Você está na página 1de 54

R

BREVE DESCRIÇÃO DE OBRIGAÇÕES

G
DAS EMPRESAS RELATIVAMENTE 

P
À PROTECÇÃO DOS DADOS PESSOAIS

D
NO RGPD

JOÃO BOTELHO

SÉRIE
NOVACAUSA EBOOKS 
BREVE DESCRIÇÃO DE
OBRIGAÇÕES DAS
EMPRESAS
RELATIVAMENTE À
PROTECÇÃO DE DADOS
PESSOAIS NO RGPD
 João Botelho
Título
Breve descrição de obrigações das empresas
relativamente à protecção de dados pessoais no
RGPD

Autor
João Botelho

Editor
NovaCausa
edições jurídicas

Data da edição
Maio 2018
ÍNDICE

1
PROVA DE LICITUDE DO TRATAMENTO E
OFERTA DE INFORMAÇÕES
(ARTS 6.º E 7.º)

2
DEVER DE  INFORMAÇÃO  (ARTS 12.º A 14º)

3
DEVER DE  CONSENTIR O ACESSO  
(ART. 15.º)

4
DEVER DE  RECTIFICAR  (ART. 16.º)

5
DEVER DE APAGAR  (ART. 17.º)

6
DEVER DE LIMITAR O  TRATAMENTO
 (ART. 18.º)

7
DEVERES DE  COMUNICAÇÃO  
(ARTS 19.º, 33.º E 34.º)

8
DEVER DE  TRANSMITIR A
 PORTABILIDADE  (ART. 20.º)
ÍNDICE

9
DEVER DE  CESSAÇÃO DO  TRATAMENTO
 (ART. 21.º)

10
DEVER DE  APLICAÇÃO DE  MEDIDAS
TÉCNICAS,  ORGANIZATIVAS E DE
 SEGURANÇA  (ARTS 24.º, 25.º E 32.º)

11
DEVER DE REGISTO DAS ACTIVIDADES DE
 TRATAMENTO  (ART. 30.º)

12
DEVER DE  AVALIAÇÃO DE  IMPACTO
SOBRE A  PROTECÇÃO DE  DADOS  (ART.ºS
35.º E 36.º)

13
DEVER DE DESIGNAR UM EPD  
(ARTS 37.º A 39.º)

14
DEVER DE  ESCOLHER BEM OS
SUBCONTRATADOS (ARTS 28.º E 30.º)

15
DEVER DE  COOPERAÇÃO COM A CNPD
 (ART. 31.º)
1
PROVA DE LICITUDE
DO TRATAMENTO E
OFERTA DE
INFORMAÇÕES
(ARTS 6.º E 7.º)

MENU
NOVA Breve descrição das Responsabilidades das Empresas
CAUSA relativamente à protecção de Dados Pessoais no RGPD

A empresa tem de pedir ao titular dos dados (de uma


forma autónoma, ou seja, distinguindo-o claramente
doutros assuntos, e de modo inteligível e de fácil acesso
e numa linguagem clara e simples) o seu consentimento
(preferencialmente por escrito, para facilitar a prova do
seu cumprimento para o tratamento dos dados pessoais)
indicando uma ou mais finalidades específicas, ou então
informar que o tratamento é necessário para a execução
de um contrato no qual o titular dos dados é parte, ou
para diligências pré-contratuais (Artigos 6.° e 7.º/1 e 2).
A empresa tem ainda o dever de informar o titular dos
dados de que ele tem o direito de retirar o seu
consentimento a qualquer momento duma forma fácil,
por exemplo, enviando um email (Artigo 7.°/3).
A empresa tem ainda a obrigação de prestar
informações, dando cumprimento ao direito à informação
pertencente ao titular dos dados (Vide direito à
informação).
2
DEVER DE
INFORMAÇÃO  
(ARTS 12.º A 14º)

MENU
NOVA Breve descrição das Responsabilidades das Empresas
CAUSA relativamente à protecção de Dados Pessoais no RGPD

As informações sobre o tratamento de dados pessoais


relativos ao titular dos dados deverão ser a este
fornecidas no momento da sua recolha junto do titular
dos dados ou, se os dados pessoais tiverem sido obtidos
a partir de outra fonte, dentro de um prazo razoável,
consoante as circunstâncias.
Sempre que os dados pessoais forem suscetíveis de ser
legitimamente comunicados a outro destinatário, o titular
dos dados deverá ser informado aquando da primeira
comunicação dos dados pessoais a esse destinatário.
Sempre que o responsável pelo tratamento tiver a
intenção de tratar os dados pessoais para outro fim que
não aquele para o qual tenham sido recolhidos, antes
desse tratamento o responsável pelo tratamento deverá
fornecer ao titular dos dados informações sobre esse fim
e outras informações necessárias.
Quando não for possível informar o titular dos dados da
origem dos dados pessoais por se ter recorrido a várias
fontes, deverão ser-lhe fornecidas informações genéricas
(Considerando 61).
Todavia, não é necessário impor a obrigação de fornecer
informações, caso o titular dos dados já disponha da
informação, caso a lei disponha expressamente o registo
ou a comunicação dos dados pessoais ou caso a
NOVA Breve descrição das Responsabilidades das Empresas
CAUSA relativamente à protecção de Dados Pessoais no RGPD

informação ao titular dos dados se revele impossível de


concretizar ou implicar um esforço desproporcionado.
Este último seria, nomeadamente, o caso de um
tratamento efetuado para fins de arquivo de interesse
público, para fins de investigação científica ou histórica
ou para fins estatísticos. Para esse efeito, deverá ser
considerado o número de titulares de dados, a
antiguidade dos dados e as devidas garantias que
tenham sido adotadas (Considerando 62).
NOVA Breve descrição das Responsabilidades das Empresas
CAUSA relativamente à protecção de Dados Pessoais no RGPD

INFORMAÇÕES

A FACULTAR SEMPRE

Seja quando os dados pessoais forem recolhidos junto do


titular, ou não, o responsável pelo tratamento tem sempre a
obrigação de prestar as seguintes informações (excepto
quando e na medida em que o titular dos dados já tiver
conhecimento das informações):
a) A identidade e os contactos do responsável pelo
tratamento e, se for caso disso, do seu representante;
b) Os contactos do encarregado da proteção de dados, se
for caso disso;
c) As finalidades do tratamento a que os dados pessoais se
destinam, bem como o fundamento jurídico para o
tratamento;
d) Se o tratamento dos dados for necessário para efeito dos 

2
NOVA Breve descrição das Responsabilidades das Empresas
CAUSA relativamente à protecção de Dados Pessoais no RGPD

interesses legítimos do responsável pelo tratamento ou de


um terceiro, tem de informar que interesses são esses;
e) Os destinatários ou categorias de destinatários dos dados
pessoais, se os houver;
f) Se for caso disso, o facto de o responsável pelo
tratamento tencionar transferir dados pessoais para um país
terceiro ou uma organização internacional, e a existência ou
não de uma decisão de adequação adotada pela Comissão
ou, no caso das transferências mencionadas nos artigos
46.° ou 47.°, ou no artigo 49.°, n.° 1, segundo parágrafo, a
referência às garantias apropriadas ou adequadas e aos
meios de obter cópia das mesmas, ou onde foram
disponibilizadas.
g) Prazo de conservação dos dados pessoais ou, se não for
possível, os critérios usados para definir esse prazo;
h) A existência do direito de solicitar ao responsável pelo
tratamento acesso aos dados pessoais que lhe digam
respeito, bem como a sua retificação ou o seu apagamento,
e a limitação do tratamento no que disser respeito ao titular
dos dados, ou do direito de se opor ao tratamento, bem
como do direito à portabilidade dos dados;
i) Se o tratamento dos dados se basear no consentimento
explícito [no artigo 6.°, n.° 1, alínea a)], ou no artigo 9.°, n.° 2, 

2
NOVA Breve descrição das Responsabilidades das Empresas
CAUSA relativamente à protecção de Dados Pessoais no RGPD

alínea a), a existência do direito de retirar consentimento em


qualquer altura, sem comprometer a licitude do tratamento
efetuado com base no consentimento previamente dado;
j) O direito de apresentar reclamação a uma autoridade de
controlo (CNPD);
k) A existência de decisões automatizadas, incluindo a
definição de perfis, referida no artigo 22.°, n.º 1 e 4, e, pelo
menos nesses casos, informações úteis relativas à lógica
subjacente, bem como a importância e as consequências
previstas de tal tratamento para o titular dos dados.
l) Quando o responsável pelo tratamento pessoais tiver a
intenção de proceder ao tratamento posterior dos dados
pessoais para um fim que não seja aquele para o qual os
dados tenham sido recolhidos, antes desse tratamento o
responsável fornece ao titular dos dados informações sobre
esse fim e quaisquer outras informações pertinentes.

2
NOVA Breve descrição das Responsabilidades das Empresas
CAUSA relativamente à protecção de Dados Pessoais no RGPD

INFORMAÇÕES

A FACULTAR NEM
SEMPRE

Apenas quando os dados pessoais forem recolhidos junto


do titular, o responsável pelo tratamento tem adicionalmente
a obrigação de informar se a comunicação de dados
pessoais constitui ou não uma obrigação legal ou contratual,
ou um requisito necessário para celebrar um contrato, bem
como se o titular está obrigado a fornecer os dados
pessoais e as eventuais consequências de não fornecer
esses dados;
Só quando os dados pessoais não forem recolhidos junto do
titular, é que o responsável pelo tratamento tem ainda a
obrigação complementar de prestar as seguintes
informações:
m) As categorias dos dados pessoais em questão;

2
NOVA Breve descrição das Responsabilidades das Empresas
CAUSA relativamente à protecção de Dados Pessoais no RGPD

n) A origem dos dados pessoais e, eventualmente, se


provêm de fontes acessíveis ao público;
Nestas circunstâncias em que os dados pessoais não forem
recolhidos junto do titular, verifica-se também isenção das
obrigações de informação nos seguintes casos:
a) Se comprove a impossibilidade de disponibilizar a
informação, ou que o esforço envolvido seja
desproporcionado, casos em que o responsável pelo
tratamento toma as medidas adequadas para defender os
direitos, liberdades e interesses legítimos do titular dos
dados, inclusive através da divulgação da informação ao
público;
b) A obtenção ou divulgação dos dados esteja
expressamente prevista no direito da União ou de um
Estado-Membro; ou os dados pessoais devam permanecer
confidenciais em virtude de uma obrigação de sigilo
profissional regulamentada pelo direito da União ou de um
Estado-Membro, inclusive uma obrigação legal de
confidencialidade.

2
NOVA Breve descrição das Responsabilidades das Empresas
CAUSA relativamente à protecção de Dados Pessoais no RGPD

MINUTA

DE CUMPRIMENTO DO
DEVER DE INFORMAÇÃO

A empresa X (denominação, sede, NIF, email, site) é a


responsável pelo tratamento dos seguintes dados pessoais:
Os dados ora recolhidos destinam-se à seguinte finalidade:
___
Os dados pessoais do Cliente serão guardados durante o
período de duração do contrato, sem prejuízo dos prazos de
prescrição e caducidade dos direitos bem como do
cumprimento de obrigações legais e para fins estatísticos,
devendo para este último efeito pseudonomizá-los.
O titular dos dados presta o seu consentimento para o
respectivo tratamento, sendo que foi informado do seu
direito de retirar o seu consentimento a qualquer momento,
por escrito, enviando uma mensagem para o seguinte email: 

2
NOVA Breve descrição das Responsabilidades das Empresas
CAUSA relativamente à protecção de Dados Pessoais no RGPD

____.
Os contactos do nosso encarregado da proteção de dados
são os seguintes: __
O titular dos dados pessoais, é portador dos seguintes
direitos: direito de acesso; direito à retificação; direito à
eliminação, direito à limitação, direito de oposição, direito a
não sujeição a decisões automáticas, direito à portabilidade,
direito à reclamação junto da Comissão Nacional de
Proteção de Dados.

2
3
DEVER DE
CONSENTIR O
ACESSO  
(ART. 15.º)

MENU
NOVA Breve descrição das Responsabilidades das Empresas
CAUSA relativamente à protecção de Dados Pessoais no RGPD

A empresa tem o dever de responder ao titular dos dados


confirmando que dados pessoais lhe dizem respeito e que
são ou não objeto de tratamento.
Assim, tem o dever de informar
a) As finalidades do tratamento dos dados;
b) As categorias dos dados pessoais em questão;
c) Os destinatários ou categorias de destinatários a quem os
dados pessoais foram ou serão divulgados, nomeadamente
os destinatários estabelecidos em países terceiros ou
pertencentes a organizações internacionais;
d) Se for possível, o prazo previsto de conservação dos
dados pessoais, ou, se não for possível, os critérios usados
para fixar esse prazo;
e) A existência do direito de solicitar ao responsável pelo
tratamento a retificação, o apagamento ou a limitação do
tratamento dos dados pessoais no que diz respeito ao titular
dos dados, ou do direito de se opor a esse tratamento;
f) O direito de apresentar reclamação à CNPD;
g) Se os dados não tiverem sido recolhidos junto do titular,
as informações disponíveis sobre a origem desses dados;
h) A existência de decisões automatizadas, incluindo a
definição de perfis, e, pelo menos nesses casos, informações
úteis relativas à lógica subjacente, bem como a 

2
NOVA Breve descrição das Responsabilidades das Empresas
CAUSA relativamente à protecção de Dados Pessoais no RGPD

importância e as consequências previstas de tal tratamento


para o titular dos dados.

Quando os dados pessoais forem transferidos para um país


terceiro ou uma organização internacional, tem o dever de
informar o titular dos dados das garantias adequadas
relativa à transferência de dados.
O responsável pelo tratamento tem o dever de fornecer uma
cópia dos dados pessoais em fase de tratamento, mas pode
pedir o pagamento duma verba para suportar os custos
administrativos com as cópias (sugerimos, no máximo, 1€
por página, como sucede actualmente nas informações não
certificadas cedidas pelas Conservatórias do Registo
Predial). Sem embargo, se o pedido for apresentado por
meios eletrónicos, pode fornecer a informação pela mesma
forma.

2
4
DEVER DE
RECTIFICAR  
(ART. 16.º)

MENU
NOVA Breve descrição das Responsabilidades das Empresas
CAUSA relativamente à protecção de Dados Pessoais no RGPD

A empresa responsável pelo tratamento dos dados tem o


dever de, sem demora injustificada, proceder à retificação,
ou a completar, nomeadamente por meio de uma declaração
adicional, os dados pessoais inexatos do titular, quando
interpelada para o efeito.

2
5
DEVER DE APAGAR
(ART. 17.º)

MENU
NOVA Breve descrição das Responsabilidades das Empresas
CAUSA relativamente à protecção de Dados Pessoais no RGPD

1 A empresa, sem demora injustificada, tem a obrigação de


apagar os dados pessoais, nas seguintes circunstâncias:
a) Os dados pessoais deixaram de ser necessários para a
finalidade que motivou a sua recolha ou tratamento;
b) O titular retira o consentimento em que se baseia o
tratamento dos dados e não existir outro fundamento
jurídico para o referido tratamento;
c) O titular opõe-se ao tratamento e não existem interesses
legítimos prevalecentes que o justifiquem;
d) Os dados pessoais foram tratados ilicitamente;
e) Os dados pessoais têm de ser apagados para o
cumprimento de uma obrigação jurídica;
Quando o responsável pelo tratamento tiver tomado
públicos os dados pessoais e for obrigado a apagá-los, toma
as medidas que forem razoáveis, incluindo de caráter
técnico, tendo em consideração a tecnologia disponível e os
custos da sua aplicação, para informar os responsáveis pelo
tratamento efetivo dos dados pessoais de que o titular dos
dados lhes solicitou o apagamento das ligações para esses
dados pessoais, bem como das cópias ou reproduções dos
mesmos.
O dever de apagar, também conhecido como o direito ao
esquecimento, não existe quando o tratamento se revele 

2
NOVA Breve descrição das Responsabilidades das Empresas
CAUSA relativamente à protecção de Dados Pessoais no RGPD

necessário:
a) Ao exercício da liberdade de expressão e de informação;
b) Ao cumprimento de uma obrigação legal;
c) Por motivos de interesse público no domínio da saúde
pública;
d) Para fins de arquivo de interesse público, para fins de
investigação científica ou histórica ou para fins estatísticos;
ou
e) Para efeitos de declaração, exercício ou defesa de um
direito num processo judicial.

2
6
DEVER DE LIMITAR O
TRATAMENTO
(ART. 18.º)

MENU
NOVA Breve descrição das Responsabilidades das Empresas
CAUSA relativamente à protecção de Dados Pessoais no RGPD

A empresa responsável pelo tratamento dos dados tem o


dever de limitar o tratamento nas seguintes circunstâncias:
a) Se o titular dos dados contestar a exatidão dos dados
pessoais, durante um período que permita ao responsável
pelo tratamento verificar a sua exatidão;
b) Se o tratamento for ilícito e o titular dos dados se opuser
ao apagamento dos dados pessoais e solicitar, em
contrapartida, a limitação da sua utilização;
c) Se o responsável pelo tratamento já não precisar dos
dados pessoais para fins de tratamento, mas esses dados
sejam requeridos pelo titular para efeitos de declaração,
exercício ou defesa de um direito num processo judicial;
d) Se o titular dos dados se tiver oposto ao tratamento mas
o responsável pelo tratamento tiver motivos legítimos para
recusar essa oposição, até ver quem tem razão.
Nestes casos, os dados pessoais só podem, à exceção da
conservação, ser objeto de tratamento com o
consentimento do titular, ou para efeitos de declaração,
exercício ou defesa de um direito num processo judicial, de
defesa dos direitos de outra pessoa singular ou coletiva, ou
por motivos ponderosos de interesse público.
A empresa responsável pelo tratamento tem a obrigação de
informar o titular dos dados quando este tiver obtido a
limitação do tratamento antes de anular a limitação.
2
7
DEVERES DE
COMUNICAÇÃO
(ARTS 19.º, 33.º E 34.º)

MENU
NOVA Breve descrição das Responsabilidades das Empresas
CAUSA relativamente à protecção de Dados Pessoais no RGPD

A empresa é obrigada a comunicar a cada destinatário a


quem os dados pessoais tenham sido transmitidos qualquer
retificação ou apagamento dos dados pessoais ou limitação
do tratamento a que tenha procedido.
Quando ocorrer uma violação dos dados pessoais e esta for
suscetível de implicar um elevado risco para os direitos e
liberdades das pessoas singulares, a empresa responsável
pelo tratamento é obrigada a comunicar a violação de dados
pessoais ao titular dos dados sem demora injustificada,
informando, pelo menos, o seguinte:
a) O nome e os contactos do encarregado da proteção de
dados ou de outro ponto de contacto onde possam ser
obtidas mais informações;
b) Descrever as consequências prováveis da violação de
dados pessoais;
c) Descrever as medidas adotadas ou propostas pelo
responsável pelo tratamento para reparar a violação de
dados pessoais, inclusive, se for caso disso, medidas para
atenuar os seus eventuais efeitos negativos.
Se o titular dos dados o solicitar, o responsável pelo
tratamento fornece-lhe informações sobre os referidos
destinatários.
A empresa está dispensada desta obrigação de

2
NOVA Breve descrição das Responsabilidades das Empresas
CAUSA relativamente à protecção de Dados Pessoais no RGPD

 comunicação se for preenchida uma das seguintes


condições:
a) O responsável pelo tratamento tiver aplicado medidas de
proteção adequadas, tanto técnicas como organizativas, e
essas medidas tiverem sido aplicadas aos dados pessoais
afetados pela violação de dados pessoais, especialmente
medidas que tomem os dados pessoais incompreensíveis
para qualquer pessoa não autorizada a aceder a esses
dados, tais como a cifragem;
b) O responsável pelo tratamento tiver tomado medidas
subsequentes que assegurem que o elevado risco para os
direitos e liberdades dos titulares dos dados já não é
suscetível de se concretizar: ou
c) Implicar um esforço desproporcionado. Nesse caso, é
feita uma comunicação pública ou tomada uma medida
semelhante através da qual os titulares dos dados são
informados de forma igualmente eficaz.
d) Tal comunicação se revelar impossível.
Paralelamente, a empresa responsável pelo tratamento dos
dados, nestas circunstâncias, é obrigada a notificar desse
facto a CNPD, sem demora injustificada e, sempre que
possível, até 72 horas após ter tido conhecimento da mesma
(se não for transmitida no prazo de 72 horas, é

2
NOVA Breve descrição das Responsabilidades das Empresas
CAUSA relativamente à protecção de Dados Pessoais no RGPD

acompanhada dos motivos do atraso) descrevendo a


natureza da violação dos dados pessoais incluindo, se
possível, as categorias e o número aproximado de titulares
de dados afetados, bem como as categorias e o número
aproximado de registos de dados pessoais em causa, além
fornecer também as demais informações acima indicadas
destinadas ao titular dos dados.

2
8
DEVER DE
TRANSMITIR A
PORTABILIDADE
(ART. 20.º)

MENU
NOVA Breve descrição das Responsabilidades das Empresas
CAUSA relativamente à protecção de Dados Pessoais no RGPD

A empresa responsável pelo tratamento de dados pessoais


realizado por meios automatizados, baseado no
consentimento ou num contrato, tem o dever de entregar ao
titular (ou se ele quiser, a outra empresa directamente,
sempre que tal seja tecnicamente possível) os dados
pessoais que lhe digam respeito e que este lhe tenha
fornecido, num formato estruturado, de uso corrente e de
leitura automática.

2
9
DEVER DE CESSAÇÃO
DO TRATAMENTO
(ART. 21.º)

MENU
NOVA Breve descrição das Responsabilidades das Empresas
CAUSA relativamente à protecção de Dados Pessoais no RGPD

Se o titular dos dados lhe pedir, a empresa responsável tem


o dever de cessar o tratamento dos dados pessoais,
incluindo a definição de perfis, a não ser que apresente
razões imperiosas e legítimas para esse tratamento que
prevaleçam sobre os interesses, direitos e liberdades do
titular dos dados, ou para efeitos de declaração, exercício ou
defesa de um direito num processo judicial.
Todavia, quando os dados pessoais forem tratados para
efeitos de comercialização direta, e o titular dos dados faça
um pedido a opor-se a esse tratamento, a empresa não tem
outra alternativa senão a de por fim imediatamente a esse
tratamento, o que abrange a definição de perfis na medida
em que esteja relacionada com essa comercialização direta.
Trata-se, portanto, dum direito potestativo do titular dos
dados.
Quanto à forma, esta comunicação deverá ser cumprida, por
escrito, de modo claro e a se, autonomamente, distinto de
quaisquer outras informações.
Quanto ao prazo, o mais tardar no momento da primeira
comunicação ao titular dos dados.

2
10
DEVER DE APLICAÇÃO
DE MEDIDAS TÉCNICAS,
ORGANIZATIVAS E DE
SEGURANÇA  
(ARTS 24.º, 25.º E 32.º)

MENU
NOVA Breve descrição das Responsabilidades das Empresas
CAUSA relativamente à protecção de Dados Pessoais no RGPD

Tendo em conta a natureza, o âmbito, o contexto e as


finalidades do tratamento dos dados, bem como os riscos
para os direitos e liberdades das pessoas singulares, cuja
probabilidade e gravidade podem ser variáveis, a empresa
responsável pelo tratamento tem o dever de aplicar as
medidas técnicas (tais como procedimentos de controle de
acesso, firewalls de rede e segurança física, como, por
exemplo, armários fechados) e organizativas que forem
adequadas, como a pseudonomização, para assegurar e
poder comprovar que o tratamento é realizado em
conformidade com o RGPD, que incluem a aplicação de
políticas de proteção de dados.
Tem ainda o dever de rever e actualizar essas medidas
consoante as necessidades, nomeadamente quando ocorra
uma alteração das circunstâncias.
Para demonstrar o cumprimento das obrigações nesta
matéria a empresa poderá socorrer-se do cumprimento de
códigos de conduta aprovados e/ou de procedimentos de
certificação aprovados.
Por defeito, os dados pessoais não devem ser
disponibilizados sem intervenção humana a um número
indeterminado de pessoas singulares.
As medidas técnicas e organizativas devem ainda 

2
NOVA Breve descrição das Responsabilidades das Empresas
CAUSA relativamente à protecção de Dados Pessoais no RGPD

garantir-assegurar-incluir um nível de segurança adequado


ao risco, incluindo, consoante o que for razoável:
a) A pseudonimização e a cifragem dos dados pessoais;
b) A capacidade de assegurar a confidencialidade,
integridade, disponibilidade e resiliência permanentes dos
sistemas e dos serviços de tratamento;
c) A capacidade de restabelecer a disponibilidade e o acesso
aos dados pessoais de forma atempada no caso de um
incidente físico ou técnico;
d) Um processo para testar, apreciar e avaliar regularmente a
eficácia das medidas técnicas e organizativas para garantir
a segurança do tratamento.
Ao avaliar o nível de segurança adequado, devem ser tidos
em conta, designadamente, os riscos apresentados pelo
tratamento, em particular devido à destruição, perda e
alteração acidentais ou ilícitas, e à divulgação ou ao acesso
não autorizados, de dados pessoais transmitidos,
conservados ou sujeitos a qualquer outro tipo de
tratamento.
Os empregados a quem foram confiados o acesso a dados
pessoais, devem estar identificados e proceder ao seu
tratamento apenas mediante instruções. Assim sendo, deve
a Administração da empresa responsável identificar 

2
NOVA Breve descrição das Responsabilidades das Empresas
CAUSA relativamente à protecção de Dados Pessoais no RGPD

exaustivamente quem são as pessoas com essa função e


em que circunstâncias devem tratar os dados acolhidos.

2
11
DEVER DE REGISTO
DAS ACTIVIDADES DE
TRATAMENTO
(ART. 30.º)

MENU
NOVA Breve descrição das Responsabilidades das Empresas
CAUSA relativamente à protecção de Dados Pessoais no RGPD

A empresa tem de conservar em depósito um registo de


todas as atividades de tratamento sob a sua
responsabilidade. Desse registo deverão constar:
a) A sua denominação e contactos do responsável pelo
tratamento e, sendo caso disso, o nome e os contactos de
qualquer responsável conjunto pelo tratamento, do
representante do responsável pelo tratamento e do
encarregado da proteção de dados;
b) As finalidades do tratamento dos dados;
c) A descrição das categorias de titulares de dados (por
exemplo, clientes, empregados, prestadores de serviços,
fornecedores) e das categorias de dados pessoais;
d) As categorias de destinatários a quem os dados pessoais
foram ou serão divulgados, incluindo os destinatários
estabelecidos em países terceiros ou organizações
internacionais;
e) Se for aplicável, as transferências de dados pessoais para
países terceiros ou organizações internacionais;
f) Se possível, os prazos previstos para o apagamento das
diferentes categorias de dados;
g) Se possível, uma descrição geral das medidas técnicas e
organizativas no domínio da segurança adotadas.

2
12
DEVER DE
AVALIAÇÃO DE
IMPACTO SOBRE A
PROTECÇÃO DE
DADOS  
(ARTS 35.º E 36.º)

MENU
NOVA Breve descrição das Responsabilidades das Empresas
CAUSA relativamente à protecção de Dados Pessoais no RGPD

Apenas no caso de um certo tipo de tratamento, em


particular que utilize novas tecnologias e tendo em conta a
sua natureza, âmbito, contexto e finalidades, for suscetível
de implicar um elevado risco para os direitos e liberdades
das pessoas singulares, o responsável pelo tratamento
procede, antes de iniciar o tratamento, a uma avaliação de
impacto das operações de tratamento previstas sobre a
proteção de dados pessoais, devendo solicitar o parecer do
encarregado da proteção de dados, nos casos em que este
tenha sido designado.
A realização de uma avaliação de impacto sobre a proteção
de dados é obrigatória em caso de:
a) Avaliação sistemática e completa dos aspetos pessoais
relacionados com pessoas singulares, baseada no
tratamento automatizado, incluindo a definição de perfis,
sendo com base nela adotadas decisões que produzem
efeitos jurídicos relativamente à pessoa singular ou que a
afetem significativamente de forma similar;
b) Operações de tratamento em grande escala de dados
pessoais que revelem a origem racial ou étnica, as opiniões
políticas, as convicções religiosas ou filosóficas, ou a
filiação sindical, bem como o tratamento de dados
genéticos, dados biométricos para identificar uma pessoa 

2
NOVA Breve descrição das Responsabilidades das Empresas
CAUSA relativamente à protecção de Dados Pessoais no RGPD

de forma inequívoca, dados relativos à saúde ou dados


relativos à vida sexual ou orientação sexual de uma pessoa,
ou de dados pessoais relacionados com condenações
penais e infrações; ou
c) Controlo sistemático de zonas acessíveis ao público em
grande escala.
A avaliação inclui, pelo menos:
a) Uma descrição sistemática das operações de tratamento
previstas e a finalidade do tratamento, inclusive, se for caso
disso, os interesses legítimos do responsável pelo
tratamento;
b) Uma avaliação da necessidade e proporcionalidade das
operações de tratamento em relação aos objetivos;
c) Uma avaliação dos riscos para os direitos e liberdades
dos titulares dos direitos; e
d) As medidas previstas para fazer face aos riscos, incluindo
as garantias, medidas de segurança e procedimentos
destinados a assegurar a proteção dos dados pessoais e a
demonstrar a conformidade com o presente regulamento,
tendo em conta os direitos e os legítimos interesses dos
titulares dos dados e de outras pessoas em causa.
Se for adequado, a empresa solicita a opinião dos titulares
de dados ou dos seus representantes sobre o tratamento 

2
NOVA Breve descrição das Responsabilidades das Empresas
CAUSA relativamente à protecção de Dados Pessoais no RGPD

previsto, sem prejuízo da defesa dos interesses comerciais


ou públicos ou da segurança das operações de tratamento.
Se necessário, o responsável pelo tratamento procede a um
controlo para avaliar se o tratamento é realizado em
conformidade com a avaliação de impacto sobre a proteção
de dados, pelo menos quando haja uma alteração dos riscos
que as operações de tratamento representam.
Para esse efeito a empresa tem de consultar a CNPD antes
de proceder ao tratamento quando a avaliação de impacto
sobre a proteção de dados indicar que o tratamento
resultaria num elevado risco na ausência das medidas
tomadas pelo responsável pelo tratamento para atenuar o
risco, comunicando-lhe os seguintes elementos:
a) Se for aplicável, a repartição de responsabilidades entre o
responsável pelo tratamento, os responsáveis conjuntos
pelo tratamento e os subcontratantes envolvidos no
tratamento, nomeadamente no caso de um tratamento
dentro de um grupo empresarial;
b) As finalidades e os meios do tratamento previsto;
c) As medidas e garantias previstas para defesa dos direitos
e liberdades dos titulares dos dados nos termos do presente
regulamento;
d) Se for aplicável, os contactos do encarregado da proteção
de dados.
2
13
DEVER DE DESIGNAR
UM EPD  
(ARTS 37.º A 39.º)

MENU
NOVA Breve descrição das Responsabilidades das Empresas
CAUSA relativamente à protecção de Dados Pessoais no RGPD

Apenas nos seguintes casos é obrigatória a designação,


pela empresa, dum encarregado da proteção de dados:
a) O tratamento for efetuado por uma autoridade ou um
organismo público, excetuando os tribunais no exercício
da sua função jurisdicional;
b) As atividades principais do responsável pelo
tratamento ou do subcontratante consistam em
operações de tratamento que, devido à sua natureza,
âmbito e/ou finalidade, exijam um controlo regular e
sistemático dos titulares dos dados em grande escala;
ou
c) As atividades principais do responsável pelo
tratamento ou do subcontratante consistam em
operações de tratamento em grande escala de dados que
revelem a origem racial ou étnica, as opiniões políticas,
as convicções religiosas ou filosóficas, ou a filiação
sindical, bem como o tratamento de dados genéticos,
dados biométricos para identificar uma pessoa de forma
inequívoca, dados relativos à saúde ou dados relativos à
vida sexual ou orientação sexual de uma pessoa, e de
dados pessoais relacionados com condenações penais e
infrações.
O encarregado da proteção de dados é designado com
base nas suas qualidades profissionais e, em especial, 
NOVA Breve descrição das Responsabilidades das Empresas
CAUSA relativamente à protecção de Dados Pessoais no RGPD

nos seus conhecimentos especializados no domínio do


direito e das práticas de proteção de dados.
Pode ser um elemento do pessoal da entidade
responsável pelo tratamento ou exercer as suas funções
com base num contrato de prestação de serviços.
A empresa responsável pelo tratamento publica os
contactos do encarregado da proteção de dados e
comunica-os à autoridade de controlo.
A empresa responsável pelo tratamento deve assegurar
que o subcontratado asseguram que o encarregado da
proteção de dados seja envolvido, de forma adequada e
em tempo útil, a todas as questões relacionadas com a
proteção de dados pessoais e fornecer-lhe os recursos
necessários ao desempenho dessas funções e à
manutenção dos seus conhecimentos, bem como dando-
lhe acesso aos dados pessoais e às operações de
tratamento.
O EPD não recebe instruções relativamente ao exercício
das suas funções, nem não pode ser destituído nem
penalizado pelo facto de exercer as suas funções.
O encarregado da proteção de dados informa
diretamente a direção ao mais alto nível do responsável
pelo tratamento ou do subcontratante.
Os titulares dos dados podem contactar o encarregado 
NOVA Breve descrição das Responsabilidades das Empresas
CAUSA relativamente à protecção de Dados Pessoais no RGPD

da proteção de dados sobre todas questões relacionadas


com o tratamento dos seus dados pessoais e com o
exercício dos direitos que lhe são conferidos pelo
presente regulamento.
O encarregado da proteção de dados está vinculado à
obrigação de sigilo ou de confidencialidade no exercício
das suas funções.
O encarregado da proteção de dados pode exercer outras
funções e atribuições, desde que não resultem num
conflito de interesses.
São funções do encarregado da proteção de dados:
a) Informa e aconselha o responsável pelo tratamento ou
o subcontratante, bem como os trabalhadores que tratem
os dados, a respeito das suas obrigações por força do
RGPD;
b) Controla a conformidade com o presente regulamento,
com as políticas da empresa responsável pelo
tratamento relativas à proteção de dados pessoais,
incluindo a repartição de responsabilidades, a
sensibilização e formação do pessoal implicado nas
operações de tratamento de dados, e as auditorias
correspondentes;
c) Presta aconselhamento, quando tal lhe for solicitado,
no que respeita à avaliação de impacto sobre a proteção 
NOVA Breve descrição das Responsabilidades das Empresas
CAUSA relativamente à protecção de Dados Pessoais no RGPD

de dados e controla a sua realização;


d) Coopera com a autoridade de controlo;
e) Ponto de contacto para a CNPD sobre questões
relacionadas com o tratamento, e consulta, sendo caso
disso, esta autoridade sobre qualquer outro assunto.
14
DEVER DE ESCOLHER
BEM OS
SUBCONTRATADOS
(ARTS 28.º E 30.º)

MENU
NOVA Breve descrição das Responsabilidades das Empresas
CAUSA relativamente à protecção de Dados Pessoais no RGPD

A empresa tem o dever de escolher bem os


subcontratados que, por sua conta, tratem dos dados
pessoais que lhes foram confiados, se optar pelo
outsoursing. Estes têm de apresentar garantias
suficientes de medidas técnicas e organizativas
adequadas.
15
DEVER DE
COOPERAÇÃO COM A
CNPD  
(ART. 31.º)

MENU
NOVA Breve descrição das Responsabilidades das Empresas
CAUSA relativamente à protecção de Dados Pessoais no RGPD

A empresa tem o dever de cooperar com a CNPD, a


pedido desta, na prossecução das suas atribuições.