Frequently Asked Questions

O RGPD distingue entre duas funções principais: as do responsável pelo tratamento de dados e do subcontratante. Esta distinção é crucial, uma vez que o responsável pelo tratamento dos dados assume mais responsabilidades e tem de cumprir mais obrigações do que o subcontratante.

Os responsáveis pelo tratamento de dados e os subcontratantes podem ser pessoas singulares ou coletivas, por exemplo: uma PME, uma autoridade pública, uma empresa, uma organização, um organismo estatal, uma associação, etc.

O responsável pelo tratamento determina as finalidades e os meios de uma operação de tratamento. Por outras palavras, o responsável pelo tratamento decide o como e o porquê de uma operação de tratamento. Considerando que os subcontratantes tratam dados pessoais em nome do responsável pelo tratamento, o tratamento efetuado pelos subcontratantes deve ser regulado por um contrato com o responsável pelo tratamento dos dados ou por outro ato jurídico.

Exemplos de responsáveis pelo tratamento:

• empresas que tratam os dados pessoais dos seus clientes para concluir uma venda;
• instituições financeiras que tratam dados pessoais dos seus clientes;
• associações que tratam os dados dos seus membros;
• escolas ou universidades que tratam dados pessoais de estudantes e professores;
• hospitais que tratam dados pessoais dos seus doentes;
• agências governamentais que tratam dados pessoais dos cidadãos.

Exemplos de subcontratantes:

• uma PME contrata um serviço de contabilidade para manter os seus livros e registos, a PME é responsável pelo tratamento de dados e o serviço de contabilidade é um subcontratante de dados;
• uma empresa de processamento de salários processa dados pessoais de uma PME. A empresa de processamento de salários atuará como subcontratante se apenas tratar os dados pessoais em nome da PME. A PME determina as finalidades e os meios do tratamento de dados e, por conseguinte, é responsável pelo tratamento dos dados.
• uma PME encarrega uma empresa de marketing de recolher endereços de correio eletrónico através de sítios Web de terceiros.  A empresa de marketing fá-lo de acordo com as instruções explícitas da PME e para fins exclusivos da PME. A Empresa de Marketing atua como subcontratante para esta recolha de dados.

Mais informações:

• Responsável pelo tratamento de dados ou subcontratante

Alguns tipos de dados pessoais pertencem a categorias especiais de dados pessoais, o que significa que merecem mais proteção, os chamados dados sensíveis. Os dados sensíveis incluem dados que revelam informações sobre:

• a saúde de uma pessoa;
• a orientação sexual de um indivíduo;
• origem racial ou étnica de um indivíduo;
• as opiniões políticas, as convicções religiosas ou filosóficas de uma pessoa; a filiação sindical de uma pessoa;
• dados biométricos e genéticos de um indivíduo.

O tratamento de dados sensíveis de uma pessoa é geralmente proibido, exceto em circunstâncias específicas que justifiquem o seu tratamento.

Mais informações:

• Elementos básicos em matéria de proteção de dados

O EPD pode ser um trabalhador existente com conhecimento suficiente do RGPD (se as tarefas profissionais do trabalhador forem compatíveis com as do EPD e tal não conduzir a conflitos de interesses) ou uma pessoa externa. O encarregado de proteção de dados deve poder desempenhar as suas funções de forma independente e comunicar diretamente ao mais alto nível da direção.

Mais informações:

• Encarregado de proteção de dados

The archived documents adopted by the Article 29 Working Party (1997-2016) are available on the website of the European Commission here: WP29 archive.

Should you experience any difficulty accessing WP29 documents, we recommend contacting the European Commission's DG Justice. The European Commission provided the Secretariat for the Article 29 Working Party and was responsible for all its publications. 

You can contact them by filling out the following form

Every organisation, regardless of the their size or sector, established in the European Economic Area (EEA) or offering products or services to individuals in the EEA, processing personal data whether or not by automated means needs to comply with the GDPR. The GDPR applies to the automated processing of personal data and to processing operations carried out manually from the moment the paper files are organised in a systematic manner, e.g. ordered alphabetically in a filing cabinet.

Examples of processing operations include collecting, recording, organising, using, modifying, storing, disclosing, altering and erasing individuals’ personal data.

Nevertheless, the application of the GDPR is modulated according to the nature, context, purposes and risks of the processing operations carried out. For SMEs whose core business is not the processing of personal data, the obligations can be less strict than for a large company.

Once a public consultation is closed, all contributions to the public consultation are reviewed and, where necessary, the guidelines may be adapted. Once this process has been completed, the guidelines will be up for final adoption at a subsequent EDPB plenary.

Dados pessoais significa qualquer informação relativa a um indivíduo identificado ou identificável. Um indivíduo identificável é qualquer pessoa que possa ser identificada, direta ou indiretamente. Diferentes elementos de informação que somados em conjunto podem conduzir à identificação de uma determinada pessoa também constituem dados pessoais.

Exemplos de dados pessoais incluem:

• nome e apelido;
• um endereço de domicílio;
• um endereço de correio eletrónico;
• um número de bilhete de identidade;
• dados de localização;
• um endereço IP (Protocolo Internet);
• um ID de cookie;
• contas bancárias;
• relatórios fiscais;
• dados biométricos (como impressões digitais);
• um número de segurança social;
• número do passaporte;
• resultados dos ensaios;
• notas na escola;
• histórico de navegação;
• fotografia individual;
• número de matrícula do veículo, etc.

Mais informações:

• Elementos básicos em matéria de proteção de dados

All comments submitted are screened and reviewed manually before being displayed on our website. There should have been a visual confirmation after submitting your comments on our website.

In any case, please allow for some time before your comments are published.

The GDPR puts in place clear procedures in case of a data breach. If a data breach poses a risk, companies and organisations holding your data have to inform the relevant data protection authority within 72 hours or without undue further delay. If the leak poses a high risk to you, then you must also be informed personally.

For more information on data breaches, please consult the EDPB Data Protection Guide for small business.

We are constantly working on the translation of our documents into the official EU languages.
All static content, as well as press releases and documents officially adopted by the Board, such as Guidelines, will be made available in these languages.

This process takes time and various steps need to be completed in order to provide translations of the best quality.

Please note that documents undergoing public consultation are usually not translated. It is only after the public consultation has been concluded and a final version of the document has been adopted by the Board that these documents will be translated.

Certification bodies are accredited by the national data protection authorities (DPA) or by the national accreditation body (named in accordance with Regulation 17065/2012). For further information regarding certification bodies, we recommend contacting the national DPA in your country. You can find an overview of all EEA DPAs here.

You can find further information regarding accreditation of certification bodies here: Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation (2016/679)

1. Certifique-se de que os dados que recebeu foram recolhidos de forma legítima e que as pessoas em causa foram informadas sobre o tratamento dos seus dados pessoais.
2. Caso a entidade esteja a tratar dados pessoais em seu nome, certifique-se de que tem um contrato entre responsável pelo tratamento e subcontratante, que detalhe as operações de tratamento e os meios para tratar os dados pessoais.

E, claro, cumpra todas as obrigações dos responsáveis pelo tratamento.

Mais informações:

• Responsável pelo tratamento de dados ou subcontratante

As medidas de segurança necessárias podem diferir com base na natureza dos dados pessoais que trata e nos riscos associados para as pessoas. Em qualquer caso, existem algumas medidas mínimas a aplicar:

• acesso seguro às instalações;
• utilizar software antivírus regularmente atualizado;
• escolha cuidadosamente as suas palavras-passe;
• fazer com que os utilizadores se autentiquem antes de utilizarem as instalações informáticas;
• tenha uma política de salvaguarda e recuperação de dados em vigor em caso de incidente.

