O documento discute a proteção de dados pessoais no contexto do Regulamento Geral de Proteção de Dados (RGPD) da União Europeia. Aborda conceitos como dados pessoais e princípios aplicáveis ao tratamento de dados, bem como os direitos dos titulares dos dados. Também fornece um breve histórico da evolução da legislação de proteção de dados.
2. 2
Alexandra Vidal
1. O NOVO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS PESSOAIS –
CONTEXTUALIZAÇÃO (1h30)
1. A quem (e onde) se aplica? Âmbito material, pessoal e territorial
2. Direito português e internacional
3. Princípios constitucionais, a Lei de Proteção de Dados, legislação
comunitária, legislação para estabelecimentos de ensino
4. O RGPD – o impacto do novo regulamento
2. TRATAMENTO DE DADOS PESSOAIS E RESPETIVOS DIREITOS DOS
TITULARES (2h)
1. Conceito de dados pessoais e dados sensíveis
2. Princípios aplicáveis ao tratamento de dados pessoais
3. Licitude do tratamento de dados pessoais
4. Tratamento de categorias especiais de dados pessoais
5. Direitos dos titulares dos dados pessoais
6. Situações específicas de tratamento de dados pessoais. Em particular
no contexto das relações laborais
3. 3
Alexandra Vidal
• Objetivo: Proteção dos direitos e liberdades fundamentais das pessoas singulares.
• Âmbito de aplicação: Diretamente aplicável a todos os Estados – Membros da EU,
revogando a legislação existente – Diretiva 95/46/CE 95/456.
• Data de aplicabilidade: 25 de maio de 2018.
• Data da entrada em vigor: 24 de maio de 2018.
• Data de aprovação: 27 de abril de 2016.
Nome: Regulamento Geral de Proteção de Dados.
1. A quem (e onde) se aplica? Âmbito material,
pessoal e territorial
4. 4
Alexandra Vidal
• O termo proteção de dados, embora apresente um significado genérico
muito amplo, refere-se por regra à proteção de dados pessoais.
• Por proteção de dados pessoais entende-se a possibilidade de cada
cidadão determinar de forma autónoma a utilização que é feita dos seus
próprios dados pessoais, em conjunto com o estabelecimento de uma série
de garantias para evitar que estes sejam utilizados de forma a causar
discriminação, ou danos de qualquer espécie, ao cidadão ou à coletividade.
• A conceção de estabelecer uma proteção autónoma aos dados pessoais é
o corolário recente da proteção da privacidade e do próprio direito à
privacidade, que remonta já ao século XIX.
1. Definição de proteção de dados
5. 5
Alexandra Vidal
ENQUADRAMENTO E BREVE EVOLUÇÃO HISTÓRICA:
• Declaração Universal dos Direitos do Humanos
https://nacoesunidas.org/direitoshumanos/declaracao/
• A Convenção Europeia dos Direitos do Homem
https://www.echr.coe.int/Documents/Convention_POR.pdf
2. Direito português e internacional
6. 6
Alexandra Vidal
Convenção para a Proteção dos Direitos do Homem e
das Liberdades Fundamentais, de 4.11.1950 –artº8º:
“Qualquer pessoa tem direito ao respeito da sua vida
privada e familiar, do seu domicílio e da sua
correspondência. Não pode haver ingerência da
autoridade pública no exercício deste direito senão
quando esta ingerência estiver prevista na lei e constituir
uma providencia que, numa sociedade democrática, seja
necessário para a segurança nacional, para a segurança
pública, para o bem estar económico do país, a defesa
da ordem e a prevenção das infrações penais, a
promoção da saúde ou da moral, ou a proteção dos
direitos e das liberdades de terceiros.”
7. 7
Alexandra Vidal
Carta dos Direitos Fundamentais da União Europeia
( 2016C 202/2)
https://eur-lex.europa.eu/legal-
content/PT/TXT/PDF/?uri=CELEX:12012P/TXT&from=EN
Artigo 7º e 8º: “Artº 7º
“Respeito pela vida privada e familiar. Todas as pessoas têm
direito ao respeito pela sua vida privada e familiar, pelo seu
domicílio e pelas suas comunicações.”
8. 8
Alexandra Vidal
Constituição da República Portuguesa
Artigo º 26 Outros direitos pessoais
1. A todos são reconhecidos os direitos à identidade pessoal, ao
desenvolvimento da personalidade, à capacidade civil, à cidadania,
ao bom nome e reputação, à imagem, à palavra, à reserva da
intimidade da vida privada e familiar e à proteção contra legal
contra quaisquer formas de discriminação.
2. A lei estabelecerá garantias efetivas contra a obtenção e
utilização abusivas, ou contrárias à dignidade humana, de
informações relativas às pessoas e famílias.
https://www.parlamento.pt/Legislacao/Paginas/ConstituicaoRepublicaPor
tuguesa.aspx
9. 9
Alexandra Vidal
Constituição da República Portuguesa art.º 35º
1. Todos os cidadãos têm o direito de acesso aos dados informatizados
que lhes digam respeito, podendo exigir a sua retificação e atualização, e
o direito de conhecer a finalidade a que se destinam, nos termos da lei.
2. A lei define o conceito de dados pessoais, bem como as
condições aplicáveis ao seu tratamento automatizado, conexão,
transmissão e utilização, e garante a sua proteção, designadamente
através de entidade administrativa independente.
3. A informática não pode ser utilizada para tratamento de dados referentes a
convicções filosóficas ou politicas, filiação, partidária ou sindical, fé religiosa, vida
privada e origem étnica, salvo mediante consentimento expresso do titular,
autorização prevista por lei com garantias de não discriminação ou para
processamento de dados estatísticos não individualmente identificáveis.
10. 10
Alexandra Vidal
4. É proibido o acesso a dados pessoais de terceiros, salvo em casos
excecionais previstos na lei.
5. É proibida a atribuição de um número nacional único aos cidadãos.
6. A todos é garantido livre acesso às redes informáticas de uso público,
definindo a lei o regime aplicável aos fluxos de dados transfronteiras e as
formas adequadas de proteção de dados pessoais de outros, cuja
salvaguarda se justifique por razões de interesse nacional.
7. Os dados pessoais constantes de ficheiros manuais gozam de proteção
idêntica à prevista nos números anteriores, nos termos da lei.
11. 11
Alexandra Vidal
“Os particulares têm direito à proteção dos seus dados
pessoais e à segurança e integridade dos suportes,
sistemas e aplicações utilizados para o efeito, nos
termos da lei.”
Código do Procedimento Administrativo – art.18º:
https://dre.pt/home/-
/dre/66041468/details/maximized
12. 12
Alexandra Vidal
SINTESE
DA
EVOLUÇÃO
HISTÓRICA
Declaração Universal dos Direitos Humanos
Convenção Europeia dos Direitos do Homem
Tratado de Paris
https://www.europarl.europa.eu/about-parliament/pt/in-the-
past/the-parliament-and-the-treaties/treaty-of-paris
Tratado de Roma (CEE)
http://publications.europa.eu/resource/cellar/20ba20c8-
3. Princípios constitucionais, a Lei de
Proteção de Dados, legislação comunitária,
legislação para estabelecimentos de ensino
13. 13
Alexandra Vidal
Anos 60 a 80:
Legislações nacionais( Áustria; Dinamarca; França; RFA; Luxemburgo;
Noruega e Suécia) – com consagração constitucional( Portugal e
Espanha)
Anos 70: Recomendações e Resoluções do Conselho da Europa.
Anos 80: Guidelines OCDE.
Anos 90: Harmonização Europeia ( Tratado de Maastricht/Diretiva
95/46/EC).
15. 15
Alexandra Vidal
A EMERGÊNCIA DA AUTOMAÇÃO DE DADOS
• Desde os anos de 1970 que assistimos a um crescimento exponencial do uso
de computadores para processar informações sobre indivíduos.
• O aumento da automação coincide com a afirmação do espaço económico
europeu, que se traduziu num aumento significativo do comércio
transfronteiriço e, portanto, mais partilha de informações pessoais, facilitado
pelo desenvolvimento da tecnologia informática.
• O rápido progresso no campo do processamento de dados e a primeira aparição dos
computadores de grande porte permitiram que as administrações públicas e grandes
empresas montassem bancos de dados densos e melhorassem a recolha, o
processamento e a partilha de informações pessoais.
• Acresce que os computadores, em combinação com o desenvolvimento das
telecomunicações, abriram novas oportunidades para o processamento de
dados à escala internacional.
16. 16
Alexandra Vidal
A EMERGÊNCIA DA AUTOMAÇÃO DE DADOS (cont.)
• Embora esses desenvolvimentos ofereçam vantagens
consideráveis em termos de eficiência e produtividade, eles
também levantaram preocupações, já que esses avanços
positivos podem ter um impacto adverso na privacidade dos
indivíduos, algo que pode ser exacerbado quando informações
pessoais fossem transferidas através das fronteiras
internacionais.
•Dentro dos sistemas legais dos estados membros na UE, já
existiam alguma regras destinadas a proteger as informações
pessoais dos indivíduos, tais como leis sobre privacidade,
responsabilidade civil, sigilo e confidencialidade.
17. 17
Alexandra Vidal
Lei da proteção de dados que estava em vigor, a Lei nº
67/98, de 26 de Outubro, mais não é do que a transposição
da Diretiva nº 95/46/CE, do Parlamento Europeu e do
Conselho , de 24 de Outubro de 1995
(https://eur-lex.europa.eu/legal-
content/PT/TXT/?uri=celex%3A31995L0046)
que foi revogada com a publicação da Nova Lei de
Proteção de Dados.
4. RGPD – o impacto do novo regulamento
18. 18
E DEPOIS?
Alexandra Vidal
REFORMA DAS REGRAS DE PROTECÇÃO DE DADOS NA UE
• Em Janeiro de 2012, a Comissão Europeia propôs, uma reforma abrangente
das regras de proteção de dados da UE. Esta reforma foi concluída em 4 de Maio
de 2016, quando os textos oficiais de um novo regulamento ( “RGPD”) e de uma
nova Diretiva foram publicados no Jornal Oficial da UE em todas as línguas
oficiais. • Embora o Regulamento tenha entrado em vigor a 28 de Maio de 2016,
o mesmo só foi aplicável a partir de 25 de Maio de 2018.
• O objetivo deste novo conjunto de regras é dar aos cidadãos o controle sobre
os seus dados pessoais e simplificar o ambiente regulatório das organizações.
19. 19
Alexandra Vidal
AlGUMAS DAS NOVAS REGRAS:
• Regras sobre pseudonimização de dados , que significa, “tornar pseudónimo”, ou
seja “fazer com que fique com nome fictício”( um processo que substitui
indentificadores diretos e indiretos por valores com menos sentido, embora estes
possam ser re-identificados- nº 5 artigo 4º).
• Alteração das regras sobre obtenção de consentimento. • Implementação do
direito ao esquecimento.
• Direito à portabilidade dos dados.
• A criação de obrigações acrescidas para os subcontratados.
• Introdução de coimas de valor muito elevado.
• Introdução de obrigações de informação relativas a quebras de segurança.
20. 20
Alexandra Vidal
O RGPD regula a proteção de dados pessoais , ou seja, os
respeitantes às pessoas singulares
• Por conseguinte, o RGPD constitui uma das maiores alterações de sempre
respeitantes ao modo que deve ser realizado o tratamento de dados de uma pessoa
singular, sendo suscetível de afetar não só as empresas, mas também qualquer
pessoa singular, organização, autoridade publica, agência ou outro organismo que
proceda ao tratamento de dados de pessoas singulares baseados na EU.
• Incluí fornecedores e outros terceiros a que a empresa recorra para o tratamento
de dados pessoais
22. 22
Alexandra Vidal
O ORGANISMO PROCEDE AO TRATAMENTO DE DADOS
PESSOAIS?
• O RGPD aplica-se ao tratamento de dados pessoais por meio total ou
parcialmente automatizados, bem como ao tratamento por meios não
automatizados de dados pessoais contidos em ficheiros ou a eles
destinados (n.º 1 do artigo 2.º do RGPD);
• Não são abrangidos dados de pessoas coletivas;
• O Regulamento também se aplica ao tratamento de dados por meios
não automatizados, desde que os dados se encontrem vertidos em
ficheiros ou que se destinem a constar num ficheiro (n.º 6 do artigo 4.º
do RGPD) – conjunto estruturado de dados acessíveis em função de
determinados critérios.
23. 23
Alexandra Vidal
Exemplos de tratamento de dados:
• Acesso a/consulta de uma base de dados de contactos
com dados pessoais;
• Envio de emails promocionais;
• Destruição de documento que contenham dados
pessoais;
• Publicar a foto de uma pessoa num site; Armazenar
endereços IP;
• Gravação de vídeo…
24. 24
Alexandra Vidal
O QUE SE CONSIDERA POR DADOS PESSOAIS?
• Todos e quaisquer dados relativos a pessoas singulares
identificadas ou identificáveis, como o nome, morada, email,
idade, estado civil, dados de localização, genéticos, fisiológico,
económicos, culturais ou sociais – n.º 1 do artigo 4.º do RGPD.
Não existe qualquer lista taxativa com todos os dados que se
consideram pessoais. O RGPD refere-se apenas a todos os dados
que nos permite identificar uma pessoa (ex: nome, IP, Número de
contribuinte, morada, n.º utente, hábitos de consumo….)
1. Conceito de Dados Pessoais e Dados
Sensíveis
25. 25
Alexandra Vidal
O ORGANISMO PROCEDE AO TRATAMENTO DE DADOS
PESSOAIS? TRATAMENTOS DE DADOS PESSOAIS
EXCLUÍDOS DO ÂMBITO DE APLICAÇÃO DO
REGULAMENTO:
• Tratamento de dados efetuado por pessoa singular no exercício de
atividades exclusivamente pessoais ou domésticas, ou seja, sem ligação a
uma atividade profissional ou comercial.
Exemplo: operações realizadas na lista de contactos do telemóvel, convida
amigos por email para uma festa de aniversário. Essas operações, ainda
que realizadas sobre dados pessoais, não se encontram sujeitas à disciplina
do regulamento.
2. Princípios aplicáveis ao tratamento de
dados pessoais
26. 26
Alexandra Vidal
Exemplos de Dados Pessoais:
• Nome e apelido
• Morada da habitação, estado civil, idade, nacionalidade
• Endereço de email (ex:nome.apelido@empresa.com)
• Numero de identificação de cartão
• Dados detidos por um hospital ou médico, que pode ser um símbolo
que identifica de maneira exclusiva a pessoa; • Dados de localização (ex:
função de dados de localização de telemóvel). Exemplos de dados que
não são considerados pessoais: A) Numero de registo de empresa; B)
Endereço de email (ex: info@empresa.com) C) Dados anónimos.
27. 27
Alexandra Vidal
O ORGANISMO INTERVÉM COMO RESPONSÁVEL PELO
TRATAMENTO OU COMO SUBCONTRATANTE?
• O RGPD estabelece uma serie de obrigações que recaem sobre o responsável
pelo tratamento de dados, ou seja, a pessoa singular ou coletiva, a autoridade
pública, a agência ou qualquer outro organismo que, individualmente ou em
conjunto com outrem, determine as finalidades e os meios de tratamento dos
dados pessoais.
• O Subcontratante trata-se de pessoa singular ou coletiva,
autoridade pública, agência ou outro organismo que trate dos
dados pessoais por conta do responsável pelo tratamento destes.
28. 28
Alexandra Vidal
Para determinar quem é o responsável pelo tratamento de dados,
podemos recorrer a um conjunto de indicadores:
• Quem tomou a iniciativa do tratamento?
• Quem determinou sua finalidade?
• Qual é o grau de autonomia no âmbito do tratamento?
• Quem toma as decisões?
• Quem concede os recursos técnicos, informáticos, materiais e humanos
para viabilizar o tratamento dos dados?
29. 29
Alexandra Vidal
• O RGPD aplica-se igualmente ao subcontratante, que trata os
dados pessoais por conta do responsável pelo tratamento
destes.
• Mesmo que o subcontratante atue unicamente por conta de
outrem, ficará sujeito a diversas obrigações especificas
previstas no RGPD.
• O responsável pelo tratamento deverá, sempre que fornecer
dados a um subcontratante, acautelar-se que este cumpre com
o RGPD, podendo faze-lo, por exemplo, através de uma
cláusula do caderno de encargos ou no próprio contrato.
30. 30
Alexandra Vidal
Consentimento dos titulares dos dados
• Deve verificar a forma e circunstâncias em que foi obtido o
consentimento dos titulares, quando este serve de base legal para o
tratamento de dados pessoais.
• O regulamento alarga o conceito de consentimento e introduz novas
condições para a sua obtenção, pelo que é necessário apurar se o
consentimento obtido pelo responsável pelo tratamento respeita todas
as novas exigências.
• Se assim for, é imprescindível obter novo consentimento dos titulares
dos dados em conformidade com as disposições do RGPD, sob pena de o
tratamento de dados se tornar ilícito por falta de base legal.
• Particular atenção deve ser dada ao consentimento dos menores ou
dos seus representantes legais, considerando as exigências específicas do
regulamento para este efeito.
31. 31
Alexandra Vidal
Documentação e registo de atividades de tratamento
• Deve documentar de forma detalhada todas as atividades relacionadas
com o tratamento de dados pessoais, tanto as que resultam diretamente da
obrigação de manter um registo como as relativas a outros procedimentos
internos, de modo a que a organização esteja apta a demonstrar o
cumprimento de todas as obrigações decorrentes do RGPD.
• Uma vez que o regulamento prevê que as entidades em regime de
subcontratação, designadas de “subcontratantes”, passem a ter quase as
mesmas obrigações que os responsáveis pelos tratamentos, estando de igual
modo obrigadas a provar que cumprem tudo o que lhes é exigido, a
prossecução desta medida de forma atempada é vital, pois terão de começar
do zero.
32. 32
Alexandra Vidal
Medidas técnicas e organizativas e segurança do
tratamento
• Deve rever as políticas e práticas da organização à luz das novas obrigações do
regulamento, e adotar as medidas técnicas e organizativas adequadas e
necessárias para assegurar e poder comprovar que todos os tratamentos de
dados efetuados estão em conformidade com o RGPD a partir do momento da
sua aplicação.
• Nessa avaliação, deve ter em conta a natureza, âmbito, contexto e finalidades
dos tratamentos de dados, bem como os riscos que deles podem decorrer para
os direitos e liberdades dos cidadãos.
• Esta apreciação permite ainda tomar medidas necessárias para confirmar um
nível de segurança do tratamento adequado, que garanta designadamente a
confidencialidade e a integridade dos dados e que previna a destruição, perda e
alterações acidentais ou ilícitas ou, ainda, a divulgação ou acesso não autorizados
de dados.
33. 33
Encarregado de Proteção de Dados (EPD/DPO)
• Pessoa designada pela organização que estará envolvida em todas as
questões relacionadas com a proteção de dados pessoais e cujas
principais funções envolvem informar e aconselhar a empresa sobre a
conformidade da proteção de dados, aconselhar sobre a avaliação de
impacto da proteção de dados, monitorizar a conformidade da proteção
de dados, que inclui, por exemplo, formar a equipa e realizar auditorias
relacionadas com esta área e cooperar e atuar como ponto de contacto
coma as autoridades de proteção de dados.
34. 34
Alexandra Vidal
Pseudonimização
• Tratamento de dados pessoais de forma que deixem de poder ser atribuídos a
um titular de dados específico sem recorrer a informações suplementares , desde
que essas informações suplementares sejam mantidas separadamente e sujeitas a
medidas técnicas e organizativas para assegurar que os dados pessoais não
possam ser atribuídos a uma pessoa singular identificada ou identificável.
• A pseudonimização aos dados pessoais pode reduzir os riscos para os titulares
de dados e ajudar os responsáveis pelo tratamento e os seus subcontratados a
cumprir as suas obrigações de proteção de dados.
35. 35
Alexandra Vidal
Responsável pelo tratamento de dados pessoais
• Pessoa singular ou coletiva, a autoridade pública, a agência ou outro
organismo que individualmente ou em conjunto com outras,
determina as finalidades e os meios de tratamento de dados pessoais;
sempre que as finalidades e os meios dessa tratamento sejam
determinados pelo direito da União ou de um Estado-Membro, o
responsável pelo tratamento, ou os critérios específicos aplicáveis à
sua nomeação podem ser previstos pelo direito da União ou de um
Estado-Membro.
36. 36
Alexandra Vidal
Violação de dados pessoais
• Violação da segurança que provoque, de modo acidental ou
ilícito, a destruição, a perda , a alteração, a divulgação ou o
acesso não autorizado a dados pessoais transmitidos,
conservados ou sujeitos a qualquer outro tipo de tratamento.
39. 39
Alexandra Vidal
2. Princípios aplicáveis ao tratamento de
dados pessoais
Objecto de um tratamento leal, transparente em relação ao titular dos dados – as
pessoas singulares devem conseguir perceber como os dados pessoais que lhes
dizem respeito são recolhidos, utilizados, consultados ou sujeitos a qualquer outro
tipo de tratamento e a medida em que os dados pessoais são ou virão a ser
tratados : LICITUDE, LEALDADE E TRANSPARÊNCIA
• Recolhidos para finalidades determinadas, explicitas e legitimas, não podendo
ser tratados posteriormente de uma forma incompatível com essas finalidades:
LIMITAÇÃO DAS FINALIDADES.
• O responsável pelo tratamento deve conseguir demonstrar o respeito desses
princípios e quem como tal, o tratamento dos dados foi garantido em
conformidade com o RGPD – RESPONSABILIDADE.
40. 40
Alexandra Vidal
SÓ É LICITO O TRATAMENTO DE DADOS PESSOAIS QUE PREENCHA
PELO MENOS UMA DAS SEGUINTES CONDIÇÕES:
A) Obtenção do consentimento;
B) O tratamento é necessário para a execução de um contrato ou para
diligências pré-contratuais;
C) O tratamento é necessário para o cumprimento de uma obrigação
jurídica a que o responsável pelo tratamento esteja sujeito;
D) O tratamento é necessário para a defesa de interesses vitais do
titular dos dados ou de outra pessoa singular;
E) O tratamento é necessário para o exercício de funções de interesse
público ou ao exercício da autoridade publica de que está investido o
responsável pelo tratamento;
41. 41
Alexandra Vidal
A licitude do tratamento de dados
pessoais - artigo 6º RGPD
SÓ É LICITO O TRATAMENTO DE DADOS PESSOAIS
QUE PREENCHA PELO MENOS UMA DAS SEGUINTES
CONDIÇÕES: (cont…)
F) O tratamento é necessário para efeitos dos interesses
legítimos prosseguidos pelo responsável pelo tratamento
ou por terceiros, exceto se prevalecerem os interesses ou
direitos e liberdades fundamentais do titular que exijam a
proteção dos dados pessoais, em especial se o titular se
tratar de uma criança.
3. Licitude do tratamento de dados pessoais
42. 42
Alexandra Vidal
CONSENTIMENTO:
• Manifestação de vontade, livre, específica, informada e explícita,
pela qual o titular dos dados aceita, mediante declaração ou acto
positivo inequívoco, que os dados pessoais que lhe dizem respeito
sejam objeto de tratamento ( artigo 4º nº 11).
• Não se considera consentimento o silêncio, as opções pré-
validadas ou omissão do titular de dados.
44. 44
Alexandra Vidal
OBTENÇÃO DE CONSENTIMENTO – ARTIGO 7º DO RGPD:
• Um dos princípios fundamentais da licitude do tratamento dos dados
reside na necessidade de consentimento do titular dos dados, para uma
finalidade claramente definida.
• O consentimento do titular tem que ser: livre, especifico, informado,
explicito e prestado por acto inequívoco. • O responsável pelo
tratamento deve conseguir demonstrar que o titular dos dados pessoais
consentiu livremente e de forma esclarecida.
• Um consentimento dado de forma oral ou até mesmo mediante um
consentimento tácito ou outro não oferece estas garantias, pois, não
permite fazer prova de ter sido obtido de forma livre, especifica,
informada, explicita e através de acto inequívoco.
45. 45
Alexandra Vidal
O TRATAMENTO É NECESSÁRIO PARA A DEFESA DE
INTERESSES VITAIS DO TITULAR DOS DADOS OU DE OUTRA
PESSOA SINGULAR
• Ex: tratamentos de dados relacionados com situações
médicas urgentes.
• No entanto, esse fundamento não poderá sustentar o
tratamento de dados pessoais que visam (apenas) finalidades
de investigação cientificas nos resultados nos próximos anos,
por exemplo.
46. 46
Alexandra Vidal
4. Licitude do tratamento de dados pessoais
O TRATAMENTO É NECESSÁRIO PARA EFEITOS
DOS INTERESSES LEGÍTIMOS PROSSEGUIDOS
PELO RESPONSÁVEL PELO TRATAMENTO OU
POR TERCEIROS, EXCETO SE PREVALECEREM
OS INTERESSES OU DIREITOS E LIBERDADES
FUNDAMENTAIS DO TITULAR QUE EXIJAM A
PROTEÇÃO DOS DADOS PESSOAIS, EM
ESPECIAL SE O TITULAR SE TRATAR DE UMA
CRIANÇA. Quando existe interesse legítimo?
47. 47
Alexandra Vidal
• Existir uma relação relevante e
apropriada entre o titular dos dados e o
responsável pelo tratamento, quando o
tratamento de dados pessoais seja
estritamente necessário aos objetivos de
preparação e controlo da fraude, bem
como para efeitos de comercialização
direta.
49. 49
Alexandra Vidal
• Existe também interesse legitimo em transmitir
dados pessoais no âmbito do grupo de instituições
para fins administrativos internos, incluindo o
tratamento de dados pessoais de clientes ou
funcionários ou quando o tratamento vise, por ex,
impedir o acesso não autorizado a redes de
comunicações eletrónicas e a distribuição de código
maliciosos e pôr termo a danos causados aos
sistemas de comunicações informáticas eletrónicas.
50. 50
Alexandra Vidal
A PROTECÇÃO DA CRIANÇA –ARTº 8 • No que respeita à oferta
direta de serviços da sociedade de informação às crianças, dados
pessoais de crianças é licito se elas tiverem pelo menos 16 anos.
• Caso a criança tenha menos de 16 anos, o tratamento só é licito
se e na medida em que o consentimento seja dado ou autorizado
pelos titulares das responsabilidades parentais da criança.
• Os Estados-Membros podem dispor no seu direito uma idade
inferior para os efeitos referidos, desde que essa idade não seja
inferior a 13 anos.
56. 56
Alexandra Vidal
O RGPD confere aos titulares dos dados
pessoais objeto de tratamento um conjunto
de direitos que devem ser salvaguardados
pelo responsável pelo tratamento de dados
57. 57
Alexandra Vidal
5. Direitos dos titulares dos dados pessoais
DIREITO DE ACESSO (ART.º 15 DO REGULAMENTO)
•É garantido aos titulares dos dados o direito a saber se estão, ou não, a ser tratados dados
pessoais que lhe digam respeito, se os dados foram transmitidos para outra entidade ou o
destino que lhes foi dado, bem como de aceder aos seus dados e a todas as informações
respeitantes às respetivas operações de tratamento.
•Prazo de um mês a contar da receção do pedido, extensível até dois meses, tendo em
conta a complexidade e o número dos pedidos (art.12 nº3).
•Se o pedido for por meios eletrónicos a informação deve ser fornecida por meios
eletrónicos (artigo 12.º n.º 3 e 15.º n.º 3).
•Tendencialmente gratuito, MAS, pode ser exigida uma taxa em caso de pedidos
infundados ou excessivos.
•Se o responsável não der seguimento ao pedido, deve informar num prazo de um mês
sobre o motivo e da possibilidade de apresentar reclamação a uma Autoridade de
Controlo e intentar ação judicial (artigo 12.º n.º 4).
58. 58
Alexandra Vidal
2. DIREITO DE RETIFICAÇÃO(Art.º 16 do RGPD)
• É assegurado aos titulares dos dados o direito a obterem a retificação dos
seus dados pessoais que estejam: - desatualizados, incorretos ou incompletos.
3. DIREITO DE APAGAMENTO (ARTIGO 17.º RGPD)
• Uma das grandes novidades do RGPD reside neste direito, também mencionado como “o direito a
ser esquecido”, que confere aos titulares dos dados o direito de solicitar ao responsável pelo
tratamento dos dados o apagamento dos seus dados.
• Garante aos titulares dos dados, dentro das limitações estabelecidas por lei, o direito de obter a
eliminação dos seus dados pessoais.
59. 59
Alexandra Vidal
3. DIREITO DE APAGAMENTO (ARTIGO 17.º RGPD)
• Os dados pessoais deixaram de ser necessários para
a finalidade que motivou a sua recolha ou
tratamento;
• b) O titular retire o consentimento, quando o
tratamento for necessariamente fundamentado
neste e não exista outro fundamento legal para o
tratamento dos dados;
• c) O titular se oponha ao tratamento de dados
pessoais utilizados para fins automatizados e/ou de
profiling;
• d) Quando os dados pessoais tenham sido tratados
de forma ilícita.
60. 60
Alexandra Vidal
DIREITO DE APAGAMENTO (ARTIGO 17.º RGPD) LIMITAÇÕES (artigo 17.º
n.º 3): Não se aplica quando o tratamento se revele necessário:
• Ao Exercício da liberdade de expressão e de informação;
• Ao cumprimento de uma obrigação legal que exija o tratamento previsto pelo direito da União ou
de um Estado-Membro a que o responsável esteja sujeito, ao exercício de funções de interesse público
ou ao exercício da autoridade pública de que esteja investido o responsável pelo tratamento;
• Por motivos de interesse público no domínio da saúde pública;
• Para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para
fins estatísticos, na medida em que o direito ao esquecimento seja suscetível de tornar impossível ou
prejudicar gravemente a obtenção dos objetivos desse tratamento;
• Para efeitos de declaração, exercício ou defesa de um direito num
processo judicial.
61. 61
Alexandra Vidal
DIREITO À LIMITAÇÃO DO TRATAMENTO (ARTIGO 18.º DO RGPD)
Em paralelo ao direito de apagamento, o legislador introduziu o direito
à limitação do tratamento ao prever que o titular dos dados têm o
direito de exigir limitação do tratamento nas seguintes situações:
• Contestar a exatidão dos dados pessoais, durante um período que
permita ao responsável pelo tratamento verificar a sua exatidão;
• O tratamento for ilícito e o titular dos dados se opuser ao
apagamento dos dados pessoais e solicitar, em contra-partida, a
limitação da sua utilização;
• O responsável pelo tratamento já não precisar dos dados pessoais
para fins de tratamento, mas esses dados sejam requeridos pelo
titular para efeitos de declaração, exercício ou defesa de um direito
num processo judicial;
• Se tiver oposto ao tratamento até se verificar que os motivos
legítimos do responsável pelo tratamento prevalecem sobre os do
titular dos dados.
62. 62
Alexandra Vidal
DIREITO DE PORTABILIDADE DOS DADOS (ARTIGO 20.º DO RGPD)
• Novidade introduzida pelo RGPD que consiste no reconhecimento do direito de
portabilidade dos dados, sendo conferido aos titulares o direito de solicitarem ao
responsável pelo seu tratamento, os seus dados pessoais, num formato de uso
comum e mesmo a sua transferência para outro responsável pelo tratamento.
• No entanto, o titular de dados apenas poderá exigir que os seus dados sejam
entregues a outro responsável pelo tratamento quando tal for tecnicamente possível.
• Encontra-se assim tal direito limitado aos casos em que o tratamento é efetuado
por meios automatizados e depende do consentimento do titular ou da execução de
um contrato.
64. 64
Alexandra Vidal
O Direito à portabilidade dos dados só pode ser
exercido:
a) Em caso de tratamento automatizado dos dados
(estão excluídos os registos em papel).
b) Relativamente a dados fornecidos pelo titular ao
responsável pelo tratamento.
c) Em casos em que o tratamento seja baseado em
consentimento, ou que tratamento seja necessário
para a execução de um contrato, ou para diligências
pré-contratuais.
d) Não se aplica se o tratamento for necessário para
funções de interesse público ou de autoridade
pública
65. 65
Alexandra Vidal
DIREITO DE OPOSIÇÃO (ARTIGO 21.º DO RGPD)
• O titular dos dados têm o direito de se opor a qualquer
momento ao tratamento dos dados pessoais que lhe digam
respeito e que tenham por base interesses legítimos ou
interesse público, incluindo a definição de perfis com base
nessas disposições.
• O responsável pelo tratamento, no caso de oposição por
parte do titular, deve cessar o tratamento dos dados
pessoais, salvo se apresentar razões imperiosas e
legítimas para esse tratamento que prevaleçam sobre os
interesses, direitos e liberdades do titular dos dados, ou
para efeitos de declaração, exercício ou defesa de um
direito num processo judicial.
66. 66
Alexandra Vidal
DIREITO DE OPOSIÇÃO A MARKETING DIRETO (ARTIGO 21.º N.º 2 E 3 DO RGPD)
Quando os dados pessoais forem tratados para efeitos de comercialização
direta, o titular dos dados têm o direito de se opor a qualquer momento ao
tratamento dos dados pessoais que lhe digam respeito para os efeitos da
referida comercialização, o que abrange a definição de perfis na medida em que
esteja relacionada com a comercialização direta.
Caso o titular dos dados se oponha ao tratamento para efeitos de
comercialização direta, os dados pessoais deixam de ser tratados para esse fim.
67. 67
Alexandra Vidal
DIREITO DE APRESENTAR RECLAMAÇÕES JUNTO DAS AUTORIDADES DE CONTROLO
(CNPD) • Os titulares dos dados podem apresentar reclamações junto da CNPD (artigo
77.º).
• Os titulares dos dados têm direito à ação judicial, caso a Autoridade de Controlo não trate
a reclamação ou não informe o titular dos dados no prazo de 3 meses sobre o andamento
ou resultado da reclamação (artigo 78.º ).
• Os titulares dos dados podem ser representados por um organismo ou associação sem fins
lucrativos, cujos objetivos estatutários sejam do interesse público e cuja atividade abranja a
defesa dos direitos e liberdades dos titulares dos dados no que respeita à proteção dos
dados pessoais (artigo 80.º, n.º 1).
• Os Estados podem prever que esse organismo ou associação independentemente de
mandato possa representar os titulares em caso de violação de dados pessoais (artigo 80.º,
n.º 2).
68. 68
Alexandra Vidal
6. Situações específicas de tratamento de dados
pessoais. Em particular no contexto das
relações laborais
O Regulamento Geral sobre a Proteção de Dados concedeu aos
Estados membros, no artigo 88.º, a possibilidade de estes
estabelecerem, no direito interno ou em convenções coletivas,
garantias específicas dos direitos e liberdades no domínio do
tratamento de dados pessoais dos trabalhadores no contexto laboral.
• Esta prerrogativa concedida aos Estados membros abarca, no que
diz respeito, concretamente, ao tratamento de dados no contexto
laboral, o tratamento para efeitos de: Recrutamento; Execução do
contrato de trabalho (incluindo o cumprimento das obrigações
previstas no ordenamento jurídico ou em convenções coletivas);
Gestão, planeamento e organização do trabalho; Igualdade e
diversidade no local de trabalho.
69. 69
Alexandra Vidal
Medidas a implementar:
• Celebrar acordos de confidencialidade com trabalhadores que tratem
dados pessoais.
• Garantir o cumprimento do dever de informação aos candidatos a
emprego ou trabalhadores.
• Elaborar ou rever políticas de privacidade internas.
• Celebrar acordos de processamento de dados com empresas que
tratem os dados pessoais dos seus trabalhadores.
• Definir de prazos de conservação dos dados pessoais de candidatos a
emprego e trabalhadores.