O EPD pode ser um trabalhador existente com conhecimento suficiente do RGPD (se as tarefas profissionais do trabalhador forem compatíveis com as do EPD e tal não conduzir a conflitos de interesses) ou uma pessoa externa. O encarregado de proteção de dados deve poder desempenhar as suas funções de forma independente e comunicar diretamente ao mais alto nível da direção.

Mais informações:

• Encarregado de proteção de dados

Se a sua organização estiver a recolher os dados pessoais diretamente das pessoas singulares, deve fornecer as informações necessárias no momento da recolha.

Em caso de recolha indireta de dados pessoais, a sua organização deve fornecer as informações o mais tardar no prazo de um mês após a obtenção inicial dos dados pessoais. Este período máximo de um mês pode ser reduzido:

• se os dados pessoais forem utilizados para efeitos de comunicação com o titular dos dados. Nesse caso, deve informar o titular dos dados o mais tardar no momento da primeira comunicação ao titular dos dados;
• se os dados forem transmitidos a outro destinatário, a organização informa desse facto os titulares dos dados o mais tardar aquando da transferência dos dados pessoais.

Mais informações:

• Respeitar os direitos dos indivíduos

As pessoas singulares podem perguntar-lhe se está a tratar os seus dados e, se for caso disso, tem o direito de aceder a esses dados. Assim, quando tal acontecer e se processar os seus dados, deverá, por exemplo, fornecer gratuitamente uma cópia dos seus dados pessoais, juntamente com quaisquer informações adicionais necessárias. Se um pedido for apresentado por via eletrónica, a sua organização deve fornecer as informações necessárias num formato eletrónico comummente utilizado, salvo pedido em contrário.

Mais informações:

• Respeitar os direitos dos indivíduos

Uma violação de dados pessoais é uma violação de segurança que conduz à destruição acidental ou ilícita, perda, alteração, divulgação ou acesso não autorizado de dados pessoais.

• Se a violação de dados representar um risco para as pessoas em causa, deve notificá-la à autoridade de proteção de dados relevante no prazo de 72 horas.
• Se a violação for suscetível de resultar num risco elevado para as pessoas, terá também de comunicar essa violação às pessoas em causa sem demora injustificada.

Em qualquer caso, para todas as violações — mesmo aquelas que não são notificadas a uma APD — deve registar pelo menos os detalhes básicos da violação, a sua avaliação, os seus efeitos e as medidas tomadas em resposta.

Mais informações:

• Violações de dados

O contrato entre o responsável pelo tratamento e o subcontratante deve estipular que o subcontratante:

• trata os dados pessoais apenas com base nas instruções do responsável pelo tratamento, nomeadamente no que diz respeito às transferências de dados pessoais para um país fora do EEE;
• assegura que as pessoas autorizadas a tratar os dados se comprometeram a respeitar a confidencialidade ou estão sujeitas a uma obrigação legal de confidencialidade adequada;
• garante a segurança do tratamento;
• não pode contratar outro subcontratante sem autorização prévia, específica ou geral, por escrito do responsável pelo tratamento de dados;
• presta assistência ao responsável pelo tratamento no cumprimento das suas obrigações de resposta aos pedidos individuais de exercício dos seus direitos;
• presta assistência ao responsável pelo tratamento dos dados na proteção do tratamento, na notificação das violações de dados e na realização de AIPD;
• à escolha do responsável pelo tratamento, apaga ou devolve todos os dados pessoais ao responsável pelo tratamento após o termo da prestação dos serviços;
• disponibiliza ao responsável pelo tratamento de dados todas as informações necessárias para demonstrar o cumprimento das obrigações previstas no RGPD;
• permite e contribui para auditorias, incluindo inspeções realizadas pelo responsável pelo tratamento de dados ou por outro auditor mandatado pelo responsável pelo tratamento de dados.

Além disso, o subcontratante deve informar imediatamente o responsável pelo tratamento se, na sua opinião, as instruções infringirem o RGPD ou outras disposições da UE ou nacionais em matéria de proteção de dados.

Mais informações:

• Responsável pelo tratamento de dados ou subcontratante

O RGPD ou o Regulamento Geral sobre a Proteção de Dados cria um conjunto harmonizado de regras aplicáveis a todo o tratamento de dados pessoais por organizações (públicas ou privadas, independentemente da sua dimensão) estabelecidas no Espaço Económico Europeu (EEE) ou dirigidas a pessoas singulares na UE. O principal objetivo do RGPD é garantir que os dados pessoais gozam do mesmo nível elevado de proteção em todo o EEE, aumentando a segurança jurídica tanto para as pessoas singulares como para as organizações que tratam dados e oferecendo um elevado grau de proteção às pessoas singulares.

O regulamento entrou em vigor em 24 de maio de 2016 e é aplicável desde 25 de maio de 2018.

A pseudonimização consiste na transformação de dados pessoais para que deixem de poder ser atribuídos a um indivíduo específico sem a utilização de informações adicionais, desde que essas informações adicionais sejam mantidas separadamente e estejam sujeitas a medidas técnicas e organizativas para garantir que os dados pessoais não são atribuídos a indivíduos. Na prática, pode significar a substituição de dados pessoais (nome, nome próprio, número pessoal, número de telefone, etc.) num conjunto de dados por dados de identificação indireta (por exemplo, número sequencial, etc.). Os dados pseudonimizados continuam a ser dados pessoais e estão sujeitos ao RGPD.

Dados anónimos são dados que foram tornados anónimos de tal forma que o indivíduo não é ou deixou de ser identificável por qualquer meio que seja razoavelmente provável de ser utilizado. Quando a anonimização é implementada corretamente, o RGPD deixa de se aplicar aos dados anonimizados.

Mais informações:

• Dados pessoais seguros

Alguns tipos de dados pessoais pertencem a categorias especiais de dados pessoais, o que significa que merecem mais proteção, os chamados dados sensíveis. Os dados sensíveis incluem dados que revelam informações sobre:

• a saúde de uma pessoa;
• a orientação sexual de um indivíduo;
• origem racial ou étnica de um indivíduo;
• as opiniões políticas, as convicções religiosas ou filosóficas de uma pessoa; a filiação sindical de uma pessoa;
• dados biométricos e genéticos de um indivíduo.

O tratamento de dados sensíveis de uma pessoa é geralmente proibido, exceto em circunstâncias específicas que justifiquem o seu tratamento.

Mais informações:

• Elementos básicos em matéria de proteção de dados

Dados pessoais significa qualquer informação relativa a um indivíduo identificado ou identificável. Um indivíduo identificável é qualquer pessoa que possa ser identificada, direta ou indiretamente. Diferentes elementos de informação que somados em conjunto podem conduzir à identificação de uma determinada pessoa também constituem dados pessoais.

Exemplos de dados pessoais incluem:

• nome e apelido;
• um endereço de domicílio;
• um endereço de correio eletrónico;
• um número de bilhete de identidade;
• dados de localização;
• um endereço IP (Protocolo Internet);
• um ID de cookie;
• contas bancárias;
• relatórios fiscais;
• dados biométricos (como impressões digitais);
• um número de segurança social;
• número do passaporte;
• resultados dos ensaios;
• notas na escola;
• histórico de navegação;
• fotografia individual;
• número de matrícula do veículo, etc.

Mais informações:

• Elementos básicos em matéria de proteção de dados

Em caso de recolha direta de dados pessoais junto das pessoas em causa, as organizações devem fornecer informações sobre as operações de tratamento de forma concisa e transparente, utilizando uma linguagem compreensível, facilmente acessível e clara e simples. Tal pode ser feito por escrito (por exemplo, no verso de uma proposta) ou por meios eletrónicos (por exemplo, num sítio Web). Se a pessoa em causa o solicitar, pode também fornecer estas informações oralmente, mas deve poder fazê-lo posteriormente.

Mesmo quando os dados foram recolhidos indiretamente, ou seja, se não recolher diretamente os dados pessoais de uma pessoa, mas, por exemplo, através de um terceiro, deve fornecer as mesmas informações detalhadas aos indivíduos.