European Data Protection Board logo
Close menu

Frequently Asked Questions

Filter on
Filter on topic

How can my processing operations or my organisation become GDPR certified?

Under the GDPR, certification is conducted by national certification bodies or by the competent national data protection authorities (Art. 42(5) GDPR).

For further information, we recommend contacting the relevant national DPA for your organisation. You can find a overview of all EEA DPAs here.

You can find further information regarding certification in the EDPB guidelines on the topic: Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation - version adopted after public consultation

I think my data protection rights have been violated, what can I do?

If you believe your data protection rights have been violated you can contact the organisation holding your data, contact your national data protection authority (DPA), or go to a national court.

DPAs can conduct investigations and impose sanctions where necessary. You can find the contact details for all EEA DPAs here.

How can I apply for the European Data Protection Seal?

Controllers should formally submit their EU-wide certification criteria to:

  1. the competent data protection authority (DPA) in the EEA country where the scheme owners have their headquarters;
  2. the competent data protection authority (DPA) in the EEA country where a certification body operating the certification mechanism have their headquarters, considering the member state in which the most certificates are likely to be issued.

Devo nomear um encarregado de proteção de dados (EPD)?

A nomeação de um encarregado de proteção de dados é obrigatória nos três casos seguintes:

  • a organização é uma autoridade pública;
  • as atividades principais da organização consistem na monitorização regular e sistemática de indivíduos em grande escala, por exemplo, geolocalização através de uma aplicação móvel, ou vigilância de centros comerciais e espaços públicos através de CCTV;
  • as atividades principais da organização consistem no tratamento em larga escala de dados sensíveis ou de dados pessoais relacionados com condenações penais e infrações.

Pode sempre nomear um encarregado da proteção de dados numa base voluntária, mesmo que tal não seja legalmente exigido. Tenha em atenção que, nesse caso, deve cumprir todas as disposições do RGPD relativas às funções e à posição do encarregado da proteção de dados.

Mais informações:

Sou obrigado a tornar público o meu registo de atividades?

Não, não é necessário tornar público o seu registo de atividades de tratamento. No entanto, deve poder disponibilizar o registo à autoridade de proteção de dados, mediante pedido.

Mais informações:

A sua mensagem é sobre a aplicação do RGPD ou de outras regras?

Solicita ao CEPD que investigue e tome medidas contra uma organização que considere estar a infringir a legislação da UE, nomeadamente através de tecnologias específicas, como a IA, as redes sociais ou os serviços de mensagens?

No contexto das regras de proteção de dados, pode apresentar uma reclamação junto da sua autoridade de proteção de dados (APD) (encontre uma lista das mesmas no nosso sítio Web: https://edpb.europa.eu/about-edpb/our-members). A aplicação das regras em matéria de proteção de dados é da responsabilidade das APD. Pode contactar a autoridade de proteção de dados onde vive ou trabalha, ou onde ocorreu a alegada infração, por exemplo.

Outra alternativa é recorrer aos tribunais nacionais onde reside ou onde o responsável pelo tratamento ou o subcontratante está estabelecido. 

Se o RGPD se aplicar à sua situação, mas não estiver sediado na Europa, ainda pode apresentar queixa junto de uma APD na Europa e/ou recorrer aos tribunais.

O CEPD não tem competência para tratar pedidos ou reclamações individuais específicos, nem para prestar serviços de consultoria individuais. O CEPD não é um organismo supranacional que possa investigar queixas.

Por último, se pretender apresentar uma queixa sobre a forma como uma instituição, agência ou organismo da UE utiliza os seus dados pessoais, pode apresentar uma queixa à Autoridade Europeia para a Proteção de Dados (consulte os dados de contacto no nosso sítio Web: https://edpb.europa.eu/about-edpb/our-members).

Chama-se a atenção para o facto de não transmitirmos a sua mensagem às APD nacionais nem à AEPD. Por conseguinte, deve contactá-los diretamente.

Como posso obter o consentimento válido?

Para que o consentimento seja considerado válido, deve ser:

  • cedido livremente;
  • específico;
  • informado; e
  • inequívoco.

