Frequently Asked Questions

Uma violação de dados pessoais é uma violação de segurança que conduz à destruição acidental ou ilícita, perda, alteração, divulgação ou acesso não autorizado de dados pessoais.

• Se a violação de dados representar um risco para as pessoas em causa, deve notificá-la à autoridade de proteção de dados relevante no prazo de 72 horas.
• Se a violação for suscetível de resultar num risco elevado para as pessoas, terá também de comunicar essa violação às pessoas em causa sem demora injustificada.

Em qualquer caso, para todas as violações — mesmo aquelas que não são notificadas a uma APD — deve registar pelo menos os detalhes básicos da violação, a sua avaliação, os seus efeitos e as medidas tomadas em resposta.

Mais informações:

• Violações de dados

O RGPD prevê direitos específicos para os indivíduos que têm de ser respeitados. Pode fazê-lo através de:

• informar as pessoas cujos dados trata sobre as suas operações de tratamento e as finalidades de tratamento quando recolhe os seus dados, por exemplo através de uma declaração de privacidade no seu sítio Web;
• respondendo aos pedidos das pessoas para exercerem os seus direitos, tais como pedidos de acesso, retificação, oposição, apagamento ou portabilidade.

As organizações que são transparentes quanto à sua utilização de dados pessoais e que respeitam os direitos dos indivíduos têm menos probabilidades de se tornarem objeto de reclamações.

Mais informações:

• Respeitar os direitos dos indivíduos

O Comité de Coordenação e de Controlo (CCS) – que existe no CEPD – coordena a supervisão do tratamento de dados pessoais no Sistema de Informação de Schengen (SIS). A legislação pertinente da UE é o Regulamento (UE) 2018/1862 (em especial o artigo 71.o) e o Regulamento (UE) 2018/1861 (em especial o artigo 57.o).

Para os dados pessoais incluídos no SIS, tem direitos de acesso, retificação e apagamento. Estes direitos incluem:

• O direito de saber se as informações que lhe dizem respeito são tratadas no SIS;
• O direito de acesso a esses dados;
• O direito à retificação de dados inexatos ou ao apagamento relativos a dados armazenados ilicitamente; e
• O direito de intentar uma ação junto dos tribunais, da sua autoridade de proteção de dados e/ou das autoridades competentes, consoante o caso, para corrigir ou apagar os dados que lhe digam respeito ou para obter uma indemnização.

Para exercer os seus direitos, contacte a sua autoridade nacional competente, no país Schengen da sua escolha. Para mais informações sobre as autoridades nacionais competentes e sobre a autoridade de proteção de dados em cada país Schengen, consulte o «Guiapara o exercício dos direitos dos titulares dos dados»,disponível no nosso sítio Web. Lá também pode encontrar modelos de cartas para o ajudar no exercício dos seus direitos. 

Note-se que o CEPD não tem competência para tratar reclamações ou pedidos individuais. Além disso, o CEPD não tem acesso ao conteúdo destes sistemas de informação e bases de dados.

Para mais informações sobre como exercer os seus direitos, consultar o nosso sítio https://www.edpb.europa.eu/our-work-tools/our-documents/csc-data-subject-rights/schengen-information-system-guide-exercising_pt.

O CEPD publica regularmente comunicados de imprensa, notícias, blogues e outros conteúdos no sítio Web do CEPD e nos seus canais de redes sociais (Twitter: @EU_EDPB; LinkedIn: Comité Europeu para a Proteção de Dados) para manter a comunidade de proteção de dados e o público em geral atualizados sobre o seu trabalho.

O sítio Web do CEPD dispõe igualmente de dois feeds RSS, que pode subscrever para atualizações automáticas das notícias do CEPD e das mais recentes publicações do CEPD.

O RGPD ou o Regulamento Geral sobre a Proteção de Dados cria um conjunto harmonizado de regras aplicáveis a todo o tratamento de dados pessoais por organizações (públicas ou privadas, independentemente da sua dimensão) estabelecidas no Espaço Económico Europeu (EEE) ou dirigidas a pessoas singulares na UE. O principal objetivo do RGPD é garantir que os dados pessoais gozam do mesmo nível elevado de proteção em todo o EEE, aumentando a segurança jurídica tanto para as pessoas singulares como para as organizações que tratam dados e oferecendo um elevado grau de proteção às pessoas singulares.

O regulamento entrou em vigor em 24 de maio de 2016 e é aplicável desde 25 de maio de 2018.

All individuals residing in the European Economic Area (EEA) have the right to the protection of their personal data.

More specifically, under the GDPR, you have several rights

• Right to be informed
• Right of access
• Right to rectification
• Right to restriction of processing
• Right to data portability
• Right to object
• Right not be subject to a decision based solely on automated processing.

For more information on your rights, please consult our leaflet The GDPR and your rights or the EDPB Data Protection Guide for small business.

Sim, o RGPD aplica-se aos dados pessoais se estes estiverem contidos ou se destinarem a integrar um ficheiro. Isto significa que o RGPD também se aplica aos registos em papel e não apenas ao tratamento automatizado de dados pessoais.

Mais informações:

• Elementos básicos em matéria de proteção de dados

Quando dois ou mais responsáveis pelo tratamento de dados determinam conjuntamente a finalidade e os meios de tratamento, são considerados responsáveis conjuntos pelo tratamento. Decidem em conjunto tratar dados pessoais para uma finalidade conjunta. A responsabilidade conjunta pelo tratamento pode assumir muitas formas e a participação dos diferentes responsáveis pelo tratamento pode ser desigual. Os responsáveis conjuntos pelo tratamento devem, por conseguinte, determinar as respetivas responsabilidades pelo cumprimento do RGPD.

É importante notar que a responsabilidade conjunta pelo tratamento conduz a uma responsabilidade conjunta por uma atividade de tratamento.

• Exemplo de responsabilidade conjunta: As empresas A e B lançaram um produto de marca comum e pretendem organizar um evento para promover este produto. Para o efeito, decidem partilhar dados das respetivas bases de dados de clientes e potenciais clientes e decidem assim sobre a lista de convidados para o evento. Acordam igualmente sobre as modalidades de envio dos convites para o evento, sobre a forma de recolher informações durante o evento e sobre as ações de marketing de acompanhamento. As empresas A e B podem ser consideradas responsáveis conjuntas pelo tratamento de dados pessoais relacionados com a organização do evento promocional, uma vez que decidem em conjunto sobre a finalidade definida em conjunto e os meios essenciais do tratamento de dados neste contexto.

Mais informações:

• Responsável pelo tratamento de dados ou subcontratante

Sim, mas para tal, terá de determinar, em primeiro lugar, a base legal para o tratamento deste tipo de dados pessoais. Por exemplo, o tratamento pode ser considerado um interesse legítimo para a sua organização. Ao tratar dados pessoais com base no interesse legítimo, é sempre necessário realizar um teste de ponderação para determinar se os seus interesses legítimos prevalecem sobre os direitos das pessoas, especialmente se as crianças estiverem envolvidas.

Outra possível base legal para esse tratamento poderia ser o consentimento. De qualquer forma, as pessoas devem ser sempre informadas com antecedência de que o evento está a ser fotografado ou filmado.

Mais informações:

• Tratar legalmente os dados pessoais

Com efeito, o consentimento pode constituir uma base jurídica válida para o armazenamento dos CV dos candidatos a emprego. Outra possível base legal poderia ser o interesse legítimo. Nesse caso, terá de realizar um teste de ponderação para provar que os interesses legítimos da sua organização são superiores aos direitos dos candidatos.

De qualquer forma, terá de informar os candidatos de que tenciona armazenar os seus dados e para que finalidades.

Mais informações:

• Tratar legalmente os dados pessoais

A Comissão Europeia pode decidir se um país fora da Europa (ou uma organização internacional) oferece um nível «adequado» de proteção de dados, o que facilita os fluxos de dados entre a Europa e esse país. 

O CEPD é responsável pela emissão de pareceres sobre os projetos de decisões de adequação, antes da decisão da Comissão Europeia. Os pareceres não são vinculativos para a Comissão Europeia, mas são geralmente úteis para as outras organizações consultadas neste âmbito, como os Estados-Membros da UE.

Além disso, a Comissão Europeia é a entidade competente para acompanhar os desenvolvimentos em países não europeus que possam afetar as decisões de adequação. Algumas decisões de adequação preveem uma regularidade específica para a revisão da decisão e podem referir a possibilidade de os representantes do CEPD participarem no processo de revisão organizado pela Comissão Europeia.

Note-se também que as Autoridades Europeias de Proteção de Dados podem proteger as pessoas no que diz respeito às transferências de dados efetuadas no contexto de uma decisão de adequação (consulte uma lista das mesmas no nosso sítio Web: https://edpb.europa.eu/about-edpb/our-members).

Se considerar que uma decisão de adequação existente não está em conformidade com os seus direitos fundamentais à privacidade e à proteção de dados, pode apresentar uma queixa à sua APD, que pode apresentar essas objeções junto de um tribunal nacional que pode ser obrigado a submeter um pedido de decisão prejudicial ao Tribunal de Justiça [ver artigo 58.o, n.o 5, do RGPD e acórdão Schrems do TJUE (processo C-362/14)].

Para mais informações, consultar: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_pt 

Unfortunately, the EDPB cannot consider late contributions as part of the public consultation.

O tratamento de dados pessoais é permitido se existir uma base legal para o efeito. Além do consentimento livre, específico, informado e inequívoco, podem ser utilizadas outras bases legais para o tratamento.

Por outras palavras, o consentimento é necessário quando nenhuma dos outros fundamentos de legitimidade se aplica.

 

Mais informações:

• Tratar legalmente os dados pessoais

Não, não é necessário ser certificado para se tornar um EPD.

Os EPD devem, no entanto, ser capazes de demonstrar que possuem as qualificações necessárias exigidas pelo RGPD, tais como conhecimentos especializados em matéria de legislação e práticas em matéria de proteção de dados.

Mais informações:

• Responsável pela proteção de dados

Uma avaliação de impacto sobre a proteção de dados ou AIPD é uma avaliação escrita que a sua organização deve fazer para avaliar o impacto de uma operação de tratamento planeada. Ajuda-o a identificar as medidas adequadas para lidar com os riscos e a demonstrar conformidade.

Embora seja sempre preferível antecipar o impacto das operações de tratamento planeadas da sua organização através da realização de AIPD, é obrigatório realizar uma AIPD quando o tratamento for suscetível de resultar num elevado risco para os direitos e liberdades das pessoas.

Especificamente, é o que acontece quando o tratamento previsto envolve:

• o tratamento — em grande escala — de dados pessoais sensíveis ou de dados relacionados com condenações penais;  
• uma avaliação sistemática e exaustiva dos aspetos pessoais de uma pessoa, com base no tratamento automatizado, incluindo a definição de perfis, e nos quais se baseiam as decisões que produzem efeitos jurídicos sobre a pessoa em questão ou afetam significativamente as pessoas de forma similar;
• monitorização sistemática de uma zona acessível ao público em grande escala.

O CEPD elaborou orientações que enumeram os critérios que deve ter em conta ao avaliar se uma AIPD é ou não obrigatória. As autoridades de proteção de dados (APD) publicaram igualmente listas de operações de tratamento que estão sujeitas a uma AIPD. Além disso, várias APD desenvolveram guias, software ou ferramentas de autoavaliação para o ajudar na sua avaliação.

Mais informações:

• Estar em conformidade

Os responsáveis pelo tratamento de dados só podem tratar dados pessoais numa das seguintes circunstâncias:

• com o consentimento das pessoas em causa;
• se o tratamento for necessário para a execução de um contrato (contrato entre a sua organização e uma pessoa singular);
• para cumprir uma obrigação legal ao abrigo da legislação da UE ou nacional;
• se o tratamento for necessário para o desempenho de uma missão de interesse público ao abrigo da legislação da UE ou nacional;
• para proteger os interesses vitais de um indivíduo;
• para os interesses legítimos da sua organização — exceto nos casos em que se sobreponham aos direitos e liberdades dos indivíduos.

Além disso, o RGPD estabelece condições adicionais para o tratamento de dados sensíveis.

Mais informações:

• Tratar legalmente os dados pessoais

Sim, os subcontratantes (ou seja, indivíduos ou organismos que tratam dados em nome de um responsável pelo tratamento de dados) têm obrigações ao abrigo do RGPD. Existem, no entanto, algumas diferenças entre as responsabilidades dos responsáveis pelo tratamento de dados e dos subcontratantes.

Os subcontratantes têm de cumprir as responsabilidades estabelecidas no contrato entre o responsável pelo tratamento e o subcontratante, que especifica as operações de tratamento e os meios de tratamento de dados pessoais. Por exemplo, o subcontratante terá de efetuar as operações de tratamento com as medidas técnicas e organizativas adequadas, de acordo com as instruções do responsável pelo tratamento. Ao fazê-lo, o subcontratante auxilia o responsável pelo tratamento no cumprimento do RGPD.

Mais informações:

• Responsável pelo tratamento de dados ou subcontratante

O contrato entre o responsável pelo tratamento e o subcontratante deve estipular que o subcontratante:

• trata os dados pessoais apenas com base nas instruções do responsável pelo tratamento, nomeadamente no que diz respeito às transferências de dados pessoais para um país fora do EEE;
• assegura que as pessoas autorizadas a tratar os dados se comprometeram a respeitar a confidencialidade ou estão sujeitas a uma obrigação legal de confidencialidade adequada;
• garante a segurança do tratamento;
• não pode contratar outro subcontratante sem autorização prévia, específica ou geral, por escrito do responsável pelo tratamento de dados;
• presta assistência ao responsável pelo tratamento no cumprimento das suas obrigações de resposta aos pedidos individuais de exercício dos seus direitos;
• presta assistência ao responsável pelo tratamento dos dados na proteção do tratamento, na notificação das violações de dados e na realização de AIPD;
• à escolha do responsável pelo tratamento, apaga ou devolve todos os dados pessoais ao responsável pelo tratamento após o termo da prestação dos serviços;
• disponibiliza ao responsável pelo tratamento de dados todas as informações necessárias para demonstrar o cumprimento das obrigações previstas no RGPD;
• permite e contribui para auditorias, incluindo inspeções realizadas pelo responsável pelo tratamento de dados ou por outro auditor mandatado pelo responsável pelo tratamento de dados.

Além disso, o subcontratante deve informar imediatamente o responsável pelo tratamento se, na sua opinião, as instruções infringirem o RGPD ou outras disposições da UE ou nacionais em matéria de proteção de dados.

Mais informações:

• Responsável pelo tratamento de dados ou subcontratante

Nos termos do RGPD, existem, em princípio, duas formas principais de transferir dados pessoais para um país não pertencente ao EEE ou para uma organização internacional. As transferências podem ser efetuadas com base numa decisão de adequação ou, na falta de tal decisão, com base em garantias adequadas, incluindo direitos oponíveis e vias de recurso para as pessoas singulares.

Mais informações:

• Transferências internacionais

O EPD não pode ser responsabilizado pelo incumprimento do RGPD. A conformidade com o RGPD é da responsabilidade da organização que nomeou o EPD.

Mais informações:

• Encarregado de proteção de dados