Support & Downloads

Quisque actraqum nunc no dolor sit ametaugue dolor. Lorem ipsum dolor sit amet, consyect etur adipiscing elit.

s f

Contact Info
198 West 21th Street, Suite 721
New York, NY 10010
youremail@yourdomain.com
+88 (0) 101 0000 000
Follow Us
Image Alt

RGPD

 . RGPD
AUTORIDADE DE CONTROLO

É uma autoridade pública independente criada por um Estado-Membro com a função de fiscalizar a conformidade das organizações com o RGPD. Em Portugal a Autoridade Controladora é a CNPD – Comissão Nacional de Protecção de Dados.

 

AVALIAÇÃO DE IMPACTO DE PROTECÇÃO DE DADOS (AIPD)

Uma AIPD consiste num procedimento de avaliação de riscos, onde são descritas as operações de tratamento e avaliadas as necessidades e proporcionalidades das mesmas, bem como o nível de risco para os direitos e liberdades dos titulares dos dados pessoais associados a esse tratamento e as medidas previstas para mitigar esse nível. Permitem que a organização encontre problemas nas fases iniciais de qualquer projecto.

 

CONSENTIMENTO

É uma manifestação de vontade, livre, específica, informada e explícita, pela qual este aceita, mediante declaração positiva e acto inequívoco o tratamento dos seus dados.

 

DADOS PESSOAIS

Os dados pessoais são toda a informação que identifique ou torne identificável uma pessoa singular.

 

DADOS CATEGORIAS ESPECIAIS

São dados que revelem:

  •  a origem racial ou étnica, opiniões políticas e convicções religiosas ou filosóficas;
  •  filiação sindical;
  •  dados genéticos, dados biométricos tratados simplesmente para identificar um ser humano;

Dados genéticos :Dados pessoais relativos às características genéticas, (hereditárias ou adquiridas) de uma pessoa singular que dão informações únicas sobre a sua fisiologia ou a saúde e que resulta de uma análise de uma amostragem.

Dados biométricos:Dados pessoais que resultam de um tratamento técnico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa singular e que permitem a identificação única dessa pessoa singular, nomeadamente imagens faciais ou dados dactiloscópicos;

  •  dados relacionados com a saúde;
  •  dados relativos à vida sexual ou orientação sexual da pessoa.

 

DADOS ALTAMENTE PESSOAIS

São dados associados a actividades privadas e/ou familiares ou afectam o exercício de um direito fundamental do seu titular. A violação destes dados implica que a vida quotidiana do titular dos dados seja claramente afectada. Exemplos:

  • Documentos pessoais
  • Remunerações
  • Penhoras salariais
  • Mensagens de correio electrónico
  • Agendas e notas
  • Localização geográfica

 

DEFINIÇÃO DE PERFIS (PROFILING)

Qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados pessoais para avaliar certos aspectos pessoais de uma pessoa singular, nomeadamente para analisar ou prever o cariz do seu desempenho profissional, a sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocações;

 

DESTINATÁRIO

pessoa singular ou colectiva, autoridade pública, agência ou qualquer outro organismo a quem sejam comunicados dados pessoais, independentemente de se tratar ou não de um terceiro.

 

DIREITO À NÃO SUJEIÇÃO A DECISÕES AUTOMATIZADAS (OPOSIÇÃO AO PROFILING)

Direito que confere aos Titulares dos Dados a oportunidade de se oporem a qualquer forma automatizada de processamento dos seus dados pessoais, com o objectivo de o tipificar ou avaliar.

 

ENCARREGADO DE PROTECÇÃO DE DADOS (EPD)

Elemento interno ou externo à organização, nomeado pelo Responsável pelo Tratamento de Dados (RTD) e comunicado à Autoridade de Controlo, que estará envolvido em toda a matéria relacionada com a protecção de dados pessoais. Esta nomeação deverá ser atribuída sempre que o processamento for levado a cabo por uma entidade pública (excepto tribunais ou autoridades judiciais) e/ou se verifique o tratamento de forma sistemática ou regular e/ou exista processamento de dados das categorias especiais em grande escala. O EPD informa e aconselha o RTD, o subcontratante e os funcionários da organização a respeito das suas obrigações. Controla a conformidade com o regulamento, presta aconselhamento aquando da realização de uma Avaliação de Impacto de Protecção de Dados (AIPD) e coopera com a Autoridade de Controlo. Auxilia também o RTD na resposta ao exercício de direitos dos Titulares dos Dados.

 

LIMITAÇÃO DO TRATAMENTO

Inserção de uma marca nos dados pessoais conservados com o objectivo de limitar o seu tratamento no futuro

 

MINIMIZAÇÃO

Princípio que visa que os dados recolhidos são apenas os estritamente necessários à actividade de tratamento e sua finalidade

 

PRIVACIDADE DESDE A CONCEPÇÃO (PRIVACY BY DESIGN)

O Responsável pelo Tratamento tem conta a privacidade desde concepção de um novo produto ou serviço, em vez de considerar as questões de privacidade apenas posteriormente. Tal significa avaliar cuidadosamente e implementar medidas técnicas e organizativas adequadas desde o início para garantir que o tratamento dos dados pessoais está em conformidade com o RGPD e protege os direitos dos titulares dos dados em causa.

 

PRIVACIDADE POR DEFEITO (PRIVACY BY DEFAULT)

O Responsável pelo Tratamento põe em prática mecanismos para garantir que, por defeito, apenas serão recolhidos, utilizados e conservados os dados pessoais necessários para cada actividade de tratamento. Esta obrigação aplica-se à extensão do seu tratamento, ao prazo de conservação e à sua acessibilidade. Este mecanismos asseguram que os dados pessoais não são disponibilizados sem intervenção humana a um número indeterminado de pessoas singulares.

 

PSEUDONIMIZAÇÃO

Medida técnica aplicada ao tratamento de dados pessoais por forma a que estes não sejam atribuídos ao seu titular sem recorrer a informações suplementares. Essas informações suplementares serão mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável.

 

REPRESENTANTE

Pessoa singular ou colectiva estabelecida na União que, designada por escrito pelo responsável pelo tratamento ou subcontratante, representa o responsável pelo tratamento ou o subcontratante não estabelecido na EU no que se refere às suas obrigações

 

RESPONSÁVEL PELO TRATAMENTO DE DADOS (RTD)

Pessoa singular ou colectiva, autoridade pública, agência ou qualquer outro organismo que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais.

 

SUBCONTRATANTE (SC)

Pessoa singular ou colectiva, autoridade pública, agência ou qualquer outro organismo que trate os dados pessoais por conta do RTD

 

TRATAMENTO DE DADOS PESSOAIS

Operação ou conjunto de operações efectuados sobre dados pessoais, com ou sem meios automatizados, tais como a recolha, o registo, a organização, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, por difusão ou por qualquer outra forma de disponibilização, a comparação ou interconexão, bem como a limitação, apagamento ou destruição.

 

TRATAMENTO TRANSFRONTEIRIÇO

A) O tratamento de dados pessoais que ocorre no contexto das actividades de estabelecimentos em mais do que um Estado-Membro de um responsável pelo tratamento ou um subcontratante na União, caso o responsável pelo tratamento ou o subcontratante esteja estabelecido em mais do que um Estado-Membro;

ou

B) O tratamento de dados pessoais que ocorre no contexto das actividades de um único estabelecimento de um responsável pelo tratamento ou de um subcontratante, mas que afecta substancialmente, ou é susceptível de afectar substancialmente, titulares de dados em mais do que um Estados-Membro;

 

TERCEIRO

Pessoa singular ou colectiva, autoridade pública, serviço ou qualquer outro organismo que, não sendo o titular de dados, o responsável pelo tratamento, o subcontratante ou outra pessoa sob autoridade directa do responsável pelo tratamento ou do subcontratante, esteja autorizado a tratar os dados.

 

VIOLAÇÃO DE DADOS PESSOAIS

Violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizado, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.

 

1. PROTECÇÃO DE DADOS EM PORTUGAL

Se pensa que a preocupação com os dados pessoais é uma coisa nova e imposta pelo novo regulamento, desengane-se. Portugal foi o primeiro país no mundo a prever a necessidade de proteger os dados das pessoas singulares.

Em 1991 foi aprovada a primeira lei relacionada com a protecção de dados pessoais e ao longo das últimas décadas existiram um conjunto de actualizações legais nessa matéria.

 

2. O RGPD
  • O que é?

É um regulamento que foi aprovado pelo Parlamento Europeu a 27 de Abril de 2016, com aplicação obrigatória a 25 de Maio de 2018.

Estabelece regras relativas à protecção e à livre circulação dos dados pessoais assegurando a defesa dos direitos e liberdades das pessoas singulares.

Fornece maior controlo ao titular sobre os seus dados.

  • A quem se dirige?

A todas as organizações que tratem de dados pessoais de pessoais singulares que se encontrem no território da UE, mesmo que a sua sede esteja fora da UE e que tratem de oferta de bens e serviços a esses titulares (independentemente de existir pagamento ou não).

 

3. O QUE MUDA?
  • Antes – Modelo de Hétero-Regulação

Obrigação de notificar a CNPD previamente à recolha e tratamento de dados pessoais; (Videovigilância, geolocalização de viaturas, investigação clínica…)

Comunicar quaisquer alterações que pudessem ocorrer posteriormente;

  • Agora – Modelo de Auto-regulação

Deixa de ser necessário pedir autorizações à CNPD;

Obrigatoriedade de comunicar uma violação de dados à CNPD no prazo máximo de 72 horas caso se verifique um risco para os seus direitos e liberdades do titular dos dados e no caso de ser verificar que esse risco é elevado obrigatório notificar também o próprio titular;

Inversão do Ónus da Prova – Organizações terão que ter responsabilidade demonstrada (medidas adequadas e em conformidade com a legislação) e provar que trataram os dados de acordo com os meios e finalidades comunicados previamente ao seu titular;

Transposição da responsabilidade para os responsáveis pelo tratamento de dados.

  • Coimas – ANTES

Coima máxima prevista não ia além dos €30 000.

  • Coimas – DEPOIS

Coima máxima poderá chegar até aos 20 milhões de euros ou até 4% do volume de negócios anual da empresa a nível mundial, de acordo com o exercício do anterior – consoante o que for mais alto.

 

4. COMO TRATAR DADOS?

Para tratar os dados pessoais é importante que identifique que os princípios de protecção de dados estão a ser respeitados e que existe um fundamento de legitimidade para os tratar.

 

4.1. PRINCÍPIOS DA PROTECÇÃO DE DADOS

 

4.2. FUNDAMENTOS DE JURÍDICOS

 

5. CONSENTIMENTO

Existe uma grande confusão sobre este fundamento jurídico e, como consequência, na semana anterior ao dia 25 de Maio de 2018, foram disparados milhares de e-mails de reconfirmação de autorização de tratamento de dados, independentemente da sua finalidade.

Pois então, esclarecemos que, apenas necessita de pedir o consentimento do titular para tratar os dados pessoais, caso não tenha outro fundamento jurídico ou caso a finalidade do tratamento seja outra que não a inicialmente definida.

Exemplo: Se a sua organização recolheu dados pessoais para efeitos de orçamentação e facturação da venda de um bem ou serviço, não necessita do consentimento do titular dos dados para os continuar a tratar, ou seja para continuar a emitir orçamentos e facturas, pois o fundamento jurídico que torna esse tratamento lícito é a existência de um contrato ou de diligências pré-contratuais (note que a existência de um contrato de compra e venda não obriga a que este seja resumido a escrito).

  • Como deve ser obtido?

O consentimento do titular dos dados é uma manifestação de vontade, livre, específica, informada e explícita, pela qual este aceita, mediante declaração positiva e acto inequívoco o tratamento dos seus dados

Deverá ainda ser dada a oportunidade de o titular dos dados revogar o seu consentimento, sem que isso comprometa a licitude do tratamento anteriormente efectuado.

CONSENTIMENTO DE MENORES

  • Menores de 16 anos

Não podem prestar consentimento para tratamento de dados em serviços online – o consentimento deverá ser prestador por quem exerce as responsabilidades parentais;

  • Menores entre 13 e 16 anos

Estados-Membro deverão legislar livremente sobre o seu enquadramento.

 

 

6. DIREITOS DOS TITULARES

 

7. PRINCIPAIS INTERVENIENTES

 

8. ENCARREGADO DE PROTECÇÃO DE DADOS
  • Quem é?

Elemento interno ou externo designado pelas organizações com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos do direito e das práticas de protecção de dados.

  • Quando nomear e comunicar à Autoridade de Controlo?

– Organização é uma entidade pública (excepto tribunais);

– Organização efectua tratamento de dados pessoais de forma sistemática e regular;

– Organização efectua tratamento de dados das categorias especiais em grande escala;

Pode ainda ser nomeado e comunicado a título voluntário

  • Quais as suas funções?

– Aconselha e informa o responsável pelo tratamento ou subcontratante, bem como os funcionários que tratem dados;

– Controla a conformidade com o RGPD bem como sensibiliza e forma as equipas

– Coopera com a Autoridade de Controlo

 

9. SUBCONTRATAÇÃO

• O recurso a subcontratantes só deverá ser efectuado mediante apresentação de garantias de execução de medidas técnicas e organizativas que tornem a o subcontratante em conformidade com o RGPD;

• A relação entre o responsável e o subcontratante pode ser regulada por um contrato individual ou cláusulas-tipo.

 

10. RESPONSABILIDADES

 

10.1. Responsabilidades do Responsável pelo Tratamento de Dados

Responsabilidades do Responsável pelo Tratamento de Dados

 

10.2. Informações aos Titulares dos Dados

Quando recolhe dados pessoais junto do seu titular, a sua organização, enquanto Responsável pelo Tratamento de Dados Pessoais deve prestar as informações constantes na imagem abaixo.

Essas informações poderão estar afixadas nas instalações da organização e/ou na sua página web através da Política de Protecção de Dados.

 

10.3. Realização de Avaliações de Impacto de Protecção de Dados (AIPD)

Em que consiste?Uma AIPD consiste num procedimento de avaliação de riscos prévio ao tratamento de dados, onde são descritas as operações de tratamento e avaliadas as necessidades e proporcionalidades das mesmas, bem como o nível de risco para os direitos e liberdades dos titulares dos dados pessoais associados a esse tratamento e as medidas previstas para mitigar esse nível. Essa avaliação é agora uma responsabilidade do Responsável pelo Tratamento de Dados.

 

Como interpretar?

Se o resultado da AIPD consistir num:

• Nível de Risco Baixo –> Proceder ao Tratamento

• Nível de Risco Alto ou Não Definido(por não se ter identificado ou atenuado suficientemente os riscos, ou em caso de falha da aplicação das medidas previstas) –> Efectuar consulta prévia à CNPD e caso se adeqúe, a opinião junto dos Titulares dos Dados.

 

Como definir o nível de risco?

Para definir o nível de risco associado a uma actividade de tratamento de dados, deverá ter em conta a probabilidade e a gravidade de ocorrência de uma violação.

No quadro abaixo poderá conferir o nível de risco através do cruzamento dessas duas coordenadas.

 

10.4. Responsabilidades do Subcontratante

 

10.5. Registo de Actividades

O RGPD prevê que tanto o Responsável pelo Tratamento de Dados como o Subcontratante conservem um registo de todas as actividades de tratamento.

Quando é a sua realização obrigatória?• Organizações com mais de 250 colaboradores (RTD e SC) ;

• Tratamento de dados não é ocasional;

• Categorias especiais de dados;

• Implique um risco para os direitos e liberdades dos titulares dos dados;

Que informação deve conter?