O RGPD confere às pessoas o controlo sobre o tratamento dos seus dados pessoais. Para isso, a transparência é fundamental. Isto significa que tem de informar as pessoas cujos dados trata sobre as suas operações de tratamento e as finalidades. Por outras palavras, é preciso explicar quem trata os seus dados, mas também como e porquê. Apenas se a utilização de dados pessoais for «transparente» para as pessoas envolvidas, é que é possível avaliar possíveis riscos e tomar decisões sobre os seus dados pessoais.

Nos termos do RGPD, é obrigado a partilhar as seguintes informações com os indivíduos:

• a identidade e os dados de contacto do responsável pelo tratamento;
• as finalidades do tratamento;
• a base legal do tratamento (se houver interesse legítimo, informações específicas sobre os interesses legítimos relacionados com o tratamento específico e sobre a entidade que prossegue cada interesse legítimo).
• os dados de contacto do responsável pelo tratamento;
• os dados de contacto do EPD (caso exista um EPD);
• os destinatários ou categorias de destinatários dos dados;
• Informações sobre se os dados serão transferidos para fora do Espaço Económico Europeu (EEE) (se aplicável: existência ou não de uma decisão de adequação ou referência às garantias adequadas e à forma como essas informações podem ser disponibilizadas aos titulares dos dados);
• as categorias de dados pessoais tratados, quando os dados não são obtidos do indivíduo.

Além disso, o RGPD exige que a sua organização forneça as seguintes informações para garantir um tratamento leal e transparente:

• o período de conservação ou, se tal não for possível, os critérios utilizados para determinar esse período;
• o direito de solicitar o acesso, o apagamento, a retificação, a limitação, a oposição e a portabilidade dos dados pessoais;
• o direito de apresentar uma reclamação a uma autoridade de proteção de dados;
• se a base legal do tratamento for o consentimento: o direito de retirar o consentimento a qualquer momento;
• no caso de tomada de decisões automatizadas, informações pertinentes sobre a lógica subjacente e as consequências previstas do tratamento para o titular dos dados;
• a origem dos dados pessoais (se não os tiver recebido diretamente da pessoa em causa;
• se o indivíduo é obrigado a fornecer os dados pessoais (por lei ou por contrato ou para celebrar um contrato) e quais são as consequências da recusa de fornecer os dados.

Mais informações:

• Respeitar os direitos dos indivíduos

O EPD não pode ser responsabilizado pelo incumprimento do RGPD. A conformidade com o RGPD é da responsabilidade da organização que nomeou o EPD.

Mais informações:

• Encarregado de proteção de dados

O primeiro passo para instalar CCTV é identificar a finalidade ou finalidades para fazê-lo. As finalidades da instalação de CCTV podem ser variadas, como garantir a segurança das instalações, auxiliar na prevenção e deteção de roubos e outros crimes, ou proteger a vida e a saúde dos funcionários, devido à natureza do trabalho.

Tal como acontece com qualquer tratamento de dados pessoais, a gravação de imagem de indivíduos deve ter uma base legal ao abrigo do RGPD. O consentimento pode constituir uma base jurídica para esse tratamento de dados. No entanto, é pouco provável que tal se aplique à utilização de CCTV na maioria dos casos, uma vez que será difícil obter o consentimento livre de todas as pessoas suscetíveis de serem gravadas. O fundamento de legitimidade mais comum para este tipo de tratamento de dados pessoais é o interesse legítimo. Quando o tratamento se baseia num interesse legítimo, terá de realizar um teste de ponderação para determinar se os seus interesses legítimos prevalecem sobre os direitos do indivíduo.

Terá de informar as pessoas que estão a ser gravadas. Isto pode ser feito através da colocação de sinais fáceis de ler em locais de destaque. Além disso, deve ser colocado em todas as entradas um sinal que indique a finalidade do sistema CCTV e a identidade e os dados de contacto do responsável pelo tratamento de dados.

As pessoas cujas imagens estejam a ser gravadas por um sistema de CCTV devem receber as seguintes informações:

• a identidade e os dados de contacto do responsável pelo tratamento;
• as finalidades do tratamento;
• a base legal do tratamento (se for o interesse legítimo, informações específicas sobre os interesses legítimos relacionados com o tratamento específico e sobre a entidade que prossegue cada interesse legítimo);
• os dados de contacto do encarregado da proteção de dados (caso exista um encarregado da proteção de dados);
• os destinatários ou categorias de destinatários dos dados;
• as disposições de segurança aplicáveis às imagens de CCTV;
• o período de conservação das imagens de CCTV;
• a existência de direitos individuais ao abrigo do RGPD e o direito de apresentar uma reclamação à autoridade nacional de proteção de dados.

Mais informações:

• Tratar legalmente os dados pessoais
• Respeitar os direitos dos indivíduos

A conformidade com o RGPD é controlada pelas autoridades nacionais de proteção de dados (APD). As APD podem realizar investigações e impor sanções sempre que necessário. As APD dispõem de uma série de instrumentos, incluindo a aplicação de coimas até 20 milhões de euros ou 4 % do volume de negócios anual a nível mundial, consoante o que for mais elevado, repreensões e proibições temporárias ou permanentes de tratamento.

Os dados de contacto de todas as APD do EEE podem ser consultados no sítio Web do CEPD: Membros

Mais informações:

• Autoridade de Proteção de Dados e você

Sim, mas para tal, terá de determinar, em primeiro lugar, a base legal para o tratamento deste tipo de dados pessoais. Por exemplo, o tratamento pode ser considerado um interesse legítimo para a sua organização. Ao tratar dados pessoais com base no interesse legítimo, é sempre necessário realizar um teste de ponderação para determinar se os seus interesses legítimos prevalecem sobre os direitos das pessoas, especialmente se as crianças estiverem envolvidas.

Outra possível base legal para esse tratamento poderia ser o consentimento. De qualquer forma, as pessoas devem ser sempre informadas com antecedência de que o evento está a ser fotografado ou filmado.

Mais informações:

• Tratar legalmente os dados pessoais

Quando dois ou mais responsáveis pelo tratamento de dados determinam conjuntamente a finalidade e os meios de tratamento, são considerados responsáveis conjuntos pelo tratamento. Decidem em conjunto tratar dados pessoais para uma finalidade conjunta. A responsabilidade conjunta pelo tratamento pode assumir muitas formas e a participação dos diferentes responsáveis pelo tratamento pode ser desigual. Os responsáveis conjuntos pelo tratamento devem, por conseguinte, determinar as respetivas responsabilidades pelo cumprimento do RGPD.

É importante notar que a responsabilidade conjunta pelo tratamento conduz a uma responsabilidade conjunta por uma atividade de tratamento.

• Exemplo de responsabilidade conjunta: As empresas A e B lançaram um produto de marca comum e pretendem organizar um evento para promover este produto. Para o efeito, decidem partilhar dados das respetivas bases de dados de clientes e potenciais clientes e decidem assim sobre a lista de convidados para o evento. Acordam igualmente sobre as modalidades de envio dos convites para o evento, sobre a forma de recolher informações durante o evento e sobre as ações de marketing de acompanhamento. As empresas A e B podem ser consideradas responsáveis conjuntas pelo tratamento de dados pessoais relacionados com a organização do evento promocional, uma vez que decidem em conjunto sobre a finalidade definida em conjunto e os meios essenciais do tratamento de dados neste contexto.

Mais informações:

• Responsável pelo tratamento de dados ou subcontratante

Alguns tipos de dados pessoais pertencem a categorias especiais de dados pessoais, o que significa que merecem mais proteção, os chamados dados sensíveis. Os dados sensíveis incluem dados que revelam informações sobre:

• a saúde de uma pessoa;
• a orientação sexual de um indivíduo;
• origem racial ou étnica de um indivíduo;
• as opiniões políticas, as convicções religiosas ou filosóficas de uma pessoa; a filiação sindical de uma pessoa;
• dados biométricos e genéticos de um indivíduo.

O tratamento de dados sensíveis de uma pessoa é geralmente proibido, exceto em circunstâncias específicas que justifiquem o seu tratamento.

Mais informações:

• Elementos básicos em matéria de proteção de dados

Sim, o RGPD aplica-se aos dados pessoais se estes estiverem contidos ou se destinarem a integrar um ficheiro. Isto significa que o RGPD também se aplica aos registos em papel e não apenas ao tratamento automatizado de dados pessoais.

Mais informações:

• Elementos básicos em matéria de proteção de dados

Sim, os subcontratantes (ou seja, indivíduos ou organismos que tratam dados em nome de um responsável pelo tratamento de dados) têm obrigações ao abrigo do RGPD. Existem, no entanto, algumas diferenças entre as responsabilidades dos responsáveis pelo tratamento de dados e dos subcontratantes.

Os subcontratantes têm de cumprir as responsabilidades estabelecidas no contrato entre o responsável pelo tratamento e o subcontratante, que especifica as operações de tratamento e os meios de tratamento de dados pessoais. Por exemplo, o subcontratante terá de efetuar as operações de tratamento com as medidas técnicas e organizativas adequadas, de acordo com as instruções do responsável pelo tratamento. Ao fazê-lo, o subcontratante auxilia o responsável pelo tratamento no cumprimento do RGPD.

Mais informações:

• Responsável pelo tratamento de dados ou subcontratante

Com efeito, o consentimento pode constituir uma base jurídica válida para o armazenamento dos CV dos candidatos a emprego. Outra possível base legal poderia ser o interesse legítimo. Nesse caso, terá de realizar um teste de ponderação para provar que os interesses legítimos da sua organização são superiores aos direitos dos candidatos.

De qualquer forma, terá de informar os candidatos de que tenciona armazenar os seus dados e para que finalidades.

Mais informações:

• Tratar legalmente os dados pessoais