A pseudonimização consiste na transformação de dados pessoais para que deixem de poder ser atribuídos a um indivíduo específico sem a utilização de informações adicionais, desde que essas informações adicionais sejam mantidas separadamente e estejam sujeitas a medidas técnicas e organizativas para garantir que os dados pessoais não são atribuídos a indivíduos. Na prática, pode significar a substituição de dados pessoais (nome, nome próprio, número pessoal, número de telefone, etc.) num conjunto de dados por dados de identificação indireta (por exemplo, número sequencial, etc.). Os dados pseudonimizados continuam a ser dados pessoais e estão sujeitos ao RGPD.

Dados anónimos são dados que foram tornados anónimos de tal forma que o indivíduo não é ou deixou de ser identificável por qualquer meio que seja razoavelmente provável de ser utilizado. Quando a anonimização é implementada corretamente, o RGPD deixa de se aplicar aos dados anonimizados.

Mais informações:

• Dados pessoais seguros

Alguns tipos de dados pessoais pertencem a categorias especiais de dados pessoais, o que significa que merecem mais proteção, os chamados dados sensíveis. Os dados sensíveis incluem dados que revelam informações sobre:

• a saúde de uma pessoa;
• a orientação sexual de um indivíduo;
• origem racial ou étnica de um indivíduo;
• as opiniões políticas, as convicções religiosas ou filosóficas de uma pessoa; a filiação sindical de uma pessoa;
• dados biométricos e genéticos de um indivíduo.

O tratamento de dados sensíveis de uma pessoa é geralmente proibido, exceto em circunstâncias específicas que justifiquem o seu tratamento.

Mais informações:

• Elementos básicos em matéria de proteção de dados

Dados pessoais significa qualquer informação relativa a um indivíduo identificado ou identificável. Um indivíduo identificável é qualquer pessoa que possa ser identificada, direta ou indiretamente. Diferentes elementos de informação que somados em conjunto podem conduzir à identificação de uma determinada pessoa também constituem dados pessoais.

Exemplos de dados pessoais incluem:

• nome e apelido;
• um endereço de domicílio;
• um endereço de correio eletrónico;
• um número de bilhete de identidade;
• dados de localização;
• um endereço IP (Protocolo Internet);
• um ID de cookie;
• contas bancárias;
• relatórios fiscais;
• dados biométricos (como impressões digitais);
• um número de segurança social;
• número do passaporte;
• resultados dos ensaios;
• notas na escola;
• histórico de navegação;
• fotografia individual;
• número de matrícula do veículo, etc.

Mais informações:

• Elementos básicos em matéria de proteção de dados

Em caso de recolha direta de dados pessoais junto das pessoas em causa, as organizações devem fornecer informações sobre as operações de tratamento de forma concisa e transparente, utilizando uma linguagem compreensível, facilmente acessível e clara e simples. Tal pode ser feito por escrito (por exemplo, no verso de uma proposta) ou por meios eletrónicos (por exemplo, num sítio Web). Se a pessoa em causa o solicitar, pode também fornecer estas informações oralmente, mas deve poder fazê-lo posteriormente.

Mesmo quando os dados foram recolhidos indiretamente, ou seja, se não recolher diretamente os dados pessoais de uma pessoa, mas, por exemplo, através de um terceiro, deve fornecer as mesmas informações detalhadas aos indivíduos.

Quando dois ou mais responsáveis pelo tratamento de dados determinam conjuntamente a finalidade e os meios de tratamento, são considerados responsáveis conjuntos pelo tratamento. Decidem em conjunto tratar dados pessoais para uma finalidade conjunta. A responsabilidade conjunta pelo tratamento pode assumir muitas formas e a participação dos diferentes responsáveis pelo tratamento pode ser desigual. Os responsáveis conjuntos pelo tratamento devem, por conseguinte, determinar as respetivas responsabilidades pelo cumprimento do RGPD.

É importante notar que a responsabilidade conjunta pelo tratamento conduz a uma responsabilidade conjunta por uma atividade de tratamento.

• Exemplo de responsabilidade conjunta: As empresas A e B lançaram um produto de marca comum e pretendem organizar um evento para promover este produto. Para o efeito, decidem partilhar dados das respetivas bases de dados de clientes e potenciais clientes e decidem assim sobre a lista de convidados para o evento. Acordam igualmente sobre as modalidades de envio dos convites para o evento, sobre a forma de recolher informações durante o evento e sobre as ações de marketing de acompanhamento. As empresas A e B podem ser consideradas responsáveis conjuntas pelo tratamento de dados pessoais relacionados com a organização do evento promocional, uma vez que decidem em conjunto sobre a finalidade definida em conjunto e os meios essenciais do tratamento de dados neste contexto.

Mais informações:

• Responsável pelo tratamento de dados ou subcontratante

Uma avaliação de impacto sobre a proteção de dados ou AIPD é uma avaliação escrita que a sua organização deve fazer para avaliar o impacto de uma operação de tratamento planeada. Ajuda-o a identificar as medidas adequadas para lidar com os riscos e a demonstrar conformidade.

Embora seja sempre preferível antecipar o impacto das operações de tratamento planeadas da sua organização através da realização de AIPD, é obrigatório realizar uma AIPD quando o tratamento for suscetível de resultar num elevado risco para os direitos e liberdades das pessoas.

Especificamente, é o que acontece quando o tratamento previsto envolve:

• o tratamento — em grande escala — de dados pessoais sensíveis ou de dados relacionados com condenações penais;  
• uma avaliação sistemática e exaustiva dos aspetos pessoais de uma pessoa, com base no tratamento automatizado, incluindo a definição de perfis, e nos quais se baseiam as decisões que produzem efeitos jurídicos sobre a pessoa em questão ou afetam significativamente as pessoas de forma similar;
• monitorização sistemática de uma zona acessível ao público em grande escala.

O CEPD elaborou orientações que enumeram os critérios que deve ter em conta ao avaliar se uma AIPD é ou não obrigatória. As autoridades de proteção de dados (APD) publicaram igualmente listas de operações de tratamento que estão sujeitas a uma AIPD. Além disso, várias APD desenvolveram guias, software ou ferramentas de autoavaliação para o ajudar na sua avaliação.

Mais informações:

• Estar em conformidade

O RGPD confere às pessoas o controlo sobre o tratamento dos seus dados pessoais. Para isso, a transparência é fundamental. Isto significa que tem de informar as pessoas cujos dados trata sobre as suas operações de tratamento e as finalidades. Por outras palavras, é preciso explicar quem trata os seus dados, mas também como e porquê. Apenas se a utilização de dados pessoais for «transparente» para as pessoas envolvidas, é que é possível avaliar possíveis riscos e tomar decisões sobre os seus dados pessoais.

Nos termos do RGPD, é obrigado a partilhar as seguintes informações com os indivíduos:

• a identidade e os dados de contacto do responsável pelo tratamento;
• as finalidades do tratamento;
• a base legal do tratamento (se houver interesse legítimo, informações específicas sobre os interesses legítimos relacionados com o tratamento específico e sobre a entidade que prossegue cada interesse legítimo).
• os dados de contacto do responsável pelo tratamento;
• os dados de contacto do EPD (caso exista um EPD);
• os destinatários ou categorias de destinatários dos dados;
• Informações sobre se os dados serão transferidos para fora do Espaço Económico Europeu (EEE) (se aplicável: existência ou não de uma decisão de adequação ou referência às garantias adequadas e à forma como essas informações podem ser disponibilizadas aos titulares dos dados);
• as categorias de dados pessoais tratados, quando os dados não são obtidos do indivíduo.

Além disso, o RGPD exige que a sua organização forneça as seguintes informações para garantir um tratamento leal e transparente:

• o período de conservação ou, se tal não for possível, os critérios utilizados para determinar esse período;
• o direito de solicitar o acesso, o apagamento, a retificação, a limitação, a oposição e a portabilidade dos dados pessoais;
• o direito de apresentar uma reclamação a uma autoridade de proteção de dados;
• se a base legal do tratamento for o consentimento: o direito de retirar o consentimento a qualquer momento;
• no caso de tomada de decisões automatizadas, informações pertinentes sobre a lógica subjacente e as consequências previstas do tratamento para o titular dos dados;
• a origem dos dados pessoais (se não os tiver recebido diretamente da pessoa em causa;
• se o indivíduo é obrigado a fornecer os dados pessoais (por lei ou por contrato ou para celebrar um contrato) e quais são as consequências da recusa de fornecer os dados.

Mais informações:

• Respeitar os direitos dos indivíduos

O tratamento de dados pessoais refere-se a qualquer tipo de atividade (operação de tratamento) realizada sobre ou com dados pessoais das pessoas singulares. Tal inclui a recolha, o registo, a organização, a estruturação, o armazenamento, a adaptação ou alteração, a recuperação, a consulta, o inquérito, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, o alinhamento ou a combinação, a limitação, o apagamento ou a destruição de dados pessoais.

Os EPD podem desempenhar outras tarefas dentro da organização, mas isso não pode resultar num conflito de interesses. Tal implica que o encarregado de proteção de dados não pode ter uma posição na qual determine as finalidades e os meios das atividades de tratamento. As funções conflituantes incluem principalmente cargos de gestão (chefe de administração, diretor operacional, diretor financeiro, chefe de recursos humanos, chefe de TI, diretor executivo), mas podem também envolver outras funções se conduzirem à determinação das finalidades e dos meios de tratamento.

O encarregado de proteção de dados deve poder desempenhar as suas funções e tarefas de forma independente. Isto significa que a sua organização:

• não pode dar instruções ao encarregado de proteção de dados sobre o desempenho das suas funções;
• não pode penalizar ou demitir o encarregado de proteção de dados pelo desempenho das suas funções.

Mais informações:

• Encarregado de proteção de dados

Um contrato válido entre o responsável pelo tratamento e o subcontratante é obrigatório ao abrigo do RGPD. Uma infração pode ser objeto de uma coima até 10 milhões de euros ou até 2 % do volume de negócios anual total de uma empresa, consoante o que for mais elevado.

Para ajudar a orientá-lo na criação de um acordo entre o responsável pelo tratamento e o subcontratante, as autoridades dinamarquesas e eslovenas de proteção de dados, bem como a Comissão Europeia, desenvolveram modelos de acordos.

Mais informações:

• Responsável pelo tratamento de dados ou subcontratante