SlideShare uma empresa Scribd logo

Sessão_6_Proteção de Dados_OMA_GTI.pdf

Alexandra Vidal
Alexandra Vidal

O documento discute a proteção de dados pessoais no contexto do Regulamento Geral de Proteção de Dados (RGPD) da União Europeia. Aborda conceitos como dados pessoais e princípios aplicáveis ao tratamento de dados, bem como os direitos dos titulares dos dados. Também fornece um breve histórico da evolução da legislação de proteção de dados.

Educação
1 de 69
Baixar para ler offline
A proteção de dados
2 Alexandra Vidal 1. O NOVO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS PESSOAIS – CONTEXTUALIZAÇÃO (1h30) 1. A quem (e onde) se aplica? Âmbito material, pessoal e territorial 2. Direito português e internacional 3. Princípios constitucionais, a Lei de Proteção de Dados, legislação comunitária, legislação para estabelecimentos de ensino 4. O RGPD – o impacto do novo regulamento 2. TRATAMENTO DE DADOS PESSOAIS E RESPETIVOS DIREITOS DOS TITULARES (2h) 1. Conceito de dados pessoais e dados sensíveis 2. Princípios aplicáveis ao tratamento de dados pessoais 3. Licitude do tratamento de dados pessoais 4. Tratamento de categorias especiais de dados pessoais 5. Direitos dos titulares dos dados pessoais 6. Situações específicas de tratamento de dados pessoais. Em particular no contexto das relações laborais
3 Alexandra Vidal • Objetivo: Proteção dos direitos e liberdades fundamentais das pessoas singulares. • Âmbito de aplicação: Diretamente aplicável a todos os Estados – Membros da EU, revogando a legislação existente – Diretiva 95/46/CE 95/456. • Data de aplicabilidade: 25 de maio de 2018. • Data da entrada em vigor: 24 de maio de 2018. • Data de aprovação: 27 de abril de 2016. Nome: Regulamento Geral de Proteção de Dados. 1. A quem (e onde) se aplica? Âmbito material, pessoal e territorial
4 Alexandra Vidal • O termo proteção de dados, embora apresente um significado genérico muito amplo, refere-se por regra à proteção de dados pessoais. • Por proteção de dados pessoais entende-se a possibilidade de cada cidadão determinar de forma autónoma a utilização que é feita dos seus próprios dados pessoais, em conjunto com o estabelecimento de uma série de garantias para evitar que estes sejam utilizados de forma a causar discriminação, ou danos de qualquer espécie, ao cidadão ou à coletividade. • A conceção de estabelecer uma proteção autónoma aos dados pessoais é o corolário recente da proteção da privacidade e do próprio direito à privacidade, que remonta já ao século XIX. 1. Definição de proteção de dados
5 Alexandra Vidal ENQUADRAMENTO E BREVE EVOLUÇÃO HISTÓRICA: • Declaração Universal dos Direitos do Humanos https://nacoesunidas.org/direitoshumanos/declaracao/ • A Convenção Europeia dos Direitos do Homem https://www.echr.coe.int/Documents/Convention_POR.pdf 2. Direito português e internacional
6 Alexandra Vidal Convenção para a Proteção dos Direitos do Homem e das Liberdades Fundamentais, de 4.11.1950 –artº8º: “Qualquer pessoa tem direito ao respeito da sua vida privada e familiar, do seu domicílio e da sua correspondência. Não pode haver ingerência da autoridade pública no exercício deste direito senão quando esta ingerência estiver prevista na lei e constituir uma providencia que, numa sociedade democrática, seja necessário para a segurança nacional, para a segurança pública, para o bem estar económico do país, a defesa da ordem e a prevenção das infrações penais, a promoção da saúde ou da moral, ou a proteção dos direitos e das liberdades de terceiros.”
7 Alexandra Vidal Carta dos Direitos Fundamentais da União Europeia ( 2016C 202/2) https://eur-lex.europa.eu/legal- content/PT/TXT/PDF/?uri=CELEX:12012P/TXT&from=EN Artigo 7º e 8º: “Artº 7º “Respeito pela vida privada e familiar. Todas as pessoas têm direito ao respeito pela sua vida privada e familiar, pelo seu domicílio e pelas suas comunicações.”
8 Alexandra Vidal Constituição da República Portuguesa Artigo º 26 Outros direitos pessoais 1. A todos são reconhecidos os direitos à identidade pessoal, ao desenvolvimento da personalidade, à capacidade civil, à cidadania, ao bom nome e reputação, à imagem, à palavra, à reserva da intimidade da vida privada e familiar e à proteção contra legal contra quaisquer formas de discriminação. 2. A lei estabelecerá garantias efetivas contra a obtenção e utilização abusivas, ou contrárias à dignidade humana, de informações relativas às pessoas e famílias. https://www.parlamento.pt/Legislacao/Paginas/ConstituicaoRepublicaPor tuguesa.aspx
9 Alexandra Vidal Constituição da República Portuguesa art.º 35º 1. Todos os cidadãos têm o direito de acesso aos dados informatizados que lhes digam respeito, podendo exigir a sua retificação e atualização, e o direito de conhecer a finalidade a que se destinam, nos termos da lei. 2. A lei define o conceito de dados pessoais, bem como as condições aplicáveis ao seu tratamento automatizado, conexão, transmissão e utilização, e garante a sua proteção, designadamente através de entidade administrativa independente. 3. A informática não pode ser utilizada para tratamento de dados referentes a convicções filosóficas ou politicas, filiação, partidária ou sindical, fé religiosa, vida privada e origem étnica, salvo mediante consentimento expresso do titular, autorização prevista por lei com garantias de não discriminação ou para processamento de dados estatísticos não individualmente identificáveis.
10 Alexandra Vidal 4. É proibido o acesso a dados pessoais de terceiros, salvo em casos excecionais previstos na lei. 5. É proibida a atribuição de um número nacional único aos cidadãos. 6. A todos é garantido livre acesso às redes informáticas de uso público, definindo a lei o regime aplicável aos fluxos de dados transfronteiras e as formas adequadas de proteção de dados pessoais de outros, cuja salvaguarda se justifique por razões de interesse nacional. 7. Os dados pessoais constantes de ficheiros manuais gozam de proteção idêntica à prevista nos números anteriores, nos termos da lei.
11 Alexandra Vidal “Os particulares têm direito à proteção dos seus dados pessoais e à segurança e integridade dos suportes, sistemas e aplicações utilizados para o efeito, nos termos da lei.” Código do Procedimento Administrativo – art.18º: https://dre.pt/home/- /dre/66041468/details/maximized
12 Alexandra Vidal SINTESE DA EVOLUÇÃO HISTÓRICA Declaração Universal dos Direitos Humanos Convenção Europeia dos Direitos do Homem Tratado de Paris https://www.europarl.europa.eu/about-parliament/pt/in-the- past/the-parliament-and-the-treaties/treaty-of-paris Tratado de Roma (CEE) http://publications.europa.eu/resource/cellar/20ba20c8- 3. Princípios constitucionais, a Lei de Proteção de Dados, legislação comunitária, legislação para estabelecimentos de ensino
13 Alexandra Vidal Anos 60 a 80: Legislações nacionais( Áustria; Dinamarca; França; RFA; Luxemburgo; Noruega e Suécia) – com consagração constitucional( Portugal e Espanha) Anos 70: Recomendações e Resoluções do Conselho da Europa. Anos 80: Guidelines OCDE. Anos 90: Harmonização Europeia ( Tratado de Maastricht/Diretiva 95/46/EC).
14 Alexandra Vidal Anos 2000: Carta dos Direitos Fundamentais/ Diretiva Eprivacy ( 2002) 2007: Tratado de Lisboa
15 Alexandra Vidal A EMERGÊNCIA DA AUTOMAÇÃO DE DADOS • Desde os anos de 1970 que assistimos a um crescimento exponencial do uso de computadores para processar informações sobre indivíduos. • O aumento da automação coincide com a afirmação do espaço económico europeu, que se traduziu num aumento significativo do comércio transfronteiriço e, portanto, mais partilha de informações pessoais, facilitado pelo desenvolvimento da tecnologia informática. • O rápido progresso no campo do processamento de dados e a primeira aparição dos computadores de grande porte permitiram que as administrações públicas e grandes empresas montassem bancos de dados densos e melhorassem a recolha, o processamento e a partilha de informações pessoais. • Acresce que os computadores, em combinação com o desenvolvimento das telecomunicações, abriram novas oportunidades para o processamento de dados à escala internacional.
16 Alexandra Vidal A EMERGÊNCIA DA AUTOMAÇÃO DE DADOS (cont.) • Embora esses desenvolvimentos ofereçam vantagens consideráveis em termos de eficiência e produtividade, eles também levantaram preocupações, já que esses avanços positivos podem ter um impacto adverso na privacidade dos indivíduos, algo que pode ser exacerbado quando informações pessoais fossem transferidas através das fronteiras internacionais. •Dentro dos sistemas legais dos estados membros na UE, já existiam alguma regras destinadas a proteger as informações pessoais dos indivíduos, tais como leis sobre privacidade, responsabilidade civil, sigilo e confidencialidade.
17 Alexandra Vidal Lei da proteção de dados que estava em vigor, a Lei nº 67/98, de 26 de Outubro, mais não é do que a transposição da Diretiva nº 95/46/CE, do Parlamento Europeu e do Conselho , de 24 de Outubro de 1995 (https://eur-lex.europa.eu/legal- content/PT/TXT/?uri=celex%3A31995L0046) que foi revogada com a publicação da Nova Lei de Proteção de Dados. 4. RGPD – o impacto do novo regulamento
18 E DEPOIS? Alexandra Vidal REFORMA DAS REGRAS DE PROTECÇÃO DE DADOS NA UE • Em Janeiro de 2012, a Comissão Europeia propôs, uma reforma abrangente das regras de proteção de dados da UE. Esta reforma foi concluída em 4 de Maio de 2016, quando os textos oficiais de um novo regulamento ( “RGPD”) e de uma nova Diretiva foram publicados no Jornal Oficial da UE em todas as línguas oficiais. • Embora o Regulamento tenha entrado em vigor a 28 de Maio de 2016, o mesmo só foi aplicável a partir de 25 de Maio de 2018. • O objetivo deste novo conjunto de regras é dar aos cidadãos o controle sobre os seus dados pessoais e simplificar o ambiente regulatório das organizações.
19 Alexandra Vidal AlGUMAS DAS NOVAS REGRAS: • Regras sobre pseudonimização de dados , que significa, “tornar pseudónimo”, ou seja “fazer com que fique com nome fictício”( um processo que substitui indentificadores diretos e indiretos por valores com menos sentido, embora estes possam ser re-identificados- nº 5 artigo 4º). • Alteração das regras sobre obtenção de consentimento. • Implementação do direito ao esquecimento. • Direito à portabilidade dos dados. • A criação de obrigações acrescidas para os subcontratados. • Introdução de coimas de valor muito elevado. • Introdução de obrigações de informação relativas a quebras de segurança.
20 Alexandra Vidal O RGPD regula a proteção de dados pessoais , ou seja, os respeitantes às pessoas singulares • Por conseguinte, o RGPD constitui uma das maiores alterações de sempre respeitantes ao modo que deve ser realizado o tratamento de dados de uma pessoa singular, sendo suscetível de afetar não só as empresas, mas também qualquer pessoa singular, organização, autoridade publica, agência ou outro organismo que proceda ao tratamento de dados de pessoas singulares baseados na EU. • Incluí fornecedores e outros terceiros a que a empresa recorra para o tratamento de dados pessoais
