3.675

Como assegurar a proteção dos dados pessoais na era digital

Atualmente existem organizações que comercializam ou trocam os dados de pessoas singulares de forma indiscriminada. Somos constantemente contactados por empresas às quais nunca fornecemos os nossos dados, e esse contacto repete-se vezes sem conta, sempre sobre o mesmo assunto. Subscrevemos um serviço ou efetuamos uma simples pesquisa na internet e os websites que consultamos passam a apresentar-nos publicidade orientada. Ainda mais grave, na maioria das vezes, as empresas/entidades gerem os dados sem sabermos como, nem para que finalidade, e por tempo ilimitado. É precisamente para combater este uso excessivo, e muitas vezes indevido de dados pessoais, que surge o RGPD.

O Regulamento Geral de Proteção de Dados (RGPD) ou General Data Protection Regulation (GDPR) é um Regulamento Europeu (EU 2016/679) que pretende reforçar e uniformizar as medidas de proteção dos dados pessoais de todos os cidadãos da União Europeia, devolvendo aos indivíduos o controlo da sua informação pessoal. A necessidade de rever a atual legislação, Diretiva 95/46/EC, de 1995 e aplicável até maio de 2018, prende-se com as profundas alterações que a tecnologia, nomeadamente o surgimento da internet, trouxe à forma de tratamentos dos dados por parte das empresas, assistindo-se a uma massificação do uso das redes sociais, o online banking, soluções SaaS, Cloud, Internet das Coisas e outras tecnologias que proliferam nesta era digital.

O que é o Regulamento Geral de Proteção de Dados (RGPD) e a partir de quando se aplicará?

O RGPD refere-se ao Regulamento 2016/679, de 27 de abril de 2016, e é um diploma que estabelece as regras referentes à proteção, tratamento e livre circulação de dados pessoais das pessoas singulares em todos os países membros da União Europeia. Este regulamento revoga a Diretiva 95/46/CE e a Lei n.º 67/98, (conhecida como Lei de Proteção de dados), que transpôs esta Diretiva para o ordenamento jurídico português.

O RGPD tem aplicação direta a partir de 25 de maio de 2018. O regulamento foi aprovado em 27 de abril de 2016, após quase cinco anos de negociações e cerca de 4 000 adendas, sendo aplicado diretamente, isto é, sem necessidade de qualquer transposição para a ordem jurídica interna. Até ao dia 25 de maio de 2018, em Portugal, continuará a ser aplicável a Lei de Proteção- lei n.º 67/98, de 26 de outubro.

O RGPD não se aplica a pessoas, mas sim a empresas. Ao longo deste guia iremos dar-lhe conta de tudo o que precisa saber para garantir que a sua empresa cumpre a legislação e, enquanto cidadão e quais os direitos que lhe assistem.

MP

Quais os objetivos do RGPD?

Pode dizer-se que o RGPD surgiu com três objetivos principais:

1. Atualizar a legislação relativa à proteção de dados pessoais, alinhando-a com a nova era digital proporcionada pela contínua evolução tecnológica.

2. Harmonizar a legislação existente nesta matéria nos diversos Estados-Membros da União Europeia, dando um passo significativo no sentido da criação do mercado único digital.

3. Reforçar os direitos dos cidadãos, protegendo-os dos riscos e ameaças relativos à utilização indevida dos seus dados pessoais.

A quem se aplica?

O novo Regulamento aplica-se essencialmente aos responsáveis pelo tratamento dos dados pessoais, ou seja:

1. Às organizações estabelecidas em território da União Europeia, independentemente de o tratamento dos dados pessoais decorrer dentro ou fora da União.

2. A todas as organizações que tratem dados pessoais de cidadãos que se encontram no território da União Europeia, mesmo que estabelecidas fora do território da União.

Neste contexto, o Regulamento Geral de Proteção de Dados aplica-se nas seguintes situações:

Bens e Serviços
Oferta de bens ou serviços a titulares dos dados (independentemente de existir pagamentos ou não).
Controlo do titular
Fora da UE

DADOS PESSOAIS

O que são dados pessoais?

Entende-se por dados pessoais a informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»). É considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.

Exemplos de dados pessoais:

- Nome, morada, endereço eletrónico, número de IP, dados de localização
- Data de nascimento
- Número de identificação civil
- Número de identificação fiscal
- Número de identificação da Segurança Social
- Altura, peso e idade
- Composição do agregado familiar
- Padrão da íris e impressão digital
- Elementos de identidade física, fisiológica, genética, mental, económica, cultural ou social
- Perfis de Redes Sociais e informação recolhida por cookies
- Informação bancária
- Informação fiscal
- (…)

O que são categorias especiais de dados?

Existem alguns dados pessoais que estão enquadrados em categoriais especiais por revelarem
informação do foro íntimo e alusiva à vida privada dos cidadãos.
Exemplos de dados pessoais especiais:
- Origem racial/étnica
- Opiniões políticas
- Convicções religiosas ou filosóficas
- Filiação sindical
- Dados relativos à saúde, vida sexual, orientação sexual ou vida privada
- Dados de crédito e solvabilidade
- Condenações penais e infrações

Os dados pessoais não são apenas aqueles que permitem denominar um titular, basta que o distingam ou permitam distinguir de outras pessoas (de forma isolada ou em conjunto com outros dados) para serem considerados dados pessoais.

Qual a diferença entre dados pessoais diretos e indiretos?

Dados pessoais diretos:

Aqueles que permitem, por si só, identificar de forma imediata o titular dos dados.

Exemplo: nome ou fotografia

Dados pessoais indiretos:

Aqueles que apenas permitem identificar uma pessoa se forem complementados com outro(s) dado(s) ou informações sobre o titular dos dados.

Exemplo: Nº do Cartão de Cidadão - por si só este dado não permite identificar o sujeito, no entanto, se for consultado o Registo Civil, já é possível obter identificar o titular.

O que distingue o tratamento de dados pessoais do tratamento de dados pessoais especiais?

A principal diferença reside no facto de o tratamento de dados pessoais especiais ser proibido, com exceção dos casos em que está permitido o seu tratamento (previstas no art.º 9º, nº 2 do Regulamento).

Tratamento de Dados

Em que consiste o tratamento de dados?

Considera-se tratamento de dados uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.

Exemplos de situações onde ocorre tratamento de dados pessoais:
- Recolha de dados pessoais
- Registo de dados pessoais
- Organização de dados pessoais
- Estruturação de dados pessoais
- Conservação de dados pessoais
- Adaptação de dados pessoais
- Alteração de dados pessoais
- Recuperação de dados pessoais

Direitos dos Titulares

Que direitos têm os titulares dos dados?

O RGPD vem precisamente reforçar os direitos dos titulares sobre os seus dados, permitindo- lhes ter conhecimento sobre que dados seus estão a circular, quem os conhece e para que fins serão utilizados. O Regulamento estabelece um conjunto de direitos como:

1. Direito à transparência
Os titulares dos dados têm o direito de saber que tratamentos são efetuados sobre os seus dados.

Exemplo: No caso de estarem a ser recolhidas imagens e som (ou poderem vir a sê-lo) deverá existir informação visível que informe os titulares sobre a realização das gravações.

2. Direito à informação
Os titulares dos dados têm o direito de solicitar ao responsável pelo tratamento dos dados, informações sobre o tipo de tratamento a que os seus dados estão a ser sujeitos. As informações devem ser prestadas por escrito. Se o titular assim o solicitar, a informação poderá ser prestada oralmente, desde que a identidade do titular seja comprovada por outros meios.

Exemplo: No momento da recolha dos dados, o titular deve ser informado sobre o tratamento de que os seus dados serão alvo.

3. Direito de acesso Os titulares têm o direito de saber se os seus dados são ou não objeto de tratamento por parte de uma organização. Caso sejam alvo de tratamento, o titular tem o direito a aceder aos seus dados pessoais e às seguintes informações:
- Finalidade do tratamento;
- Categorias dos dados pessoais em questão;
- Destinatários ou categorias de destinatários a quem os dados são, foram ou serão divulgados;
- Prazo previsto de conservação de dados, ou se tal não for possível, os critérios para fixar esse prazo;
- Garantias de conhecimento e tratamento adequado sempre que os dados forem transferidos para um país terceiro ou uma organização internacional;
- Acesso a uma cópia dos dados pessoais em fase de tratamento. Se o pedido for apresentado por meios eletrónicos, a informação deverá ser fornecida num formato eletrónico de uso corrente.

4. Direito de retificação

Direito de solicitar a retificação de dados incorretos e preenchimento de dados incompletos. Cada retificação efetuada pelo responsável pelo tratamento de dados implica a comunicação dessa alteração às entidades a quem os dados tenham sido transmitidos, salvo se essa comunicação se revelar impossível ou implicar um esforço desproporcionado.

5. Direito ao apagamento

Os titulares dos dados têm o direito de solicitar que os mesmos sejam apagados, o que deverá decorrer sem demora injustificada. A eliminação dos dados é ainda mais obrigatório nas seguintes situações:

- Quando os dados deixam de ser necessários para a finalidade que motivou a sua recolha ou tratamento;
- Quando o titular retira o consentimento para o tratamento (desde que não exista outro fundamento para esse tratamento);
- Quando o titular se opõe ao tratamento e não existem interesses legítimos prevalecentes que justifiquem esse tratamento;
- Quando os dados foram tratados ilicitamente; - Para dar cumprimento a uma obrigação jurídica decorrente do direito da União Europeia ou de um Estado-Membro a que o responsável esteja sujeito;
- Quando os dados foram recolhidos no contexto da oferta de serviços da sociedade da informação.

6. Direito à limitação do tratamento

O titular pode opor-se ao tratamento dos seus dados pessoais e solicitar a limitação do seu tratamento (inserção de uma marca nos dados pessoais conservados para limitar o seu tratamento no futuro). Neste contexto, o titular tem direito a que o responsável faça a limitação do tratamento num dos seguintes casos:

6.1 Durante o período em que o responsável de proteção de dados valida a exatidão dos mesmos, após contestação de incorreção por parte do titular.

O direito ao apagamento tem de ser conciliado com as obrigações jurídicas que o responsável pelo tratamento de dados deve assegurar relativamente às entidades oficiais, que nesse caso se sobrepõem. Por exemplo, o dever de manutenção de faturas emitidas.

6.2 Quando existe tratamento ilícito e o titular se opõe ao apagamento, pode solicitar a limitação da utilização.

6.3 Quando o responsável já não precisa dos dados para tratamento, mas os mesmos são requeridos pelo titular para efeitos de declaração, exercício ou defesa de um direito num processo judicial.

6.4 No caso do titular se opor ao tratamento nos termos do 21.º, n.º 1 até se verificar que os motivos legítimos do responsável se sobrepõem aos do titular. 6.5 Quando o titular se opõe ao tratamento de dados que lhe digam respeito para efeitos de comercialização. O responsável pelo tratamento tem de comunicar a cada destinatário, a quem os dados tenham sido transmitidos, qualquer limitação de tratamento que tenha feito, salvo se essa comunicação se revelar impossível ou implicar um esforço desproporcionado.

Em todas estas situações, os dados podem ser conservados, mas o seu tratamento só poderá decorrer mediante consentimento do titular, para efeitos de declaração, para exercício ou defesa de um direito em processo judicial, para defesa de outra pessoa singular ou coletiva ou por motivos de interesse público da União Europeia ou do Estado-Membro.

7. Direito de oposição

O titular poderá opor-se à utilização dos seus dados para efeitos de comercialização direta.

8. Direito à notificação

Os titulares dos dados devem ser notificados ou ser-lhes dado conhecimento nos casos em que os seus dados pessoais estejam a ser recolhidos ou tratados.

Exemplo: Os colaboradores das empresas têm o direito de ser informados sobre as situações em que existem algum tipo de monitorização de equipamentos de trabalho ou geolocalização. No caso de viaturas, quando não se sabe quem conduz, deve ser colocado um dístico na viatura a informar que é efetuada a geolocalização da mesma. Se existir algum tipo de monitorização dos equipamentos/instrumentos de trabalho usados pelo funcionário, o mesmo tem de ser informado/notificado disso.

9. Direito à não sujeição a decisões automatizadas

O titular dos dados tem o direito de solicitar intervenção humana em processos habitualmente automáticos.
Exemplo: Nos casos em que existem mecanismos de profiling, o titular pode exigir que haja uma intervenção humana nesse processo automatizado, para que a decisão não seja tomada de forma exclusivamente automática. Porém, se tiver dado o seu consentimento explícito nesse sentido, esse consentimento explícito nesse sentido, esse tratamento automatizado já será possível.

10. Direito à portabilidade

O titular dos dados pode solicitar que os mesmos sejam transferidos para outra empresa/entidade (à semelhança do que acontece com as operadoras de telecomunicações). Pode querer transferir os seus dados clínicos, créditos de formação ou outros. Nestes casos, deve ser usado um formato de uso corrente.


Incidentes de Violação de Dados

O que são incidentes de violação de dados pessoais?

Os incidentes de violação de dados pessoais são situações associadas ao acesso, alteração ou eliminação indevida de dados pessoais, quer tal ocorra de forma acidental ou ilícita.

Sempre que são verificados esses incidentes, é necessário que as entidades efetuem uma notificação a terceiros. Por um lado, é obrigatória a notificação à Comissão Nacional de Proteção de Dados (CNPD) sem demora injustificada e sempre que possível até 72 horas após conhecimento da existência do incidente.

Ultrapassado esse prazo, é necessário justificar os motivos que levaram ao atraso.

Poderá, ainda, ser necessária a notificação do próprio titular dos dados quando o risco para os direitos e liberdades das pessoas singulares for elevado. No entanto, esta comunicação ao titular poderá ser evitada se, por exemplo, o responsável pelo tratamento tiver ativado medidas de proteção adequadas, tanto técnicas como organizativas, especialmente medidas que tornem os dados afetados pela violação incompreensíveis (por exemplo através da cifragem).

Também existe o dever de o subcontratante notificar o responsável pelo tratamento dos dados, sempre que verifique a ocorrência de um incidente.

Avaliação do Impacto de Privacidade (PIA)

Em que consiste a Avaliação de Impacto de Privacidade?
A Avaliação do Impacto de Privacidade, em inglês PIA (Privacy Impact Assessement), deve decorrer especialmente nos casos em que o tratamento dos dados pessoais é efetuado através do uso de novas tecnologias. Essa avaliação deverá considerar a natureza dos dados, o âmbito, o contexto e a finalidade dos mesmos.

Sempre que o tratamento efetuado apresente suscetibilidade de implicar um elevado risco para os direitos e liberdades dos titulares, o responsável pelo tratamento deverá fazer uma avaliação do impacto das operações previstas na proteção dos dados pessoais, antes de iniciar o tratamento.

A realização de um PIA (Privacy Impact Assessement) é obrigatória nas seguintes situações:

1. Quando é feita uma avaliação de aspetos pessoais com base no tratamento automatizado de dados, incluindo definição de perfis que produzem efeitos jurídicos relativamente à pessoa singular.

2. Quando existe tratamento em grande escala de categorias especiais de dados ou de dados pessoais relacionados com condenações penais ou infrações.

3. Quando é realizado um controlo sistemático de zonas acessíveis ao público em grande escala.

As Autoridades de Controlo de cada país irão disponibilizar uma lista dos tratamentos sujeitos a avaliação prévia de impacto, identificando também as situações em que essa análise não é obrigatória. Se nada for dito, caberá aos responsáveis pelo tratamento essa decisão.

Aspetos mínimos a considerar na avaliação de impacto de privacidade:
- Descrição das operações de tratamento a que os dados serão sujeitos;
- Finalidade das ações de tratamento;
- Interesses legítimos do responsável de proteção de dados (se aplicável);
- Avaliação da necessidade e proporcionalidade das operações de tratamento em relação aos objetivos;
- Avaliação dos riscos para os direitos e liberdades dos titulares dos dados;
- Medidas previstas e garantias para fazer face aos riscos;
- Medidas de segurança e procedimentos destinados a assegurar a proteção dos dados pessoais, demonstrando a conformidade com o Regulamento;
- Solicitar parecer ao DPO ou EPD(Data Protection Officer ou Encarregado de Proteção de Dados).

A minha empresa tem mesmo de ter um Encarregado de Proteção de Dados (EPD – DPO)?

Nesta altura em que nos aproximamos da data da implementação do novo regulamento, a ausência de informações disponibilizadas pelas autoridades é preocupante e acaba por levar "à loucura" a informação e desinformação.

A figura denominada de DPO ( Data Protection Officer ou EPD – Encarregado de Proteção de Dados ), como uma das maiores alterações neste novo regulamento. A confusão instalada é de tal ordem que, toda a gente fala da necessidade de contratar um DPO para se estar conforme com o RGPD


Artigo 37º
Designação do encarregado da proteção de dados

1. O responsável pelo tratamento e o subcontratante designam um encarregado da proteção de dados sempre que:

a) O tratamento for efetuado por uma autoridade ou um organismo público, excetuando os tribunais no exercício da sua função jurisdicional;

b) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou

c) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados nos termos do artigo 9º e de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10º.

Como se pode verificar neste artigo, a nomeação de um Encarregado de Proteção de Dados só será obrigatória quando e entidade am causa reunir uma das seguintes condições :

1. Ser um organismo público

2. Tratar dados pessoais em grande escala e de forma sistemática. (ex: Bancos)

3. Tratar categorias especiais de dados pessoais em grande escala. (ex: dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa e os dados pessoais relacionados com condenações penais e infrações).
 
Face a esta explicação, é fácil concluir que caso Portugal não acrescente essa suposta obrigatoriedade (à imagem do que foi feito na Alemanha), e que não é expectável face às características do tecido empresarial português, teremos uma percentagem reduzida de empresas com um DPO nomeado.

Isto não significa que o RGPD não seja de aplicação em todas as entidades que tratem dados pessoais, ou seja, a quase totalidade das empresas. Significa apenas que existem um conjunto de pontos obrigatórios a cumprir no RGPD mais importantes do que a figura do DPO.
MP

Obrigações Decorrentes da Subcontratação

Que exigências têm de ser cumpridas quando as empresas recorrem a subcontratados que efetuam o tratamento de dados pessoais?

O recurso a subcontratantes só é possível se estes apresentarem garantias suficientes de execução de medidas técnicas e organizativas adequadas ao RGPD. Por outro lado, o subcontratado não pode contratar outro subcontratante sem autorização prévia específica ou geral do responsável de proteção de dados, sendo que essa autorização terá de ser manifestada por escrito.

No contrato de subcontratação terá de ficar estabelecido o objeto e duração do tratamento, natureza e finalidade, tipo de dados e categorias dos titulares, assim como as obrigações e direitos do responsável. Será ainda necessário acautelar as cláusulas do art.º 28.º, n.º 3.

A relação entre o responsável e o subcontratado pode ser regulada por um contrato individual ou cláusulas-tipo.

Coimas e Sanções

Se não forem cumpridas as exigências do RGPD o que pode acontecer?

As sanções previstas no RGPD são bastante mais gravosas do que as anteriormente existentes.

O limite máximo das coimas varia consoante as obrigações que forem violadas, podendo chegar aos 20 milhões de euros ou até 4% do volume de negócios anual da empresa a nível mundial, de acordo com o exercício financeiro do ano anterior, conforme o valor que for mais elevado.

O apuramento do valor de operações a nível mundial resulta de averiguações sobre a existência ou não de relação de grupo. Esse valor também ficará dependente das obrigações violadas e/ou não cumpridas e da existência de dolo ou negligência, bem como o respetivo grau.

Estes valores são aplicáveis ao setor privado. Quanto ao setor público, caberá a cada Estado-
Membro regular quais as coimas aplicáveis.

Outras sanções

Para além das coimas, podem ainda ser aplicáveis outras sanções. Com a legislação atualmente em vigor, essas sanções podem passar pela proibição temporária ou definitiva do tratamento, o bloqueio, o apagamento ou destruição total ou parcial dos dados; a public idade da sentença condenatória ou a advertência ou censura públicas do responsável pelo tratamento.

A violação do RGPD pode resultar em diferentes tipos de sanções:

- Responsabilidade Criminal
- Responsabilidade Administrativa
- Responsabilidade Civil
- Responsabilidade Disciplinar (do ponto de vista dos trabalhadores de uma organização)
- Responsabilidade Social
 

Gearbest  Mochila Alta Durabilidade Backpack - BLACK
Mochila para Escola Alta Durabilidade Backpack - Preto Só 7.34€ Portes incluídos


beruby - cashback, cupões e ofertas nas tuas compras online

ATENTION This Site uses cookies. Browsing this website your are allowing the using of cookies.