Perguntas frequentes
Os subcontratantes também têm de respeitar o RGPD?
Sim, os subcontratantes (ou seja, indivíduos ou organismos que tratam dados em nome de um responsável pelo tratamento de dados) têm obrigações ao abrigo do RGPD. Existem, no entanto, algumas diferenças entre as responsabilidades dos responsáveis pelo tratamento de dados e dos subcontratantes.
Os subcontratantes têm de cumprir as responsabilidades estabelecidas no contrato entre o responsável pelo tratamento e o subcontratante, que especifica as operações de tratamento e os meios de tratamento de dados pessoais. Por exemplo, o subcontratante terá de efetuar as operações de tratamento com as medidas técnicas e organizativas adequadas, de acordo com as instruções do responsável pelo tratamento. Ao fazê-lo, o subcontratante auxilia o responsável pelo tratamento no cumprimento do RGPD.
Mais informações:
Se quiser conservar os CV dos candidatos para futuros procedimentos de recrutamento, tenho de pedir o consentimento dos candidatos?
Com efeito, o consentimento pode constituir uma base jurídica válida para o armazenamento dos CV dos candidatos a emprego. Outra possível base legal poderia ser o interesse legítimo. Nesse caso, terá de realizar um teste de ponderação para provar que os interesses legítimos da sua organização são superiores aos direitos dos candidatos.
De qualquer forma, terá de informar os candidatos de que tenciona armazenar os seus dados e para que finalidades.
Mais informações:
Enquanto responsável pelo tratamento de dados, recolhi dados pessoais numa terceira entidade, o que tenho de fazer para estar em conformidade?
- Certifique-se de que os dados que recebeu foram recolhidos de forma legítima e que as pessoas em causa foram informadas sobre o tratamento dos seus dados pessoais.
- Caso a entidade esteja a tratar dados pessoais em seu nome, certifique-se de que tem um contrato entre responsável pelo tratamento e subcontratante, que detalhe as operações de tratamento e os meios para tratar os dados pessoais.
E, claro, cumpra todas as obrigações dos responsáveis pelo tratamento.
Mais informações:
O que constitui um conflito de interesses para um encarregado da proteção de dados (EPD)?
Os EPD podem desempenhar outras tarefas dentro da organização, mas isso não pode resultar num conflito de interesses. Tal implica que o encarregado de proteção de dados não pode ter uma posição na qual determine as finalidades e os meios das atividades de tratamento. As funções conflituantes incluem principalmente cargos de gestão (chefe de administração, diretor operacional, diretor financeiro, chefe de recursos humanos, chefe de TI, diretor executivo), mas podem também envolver outras funções se conduzirem à determinação das finalidades e dos meios de tratamento.
O encarregado de proteção de dados deve poder desempenhar as suas funções e tarefas de forma independente. Isto significa que a sua organização:
- não pode dar instruções ao encarregado de proteção de dados sobre o desempenho das suas funções;
- não pode penalizar ou demitir o encarregado de proteção de dados pelo desempenho das suas funções.
Mais informações:
Como posso obter o consentimento válido?
Para que o consentimento seja considerado válido, deve ser:
- cedido livremente;
- específico;
- informado; e
- inequívoco.
Isto significa que as pessoas devem ter uma verdadeira liberdade de escolha quanto ao facto de concordarem ou não com o tratamento dos seus dados pessoais; necessitam de informações suficientes para que possam compreender que dados são tratados, para que finalidade e como é feito; também necessitam de granularidade suficiente nos pedidos de consentimento.
Além disso, deve haver uma ação positiva clara por parte do indivíduo (sem caixas pré-marcadas e feita separadamente das condições gerais aplicáveis).
Além disso, os indivíduos devem poder retirar livremente o seu consentimento (sem quaisquer consequências negativas) se mudarem de ideias mais tarde.
Mais informações:
Como posso respeitar os direitos das pessoas em matéria de proteção de dados?
O RGPD prevê direitos específicos para os indivíduos que têm de ser respeitados. Pode fazê-lo através de:
- informar as pessoas cujos dados trata sobre as suas operações de tratamento e as finalidades de tratamento quando recolhe os seus dados, por exemplo através de uma declaração de privacidade no seu sítio Web;
- respondendo aos pedidos das pessoas para exercerem os seus direitos, tais como pedidos de acesso, retificação, oposição, apagamento ou portabilidade.
As organizações que são transparentes quanto à sua utilização de dados pessoais e que respeitam os direitos dos indivíduos têm menos probabilidades de se tornarem objeto de reclamações.
Mais informações:
O que devo fazer em caso de violação de dados?
Uma violação de dados pessoais é uma violação de segurança que conduz à destruição acidental ou ilícita, perda, alteração, divulgação ou acesso não autorizado de dados pessoais.
- Se a violação de dados representar um risco para as pessoas em causa, deve notificá-la à autoridade de proteção de dados relevante no prazo de 72 horas.
- Se a violação for suscetível de resultar num risco elevado para as pessoas, terá também de comunicar essa violação às pessoas em causa sem demora injustificada.
Em qualquer caso, para todas as violações — mesmo aquelas que não são notificadas a uma APD — deve registar pelo menos os detalhes básicos da violação, a sua avaliação, os seus efeitos e as medidas tomadas em resposta.
Mais informações:
O que significa o tratamento de dados pessoais?
O tratamento de dados pessoais refere-se a qualquer tipo de atividade (operação de tratamento) realizada sobre ou com dados pessoais das pessoas singulares. Tal inclui a recolha, o registo, a organização, a estruturação, o armazenamento, a adaptação ou alteração, a recuperação, a consulta, o inquérito, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, o alinhamento ou a combinação, a limitação, o apagamento ou a destruição de dados pessoais.
Quando deve partilhar esta informação?
Se a sua organização estiver a recolher os dados pessoais diretamente das pessoas singulares, deve fornecer as informações necessárias no momento da recolha.
Em caso de recolha indireta de dados pessoais, a sua organização deve fornecer as informações o mais tardar no prazo de um mês após a obtenção inicial dos dados pessoais. Este período máximo de um mês pode ser reduzido:
- se os dados pessoais forem utilizados para efeitos de comunicação com o titular dos dados. Nesse caso, deve informar o titular dos dados o mais tardar no momento da primeira comunicação ao titular dos dados;
- se os dados forem transmitidos a outro destinatário, a organização informa desse facto os titulares dos dados o mais tardar aquando da transferência dos dados pessoais.
Mais informações:
Durante quanto tempo posso armazenar dados pessoais?
Não é possível armazenar dados pessoais para sempre.
Regra geral, os dados pessoais só podem ser conservados durante o tempo necessário, tendo em conta as finalidades para as quais os dados pessoais são tratados.
Em alguns casos, o período de armazenamento pode ser determinado por leis específicas, por exemplo, a regulamentação laboral determina um período de armazenamento para listas de salários.
As organizações devem implementar políticas de conservação de dados para garantir que os dados pessoais não são mantidos por mais tempo do que o necessário. Os dados pessoais das pessoas singulares devem ser apagados ou anonimizados, logo que estes dados deixem de ser necessários para a finalidade para a qual foram tratados.
Mais informações: