Os responsáveis pelo tratamento de dados devem basear-se num fundamento de legitimidade para que o tratamento de dados pessoais seja lícito. É essencial identificar a base legal adequada, uma vez que pode ser acompanhada de requisitos específicos (por exemplo, o consentimento deve ser livre, específico, informado e inequívoco) e ter consequências nos direitos das pessoas (por exemplo, o direito à portabilidade só se aplica quando a base legal é o consentimento ou um contrato).
Nesta página encontrará mais informações sobre as diferentes bases legais ao abrigo do RGPD. Saiba mais sobre os direitos que se aplicam a cada um dos fundamentos de legitimidade.
Quais são as possíveis bases legais ao abrigo do RGPD?
Os responsáveis pelo tratamento de dados só podem tratar dados pessoais numa das seguintes circunstâncias:
- com o consentimento das pessoas em causa;
- quando exista uma obrigação contratual (um contrato entre a sua organização e uma pessoa singular);
- cumprir uma obrigação legal ao abrigo da legislação da UE ou nacional;
- se o tratamento for necessário para o desempenho de uma missão de interesse público ao abrigo da legislação da UE ou nacional;
- proteger os interesses vitais de um indivíduo;
- para os interesses legítimos da sua organização (exceto se prevalecerem os interesses ou os direitos fundamentais dos indivíduos).
Além disso, o RGPD estabelece condições adicionais para o tratamento de dados sensíveis.
Consentimento
A sua organização pode decidir basear-se no consentimento para o tratamento de dados pessoais.
Se um responsável pelo tratamento utilizar o consentimento como base legal para o tratamento de dados pessoais, deve assegurar que esse consentimento é dado livremente, que é informado, específico e inequívoco. Isto significa que as pessoas devem ter uma verdadeira liberdade de escolha quanto ao facto de concordarem ou não com o tratamento dos seus dados pessoais; que necessitam de informações suficientes para que possam compreender que dados são tratados, para que finalidade e como tal é feito; e que têm a possibilidade de retirar livremente o seu consentimento (sem quaisquer consequências negativas) se mudarem de ideias mais tarde.
Se a organização tiver de tratar os dados e não puder realmente permitir que as pessoas retirem o seu consentimento, tal constitui uma indicação de que o consentimento não é a base legal adequada para o tratamento e é necessário avaliar se é aplicável outra base legal.
Condições do consentimento
Livre
O consentimento é dado livremente quando os indivíduos podem recusar ou retirar o seu consentimento sem risco de pressão externa ou consequências negativas. Os indivíduos devem também ter o direito de retirar o seu consentimento a qualquer momento; as pessoas devem ter este processo facilitado (ou seja, poder retirá-lo tão facilmente como foi fornecê-lo). A revogação do consentimento não deve afetar o tratamento dos dados pessoais do indivíduo que tenha sido feito antes dessa revogação, quando o consentimento ainda era válido.
Por exemplo, em princípio, os trabalhadores não estarão em condições de dar livremente o seu consentimento a tratamentos efetuados pelo seu empregador, uma vez que os trabalhadores podem sentir-se incapazes de recusar o pedido do seu empregador.
Especifico
Para que o consentimento seja válido, deve também ser específico para a finalidade do tratamento. Esta condição está estreitamente relacionada com a condição do consentimento informado: as pessoas devem ser informadas das finalidades específicas numa linguagem simples e fácil de compreender, para que tenham uma ideia clara das finalidades para as quais os seus dados estão a ser tratados. Isto significa também que, se as finalidades da operação de tratamento se alterarem ou se forem acrescentadas operações de tratamento adicionais, as pessoas devem ser novamente convidadas a dar o seu consentimento. Do mesmo modo, se uma operação de tratamento tiver múltiplas finalidades, o consentimento deve ser dado para cada uma delas.
Por exemplo, um serviço de streaming recolhe os dados pessoais dos seus clientes para lhes oferecer sugestões de visualização personalizadas. Depois de algum tempo, o serviço de streaming decide partilhar os dados pessoais dos seus clientes com terceiros para que estes possam enviar publicidade direcionada aos clientes com base nos seus hábitos de visualização. Como este é um novo objetivo, o serviço de streaming terá de pedir o consentimento do seu cliente.
Informado
Ao solicitar o consentimento de uma pessoa, a sua organização deve assegurar-se de que este pedido é comunicado à pessoa de forma inteligível e facilmente acessível, utilizando uma linguagem clara e simples. Devem ser fornecidas informações sobre as finalidades, a identidade do responsável pelo tratamento, as categorias de dados, os destinatários dos dados e o direito de retirar o consentimento.
Inequívoco
Para que o consentimento seja inequívoco, deve haver uma ação positiva clara (sem casas pré-assinaladas e feita separadamente das condições gerais aplicáveis).
Recomenda-se atualizar o consentimento a intervalos adequados. Além disso, deve ser capaz de demonstrar que a pessoa cujos dados são tratados deu o seu consentimento, por exemplo, através de uma declaração escrita ou assinada, ou através de uma ação deliberada, como assinalar uma quadrícula.
Condições aplicáveis ao consentimento das crianças
Enquanto responsável pelo tratamento de dados, deve envidar todos os esforços razoáveis para verificar a idade do indivíduo.
Considera-se que as crianças com idade igual ou superior a 16 anos podem dar o seu próprio consentimento.
Para crianças com menos de 16 anos, a sua organização deve solicitar o consentimento do tutor legal ou dos pais da criança. Neste caso, terá de envidar esforços razoáveis para verificar se a pessoa que consente em nome da criança tem a responsabilidade parental. Note-se, no entanto, que o RGPD dá aos países da UE a possibilidade de, através da legislação nacional, fixar a idade de consentimento entre os 13 e os 16 anos, quando os serviços são prestados através da Internet. Por conseguinte, recomenda-se que verifique as suas disposições nacionais nesta matéria.
Quando o consentimento pode ser dado por crianças, a linguagem utilizada para comunicar as informações relativas ao serviço deve ser adaptada às suas idades.
Execução de um contrato
O tratamento dos dados pessoais de uma pessoa para a execução de um contrato constitui uma base legal válida, por exemplo, nos seguintes casos:
- A sua organização precisa de processar os dados pessoais de uma pessoa para prestar um serviço.
- Um potencial cliente ou cliente pediu-lhe para fazer algo antes de celebrar um contrato com a sua organização, por exemplo, pode desejar receber um orçamento para os serviços que presta, para os quais poderá ter de tratar alguns dos seus dados pessoais.
O tratamento deve ser necessário para a execução de um contrato. Na prática, isto significa que a sua organização não pode proceder à execução do contrato ou serviço sem os dados pessoais em questão. Recomenda-se que a sua organização documente as razões pelas quais o tratamento dos dados de uma pessoa é necessário para a execução de um contrato.
Além disso, deve tentar recolher a menor quantidade de dados pessoais necessários para a execução do serviço contratual ou para a realização de diligências pré-contratuais relevantes. Em particular, não pode utilizar o contrato para expandir artificialmente as categorias de dados pessoais ou os tipos de operações de tratamento. Em vez disso, deve assegurar-se de que existe uma verdadeira compreensão mútua da finalidade contratual, com base nas expectativas de um indivíduo médio ao celebrar o contrato.
Esta base legal pode igualmente aplicar-se a certas ações relacionadas com a garantia contratual e a determinadas ações que possam ser razoavelmente previstas e necessárias no âmbito de uma relação contratual normal, tais como o envio de avisos formais sobre pagamentos pendentes ou a correção de erros ou atrasos na execução do contrato.
Esta base legal não se aplica, no entanto, se pretender tratar os dados pessoais de uma pessoa para fins de marketing, prevenção de fraudes, publicidade direcionada ou quaisquer outras finalidades relacionadas com o modelo de negócio da sua organização. Nesses casos, podem estar disponíveis outras bases legais, tais como consentimento ou interesse legítimo, desde que sejam cumpridos os critérios pertinentes.
As legislações também podem impor o tratamento de dados pessoais, mesmo após a rescisão do contrato (por exemplo, para manter registos para fins contabilísticos).
Naturalmente, o contrato também deve ser válido nos termos da lei aplicável.
Na prática
- É uma empresa que vende roupas, tanto online como numa loja, poderá ter de tratar alguns dos dados pessoais dos seus clientes, como dados do cartão de crédito, para poder processar as compras de roupa feitas pelos seus clientes.. Neste caso, o tratamento dos dados pessoais dos clientes pode ser necessário para a execução de um contrato.
- É uma empresa que oferece seguro de casa. Um potencial cliente solicitou um orçamento para o seu seguro de casa. Como tal, alguns dos seus dados pessoais podem ser necessários para lhe fornecer um preço exato para o seu seguro de habitação.
- É uma empresa que vende livros, que alguns dos seus clientes compraram. Quando estes clientes adquiriram estes livros, poderá ter recolhido alguns dos seus dados pessoais, que foram necessários para processar a transação. Deseja agora tratar os dados pessoais destes clientes, incluindo dados sobre as suas compras anteriores, para recomendar outros livros de que possam gostar. Não pode confiar no tratamento de dados pessoais para a execução de um contrato como base legal uma vez que o tratamento dos dados dos clientes para fins de publicidade de outros livros não é necessário para a execução de um contrato.
Como tal, a sua empresa terá de solicitar o consentimento dos clientes para poder anunciar-lhes outros livros ou, dependendo das circunstâncias, poderá basear-se no seu interesse legítimo.
Cumprimento de uma obrigação legal do responsável pelo tratamento
O RGPD prevê outra base legal, a saber: é necessário o tratamento de dados para o cumprimento de uma obrigação legal a que o responsável pelo tratamento esteja sujeito.
Esta base legal pode ser invocada quando uma operação de tratamento é imposta a uma organização pela legislação da UE ou nacional. Mais especificamente, devem ser satisfeitas quatro condições:
- a obrigação legal deve ser definida pelo direito da UE ou pelo direito nacional a que o responsável pelo tratamento está sujeito;
- estas disposições legais devem estabelecer uma obrigação clara e específica de tratamento desses dados pessoais;
- estas disposições devem, pelo menos, definir as finalidades do tratamento;
- esta obrigação deve ser imposta ao responsável pelo tratamento e não aos titulares dos dados.
Se estas condições não forem cumpridas, a operação de tratamento não pode basear-se na obrigação legal e deve ser procurada outra base legal.
O RGPD prevê muitas circunstâncias diferentes em que os responsáveis pelo tratamento de dados são legalmente obrigados a tratar os dados pessoais dos seus clientes. Por exemplo, os empregadores normalmente precisam de tratar os dados pessoais dos seus funcionários para fins de segurança social, ou uma empresa precisa frequentemente de tratar os dados pessoais dos seus clientes para fins fiscais.
Leia mais
Interesses vitais de um indivíduo
O tratamento de dados para proteger os interesses vitais de uma pessoa só pode ser invocado em circunstâncias raras e específicas. Este pode ser o caso, por exemplo, se precisar de tratar dados pessoais para proteger a vida de alguém. No entanto, ao abrigo do RGPD, esta base legal tem um âmbito muito limitado e só pode ser invocada em caso de emergência.
Na prática
A sua organização oferece viagens de rafting. Durante uma das viagens organizadas, um dos participantes fica gravemente ferido. Como resultado, o participante está inconsciente e deve receber atendimento médico urgente em um hospital. Como organização, pode ser necessário comunicar (= processo) os dados pessoais do indivíduo ao hospital que precisa de tratá-los para salvar a vida dessa pessoa. Neste contexto, poderá tratar os dados desta pessoa para proteger o seu interesse vital.
Interesse público
Em algumas situações específicas, a sua organização pode tratar dados pessoais no exercício de umafunção de interesse público. Neste caso, o tratamento deve ter um fundamento na legislação da UE ou nacional. A sua finalidade deve ser determinada nessa base legal ou ser necessária para o desempenho de uma missão de interesse público ou para o exercício da autoridade pública de que esteja investido o responsável pelo tratamento dos dados. Por conseguinte, esta base legal pode ser relevante, em especial, para as operações de tratamento efetuadas por autoridades públicas para efeitos do exercício das suas competências.
Na prática
A sua organização é uma clínica médica, que inclui um dentista e um médico de clínica geral. Pode ser necessário tratar os dados pessoais do dentista e do médico de clínica geral para garantir que as suas qualificações, conduta moral e ética cumprem as normas estabelecidas no país onde a sua clínica médica está localizada.
Interesse legítimo
A sua organização pode tratar dados pessoais para alcançar os seus interesses legítimos, desde que esses interesses (comerciais, proteção da sua propriedade, etc.) não criem um desequilíbrio em detrimento dos direitos e interesses dos indivíduos.
Embora o RGPD e a jurisprudência pertinente do Tribunal de Justiça da União Europeia (TJUE) prevejam exemplos de interesses legítimos, não existe uma lista exaustiva.
No entanto, deve assegurar-se de que este interesse respeita um certo número de requisitos:
- deve ser lícito, claro, real e atual;
- o tratamento deve ser necessário para a prossecução desse interesse;
- o interesse legítimo deve ter em conta os direitos individuais à proteção de dados, que não podem ser anulados. No contexto deste requisito, o responsável pelo tratamento deve ponderar o seu interesse legítimo e os interesses ou os direitos e liberdades fundamentais das pessoas e ter igualmente em conta o que podem razoavelmente esperar. Este exercício de equilíbrio deve ser efetuado tendo em conta as condições concretas em que estas operações são realizadas.
Na prática
Dirige uma empresa de remodelação. Um dos seus clientes contesta a qualidade de uma remodelação da cozinha e recusa-se a pagar a conta na íntegra. Como primeiro passo, transmite os dados do cliente para o seu advogado, a fim de negociar um acordo com o cliente. Como o cliente ainda se recusa a pagar, contrata uma agência de cobrança de dívidas. Apenas transmite à agência de cobrança de dívidas os dados pessoais necessários para o procedimento,e a agência apenas efetua verificações limitadas a fim de confirmar os dados de contacto do cliente e iniciar um processo judicial.
Embora a primeira etapa possa ainda ser abrangida pelo tratamento necessário para a execução de um contrato, outras medidas tomadas, como a contratação de uma agência de cobrança de dívidas, podem ser consideradas como sendo do interesse legítimo do responsável pelo tratamento. Uma vez que as medidas tomadas pela agência não são demasiado intrusivas e o impacto no cliente é limitado, o interesse legítimo pode ser uma base legal adequada.
Tratamento de dados pessoais sensíveis
Aplicam-se requisitos adicionais se pretender tratar dados que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para efeitos de identificação inequívoca de uma pessoa singular, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa singular. Estas categorias especiais de dados são comumente referidas como «dados sensíveis».
O tratamento de dados sensíveis é geralmente proibido, exceto nos seguintes casos específicos.
- A pessoa tiver dado o seu consentimento explícito para o tratamento dos seus dados sensíveis.
- O tratamento de dados sensíveis é necessário para que o responsável pelo tratamento cumpra as suas obrigações, nomeadamente no contexto do emprego, da segurança social e da proteção social. Por exemplo, o responsável pelo tratamento de dados pode ter de tratar os dados sensíveis de uma pessoa para poder determinar se tem direito a determinadas prestações de segurança social ou subsídios de emprego.
- O tratamento de dados sensíveis é necessário para proteger os interesses vitais de uma pessoa quando a pessoa esteja física ou legalmente incapaz de dar o seu consentimento. Por exemplo, se uma pessoa ficar inconsciente na sequência de um acidente e necessitar de cuidados médicos imediatos, as suas categorias especiais de dados pessoais poderão ter de ser tratadas para que os cuidados médicos adequados sejam prestados.
- O tratamento de dados sensíveis é efetuado no contexto das atividades legítimas de uma fundação, associação ou outra organização sem fins lucrativos com um objetivo político, filosófico, religioso ou sindical, e apenas para o tratamento dos dados pessoais dos seus membros, antigos membros ou pessoas que com eles tenham contactos regulares.
- Os dados sensíveis foram manifestamente tornados públicos pelos seus titulares.
- O tratamento de dados sensíveis é necessário no contexto de processos judiciais.
- O tratamento de dados sensíveis é necessário por motivos de interesse público importante.
- O tratamento de dados sensíveis é necessário no contexto da medicina preventiva ou do trabalho. Por exemplo, avaliar os dados sensíveis de uma pessoa, como os seus dados médicos, pode ser necessário para determinar a sua capacidade de trabalho como trabalhador.
- O tratamento de dados sensíveis é necessário por motivos de saúde pública com base na legislação da UE ou nacional. Por exemplo, o tratamento de dados sensíveis de indivíduos pode ser necessário para garantir uma elevada qualidade dos cuidados de saúde e uma elevada qualidade dos produtos médicos, ou para combater ameaças graves para a saúde, como vírus.
- O tratamento de dados sensíveis é necessário para fins de arquivo de interesse público ou para fins científicos, estatísticos, históricos ou de investigação. Por exemplo, o tratamento de dados sensíveis pode ser necessário para fornecer estatísticas precisas sobre a situação de um país num determinado domínio.
Lista de controlo para o tratamento de dados pessoais sensíveis
- Pergunte-se se precisa de tratar categorias especiais de dados pessoais para o tratamento previsto.
- Identifique a base legal (= fundmento de legitimidade) para o tratamento dos dados de uma pessoa. Consulte o artigo 6.º do RGPD.
- Identifique se as condições adicionais para o tratamento de dados sensíveis são respeitadas. Consulte o artigo 9.º do RGPD.
- Identifique os riscos e as salvaguardas em matéria de proteção de dados, tais como as medidas técnicas e organizativas que a sua organização poderá ter de aplicar aquando do tratamento das categorias especiais de dados pessoais Não se esqueça de manter um registo das razões que motivaram o tratamento das categorias especiais de dados de uma pessoa, dos riscos que isso pode acarretar e das medidas adotadas para atenuar esses riscos.