21 Alexandra Vidal
22 Alexandra Vidal O ORGANISMO PROCEDE AO TRATAMENTO DE DADOS PESSOAIS? • O RGPD aplica-se ao tratamento de dados pessoais por meio total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados (n.º 1 do artigo 2.º do RGPD); • Não são abrangidos dados de pessoas coletivas; • O Regulamento também se aplica ao tratamento de dados por meios não automatizados, desde que os dados se encontrem vertidos em ficheiros ou que se destinem a constar num ficheiro (n.º 6 do artigo 4.º do RGPD) – conjunto estruturado de dados acessíveis em função de determinados critérios.
23 Alexandra Vidal Exemplos de tratamento de dados: • Acesso a/consulta de uma base de dados de contactos com dados pessoais; • Envio de emails promocionais; • Destruição de documento que contenham dados pessoais; • Publicar a foto de uma pessoa num site; Armazenar endereços IP; • Gravação de vídeo…
24 Alexandra Vidal O QUE SE CONSIDERA POR DADOS PESSOAIS? • Todos e quaisquer dados relativos a pessoas singulares identificadas ou identificáveis, como o nome, morada, email, idade, estado civil, dados de localização, genéticos, fisiológico, económicos, culturais ou sociais – n.º 1 do artigo 4.º do RGPD. Não existe qualquer lista taxativa com todos os dados que se consideram pessoais. O RGPD refere-se apenas a todos os dados que nos permite identificar uma pessoa (ex: nome, IP, Número de contribuinte, morada, n.º utente, hábitos de consumo….) 1. Conceito de Dados Pessoais e Dados Sensíveis
25 Alexandra Vidal O ORGANISMO PROCEDE AO TRATAMENTO DE DADOS PESSOAIS? TRATAMENTOS DE DADOS PESSOAIS EXCLUÍDOS DO ÂMBITO DE APLICAÇÃO DO REGULAMENTO: • Tratamento de dados efetuado por pessoa singular no exercício de atividades exclusivamente pessoais ou domésticas, ou seja, sem ligação a uma atividade profissional ou comercial. Exemplo: operações realizadas na lista de contactos do telemóvel, convida amigos por email para uma festa de aniversário. Essas operações, ainda que realizadas sobre dados pessoais, não se encontram sujeitas à disciplina do regulamento. 2. Princípios aplicáveis ao tratamento de dados pessoais
26 Alexandra Vidal Exemplos de Dados Pessoais: • Nome e apelido • Morada da habitação, estado civil, idade, nacionalidade • Endereço de email (ex:nome.apelido@empresa.com) • Numero de identificação de cartão • Dados detidos por um hospital ou médico, que pode ser um símbolo que identifica de maneira exclusiva a pessoa; • Dados de localização (ex: função de dados de localização de telemóvel). Exemplos de dados que não são considerados pessoais: A) Numero de registo de empresa; B) Endereço de email (ex: info@empresa.com) C) Dados anónimos.
27 Alexandra Vidal O ORGANISMO INTERVÉM COMO RESPONSÁVEL PELO TRATAMENTO OU COMO SUBCONTRATANTE? • O RGPD estabelece uma serie de obrigações que recaem sobre o responsável pelo tratamento de dados, ou seja, a pessoa singular ou coletiva, a autoridade pública, a agência ou qualquer outro organismo que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais. • O Subcontratante trata-se de pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que trate dos dados pessoais por conta do responsável pelo tratamento destes.
28 Alexandra Vidal Para determinar quem é o responsável pelo tratamento de dados, podemos recorrer a um conjunto de indicadores: • Quem tomou a iniciativa do tratamento? • Quem determinou sua finalidade? • Qual é o grau de autonomia no âmbito do tratamento? • Quem toma as decisões? • Quem concede os recursos técnicos, informáticos, materiais e humanos para viabilizar o tratamento dos dados?
29 Alexandra Vidal • O RGPD aplica-se igualmente ao subcontratante, que trata os dados pessoais por conta do responsável pelo tratamento destes. • Mesmo que o subcontratante atue unicamente por conta de outrem, ficará sujeito a diversas obrigações especificas previstas no RGPD. • O responsável pelo tratamento deverá, sempre que fornecer dados a um subcontratante, acautelar-se que este cumpre com o RGPD, podendo faze-lo, por exemplo, através de uma cláusula do caderno de encargos ou no próprio contrato.
30 Alexandra Vidal Consentimento dos titulares dos dados • Deve verificar a forma e circunstâncias em que foi obtido o consentimento dos titulares, quando este serve de base legal para o tratamento de dados pessoais. • O regulamento alarga o conceito de consentimento e introduz novas condições para a sua obtenção, pelo que é necessário apurar se o consentimento obtido pelo responsável pelo tratamento respeita todas as novas exigências. • Se assim for, é imprescindível obter novo consentimento dos titulares dos dados em conformidade com as disposições do RGPD, sob pena de o tratamento de dados se tornar ilícito por falta de base legal. • Particular atenção deve ser dada ao consentimento dos menores ou dos seus representantes legais, considerando as exigências específicas do regulamento para este efeito.
31 Alexandra Vidal Documentação e registo de atividades de tratamento • Deve documentar de forma detalhada todas as atividades relacionadas com o tratamento de dados pessoais, tanto as que resultam diretamente da obrigação de manter um registo como as relativas a outros procedimentos internos, de modo a que a organização esteja apta a demonstrar o cumprimento de todas as obrigações decorrentes do RGPD. • Uma vez que o regulamento prevê que as entidades em regime de subcontratação, designadas de “subcontratantes”, passem a ter quase as mesmas obrigações que os responsáveis pelos tratamentos, estando de igual modo obrigadas a provar que cumprem tudo o que lhes é exigido, a prossecução desta medida de forma atempada é vital, pois terão de começar do zero.
32 Alexandra Vidal Medidas técnicas e organizativas e segurança do tratamento • Deve rever as políticas e práticas da organização à luz das novas obrigações do regulamento, e adotar as medidas técnicas e organizativas adequadas e necessárias para assegurar e poder comprovar que todos os tratamentos de dados efetuados estão em conformidade com o RGPD a partir do momento da sua aplicação. • Nessa avaliação, deve ter em conta a natureza, âmbito, contexto e finalidades dos tratamentos de dados, bem como os riscos que deles podem decorrer para os direitos e liberdades dos cidadãos. • Esta apreciação permite ainda tomar medidas necessárias para confirmar um nível de segurança do tratamento adequado, que garanta designadamente a confidencialidade e a integridade dos dados e que previna a destruição, perda e alterações acidentais ou ilícitas ou, ainda, a divulgação ou acesso não autorizados de dados.
33 Encarregado de Proteção de Dados (EPD/DPO) • Pessoa designada pela organização que estará envolvida em todas as questões relacionadas com a proteção de dados pessoais e cujas principais funções envolvem informar e aconselhar a empresa sobre a conformidade da proteção de dados, aconselhar sobre a avaliação de impacto da proteção de dados, monitorizar a conformidade da proteção de dados, que inclui, por exemplo, formar a equipa e realizar auditorias relacionadas com esta área e cooperar e atuar como ponto de contacto coma as autoridades de proteção de dados.
34 Alexandra Vidal Pseudonimização • Tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares , desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável. • A pseudonimização aos dados pessoais pode reduzir os riscos para os titulares de dados e ajudar os responsáveis pelo tratamento e os seus subcontratados a cumprir as suas obrigações de proteção de dados.
35 Alexandra Vidal Responsável pelo tratamento de dados pessoais • Pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios dessa tratamento sejam determinados pelo direito da União ou de um Estado-Membro, o responsável pelo tratamento, ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado-Membro.
36 Alexandra Vidal Violação de dados pessoais • Violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda , a alteração, a divulgação ou o acesso não autorizado a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
37 Alexandra Vidal
38 Alexandra Vidal
39 Alexandra Vidal 2. Princípios aplicáveis ao tratamento de dados pessoais Objecto de um tratamento leal, transparente em relação ao titular dos dados – as pessoas singulares devem conseguir perceber como os dados pessoais que lhes dizem respeito são recolhidos, utilizados, consultados ou sujeitos a qualquer outro tipo de tratamento e a medida em que os dados pessoais são ou virão a ser tratados : LICITUDE, LEALDADE E TRANSPARÊNCIA • Recolhidos para finalidades determinadas, explicitas e legitimas, não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades: LIMITAÇÃO DAS FINALIDADES. • O responsável pelo tratamento deve conseguir demonstrar o respeito desses princípios e quem como tal, o tratamento dos dados foi garantido em conformidade com o RGPD – RESPONSABILIDADE.
40 Alexandra Vidal SÓ É LICITO O TRATAMENTO DE DADOS PESSOAIS QUE PREENCHA PELO MENOS UMA DAS SEGUINTES CONDIÇÕES: A) Obtenção do consentimento; B) O tratamento é necessário para a execução de um contrato ou para diligências pré-contratuais; C) O tratamento é necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito; D) O tratamento é necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular; E) O tratamento é necessário para o exercício de funções de interesse público ou ao exercício da autoridade publica de que está investido o responsável pelo tratamento;
41 Alexandra Vidal A licitude do tratamento de dados pessoais - artigo 6º RGPD SÓ É LICITO O TRATAMENTO DE DADOS PESSOAIS QUE PREENCHA PELO MENOS UMA DAS SEGUINTES CONDIÇÕES: (cont…) F) O tratamento é necessário para efeitos dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular se tratar de uma criança. 3. Licitude do tratamento de dados pessoais
42 Alexandra Vidal CONSENTIMENTO: • Manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou acto positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento ( artigo 4º nº 11). • Não se considera consentimento o silêncio, as opções pré- validadas ou omissão do titular de dados.
43 Alexandra Vidal EXEMPLO DE UM CONSENTIMENTO
44 Alexandra Vidal OBTENÇÃO DE CONSENTIMENTO – ARTIGO 7º DO RGPD: • Um dos princípios fundamentais da licitude do tratamento dos dados reside na necessidade de consentimento do titular dos dados, para uma finalidade claramente definida. • O consentimento do titular tem que ser: livre, especifico, informado, explicito e prestado por acto inequívoco. • O responsável pelo tratamento deve conseguir demonstrar que o titular dos dados pessoais consentiu livremente e de forma esclarecida. • Um consentimento dado de forma oral ou até mesmo mediante um consentimento tácito ou outro não oferece estas garantias, pois, não permite fazer prova de ter sido obtido de forma livre, especifica, informada, explicita e através de acto inequívoco.
