Perguntas frequentes
Posso transferir dados pessoais para fora do Espaço Económico Europeu (EEE)?
Nos termos do RGPD, existem, em princípio, duas formas principais de transferir dados pessoais para um país não pertencente ao EEE ou para uma organização internacional. As transferências podem ser efetuadas com base numa decisão de adequação ou, na falta de tal decisão, com base em garantias adequadas, incluindo direitos oponíveis e vias de recurso para as pessoas singulares.
Mais informações:
Quais são os fundamentos legais para o tratamento de dados ao abrigo do RGPD?
Os responsáveis pelo tratamento de dados só podem tratar dados pessoais numa das seguintes circunstâncias:
- com o consentimento das pessoas em causa;
- se o tratamento for necessário para a execução de um contrato (contrato entre a sua organização e uma pessoa singular);
- para cumprir uma obrigação legal ao abrigo da legislação da UE ou nacional;
- se o tratamento for necessário para o desempenho de uma missão de interesse público ao abrigo da legislação da UE ou nacional;
- para proteger os interesses vitais de um indivíduo;
- para os interesses legítimos da sua organização — exceto nos casos em que se sobreponham aos direitos e liberdades dos indivíduos.
Além disso, o RGPD estabelece condições adicionais para o tratamento de dados sensíveis.
Mais informações:
O que é uma avaliação de impacto sobre a proteção de dados e quando é que tal é obrigatório?
Uma avaliação de impacto sobre a proteção de dados ou AIPD é uma avaliação escrita que a sua organização deve fazer para avaliar o impacto de uma operação de tratamento planeada. Ajuda-o a identificar as medidas adequadas para lidar com os riscos e a demonstrar conformidade.
Embora seja sempre preferível antecipar o impacto das operações de tratamento planeadas da sua organização através da realização de AIPD, é obrigatório realizar uma AIPD quando o tratamento for suscetível de resultar num elevado risco para os direitos e liberdades das pessoas.
Especificamente, é o que acontece quando o tratamento previsto envolve:
- o tratamento — em grande escala — de dados pessoais sensíveis ou de dados relacionados com condenações penais;
- uma avaliação sistemática e exaustiva dos aspetos pessoais de uma pessoa, com base no tratamento automatizado, incluindo a definição de perfis, e nos quais se baseiam as decisões que produzem efeitos jurídicos sobre a pessoa em questão ou afetam significativamente as pessoas de forma similar;
- monitorização sistemática de uma zona acessível ao público em grande escala.
O CEPD elaborou orientações que enumeram os critérios que deve ter em conta ao avaliar se uma AIPD é ou não obrigatória. As autoridades de proteção de dados (APD) publicaram igualmente listas de operações de tratamento que estão sujeitas a uma AIPD. Além disso, várias APD desenvolveram guias, software ou ferramentas de autoavaliação para o ajudar na sua avaliação.
Mais informações:
O que são dados sensíveis?
Alguns tipos de dados pessoais pertencem a categorias especiais de dados pessoais, o que significa que merecem mais proteção, os chamados dados sensíveis. Os dados sensíveis incluem dados que revelam informações sobre:
- a saúde de uma pessoa;
- a orientação sexual de um indivíduo;
- origem racial ou étnica de um indivíduo;
- as opiniões políticas, as convicções religiosas ou filosóficas de uma pessoa; a filiação sindical de uma pessoa;
- dados biométricos e genéticos de um indivíduo.
O tratamento de dados sensíveis de uma pessoa é geralmente proibido, exceto em circunstâncias específicas que justifiquem o seu tratamento.
Mais informações:
Preciso de ser certificado para me tornar um Encarregado de Proteção de Dados (EPD)?
Não, não é necessário ser certificado para se tornar um EPD.
Os EPD devem, no entanto, ser capazes de demonstrar que possuem as qualificações necessárias exigidas pelo RGPD, tais como conhecimentos especializados em matéria de legislação e práticas em matéria de proteção de dados.
Mais informações:
Quais são as sanções se a minha organização não cumprir o RGPD ou se o meu tratamento violar o RGPD?
A conformidade com o RGPD é controlada pelas autoridades nacionais de proteção de dados (APD). As APD podem realizar investigações e impor sanções sempre que necessário. As APD dispõem de uma série de instrumentos, incluindo a aplicação de coimas até 20 milhões de euros ou 4 % do volume de negócios anual a nível mundial, consoante o que for mais elevado, repreensões e proibições temporárias ou permanentes de tratamento.
Os dados de contacto de todas as APD do EEE podem ser consultados no sítio Web do CEPD: Membros
Mais informações:
Só posso tratar dados pessoais se tiver o consentimento do indivíduo?
O tratamento de dados pessoais é permitido se existir uma base legal para o efeito. Além do consentimento livre, específico, informado e inequívoco, podem ser utilizadas outras bases legais para o tratamento.
Por outras palavras, o consentimento é necessário quando nenhuma dos outros fundamentos de legitimidade se aplica.
Mais informações:
Estou a organizar um evento no âmbito das minhas atividades empresariais, posso fazer fotografias e vídeos do evento e das pessoas que participam?
Sim, mas para tal, terá de determinar, em primeiro lugar, a base legal para o tratamento deste tipo de dados pessoais. Por exemplo, o tratamento pode ser considerado um interesse legítimo para a sua organização. Ao tratar dados pessoais com base no interesse legítimo, é sempre necessário realizar um teste de ponderação para determinar se os seus interesses legítimos prevalecem sobre os direitos das pessoas, especialmente se as crianças estiverem envolvidas.
Outra possível base legal para esse tratamento poderia ser o consentimento. De qualquer forma, as pessoas devem ser sempre informadas com antecedência de que o evento está a ser fotografado ou filmado.
Mais informações:
O que é um responsável conjunto?
Quando dois ou mais responsáveis pelo tratamento de dados determinam conjuntamente a finalidade e os meios de tratamento, são considerados responsáveis conjuntos pelo tratamento. Decidem em conjunto tratar dados pessoais para uma finalidade conjunta. A responsabilidade conjunta pelo tratamento pode assumir muitas formas e a participação dos diferentes responsáveis pelo tratamento pode ser desigual. Os responsáveis conjuntos pelo tratamento devem, por conseguinte, determinar as respetivas responsabilidades pelo cumprimento do RGPD.
É importante notar que a responsabilidade conjunta pelo tratamento conduz a uma responsabilidade conjunta por uma atividade de tratamento.
- Exemplo de responsabilidade conjunta: As empresas A e B lançaram um produto de marca comum e pretendem organizar um evento para promover este produto. Para o efeito, decidem partilhar dados das respetivas bases de dados de clientes e potenciais clientes e decidem assim sobre a lista de convidados para o evento. Acordam igualmente sobre as modalidades de envio dos convites para o evento, sobre a forma de recolher informações durante o evento e sobre as ações de marketing de acompanhamento. As empresas A e B podem ser consideradas responsáveis conjuntas pelo tratamento de dados pessoais relacionados com a organização do evento promocional, uma vez que decidem em conjunto sobre a finalidade definida em conjunto e os meios essenciais do tratamento de dados neste contexto.
Mais informações:
O RGPD também se aplica aos registos em papel?
Sim, o RGPD aplica-se aos dados pessoais se estes estiverem contidos ou se destinarem a integrar um ficheiro. Isto significa que o RGPD também se aplica aos registos em papel e não apenas ao tratamento automatizado de dados pessoais.
Mais informações: