Os cookies são pequenos ficheiros armazenados num dispositivo, como um computador, um dispositivo móvel ou qualquer outro dispositivo que possa armazenar informações. Os cookies servem uma série de funções importantes, incluindo recordar os utilizadores e as suas interações anteriores com um website. Podem ser utilizados para acompanhar os artigos de um carrinho de compras em linha ou para acompanhar as informações quando os detalhes são inseridos num formulário de candidatura em linha.

Os cookies de autenticação também são importantes para identificar os utilizadores quando iniciam sessão em serviços bancários e noutros serviços online. As informações armazenadas nos cookies podem incluir dados pessoais, como um endereço IP, um nome de utilizador, um identificador único ou um endereço de correio eletrónico.

A publicação dos nomes dos vencedores de um concurso no seu sítio Web pode ser considerada um interesse legítimo, se puder provar isso através da realização de um teste de ponderação para determinar se os seus interesses legítimos prevalecem sobre os direitos dos indivíduos.

Uma boa prática seria estabelecer um procedimento interno em que sejam explicadas as regras relativas à publicação dos dados pessoais dos vencedores.

Além disso, o tratamento de dados pessoais para estes fins deve fazer parte da política de privacidade do concurso, de modo a que os participantes sejam previamente informados sobre a forma como os seus dados serão tratados.

Mais informações:

• Tratar legalmente os dados pessoais

Não, não é necessário ser certificado para se tornar um EPD.

Os EPD devem, no entanto, ser capazes de demonstrar que possuem as qualificações necessárias exigidas pelo RGPD, tais como conhecimentos especializados em matéria de legislação e práticas em matéria de proteção de dados.

Mais informações:

• Responsável pela proteção de dados

A tarefa do encarregado da proteção de dados inclui, entre outras:

• informar e aconselhar a organização e os seus colaboradores sobre o cumprimento da proteção de dados;
• controlar a conformidade da proteção de dados;
• prestar aconselhamento sobre pedidos relativos à avaliação de impacto sobre a proteção de dados (AIPD);
• atuar como ponto de contacto para a autoridade de proteção de dados (APD) e cooperar com essa autoridade de proteção de dados;
• atuar como ponto de contacto para os indivíduos.

Além disso, a presença do encarregado da proteção de dados é geralmente recomendada quando são tomadas decisões com implicações para a proteção de dados. O encarregado de proteção de dados deve também ser imediatamente consultado logo que tenha ocorrido uma violação de dados ou outro incidente.

Mais informações:

• Encarregado de proteção de dados

More information:

• Data Protection Officer

Os responsáveis pelo tratamento de dados só podem tratar dados pessoais numa das seguintes circunstâncias:

• com o consentimento das pessoas em causa;
• se o tratamento for necessário para a execução de um contrato (contrato entre a sua organização e uma pessoa singular);
• para cumprir uma obrigação legal ao abrigo da legislação da UE ou nacional;
• se o tratamento for necessário para o desempenho de uma missão de interesse público ao abrigo da legislação da UE ou nacional;
• para proteger os interesses vitais de um indivíduo;
• para os interesses legítimos da sua organização — exceto nos casos em que se sobreponham aos direitos e liberdades dos indivíduos.

Além disso, o RGPD estabelece condições adicionais para o tratamento de dados sensíveis.

Mais informações:

• Tratar legalmente os dados pessoais

Se a sua organização estiver a recolher os dados pessoais diretamente das pessoas singulares, deve fornecer as informações necessárias no momento da recolha.

Em caso de recolha indireta de dados pessoais, a sua organização deve fornecer as informações o mais tardar no prazo de um mês após a obtenção inicial dos dados pessoais. Este período máximo de um mês pode ser reduzido:

• se os dados pessoais forem utilizados para efeitos de comunicação com o titular dos dados. Nesse caso, deve informar o titular dos dados o mais tardar no momento da primeira comunicação ao titular dos dados;
• se os dados forem transmitidos a outro destinatário, a organização informa desse facto os titulares dos dados o mais tardar aquando da transferência dos dados pessoais.

Mais informações:

• Respeitar os direitos dos indivíduos

Todas as organizações, independentemente da sua dimensão ou setor, estabelecidas no Espaço Económico Europeu (EEE) ou que ofereçam produtos ou serviços a pessoas no EEE, tratando dados pessoais, quer por meios automatizados ou não, têm de cumprir o RGPD. Mesmo que o RGPD esteja principalmente relacionado com o tratamento automatizado de dados pessoais, as operações de tratamento realizadas manualmente também estarão sujeitas ao RGPD a partir do momento em que os ficheiros em papel são organizados de forma sistemática, por exemplo, ordenados por ordem alfabética num arquivo.

Exemplos de operações de tratamento incluem a recolha, o registo, a organização, a utilização, a modificação, o armazenamento, a divulgação, a alteração e o apagamento dos dados pessoais das pessoas.

No entanto, a aplicação do RGPD é modulada em função da natureza, do contexto, das finalidades e dos riscos das operações de tratamento efetuadas. Para as PME cuja atividade principal não é o tratamento de dados pessoais, as obrigações podem ser menos rigorosas do que para uma grande empresa.

Mais informações:

• Elementos básicos em matéria de proteção de dados

Para que o consentimento seja considerado válido, deve ser:

• cedido livremente;
• específico;
• informado; e
• inequívoco.

Isto significa que as pessoas devem ter uma verdadeira liberdade de escolha quanto ao facto de concordarem ou não com o tratamento dos seus dados pessoais; necessitam de informações suficientes para que possam compreender que dados são tratados, para que finalidade e como é feito; também necessitam de granularidade suficiente nos pedidos de consentimento.

Além disso, deve haver uma ação positiva clara por parte do indivíduo (sem caixas pré-marcadas e feita separadamente das condições gerais aplicáveis).

Além disso, os indivíduos devem poder retirar livremente o seu consentimento (sem quaisquer consequências negativas) se mudarem de ideias mais tarde.

Mais informações:

• Tratar legalmente os dados pessoais

O RGPD prevê direitos específicos para os indivíduos que têm de ser respeitados. Pode fazê-lo através de:

• informar as pessoas cujos dados trata sobre as suas operações de tratamento e as finalidades de tratamento quando recolhe os seus dados, por exemplo através de uma declaração de privacidade no seu sítio Web;
• respondendo aos pedidos das pessoas para exercerem os seus direitos, tais como pedidos de acesso, retificação, oposição, apagamento ou portabilidade.

As organizações que são transparentes quanto à sua utilização de dados pessoais e que respeitam os direitos dos indivíduos têm menos probabilidades de se tornarem objeto de reclamações.

Mais informações:

• Respeitar os direitos dos indivíduos

As pessoas singulares têm o direito de solicitar o apagamento dos dados pessoais que lhes digam respeito e, nesse caso, o responsável pelo tratamento tem a obrigação de apagar os dados pessoais. Deve responder sem demora injustificada e, o mais tardar, no prazo de um mês a contar da receção do pedido. Este prazo pode ser prorrogado por mais dois meses se o pedido for demasiado complexo e for necessário mais tempo para dar cumprimento ao pedido, desde que a pessoa seja informada desse facto no prazo de um mês a contar da receção do pedido.

É importante notar que o direito ao apagamento não é absoluto. Não se aplica quando os dados em questão forem necessários para:

• exercer o direito à liberdade de expressão e de informação (por exemplo, para fins jornalísticos);
• cumprimento de uma obrigação legal que exija o tratamento de dados pessoais (por exemplo, o tratamento de registos sobre o horário de trabalho dos trabalhadores);
• razões de interesse público no domínio da saúde pública
• fins de arquivo de interesse público ou fins de investigação científica ou histórica ou fins estatísticos; e
• a declaração, o exercício ou a defesa de um direito num processo judicial.

Quando os dados pessoais a apagar foram previamente transferidos para outras organizações, deve informar esses destinatários de que o indivíduo solicitou o apagamento, salvo se tal se revelar impossível ou exigir esforços desproporcionados.

Mais informações:

• Respeitar os direitos dos indivíduos