Artigo 47.o

Regras vinculativas aplicáveis às empresas

  • Pelo procedimento de controlo da coer√™ncia previsto no artigo¬†63.o, a autoridade de controlo competente aprova regras vinculativas aplic√°veis √†s empresas, que devem:
    • a) Ser juridicamente vinculativas e aplic√°veis a todas as entidades em causa do grupo empresarial ou do grupo de empresas envolvidas numa atividade econ√≥mica conjunta, incluindo os seus funcion√°rios, as quais dever√£o assegurar o seu cumprimento;
    • b) Conferir expressamente aos titulares dos dados direitos opon√≠veis relativamente ao tratamento dos seus dados pessoais; e
    • c) Preencher os requisitos estabelecidos no n.o¬†2.
  • As regras vinculativas aplic√°veis √†s empresas a que se refere o n.o¬†1 especificam, pelo menos:
    • a) A estrutura e os contactos do grupo empresarial ou do grupo de empresas envolvidas numa atividade econ√≥mica conjunta e de cada uma das entidades que o comp√Ķe;
    • b) As transfer√™ncias ou conjunto de transfer√™ncias de dados, incluindo as categorias de dados pessoais, o tipo de tratamento e suas finalidades, o tipo de titulares de dados afetados e a identifica√ß√£o do pa√≠s ou pa√≠ses terceiros em quest√£o;
    • c) O seu car√°ter juridicamente vinculativo, a n√≠vel interno e externo;
    • d) A aplica√ß√£o dos princ√≠pios gerais de prote√ß√£o de dados, nomeadamente a limita√ß√£o das finalidades, a minimiza√ß√£o dos dados, a limita√ß√£o dos prazos de conserva√ß√£o, a qualidade dos dados, a prote√ß√£o dos dados desde a conce√ß√£o e por defeito, o fundamento jur√≠dico para o tratamento, o tratamento de categorias especiais de dados pessoais, as medidas de garantia da seguran√ßa dos dados e os requisitos aplic√°veis a transfer√™ncias posteriores para organismos n√£o abrangidos pelas regras vinculativas aplic√°veis √†s empresas;
    • e) Os direitos dos titulares dos dados relativamente ao tratamento e regras de exerc√≠cio desses direitos, incluindo o direito de n√£o ser objeto de decis√Ķes baseadas unicamente no tratamento automatizado, nomeadamente a defini√ß√£o de perfis a que se refere o artigo¬†22.o, o direito de apresentar uma reclama√ß√£o √† autoridade de controlo competente e aos tribunais competentes dos Estados-Membros nos termos do artigo¬†79.o, bem como o de obter repara√ß√£o e, se for caso disso, indemniza√ß√£o pela viola√ß√£o das regras vinculativas aplic√°veis √†s empresas;
    • f) A aceita√ß√£o, por parte do respons√°vel pelo tratamento ou subcontratante estabelecido no territ√≥rio de um Estado-Membro, da responsabilidade por toda e qualquer viola√ß√£o das regras vinculativas aplic√°veis √†s empresas cometida por uma entidade envolvida que n√£o se encontre estabelecida na Uni√£o; o respons√°vel pelo tratamento ou o subcontratante s√≥ pode ser exonerado dessa responsabilidade, no todo ou em parte, mediante prova de que o facto que causou o dano n√£o √© imput√°vel √† referida entidade;
    • g) A forma como as informa√ß√Ķes sobre as regras vinculativas aplic√°veis √†s empresas, nomeadamente, sobre as disposi√ß√Ķes referidas nas al√≠neas¬†d), e) e f) do presente n√ļmero, s√£o comunicadas aos titulares dos dados para al√©m das informa√ß√Ķes referidas nos artigos¬†13.o e 14.o;
    • h) As fun√ß√Ķes de qualquer encarregado da prote√ß√£o de dados, designado nos termos do artigo¬†37.o ou de qualquer outra pessoa ou entidade respons√°vel pelo controlo do cumprimento das regras vinculativas aplic√°veis √†s empresas, a n√≠vel do grupo empresarial ou do grupo de empresas envolvidas numa atividade econ√≥mica conjunta, e pela supervis√£o das a√ß√Ķes de forma√ß√£o e do tratamento de reclama√ß√Ķes;
    • i) Os procedimentos de reclama√ß√£o;
    • j) Os procedimentos existentes no grupo empresarial ou no grupo de empresas envolvidas numa atividade econ√≥mica conjunta para assegurar a verifica√ß√£o do cumprimento das regras vinculativas aplic√°veis √†s empresas. Esses procedimentos incluem a realiza√ß√£o de auditorias sobre a prote√ß√£o de dados e o recurso a m√©todos que garantam a ado√ß√£o de medidas corretivas capazes de preservar os direitos dos respetivos titulares. Os resultados dessa verifica√ß√£o devem ser comunicados √† pessoa ou entidade referida na al√≠nea¬†h) e ao Conselho de Administra√ß√£o da empresa ou grupo empresarial que exerce o controlo ou do grupo de empresas envolvidas numa atividade econ√≥mica conjunta, devendo tamb√©m ser facultados √† autoridade de controlo competente, a pedido desta;
    • k) Os procedimentos de elabora√ß√£o de relat√≥rios e de registo de altera√ß√Ķes √†s regras, bem como de comunica√ß√£o dessas altera√ß√Ķes √† autoridade de controlo;
    • l) O procedimento de coopera√ß√£o com a autoridade de controlo para assegurar o cumprimento, por qualquer entidade do grupo empresarial ou do grupo de empresas envolvidas numa atividade econ√≥mica conjunta, em especial facultando √† autoridade de controlo os resultados de verifica√ß√Ķes das medidas referidas na al√≠nea¬†j);
    • m) Os procedimentos de comunica√ß√£o, √† autoridade de controlo competente, de todos os requisitos legais a que uma entidade do grupo empresarial ou do grupo de empresas envolvidas numa atividade econ√≥mica conjunta esteja sujeita num pa√≠s terceiro que sejam pass√≠veis de ter forte impacto negativo nas garantias dadas pelas regras vinculativas aplic√°veis √†s empresas; e
    • n) A√ß√Ķes de forma√ß√£o especificamente dirigidas a pessoas que tenham, em perman√™ncia ou regularmente, acesso a dados de natureza pessoal.
  • A Comiss√£o pode especificar o formato e os procedimentos de interc√Ęmbio de informa√ß√Ķes entre os respons√°veis pelo tratamento, os subcontratantes e as autoridades de controlo no que respeita √†s regras vinculativas aplic√°veis √†s empresas na ace√ß√£o do presente artigo. Os referidos atos de execu√ß√£o s√£o adotados pelo procedimento de exame a que se refere o artigo¬†93.o, n.o¬†2.