A tarefa do encarregado da proteção de dados inclui, entre outras:

• informar e aconselhar a organização e os seus colaboradores sobre o cumprimento da proteção de dados;
• controlar a conformidade da proteção de dados;
• prestar aconselhamento sobre pedidos relativos à avaliação de impacto sobre a proteção de dados (AIPD);
• atuar como ponto de contacto para a autoridade de proteção de dados (APD) e cooperar com essa autoridade de proteção de dados;
• atuar como ponto de contacto para os indivíduos.

Além disso, a presença do encarregado da proteção de dados é geralmente recomendada quando são tomadas decisões com implicações para a proteção de dados. O encarregado de proteção de dados deve também ser imediatamente consultado logo que tenha ocorrido uma violação de dados ou outro incidente.

Mais informações:

• Encarregado de proteção de dados

More information:

• Data Protection Officer

Todas as organizações, independentemente da sua dimensão ou setor, estabelecidas no Espaço Económico Europeu (EEE) ou que ofereçam produtos ou serviços a pessoas no EEE, tratando dados pessoais, quer por meios automatizados ou não, têm de cumprir o RGPD. Mesmo que o RGPD esteja principalmente relacionado com o tratamento automatizado de dados pessoais, as operações de tratamento realizadas manualmente também estarão sujeitas ao RGPD a partir do momento em que os ficheiros em papel são organizados de forma sistemática, por exemplo, ordenados por ordem alfabética num arquivo.

Exemplos de operações de tratamento incluem a recolha, o registo, a organização, a utilização, a modificação, o armazenamento, a divulgação, a alteração e o apagamento dos dados pessoais das pessoas.

No entanto, a aplicação do RGPD é modulada em função da natureza, do contexto, das finalidades e dos riscos das operações de tratamento efetuadas. Para as PME cuja atividade principal não é o tratamento de dados pessoais, as obrigações podem ser menos rigorosas do que para uma grande empresa.

Mais informações:

• Elementos básicos em matéria de proteção de dados

Não, não é necessário tornar público o seu registo de atividades de tratamento. No entanto, deve poder disponibilizar o registo à autoridade de proteção de dados, mediante pedido.

Mais informações:

• Estar em conformidade

Sim, pode, mas o RGPD impõe certas obrigações às empresas que partilham dados pessoais. A sua organização deve informar as pessoas de que irá partilhar os seus dados com terceiros. Deve também informá-los sobre as suas finalidades, segurança, acesso e as medidas de conservação que se aplicarão.

Alguns tipos de dados pessoais pertencem a categorias especiais de dados pessoais, o que significa que merecem mais proteção, os chamados dados sensíveis. Os dados sensíveis incluem dados que revelam informações sobre:

• a saúde de uma pessoa;
• a orientação sexual de um indivíduo;
• origem racial ou étnica de um indivíduo;
• as opiniões políticas, as convicções religiosas ou filosóficas de uma pessoa; a filiação sindical de uma pessoa;
• dados biométricos e genéticos de um indivíduo.

O tratamento de dados sensíveis de uma pessoa é geralmente proibido, exceto em circunstâncias específicas que justifiquem o seu tratamento.

Mais informações:

• Elementos básicos em matéria de proteção de dados

O RGPD aplica-se à utilização de cookies quando estes são utilizados para o tratamento de dados pessoais, mas também existem regras mais específicas para os cookies, incluindo a Diretiva da Privacidade nas comunicações eletrónicas.

O armazenamento de um cookie, ou a obtenção de acesso a um cookie já armazenado, no equipamento terminal de um utilizador só é permitido se o assinante ou utilizador em causa tiver sido devidamente informado (em especial sobre as finalidades do tratamento) e tiver dado o seu consentimento.

A única exceção são os cookies tecnicamente necessários. As organizações não precisam de pedir consentimento quando utilizam cookies tecnicamente necessários nos seus sítios Web.

Mais informações:

• Tratar legalmente os dados pessoais

Os cookies são pequenos ficheiros armazenados num dispositivo, como um computador, um dispositivo móvel ou qualquer outro dispositivo que possa armazenar informações. Os cookies servem uma série de funções importantes, incluindo recordar os utilizadores e as suas interações anteriores com um website. Podem ser utilizados para acompanhar os artigos de um carrinho de compras em linha ou para acompanhar as informações quando os detalhes são inseridos num formulário de candidatura em linha.

Os cookies de autenticação também são importantes para identificar os utilizadores quando iniciam sessão em serviços bancários e noutros serviços online. As informações armazenadas nos cookies podem incluir dados pessoais, como um endereço IP, um nome de utilizador, um identificador único ou um endereço de correio eletrónico.

A conformidade com o RGPD é controlada pelas autoridades nacionais de proteção de dados (APD). As APD podem realizar investigações e impor sanções sempre que necessário. As APD dispõem de uma série de instrumentos, incluindo a aplicação de coimas até 20 milhões de euros ou 4 % do volume de negócios anual a nível mundial, consoante o que for mais elevado, repreensões e proibições temporárias ou permanentes de tratamento.

Os dados de contacto de todas as APD do EEE podem ser consultados no sítio Web do CEPD: Membros

Mais informações:

• Autoridade de Proteção de Dados e você

O RGPD confere às pessoas o controlo sobre o tratamento dos seus dados pessoais. Para isso, a transparência é fundamental. Isto significa que tem de informar as pessoas cujos dados trata sobre as suas operações de tratamento e as finalidades. Por outras palavras, é preciso explicar quem trata os seus dados, mas também como e porquê. Apenas se a utilização de dados pessoais for «transparente» para as pessoas envolvidas, é que é possível avaliar possíveis riscos e tomar decisões sobre os seus dados pessoais.

Nos termos do RGPD, é obrigado a partilhar as seguintes informações com os indivíduos:

• a identidade e os dados de contacto do responsável pelo tratamento;
• as finalidades do tratamento;
• a base legal do tratamento (se houver interesse legítimo, informações específicas sobre os interesses legítimos relacionados com o tratamento específico e sobre a entidade que prossegue cada interesse legítimo).
• os dados de contacto do responsável pelo tratamento;
• os dados de contacto do EPD (caso exista um EPD);
• os destinatários ou categorias de destinatários dos dados;
• Informações sobre se os dados serão transferidos para fora do Espaço Económico Europeu (EEE) (se aplicável: existência ou não de uma decisão de adequação ou referência às garantias adequadas e à forma como essas informações podem ser disponibilizadas aos titulares dos dados);
• as categorias de dados pessoais tratados, quando os dados não são obtidos do indivíduo.

Além disso, o RGPD exige que a sua organização forneça as seguintes informações para garantir um tratamento leal e transparente:

• o período de conservação ou, se tal não for possível, os critérios utilizados para determinar esse período;
• o direito de solicitar o acesso, o apagamento, a retificação, a limitação, a oposição e a portabilidade dos dados pessoais;
• o direito de apresentar uma reclamação a uma autoridade de proteção de dados;
• se a base legal do tratamento for o consentimento: o direito de retirar o consentimento a qualquer momento;
• no caso de tomada de decisões automatizadas, informações pertinentes sobre a lógica subjacente e as consequências previstas do tratamento para o titular dos dados;
• a origem dos dados pessoais (se não os tiver recebido diretamente da pessoa em causa;
• se o indivíduo é obrigado a fornecer os dados pessoais (por lei ou por contrato ou para celebrar um contrato) e quais são as consequências da recusa de fornecer os dados.

Mais informações:

• Respeitar os direitos dos indivíduos

O EPD não pode ser responsabilizado pelo incumprimento do RGPD. A conformidade com o RGPD é da responsabilidade da organização que nomeou o EPD.

Mais informações:

• Encarregado de proteção de dados