Aplicação do Regulamento
Princípios do Regulamento
Administrações Públicas
Fundamentos Jurídicos
Obrigações
Cidadãos

São várias as questões que são colocadas em cima da mesa relativamente à nova Lei de Proteção de Dados que entra em vigor no dia 25 de Maio de 2018. O Regulamento Geral da Proteção de Dados

Se ainda não está totalmente por dentro do enquadramento da proteção de dados ou até mesmo se ainda não sabe o que é que significa, nós ajudamo-lo a esclarecer o que é que a sua organização/projeto tem de fazer em concreto para garantir de que cumpre a Lei.

O Regulamento Geral da Proteção de Dados (RGPD) trata dos pressupostos de que o seu DPO - Departamento de Proteção de Dados deve ter em consideração na gestão e proteção dos fluxos de informação dispostos nas bases de dados das empresas.

Fonte: https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations_en

APLICAÇÃO DO REGULAMENTO

A quem se aplica a lei da proteção de dados (RGPD)?

O RGPD é aplicável a:

  • uma empresa ou entidade que efetue o tratamento de dados pessoais no âmbito das atividades de uma das suas sucursais estabelecida na UE, independentemente do local onde os dados são tratados
  • uma empresa constituída fora da UE que oferece bens/serviços (pagos ou gratuitos) ou controla o comportamento de pessoas na UE.

Se a sua empresa for uma pequena ou média empresa (PME) que efetua o tratamento de dados pessoais conforme descrito acima, tem de cumprir o RGPD. No entanto, se o tratamento de dados pessoais não for uma parte principal do seu negócio e a sua atividade não criar riscos para as pessoas, então algumas obrigações do RGPD não se aplicam a si (por exemplo, a nomeação de um encarregado da proteção de dados (EPD). Importa salientar que as «atividades principais» incluem atividades em que o tratamento de dados é uma parte inextricável da atividade do responsável pelo tratamento ou do subcontratante.

As regras de proteção de dados aplicam-se aos dados relativos a empresas?

Não, as regras aplicam-se apenas a dados pessoais relativos a pessoas singulares. Não dizem respeito a dados relativos a empresas nem a outras entidades jurídicas. No entanto, as informações respeitantes a empresas unipessoais podem constituir dados pessoais caso permitam a identificação de uma pessoa singular. As regras também se aplicam a todos os dados pessoais relacionados com pessoas singulares no âmbito de uma atividade profissional, como os trabalhadores de uma empresa/organização, incluindo endereços de correio eletrónico profissionais como «Este endereço de email está protegido contra piratas. Necessita ativar o JavaScript para o visualizar.» ou os números de telefone profissionais dos trabalhadores.

    Referência:
  • Artigos 1.º, 2.º e 3.º e considerandos 13, 14, 15, 18, 19 e 21 do RGPD
  • Ver o Acórdão do Tribunal de Justiça (Segunda Secção), de 9 de março de 2017, no processo C-398/15, Manni, ECLI:EU:C:2017:1971.

PRINCÍPIOS DO REGULAMENTO (RGPD)

Que dados podem ser tratados e em que condições?

O tipo e a quantidade de dados pessoais que uma empresa/organização pode tratar dependem do motivo pelo qual estão a efetuar o tratamento (motivo jurídico) e da finalidade do mesmo. A empresa/organização deve respeitar várias regras fundamentais, nomeadamente:

  • os dados pessoais devem ser tratados de forma lícita e transparente, garantindo a lealdade do tratamento para com as pessoas cujos dados pessoais estão a ser tratados («licitude, lealdade e transparência»);
  • devem existir finalidades específicas para o tratamento dos dados e a empresa/organização deve comunicá-las às pessoas aquando da recolha dos seus dados pessoais. Uma empresa-organização não pode simplesmente recolher dados pessoais para fins indefinidos («limitação das finalidades»);
  • a empresa/organização deve recolher e tratar apenas os dados pessoais necessários para cumprir essa finalidade («minimização dos dados»);
  • a empresa/organização deve garantir que os dados pessoais são exatos e estão atualizados, tendo em conta as finalidades para as quais são tratados, e corrigi-los caso tal não se verifique («exatidão»);
  • a empresa/organização não pode utilizar os dados pessoais para outras finalidades que não sejam compatíveis com a finalidade original da recolha;;
  • a empresa/organização deve garantir que os dados pessoais são conservados apenas durante o tempo necessário às finalidades para as quais foram recolhidos («limitação da conservação»);
  • a empresa/organização deve instalar garantias técnicas e organizativas adequadas para garantir a segurança dos dados pessoais, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as tecnologias adequadas («integridade e confidencialidade»).

FINALIDADE DO TRATAMENTO DE DADOS

1 - O tratamento de dados pode ser efetuado para qualquer finalidade?

Não. A finalidade do tratamento de dados deve ser conhecida e as pessoas cujos dados estão a ser tratados têm de ser informadas. Não é possível indicar simplesmente que os dados pessoais serão recolhidos e tratados. Este princípio é conhecido como o princípio da «limitação das finalidades».

    Referência:
  • Parecer 03/2013 do Grupo de Trabalho de Proteção de Dados do Artigo 29.º sobre a limitação das finalidades (WP 203);

2 - Os dados podem ser utilizados para outra finalidade?

Sim, mas só em alguns casos. Se a sua empresa/organização tiver recolhido dados com base em interesses legítimos, num contrato ou em interesses vitais, pode utilizá-los para outra finalidade, mas apenas depois de verificar que a nova finalidade é compatível com a finalidade original.

Devem ser ponderados os seguintes aspetos:

  • a ligação entre a finalidade original e a finalidade nova/subsequente;
  • o contexto em que os dados foram recolhidos (qual é a relação entre a sua empresa e a pessoa?);
  • qual o tipo e a natureza dos dados (são sensíveis?);
  • as possíveis consequências do tratamento subsequente previsto (de que modo irá afetar a pessoa?);
  • a existência de proteções adequadas (como cifragem ou pseudonimização).

3 - Durante quanto tempo podem os dados ser conservados?

Os dados devem ser conservados durante o mínimo de tempo possível. Este período deve ter em conta os motivos pelos quais a sua empresa/organização precisa de efetuar o tratamento dos dados, bem como eventuais obrigações legais de conservação dos dados durante um determinado período de tempo (por exemplo, legislação nacional em matéria laboral, fiscal ou antifraude que o obrigue a conservar os dados pessoais relativos aos seus trabalhadores durante um período definido, período de garantia de produtos, etc.).

A sua empresa/organização deve estabelecer prazos para o apagamento ou revisão dos dados conservados.

A título excecional, os dados pessoais podem ser conservados durante um período mais longo para fins de arquivo de interesse público ou para fins de investigação científica ou histórica, desde que sejam adotadas medidas técnicas e organizativas adequadas (tais como anonimização, cifragem, etc.).

A sua empresa/organização também deve garantir que os dados que possui são exatos e atualizados.

    Referência:
  • Artigo 5.º, n.º 1, alínea e); considerando 39 do RGPD

4 - Que quantidade de dados podemos recolher?

Os dados pessoais apenas devem ser tratados se a finalidade do tratamento não puder ser atingida de forma razoável por outros meios. Sempre que possível, é preferível utilizar dados anónimos. Sempre que sejam necessários dados pessoais, estes devem ser adequados, pertinentes e limitados ao que é necessário relativamente à finalidade em questão («minimização dos dados»).

É da sua responsabilidade enquanto responsável pelo tratamento avaliar qual a quantidade de dados necessária e garantir que não são recolhidos dados não pertinentes.

    Referência:
  • Artigo 5.º, n.º 1, alínea c); considerando 39

5 - Que informações têm de ser dadas às pessoas cujos dados são recolhidos?

No momento da recolha dos dados, as pessoas devem ser informadas, pelo menos, do seguinte:

É da sua responsabilidade enquanto responsável pelo tratamento avaliar qual a quantidade de dados necessária e garantir que não são recolhidos dados não pertinentes.

  • quem é a sua empresa/organização (os seus contactos e os do EPD, se existir);
  • porque é que a sua empresa/organização irá utilizar os seus dados pessoais (finalidades);
  • as categorias de dados pessoais em causa;
  • a justificação jurídica para o tratamento dos seus dados;
  • durante quanto tempo serão conservados os dados;
  • quem mais poderá receber os dados;
  • se os dados pessoais serão transferidos para um destinatário fora da UE;
  • que a pessoa tem o direito a obter uma cópia dos dados (direito de acesso aos dados pessoais), bem como outros direitos básicos no domínio da proteção de dados (ver a lista completa dos direitos);
  • que a pessoa tem o direito de apresentar uma reclamação a uma autoridade de proteção de dados (APD);
  • que a pessoa tem o direito de retirar o seu consentimento em qualquer altura;
  • se aplicável, a existência de decisões automatizadas e a lógica envolvida, incluindo as suas consequências.

Ver a lista de informações completa CLICANDO AQUI

Estas informações podem ser fornecidas por escrito ou oralmente a pedido da pessoa desde que a sua identidade seja comprovada por outros meios ou por meios eletrónicos se tal for apropriado. A sua empresa/organização deve fazê-lo de forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples e gratuitamente.

e os dados forem obtidos de outra empresa/organização, a sua empresa/organização deve fornecer as informações indicadas acima à pessoa à qual dizem respeito o mais tardar um mês após a sua empresa/organização ter obtido os dados pessoais; ou, caso a sua empresa/organização comunique com a pessoa, quando os dados forem utilizados para comunicar; ou, se estiver prevista a divulgação a outra empresa, aquando da primeira divulgação dos dados pessoais.

A sua empresa/organização também tem de informar sobre as categorias dos dados e sobre a fonte a partir da qual os obteve, incluindo se foram obtidos de fontes acessíveis ao público. Nas circunstâncias específicas previstas no artigo 13.º, n.º 4, e no artigo 14.º, n.º 5, do RGPD, a sua empresa/organização pode estar isenta da obrigação de informar . Verifique se alguma destas situações se aplica à sua empresa/organização.

    Referência:
  • Artigo 12.º, n.os 1, 5 e 7, artigos 13.º e 14.º e considerandos 58 a 62 do RGPD
  • Grupo do Artigo 29.º para a Proteção de Dados, Orientações sobre transparência

ADMINISTRAÇÕES PÚBLICAS E PROTEÇÃO DE DADOS

1 - Quais são os principais aspetos do Regulamento Geral sobre a Proteção de Dados (RGPD) de que as administrações públicas devem estar cientes?

As administrações públicas estão sujeitas às regras do RGPD sempre que efetuam o tratamento de dados pessoais relacionados com um indivíduo. Cabe às administrações públicas nacionais a responsabilidade de prestar apoio às administrações regionais e locais na preparação para a aplicação do RGPD.

A maior parte dos dados pessoais detidos pela administração pública são habitualmente tratados com base numa obrigação jurídica ou na medida do necessário para realizar tarefas por motivos de interesse público ou no exercício de autoridade pública de que está investida.

Aquando do tratamento dos dados pessoais, as administrações públicas devem respeitar os princípios fundamentais, nomeadamente:

  • tratamento equitativo e lícito;
  • limitação da finalidade;
  • minimização dos dados e conservação dos dados.

Caso os dados sejam tratados com base no disposto na lei, tais disposições devem já assegurar o respeito destes princípios (p. ex., os tipos de dados, o período de conservação e as medidas de salvaguarda adequadas).

Antes de efetuar o tratamento de dados pessoais, os indivíduos devem ser informados sobre o tratamento, nomeadamente as respetivas finalidades, os tipos de dados recolhidos, os destinatários dos dados e os seus direitos em matéria de proteção de dados.

As administrações públicas têm a obrigação de nomear um encarregado da proteção de dados (EPD), embora seja possível nomear um único encarregado da proteção de dados para vários organismos públicos, que poderão assim partilhar os seus serviços ou subcontratar esta tarefa a um EPD externo. Também devem garantir que foram aplicadas medidas técnicas e organizativas adequadas para proteger os dados pessoais. Se forem subcontratadas partes do tratamento a uma organização externa («subcontratante»), tem de existir um contrato ou outro ato jurídico que garanta que o subcontratante apresenta garantias suficientes da aplicação de medidas técnicas e organizativas adequadas que cumpram as normas do RGPD.

Caso os dados pessoais detidos sejam divulgados acidental ou ilicitamente a destinatários não autorizados, fiquem temporariamente indisponíveis ou sejam alterados, a violação deve ser notificada à autoridade de proteção de dados (APD) sem demora injustificada e, o mais tardar, no prazo de 72 horas após ter tido conhecimento do ocorrido. As administrações públicas também podem ter de informar os indivíduos sobre a violação de dados.

Pode obter mais informações sobre as obrigações das administrações públicas nos termos do RGPD na secção ‘Empresas e organizações’.

    Referência:
  • Capítulos II e IV do RGPD

2 - Como se deve lidar com pedidos apresentados por indivíduos?

Os indivíduos podem contactar a administração pública para exercerem os direitos que lhes são conferidos pelo RGPD (direitos de acesso, retificação, apagamento, limitação, oposição, direito a não serem sujeitos a decisões automatizadas).

Importa salientar que os indivíduos têm o direito a opor-se ao tratamento de dados pessoais efetuado pela administração pública por razões de interesse público. Devem apresentar à administração pública os motivos relacionados com a sua situação específica. A administração pública pode continuar a efetuar o tratamento dos dados e recusar, assim, o seu pedido, se demonstrar razões legítimas e imperiosas para o tratamento que prevaleçam sobre os interesses e os direitos do indivíduo, ou caso os dados sejam necessários para a declaração, o exercício ou a defesa de um direito num processo judicial.

Os indivíduos não têm o direito de solicitar a transmissão de dados a eles respeitantes que sejam necessários para o desempenho de uma tarefa no interesse público ou no exercício de autoridade pública.

A administração pública deve responder aos pedidos dos indivíduos sem demora injustificada e, em princípio, no prazo de um mês a contar da receção do pedido. Pode solicitar informações suplementares para confirmar a identidade da pessoa que efetua o pedido. Se o pedido for rejeitado, os indivíduos têm de ser informados sobre os motivos da rejeição e sobre o direito destes de apresentar uma reclamação à APD, bem como de intentar ação judicial.

Estão disponíveis mais informações sobre as suas obrigações nos termos do RGPD na secção ‘«Empresas e organizações».’

    Referência:
  • Capítulo III do RGPD

3 - O que acontece se a administração pública não cumprir as regras relativas à proteção de dados?

As autoridades de proteção de dados têm diferentes instrumentos ao seu dispor para os casos de incumprimento. Em caso de infração provável, pode ser emitida uma advertência. Em caso de infração, as possibilidades incluem: uma repreensão ou uma proibição temporária ou definitiva do tratamento. Em alguns países, os organismos públicos podem estar também sujeitos a coimas administrativas; a administração pública deve consultar a lei do seu país relativa à proteção de dados.

Os indivíduos podem pedir uma indemnização se um organismo público violar o RGPD e se o indivíduo tiver sofrido danos materiais, por exemplo um prejuízo financeiro, ou danos imateriais, por exemplo a perda de reputação ou sofrimento psicológico. O RGPD garante que estes sejam indemnizados, independentemente do número de organizações envolvidas no tratamento dos seus dados. A indemnização pode ser pedida diretamente ao organismo público ou junto dos tribunais nacionais competentes do Estado-Membro da UE em causa.

    Referência:
  • Artigo 58.º, artigos 82.º a 84.º e considerandos 129, 146 a 148, 150 e 151 do RGPD

FUNDAMENTO JURÍDICO DO TRATAMENTO DE DADOS

1 - Quando pode ser efetuado o tratamento de dados pessoais?

A sua empresa/organização só pode efetuar o tratamento de dados nas circunstâncias seguintes:

  • com o consentimento das pessoas em causa;
  • quando existir uma obrigação contratual (um contrato entre a sua empresa/organização e um cliente);
  • para cumprir uma obrigação legal (prevista na legislação da UE ou na legislação nacional);
  • quando o tratamento for necessário para o desempenho de uma tarefa de interesse público (prevista na legislação da UE ou na legislação nacional);
  • para proteger os interesses vitais de uma pessoa;
  • tendo em vista os interesses legítimos da sua organização, mas apenas após ter confirmado que os direitos e as liberdades fundamentais da pessoa cujos dados está a tratar não serão gravemente afetados. Se os direitos da pessoa prevalecerem sobre os seus interesses, não pode ser efetuado o tratamento com base em interesses legítimos. A avaliação com vista a determinar se os interesses legítimos da sua empresa/organização no tratamento prevalecem sobre os das pessoas em causa depende das circunstâncias específicas do caso.

2 - O que significa «motivos de interesse legítimo»?

Uma empresa/organização tem frequentemente de efetuar o tratamento de dados pessoais para realizar tarefas relacionadas com as suas atividades empresariais. O tratamento de dados pessoais neste contexto pode não se justificar necessariamente por uma obrigação legal ou ser levado a cabo para execução das cláusulas de um contrato com uma pessoa. Nestes casos, o tratamento de dados pessoais pode ser justificado por motivos de interesse legítimo.

A sua empresa/organização deve informar os titulares dos dados sobre o tratamento aquando da recolha dos seus dados pessoais.

A sua empresa/organização deve, além disso, verificar se, ao prosseguir os seus interesses legítimos, não está a prejudicar gravemente os direitos e as liberdades dessas pessoas, caso contrário a sua empresa/organização não poderá basear-se nos seus interesses legítimos para justificar o tratamento dos dados, devendo encontrar outro fundamento jurídico.

    Referência:
  • Artigo 6.º e considerandos 47, 48 e 49 do RGPD
  • Grupo do Artigo 29.º para a Proteção de Dados, Parecer 06/2014 sobre o conceito de interesses legítimos do responsável pelo tratamento dos dados na aceção do artigo 7.º da Diretiva 95/46

3 - Quando é que o consentimento é válido?

Quando o consentimento se mostra necessário ao tratamento de dados pessoais, para que o mesmo seja válido têm de estar preenchidas as seguintes condições:

  • deve ser dado de livre vontade;
  • deve ser informado;
  • deve ser dado para uma finalidade específica;
  • todos os motivos para o tratamento devem ser indicados de forma clara;
  • é explícito e dado através de um ato positivo (por exemplo, uma caixa de verificação em linha que a pessoa tem de marcar explicitamente ou uma assinatura num formulário);
  • utiliza linguagem clara e simples e é claramente visível;
  • é possível retirar o consentimento e tal facto é explicado (por exemplo, uma ligação para cancelamento da subscrição no final de uma mensagem de correio eletrónico).

Para que o consentimento seja dado de livre vontade, a pessoa tem de poder escolher livremente e de poder recusar ou retirar o consentimento sem sofrer qualquer desvantagem. O consentimento não é dado de livre vontade se, por exemplo, existir um desequilíbrio claro entre a pessoa e a empresa/organização (por exemplo, relação empregador/trabalhador) ou se for pedido à pessoa que consinta no tratamento de dados desnecessários como condição prévia à execução de um contrato ou serviço.

Para que o consentimento seja informado, a pessoa tem de receber, pelo menos, as seguintes informações:

  • a identidade da organização que efetua o tratamento dos dados;
  • os fins para os quais os dados estão a ser tratados;
  • o tipo de dados que serão tratados;
  • a possibilidade de retirar o consentimento dado (por exemplo, uma ligação para cancelamento da subscrição no final de uma mensagem de correio eletrónico);
  • se aplicável, o facto de os dados irem ser utilizados para decisões exclusivamente automatizadas, incluindo a definição de perfis;
  • se o consentimento estiver relacionado com uma transferência internacional, os possíveis riscos das transferências de dados para países terceiros que não estejam sujeitos a uma decisão de adequação por parte da Comissão e quando não existam proteções adequadas.

Quando alguém consente no tratamento dos seus dados pessoais, a empresa só pode efetuar o tratamento dos dados para as finalidades para as quais o consentimento foi dado.

    Referência:
  • Artigo 4.º, n.º 11, e artigo 7.º e considerandos 32, 42 e 43 do RGPD.
  • Grupo do Artigo 29.º para a Proteção de Dados, Parecer sobre o consentimento, adotado em 28 de novembro de 2017

4 - E se alguém retirar o seu consentimento?

O consentimento deve ser tão fácil de retirar como de dar. Se o consentimento for retirado, a sua empresa/organização deixa de poder efetuar o tratamento dos dados. Uma vez retirado o consentimento, a sua empresa/organização tem de garantir que os dados são apagados, a menos que exista outro fundamento jurídico para o respetivo tratamento (por exemplo, obrigatoriedade de conservação ou necessidade dos dados para a execução do contrato).

Se os dados estavam a ser tratados para várias finalidades, a sua empresa/organização não pode utilizar os dados pessoais para a parte do tratamento relativamente à qual o consentimento foi retirado ou para nenhuma finalidade, consoante a natureza da retirada do consentimento.

    Referência:
  • Artigo 7.º e considerandos 32, 33, 42, 43 e 58 do RGPD
  • Grupo do Artigo 29.º para a Proteção de Dados, Parecer 15/2011 sobre a definição de consentimento (a ser atualizado pelo parecer a adotar em 28 de novembro de 2017)

5 - Dados sensíveis

Os seguintes dados pessoais são considerados «sensíveis» e estão sujeitos a condições de tratamento específicas:

  • dados pessoais que revelem a origem racial ou étnica, opiniões políticas e convicções religiosas ou filosóficas;
  • filiação sindical;
  • dados relacionados com a saúde;
  • dados relativos à vida sexual ou orientação sexual da pessoa.
    Referência:
  • Artigo 4.º, n.os 13, 14 e 15, artigo 9.º e considerandos 51 a 56 do RGPD

6 - Em que condições a minha empresa/organização pode efetuar o tratamento de dados sensíveis?

A sua empresa/organização apenas pode tratar dados sensíveis se cumprir uma das seguintes condições:

  • obteve o consentimento explícito da pessoa (esta opção pode ser excluída por lei em alguns casos);
  • a sua empresa/organização é obrigada, nos termos da legislação da UE, da legislação nacional ou de uma convenção coletiva, a efetuar o tratamento dos dados para cumprir as suas obrigações e os seus direitos, bem como os das pessoas, em matéria de legislação laboral, de segurança social e de proteção social;
  • estão em causa os interesses vitais da pessoa, ou de uma pessoa física ou legalmente incapacitada de dar o seu consentimento;
  • é uma fundação, associação ou outro organismo sem fins lucrativos que prossegue fins políticos, filosóficos, religiosos ou sindicais e que efetua tratamento de dados sobre os seus membros ou pessoas que mantêm contacto regular com a sua organização;
  • os dados pessoais foram manifestamente tornados públicos pela pessoa;
  • os dados são necessários para a declaração, o exercício ou a defesa de um direito num processo judicial;
  • os dados são tratados por motivos de interesse público relevante com base no direito da UE ou no direito nacional;
  • os dados são tratados para as finalidades de medicina preventiva ou do trabalho, avaliação da capacidade de trabalho do empregado, diagnóstico médico, prestação de cuidados ou tratamentos de saúde ou de ação social ou gestão de sistemas e serviços de saúde ou de ação social com base no direito da UE ou no direito nacional ou por força de um contrato como profissional de saúde;
  • os dados são tratados por motivos de interesse público no domínio da saúde pública, com base no direito da UE ou no direito nacional;
  • os dados são tratados para fins de arquivo, investigação científica ou histórica ou para fins estatísticos, com base no direito da UE ou no direito nacional.

A legislação nacional pode impor novas condições no que respeita ao tratamento de dados genéticos, dados biométricos ou dados relativos à saúde. Consulte a sua autoridade nacional de proteção de dados.

    Referência:
  • Artigo 9.º e considerandos 51 a 56 do RGPR

OBRIGAÇÕES

1 - Quem é o responsável pelo tratamento/subcontratante

responsável pelo tratamento determina as finalidades e os meios pelos quais os dados pessoais são tratados. Portanto, a sua empresa/organização é a responsável pelo tratamento se decide «porquê» e «como» os dados pessoais devem ser tratados. Os trabalhadores que efetuam o tratamento de dados pessoais na sua organização fazem-no para cumprir as suas tarefas enquanto responsável pelo tratamento.

A sua empresa/organização é responsável conjunto pelo tratamento quando determina, em conjunto com uma ou mais organizações, «porquê» e «como» os dados pessoais devem ser tratados. Os responsáveis conjuntos pelo tratamento devem celebrar um acordo que defina as respetivas responsabilidades pelo cumprimento das regras do RGPD. Os principais aspetos desse acordo devem ser comunicados às pessoas cujos dados são objeto de tratamento.

O subcontratante só efetua o tratamento de dados pessoais em nome do responsável pelo tratamento. O subcontratante é geralmente um terceiro externo à empresa; contudo, no caso dos grupos de empresas, uma empresa pode atuar como subcontratante para outra empresa.

Os deveres do subcontratante perante o responsável pelo tratamento devem ser especificados num contrato ou noutro ato jurídico. Por exemplo, o contrato deve indicar o que acontece aos dados pessoais uma vez terminado o contrato. Uma atividade típica dos subcontratantes é a oferta de soluções informáticas, incluindo armazenamento em nuvem. O subcontratante só pode subcontratar uma parte das suas tarefas a outro subcontratante ou nomear um subcontratante conjunto se tiver recebido autorização prévia por escrito do responsável pelo tratamento dos dados.

Existem situações em que uma entidade pode ser um responsável pelo tratamento, um subcontratante ou ambos.

    Referência:
  • Artigo 4.º, n.os 7 e 8, artigos 24.º, 26.º, 28.º e 29.º e considerandos 74, 79 e 81 do RGPD
  • Grupo do Artigo 29.º para a Proteção de Dados, Parecer 1/2010 sobre os conceitos de «responsável pelo tratamento» e «subcontratante» (WP 169)
p>2 - É possível ser outra entidade a efetuar o tratamento de dados em nome da minha organização?

Uma outra entidade (uma pessoa singular ou coletiva ou qualquer outro organismo) pode efetuar o tratamento de dados pessoais em seu nome desde que exista um contrato ou outro ato jurídico. É importante que o subcontratante nomeado por si apresente garantias suficientes para a aplicação de medidas técnicas e organizativas destinadas a assegurar que o tratamento cumprirá as normas do Regulamento Geral sobre a Proeção de Dados (RGPD) e a garantir a proteção dos direitos das pessoas.

O subcontratante nomeado não pode, posteriormente, nomear outro subcontratante sem a sua autorização prévia, específica ou geral, por escrito. O contrato ou ato jurídico celebrado entre a sua empresa/organização e o subcontratante deve incluir os seguintes elementos:

  • o tratamento só pode ser efetuado com base em instruções documentadas do responsável pelo tratamento;
  • o subcontratante garante que as pessoas autorizadas a efetuar o tratamento de dados pessoais assumiram um compromisso de confidencialidade ou se encontram sujeitas a uma obrigação legal de confidencialidade adequada;
  • o subcontratante deve oferecer um nível mínimo de segurança definido pelo responsável pelo tratamento;
  • o subcontratante deve ajudá-lo a garantir a conformidade com o RGPD.
    Referência:
  • Artigo 28.o e considerando 81 do RGPD

3 - O que é uma violação de dados e o que deve ser feito caso ocorra?

Uma violação de dados ocorre quando a sua empresa/organização sofre um incidente de segurança relativo aos dados pelos quais é responsável que resulta numa violação da confidencialidade, da disponibilidade ou da integridade dos dados. Se tal ocorrer, e se a violação for suscetível de representar um risco para os direitos e as liberdades de uma pessoa, a sua empresa/organização tem de notificar a autoridade de controlo sem demora injustificada e, o mais tardar, no prazo de 72 horas após tomar conhecimento da violação. Se a sua empresa/organização for um subcontratante, tem de notificar todas as violações de dados ao responsável pelo tratamento.

Se a violação de dados representar um elevado risco para aspessoas afetadas, estas devem também ser informadas (a menos que existam medidas de proteção técnicas e organizativas eficazes ou outras medidas destinadas a garantir que não é provável que o risco se volte a concretizar).

Enquanto organização, é fundamental aplicar medidas técnicas e organizativas adequadas para evitar possíveis violações de dados.

    Referência:
  • Grupo do Artigo 29.º para a Proteção de Dados, Orientações sobre a notificação da violação de dados pessoais nos termos do Regulamento 2016/679, 3 de outubro de 2017 (WP 250)
  • Artigo 4.º, ponto 12, e artigos 33.º e 34.º e considerandos 85 a 88 do RGPD

4 - O que é uma violação de dados e o que deve ser feito caso ocorra?

Uma violação de dados ocorre quando a sua empresa/organização sofre um incidente de segurança relativo aos dados pelos quais é responsável que resulta numa violação da confidencialidade, da disponibilidade ou da integridade dos dados. Se tal ocorrer, e se a violação for suscetível de representar um risco para os direitos e as liberdades de uma pessoa, a sua empresa/organização tem de notificar a autoridade de controlo sem demora injustificada e, o mais tardar, no prazo de 72 horas após tomar conhecimento da violação. Se a sua empresa/organização for um subcontratante, tem de notificar todas as violações de dados ao responsável pelo tratamento.

Se a violação de dados representar um elevado risco para aspessoas afetadas, estas devem também ser informadas (a menos que existam medidas de proteção técnicas e organizativas eficazes ou outras medidas destinadas a garantir que não é provável que o risco se volte a concretizar).

Enquanto organização, é fundamental aplicar medidas técnicas e organizativas adequadas para evitar possíveis violações de dados.

    Referência:
  • Grupo do Artigo 29.º para a Proteção de Dados, Orientações sobre a notificação da violação de dados pessoais nos termos do Regulamento 2016/679, 3 de outubro de 2017 (WP 250)
  • Artigo 4.º, ponto 12, e artigos 33.º e 34.º e considerandos 85 a 88 do RGPD

5 - Encarregados da proteção de dados: A minha empresa/organização tem de ter um encarregado da proteção de dados (EPD/DPO)?

A sua empresa/organização tem de nomear um EPD, quer seja um responsável pelo tratamento, quer um subcontratante, se as suas atividades principais envolverem o tratamento de dados sensíveis em grande escala ou se as suas atividades principais envolverem o controlo sistemático, regular e em grande escala de pessoas. Neste contexto, o controlo do comportamento das pessoas inclui todas as formas de rastreamento e definição de perfis na internet, nomeadamente para efeitos de publicidade comportamental.

As administrações públicas têm sempre a obrigação de nomear um EPD (com exceção dos tribunais no exercício da sua função jurisdicional).

O EPD pode ser um funcionário da sua organização ou pode ser contratado externamente com base num contrato de prestação de serviços. O EPD pode ser uma pessoa ou uma organização.

    Referência:
  • Grupo do Artigo 29.º para a Proteção de Dados, Orientações sobre os encarregados da proteção de dados (EPD), 5 de abril de 2017 (WP 243)
  • Artigos 37.º a 39.º e considerando 97 do RGPD

6 - Encarregados da proteção de dados: Quais são as responsabilidades de um encarregado da proteção de dados (EPD/DPO)?

O EPD auxilia o responsável pelo tratamento ou o subcontratante em todas as questões relacionadas com a proteção de dados pessoais. O EPD deve, concretamente:

  • informar e aconselhar o responsável pelo tratamento ou o subcontratante, bem como os seus trabalhadores, sobre as respetivas obrigações nos termos da lei da proteção de dados;
  • controlar o cumprimento, por parte da organização, de toda a legislação relacionada com a proteção de dados, nomeadamente em auditorias, atividades de sensibilização e formação do pessoal implicado nas operações de tratamento;
  • prestar aconselhamento sempre que tenha sido realizada uma AIPD e controlar a sua realização;
  • atuar como ponto de contacto para pedidos de pessoas relativamente ao tratamento dos seus dados pessoais e ao exercício dos seus direitos;
  • cooperar com as APD e atuar como ponto de contacto das mesmas sobre questões relacionadas com o tratamento.

A organização tem de envolver o EPD nas suas atividades em tempo útil. O EPD não deve receber instruções do responsável pelo tratamento nem do subcontratante relativamente ao exercício das suas funções. O EPD responde diretamente perante o nível mais elevado de administração da organização.

    Referência:
  • Artigos 37.º, 38.º, 39.º e considerando 97 do RGPD

LIDAR COM OS CIDADÃOS

1 - Como se deve lidar com pedidos de pessoas no exercício dos seus direitos de proteção de dados?

As pessoas podem contactar a sua empresa/organização para exercerem os direitos que lhes são conferidos pelo RGPD (direitos de acesso, retificação, apagamento, portabilidade, etc.). Se os dados pessoais forem tratados por meios eletrónicos, a sua empresa/organização deve dispor de meios que permitam que os pedidos sejam efetuados por via eletrónica. A sua empresa/organização deve responder aos pedidos sem demora injustificada e, em princípio, no prazo de um mês a contar da receção do pedido.

Pode pedir informações suplementares para confirmar a identidade da pessoa que efetua o pedido.

Se a sua empresa/organização rejeitar o pedido, tem de informar a pessoa sobre os motivos para tal e sobre o direito de apresentar uma reclamação à autoridade de proteção de dados, bem como de intentar ação judicial.

O tratamento dos pedidos das pessoas deve ser efetuado gratuitamente. Se os pedidos forem manifestamente infundados ou excessivos, nomeadamente devido ao seu caráter repetitivo, é possível cobrar uma taxa razoável ou recusar-se a dar seguimento ao pedido.

    Referência:
  • Artigo 12.º e artigos 15.º a 22.º e considerandos 59 e 63 a 71 do RGPD

2 - A que informações e dados pessoais pode uma pessoa aceder a seu pedido?

Quando uma pessoa solicita acesso aos seus dados pessoais, a empresa/organização deve:

  • confirmar se está ou não a efetuar o tratamento de dados pessoais que lhe digam respeito;
  • apresentar uma cópia dos dados pessoais que possui a respeito dessa pessoa
  • prestar informações sobre o tratamento (nomeadamente as finalidades, as categorias de dados pessoais, os destinatários dos dados, etc.)

A sua empresa/organização deve fornecer à pessoa uma cópia dos seus dados pessoais gratuitamente. No entanto, as eventuais cópias suplementares poderão estar sujeitas a uma taxa de valor razoável.

O exercício do direito de acesso está estreitamente ligado ao exercício do direito à portabilidade dos dados, que permite à pessoa transmitir os seus dados para outra organização.

É importante que no aviso de privacidade da sua empresa/organização se distingam claramente estes dois direitos. Assim, ambos os direitos terão de ser brevemente mencionados em separado.

    Referência:
  • Artigo 15.º e considerandos 63 e 64 do RGPD

3 - Temos sempre de apagar os dados pessoais a pedido de uma pessoa?

O Regulamento Geral sobre a Proteção de Dados (RGPD) dá às pessoas o direito de pedirem que os seus dados sejam apagados e as organizações têm a obrigação de o fazer, exceto nos casos seguintes:

  • os dados pessoas que a sua empresa/organização possui são necessários para exercer o direito à liberdade de expressão;
  • quando uma obrigação jurídica o obriga a conservar os dados;
  • por motivos de interesse público (por exemplo, saúde pública, investigação científica ou histórica).

Se a sua empresa/organização tiver efetuado o tratamento de dados ilicitamente, terá de os apagar. Se se tratar de uma pessoa cujos dados pessoais tenham sido recolhidos quando a pessoa era menor, os mesmos terão de ser apagados.

No que se refere ao direito a ser esquecido em linha, as organizações devem tomar medidas razoáveis (por exemplo, medidas técnicas) para informar outros sítios web de que uma determinada pessoa solicitou o apagamento dos seus dados pessoais.

Os dados também podem ser conservados caso tenham sido submetidos a um processo de anonimização adequado.

    Referência:
  • Artigo 17.º e considerandos 65 e 66 do RGPD
  • Grupo do Artigo 29.º para a Proteção de Dados, Orientações sobre a aplicação do acórdão do Tribunal de Justiça da União Europeia no processo C-131/12, Google Spain e Google, ECLI:C:2014:3171 )