Sim, os subcontratantes (ou seja, indivíduos ou organismos que tratam dados em nome de um responsável pelo tratamento de dados) têm obrigações ao abrigo do RGPD. Existem, no entanto, algumas diferenças entre as responsabilidades dos responsáveis pelo tratamento de dados e dos subcontratantes.

Os subcontratantes têm de cumprir as responsabilidades estabelecidas no contrato entre o responsável pelo tratamento e o subcontratante, que especifica as operações de tratamento e os meios de tratamento de dados pessoais. Por exemplo, o subcontratante terá de efetuar as operações de tratamento com as medidas técnicas e organizativas adequadas, de acordo com as instruções do responsável pelo tratamento. Ao fazê-lo, o subcontratante auxilia o responsável pelo tratamento no cumprimento do RGPD.

Mais informações:

• Responsável pelo tratamento de dados ou subcontratante

O primeiro passo para instalar CCTV é identificar a finalidade ou finalidades para fazê-lo. As finalidades da instalação de CCTV podem ser variadas, como garantir a segurança das instalações, auxiliar na prevenção e deteção de roubos e outros crimes, ou proteger a vida e a saúde dos funcionários, devido à natureza do trabalho.

Tal como acontece com qualquer tratamento de dados pessoais, a gravação de imagem de indivíduos deve ter uma base legal ao abrigo do RGPD. O consentimento pode constituir uma base jurídica para esse tratamento de dados. No entanto, é pouco provável que tal se aplique à utilização de CCTV na maioria dos casos, uma vez que será difícil obter o consentimento livre de todas as pessoas suscetíveis de serem gravadas. O fundamento de legitimidade mais comum para este tipo de tratamento de dados pessoais é o interesse legítimo. Quando o tratamento se baseia num interesse legítimo, terá de realizar um teste de ponderação para determinar se os seus interesses legítimos prevalecem sobre os direitos do indivíduo.

Terá de informar as pessoas que estão a ser gravadas. Isto pode ser feito através da colocação de sinais fáceis de ler em locais de destaque. Além disso, deve ser colocado em todas as entradas um sinal que indique a finalidade do sistema CCTV e a identidade e os dados de contacto do responsável pelo tratamento de dados.

As pessoas cujas imagens estejam a ser gravadas por um sistema de CCTV devem receber as seguintes informações:

• a identidade e os dados de contacto do responsável pelo tratamento;
• as finalidades do tratamento;
• a base legal do tratamento (se for o interesse legítimo, informações específicas sobre os interesses legítimos relacionados com o tratamento específico e sobre a entidade que prossegue cada interesse legítimo);
• os dados de contacto do encarregado da proteção de dados (caso exista um encarregado da proteção de dados);
• os destinatários ou categorias de destinatários dos dados;
• as disposições de segurança aplicáveis às imagens de CCTV;
• o período de conservação das imagens de CCTV;
• a existência de direitos individuais ao abrigo do RGPD e o direito de apresentar uma reclamação à autoridade nacional de proteção de dados.

Mais informações:

• Tratar legalmente os dados pessoais
• Respeitar os direitos dos indivíduos

Nos termos do RGPD, existem, em princípio, duas formas principais de transferir dados pessoais para um país não pertencente ao EEE ou para uma organização internacional. As transferências podem ser efetuadas com base numa decisão de adequação ou, na falta de tal decisão, com base em garantias adequadas, incluindo direitos oponíveis e vias de recurso para as pessoas singulares.

Mais informações:

• Transferências internacionais

O RGPD confere às pessoas o controlo sobre o tratamento dos seus dados pessoais. Para isso, a transparência é fundamental. Isto significa que tem de informar as pessoas cujos dados trata sobre as suas operações de tratamento e as finalidades. Por outras palavras, é preciso explicar quem trata os seus dados, mas também como e porquê. Apenas se a utilização de dados pessoais for «transparente» para as pessoas envolvidas, é que é possível avaliar possíveis riscos e tomar decisões sobre os seus dados pessoais.

Nos termos do RGPD, é obrigado a partilhar as seguintes informações com os indivíduos:

• a identidade e os dados de contacto do responsável pelo tratamento;
• as finalidades do tratamento;
• a base legal do tratamento (se houver interesse legítimo, informações específicas sobre os interesses legítimos relacionados com o tratamento específico e sobre a entidade que prossegue cada interesse legítimo).
• os dados de contacto do responsável pelo tratamento;
• os dados de contacto do EPD (caso exista um EPD);
• os destinatários ou categorias de destinatários dos dados;
• Informações sobre se os dados serão transferidos para fora do Espaço Económico Europeu (EEE) (se aplicável: existência ou não de uma decisão de adequação ou referência às garantias adequadas e à forma como essas informações podem ser disponibilizadas aos titulares dos dados);
• as categorias de dados pessoais tratados, quando os dados não são obtidos do indivíduo.

Além disso, o RGPD exige que a sua organização forneça as seguintes informações para garantir um tratamento leal e transparente:

• o período de conservação ou, se tal não for possível, os critérios utilizados para determinar esse período;
• o direito de solicitar o acesso, o apagamento, a retificação, a limitação, a oposição e a portabilidade dos dados pessoais;
• o direito de apresentar uma reclamação a uma autoridade de proteção de dados;
• se a base legal do tratamento for o consentimento: o direito de retirar o consentimento a qualquer momento;
• no caso de tomada de decisões automatizadas, informações pertinentes sobre a lógica subjacente e as consequências previstas do tratamento para o titular dos dados;
• a origem dos dados pessoais (se não os tiver recebido diretamente da pessoa em causa;
• se o indivíduo é obrigado a fornecer os dados pessoais (por lei ou por contrato ou para celebrar um contrato) e quais são as consequências da recusa de fornecer os dados.

Mais informações:

• Respeitar os direitos dos indivíduos

Uma avaliação de impacto sobre a proteção de dados ou AIPD é uma avaliação escrita que a sua organização deve fazer para avaliar o impacto de uma operação de tratamento planeada. Ajuda-o a identificar as medidas adequadas para lidar com os riscos e a demonstrar conformidade.

Embora seja sempre preferível antecipar o impacto das operações de tratamento planeadas da sua organização através da realização de AIPD, é obrigatório realizar uma AIPD quando o tratamento for suscetível de resultar num elevado risco para os direitos e liberdades das pessoas.

Especificamente, é o que acontece quando o tratamento previsto envolve:

• o tratamento — em grande escala — de dados pessoais sensíveis ou de dados relacionados com condenações penais;  
• uma avaliação sistemática e exaustiva dos aspetos pessoais de uma pessoa, com base no tratamento automatizado, incluindo a definição de perfis, e nos quais se baseiam as decisões que produzem efeitos jurídicos sobre a pessoa em questão ou afetam significativamente as pessoas de forma similar;
• monitorização sistemática de uma zona acessível ao público em grande escala.

O CEPD elaborou orientações que enumeram os critérios que deve ter em conta ao avaliar se uma AIPD é ou não obrigatória. As autoridades de proteção de dados (APD) publicaram igualmente listas de operações de tratamento que estão sujeitas a uma AIPD. Além disso, várias APD desenvolveram guias, software ou ferramentas de autoavaliação para o ajudar na sua avaliação.

Mais informações:

• Estar em conformidade

Não, não é necessário ser certificado para se tornar um EPD.

Os EPD devem, no entanto, ser capazes de demonstrar que possuem as qualificações necessárias exigidas pelo RGPD, tais como conhecimentos especializados em matéria de legislação e práticas em matéria de proteção de dados.

Mais informações:

• Responsável pela proteção de dados

Os responsáveis pelo tratamento de dados só podem tratar dados pessoais numa das seguintes circunstâncias:

• com o consentimento das pessoas em causa;
• se o tratamento for necessário para a execução de um contrato (contrato entre a sua organização e uma pessoa singular);
• para cumprir uma obrigação legal ao abrigo da legislação da UE ou nacional;
• se o tratamento for necessário para o desempenho de uma missão de interesse público ao abrigo da legislação da UE ou nacional;
• para proteger os interesses vitais de um indivíduo;
• para os interesses legítimos da sua organização — exceto nos casos em que se sobreponham aos direitos e liberdades dos indivíduos.

Além disso, o RGPD estabelece condições adicionais para o tratamento de dados sensíveis.

Mais informações:

• Tratar legalmente os dados pessoais

O tratamento de dados pessoais é permitido se existir uma base legal para o efeito. Além do consentimento livre, específico, informado e inequívoco, podem ser utilizadas outras bases legais para o tratamento.

Por outras palavras, o consentimento é necessário quando nenhuma dos outros fundamentos de legitimidade se aplica.

 

Mais informações:

• Tratar legalmente os dados pessoais

Sim, mas para tal, terá de determinar, em primeiro lugar, a base legal para o tratamento deste tipo de dados pessoais. Por exemplo, o tratamento pode ser considerado um interesse legítimo para a sua organização. Ao tratar dados pessoais com base no interesse legítimo, é sempre necessário realizar um teste de ponderação para determinar se os seus interesses legítimos prevalecem sobre os direitos das pessoas, especialmente se as crianças estiverem envolvidas.

Outra possível base legal para esse tratamento poderia ser o consentimento. De qualquer forma, as pessoas devem ser sempre informadas com antecedência de que o evento está a ser fotografado ou filmado.

Mais informações:

• Tratar legalmente os dados pessoais

Quando dois ou mais responsáveis pelo tratamento de dados determinam conjuntamente a finalidade e os meios de tratamento, são considerados responsáveis conjuntos pelo tratamento. Decidem em conjunto tratar dados pessoais para uma finalidade conjunta. A responsabilidade conjunta pelo tratamento pode assumir muitas formas e a participação dos diferentes responsáveis pelo tratamento pode ser desigual. Os responsáveis conjuntos pelo tratamento devem, por conseguinte, determinar as respetivas responsabilidades pelo cumprimento do RGPD.

É importante notar que a responsabilidade conjunta pelo tratamento conduz a uma responsabilidade conjunta por uma atividade de tratamento.

• Exemplo de responsabilidade conjunta: As empresas A e B lançaram um produto de marca comum e pretendem organizar um evento para promover este produto. Para o efeito, decidem partilhar dados das respetivas bases de dados de clientes e potenciais clientes e decidem assim sobre a lista de convidados para o evento. Acordam igualmente sobre as modalidades de envio dos convites para o evento, sobre a forma de recolher informações durante o evento e sobre as ações de marketing de acompanhamento. As empresas A e B podem ser consideradas responsáveis conjuntas pelo tratamento de dados pessoais relacionados com a organização do evento promocional, uma vez que decidem em conjunto sobre a finalidade definida em conjunto e os meios essenciais do tratamento de dados neste contexto.

Mais informações:

• Responsável pelo tratamento de dados ou subcontratante