Os EPD podem desempenhar outras tarefas dentro da organização, mas isso não pode resultar num conflito de interesses. Tal implica que o encarregado de proteção de dados não pode ter uma posição na qual determine as finalidades e os meios das atividades de tratamento. As funções conflituantes incluem principalmente cargos de gestão (chefe de administração, diretor operacional, diretor financeiro, chefe de recursos humanos, chefe de TI, diretor executivo), mas podem também envolver outras funções se conduzirem à determinação das finalidades e dos meios de tratamento.

O encarregado de proteção de dados deve poder desempenhar as suas funções e tarefas de forma independente. Isto significa que a sua organização:

• não pode dar instruções ao encarregado de proteção de dados sobre o desempenho das suas funções;
• não pode penalizar ou demitir o encarregado de proteção de dados pelo desempenho das suas funções.

Mais informações:

• Encarregado de proteção de dados

Um contrato válido entre o responsável pelo tratamento e o subcontratante é obrigatório ao abrigo do RGPD. Uma infração pode ser objeto de uma coima até 10 milhões de euros ou até 2 % do volume de negócios anual total de uma empresa, consoante o que for mais elevado.

Para ajudar a orientá-lo na criação de um acordo entre o responsável pelo tratamento e o subcontratante, as autoridades dinamarquesas e eslovenas de proteção de dados, bem como a Comissão Europeia, desenvolveram modelos de acordos.

Mais informações:

• Responsável pelo tratamento de dados ou subcontratante

A tarefa do encarregado da proteção de dados inclui, entre outras:

• informar e aconselhar a organização e os seus colaboradores sobre o cumprimento da proteção de dados;
• controlar a conformidade da proteção de dados;
• prestar aconselhamento sobre pedidos relativos à avaliação de impacto sobre a proteção de dados (AIPD);
• atuar como ponto de contacto para a autoridade de proteção de dados (APD) e cooperar com essa autoridade de proteção de dados;
• atuar como ponto de contacto para os indivíduos.

Além disso, a presença do encarregado da proteção de dados é geralmente recomendada quando são tomadas decisões com implicações para a proteção de dados. O encarregado de proteção de dados deve também ser imediatamente consultado logo que tenha ocorrido uma violação de dados ou outro incidente.

Mais informações:

• Encarregado de proteção de dados

More information:

• Data Protection Officer

A conformidade com o RGPD é controlada pelas autoridades nacionais de proteção de dados (APD). As APD podem realizar investigações e impor sanções sempre que necessário. As APD dispõem de uma série de instrumentos, incluindo a aplicação de coimas até 20 milhões de euros ou 4 % do volume de negócios anual a nível mundial, consoante o que for mais elevado, repreensões e proibições temporárias ou permanentes de tratamento.

Os dados de contacto de todas as APD do EEE podem ser consultados no sítio Web do CEPD: Membros

Mais informações:

• Autoridade de Proteção de Dados e você

Os responsáveis pelo tratamento de dados só podem tratar dados pessoais numa das seguintes circunstâncias:

• com o consentimento das pessoas em causa;
• se o tratamento for necessário para a execução de um contrato (contrato entre a sua organização e uma pessoa singular);
• para cumprir uma obrigação legal ao abrigo da legislação da UE ou nacional;
• se o tratamento for necessário para o desempenho de uma missão de interesse público ao abrigo da legislação da UE ou nacional;
• para proteger os interesses vitais de um indivíduo;
• para os interesses legítimos da sua organização — exceto nos casos em que se sobreponham aos direitos e liberdades dos indivíduos.

Além disso, o RGPD estabelece condições adicionais para o tratamento de dados sensíveis.