45 Alexandra Vidal O TRATAMENTO É NECESSÁRIO PARA A DEFESA DE INTERESSES VITAIS DO TITULAR DOS DADOS OU DE OUTRA PESSOA SINGULAR • Ex: tratamentos de dados relacionados com situações médicas urgentes. • No entanto, esse fundamento não poderá sustentar o tratamento de dados pessoais que visam (apenas) finalidades de investigação cientificas nos resultados nos próximos anos, por exemplo.
46 Alexandra Vidal 4. Licitude do tratamento de dados pessoais O TRATAMENTO É NECESSÁRIO PARA EFEITOS DOS INTERESSES LEGÍTIMOS PROSSEGUIDOS PELO RESPONSÁVEL PELO TRATAMENTO OU POR TERCEIROS, EXCETO SE PREVALECEREM OS INTERESSES OU DIREITOS E LIBERDADES FUNDAMENTAIS DO TITULAR QUE EXIJAM A PROTEÇÃO DOS DADOS PESSOAIS, EM ESPECIAL SE O TITULAR SE TRATAR DE UMA CRIANÇA. Quando existe interesse legítimo?
47 Alexandra Vidal • Existir uma relação relevante e apropriada entre o titular dos dados e o responsável pelo tratamento, quando o tratamento de dados pessoais seja estritamente necessário aos objetivos de preparação e controlo da fraude, bem como para efeitos de comercialização direta.
48 Alexandra Vidal Quando existe interesse legitimo?
49 Alexandra Vidal • Existe também interesse legitimo em transmitir dados pessoais no âmbito do grupo de instituições para fins administrativos internos, incluindo o tratamento de dados pessoais de clientes ou funcionários ou quando o tratamento vise, por ex, impedir o acesso não autorizado a redes de comunicações eletrónicas e a distribuição de código maliciosos e pôr termo a danos causados aos sistemas de comunicações informáticas eletrónicas.
50 Alexandra Vidal A PROTECÇÃO DA CRIANÇA –ARTº 8 • No que respeita à oferta direta de serviços da sociedade de informação às crianças, dados pessoais de crianças é licito se elas tiverem pelo menos 16 anos. • Caso a criança tenha menos de 16 anos, o tratamento só é licito se e na medida em que o consentimento seja dado ou autorizado pelos titulares das responsabilidades parentais da criança. • Os Estados-Membros podem dispor no seu direito uma idade inferior para os efeitos referidos, desde que essa idade não seja inferior a 13 anos.
51 Alexandra Vidal
52 Alexandra Vidal
53 Alexandra Vidal
54 Alexandra Vidal
55 Alexandra Vidal
56 Alexandra Vidal O RGPD confere aos titulares dos dados pessoais objeto de tratamento um conjunto de direitos que devem ser salvaguardados pelo responsável pelo tratamento de dados
57 Alexandra Vidal 5. Direitos dos titulares dos dados pessoais DIREITO DE ACESSO (ART.º 15 DO REGULAMENTO) •É garantido aos titulares dos dados o direito a saber se estão, ou não, a ser tratados dados pessoais que lhe digam respeito, se os dados foram transmitidos para outra entidade ou o destino que lhes foi dado, bem como de aceder aos seus dados e a todas as informações respeitantes às respetivas operações de tratamento. •Prazo de um mês a contar da receção do pedido, extensível até dois meses, tendo em conta a complexidade e o número dos pedidos (art.12 nº3). •Se o pedido for por meios eletrónicos a informação deve ser fornecida por meios eletrónicos (artigo 12.º n.º 3 e 15.º n.º 3). •Tendencialmente gratuito, MAS, pode ser exigida uma taxa em caso de pedidos infundados ou excessivos. •Se o responsável não der seguimento ao pedido, deve informar num prazo de um mês sobre o motivo e da possibilidade de apresentar reclamação a uma Autoridade de Controlo e intentar ação judicial (artigo 12.º n.º 4).
58 Alexandra Vidal 2. DIREITO DE RETIFICAÇÃO(Art.º 16 do RGPD) • É assegurado aos titulares dos dados o direito a obterem a retificação dos seus dados pessoais que estejam: - desatualizados, incorretos ou incompletos. 3. DIREITO DE APAGAMENTO (ARTIGO 17.º RGPD) • Uma das grandes novidades do RGPD reside neste direito, também mencionado como “o direito a ser esquecido”, que confere aos titulares dos dados o direito de solicitar ao responsável pelo tratamento dos dados o apagamento dos seus dados. • Garante aos titulares dos dados, dentro das limitações estabelecidas por lei, o direito de obter a eliminação dos seus dados pessoais.
59 Alexandra Vidal 3. DIREITO DE APAGAMENTO (ARTIGO 17.º RGPD) • Os dados pessoais deixaram de ser necessários para a finalidade que motivou a sua recolha ou tratamento; • b) O titular retire o consentimento, quando o tratamento for necessariamente fundamentado neste e não exista outro fundamento legal para o tratamento dos dados; • c) O titular se oponha ao tratamento de dados pessoais utilizados para fins automatizados e/ou de profiling; • d) Quando os dados pessoais tenham sido tratados de forma ilícita.
60 Alexandra Vidal DIREITO DE APAGAMENTO (ARTIGO 17.º RGPD) LIMITAÇÕES (artigo 17.º n.º 3): Não se aplica quando o tratamento se revele necessário: • Ao Exercício da liberdade de expressão e de informação; • Ao cumprimento de uma obrigação legal que exija o tratamento previsto pelo direito da União ou de um Estado-Membro a que o responsável esteja sujeito, ao exercício de funções de interesse público ou ao exercício da autoridade pública de que esteja investido o responsável pelo tratamento; • Por motivos de interesse público no domínio da saúde pública; • Para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, na medida em que o direito ao esquecimento seja suscetível de tornar impossível ou prejudicar gravemente a obtenção dos objetivos desse tratamento; • Para efeitos de declaração, exercício ou defesa de um direito num processo judicial.
61 Alexandra Vidal DIREITO À LIMITAÇÃO DO TRATAMENTO (ARTIGO 18.º DO RGPD) Em paralelo ao direito de apagamento, o legislador introduziu o direito à limitação do tratamento ao prever que o titular dos dados têm o direito de exigir limitação do tratamento nas seguintes situações: • Contestar a exatidão dos dados pessoais, durante um período que permita ao responsável pelo tratamento verificar a sua exatidão; • O tratamento for ilícito e o titular dos dados se opuser ao apagamento dos dados pessoais e solicitar, em contra-partida, a limitação da sua utilização; • O responsável pelo tratamento já não precisar dos dados pessoais para fins de tratamento, mas esses dados sejam requeridos pelo titular para efeitos de declaração, exercício ou defesa de um direito num processo judicial; • Se tiver oposto ao tratamento até se verificar que os motivos legítimos do responsável pelo tratamento prevalecem sobre os do titular dos dados.
62 Alexandra Vidal DIREITO DE PORTABILIDADE DOS DADOS (ARTIGO 20.º DO RGPD) • Novidade introduzida pelo RGPD que consiste no reconhecimento do direito de portabilidade dos dados, sendo conferido aos titulares o direito de solicitarem ao responsável pelo seu tratamento, os seus dados pessoais, num formato de uso comum e mesmo a sua transferência para outro responsável pelo tratamento. • No entanto, o titular de dados apenas poderá exigir que os seus dados sejam entregues a outro responsável pelo tratamento quando tal for tecnicamente possível. • Encontra-se assim tal direito limitado aos casos em que o tratamento é efetuado por meios automatizados e depende do consentimento do titular ou da execução de um contrato.
63 Alexandra Vidal O direito à portabilidade dos dados só pode ser exercido quando?
64 Alexandra Vidal O Direito à portabilidade dos dados só pode ser exercido: a) Em caso de tratamento automatizado dos dados (estão excluídos os registos em papel). b) Relativamente a dados fornecidos pelo titular ao responsável pelo tratamento. c) Em casos em que o tratamento seja baseado em consentimento, ou que tratamento seja necessário para a execução de um contrato, ou para diligências pré-contratuais. d) Não se aplica se o tratamento for necessário para funções de interesse público ou de autoridade pública
65 Alexandra Vidal DIREITO DE OPOSIÇÃO (ARTIGO 21.º DO RGPD) • O titular dos dados têm o direito de se opor a qualquer momento ao tratamento dos dados pessoais que lhe digam respeito e que tenham por base interesses legítimos ou interesse público, incluindo a definição de perfis com base nessas disposições. • O responsável pelo tratamento, no caso de oposição por parte do titular, deve cessar o tratamento dos dados pessoais, salvo se apresentar razões imperiosas e legítimas para esse tratamento que prevaleçam sobre os interesses, direitos e liberdades do titular dos dados, ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial.
66 Alexandra Vidal DIREITO DE OPOSIÇÃO A MARKETING DIRETO (ARTIGO 21.º N.º 2 E 3 DO RGPD) Quando os dados pessoais forem tratados para efeitos de comercialização direta, o titular dos dados têm o direito de se opor a qualquer momento ao tratamento dos dados pessoais que lhe digam respeito para os efeitos da referida comercialização, o que abrange a definição de perfis na medida em que esteja relacionada com a comercialização direta. Caso o titular dos dados se oponha ao tratamento para efeitos de comercialização direta, os dados pessoais deixam de ser tratados para esse fim.
67 Alexandra Vidal DIREITO DE APRESENTAR RECLAMAÇÕES JUNTO DAS AUTORIDADES DE CONTROLO (CNPD) • Os titulares dos dados podem apresentar reclamações junto da CNPD (artigo 77.º). • Os titulares dos dados têm direito à ação judicial, caso a Autoridade de Controlo não trate a reclamação ou não informe o titular dos dados no prazo de 3 meses sobre o andamento ou resultado da reclamação (artigo 78.º ). • Os titulares dos dados podem ser representados por um organismo ou associação sem fins lucrativos, cujos objetivos estatutários sejam do interesse público e cuja atividade abranja a defesa dos direitos e liberdades dos titulares dos dados no que respeita à proteção dos dados pessoais (artigo 80.º, n.º 1). • Os Estados podem prever que esse organismo ou associação independentemente de mandato possa representar os titulares em caso de violação de dados pessoais (artigo 80.º, n.º 2).
68 Alexandra Vidal 6. Situações específicas de tratamento de dados pessoais. Em particular no contexto das relações laborais O Regulamento Geral sobre a Proteção de Dados concedeu aos Estados membros, no artigo 88.º, a possibilidade de estes estabelecerem, no direito interno ou em convenções coletivas, garantias específicas dos direitos e liberdades no domínio do tratamento de dados pessoais dos trabalhadores no contexto laboral. • Esta prerrogativa concedida aos Estados membros abarca, no que diz respeito, concretamente, ao tratamento de dados no contexto laboral, o tratamento para efeitos de: Recrutamento; Execução do contrato de trabalho (incluindo o cumprimento das obrigações previstas no ordenamento jurídico ou em convenções coletivas); Gestão, planeamento e organização do trabalho; Igualdade e diversidade no local de trabalho.
69 Alexandra Vidal Medidas a implementar: • Celebrar acordos de confidencialidade com trabalhadores que tratem dados pessoais. • Garantir o cumprimento do dever de informação aos candidatos a emprego ou trabalhadores. • Elaborar ou rever políticas de privacidade internas. • Celebrar acordos de processamento de dados com empresas que tratem os dados pessoais dos seus trabalhadores. • Definir de prazos de conservação dos dados pessoais de candidatos a emprego e trabalhadores.

Recomendados

LGPD | ORIGEM HISTÓRICA DA LEGISLAÇÃO DE PROTEÇÃO DE DADOS PESSOAIS
LGPD | ORIGEM HISTÓRICA DA LEGISLAÇÃO DE PROTEÇÃO DE DADOS PESSOAISLGPD | ORIGEM HISTÓRICA DA LEGISLAÇÃO DE PROTEÇÃO DE DADOS PESSOAIS
LGPD | ORIGEM HISTÓRICA DA LEGISLAÇÃO DE PROTEÇÃO DE DADOS PESSOAIS
Wellington Monaco
 
Liberdade, privacidade e ética no uso da internet
Liberdade, privacidade e ética no uso da internetLiberdade, privacidade e ética no uso da internet
Liberdade, privacidade e ética no uso da internet
Gisiela Klein
 
Regulamento geral de proteção de dados - Consequências para as empresas em po...
Regulamento geral de proteção de dados - Consequências para as empresas em po...Regulamento geral de proteção de dados - Consequências para as empresas em po...
Regulamento geral de proteção de dados - Consequências para as empresas em po...
eurosigdoc acm
 
O registro predial na sociedade da informação
O registro predial na sociedade da informaçãoO registro predial na sociedade da informação
O registro predial na sociedade da informação
IRIB
 
Regulamento #RGPD
Regulamento #RGPDRegulamento #RGPD
Regulamento #RGPD
Artur Madeira
 
MANUAL PRÁTICO SOBRE A LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (Lei nº 13.709...
MANUAL PRÁTICO SOBRE A LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (Lei nº 13.709...MANUAL PRÁTICO SOBRE A LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (Lei nº 13.709...
MANUAL PRÁTICO SOBRE A LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (Lei nº 13.709...
MattosMattos6
 
Registro eletrônico e a privacidade de dados
Registro eletrônico e a privacidade de dadosRegistro eletrônico e a privacidade de dados
Registro eletrônico e a privacidade de dados
IRIB
 
Quais os desafios do setor público para à adequação a nova lei geral de prote...
Quais os desafios do setor público para à adequação a nova lei geral de prote...Quais os desafios do setor público para à adequação a nova lei geral de prote...
Quais os desafios do setor público para à adequação a nova lei geral de prote...
Embratel
 

Recomendados

LGPD | ORIGEM HISTÓRICA DA LEGISLAÇÃO DE PROTEÇÃO DE DADOS PESSOAIS
LGPD | ORIGEM HISTÓRICA DA LEGISLAÇÃO DE PROTEÇÃO DE DADOS PESSOAISLGPD | ORIGEM HISTÓRICA DA LEGISLAÇÃO DE PROTEÇÃO DE DADOS PESSOAIS
LGPD | ORIGEM HISTÓRICA DA LEGISLAÇÃO DE PROTEÇÃO DE DADOS PESSOAIS
Wellington Monaco
 
Liberdade, privacidade e ética no uso da internet
Liberdade, privacidade e ética no uso da internetLiberdade, privacidade e ética no uso da internet
Liberdade, privacidade e ética no uso da internet
Gisiela Klein
 
Regulamento geral de proteção de dados - Consequências para as empresas em po...
Regulamento geral de proteção de dados - Consequências para as empresas em po...Regulamento geral de proteção de dados - Consequências para as empresas em po...
Regulamento geral de proteção de dados - Consequências para as empresas em po...
eurosigdoc acm
 
O registro predial na sociedade da informação
O registro predial na sociedade da informaçãoO registro predial na sociedade da informação
O registro predial na sociedade da informação
IRIB
 
Regulamento #RGPD
Regulamento #RGPDRegulamento #RGPD
Regulamento #RGPD
Artur Madeira
 
MANUAL PRÁTICO SOBRE A LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (Lei nº 13.709...
MANUAL PRÁTICO SOBRE A LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (Lei nº 13.709...MANUAL PRÁTICO SOBRE A LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (Lei nº 13.709...
MANUAL PRÁTICO SOBRE A LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (Lei nº 13.709...
MattosMattos6
 
Registro eletrônico e a privacidade de dados
Registro eletrônico e a privacidade de dadosRegistro eletrônico e a privacidade de dados
Registro eletrônico e a privacidade de dados
IRIB
 
Quais os desafios do setor público para à adequação a nova lei geral de prote...
Quais os desafios do setor público para à adequação a nova lei geral de prote...Quais os desafios do setor público para à adequação a nova lei geral de prote...
Quais os desafios do setor público para à adequação a nova lei geral de prote...
Embratel
 
LGPD e Segurança da Informação
LGPD e Segurança da InformaçãoLGPD e Segurança da Informação
LGPD e Segurança da Informação
RicardoCrdobaBaptist
 
Café com Seguro: Riscos Cibernéticos - Marcia Cicarelli
Café com Seguro: Riscos Cibernéticos - Marcia Cicarelli Café com Seguro: Riscos Cibernéticos - Marcia Cicarelli
Café com Seguro: Riscos Cibernéticos - Marcia Cicarelli
Oficina do Texto Assessoria de Comunicação
 
28/09/2011 - 14h às 18h - privacidade na nuvem - Gilberto Martins de Almeida
28/09/2011 - 14h às 18h - privacidade na nuvem - Gilberto Martins de Almeida28/09/2011 - 14h às 18h - privacidade na nuvem - Gilberto Martins de Almeida
28/09/2011 - 14h às 18h - privacidade na nuvem - Gilberto Martins de Almeida
Rio Info
 
7º Encontro de Resseguro do Rio de Janeiro - Marcia Cicarelli
7º Encontro de Resseguro do Rio de Janeiro - Marcia Cicarelli7º Encontro de Resseguro do Rio de Janeiro - Marcia Cicarelli
7º Encontro de Resseguro do Rio de Janeiro - Marcia Cicarelli
CNseg
 
LGPD
LGPDLGPD
LGPD
M&B FERRAMENTAS EM GERAL
 
Cgi e-o-marco-civil
Cgi e-o-marco-civilCgi e-o-marco-civil
Cgi e-o-marco-civil
Denis Marcos
 
CIAB - Impato da Lei de Proteção de Dados Pessoais - 22.06.16 RLM - Final
CIAB - Impato da Lei de Proteção de Dados Pessoais - 22.06.16 RLM - FinalCIAB - Impato da Lei de Proteção de Dados Pessoais - 22.06.16 RLM - Final
CIAB - Impato da Lei de Proteção de Dados Pessoais - 22.06.16 RLM - Final
Renato Monteiro
 
Desafios e oportunidades da Inteligência Artificial para o Direito e a Justiç...
Desafios e oportunidades da Inteligência Artificial para o Direito e a Justiç...Desafios e oportunidades da Inteligência Artificial para o Direito e a Justiç...
Desafios e oportunidades da Inteligência Artificial para o Direito e a Justiç...
Fundação Fernando Henrique Cardoso
 
AsegurançAdainformaçãOnoprocessoeletrôNico
AsegurançAdainformaçãOnoprocessoeletrôNicoAsegurançAdainformaçãOnoprocessoeletrôNico
AsegurançAdainformaçãOnoprocessoeletrôNico
José Carlos de Araújo Almeida Filho
 
Lei de Acesso à informação: Reforço ao Controle Democrático
Lei de Acesso à informação: Reforço ao Controle DemocráticoLei de Acesso à informação: Reforço ao Controle Democrático
Lei de Acesso à informação: Reforço ao Controle Democrático
Fabiano Angélico
 
Guia.RGPD_.pdf
Guia.RGPD_.pdfGuia.RGPD_.pdf
Guia.RGPD_.pdf
Paulo Pereira
 
Os rumos da lei de proteção de dados - postado slideshare
Os rumos da lei de proteção de dados - postado slideshareOs rumos da lei de proteção de dados - postado slideshare
Os rumos da lei de proteção de dados - postado slideshare
Priscila Stuani
 
L13709-LGPD
L13709-LGPDL13709-LGPD
L13709-LGPD
Wanderson Silveira
 
Lei nº 13709 de 14
Lei nº 13709 de 14Lei nº 13709 de 14
Lei nº 13709 de 14
M&B FERRAMENTAS EM GERAL
 
Marco Civil da Internet
Marco Civil da InternetMarco Civil da Internet
Marco Civil da Internet
Laine Souza Sociedade de Advocacia
 
Privacidade, vigilância e controle na Sociedade da Informação
Privacidade, vigilância e controle na Sociedade da InformaçãoPrivacidade, vigilância e controle na Sociedade da Informação
Privacidade, vigilância e controle na Sociedade da Informação
ddoneda
 
AULA 1 - PRINCÍPIOS. Curso de LGPD.pptx
AULA 1 - PRINCÍPIOS. Curso de LGPD.pptxAULA 1 - PRINCÍPIOS. Curso de LGPD.pptx
AULA 1 - PRINCÍPIOS. Curso de LGPD.pptx
ssuser404896
 
Cgi e-o-marco-civil
Cgi e-o-marco-civilCgi e-o-marco-civil
Cgi e-o-marco-civil
Marcell Mendonca
 
Dizer o direito lei 12714 12 - sistema informatizado exec pena
Dizer o direito lei 12714 12 - sistema informatizado exec penaDizer o direito lei 12714 12 - sistema informatizado exec pena
Dizer o direito lei 12714 12 - sistema informatizado exec pena
magrebmagoogle
 
Artigo leis-de-seguranca (1)
Artigo leis-de-seguranca (1)Artigo leis-de-seguranca (1)
Artigo leis-de-seguranca (1)
Fabiano Ferreira
 
Seminário Biologia e desenvolvimento da matrinxa.pptx
Seminário Biologia e desenvolvimento da matrinxa.pptxSeminário Biologia e desenvolvimento da matrinxa.pptx
Seminário Biologia e desenvolvimento da matrinxa.pptx
ReinaldoMuller1
 
LISTA DE EXERCICIOS envolveto grandezas e medidas e notação cientifica 1 ANO ...
LISTA DE EXERCICIOS envolveto grandezas e medidas e notação cientifica 1 ANO ...LISTA DE EXERCICIOS envolveto grandezas e medidas e notação cientifica 1 ANO ...
LISTA DE EXERCICIOS envolveto grandezas e medidas e notação cientifica 1 ANO ...
Francisco Márcio Bezerra Oliveira
 

Mais conteúdo relacionado

Semelhante a Sessão_6_Proteção de Dados_OMA_GTI.pdf

CIAB - Impato da Lei de Proteção de Dados Pessoais - 22.06.16 RLM - Final
CIAB - Impato da Lei de Proteção de Dados Pessoais - 22.06.16 RLM - FinalCIAB - Impato da Lei de Proteção de Dados Pessoais - 22.06.16 RLM - Final
CIAB - Impato da Lei de Proteção de Dados Pessoais - 22.06.16 RLM - Final
Renato Monteiro
 
Desafios e oportunidades da Inteligência Artificial para o Direito e a Justiç...
Desafios e oportunidades da Inteligência Artificial para o Direito e a Justiç...Desafios e oportunidades da Inteligência Artificial para o Direito e a Justiç...
Desafios e oportunidades da Inteligência Artificial para o Direito e a Justiç...
Fundação Fernando Henrique Cardoso
 
Os rumos da lei de proteção de dados - postado slideshare
Os rumos da lei de proteção de dados - postado slideshareOs rumos da lei de proteção de dados - postado slideshare
Os rumos da lei de proteção de dados - postado slideshare
Priscila Stuani
 
Privacidade, vigilância e controle na Sociedade da Informação
Privacidade, vigilância e controle na Sociedade da InformaçãoPrivacidade, vigilância e controle na Sociedade da Informação
Privacidade, vigilância e controle na Sociedade da Informação
ddoneda
 
Dizer o direito lei 12714 12 - sistema informatizado exec pena
Dizer o direito lei 12714 12 - sistema informatizado exec penaDizer o direito lei 12714 12 - sistema informatizado exec pena
Dizer o direito lei 12714 12 - sistema informatizado exec pena
magrebmagoogle
 

Semelhante a Sessão_6_Proteção de Dados_OMA_GTI.pdf (20)

