1. Henrique Santos para
1
O Regulamento Geral de Proteção de Dados (RGPD) em Síntese
(e Deliberação 1495 da CNPD de 2016)
Contexto
A partir de 25 de maio de 2018, com a entrada em vigor do Regulamento Geral sobre a Proteção de
Dados, passará a existir um conjunto único de regras de proteção de dados para todas as empresas
ativas na UE, independentemente da sua localização.
Regras de proteção de dados mais rigorosas significam
Um maior controlo dos cidadãos sobre os seus dados pessoais
Condições mais equitativas para as empresas
O Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho1, que é o novo
Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia (UE), estabelece as
regras relativas ao tratamento, por uma pessoa, uma empresa ou uma organização, de dados
pessoais relativos a pessoas na UE.
Não se aplica ao tratamento de dados pessoais de pessoas falecidas ou de pessoas coletivas.
As regras não se aplicam ao tratamento de dados por motivos exclusivamente pessoais ou no
exercício de atividades domésticas, desde que não haja qualquer ligação com uma atividade
profissional ou comercial. Quando uma pessoa utiliza os dados pessoais fora da sua «esfera
pessoal», por exemplo para o exercício de atividades socioculturais ou financeiras, a legislação
relativa à proteção de dados tem de ser respeitada.
Dados Pessoais
Dados pessoais são informação relativa a uma pessoa viva, identificada ou identificável. Também
constituem dados pessoais o conjunto de informações distintas que podem levar à identificação de
uma determinada pessoa.
Dados pessoais que tenham sido descaracterizados, codificados ou pseudonimizados, mas que possam
ser utilizados para reidentificar uma pessoa, continuam a ser dados pessoais e são abrangidos pelo
âmbito de aplicação do RGPD.
Dados pessoais que tenham sido tornados anónimos de modo a que a pessoa não seja ou deixe de ser
identificável deixam de ser considerados dados pessoais. Para que os dados sejam verdadeiramente
anonimizados, a anonimização tem de ser irreversível.
O RGPD protege os dados pessoais independentemente da tecnologia utilizada para o tratamento
desses dados – é neutra em termos tecnológicos e aplica-se tanto ao tratamento automatizado como
ao tratamento manual, desde que os dados sejam organizados de acordo com critérios pré-definidos
(por exemplo, por ordem alfabética). Também é irrelevante o modo como os dados são armazenados
— num sistema informático, através de videovigilância, ou em papel; em todos estes casos, os dados
pessoais estão sujeitos aos requisitos de proteção previstos no RGPD.
Exemplos de dados pessoais:
o nome e apelido;
o endereço de uma residência;
um endereço de correio eletrónico como nome.apelido@empresa.com;
2. Henrique Santos para
2
o número de um cartão de identificação;
dados de localização (por exemplo, a função de dados de localização num telemóvel)*;
um endereço IP (protocolo de internet);
testemunhos de conexão (cookies);
o identificador de publicidade do seu telefone;
os dados detidos por um hospital ou médico, que permitam identificar uma pessoa de forma
inequívoca.
Exemplos de dados não considerados pessoais:
o número de registo de empresa;
um endereço de correio eletrónico como info@empresa.com;
dados anonimizados.
Referências
Artigo 2.º e artigo 4.º, n.os 1 e 5 e considerandos 14, 15, 26, 27, 29, 30 do RGPD
Parecer 4/2007 do Grupo de Trabalho de Proteção de Dados do artigo 29.º sobre o conceito de dados
pessoais, 01248/07/PT, WP 136
Parecer 05/2014 do Grupo de Trabalho de Proteção de Dados do artigo 29.º sobre técnicas de
anonimização
Tratamento de dados
O tratamento abrange um amplo conjunto de operações efetuadas sobre dados pessoais, por meios
manuais ou automatizados. Inclui a recolha, o registo, a organização, a estruturação, a conservação, a
adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão,
difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o
apagamento ou a destruição de dados pessoais.
O Regulamento Geral sobre a Proteção de Dados (RGPD) aplica-se ao tratamento de dados pessoais
por meios total ou parcialmente automatizados, bem como ao tratamento por meios não
automatizados de dados pessoais contidos em ficheiros.
Exemplos de tratamento:
gestão de pessoal e de folhas de pagamentos;
acesso/consulta de uma base de dados de contactos que contenha dados pessoais;
envio de mensagens de correio eletrónico promocionais*;
destruição de documentos que contenham dados pessoais;
publicação/colocação de uma foto de uma pessoa num sítio web;
armazenamento de endereços IP ou endereços MAC;
gravação de vídeo (CCTV).
*Importa lembrar que, para enviar mensagens de correio eletrónico para efeitos de comercialização
direta, também é necessário cumprir as regras de comercialização estabelecidas na Diretiva relativa à
privacidade e às comunicações eletrónicas.
3. Henrique Santos para
3
Referências
Artigo 4.º, n.os 2 e 6 da RGPD
Podem ser recolhidos dados sobre crianças?
É conferida proteção adicional a este tipo de dados, uma vez que as crianças podem estar menos
cientes dos riscos e das consequências da partilha de dados e têm menos conhecimento dos seus
direitos. Qualquer informação dirigida especificamente a uma criança deve ser adaptada para ser
facilmente acessível e formulada numa linguagem clara e simples.
Para a maioria dos serviços em linha, é necessário o consentimento do progenitor ou tutor para
proceder ao tratamento de dados pessoais de uma criança com base no consentimento até uma
determinada idade. Tal é válido tanto para as redes sociais, como para plataformas de transferência de
música e compra de jogos em linha.
O limite etário para a obtenção de consentimento parental é fixado por cada Estado-Membro e pode
variar entre os 13 e os 16 anos. Verifique a idade junto da sua autoridade nacional de proteção de
dados.
As empresas têm de realizar esforços razoáveis, tendo em conta a tecnologia disponível, para verificar
se o consentimento dado está efetivamente em conformidade com a lei. Tal pode envolver a aplicação
de medidas de verificação da idade como por exemplo, fazer uma pergunta que a maioria das crianças
não seja capaz de responder ou exigir que o menor forneça o endereço de correio eletrónico do
progenitor para a obtenção do consentimento por escrito.
Os serviços preventivos ou de aconselhamento oferecidos diretamente a crianças estão isentos do
requisito de consentimento parental, uma vez que visam proteger o interesse superior da criança.
Exemplos
Consentimento parental necessário
Uma pessoa tem uma filha de 12 anos que quer aderir a uma rede social popular e precisa de
consentimento para o tratamento de informação relacionada com a religião. A pessoa em questão tem
de dar o seu consentimento caso permita que a filha adira à rede social.
Consentimento parental não necessário
Uma pessoa tem um filho de 17 anos que está a ponderar responder a um inquérito em linha sobre os
seus padrões de consumo de roupa. O sítio web solicita consentimento para efetuar o tratamento dos
seus dados pessoais. Uma vez que tem mais de 16 anos, o adolescente pode dar o seu consentimento
sem solicitar o dos pais.
Referências
Artigo 8.º e considerandos 38 e 58 do RGPD
O que acontece se os dados partilhados por mim forem violados?
Resposta
Uma violação de dados pessoais ocorre quando existe uma violação da segurança que provoque, de
modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados,
a dados pessoais tratados. Se isso acontecer, a organização que possui os dados pessoais tem de
notificar sem demora injustificada a autoridade de controlo. Se a violação dos dados pessoais for
4. Henrique Santos para
4
suscetível de implicar um elevado risco para os direitos e as liberdades de uma pessoa e esse risco não
tiver sido atenuado, essa pessoa tem também de ser informada desse facto.
Exemplo
Uma pessoa reservou um táxi através de uma aplicação em linha. A empresa de táxis sofreu uma
violação maciça de dados pessoais e os dados dos condutores e dos utilizadores foram roubados.
Aparentemente, a empresa não possuía nenhuma medida de segurança específica destinada a
proteger os dados pessoais. A empresa deveria ter informado a pessoa sobre a violação. Neste caso, a
pessoa pode apresentar queixa contra a empresa de táxis junto da APD nacional.
Referências
Artigos 32.º, 33.º e 34.º e considerandos 85, a 88 do RGPD
Posso pedir a uma empresa que apague os meus dados pessoais?
Sim, pode pedir que os seus dados pessoais sejam apagados se, por exemplo, os dados que a empresa
possui a seu respeito já não forem necessários ou se os seus dados tiverem sido utilizados ilicitamente.
Os dados pessoais fornecidos quando era criança podem ser apagados a qualquer momento.
Este direito aplica-se também em linha e é frequentemente designado como o «direito a ser
esquecido». Em circunstâncias específicas, pode solicitar a empresas que tenham disponibilizado os
seus dados pessoais em linha que os apaguem. Essas empresas também são obrigadas a tomar
medidas razoáveis para informar outras empresas (responsáveis pelo tratamento) que efetuem o
tratamento dos dados pessoais de que o titular dos dados lhes solicitou o apagamento das ligações
para esses dados pessoais, bem como das cópias ou reproduções dos mesmos.
É importante não esquecer que este direito não é um direito absoluto, o que significa que outros
direitos sejam também salvaguardados, como a liberdade de expressão e a investigação científica.
Exemplos
Os dados devem ser apagados
Uma pessoa aderiu a uma rede social. Após algum tempo, decide sair da rede social. Tem o direito de
solicitar à empresa que apague os dados pessoais que lhe digam respeito.
Os dados não podem ser apagados imediatamente
Um banco novo tem boas ofertas de crédito à habitação. Uma pessoa vai comprar uma casa nova e
decide mudar para o banco novo. Solicita ao banco «antigo» que encerre todas as contas e que apague
todos os seus dados pessoais. O banco antigo está, contudo, sujeito a uma lei que obriga os bancos a
conservarem todos os dados dos clientes durante dez anos. O banco antigo não pode simplesmente
apagar os dados pessoais da pessoa. Esta pode, neste caso, pedir a limitação do tratamento dos seus
dados pessoais. O banco pode, então, armazenar os dados apenas durante o período de tempo exigido
por lei e não pode efetuar nenhuma outra operação de tratamento com os mesmos.
Os dados devem ser apagados
Uma pessoa realiza uma pesquisa em linha utilizando o seu nome e apelido e os resultados exibem
uma ligação para um artigo de jornal. A informação contida no jornal já tem vários anos e diz respeito a
um assunto – um leilão imobiliário ligado a processos de recuperação de dívida – resolvido há muito
tempo e que é agora irrelevante. Caso a pessoa não seja uma figura pública e o seu interesse na
remoção do artigo prevaleça sobre o interesse do público em geral em ter acesso à informação, o
motor de busca é obrigado a retirar dos resultados as ligações para páginas web que incluam o seu
nome e apelido.
5. Henrique Santos para
5
Referências
Artigos 12.º, 17.º e 23.º e considerandos 65, 66 do RGPD
Grupo do Artigo 29.º para a Proteção de Dados, Orientações sobre a aplicação do acórdão do Tribunal
de Justiça da União Europeia de 13 de maio de 2014 no processo C-131/12, Google Spain and Google,
ECLI:EU:C:2014:3171 (WP 225)
Como são protegidos os dados relativos às minhas crenças
religiosas/orientação sexual/saúde/opiniões políticas?
Resposta
As seguintes categorias especiais de dados pessoais são consideradas «sensíveis» e beneficiam de
proteção específica nos termos do Regulamento Geral sobre a Proteção de Dados (RGPD):
origem racial ou étnica;
opiniões políticas;
convicções religiosas ou filosóficas;
filiação sindical;
tratamento de dados genéticos;
dados biométricos para identificar um ser humano de forma inequívoca;
saúde;
vida sexual ou orientação sexual.
Como regra geral, o tratamento destes tipos de dados é proibido. No entanto, uma
empresa/organização poderá efetuar o tratamento de dados pessoas sensíveis sob certas condições,
como por exemplo:
quando uma pessoa torna os seus dados sensíveis manifestamente públicos;
quando uma pessoa dá o seu consentimento explícito;
quando a lei estabelece regras relativas a um tipo específico de tratamento de dados para uma
finalidade específica relacionada com o interesse público ou com a saúde;
quando uma lei que inclua garantias adequadas prevê o tratamento de dados pessoais sensíveis
em domínios como a saúde pública, o emprego e a proteção social.
Exemplo
O Instituto Nacional de Estatística (uma entidade pública) organiza um censo público de 5 em 5 anos.
Uma pessoa recebe uma hiperligação para um inquérito ao qual é obrigado a responder, e que inclui
campos como o sexo e a origem racial ou étnica. Nesta situação, uma vez que o inquérito se baseia
numa lei que serve uma finalidade de interesse público e contém salvaguardas destinadas a proteger
os dados sensíveis da pessoa (por exemplo, os dados só são acedidos por destinatários autorizados que
se encontrem a trabalhar nos censos), os respetivos dados pessoais sensíveis podem ser tratados pelo
Instituto Nacional de Estatística.
Referências
Artigo 9.º e considerandos 51 a 56 do RGPD
6. Henrique Santos para
6
Comissão Nacional de Proteção de Dados
DELIBERAÇÃO N.º 1495/2016
Disponibilização de dados pessoais de alunos no sítio da Internet dos estabelecimentos de educação e
ensino
III. Condições de legitimidade para a disponibilização de dados pessoais na Internet
Num universo de crescente governação eletrónica e de uso dos meios tecnológicos em várias vertentes
da vida quotidiana dos cidadãos, reitera-se que é compreensível e desejável que as escolas, até pelo
dinamismo que as caracteriza, recorram também à Internet como um meio expedito, atual, dinâmico e
eficaz de divulgar informação e potenciar a comunicação.
Há todo um manancial de informação útil sobre a atividade escolar que é difundida nos sítios da
Internet dos estabelecimentos de ensino e que não envolvem dados pessoais, isto é, não envolvem
informação relativa a uma pessoa singular, identificada ou identificável , pelo que não se encontra
abrangida pela presenta deliberação.
Impende, no entanto, sobre as escolas o dever de publicidade de alguns atos administrativos,
conforme previsto em disposição legal, a qual pode ou não determinar como é feita essa publicação.
Sendo os alunos titulares dos dados, na sua grande maioria, menores de idade, o consentimento para o
tratamento dos seus dados deverá ser obtido junto dos seus encarregados de educação, aqui
entendidos na aceção do n.º 4 do artigo 43.ºda Lei n.º51/2012, de 5 de setembro, que aprova o
Estatuto do Aluno e Ética Escolar (doravante «Estatuto do Aluno»). Isto sem prejuízo da consulta
devida aos próprios alunos, em função da sua idade e do seu grau de maturidade.
O consentimento deverá ser expresso, conforme exigência do n.º 2 do artigo 7.º da LPDP, e deve
constituir uma manifestação de vontade, livre, especifica e informada, como decorre da alínea h)do
artigo 3.º da LPDP.
1. O dever de publicidade e a sua concretização
No caso das pautas de avaliação, existe regulamento administrativo, que impõe a afixação das pautas
de avaliação, no final de cada período letivo, em local apropriado no interior da escola, sendo que
destas pautas apenas deve constar a informação resultante da avaliação sumativa de cada aluno, por
disciplina, bem como a data de afixação da pauta.
(…)
Ora, a fim de cumprir o objetivo de publicitar as classificações em pauta, a escola deve apenas
identificar o aluno, o ano, a turma e a respetiva classificação por disciplina.
Não há qualquer necessidade de introduzir nessa pauta informações adicionais, tais como as faltas do
aluno, a existência de eventual apoio social escolar ou outra informação que, existindo na ficha
individual do aluno ou noutros registos, é excessiva para a finalidade de afixar
as classificações.
Nesse sentido, as escolas devem elaborar as pautas apenas com os dados estritamente necessários
para cumprir a obrigação legal de publicidade das classificações e abster-se de divulgar quaisquer
outras informações pessoais Quanto à publicitação das pautas na Internet em página aberta e acessível
a toda a gente, considera-se que contraria o despacho normativo, na medida em que alarga
substancialmente o leque de destinatários, extravasando o fim pretendido. Além disso, atentas as
possibilidades oferecidas pela Internet de reprodução e armazenamento da informação por tempo
ilimitado, e o facto de as classificações constituírem informação sensível sobre as crianças, sujeita à
7. Henrique Santos para
7
produção de juízos estigmatizantes com elevado potencial discriminatório, que ficaria assim à mercê
da utilização abusiva por terceiros não identificados, entende a CNPD constituir um risco para a
privacidade do aluno a disponibilização das pautas de avaliação na Internet, não havendo base legal
que fundamente essa difusão.
2. Disponibilização na Internet de outros dados pessoais (processo individual do aluno)
Há um vasto conjunto de informação pessoal dos alunos que é habitualmente difundida pelas escolas
no sítio da Internet, e que constitui não só uma intrusão na privacidade das crianças como também um
sério risco para a sua segurança.
Reconhece-se que nem sempre haverá consciência de que se está a divulgar dados pessoais quando,
por vezes, a informação veiculada não tem o nome dos alunos. No entanto, a variedade de informação
publicada permite relacioná-la entre si e associar a um aluno em concreto dados que lhe dizem
respeito.
É disso exemplo, por um lado, a publicação de um quadro com a constituição das turmas, com a
identificação do ano de escolaridade e da turma, o nome completo dos alunos, a sua idade, a opção
pela disciplina de religião; por outro, a publicação dos horários das turmas; e ainda a organização das
atividades curriculares.
Mesmo no contexto de uma área reservada do sítio da Internet, não deverá ser disponibilizada a toda a
comunidade escolar ou a outros encarregados de educação dados pessoais relativos à vida privada e
familiar dos alunos. Isto inclui, nomeadamente, quaisquer dados relativos ao domicílio, ao percurso
escolar, à situação socioeconómica, a medidas disciplinares, a referenciação pela Comissão de
Proteção de Crianças e Jovens
Para salvaguarda dos direitos à reserva da vida privada e à proteção dos dados pessoais, consagrados
nos artigos 26.º e 35.º da CRP, e
de acordo com o princípio da proporcionalidade, só se admite a disponibilização dos dados pessoais
relativos às turmas, horários, atividades extracurriculares na Internet, em área reservada de acesso
credenciado para a comunidade escolar.
3. Publicação de imagens dos alunos
Considere-se ainda um outro tipo de dados pessoais que algumas escolas tendem a divulgar na
Internet: a imagem e, porventura, voz dos alunos em ambiente escolar (nas atividades curriculares ou
extracurriculares). Com efeito, cada vez mais as escolas publicam no sítio institucional do
estabelecimento escolar ou em redes sociais, fotografias ou vídeos que implicam a exposição da
imagem ou também voz dos alunos.
Neste contexto, importa considerar os argumentos vertidos no acórdão do Tribunal da Relação de
Évora de 26 de junho de 2015, que impôs aos pais o dever de abstenção de divulgação de fotografias
ou informações que permitam identificar a filha nas redes sociais.
Este acórdão traduz um alerta para a necessidade de atualizar a harmonização da autonomia privada e
dos direitos das crianças, no contexto de disponibilização de imagens na Internet, dele se devendo
retirar, por um argumento de maioria de razão, para as escolas um dever de abstenção de
disponibilização de imagens e som das crianças na Internet ainda que para o efeito exista
consentimento dos pais ou encarregados de educação.
Em todo o caso, compreendendo o interesse subjacente à divulgação das atividades da escola, será
admissível a divulgação de imagens que não permitam a identificação das crianças e jovens – caso em
8. Henrique Santos para
8
que não há dados pessoais, porque os seus titulares não são suscetíveis de identificação – e, desse
modo também o direito à imagem fica afetado numa muito reduzida medida, o que permite
reconhecer relevo jurídico ao consentimento.
Na verdade, neste caso será igualmente necessário o consentimento prévio dos encarregados de
educação das crianças, nos termos do artigo 79.º, n.º 1, do Código Civil, porquanto a identificabilidade
das imagens envolve alguma dose de subjetividade, podendo ocorrer que uma imagem que, na
perspetiva de um terceiro não permite a identificação da criança, seja para os pais ou para aqueles que
convivam mais de perto com ela facilmente identificável, sobretudo porque contextualizada numa
específica escola.
Por outro lado, mesmo que as imagens não se destinem à divulgação na Internet, mas tenham uma
utilização em circuito mais fechado ou fiquem apenas para arquivo ou exposição no espaço escolar,
será sempre imprescindível obter o consentimento escrito do encarregado de educação, o qual deve
ser previamente informado, de forma clara e transparente, sobre o contexto da captação, os fins e a
utilização a ser dada às imagens.
Por tudo isso, e porque é essencial defender os direitos das crianças na perspetiva do seu superior
interesse, as escolas devem reduzir a publicação de imagem e som dos alunos ao mínimo indispensável
(e não o carregamento de verdadeiros álbuns fotográficos), privilegiando a captação de imagem de
longe e de ângulos em que as crianças não sejam facilmente identificáveis
5. Procedimentos principais a adotar pelas escolas
A fim de observar as diretrizes emitidas na presente deliberação, os estabelecimentos de educação e
ensino devem elaborar uma política interna sobre as condições exigíveis para a disponibilização de
dados pessoais nos respetivos sítios da Internet, com particular destaque para as áreas reservadas,
bem como para a segregação da informação em função da finalidade.
Os eventuais consentimentos que sejam obtidos dos encarregados de educação ou dos próprios jovens
para a recolha de imagens devem passar a constar do processo individual do aluno.
As escolas devem, neste domínio, nortear sempre a sua atuação pelo respeito pelos princípios da
proporcionalidade e da não discriminação, na perspetiva do interesse superior das crianças, avaliando
a todo o tempo os riscos e o impacto que a disponibilização de dados pessoais na Internet pode ter na
vida dos seus alunos.
Devem ainda os estabelecimentos de ensino, através do exemplo, sensibilizar toda a comunidade
escolar para a necessidade de proteger os dados pessoais e respeitar a privacidade de todos e de cada
um, em particular das crianças
Lei n.o 67/98 de 26 de Outubro
Lei da Protecção de Dados Pessoais (transpõe para a ordem jurídica portuguesa a Directiva n.o
95/46/CE, do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995)
Artigo 3.o
Definições
Para efeitos da presente lei, entende-se por:
a) «Dados pessoais»: qualquer informação, de qualquer natureza e independentemente do respectivo
suporte, incluindo som e imagem, relativa
9. Henrique Santos para
9
a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável a
pessoa que possa ser identificada directa ou indirectamente, designadamente por referência a um
número de identificação ou a
um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou
social;
b) «Tratamento de dados pessoais» («tratamento»): qualquer operação ou conjunto de operações
sobre dados pessoais, efectuadas com ou sem meios automatizados, tais como a recolha, o registo, a
organização, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a
comunicação por transmissão, por difusão ou por qualquer outra forma de colocação à disposição,
com comparação ou interconexão, bem como o bloqueio, apagamento ou destruição;