As regras da UE em matéria de proteção de dados garantem a proteção dos seus dados pessoais sempre que estes sejam recolhidos, por exemplo, quando faz compras em linha, se candidata a um emprego ou pede um empréstimo bancário. Estas regras aplicam-se tanto às empresas e organizações (públicas ou privadas) estabelecidas na UE como às estabelecidas fora da UE que oferecem bens e serviços na UE, como a Facebook ou a Amazon, sempre que estas empresas solicitem ou reutilizem dados pessoais na UE.
Não importa o formato em que os dados são recolhidos – em linha, através de um sistema informático, ou em papel, através de um formulário estruturado. Sempre que sejam armazenadas ou tratadas informações que, direta ou indiretamente, o identifiquem como indivíduo, os seus direitos em matéria de proteção de dados têm de ser respeitados.
Quando é autorizado o tratamento de dados?
De acordo com as regras de proteção de dados estabelecidas no Regulamento Geral sobre a Proteção de Dados da UE (RGPD), uma empresa ou organização pode recolher ou reutilizar os seus dados pessoais quando tal for necessário para:
- dar execução a um contrato que tenha celebrado consigo – por exemplo, um contrato de fornecimento de bens ou serviços (isto é, quando compra algo em linha) ou um contrato de trabalho
- cumprir uma obrigação legal – por exemplo, quando o tratamento dos dados pessoais constitui um requisito legal, como no caso em que a entidade patronal fornece informações sobre a sua remuneração mensal ao seu organismo de segurança social
- defender os seus interesse vitais – por exemplo, sempre que a recolha ou tratamento de dados pessoais possa proteger a sua vida
- exercer funções de interesse público – trata-se, sobretudo, das funções de administrações públicas como escolas, hospitais e municípios
- prosseguir interesses legítimos – por exemplo, quando o seu banco utiliza os seus dados pessoais para verificar se pode beneficiar de uma conta poupança com uma taxa de juro mais elevada
Em qualquer outra situação, as empresas ou organizações devem pedir o seu consentimento antes de poderem recolher ou reutilizar os seus dados pessoais.
Dar o consentimento
Quando uma empresa ou organização pede o consentimento do titular dos dados, este tem de dar o seu acordo de forma explícita, por exemplo, assinando um formulário de consentimento ou assinalando a opção «sim» num formulário de escolha sim/não numa página Web.
Não basta, por exemplo, assinalar uma casa para indicar que não pretende receber mensagens comerciais por correio eletrónico. Tem de aceitar explicitamente e concordar com o armazenamento e/ou tratamento dos seus dados pessoais para o fim em causa.
Antes de tomar uma decisão, tem direito a receber as seguintes informações:
- dados da empresa/organização que tratará os seus dados, incluindo os contactos e, se aplicável, o contacto do encarregado da proteção de dados
- a razão pela qual a empresa/organização utilizará os seus dados pessoais
- durante quanto tempo serão conservados os seus dados pessoais
- dados relativos a qualquer outra empresa ou organização que receba os seus dados pessoais
- informações sobre os seus direitos em matéria de proteção de dados (acesso, retificação, apagamento, reclamação, retirada do consentimento)
Estas informações devem ser apresentadas de forma clara e facilmente compreensível.
Retirada do consentimento e direito de oposição
Se tiver dado consentimento a uma empresa ou organização para utilizar os seus dados pessoais, pode, a qualquer momento, contactar o responsável pelo tratamento dos dados (a pessoa ou organismo que trata os seus dados pessoais) e retirar o seu consentimento. Assim que tiver retirado o seu consentimento, a empresa ou organização deixa de poder utilizar os seus dados pessoais.
Quando uma organização procede ao tratamento de dados pessoais para prosseguir os seus próprios interesses legítimos ou para exercer funções de interesse público ou em nome de uma autoridade pública, o titular poderá ter o direito de se opor a esse tratamento. Em alguns casos específicos, o interesse público pode prevalecer e a empresa ou organização em causa pode ser autorizada a continuar a utilizar os dados pessoais do titular, por exemplo, no contexto de um estudo científico ou estatístico ou de uma função exercida no âmbito da missão oficial de uma autoridade pública.
No caso das mensagens de comercialização que promovam marcas ou produtos específicos, é necessário o consentimento prévio do titular dos dados. No entanto, se for cliente de uma determinada empresa, esta pode enviar-lhe mensagens de comercialização direta sobre os seus próprios produtos ou serviços semelhantes aos produtos e serviços pelos quais tenha manifestado interesse. Tem o direito de se opor, a qualquer momento, à receção destas mensagens de comercialização direta, deixando imediatamente e empresa de poder utilizar os seus dados.
Independentemente das circunstâncias, logo na primeira vez que entra em contacto consigo, a empresa ou organização deve informá-lo do seu direito a opor-se à utilização dos seus dados pessoais.
Experiência pessoal
Pode opor-se a que os seus dados sejam utilizados para fins de comercialização direta
Anatolios comprou dois bilhetes na Internet para ir ver um concerto ao vivo da sua banda favorita. A partir daí, Anatolios começou a receber mensagens eletrónicas com publicidade sobre concertos e eventos que não lhe interessam. Contactou, então, a empresa de venda de bilhetes em linha e pediu que deixassem de lhe enviar estas mensagens publicitárias. A empresa retirou-o imediatamente das suas listas de comercialização direta e Anatolios ficou contente por não voltar a receber publicidade da empresa na sua caixa de correio eletrónico.
Regras específicas relativas às crianças
Geralmente, se quiserem utilizar serviços em linha, nomeadamente usar redes sociais ou descarregar música ou jogos, os seus filhos precisam da sua aprovação enquanto autoridade parental/tutor legal, pois estes serviços utilizam os dados pessoais das crianças. Os menores deixam de precisar de consentimento parental a partir dos 16 anos (em alguns países da UE este limite de idade pode ser de 13 anos). Os controlos do consentimento parental devem ser eficazes, por exemplo, recorrendo ao envio de uma mensagem de confirmação para o endereço eletrónico de um dos pais.
Aceder aos seus dados pessoais
Pode pedir para aceder aos seus dados pessoais conservados por uma empresa ou organização. Tem também direito a obter gratuitamente uma cópia dos dados num formato acessível. A empresa ou organização deve responder-lhe no prazo de um mês e entregar-lhe uma cópia dos seus dados pessoais e de quaisquer outras informações relevantes sobre como foram ou estão a ser utilizados esses dados.
Experiência pessoal
Tem direito a saber quais os seus dados pessoais conservados e como são utilizados
Maciej, que vive na Polónia, aderiu recentemente a um sistema de fidelidade do supermercado local. Pouco tempo depois, reparou que tinha começado a receber vales de desconto mais vantajosos. Maciej questionou-se sobre se os novos vales estariam relacionados com o sistema de fidelidade, pelo que solicitou ao encarregado da proteção de dados do supermercado informações sobre os seus dados pessoais armazenados e a utilização dos mesmos. Maciej descobriu que o supermercado guardava dados sobre os produtos que comprava todas as semanas para, em seguida, lhe dar descontos relacionados com esses produtos.
Retificar os seus dados pessoais
Se uma empresa ou organização armazenou dados incorretos ou incompletos sobre si, pode pedir-lhes que sejam retificados ou atualizados.
Experiência pessoal
Tem direito a retificar os seus dados pessoais que estejam incorretos
Alison queria comprar uma casa nova na Irlanda e pediu um empréstimo hipotecário ao banco. Ao preencher o formulário necessário, enganou‑se ao indicar a data de nascimento e o banco registou incorretamente a idade no sistema.
Alison apercebeu-se do erro quando recebeu as propostas para o novo crédito hipotecário e o seguro de vida associado, pois o prémio de seguro era muito mais elevado do que o do seu seguro atual. Alison contactou o banco e pediu que retificassem os seus dados pessoais no sistema. Recebeu depois uma nova versão da oferta do seguro com a indicação da data de nascimento correta.
Transferir os seus dados pessoais (direito à portabilidade dos dados)
Em certas situações, pode pedir a uma empresa ou organização que lhe devolva os seus dados ou os transfira diretamente para outra empresa, se tal for tecnicamente viável. Trata-se da chamada «portabilidade dos dados». Pode usar este direito, por exemplo, se decidir mudar de um serviço para outro serviço similar – como no caso de passar de uma rede social para outra – e quiser que as suas informações pessoais sejam rápida e facilmente transferidas para o novo serviço.
Apagar os seus dados pessoais (direito a ser esquecido)
Se os seus dados pessoais já não forem necessários ou estiverem a ser utilizados ilegalmente, pode solicitar que sejam apagados. Trata-se do chamado «direito a ser esquecido».
Estas regras aplicam-se também aos motores de pesquisa, como o Google, uma vez que são também considerados responsáveis pelo tratamento de dados. Pode pedir que as ligações para páginas Web que incluam o seu nome sejam eliminadas dos resultados do motor de pesquisa, se as informações forem incorretas, inadequadas, irrelevantes ou excessivas.
Se pedir a uma empresa que tenha disponibilizado os seus dados pessoais em linha para os apagar, a empresa tem também de informar quaisquer outros sítios Web em que esses dados tenham sido partilhados de que lhe pediu para apagar os seus dados e ligações.
Para proteger outros direitos, como a liberdade de expressão, alguns dados podem não ser automaticamente apagados. Por exemplo, as declarações controversas feitas por personalidades conhecidas poderão não ser apagadas se o interesse público for mais bem servido se as mesmas continuarem a estar disponíveis em linha.
Experiência pessoal
Pode solicitar que os seus dados pessoais sejam apagados e retirados de outros sítios Web
Alfredo decidiu deixar de usar redes sociais, pelo que apagou o seu perfil nos sítios das redes sociais onde estivera ativo. No entanto, algumas semanas mais tarde, ao fazer uma pesquisa na Internet com o seu nome, descobriu que as suas fotografias de perfil das suas antigas contas em redes sociais continuavam visíveis. Alfredo contactou as empresas em questão e pediu-lhes que as fotografias fossem removidas. Um mês depois, quando fez uma nova pesquisa, as fotografias tinham efetivamente sido removidas e já não apareciam nos resultados da pesquisa.
Acesso não autorizado a dados pessoais (violação de dados)
Em caso de violação dos seus dados pessoais, ou seja, se alguém os roubar ou perder ou lhes aceder ilegalmente, o responsável pelo tratamento dos dados (a pessoa ou organismo que trata os seus dados) deve informar a autoridade nacional de proteção de dados. O responsável pelo tratamento dos dados deve também informá-lo diretamente se, na sequência de tal violação, existirem riscos sérios relativamente aos seus dados pessoais ou à sua privacidade.
Apresentar uma reclamação
Se considerar que os seus direitos em matéria de proteção de dados pessoais não foram respeitados, pode apresentar uma reclamação diretamente à sua autoridade nacional de proteção de dados, que dará seguimento à reclamação e lhe responderá no prazo de três meses.
Em vez de começar por contactar a autoridade nacional de proteção de dados, também pode optar por intentar uma ação em tribunal contra a empresa ou organização em causa.
Caso sofra danos materiais, como prejuízos financeiros, ou danos não materiais, como perturbações psicológicas, devido ao não-cumprimento das regras de proteção de dados da UE por uma empresa ou organização, poderá ter direito a indemnização.
«Cookies» (testemunhos de conexão)
Os «cookies» são pequenos ficheiros de texto que um sítio Web pede ao seu programa de navegação para instalar no seu computador ou dispositivo móvel. Os «cookies» são utilizados de forma generalizada para memorizar as suas preferências e, assim, melhorar o funcionamento dos sítios Web, bem como para acompanhar a sua navegação na Internet e criar perfis de utilizador e, depois, lhe mostrar publicidade seletiva baseada nas suas preferências.
Qualquer sítio Web que utilize «cookies» tem de obter o seu consentimento antes de instalar um «cookie» no seu computador ou dispositivo móvel. Um sítio Web não pode limitar-se a informá-lo de que utiliza «cookies» ou a explicar-lhe o que deve fazer para os desativar.
Os sítios Web devem ainda explicar-lhe como serão usadas as informações recolhidas graças aos «cookies» e dar-lhe a possibilidade de retirar o seu consentimento. Se decidir fazê-lo, o sítio Web é obrigado, mesmo assim, a fornecer‑lhe um serviço mínimo, por exemplo, dar-lhe acesso a uma parte do sítio Web.
Nem todos os «cookies» exigem o seu consentimento. Os «cookies» utilizados exclusivamente para proceder à transmissão de uma comunicação não exigem nenhum consentimento prévio. É o caso, por exemplo, dos «cookies» utilizados para «equilibrar a carga» (ou seja, repartir, os pedidos ao servidor Web por várias máquinas). Os «cookies» que sejam estritamente necessários para fornecer um serviço em linha que tenha sido expressamente solicitado pelo utilizador também não exigem o seu consentimento. É o caso, por exemplo, dos «cookies» utilizados para lhe permitir preencher um formulário em linha ou usar o cesto de compras quando faz compras em linha.