LGPD e Segurança da Informação
LGPD e Segurança da InformaçãoLGPD e Segurança da Informação
LGPD e Segurança da Informação
 
Café com Seguro: Riscos Cibernéticos - Marcia Cicarelli
Café com Seguro: Riscos Cibernéticos - Marcia Cicarelli Café com Seguro: Riscos Cibernéticos - Marcia Cicarelli
Café com Seguro: Riscos Cibernéticos - Marcia Cicarelli
 
28/09/2011 - 14h às 18h - privacidade na nuvem - Gilberto Martins de Almeida
28/09/2011 - 14h às 18h - privacidade na nuvem - Gilberto Martins de Almeida28/09/2011 - 14h às 18h - privacidade na nuvem - Gilberto Martins de Almeida
28/09/2011 - 14h às 18h - privacidade na nuvem - Gilberto Martins de Almeida
 
7º Encontro de Resseguro do Rio de Janeiro - Marcia Cicarelli
7º Encontro de Resseguro do Rio de Janeiro - Marcia Cicarelli7º Encontro de Resseguro do Rio de Janeiro - Marcia Cicarelli
7º Encontro de Resseguro do Rio de Janeiro - Marcia Cicarelli
 
LGPD
LGPDLGPD
LGPD
 
Cgi e-o-marco-civil
Cgi e-o-marco-civilCgi e-o-marco-civil
Cgi e-o-marco-civil
 
CIAB - Impato da Lei de Proteção de Dados Pessoais - 22.06.16 RLM - Final
CIAB - Impato da Lei de Proteção de Dados Pessoais - 22.06.16 RLM - FinalCIAB - Impato da Lei de Proteção de Dados Pessoais - 22.06.16 RLM - Final
CIAB - Impato da Lei de Proteção de Dados Pessoais - 22.06.16 RLM - Final
 
Desafios e oportunidades da Inteligência Artificial para o Direito e a Justiç...
Desafios e oportunidades da Inteligência Artificial para o Direito e a Justiç...Desafios e oportunidades da Inteligência Artificial para o Direito e a Justiç...
Desafios e oportunidades da Inteligência Artificial para o Direito e a Justiç...
 
AsegurançAdainformaçãOnoprocessoeletrôNico
AsegurançAdainformaçãOnoprocessoeletrôNicoAsegurançAdainformaçãOnoprocessoeletrôNico
AsegurançAdainformaçãOnoprocessoeletrôNico
 
Lei de Acesso à informação: Reforço ao Controle Democrático
Lei de Acesso à informação: Reforço ao Controle DemocráticoLei de Acesso à informação: Reforço ao Controle Democrático
Lei de Acesso à informação: Reforço ao Controle Democrático
 
Guia.RGPD_.pdf
Guia.RGPD_.pdfGuia.RGPD_.pdf
Guia.RGPD_.pdf
 
Os rumos da lei de proteção de dados - postado slideshare
Os rumos da lei de proteção de dados - postado slideshareOs rumos da lei de proteção de dados - postado slideshare
Os rumos da lei de proteção de dados - postado slideshare
 
L13709-LGPD
L13709-LGPDL13709-LGPD
L13709-LGPD
 
Lei nº 13709 de 14
Lei nº 13709 de 14Lei nº 13709 de 14
Lei nº 13709 de 14
 
Marco Civil da Internet
Marco Civil da InternetMarco Civil da Internet
Marco Civil da Internet
 
Privacidade, vigilância e controle na Sociedade da Informação
Privacidade, vigilância e controle na Sociedade da InformaçãoPrivacidade, vigilância e controle na Sociedade da Informação
Privacidade, vigilância e controle na Sociedade da Informação
 
AULA 1 - PRINCÍPIOS. Curso de LGPD.pptx
AULA 1 - PRINCÍPIOS. Curso de LGPD.pptxAULA 1 - PRINCÍPIOS. Curso de LGPD.pptx
AULA 1 - PRINCÍPIOS. Curso de LGPD.pptx
 
Cgi e-o-marco-civil
Cgi e-o-marco-civilCgi e-o-marco-civil
Cgi e-o-marco-civil
 
Dizer o direito lei 12714 12 - sistema informatizado exec pena
Dizer o direito lei 12714 12 - sistema informatizado exec penaDizer o direito lei 12714 12 - sistema informatizado exec pena
Dizer o direito lei 12714 12 - sistema informatizado exec pena
 
Artigo leis-de-seguranca (1)
Artigo leis-de-seguranca (1)Artigo leis-de-seguranca (1)
Artigo leis-de-seguranca (1)
 

Último

8 Aula de predicado verbal e nominal - Predicativo do sujeito
8 Aula de predicado verbal e nominal - Predicativo do sujeito8 Aula de predicado verbal e nominal - Predicativo do sujeito
8 Aula de predicado verbal e nominal - Predicativo do sujeito
tatianehilda
 
Os editoriais, reportagens e entrevistas.pptx
Os editoriais, reportagens e entrevistas.pptxOs editoriais, reportagens e entrevistas.pptx
Os editoriais, reportagens e entrevistas.pptx
TailsonSantos1
 
19- Pedagogia (60 mapas mentais) - Amostra.pdf
19- Pedagogia (60 mapas mentais) - Amostra.pdf19- Pedagogia (60 mapas mentais) - Amostra.pdf
19- Pedagogia (60 mapas mentais) - Amostra.pdf
marlene54545
 
Apresentação ISBET Jovem Aprendiz e Estágio 2023.pdf
Apresentação ISBET Jovem Aprendiz e Estágio 2023.pdfApresentação ISBET Jovem Aprendiz e Estágio 2023.pdf
Apresentação ISBET Jovem Aprendiz e Estágio 2023.pdf
comercial400681
 

Último (20)

Seminário Biologia e desenvolvimento da matrinxa.pptx
Seminário Biologia e desenvolvimento da matrinxa.pptxSeminário Biologia e desenvolvimento da matrinxa.pptx
Seminário Biologia e desenvolvimento da matrinxa.pptx
 
LISTA DE EXERCICIOS envolveto grandezas e medidas e notação cientifica 1 ANO ...
LISTA DE EXERCICIOS envolveto grandezas e medidas e notação cientifica 1 ANO ...LISTA DE EXERCICIOS envolveto grandezas e medidas e notação cientifica 1 ANO ...
LISTA DE EXERCICIOS envolveto grandezas e medidas e notação cientifica 1 ANO ...
 
Araribá slides 9ano.pdf para os alunos do medio
Araribá slides 9ano.pdf para os alunos do medioAraribá slides 9ano.pdf para os alunos do medio
Araribá slides 9ano.pdf para os alunos do medio
 
PROJETO DE EXTENÇÃO - GESTÃO DE RECURSOS HUMANOS.pdf
PROJETO DE EXTENÇÃO - GESTÃO DE RECURSOS HUMANOS.pdfPROJETO DE EXTENÇÃO - GESTÃO DE RECURSOS HUMANOS.pdf
PROJETO DE EXTENÇÃO - GESTÃO DE RECURSOS HUMANOS.pdf
 
8 Aula de predicado verbal e nominal - Predicativo do sujeito
8 Aula de predicado verbal e nominal - Predicativo do sujeito8 Aula de predicado verbal e nominal - Predicativo do sujeito
8 Aula de predicado verbal e nominal - Predicativo do sujeito
 
Projeto_de_Extensão_Agronomia_adquira_ja_(91)_98764-0830.pdf
Projeto_de_Extensão_Agronomia_adquira_ja_(91)_98764-0830.pdfProjeto_de_Extensão_Agronomia_adquira_ja_(91)_98764-0830.pdf
Projeto_de_Extensão_Agronomia_adquira_ja_(91)_98764-0830.pdf
 
PROJETO DE EXTENSÃO - EDUCAÇÃO FÍSICA BACHARELADO.pdf
PROJETO DE EXTENSÃO - EDUCAÇÃO FÍSICA BACHARELADO.pdfPROJETO DE EXTENSÃO - EDUCAÇÃO FÍSICA BACHARELADO.pdf
PROJETO DE EXTENSÃO - EDUCAÇÃO FÍSICA BACHARELADO.pdf
 
Cartão de crédito e fatura do cartão.pptx
Cartão de crédito e fatura do cartão.pptxCartão de crédito e fatura do cartão.pptx
Cartão de crédito e fatura do cartão.pptx
 
E a chuva ... (Livro pedagógico para ser usado na educação infantil e trabal...
E a chuva ... (Livro pedagógico para ser usado na educação infantil e trabal...E a chuva ... (Livro pedagógico para ser usado na educação infantil e trabal...
E a chuva ... (Livro pedagógico para ser usado na educação infantil e trabal...
 
aula de bioquímica bioquímica dos carboidratos.ppt
aula de bioquímica bioquímica dos carboidratos.pptaula de bioquímica bioquímica dos carboidratos.ppt
aula de bioquímica bioquímica dos carboidratos.ppt
 
PROJETO DE EXTENSÃO I - SERVIÇOS JURÍDICOS, CARTORÁRIOS E NOTARIAIS.pdf
PROJETO DE EXTENSÃO I - SERVIÇOS JURÍDICOS, CARTORÁRIOS E NOTARIAIS.pdfPROJETO DE EXTENSÃO I - SERVIÇOS JURÍDICOS, CARTORÁRIOS E NOTARIAIS.pdf
PROJETO DE EXTENSÃO I - SERVIÇOS JURÍDICOS, CARTORÁRIOS E NOTARIAIS.pdf
 
Os editoriais, reportagens e entrevistas.pptx
Os editoriais, reportagens e entrevistas.pptxOs editoriais, reportagens e entrevistas.pptx
Os editoriais, reportagens e entrevistas.pptx
 
19- Pedagogia (60 mapas mentais) - Amostra.pdf
19- Pedagogia (60 mapas mentais) - Amostra.pdf19- Pedagogia (60 mapas mentais) - Amostra.pdf
19- Pedagogia (60 mapas mentais) - Amostra.pdf
 
About Vila Galé- Cadeia Empresarial de Hotéis
About Vila Galé- Cadeia Empresarial de HotéisAbout Vila Galé- Cadeia Empresarial de Hotéis
About Vila Galé- Cadeia Empresarial de Hotéis
 
migração e trabalho 2º ano.pptx fenomenos
migração e trabalho 2º ano.pptx fenomenosmigração e trabalho 2º ano.pptx fenomenos
migração e trabalho 2º ano.pptx fenomenos
 
Apresentação ISBET Jovem Aprendiz e Estágio 2023.pdf
Apresentação ISBET Jovem Aprendiz e Estágio 2023.pdfApresentação ISBET Jovem Aprendiz e Estágio 2023.pdf
Apresentação ISBET Jovem Aprendiz e Estágio 2023.pdf
 
Aula de jornada de trabalho - reforma.ppt
Aula de jornada de trabalho - reforma.pptAula de jornada de trabalho - reforma.ppt
Aula de jornada de trabalho - reforma.ppt
 
P P P 2024 - *CIEJA Santana / Tucuruvi*
P P P 2024 - *CIEJA Santana / Tucuruvi*P P P 2024 - *CIEJA Santana / Tucuruvi*
P P P 2024 - *CIEJA Santana / Tucuruvi*
 
Recomposiçao em matematica 1 ano 2024 - ESTUDANTE 1ª série.pdf
Recomposiçao em matematica 1 ano 2024 - ESTUDANTE 1ª série.pdfRecomposiçao em matematica 1 ano 2024 - ESTUDANTE 1ª série.pdf
Recomposiçao em matematica 1 ano 2024 - ESTUDANTE 1ª série.pdf
 
Plano de aula Nova Escola períodos simples e composto parte 1.pptx
Plano de aula Nova Escola períodos simples e composto parte 1.pptxPlano de aula Nova Escola períodos simples e composto parte 1.pptx
Plano de aula Nova Escola períodos simples e composto parte 1.pptx
 

Sessão_6_Proteção de Dados_OMA_GTI.pdf

  • 2. 2 Alexandra Vidal 1. O NOVO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS PESSOAIS – CONTEXTUALIZAÇÃO (1h30) 1. A quem (e onde) se aplica? Âmbito material, pessoal e territorial 2. Direito português e internacional 3. Princípios constitucionais, a Lei de Proteção de Dados, legislação comunitária, legislação para estabelecimentos de ensino 4. O RGPD – o impacto do novo regulamento 2. TRATAMENTO DE DADOS PESSOAIS E RESPETIVOS DIREITOS DOS TITULARES (2h) 1. Conceito de dados pessoais e dados sensíveis 2. Princípios aplicáveis ao tratamento de dados pessoais 3. Licitude do tratamento de dados pessoais 4. Tratamento de categorias especiais de dados pessoais 5. Direitos dos titulares dos dados pessoais 6. Situações específicas de tratamento de dados pessoais. Em particular no contexto das relações laborais
  • 3. 3 Alexandra Vidal • Objetivo: Proteção dos direitos e liberdades fundamentais das pessoas singulares. • Âmbito de aplicação: Diretamente aplicável a todos os Estados – Membros da EU, revogando a legislação existente – Diretiva 95/46/CE 95/456. • Data de aplicabilidade: 25 de maio de 2018. • Data da entrada em vigor: 24 de maio de 2018. • Data de aprovação: 27 de abril de 2016. Nome: Regulamento Geral de Proteção de Dados. 1. A quem (e onde) se aplica? Âmbito material, pessoal e territorial
  • 4. 4 Alexandra Vidal • O termo proteção de dados, embora apresente um significado genérico muito amplo, refere-se por regra à proteção de dados pessoais. • Por proteção de dados pessoais entende-se a possibilidade de cada cidadão determinar de forma autónoma a utilização que é feita dos seus próprios dados pessoais, em conjunto com o estabelecimento de uma série de garantias para evitar que estes sejam utilizados de forma a causar discriminação, ou danos de qualquer espécie, ao cidadão ou à coletividade. • A conceção de estabelecer uma proteção autónoma aos dados pessoais é o corolário recente da proteção da privacidade e do próprio direito à privacidade, que remonta já ao século XIX. 1. Definição de proteção de dados
  • 5. 5 Alexandra Vidal ENQUADRAMENTO E BREVE EVOLUÇÃO HISTÓRICA: • Declaração Universal dos Direitos do Humanos https://nacoesunidas.org/direitoshumanos/declaracao/ • A Convenção Europeia dos Direitos do Homem https://www.echr.coe.int/Documents/Convention_POR.pdf 2. Direito português e internacional
  • 6. 6 Alexandra Vidal Convenção para a Proteção dos Direitos do Homem e das Liberdades Fundamentais, de 4.11.1950 –artº8º: “Qualquer pessoa tem direito ao respeito da sua vida privada e familiar, do seu domicílio e da sua correspondência. Não pode haver ingerência da autoridade pública no exercício deste direito senão quando esta ingerência estiver prevista na lei e constituir uma providencia que, numa sociedade democrática, seja necessário para a segurança nacional, para a segurança pública, para o bem estar económico do país, a defesa da ordem e a prevenção das infrações penais, a promoção da saúde ou da moral, ou a proteção dos direitos e das liberdades de terceiros.”
  • 7. 7 Alexandra Vidal Carta dos Direitos Fundamentais da União Europeia ( 2016C 202/2) https://eur-lex.europa.eu/legal- content/PT/TXT/PDF/?uri=CELEX:12012P/TXT&from=EN Artigo 7º e 8º: “Artº 7º “Respeito pela vida privada e familiar. Todas as pessoas têm direito ao respeito pela sua vida privada e familiar, pelo seu domicílio e pelas suas comunicações.”
  • 8. 8 Alexandra Vidal Constituição da República Portuguesa Artigo º 26 Outros direitos pessoais 1. A todos são reconhecidos os direitos à identidade pessoal, ao desenvolvimento da personalidade, à capacidade civil, à cidadania, ao bom nome e reputação, à imagem, à palavra, à reserva da intimidade da vida privada e familiar e à proteção contra legal contra quaisquer formas de discriminação. 2. A lei estabelecerá garantias efetivas contra a obtenção e utilização abusivas, ou contrárias à dignidade humana, de informações relativas às pessoas e famílias. https://www.parlamento.pt/Legislacao/Paginas/ConstituicaoRepublicaPor tuguesa.aspx
  • 9. 9 Alexandra Vidal Constituição da República Portuguesa art.º 35º 1. Todos os cidadãos têm o direito de acesso aos dados informatizados que lhes digam respeito, podendo exigir a sua retificação e atualização, e o direito de conhecer a finalidade a que se destinam, nos termos da lei. 2. A lei define o conceito de dados pessoais, bem como as condições aplicáveis ao seu tratamento automatizado, conexão, transmissão e utilização, e garante a sua proteção, designadamente através de entidade administrativa independente. 3. A informática não pode ser utilizada para tratamento de dados referentes a convicções filosóficas ou politicas, filiação, partidária ou sindical, fé religiosa, vida privada e origem étnica, salvo mediante consentimento expresso do titular, autorização prevista por lei com garantias de não discriminação ou para processamento de dados estatísticos não individualmente identificáveis.
  • 10. 10 Alexandra Vidal 4. É proibido o acesso a dados pessoais de terceiros, salvo em casos excecionais previstos na lei. 5. É proibida a atribuição de um número nacional único aos cidadãos. 6. A todos é garantido livre acesso às redes informáticas de uso público, definindo a lei o regime aplicável aos fluxos de dados transfronteiras e as formas adequadas de proteção de dados pessoais de outros, cuja salvaguarda se justifique por razões de interesse nacional. 7. Os dados pessoais constantes de ficheiros manuais gozam de proteção idêntica à prevista nos números anteriores, nos termos da lei.
  • 11. 11 Alexandra Vidal “Os particulares têm direito à proteção dos seus dados pessoais e à segurança e integridade dos suportes, sistemas e aplicações utilizados para o efeito, nos termos da lei.” Código do Procedimento Administrativo – art.18º: https://dre.pt/home/- /dre/66041468/details/maximized
  • 12. 12 Alexandra Vidal SINTESE DA EVOLUÇÃO HISTÓRICA Declaração Universal dos Direitos Humanos Convenção Europeia dos Direitos do Homem Tratado de Paris https://www.europarl.europa.eu/about-parliament/pt/in-the- past/the-parliament-and-the-treaties/treaty-of-paris Tratado de Roma (CEE) http://publications.europa.eu/resource/cellar/20ba20c8- 3. Princípios constitucionais, a Lei de Proteção de Dados, legislação comunitária, legislação para estabelecimentos de ensino
  • 13. 13 Alexandra Vidal Anos 60 a 80: Legislações nacionais( Áustria; Dinamarca; França; RFA; Luxemburgo; Noruega e Suécia) – com consagração constitucional( Portugal e Espanha) Anos 70: Recomendações e Resoluções do Conselho da Europa. Anos 80: Guidelines OCDE. Anos 90: Harmonização Europeia ( Tratado de Maastricht/Diretiva 95/46/EC).
  • 14. 14 Alexandra Vidal Anos 2000: Carta dos Direitos Fundamentais/ Diretiva Eprivacy ( 2002) 2007: Tratado de Lisboa
  • 15. 15 Alexandra Vidal A EMERGÊNCIA DA AUTOMAÇÃO DE DADOS • Desde os anos de 1970 que assistimos a um crescimento exponencial do uso de computadores para processar informações sobre indivíduos. • O aumento da automação coincide com a afirmação do espaço económico europeu, que se traduziu num aumento significativo do comércio transfronteiriço e, portanto, mais partilha de informações pessoais, facilitado pelo desenvolvimento da tecnologia informática. • O rápido progresso no campo do processamento de dados e a primeira aparição dos computadores de grande porte permitiram que as administrações públicas e grandes empresas montassem bancos de dados densos e melhorassem a recolha, o processamento e a partilha de informações pessoais. • Acresce que os computadores, em combinação com o desenvolvimento das telecomunicações, abriram novas oportunidades para o processamento de dados à escala internacional.
  • 16. 16 Alexandra Vidal A EMERGÊNCIA DA AUTOMAÇÃO DE DADOS (cont.) • Embora esses desenvolvimentos ofereçam vantagens consideráveis em termos de eficiência e produtividade, eles também levantaram preocupações, já que esses avanços positivos podem ter um impacto adverso na privacidade dos indivíduos, algo que pode ser exacerbado quando informações pessoais fossem transferidas através das fronteiras internacionais. •Dentro dos sistemas legais dos estados membros na UE, já existiam alguma regras destinadas a proteger as informações pessoais dos indivíduos, tais como leis sobre privacidade, responsabilidade civil, sigilo e confidencialidade.
  • 17. 17 Alexandra Vidal Lei da proteção de dados que estava em vigor, a Lei nº 67/98, de 26 de Outubro, mais não é do que a transposição da Diretiva nº 95/46/CE, do Parlamento Europeu e do Conselho , de 24 de Outubro de 1995 (https://eur-lex.europa.eu/legal- content/PT/TXT/?uri=celex%3A31995L0046) que foi revogada com a publicação da Nova Lei de Proteção de Dados. 4. RGPD – o impacto do novo regulamento
  • 18. 18 E DEPOIS? Alexandra Vidal REFORMA DAS REGRAS DE PROTECÇÃO DE DADOS NA UE • Em Janeiro de 2012, a Comissão Europeia propôs, uma reforma abrangente das regras de proteção de dados da UE. Esta reforma foi concluída em 4 de Maio de 2016, quando os textos oficiais de um novo regulamento ( “RGPD”) e de uma nova Diretiva foram publicados no Jornal Oficial da UE em todas as línguas oficiais. • Embora o Regulamento tenha entrado em vigor a 28 de Maio de 2016, o mesmo só foi aplicável a partir de 25 de Maio de 2018. • O objetivo deste novo conjunto de regras é dar aos cidadãos o controle sobre os seus dados pessoais e simplificar o ambiente regulatório das organizações.
  • 19. 19 Alexandra Vidal AlGUMAS DAS NOVAS REGRAS: • Regras sobre pseudonimização de dados , que significa, “tornar pseudónimo”, ou seja “fazer com que fique com nome fictício”( um processo que substitui indentificadores diretos e indiretos por valores com menos sentido, embora estes possam ser re-identificados- nº 5 artigo 4º). • Alteração das regras sobre obtenção de consentimento. • Implementação do direito ao esquecimento. • Direito à portabilidade dos dados. • A criação de obrigações acrescidas para os subcontratados. • Introdução de coimas de valor muito elevado. • Introdução de obrigações de informação relativas a quebras de segurança.
  • 20. 20 Alexandra Vidal O RGPD regula a proteção de dados pessoais , ou seja, os respeitantes às pessoas singulares • Por conseguinte, o RGPD constitui uma das maiores alterações de sempre respeitantes ao modo que deve ser realizado o tratamento de dados de uma pessoa singular, sendo suscetível de afetar não só as empresas, mas também qualquer pessoa singular, organização, autoridade publica, agência ou outro organismo que proceda ao tratamento de dados de pessoas singulares baseados na EU. • Incluí fornecedores e outros terceiros a que a empresa recorra para o tratamento de dados pessoais