Isto significa que as pessoas devem ter uma verdadeira liberdade de escolha quanto ao facto de concordarem ou não com o tratamento dos seus dados pessoais; necessitam de informações suficientes para que possam compreender que dados são tratados, para que finalidade e como é feito; também necessitam de granularidade suficiente nos pedidos de consentimento.

Além disso, deve haver uma ação positiva clara por parte do indivíduo (sem caixas pré-marcadas e feita separadamente das condições gerais aplicáveis).

Além disso, os indivíduos devem poder retirar livremente o seu consentimento (sem quaisquer consequências negativas) se mudarem de ideias mais tarde.

Mais informações:

Quando deve partilhar esta informação?

Se a sua organização estiver a recolher os dados pessoais diretamente das pessoas singulares, deve fornecer as informações necessárias no momento da recolha.

Em caso de recolha indireta de dados pessoais, a sua organização deve fornecer as informações o mais tardar no prazo de um mês após a obtenção inicial dos dados pessoais. Este período máximo de um mês pode ser reduzido:

  • se os dados pessoais forem utilizados para efeitos de comunicação com o titular dos dados. Nesse caso, deve informar o titular dos dados o mais tardar no momento da primeira comunicação ao titular dos dados;
  • se os dados forem transmitidos a outro destinatário, a organização informa desse facto os titulares dos dados o mais tardar aquando da transferência dos dados pessoais.

Mais informações:

What is the purpose of the dispute resolution mechanism of Art. 65.1 (a) and (b) GDPR?

The dispute resolution mechanism triggered under Art.65.1 (a) and (b) GDPR contributes to the good functioning of the cooperation mechanism by addressing any disagreements Concerned Supervisory Authorities (CSAs) may have in a given case or if there are conflicting views as to which authority is the Lead Supervisory Authority (LSA).
The EDPB will act as a dispute resolution body. It must adopt a decision to address the conflict between the involved Data Protection Authorities (DPAs), which is binding on them (Art. 65 GDPR). The decision is adopted by a two-thirds majority of the members of the Board, and in case a decision cannot be adopted within 2 months, the decision is adopted within the next 2 weeks by a simple majority.

How are the EDPB & EDPS related?

The European Data Protection Supervisor (EDPS) is a Member of the European Data Protection Board. In addition, the EDPS provides the EDPB Secretariat. The Secretariat offers administrative and logistic support to the EDPB, performs analytical work and contributes to the EDPB’s tasks.

Although staff at the Secretariat is employed by the EDPS, staff members only work under the instructions of the Chair of the EDPB.

The terms of cooperation between the EDPB and the EDPS are established by the Memorandum of Understanding.

A minha organização tem de cumprir o RGPD?

Todas as organizações, independentemente da sua dimensão ou setor, estabelecidas no Espaço Económico Europeu (EEE) ou que ofereçam produtos ou serviços a pessoas no EEE, tratando dados pessoais, quer por meios automatizados ou não, têm de cumprir o RGPD. Mesmo que o RGPD esteja principalmente relacionado com o tratamento automatizado de dados pessoais, as operações de tratamento realizadas manualmente também estarão sujeitas ao RGPD a partir do momento em que os ficheiros em papel são organizados de forma sistemática, por exemplo, ordenados por ordem alfabética num arquivo.

Exemplos de operações de tratamento incluem a recolha, o registo, a organização, a utilização, a modificação, o armazenamento, a divulgação, a alteração e o apagamento dos dados pessoais das pessoas.

No entanto, a aplicação do RGPD é modulada em função da natureza, do contexto, das finalidades e dos riscos das operações de tratamento efetuadas. Para as PME cuja atividade principal não é o tratamento de dados pessoais, as obrigações podem ser menos rigorosas do que para uma grande empresa.

Mais informações:

Quais são as funções do encarregado da proteção de dados (EPD)?

A tarefa do encarregado da proteção de dados inclui, entre outras:

  • informar e aconselhar a organização e os seus colaboradores sobre o cumprimento da proteção de dados;
  • controlar a conformidade da proteção de dados;
  • prestar aconselhamento sobre pedidos relativos à avaliação de impacto sobre a proteção de dados (AIPD);
  • atuar como ponto de contacto para a autoridade de proteção de dados (APD) e cooperar com essa autoridade de proteção de dados;
  • atuar como ponto de contacto para os indivíduos.

Além disso, a presença do encarregado da proteção de dados é geralmente recomendada quando são tomadas decisões com implicações para a proteção de dados. O encarregado de proteção de dados deve também ser imediatamente consultado logo que tenha ocorrido uma violação de dados ou outro incidente.

Mais informações:

  • Encarregado de proteção de dados

More information:

Quais são as minhas responsabilidades ao abrigo do RGPD?

O RGPD impõe obrigações a todas as organizações que tratam dados pessoais, independentemente de serem responsáveis pelo tratamento de dados ou subcontratantes.

Em especial, deve:

  • Perguntar-se se a finalidade para a qual os dados pessoais podem ser recolhidos se justifica e recolher apenas dados pessoais necessários para a(s) finalidade(s) específica(s) prevista(s);
  • Manter os dados pessoais exatos e atualizados e apagar os dados quando já não forem necessário;
  • Respeitar os direitos das pessoas, informando-as sobre como e por que razão os seus dados são tratados e permitindo-lhes exercer os seus direitos;
  • Verificar se dispõe de uma base legal adequada para o tratamento de dados pessoais. Caso pretenda basear-se no consentimento dos indivíduos, solicitar o seu consentimento antes de tratar os seus dados pessoais;
  • Certificar-se de que os dados pessoais das pessoas são tratados de forma segura;
  • Manter um registo das atividades de tratamento.

Os subcontratantes terão de cumprir as responsabilidades estabelecidas no contrato entre o responsável pelo tratamento e o subcontratante e não devem tratar os dados de outro modo que não seja segundo as instruções do responsável pelo tratamento.

Mais informações:

Quais são os princípios básicos aplicáveis aos tratamentos ao abrigo do RGPD?

  • Qualquer tratamento de dados pessoais deve ser lícito, leal e transparente.
  • Apenas recolher dados pessoais para finalidades específicas, explícitas e legítimas. O tratamento dos dados de uma pessoa deve ser estritamente limitado à(s) finalidade(s) inicialmente estabelecida(s) e, por conseguinte, não ser tratado para finalidades posteriores ou outras que sejam incompatíveis com as finalidades iniciais.
  • Apenas tratar dados pessoais que sejam necessários e proporcionados à luz da finalidade prevista.
  • Todos os dados pessoais que trata devem ser precisos e atualizados. Os dados pessoais inexatos devem ser retificados ou apagados.
  • O armazenamento dos dados pessoais das pessoas singulares deve ser limitado no tempo, tendo em conta a finalidade para a qual esses dados foram recolhidos e tratados. Como tal, os dados pessoais dos indivíduos devem ser apagados ou anonimizados, assim que estes dados deixem de ser necessários.
  • O tratamento dos dados pessoais deve ser efetuado de forma segura. Neste sentido, devem ser criados controlos de cibersegurança sólidos, a fim de garantir a proteção adequada dos dados das pessoas.

Finalmente, o responsável pelo tratamento é responsabilizável. Isto significa que é responsável e deve ser capaz de demonstrar a conformidade com os princípios acima referidos.

Mais informações:

Durante quanto tempo posso armazenar dados pessoais?

Não é possível armazenar dados pessoais para sempre.

Regra geral, os dados pessoais só podem ser conservados durante o tempo necessário, tendo em conta as finalidades para as quais os dados pessoais são tratados.

Em alguns casos, o período de armazenamento pode ser determinado por leis específicas, por exemplo, a regulamentação laboral determina um período de armazenamento para listas de salários.

As organizações devem implementar políticas de conservação de dados para garantir que os dados pessoais não são mantidos por mais tempo do que o necessário. Os dados pessoais das pessoas singulares devem ser apagados ou anonimizados, logo que estes dados deixem de ser necessários para a finalidade para a qual foram tratados.

Mais informações:

Who are the members of the Board?

The EDPB brings together the EU DPAs and the European Data Protection Supervisor (EDPS). The EEA EFTA countries (Iceland, Liechtenstein and Norway) are also members with regard to GDPR-related matters and without the rights to vote and to be elected as chair or deputy chair. The European Commission and - with regard to GDPR-related matters - the EFTA Surveillance Authority have the right to participate in the activities and meetings of the Board without voting rights.

You can find an overview of the EEA DPAs here.

What is the dispute resolution mechanism of Art. 65 GDPR?

When a Lead Supervisory Authority (LSA) issues a draft decision, it consults the Concerned Supervisory Authorities (CSAs), which can express their disagreement with the draft decision by submitting relevant and reasoned objections (RRO) within a period of four weeks (Art. 60.4 GDPR).
When none of the CSAs objects, the LSA may proceed to adopt the decision.

In case at least one of the CSAs has expressed an RRO, and if the LSA intends to follow the objection, it shall submit a revised draft decision to all the CSAs. The CSAs then have a period of two weeks (Art. 60.5 GDPR) to express their RROs to the revised draft decision.

However, if the LSA does not intend to follow the objection(s), since no consensus can be reached, the consistency mechanism is triggered. This means that the LSA is obliged to refer the case to the European Data Protection Board (EDPB) and the dispute resolution role of the EDPB is activated (Art. 65.1(a) GDPR).

The dispute resolution mechanism can be triggered in two further cases:

  • there is a disagreement as to which authority is the LSA (Art. 65.1(b) GDPR);
  • an SA does not seek the opinion of the EDPB as obliged under Art. 64.1 GDPR or does not follow such an opinion (Art. 64.1 - 2 GDPR) (Art. 65.1(c) GDPR).

Está a escrever porque está insatisfeito com a forma como a sua APD tratou o seu pedido ou reclamação?

O CEPD não tem competência para exercer a supervisão das atividades das APD a pedido de pessoas singulares.

Note-se que a competência para emitir orientações gerais não pode ser entendida como um mecanismo para o CEPD exercer supervisão sobre a forma como as APD tratam o seu caso individual. 

Se considerar que o RGPD foi infringido e não estiver satisfeito com a resposta da APD, a solução restante é intentar uma ação judicial.

Preciso de um registo de atividades de tratamento?

De um modo geral, todas as organizações devem manter um registo das suas atividades de tratamento. Este é um inventário de todas as operações de tratamento e pode ajudá-lo a comprrender melhor as suas responsabilidades ao abrigo do RGPD e possíveis riscos.

Cada uma destas operações de tratamento deve ser descrita no registo com as seguintes informações:

  • a finalidade do tratamento (por exemplo, fidelização do cliente);
  • as categorias de dados tratados (por exemplo, para a folha de pagamento: nome, nome próprio, data de nascimento, salário, etc.);
  • quem tem acesso aos dados (os destinatários — por exemplo: o serviço responsável pelo recrutamento, o serviço informático, a gestão, os prestadores de serviços, os parceiros, etc.);
  • quando aplicável, informações relacionadas com transferências de dados pessoais para fora do Espaço Económico Europeu (EEE),
  • sempre que possível, o período de conservação (período durante o qual os dados são úteis do ponto de vista operacional e do ponto de vista arquivístico).
  • sempre que possível, uma descrição geral das medidas de segurança.

O registo das atividades de tratamento é da responsabilidade do gestor da sua organização.

Este registo deve estar disponível para a autoridade de proteção de dados do país do EEE onde opera, se solicitado.

Não é necessário que as organizações que empregam menos de 250 pessoas mencionem atividades puramente ocasionais no seu registo (por exemplo, dados tratados para eventos pontuais, como a abertura de uma loja).

Mais informações:

O que constitui um conflito de interesses para um encarregado da proteção de dados (EPD)?

Os EPD podem desempenhar outras tarefas dentro da organização, mas isso não pode resultar num conflito de interesses. Tal implica que o encarregado de proteção de dados não pode ter uma posição na qual determine as finalidades e os meios das atividades de tratamento. As funções conflituantes incluem principalmente cargos de gestão (chefe de administração, diretor operacional, diretor financeiro, chefe de recursos humanos, chefe de TI, diretor executivo), mas podem também envolver outras funções se conduzirem à determinação das finalidades e dos meios de tratamento.

O encarregado de proteção de dados deve poder desempenhar as suas funções e tarefas de forma independente. Isto significa que a sua organização:

  • não pode dar instruções ao encarregado de proteção de dados sobre o desempenho das suas funções;
  • não pode penalizar ou demitir o encarregado de proteção de dados pelo desempenho das suas funções.

Mais informações: