As medidas de segurança necessárias podem diferir com base na natureza dos dados pessoais que trata e nos riscos associados para as pessoas. Em qualquer caso, existem algumas medidas mínimas a aplicar:

• acesso seguro às instalações;
• utilizar software antivírus regularmente atualizado;
• escolha cuidadosamente as suas palavras-passe;
• fazer com que os utilizadores se autentiquem antes de utilizarem as instalações informáticas;
• tenha uma política de salvaguarda e recuperação de dados em vigor em caso de incidente.

Além disso, algumas medidas básicas, como bloquear o ecrã enquanto está longe e bloquear o escritório no final do dia, nunca estão fora do lugar…

Mais informações:

• Dados pessoais seguros

O CEPD publica regularmente comunicados de imprensa, notícias, blogues e outros conteúdos no sítio Web do CEPD e nos seus canais de redes sociais (Twitter: @EU_EDPB; LinkedIn: Comité Europeu para a Proteção de Dados) para manter a comunidade de proteção de dados e o público em geral atualizados sobre o seu trabalho.

O sítio Web do CEPD dispõe igualmente de dois feeds RSS, que pode subscrever para atualizações automáticas das notícias do CEPD e das mais recentes publicações do CEPD.

Sim, o RGPD aplica-se aos dados pessoais se estes estiverem contidos ou se destinarem a integrar um ficheiro. Isto significa que o RGPD também se aplica aos registos em papel e não apenas ao tratamento automatizado de dados pessoais.

Mais informações:

• Elementos básicos em matéria de proteção de dados

Todas as organizações, independentemente da sua dimensão ou setor, estabelecidas no Espaço Económico Europeu (EEE) ou que ofereçam produtos ou serviços a pessoas no EEE, tratando dados pessoais, quer por meios automatizados ou não, têm de cumprir o RGPD. Mesmo que o RGPD esteja principalmente relacionado com o tratamento automatizado de dados pessoais, as operações de tratamento realizadas manualmente também estarão sujeitas ao RGPD a partir do momento em que os ficheiros em papel são organizados de forma sistemática, por exemplo, ordenados por ordem alfabética num arquivo.

Exemplos de operações de tratamento incluem a recolha, o registo, a organização, a utilização, a modificação, o armazenamento, a divulgação, a alteração e o apagamento dos dados pessoais das pessoas.

No entanto, a aplicação do RGPD é modulada em função da natureza, do contexto, das finalidades e dos riscos das operações de tratamento efetuadas. Para as PME cuja atividade principal não é o tratamento de dados pessoais, as obrigações podem ser menos rigorosas do que para uma grande empresa.

Mais informações:

• Elementos básicos em matéria de proteção de dados

Não, não é necessário ser certificado para se tornar um EPD.

Os EPD devem, no entanto, ser capazes de demonstrar que possuem as qualificações necessárias exigidas pelo RGPD, tais como conhecimentos especializados em matéria de legislação e práticas em matéria de proteção de dados.

Mais informações:

• Responsável pela proteção de dados

O RGPD aplica-se à utilização de cookies quando estes são utilizados para o tratamento de dados pessoais, mas também existem regras mais específicas para os cookies, incluindo a Diretiva da Privacidade nas comunicações eletrónicas.

O armazenamento de um cookie, ou a obtenção de acesso a um cookie já armazenado, no equipamento terminal de um utilizador só é permitido se o assinante ou utilizador em causa tiver sido devidamente informado (em especial sobre as finalidades do tratamento) e tiver dado o seu consentimento.

A única exceção são os cookies tecnicamente necessários. As organizações não precisam de pedir consentimento quando utilizam cookies tecnicamente necessários nos seus sítios Web.

Mais informações:

• Tratar legalmente os dados pessoais

De um modo geral, todas as organizações devem manter um registo das suas atividades de tratamento. Este é um inventário de todas as operações de tratamento e pode ajudá-lo a comprrender melhor as suas responsabilidades ao abrigo do RGPD e possíveis riscos.

Cada uma destas operações de tratamento deve ser descrita no registo com as seguintes informações:

• a finalidade do tratamento (por exemplo, fidelização do cliente);
• as categorias de dados tratados (por exemplo, para a folha de pagamento: nome, nome próprio, data de nascimento, salário, etc.);
• quem tem acesso aos dados (os destinatários — por exemplo: o serviço responsável pelo recrutamento, o serviço informático, a gestão, os prestadores de serviços, os parceiros, etc.);
• quando aplicável, informações relacionadas com transferências de dados pessoais para fora do Espaço Económico Europeu (EEE),
• sempre que possível, o período de conservação (período durante o qual os dados são úteis do ponto de vista operacional e do ponto de vista arquivístico).
• sempre que possível, uma descrição geral das medidas de segurança.

O registo das atividades de tratamento é da responsabilidade do gestor da sua organização.

Este registo deve estar disponível para a autoridade de proteção de dados do país do EEE onde opera, se solicitado.

Não é necessário que as organizações que empregam menos de 250 pessoas mencionem atividades puramente ocasionais no seu registo (por exemplo, dados tratados para eventos pontuais, como a abertura de uma loja).

Mais informações:

• Estar em conformidade

Sim, os subcontratantes (ou seja, indivíduos ou organismos que tratam dados em nome de um responsável pelo tratamento de dados) têm obrigações ao abrigo do RGPD. Existem, no entanto, algumas diferenças entre as responsabilidades dos responsáveis pelo tratamento de dados e dos subcontratantes.

Os subcontratantes têm de cumprir as responsabilidades estabelecidas no contrato entre o responsável pelo tratamento e o subcontratante, que especifica as operações de tratamento e os meios de tratamento de dados pessoais. Por exemplo, o subcontratante terá de efetuar as operações de tratamento com as medidas técnicas e organizativas adequadas, de acordo com as instruções do responsável pelo tratamento. Ao fazê-lo, o subcontratante auxilia o responsável pelo tratamento no cumprimento do RGPD.

Mais informações:

• Responsável pelo tratamento de dados ou subcontratante

Nos termos do RGPD, existem, em princípio, duas formas principais de transferir dados pessoais para um país não pertencente ao EEE ou para uma organização internacional. As transferências podem ser efetuadas com base numa decisão de adequação ou, na falta de tal decisão, com base em garantias adequadas, incluindo direitos oponíveis e vias de recurso para as pessoas singulares.

Mais informações:

• Transferências internacionais

Sim, pode, mas o RGPD impõe certas obrigações às empresas que partilham dados pessoais. A sua organização deve informar as pessoas de que irá partilhar os seus dados com terceiros. Deve também informá-los sobre as suas finalidades, segurança, acesso e as medidas de conservação que se aplicarão.