  • 22. 22 Alexandra Vidal O ORGANISMO PROCEDE AO TRATAMENTO DE DADOS PESSOAIS? • O RGPD aplica-se ao tratamento de dados pessoais por meio total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados (n.º 1 do artigo 2.º do RGPD); • Não são abrangidos dados de pessoas coletivas; • O Regulamento também se aplica ao tratamento de dados por meios não automatizados, desde que os dados se encontrem vertidos em ficheiros ou que se destinem a constar num ficheiro (n.º 6 do artigo 4.º do RGPD) – conjunto estruturado de dados acessíveis em função de determinados critérios.
  • 23. 23 Alexandra Vidal Exemplos de tratamento de dados: • Acesso a/consulta de uma base de dados de contactos com dados pessoais; • Envio de emails promocionais; • Destruição de documento que contenham dados pessoais; • Publicar a foto de uma pessoa num site; Armazenar endereços IP; • Gravação de vídeo…
  • 24. 24 Alexandra Vidal O QUE SE CONSIDERA POR DADOS PESSOAIS? • Todos e quaisquer dados relativos a pessoas singulares identificadas ou identificáveis, como o nome, morada, email, idade, estado civil, dados de localização, genéticos, fisiológico, económicos, culturais ou sociais – n.º 1 do artigo 4.º do RGPD. Não existe qualquer lista taxativa com todos os dados que se consideram pessoais. O RGPD refere-se apenas a todos os dados que nos permite identificar uma pessoa (ex: nome, IP, Número de contribuinte, morada, n.º utente, hábitos de consumo….) 1. Conceito de Dados Pessoais e Dados Sensíveis
  • 25. 25 Alexandra Vidal O ORGANISMO PROCEDE AO TRATAMENTO DE DADOS PESSOAIS? TRATAMENTOS DE DADOS PESSOAIS EXCLUÍDOS DO ÂMBITO DE APLICAÇÃO DO REGULAMENTO: • Tratamento de dados efetuado por pessoa singular no exercício de atividades exclusivamente pessoais ou domésticas, ou seja, sem ligação a uma atividade profissional ou comercial. Exemplo: operações realizadas na lista de contactos do telemóvel, convida amigos por email para uma festa de aniversário. Essas operações, ainda que realizadas sobre dados pessoais, não se encontram sujeitas à disciplina do regulamento. 2. Princípios aplicáveis ao tratamento de dados pessoais
  • 26. 26 Alexandra Vidal Exemplos de Dados Pessoais: • Nome e apelido • Morada da habitação, estado civil, idade, nacionalidade • Endereço de email (ex:nome.apelido@empresa.com) • Numero de identificação de cartão • Dados detidos por um hospital ou médico, que pode ser um símbolo que identifica de maneira exclusiva a pessoa; • Dados de localização (ex: função de dados de localização de telemóvel). Exemplos de dados que não são considerados pessoais: A) Numero de registo de empresa; B) Endereço de email (ex: info@empresa.com) C) Dados anónimos.
  • 27. 27 Alexandra Vidal O ORGANISMO INTERVÉM COMO RESPONSÁVEL PELO TRATAMENTO OU COMO SUBCONTRATANTE? • O RGPD estabelece uma serie de obrigações que recaem sobre o responsável pelo tratamento de dados, ou seja, a pessoa singular ou coletiva, a autoridade pública, a agência ou qualquer outro organismo que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais. • O Subcontratante trata-se de pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que trate dos dados pessoais por conta do responsável pelo tratamento destes.
  • 28. 28 Alexandra Vidal Para determinar quem é o responsável pelo tratamento de dados, podemos recorrer a um conjunto de indicadores: • Quem tomou a iniciativa do tratamento? • Quem determinou sua finalidade? • Qual é o grau de autonomia no âmbito do tratamento? • Quem toma as decisões? • Quem concede os recursos técnicos, informáticos, materiais e humanos para viabilizar o tratamento dos dados?
  • 29. 29 Alexandra Vidal • O RGPD aplica-se igualmente ao subcontratante, que trata os dados pessoais por conta do responsável pelo tratamento destes. • Mesmo que o subcontratante atue unicamente por conta de outrem, ficará sujeito a diversas obrigações especificas previstas no RGPD. • O responsável pelo tratamento deverá, sempre que fornecer dados a um subcontratante, acautelar-se que este cumpre com o RGPD, podendo faze-lo, por exemplo, através de uma cláusula do caderno de encargos ou no próprio contrato.
  • 30. 30 Alexandra Vidal Consentimento dos titulares dos dados • Deve verificar a forma e circunstâncias em que foi obtido o consentimento dos titulares, quando este serve de base legal para o tratamento de dados pessoais. • O regulamento alarga o conceito de consentimento e introduz novas condições para a sua obtenção, pelo que é necessário apurar se o consentimento obtido pelo responsável pelo tratamento respeita todas as novas exigências. • Se assim for, é imprescindível obter novo consentimento dos titulares dos dados em conformidade com as disposições do RGPD, sob pena de o tratamento de dados se tornar ilícito por falta de base legal. • Particular atenção deve ser dada ao consentimento dos menores ou dos seus representantes legais, considerando as exigências específicas do regulamento para este efeito.
  • 31. 31 Alexandra Vidal Documentação e registo de atividades de tratamento • Deve documentar de forma detalhada todas as atividades relacionadas com o tratamento de dados pessoais, tanto as que resultam diretamente da obrigação de manter um registo como as relativas a outros procedimentos internos, de modo a que a organização esteja apta a demonstrar o cumprimento de todas as obrigações decorrentes do RGPD. • Uma vez que o regulamento prevê que as entidades em regime de subcontratação, designadas de “subcontratantes”, passem a ter quase as mesmas obrigações que os responsáveis pelos tratamentos, estando de igual modo obrigadas a provar que cumprem tudo o que lhes é exigido, a prossecução desta medida de forma atempada é vital, pois terão de começar do zero.
  • 32. 32 Alexandra Vidal Medidas técnicas e organizativas e segurança do tratamento • Deve rever as políticas e práticas da organização à luz das novas obrigações do regulamento, e adotar as medidas técnicas e organizativas adequadas e necessárias para assegurar e poder comprovar que todos os tratamentos de dados efetuados estão em conformidade com o RGPD a partir do momento da sua aplicação. • Nessa avaliação, deve ter em conta a natureza, âmbito, contexto e finalidades dos tratamentos de dados, bem como os riscos que deles podem decorrer para os direitos e liberdades dos cidadãos. • Esta apreciação permite ainda tomar medidas necessárias para confirmar um nível de segurança do tratamento adequado, que garanta designadamente a confidencialidade e a integridade dos dados e que previna a destruição, perda e alterações acidentais ou ilícitas ou, ainda, a divulgação ou acesso não autorizados de dados.
  • 33. 33 Encarregado de Proteção de Dados (EPD/DPO) • Pessoa designada pela organização que estará envolvida em todas as questões relacionadas com a proteção de dados pessoais e cujas principais funções envolvem informar e aconselhar a empresa sobre a conformidade da proteção de dados, aconselhar sobre a avaliação de impacto da proteção de dados, monitorizar a conformidade da proteção de dados, que inclui, por exemplo, formar a equipa e realizar auditorias relacionadas com esta área e cooperar e atuar como ponto de contacto coma as autoridades de proteção de dados.
  • 34. 34 Alexandra Vidal Pseudonimização • Tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares , desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável. • A pseudonimização aos dados pessoais pode reduzir os riscos para os titulares de dados e ajudar os responsáveis pelo tratamento e os seus subcontratados a cumprir as suas obrigações de proteção de dados.
  • 35. 35 Alexandra Vidal Responsável pelo tratamento de dados pessoais • Pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios dessa tratamento sejam determinados pelo direito da União ou de um Estado-Membro, o responsável pelo tratamento, ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado-Membro.
  • 36. 36 Alexandra Vidal Violação de dados pessoais • Violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda , a alteração, a divulgação ou o acesso não autorizado a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
  • 39. 39 Alexandra Vidal 2. Princípios aplicáveis ao tratamento de dados pessoais Objecto de um tratamento leal, transparente em relação ao titular dos dados – as pessoas singulares devem conseguir perceber como os dados pessoais que lhes dizem respeito são recolhidos, utilizados, consultados ou sujeitos a qualquer outro tipo de tratamento e a medida em que os dados pessoais são ou virão a ser tratados : LICITUDE, LEALDADE E TRANSPARÊNCIA • Recolhidos para finalidades determinadas, explicitas e legitimas, não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades: LIMITAÇÃO DAS FINALIDADES. • O responsável pelo tratamento deve conseguir demonstrar o respeito desses princípios e quem como tal, o tratamento dos dados foi garantido em conformidade com o RGPD – RESPONSABILIDADE.
  • 40. 40 Alexandra Vidal SÓ É LICITO O TRATAMENTO DE DADOS PESSOAIS QUE PREENCHA PELO MENOS UMA DAS SEGUINTES CONDIÇÕES: A) Obtenção do consentimento; B) O tratamento é necessário para a execução de um contrato ou para diligências pré-contratuais; C) O tratamento é necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito; D) O tratamento é necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular; E) O tratamento é necessário para o exercício de funções de interesse público ou ao exercício da autoridade publica de que está investido o responsável pelo tratamento;
  • 41. 41 Alexandra Vidal A licitude do tratamento de dados pessoais - artigo 6º RGPD SÓ É LICITO O TRATAMENTO DE DADOS PESSOAIS QUE PREENCHA PELO MENOS UMA DAS SEGUINTES CONDIÇÕES: (cont…) F) O tratamento é necessário para efeitos dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular se tratar de uma criança. 3. Licitude do tratamento de dados pessoais
  • 42. 42 Alexandra Vidal CONSENTIMENTO: • Manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou acto positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento ( artigo 4º nº 11). • Não se considera consentimento o silêncio, as opções pré- validadas ou omissão do titular de dados.
  • 43. 43 Alexandra Vidal EXEMPLO DE UM CONSENTIMENTO
  • 44. 44 Alexandra Vidal OBTENÇÃO DE CONSENTIMENTO – ARTIGO 7º DO RGPD: • Um dos princípios fundamentais da licitude do tratamento dos dados reside na necessidade de consentimento do titular dos dados, para uma finalidade claramente definida. • O consentimento do titular tem que ser: livre, especifico, informado, explicito e prestado por acto inequívoco. • O responsável pelo tratamento deve conseguir demonstrar que o titular dos dados pessoais consentiu livremente e de forma esclarecida. • Um consentimento dado de forma oral ou até mesmo mediante um consentimento tácito ou outro não oferece estas garantias, pois, não permite fazer prova de ter sido obtido de forma livre, especifica, informada, explicita e através de acto inequívoco.
  • 45. 45 Alexandra Vidal O TRATAMENTO É NECESSÁRIO PARA A DEFESA DE INTERESSES VITAIS DO TITULAR DOS DADOS OU DE OUTRA PESSOA SINGULAR • Ex: tratamentos de dados relacionados com situações médicas urgentes. • No entanto, esse fundamento não poderá sustentar o tratamento de dados pessoais que visam (apenas) finalidades de investigação cientificas nos resultados nos próximos anos, por exemplo.
  • 46. 46 Alexandra Vidal 4. Licitude do tratamento de dados pessoais O TRATAMENTO É NECESSÁRIO PARA EFEITOS DOS INTERESSES LEGÍTIMOS PROSSEGUIDOS PELO RESPONSÁVEL PELO TRATAMENTO OU POR TERCEIROS, EXCETO SE PREVALECEREM OS INTERESSES OU DIREITOS E LIBERDADES FUNDAMENTAIS DO TITULAR QUE EXIJAM A PROTEÇÃO DOS DADOS PESSOAIS, EM ESPECIAL SE O TITULAR SE TRATAR DE UMA CRIANÇA. Quando existe interesse legítimo?
  • 47. 47 Alexandra Vidal • Existir uma relação relevante e apropriada entre o titular dos dados e o responsável pelo tratamento, quando o tratamento de dados pessoais seja estritamente necessário aos objetivos de preparação e controlo da fraude, bem como para efeitos de comercialização direta.
  • 48. 48 Alexandra Vidal Quando existe interesse legitimo?
  • 49. 49 Alexandra Vidal • Existe também interesse legitimo em transmitir dados pessoais no âmbito do grupo de instituições para fins administrativos internos, incluindo o tratamento de dados pessoais de clientes ou funcionários ou quando o tratamento vise, por ex, impedir o acesso não autorizado a redes de comunicações eletrónicas e a distribuição de código maliciosos e pôr termo a danos causados aos sistemas de comunicações informáticas eletrónicas.
  • 50. 50 Alexandra Vidal A PROTECÇÃO DA CRIANÇA –ARTº 8 • No que respeita à oferta direta de serviços da sociedade de informação às crianças, dados pessoais de crianças é licito se elas tiverem pelo menos 16 anos. • Caso a criança tenha menos de 16 anos, o tratamento só é licito se e na medida em que o consentimento seja dado ou autorizado pelos titulares das responsabilidades parentais da criança. • Os Estados-Membros podem dispor no seu direito uma idade inferior para os efeitos referidos, desde que essa idade não seja inferior a 13 anos.
  • 56. 56 Alexandra Vidal O RGPD confere aos titulares dos dados pessoais objeto de tratamento um conjunto de direitos que devem ser salvaguardados pelo responsável pelo tratamento de dados
  • 57. 57 Alexandra Vidal 5. Direitos dos titulares dos dados pessoais DIREITO DE ACESSO (ART.º 15 DO REGULAMENTO) •É garantido aos titulares dos dados o direito a saber se estão, ou não, a ser tratados dados pessoais que lhe digam respeito, se os dados foram transmitidos para outra entidade ou o destino que lhes foi dado, bem como de aceder aos seus dados e a todas as informações respeitantes às respetivas operações de tratamento. •Prazo de um mês a contar da receção do pedido, extensível até dois meses, tendo em conta a complexidade e o número dos pedidos (art.12 nº3). •Se o pedido for por meios eletrónicos a informação deve ser fornecida por meios eletrónicos (artigo 12.º n.º 3 e 15.º n.º 3). •Tendencialmente gratuito, MAS, pode ser exigida uma taxa em caso de pedidos infundados ou excessivos. •Se o responsável não der seguimento ao pedido, deve informar num prazo de um mês sobre o motivo e da possibilidade de apresentar reclamação a uma Autoridade de Controlo e intentar ação judicial (artigo 12.º n.º 4).
  • 58. 58 Alexandra Vidal 2. DIREITO DE RETIFICAÇÃO(Art.º 16 do RGPD) • É assegurado aos titulares dos dados o direito a obterem a retificação dos seus dados pessoais que estejam: - desatualizados, incorretos ou incompletos. 3. DIREITO DE APAGAMENTO (ARTIGO 17.º RGPD) • Uma das grandes novidades do RGPD reside neste direito, também mencionado como “o direito a ser esquecido”, que confere aos titulares dos dados o direito de solicitar ao responsável pelo tratamento dos dados o apagamento dos seus dados. • Garante aos titulares dos dados, dentro das limitações estabelecidas por lei, o direito de obter a eliminação dos seus dados pessoais.
  • 59. 59 Alexandra Vidal 3. DIREITO DE APAGAMENTO (ARTIGO 17.º RGPD) • Os dados pessoais deixaram de ser necessários para a finalidade que motivou a sua recolha ou tratamento; • b) O titular retire o consentimento, quando o tratamento for necessariamente fundamentado neste e não exista outro fundamento legal para o tratamento dos dados; • c) O titular se oponha ao tratamento de dados pessoais utilizados para fins automatizados e/ou de profiling; • d) Quando os dados pessoais tenham sido tratados de forma ilícita.
  • 60. 60 Alexandra Vidal DIREITO DE APAGAMENTO (ARTIGO 17.º RGPD) LIMITAÇÕES (artigo 17.º n.º 3): Não se aplica quando o tratamento se revele necessário: • Ao Exercício da liberdade de expressão e de informação; • Ao cumprimento de uma obrigação legal que exija o tratamento previsto pelo direito da União ou de um Estado-Membro a que o responsável esteja sujeito, ao exercício de funções de interesse público ou ao exercício da autoridade pública de que esteja investido o responsável pelo tratamento; • Por motivos de interesse público no domínio da saúde pública; • Para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos, na medida em que o direito ao esquecimento seja suscetível de tornar impossível ou prejudicar gravemente a obtenção dos objetivos desse tratamento; • Para efeitos de declaração, exercício ou defesa de um direito num processo judicial.
  • 61. 61 Alexandra Vidal DIREITO À LIMITAÇÃO DO TRATAMENTO (ARTIGO 18.º DO RGPD) Em paralelo ao direito de apagamento, o legislador introduziu o direito à limitação do tratamento ao prever que o titular dos dados têm o direito de exigir limitação do tratamento nas seguintes situações: • Contestar a exatidão dos dados pessoais, durante um período que permita ao responsável pelo tratamento verificar a sua exatidão; • O tratamento for ilícito e o titular dos dados se opuser ao apagamento dos dados pessoais e solicitar, em contra-partida, a limitação da sua utilização; • O responsável pelo tratamento já não precisar dos dados pessoais para fins de tratamento, mas esses dados sejam requeridos pelo titular para efeitos de declaração, exercício ou defesa de um direito num processo judicial; • Se tiver oposto ao tratamento até se verificar que os motivos legítimos do responsável pelo tratamento prevalecem sobre os do titular dos dados.
  • 62. 62 Alexandra Vidal DIREITO DE PORTABILIDADE DOS DADOS (ARTIGO 20.º DO RGPD) • Novidade introduzida pelo RGPD que consiste no reconhecimento do direito de portabilidade dos dados, sendo conferido aos titulares o direito de solicitarem ao responsável pelo seu tratamento, os seus dados pessoais, num formato de uso comum e mesmo a sua transferência para outro responsável pelo tratamento. • No entanto, o titular de dados apenas poderá exigir que os seus dados sejam entregues a outro responsável pelo tratamento quando tal for tecnicamente possível. • Encontra-se assim tal direito limitado aos casos em que o tratamento é efetuado por meios automatizados e depende do consentimento do titular ou da execução de um contrato.
  • 63. 63 Alexandra Vidal O direito à portabilidade dos dados só pode ser exercido quando?
  • 64. 64 Alexandra Vidal O Direito à portabilidade dos dados só pode ser exercido: a) Em caso de tratamento automatizado dos dados (estão excluídos os registos em papel). b) Relativamente a dados fornecidos pelo titular ao responsável pelo tratamento. c) Em casos em que o tratamento seja baseado em consentimento, ou que tratamento seja necessário para a execução de um contrato, ou para diligências pré-contratuais. d) Não se aplica se o tratamento for necessário para funções de interesse público ou de autoridade pública
  • 65. 65 Alexandra Vidal DIREITO DE OPOSIÇÃO (ARTIGO 21.º DO RGPD) • O titular dos dados têm o direito de se opor a qualquer momento ao tratamento dos dados pessoais que lhe digam respeito e que tenham por base interesses legítimos ou interesse público, incluindo a definição de perfis com base nessas disposições. • O responsável pelo tratamento, no caso de oposição por parte do titular, deve cessar o tratamento dos dados pessoais, salvo se apresentar razões imperiosas e legítimas para esse tratamento que prevaleçam sobre os interesses, direitos e liberdades do titular dos dados, ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial.
  • 66. 66 Alexandra Vidal DIREITO DE OPOSIÇÃO A MARKETING DIRETO (ARTIGO 21.º N.º 2 E 3 DO RGPD) Quando os dados pessoais forem tratados para efeitos de comercialização direta, o titular dos dados têm o direito de se opor a qualquer momento ao tratamento dos dados pessoais que lhe digam respeito para os efeitos da referida comercialização, o que abrange a definição de perfis na medida em que esteja relacionada com a comercialização direta. Caso o titular dos dados se oponha ao tratamento para efeitos de comercialização direta, os dados pessoais deixam de ser tratados para esse fim.
  • 67. 67 Alexandra Vidal DIREITO DE APRESENTAR RECLAMAÇÕES JUNTO DAS AUTORIDADES DE CONTROLO (CNPD) • Os titulares dos dados podem apresentar reclamações junto da CNPD (artigo 77.º). • Os titulares dos dados têm direito à ação judicial, caso a Autoridade de Controlo não trate a reclamação ou não informe o titular dos dados no prazo de 3 meses sobre o andamento ou resultado da reclamação (artigo 78.º ). • Os titulares dos dados podem ser representados por um organismo ou associação sem fins lucrativos, cujos objetivos estatutários sejam do interesse público e cuja atividade abranja a defesa dos direitos e liberdades dos titulares dos dados no que respeita à proteção dos dados pessoais (artigo 80.º, n.º 1). • Os Estados podem prever que esse organismo ou associação independentemente de mandato possa representar os titulares em caso de violação de dados pessoais (artigo 80.º, n.º 2).
  • 68. 68 Alexandra Vidal 6. Situações específicas de tratamento de dados pessoais. Em particular no contexto das relações laborais O Regulamento Geral sobre a Proteção de Dados concedeu aos Estados membros, no artigo 88.º, a possibilidade de estes estabelecerem, no direito interno ou em convenções coletivas, garantias específicas dos direitos e liberdades no domínio do tratamento de dados pessoais dos trabalhadores no contexto laboral. • Esta prerrogativa concedida aos Estados membros abarca, no que diz respeito, concretamente, ao tratamento de dados no contexto laboral, o tratamento para efeitos de: Recrutamento; Execução do contrato de trabalho (incluindo o cumprimento das obrigações previstas no ordenamento jurídico ou em convenções coletivas); Gestão, planeamento e organização do trabalho; Igualdade e diversidade no local de trabalho.
  • 69. 69 Alexandra Vidal Medidas a implementar: • Celebrar acordos de confidencialidade com trabalhadores que tratem dados pessoais. • Garantir o cumprimento do dever de informação aos candidatos a emprego ou trabalhadores. • Elaborar ou rever políticas de privacidade internas. • Celebrar acordos de processamento de dados com empresas que tratem os dados pessoais dos seus trabalhadores. • Definir de prazos de conservação dos dados pessoais de candidatos a emprego e trabalhadores.