Não, o tratamento de dados sensíveis é geralmente proibido, exceto em circunstâncias muito específicas:

• A pessoa tiver dado o seu consentimento explícito para o tratamento dos seus dados sensíveis.
• O tratamento de dados sensíveis for necessário para que o responsável pelo tratamento cumpra as suas obrigações, nomeadamente no contexto do emprego, da segurança social e da proteção social. Por exemplo, o responsável pelo tratamento de dados pode ter de tratar os dados sensíveis de uma pessoa para poder determinar se tem direito a determinadas prestações de segurança social ou subsídios de emprego.
• O tratamento de dados sensíveis for necessário para proteger os interesses vitais de uma pessoa quando a pessoa seja física ou legalmente incapaz de dar o seu consentimento. Por exemplo, se um indivíduo ficar inconsciente em resultado de um acidente e necessitar de cuidados médicos imediatos, os seus dados de saúde podem ter de ser processados para que os cuidados médicos adequados sejam prestados.
• O tratamento de dados sensíveis é efetuado no contexto das atividades legítimas de uma fundação, associação ou outra organização sem fins lucrativos com um objetivo político, filosófico, religioso ou sindical, e apenas para o tratamento dos dados pessoais dos seus membros, antigos membros ou pessoas que com eles tenham contactos regulares.
• Os dados sensíveis foram manifestamente tornados públicos pelo titular.
• O tratamento de dados sensíveis for necessário no contexto de processos judiciais.
• O tratamento de dados sensíveis for necessário por motivos de interesse público importante.
• O tratamento de dados sensíveis for necessário no contexto da medicina preventiva ou do trabalho. Por exemplo, avaliar os dados sensíveis de uma pessoa, como os seus dados médicos, pode ser necessário para determinar a sua capacidade de trabalho como funcionário.
• O tratamento de dados sensíveis for necessário por questões de saúde pública com base na legislação da UE ou nacional. Por exemplo, o tratamento de dados sensíveis de indivíduos pode ser necessário para garantir uma elevada qualidade dos cuidados de saúde e uma elevada qualidade dos produtos médicos, ou para combater ameaças graves para a saúde, como vírus.
• O tratamento de dados sensíveis for necessário para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos. Por exemplo, o tratamento de dados sensíveis pode ser necessário para fornecer estatísticas precisas sobre a situação de um país num determinado domínio.

Mais informações:

• Tratar legalmente os dados pessoais

Com efeito, o consentimento pode constituir uma base jurídica válida para o armazenamento dos CV dos candidatos a emprego. Outra possível base legal poderia ser o interesse legítimo. Nesse caso, terá de realizar um teste de ponderação para provar que os interesses legítimos da sua organização são superiores aos direitos dos candidatos.

De qualquer forma, terá de informar os candidatos de que tenciona armazenar os seus dados e para que finalidades.

Mais informações:

• Tratar legalmente os dados pessoais

Sim, mas para tal, terá de determinar, em primeiro lugar, a base legal para o tratamento deste tipo de dados pessoais. Por exemplo, o tratamento pode ser considerado um interesse legítimo para a sua organização. Ao tratar dados pessoais com base no interesse legítimo, é sempre necessário realizar um teste de ponderação para determinar se os seus interesses legítimos prevalecem sobre os direitos das pessoas, especialmente se as crianças estiverem envolvidas.

Outra possível base legal para esse tratamento poderia ser o consentimento. De qualquer forma, as pessoas devem ser sempre informadas com antecedência de que o evento está a ser fotografado ou filmado.

Mais informações:

• Tratar legalmente os dados pessoais

Deve responder sem demora injustificada e, o mais tardar, no prazo de um mês a contar da receção do pedido. Este prazo pode ser prorrogado por mais dois meses se o pedido for demasiado complexo e for necessário mais tempo para responder, desde que a pessoa seja informada desse facto no prazo de um mês a contar da receção do pedido.

Deve fazê-lo gratuitamente.

Mais informações:

• Respeitar os direitos dos indivíduos

Não é possível armazenar dados pessoais para sempre.

Regra geral, os dados pessoais só podem ser conservados durante o tempo necessário, tendo em conta as finalidades para as quais os dados pessoais são tratados.

Em alguns casos, o período de armazenamento pode ser determinado por leis específicas, por exemplo, a regulamentação laboral determina um período de armazenamento para listas de salários.

As organizações devem implementar políticas de conservação de dados para garantir que os dados pessoais não são mantidos por mais tempo do que o necessário. Os dados pessoais das pessoas singulares devem ser apagados ou anonimizados, logo que estes dados deixem de ser necessários para a finalidade para a qual foram tratados.

Mais informações:

• Elementos básicos em matéria de proteção de dados

As pessoas singulares têm o direito de solicitar o apagamento dos dados pessoais que lhes digam respeito e, nesse caso, o responsável pelo tratamento tem a obrigação de apagar os dados pessoais. Deve responder sem demora injustificada e, o mais tardar, no prazo de um mês a contar da receção do pedido. Este prazo pode ser prorrogado por mais dois meses se o pedido for demasiado complexo e for necessário mais tempo para dar cumprimento ao pedido, desde que a pessoa seja informada desse facto no prazo de um mês a contar da receção do pedido.

É importante notar que o direito ao apagamento não é absoluto. Não se aplica quando os dados em questão forem necessários para:

• exercer o direito à liberdade de expressão e de informação (por exemplo, para fins jornalísticos);
• cumprimento de uma obrigação legal que exija o tratamento de dados pessoais (por exemplo, o tratamento de registos sobre o horário de trabalho dos trabalhadores);
• razões de interesse público no domínio da saúde pública
• fins de arquivo de interesse público ou fins de investigação científica ou histórica ou fins estatísticos; e
• a declaração, o exercício ou a defesa de um direito num processo judicial.

Quando os dados pessoais a apagar foram previamente transferidos para outras organizações, deve informar esses destinatários de que o indivíduo solicitou o apagamento, salvo se tal se revelar impossível ou exigir esforços desproporcionados.

Mais informações:

• Respeitar os direitos dos indivíduos

O RGPD prevê direitos específicos para os indivíduos que têm de ser respeitados. Pode fazê-lo através de:

• informar as pessoas cujos dados trata sobre as suas operações de tratamento e as finalidades de tratamento quando recolhe os seus dados, por exemplo através de uma declaração de privacidade no seu sítio Web;
• respondendo aos pedidos das pessoas para exercerem os seus direitos, tais como pedidos de acesso, retificação, oposição, apagamento ou portabilidade.

As organizações que são transparentes quanto à sua utilização de dados pessoais e que respeitam os direitos dos indivíduos têm menos probabilidades de se tornarem objeto de reclamações.

Mais informações:

• Respeitar os direitos dos indivíduos

Para que o consentimento seja considerado válido, deve ser:

• cedido livremente;
• específico;
• informado; e
• inequívoco.

Isto significa que as pessoas devem ter uma verdadeira liberdade de escolha quanto ao facto de concordarem ou não com o tratamento dos seus dados pessoais; necessitam de informações suficientes para que possam compreender que dados são tratados, para que finalidade e como é feito; também necessitam de granularidade suficiente nos pedidos de consentimento.

Além disso, deve haver uma ação positiva clara por parte do indivíduo (sem caixas pré-marcadas e feita separadamente das condições gerais aplicáveis).

Além disso, os indivíduos devem poder retirar livremente o seu consentimento (sem quaisquer consequências negativas) se mudarem de ideias mais tarde.

Mais informações:

• Tratar legalmente os dados pessoais

As medidas de segurança necessárias podem diferir com base na natureza dos dados pessoais que trata e nos riscos associados para as pessoas. Em qualquer caso, existem algumas medidas mínimas a aplicar:

• acesso seguro às instalações;
• utilizar software antivírus regularmente atualizado;
• escolha cuidadosamente as suas palavras-passe;
• fazer com que os utilizadores se autentiquem antes de utilizarem as instalações informáticas;
• tenha uma política de salvaguarda e recuperação de dados em vigor em caso de incidente.

Além disso, algumas medidas básicas, como bloquear o ecrã enquanto está longe e bloquear o escritório no final do dia, nunca estão fora do lugar…

Mais informações:

• Dados pessoais seguros

O CEPD publica regularmente comunicados de imprensa, notícias, blogues e outros conteúdos no sítio Web do CEPD e nos seus canais de redes sociais (Twitter: @EU_EDPB; LinkedIn: Comité Europeu para a Proteção de Dados) para manter a comunidade de proteção de dados e o público em geral atualizados sobre o seu trabalho.

O sítio Web do CEPD dispõe igualmente de dois feeds RSS, que pode subscrever para atualizações automáticas das notícias do CEPD e das mais recentes publicações do CEPD.