Mais informações:

• Tratar legalmente os dados pessoais

• Qualquer tratamento de dados pessoais deve ser lícito, leal e transparente.
• Apenas recolher dados pessoais para finalidades específicas, explícitas e legítimas. O tratamento dos dados de uma pessoa deve ser estritamente limitado à(s) finalidade(s) inicialmente estabelecida(s) e, por conseguinte, não ser tratado para finalidades posteriores ou outras que sejam incompatíveis com as finalidades iniciais.
• Apenas tratar dados pessoais que sejam necessários e proporcionados à luz da finalidade prevista.
• Todos os dados pessoais que trata devem ser precisos e atualizados. Os dados pessoais inexatos devem ser retificados ou apagados.
• O armazenamento dos dados pessoais das pessoas singulares deve ser limitado no tempo, tendo em conta a finalidade para a qual esses dados foram recolhidos e tratados. Como tal, os dados pessoais dos indivíduos devem ser apagados ou anonimizados, assim que estes dados deixem de ser necessários.
• O tratamento dos dados pessoais deve ser efetuado de forma segura. Neste sentido, devem ser criados controlos de cibersegurança sólidos, a fim de garantir a proteção adequada dos dados das pessoas.

Finalmente, o responsável pelo tratamento é responsabilizável. Isto significa que é responsável e deve ser capaz de demonstrar a conformidade com os princípios acima referidos.

Mais informações:

• Elementos básicos em matéria de proteção de dados

O RGPD impõe obrigações a todas as organizações que tratam dados pessoais, independentemente de serem responsáveis pelo tratamento de dados ou subcontratantes.

Em especial, deve:

• Perguntar-se se a finalidade para a qual os dados pessoais podem ser recolhidos se justifica e recolher apenas dados pessoais necessários para a(s) finalidade(s) específica(s) prevista(s);
• Manter os dados pessoais exatos e atualizados e apagar os dados quando já não forem necessário;
• Respeitar os direitos das pessoas, informando-as sobre como e por que razão os seus dados são tratados e permitindo-lhes exercer os seus direitos;
• Verificar se dispõe de uma base legal adequada para o tratamento de dados pessoais. Caso pretenda basear-se no consentimento dos indivíduos, solicitar o seu consentimento antes de tratar os seus dados pessoais;
• Certificar-se de que os dados pessoais das pessoas são tratados de forma segura;
• Manter um registo das atividades de tratamento.

Os subcontratantes terão de cumprir as responsabilidades estabelecidas no contrato entre o responsável pelo tratamento e o subcontratante e não devem tratar os dados de outro modo que não seja segundo as instruções do responsável pelo tratamento.

Mais informações:

• Estar em conformidade
• Responsável pelo tratamento de dados ou subcontratante
• Elementos básicos em matéria de proteção de dados

Os cookies são pequenos ficheiros armazenados num dispositivo, como um computador, um dispositivo móvel ou qualquer outro dispositivo que possa armazenar informações. Os cookies servem uma série de funções importantes, incluindo recordar os utilizadores e as suas interações anteriores com um website. Podem ser utilizados para acompanhar os artigos de um carrinho de compras em linha ou para acompanhar as informações quando os detalhes são inseridos num formulário de candidatura em linha.

Os cookies de autenticação também são importantes para identificar os utilizadores quando iniciam sessão em serviços bancários e noutros serviços online. As informações armazenadas nos cookies podem incluir dados pessoais, como um endereço IP, um nome de utilizador, um identificador único ou um endereço de correio eletrónico.

A nomeação de um encarregado de proteção de dados é obrigatória nos três casos seguintes:

• a organização é uma autoridade pública;
• as atividades principais da organização consistem na monitorização regular e sistemática de indivíduos em grande escala, por exemplo, geolocalização através de uma aplicação móvel, ou vigilância de centros comerciais e espaços públicos através de CCTV;
• as atividades principais da organização consistem no tratamento em larga escala de dados sensíveis ou de dados pessoais relacionados com condenações penais e infrações.

Pode sempre nomear um encarregado da proteção de dados numa base voluntária, mesmo que tal não seja legalmente exigido. Tenha em atenção que, nesse caso, deve cumprir todas as disposições do RGPD relativas às funções e à posição do encarregado da proteção de dados.

Mais informações:

• Encarregado de proteção de dados

O EPD não pode ser responsabilizado pelo incumprimento do RGPD. A conformidade com o RGPD é da responsabilidade da organização que nomeou o EPD.

Mais informações:

• Encarregado de proteção de dados