao com a autoridade de
controlo, e de acordo com as orientaes fornecidas por esta ou por outras autoridades competentes. Por
exemplo, a necessidade de atenuar um risco imediato de prejuzo exigir que se envie uma comunicao rpida
aos titulares dos dados, enquanto a necessidade de aplicar medidas adequadas contra violaes de dados
recorrentes ou similares poder justificar um prazo maior para a comunicao. Se no for possvel, atravs do
atraso ou da restrio da comunicao pessoa singular em causa de uma violao de dados pessoais, evitar criar
entraves a inquritos, investigaes ou procedimentos oficiais ou legais, evitar prejudicar a preveno, deteo,
investigao ou represso de infraes penais ou a execuo de sanes penais, salvaguardar a segurana pblica,
preservar a segurana nacional ou ainda proteger os direitos e as liberdades de terceiros, essa comunicao
poder, em circunstncias excecionais, ser omitida.

(63) O responsvel pelo tratamento dever designar uma pessoa para o assistir no controlo do cumprimento, a nvel
interno, das disposies adotadas por fora da presente diretiva. Os Estados-Membros podero isentar desta
obrigao os tribunais e outras autoridades judiciais independentes no exerccio da sua funo jurisdicional. Essa
pessoa pode ser um membro do pessoal do responsvel pelo tratamento, que tenha recebido uma formao
especfica no domnio da legislao e das prticas em matria de proteo de dados a fim de adquirir conheci
mentos especializados nesta matria. O nvel de conhecimentos especializados necessrios dever ser
determinado, em particular, em funo do tratamento de dados efetuado e da proteo exigida para os dados
pessoais tratados pelo responsvel pelo tratamento. As suas funes podem ser exercidas a tempo parcial ou a
tempo inteiro. Um encarregado da proteo de dados poder ser nomeado conjuntamente por vrios
responsveis pelo tratamento, tendo em conta a dimenso e estrutura organizativa destes, por exemplo no caso
de partilha de recursos em unidades centrais. Essa pessoa pode igualmente ser nomeada para diferentes funes
no interior das estruturados responsveis pelo tratamento. Essa pessoa dever ajudar o responsvel pelo
tratamento e os empregados que tratem dados pessoais, informando-os e aconselhando-os a respeito do
cumprimento das suas obrigaes relevantes em matria de proteo de dados. Essas pessoas encarregadas da
proteo de dados devero estar em condies de desempenhar as suas funes e cumprir os seus deveres de
forma independente e de acordo com o direito dos Estados-Membros.

(64) Os Estados-Membros devero assegurar que as transferncias para um pas terceiro ou para uma organizao
internacional s possam ser realizadas se forem necessrias para efeitos de preveno, investigao, deteo ou
represso de infraes penais ou execuo de sanes penais nomeadamente, a salvaguarda e a preveno de
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/99

ameaas segurana pblica e se o responsvel pelo tratamento no pas terceiro ou na organizao interna
cional for uma autoridade competente na aceo da presente diretiva. Apenas as autoridades competentes, na
qualidade de responsveis pelo tratamento, podem efetuar transferncias, salvo se os subcontratantes tiverem
instrues explcitas para efetuar a transferncia em causa por conta dos responsveis pelo tratamento. Tal
transferncia pode ser efetuada caso a Comisso tenha decidido que o pas terceiro ou a organizao internacional
em causa garante um nvel de proteo adequado, ou quando tiverem sido apresentadas garantias adequadas ou
forem aplicveis derrogaes em situaes especficas. Caso os dados pessoais sejam transferidos da Unio para
responsveis pelo tratamento de dados, para subcontratantes ou para outros destinatrios em pases terceiros ou
organizaes internacionais, o nvel de proteo das pessoas singulares assegurado na Unio pela presente diretiva
dever continuar a ser garantido, inclusive nos casos de posterior transferncia de dados pessoais do pas terceiro
ou da organizao internacional em causa para responsveis pelo tratamento de dados, ou subcontratantes desse
pas terceiro ou de outro, ou para uma organizao internacional.

(65) Caso sejam transferidos dados pessoais de um Estado-Membro para pases terceiros ou organizaes interna
cionais, essa transferncia apenas dever, em princpio, ser efetuada depois de o Estado-Membro de onde provm
os dados ter dado a sua autorizao. O interesse de uma cooperao eficiente em matria de aplicao da lei
exige que, caso a natureza de uma ameaa segurana pblica de um Estado-Membro ou pas terceiro ou aos
interesses essenciais de um Estado-Membro seja to iminente que impossibilite a obteno de autorizao prvia
em tempo til, a autoridade competente deva poder transferir os dados pessoais pertinentes para o pas terceiro
ou a organizao internacional em causa sem essa autorizao prvia. Os Estados-Membros devero prever que
sejam comunicadas aos pases terceiros ou s organizaes internacionais as condies especficas relativas
transferncia. As transferncias ulteriores de dados pessoais devero ser submetidas a autorizao prvia pela
autoridade competente que realizou a transferncia inicial. Ao decidir sobre um pedido de autorizao para uma
transferncia ulterior, a autoridade competente que realizou a transferncia inicial dever ter devidamente em
conta todos os fatores relevantes, designadamente a gravidade da infrao penal, as condies especficas
associadas e a finalidade para a qual os dados foram inicialmente transferidos, a natureza e as condies de
execuo da sano penal e o nvel de proteo de dados pessoais do pas terceiro ou da organizao interna
cional para os quais os dados pessoais so ulteriormente transferidos. A autoridade competente que realizou a
transferncia inicial poder igualmente sujeitar a transferncia ulterior a condies especficas. Tais condies
especficas podem ser descritas, por exemplo, em cdigos de tratamento.

(66) A Comisso poder decidir, com efeitos no conjunto da Unio, que determinados pases terceiros, um territrio
ou um ou vrios setores especificados num pas terceiro ou numa organizao internacional asseguram um nvel
adequado de proteo de dados, garantindo assim a segurana jurdica e a uniformidade a nvel da Unio relati
vamente a pases terceiros ou organizaes internacionais que sejam considerados aptos a assegurar tal nvel de
proteo. Nesses casos, podero ser feitas transferncias de dados pessoais para esses pases sem necessidade de
qualquer autorizao especfica, exceto se outro Estado-Membro de onde provm os dados tiver de dar a sua
autorizao transferncia.

(67) De acordo com os valores fundamentais em que a Unio assenta, particularmente a defesa dos direitos humanos,
a Comisso dever, na sua avaliao do pas terceiro ou de um territrio ou de um setor especfico num pas
terceiro, ter em considerao em que medida um determinado pas respeita o primado do Estado de direito, o
acesso justia, bem como as regras e normas internacionais no domnio dos direitos humanos e a sua legislao
geral e setorial, nomeadamente a legislao relativa segurana pblica, defesa e segurana nacional, bem
como a lei da ordem pblica e a lei penal. A adoo de uma deciso de adequao relativa a um territrio ou um
setor especfico num pas terceiro dever ter em conta critrios claros e objetivos, tais como as atividades de
tratamento especficas e o mbito das normas jurdicas aplicveis, bem como a legislao em vigor no pas
terceiro. Este dever dar garantias de assegurar um nvel adequado de proteo, essencialmente equivalente ao
assegurado na Unio, em particular quando os dados so tratados num ou em vrios setores especficos. Em
especial, o pas terceiro dever garantir o controlo efetivo e independente da proteo dos dados e estabelecer
mecanismos de cooperao com as autoridades s de proteo de dados dos Estados-Membros, e ainda conferir
aos titulares dos dados direitos efetivos e oponveis e vias efetivas de recurso administrativo e judicial.

(68) Alm dos compromissos internacionais assumidos pelo pas terceiro ou pela organizao internacional, a
Comisso dever tambm ter em conta as obrigaes decorrentes da participao do pas terceiro ou da
organizao internacional nos sistemas multilaterais ou regionais, em especial no que diz respeito proteo dos
dados pessoais, bem como o cumprimento de tais obrigaes. Em especial, h que ter em conta a adeso do pas
terceiro em causa Conveno do Conselho da Europa para a proteo das pessoas relativamente ao tratamento
automatizado de dados de carter pessoal, de 28 de janeiro de 1981, e respetivo Protocolo Adicional. A
L 119/100 PT Jornal Oficial da Unio Europeia 4.5.2016

Comisso dever consultar o Comit Europeu para a Proteo de Dados criado pelo Regulamento (UE)
2016/679 (Comit) quando avalia o nvel de proteo nos pases terceiros ou organizaes internacionais. A
Comisso dever ter igualmente em conta as decises de adequao da Comisso pertinentes, adotadas em
conformidade com o artigo 41.o do Regulamento (UE) 2016/679.

(69) A Comisso dever controlar a eficcia das decises sobre o nvel de proteo assegurado num pas terceiro, num
territrio ou num setor especfico de um pas terceiro, ou numa organizao internacional. Nas suas decises de
adequao, a Comisso dever prever um processo de avaliao peridica da aplicao destas. A avaliao
peridica dever ser feita em consulta com o pas terceiro ou a organizao internacional em questo e ter em
conta todos os desenvolvimentos pertinentes verificados no pas terceiro ou organizao internacional.

(70) A Comisso dever igualmente poder reconhecer que um pas terceiro, um territrio ou um setor especfico de
um pas terceiro, ou uma organizao internacional, deixou de assegurar um nvel adequado de proteo de
dados. Se for esse o caso, dever ser proibida a transferncia de dados pessoais para esse pas terceiro ou
organizao internacional, a menos que sejam cumpridos os requisitos previstos na presente diretiva relativos s
transferncias sujeitas a garantias adequadas e s derrogaes aplicveis a situaes especficas. conveniente
prever procedimentos de consulta entre a Comisso e esses pases terceiros ou organizaes internacionais. A
Comisso dever, em tempo til, informar o pas terceiro ou a organizao internacional das razes de tal
proibio e iniciar consultas com o pas ou organizao em causa a fim de corrigir a situao.

(71) As transferncias no baseadas numa deciso de adequao s devero ser autorizadas caso sejam apresentadas
garantias adequadas num instrumento juridicamente vinculativo que garanta a proteo dos dados pessoais ou o
responsvel pelo tratamento tenha avaliado todas as circunstncias inerentes transferncia de dados e, com base
nessa avaliao, considere que existem garantias adequadas no que diz respeito proteo de dados pessoais. Tais
instrumentos juridicamente vinculativos podero ser, por exemplo, acordos bilaterais juridicamente vinculativos
que os Estados-Membros tenham celebrado e integrado no seu ordenamento jurdico e que possam ser
executados pelos titulares de dados desses Estados-Membros, assegurando a observncia dos requisitos relativos
proteo de dados e dos direitos dos titulares dos dados, incluindo o direito de recurso administrativo ou judicial.
Ao avaliar todas as circunstncias relativas transferncia de dados, o responsvel pelo tratamento poder ter em
conta os acordos de cooperao que tenham sido celebrados entre a Europol ou a Eurojust e pases terceiros e
que permitam o intercmbio de dados pessoais. O responsvel pelo tratamento poder ainda ter em conta que a
transferncia de dados pessoais ficar sujeita a obrigaes de confidencialidade e ao princpio da especificidade,
assegurando que os dados no sejam tratados para efeitos que no sejam os da transferncia. Alm disso, o
responsvel pelo tratamento dever ter em conta que os dados pessoais no sero utilizados para requerer, aplicar
ou executar uma pena de morte ou qualquer forma de tratamento cruel ou desumano. Embora essas condies
possam ser consideradas garantias adequadas para a transferncia de dados, o responsvel pelo tratamento pode
exigir garantias adicionais.

(72) Na falta de deciso de adequao ou de garantias adequadas, s podero ser efetuadas transferncias ou categorias
de transferncias em situaes especficas, se necessrio para: proteger os interesses vitais do titular dos dados ou
de um terceiro ou salvaguardar os interesses legtimos do titular dos dados, desde que o direito do Estado-
-Membro que efetua a transferncia dos dados assim o preveja; prevenir uma ameaa iminente e grave para a
segurana pblica de um Estado-Membro ou de um pas terceiro; em determinados casos, para efeitos de
preveno, investigao, deteo ou represso de infraes penais ou execuo de sanes penais, incluindo a
salvaguarda e preveno de ameaas segurana pblica; em determinados casos, para efeitos de declarao,
exerccio ou defesa de um direito num processo judicial. Essas derrogaes devero ser interpretadas de forma
restritiva e no permitir transferncias frequentes, macias e estruturais de dados pessoais nem transferncias
macias de dados, devendo ser limitadas aos dados estritamente necessrios. Tais transferncias devero ser
documentadas e disponibilizadas, a pedido, autoridade de controlo para verificar a licitude da transferncia.

(73) As autoridades competentes dos Estados-Membros aplicam os acordos internacionais bilaterais ou multilaterais
vigentes celebrados com pases terceiros no domnio da cooperao judiciria em matria penal e da cooperao
policial com vista ao intercmbio de informaes relevantes que lhes permitam exercer as atribuies previstas na
lei. Em princpio, esse intercmbio efetuado em cooperao com as autoridades competentes dos pases
terceiros em causa ou, pelo menos, com a cooperao dessas autoridades, e por vezes at na falta de um acordo
internacional bilateral ou multilateral. Todavia, em determinados casos especficos, os procedimentos normais que
requerem contactar essa autoridade do pas terceiro podem revelar-se ineficazes ou desadequados, nomeadamente
devido impossibilidade de a transferncia ser efetuada em tempo til ou devido ao facto de essa autoridade do
pas terceiro no respeitar o Estado de direito ou as regras e normas internacionais no domnio dos direitos
humanos, de tal modo que as autoridades competentes dos Estados-Membros podero decidir transferir os dados
pessoais diretamente para os destinatrios estabelecidos em pases terceiros. Poder ser o caso se houver
necessidade urgente de transferir dados pessoais para salvar a vida de uma pessoa que corra o risco de ser vtima
de uma infrao penal ou prevenir a prtica iminente de um crime, incluindo o terrorismo. Mesmo que essa
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/101

transferncia entre autoridades competentes e destinatrios estabelecidos em pases terceiros s deva ter lugar em
determinados casos especficos, a presente diretiva dever prever condies para regular tais casos. Essas
disposies no devero ser consideradas derrogaes aos acordos internacionais bilaterais ou multilaterais
vigentes no domnio da cooperao judiciria em matria penal e da cooperao policial. Essas regras devero
complementar a aplicao das demais regras da presente diretiva, especialmente as que dizem respeito licitude
do tratamento e as que estabelece o Captulo V.

(74) Quando os dados pessoais atravessam fronteiras h um risco acrescido de que as pessoas singulares no possam
exercer os seus direitos proteo de dados, nomeadamente para se proteger da utilizao ilcita ou da
divulgao dessas informaes. Paralelamente, as autoridades de controlo podem ser incapazes de dar seguimento
a reclamaes ou conduzir investigaes relacionadas com atividades exercidas fora das suas fronteiras. Os seus
esforos para colaborar no contexto transfronteirio podem ser tambm prejudicados pela falta poderes para
tomar medidas preventivas ou de reparao, bem como pela incoerncia e insuficincia dos regimes jurdicos
aplicveis Por conseguinte, revela-se necessrio promover uma cooperao mais estreita entre as autoridades de
controlo da proteo de dados a fim de que possam efetuar o intercmbio de informaes com as suas
homlogas internacionais.

(75) A criao de autoridades de controlo nos Estados-Membros, com total independncia no exerccio das suas
atribuies, constitui um elemento essencial da proteo das pessoas singulares no que diz respeito ao tratamento
dos seus dados pessoais. As autoridades de controlo devero fiscalizar a aplicao das disposies adotadas por
fora da presente diretiva e devero contribuir para a sua aplicao coerente em toda a Unio, a fim de proteger
as pessoas singulares relativamente ao tratamento dos seus dados pessoais. Para esse efeito, as autoridades de
controlo devero cooperar entre si e com a Comisso.

(76) Os Estados Membros podem confiar a uma autoridade de controlo j criada nos termos do Regulamento (UE)
2016/679 o exerccio das atribuies das autoridades nacionais de controlo criadas por fora da presente diretiva.

(77) Os Estados-Membros devero poder criar vrias autoridades de controlo de modo a refletir a sua estrutura consti
tucional, organizativa e administrativa. Devero ser dados s autoridades de controlo os meios financeiros e
humanos, as instalaes e as infraestruturas necessrias ao exerccio eficaz das suas atribuies, incluindo as
relacionadas com a assistncia e a cooperao mtuas com outras autoridades de controlo da Unio. As
autoridades de controlo devero ter oramentos anuais pblicos separados, que podero estar integrados no
oramento geral do estado ou do oramento nacional.

(78) As autoridades de controlo devero ficar sujeitas a procedimentos de controlo ou fiscalizao independentes no
que diz respeito s suas despesas financeiras, desde que tal no afete a sua independncia.

(79) As condies gerais aplicveis aos membros da autoridade de controlo devero ser definidas pelo direito do
Estado-Membro e devero prever, em especial, que os referidos membros sejam nomeados por procedimento
transparente pelo Parlamento, pelo Governo nacional ou pelo Chefe de Estado do Estado-Membro, com base
numa proposta do governo ou de um dos seus membros ou do parlamento ou da sua cmara competente, ou
por um organismo independente incumbido da nomeao nos termos do direito do Estado-Membro. A fim de
assegurar a independncia da autoridade de controlo, os membros que a integram devero atuar com integridade,
abster-se de qualquer ato incompatvel com as suas funes e, durante o seu mandato, no devero exercer
nenhuma ocupao, seja ou no remunerada, que com elas seja incompatvel. A fim de assegurar a independncia
da autoridade de controlo, o pessoal dever ser selecionado pela autoridade de controlo, eventualmente com a
interveno de um organismo independente incumbido nos termos do direito do Estado-Membro.

(80) Embora a presente diretiva se aplique tambm s atividades dos tribunais nacionais e outras autoridades judiciais,
a competncia das autoridades de controlo no dever abranger o tratamento de dados pessoais efetuado pelos
tribunais no exerccio da sua funo jurisdicional, a fim de assegurar a independncia dos juzes no desempenho
das suas funes jurisdicionais. Esta exceo dever ser estritamente limitada s atividades judiciais relativas a
processos judiciais, no se aplicando a outras atividades a que os juzes possam estar associados por fora do
direito do Estado-Membro. Os Estados-Membros podem tambm prever a possibilidade de a competncia das
autoridades de controlo no abranger o tratamento de dados pessoais efetuado por outras autoridades judiciais
independentes no exerccio da sua funo jurisdicional, nomeadamente o Ministrio Pblico. Em todo o caso, o
cumprimento das regras da presente diretiva pelos tribunais e outras autoridades judiciais independentes dever
ficar sempre sujeito a uma fiscalizao independente nos termos do artigo 8.o, n.o 3, da Carta.
L 119/102 PT Jornal Oficial da Unio Europeia 4.5.2016

(81) Cada autoridade de controlo dever tratar as reclamaes apresentadas por qualquer titular de dados e investigar
o assunto ou transmiti-lo autoridade de controlo competente. A investigao decorrente de uma reclamao
dever ser realizada, sob reserva de controlo jurisdicional, na medida adequada ao caso especfico. A autoridade
de controlo dever informar o titular dos dados da evoluo e do resultado da reclamao num prazo razovel.
Se o caso exigir maior investigao ou a coordenao com outra autoridade de controlo, devero ser fornecidas
informaes intermdias ao titular dos dados.

(82) A fim de assegurar o controlo eficaz, fivel e coerente da conformidade com a presente diretiva e da sua
aplicao em toda a Unio e nos termos do TFUE, conforme interpretado pelo Tribunal de Justia, as autoridades
de controlo devero ter, em cada Estado-Membro, as mesmas atribuies e poderes, incluindo poderes de
investigao e de correo, bem como funes consultivas, que constituem meios necessrios no exerccio das
suas atribuies. Os seus poderes no devero, contudo, interferir com as regras especficas aplicveis ao processo
penal, nomeadamente investigao e represso de infrao penais, nem com a independncia do poder judicial.
Sem prejuzo dos poderes das autoridades responsveis pela aplicao da lei nos termos do direito do Estado-
-Membro, as autoridades de controlo devero ainda dispor do poder de levar as violaes presente diretiva ao
conhecimento das autoridades judiciais e de intentar processos judiciais. Os poderes das autoridades de controlo
devero ser exercidos em conformidade com as garantias processuais adequadas previstas pelo direito da Unio e
dos Estados-Membros, com imparcialidade e equidade e num prazo razovel. Em particular, cada medida dever
ser adequada, necessria e proporcionada a fim de garantir a conformidade com a presente diretiva, tendo em
conta as circunstncias de cada caso concreto, respeitar o direito de qualquer pessoa a ser ouvida antes de a seu
respeito ser tomada qualquer medida individual que a afete desfavoravelmente e evitar custos suprfluos e
inconvenientes excessivos para a pessoa em causa. Os poderes de investigao em matria de acesso s
instalaes devero ser exercidos em conformidade com os requisitos especficos do direito do Estado-Membro,
como, por exemplo, a obrigao de obter autorizao judicial prvia. A adoo de uma deciso juridicamente
vinculativa dever ficar sujeita a controlo jurisdicional no Estado-Membro da autoridade de controlo que tenha
adotado a deciso.

(83) As autoridades de controlo devero prestar-se mutuamente assistncia no exerccio das suas atribuies, por
forma a assegurar a execuo e aplicao coerentes das disposies adotadas por fora da presente diretiva.

(84) O Comit dever contribuir para a aplicao coerente da presente diretiva em toda a Unio, nomeadamente
aconselhando a Comisso e promovendo a cooperao das autoridades de controlo em toda a Unio.

(85) Os titulares de dados devero ter direito a apresentar reclamao a uma autoridade de controlo nica e a intentar
uma ao judicial, nos termos do artigo 47.o da Carta, se considerarem que os direitos que lhes so conferidos
por disposies adotadas por fora da presente diretiva foram violados ou a autoridade de controlo no
responder reclamao, a recusar ou rejeitar, total ou parcialmente, ou no tomar as iniciativas necessrias para
proteger os seus direitos. A investigao decorrente de uma reclamao dever ser realizada, sob reserva de
controlo jurisdicional, na medida adequada ao caso especfico. A autoridade de controlo competente dever
informar o titular dos dados da evoluo e do resultado da reclamao num prazo razovel. Se o caso exigir
maior investigao ou a coordenao com outra autoridade de controlo, devero ser fornecidas informaes
intermdias ao titular dos dados. As autoridades de controlo devero tomar medidas para facilitar a apresentao
de reclamaes, como, por exemplo, fornecer formulrios para apresentao de reclamaes que possam tambm
ser preenchidos eletronicamente, sem excluir outros meios de comunicao.

(86) Todas as pessoas, singulares ou coletivas, devero ter direito a intentar uma ao judicial perante os tribunais
nacionais competentes contra as decises das autoridades de controlo que produzam efeitos jurdicos que lhes
digam respeito. Tais decises prendem-se, em especial, com o exerccio de poderes de investigao, correo e
autorizao pelas autoridades de controlo ou com a recusa ou rejeio de reclamaes. Porm, este direito no
abrange outras medidas das autoridades de controlo que no sejam juridicamente vinculativas, como os pareceres
emitidos ou o aconselhamento prestado pela autoridade de controlo. As aes contra as autoridades de controlo
devero ser instauradas nos tribunais do Estado-Membro em cujo territrio a autoridade de controlo esteja
estabelecida e devero ser conduzidas nos termos do direito desse Estado-Membro. Estes tribunais devero ter
jurisdio plena, incluindo o poder de analisar todas as questes de facto e de direito relevantes para o litgio.

(87) Se considerar que os direitos que lhe so conferidos pela presente diretiva foram violados, o titular dos dados
dever ter o direito de mandatar um organismo que vise proteger os direitos e interesses dos titulares de dados
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/103

no que respeita proteo dos seus dados pessoais, e que seja constitudo ao abrigo do direito de um Estado-
-Membro, para apresentar reclamao em seu nome a uma autoridade de controlo e exercer o direito de intentar
ao judicial. O direito de representao dos titulares dos dados no dever prejudicar o direito processual do
Estado-Membro, que poder exigir que estes se faam obrigatoriamente representar perante os tribunais nacionais
por um advogado, tal como previsto na Diretiva 77/249/CEE do Conselho (1).

(88) Os danos sofridos por uma pessoa em virtude de um tratamento em violao da presente diretiva devero ser
ressarcidos pelo responsvel pelo tratamento dos dados ou por qualquer outra autoridade competente nos termos
do direito do Estado-Membro. O conceito de dano dever ser interpretado em sentido lato luz da jurispru
dncia do Tribunal de Justia de uma forma que reflita plenamente os objetivos da presente diretiva. Tal no
prejudica os pedidos de indemnizao por danos provocados pela violao de outras regras constantes do direito
da Unio ou dos Estados-Membros. Quando se faa referncia a tratamentos ilcitos ou a tratamentos que violem
disposies adotadas por fora da presente diretiva, ficam igualmente abrangidos os tratamentos que violem os
atos de execuo adotados nos termos da presente diretiva. Os titulares dos dados devero ser integral e
efetivamente indemnizados pelos danos que tenham sofrido.

(89) Devero ser aplicadas sanes s pessoas singulares ou s pessoas coletivas, de direito privado ou pblico, que
violem a presente diretiva. Os Estados-Membros devero assegurar que as sanes sejam efetivas, proporcionadas
e dissuasivas e tomar todas as medidas necessrias sua aplicao.

(90) A fim de assegurar condies uniformes para a execuo da presente diretiva, devero ser conferidas
competncias de execuo Comisso no que diz respeito ao nvel de proteo adequado garantido por um pas
terceiro, um territrio ou um setor especfico desse pas terceiro, ou por uma organizao internacional, e o
formato e os procedimentos de assistncia mtua, bem como as regras de intercmbio eletrnico de informaes
entre as autoridades de controlo e entre estas e o Comit. Essas competncias devero ser exercidas nos termos
do Regulamento (UE) n.o 182/2011 do Parlamento Europeu e do Conselho (2).

(91) Dever ser utilizado o procedimento de exame para a adoo de atos de execuo sobre o nvel de proteo
adequado garantido por um pas terceiro, um territrio ou um setor especfico desse pas terceiro, ou por uma
organizao internacional, o formato e os procedimentos de assistncia mtua, bem como as regras de
intercmbio eletrnico de informaes entre as autoridades de controlo e entre estas e o Comit, atendendo a que
se trata de atos de alcance geral.

(92) A Comisso dever adotar atos de execuo imediatamente aplicveis quando imperativos urgentes assim o
exijam, em casos devidamente fundamentados relacionados com um pas terceiro, um territrio ou um setor
especfico desse pas terceiro ou uma organizao internacional que tenha deixado de assegurar um nvel de
proteo adequado.

(93) Atendendo a que os objetivos da presente diretiva, a saber, proteger os direitos e liberdades fundamentais das
pessoas singulares, nomeadamente o seu direito proteo de dados pessoais, e assegurar o livre intercmbio
desses dados pelas autoridades competentes na Unio, no podem ser suficientemente alcanados pelos Estados-
-Membros, mas podem, devido dimenso e aos efeitos da ao, ser mais bem alcanados ao nvel da Unio, a
Unio pode tomar medidas em conformidade com o princpio da subsidiariedade consagrado no artigo 5.o do
TUE. Em conformidade com o princpio da proporcionalidade consagrado no mesmo artigo, a presente diretiva
no excede o necessrio para atingir esses objetivos.

(94) No devero ser afetadas as disposies especficas dos atos, adotados pela Unio no domnio da cooperao
judiciria em matria penal e da cooperao policial antes da data de adoo da presente diretiva, que regulem o

(1) Diretiva 77/249/CEE do Conselho, de 22 de maro de 1977, tendente a facilitar o exerccio efetivo da livre prestao de servios pelos
advogados (JO L 78 de 26.3.1977, p. 17).
(2) Regulamento (UE) n.o 182/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os
princpios gerais relativos aos mecanismos de controlo pelos Estados-Membros do exerccio das competncias de execuo pela
Comisso (JO L 55 de 28.2.2011, p. 13).
L 119/104 PT Jornal Oficial da Unio Europeia 4.5.2016

tratamento de dados pessoais entre Estados-Membros ou o acesso das autoridades designadas dos Estados-
-Membros aos sistemas de informao criados nos termos dos Tratados, como, por exemplo, as disposies
especficas relativas proteo dos dados pessoais aplicadas por fora da Deciso 2008/615/JAI do Conselho (1)
ou o artigo 23.o da Conveno relativa ao Auxlio Judicirio Mtuo em Matria Penal entre os Estados-Membros
da Unio Europeia (2). Dado que o artigo 8.o da Carta e o artigo 16.o do TFUE exigem que o direito fundamental
proteo de dados pessoais seja garantido de forma coerente em toda a Unio, a Comisso dever examinar a
situao quanto relao entre a presente diretiva e os atos adotados anteriormente data de adoo da presente
diretiva que regulem o tratamento de dados pessoais entre Estados-Membros ou o acesso de autoridades
designadas dos Estados-Membros a sistemas de informao criados por fora dos Tratados, a fim de avaliar a
necessidade de adaptar essas disposies especficas presente diretiva. Sempre que apropriado, a Comisso
dever apresentar propostas para assegurar regras jurdicas coerentes relacionadas com o tratamento de dados
pessoais.

(95) A fim de assegurar uma proteo global e coerente dos dados pessoais na Unio, os acordos internacionais
celebrados pelos Estados-Membros antes de a presente diretiva entrar em vigor que sejam conformes com o
direito da Unio aplicvel antes dessa data devero continuar a vigorar at serem alterados, substitudos ou
revogados.

(96) Os Estados-Membros devero dispor de um prazo, no superior a dois anos, a contar da data de entrada em
vigor da presente diretiva para a transpor. Os tratamentos de dados que se encontrem j em curso data de
entrada em vigor da presente diretiva devero passar a cumprir as disposies da presente diretiva no prazo de
dois anos aps a data da respetiva entrada em vigor. Todavia, caso tal tratamento cumpra o disposto no direito
da Unio aplicvel antes da entrada em vigor da presente diretiva, os requisitos por ela estabelecidos no que
respeita consulta prvia da autoridade de controlo no devero ser aplicveis s operaes de tratamento j em
curso antes da entrada em vigor da presente diretiva, uma vez que, pela sua natureza, tais requisitos devero ser
cumpridos antes do incio do tratamento. Caso os Estados-Membros utilizem o perodo de transposio mais
longo, que termina setes anos a contar da data de entrada em vigor da presente diretiva, para cumprir as
obrigaes de registo cronolgico no que respeita a sistemas de tratamento automatizado criados antes da data
de entrada em vigor da presente diretiva, o responsvel pelo tratamento, ou o subcontratante, dever dispor de
mtodos eficazes para demonstrar a licitude do tratamento dos dados, permitir o autocontrolo e garantir a
integridade e a segurana dos dados, tais como registos cronolgicos ou outros.

(97) A presente diretiva no prejudica as disposies relativas luta contra o abuso sexual, a explorao sexual de
crianas e a pornografia infantil, previstas na Diretiva 2011/93/UE do Parlamento Europeu e do Conselho (3).

(98) Por conseguinte, a Deciso-Quadro 2008/977/JAI dever ser revogada.

(99) Nos termos do artigo 6.o-A do Protocolo n.o 21 relativo posio do Reino Unido e da Irlanda em relao ao
espao de liberdade, segurana e justia, anexo ao TUE e ao TFUE, o Reino Unido e a Irlanda no ficam
vinculados pelas regras estabelecidas na presente diretiva que digam respeito ao tratamento de dados pessoais
pelos Estados-Membros no exerccio de atividades relativas aplicao da Parte III, Ttulo V, Captulos 4 ou 5, do
TFUE, caso no estejam vinculados por regras que regulem formas de cooperao judiciria em matria penal ou
de cooperao policial no mbito das quais devam ser observadas as disposies definidas com base no
artigo 16.o do TFUE.

(100) Nos termos dos artigos 2.o e 2.o-A do Protocolo n.o 22 relativo posio da Dinamarca, anexo ao TUE e ao
TFUE, a Dinamarca no fica vinculada nem sujeita aplicao das regras da presente diretiva que digam respeito
ao tratamento de dados pessoais pelos Estados-Membros no exerccio de atividades relativas aplicao da
Parte III, Ttulo V, Captulos 4 ou 5, do TFUE. Uma vez que a presente diretiva constitui um desenvolvimento do
acervo de Schengen, por fora do disposto na Parte III, Ttulo V, do TFUE, cabe Dinamarca decidir, nos termos
do artigo 4.o do referido Protocolo, no prazo de seis meses a contar da data de adoo da presente diretiva, se
proceder transposio da presente diretiva para o seu direito nacional.

(101) No que diz respeito Islndia e Noruega, a presente diretiva constitui um desenvolvimento das disposies do
acervo de Schengen, na aceo do Acordo celebrado pelo Conselho da Unio Europeia e a Repblica da Islndia e
o Reino da Noruega relativo associao destes Estados execuo, aplicao e ao desenvolvimento do acervo
de Schengen (4).

(1) Deciso 2008/615/JAI do Conselho, de 23 de junho de 2008, relativa ao aprofundamento da cooperao transfronteiras, em particular
no domnio da luta contra o terrorismo e a criminalidade transfronteiras (JO L 210 de 6.8.2008, p. 1).
(2) Ato do Conselho, de 29 de maio de 2000, que estabelece, nos termos do artigo 34.o do Tratado da Unio Europeia, a Conveno relativa
ao auxlio judicirio mtuo em matria penal entre os Estados-Membros da Unio Europeia (JO C 197 de 12.7.2000, p. 1).
(3) Diretiva 2011/93/UE do Parlamento Europeu e do Conselho, de 13 de dezembro de 2011, relativa luta contra o abuso sexual e a
explorao sexual de crianas e a pornografia infantil, e que substitui a Deciso-Quadro 2004/68/JAI do Conselho (JO L 335 de
17.12.2011, p. 1).
(4) JO L 176 de 10.7.1999, p. 36.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/105

(102) No que diz respeito Sua, a presente diretiva constitui um desenvolvimento das disposies do acervo de
Schengen, na aceo do Acordo entre a Unio Europeia, a Comunidade Europeia e a Confederao Sua relativo
associao da Confederao Sua execuo, aplicao e ao desenvolvimento do acervo de Schengen (1).

(103) No que diz respeito ao Liechtenstein, a presente diretiva constitui um desenvolvimento das disposies do acervo
de Schengen, na aceo do Protocolo entre a Unio Europeia, a Comunidade Europeia, a Confederao Sua e o
Principado do Liechtenstein relativo adeso do Principado do Liechtenstein ao Acordo entre a Unio Europeia, a
Comunidade Europeia e a Confederao Sua relativo associao da Confederao Sua execuo, aplicao
e ao desenvolvimento do acervo de Schengen (2).

(104) A presente diretiva respeita os direitos fundamentais e observa os princpios reconhecidos na Carta, consagrados
pelo TFUE, nomeadamente o direito ao respeito da vida privada e familiar, o direito proteo dos dados
pessoais e o direito ao e a um tribunal imparcial. As restries introduzidas em relao a estes direitos so
conformes com o artigo 52.o, n.o 1, da Carta, uma vez que so necessrias para cumprir os objetivos de interesse
geral reconhecidos pela Unio ou para satisfazer a necessidade de proteger os direitos e as liberdades de outrem.

(105) De acordo com a declarao poltica conjunta dos Estados-Membros e da Comisso, de 28 de setembro de 2011,
sobre os documentos explicativos, os Estados-Membros assumiram o compromisso de fazer acompanhar a
notificao das suas medidas de transposio, nos casos em que tal se justifique, de um ou mais documentos que
expliquem a relao entre as componentes de uma diretiva e as partes correspondentes das disposies nacionais
de transposio. Em relao presente diretiva, o legislador considera que a transmisso desses documentos se
justifica.

(106) A Autoridade Europeia para a Proteo de Dados foi consultada nos termos do artigo 28.o, n.o 2, do
Regulamento (CE) n.o 45/2001 e emitiu parecer em 7 de maro de 2012 (3).

(107) A presente diretiva no obsta a que os Estados-Membros possam aplicar disposies respeitantes ao exerccio dos
direitos dos titulares de dados em matria de informao, de acesso e de retificao ou apagamento dos dados
pessoais e de limitao do tratamento no mbito de uma ao penal, bem como eventuais restries desses
direitos, na legislao processual penal nacional,

ADOTARAM A PRESENTE DIRETIVA:

CAPTULO I

Disposies gerais

Artigo 1.o

Objeto e objetivos

1. A presente diretiva estabelece as regras relativas proteo das pessoas singulares no que diz respeito ao
tratamento de dados pessoais pelas autoridades competentes para efeitos de preveno, investigao, deteo ou
represso de infraes penais ou execuo de sanes penais, incluindo a salvaguarda e preveno de ameaas
segurana pblica.

2. Nos termos da presente diretiva, os Estados-Membros asseguram:

a) A proteo dos direitos e das liberdades fundamentais das pessoas singulares e, em especial, o seu direito proteo
dos dados pessoais; e

b) Que o intercmbio de dados pessoais entre autoridades competentes na Unio, caso seja previsto pelo direito da
Unio ou do Estado-Membro, no seja limitado nem proibido por razes relacionadas com a proteo das pessoas
singulares no que diz respeito ao tratamento de dados pessoais.

(1) JO L 53 de 27.2.2008, p. 52.

(2) JO L 160 de 18.6.2011, p. 21.
(3) JO C 192 de 30.6.2012, p. 7.
L 119/106 PT Jornal Oficial da Unio Europeia 4.5.2016

3. A presente diretiva no obsta a que os Estados-Membros prevejam garantias mais elevadas do que as nela estabe
lecidas para a proteo dos direitos e liberdades do titular dos dados no que diz respeito ao tratamento de dados
pessoais pelas autoridades competentes.

Artigo 2.o

mbito de aplicao

1. A presente diretiva aplica-se ao tratamento de dados pessoais pelas autoridades competentes para os efeitos estabe
lecidos no artigo 1.o, n.o 1.

2. A presente diretiva aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem
como ao tratamento de dados pessoais contidos num ficheiro ou a ele destinados por meios no automatizados.

3. A presente diretiva no se aplica ao tratamento de dados pessoais:

a) Efetuado no exerccio de atividades no sujeitas aplicao do direito da Unio;

b) Efetuado pelas instituies, organismos, servios e agncias da Unio.

Artigo 3.o

Definies

Para efeitos da presente diretiva, entende-se por:

1) Dados pessoais, informaes relativas a uma pessoa singular identificada ou identificvel (titular dos dados);
considerada identificvel uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por
referncia a um identificador como, por exemplo, um nome, um nmero de identificao, dados de localizao,
identificadores em linha ou um ou mais elementos especficos da identidade fsica, fisiolgica, gentica, mental,
econmica, cultural ou social dessa pessoa singular;

2) Tratamento, uma operao ou um conjunto de operaes efetuadas sobre dados pessoais ou sobre conjuntos de
dados pessoais, por meios automatizados ou no automatizados, tais como a recolha, o registo, a organizao, a
estruturao, a conservao, a adaptao ou alterao, a recuperao, a consulta, a utilizao, a divulgao por
transmisso, por difuso ou por qualquer outra forma de disponibilizao, a comparao ou interconexo, a
limitao, o apagamento ou a destruio;

3) Limitao do tratamento, a insero de uma marca nos dados pessoais conservados com o objetivo de limitar o
seu tratamento no futuro;

4) Definio de perfis, qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses
dados pessoais para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever
aspetos relacionados com o seu desempenho profissional, a sua situao econmica, sade, preferncias pessoais,
interesses, fiabilidade, comportamento, localizao ou deslocaes;

5) Pseudonimizao, o tratamento de dados pessoais de forma a que deixem de poder ser atribudos a um titular de
dados especfico sem recurso a informaes suplementares, desde que essas informaes suplementares sejam
mantidas separadamente e sujeitas a medidas tcnicas e organizativas para assegurar que os dados pessoais no
possam ser atribudos a uma pessoa singular identificada ou identificvel;

6) Ficheiro, um conjunto estruturado de dados pessoais acessveis segundo critrios especficos, centralizado, descen
tralizado ou repartido de modo funcional ou geogrfico;

7) Autoridade competente:

a) Uma autoridade pblica competente para efeitos de preveno, investigao, deteo ou represso de infraes
penais ou execuo de sanes penais, incluindo a salvaguarda e a preveno de ameaas segurana pblica; ou

b) Qualquer outro organismo ou entidade designados pelo direito de um Estado-Membro para exercer a autoridade
pblica e os poderes pblicos para efeitos de preveno, investigao, deteo ou represso de infraes penais
ou execuo de sanes penais, incluindo a salvaguarda e a preveno de ameaas segurana pblica;
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/107

8) Responsvel pelo tratamento, a autoridade competente que, individualmente ou em conjunto com outras,
determina as finalidades e os meios de tratamento dos dados pessoais; caso as finalidades e os meios desse
tratamento sejam determinados pelo direito da Unio ou pelo direito de um Estado-Membro, o responsvel pelo
tratamento ou os critrios especficos aplicveis sua nomeao podem ser previstos pelo direito da Unio ou de
um Estado-Membro;

9) Subcontratante, uma pessoa singular ou coletiva, uma autoridade pblica, uma agncia ou outro organismo que
tratam dados pessoais por conta do responsvel pelo tratamento;

10) Destinatrio, uma pessoa singular ou coletiva, uma autoridade pblica, uma agncia ou outro organismo que
recebem comunicaes de dados pessoais, independentemente de se tratar ou no de um terceiro. Contudo, as
autoridades pblicas que possam receber dados pessoais no mbito de inquritos especficos nos termos do direito
de um Estado-Membro no so consideradas como destinatrios; o tratamento desses dados por essas autoridades
pblicas deve cumprir as regras de proteo de dados aplicveis em funo das finalidades do tratamento;

11) Violao de dados pessoais, uma violao da segurana que provoca, de modo acidental ou ilcito, a destruio, a
perda, a alterao, a divulgao no autorizada de dados pessoais transmitidos, conservados ou tratados de outro
modo, ou o acesso no autorizado a esses dados;

12) Dados genticos, dados pessoais, relativos s caractersticas genticas, hereditrias ou adquiridas, de uma pessoa
singular, que do informaes nicas sobre a sua fisiologia ou sobre a sua sade e que resultam, designadamente, da
anlise de uma amostra biolgica da pessoa singular em causa;

13) Dados biomtricos, dados pessoais resultantes de um tratamento tcnico especfico, relativos s caractersticas
fsicas, fisiolgicas ou comportamentais de uma pessoa singular, que permitem ou confirmam a sua identificao
nica, tais como imagens faciais ou dados dactiloscpicos;

14) Dados relativos sade, dados pessoais relativos sade fsica ou mental de uma pessoa singular, incluindo a
prestao de servios de sade, que revelam informaes sobre o seu estado de sade;

15) Autoridade de controlo, uma autoridade pblica independente criada por um Estado-Membro nos termos do
artigo 41.o;

16) Organizao internacional, uma organizao e os organismos de direito internacional pblico por ela tutelados, ou
outro organismo criado por um acordo celebrado entre dois ou mais pases ou com base num acordo dessa
natureza.

CAPTULO II

Princpios

Artigo 4.o

Princpios relativos ao tratamento de dados pessoais

1. Os Estados-Membros preveem que os dados pessoais sejam:

a) Objeto de um tratamento lcito e leal;

b) Recolhidos para finalidades determinadas, explcitas e legtimas, e no tratados de uma forma incompatvel com essas
finalidades;

c) Adequados, pertinentes e limitados ao mnimo necessrio relativamente s finalidades para as quais so tratados;

d) Exatos e atualizados sempre que necessrio; devem ser tomadas todas as medidas razoveis para que os dados
inexatos, tendo em conta as finalidades para as quais so tratados, sejam apagados ou retificados sem demora;

e) Conservados de forma a permitir a identificao dos titulares dos dados apenas durante o perodo necessrio para as
finalidades para as quais so tratados;

f) Tratados de uma forma que garanta a sua segurana adequada, incluindo a proteo contra o seu tratamento no
autorizado ou ilcito e contra a sua perda, destruio ou danificao acidentais, recorrendo a medidas tcnicas ou
organizativas adequadas;
L 119/108 PT Jornal Oficial da Unio Europeia 4.5.2016

2. permitido o tratamento pelo mesmo ou por outro responsvel pelo tratamento para as finalidades previstas no
artigo 1.o, n.o 1, diferentes da finalidade para a qual os dados pessoais foram recolhidos, desde que:

a) O responsvel pelo tratamento esteja autorizado a tratar esses dados pessoais com essa finalidade, nos termos do
direito da Unio ou dos Estados-Membros; e

b) O tratamento seja necessrio e proporcionado para essa outra finalidade, nos termos do direito da Unio ou dos
Estados-Membros.

3. O tratamento pelo mesmo ou por outro responsvel pelo tratamento pode incluir o arquivo de interesse pblico e
a utilizao cientfica, estatstica ou histrica dos dados para as finalidades previstas no artigo 1.o, n.o 1, sob reserva de
garantias adequadas dos direitos e liberdades do titular dos dados.

4. O responsvel pelo tratamento responsvel pelo cumprimento do disposto nos n.os 1, 2 e 3 e deve poder
comprovar esse cumprimento.

Artigo 5.o

Prazos para a conservao e avaliao

Os Estados-Membros preveem prazos adequados para o apagamento dos dados pessoais ou para a avaliao peridica
da necessidade de os conservar. Devem ser previstas regras processuais que garantam o cumprimento desses prazos.

Artigo 6.o

Distino entre diferentes categorias de titulares de dados

Os Estados-Membros preveem que o responsvel pelo tratamento estabelea, se aplicvel, e na medida do possvel, uma
distino clara entre os dados pessoais de diferentes categorias de titulares de dados, tais como:

a) Pessoas relativamente s quais existem motivos fundados para crer que cometeram ou esto prestes a cometer uma
infrao penal;

b) Pessoas condenadas por uma infrao penal;

c) Vtimas de uma infrao penal ou pessoas relativamente s quais certos factos levam a crer que possam vir a ser
vtimas de uma infrao penal; e

d) Terceiros envolvidos numa infrao penal, tais como pessoas que possam ser chamadas a testemunhar em investi
gaes penais relacionadas com infraes penais ou em processos penais subsequentes, pessoas que possam fornecer
informaes sobre infraes penais, ou contactos ou associados de uma das pessoas a que se referem as alneas a)
e b).

Artigo 7.o

Distino entre dados pessoais e verificao da qualidade dos dados pessoais

1. Os Estados-Membros preveem que os dados pessoais baseados em factos sejam, na medida do possvel,
distinguidos dos dados pessoais baseados em apreciaes pessoais.

2. Os Estados-Membros preveem que as autoridades competentes tomem todas as medidas razoveis para assegurar
que os dados pessoais inexatos, incompletos ou desatualizados no possam ser transmitidos nem disponibilizados. Para
o efeito, as autoridades competentes verificam, na medida do possvel, a qualidade dos dados pessoais antes de estes
serem transmitidos ou disponibilizados. Em todas as transmisses de dados pessoais devem ser fornecidas, na medida do
possvel, as informaes necessrias para que a autoridade competente que as recebe possa apreciar at que ponto os
dados so exatos, completos e fiveis, e esto atualizados.

3. Se se verificar que foram transmitidos dados inexatos ou que foram transmitidos dados pessoais de forma ilcita, o
destinatrio deve ser informado sem demora. Neste caso, os dados pessoais so retificados ou apagados, ou o tratamento
limitado nos termos do artigo 16.o.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/109

Artigo 8.o

Licitude do tratamento

1. Os Estados-Membros preveem que o tratamento s seja lcito se e na medida em que for necessrio para o
exerccio de uma atribuio pela autoridade competente para os efeitos previstos no artigo 1.o, n.o 1, e tiver por base o
direito da Unio ou de um Estado-Membro.

2. O direito de um Estado-Membro que rege o tratamento no mbito da presente diretiva especifica pelo menos os
objetivos do tratamento, os dados pessoais a tratar e as finalidades do tratamento.

Artigo 9.o

Condies especficas do tratamento

1. Os dados pessoais recolhidos pelas autoridades competentes para os fins do artigo 1.o, n.o 1, no podem ser
tratados para fins diferentes dos previstos no artigo 1.o, n.o 1, a no ser que esse tratamento seja autorizado pelo direito
da Unio ou de um Estado-Membro. Caso os dados pessoais sejam tratados para esses outros fins, aplicvel o
Regulamento (UE) 2016/679, salvo se tratamento for efetuado no mbito de uma atividade no sujeita aplicao do
direito da Unio.

2. Caso o direito dos Estados-Membros confie s autoridades competentes o exerccio de atribuies diferentes das
exercidas para os fins do artigo 1.o, n.o 1, o Regulamento (UE) 2016/679 aplicvel ao tratamento para esses fins,
inclusive para fins de arquivo de interesse pblico, para fins de investigao cientfica ou histrica ou para fins
estatsticos, salvo se o tratamento for efetuado no mbito de uma atividade no sujeita aplicao do direito da Unio.

3. Caso o direito da Unio ou dos Estados-Membros aplicvel autoridade transmissora competente preveja
condies especficas para o tratamento, os Estados-Membros preveem que a autoridade transmissora competente
informe o destinatrio dos dados pessoais dessas condies e da obrigao de as cumprir.

4. Os Estados-Membros preveem que a autoridade transmissora competente no aplique condies ao abrigo do n.o 3
a destinatrios situados noutros Estados-Membros nem a agncias, organismos e rgos criados nos termos do Ttulo V,
Captulos 4 e 5, do TFUE, diferentes das aplicveis a transmisses de dados similares no Estado-Membro da autoridade
transmissora competente.

Artigo 10.o

Tratamento de categorias especiais de dados pessoais

O tratamento de dados pessoais que revelem a origem racial ou tnica, as opinies polticas, as convices religiosas ou
filosficas, a filiao sindical, o tratamento de dados genticos, dados biomtricos destinados a identificar uma pessoa
singular de forma inequvoca, dados relativos sade ou dados relativos vida sexual ou orientao sexual, s
autorizado se for estritamente necessrio, se estiver sujeito a garantias adequadas dos direitos e liberdades do titular dos
dados, e se:

a) For autorizado pelo direito da Unio ou de um Estado-Membro;

b) Se destinar a proteger os interesses vitais do titular dos dados ou de outra pessoa singular; ou

c) Estiver relacionado com dados manifestamente tornados pblicos pelo titular dos dados.

Artigo 11.o

Decises individuais automatizadas

1. Os Estados-Membros preveem a proibio de decises tomadas exclusivamente com base no tratamento

automatizado, incluindo a definio de perfis, que produzam efeitos adversos na esfera jurdica do titular dos dados ou
que o afetem de forma significativa, a menos que sejam autorizadas pelo direito da Unio ou do Estado-Membro ao qual
o responsvel pelo tratamento est sujeito, e que o direito da Unio ou desse Estado-Membro preveja garantias
adequadas dos direitos e liberdades do titular dos dados, pelo menos o direito de obter a interveno humana do
responsvel pelo tratamento.
L 119/110 PT Jornal Oficial da Unio Europeia 4.5.2016

2. As decises a que se refere o n.o 1 do presente artigo no se baseiam nas categorias especiais de dados pessoais a
que se refere o artigo 8.o, a no ser que sejam aplicadas medidas adequadas para salvaguardar os direitos e liberdades e
os legtimos interesses do titular.

3. Em conformidade com o direito da Unio, so proibidas as definies de perfis que conduzam discriminao de
pessoas singulares com base nas categorias especiais de dados pessoais a que se refere o artigo 10.o.

CAPTULO III

Direitos do titular dos dados

Artigo 12.o

Comunicao e regras de exerccio dos direitos dos titulares dos dados

1. Os Estados-Membros preveem que o responsvel pelo tratamento tome todas as medidas razoveis para fornecer
ao titular dos dados as informaes a que se refere o artigo 13.o e efetue as comunicaes relativas aos artigos 11.o, 14.o
a 18.o e 31.o a respeito do tratamento de uma forma concisa, inteligvel e de fcil acesso, utilizando uma linguagem clara
e simples. As informaes so fornecidas pelos meios adequados, inclusive eletrnicos. Em regra geral, o responsvel
pelo tratamento fornece as informaes na mesma forma que o pedido.

2. Os Estados-Membros preveem que o responsvel pelo tratamento facilite o exerccio dos direitos do titular dos
dados nos termos dos artigos 11.o e 14.o a 18.o.

3. Os Estados-Membros preveem que o responsvel pelo tratamento informe por escrito, sem demora injustificada, o
titular dos dados do seguimento dado ao seu pedido.

4. Os Estados-Membros preveem que as informaes fornecidas nos termos do artigo 13.o e as comunicaes
efetuadas ou as medidas tomadas previstas nos termos dos artigos 11.o, 14.o a 18.o e 31.o, sejam gratuitas. Caso os
pedidos de um titular dos dados sejam manifestamente infundados ou excessivos, particularmente devido ao seu carter
recorrente, o responsvel pelo tratamento pode:
a) Exigir o pagamento de uma taxa razovel, tendo em conta os custos administrativos da prestao das informaes ou
da comunicao ou da tomada das medidas solicitadas; ou
b) Recusar dar seguimento ao pedido.
Nesses casos, cabe ao responsvel pelo tratamento demonstrar o carter manifestamente infundado ou excessivo dos
pedidos.

5. Se tiver dvidas razoveis quanto identidade da pessoa singular que apresenta o pedido a que se referem os
artigos 14.o e 16.o, o responsvel pelo tratamento pode solicitar que lhe sejam fornecidas as informaes adicionais que
forem necessrias para confirmar a identidade do titular dos dados.

Artigo 13.o

Informaes a facultar ou a fornecer ao titular dos dados

1. Os Estados-Membros preveem que o responsvel pelo tratamento faculte ao titular dos dados pelo menos as
seguintes informaes:
a) A identidade e os contactos do responsvel pelo tratamento;
b) Os contactos do encarregado da proteo de dados, se for caso disso;
c) As finalidades do tratamento a que os dados pessoais se destinam;
d) O direito de apresentar reclamao autoridade de controlo e de obter os contactos dessa autoridade;
e) A existncia do direito de solicitar ao responsvel pelo tratamento acesso aos dados pessoais que dizem respeito ao
titular, bem como a sua retificao ou o seu apagamento e a limitao do tratamento.
2. Para alm das informaes a que se refere o n.o 1, os Estados-Membros preveem por lei que o responsvel pelo
tratamento fornea ao titular dos dados, em determinados casos, as seguintes informaes adicionais, a fim de lhe
permitir exercer os seus direitos:
a) O fundamento jurdico do tratamento;
b) O prazo de conservao dos dados pessoais ou, se tal no for possvel, os critrios usados para definir esse perodo;
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/111

c) Se aplicvel, as categorias de destinatrios dos dados pessoais, inclusive nos pases terceiros ou nas organizaes
internacionais;

d) Se for caso disso, informaes adicionais, especialmente se os dados pessoais forem recolhidos sem conhecimento do
seu titular.

3. Os Estados-Membros podem adotar medidas legislativas que prevejam o adiamento, a limitao ou a no prestao
aos titulares dos dados das informaes a que se refere o n.o 2 se e enquanto tais medidas constiturem medidas
necessrias e proporcionadas numa sociedade democrtica, tendo devidamente em conta os direitos fundamentais e os
interesses legtimos das pessoas singulares em causa, a fim de:

a) Evitar prejudicar os inquritos, as investigaes ou os procedimentos oficiais ou judiciais;

b) Evitar prejudicar a preveno, deteo, investigao ou represso de infraes penais ou a execuo de sanes
penais;

c) Proteger a segurana pblica;

d) Proteger a segurana nacional;

e) Proteger os direitos e as liberdades de terceiros.

4. Os Estados-Membros podem adotar medidas legislativas a fim de determinar as categorias de tratamento

suscetveis de ser abrangidas, total ou parcialmente, por uma das alneas do n.o 3.

Artigo 14.o

Direito de acesso do titular dos dados aos seus dados pessoais

Sem prejuzo do artigo 15.o, os Estados-Membros preveem que o titular dos dados tenha o direito de obter do
responsvel pelo tratamento a confirmao de que os dados pessoais que lhe dizem respeito esto ou no a ser objeto
de tratamento e, em caso afirmativo, acesso aos seus dados pessoais e s seguintes informaes:

a) As finalidades e o fundamento jurdico do tratamento;

b) As categorias dos dados pessoais em causa;

c) Os destinatrios ou as categorias de destinatrios aos quais os dados pessoais foram divulgados, especialmente se se
tratar de destinatrios de pases terceiros ou de organizaes internacionais;

d) Sempre que possvel, o prazo previsto de conservao dos dados pessoais ou, se tal no for possvel, os critrios
usados para fixar esse prazo;

e) A existncia do direito de solicitar ao responsvel pelo tratamento a retificao ou o apagamento dos dados pessoais
ou a limitao do tratamento dos dados pessoais que dizem respeito ao titular dos dados;

f) O direito de apresentar reclamao autoridade de controlo e de obter os contactos dessa autoridade;

g) A comunicao dos dados pessoais sujeitos a tratamento e as informaes disponveis sobre a origem dos dados.

Artigo 15.o

Limitaes do direito de acesso

1. Os Estados-Membros podem adotar medidas legislativas para limitar, total ou parcialmente, o direito de acesso do
titular dos dados, se e enquanto tal limitao, total ou parcial, constituir uma medida necessria e proporcionada numa
sociedade democrtica, tendo devidamente em conta os direitos fundamentais e os interesses legtimos das pessoas
singulares em causa, a fim de:

a) Evitar prejudicar os inquritos, as investigaes ou os procedimentos oficiais ou judiciais;

b) Evitar prejudicar a preveno, deteo, investigao ou represso de infraes penais ou a execuo de sanes
penais;

c) Proteger a segurana pblica;

L 119/112 PT Jornal Oficial da Unio Europeia 4.5.2016

d) Proteger a segurana nacional;

e) Proteger os direitos e as liberdades de terceiros.

2. Os Estados-Membros podem adotar medidas legislativas a fim de determinar as categorias de tratamento

suscetveis de ser abrangidas, total ou parcialmente, por uma das categorias previstas no n.o 1.

3. Nos casos a que se referem os n.os 1 e 2, os Estados-Membros preveem que o responsvel pelo tratamento informe
por escrito o titular dos dados, sem demora injustificada, de todos os casos de recusa ou limitao de acesso, e dos
motivos da recusa ou da limitao. Essa informao pode ser omitida caso a sua prestao possa prejudicar uma das
finalidades enunciadas no n.o 1. Os Estados-Membros preveem que o responsvel pelo tratamento informe o titular dos
dados do direito que lhe assiste de apresentar reclamao autoridade de controlo ou de intentar uma ao judicial.

4. Os Estados-Membros preveem que o responsvel pelo tratamento detalhe os motivos de facto ou de direito em que
a sua deciso se baseou. Essa informao deve ser facultada s autoridades de controlo.

Artigo 16.o

Direito de retificao ou apagamento dos dados pessoais e limitao do tratamento

1. Os Estados-Membros preveem que o titular dos dados tenha o direito de obter sem demora injustificada do
responsvel pelo tratamento a retificao dos dados pessoais inexatos que lhe digam respeito. Tendo em conta a
finalidade do tratamento, os Estados-Membros preveem que o titular dos dados tenha direito a que os seus dados
pessoais incompletos sejam completados, inclusive por meio de declarao adicional.

2. Os Estados-Membros exigem que o responsvel pelo tratamento apague os dados pessoais sem demora injustificada
e preveem que o titular dos dados tenha o direito de obter sem demora injustificada do responsvel pelo tratamento o
apagamento dos dados pessoais que lhe digam respeito caso o tratamento infrinja as disposies adotadas nos termos
dos artigos 4.o, 8.o ou 10.o, ou caso os dados pessoais tenham de ser apagados a fim de cumprir uma obrigao legal a
que o responsvel pelo tratamento esteja sujeito.

3. Em vez de proceder ao apagamento, o responsvel pelo tratamento limita o tratamento caso:

a) O titular dos dados conteste a exatido dos dados pessoais e a sua exatido ou inexatido no possa ser apurada; ou

b) Os dados pessoais tenham de ser conservados para efeitos de prova.

Caso o tratamento seja limitado nos termos do primeiro pargrafo, alnea a), o responsvel pelo tratamento informa o
titular dos dados antes de anular a limitao do tratamento.

4. Os Estados-Membros preveem que o responsvel pelo tratamento informe o titular dos dados, por escrito, de
todos os casos de recusa da retificao ou do apagamento de dados pessoais ou da limitao do tratamento, e dos
motivos da recusa. Os Estados-Membros podem adotar medidas legislativas que limitem, total ou parcialmente, a
obrigao de fornecer essas informaes, na medida em que tal limitao constitua uma medida necessria e propor
cionada numa sociedade democrtica, tendo devidamente em conta os direitos fundamentais e os interesses legtimos
das pessoas singulares em causa, a fim de:

a) Evitar prejudicar os inquritos, as investigaes ou os procedimentos oficiais ou judiciais;

b) Evitar prejudicar a preveno, deteo, investigao ou represso de infraes penais ou a execuo de sanes
penais;

c) Proteger a segurana pblica;

d) Proteger a segurana nacional;

e) Proteger os direitos e as liberdades de terceiros.

Os Estados-Membros preveem que o responsvel pelo tratamento informe o titular dos dados do direito de apresentar
reclamao autoridade de controlo ou de intentar ao judicial.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/113

5. Os Estados-Membros preveem que o responsvel pelo tratamento de dados comunique a retificao de dados
pessoais inexatos autoridade competente que est na origem dos dados pessoais inexatos.

6. Os Estados-Membros preveem que, caso os dados pessoais tenham sido retificados ou apagados ou o tratamento
tenha sido limitado nos termos dos n.os 1, 2 e 3, o responsvel pelo tratamento notifique os destinatrios e estes
retifiquem ou apaguem os dados pessoais ou limitem o tratamento de dados pessoais sob a sua responsabilidade.

Artigo 17.o

Exerccio dos direitos do titular dos dados e verificao pela autoridade de controlo

1. Nos casos referidos no artigo 13.o, n.o 3, no artigo 15.o, n.o 3 e no artigo 16.o, n.o 4, os Estados-Membros adotam
medidas que prevejam a possibilidade de os direitos do titular dos dados serem igualmente exercidos atravs da
autoridade de controlo competente.

2. Os Estados-Membros preveem que o responsvel pelo tratamento informe o titular dos dados que os seus direitos
podem ser exercidos atravs da autoridade de controlo nos termos do n.o 1.

3. Se for exercido o direito referido no n.o 1, a autoridade de controlo informa, pelo menos, o titular dos dados de
que procedeu a todas as verificaes necessrias ou a um reexame. A autoridade de controlo informa tambm o titular
dos dados acerca do seu direito de intentar ao judicial.

Artigo 18.o

Direitos do titular dos dados no mbito de investigaes e aes penais

Os Estados-Membros podem prever que os direitos referidos nos artigos 13.o, 14.o e 16.o sejam exercidos nos termos do
direito dos Estados-Membros se os dados pessoais constarem de uma deciso judicial ou registo criminal ou de um
processo objeto de tratamento no mbito de uma investigao ou ao penal.

CAPTULO IV

Responsvel pelo tratamento e subcontratante

Se c o 1
Obr ig a e s ge ra i s

Artigo 19.o

Obrigaes do responsvel pelo tratamento

1. Os Estados-Membros preveem que o responsvel pelo tratamento, tendo em conta a natureza, o mbito, o
contexto e as finalidades do tratamento dos dados, bem como os riscos de probabilidade e gravidade variveis para os
direitos e liberdades das pessoas singulares, aplique as medidas tcnicas e organizativas adequadas para assegurar e poder
comprovar que o tratamento realizado em conformidade com a presente diretiva. Estas medidas so avaliadas e
atualizadas, se necessrio.

2. Caso sejam proporcionadas em relao s atividades de tratamento de dados, as medidas referidas no n.o 1 incluem
a aplicao, pelo responsvel pelo tratamento, de polticas adequadas em matria de proteo de dados.

Artigo 20.o

Proteo de dados desde a conceo e por defeito

1. Os Estados-Membros preveem que o responsvel pelo tratamento, tendo em conta as tcnicas mais avanadas e os
custos da sua aplicao e a natureza, o mbito, o contexto e as finalidades do tratamento, bem como os riscos de
probabilidade e gravidade variveis que representa para os direitos e liberdades das pessoas singulares, aplique, tanto no
momento da definio dos meios de tratamento como no momento do prprio tratamento, as medidas tcnicas e
organizativas como a pseudonimizao concebidas para aplicar de forma eficaz os princpios da proteo de
dados, como a minimizao dos dados, e para integrar as garantias necessrias no tratamento de dados a fim de
satisfazer os requisitos da presente diretiva e de proteger os direitos dos titulares dos dados.
L 119/114 PT Jornal Oficial da Unio Europeia 4.5.2016

2. Os Estados-Membros preveem que o responsvel pelo tratamento aplique as medidas tcnicas e organizativas
adequadas que assegurem, por defeito, que apenas so tratados os dados pessoais necessrios para cada finalidade
especfica do tratamento; tal aplica-se ao volume de dados pessoais recolhidos, extenso do seu tratamento, ao prazo
de conservao e sua acessibilidade. Em especial, estas medidas asseguram que, por defeito, os dados pessoais no so
disponibilizados a um nmero indeterminado de pessoas sem a interveno da pessoa singular em causa.

Artigo 21.o

Responsveis conjuntos pelo tratamento

1. Os Estados-Membros preveem que, quando dois ou mais responsveis pelo tratamento de dados determinam
conjuntamente as finalidades e os meios do tratamento, ambos so responsveis conjuntos pelo tratamento. Ambos
determinam as respetivas responsabilidades por acordo entre si e de modo transparente, a fim de garantir o
cumprimento da presente diretiva, nomeadamente no que diz respeito ao exerccio dos direitos do titular dos dados, e os
respetivos deveres de fornecer as informaes referidas no artigo 13.o, a menos e na medida em que as suas responsabi
lidades respetivas sejam determinadas pelo direito da Unio ou do Estado-Membro a que estejam sujeitos. Desse acordo
deve constar o ponto de contacto dos titulares dos dados. Os Estados-Membros podem determinar qual dos dois
responsveis conjuntos fica habilitado a agir como o ponto de contacto nico para que os titulares dos dados exeram
os seus direitos.

2. Independentemente do acordo a que se refere o n.o 1, os Estados-Membros podem prever que o titular dos dados
exera, em relao a cada um dos responsveis pelo tratamento de dados, os direitos que lhe conferem as disposies
adotadas por fora da presente diretiva.

Artigo 22.o

Subcontratante

1. Os Estados-Membros preveem que, caso o tratamento de dados seja efetuado por conta do responsvel pelo
tratamento, este recorra apenas a subcontratantes que apresentem garantias suficientes de executar medidas tcnicas e
organizativas adequadas, de modo a que o tratamento satisfaa os requisitos estabelecidos na presente diretiva e assegure
a proteo dos direitos do titular dos dados.

2. Os Estados-Membros preveem que o subcontratante no contrate outro subcontratante sem a autorizao prvia
especfica ou geral por escrito do responsvel pelo tratamento. Em caso de autorizao geral por escrito, o subcon
tratante informa o responsvel pelo tratamento de quaisquer alteraes pretendidas quanto ao aditamento ou
substituio de outros subcontratantes, dando, assim ao responsvel pelo tratamento a oportunidade de se opor a tais
alteraes.

3. Os Estados-Membros preveem que o tratamento em subcontratao seja regulada por um contrato ou outro ato
normativo sujeito ao direito da Unio ou dos Estados-Membros, que vincule o subcontratante ao responsvel pelo
tratamento e que estabelea o objeto e a durao do tratamento, a natureza e finalidade do tratamento, o tipo de dados
pessoais e as categorias de titulares de dados, as obrigaes e os direitos do responsvel pelo tratamento. Esse contrato
ou outro ato normativo prev, designadamente, que o subcontratante:

a) S age de acordo com instrues do responsvel pelo tratamento;

b) Assegura que as pessoas autorizadas a tratar os dados pessoais assumiram um compromisso de confidencialidade ou
se encontram sujeitas s obrigaes legais de confidencialidade adequada;

c) Presta assistncia ao responsvel pelo tratamento por todos os meios adequados de modo a assegurar o cumprimento
das disposies relativas aos direitos do titular dos dados;

d) Apaga todos os dados pessoais ou devolve-os ao responsvel pelo tratamento, consoante a escolha deste, depois de
concluir os servios de tratamento de dados, e apaga as cpias existentes, a menos que a sua conservao seja exigida
pelo direito da Unio ou do Estado-Membro;
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/115

e) Disponibiliza ao responsvel pelo tratamento dos dados todas as informaes necessrias para demonstrar o
cumprimento do presente artigo;

f) Respeita as condies referidas nos n.os 2 e 3 na contratao de outro subcontratante.

4. O contrato ou outro ato normativo a que se refere o n.o 3 feito por escrito, inclusivamente em formato
eletrnico.

5. Se, em violao da presente diretiva, um subcontratante determinar as finalidades e os meios do tratamento, esse
mesmo subcontratante considerado responsvel pelo tratamento em relao ao referido tratamento.

Artigo 23.o

Tratamento sob a autoridade do responsvel pelo tratamento ou do subcontratante

Os Estados-Membros preveem que o subcontratante, bem como qualquer pessoa que, agindo sob a autoridade do
responsvel pelo tratamento ou do subcontratante, tenha acesso a dados pessoais, no possa efetuar o seu tratamento
sem instrues do responsvel pelo tratamento, salvo se tal for previsto pelo direito da Unio ou de um Estado-Membro.

Artigo 24.o

Registos das atividades de tratamento

1. Os Estados-Membros preveem que os responsveis pelo tratamento conservem um registo de todas as categorias
de atividades de tratamento sob a sua responsabilidade. Desse registo deve constar:

a) O nome e contactos do responsvel pelo tratamento de dados e, se for caso disso, do responsvel conjunto pelo
tratamento de dados e do encarregado da proteo de dados;

b) As finalidades do tratamento;

c) As categorias de destinatrios a quem os dados pessoais foram ou sero divulgados, incluindo os destinatrios estabe
lecidos em pases terceiros ou organizaes internacionais;

d) A descrio das categorias de titulares de dados e das categorias de dados pessoais;

e) Se for caso disso, a utilizao da definio de perfis;

f) Se for caso disso, as categorias de transferncias de dados pessoais para um pas terceiro ou uma organizao interna
cional;

g) Uma indicao da fundamento jurdico da operao de tratamento, incluindo transferncias, a que os dados pessoais
se destinam;

h) Se possvel, os prazos fixados para o apagamento das diferentes categorias de dados pessoais;

i) Se possvel, uma descrio geral das medidas tcnicas e organizativas em matria de segurana referidas no
artigo 29.o, n.o 1.

2. Os Estados-Membros preveem que os subcontratantes conservem um registo de todas as categorias de atividades

de tratamento realizadas em nome de um responsvel pelo tratamento, do qual constem:

a) O nome e contactos do subcontratante ou subcontratantes, de cada responsvel pelo tratamento em nome do qual
atua o subcontratante, bem como do encarregado da proteo de dados, se for caso disso;

b) As categorias de tratamentos de dados efetuados em nome de cada responsvel pelo tratamento;

c) Se for caso disso, as transferncias de dados pessoais para um pas terceiro ou uma organizao internacional se o
responsvel pelo tratamento der instrues explcitas nesse sentido, incluindo a identificao desse pas terceiro ou
dessa organizao internacional;

d) Se possvel, uma descrio geral das medidas tcnicas e organizativas em matria de segurana referidas no
artigo 29.o, n.o 1.
L 119/116 PT Jornal Oficial da Unio Europeia 4.5.2016

3. Os registos a que se referem os n.os 1 e 2 so conservados por escrito, inclusivamente em formato eletrnico.

O responsvel pelo tratamento e o subcontratante facultam o registo autoridade de controlo, a pedido desta.

Artigo 25.o

Registo cronolgico

1. Os Estados-Membros preveem que sejam conservados em sistemas de tratamento automatizado registos

cronolgicos pelo menos das seguintes operaes de tratamento: recolha, alterao, consulta, divulgao incluindo
transferncias , interconexo e apagamento. Os registos cronolgicos das operaes de consulta e divulgao
permitem determinar o motivo, a data e a hora dessas operaes e, na medida do possvel, a identificao da pessoa que
consultou ou divulgou dados pessoais, e a identidade dos destinatrios desses dados pessoais.

2. Os registos cronolgicos so utilizados exclusivamente para efeitos de verificao da licitude do tratamento,

autocontrolo e garantia da integridade e segurana dos dados pessoais, bem como para aes penais.

3. O responsvel pelo tratamento e o subcontratante disponibilizam os registos cronolgicos autoridade de

controlo, a pedido desta.

Artigo 26.o

Cooperao com a autoridade de controlo

Os Estados-Membros preveem que o responsvel pelo tratamento e o subcontratante cooperem, a pedido, com a
autoridade de controlo no exerccio das suas atribuies.

Artigo 27.o

Avaliao de impacto sobre a proteo de dados

1. Caso um tipo de tratamento, em particular que utilize novas tecnologias, e tendo em conta a sua natureza, mbito,
contexto e finalidades, seja suscetvel de resultar num elevado risco para os direitos e liberdades das pessoas singulares,
os Estados-Membros preveem que o responsvel efetue, antes de iniciar o tratamento, uma avaliao do impacto das
operaes de tratamento previstas na proteo dos dados pessoais.

2. A avaliao a que se refere o n.o 1 inclui pelo menos uma descrio geral das operaes de tratamento de dados
previstas, uma avaliao dos riscos para os direitos e liberdades dos titulares dos dados, as medidas previstas para fazer
face a esses riscos, as garantias, medidas de segurana e mecanismos para assegurar a proteo dos dados pessoais e
demonstrar a conformidade com a presente diretiva, tendo em conta os direitos e os legtimos interesses dos titulares
dos dados e de outras pessoas em causa.

Artigo 28.o

Consulta prvia da autoridade de controlo

1. Os Estados-Membros preveem que o responsvel pelo tratamento ou o subcontratante consulte a autoridade de

controlo antes de proceder ao tratamento de dados pessoais que faro parte de um novo ficheiro a criar caso:
a) A avaliao de impacto sobre a proteo de dados prevista no artigo 27.o indique que o tratamento resultaria num
elevado risco na ausncia das medidas a tomar pelo responsvel pelo tratamento para atenuar o risco; ou
b) O tipo de tratamento envolva, especialmente no caso de se utilizarem novas tecnologias, mecanismos ou procedi
mentos, um elevado risco para os direitos e liberdades dos titulares dos dados.
2. Os Estados-Membros preveem que a autoridade de controlo seja consultada durante a elaborao de propostas de
medidas legislativas a adotar por um parlamento nacional ou de medidas regulamentares baseadas nessas medidas
legislativas, quando tais propostas estejam relacionadas com o tratamento.

3. Os Estados-Membros preveem que a autoridade de controlo possa estabelecer uma lista das operaes de
tratamento de dados sujeitas a consulta prvia nos termos do n.o 1.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/117

4. Os Estados-Membros preveem que o responsvel pelo tratamento fornea autoridade de controlo a avaliao de
impacto sobre a proteo de dados nos termos do artigo 27.o e, quando solicitado, qualquer outra informao que
permita autoridade de controlo avaliar a conformidade do tratamento e, nomeadamente, os riscos para a proteo dos
dados pessoais do titular dos dados e as respetivas garantias.

5. Os Estados-Membros preveem que, caso considere que o tratamento previsto referido no n.o 1 do presente
artigo violaria as disposies adotadas nos termos da presente diretiva, especialmente se o responsvel pelo tratamento
no tiver identificado ou atenuado suficientemente os riscos, a autoridade de controlo, no prazo de seis semanas a
contar da receo do pedido de consulta, d orientaes, por escrito, ao responsvel pelo tratamento e, se aplicvel, ao
subcontratante e possa recorrer a todos os seus poderes referidos no artigo 47.o. Esse prazo pode ser prorrogado por
um ms, tendo em conta a complexidade do tratamento previsto. A autoridade de controlo informa o responsvel pelo
tratamento e, se for caso disso, o subcontratante dessa prorrogao e dos seus fundamentos no prazo de um ms a
contar da data de receo do pedido de consulta.

S ec o 2

Se g ur a na d o s d a do s p es so ai s

Artigo 29.o

Segurana do tratamento

1. Os Estados-Membros preveem que o responsvel pelo tratamento e o subcontratante, tendo em conta as tcnicas
mais avanadas, os custos da sua aplicao e a natureza, o mbito, o contexto e as finalidades do tratamento dos dados,
bem como os riscos de probabilidade e gravidade variveis que este tratamento representa para os direitos e liberdades
das pessoas singulares, apliquem medidas tcnicas e organizativas adequadas a fim de assegurar um nvel de segurana
adequado ao risco, em especial no que respeita ao tratamento das categorias especiais de dados pessoais a que se refere
o artigo 10.o.

2. No que respeita ao tratamento automatizado de dados, cada Estado-Membro prev que o responsvel pelo
tratamento ou o subcontratante, na sequncia de uma avaliao dos riscos, aplique medidas para os seguintes efeitos:

a) Impedir o acesso de pessoas no autorizadas ao equipamento utilizado para o tratamento (controlo de acesso ao
equipamento);

b) Impedir que os suportes de dados sejam lidos, copiados, alterados ou retirados sem autorizao (controlo dos
suportes de dados);

c) Impedir a introduo no autorizada de dados pessoais, bem como qualquer inspeo, alterao ou apagamento no
autorizados de dados pessoais conservados (controlo da conservao);

d) Impedir que os sistemas de tratamento automatizado sejam utilizados por pessoas no autorizadas por meio de
equipamento de comunicao de dados (controlo dos utilizadores);

e) Assegurar que as pessoas autorizadas a utilizar um sistema de tratamento automatizado s tenham acesso aos dados
pessoais abrangidos pela sua autorizao de acesso (controlo do acesso aos dados);

f) Assegurar que possa ser verificado e determinado a organismos os dados pessoais foram ou podem ser transmitidos
ou facultados utilizando equipamento de comunicao de dados (controlo da comunicao);

g) Assegurar que possa ser verificado e determinado a posteriori quais os dados pessoais introduzidos nos sistemas de
tratamento automatizado, quando e por quem (controlo da introduo);

h) Impedir que, durante as transferncias de dados pessoais ou o transporte de suportes de dados, os dados pessoais
possam ser lidos, copiados, alterados ou suprimidos sem autorizao (controlo do transporte);

i) Assegurar que os sistemas utilizados possam ser restaurados em caso de interrupo (recuperao);

j) Assegurar que as funes do sistema funcionem, que os erros de funcionamento sejam assinalados (fiabilidade) e que
os dados pessoais conservados no possam ser falseados por um disfuncionamento do sistema (integridade).
L 119/118 PT Jornal Oficial da Unio Europeia 4.5.2016

Artigo 30.o

Notificao de uma violao de dados pessoais autoridade de controlo

1. Os Estados-Membros preveem que, em caso de violao de dados pessoais, o responsvel pelo tratamento
notifique desse facto a autoridade de controlo sem demora injustificada e, sempre que possvel, at 72 horas aps ter
tido conhecimento da mesma, a menos que a violao dos dados pessoais no seja suscetvel de resultar num risco para
os direitos e liberdades das pessoas singulares. Se a notificao da autoridade de controlo no for feita no prazo de 72
horas, acompanhada dos motivos do atraso.

2. O subcontratante notifica o responsvel pelo tratamento sem demora injustificada aps ter conhecimento de uma
violao de dados pessoais.

3. A notificao referida no n.o 1 deve, pelo menos:

a) Descrever a natureza da violao de dados pessoais incluindo, se possvel e adequado, as categorias e nmero
aproximados de titulares dos dados afetados, bem como as categorias e o nmero aproximado de registos de dados
pessoais em causa;

b) Comunicar o nome e os contactos do encarregado da proteo de dados ou de outro ponto de contacto onde
possam ser obtidas informaes adicionais;

c) Descrever as consequncias provveis da violao de dados pessoais;

d) Descrever as medidas adotadas ou propostas pelo responsvel pelo tratamento para reparar a violao de dados
pessoais, inclusive, se for caso disso, para atenuar os seus eventuais efeitos negativos.

4. Caso, e na medida em que, no seja possvel fornecer as informaes ao mesmo tempo, estas podem ser fornecidas
por fases sem demora injustificada.

5. Os Estados-Membros preveem que o responsvel pelo tratamento documente qualquer violao de dados pessoais
referida no n.o 1, compreendendo os factos relacionados com a violao de dados pessoais, os seus efeitos e as medidas
de reparao adotadas. Essa documentao deve permitir autoridade de controlo verificar o cumprimento do disposto
no presente artigo.

6. Os Estados-Membros preveem que, caso a violao de dados pessoais envolva dados pessoais que tenham sido
transmitidos pelo ou ao responsvel pelo tratamento de outro Estado-Membro, as informaes referidas no n.o 3 sejam
comunicadas sem demora injustificada ao responsvel pelo tratamento deste ltimo Estado-Membro.

Artigo 31.o

Comunicao de uma violao de dados pessoais ao titular dos dados

1. Os Estados-Membros preveem que, quando a violao dos dados pessoais for suscetvel de resultar num elevado
risco para os direitos e liberdades das pessoas singulares, o responsvel pelo tratamento comunique a violao de dados
pessoais ao titular dos dados sem demora injustificada.

2. A comunicao ao titular dos dados referida no n.o 1 do presente artigo descreve numa linguagem clara e simples
a natureza da violao dos dados pessoais e inclui, pelo menos, as informaes e as medidas referidas no artigo 30.o,
n.o 3, alneas b), c) e d).

3. A comunicao ao titular dos dados referida no n.o 1 no exigida se:

a) O responsvel pelo tratamento de dados tiver aplicado medidas de proteo adequadas, tanto tecnolgicas como
organizativas, e essas medidas tiverem sido aplicadas aos dados afetados pela violao de dados pessoais,
especialmente medidas que tornem os dados pessoais incompreensveis para qualquer pessoa no autorizada a aceder
a esses dados, como, por exemplo, a cifragem; ou

b) O responsvel pelo tratamento de dados tiver tomado medidas subsequentes capazes de assegurar que a ocorrncia
de elevado risco para os direitos e liberdades dos titulares referida no n.o 1 deixou de ser provvel; ou

c) Implicar um esforo desproporcionado. Nesse caso, feita uma comunicao pblica ou tomada uma medida
semelhante atravs da qual os titulares dos dados so informados de forma igualmente eficaz.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/119

4. Se o responsvel pelo tratamento no tiver j comunicado a violao de dados pessoais ao titular dos dados, a
autoridade de controlo, tendo considerado a probabilidade de a violao de dados pessoais resultar num elevado risco,
pode exigir que o referido responsvel proceda a essa notificao, ou pode decidir que se encontra preenchida uma das
condies referidas no n.o 3.

5. A comunicao ao titular dos dados referida no n.o 1 do presente artigo pode ser adiada, limitada ou omitida sob
reserva das condies e pelos motivos enunciados no artigo 13.o, n.o 3.

Se c o 3
E nc ar re ga d o da p r ot e o d e d ad o s

Artigo 32.o

Designao do encarregado da proteo de dados

1. Os Estados-Membros preveem que o responsvel pelo tratamento designe um encarregado da proteo de dados.
Os Estados-Membros podem isentar dessa obrigao os tribunais e outras autoridades judiciais independentes no
exerccio da sua funo jurisdicional.

2. O encarregado da proteo de dados designado com base nas suas qualidades profissionais e, em especial, nos
seus conhecimentos especializados no domnio da legislao e prticas de proteo de dados, bem como na sua
capacidade para desempenhar as funes referidas no artigo 34.o.

3. Pode ser designado um nico encarregado da proteo de dados para vrias autoridades competentes, tendo em
conta a sua dimenso e estrutura organizativa.

4. Os Estados-Membros preveem que o responsvel pelo tratamento dos dados publique os contactos do encarregado
da proteo de dados e os comunique autoridade de controlo.

Artigo 33.o

Cargo de encarregado da proteo de dados

1. Os Estados-Membros preveem que o responsvel pelo tratamento assegure que o encarregado da proteo de
dados seja envolvido, de forma adequada e em tempo til, em todas as questes relacionadas com a proteo de dados
pessoais.

2. O responsvel pelo tratamento dos dados apoia o encarregado da proteo de dados no desempenho das funes a
que se refere o artigo 34.o, fornecendo-lhe os recursos necessrios para o efeito e para a manuteno dos seus conheci
mentos, e dando-lhe acesso aos dados pessoais e s operaes de tratamento.

Artigo 34.o

Funes do encarregado da proteo de dados

Os Estados-Membros preveem que o responsvel pelo tratamento confie ao encarregado da proteo de dados, pelo
menos, as seguintes funes:
a) Informar e aconselhar o responsvel pelo tratamento dos dados e os empregados que efetuem o tratamento quanto
s obrigaes que lhes incumbem por fora da presente diretiva e a outras disposies da Unio ou dos Estados-
-Membros de proteo de dados;
b) Fiscalizar a conformidade com a presente diretiva, com outras disposies da Unio ou dos Estados-Membros de
proteo de dados e com as polticas do responsvel pelo tratamento de dados em matria de proteo de dados
pessoais, incluindo a repartio de responsabilidades, a sensibilizao e formao do pessoal implicado nas operaes
de tratamento de dados e as auditorias correspondentes;
c) Prestar aconselhamento, quando tal lhe for solicitado, no que respeita avaliao de impacto sobre a proteo de
dados e controlar a sua realizao nos termos do artigo 27.o;
d) Cooperar com a autoridade de controlo;
e) Ponto de contacto para a autoridade de controlo em assuntos relacionados com o tratamento, incluindo a consulta
prvia referida no artigo 28.o, e aconselhar esta autoridade, se for caso disso, sobre qualquer outro assunto.
L 119/120 PT Jornal Oficial da Unio Europeia 4.5.2016

CAPTULO V

Transferncias de dados pessoais para pases terceiros ou organizaes internacionais

Artigo 35.o

Princpios gerais das transferncias de dados pessoais

1. Os Estados-Membros preveem que qualquer transferncia, por parte das autoridades competentes, de dados
pessoais que sejam ou se destinem a ser objeto de tratamento aps transferncia para um pas terceiro ou uma
organizao internacional, inclusivamente que se destinem a transferncias ulteriores para outro pas terceiro ou outra
organizao internacional, s possa ser efetuada nos termos das disposies nacionais adotadas por fora de outras
disposies da presente diretiva, se forem preenchidas as condies previstas neste captulo, a saber:

a) A transferncia se necessria para a consecuo das finalidades estabelecidas no artigo 1.o, n.o 1;

b) Os dados pessoais serem transferidos para um responsvel pelo tratamento no pas terceiro ou na organizao
internacional que seja uma autoridade competente para as finalidades referidas no artigo 1.o, n.o 1;

c) Caso os dados pessoais sejam transmitidos ou disponibilizados por outro Estado-Membro, esse Estado ter dado o seu
consentimento prvio transferncia nos termos do seu direito nacional;

d) A Comisso ter adotado uma deciso de adequao nos termos do artigo 36.o ou, na falta dessa deciso de
adequao, terem sido apresentadas ou existirem garantias adequadas nos termos do artigo 37.o, ou, na falta de
deciso de adequao nos termos do artigo 36.o ou de garantias adequadas nos termos do artigo 37.o, se forem
aplicveis derrogaes a situaes especficas nos termos do artigo 38.o; e

e) No caso de uma transferncia ulterior para um pas terceiro ou uma organizao internacional, a autoridade
competente que realizou a transferncia inicial, ou outra autoridade competente do mesmo Estado-Membro, autorizar
a transferncia ulterior aps ter em conta todos os fatores pertinentes, incluindo a gravidade da infrao penal, a
finalidade para que os dados pessoais foram transferidos inicialmente e o nvel de proteo dos dados pessoais no
pas terceiro ou na organizao internacional para os quais os dados pessoais so ulteriormente transferidos.

2. Os Estados-Membros preveem que as transferncias sem consentimento prvio de outro Estado-Membro nos
termos do n.o 1, alnea c), s sejam permitidas se a transferncia de dados pessoais for necessria para prevenir uma
ameaa imediata e grave segurana pblica de um Estado-Membro ou de um pas terceiro ou aos interesses essenciais
de um Estado-Membro e o consentimento prvio no puder ser obtido em tempo til. A autoridade responsvel por dar
o consentimento prvio informada sem demora.

3. Todas as disposies do presente captulo so aplicadas de forma a assegurar que no fique comprometido o nvel
de proteo das pessoas singulares assegurado pela presente diretiva.

Artigo 36.o

Transferncias com base numa deciso de adequao

1. Os Estados-Membros preveem que uma transferncia de dados pessoais para um pas terceiro ou uma organizao
internacional possa ser efetuada se a Comisso tiver determinado que o pas terceiro, um territrio ou um ou mais
setores especficos desse pas terceiro, ou a organizao internacional em causa, assegura um nvel de proteo
adequado. Esta transferncia no exige autorizao especfica.

2. Ao avaliar a adequao do nvel de proteo, a Comisso tem particularmente em conta os seguintes elementos:

a) O primado do Estado de direito, o respeito pelos direitos humanos e liberdades fundamentais, a legislao pertinente
em vigor, tanto a geral como a setorial, nomeadamente em matria de segurana pblica, defesa, segurana nacional
e direito penal, e respeitante ao acesso das autoridades pblicas a dados pessoais, bem como a aplicao desta
legislao, das regras de proteo de dados, das regras profissionais e das medidas de segurana relativas proteo
de dados, incluindo as regras para transferncia ulterior de dados pessoais para outro pas terceiro ou organizao
internacional, que so cumpridas nesse pas ou por essa organizao internacional, e a jurisprudncia, bem como os
direitos dos titulares dos dados efetivos e oponveis, e meios efetivos de recurso administrativo e judicial para os
titulares dos dados cujos dados pessoais sejam objeto de transferncia;

b) A existncia e o funcionamento efetivo de uma ou mais autoridades de controlo independentes no pas terceiro ou s
quais esteja sujeita uma organizao internacional, responsveis por assegurar e fazer cumprir as regras de proteo
de dados e dotadas de poderes sancionatrios adequados para assistir e aconselhar os titulares dos dados no exerccio
dos seus direitos, e por cooperar com as autoridades de controlo dos Estados-Membros; e
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/121

c) Os compromissos internacionais assumidos pelo pas terceiro ou pela organizao internacional em causa, ou outras
obrigaes decorrentes de convenes ou instrumentos juridicamente vinculativos, bem como da sua participao em
sistemas multilaterais ou regionais, em especial em relao proteo de dados pessoais.

3. Uma vez avaliada a adequao do nvel de proteo, a Comisso pode decidir, por meio de um ato de execuo,
que um pas terceiro, um territrio, um ou mais setores especficos desse pas terceiro, ou uma organizao interna
cional, assegura um nvel de proteo adequado na aceo do n.o 2 do presente artigo. O ato de execuo prev um
processo de avaliao peridica, no mnimo de quatro em quatro anos, que dever ter em conta todos os desenvolvi
mentos pertinentes no pas terceiro ou na organizao internacional. O ato de execuo especifica o mbito de aplicao
territorial e setorial e, se existir, identifica a autoridade ou autoridades de controlo a que se refere o n.o 2, alnea b) do
presente artigo. O ato de execuo adotado pelo procedimento de exame a que se refere o artigo 58.o, n.o 2.

4. A Comisso controla, de forma continuada, os desenvolvimentos nos pases terceiros e nas organizaes interna
cionais que possam afetar o funcionamento das decises adotadas nos termos do n.o 3.

5. A Comisso, sempre que a informao disponvel revelar, nomeadamente na sequncia da reviso a que se refere o
n.o 3 do presente artigo, que um pas terceiro, um territrio ou um ou mais setores especficos de um pas terceiro, ou
uma organizao internacional, deixou de assegurar um nvel de proteo adequado na aceo do n.o 2 do presente
artigo, na medida do necessrio, revoga, altera ou suspende a deciso referida no n.o 3 do presente artigo, por meio de
atos de execuo sem efeitos retroativos. Esses atos de execuo so adotados pelo procedimento de exame a que se
refere o artigo 58.o, n.o 2.

Por imperativos de urgncia devidamente justificados, a Comisso adota atos de execuo imediatamente aplicveis pelo
procedimento a que se refere o artigo 58.o, n.o 3.

6. A Comisso inicia consultas com o pas terceiro ou a organizao internacional com vista a remediar a situao
que tiver dado origem deciso adotada nos termos do n.o 5.

7. Os Estados-Membros preveem que as decises adotadas nos termos do n.o 5 no prejudicam as transferncias de
dados pessoais para o pas terceiro, o territrio ou o setor especfico desse pas terceiro, ou para a organizao interna
cional em causa, nos termos dos artigos 37.o e 38.o.

8. A Comisso publica no Jornal Oficial da Unio Europeia e no seu stio web uma lista dos pases terceiros, territrios e
setores especficos de um pas terceiro e de organizaes internacionais relativamente aos quais tenha declarado,
mediante deciso, se asseguram ou no um nvel de proteo adequado.

Artigo 37.o

Transferncias sujeitas a garantias adequadas

1. Na falta de uma deciso nos termos do artigo 36.o, n.o 3, os Estados-Membros preveem a possibilidade de se
transferirem dados pessoais para um pas terceiro ou organizao internacional se:

a) Tiverem sido apresentadas garantias adequadas no que diz respeito proteo de dados pessoais mediante um
instrumento juridicamente vinculativo; ou

b) O responsvel pelo tratamento de dados tiver avaliado todas as circunstncias inerentes transferncia de dados
pessoais e concludo que existem garantias adequadas r no que diz respeito proteo desses dados.

2. O responsvel pelo tratamento informa a autoridade de controlo sobre as categorias de transferncias abrangidas
pelo n.o 1, alnea b).

3. As transferncias baseadas no n.o 1, alnea b), so documentadas, devendo a documentao ser disponibilizada
autoridade de controlo, a pedido desta, incluindo a data e hora da transferncia, informaes acerca da autoridade
competente que as recebe, a justificao da transferncia e os dados pessoais transferidos.
L 119/122 PT Jornal Oficial da Unio Europeia 4.5.2016

Artigo 38.o

Derrogaes aplicveis a situaes especficas

1. Na falta de uma deciso de adequao nos termos do artigo 36.o ou de garantias adequadas nos termos do
artigo 37.o, os Estados-Membros preveem que s se possa efetuar uma transferncia ou uma categoria de transferncias
de dados pessoais para um pas terceiro ou uma organizao internacional se a transferncia for necessria:

a) Para proteger os interesses vitais do titular dos dados ou de outra pessoa;

b) Para salvaguardar os legtimos interesses do titular dos dados caso a legislao do Estado-Membro que transfere os
dados pessoais o preveja;

c) Para prevenir uma ameaa imediata e grave contra a segurana pblica de um Estado-Membro ou de um pas
terceiro;

d) Em determinados casos, para a consecuo das finalidades estabelecidas no artigo 1.o, n.o 1; ou

e) Num dado caso, para declarar, exercer ou defender num processo judicial um direito relacionado com as finalidades
estabelecidas no artigo 1.o, n.o 1.

2. Os dados pessoais no so transferidos se a autoridade competente que procede transferncia determinar que,
aquando da transferncia referida no n.o 1, alneas d) e e), os direitos e liberdades fundamentais do titular dos dados em
causa primam sobre o interesse pblico.

3. As transferncias baseadas no n.o 1 so documentadas, devendo a documentao ser disponibilizada autoridade

de controlo, a pedido desta, incluindo a data e hora da transferncia, informaes acerca da autoridade competente que
as recebe, a justificao da transferncia e os dados pessoais transferidos.

Artigo 39.o

Transferncias de dados pessoais para destinatrios estabelecidos em pases terceiros

1. Em derrogao do artigo 35.o, n.o 1, alnea b), e sem prejuzo de qualquer acordo internacional referido no n.o 2
do presente artigo, o direito da Unio ou dos Estados-Membros pode prever a possibilidade de, em determinados casos
especficos, as autoridades competentes referidas no artigo 3.o, ponto 7), alnea a), transferirem dados pessoais
diretamente para destinatrios estabelecidos em pases terceiros unicamente no caso de serem cumpridas as demais
disposies da presente diretiva e preenchidas todas as seguintes condies:

a) A transferncia estritamente necessria a uma funo desempenhada pela autoridade competente que efetua a
transferncia e prevista pelo direito da Unio ou dos Estados-Membros tendo em vista a consecuo das finalidades
estabelecidas no artigo 1.o, n.o 1;

b) A autoridade competente que efetua a transferncia determina que nenhum direito ou liberdade fundamental do
titular dos dados em causa prevalece sobre o interesse pblico que exige a transferncia no caso em apreo;

c) A autoridade competente que efetua a transferncia considera que a transferncia para uma autoridade que
competente para os efeitos referidos no artigo 1.o, n.o 1, no pas terceiro se revela ineficaz ou desadequada,
nomeadamente por no ser possvel efetu-la em tempo til;

d) A autoridade que competente para os efeitos referidos no artigo 1.o, n.o 1, no pas terceiro informada sem demora
injustificada, a menos que tal se revele ineficaz ou inadequado; e

e) A autoridade competente que efetua a transferncia informa o destinatrio da finalidade ou finalidades especficas
para as quais o destinatrio apenas pode tratar os dados pessoais, desde que o tratamento seja necessrio.

2. Por acordo internacional a que se refere o n.o 1 entende-se um acordo internacional bilateral ou multilateral em
vigor entre os Estados-Membros e pases terceiros no domnio da cooperao judiciria em matria penal e da
cooperao policial.

3. A autoridade competente que efetua a transferncia informa a autoridade de controlo sobre as transferncias
abrangidas pelo presente artigo.

4. As transferncias efetuadas nos termos do n.o 1 devem ser documentadas.

4.5.2016 PT Jornal Oficial da Unio Europeia L 119/123

Artigo 40.o

Cooperao internacional no domnio da proteo de dados pessoais

Em relao a pases terceiros e a organizaes internacionais, a Comisso e os Estados-Membros adotam as medidas

necessrias destinadas a:
a) Estabelecer procedimentos internacionais de cooperao destinados a facilitar a aplicao efetiva da legislao em
matria de proteo de dados pessoais;
b) Prestar assistncia mtua a nvel internacional no domnio da aplicao da legislao de proteo de dados pessoais,
nomeadamente atravs da notificao, transmisso das reclamaes, assistncia na investigao e intercmbio de
informaes, sob reserva das garantias adequadas para a proteo dos dados pessoais e outros direitos e liberdades
fundamentais;
c) Associar as partes interessadas aos debates e atividades que visem promover a cooperao internacional no mbito da
aplicao da legislao relativa proteo de dados pessoais;
d) Promover o intercmbio e a documentao da legislao e das prticas em matria de proteo de dados pessoais,
inclusive sobre conflitos jurisdicionais com pases terceiros.

CAPTULO VI

Autoridades de controlo independentes

S ec o 1
Es t a tuto ind ep e nde nte

Artigo 41.o

Autoridade de controlo

1. Cada Estado-Membro prev que cabe a uma ou mais autoridades pblicas independentes a responsabilidade pela
fiscalizao da aplicao da presente diretiva, a fim de proteger os direitos e liberdades fundamentais das pessoas
singulares relativamente ao tratamento e de facilitar a livre circulao desses dados na Unio (autoridade de controlo).

2. Cada autoridade de controlo contribui para a aplicao coerente da presente diretiva em toda a Unio. Para esse
efeito, as autoridades de controlo cooperam entre si e com a Comisso nos termos do Captulo VII.

3. Os Estados-Membros podem prever que uma autoridade de controlo criada pelo Regulamento (UE) 2016/679 seja
a autoridade de controlo a que se refere a presente diretiva e assuma as funes de autoridade de controlo a definir nos
termos do n.o 1 do presente artigo.

4. Se for criada mais do que uma autoridade de controlo num Estado-Membro, o Estado-Membro em questo designa
a autoridade de controlo que representa as demais no Comit a que se refere o artigo 51.o.

Artigo 42.o

Independncia

1. Os Estados-Membros preveem que cada autoridade de controlo aja com total independncia no exerccio das suas
atribuies e dos poderes que lhe forem atribudos nos termos da presente diretiva.

2. Os Estados-Membros preveem que os membros das autoridades de controlo, no desempenho das suas funes e
no exerccio dos poderes nos termos da presente diretiva, no estejam sujeitos a influncias externas, diretas ou
indiretas, e no solicitem nem recebam instrues de outrem.

3. Os membros das autoridades de controlo dos Estados-Membros abstm-se de qualquer ato incompatvel com as
suas funes e, durante o seu mandato, no podem desempenhar qualquer atividade profissional incompatvel,
remunerada ou no.

4. Os Estados-Membros asseguram que as suas autoridades de controlo disponham dos recursos humanos, tcnicos e
financeiros, instalaes e infraestruturas necessrios ao exerccio eficaz das suas atribuies e dos seus poderes, designa
damente no contexto da assistncia mtua, da cooperao e da participao no Comit.
L 119/124 PT Jornal Oficial da Unio Europeia 4.5.2016

5. Os Estados-Membros asseguram que as suas autoridades de controlo escolham e disponham do seu prprio
pessoal, que ficar sob a direo exclusiva dos membros da autoridade de controlo interessadas.

6. Os Estados-Membros asseguram que as suas autoridades de controlo fiquem sujeitas a um controlo financeiro que
no afete a sua independncia e que disponham de oramentos anuais separados e pblicos, que podero estar
integrados no oramento geral do Estado ou no oramento nacional.

Artigo 43.o

Condies gerais aplicveis aos membros da autoridade de controlo

1. Os Estados-Membros preveem que cada membro das respetivas autoridades de controlo seja nomeado por
procedimento transparente:

pelo Parlamento,

pelo Governo,

pelo Chefe de Estado, ou

por um organismo independente incumbido da nomeao nos termos do direito do Estado-Membro.

2. Cada membro possui as habilitaes, a experincia e os conhecimentos tcnicos necessrios, nomeadamente no

domnio da proteo de dados pessoais, ao desempenho das suas funes e ao exerccio dos seus poderes.

3. As funes de membro da autoridade de controlo cessam findo o seu mandato, com a sua exonerao ou
aposentao compulsiva, nos termos do direito do Estado-Membro em causa.

4. Um membro pode ser exonerado apenas se tiver cometido uma falta grave ou se tiver deixado de cumprir os
requisitos previstos para o exerccio das suas funes.

Artigo 44.o

Regras aplicveis criao da autoridade de controlo

1. Cada Estado-Membro estabelece por lei:

a) A criao da respetiva autoridade de controlo;

b) As qualificaes e condies de elegibilidade necessrias para a nomeao dos membros da respetiva autoridade de
controlo;

c) As regras e procedimentos aplicveis nomeao dos membros da respetiva autoridade de controlo;

d) A durao do mandato dos membros da respetiva autoridade de controlo, que no deve ser inferior a quatro anos,
salvo no caso do primeiro mandato aps 6 de maio de 2016, que pode ser mais curta caso seja necessrio preservar
a independncia da autoridade de controlo atravs de um procedimento de nomeaes escalonadas;

e) Se for caso disso, o nmero mximo, de mandatos dos membros da respetiva autoridade de controlo;

f) As condies que regem as obrigaes dos membros e do pessoal da respetiva autoridade de controlo, a proibio
das aes, funes e benefcios que com elas so incompatveis durante o mandato e aps o seu termo e as normas
que regem a cessao da relao de trabalho.

2. Os membros e o pessoal de cada autoridade de controlo ficam sujeitos, nos termos do direito da Unio ou dos
Estados-Membros, obrigao de sigilo profissional, tanto durante o seu mandato como aps o seu termo, no que
respeita a quaisquer informaes confidenciais a que tenham tido acesso no desempenho das suas funes ou no
exerccio dos seus poderes. Durante o seu mandato, essa obrigao de sigilo profissional aplica-se, em especial,
comunicao por pessoas singulares das violaes da presente diretiva.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/125

S ec o 2

Co mpe t ncia , at r ibu i e s e p o de re s

Artigo 45.o

Competncia

1. Os Estados-Membros preveem que a respetiva autoridade de controlo seja competente para, no respetivo territrio,
exercer as atribuies e os poderes que lhe so conferidos pela presente diretiva.

2. Os Estados-Membros preveem que a respetiva autoridade de controlo no seja responsvel pela superviso de
operaes de tratamento efetuadas pelos tribunais no exerccio da sua funo jurisdicional. Os Estados-Membros podem
estabelecer que a respetiva autoridade de controlo no tenha competncia para supervisionar operaes de tratamento
efetuadas por outras autoridades judiciais independentes no exerccio da sua funo jurisdicional

Artigo 46.o

Atribuies

1. Os Estados-Membros preveem que, no territrio respetivo, cada autoridade de controlo:

a) Fiscalize e faa aplicar a presente diretiva e as suas medidas de execuo;

b) Promova a sensibilizao e a compreenso do pblico relativamente aos riscos, regras, garantias e direitos associados
ao tratamento;

c) Aconselhe, nos termos do direito do Estado-Membro, o Parlamento nacional, o Governo e outras instituies e
organismos quanto s medidas legislativas e administrativas relacionadas com a proteo dos direitos e liberdades das
pessoas singulares em matria de tratamento;

d) Promova a sensibilizao dos responsveis pelo tratamento e dos subcontratantes para as obrigaes que lhes
incumbem nos termos da presente diretiva;

e) Se tal lhe for solicitado, preste informaes a qualquer titular de dados sobre o exerccio dos seus direitos nos termos
da presente diretiva e, se adequado, coopere para esse efeito com as autoridades de controlo de outros Estados-
-Membros;

f) Trate de reclamaes apresentadas pelos titulares de dados ou por um organismo, organizao ou associao, nos
termos do artigo 55.o, e investigue, na medida do necessrio, o contedo da reclamao, informando o autor da
reclamao do andamento e do resultado da investigao num prazo razovel, especialmente se forem necessrias
operaes de investigao ou de coordenao complementares com outra autoridade de controlo;

g) Verifique a licitude do tratamento nos termos do artigo 17.o e, num prazo razovel, informe o respetivo titular do
resultado da verificao, conforme previsto no n.o 3 desse artigo, ou dos motivos que impediram a sua realizao;

h) Coopere, nomeadamente partilhando informaes, e preste assistncia mtua a outras autoridades de controlo, tendo
em vista assegurar a coerncia da aplicao e da execuo da presente diretiva;

i) Conduza investigaes sobre a aplicao da presente diretiva, nomeadamente com base em informaes recebidas de
outra autoridade de controlo ou outra autoridade pblica;

j) Acompanhe factos novos relevantes na medida em que tenham incidncia na proteo de dados pessoais, particu
larmente a evoluo a nvel das tecnologias da informao e comunicao;

k) Preste aconselhamento sobre as operaes de tratamento referidas no artigo 28.o;

l) Contribua para as atividades do Comit.

2. As autoridades de controlo facilitam a apresentao das reclamaes previstas no n.o 1, alnea f), tomando certas
medidas, como, por exemplo, fornecer formulrios para apresentao de reclamaes que possam tambm ser
preenchidos eletronicamente, sem excluir outros meios de comunicao.
L 119/126 PT Jornal Oficial da Unio Europeia 4.5.2016

3. O exerccio das atribuies de cada autoridade de controlo gratuito para o titular dos dados e para o encarregado
da proteo de dados.

4. Caso os pedidos sejam manifestamente infundados ou excessivos, particularmente devido ao seu carter recorrente,
a autoridade de controlo pode exigir o pagamento de uma taxa razovel, com base nos custos administrativos, ou
indeferi-los. Cabe autoridade de controlo demonstrar o carter manifestamente infundado ou excessivo do pedido.

Artigo 47.o

Poderes

1. Cada Estado-Membro prev, por lei, que a sua autoridade de controlo detenha poderes de investigao efetivos.
Esses poderes incluem, pelo menos, o poder de obter do responsvel pelo tratamento de dados e do subcontratante
autorizao de acesso a todos os dados pessoais objeto de tratamento e a todas as informaes necessrias ao exerccio
das suas atribuies.

2. Cada Estado-Membro prev, por lei, que a sua autoridade de controlo tenha poderes de correo efetivos, como,
por exemplo:

a) Advertir o responsvel pelo tratamento de dados ou o subcontratante de que as operaes de tratamento previstas
so suscetveis de violar as disposies adotadas por fora da presente diretiva;

b) Ordenar ao responsvel pelo tratamento de dados ou ao subcontratante que, na medida do necessrio, proceda por
forma a que as operaes de tratamento cumpram as disposies adotadas por fora da presente diretiva, de
determinada forma e num prazo determinado; em especial, ordenar a retificao ou apagamento dos dados pessoais
ou a limitao tratamento nos termos do artigo 16.o;

c) Impor uma limitao temporria ou definitiva, inclusive uma proibio, ao tratamento.

3. Cada Estado-Membro prev, por lei, que a sua autoridade de controlo tenha poderes consultivos efetivos para
aconselhar o responsvel pelo tratamento de dados pelo procedimento de consulta prvia previsto no artigo 28.o e
emitir, por iniciativa prpria ou a pedido, pareceres dirigidos ao seu Parlamento nacional, ao seu Governo ou, nos
termos do direito do Estado-Membro, a outras instituies e organismos, bem como ao pblico, sobre qualquer questo
relacionada com a proteo de dados pessoais.

4. O exerccio dos poderes conferidos autoridade de controlo nos termos do presente artigo est sujeito a garantias
adequadas, incluindo o direito ao judicial e a um processo equitativo, previstas no direito da Unio e dos Estados-
-Membros em conformidade com a Carta.

5. Cada Estado-Membro prev, por lei, que a sua autoridade de controlo tenha o poder de apresentar as violaes das
disposies adotadas por fora da presente diretiva ao conhecimento das autoridades judiciais e, se adequado, de intentar
ou de outro modo intervir em processos judiciais, a fim de fazer aplicar as disposies adotadas por fora da presente
diretiva.

Artigo 48.o

Comunicao das violaes

Os Estados-Membros preveem que as autoridades competentes aplicam procedimentos eficazes para incentivar a
comunicao confidencial das violaes da presente diretiva.

Artigo 49.o

Relatrio de atividades

Cada autoridade de controlo elabora um relatrio anual de atividades, que pode incluir uma lista dos tipos de violaes
notificadas e dos tipos de sanes aplicadas. Esses relatrios so apresentados ao Parlamento nacional, ao Governo e s
outras autoridades designadas pelo direito do Estado-Membro. Os relatrio so disponibilizados ao pblico, Comisso
e ao Comit.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/127

CAPTULO VII

Cooperao

Artigo 50.o

Assistncia mtua

1. Os Estados-Membros preveem que as suas autoridades de controlo prestem entre si informaes relevantes e
assistncia mtua a fim de executar e aplicar a presente diretiva de forma coerente, e ponham em prtica medidas para
cooperar eficazmente entre si. A assistncia mtua abrange, em especial, os pedidos de informao e as medidas de
controlo, como os pedidos de consulta, inspeo e investigao.

2. Os Estados-Membros preveem que cada autoridade de controlo tome todas as medidas adequadas para responder
aos pedidos de outra autoridade de controlo sem demora injustificada e, o mais tardar, um ms aps a receo do
pedido. Essas medidas podem incluir, particularmente, a transmisso de informaes teis sobre a conduo de uma
investigao.

3. Os pedidos de assistncia inclui todas as informaes necessrias, nomeadamente a finalidade e os motivos do

pedido. As informaes trocadas s so utilizadas para a finalidade para que tenham sido solicitadas.

4. A autoridade de controlo requerida no pode indeferir um pedido, salvo se:

a) No for competente em razo do objeto do pedido ou das medidas cuja execuo lhe solicitada; ou

b) O deferimento do pedido viole a presente diretiva ou o direito da Unio ou do Estado-Membro ao qual a autoridade
de controlo que recebe o pedido esteja sujeita.

5. A autoridade de controlo requerida informa a autoridade de controlo requerente dos resultados obtidos ou,
consoante o caso, do andamento do pedido ou das medidas tomadas para lhe dar resposta. A autoridade de controlo
requerida deve fundamentar a deciso de indeferir o pedido nos termos do n.o 4.

6. As autoridades de controlo requeridas fornecem, em regra, as informaes solicitadas por outras autoridades de
controlo por meios eletrnicos, utilizando um formato normalizado.

7. As autoridades de controlo requeridas no cobram taxas pelas medidas por elas tomadas por fora de pedidos de
assistncia mtua. As autoridades de controlo podem acordar regras para a indemnizao recproca de despesas
especficas decorrentes da prestao de assistncia mtua em circunstncias excecionais.

8. A Comisso pode especificar, por atos de execuo, o formato e os procedimentos de assistncia mtua referidos
no presente artigo, bem como as regras de intercmbio eletrnico de informaes entre as autoridades de controlo e
entre estas e o Comit. Os referidos atos de execuo so adotados pelo procedimento de exame a que se refere o
artigo 58.o, n.o 2.

Artigo 51.o

Atribuies do Comit

1. O Comit criado pelo Regulamento (UE) 2016/679 exerce as seguintes atribuies no que diz respeito ao
tratamento no mbito de aplicao da presente diretiva:

a) Aconselhar a Comisso em todas as questes relacionadas com a proteo de dados pessoais na Unio,
nomeadamente em qualquer projeto de alterao da presente diretiva;

b) Analisar, por iniciativa prpria ou a pedido de um dos seus membros ou da Comisso, qualquer questo relativa
aplicao da presente diretiva e emitir diretrizes, recomendaes e boas prticas a fim de incentivar a aplicao
coerente da presente diretiva;

c) Elaborar diretrizes dirigidas s autoridades de controlo em matria de aplicao das medidas referidas no artigo 47.o,
n.os 1 e 3;

d) Emitir diretrizes, recomendaes e boas prticas em conformidade com a alnea b) do presente pargrafo, aplicveis
determinao das violaes de dados pessoais e da demora injustificada referidas no artigo 30.o, n.os 1 e 2, e s cir
cunstncias particulares em que um responsvel pelo tratamento ou um subcontratante obrigado a notificar a
violao de dados pessoais;
L 119/128 PT Jornal Oficial da Unio Europeia 4.5.2016

e) Emitir diretrizes, recomendaes e boas prticas em conformidade com a alnea b) do presente pargrafo em relao
s circunstncias em que uma violao de dados pessoais suscetvel de resultar num elevado risco para os direitos e
liberdades das pessoas singulares a que se refere o artigo 31.o, n.o 1;

f) Examinar a aplicao prtica das diretrizes, recomendaes e boas prticas referidas nas alneas b) e c);

g) Dar parecer Comisso tendo em vista avaliar a adequao do nvel de proteo num pas terceiro ou organizao
internacional e tambm avaliar se um pas terceiro, o territrio ou a organizao internacional ou o setor especfico
deixou de garantir um nvel de proteo adequado;

h) Promover a cooperao e o intercmbio bilateral e multilateral efetivo de informaes e melhores prticas entre as
autoridades de controlo;

i) Promover programas de formao comuns e facilitar o intercmbio de pessoal entre autoridades de controlo, bem
como, se necessrio, com as autoridades de controlo de pases terceiros ou organizaes internacionais;

j) Promover o intercmbio de conhecimentos e documentao sobre direito e prticas de proteo de dados com
autoridades de controlo de todo o mundo.

Para efeitos do primeiro pargrafo, da alnea g), a Comisso fornece ao Comit toda a documentao necessria,
incluindo a correspondncia com o governo do pas terceiro, o territrio ou o setor especfico nesse pas terceiro, ou
com a organizao internacional.

2. Se consultar o Comit, a Comisso pode fixar um prazo para tal, tendo em conta a urgncia do assunto.

3. O Comit transmite os seus pareceres, diretrizes, recomendaes e melhores prticas Comisso e ao comit
referido no artigo 58.o, n.o 1, e procede sua publicao.

4. A Comisso informa o Comit das medidas tomadas na sequncia dos pareceres, diretrizes, recomendaes e
melhores prticas por ele emitidos.

CAPTULO VIII

Vias de recurso, responsabilidade e sanes

Artigo 52.o

Direito de apresentar reclamao a uma autoridade de controlo

1. Sem prejuzo de qualquer outra via de recurso administrativo ou judicial, os Estados-Membros preveem que todos
os titulares de dados tm o direito de apresentar reclamao a uma autoridade de controlo nica, se o titular dos dados
considerar que o tratamento dos dados pessoais que lhe diz respeito viola as disposies adotadas por fora da presente
diretiva.

2. Os Estados-Membros preveem que, se a reclamao no for apresentada autoridade de controlo competente nos
termos do artigo 45.o, n.o 1, a autoridade de controlo a que apresentada a transmita, sem demora injustificada,
autoridade de controlo competente. O titular dos dados informado dessa transmisso.

3. Os Estados-Membros preveem que a autoridade de controlo qual a reclamao apresentada preste assistncia
complementar a pedido do titular dos dados.

4. O titular dos dados informado pela autoridade de controlo competente do andamento e do resultado da
reclamao apresentada, nomeadamente da possibilidade de intentar ao judicial nos termos do artigo 53.o.

Artigo 53.o

Direito de intentar ao judicial contra uma autoridade de controlo

1. Sem prejuzo de qualquer outra via de recurso administrativo ou extrajudicial, os Estados-Membros preveem que as
pessoas singulares ou coletivas tenham o direito de intentar ao judicial contra qualquer deciso juridicamente
vinculativa tomada por uma autoridade de controlo que lhes diga respeito.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/129

2. Sem prejuzo de qualquer outra via de recurso administrativo ou extrajudicial, todos os titulares de dados tm o
direito de intentar ao judicial se a autoridade de controlo competente nos termos do artigo 45.o, n.o 1, no atender
reclamao ou no informar o titular dos dados, no prazo de trs meses, do andamento ou do resultado da reclamao
apresentada nos termos do artigo 52.o.

3. Os Estados-Membros preveem que os recursos contra uma autoridade de controlo sejam interpostos nos tribunais
do Estado-Membro em cujo territrio essa autoridade se encontre estabelecida.

Artigo 54.o

Direito de intentar uma ao judicial contra um responsvel pelo tratamento de dados ou um

subcontratante

Sem prejuzo de qualquer via de recurso administrativo ou extrajudicial disponvel, nomeadamente o direito de
apresentar reclamao junto de uma autoridade de controlo nos termos do artigo 52.o, os Estados-Membros preveem
que os titulares dos dados tm o direito de intentar ao judicial se considerarem ter havido violao dos direitos que
lhes assistem nos termos das disposies adotadas por fora da presente diretiva na sequncia de um tratamento dos
seus dados pessoais que no cumpra tais disposies.

Artigo 55.o

Representao dos titulares dos dados

Os Estados-Membros preveem, nos termos do direito processual dos Estados-Membros, que o titular dos dados tem o
direito de mandatar um organismo, organizao ou associao, sem fins lucrativos, devidamente constitudo nos termos
do direito de um Estado-Membro, cujos objetivos estatutrios sejam do interesse pblico e cuja atividade abranja a
proteo dos direitos e liberdades dos titulares de dados no que respeita proteo dos seus dados pessoais, para
apresentar reclamao em seu nome e exercer tambm em seu nome os direitos previstos nos artigos 52.o, 53.o e 54.o.

Artigo 56.o

Direito de indemnizao

Os Estados-Membros preveem que qualquer pessoa que tenha sofrido danos materiais ou morais causados por uma
operao de tratamento ilcito de dados ou por qualquer outro ato que viole as disposies nacionais adotadas por fora
da presente diretiva tem direito a receber do responsvel pelo tratamento de dados ou de qualquer outra autoridade
competente nos termos do direito dos Estados-Membros uma indemnizao pelos danos sofridos.

Artigo 57.o

Sanes

Os Estados-Membros estabelecem regras respeitantes s sanes aplicveis s violaes das disposies adotadas por
fora da presente diretiva e tomam todas as medidas necessrias para assegurar a sua aplicao. As sanes previstas
devem ser eficazes, proporcionadas e dissuasivas.

CAPTULO IX

Atos de execuo

Artigo 58.o

Procedimento de comit

1. A Comisso assistida pelo comit criado pelo artigo 93.o do Regulamento (UE) 2016/679. Esse comit um
comit na aceo do Regulamento (UE) n.o 182/2011.

2. Caso se remeta para o presente nmero, aplica-se o artigo 5.o do Regulamento (UE) n.o 182/2011.

3. Caso se remeta para o presente nmero, aplica-se o artigo 8.o do Regulamento (UE) n.o 182/2011, em conjugao
com o seu artigo 5.o.
L 119/130 PT Jornal Oficial da Unio Europeia 4.5.2016

CAPTULO X

Disposies finais

Artigo 59.o

Revogao da Deciso-Quadro 2008/977/JAI

1. A Deciso-Quadro 2008/977/JAI revogada com efeitos a partir de 6 de maio de 2018.

2. As remisses para a deciso revogada a que se refere o n.o 1 entendem-se como sendo feitas para a presente
diretiva.

Artigo 60.o

Atos jurdicos da Unio em vigor

As disposies especficas de proteo de dados pessoais, previstas em atos jurdicos da Unio adotados antes de
6 de maio de 2016 no domnio da cooperao judiciria em matria penal e da cooperao policial, que regulam o
tratamento entre os Estados-Membros e o acesso das autoridades designadas dos Estados-Membros aos sistemas de
informao criados, por fora dos Tratados, no mbito da presente diretiva mantm-se inalteradas.

Artigo 61.o

Relao com acordos internacionais celebrados anteriormente no domnio da cooperao judiciria

em matria penal e da cooperao policial

Os acordos internacionais que impliquem a transferncia de dados pessoais para pases terceiros ou para organizaes
internacionais, celebrados pelos Estados-Membros antes de 6 de maio de 2016, e que sejam conformes com o direito da
Unio tal como aplicvel antes dessa data, continuam a vigorar at serem alterados, substitudos ou revogados.

Artigo 62.o

Relatrios da Comisso

1. At 6 de maio de 2022 e, posteriormente, de quatro em quatro anos, a Comisso apresenta ao Parlamento

Europeu e ao Conselho um relatrio sobre a avaliao e a reviso da presente diretiva. Os relatrios devem ser tornados
pblicos.

2. No mbito das avaliaes e revises a que se refere o n.o 1, a Comisso examina, em particular, a aplicao e o
funcionamento do Captulo V sobre a transferncia de dados pessoais para pases terceiros ou organizaes interna
cionais, em especial no que diz respeito s decises adotadas nos termos do artigo 36.o, n.o 3, e do artigo 39.o.

3. Para os efeitos dos n.os 1 e 2, a Comisso pode solicitar informaes aos Estados-Membros e s autoridades de
controlo.

4. Ao proceder s avaliaes e revises a que se referem os n.os 1 e 2, a Comisso tem em considerao as posies e
concluses a que tenham chegado o Parlamento Europeu, o Conselho e outros organismos e fontes pertinentes.

5. Se necessrio, a Comisso apresenta propostas adequadas com vista alterao da presente diretiva atendendo, em
especial, evoluo das tecnologias da informao e aos progressos da sociedade da informao e harmonizao de
outros instrumentos jurdicos.

6. At 6 de maio de 2019, a Comisso reexamina outros atos jurdicos adotados pela Unio que regulam o
tratamento pelas autoridades competentes para efeitos do artigo 1.o, n.o 1, designadamente os referidos no artigo 60.o, a
fim de avaliar a necessidade de os harmonizar com a presente diretiva e apresenta, se for caso disso, as propostas
necessrias alterao desses atos de forma a assegurar uma abordagem coerente da proteo de dados pessoais no
mbito da presente diretiva.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/131

Artigo 63.o

Transposio

1. Os Estados-Membros adotam e publicam, at 6 de maio de 2018, as disposies legislativas, regulamentares e

administrativas necessrias para dar cumprimento presente diretiva. Os Estados-Membros comunicam imediatamente
Comisso o texto dessas disposies. Os Estados-Membros aplicam as referidas disposies a partir de 6 de maio
de 2018.

Quando os Estados-Membros adotarem essas disposies, estas incluem uma referncia presente diretiva ou so
acompanhadas dessa referncia aquando da sua publicao oficial. As modalidades dessa referncia so estabelecidas
pelos Estados-Membros.

2. Em derrogao do n.o 1, um Estado-Membro pode estabelecer que, excecionalmente, quando o esforo envolvido
for desproporcionado, os sistemas de tratamento automatizado estabelecidos antes de 6 de maio de 2016 seja tornado
conforme com o artigo 25.o, n.o 1, at 6 de maio de 2023.

3. Em derrogao dos n.os 1 e 2 do presente artigo, um Estado-Membro pode, em circunstncias excecionais, tornar
um sistema de tratamento automatizado, referido no n.o 2 do presente artigo, conforme com o artigo 25.o, n.o 1, num
prazo fixado aps o perodo a que se refere o n.o 2 do presente artigo, caso, de outra forma, sejam causadas graves
dificuldades ao funcionamento desse sistema de tratamento automatizado. O Estado-Membro em causa notifica a
Comisso dos motivos para essas graves dificuldades e dos motivos para o prazo especificado em que tornar esse
particular sistema de tratamento automatizado conforme com o artigo 25.o, n.o 1. O prazo fixado no pode, em caso
algum, ir alm de 6 de maio de 2026.

4. Os Estados-Membros comunicam Comisso o texto das principais disposies de direito interno que adotarem
no domnio abrangido pela presente diretiva.

Artigo 64.o

Entrada em vigor

A presente diretiva entra em vigor no dia seguinte ao da sua publicao no Jornal Oficial da Unio Europeia.

Artigo 65.o

Destinatrios

Os destinatrios da presente diretiva so os Estados-Membros.

Feito em Bruxelas, em 27 de abril de 2016.

Pelo Parlamento Europeu Pelo Conselho

O Presidente A Presidente
M. SCHULZ J.A. HENNIS-PLASSCHAERT
L 119/132 PT Jornal Oficial da Unio Europeia 4.5.2016

DIRETIVA (UE) 2016/681 DO PARLAMENTO EUROPEU E DO CONSELHO

de 27 de abril de 2016
relativa utilizao dos dados dos registos de identificao dos passageiros (PNR) para efeitos de
preveno, deteo, investigao e represso das infraes terroristas e da criminalidade grave

O PARLAMENTO EUROPEU E O CONSELHO DA UNIO EUROPEIA,

Tendo em conta o Tratado sobre o Funcionamento da Unio Europeia, nomeadamente o artigo 82.o, n.o 1, alnea d), e o
artigo 87.o, n.o 2, alnea a),

Tendo em conta a proposta da Comisso Europeia,

Aps transmisso do projeto de ato legislativo aos parlamentos nacionais,

Tendo em conta o parecer do Comit Econmico e Social Europeu (1),

Aps consulta ao Comit das Regies,

Deliberando de acordo com o processo legislativo ordinrio (2),

Considerando o seguinte:

(1) Em 6 de novembro de 2007, a Comisso adotou uma proposta de deciso-quadro do Conselho relativa
utilizao dos dados dos registos de identificao dos passageiros (passenger name record PNR) para fins
policiais. No entanto, com a entrada em vigor do Tratado de Lisboa em 1 de dezembro de 2009, a proposta, que
no fora adotada pelo Conselho at essa data, tornou-se obsoleta.

(2) O Programa de Estocolmo Uma Europa aberta e segura que sirva e proteja os cidados (3) convidou a
Comisso a apresentar uma proposta relativa utilizao de dados PNR para fins de preveno, deteo,
investigao e represso do terrorismo e da criminalidade grave.

(3) Na sua comunicao intitulada Abordagem global relativa transferncia dos dados do registo de identificao
dos passageiros (PNR) para pases terceiros, de 21 de setembro de 2010, a Comisso exps vrios elementos
centrais de uma poltica da Unio neste domnio.

(4) A Diretiva 2004/82/CE do Conselho (4) regula a transmisso antecipada de dados referentes a informaes
prvias sobre passageiros (API advance passenger information) pelas transportadoras areas s autoridades
nacionais competentes, a fim de melhorar os controlos nas fronteiras e combater a imigrao ilegal.

(5) A presente diretiva tem nomeadamente por objetivos garantir a segurana e proteger a vida e a segurana das
pessoas e criar um regime jurdico aplicvel proteo dos dados PNR no que respeita ao seu tratamento pelas
autoridades competentes.

(6) A utilizao eficaz de dados PNR, nomeadamente mediante a sua comparao com vrias bases de dados sobre as
pessoas e os objetos procurados a fim de obter provas e, se for caso disso, detetar cmplices de criminosos e
desmantelar redes criminosas, necessria para prevenir, detetar, investigar e reprimir infraes terroristas e a
criminalidade grave e, assim, reforar a segurana interna.

(7) A avaliao dos dados PNR permite identificar pessoas insuspeitas de envolvimento em infraes terroristas ou
criminalidade grave antes de tal avaliao e que devero ser sujeitas a um controlo mais minucioso pelas

(1) JO C 218 de 23.7.2011, p. 107.

(2) Posio do Parlamento Europeu de 14 de abril de 2016 (ainda no publicada no Jornal Oficial) e deciso do Conselho de 21 de abril
de 2016.
(3) JO C 115 de 4.5.2010, p. 1.
(4) Diretiva 2004/82/CE do Conselho, de 29 de abril de 2004, relativa obrigao de comunicao de dados dos passageiros pelas transpor
tadoras (JO L 261 de 6.8.2004, p. 24).
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/133

autoridades competentes. Atravs da utilizao dos dados PNR possvel fazer face ameaa que representam as
infraes terroristas e a criminalidade grave numa perspetiva diferente da do tratamento de outras categorias de
dados pessoais. Contudo, a fim de assegurar que o tratamento de dados PNR se continua a restringir ao
necessrio, a fixao e a aplicao de critrios de avaliao devero limitar-se a infraes terroristas e crimina
lidade grave para as quais a utilizao de tais critrios seja relevante. Alm disso, os critrios de avaliao devero
ser definidos de modo a reduzir ao mnimo o nmero de pessoas inocentes incorretamente identificadas pelo
sistema.

(8) As transportadoras areas j fazem a recolha e o tratamento dos dados PNR dos seus passageiros para fins
comerciais. A presente diretiva no dever impor s transportadoras areas a obrigao de recolherem ou
conservarem dados adicionais dos passageiros, nem a estes ltimos a obrigao de fornecerem outros dados para
alm dos que j so fornecidos s transportadoras areas.

(9) Algumas transportadoras areas conservam os dados API que recolhem como parte dos dados PNR, enquanto
outras no o fazem. A utilizao dos dados PNR em conjunto com os dados API contribui para ajudar os
Estados-Membros a verificar a identidade dos indivduos, reforando, assim, a utilidade desse resultado para fins
policiais e minimizando o risco de controlar e investigar pessoas inocentes. Importa, pois, garantir que, caso
recolham dados API, as transportadoras areas procedam sua transferncia, independentemente de os
conservarem por meios tcnicos distintos dos utilizados para outros dados PNR.

(10) A fim de prevenir, detetar, investigar e reprimir as infraes terroristas e a criminalidade grave, essencial que
todos os Estados-Membros adotem disposies que prevejam a obrigao de as transportadoras areas que
operam voos extra-UE transferirem os dados PNR que recolham, incluindo os dados API. Os Estados-Membros
devero ter igualmente a possibilidade de alargar esta obrigao s transportadoras areas que operam voos
intra-UE. Essas disposies devero aplicar-se sem prejuzo do disposto na Diretiva 2004/82/CE.

(11) O tratamento de dados pessoais dever ser proporcionado em relao aos objetivos especficos de segurana
visados pela presente diretiva.

(12) A definio de infraes terroristas utilizada na presente diretiva dever ser idntica que consta da Deciso-
-Quadro 2002/475/JAI do Conselho (1). A definio de criminalidade grave dever abranger as categorias de
infraes enumeradas no anexo II da presente diretiva.

(13) Os dados PNR devero ser transferidos para uma nica unidade de informaes de passageiros (UIP) designada
no Estado-Membro em causa, de modo a assegurar a clareza e a reduzir os custos para as transportadoras areas.
A UIP pode ter diversas seces num Estado-Membro, podendo tambm os Estados-Membros criar conjuntamente
uma UIP. Os Estados-Membros devero trocar informaes entre si atravs de redes apropriadas de intercmbio
de informaes, de modo a facilitar a partilha de informaes e a garantir a interoperabilidade.

(14) Caber aos Estados-Membros suportar os custos da utilizao, da conservao e do intercmbio de dados PNR.

(15) Uma lista de dados PNR, a obter por uma UIP, dever ser elaborada com o objetivo de refletir as exigncias
legtimas das autoridades pblicas a fim de prevenirem, detetarem, investigarem e reprimirem as infraes
terroristas ou a criminalidade grave, aumentando assim a segurana interna na Unio e salvaguardando os
direitos fundamentais, nomeadamente o direito privacidade e proteo dos dados pessoais. Para o efeito,
devero ser aplicadas normas exigentes, de acordo com a Carta dos Direitos Fundamentais da Unio Europeia (a
Carta), a Conveno para a Proteo das Pessoas relativamente ao Tratamento Automatizado de Dados de
Carter Pessoal (a Conveno n.o 108) e a Conveno para a Proteo dos Direitos do Homem e das Liberdades
Fundamentais (a CEDH). Essa lista no dever basear-se na raa ou origem tnica, na religio ou nas convices
da pessoa, nem nas suas opinies, polticas ou outras, na sua filiao sindical nem na sua sade, vida ou
orientao sexual. Os dados PNR devero incluir unicamente informaes pormenorizadas sobre as reservas e os
itinerrios do passageiro que permitam s autoridades competentes identificar os passageiros areos que
representem uma ameaa para a segurana interna.

(16) Existem atualmente dois mtodos possveis para a transferncia de dados: o mtodo de transferncia por extrao
(pull), pelo qual as autoridades competentes do Estado-Membro que solicita os dados PNR podem aceder ao
sistema de reservas da transportadora area e extrair uma cpia dos dados PNR requeridos, e o mtodo de
transferncia por exportao (push), pelo qual as transportadoras areas transmitem (exportam) os dados PNR
requeridos para a autoridade que os solicita, o que permite s transportadoras areas manter o controlo sobre os
dados transmitidos. Considera-se que o mtodo de transferncia por exportao (push) proporciona um nvel
mais elevado de proteo dos dados e que dever ser obrigatrio para todas as transportadoras areas.

(1) Deciso-Quadro 2002/475/JAI do Conselho, de 13 de junho de 2002, relativa luta contra o terrorismo (JO L 164 de 22.6.2002, p. 3).
L 119/134 PT Jornal Oficial da Unio Europeia 4.5.2016

(17) A Comisso apoia as orientaes da Organizao da Aviao Civil Internacional (OACI) em matria de dados
PNR. Essas orientaes devero, portanto, servir de base para a adoo de formatos de dados reconhecidos para
as transferncias de dados PNR pelas transportadoras areas para os Estados-Membros. A fim de assegurar
condies uniformes de execuo de tais formatos de dados reconhecidos e dos protocolos relevantes aplicveis
transferncia de dados das transportadoras areas, devero ser atribudas competncias de execuo Comisso.
Essas competncias devero ser exercidas nos termos do Regulamento (UE) n.o 182/2011 do Parlamento Europeu
e do Conselho (1).

(18) Os Estados-Membros devero adotar todas as medidas necessrias para permitir que as transportadoras areas
cumpram as obrigaes que lhes incumbem por fora da presente diretiva. Os Estados-Membros devero
estabelecer sanes efetivas, proporcionadas e dissuasivas, incluindo sanes financeiras, contra as transportadoras
areas que no cumpram as suas obrigaes no que respeita transferncia de dados PNR.

(19) Cada Estado-Membro dever ser responsvel pela avaliao das ameaas potenciais relacionadas com infraes
terroristas e criminalidade grave.

(20) Tendo plenamente em conta o direito proteo dos dados pessoais e no discriminao, no dever ser
tomada qualquer deciso que produza efeitos jurdicos que prejudiquem uma pessoa ou que a afete significati
vamente apenas com base no tratamento automatizado dos dados PNR. Alm disso, nos termos dos artigos 8.o
e 21.o da Carta, nenhuma deciso dessa natureza dever introduzir uma discriminao em razo do sexo, da raa,
da cor ou origem tnica ou social, das caractersticas genticas, da lngua, da religio ou das convices, das
opinies polticas ou outras, da pertena a uma minoria nacional, da riqueza, do nascimento, da deficincia, da
idade ou da orientao sexual. A Comisso dever igualmente ter em conta estes princpios quando proceder ao
reexame da aplicao da presente diretiva.

(21) O resultado do tratamento dos dados PNR no dever, em circunstncia alguma, ser utilizado pelos Estados-
-Membros como motivo para contornar as obrigaes internacionais que lhes incumbem por fora da Conveno
de 28 de julho de 1951 relativa ao Estatuto dos Refugiados conforme alterada pelo Protocolo de 31 de janeiro
de 1967, nem para negar aos requerentes de asilo vias legais seguras e eficazes para aceder ao territrio da Unio
a fim de exercerem o seu direito proteo internacional.

(22) Tendo plenamente em conta os princpios enunciados na recente jurisprudncia do Tribunal de Justia da Unio
Europeia na matria, a aplicao da presente diretiva dever garantir o pleno respeito dos direitos fundamentais,
do direito privacidade e do princpio da proporcionalidade. Dever tambm cumprir efetivamente os objetivos
da necessidade e proporcionalidade a fim de respeitar os interesses gerais reconhecidos pela Unio e atender
necessidade de proteger os direitos e as liberdades de terceiros na luta contra as infraes terroristas e a crimina
lidade grave. A aplicao da presente diretiva dever ser devidamente justificada e devero ser criadas as garantias
necessrias para assegurar a legalidade da conservao, anlise, transferncia ou utilizao de dados PNR.

(23) Os Estados-Membros devero partilhar entre si, e com a Europol, os dados PNR que recebem caso tal seja
considerado necessrio para efeitos de preveno, deteo, investigao ou represso de infraes terroristas ou
da criminalidade grave. Se necessrio, as UIP devero transmitir sem demora o resultado do tratamento dos
dados PNR s UIP de outros Estados-Membros, para efeitos de investigao complementar. As disposies da
presente diretiva devero aplicar-se sem prejuzo da aplicao de outros instrumentos da Unio em matria de
intercmbio de informaes entre as autoridades policiais, outras autoridades responsveis pela aplicao da lei e
autoridades judicirias, incluindo a Deciso 2009/371/JAI do Conselho (2) e a Deciso-Quadro 2006/960/JAI do
Conselho (3). Tal intercmbio de dados PNR dever reger-se pelas disposies em matria de cooperao policial e
judiciria e no atentar contra o elevado nvel de proteo da privacidade e dos dados pessoais exigido pela
Carta, pela Conveno n.o 108 e pela CEDH.

(24) Dever ser garantida a segurana do intercmbio de informaes sobre dados PNR entre os Estados-Membros,
atravs de qualquer dos canais de cooperao existentes entre as respetivas autoridades competentes, e, em
especial, com a Europol, atravs da rede de intercmbio seguro de informaes (SIENA) da Europol.

(1) Regulamento (UE) n.o 182/2011 do Parlamento Europeu e do Conselho, de 16 de fevereiro de 2011, que estabelece as regras e os
princpios gerais relativos aos mecanismos de controlo pelos Estados-Membros do exerccio das competncias de execuo pela
Comisso (JO L 55 de 28.2.2011, p. 13).
(2) Deciso 2009/371/JAI do Conselho, de 6 de abril de 2009, que cria o Servio Europeu de Polcia (Europol) (JO L 121 de 15.5.2009,
p. 37).
(3) Deciso-Quadro 2006/960/JAI do Conselho, de 18 de dezembro de 2006, relativa simplificao do intercmbio de dados e
informaes entre as autoridades de aplicao da lei dos Estados-Membros da Unio Europeia (JO L 386 de 29.12.2006, p. 89).
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/135

(25) O prazo durante ao qual devero ser conservados os dados PNR dever ser to longo quanto necessrio e propor
cionado consecuo dos objetivos de preveno, deteo, investigao e represso das infraes terroristas e da
criminalidade grave. Atendendo natureza dos dados e sua utilizao, necessrio que os dados PNR sejam
conservados durante um prazo suficientemente longo para permitir a realizao de anlises e a sua utilizao no
mbito de investigaes. A fim de evitar uma utilizao desproporcionada, aps o prazo inicial de conservao,
os dados PNR devero ser anonimizados mediante o mascaramento de elementos dos dados. A fim de assegurar
o nvel mais elevado de proteo de dados, o acesso aos dados PNR integrais, que permitem a identificao direta
do seu titular, s dever ser concedido em condies muito estritas e limitadas aps aquele prazo inicial.

(26) Caso tenham sido transferidos dados PNR especficos para uma autoridade competente e estes sejam utilizados
no quadro de determinadas investigaes ou processos penais, o prazo de conservao dos dados por essa
autoridade dever reger-se pelo direito nacional, independentemente dos prazos de conservao dos dados estabe
lecidos na presente diretiva.

(27) Em cada Estado-Membro, o tratamento dos dados PNR pela UIP e pelas autoridades competentes dever estar
sujeito a uma norma de proteo de dados pessoais, prevista pelo direito nacional, que seja conforme com a
Deciso-Quadro 2008/977/JAI do Conselho (1), e com os requisitos especficos em matria de proteo de dados
estabelecidos na presente diretiva. As remisses para a Deciso-Quadro 2008/977/JAI devero ser entendidas
como remisses para a legislao atualmente em vigor e para a legislao que a substitua.

(28) Tendo em conta o direito proteo dos dados pessoais, os direitos dos titulares dos dados no que se refere ao
tratamento dos dados PNR que lhes dizem respeito, nomeadamente os direitos de acesso, retificao, apagamento
ou limitao, e os direitos a indemnizao e a recurso judicial, devero ser conformes com a Deciso-Quadro
2008/977/JAI e com o elevado nvel de proteo conferido pela Carta e pela CEDH.

(29) Tendo em conta o direito que assiste aos passageiros de serem informados do tratamento dos seus dados
pessoais, os Estados-Membros devero assegurar que estes recebem informaes precisas, de fcil acesso e
compreenso, sobre a recolha de dados PNR, a sua transferncia para a UIP e os seus direitos enquanto titulares
dos dados.

(30) A presente diretiva aplicvel sem prejuzo do direito da Unio e nacional sobre o princpio do direito de acesso
do pblico aos documentos oficiais.

(31) As transferncias de dados PNR dos Estados-Membros para pases terceiros s devero ser autorizadas caso a caso
e no pleno respeito das disposies adotadas pelos Estados-Membros em aplicao da Deciso-Quadro
2008/977/JAI. Para assegurar a proteo dos dados pessoais, essas transferncias devero ficar sujeitas a requisitos
adicionais no que respeita finalidade destas. Devero ainda respeitar os princpios da necessidade e da propor
cionalidade, e o elevado nvel de proteo conferido pela Carta e pela CEDH.

(32) As autoridades nacionais de controlo criadas em aplicao da Deciso-Quadro 2008/977/JAI devero ter
igualmente a responsabilidade de prestar aconselhamento e monitorizar a aplicao das disposies adotadas
pelos Estados-Membros em aplicao da presente diretiva.

(33) A presente diretiva no obsta a que os Estados-Membros prevejam, no mbito do respetivo direito nacional, um
sistema de recolha e tratamento dos dados PNR provenientes de operadores econmicos que no sejam as
transportadoras, tais como agncias de viagem e operadores tursticos que prestam servios afins, incluindo a
reserva de voos, para os quais procedem recolha e ao tratamento de dados PNR, ou de fornecedores de servios
de transporte que no sejam os especificados na presente diretiva, desde que esse direito nacional seja conforme
com o acervo da Unio.

(34) A presente diretiva aplicvel sem prejuzo das atuais regras da Unio sobre a forma como so efetuados os
controlos nas fronteiras, nem das regras da Unio que regem a entrada e a sada do territrio da Unio.

(35) Dadas as diferenas jurdicas e tcnicas entre as disposies nacionais aplicveis ao tratamento de dados pessoais,
incluindo dados PNR, as transportadoras areas j so, e continuaro a ser, confrontadas com exigncias
diferentes relativamente ao tipo de informaes a transmitir e s condies em que estas devem ser fornecidas s

(1) Deciso-Quadro 2008/977/JAI do Conselho, de 27 de novembro de 2008, relativa proteo dos dados pessoais tratados no mbito da
cooperao policial e judiciria em matria penal (JO L 350 de 30.12.2008, p. 60).
L 119/136 PT Jornal Oficial da Unio Europeia 4.5.2016

autoridades nacionais competentes. Essas diferenas podem ser prejudiciais cooperao efetiva entre essas
autoridades para efeitos de preveno, deteo, investigao e represso das infraes terroristas e da crimina
lidade grave. Por conseguinte, necessrio prever, a nvel da Unio, um regime jurdico comum para a transfe
rncia e o tratamento de dados PNR.

(36) A presente diretiva respeita os direitos fundamentais e os princpios enunciados na Carta, em especial o direito
proteo de dados pessoais, o direito ao respeito pela vida privada e o direito no discriminao, consagrados
nos artigos 8.o, 7.o e 21.o da mesma, e dever, assim, ser aplicada em conformidade. A presente diretiva
compatvel com os princpios da proteo de dados e as suas disposies so conformes com a Deciso-Quadro
2008/977/JAI. Alm disso, a fim de respeitar o princpio da proporcionalidade, a presente diretiva prev, em
relao a determinadas matrias, normas de proteo de dados mais estritas do que as estabelecidas na Deciso-
-Quadro 2008/977/JAI.

(37) O mbito de aplicao da presente diretiva o mais limitado possvel, uma vez que: prev que os dados PNR
sejam conservados nas UIP durante um prazo no superior a cinco anos, aps o qual tais dados devero ser
apagados; prev que os dados sejam anonimizados mediante mascaramento de elementos de dados aps o
decurso de um prazo inicial de seis meses; e probe recolher e utilizar dados sensveis. A fim de assegurar a
eficcia do sistema e um elevado nvel de proteo dos dados, os Estados-Membros devero garantir que uma
autoridade de controlo independente a nvel nacional e, especificamente, um responsvel pela proteo de dados,
sejam incumbidos de prestar aconselhamento sobre a forma como os dados PNR so tratados e de a monitorizar.
Qualquer tratamento de dados PNR dever ser registado ou documentado para efeitos de verificao da sua
legalidade, autocontrolo e garantia da integridade dos dados e da segurana do seu tratamento. Os Estados-
-Membros devero tambm assegurar que os passageiros sejam informados de forma clara e precisa sobre a
recolha de dados PNR e sobre os seus direitos.

(38) Atendendo a que os objetivos da presente diretiva, a saber, a transferncia de dados PNR pelas transportadoras
areas e o tratamento desses dados para fins de preveno, deteo, investigao e represso das infraes
terroristas e da criminalidade grave, no podem ser suficientemente alcanados pelos Estados-Membros mas
podem ser mais bem alcanados ao nvel da Unio, a Unio pode tomar medidas, em conformidade com o
princpio da subsidiariedade consagrado no artigo 5.o do Tratado da Unio Europeia. Em conformidade com o
princpio da proporcionalidade, consagrado no mesmo artigo, a presente diretiva no excede o necessrio para
alcanar esses objetivos.

(39) Nos termos do artigo 3.o do Protocolo n.o 21 relativo posio do Reino Unido e da Irlanda em relao ao
espao de liberdade, segurana e justia, anexo ao Tratado da Unio Europeia e ao Tratado sobre o Funcionamento
da Unio Europeia, estes Estados-Membros notificaram a sua inteno de participar na adoo e na aplicao da
presente diretiva.

(40) Nos termos dos artigos 1.o e 2.o do Protocolo n.o 22 relativo posio da Dinamarca, anexo ao Tratado da Unio
Europeia e ao Tratado sobre o Funcionamento da Unio Europeia, a Dinamarca no participa na adoo da
presente diretiva e no fica a ela vinculada nem sujeita sua aplicao.

(41) A Autoridade Europeia para a Proteo de Dados foi consultada nos termos do artigo 28.o, n.o 2, do Regulamento
(CE) n.o 45/2001 do Parlamento Europeu e do Conselho (1) e emitiu um parecer em 25 de maro de 2011,

ADOTARAM A PRESENTE DIRETIVA:

CAPTULO I

Disposies gerais

Artigo 1.o

Objeto e mbito de aplicao

1. A presente diretiva prev:

a) A transferncia, pelas transportadoras areas, dos dados dos registos de identificao dos passageiros (PNR) de voos
extra-UE;

b) O tratamento dos dados referidos na alnea a), inclusive a sua recolha, utilizao e conservao pelos Estados-
-Membros, e o respetivo intercmbio entre Estados-Membros.

(1) Regulamento (CE) n.o 45/2001 do Parlamento Europeu e do Conselho, de 18 de dezembro de 2000, relativo proteo das pessoas
singulares no que diz respeito ao tratamento de dados pessoais pelas instituies e pelos rgos comunitrios e livre circulao desses
dados (JO L 8 de 12.1.2001, p. 1).
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/137

2. Os dados PNR recolhidos nos termos da presente diretiva s podem ser tratados para fins de preveno, deteo,
investigao e represso das infraes terroristas e da criminalidade grave, conforme previsto no artigo 6.o, n.o 2,
alneas a), b) e c).

Artigo 2.o

Aplicao da presente diretiva aos voos intra-UE

1. Se decidirem aplicar a presente diretiva aos voos intra-UE, os Estados-Membros notificam a Comisso por escrito.
Os Estados-Membros podem efetuar ou revogar essa notificao a todo o tempo. A Comisso publica essa notificao ou
uma eventual revogao da mesma no Jornal Oficial da Unio Europeia.

2. Caso seja efetuada a notificao a que se refere o n.o 1, todas as disposies da presente diretiva so aplicveis aos
voos intra-UE como se se tratassem de voos extra-UE e aos dados PNR respeitantes aos voos intra-UE como se se
tratassem de dados referentes a voos extra-UE.

3. Os Estados-Membros podem decidir aplicar a presente diretiva apenas a voos intra-UE selecionados. Ao tomarem
essa deciso, selecionam os voos que considerem necessrio a fim de prosseguir os objetivos da presente diretiva. Os
Estados-Membros podem decidir alterar a seleo de voos intra-UE, a todo o tempo.

Artigo 3.o

Definies

Para efeitos da presente diretiva, entende-se por:

1) Transportadora area, uma empresa de transporte areo titular de uma licena de explorao vlida ou equivalente
que lhe permite transportar passageiros por via area;

2) Voo extra-UE, um voo regular ou no regular efetuado por uma transportadora area a partir de um pas terceiro
e programado para aterrar no territrio de um Estado-Membro, ou a partir do territrio de um Estado-Membro e
programado para aterrar num pas terceiro, incluindo, em ambos os casos, os voos com escala no territrio de
Estados-Membros ou de pases terceiros;

3) Voo intra-UE, um voo regular ou no regular efetuado por uma transportadora area a partir do territrio de um
Estado-Membro, programado para aterrar no territrio de um ou mais Estados-Membros, sem escala no territrio
de um pas terceiro;

4) Passageiro, uma pessoa, incluindo pessoas em trnsito ou em correspondncia e excluindo membros da

tripulao, transportada ou a transportar numa aeronave com o consentimento da transportadora area,
decorrendo esse consentimento do registo dessa pessoa na lista de passageiros;

5) Registo de identificao dos passageiros ou PNR (Passenger Name Record), um registo das formalidades de viagem
impostas a cada passageiro que contm as informaes necessrias para permitir o tratamento e o controlo das
reservas feitas pelas transportadoras areas participantes relativamente a cada viagem reservada por uma pessoa ou
em seu nome, quer o registo conste dos sistemas de reserva, dos sistemas de controlo das partidas utilizado para
efetuar o controlo dos passageiros embarcados nos voos, ou de sistemas equivalentes que ofeream as mesmas
funcionalidades;

6) Sistema de reservas, o sistema interno da transportadora area, no qual so recolhidos dados PNR para o
tratamento das reservas;

7) Mtodo de transferncia por exportao, o mtodo atravs do qual as transportadoras areas transferem os dados
PNR enumerados no anexo I para a base de dados da autoridade requerente;
L 119/138 PT Jornal Oficial da Unio Europeia 4.5.2016

8) Infraes terroristas, as infraes definidas no direito nacional a que se referem os artigos 1.o a 4.o da Deciso-
-Quadro 2002/475/JAI;

9) Criminalidade grave, as infraes enumeradas no anexo II punveis com pena ou medida de segurana privativas
de liberdade de durao mxima no inferior a trs anos nos termos do direito nacional de um Estado-Membro;

10) Anonimizar mediante mascaramento de elementos de dados, tornar invisveis para os utilizadores os elementos
dos dados suscetveis de identificar diretamente o seu titular.

CAPTULO II

Responsabilidades dos estados-membros

Artigo 4.o

Unidade de informaes de passageiros

1. Cada Estado-Membro cria ou designa uma autoridade competente para efeitos de preveno, deteo, investigao
ou represso das infraes terroristas e da criminalidade grave, ou cria ou designa uma seco de tal autoridade, para
agir na qualidade da sua unidade de informaes de passageiros (UIP).

2. A UIP responsvel:

a) Pela recolha dos dados PNR junto das transportadoras areas, pela conservao e pelo tratamento desses dados e pela
transferncia desses dados ou dos resultados do seu tratamento s autoridades competentes referidas no artigo 7.o;

b) Pelo intercmbio de dados PNR e dos resultados do seu tratamento com as UIP de outros Estados-Membros e com a
Europol, nos termos dos artigos 9.o e 10.o.

3. Os membros do pessoal das UIP podem ser agentes destacados pelas autoridades competentes. Os Estados-
-Membros dotam as UIP dos recursos adequados para o exerccio das suas funes.

4. Dois ou mais Estados-Membros (Estados-Membros participantes) podem criar ou designar uma nica autoridade
como a sua UIP. Essa UIP fica estabelecida num dos Estados-Membros participantes, e considerada a UIP nacional de
todos os Estados-Membros participantes. Estes determinam de comum acordo as regras pormenorizadas de funcio
namento da UIP, respeitando os requisitos previstos na presente diretiva.

5. Cada Estado-Membro notifica a constituio da sua UIP Comisso no prazo de um ms a contar da mesma e
pode alterar a sua notificao a todo o tempo. A Comisso publica a notificao, bem como as respetivas alteraes, no
Jornal Oficial da Unio Europeia.

Artigo 5.o

Responsvel pela proteo de dados na UIP

1. A UIP nomeia um responsvel pela proteo de dados incumbido de controlar o tratamento dos dados PNR e de
aplicar as salvaguardas relevantes.

2. Os Estados-Membros dotam os responsveis pela proteo de dados dos meios necessrios ao desempenho dos
deveres e das funes que lhes incumbem nos termos do presente artigo, de forma eficaz e independente.

3. Os Estados-Membros asseguram que o titular dos dados tenha o direito de contactar o responsvel pela proteo
de dados, enquanto ponto de contacto nico, para todos os assuntos respeitantes ao tratamento dos dados PNR de que
titular.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/139

Artigo 6.o

Tratamento dos dados PNR

1. Os dados PNR transferidos pelas transportadoras areas so recolhidos pela UIP do Estado-Membro em causa,
conforme previsto no artigo 8.o. Caso os dados PNR transferidos pelas transportadoras areas incluam dados distintos
dos enumerados no anexo I, a UIP apaga imediata e definitivamente esses dados assim que os receber.

2. A UIP procede ao tratamento dos dados PNR exclusivamente para os seguintes fins:

a) Proceder a uma avaliao dos passageiros antes da sua chegada prevista ao Estado-Membro ou da sua partida prevista
desse Estado-Membro, a fim de identificar as pessoas que, pelo facto de poderem estar implicadas numa infrao
terrorista ou numa forma de criminalidade grave, devem ser sujeitas a um controlo mais minucioso pelas autoridades
competentes a que se refere o artigo 7.o e, se for caso disso, pela Europol, nos termos do artigo 10.o;

b) Responder, caso a caso, aos pedidos devidamente fundamentados, baseados em motivos suficientes, apresentados
pelas autoridades competentes, para fornecer e tratar dados PNR, em casos especficos, para efeitos de preveno,
deteo, investigao e represso de infraes terroristas ou da criminalidade grave, e para disponibilizar s
autoridades competentes ou, se for caso disso, Europol os resultados desse tratamento; e

c) Analisar os dados PNR com o objetivo de atualizar ou criar novos critrios a utilizar nas avaliaes realizadas nos
termos do n.o 3, alnea b), a fim de identificar pessoas que possam estar implicadas em infraes terroristas ou em
formas de criminalidade grave.

3. Ao realizar a avaliao a que se refere o n.o 2, alnea a), a UIP pode:

a) Comparar os dados PNR com os que constam das bases de dados relevantes para efeitos de preveno, deteo,
investigao e represso de infraes terroristas e da criminalidade grave, incluindo bases de dados sobre pessoas ou
objetos procurados ou alvo de um alerta, de acordo com as regras da Unio, internacionais e nacionais, aplicveis a
essas bases de dados; ou

b) Proceder ao tratamento dos dados PNR de acordo com critrios pr-estabelecidos.

4. Qualquer avaliao dos passageiros antes da sua chegada prevista ao Estado-Membro ou da sua partida prevista do
Estado-Membro, feita nos termos do n.o 3, alnea b), de acordo com os critrios pr-estabelecidos, realizada de forma
no discriminatria. Os referidos critrios pr-estabelecidos devem ser orientados em funo dos objetivos, propor
cionados e especficos. Os Estados-Membros asseguram que esses critrios sejam fixados e revistos regularmente pelas
UIP, em cooperao com as autoridades competentes a que se refere o artigo 7.o. Esses critrios no podem, em caso
algum, basear-se na raa ou na origem tnica de uma pessoa, nas suas opinies polticas, religio ou convices
filosficas, na sua filiao sindical, na sua sade, vida ou orientao sexual.

5. Os Estados-Membros asseguram que qualquer resultado positivo obtido atravs do tratamento automatizado dos
dados PNR efetuado ao abrigo n.o 2, alnea a), seja verificado individualmente por meios no automatizados, para aferir
se ou no necessrio que a autoridade competente referida no artigo 7.o intervenha, de acordo com o direito nacional.

6. A UIP de um Estado-Membro transmite os dados PNR das pessoas identificadas nos termos do n.o 2, alnea a), ou
os resultados do tratamento desses dados, s autoridades competentes referidas no artigo 7.o desse mesmo Estado-
-Membro, para efeitos de um controlo mais minucioso. Essas transferncias de dados s podem ser feitas caso a caso e,
se houver tratamento automatizado dos dados PNR, aps verificao individual por meios no automatizados.

7. Os Estados-Membros asseguram que o responsvel pela proteo de dados tenha acesso a todos os dados tratados
pela UIP. Se o responsvel pela proteo de dados considerar que o tratamento dos dados no foi efetuado em
conformidade com a lei, pode remeter a questo para a autoridade nacional de controlo.

8. Os dados PNR s podem ser conservados, tratados e analisados pela UIP em local ou locais seguros no territrio
dos Estados-Membros.
L 119/140 PT Jornal Oficial da Unio Europeia 4.5.2016

9. As consequncias das avaliaes dos passageiros, referidas no n.o 2, alnea a), do presente artigo, no pem em
causa o direito das pessoas que gozam do direito de livre circulao da Unio de entrarem no territrio do Estado-
-Membro em causa, tal como estabelecido na Diretiva 2004/38/CE do Parlamento Europeu e do Conselho (1). Alm
disso, quando as avaliaes sejam efetuadas em relao a voos intra-UE operados entre Estados-Membros aos quais seja
aplicvel o Regulamento (CE) n.o 562/2006 do Parlamento Europeu e do Conselho (2), as consequncias de tais
avaliaes devem observar o referido regulamento.

Artigo 7.o

Autoridades competentes

1. Cada Estado-Membro adota uma lista das autoridades competentes habilitadas a solicitar s UIP ou a delas receber
dados PNR ou o resultado do tratamento de tais dados, a fim de analisar mais minuciosamente essas informaes ou de
tomar medidas apropriadas para efeitos de preveno, deteo, investigao e represso das infraes terroristas e da
criminalidade grave.

2. As autoridades referidas no n.o 1 so as autoridades competentes para fins de preveno, deteo, investigao ou
represso das infraes terroristas ou da criminalidade grave.

3. Para efeitos do artigo 9.o, n.o 3, cada Estado-Membro notifica a Comisso da lista das respetivas autoridades
competentes at 25 de maio de 2017, podendo alterar a sua notificao a todo o tempo. A Comisso publica a
notificao, bem como as suas eventuais alteraes, no Jornal Oficial da Unio Europeia.

4. Os dados PNR e o resultado do tratamento de tais dados recebidos pela UIP podem ser objeto de tratamento
ulterior pelas autoridades competentes dos Estados-Membros exclusivamente para efeitos especficos de preveno,
deteo, investigao ou represso das infraes terroristas ou da criminalidade grave.

5. O disposto no n.o 4 aplicvel sem prejuzo das competncias das autoridades policiais ou judicirias nacionais
quando forem detetadas outras infraes ou indcios de outras infraes no decurso de aes repressivas desencadeadas
na sequncia do referido tratamento.

6. As autoridades competentes abstm-se de tomar qualquer deciso que produza efeitos jurdicos adversos para uma
pessoa ou que a afete de forma grave apenas com base no tratamento automatizado dos dados PNR. Tais decises no
podem basear-se na raa ou origem tnica da pessoa, nas suas opinies polticas, religio ou convices filosficas,
filiao sindical nem na sua sade, vida ou orientao sexual.

Artigo 8.o

Obrigaes impostas s transportadoras areas em matria de transferncia de dados

1. Os Estados-Membros adotam as medidas necessrias para assegurar que as transportadoras areas transfiram, pelo
mtodo de exportao, os dados PNR enumerados no anexo I, na medida em que j tenham recolhido esses dados no
exerccio normal das suas atividades, para a base de dados da UIP do Estado-Membro em cujo territrio o voo aterrar
ou do qual descolar. Caso um voo seja explorado por uma ou mais transportadoras areas em regime de partilha de
cdigo, a obrigao de transferir os dados PNR de todos os passageiros do voo cabe transportadora area que o opera.
Caso os voos extra-UE incluam uma ou mais escalas em aeroportos de diferentes Estados-Membros, as transportadoras
areas transferem os dados PNR da totalidade dos passageiros para as UIP de todos os Estados-Membros em causa. O
mesmo se aplica aos voos intra-UE com uma ou mais escalas nos aeroportos de diferentes Estados-Membros, mas s em
relao aos Estados-Membros que recolhem dados PNR de voos intra-UE.

(1) Diretiva 2004/38/CE do Parlamento Europeu e do Conselho, de 29 de abril de 2004, relativa ao direito de livre circulao e residncia
dos cidados da Unio e dos membros das suas famlias no territrio dos Estados-Membros, que altera o Regulamento (CEE) n.o 1612/68
e que revoga as Diretivas 64/221/CEE, 68/360/CEE, 72/194/CEE, 73/148/CEE, 75/34/CEE, 75/35/CEE, 90/364/CEE, 90/365/CEE e
93/96/CEE (JO L 158 de 30.4.2004, p. 77).
(2) Regulamento (CE) n.o 562/2006 do Parlamento Europeu e do Conselho, de 15 de maro de 2006, que estabelece o cdigo comunitrio
relativo ao regime de passagem de pessoas nas fronteiras (Cdigo das Fronteiras Schengen) (JO L 105 de 13.4.2006, p. 1).
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/141

2. Caso as transportadoras areas tenham recolhido dados referentes a informaes prvias sobre passageiros (API)
enumeradas no ponto 18 do anexo I, mas no os conservem pelos mesmos meios tcnicos que os dados PNR, os
Estados-Membros adotam as medidas necessrias para garantir que as transportadoras areas tambm transfiram, pelo
mtodo de exportao, esses dados para a UIP do Estado-Membro a que se refere o n.o 1. Em caso de tal transferncia,
todas as disposies da presente diretiva so aplicveis aos dados API em causa.

3. As transportadoras areas transferem os dados PNR por via eletrnica, utilizando protocolos comuns e formatos
de dados reconhecidos, adotados pelo procedimento de exame a que se refere o artigo 17.o, n.o 2, ou, em caso de avaria
tcnica, por quaisquer outros meios apropriados que assegurem um nvel adequado de segurana dos dados:

a) 24 a 48 horas antes da hora programada da partida do voo; e

b) Imediatamente aps o encerramento do voo, ou seja, logo que os passageiros se encontrem a bordo do avio
preparados para partir e o embarque ou desembarque j no seja possvel.

4. Os Estados-Membros autorizam as transportadoras areas a limitar as transferncias referidas no n.o 3, alnea b), s
atualizaes das transferncias referidas na alnea a) desse nmero.

5. Caso seja necessrio aceder aos dados PNR para dar resposta a uma ameaa especfica e concreta relacionada com
infraes terroristas ou criminalidade grave, as transportadoras areas transmitem os dados PNR noutros momentos que
no os mencionados no n.o 3, caso a caso e mediante pedido apresentado por uma UIP, nos termos do direito nacional.

Artigo 9.o

Intercmbio de informaes entre Estados-Membros

1. Os Estados-Membros asseguram que, no que respeita a pessoas identificadas por uma UIP nos termos do
artigo 6.o, n.o 2, todos os dados PNR relevantes e necessrios, ou o resultado do seu tratamento, sejam transmitidos por
essa UIP s UIP correspondentes dos outros Estados-Membros. Nos termos do artigo 6.o, n.o 6, as UIP dos Estados-
-Membros destinatrios transmitem as informaes recebidas s respetivas autoridades competentes.

2. A UIP de um Estado-Membro tem o direito de solicitar, se necessrio, UIP de qualquer outro Estado-Membro que
lhe fornea dados PNR conservados na sua base de dados e ainda no anonimizados mediante mascaramento de
elementos de dados, nos termos do artigo 12.o, n.o 2, e, se necessrio, tambm o resultado do tratamento desses dados,
se este j tiver sido efetuado nos termos do artigo 6.o, n.o 2, alnea a). Esse pedido devidamente fundamentado e pode
basear-se num elemento de dados ou numa combinao de tais elementos, consoante o que a UIP requerente entenda
como adequado no mbito de um caso especfico de preveno, deteo, investigao ou represso de infraes
terroristas ou de criminalidade grave. As UIP fornecem as informaes requeridas logo que possvel. Caso os dados
solicitados tenham sido anonimizados mediante mascaramento de elementos de dados, nos termos do artigo 12.o, n.o 2,
a UIP s fornece os dados PNR na ntegra se for razovel considerar que tal necessrio para o fim referido no
artigo 6.o, n.o 2, alnea b), e apenas se para tal for autorizada por uma autoridade a que se refere o artigo 12.o, n.o 3,
alnea b).

3. As autoridades competentes de um Estado-Membro s podem solicitar diretamente UIP de qualquer outro

Estado-Membro que lhes fornea dados PNR conservados na sua base de dados se necessrio, em casos de emergncia, e
nas condies previstas no n.o 2. Os pedidos das autoridades competentes devem ser devidamente fundamentados. Deve
ser sempre enviada uma cpia do pedido UIP do Estado-Membro requerente. Em todos os outros casos, as autoridades
competentes encaminham os seus pedidos atravs da UIP do seu prprio Estado-Membro.

4. Em circunstncias excecionais, quando seja necessrio aceder a dados PNR para dar resposta a uma ameaa
especfica e concreta relacionada com infraes terroristas ou com a criminalidade grave, a UIP de um Estado-Membro
tem o direito de solicitar UIP de outro Estado-Membro que obtenha dados PNR, nos termos do artigo 8.o, n.o 5, e os
fornea UIP requerente.

5. O intercmbio de informaes previsto no presente artigo pode ser feito atravs de qualquer canal de cooperao
existente entre as autoridades competentes dos Estados-Membros. A lngua utilizada para o pedido e para o intercmbio
L 119/142 PT Jornal Oficial da Unio Europeia 4.5.2016

de informaes a que for aplicvel ao canal usado. Ao proceder s notificaes nos termos do artigo 4.o, n.o 5, os
Estados-Membros comunicam igualmente Comisso os dados relativos aos pontos de contacto aos quais os pedidos
podem ser enviados em caso de emergncia. A Comisso comunica tais dados aos Estados-Membros.

Artigo 10.o

Condies de acesso da Europol aos dados PNR

1. A Europol est habilitada a solicitar dados PNR ou o resultado do seu tratamento s UIP dos Estados-Membros,
nos limites das suas competncias e para o exerccio das suas funes.

2. A Europol pode apresentar, caso a caso, UIP de qualquer Estado-Membro atravs da sua unidade nacional, um
pedido eletrnico devidamente fundamentado de transmisso de dados PNR especficos ou dos resultados do tratamento
desses dados. A Europol pode apresentar esse pedido quando tal for estritamente necessrio para apoiar e reforar a
ao dos Estados-Membros na preveno, deteo ou investigao de uma infrao terrorista especfica ou uma forma de
criminalidade grave, na medida em que essa infrao ou forma de criminalidade estejam abrangidas pelas competncias
da Europol nos termos da Deciso 2009/371/JAI. Esse pedido fundamentado indica os motivos razoveis com base nos
quais a Europol considera que a transmisso dos dados PNR ou dos resultados do tratamento dos dados PNR constitui
um contributo substancial para a preveno, deteo ou investigao da infrao penal em causa.

3. A Europol comunica ao responsvel pela proteo de dados, nomeado nos termos do artigo 28.o da Deciso
2009/371/JAI, todos os intercmbios de informaes realizados ao abrigo do presente artigo.

4. O intercmbio de informaes ao abrigo do presente artigo feito atravs da rede SIENA, nos termos da Deciso
2009/371/JAI. A lngua utilizada para o pedido e para o intercmbio de informaes a que for aplicvel na rede
SIENA.

Artigo 11.o

Transferncia de dados para pases terceiros

1. Os Estados-Membros s podem transferir para um pas terceiro os dados PNR e os resultados do seu tratamento
que tenham sido armazenados pela UIP, nos termos do artigo 12.o, caso a caso e se:

a) Estiverem preenchidas as condies estabelecidas no artigo 13.o da Deciso-Quadro 2008/977/JAI;

b) A transferncia for necessria para os fins prosseguidos pela presente diretiva referidos no artigo 1.o, n.o 2;

c) O pas terceiro s aceitar transferir os dados para outro pas terceiro caso tal seja estritamente necessrio para os fins
da presente diretiva referidos no artigo 1.o, n.o 2, e unicamente mediante autorizao expressa desse Estado-Membro;
e

d) Estiverem preenchidas as mesmas condies que as estabelecidas no artigo 9.o, n.o 2.

2. Sem prejuzo do artigo 13.o, n.o 2, da Deciso-Quadro 2008/977/JAI, a transferncia de dados PNR sem
autorizao prvia do Estado-Membro a partir do qual foram obtidos os dados permitida em circunstncias
excecionais e apenas se:

a) Essa transferncia for essencial para dar resposta a uma ameaa especfica e concreta relacionada com infraes
terroristas ou com criminalidade grave num Estado-Membro ou um pas terceiro; e

b) A autorizao prvia no puder ser obtida em tempo til.

A autoridade responsvel por conceder a autorizao informada sem demora e a transferncia devidamente registada
e sujeita a uma verificao ex-post.

3. Os Estados-Membros s podem transferir os dados PNR para as autoridades competentes de pases terceiros em
condies compatveis com a presente diretiva, e apenas depois de se terem certificado de que o destinatrio os tenciona
utilizar de forma compatvel com essas condies e salvaguardas.

4. O responsvel pela proteo de dados da UIP do Estado-Membro que transfere os dados PNR informado sempre
que o Estado-Membro transfira dados PNR nos termos do presente artigo.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/143

Artigo 12.o

Prazo de conservao e anonimizao dos dados

1. Os Estados-Membros asseguram que os dados PNR fornecidos pelas transportadoras areas UIP sejam
conservados numa base de dados dessa UIP por um prazo de cinco anos contados a partir da sua transferncia para a
UIP do Estado-Membro em cujo territrio o voo aterre ou de cujo territrio descole.

2. Decorrido um prazo de seis meses aps a transferncia dos dados PNR referida no n.o 1, todos os dados PNR so
anonimizados mediante mascaramento dos seguintes elementos de dados suscetveis de identificar diretamente o
passageiro ao qual dizem respeito os dados PNR:

a) Nome(s), incluindo os nomes de outros passageiros mencionados nos PNR, bem como o nmero de passageiros nos
PNR que viajam em conjunto;

b) Endereo e informaes de contacto;

c) Todas as informaes sobre os meios de pagamento, incluindo o endereo de faturao, na medida em que
contenham informaes suscetveis de identificar diretamente o passageiro ao qual os PNR dizem respeito ou
quaisquer outras pessoas;

d) Informao de passageiro frequente;

e) Observaes gerais, na medida em que contenham informaes suscetveis de permitir identificar diretamente o
passageiro ao qual os PNR dizem respeito; e

f) Quaisquer dados API que tenham sido recolhidos.

3. Decorrido o prazo de seis meses referido no n.o 2, s permitida a divulgao dos dados PNR integrais caso essa
divulgao seja:

a) Considerada necessria, com base em motivos razoveis, para os fins referidos no artigo 6.o, n.o 2, alnea b); e

b) Autorizada por:

i) uma autoridade judiciria, ou

ii) outra autoridade nacional competente, nos termos do direito nacional, para verificar se esto reunidas as
condies de divulgao, sob reserva de o responsvel pela proteo de dados da UIP ser informado e proceder a
uma verificao ex-post.

4. Os Estados-Membros asseguram que os dados PNR sejam apagados de forma definitiva no termo do prazo referido
no n.o 1. Esta obrigao aplica-se sem prejuzo dos casos em que dados PNR especficos tenham sido transferidos para
uma autoridade competente e sejam utilizados no mbito de um caso especfico para efeitos de preveno, deteo,
investigao ou represso de infraes terroristas ou criminalidade grave; nesse caso a conservao dos dados pela
autoridade competente rege-se pelo direito nacional.

5. O resultado do tratamento a que se refere o artigo 6.o, n.o 2, alnea a), s conservado pela UIP durante o perodo
necessrio para informar as autoridades competentes e, nos termos do artigo 9.o, n.o 1, as UIP de outros Estados-
-Membros, de um resultado positivo. Caso se constate, na sequncia de uma verificao individual por meios no
automatizados referida no artigo 6.o, n.o 5, alnea a), que o resultado do tratamento automatizado negativo, este pode,
ainda assim, ser conservado a fim de evitar falsos resultados positivos no futuro, desde que os dados de base no sejam
apagados, nos termos do n.o 4 do presente artigo.

Artigo 13.o

Proteo de dados pessoais

1. Os Estados-Membros asseguram que, em qualquer tratamento de dados pessoais nos termos da presente diretiva,
todos os passageiros tenham o mesmo direito proteo dos seus dados pessoais, os direitos de acesso, retificao,
apagamento e limitao, e os direitos a indemnizao e recurso judicial, nos termos do direito da Unio e do direito
nacional, e em aplicao dos artigos 17.o, 18.o, 19.o e 20.o da Deciso-Quadro 2008/977/JAI. Esses artigos so, por
conseguinte, aplicveis.
L 119/144 PT Jornal Oficial da Unio Europeia 4.5.2016

2. Os Estados-Membros prevm que as disposies adotadas nos termos do direito nacional em aplicao dos
artigos 21.o e 22.o da Deciso-Quadro 2008/977/JAI, respeitantes confidencialidade do tratamento e segurana dos
dados, sejam igualmente aplicveis a qualquer tratamento de dados pessoais efetuado nos termos da presente diretiva.

3. A presente diretiva no prejudica a aplicabilidade da Diretiva 95/46/CE do Parlamento Europeu e do Conselho (1)
ao tratamento dos dados pessoais pelas transportadoras areas, em especial as suas obrigaes de tomarem as medidas
tcnicas e organizativas adequadas para proteger a segurana e confidencialidade dos dados pessoais.

4. Os Estados-Membros probem o tratamento de dados PNR que revelem a raa ou origem tnica da pessoa, as suas
opinies polticas, religio ou convices filosficas, filiao sindical sade, vida ou orientao sexual. Se receber dados
PNR que revelem tais informaes, a UIP apaga-os imediatamente.

5. Os Estados-Membros asseguram que a UIP conserve a documentao relativa a todos os sistemas e procedimentos
de tratamento sob a sua responsabilidade. Essa documentao deve conter, no mnimo:

a) O nome e os contactos da organizao e do pessoal da UIP a quem confiado o tratamento de dados PNR e os
diferentes nveis de autorizao de acesso;

b) Os pedidos apresentados pelas autoridades competentes e pelas UIP de outros Estados-Membros;

c) Todos os pedidos e transferncias de dados PNR para um pas terceiro.

A UIP disponibiliza toda a documentao existente autoridade nacional de controlo, a pedido desta.

6. Os Estados-Membros asseguram que a UIP conserve registos, pelo menos, das seguintes operaes de tratamento:
recolha, consulta, divulgao e apagamento. Os registos das operaes de consulta e de divulgao indicam, em especial,
a finalidade, a data e a hora dessas operaes e, se possvel, a identidade da pessoa que consultou ou divulgou os dados
PNR e a identidade dos destinatrios desses dados. Os registos s podem ser utilizados para efeitos de verificao e de
autocontrolo, para garantir a integridade e a segurana dos dados e para auditoria. A UIP disponibiliza os registos
autoridade nacional de controlo, a pedido desta.

Esses registos so conservados durante um prazo de cinco anos.

7. Os Estados-Membros asseguram que a respetiva UIP aplique medidas tcnicas e organizativas e procedimentos
adequados para garantir um elevado nvel de segurana, adaptado aos riscos que o tratamento representa e natureza
dos dados PNR.

8. Os Estados-Membros asseguram que, caso a violao de dados pessoais seja suscetvel de resultar num elevado
risco para a proteo dos dados pessoais ou de prejudicar a privacidade do titular dos dados, a UIP comunique tal
violao de dados ao titular dos dados e autoridade nacional de controlo sem demora injustificada.

Artigo 14.o

Sanes

O Estados-Membros estabelecem as regras relativas s sanes aplicveis violao das disposies nacionais adotadas
em aplicao da presente diretiva e tomam todas as medidas necessrias para assegurar a sua aplicao.

Em especial, os Estados-Membros estabelecem as regras relativas s sanes, incluindo sanes financeiras, a aplicar s
transportadoras areas que no transmitam dados conforme previsto no artigo 8.o ou no os transmitam no formato
requerido.

As sanes previstas devem ser efetivas, proporcionadas e dissuasivas.

(1) Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa proteo das pessoas singulares no que
diz respeito ao tratamento de dados pessoais e livre circulao desses dados (JO L 281 de 23.11.1995, p. 31).
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/145

Artigo 15.o

Autoridade nacional de controlo

1. Cada Estado-Membro estabelece que a autoridade nacional de controlo referida no artigo 25.o da Deciso-Quadro
2008/977/JAI seja responsvel por prestar aconselhamento e monitorizar a aplicao, no seu territrio, das disposies
adotadas pelos Estados-Membros por fora da presente diretiva. aplicvel o artigo 25.o da Deciso-Quadro
2008/977/JAI.

2. As referidas autoridades nacionais de controlo exercem as atividades previstas no n.o 1, tendo em vista a proteo
dos direitos fundamentais no mbito do tratamento de dados pessoais.

3. Cabe a cada autoridade nacional de controlo:

a) Analisar as reclamaes apresentadas por qualquer titular de dados, investigar a questo e informar os titulares dos
dados sobre os progressos e os resultados da reclamao num prazo razovel;

b) Verificar a legalidade do tratamento de dados, proceder a investigaes, inspees e auditorias nos termos do direito
nacional, por sua prpria iniciativa ou com base numa reclamao a que se refere a alnea a).

4. A autoridade nacional de controlo aconselha, mediante pedido, os titulares de dados sobre o exerccio dos direitos
previstos em disposies adotadas em aplicao da presente diretiva.

CAPTULO III

Medidas de execuo

Artigo 16.o

Protocolos comuns e formatos de dados reconhecidos

1. Todas as transferncias de dados PNR das transportadoras areas para as UIP para efeitos da presente diretiva so
efetuadas por meios eletrnicos, que ofeream garantias suficientes no que respeita s medidas tcnicas de segurana e s
medidas organizativas que regulam o tratamento a efetuar. Em caso de avaria tcnica, os dados PNR podem ser
transferidos por qualquer outro meio adequado, desde que o mesmo nvel de segurana seja mantido e o direito da
Unio em matria de proteo de dados seja plenamente respeitado.

2. Um ano aps a data em que a Comisso adotar, nos termos do n.o 3, pela primeira vez, os protocolos comuns e
os formatos de dados reconhecidos, todas as transferncias de dados PNR pelas transportadoras areas para as UIP para
efeitos da presente diretiva so efetuadas eletronicamente atravs de mtodos seguros, conformes com esses protocolos
comuns. Tais protocolos so idnticos para todas as transferncias, a fim de garantir a segurana dos dados PNR durante
a transferncia. Os dados PNR so transferidos num formato de dados reconhecido, a fim de assegurar a sua legibilidade
por todas as partes envolvidas. Todas as transportadoras areas so obrigadas a selecionar e a identificar junto da UIP o
protocolo comum e o formato de dados que tencionam utilizar para as suas transferncias.

3. A Comisso elabora a lista dos protocolos comuns e dos formatos de dados reconhecidos e, se necessrio, adapta-a
por meio de atos de execuo. Os referidos atos de execuo so adotados pelo procedimento de exame a que se refere
o artigo 17.o, n.o 2.

4. aplicvel o n.o 1 enquanto os protocolos comuns aceites e os formatos de dados reconhecidos referidos nos
n.os 2 e 3 no estiverem disponveis

5. No prazo de um ano a contar da data de adoo dos protocolos comuns e dos formatos de dados reconhecidos
referidos no n.o 2, os Estados-Membros asseguram que sejam adotadas as medidas tcnicas necessrias para permitir a
utilizao desses protocolos comuns e formatos de dados.
L 119/146 PT Jornal Oficial da Unio Europeia 4.5.2016

Artigo 17.o

Procedimento de comit

1. A Comisso assistida por um comit. Esse comit um comit na aceo do Regulamento (UE) n.o 182/2011.

2. Caso se remeta para o presente nmero, aplica-se o artigo 5.o do Regulamento (UE) n.o 182/2011.

Na falta de parecer do Comit, a Comisso no adota o projeto de ato de execuo, aplicando-se o artigo 5.o, n.o 4,
terceiro pargrafo, do Regulamento (UE) n.o 182/2011.

CAPTULO IV

Disposies finais

Artigo 18.o

Transposio

1. Os Estados-Membros pem em vigor as disposies legislativas, regulamentares e administrativas necessrias para

dar cumprimento presente diretiva at 25 de maio de 2018. Comunicam imediatamente Comisso o texto dessas
disposies.

Quando os Estados-Membros adotarem essas disposies, estas incluem uma remisso para a presente diretiva ou so
acompanhadas dessa remisso aquando da sua publicao oficial. Os Estados-Membros estabelecem o modo como deve
ser feita a remisso e formulada a meno.

2. Os Estados-Membros comunicam Comisso o texto das principais disposies de direito interno que adotarem
no domnio regulado pela presente diretiva.

Artigo 19.o

Reexame

1. Com base nas informaes prestadas pelos Estados-Membros, incluindo as informaes estatsticas referidas no
artigo 20.o, n.o 2, a Comisso procede, at 25 de maio de 2020, a um reexame de todos os elementos da presente
diretiva e apresenta um relatrio ao Parlamento Europeu e ao Conselho.

2. Ao proceder ao reexame, a Comisso presta especial ateno:

a) Ao cumprimento das normas aplicveis de proteo de dados pessoais;

b) necessidade e proporcionalidade da recolha e do tratamento dos dados PNR para cada um dos fins fixados na
presente diretiva;

c) durao do prazo de conservao dos dados;

d) eficcia do intercmbio de informaes entre os Estados-Membros; e

e) qualidade das avaliaes, nomeadamente no que respeita s informaes estatsticas recolhidas nos termos do
artigo 20.o.

3. O relatrio referido no n.o 1 inclui tambm um reexame da necessidade, proporcionalidade e eficcia da incluso,
no mbito de aplicao da presente diretiva, da recolha e transferncia obrigatrias de dados PNR, no que respeita a
todos os voos intra-UE ou a uma seleo destes. A Comisso tem em conta a experincia adquirida pelos Estados-
-Membros, especialmente por aqueles que aplicam a presente diretiva a voos intra-UE, nos termos do artigo 2.o. O
relatrio considera tambm a necessidade de incluir no mbito de aplicao da presente diretiva operadores econmicos
que no sejam transportadoras, tais como agncias de viagem e operadores tursticos que prestam servios afins,
incluindo a reserva de voos.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/147

4. luz do reexame efetuado nos termos do presente artigo, a Comisso apresenta, se necessrio, ao Parlamento
Europeu e ao Conselho uma proposta legislativa destinada a alterar a presente diretiva.

Artigo 20.o

Dados estatsticos

1. Os Estados-Membros fornecem anualmente Comisso um conjunto de informaes estatsticas sobre os dados

PNR comunicados s UIP. As referidas estatsticas no podem incluir dados pessoais.

2. As estatsticas indicam, pelo menos:

a) O nmero total de passageiros cujos dados PNR foram objeto de recolha e de intercmbio;

b) O nmero de passageiros identificados sujeitos a um controlo mais minucioso.

Artigo 21.o

Relao com outros instrumentos

1. Os Estados-Membros podem continuar a aplicar entre si os acordos ou convnios bilaterais ou multilaterais em

matria de intercmbio de informaes entre autoridades competentes que estejam em vigor em 24 de maio de 2016,
na medida em que tais acordos ou convnios sejam compatveis com esta ltima.

2. A presente diretiva no prejudica a aplicabilidade da Diretiva 95/46/CE ao tratamento de dados pessoais pelas
transportadoras areas.

3. A presente diretiva aplica-se sem prejuzo das obrigaes e dos compromissos j assumidos pelos Estados-
-Membros ou pela Unio por fora de acordos bilaterais ou multilaterais com pases terceiros.

Artigo 22.o

Entrada em vigor

A presente diretiva entra em vigor no vigsimo dia seguinte ao da sua publicao no Jornal Oficial da Unio Europeia.

Os destinatrios da presente diretiva so os Estados-Membros, em conformidade com os Tratados.

Feito em Bruxelas, em 27 de abril de 2016.

Pelo Parlamento Europeu Pelo Conselho

O Presidente A Presidente
M. SCHULZ J.A. HENNIS-PLASSCHAERT
L 119/148 PT Jornal Oficial da Unio Europeia 4.5.2016

ANEXO I

Dados dos registos de identificao dos passageiros recolhidos pelas transportadoras areas

1. Cdigo de identificao do registo PNR

2. Data da reserva/emisso do bilhete

3. Data(s) da viagem prevista

4. Nome(s)

5. Endereo e informaes de contacto (nmero de telefone, endereo de correio eletrnico)

6. Todas as informaes sobre as modalidades de pagamento, incluindo o endereo de faturao

7. Itinerrio completo para o PNR em causa

8. Informao de passageiro frequente

9. Agncia/agente de viagens

10. Situao do passageiro, incluindo confirmaes, situao do registo, no comparncia ou passageiro de ltima hora
sem reserva

11. Informao do PNR separada/dividida

12. Observaes gerais (designadamente todas as informaes disponveis sobre menores no acompanhados com idade
inferior a 18 anos, como nome e sexo do menor, idade, lngua(s) falada(s), nome e contactos da pessoa que o
acompanha no momento da partida e sua relao com o menor, nome e contactos da pessoa que o acompanha no
momento da chegada e sua relao com o menor, agente presente na partida e na chegada)

13. Informaes sobre a emisso dos bilhetes, incluindo nmero do bilhete, data de emisso, bilhetes s de ida, dados
ATFQ (Automatic Ticket Fare Quote)

14. Nmero do lugar e outras informaes relativas ao lugar

15. Informaes sobre a partilha de cdigo

16. Todas as informaes relativas s bagagens

17. Nmero e outros nomes de passageiros que figuram no PNR

18. Todas as informaes prvias sobre os passageiros (dados API) que tenham sido recolhidas (incluindo, tipo e
nmero de documento(s), pas de emisso e termo de validade do(s) documento(s), nacionalidade, nome(s) e apelido
(s), sexo, data de nascimento, companhia area, nmero de voo, data de partida, data de chegada, aeroporto de
partida, aeroporto de chegada, hora de partida e hora de chegada)

19. Historial completo das modificaes dos dados PNR enumerados nos pontos 1 a 18.
4.5.2016 PT Jornal Oficial da Unio Europeia L 119/149

ANEXO II

Lista de infraes a que se refere o artigo 3.o, n.o 9

1. Participao em organizao criminosa

2. Trfico de seres humanos

3. Explorao sexual de crianas e pedopornografia

4. Trfico de estupefacientes e substncias psicotrpicas

5. Trfico de armas, munies e explosivos

6. Corrupo

7. Fraude, incluindo a fraude lesiva dos interesses financeiros da Unio

8. Branqueamento dos produtos do crime e contrafao de moeda, incluindo o euro

9. Criminalidade informtica/cibercrime

10. Crimes contra o ambiente, incluindo o trfico de espcies animais ameaadas e de espcies e variedades vegetais
ameaadas

11. Auxlio entrada e permanncia irregulares

12. Homicdio voluntrio, ofensas corporais graves

13. Trfico de rgos e tecidos humanos

14. Rapto, sequestro e tomada de refns

15. Assalto organizado ou mo armada

16. Trfico de bens culturais, incluindo antiguidades e obras de arte

17. Contrafao e piratagem de produtos

18. Falsificao de documentos administrativos e respetivo trfico

19. Trfico de substncias hormonais e de outros estimuladores de crescimento

20. Trfico de materiais nucleares e radioativos

21. Violao

22. Crimes abrangidos pela jurisdio do Tribunal Penal Internacional

23. Desvio de avio ou navio

24. Sabotagem

25. Trfico de veculos roubados

26. Espionagem industrial

ISSN 1977-0774 (edio eletrnica)
ISSN 1725-2601 (edio em papel)

PT

Servio das Publicaes da Unio Europeia

2985 Luxemburgo
LUXEMBURGO