Facebook-f

GDPR

O que é:

É um Regulamento UE de 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. Foi publicado em 2016 com um período de adaptação de 2 anos, sendo aplicável no dia 25 de maio 2018 em todos os países membros da UE.

O que defende:

Todos os direitos fundamentais de liberdade e princípios reconhecidos na Carta dos Direitos Fundamentais da União Europeia, nomeadamente o respeito pela vida privada e familiar, pelo domicílio e pelas comunicações, a proteção dos dados pessoais, a liberdade de pensamento, de consciência e de religião, a liberdade de expressão e de informação e a diversidade cultural, religiosa e linguística

Aplicabilidade:

Aplica-se a todas as organizações privadas e públicas que se encontrem nos 28 estados membros da União Europeia ou organizações subcontratadas para o efeito situados na UE, que tratem dados pessoais de Titulares Singulares residentes no território da União Europeia independentemente da sua nacionalidade ou do seu local de residência.

Obrigações:

Foram introduzidas um conjunto de novas regras, entre as quais se destaca a obrigação de designar um encarregado para a proteção de dados, regras sobre pseudonimização de dados, a alteração das regras sobre obtenção de consentimento, novas regras sobre consentimento de menores, a eliminação do sistema de notificações e autorizações, a implementação do direito ao esquecimento, criação de obrigações acrescidas para os subcontratados, a introdução de coimas de valor muito elevado e obrigações de informação relativas a quebras de segurança.

Dado Pessoal é uma informação que pode identificar direta ou indiretamente uma pessoa singular com referência a um identificador.

Os identificadores indiretos devem ter o mesmo nível de proteção que os indicadores diretos, aplicando-se tanto ao tratamento automatizado como ao tratamento manual, desde que os dados estejam a ser armazenados num sistema informático, de video vigilância, ou em papel.

É evidente que os requisitos de proteção previstos no RGPD que possam identificar uma pessoa devem ser sempre assegurados, independentemente da tecnologia utilizada para o tratamento em automatização ou manual.

Todos os dados pessoais que sejam considerados anónimos de modo a que a pessoa não seja identificável deixam de ser considerados dados pessoais. Para que os dados sejam anonimizados, deve existir uma relação redirecionada e personalizada por informações adicionais de forma que a pessoa volte a ser identificada ou identificável.

Todos os dados pessoais descaracterizados, codificados ou pseudonimizados, que possam ser utilizados para reidentificar uma pessoa, continuam a ser dados pessoais e são abrangidos pelo âmbito de aplicação do RGPD.

 

Exemplos de dados pessoais:

– Nome;
– Apelido;
– NIF;
– Foto;
– Endereço de residência;
– Endereço pessoal de correio eletrónico;
– Número de telefone;
– Número de cartão de identificação;
– Rendimento;
– Dados de localização;
– Endereço IP;
– Perfil cultural;
– Perfil social;
– Dados genéticos do hospital ou médico;

 

Exemplos de dados não considerados pessoais:

– Número de registo de empresa;
– Endereço de correio eletrónico – info@empresa.com;
– Dados anonimizados;

INTERNAS

– Conhecimento e Crenças: informação acerca de crenças religiosas, filosóficas e pensamentos;
– Autenticação: informação que seja para autenticar através de senha de acesso, PIN e impressão digital;
– Preferência: informação de interesses relacionadas com cores, música e gostos.

 

EXTERNAS

– Identificação: informação que identifica uma pessoa singular através do nome, foto, dados biométricos ou identificador único;
– Etnia: informação que descreve a raça, origem e idiomas faladas;
– Sexual: informação que descreve a vida sexual, preferências pessoais;
– Comportamento: informação que descreve atividades relativas a uma pessoa;
– Demografia: informação que descreve as características partilhadas relativas a escalões de rendimento, faixas etárias e traços físicos;
– Médica e Saúde: informação que descreve condições de saúde relativas a tipo de sangue, DNA, resultados de testes, deficiências, prescrições e histórico clínico;
– Características Físicas: informação que descreve as caraterísticas como altura, peso, idade, cor do cabelo, pele, tatuagens e género.

 

HISTÓRICAS

– História da vida: informação acerca do historial pessoal que pode ter influenciado a vida da pessoa.

 

FINANCEIRAS

– Conta: informação que identifica contas financeiras de uma pessoa, relativas com número de cartão de crédito e número de conta bancária;
– Propriedade: informação de coisas que a pessoa tem, arrendou, emprestou ou possuiu;
– Transações: informação das compras ou despesas relacionadas com vendas, créditos, receitas, empréstimos, transações, impostos e hábitos de compras;
– Crédito: informação acerca dinheiro para credibilidade, capacidade e posição de crédito.

 

SOCIAIS

– Profissional: informação acerca da carreira académica ou profissional que descreve ficheiros de empregado, salário, avaliações, entrevistas e historial de trabalho;
– Criminal: informação acerca da atividades criminais relacionadas com condenações e acusações;
– Vida Pública: informação acerca da vida pública relacionadas com reputação, religião, filiações políticas e sindicais;
– Família : informação acerca da família relativa à estrutura familiar, irmãos, primos, casamento e divórcios;
– Redes Sociais : informação relacionada nas ligações sociais relativas com amigos, conhecidos, associações e grupos;
– Comunicação : informação comunicada por mensagem por duas pessoas através de email e voz.

 

RASTREAMENTO

– Computador: informação acerca de um dispositivo para utilização pessoal relacionada com o endereço IP e endereço MAC;
– Contacto : informação que fornece um mecanismo para contactar através de email e número de telefone;
– Localização : informação acerca da localização relativa às coordenadas GPS e país.

 

Das categorias anteriores, o RGPD considera especiais e proibidas de processamento as seguintes:

– Dados médicos ou de saúde;
– Origem étnica ou racial;
– Filiação sindical;
– Dados genéticos;
– Convicções religiosas ou filosóficas;
– Opiniões políticas;
– Vida e orientarão sexual;
– Dados biométricos.

 

Direito de acesso aos dados

Tem o direito de saber se os seus dados pessoais são ou não tratados.

Tem o direito de aceder aos seus dados pessoais e às seguintes informações que sejam tratadas sobre si:

  • Finalidades do tratamento;
  • Categorias dos dados pessoais tratados;
  • Se os dados não foram recolhidos junto de si, a origem dos dados se disponível;
  • Entidades que atuem em nome e por conta do responsável do tratamento;
  • Entidades terceiras a quem os dados sejam comunicados;
  • Prazo de conservação dos dados ou critérios usados para fixar o prazo;
  • Se os seus dados são sujeitos a decisões automatizadas e se há definição de perfis; se for o caso, qual a lógica subjacente, bem como a importância e as consequências que o tratamento de dados pode ter para si;
  • Se os seus dados pessoais são transferidos para países ou organizações internacionais fora do Espaço Económico Europeu, que garantias existem para que os dados pessoais continuem a usufruir de um nível de proteção adequado após a transferência internacional.

Tem o direito a ser informado sobre a existência dos outros direitos que lhe assistem, designadamente o direito de retificação dos dados ou o direito à limitação do tratamento, bem como sobre o direito de apresentar queixa à autoridade de controlo.

 

Direito de retificação dos dados

Tem o direito de obter a retificação dos seus dados pessoais quando estes estejam inexatos ou desatualizados.

Tem o direito a que os seus dados incompletos sejam completados, incluindo por meio de declaração adicional.

Há situações de restrição de direitos legalmente previstas, em que o direito de retificação pode não se aplicar.

 

Direito ao apagamento dos dados

Tem o direito de obter o apagamento dos seus dados pessoais apenas nas seguintes circunstâncias:

 

  • Os dados já não são necessários para atingir o fim para o qual foram recolhidos e não há nenhuma norma legal que imponha a sua conservação por mais tempo;
  • Retirou o seu consentimento, no qual se baseava a legitimidade do tratamento;
  • Os dados pessoais estão a ser tratados ilicitamente, o que carece de justificação por parte do titular;
  • Quando se opôs ao tratamento de dados para fins de marketing, incluindo a definição de perfis que lhe possa estar associada;
  • Quando se opôs ao tratamento de dados, nos termos do n.º 1 do artigo 21.º do RGPD, e não existem interesses legítimos prevalecentes do responsável;
  • Os dados têm de ser apagados por força de obrigação legal;
  • O consentimento para o tratamento dos dados foi prestado pelos seus representantes legais, ao abrigo do artigo 8.º do RGPD.

Tem o direito de obter junto dos motores de busca da Internet a desassociação de hiperligações da lista de resultados apresentada após uma pesquisa feita pelo seu nome (de-listing). Essas hiperligações têm de ser individualmente especificadas no pedido.

Há situações em que o direito ao apagamento dos dados, tal como indicado, pode não se aplicar, designadamente, quando o tratamento de dados seja necessário ao exercício da liberdade de expressão e de informação ou por motivos de interesse público no domínio da saúde ou para efeitos de exercício de um direito num processo judicial. Há ainda outras situações de restrição de direitos legalmente previstas, em que o direito ao apagamento dos dados pode não se aplicar.

 

Direito à limitação do tratamento

No contexto do RGPD, este é um direito novo e permite-lhe que, durante um certo período de tempo, o tratamento de dados fique limitado na sua utilização, isto é, “congelado”, não podendo os dados nomeadamente ser comunicados a terceiros, transferidos internacionalmente, ou apagados.

Confira em que situações pode solicitar a limitação do tratamento e veja os exemplos de texto que pode usar para exercer o seu direito, dirigindo-se diretamente ao responsável pelo tratamento e identificando-se devidamente.

Tem o direito de obter a limitação do tratamento de dados nas seguintes situações:

Quando contestar a exatidão dos dados até o responsável pelo tratamento verificar a qualidade dos dados;

Ao abrigo da alínea a) do n.º 1 do artigo 18.º do RGPD, venho solicitar a limitação do tratamento dos meus dados pessoais.

Quando se tiver oposto ao tratamento de dados até que estejam verificados que interesses legítimos prevalecem;

Ao abrigo da alínea d) do n.º 1 do artigo 18.º do RGPD, venho solicitar a limitação do tratamento dos meus dados pessoais.

Quando os dados sejam requeridos pelo titular para efeitos de exercício de um direito num processo judicial, mesmo que já não necessários para o responsável pelo tratamento;

Ao abrigo da alínea c) do n.º 1 do artigo 18.º do RGPD, venho solicitar a limitação do tratamento dos meus dados pessoais.

Quando os dados forem tratados ilicitamente e o titular não pretender que sejam apagados, mas antes limitados na sua utilização (até eventualmente acionar a ação judicial contra o responsável pelo tratamento).

Ao abrigo da alínea b) do n.º 1 do artigo 18.º do RGPD, venho solicitar a limitação do tratamento dos meus dados pessoais.

Tem o direito de ser informado pelo responsável pelo tratamento antes de ser anulada a limitação do tratamento que solicitou.

Quando o tratamento estiver limitado, os dados só podem ser utilizados com o seu consentimento, para efeitos de exercício de direito num processo judicial ou defesa de direitos de pessoa singular ou coletiva ou por motivos ponderosos de interesse público.

 

Direito de portabilidade

Tem o direito a receber de um responsável pelo tratamento os seus dados pessoais, num formato estruturado, de uso corrente e de leitura automática, e o direito de os transmitir a outro responsável, apenas se o tratamento de dados em causa se basear no consentimento ou num contrato e for realizado por meios automatizados.

Tem o direito a que os seus dados sejam transmitidos diretamente entre os responsáveis pelo tratamento, sempre que tal for tecnicamente possível;

O direito à portabilidade dos dados abrange apenas os dados fornecidos por si.

 

Direito de oposição

Tem o direito de se opor, a qualquer momento, ao tratamento dos seus dados pessoais, por motivos relacionados com a sua situação particular, sempre que esteja em causa:

  • um tratamento necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública;
  • a prossecução dos interesses legítimos do responsável ou de terceiro;
  • uma reutilização dos dados para uma finalidade diferente daquela que motivou a sua recolha inicial, incluindo a definição de perfis.
  • Nestes casos, o responsável cessa o tratamento, a menos que apresente razões imperiosas e legítimas que prevaleçam sobre os interesses, direitos e liberdades do titular, ou para efeitos de exercício de um direito num processo judicial.

Tem o direito de se opor, a qualquer momento e sem justificação, ao tratamento dos seus dados para fins de marketing direto, incluindo a definição de perfis associada.