Além disso, algumas medidas básicas, como bloquear o ecrã enquanto está longe e bloquear o escritório no final do dia, nunca estão fora do lugar…

Mais informações:

• Dados pessoais seguros

A publicação dos nomes dos vencedores de um concurso no seu sítio Web pode ser considerada um interesse legítimo, se puder provar isso através da realização de um teste de ponderação para determinar se os seus interesses legítimos prevalecem sobre os direitos dos indivíduos.

Uma boa prática seria estabelecer um procedimento interno em que sejam explicadas as regras relativas à publicação dos dados pessoais dos vencedores.

Além disso, o tratamento de dados pessoais para estes fins deve fazer parte da política de privacidade do concurso, de modo a que os participantes sejam previamente informados sobre a forma como os seus dados serão tratados.

Mais informações:

• Tratar legalmente os dados pessoais

All documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

Once published, recently adopted documents will be listed under “latest publications” on the main page of this website.

You can also find overviews of the documents adopted per plenary on the EDPB news page.

O CEPD não presta aconselhamento jurídico personalizado aos cidadãos ou às organizações privadas/públicas sobre a forma de aplicar a legislação em matéria de proteção de dados a casos específicos. 

O principal papel do CEPD é emitir orientações e pareceres gerais. Todas as orientações e pareceres adotados podem ser consultados em: Orientações, recomendações, boas práticas e pareceres. Recomendamos igualmente a leitura do Guia de Proteção de Dados para as Pequenas Empresas. Este guia irá ajudá-lo a compreender os principais conceitos de proteção de dados, os direitos das pessoas ao abrigo do RGPD, os requisitos de conformidade, as medidas de segurança e a forma de lidar com violações de dados.

Para mais informações sobre o papel do CEPD e a aplicação do RGPD, consultar: Frequently Asked Questions.

Convidamo-lo igualmente a consultar os sítios Web da autoridade de proteção de dados do seu país. As hiperligações para os sítios Web dos nossos Membros podem ser consultadas em: Our members.

Once the Lead Supervisory Authority (LSA) or, in some cases the Concerned Supervisory Authority (CSA), with which the complaint was lodged has notified the EDPB of the date its final decision was communicated to the controller or processor and, where relevant, to the complainant, the EDPB will publish its own decision on its website.

The European Data Protection Board (EDPB) is an independent European body, which contributes to the consistent application of data protection rules throughout the European Union, and promotes cooperation between the EU’s data protection authorities (DPAs), as well as the DPAs of Iceland, Liechtenstein and Norway (the European Economic Area or EEA).

The EDPB aims to ensure the consistent application of the General Data Protection Regulation and of the Law Enforcement Directive in the European Economic Area (EEA). The EDPB also looks into the application of certain aspects of the ePrivacy Directive.

Our main tasks and duties are:

• providing general guidance (including guidelines, recommendations and best practices) to clarify the law and to promote a common understanding of EU data protection laws;
• adopting opinions addressed to the European Commission or to the national Data Protection Authorities (DPAs):
  • to advise the European Commission on any issue related to the protection of personal data and newly proposed legislation in the European Union (Art. 70 GDPR). In some instances, we issue Joint Opinions together with the EDPS (Art.42 of Regulation 2018/1725);
  • to ensure consistency of the activities of national data protection authorities (DPAs) on cross-border matters (Art. 64 GDPR). If authorities fail to respect an opinion issued by the EDPB, we may adopt a binding decision;
• adopting binding decisions addressed to the national DPAs and aiming to settle disputes between them when they cooperate in cross-border cases, with the purpose of ensuring the correct and consistent application of the GDPR in individual cases;
• promoting and supporting the cooperation among national DPAs.

Sim, pode, mas o RGPD impõe certas obrigações às empresas que partilham dados pessoais. A sua organização deve informar as pessoas de que irá partilhar os seus dados com terceiros. Deve também informá-los sobre as suas finalidades, segurança, acesso e as medidas de conservação que se aplicarão.