O tratamento de dados pessoais refere-se a qualquer tipo de atividade (operação de tratamento) realizada sobre ou com dados pessoais das pessoas singulares. Tal inclui a recolha, o registo, a organização, a estruturação, o armazenamento, a adaptação ou alteração, a recuperação, a consulta, o inquérito, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, o alinhamento ou a combinação, a limitação, o apagamento ou a destruição de dados pessoais.

O contrato entre o responsável pelo tratamento e o subcontratante deve estipular que o subcontratante:

• trata os dados pessoais apenas com base nas instruções do responsável pelo tratamento, nomeadamente no que diz respeito às transferências de dados pessoais para um país fora do EEE;
• assegura que as pessoas autorizadas a tratar os dados se comprometeram a respeitar a confidencialidade ou estão sujeitas a uma obrigação legal de confidencialidade adequada;
• garante a segurança do tratamento;
• não pode contratar outro subcontratante sem autorização prévia, específica ou geral, por escrito do responsável pelo tratamento de dados;
• presta assistência ao responsável pelo tratamento no cumprimento das suas obrigações de resposta aos pedidos individuais de exercício dos seus direitos;
• presta assistência ao responsável pelo tratamento dos dados na proteção do tratamento, na notificação das violações de dados e na realização de AIPD;
• à escolha do responsável pelo tratamento, apaga ou devolve todos os dados pessoais ao responsável pelo tratamento após o termo da prestação dos serviços;
• disponibiliza ao responsável pelo tratamento de dados todas as informações necessárias para demonstrar o cumprimento das obrigações previstas no RGPD;
• permite e contribui para auditorias, incluindo inspeções realizadas pelo responsável pelo tratamento de dados ou por outro auditor mandatado pelo responsável pelo tratamento de dados.

Além disso, o subcontratante deve informar imediatamente o responsável pelo tratamento se, na sua opinião, as instruções infringirem o RGPD ou outras disposições da UE ou nacionais em matéria de proteção de dados.

Mais informações:

• Responsável pelo tratamento de dados ou subcontratante

Uma avaliação de impacto sobre a proteção de dados ou AIPD é uma avaliação escrita que a sua organização deve fazer para avaliar o impacto de uma operação de tratamento planeada. Ajuda-o a identificar as medidas adequadas para lidar com os riscos e a demonstrar conformidade.

Embora seja sempre preferível antecipar o impacto das operações de tratamento planeadas da sua organização através da realização de AIPD, é obrigatório realizar uma AIPD quando o tratamento for suscetível de resultar num elevado risco para os direitos e liberdades das pessoas.

Especificamente, é o que acontece quando o tratamento previsto envolve:

• o tratamento — em grande escala — de dados pessoais sensíveis ou de dados relacionados com condenações penais;  
• uma avaliação sistemática e exaustiva dos aspetos pessoais de uma pessoa, com base no tratamento automatizado, incluindo a definição de perfis, e nos quais se baseiam as decisões que produzem efeitos jurídicos sobre a pessoa em questão ou afetam significativamente as pessoas de forma similar;
• monitorização sistemática de uma zona acessível ao público em grande escala.

O CEPD elaborou orientações que enumeram os critérios que deve ter em conta ao avaliar se uma AIPD é ou não obrigatória. As autoridades de proteção de dados (APD) publicaram igualmente listas de operações de tratamento que estão sujeitas a uma AIPD. Além disso, várias APD desenvolveram guias, software ou ferramentas de autoavaliação para o ajudar na sua avaliação.

Mais informações:

• Estar em conformidade

O RGPD aplica-se à utilização de cookies quando estes são utilizados para o tratamento de dados pessoais, mas também existem regras mais específicas para os cookies, incluindo a Diretiva da Privacidade nas comunicações eletrónicas.

O armazenamento de um cookie, ou a obtenção de acesso a um cookie já armazenado, no equipamento terminal de um utilizador só é permitido se o assinante ou utilizador em causa tiver sido devidamente informado (em especial sobre as finalidades do tratamento) e tiver dado o seu consentimento.

A única exceção são os cookies tecnicamente necessários. As organizações não precisam de pedir consentimento quando utilizam cookies tecnicamente necessários nos seus sítios Web.

Mais informações:

• Tratar legalmente os dados pessoais

A conformidade com o RGPD é controlada pelas autoridades nacionais de proteção de dados (APD). As APD podem realizar investigações e impor sanções sempre que necessário. As APD dispõem de uma série de instrumentos, incluindo a aplicação de coimas até 20 milhões de euros ou 4 % do volume de negócios anual a nível mundial, consoante o que for mais elevado, repreensões e proibições temporárias ou permanentes de tratamento.

Os dados de contacto de todas as APD do EEE podem ser consultados no sítio Web do CEPD: Membros

Mais informações:

• Autoridade de Proteção de Dados e você

O primeiro passo para instalar CCTV é identificar a finalidade ou finalidades para fazê-lo. As finalidades da instalação de CCTV podem ser variadas, como garantir a segurança das instalações, auxiliar na prevenção e deteção de roubos e outros crimes, ou proteger a vida e a saúde dos funcionários, devido à natureza do trabalho.

Tal como acontece com qualquer tratamento de dados pessoais, a gravação de imagem de indivíduos deve ter uma base legal ao abrigo do RGPD. O consentimento pode constituir uma base jurídica para esse tratamento de dados. No entanto, é pouco provável que tal se aplique à utilização de CCTV na maioria dos casos, uma vez que será difícil obter o consentimento livre de todas as pessoas suscetíveis de serem gravadas. O fundamento de legitimidade mais comum para este tipo de tratamento de dados pessoais é o interesse legítimo. Quando o tratamento se baseia num interesse legítimo, terá de realizar um teste de ponderação para determinar se os seus interesses legítimos prevalecem sobre os direitos do indivíduo.

Terá de informar as pessoas que estão a ser gravadas. Isto pode ser feito através da colocação de sinais fáceis de ler em locais de destaque. Além disso, deve ser colocado em todas as entradas um sinal que indique a finalidade do sistema CCTV e a identidade e os dados de contacto do responsável pelo tratamento de dados.

As pessoas cujas imagens estejam a ser gravadas por um sistema de CCTV devem receber as seguintes informações:

• a identidade e os dados de contacto do responsável pelo tratamento;
• as finalidades do tratamento;
• a base legal do tratamento (se for o interesse legítimo, informações específicas sobre os interesses legítimos relacionados com o tratamento específico e sobre a entidade que prossegue cada interesse legítimo);
• os dados de contacto do encarregado da proteção de dados (caso exista um encarregado da proteção de dados);
• os destinatários ou categorias de destinatários dos dados;
• as disposições de segurança aplicáveis às imagens de CCTV;
• o período de conservação das imagens de CCTV;
• a existência de direitos individuais ao abrigo do RGPD e o direito de apresentar uma reclamação à autoridade nacional de proteção de dados.

Mais informações:

• Tratar legalmente os dados pessoais
• Respeitar os direitos dos indivíduos

Nos termos do RGPD, existem, em princípio, duas formas principais de transferir dados pessoais para um país não pertencente ao EEE ou para uma organização internacional. As transferências podem ser efetuadas com base numa decisão de adequação ou, na falta de tal decisão, com base em garantias adequadas, incluindo direitos oponíveis e vias de recurso para as pessoas singulares.

Mais informações:

• Transferências internacionais

As medidas de segurança necessárias podem diferir com base na natureza dos dados pessoais que trata e nos riscos associados para as pessoas. Em qualquer caso, existem algumas medidas mínimas a aplicar:

• acesso seguro às instalações;
• utilizar software antivírus regularmente atualizado;
• escolha cuidadosamente as suas palavras-passe;
• fazer com que os utilizadores se autentiquem antes de utilizarem as instalações informáticas;
• tenha uma política de salvaguarda e recuperação de dados em vigor em caso de incidente.

Além disso, algumas medidas básicas, como bloquear o ecrã enquanto está longe e bloquear o escritório no final do dia, nunca estão fora do lugar…

Mais informações:

• Dados pessoais seguros

1. Certifique-se de que os dados que recebeu foram recolhidos de forma legítima e que as pessoas em causa foram informadas sobre o tratamento dos seus dados pessoais.
2. Caso a entidade esteja a tratar dados pessoais em seu nome, certifique-se de que tem um contrato entre responsável pelo tratamento e subcontratante, que detalhe as operações de tratamento e os meios para tratar os dados pessoais.

E, claro, cumpra todas as obrigações dos responsáveis pelo tratamento.

Mais informações:

• Responsável pelo tratamento de dados ou subcontratante

Um contrato válido entre o responsável pelo tratamento e o subcontratante é obrigatório ao abrigo do RGPD. Uma infração pode ser objeto de uma coima até 10 milhões de euros ou até 2 % do volume de negócios anual total de uma empresa, consoante o que for mais elevado.

Para ajudar a orientá-lo na criação de um acordo entre o responsável pelo tratamento e o subcontratante, as autoridades dinamarquesas e eslovenas de proteção de dados, bem como a Comissão Europeia, desenvolveram modelos de acordos.

Mais informações:

• Responsável pelo tratamento de dados ou subcontratante