Perguntas frequentes

Em caso de recolha direta de dados pessoais junto das pessoas em causa, as organizações devem fornecer informações sobre as operações de tratamento de forma concisa e transparente, utilizando uma linguagem compreensível, facilmente acessível e clara e simples. Tal pode ser feito por escrito (por exemplo, no verso de uma proposta) ou por meios eletrónicos (por exemplo, num sítio Web). Se a pessoa em causa o solicitar, pode também fornecer estas informações oralmente, mas deve poder fazê-lo posteriormente.

Mesmo quando os dados foram recolhidos indiretamente, ou seja, se não recolher diretamente os dados pessoais de uma pessoa, mas, por exemplo, através de um terceiro, deve fornecer as mesmas informações detalhadas aos indivíduos.

As pessoas singulares têm o direito de solicitar o apagamento dos dados pessoais que lhes digam respeito e, nesse caso, o responsável pelo tratamento tem a obrigação de apagar os dados pessoais. Deve responder sem demora injustificada e, o mais tardar, no prazo de um mês a contar da receção do pedido. Este prazo pode ser prorrogado por mais dois meses se o pedido for demasiado complexo e for necessário mais tempo para dar cumprimento ao pedido, desde que a pessoa seja informada desse facto no prazo de um mês a contar da receção do pedido.

É importante notar que o direito ao apagamento não é absoluto. Não se aplica quando os dados em questão forem necessários para:

• exercer o direito à liberdade de expressão e de informação (por exemplo, para fins jornalísticos);
• cumprimento de uma obrigação legal que exija o tratamento de dados pessoais (por exemplo, o tratamento de registos sobre o horário de trabalho dos trabalhadores);
• razões de interesse público no domínio da saúde pública
• fins de arquivo de interesse público ou fins de investigação científica ou histórica ou fins estatísticos; e
• a declaração, o exercício ou a defesa de um direito num processo judicial.

Quando os dados pessoais a apagar foram previamente transferidos para outras organizações, deve informar esses destinatários de que o indivíduo solicitou o apagamento, salvo se tal se revelar impossível ou exigir esforços desproporcionados.

Mais informações:

• Respeitar os direitos dos indivíduos

Sim, os seus clientes devem ser informados, quando fazem uma chamada telefónica, das finalidades da gravação, dos destinatários das gravações, do seu direito de oposição e do seu direito de acesso às gravações.

Mais informações:

• Tratar legalmente os dados pessoais

O tratamento de dados pessoais refere-se a qualquer tipo de atividade (operação de tratamento) realizada sobre ou com dados pessoais das pessoas singulares. Tal inclui a recolha, o registo, a organização, a estruturação, o armazenamento, a adaptação ou alteração, a recuperação, a consulta, o inquérito, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, o alinhamento ou a combinação, a limitação, o apagamento ou a destruição de dados pessoais.

Não, o tratamento de dados sensíveis é geralmente proibido, exceto em circunstâncias muito específicas:

• A pessoa tiver dado o seu consentimento explícito para o tratamento dos seus dados sensíveis.
• O tratamento de dados sensíveis for necessário para que o responsável pelo tratamento cumpra as suas obrigações, nomeadamente no contexto do emprego, da segurança social e da proteção social. Por exemplo, o responsável pelo tratamento de dados pode ter de tratar os dados sensíveis de uma pessoa para poder determinar se tem direito a determinadas prestações de segurança social ou subsídios de emprego.
• O tratamento de dados sensíveis for necessário para proteger os interesses vitais de uma pessoa quando a pessoa seja física ou legalmente incapaz de dar o seu consentimento. Por exemplo, se um indivíduo ficar inconsciente em resultado de um acidente e necessitar de cuidados médicos imediatos, os seus dados de saúde podem ter de ser processados para que os cuidados médicos adequados sejam prestados.
• O tratamento de dados sensíveis é efetuado no contexto das atividades legítimas de uma fundação, associação ou outra organização sem fins lucrativos com um objetivo político, filosófico, religioso ou sindical, e apenas para o tratamento dos dados pessoais dos seus membros, antigos membros ou pessoas que com eles tenham contactos regulares.
• Os dados sensíveis foram manifestamente tornados públicos pelo titular.
• O tratamento de dados sensíveis for necessário no contexto de processos judiciais.
• O tratamento de dados sensíveis for necessário por motivos de interesse público importante.
• O tratamento de dados sensíveis for necessário no contexto da medicina preventiva ou do trabalho. Por exemplo, avaliar os dados sensíveis de uma pessoa, como os seus dados médicos, pode ser necessário para determinar a sua capacidade de trabalho como funcionário.
• O tratamento de dados sensíveis for necessário por questões de saúde pública com base na legislação da UE ou nacional. Por exemplo, o tratamento de dados sensíveis de indivíduos pode ser necessário para garantir uma elevada qualidade dos cuidados de saúde e uma elevada qualidade dos produtos médicos, ou para combater ameaças graves para a saúde, como vírus.
• O tratamento de dados sensíveis for necessário para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos. Por exemplo, o tratamento de dados sensíveis pode ser necessário para fornecer estatísticas precisas sobre a situação de um país num determinado domínio.

Mais informações:

• Tratar legalmente os dados pessoais

Um contrato válido entre o responsável pelo tratamento e o subcontratante é obrigatório ao abrigo do RGPD. Uma infração pode ser objeto de uma coima até 10 milhões de euros ou até 2 % do volume de negócios anual total de uma empresa, consoante o que for mais elevado.

Para ajudar a orientá-lo na criação de um acordo entre o responsável pelo tratamento e o subcontratante, as autoridades dinamarquesas e eslovenas de proteção de dados, bem como a Comissão Europeia, desenvolveram modelos de acordos.

Mais informações:

• Responsável pelo tratamento de dados ou subcontratante

As pessoas singulares podem perguntar-lhe se está a tratar os seus dados e, se for caso disso, tem o direito de aceder a esses dados. Assim, quando tal acontecer e se processar os seus dados, deverá, por exemplo, fornecer gratuitamente uma cópia dos seus dados pessoais, juntamente com quaisquer informações adicionais necessárias. Se um pedido for apresentado por via eletrónica, a sua organização deve fornecer as informações necessárias num formato eletrónico comummente utilizado, salvo pedido em contrário.

Mais informações:

• Respeitar os direitos dos indivíduos

Deve responder sem demora injustificada e, o mais tardar, no prazo de um mês a contar da receção do pedido. Este prazo pode ser prorrogado por mais dois meses se o pedido for demasiado complexo e for necessário mais tempo para responder, desde que a pessoa seja informada desse facto no prazo de um mês a contar da receção do pedido.

Deve fazê-lo gratuitamente.

Mais informações:

• Respeitar os direitos dos indivíduos

O RGPD aplica-se à utilização de cookies quando estes são utilizados para o tratamento de dados pessoais, mas também existem regras mais específicas para os cookies, incluindo a Diretiva da Privacidade nas comunicações eletrónicas.

O armazenamento de um cookie, ou a obtenção de acesso a um cookie já armazenado, no equipamento terminal de um utilizador só é permitido se o assinante ou utilizador em causa tiver sido devidamente informado (em especial sobre as finalidades do tratamento) e tiver dado o seu consentimento.

A única exceção são os cookies tecnicamente necessários. As organizações não precisam de pedir consentimento quando utilizam cookies tecnicamente necessários nos seus sítios Web.

Mais informações:

• Tratar legalmente os dados pessoais

A pseudonimização consiste na transformação de dados pessoais para que deixem de poder ser atribuídos a um indivíduo específico sem a utilização de informações adicionais, desde que essas informações adicionais sejam mantidas separadamente e estejam sujeitas a medidas técnicas e organizativas para garantir que os dados pessoais não são atribuídos a indivíduos. Na prática, pode significar a substituição de dados pessoais (nome, nome próprio, número pessoal, número de telefone, etc.) num conjunto de dados por dados de identificação indireta (por exemplo, número sequencial, etc.). Os dados pseudonimizados continuam a ser dados pessoais e estão sujeitos ao RGPD.

Dados anónimos são dados que foram tornados anónimos de tal forma que o indivíduo não é ou deixou de ser identificável por qualquer meio que seja razoavelmente provável de ser utilizado. Quando a anonimização é implementada corretamente, o RGPD deixa de se aplicar aos dados anonimizados.

Mais informações:

• Dados pessoais seguros

O RGPD distingue entre duas funções principais: as do responsável pelo tratamento de dados e do subcontratante. Esta distinção é crucial, uma vez que o responsável pelo tratamento dos dados assume mais responsabilidades e tem de cumprir mais obrigações do que o subcontratante.

Os responsáveis pelo tratamento de dados e os subcontratantes podem ser pessoas singulares ou coletivas, por exemplo: uma PME, uma autoridade pública, uma empresa, uma organização, um organismo estatal, uma associação, etc.

O responsável pelo tratamento determina as finalidades e os meios de uma operação de tratamento. Por outras palavras, o responsável pelo tratamento decide o como e o porquê de uma operação de tratamento. Considerando que os subcontratantes tratam dados pessoais em nome do responsável pelo tratamento, o tratamento efetuado pelos subcontratantes deve ser regulado por um contrato com o responsável pelo tratamento dos dados ou por outro ato jurídico.

Exemplos de responsáveis pelo tratamento:

• empresas que tratam os dados pessoais dos seus clientes para concluir uma venda;
• instituições financeiras que tratam dados pessoais dos seus clientes;
• associações que tratam os dados dos seus membros;
• escolas ou universidades que tratam dados pessoais de estudantes e professores;
• hospitais que tratam dados pessoais dos seus doentes;
• agências governamentais que tratam dados pessoais dos cidadãos.

Exemplos de subcontratantes:

• uma PME contrata um serviço de contabilidade para manter os seus livros e registos, a PME é responsável pelo tratamento de dados e o serviço de contabilidade é um subcontratante de dados;
• uma empresa de processamento de salários processa dados pessoais de uma PME. A empresa de processamento de salários atuará como subcontratante se apenas tratar os dados pessoais em nome da PME. A PME determina as finalidades e os meios do tratamento de dados e, por conseguinte, é responsável pelo tratamento dos dados.
• uma PME encarrega uma empresa de marketing de recolher endereços de correio eletrónico através de sítios Web de terceiros.  A empresa de marketing fá-lo de acordo com as instruções explícitas da PME e para fins exclusivos da PME. A Empresa de Marketing atua como subcontratante para esta recolha de dados.

Mais informações:

• Responsável pelo tratamento de dados ou subcontratante

Alguns tipos de dados pessoais pertencem a categorias especiais de dados pessoais, o que significa que merecem mais proteção, os chamados dados sensíveis. Os dados sensíveis incluem dados que revelam informações sobre:

• a saúde de uma pessoa;
• a orientação sexual de um indivíduo;
• origem racial ou étnica de um indivíduo;
• as opiniões políticas, as convicções religiosas ou filosóficas de uma pessoa; a filiação sindical de uma pessoa;
• dados biométricos e genéticos de um indivíduo.

O tratamento de dados sensíveis de uma pessoa é geralmente proibido, exceto em circunstâncias específicas que justifiquem o seu tratamento.

Mais informações:

• Elementos básicos em matéria de proteção de dados

O EPD pode ser um trabalhador existente com conhecimento suficiente do RGPD (se as tarefas profissionais do trabalhador forem compatíveis com as do EPD e tal não conduzir a conflitos de interesses) ou uma pessoa externa. O encarregado de proteção de dados deve poder desempenhar as suas funções de forma independente e comunicar diretamente ao mais alto nível da direção.

Mais informações:

• Encarregado de proteção de dados

Dados pessoais significa qualquer informação relativa a um indivíduo identificado ou identificável. Um indivíduo identificável é qualquer pessoa que possa ser identificada, direta ou indiretamente. Diferentes elementos de informação que somados em conjunto podem conduzir à identificação de uma determinada pessoa também constituem dados pessoais.

Exemplos de dados pessoais incluem:

• nome e apelido;
• um endereço de domicílio;
• um endereço de correio eletrónico;
• um número de bilhete de identidade;
• dados de localização;
• um endereço IP (Protocolo Internet);
• um ID de cookie;
• contas bancárias;
• relatórios fiscais;
• dados biométricos (como impressões digitais);
• um número de segurança social;
• número do passaporte;
• resultados dos ensaios;
• notas na escola;
• histórico de navegação;
• fotografia individual;
• número de matrícula do veículo, etc.

Mais informações:

• Elementos básicos em matéria de proteção de dados

1. Certifique-se de que os dados que recebeu foram recolhidos de forma legítima e que as pessoas em causa foram informadas sobre o tratamento dos seus dados pessoais.
2. Caso a entidade esteja a tratar dados pessoais em seu nome, certifique-se de que tem um contrato entre responsável pelo tratamento e subcontratante, que detalhe as operações de tratamento e os meios para tratar os dados pessoais.

E, claro, cumpra todas as obrigações dos responsáveis pelo tratamento.

Mais informações:

• Responsável pelo tratamento de dados ou subcontratante

As medidas de segurança necessárias podem diferir com base na natureza dos dados pessoais que trata e nos riscos associados para as pessoas. Em qualquer caso, existem algumas medidas mínimas a aplicar:

• acesso seguro às instalações;
• utilizar software antivírus regularmente atualizado;
• escolha cuidadosamente as suas palavras-passe;
• fazer com que os utilizadores se autentiquem antes de utilizarem as instalações informáticas;
• tenha uma política de salvaguarda e recuperação de dados em vigor em caso de incidente.

Além disso, algumas medidas básicas, como bloquear o ecrã enquanto está longe e bloquear o escritório no final do dia, nunca estão fora do lugar…

Mais informações:

• Dados pessoais seguros

A publicação dos nomes dos vencedores de um concurso no seu sítio Web pode ser considerada um interesse legítimo, se puder provar isso através da realização de um teste de ponderação para determinar se os seus interesses legítimos prevalecem sobre os direitos dos indivíduos.

Uma boa prática seria estabelecer um procedimento interno em que sejam explicadas as regras relativas à publicação dos dados pessoais dos vencedores.

Além disso, o tratamento de dados pessoais para estes fins deve fazer parte da política de privacidade do concurso, de modo a que os participantes sejam previamente informados sobre a forma como os seus dados serão tratados.

Mais informações:

• Tratar legalmente os dados pessoais

Sim, pode, mas o RGPD impõe certas obrigações às empresas que partilham dados pessoais. A sua organização deve informar as pessoas de que irá partilhar os seus dados com terceiros. Deve também informá-los sobre as suas finalidades, segurança, acesso e as medidas de conservação que se aplicarão.

A nomeação de um encarregado de proteção de dados é obrigatória nos três casos seguintes:

• a organização é uma autoridade pública;
• as atividades principais da organização consistem na monitorização regular e sistemática de indivíduos em grande escala, por exemplo, geolocalização através de uma aplicação móvel, ou vigilância de centros comerciais e espaços públicos através de CCTV;
• as atividades principais da organização consistem no tratamento em larga escala de dados sensíveis ou de dados pessoais relacionados com condenações penais e infrações.

Pode sempre nomear um encarregado da proteção de dados numa base voluntária, mesmo que tal não seja legalmente exigido. Tenha em atenção que, nesse caso, deve cumprir todas as disposições do RGPD relativas às funções e à posição do encarregado da proteção de dados.

Mais informações:

• Encarregado de proteção de dados

Não, não é necessário tornar público o seu registo de atividades de tratamento. No entanto, deve poder disponibilizar o registo à autoridade de proteção de dados, mediante pedido.

Mais informações:

• Estar em conformidade