No dia 25 de Maio de 2018 entrou em vigor o novo Regulamento europeu sobre a Proteção de Dados de Pessoas Singulares (RGPD)
FAQ’S SOBRE O NOVO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS
O Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, que é o novo Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia (UE), estabelece as regras relativas ao tratamento, por uma pessoa, uma empresa ou uma organização, de dados pessoais relativos a pessoas na UE.
Não se aplica ao tratamento de dados pessoais de pessoas falecidas ou de pessoas coletivas.
As regras não se aplicam ao tratamento de dados por motivos exclusivamente pessoais ou no exercício de atividades domésticas, desde que não haja qualquer ligação com uma atividade profissional ou comercial.
Quando uma pessoa utiliza os dados pessoais fora da sua «esfera pessoal», por exemplo para o exercício de atividades socioculturais ou financeiras, a legislação relativa à proteção de dados tem de ser respeitada.
O RGPD entrou em vigor e passou a aplicar-se em 25 de Maio de 2018. As novas regras do RGPD sobre o tratamento de dados pessoais têm que ser observadas pelas pessoas e entidades sujeitas.
A principal alteração do novo regime é a mudança de um modelo de heteroregulação – i.e., pelas autoridades nacionais competentes – para um modelo de auto-regulação, i.e., pelas entidades responsáveis pelos tratamentos.
Assim, por exemplo, em vez de existir um registo centralizado junto da CNPD, cada entidade passa a ter o seu registo interno dos tratamentos de dados pessoais que efectua.
O Encarregado de Proteção de Dados, com o apoio da DSJ, mantém o arquivo centralizado dos tratamentos de dados pessoais.
A. De acordo com o RGPD (artigo 4.º), os dados pessoais são informações relativas a uma pessoa singular viva, identificada ou identificável («titular dos dados»).
Também são dados pessoais o conjunto de informações distintas que podem levar à identificação de uma determinada pessoa.
B. Assim, dados pessoais são apenas dados referentes a pessoas singulares, não a pessoas colectivas (sociedades, associações, fundações, institutos, etc.).
C. É considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo:
– O nome e apelido;
– O endereço de uma residência;
– Um endereço de correio eletrónico como nome.apelido@empresa.com;
– O número de um cartão de identificação;
– Dados de localização (por exemplo, a função de dados de localização
num telemóvel)*;
– Um endereço IP (protocolo de internet);
– Identificadores por via eletrónica (e-mail); ou
– Testemunhos de conexão (cookies);
– O identificador de publicidade do seu telefone;
– Os dados detidos por um hospital ou médico, que permitam identificar
uma pessoa de forma inequívoca;
– Um ou mais elementos específicos da identidade física, fisiológica,
genética, mental, económica, cultural ou social dessa pessoa singular.
O facto de um identificador poder ser usado direta ou indiretamente para identificar uma pessoa singular é o elemento decisivo para determinar se esse identificador é um dado pessoal para o RGPD ou não.
O nome de uma pessoa pode em certas circunstâncias ser usado para a identificar. Em vários casos, sem ser conjugado com outros dados, o nome pode não permitir essa identificação e então não será um dado pessoal.
Se combinado com outro dado (como a empresa onde essa pessoa trabalha, um número de identificação ou de telefone) o nome já poderá ser usado para identificar uma pessoa singular e nessa medida já passa a ser um dado pessoal.
Por esse motivo, os chamados identificadores indirectos têm o mesmo nível de proteção que os indicadores diretos.
D. Dados pessoais que tenham sido descaracterizados, codificados ou pseudonimizados, mas que possam ser utilizados para reidentificar uma pessoa, continuam a ser dados pessoais e são abrangidos pelo âmbito de aplicação do RGPD.
Já dados pessoais que tenham sido tornados anónimos de modo a que a pessoa não seja ou deixe de ser identificável deixam de ser considerados dados pessoais.
Para que os dados sejam verdadeiramente anonimizados, a anonimização tem de ser irreversível.
Os seguintes dados pessoais são considerados «sensíveis» e estão sujeitos a condições de tratamento específicas:
(a) Dados pessoais que revelem a origem racial ou étnica, opiniões políticas e
convicções religiosas ou filosóficas;
(b) Filiação sindical;
(c) Dados genéticos, dados biométricos tratados simplesmente para identificar
um ser humano;
(e) Dados relacionados com a saúde;
(f) Dados relativos à vida sexual ou orientação sexual da pessoa.
– A recolha
– O registo
– A organização
– A estruturação
– A conservação
– A adaptação ou alteração
– A recuperação
– A consulta
– A utilização
– A divulgação por transmissão, difusão ou qualquer outra forma de
disponibilização
– A comparação ou interconexão
– A limitação
– O apagamento ou a destruição de dados pessoais.
B. O RGPD aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros.
O RGPD protege os dados pessoais independentemente da tecnologia utilizada para o tratamento desses dados – é neutra em termos tecnológicos e aplica-se tanto ao tratamento automatizado como ao tratamento manual, desde que os dados sejam organizados de acordo com critérios pré-definidos (por exemplo, por ordem alfabética).
C. Também é irrelevante o modo como os dados são armazenados — num sistema informático, através de videovigilância, ou em papel; em todos estes casos, os dados pessoais estão sujeitos aos requisitos de proteção previstos no RGPD.
D. Exemplos de tratamentos de dados pessoais:
– Acesso/consulta de uma base de dados de contactos que contenha
dados pessoais;
– Registo de visitantes numa portaria ou estabelecimento;
– Recolha de cópias de documentos de identificação para marcação de
viagens;
– Envio de mensagens de correio eletrónico promocionais;
– Recolha de dados para realização de estudos de mercado;
– Destruição de documentos que contenham dados pessoais;
– Publicação/colocação de uma foto de uma pessoa num sítio web;
– Gestão de pessoal e de folhas de pagamentos;
– Armazenamento de endereços IP ou endereços MAC;
– Gravação de vídeo (CCTV).
O tratamento de dados pode ser feito com base nos seguintes fundamentos:
(a) Com o consentimento das pessoas em causa
A organização disponibiliza uma aplicação de música e solicita o consentimento dos cidadãos para efetuar o tratamento das suas preferências musicais a fim de poder oferecer-lhes sugestões personalizadas de músicas e
concertos.
Mas para além do consentimento, existem outros fundamentos que permitem o tratamento de dados pessoais!
(b) Quando existir uma obrigação contratual (um contrato entre a empresa e um cliente).
A empresa vende, através da internet, certos bens a pessoas singulares. Pode efetuar o tratamento dos dados que sejam necessários para tomar medidas, a pedido da pessoa, antes de celebrar o contrato, bem como para a execução do contrato.
Pode, por isso, efetuar o tratamento do nome, número de contribuinte, do endereço de entrega, do número de cartão de crédito (se o pagamento for efetuado por cartão), etc.
(c) Para cumprir uma obrigação legal (prevista na legislação da UE ou na legislação nacional)
Uma empresa tem trabalhadores. Para pagar os impostos que reteve na fonte, a lei obriga-a a fornecer os dados pessoais (por exemplo, nome completo, número de contribuinte e o rendimento mensal dos seus trabalhadores) à autoridade competente.
(d) O tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento (prevista na legislação da UE ou na legislação nacional)
A Ordem dos Médicos e a Ordem dos Advogados fazem tratamentos dos dados dos seus membros, para defesa do interesse público.
(e) O tratamento for necessário para proteger os interesses vitais de uma pessoa
Um hospital está a tratar um doente que sofreu um acidente rodoviário grave. O hospital não precisa do consentimento do doente para pesquisar a sua identidade e verificar se a pessoa existe na base de dados do hospital, a fim de consultar o seu processo clínico ou os contactos dos familiares mais próximos.
(f) O tratamento for necessário para efeito dos interesses legítimos da organização, ou de um terceiro, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados
pessoais, em especial se o titular for uma criança.
A empresa tem um interesse legítimo quando o tratamento é efetuado no âmbito da relação com um cliente, quando efetua o tratamento de dados pessoais para efeitos de comercialização direta, para prevenir a fraude ou
para garantir a segurança da rede e da informação nos seus sistemas informáticos.
A organização só pode tratar dados sensíveis se observar uma das seguintes condições:
(a) Obteve o consentimento explícito da pessoa (embora esta opção possa se excluída por lei, em alguns casos);
(b) A organização é obrigada, nos termos da legislação da UE, da legislação nacional ou de uma convenção coletiva, a efetuar o tratamento dos dados para cumprir as suas obrigações e os seus direitos, bem como os das pessoas, em matéria de legislação laboral, de segurança social e de proteção social;
(c) Estão em causa os interesses vitais da pessoa, ou de uma pessoa física ou legalmente incapacitada de dar o seu consentimento;
(d) É uma fundação, associação ou outro organismo sem fins lucrativos que prossegue fins políticos, filosóficos, religiosos ou sindicais e que efetua tratamento de dados sobre os seus membros ou pessoas que mantêm contacto regular com a empresa;
(e) Os dados pessoais foram manifestamente tornados públicos pela pessoa;
(f) Os dados são necessários para a declaração, o exercício ou a defesa de um direito num processo judicial;
(g) Os dados são tratados por motivos de interesse público relevante com base no direito da UE ou no direito nacional;
(h) Os dados são tratados para as finalidades de medicina preventiva ou do trabalho, avaliação da capacidade de trabalho do empregado, diagnóstico médico, prestação de cuidados ou tratamentos de saúde ou de ação social ou gestão de sistemas e serviços de saúde ou de ação social com base no direito da UE ou no direito nacional ou por força de um contrato como profissional de saúde;
(i) Os dados são tratados por motivos de interesse público no domínio da saúde pública, com base no direito da UE ou no direito nacional;
(j) Os dados são tratados para fins de arquivo, investigação científica ou histórica ou para fins estatísticos, com base no direito da UE ou no direito nacional. A legislação nacional pode impor novas condições no que respeita
A. O tipo e quantidade de dados pessoais que uma empresa pode tratar dependem:
(i) Do motivo em que se baseia o tratamento (v. ponto 6) e
(ii) Da finalidade do tratamento.
B. A sociedade deve respeitar várias regras fundamentais ao tratar dados, nomeadamente:
(i) Os dados pessoais devem ser tratados de forma lícita e transparente, garantindo a lealdade do tratamento para com as pessoas cujos dados pessoais estão a ser tratados;
(ii) Devem existir finalidades específicas para o tratamento dos dados e a sociedade deve comunicá-las às pessoas aquando da recolha dos seus dados pessoais. Uma sociedade não pode simplesmente recolher dados pessoais para fins indefinidos («limitação das finalidades»);
(iii) A sociedade deve recolher e tratar apenas os dados pessoais necessários para cumprir essa finalidade («minimização dos dados»);
(iv) A sociedade deve garantir que os dados pessoais são exatos e estão atualizados, tendo em conta as finalidades para as quais são tratados, e corrigi-los caso tal não se verifique («exatidão»);
(v) A sociedade não pode utilizar os dados pessoais para outras finalidades que não sejam compatíveis com a finalidade original da recolha;
(vi) A sociedade deve garantir que os dados pessoais são conservados apenas durante o tempo necessário às finalidades para as quais foram recolhidos («limitação da conservação»);
(vii) A sociedade deve instalar garantias técnicas e organizativas adequadas para garantir a segurança dos dados pessoais, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as tecnologias adequadas («integridade e confidencialidade»).
Não: apenas devem ser recolhidos e tratados dados pessoais necessários a uma finalidade determinada, explícita e legítima. Não é possível indicar simplesmente que os dados pessoais serão recolhidos e tratados. Este princípio é conhecido como o princípio da «limitação das finalidades». O tratamento posterior para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, não é considerado incompatível com as finalidades iniciais. A finalidade do tratamento de dados deve ser conhecida e as pessoas cujos dados estão a ser tratados têm de ser informadas dessas finalidades.
Como regra, os dados recolhidos para certas finalidades não devem, posteriormente, ser tratados de uma forma incompatível com essas finalidades.
Em alguns casos será possível fazer um tratamento com finalidades diferentes das que estiveram na origem da recolha. Se a empresa tiver recolhido dados com base em interesses legítimos, num contrato ou em interesses vitais, pode utilizá-los para outra finalidade, mas apenas depois de verificar que a nova finalidade é compatível
com a finalidade original.
Devem ser ponderados os seguintes aspetos:
– A ligação entre a finalidade original e a finalidade nova/subsequente;
– O contexto em que os dados foram recolhidos (qual é a relação entre a sua empresa e a pessoa?);
– Qual o tipo e a natureza dos dados (são sensíveis?);
– As possíveis consequências do tratamento subsequente previsto (de que modo irá afetar a pessoa?);
– A existência de proteções adequadas (como cifragem ou pseudonimização).
Caso pretenda utilizar os dados para fins estatísticos ou para investigação científica, não é necessário efetuar o teste de compatibilidade.
Caso tenha recolhido os dados com base em consentimento ou num requisito legal, não poderá efetuar o tratamento subsequente para além do que se encontra abrangido pelo consentimento original ou pela disposição legal. Qualquer tratamento subsequente exigirá a obtenção de um novo consentimento ou de uma nova base jurídica.
Os dados pessoais apenas devem ser tratados se a finalidade do tratamento não puder ser atingida de forma razoável por outros meios. Sempre que possível, é preferível utilizar dados anónimos. Sempre que sejam necessários dados pessoais, estes devem ser adequados, pertinentes e limitados ao que é necessário relativamente à finalidade em questão («minimização dos dados»).
É da responsabilidade do responsável pelo tratamento avaliar qual a quantidade de dados necessária e garantir que não são recolhidos dados não pertinentes.
No momento da recolha dos dados, as pessoas devem ser informadas, pelo menos, do seguinte:
(a) Quem é a sociedade (os seus contactos e os do EPD, se existir);
(b) Porque é que a sociedade irá utilizar os seus dados pessoais (finalidades);
(c) As categorias de dados pessoais em causa;
(d) A justificação jurídica para o tratamento dos seus dados;
(e) Durante quanto tempo serão conservados os dados;
(f) Quem mais poderá receber os dados;
(g) Se os dados pessoais serão transferidos para um destinatário fora da UE;
(h) Que a pessoa tem o direito a obter uma cópia dos dados (direito de acesso aos dados pessoais), bem como outros direitos básicos no domínio da proteção de dados (ver a lista completa dos direitos);
(i) Que a pessoa tem o direito de apresentar uma reclamação a uma autoridade de proteção de dados (APD);
(j) Que a pessoa tem o direito de retirar o seu consentimento em qualquer altura;
(k) Se aplicável, a existência de decisões automatizadas e a lógica envolvida,incluindo as suas consequências.
Estas informações podem ser fornecidas por escrito ou oralmente a pedido da pessoa desde que a sua identidade seja comprovada por outros meios ou por meios eletrónicos se tal for apropriado. Deve fazê-lo de forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples e gratuitamente.
Se os dados forem obtidos de outra empresa/organização, devemos fornecer as informações indicadas acima à pessoa à qual dizem respeito o mais tardar um mês após termos obtido os dados pessoais; ou, caso comunique com a pessoa, quando os dados forem utilizados para comunicar; ou, se estiver prevista a divulgação a outra empresa, aquando da primeira divulgação dos dados pessoais.
Devemos também informar sobre as categorias dos dados e sobre a fonte a partir da qual os obteve, incluindo se foram obtidos de fontes acessíveis ao público.
Consulte o DPO/DSJ para verificar se a situação é abrangida por uma isenção do RGPD.
Deve antes pedir para esse prestador de serviços fundamentar por escrito a necessidade e o fundamento desse pedido.
Depois, deverá ser assegurado que se informa o titular dos dados que o tratamento é realizado por um terceiro (v. ponto 12).
Os dados devem ser conservados durante o mínimo de tempo possível.
Este período deve ter em conta os motivos pelos quais a empresa precisa de efetuar o tratamento dos dados, bem como eventuais obrigações legais de conservação dos dados durante um determinado período de tempo (por exemplo, legislação nacional em matéria laboral, fiscal ou antifraude que o obrigue a conservar os dados pessoais relativos aos seus trabalhadores durante um período definido, período de garantia de produtos, etc.).
Em cada caso, devem ser estabelecidos prazos para o apagamento ou revisão dos dados conservados.
A título excecional, os dados pessoais podem ser conservados durante um período mais longo para fins de arquivo de interesse público ou para fins de investigação científica ou histórica, desde que sejam adotadas medidas técnicas e organizativas adequadas (tais como anonimização, cifragem, etc.).
Deve também garantir-se que os dados são exatos e atualizados.
Exemplos de dados conservados durante demasiado tempo sem actualização:
Uma empresa de recrutamento e, para o efeito, recolhe CVs de pessoas que procuram emprego.
Planeia conservar os dados durante 20 anos e não toma medidas que prevejam a atualização dos CVs.
O período de conservação não parece ser proporcional à finalidade de encontrar emprego para uma pessoa a curto/médio prazo.
Além disso, o facto de não solicitar atualizações dos CV a intervalos regulares torna algumas das pesquisas inúteis para o candidato a emprego após um determinado período de tempo (por exemplo, porque a pessoa pode entretanto ter adquirido novas qualificações).
O RGPD estabelece uma abordagem baseada nos riscos.
Ou seja, as organizações que efetuam tratamento de dados pessoais devem aplicar medidas de proteção correspondentes ao nível de risco das suas atividades de tratamento de dados.
Assim, as obrigações de uma empresa que trate uma grande quantidade de dados são à partida mais onerosas do que as de uma empresa que trate uma quantidade reduzida de dados.
Ao mesmo tempo, a natureza dos dados pessoais e o impacto do tratamento previsto também são determinantes.
O tratamento de quantidades reduzidas de dados, mas que sejam de natureza sensível (por exemplo, dados de saúde) exige a aplicação de medidas mais rigorosas para cumprir o RGPD.
Em todos os casos, terá de respeitar os princípios da proteção de dados e de permitir às pessoas exercerem os seus direitos.
As organizações são incentivadas a aplicar medidas técnicas e organizativas, nas fases iniciais da conceção das operações de tratamento, de modo a garantir os princípios da privacidade e proteção de dados logo desde o início («proteção de dados desde a conceção»).
Por defeito, as organizações devem garantir que os dados pessoais sejam tratados com a mais elevada proteção da privacidade (por exemplo, apenas os dados necessários devem ser tratados, período de conservação curto, acessibilidade limitada) para que, por defeito, os dados pessoais não sejam disponibilizados a um número indefinido de pessoas («proteção de dados por defeito»).
É necessária uma AIPD sempre que o tratamento possa resultar num elevado risco para os direitos e as liberdades das pessoas.
A AIPD é necessária pelo menos nos três casos seguintes:
(a) Uma avaliação sistemática e completa dos aspetos pessoais, incluindo a definição de perfis;
(b) O tratamento de dados sensíveis em grande escala;
(c) O controlo sistemático de zonas públicas em grande escala.
A AIPD deve ser realizada antes do tratamento e deve ser considerada como um instrumento evolutivo e não como um mero exercício pontual. Sempre que existam riscos residuais que não possam ser atenuados pelas medidas em vigor, a CNPD deve ser consultada antes do início do tratamento.
O responsável pelo tratamento determina as finalidades e os meios pelos quais os dados pessoais são tratados.
Assim, a sociedade é a responsável pelo tratamento se decide «porquê» e «como» os dados pessoais devem ser tratados. Os trabalhadores que efetuam o tratamento de dados pessoais na sociedade fazem-no para cumprir as suas tarefas enquanto responsável pelo tratamento.
A empresa é responsável conjunto pelo tratamento quando determina, em conjunto com uma ou mais organizações, «porquê» e «como» os dados pessoais devem ser tratados.
Os responsáveis conjuntos pelo tratamento devem celebrar um acordo que defina as respetivas responsabilidades pelo cumprimento das regras do RGPD. Os principais aspetos desse acordo devem ser comunicados às pessoas cujos dados são objeto de tratamento.
O subcontratante só efetua o tratamento de dados pessoais em nome do responsável pelo tratamento. O subcontratante é geralmente um terceiro externo à empresa. Mas, no caso dos grupos de empresas, uma empresa pode atuar como subcontratante para outra empresa. Os deveres do subcontratante perante o responsável pelo tratamento devem ser especificados num contrato ou noutro ato jurídico.
O subcontratante só pode subcontratar uma parte das suas tarefas a outro subcontratante ou nomear um subcontratante conjunto se tiver recebido autorização prévia por escrito do responsável pelo tratamento dos dados. Existem situações em que uma entidade pode ser um responsável pelo tratamento, um subcontratante ou ambos.
Uma entidade (seja uma pessoa singular, coletiva ou qualquer outro organismo) pode efetuar o tratamento de dados pessoais por conta de outra sociedade, desde que exista um contrato ou outro ato jurídico que regule o tratamento em subcontratação.
É importante que o subcontratante nomeado apresente garantias suficientes para a aplicação de medidas técnicas e organizativas destinadas a assegurar que o tratamento cumprirá as normas do RGPD e a garantir a proteção dos direitos das pessoas.
O contrato que vincule o subcontratante ao responsável pelo tratamento deve estabelecer:
(a) O objeto do tratamento;
(b) A duração do tratamento;
(c) A natureza do tratamento;
(d) A finalidade do tratamento;
(e) O tipo de dados pessoais;
(f) As categorias dos titulares dos dados;
e
(g) As obrigações e direitos do responsável pelo tratamento.
O contrato ou ato jurídico celebrado entre a sociedade e o subcontratante deve incluir os seguintes elementos:
(a) O tratamento só pode ser efetuado com base em instruções documentadas do responsável pelo tratamento;
b) O subcontratante garante que as pessoas autorizadas a efetuar o tratamento de dados pessoais assumiram um compromisso de confidencialidade ou se encontram sujeitas a uma obrigação legal de confidencialidade adequada;
(c) O subcontratante deve oferecer um nível mínimo de segurança definido pelo responsável pelo tratamento;
(d) O subcontratante deve ajudá-lo a garantir a conformidade com o RGPD.
O subcontratante nomeado não pode, posteriormente, nomear outro subcontratante sem a sua autorização prévia, específica ou geral, por escrito do responsável pelo tratamento.
As regras que protegem os dados pessoais continuam a aplicar-se independentemente da localização dos dados, mesmo que os mesmos sejam transferidos para um país que não seja membro da UE («país terceiro»).
O RGPD prevê diferentes mecanismos para enquadrar as transferências de dados de um país da UE para um país terceiro:
(a) Em certos casos, pode declarar-se que um país terceiro oferece um nível adequado de proteção através de uma decisão da Comissão Europeia («decisão de adequação»), o que significa que é possível transferir dados para uma empresa situada no país terceiro sem que o exportador dos dados tenha de apresentar garantias suplementares e sem que esteja sujeito a condições adicionais. Ou seja, as transferências para um país terceiro «adequado» serão semelhantes a uma transmissão de dados no interior da EU;
(b) Na falta de uma decisão de adequação, a transferência pode ser efetuada mediante a apresentação de garantias adequadas e na condição de as pessoas gozarem de direitos oponíveis e de medidas jurídicas corretivas eficazes. Estas garantias adequadas incluem, nomeadamente, as seguintes:
(i) No caso de um grupo de empresas ou de grupos de empresas envolvidos numa atividade económica conjunta, as empresas podem transferir dados pessoais com base nas chamadas regras vinculativas aplicáveis às empresas;
(ii) Disposições contratuais com o destinatário dos dados pessoais, utilizando, por exemplo, as cláusulas-tipo de proteção de dados adotadas pela Comissão Europeia;
(iii) Adesão a um código de conduta ou um procedimento de certificação, acompanhado de compromissos vinculativos e com força executiva assumidos pelos destinatários no sentido de aplicarem as garantias adequadas para proteger os dados transferidos;
(c) Se estiver prevista uma transferência de dados pessoais para um país terceiro que não esteja sujeito a uma decisão de adequação e na ausência de garantias adequadas, a transferência pode ser efetuada com base num conjunto de derrogações aplicáveis em situações específicas, por exemplo se uma pessoa tiver consentido expressamente na transferência proposta após ter recebido todas as informações necessárias sobre os riscos associados à mesma.
Existe um e-mail específico para as suas funções nesse contexto ()
O RGPD é aplicável:
(a) Ao tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento de um responsável pelo tratamento ou de um subcontratante situado no território da UE, independentemente do local onde os dados forem tratados;
(b) Ao tratamento de dados pessoais de titulares residentes no território da UE, por um responsável pelo tratamento ou subcontratante não estabelecido na UE, quando as atividades de tratamento estejam relacionadas com:
(i) A oferta de bens ou serviços a esses titulares de dados na União, independentemente da exigência de os titulares dos dados procederem a um pagamento;
(ii) O controlo do seu comportamento, desde que esse comportamento tenha lugar na UE.
Deve ter-se em conta as «atividades principais» do estabelecimento, i.e., atividades em que o tratamento de dados é uma parte inextricável da atividade do responsável pelo tratamento ou do subcontratante.
O RGPD tem um maior impacto e exige um esforço de adaptação maior nas empresas que têm consumidores finais, uma vez que as mesmas fazem mais tratamentos de dados pessoais.
No entanto, todas as entidades que façam tratamentos de dados pessoais são abrangidas pelo RGPD.
Todas as direcções são envolvidas, pois todas fazem tratamentos de dados pessoais, relativos a pessoas singulares.
Os seguintes tratamentos de dados pessoais são exemplos de tratamentos feitos na Empresa:
– Fornecimento de matéria-primas por pessoas singulares
– Tratamentos de dados de trabalhadores
– Registo de visitantes em portarias
– Videovigilância
– Transmissão de dados fiscais e laborais à Autoridade Tributária
– Promoções no Facebook, Instagram, Twitter, Linkedin ou outras redes sociais
– Estudos de mercado
– Recolha de dados em visitas institucionais e escolares
– Recolha de cópias de cartões de cidadão
– Marcação de viagens de trabalho
– Devolução de despesas de deslocação
Em todos os casos, deve verificar-se quais as finalidades da recolha e tratamento, se os dados recolhidos são necessários para essas finalidades, qual o fundamento para o tratamento de dados pessoais em causa e observar as condições expostas neste Q&A para essa fundamentação (i.e., consentimento, execução de um contrato, interesse legítimo, etc.).
De um modo geral, deve ter o cuidado de observar as regras explicadas neste Q&A.
Se tiver dúvidas, contacte o DPO ou a DSJ.
Sim, as pessoas podem recusar-se a disponibilizar os seus dados pessoais.
Importa notar que em certos casos a falta de transmissão dos dados pode impedir um tratamento de que a própria pessoa precisa ou deseja: Ex.: se não der os dados curriculares a sociedade pode não recrutar um candidato; se eu não der os meus dados de segurança social a empresa não pode executar um contrato de trabalho.
E em certas circunstâncias, o fornecimento de dados pessoais não é determinante e o tratamento pode ser efectuado sem o consentimento (ex., pelo Estado).
Sim.
Na Empremédia e na Navigator, temos como exemplo a implementação de medidas de segurança no acesso aos sistemas informáticos, pela DSI.
Mas a implementação de medidas de segurança na protecção de dados pessoais deve ser acautelada por todos os colaboradores. Todos devem ter cuidado na conservação e no acesso a dados pessoais. A sociedade não pode guardar dados sensíveis num armário desprotegido sem controlo de acessos.
A. Em geral, qualquer pessoa que tenha sofrido danos materiais ou imateriais devido a uma violação do RGPD tem direito a receber uma indemnização pelos danos sofridos, do responsável pelo tratamento ou do subcontratante. Esses processos correm perante os tribunais judiciais.
B. Se a CNPD realizar uma inspecção e confirmar uma situação de incumprimento, poderá aplicar uma sanção a um particular ou a uma empresa
O tipo e o valor da sanção irão variar, em função da situação de incumprimento em causa.
Nos casos de incumprimentos mais graves de regras do RGPD por uma empresa, a CNPD poderá aplicar uma coima até 20 000 000 EUR ou 4 % do seu volume de negócios anual a nível mundial, correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado.
As empresas incumpridoras, especialmente nos casos de violação dos seus sistemas, podem ainda ser obrigadas a pagar os prejuízos causados aos titulares dos dados, acrescidos de juros, caso existam.