Última verificação: 15/03/2019

A proteção de dados ao abrigo do RGPD

Decisão do Reino Unido de invocar o artigo 50.º do TUE: Mais Informações

O Regulamento Geral sobre a Proteção de Dados define requisitos pormenorizados em matéria de recolha, armazenamento e gestão de dados pessoais, aplicáveis tanto a empresas e organizações europeias que tratam dados pessoais na UE como a empresas e organizações estabelecidas fora do território da UE que tratam dados pessoais de pessoas de vivem na UE.

Em que casos é aplicável o Regulamento Geral sobre a Proteção de Dados (RGPD)?

O RGPD é aplicável se:

As empresas estabelecidas fora do território da UE que tratam dados de cidadãos da UE devem nomear um representante na UE.

Em que casos não é aplicável o Regulamento Geral sobre a Proteção de Dados (RGPD)?

O RGPD não é aplicável se:

O que se entende por dados pessoais ?

Dados pessoais são quaisquer informações sobre uma determinada pessoa, identificada ou identificável, denominada titular dos dados. Exemplos de dados pessoais:

Categorias especiais de dados

Não pode tratar os dados pessoais sobre:

Quem trata os dados pessoais?

Durante o tratamento, os dados pessoais podem passar por várias empresas ou organizações. No âmbito do ciclo de tratamento de dados pessoais, são de realçar dois perfis principais:

Quem controla o modo como os dados pessoais são tratados por uma empresa?

O encarregado da proteção, que pode ter sido designado pela empresa, é responsável por controlar o modo como os dados pessoais são tratados e por informar e aconselhar os trabalhadores que tratam dados pessoais sobre as suas obrigações. O encarregado da proteção coopera igualmente com a autoridade de proteção de dados, funcionando como ponto de contacto entre esta e as pessoas singulares.

Quando é necessário designar um encarregado da proteção?

A empresa tem a obrigação de designar um encarregado da proteção quando:

Por exemplo, uma empresa que trate dados pessoais para direcionar publicidade através de motores de pesquisa com base no comportamento em linha dos titulares desses dados, deve designar um encarregado da proteção. Contudo, se se limitar a enviar aos clientes material promocional uma vez por ano, então não necessita de um encarregado da proteção. Do mesmo modo, um médico que recolha dados relativos à saúde dos doentes provavelmente não precisa de um encarregado da proteção. Mas, no caso de um médico que trata dados genéticos ou relativos à saúde em nome de um hospital, já é necessário um encarregado da proteção.

O encarregado da proteção pode ser um elemento do pessoal da sua organização ou pode ser contratado externamente, através de num contrato de prestação de serviços, podendo ser um indivíduo ou fazer parte de uma organização.

Tratamento de dados em nome de outra empresa

O responsável pelo tratamento apenas pode recorrer a um subcontratante que ofereça garantias suficientes, que devem ser estabelecidas num contrato escrito entre as partes envolvidas. O contrato deve também conter uma série de cláusulas obrigatórias, por exemplo, uma cláusula que preveja que o subcontratante só pode proceder ao tratamento de dados pessoais quando receber instruções para o efeito do responsável pelo tratamento.

Transferências de dados para fora da UE

Quando os dados pessoais forem transferidos para fora da UE, a proteção proporcionada pelo RGPD deve acompanhar os dados. Isto significa que, se exportar dados para o estrangeiro, a sua empresa deve assegurar-se de que é respeitada, pelo menos, uma das seguintes condições:

Quando é autorizado o tratamento de dados?

Ao abrigo das regras da UE em matéria de proteção de dados, deve tratar os dados de uma forma lícita e equitativa, para fins específicos e legítimos e apenas na medida em que tal for necessário para esses fins. Para poder tratar dados pessoais, deve certificar-se de que preenche uma das seguintes condições:

Autorizar o tratamento de dados – consentimento

O RGPD prevê regras rigorosas em matéria de tratamento de dados com base no consentimento dos titulares. O objetivo destas regras é assegurar que o titular dos dados percebe para que é que está a dar consentimento. Isto significa que o consentimento deve ser dado de forma livre, específica, informada e inequívoca, por meio de um pedido apresentado numa linguagem simples e clara. O consentimento do titular dos dados deve ser dado através de um ato positivo, por exemplo assinalando uma casa ou assinando um formulário.

Sempre que um titular dê consentimento para o tratamento dos seus dados pessoais, só pode tratar esses dados para as finalidades para as quais o consentimento foi dado. O titular tem de ter possibilidade de retirar o consentimento.

Dar informações transparentes

Deve fornecer informações claras aos titulares sobre quem está a tratar os respetivos dados pessoais e o motivo desse tratamento, incluindo, no mínimo, os seguintes elementos:

Em alguns casos, deve igualmente indicar:

Deve apresentar estas informações numa linguagem e simples e clara.

Regras específicas aplicáveis às crianças

Se recolher dados pessoais de crianças com base no consentimento, por exemplo, para criar uma conta de rede social ou descarregar conteúdos, deve começar por obter o consentimento parental, por exemplo através do envio de uma notificação a um progenitor/tutor. A idade até à qual um utilizador é considerado criança varia de país para país, oscilando entre os 13 e os 16 anos.

Direito de acesso e direito à portabilidade dos dados

Os titulares dos dados têm direito a aceder aos respetivos dados pessoais de forma gratuita. Se um titular lhe pedir para aceder aos seus próprios dados pessoais, deve:

Sempre que o tratamento tiver por base o consentimento ou um contrato, o titular pode também solicitar-lhe que lhe devolva os seus dados pessoais ou os transmita a outra empresa. Trata-se do direito à portabilidade dos dados. Os dados devem ser apresentados num formato de uso corrente que permita a leitura automática.

Direito a corrigir os dados e direito de oposição

Se o titular dos dados considerar que os seus dados pessoais estão incorretos, incompletos ou inexatos, tem o direito de os retificar ou completar, sem demoras injustificadas.

Se isto acontecer, deve informar todos os destinatários com quem partilha os dados em questão de que estes foram alterados ou apagados. Se os dados pessoais que tiver partilhado estiverem incorretos, poderá igualmente ter de informar desse facto qualquer pessoa que os tenha consultado (exceto se tal for considerado um esforço desproporcionado).

O titular dos dados pode também opor-se a qualquer momento ao tratamento dos respetivos dados pessoais para um uso específico, se a sua empresa tratar esses dados com base no seu próprio interesse legítimo ou no exercício de funções de interesse público. A menos que o interesse legítimo da empresa prevaleça sobre o interesse do titular dos dados, esta deve cessar o tratamento dos dados pessoais.

Do mesmo modo, um titular de dados pode pedir a limitação do tratamento dos seus dados pessoais enquanto se determina se o interesse prevalecente é o seu próprio interesse ou o interesse legítimo da empresa. No entanto, no caso da comercialização direta, a empresa é obrigada a pôr termo ao tratamento dos dados pessoais sempre que o titular o solicite.

Direito ao apagamento dos dados (direito a ser esquecido)

Em determinadas circunstâncias, o titular dos dados pode solicitar ao responsável pelo tratamento que apague os seus dados pessoais, caso os mesmos deixem de ser necessários para cumprir a finalidade do tratamento. No entanto, a empresa não é obrigada a apagar os dados se:

Decisão e definição de perfis automatizadas

Os titulares dos dados têm o direito de não ficarem sujeitos a nenhuma decisão tomada exclusivamente com base no tratamento automatizado. No entanto, há algumas exceções a esta regra, como no caso em que os titulares dão o seu consentimento explícito para o recurso a decisões automatizadas. Salvo se a decisão automatizada for autorizada por lei, a sua empresa deve:

Por exemplo, se um banco automatizar a sua decisão de conceder ou não um empréstimo a uma determinada pessoa, essa pessoa deve ser informada da decisão automatizada e deve ser-lhe dada a possibilidade de a contestar e de requerer a intervenção humana.

Notificação das violações de dados

Fala-se de violação de dados se os dados pessoais pelos quais a sua empresa é responsável forem divulgados, tanto acidental como ilicitamente, a destinatários não autorizados, forem alterados ou o acesso aos mesmos for temporariamente interrompido.

Se ocorrer uma violação de dados que represente um risco para os direitos e liberdades individuais, deve informar a autoridade de proteção de dados no prazo de 72 horas depois de tomar conhecimento da mesma.

Se a violação representar um risco elevado para os titulares dos dados, a empresa poderá também ser obrigada a informar dessa violação todas as pessoas afetadas.

Resposta a pedidos

Se a sua empresa receber um pedido de uma pessoa que pretenda exercer os seus direitos, deve responder a este pedido sem demoras indevidas e, em qualquer caso, no prazo de um mês a contar da receção do pedido. Este prazo pode ser prorrogado por um período de dois meses para pedidos complexos ou múltiplos, desde que a pessoa seja informada da prorrogação. Os pedidos devem ser tratados de forma gratuita.

Se um pedido for recusado, terá de informar o interessado das razões dessa recusa e do direito que lhe assiste de apresentar uma reclamação à autoridade de proteção de dados.

Avaliação de impacto

É obrigatório fazer uma avaliação de impacto sobre a proteção de dados sempre que o tratamento previsto possa implicar um risco elevado para os direitos e liberdades das pessoas, por exemplo, no caso de serem utilizadas novas tecnologias.

Existe um risco elevado em caso de:

Nota: as autoridades de proteção de dados podem também considerar de elevado risco o tratamento de outras categorias de dados.

Se as medidas indicadas no contexto da avaliação de impacto sobre a proteção de dados não eliminarem todos os riscos elevados identificados, a autoridade de proteção de dados deve ser consultada antes do início do tratamento de dados previsto.

Manutenção de registos

Deve poder provar que a empresa atua em conformidade com o RGPD e cumpre todas as obrigações aplicáveis, nomeadamente a pedido ou em caso de uma inspeção da autoridade de proteção de dados.

Para tal, deve conservar um registo pormenorizado de elementos como:

A empresa deve igualmente definir e atualizar regularmente orientações e procedimentos escritos e manter os trabalhadores a par dos mesmos.

Se a sua empresa for uma PMEen ou uma empresa mais pequena, não necessita de conservar um registo das atividades de tratamento, desde que:

  • não proceda regularmente ao tratamento de dados
  • o tratamento não ponha em risco os direitos e liberdades dos titulares dos dados em questão
  • não trate dados confidenciais ou registos criminais

Proteção de dados desde a conceção e por defeito

A proteção de dados desde a conceção implica que a sua empresa tenha em conta a proteção dos dados desde as primeiras etapas do planeamento de uma nova forma de tratamento de dados pessoais. Em conformidade com este princípio, o responsável pelo tratamento deve tomar as medidas de natureza técnica e organizacional necessárias para aplicar os princípios da proteção de dados e proteger os direitos dos titulares, por exemplo, através da utilização de pseudónimos.

A proteção de dados por defeito implica que a sua empresa adote sempre, como definições por defeito, as definições que mais protejam a privacidade. Por exemplo, se forem possíveis duas definições para a proteção da privacidade e uma delas impedir o acesso aos dados pessoais por parte de terceiros, deverá ser essa a definição por defeito.

Incumprimento das regras e sanções

O não cumprimento do RGPD pode traduzir-se em coimas significativas, que, para determinadas infrações, podem chegar aos 20 milhões de euros ou a um valor equivalente a 4 % do volume de negócios mundial da empresa. A autoridade de proteção de dados pode impor medidas corretoras adicionais, como obrigar a empresa a pôr termo ao tratamento dos dados pessoais.

Perguntas frequentes – Proteção de dados e privacidade em linha

Tópicos Relacionados

Legislação da UE

Precisa de ajuda dos serviços de assistência?

Contacte um serviço de apoio especializado

Apoio local às empresas - Tem dúvidas sobre como fazer negócios além-fronteiras, nomeadamente sobre como expandir as suas atividades ou passar a exportar para outro país da UE? A rede europeia de empresas Enterprise Europe Network pode aconselhá-lo gratuitamente.

Partilhar esta página: