Perguntas frequentes

Para que o consentimento seja considerado válido, deve ser:

• cedido livremente;
• específico;
• informado; e
• inequívoco.

Isto significa que as pessoas devem ter uma verdadeira liberdade de escolha quanto ao facto de concordarem ou não com o tratamento dos seus dados pessoais; necessitam de informações suficientes para que possam compreender que dados são tratados, para que finalidade e como é feito; também necessitam de granularidade suficiente nos pedidos de consentimento.

Além disso, deve haver uma ação positiva clara por parte do indivíduo (sem caixas pré-marcadas e feita separadamente das condições gerais aplicáveis).

Além disso, os indivíduos devem poder retirar livremente o seu consentimento (sem quaisquer consequências negativas) se mudarem de ideias mais tarde.

Mais informações:

• Tratar legalmente os dados pessoais

Se a sua organização estiver a recolher os dados pessoais diretamente das pessoas singulares, deve fornecer as informações necessárias no momento da recolha.

Em caso de recolha indireta de dados pessoais, a sua organização deve fornecer as informações o mais tardar no prazo de um mês após a obtenção inicial dos dados pessoais. Este período máximo de um mês pode ser reduzido:

• se os dados pessoais forem utilizados para efeitos de comunicação com o titular dos dados. Nesse caso, deve informar o titular dos dados o mais tardar no momento da primeira comunicação ao titular dos dados;
• se os dados forem transmitidos a outro destinatário, a organização informa desse facto os titulares dos dados o mais tardar aquando da transferência dos dados pessoais.

Mais informações:

• Respeitar os direitos dos indivíduos

Todas as organizações, independentemente da sua dimensão ou setor, estabelecidas no Espaço Económico Europeu (EEE) ou que ofereçam produtos ou serviços a pessoas no EEE, tratando dados pessoais, quer por meios automatizados ou não, têm de cumprir o RGPD. Mesmo que o RGPD esteja principalmente relacionado com o tratamento automatizado de dados pessoais, as operações de tratamento realizadas manualmente também estarão sujeitas ao RGPD a partir do momento em que os ficheiros em papel são organizados de forma sistemática, por exemplo, ordenados por ordem alfabética num arquivo.

Exemplos de operações de tratamento incluem a recolha, o registo, a organização, a utilização, a modificação, o armazenamento, a divulgação, a alteração e o apagamento dos dados pessoais das pessoas.

No entanto, a aplicação do RGPD é modulada em função da natureza, do contexto, das finalidades e dos riscos das operações de tratamento efetuadas. Para as PME cuja atividade principal não é o tratamento de dados pessoais, as obrigações podem ser menos rigorosas do que para uma grande empresa.

Mais informações:

• Elementos básicos em matéria de proteção de dados

A tarefa do encarregado da proteção de dados inclui, entre outras:

• informar e aconselhar a organização e os seus colaboradores sobre o cumprimento da proteção de dados;
• controlar a conformidade da proteção de dados;
• prestar aconselhamento sobre pedidos relativos à avaliação de impacto sobre a proteção de dados (AIPD);
• atuar como ponto de contacto para a autoridade de proteção de dados (APD) e cooperar com essa autoridade de proteção de dados;
• atuar como ponto de contacto para os indivíduos.

Além disso, a presença do encarregado da proteção de dados é geralmente recomendada quando são tomadas decisões com implicações para a proteção de dados. O encarregado de proteção de dados deve também ser imediatamente consultado logo que tenha ocorrido uma violação de dados ou outro incidente.

Mais informações:

• Encarregado de proteção de dados

More information:

• Data Protection Officer

O RGPD impõe obrigações a todas as organizações que tratam dados pessoais, independentemente de serem responsáveis pelo tratamento de dados ou subcontratantes.

Em especial, deve:

• Perguntar-se se a finalidade para a qual os dados pessoais podem ser recolhidos se justifica e recolher apenas dados pessoais necessários para a(s) finalidade(s) específica(s) prevista(s);
• Manter os dados pessoais exatos e atualizados e apagar os dados quando já não forem necessário;
• Respeitar os direitos das pessoas, informando-as sobre como e por que razão os seus dados são tratados e permitindo-lhes exercer os seus direitos;
• Verificar se dispõe de uma base legal adequada para o tratamento de dados pessoais. Caso pretenda basear-se no consentimento dos indivíduos, solicitar o seu consentimento antes de tratar os seus dados pessoais;
• Certificar-se de que os dados pessoais das pessoas são tratados de forma segura;
• Manter um registo das atividades de tratamento.

Os subcontratantes terão de cumprir as responsabilidades estabelecidas no contrato entre o responsável pelo tratamento e o subcontratante e não devem tratar os dados de outro modo que não seja segundo as instruções do responsável pelo tratamento.

Mais informações:

• Estar em conformidade
• Responsável pelo tratamento de dados ou subcontratante
• Elementos básicos em matéria de proteção de dados

• Qualquer tratamento de dados pessoais deve ser lícito, leal e transparente.
• Apenas recolher dados pessoais para finalidades específicas, explícitas e legítimas. O tratamento dos dados de uma pessoa deve ser estritamente limitado à(s) finalidade(s) inicialmente estabelecida(s) e, por conseguinte, não ser tratado para finalidades posteriores ou outras que sejam incompatíveis com as finalidades iniciais.
• Apenas tratar dados pessoais que sejam necessários e proporcionados à luz da finalidade prevista.
• Todos os dados pessoais que trata devem ser precisos e atualizados. Os dados pessoais inexatos devem ser retificados ou apagados.
• O armazenamento dos dados pessoais das pessoas singulares deve ser limitado no tempo, tendo em conta a finalidade para a qual esses dados foram recolhidos e tratados. Como tal, os dados pessoais dos indivíduos devem ser apagados ou anonimizados, assim que estes dados deixem de ser necessários.
• O tratamento dos dados pessoais deve ser efetuado de forma segura. Neste sentido, devem ser criados controlos de cibersegurança sólidos, a fim de garantir a proteção adequada dos dados das pessoas.

Finalmente, o responsável pelo tratamento é responsabilizável. Isto significa que é responsável e deve ser capaz de demonstrar a conformidade com os princípios acima referidos.

Mais informações:

• Elementos básicos em matéria de proteção de dados

Não é possível armazenar dados pessoais para sempre.

Regra geral, os dados pessoais só podem ser conservados durante o tempo necessário, tendo em conta as finalidades para as quais os dados pessoais são tratados.

Em alguns casos, o período de armazenamento pode ser determinado por leis específicas, por exemplo, a regulamentação laboral determina um período de armazenamento para listas de salários.

As organizações devem implementar políticas de conservação de dados para garantir que os dados pessoais não são mantidos por mais tempo do que o necessário. Os dados pessoais das pessoas singulares devem ser apagados ou anonimizados, logo que estes dados deixem de ser necessários para a finalidade para a qual foram tratados.

Mais informações:

• Elementos básicos em matéria de proteção de dados

De um modo geral, todas as organizações devem manter um registo das suas atividades de tratamento. Este é um inventário de todas as operações de tratamento e pode ajudá-lo a comprrender melhor as suas responsabilidades ao abrigo do RGPD e possíveis riscos.

Cada uma destas operações de tratamento deve ser descrita no registo com as seguintes informações:

• a finalidade do tratamento (por exemplo, fidelização do cliente);
• as categorias de dados tratados (por exemplo, para a folha de pagamento: nome, nome próprio, data de nascimento, salário, etc.);
• quem tem acesso aos dados (os destinatários — por exemplo: o serviço responsável pelo recrutamento, o serviço informático, a gestão, os prestadores de serviços, os parceiros, etc.);
• quando aplicável, informações relacionadas com transferências de dados pessoais para fora do Espaço Económico Europeu (EEE),
• sempre que possível, o período de conservação (período durante o qual os dados são úteis do ponto de vista operacional e do ponto de vista arquivístico).
• sempre que possível, uma descrição geral das medidas de segurança.

O registo das atividades de tratamento é da responsabilidade do gestor da sua organização.

Este registo deve estar disponível para a autoridade de proteção de dados do país do EEE onde opera, se solicitado.

Não é necessário que as organizações que empregam menos de 250 pessoas mencionem atividades puramente ocasionais no seu registo (por exemplo, dados tratados para eventos pontuais, como a abertura de uma loja).

Mais informações:

• Estar em conformidade

Os EPD podem desempenhar outras tarefas dentro da organização, mas isso não pode resultar num conflito de interesses. Tal implica que o encarregado de proteção de dados não pode ter uma posição na qual determine as finalidades e os meios das atividades de tratamento. As funções conflituantes incluem principalmente cargos de gestão (chefe de administração, diretor operacional, diretor financeiro, chefe de recursos humanos, chefe de TI, diretor executivo), mas podem também envolver outras funções se conduzirem à determinação das finalidades e dos meios de tratamento.

O encarregado de proteção de dados deve poder desempenhar as suas funções e tarefas de forma independente. Isto significa que a sua organização:

• não pode dar instruções ao encarregado de proteção de dados sobre o desempenho das suas funções;
• não pode penalizar ou demitir o encarregado de proteção de dados pelo desempenho das suas funções.

Mais informações:

• Encarregado de proteção de dados

Uma violação de dados pessoais é uma violação de segurança que conduz à destruição acidental ou ilícita, perda, alteração, divulgação ou acesso não autorizado de dados pessoais.

• Se a violação de dados representar um risco para as pessoas em causa, deve notificá-la à autoridade de proteção de dados relevante no prazo de 72 horas.
• Se a violação for suscetível de resultar num risco elevado para as pessoas, terá também de comunicar essa violação às pessoas em causa sem demora injustificada.

Em qualquer caso, para todas as violações — mesmo aquelas que não são notificadas a uma APD — deve registar pelo menos os detalhes básicos da violação, a sua avaliação, os seus efeitos e as medidas tomadas em resposta.

Mais informações:

• Violações de dados

O RGPD prevê direitos específicos para os indivíduos que têm de ser respeitados. Pode fazê-lo através de:

• informar as pessoas cujos dados trata sobre as suas operações de tratamento e as finalidades de tratamento quando recolhe os seus dados, por exemplo através de uma declaração de privacidade no seu sítio Web;
• respondendo aos pedidos das pessoas para exercerem os seus direitos, tais como pedidos de acesso, retificação, oposição, apagamento ou portabilidade.

As organizações que são transparentes quanto à sua utilização de dados pessoais e que respeitam os direitos dos indivíduos têm menos probabilidades de se tornarem objeto de reclamações.

Mais informações:

• Respeitar os direitos dos indivíduos

O CEPD publica regularmente comunicados de imprensa, notícias, blogues e outros conteúdos no sítio Web do CEPD e nos seus canais de redes sociais (Twitter: @EU_EDPB; LinkedIn: Comité Europeu para a Proteção de Dados) para manter a comunidade de proteção de dados e o público em geral atualizados sobre o seu trabalho.

O sítio Web do CEPD dispõe igualmente de dois feeds RSS, que pode subscrever para atualizações automáticas das notícias do CEPD e das mais recentes publicações do CEPD.

O RGPD ou o Regulamento Geral sobre a Proteção de Dados cria um conjunto harmonizado de regras aplicáveis a todo o tratamento de dados pessoais por organizações (públicas ou privadas, independentemente da sua dimensão) estabelecidas no Espaço Económico Europeu (EEE) ou dirigidas a pessoas singulares na UE. O principal objetivo do RGPD é garantir que os dados pessoais gozam do mesmo nível elevado de proteção em todo o EEE, aumentando a segurança jurídica tanto para as pessoas singulares como para as organizações que tratam dados e oferecendo um elevado grau de proteção às pessoas singulares.

O regulamento entrou em vigor em 24 de maio de 2016 e é aplicável desde 25 de maio de 2018.

Sim, o RGPD aplica-se aos dados pessoais se estes estiverem contidos ou se destinarem a integrar um ficheiro. Isto significa que o RGPD também se aplica aos registos em papel e não apenas ao tratamento automatizado de dados pessoais.

Mais informações:

• Elementos básicos em matéria de proteção de dados

Quando dois ou mais responsáveis pelo tratamento de dados determinam conjuntamente a finalidade e os meios de tratamento, são considerados responsáveis conjuntos pelo tratamento. Decidem em conjunto tratar dados pessoais para uma finalidade conjunta. A responsabilidade conjunta pelo tratamento pode assumir muitas formas e a participação dos diferentes responsáveis pelo tratamento pode ser desigual. Os responsáveis conjuntos pelo tratamento devem, por conseguinte, determinar as respetivas responsabilidades pelo cumprimento do RGPD.

É importante notar que a responsabilidade conjunta pelo tratamento conduz a uma responsabilidade conjunta por uma atividade de tratamento.

• Exemplo de responsabilidade conjunta: As empresas A e B lançaram um produto de marca comum e pretendem organizar um evento para promover este produto. Para o efeito, decidem partilhar dados das respetivas bases de dados de clientes e potenciais clientes e decidem assim sobre a lista de convidados para o evento. Acordam igualmente sobre as modalidades de envio dos convites para o evento, sobre a forma de recolher informações durante o evento e sobre as ações de marketing de acompanhamento. As empresas A e B podem ser consideradas responsáveis conjuntas pelo tratamento de dados pessoais relacionados com a organização do evento promocional, uma vez que decidem em conjunto sobre a finalidade definida em conjunto e os meios essenciais do tratamento de dados neste contexto.

Mais informações:

• Responsável pelo tratamento de dados ou subcontratante

Sim, mas para tal, terá de determinar, em primeiro lugar, a base legal para o tratamento deste tipo de dados pessoais. Por exemplo, o tratamento pode ser considerado um interesse legítimo para a sua organização. Ao tratar dados pessoais com base no interesse legítimo, é sempre necessário realizar um teste de ponderação para determinar se os seus interesses legítimos prevalecem sobre os direitos das pessoas, especialmente se as crianças estiverem envolvidas.

Outra possível base legal para esse tratamento poderia ser o consentimento. De qualquer forma, as pessoas devem ser sempre informadas com antecedência de que o evento está a ser fotografado ou filmado.

Mais informações:

• Tratar legalmente os dados pessoais

Com efeito, o consentimento pode constituir uma base jurídica válida para o armazenamento dos CV dos candidatos a emprego. Outra possível base legal poderia ser o interesse legítimo. Nesse caso, terá de realizar um teste de ponderação para provar que os interesses legítimos da sua organização são superiores aos direitos dos candidatos.

De qualquer forma, terá de informar os candidatos de que tenciona armazenar os seus dados e para que finalidades.

Mais informações:

• Tratar legalmente os dados pessoais

O tratamento de dados pessoais é permitido se existir uma base legal para o efeito. Além do consentimento livre, específico, informado e inequívoco, podem ser utilizadas outras bases legais para o tratamento.

Por outras palavras, o consentimento é necessário quando nenhuma dos outros fundamentos de legitimidade se aplica.

 

Mais informações:

• Tratar legalmente os dados pessoais

Não, não é necessário ser certificado para se tornar um EPD.

Os EPD devem, no entanto, ser capazes de demonstrar que possuem as qualificações necessárias exigidas pelo RGPD, tais como conhecimentos especializados em matéria de legislação e práticas em matéria de proteção de dados.

Mais informações:

• Responsável pela proteção de dados

Uma avaliação de impacto sobre a proteção de dados ou AIPD é uma avaliação escrita que a sua organização deve fazer para avaliar o impacto de uma operação de tratamento planeada. Ajuda-o a identificar as medidas adequadas para lidar com os riscos e a demonstrar conformidade.

Embora seja sempre preferível antecipar o impacto das operações de tratamento planeadas da sua organização através da realização de AIPD, é obrigatório realizar uma AIPD quando o tratamento for suscetível de resultar num elevado risco para os direitos e liberdades das pessoas.

Especificamente, é o que acontece quando o tratamento previsto envolve:

• o tratamento — em grande escala — de dados pessoais sensíveis ou de dados relacionados com condenações penais;  
• uma avaliação sistemática e exaustiva dos aspetos pessoais de uma pessoa, com base no tratamento automatizado, incluindo a definição de perfis, e nos quais se baseiam as decisões que produzem efeitos jurídicos sobre a pessoa em questão ou afetam significativamente as pessoas de forma similar;
• monitorização sistemática de uma zona acessível ao público em grande escala.

O CEPD elaborou orientações que enumeram os critérios que deve ter em conta ao avaliar se uma AIPD é ou não obrigatória. As autoridades de proteção de dados (APD) publicaram igualmente listas de operações de tratamento que estão sujeitas a uma AIPD. Além disso, várias APD desenvolveram guias, software ou ferramentas de autoavaliação para o ajudar na sua avaliação.

Mais informações:

• Estar em conformidade