Escolar Documentos
Profissional Documentos
Cultura Documentos
Introdução ................................................................................................................................................... 3
Enquadramento........................................................................................................................................... 3
Âmbito de Aplicação ................................................................................................................................... 4
O conceito de dados pessoais e o seu tratamento ..................................................................................... 5
Princípios relativos ao tratamento de dados............................................................................................. 6
1. Princípio da licitude, lealdade e transparência ............................................................................ 7
2. Princípio da limitação das finalidades .......................................................................................... 7
3. Princípio da minimização dos dados ............................................................................................. 8
4. Princípio da exatidão ...................................................................................................................... 8
5. Princípio da limitação da conservação .......................................................................................... 9
6. Princípio da integridade e confidencialidade ............................................................................... 9
7. Princípio da responsabilidade ........................................................................................................ 9
Principais Reformas e Inovações ............................................................................................................. 10
1. Sanções ........................................................................................................................................... 10
2. Encarregado de Proteção de Dados ............................................................................................. 10
3. Registo de atividades de tratamento............................................................................................ 11
4. Avaliação de impacto sobre a proteção de dados ....................................................................... 11
5. Direito dos Titulares: apagamento e portabilidade ................................................................... 12
Conclusão ................................................................................................................................................... 12
Referências................................................................................................................................................. 14
Introdução
Esta análise pretende referir o contexto de surgimento, referindo as necessidades por
detrás do novo regulamento geral de proteção de dados. De seguida, são definidos os dois
conceitos mais importantes e analisado o âmbito de aplicação e os princípios estruturados do
regulamento. Por fim, são referidas as principais reformas que este regulamento trouxe.
Enquadramento
A primeira Constituição do mundo a proteger expressamente os dados pessoais foi a
Constituição da República Portuguesa (CRP), que consagrou em 1976, o direito à proteção de
dados pessoais (Jesus, 2012). O direito à autodeterminação informacional, previsto no art. 35º da
CRP, dá “a cada pessoa o direito de controlar a informação disponível a seu respeito, impedindo-
se que a pessoa se transforme em «simples objeto de informação»” (Canotilho & Moreira, 2007,
p. 551). De acordo com Castro (2016), o art.35º engloba os seguintes direitos: o direito de acesso,
retificação e atualização dos dados; o direito de conhecimento da finalidade dos tratamentos de
dados; o direito ao não tratamento de dados; o direito à não divulgação de dados objeto de
tratamento, traduzido na proibição do acesso aos dados por terceiros.
A proteção dos dados pessoais ganhou forma em Portugal com a Diretiva 95/46/CE, do
Parlamento Europeu e do Conselho, de 24 de outubro de 1995, que foi transposta para a ordem
jurídica portuguesa pela Lei n.º67/98. A diretiva 95/46/CE pretendia “instituir um quadro
regulamentar a fim de estabelecer um equilíbrio entre um nível elevado de proteção da vida
privada das pessoas e a livre circulação de dados pessoais no interior da União Europeia (UE)”
(EU, 2014). Todavia, era uma diretiva de caráter ambíguo que deixava espaço para interpretação,
levando a aplicações distintas entre os Estados-Membros. Segundo o Parlamento Europeu (União
Europeia, 2016: considerando n.º9):
Âmbito de Aplicação
O RGPD aplica-se ao “tratamento de dados pessoais por meios total ou parcialmente
automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos
em ficheiros ou a eles destinados” (União Europeia, 2016, art. 2º n.º1)
Um aspeto que difere este regulamento dos seus antecessores é que, para além de existir a
obrigatoriedade de cumprimento das novas regras por parte dos Estados-membros, também os
Estados que, mesmo não fazendo parte da União Europeia, pretendam tratar dados pessoais de
cidadãos europeus, deverão ter em conta a aplicação do documento em causa (Batalha, 2017).
Assim, o âmbito territorial deste regulamente é internacional. O art. 3º do RGPD esclarece quanto
ao âmbito territorial ao afirmar que o “regulamento aplica-se ao tratamento de dados pessoais
efetuado no contexto das atividades de um estabelecimento de um responsável pelo tratamento ou
de um subcontratante situado no território da União, independentemente de o tratamento ocorrer
dentro ou fora da União”. Nos casos em que o subcontratante não situado na União proceda ao
tratamento de dados pessoais de titulares residentes no território da União, o regulamento só se
aplica quando as atividades estejam relacionadas com oferta de bens ou serviços a esses titulares
e/ou controlo do comportamento que tenha lugar na União.
1
“Qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados pessoais
para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos
relacionados com o seu desempenho profissional, a sua situação económica, saúde, preferências pessoais,
interesses, fiabilidade, comportamento, localização ou deslocações.” (art.4º n.º 4 do RGPD).
2
As restantes exceções estão listadas no art. 9º n.º1 do RGPD.
1. Princípio da licitude, lealdade e transparência (art. 5º n.º1 alínea a) do RGPD)
a. Consentimento explícito
b. Execução de um contrato
c. Cumprimento de uma obrigação jurídica
d. Defesa de Interesses Vitais
e. Exercício de funções de interesse público ou exercício da autoridade pública
f. Interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros
O princípio da lealdade confere a relação entre o responsável pelo tratamento dos dados e a
pessoa a que os dados se referem, obrigando a que o primeiro revele todas as operações de
tratamento que os dados serão sujeitos, bem como informar sobre as circunstâncias da sua recolha
dos dados (Vaz, 2018). O princípio da lealdade e da transparência encontram-se interligados, no
sentido em que o titular tem o direito a que lhe sejam prestadas informações sobre o tratamento
dos seus dados: identidade do responsável pelo tratamento dos mesmos, fins a que o tratamento se
destina, informações que se destinam a assegurar que seja efetuado com equidade e transparência.
O princípio da transparência exige que tais informações sejam de fácil acesso e compreensão,
devendo ser formuladas numa linguagem clara e simples para melhor compreensão (União
Europeia, 2016, conferindo n.º 39). Todas as pessoas a que os dados dizem respeito devem ser
alertadas para todos os riscos, regras, garantias e direitos associados ao tratamento dos dados, bem
como as finalidades específicas do tratamento de dados. A comunicação destas informações deve
ser feita no momento da recolha dos dados (ibidem).
O princípio da limitação das finalidades declara que os dados pessoais são recolhidos para
finalidades determinadas, explícitas e legítimas e não podem ser tratados posteriormente de forma
incompatível com a finalidade inicialmente estabelecida (ibidem). O considerando n.º 61
complementa este princípio esclarecendo que “sempre que o responsável pelo tratamento tiver a
intenção de tratar os dados pessoais para outro fim que não aquele para o qual tenham sido
recolhidos, antes desse tratamento o responsável pelo tratamento deverá fornecer ao titular dos
dados informações sobre esse fim e outras informações necessárias”.
Caso se pretenda realizar o tratamento de dados para finalidades diferentes daquelas
estipuladas quando os dados foram recolhidos e não haja consentimento para tal, o n.º 4 do art. 6º
exige que o responsável pelo tratamento averigue se “o tratamento para outros fins é compatível
com a finalidade para a qual os dados pessoais foram inicialmente recolhidos”. Para tal, deverá ter
em consideração a possível ligação entre a finalidade que fundou a recolha de dados e a finalidade
do tratamento subsequente, o contexto da recolha e a natureza dos dados (União Europeia, 2016).
De acordo com este princípio, os dados recolhidos devem ser “adequados, pertinentes e
limitados ao que é necessário relativamente às finalidades para as quais são tratados” (ibidem). O
objetivo deste princípio é evitar a recolha excessiva e desnecessária de dados pessoais. Para tal, o
considerando n.º 39 afirma ser necessário assegurar que o prazo de conservação dos dados seja
limitado ao mínimo necessário. Cabe ao responsável pelo tratamento fixar os prazos para o
apagamento ou a revisão periódica. É de notar que os dados pessoais apenas deverão ser tratados
se a finalidade do tratamento não puder ser atingida de forma razoável por outros meios. Caso tal
aconteça, os dados deverão ser tratados de modo a garantir a devida segurança e confidencialidade.
Do princípio de minimização dos dados, decorre também a possibilidade de recorrer à
aplicação da “pseudonimização”3 aos dados pessoais de modo a poder “reduzir os riscos para os
titulares dos dados em questão e ajudar os responsáveis pelo tratamento e os seus subcontratantes
a cumprir as suas obrigações de proteção de dados” (União Europeia, 2016: conferendo n.º 28).
Segundo o princípio da exatidão, os dados devem ser exatos e atualizados sempre que necessário
para garantir a sua exatidão. Devem ser adotadas medidas adequadas para apagar ou retificar, sem
demora, os dados inexatos.
3
Codificação da informação. Todavia, através do cruzamento de dados, é possível a identificação do titular (Vaz,
2018).
5. Princípio da limitação da conservação (art. 5º n.º 1 alínea e) do RGPD)
Da limitação da conservação resulta que os dados devem ser “conservados de uma forma que
permita a identificação dos titulares dos dados e apenas durante o período necessário para as
finalidades para as quais são tratado” (ibidem). Cabe ao responsável pelo tratamento dos dados
fixar os prazos para o apagamento ou revisão periódica, com o objetivo de assegurar que os dados
são conservados apenas o tempo considerado necessário. (União Europeia, 2016: conferendo n.º
39).
A este princípio deve ser aliado o direito a ser esqueccido, previsto no art. 17º (União
Europeia, 2016), em que o titular tem o direito a requerer o apagamento dos seus dados pessoais,
sem demora injustificada. Em Portugal, cabe à É a Comissão Nacional de Protecção de Dados que
tem competência atribuída pela Lei 67/98 de 26 de outubro (art. 23º n.º1 al. f)) para fixar o tempo
de conservação dos dados pessoais em função da finalidade, poder que exerce quando procede ao
registo ou autoriza um tratamento de dados pessoais.
Os dados devem ser tratados de modo a garantir a sua segurança, “incluindo a proteção contra
o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental”
(ibidem). Para tal, o responsável pelo tratamento de dados deve adotar medidas técnicas ou
organizativas adequadas. O considerando n.º 83 refere que o responsável ou subcontratante deve
avaliar os riscos que o tratamento implica e aplicar medidas que os atenuem, como a cifragem,
com o objetivo de preservar a segurança do tratamento de dados. Este considerando esclarece que,
no cumprimento desta exigência de segurança, serão tidas em consideração “as técnicas mais
avançadas e os custos da sua aplicação em função dos riscos e da natureza dos dados pessoais a
proteger”.
1. Sanções
Conclusão
Face ao desenvolvimento tecnológico e consequente crescimento do volume de dados, é
necessário um novo quadro de proteção de dados que uniformize as regras entre os Estados-
membros. O RGPD vem proporcionar maior controlo sobre os dados pessoais para os cidadãos
europeus, gerando, em contrapartida, novas exigências às empresas.
A proteção das pessoas singulares relativamente ao tratamento de dados pessoais é um direito
fundamental que veio a ser fortalecido com este regulamento. O ponto positivo mais forte, no meu
ponto de vista, é a concessão dos direitos de ser esquecido e de portabilidade. Apesar de
inconvenientes para as entidades processadoras dos dados, representam um importante passo na
aproximação do direito à atual realidade, caraterizada pela crescente componente tecnológica.
O ponto mais negativo refere-se às preocupações que estas novas regras poderão gerar nas
empresas, visto que o seu não cumprimento implica sanções mais penosas. Todavia, as mesmas
tiveram dois anos para implementarem as mudanças necessárias para estarem em conformidade
com o regulamento.
Referências
Canotilho, J., & Moreira, V. (2007). Constituição da República Portuguesa Anotada (4ª ed., Vol. I).
Coimbra Editora.
EU. (10 de março de 2014). Proteção dos dados pessoais. Obtido em 02 de novembro de 2020, de EUR-
Lex: https://eur-lex.europa.eu/legal-content/PT/LSU/?uri=celex:31995L0046
Jesus, I. (dezembro de 2012). O Novo Regime Jurídico de Protecção de Dados Pessoais na Europa.
União Europeia. (27 de abril de 2016). Regulamento (UE) 2016/679 do Parlamento Europeu e do
Conselho, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de
dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de
Dados). Official Journal of The European Union, L119 V59, 1-19. Obtido de https://eur-
lex.europa.eu/legal-content/PT/TXT/?uri=celex%3A32016R0679