European Data Protection Board logo
Close menu

Frequently Asked Questions

Filter on
Filter on topic

O que é uma declaração de privacidade?

Em caso de recolha direta de dados pessoais junto das pessoas em causa, as organizações devem fornecer informações sobre as operações de tratamento de forma concisa e transparente, utilizando uma linguagem compreensível, facilmente acessível e clara e simples. Tal pode ser feito por escrito (por exemplo, no verso de uma proposta) ou por meios eletrónicos (por exemplo, num sítio Web). Se a pessoa em causa o solicitar, pode também fornecer estas informações oralmente, mas deve poder fazê-lo posteriormente.

Mesmo quando os dados foram recolhidos indiretamente, ou seja, se não recolher diretamente os dados pessoais de uma pessoa, mas, por exemplo, através de um terceiro, deve fornecer as mesmas informações detalhadas aos indivíduos.

Como posso responder a um pedido de apagamento?

As pessoas singulares têm o direito de solicitar o apagamento dos dados pessoais que lhes digam respeito e, nesse caso, o responsável pelo tratamento tem a obrigação de apagar os dados pessoais. Deve responder sem demora injustificada e, o mais tardar, no prazo de um mês a contar da receção do pedido. Este prazo pode ser prorrogado por mais dois meses se o pedido for demasiado complexo e for necessário mais tempo para dar cumprimento ao pedido, desde que a pessoa seja informada desse facto no prazo de um mês a contar da receção do pedido.

É importante notar que o direito ao apagamento não é absoluto. Não se aplica quando os dados em questão forem necessários para:

  • exercer o direito à liberdade de expressão e de informação (por exemplo, para fins jornalísticos);
  • cumprimento de uma obrigação legal que exija o tratamento de dados pessoais (por exemplo, o tratamento de registos sobre o horário de trabalho dos trabalhadores);
  • razões de interesse público no domínio da saúde pública
  • fins de arquivo de interesse público ou fins de investigação científica ou histórica ou fins estatísticos; e
  • a declaração, o exercício ou a defesa de um direito num processo judicial.

Quando os dados pessoais a apagar foram previamente transferidos para outras organizações, deve informar esses destinatários de que o indivíduo solicitou o apagamento, salvo se tal se revelar impossível ou exigir esforços desproporcionados.

Mais informações:

Can a Data Protection Authority (DPA) challenge an Art. 65 GDPR decision by the EDPB?

As addressees of the EDPB decisions, the relevant Data Protection Authorities (DPAs) that wish to challenge these decisions can bring an action for annulment before the European Court of Justice (CJEU) within two months of being notified.

Posso gravar conversas telefónicas com os clientes para melhorar a qualidade do serviço e preciso de consentimento para isso?

Sim, os seus clientes devem ser informados, quando fazem uma chamada telefónica, das finalidades da gravação, dos destinatários das gravações, do seu direito de oposição e do seu direito de acesso às gravações.

Mais informações:

I wish to lodge a complaint with a data protection authority (DPA), which authority should I contact?

Under the GDPR, you have the right to lodge a complaint with the Data Protection Authority (DPA) in the country of:

  • your habitual residence;
  • your place of work; or
  • the place where the alleged infringement took place.

Find the contact details for all EEA DPAs

Related questions
Who is data controller and who is data processor?

Can I lodge a complaint with the EDPB?

No. The EDPB does not handle complaints or conduct investigations. If you believe your data protection rights have been violated you can contact the organisation holding your data, contact your national data protection authority (DPA), or go to a national court.

DPAs can conduct investigations and impose sanctions where necessary. Find the contact details for all EEA DPAs 

In which cases is the dispute resolution mechanism of Art. 65.1 (c) GDPR triggered?

While Art. 65 (a) and (b) relate to the one-stop-mechanism, Art.65.1 (c) GDPR concerns obligations of Data Protection Authorities (DPAs) stemming from the consistency mechanism.

More specifically, every competent DPA has the duty to request an opinion from the EDPB before adopting national measures pursuant to article 64.1 GDPR. Such measures include lists of processing operations for which a Data Protection Impact Assessment (DPIA) is required, or the approval of a new set of standard clauses. In addition, under Art. 64.2 GDPR, any SA may also request an EDPB consistency opinion on any matter of general application or producing effects in more than one Member State.

If an DPA does not request the opinion of the EDPB for the cases listed under Art. 64.1 GDPR or does not follow the EDPB opinion issued under Art. 64 GDPR, any DPA and the European Commission can launch the dispute resolution procedure of Art. 65.1 (c) GDPR about the matter.

How does cross-border cooperation work under the GDPR?

The General Data Protection Regulation (GDPR) requires the Data Protection Authority (DPA) of the European Economic Area (EEA) to cooperate closely - under the umbrella of the European Data Protection Board (EDPB) - to ensure the consistent application of the GDPR and the protection of individuals’ data protection rights across the EEA. One of their tasks is to coordinate decision-making in cross-border data processing cases.
A processing is cross-border when:

  • data processing takes place in more than one country;
  • or it substantially affects or it is likely to substantially affect individuals in more than one country.

Under the so-called one-stop-shop mechanism Art. 60 GDPR, the Lead Supervisory Authority (LSA) acts as the main point of contact for the controller or processor for a given processing, while the Concerned Supervisory Authorities (CSAs) act as the main point of contact for individuals in the territory of their Member State. The LSA is the authority in charge of leading the cooperation process. It will share relevant information with the CSAs, carry out the investigations, prepare the draft decision relating to the case, and cooperate with the other CSAs in an endeavour to reach consensus on this draft decision.

What is the EDPS?

The European Data Protection Supervisor (EDPS) is the European Union’s (EU) independent data protection authority.

The EDPS is responsible for monitoring the processing of personal data by the EU institutions, bodies, offices and agencies (EUIs) as well as providing advice on policies and legislation that affect privacy and cooperating with similar authorities to ensure consistent data protection.

For more information visit the EDPS website.

O que significa o tratamento de dados pessoais?

O tratamento de dados pessoais refere-se a qualquer tipo de atividade (operação de tratamento) realizada sobre ou com dados pessoais das pessoas singulares. Tal inclui a recolha, o registo, a organização, a estruturação, o armazenamento, a adaptação ou alteração, a recuperação, a consulta, o inquérito, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, o alinhamento ou a combinação, a limitação, o apagamento ou a destruição de dados pessoais.

É possível processar dados sensíveis?

Não, o tratamento de dados sensíveis é geralmente proibido, exceto em circunstâncias muito específicas:

  • A pessoa tiver dado o seu consentimento explícito para o tratamento dos seus dados sensíveis.
  • O tratamento de dados sensíveis for necessário para que o responsável pelo tratamento cumpra as suas obrigações, nomeadamente no contexto do emprego, da segurança social e da proteção social. Por exemplo, o responsável pelo tratamento de dados pode ter de tratar os dados sensíveis de uma pessoa para poder determinar se tem direito a determinadas prestações de segurança social ou subsídios de emprego.
  • O tratamento de dados sensíveis for necessário para proteger os interesses vitais de uma pessoa quando a pessoa seja física ou legalmente incapaz de dar o seu consentimento. Por exemplo, se um indivíduo ficar inconsciente em resultado de um acidente e necessitar de cuidados médicos imediatos, os seus dados de saúde podem ter de ser processados para que os cuidados médicos adequados sejam prestados.
  • O tratamento de dados sensíveis é efetuado no contexto das atividades legítimas de uma fundação, associação ou outra organização sem fins lucrativos com um objetivo político, filosófico, religioso ou sindical, e apenas para o tratamento dos dados pessoais dos seus membros, antigos membros ou pessoas que com eles tenham contactos regulares.
  • Os dados sensíveis foram manifestamente tornados públicos pelo titular.
  • O tratamento de dados sensíveis for necessário no contexto de processos judiciais.
  • O tratamento de dados sensíveis for necessário por motivos de interesse público importante.
  • O tratamento de dados sensíveis for necessário no contexto da medicina preventiva ou do trabalho. Por exemplo, avaliar os dados sensíveis de uma pessoa, como os seus dados médicos, pode ser necessário para determinar a sua capacidade de trabalho como funcionário.
  • O tratamento de dados sensíveis for necessário por questões de saúde pública com base na legislação da UE ou nacional. Por exemplo, o tratamento de dados sensíveis de indivíduos pode ser necessário para garantir uma elevada qualidade dos cuidados de saúde e uma elevada qualidade dos produtos médicos, ou para combater ameaças graves para a saúde, como vírus.
  • O tratamento de dados sensíveis for necessário para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos. Por exemplo, o tratamento de dados sensíveis pode ser necessário para fornecer estatísticas precisas sobre a situação de um país num determinado domínio.

Mais informações:

O que posso fazer no caso de o subcontratante não pretender assinar um contrato de responsável pelo tratamento/subcontratante?

Um contrato válido entre o responsável pelo tratamento e o subcontratante é obrigatório ao abrigo do RGPD. Uma infração pode ser objeto de uma coima até 10 milhões de euros ou até 2 % do volume de negócios anual total de uma empresa, consoante o que for mais elevado.

Para ajudar a orientá-lo na criação de um acordo entre o responsável pelo tratamento e o subcontratante, as autoridades dinamarquesas e eslovenas de proteção de dados, bem como a Comissão Europeia, desenvolveram modelos de acordos.

Mais informações:

What should I do when someone asks how I process their data?

As pessoas singulares podem perguntar-lhe se está a tratar os seus dados e, se for caso disso, tem o direito de aceder a esses dados. Assim, quando tal acontecer e se processar os seus dados, deverá, por exemplo, fornecer gratuitamente uma cópia dos seus dados pessoais, juntamente com quaisquer informações adicionais necessárias. Se um pedido for apresentado por via eletrónica, a sua organização deve fornecer as informações necessárias num formato eletrónico comummente utilizado, salvo pedido em contrário.

Mais informações:

Quanto tempo tenho para responder a um pedido de acesso?

Deve responder sem demora injustificada e, o mais tardar, no prazo de um mês a contar da receção do pedido. Este prazo pode ser prorrogado por mais dois meses se o pedido for demasiado complexo e for necessário mais tempo para responder, desde que a pessoa seja informada desse facto no prazo de um mês a contar da receção do pedido.

Deve fazê-lo gratuitamente.

Mais informações:

Solicita ao CEPD que emita orientações sobre um tema específico?

Tomamos nota da sua sugestão ao CEPD no sentido de considerar esta questão para orientação futura. Pode consultar os temas atualmente incluídos no programa de trabalho do CEPD no nosso sítio Web: https://www.edpb.europa.eu/about-edpb/what-we-do/strategy-work-programme_pt.

I have received a communication from someone claiming to be working for the EDPB informing me that I am not in compliance with the GDPR, is this something the EDPB does?

Please note that the EDPB does not contact individuals, via phone or other means of communication, to inform them of such matters.

Therefore, it could be that the call you received represents a phishing attack targeting you abusing our name.

Ir para o formulário de contacto

The EDPB has adopted its binding decision: when is it notified to the relevant national Data Protection Authorities (DPAs), in which language and what happens next?

Once the EDPB has adopted a binding decision, the EDPB Chair notifies the binding decision to the relevant national Data Protection Authorities (DPAs) without undue delay.

Prior to the notification, the binding decision is translated into the languages of the relevant national DPAs that have to adopt a final decision or take measures at national level on the basis of the binding decision1. Translation and proofreading can take a few weeks. In any case, the English version of the decision is the only authentic language version.

Next step for the relevant  Data Protection Authorities (DPAs)

Once the relevant SAs have been notified of the binding decision, a decision has to be adopted at national level to implement the content of the binding decision. This decision will be adopted without undue delay and at the latest one month after the EDPB has notified its decision.
For cross-border cases where no consensus was found (Art. 65.1 (a) GDPR), the final decision will be addressed to the controller or processor and, where relevant, to the complainant.

  1. Please see paragraphs 6 and 7 of Art. 11 of the EDPB Rules of Procedure. In exceptional cases, other Concerned Supervisory Authority (CSAs) can request, providing the reasons, an urgent translation in their official EU language(s) no later than at the moment of adoption of the binding decision.

The dispute resolution mechanism of Art. 65 GDPR has been triggered - what happens next?

Within one month from the referral of the subject matter, the EDPB must adopt a decision by a two-thirds majority. 

The one-month deadline to adopt this binding decision can be extended by another month, if the case is complex. When the EDPB is not able to reach a decision within the abovementioned period, the decision must be adopted by a simple majority within two additional weeks. Should the members of the EDPB be split, the decision will be adopted by the vote of the EDPB Chair.

Preciso de consentimento para utilizar cookies no site da minha organização?

O RGPD aplica-se à utilização de cookies quando estes são utilizados para o tratamento de dados pessoais, mas também existem regras mais específicas para os cookies, incluindo a Diretiva da Privacidade nas comunicações eletrónicas.

O armazenamento de um cookie, ou a obtenção de acesso a um cookie já armazenado, no equipamento terminal de um utilizador só é permitido se o assinante ou utilizador em causa tiver sido devidamente informado (em especial sobre as finalidades do tratamento) e tiver dado o seu consentimento.

A única exceção são os cookies tecnicamente necessários. As organizações não precisam de pedir consentimento quando utilizam cookies tecnicamente necessários nos seus sítios Web.

Mais informações:

Qual é a diferença entre dados pseudonimizados e dados anonimizados?

A pseudonimização consiste na transformação de dados pessoais para que deixem de poder ser atribuídos a um indivíduo específico sem a utilização de informações adicionais, desde que essas informações adicionais sejam mantidas separadamente e estejam sujeitas a medidas técnicas e organizativas para garantir que os dados pessoais não são atribuídos a indivíduos. Na prática, pode significar a substituição de dados pessoais (nome, nome próprio, número pessoal, número de telefone, etc.) num conjunto de dados por dados de identificação indireta (por exemplo, número sequencial, etc.). Os dados pseudonimizados continuam a ser dados pessoais e estão sujeitos ao RGPD.

Dados anónimos são dados que foram tornados anónimos de tal forma que o indivíduo não é ou deixou de ser identificável por qualquer meio que seja razoavelmente provável de ser utilizado. Quando a anonimização é implementada corretamente, o RGPD deixa de se aplicar aos dados anonimizados.

Mais informações: