RGPD Conference

REGULAMENTO GERAL
DE PROTEÇÃO DE DADOS
Novo Regulamento Geral de Proteção de Dados

REGULAMENTO (UE) 2016/679 - 3ª Edição
OTÍLIA VEIGA
2018/3/14
2
REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

Plano da sessão
1. Enquadramento normativo
2. Âmbito de aplicação material e territorial
3. Conceitos fundamentais
4. Princípios relativos ao tratamento de dados pessoais
5. Condições de legitimidade dos tratamentos
6. Direitos dos titulares dos dados
Otília Veiga
3
1. Enquadramento normativo
A reforma da proteção de dados
A necessidade de colocar um fim nas diferenças das legislações dos Estados-

Membros, harmonizando o nível de proteção de dados pessoais com o propósito
declarado de facilitar as trocas no mercado interno e o livre fluxo de dados,
estiveram na origem do Regulamento Geral de Proteção de Dados
Otília Veiga
4
1. Enquadramento normativo internacional
• Diretiva 95/46/CE - até 24 Maio 2018
• Tratado de Lisboa: atribui efeito jurídico vinculativo à Carta dos Direitos

Fundamentais da UE - estabeleceu direito fundamental à proteção de dados
pessoais, juridicamente vinculativo para instituições da UE e para Estados-
Membros quando apliquem o direito da União (art. 8º)
• Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de

27/4/2016, relativo à proteção das pessoas singulares no que diz respeito ao
tratamento de dados pessoais e à livre circulação desses dados (Regulamento
Geral sobre a Proteção de Dados - RGPD) - Publicado no JOUE 4.5.2016
 Aplicável a partir de 25 de Maio de 2018
Otília Veiga
5
1. Enquadramento normativo nacional
• Constituição da República Portuguesa (CRP) - artigos 26º, 32º e 35º

 Portugal teve a primeira constituição com norma expressa (1976)
• Lei de Proteção de Dados Pessoais (LPDP) – Lei 67/98, de 26.10, alterada

pela Lei 103/2015, de 24.8: transpôs a Diretiva 96/46/CE (até 24 de maio de
2018)
 Revogou a Lei 10/91, de 29.4 (1ª lei de proteção de dados em Portugal )
Otília Veiga
6
Constituição da República Portuguesa
• Direito à reserva da vida privada e familiar e à proteção legal contra

qualquer forma de discriminação (art. 26º/1)
• Nulidade das provas obtidas mediante abusiva intromissão na vida privada, no

domicílio, na correspondência ou nas telecomunicações (art. 32º/8)
Otília Veiga
7

Direito à proteção de dados (art. 35º CRP)
• Todos os cidadãos têm o direito de aceder aos dados informatizados que lhes
digam respeito
• A lei define o conceito de dados pessoais, bem como as condições aplicáveis ao seu
tratamento e garante a sua proteção através de entidade administrativa
independente
• É proibido o acesso a dados pessoais de terceiros, salvo em casos

excecionais, expressamente previstos na lei
• A informática não pode ser utilizada para tratamento de dados referentes a

convicções filosóficas ou políticas, filiação partidária ou sindical, fé
religiosa, vida privada e origem étnica, salvo consentimento expresso do
titular ou autorização prevista por lei, com garantias de não discriminação
• Os dados pessoais constantes de ficheiros manuais gozam de proteção idêntica

aos dados informatizados
Otília Veiga
8
Preparação da legislação portuguesa para adaptação ao RGPD
Os temas submetidos a consulta pública foram
• tratamento de categorias especiais de dados pessoais (dados genéticos,

biométricos e de saúde)
• tratamento de dados pessoais no contexto laboral
• direito à portabilidade de dados
• condições aplicáveis ao consentimento de crianças em relação aos serviços da
sociedade da informação
• direito ao apagamento dos dados (“direito a ser esquecido”)
• decisões individuais automatizadas, incluindo definição de perfis
• designação, posição e funções do encarregado de proteção de dados (DPO)
https://www.portugal.gov.pt/pt/gc21/consulta-publica#206
Otília Veiga
9
2. Âmbito de aplicação material
O RGPD é aplicável aos tratamentos de dados pessoais automatizados e manuais

(art. 2º)
O RGPD não se aplica
• Aos Tribunais no exercício da função jurisdicional
• Ao tratamento de dados efetuado por pessoas singulares no exercício de atividades

exclusivamente pessoais ou domésticas, sem ligação com atividade
profissional ou comercial. Exemplos: troca de correspondência, atividade nas redes
sociais, conservação de listas de endereços (Considerando 18)
• Às questões de segurança nacional, política externa e de segurança comum

da UE (Considerando 15)
• Os ficheiros manuais ou conjuntos de ficheiros que não estejam estruturados de

acordo com critérios específicos não são abrangidos pelo Regulamento
(Considerando 15) Otília Veiga
10
2. Âmbito de aplicação territorial
RGDP é aplicável
• Aos tratamentos de dados pessoais efetuado por estabelecimento de um

responsável ou de um subcontratante situado na União independentemente
de o tratamento em si ser feito dentro ou fora da União
• Aos tratamentos de dados pessoais efetuados por um responsável pelo tratamento

estabelecido fora da União, mas num lugar em que se aplique o direito de um
Estado-Membro por força do direito internacional . Exemplo: embaixadas
Considerandos 22 e 25, art. 3º/1
Otília Veiga
11
2. Âmbito de aplicação territorial
Uma empresa estabelecida fora da União Europeia e sem presença na UE

também fica sujeita ao RGPD quando se dedicar à oferta de bens ou serviços a
titulares que se encontrem na UE ou efetuar o controlo do comportamento
(profiling) daqueles titulares caso ele ocorra na UE (Considerandos 23 e 24 e art. 3º/2)
• Exemplo: Tem obrigação de cumprir o RGPD uma empresa de vendas on line

japonesa que ofereça produtos disponíveis on line em inglês, cujos pagamentos
sejam feitos em euros, que processe encomendas de cidadãos na União Europeia
a quem essas encomendas são enviadas
Considerandos 23 e 24 e art. 3º/2
Otília Veiga
12
Dados pessoais
Informação relativa a uma pessoa singular identificada ou identificável, o titular

dos dados
 É identificável uma pessoa que possa ser identificada, direta ou indiretamente,

em especial por referência a um identificador, como nome, número de
identificação, dados de localização, identificadores por via eletrónica ou um ou
mais elementos específicos da identidade física, fisiológica, genética, mental,
económica, cultural ou social dessa pessoa (art. 4º/1)
Otília Veiga
13
Dados pessoais
• As pessoas singulares podem ser associadas a identificadores por via eletrónica,

fornecidos pelos respetivos aparelhos, aplicações, ferramentas e protocolos, tais
como endereços IP (protocolo internet) ou testemunhos de conexão (cookies) ou
outros identificadores, como as etiquetas de identificação por radiofrequência
• Estes identificadores podem deixar vestígios que, em especial quando combinados

com identificadores únicos e outras informações recebidas pelos servidores, podem
ser utilizados para a definição de perfis e a identificação das pessoas singulares
Considerando 30
Otília Veiga
14
Categorias especiais de dados pessoais (RGPD) - dados que revelem a origem

racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a
filiação sindical, dados genéticos, dados biométricos, dados relativos à saúde ou
dados relativos à vida sexual ou orientação sexual de uma pessoa (art. 9º)
Dados sensíveis (DPD/LPDP) - dados relativos a convicções filosóficas ou

políticas, filiação partidária ou sindical, fé religiosa, vida privada, origem racial ou
étnica, saúde e vida sexual, incluindo os dados genéticos
Otília Veiga
15
Tratamento - operação ou conjunto de operações efetuadas sobre dados pessoais por

meios automatizados ou não automatizados
 Exemplos: a recolha, o registo, a organização, a estruturação, a conservação, a
adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por
transmissão, difusão ou qualquer outra forma de disponibilização, a comparação
ou interconexão, a limitação, o apagamento ou a destruição (art. 4º/2)
Consentimento do titular - uma manifestação de vontade, livre, específica,

informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou
ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto
de tratamento (art. 4º/11)
Otília Veiga
16
Responsável pelo tratamento - a pessoa singular ou coletiva, a autoridade

pública, a agência ou outro organismo que, individualmente ou em conjunto com
outras, determina as finalidades e os meios de tratamento de dados pessoais
(art. 4º/7)
Subcontratante - a pessoa singular ou coletiva, a autoridade pública, a agência ou

outro organismo que trate os dados pessoais por conta do responsável pelo
tratamento (art. 4º/8)
Terceiro - a pessoa singular ou coletiva, a autoridade pública, o serviço ou organismo

que não seja o titular dos dados, o responsável pelo tratamento, o subcontratante e as
pessoas que, sob a autoridade direta do responsável pelo tratamento ou do
subcontratante, estão autorizadas a tratar os dados pessoais (art. 4º/10)
Otília Veiga
17

Representante - Pessoa singular ou coletiva estabelecida na União, designada por

escrito, que representa o responsável pelo tratamento ou o subcontratante não
estabelecidos na União no que se refere às suas obrigações para efeitos do RGPD
(art. 4º /17)
quando existir oferta de bens ou serviços aos titulares

de dados na União, independentemente da exigência de
procederem a um pagamento
É obrigatório
quando se verificar o controlo do comportamento dos

titulares, desde que esse comportamento tenha lugar na
União
Otília Veiga
18

Definição de perfis - qualquer forma de tratamento automatizado de dados pessoais

que consista em utilizar esses dados pessoais para avaliar certos aspetos
pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos
relacionados com o seu desempenho profissional, a sua situação económica, saúde,
preferências pessoais, interesses, fiabilidade, comportamento, localização ou
deslocações
Pseudonimização - o tratamento de dados pessoais de forma que deixem de poder

ser atribuídos a um titular de dados específico sem recorrer a informações
suplementares, desde que essas informações suplementares sejam mantidas
separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os
dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou
identificável
Otília Veiga
19
Respeito pelos princípios relativos ao tratamento

de dados pessoais
São essenciais à
conformidade do
tratamento de dados
pessoais com o RGPD
Verificação de alguma das condições de legitimidade

do tratamento de dados pessoais
Otília Veiga
20
Princípio da licitude, lealdade e transparência: os dados pessoais devem ser

objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados
Princípio da limitação das finalidades: os dados pessoais devem ser recolhidos

para finalidades determinadas, explícitas e legítimas e não podem ser tratados
posteriormente de forma incompatível com essas finalidades
Princípio da minimização dos dados: os dados pessoais devem ser adequados,

pertinentes e limitados ao que é necessário relativamente às finalidades para as quais
são tratados
Princípio da exatidão: os dados pessoais devem ser exatos e atualizados sempre que
necessário; devem ser adotadas todas as medidas adequadas para que os dados
inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou
retificados sem demora
Considerando 39 e art. 5º
Otília Veiga
21

Princípio da limitação da conservação: os dados pessoais devem ser conservados

de forma a que permitam a identificação dos titulares dos dados apenas durante o
período necessário para as finalidades para as quais são tratados
 Os dados podem ser conservados durante períodos mais longos desde que sejam
tratados exclusivamente para fins de arquivo de interesse público ou investigação
científica ou histórica ou para fins estatísticos, sujeitos à aplicação das medidas
técnicas e organizativas adequadas a fim de salvaguardar os direitos do titular
Princípio da integridade e confidencialidade: os dados devem ser tratados de

uma forma que garanta a sua segurança, incluindo a proteção contra o seu
tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação
acidental, devendo ser adotadas as medidas técnicas ou organizativas adequadas
Princípio da responsabilidade: o responsável pelo tratamento é quem responde

pela conformidade com os princípios e tem de poder comprovar essa conformidade
Otília Veiga
22
• Para que um tratamento de dados pessoais seja lícito ao abrigo do RGPD, é

necessário identificar um fundamento ou condição de legitimidade antes de
começar o processamento da informação
• O fundamento ou condição de legitimidade deve ser registado/ documentado
• A condição de legitimidade do tratamento tem repercussão nos direitos dos

titulares. Exemplo: se o tratamento de dados tiver como fundamento o
consentimento dos titulares, estes terão direito ao apagamento dos seus dados
Otília Veiga
23
O tratamento de dados (não especiais) só é lícito se ocorrer pelo menos uma das
seguintes situações:
• O titular dos dados tiver dado o seu consentimento para o tratamento dos seus
dados para uma ou mais finalidades específicas
• O tratamento for necessário para a execução de um contrato no qual o titular

dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos
dados
• O tratamento for necessário para o cumprimento de uma obrigação jurídica

a que o responsável pelo tratamento esteja sujeito
• O tratamento for necessário para a defesa de interesses vitais do titular ou de

terceiro (pessoa singular)
Otília Veiga Considerandos 40 a 50 e art. 6º

24
O tratamento de dados (não especiais) só é lícito se ocorrer pelo menos uma das
seguintes situações (cont.):
• O tratamento for necessário ao exercício de funções de interesse público ou

ao exercício da autoridade pública de que está investido o responsável
• O tratamento for necessário para efeito dos interesses legítimos do

responsável ou de terceiros, exceto se prevalecerem os interesses ou direitos e
liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em
especial se o titular for uma criança
 Não se aplica ao tratamento de dados efetuado por autoridades

públicas na prossecução das suas atribuições por via eletrónica (só na versão
portuguesa)
Considerandos 40 a 50 e art. 6º
Otília Veiga
25
Desvio de finalidade
• O tratamento de dados pessoais para outros fins que não aqueles para que
tenham sido inicialmente recolhidos apenas deverá ser autorizado se for
compatível com as finalidades para as quais os dados pessoais tenham sido
inicialmente recolhidos, caso em que não é necessário um fundamento
jurídico distinto do que permitiu a recolha dos dados
• Para apurar se a finalidade de um novo tratamento dos dados é ou não

compatível com a finalidade inicial, o responsável pelo tratamento deverá ter
em conta, entre outros aspetos, a existência de uma ligação entre a primeira
finalidade e a nova, as expectativas razoáveis do titular dos dados quanto à sua
posterior utilização, baseadas na sua relação com o responsável pelo tratamento, a
natureza dos dados pessoais, as consequências que o posterior tratamento pode ter
para o seu titular e a existência de garantias adequadas
art. 6º
Otília Veiga
26

Consentimento do titular dos dados
É uma manifestação de vontade, livre, específica, informada e explícita, pela qual

o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os
dados pessoais que lhe dizem respeito sejam objeto de tratamento.
 Exemplos: o consentimento pode ser dado mediante uma declaração escrita

(inclusive em formato eletrónico) ou uma declaração oral (neste caso, atenção ao
registo), validando uma opção ao visitar um sítio web na Internet ou mediante outra
declaração ou conduta que indique claramente que o titular aceita o tratamento
proposto dos seus dados
 O silêncio, as opções pré-validadas ou a omissão não são consentimento
Otília Veiga
27

Consentimento de crianças
Nos casos de oferta direta de serviços da sociedade da informação (cf. Diretiva

2015/1535/UE), o tratamento de dados pessoais de menores só é lícito
• Se o menor tiver pelo menos 16 anos e tiver dado o seu consentimento

• Se o menor tiver menos de 16 anos, se e na medida em que o consentimento for
dado ou autorizado pelos seus representantes legais (“titulares das
responsabilidades parentais”)
Os Estados-Membros podem definir uma idade inferior, desde que não inferior
a 13 anos (e, portanto, autorizar um menor de 13 anos a dar consentimento sem
necessidade de autorização)
O consentimento do representante legal não é necessário no caso de serviços

preventivos ou de aconselhamento dirigidos diretamente a uma criança
Otília Veiga
28

Consentimento de crianças
Serviços da sociedade da informação - Qualquer serviço prestado normalmente

mediante remuneração, à distância, por via eletrónica e decorrente de pedido
individual de um destinatário de serviços (art. 1º/ 1 /B da Diretiva UE 2015/1535)
art. 4º/25
Otília Veiga
29

Tratamento de categorias especiais de dados
Em regra, é proibido o tratamento de dados pessoais que revelem a origem racial ou

étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação
sindical, bem como o tratamento de dados genéticos, dados biométricos para
identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos
à vida sexual ou orientação sexual de uma pessoa
 O RGPD não menciona os “dados relativos à reserva da intimidade da vida

privada” que a CRP inclui no grupo dos dados sensíveis
Otília Veiga
30

Tratamento de categorias especiais de dados
É permitido o tratamento de categorias especiais de dados em casos especiais:
• Se o titular tiver dado o seu consentimento explícito para o tratamento desses

dados para uma ou mais finalidades específicas, exceto se o direito da União ou de
um Estado-Membro previr que a proibição não pode ser anulada pelo titular
dos dados
• Se o tratamento for necessário para efeitos do cumprimento de obrigações e do

exercício de direitos do responsável ou do titular em matéria de legislação
laboral, de segurança social e de proteção social, na medida em que esse
tratamento seja permitido pelo direito da União ou dos Estados-Membros ou
ainda por uma convenção coletiva nos termos do direito dos Estados-Membros
que preveja garantias adequadas dos direitos fundamentais e dos interesses do
titular dos dados
Otília Veiga
31

É permitido o tratamento de categorias especiais de dados (cont.):
• Se o tratamento for necessário para proteger os interesses vitais do titular ou de

terceiro, no caso de o titular estar física ou legalmente incapacitado de dar o seu
consentimento
• Se o tratamento for efetuado por uma fundação, associação ou outro organismo

sem fins lucrativos que prossiga fins políticos, filosóficos, religiosos ou sindicais,
desde que esse tratamento se refira exclusivamente aos membros ou antigos
membros desse organismo ou a pessoas que com ele tenham mantido
contactos regulares relacionados com os seus objetivos e que os dados pessoais não
sejam divulgados a terceiros sem o consentimento dos seus titulares
• Se o tratamento se referir a dados pessoais que tenham sido manifestamente

tornados públicos pelo seu titular
Otília Veiga
32

É permitido o tratamento de categorias especiais de dados (cont.)
• Se o tratamento for necessário à declaração, ao exercício ou à defesa de um direito

num processo judicial ou sempre que os tribunais atuem no exercício da sua
função jurisdicional
• Se o tratamento for necessário por motivos de interesse público importante,

com base no direito da União ou de um Estado-Membro (= interesse público tem de
ser reconhecido na própria lei), que deve ser proporcional ao objetivo visado,
respeitar a essência do direito à proteção dos dados pessoais e prever medidas
adequadas e específicas que salvaguardem os direitos fundamentais e os interesses
do titular dos dados
• Se o tratamento for necessário para efeitos de medicina preventiva ou do

trabalho, para a avaliação da capacidade de trabalho do empregado, o diagnóstico
médico, a prestação de cuidados ou tratamentos de saúde ou de ação social ou a
gestão de sistemas e serviços de saúde ou de ação social com base no direito da
União ou dos Estados-Membros ou por força de um contrato com um profissional de
saúde, sob reserva de tratamento por profissional sujeito a sigilo profissional
Otília Veiga
33

É permitido o tratamento de categorias especiais de dados (cont.)
• Se o tratamento for necessário por motivos de interesse público no domínio da

saúde pública, tais como a proteção contra ameaças transfronteiriças graves
para a saúde ou para assegurar um elevado nível de qualidade e de segurança dos
cuidados de saúde e dos medicamentos ou dispositivos médicos, com base no direito
da União ou dos Estados-Membros que preveja medidas adequadas e específicas que
salvaguardem os direitos e liberdades do titular dos dados, em particular o sigilo
profissional
• Se o tratamento for necessário para fins de arquivo de interesse público, para

fins de investigação científica ou histórica ou para fins estatísticos, com base
no direito da União ou de um Estado-Membro, que deve ser proporcional ao objetivo
visado, respeitar a essência do direito à proteção dos dados pessoais e prever
medidas adequadas e específicas para a defesa dos direitos fundamentais e dos
interesses do titular dos dados
Otília Veiga
34

Tratamentos de condenações penais e infrações
• O tratamento de dados pessoais relacionados com condenações penais e

infrações ou com medidas de segurança conexas, só pode ser efetuado sob o
controlo de uma autoridade pública ou se o tratamento for autorizado por
disposições do direito da União ou de um Estado-Membro que prevejam garantias
adequadas para os direitos e liberdades dos titulares dos dados
• Os registos completos das condenações penais só são conservados sob o

controlo das autoridades públicas
art. 10º
Otília Veiga
35

Princípio da transparência
• O titular tem direito à transparência nas comunicações com o responsável e

também tem direito a que o responsável facilite o exercício dos seus direitos
(art. 5º). Esta obrigação impõe ao responsável que comunique com o titular de
forma concisa, transparente, inteligível e de fácil acesso, utilizando uma
linguagem clara e simples (especialmente para crianças)
• O responsável deve respeitar um prazo de um mês, prorrogável por dois meses,

para tomar as medidas ou as prestar informações solicitadas pelo titular
• O responsável deve fundamentar o eventual indeferimento do pedido do

titular, informando-o dos motivos e do seu direito de reclamar junto da autoridade
de controlo ou intentar ação judicial
Considerandos 58 e 59 e art. 12º
Otília Veiga
36

Princípio da transparência
• O responsável deve dar seguimento ao pedido gratuitamente, exceto quando este

for manifestamente infundado ou excessivo, e pode solicitar informações
adicionais se tiver dúvidas razoáveis quanto à identidade do titular para limitação do
risco de acesso indevido por terceiros
 Cabe ao responsável demonstrar o caráter excessivo ou infundado do pedido
• O responsável pode prestar as informações através de ícones normalizados, o que

permitirá a apreensão mais rápida e fácil pelo público – a Comissão definirá que
informações serão prestadas por ícones e quais os procedimentos aplicáveis
Otília Veiga
37

Direito de informação
• O direito de informação decorre do princípio da transparência e traduz-se no direito

dos titulares dos dados a um conjunto mínimo de informações que lhes assegurem
um tratamento equitativo e transparente
• O titular dos dados deverá também ser informado da definição de perfis e das
consequências que daí advêm
• Não é obrigatório fornecer informações caso o titular dos dados já disponha

da informação, caso a lei disponha expressamente o registo ou a comunicação dos
dados pessoais ou caso a informação ao titular dos dados se revele impossível de
concretizar ou implicar um esforço desproporcionado
Artigos 13º e 14º e Considerandos 60 a 62
Otília Veiga
38

Informações a dar ao titular Recolha direta Recolha indireta
Identidade e contactos do S S
responsável, do representante e do
DPO
Finalidade e condição de S S
legitimidade
Interesses legítimos do responsável S S
ou de terceiro (se aplicável)
Categorias de dados tratadas N S
Destinatários S S
Transferências para países terceiros S S

e medidas de salvaguarda
Prazo de conservação ou critérios S S
para a sua definição
Otília Veiga
39

Informações a dar ao titular Recolha direta Recolha indireta
A existência dos direitos de acesso, S S

retificação, apagamento, limitação do
tratamento, oposição e portabilidade
O direito de retirar o consentimento a S S
todo o tempo
Direito a apresentar reclamação junto S S

da autoridade de controlo
A origem dos dados pessoais e se N S

proveem de fontes acessíveis ao público
Se a comunicação dos dados decorre de S N

obrigação legal ou contratual e as
consequências se o titular não fornecer
os dados
Existência de decisões automatizadas, S S
incluindo definição de perfis, lógica
subjacente, importância , consequências
Otília Veiga
40

Direito de informação
Quando é que a informação deve ser fornecida ao titular?
• Recolha direta - no momento da recolha
- num prazo razoável após ter obtido os dados (máximo, um

mês)
• Recolha Indireta - se se destinarem a fins de comunicação com o titular, o mais

tardar na 1.ª comunicação
- se estiver prevista divulgação a terceiros o mais tardar na 1.ª

divulgação
arts. 13º e 14º

Otília Veiga
41
Direito de acesso
O titular dos dados tem o direito de obter do responsável a confirmação de que os

seus dados são ou não objeto de tratamento e, se for esse o caso, o direito de lhes
aceder e às seguintes informações:
• As finalidades do tratamento dos dados

• As categorias dos dados pessoais em questão
• Os destinatários ou categorias de destinatários a quem os dados pessoais foram ou
serão divulgados, nomeadamente os destinatários estabelecidos em países terceiros
ou pertencentes a organizações internacionais
• Se for possível, o prazo de conservação dos dados pessoais, ou, se não for
possível, os critérios usados para fixar esse prazo

Otília Veiga
42

Direito de acesso
O titular dos dados tem ainda o direito de obter do responsável informação sobre
• A existência do direito de solicitar a retificação, o apagamento ou a limitação

do tratamento dos seus dados pessoais ou do direito de se opor ao seu tratamento
• O direito de apresentar reclamação a uma autoridade de controlo
• Se os dados não tiverem sido recolhidos junto do titular, as informações disponíveis
sobre a origem desses dados
• A existência de decisões automatizadas, incluindo a definição de perfis e
informações relativas à lógica subjacente, à importância e às consequências do
tratamento para o titular dos dados
Otília Veiga
43

Direito de acesso
• O titular tem o direito a uma cópia dos dados pessoais, sem prejuízo de direitos de
terceiros (e.g., segredo comercial, propriedade intelectual)
• Se o titular dos dados apresentar o pedido por meios eletrónicos, e salvo pedido em
contrário do titular dos dados, a informação é fornecida num formato
eletrónico de uso corrente
• O acesso deve ser dado no prazo de um mês, prorrogável por dois meses (art. 12º/3)
• O acesso é gratuito mas o responsável pode cobrar taxa em casos específicos (art.
12º/5)

Otília Veiga
44

Direito de retificação
Este direito decorre do princípio da exatidão (art.5 º/D), i.e., da imposição de que
os dados tratados devem ser exatos e atualizados
• A retificação deve ser efetuada no prazo de um mês, prorrogável por dois meses
(art.12º/3)
• A retificação é gratuita mas o responsável pode cobrar taxa em casos específicos

(art. 12º/5)
• O responsável tem de comunicar a retificação a cada destinatário a quem

tenham sido comunicados os dados, salvo se a comunicação for impossível ou
implicar esforço desproporcionado; se o titular o solicitar, o responsável deve dar-
lhe informações sobre esses destinatários (art. 19º)

Otília Veiga
45

Direito ao apagamento dos dados (“direito a ser esquecido”)
O titular tem o direito de obter o apagamento dos seus dados pessoais e o

responsável tem a obrigação de os apagar, sem demora injustificada, quando
• Os dados pessoais deixaram de ser necessários para a finalidade que motivou

a sua recolha
• O titular retira o consentimento em que se baseia o tratamento
• O titular opõe-se ao tratamento (e.g. profiling) e não existem interesses legítimos
prevalecentes que justifiquem o tratamento ou opõe-se nos casos de marketing
direto
• Os dados pessoais foram tratados ilicitamente
• Os dados têm de ser apagados para cumprimento de obrigação legal do
responsável
• Os dados pessoais foram recolhidos no contexto da oferta de serviços da sociedade
da informação a uma criança que, quando adulto, retira o consentimento
Otília Veiga Considerandos 65/66 e art. 17º

46

O direito ao apagamento não se verifica quando o tratamento for necessário:
• Ao exercício da liberdade de expressão e de informação

• Ao cumprimento de uma obrigação legal a que o responsável esteja sujeito, ao
exercício de funções de interesse público ou ao exercício da autoridade pública de
que esteja investido o responsável
• Por motivos de interesse público no domínio da saúde pública
• Para fins de arquivo de interesse público, para fins de investigação científica
ou histórica ou para fins estatísticos, na medida em que o direito ao apagamento
possa tornar impossível ou prejudicar gravemente esses tratamentos
• Para declaração, exercício ou defesa de um direito num processo judicial
Otília Veiga
47

O direito ao apagamento não se verifica quando o tratamento for necessário:
• Ao exercício da liberdade de expressão e de informação

• Ao cumprimento de uma obrigação legal a que o responsável esteja sujeito, ao
exercício de funções de interesse público ou ao exercício da autoridade pública de
que esteja investido o responsável
• Por motivos de interesse público no domínio da saúde pública
• Para fins de arquivo de interesse público, para fins de investigação científica
ou histórica ou para fins estatísticos, na medida em que o direito ao apagamento
possa tornar impossível ou prejudicar gravemente esses tratamentos
• Para declaração, exercício ou defesa de um direito num processo judicial
Otília Veiga
48

Direito à limitação do tratamento
O titular dos dados tem o direito de obter do responsável a limitação do

tratamento
• Se contestar a exatidão dos dados, durante o período que permita ao responsável

verificar a sua exatidão
• O tratamento for ilícito e o titular dos dados se opuser ao apagamento dos dados
e solicitar, em contrapartida, a limitação da sua utilização
• O responsável já não precisar dos dados para fins de tratamento, mas esses
dados sejam requeridos pelo titular para efeitos de declaração, exercício ou defesa de
um direito num processo judicial
• Se se tiver oposto ao tratamento, até se verificar que os motivos legítimos do
responsável prevalecem sobre os do titular
Otília Veiga
49

Direito à limitação do tratamento
Quando o tratamento tiver sido limitado, os dados pessoais só podem, à exceção

da conservação, ser objeto de tratamento em situações especiais: com o
consentimento do titular, ou para declaração, exercício ou defesa de um direito num
processo judicial, de defesa dos direitos de outra pessoa singular ou coletiva, ou por
motivos ponderosos de interesse público da União ou de um Estado-Membro
O titular que tiver obtido a limitação do tratamento é informado pelo

responsável antes de ser anulada a limitação ao referido tratamento
Tal como com a retificação e o apagamento, também a limitação do tratamento

deve ser comunicada pelo responsável aos destinatários a quem tenham sido
previamente transmitidos (art. 19º)
Otília Veiga
50

Direito à portabilidade dos dados
• Sempre que o tratamento de dados for automatizado, o titular tem o direito de

receber os dados pessoais que tenha fornecido a um responsável pelo tratamento,
num formato estruturado, de uso corrente, de leitura automática e
interoperável, e o direito a transmiti-los a outro responsável (= reutilização dos
dados pelo titular)
• Este direito deverá aplicar-se só se o titular tiver fornecido os dados com base no seu
consentimento ou se o tratamento for necessário para o cumprimento de um
contrato
• Este direito não deverá ser exercido em relação aos responsáveis que tratem dados
pessoais na prossecução das suas atribuições públicas

Otília Veiga
51

Direito à portabilidade dos dados
• Ao exercer o direito à portabilidade, o titular tem o direito a que os dados sejam

transmitidos diretamente entre os responsáveis pelo tratamento, sempre
que for tecnicamente possível (e.g., hospitais, bancos, seguradoras)
• A portabilidade do tratamento deve ser efetuada no prazo de um mês, prorrogável

por dois meses (art. 12º/ 3)
• A portabilidade do tratamento deve ser gratuita (art. 12º/5)
Otília Veiga
52

Direito de oposição
• Direito já previsto na Diretiva, com o RGPD é alargado no sentido em que o titular,

por motivos relacionados com a sua situação particular, pode opor-se a um
tratamento de dados cuja condição de legitimidade seja o interesse público ou o
interesse legítimo do responsável
• Inverte-se o ónus da prova: agora é o responsável que tem de apresentar razões

imperiosas e legítimas que prevaleçam sobre os interesses e direitos do titular ou
comprovar que o tratamento é necessário para declaração, exercício ou defesa de
direitos em processo judicial, caso contrário tem de cessar o tratamento
• Se os dados pessoais forem tratados para comercialização direta, o titular deverá

ter o direito de se opor, em qualquer momento e gratuitamente, a tal tratamento,
incluindo a definição de perfis na medida em que esteja relacionada com a
referida comercialização
Considerandos 69/70 e art. 21º
Otília Veiga
53

Decisões individuais automatizadas, incluindo definição de perfis
• O titular dos dados tem o direito de não ficar sujeito a nenhuma decisão tomada
exclusivamente com base no tratamento automatizado, incluindo a definição
de perfis, que produza efeitos na sua esfera jurídica ou que o afete significativamente
de forma similar (e.g., recusa automática de um pedido de crédito por via eletrónica
ou práticas de recrutamento eletrónico sem intervenção humana)
• A decisão só pode ser tomada apenas com base no tratamento automatizado se

For necessária à celebração ou à execução de um contrato entre o titular e o
responsável pelo tratamento
For autorizada pelo direito da União ou do Estado-Membro a que o
responsável pelo tratamento estiver sujeito e na qual estejam igualmente previstas
medidas adequadas para salvaguardar os direitos e liberdades e os legítimos
interesses do titular dos dados
For baseada no consentimento explícito do titular dos dados
Otília Veiga Considerandos 71/72 e art. 22º

54

Decisões individuais automatizadas, incluindo definição de perfis
• Nos casos de tratamento de dados para celebração ou execução de contrato ou com o

consentimento do titular, o responsável tem de assegurar o direito do titular a obter
intervenção humana na decisão, a manifestar o seu ponto de vista e a
contestar a decisão
• Só podem ocorrer decisões automatizadas relativas a dados sensíveis

quando existir consentimento explícito do titular ou o tratamento for necessário
por motivo de interesse público importante previsto no direito da União ou dos
Estados-Membros, desde que aplicadas medidas para salvaguardar os direitos do
titular
Considerandos 71/72 e art. 22º
Otília Veiga
55

Limitações
O direito da União ou dos Estados-Membros podem limitar (por medida legislativa) o

alcance das obrigações e dos direitos, mas apenas se essa limitação respeitar o
conteúdo essencial dos direitos e liberdades fundamentais e for necessária e
proporcionada para assegurar:
• A segurança do Estado, a defesa e a segurança pública
• A prevenção, investigação, deteção ou repressão de infrações penais, execução de
penas, salvaguarda e prevenção de ameaças à segurança pública
• Outros objetivos importantes do interesse público geral da União ou de um Estado-
Membro (interesse económico ou financeiro)
• A defesa da independência judiciária e dos processos judiciais
• Missão de controlo, inspeção ou regulamentação associada ao exercício da
autoridade pública
• Defesa do titular dos dados ou dos direitos ou liberdades de outrem
• A execução de ações cíveis
Otília Veiga
56
Otília Veiga

RGPD Conference

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

RGPD Conference

Enviado por

Direitos autorais:

Formatos disponíveis

REGULAMENTO GERAL

Novo Regulamento Geral de Proteção de Dados

REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

2. Âmbito de aplicação material e territorial

4. Princípios relativos ao tratamento de dados pessoais

5. Condições de legitimidade dos tratamentos

6. Direitos dos titulares dos dados

REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

A reforma da proteção de dados

A necessidade de colocar um fim nas diferenças das legislações dos Estados-

REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

1. Enquadramento normativo internacional

• Diretiva 95/46/CE - até 24 Maio 2018

• Tratado de Lisboa: atribui efeito jurídico vinculativo à Carta dos Direitos

• Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de

REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

1. Enquadramento normativo nacional

• Constituição da República Portuguesa (CRP) - artigos 26º, 32º e 35º

• Lei de Proteção de Dados Pessoais (LPDP) – Lei 67/98, de 26.10, alterada

REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

1. Enquadramento normativo nacional

Constituição da República Portuguesa

• Direito à reserva da vida privada e familiar e à proteção legal contra

• Nulidade das provas obtidas mediante abusiva intromissão na vida privada, no

REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

Direito à proteção de dados (art. 35º CRP)

• É proibido o acesso a dados pessoais de terceiros, salvo em casos

• A informática não pode ser utilizada para tratamento de dados referentes a

• Os dados pessoais constantes de ficheiros manuais gozam de proteção idêntica

REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

Preparação da legislação portuguesa para adaptação ao RGPD

Os temas submetidos a consulta pública foram

• tratamento de categorias especiais de dados pessoais (dados genéticos,

REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

2. Âmbito de aplicação material

O RGPD é aplicável aos tratamentos de dados pessoais automatizados e manuais

O RGPD não se aplica

• Aos Tribunais no exercício da função jurisdicional

• Ao tratamento de dados efetuado por pessoas singulares no exercício de atividades

• Às questões de segurança nacional, política externa e de segurança comum

• Os ficheiros manuais ou conjuntos de ficheiros que não estejam estruturados de

REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

2. Âmbito de aplicação territorial

• Aos tratamentos de dados pessoais efetuado por estabelecimento de um

• Aos tratamentos de dados pessoais efetuados por um responsável pelo tratamento

Considerandos 22 e 25, art. 3º/1

REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

2. Âmbito de aplicação territorial

Uma empresa estabelecida fora da União Europeia e sem presença na UE

• Exemplo: Tem obrigação de cumprir o RGPD uma empresa de vendas on line

Considerandos 23 e 24 e art. 3º/2

REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

Informação relativa a uma pessoa singular identificada ou identificável, o titular

 É identificável uma pessoa que possa ser identificada, direta ou indiretamente,

REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

• As pessoas singulares podem ser associadas a identificadores por via eletrónica,

• Estes identificadores podem deixar vestígios que, em especial quando combinados

REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

Categorias especiais de dados pessoais (RGPD) - dados que revelem a origem

Dados sensíveis (DPD/LPDP) - dados relativos a convicções filosóficas ou

REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

Tratamento - operação ou conjunto de operações efetuadas sobre dados pessoais por

Consentimento do titular - uma manifestação de vontade, livre, específica,