Mestrado em Análise de Dados e Sistemas de Apoio à Decisão

Metodologias e Técnicas de Investigação

Análise do Novo Regulamento

Geral de Proteção de Dados

Aline Pontieri de Carvalho

2020106700
Índice

Introdução ................................................................................................................................................... 3
Enquadramento........................................................................................................................................... 3
Âmbito de Aplicação ................................................................................................................................... 4
O conceito de dados pessoais e o seu tratamento ..................................................................................... 5
Princípios relativos ao tratamento de dados............................................................................................. 6
1. Princípio da licitude, lealdade e transparência ............................................................................ 7
2. Princípio da limitação das finalidades .......................................................................................... 7
3. Princípio da minimização dos dados ............................................................................................. 8
4. Princípio da exatidão ...................................................................................................................... 8
5. Princípio da limitação da conservação .......................................................................................... 9
6. Princípio da integridade e confidencialidade ............................................................................... 9
7. Princípio da responsabilidade ........................................................................................................ 9
Principais Reformas e Inovações ............................................................................................................. 10
1. Sanções ........................................................................................................................................... 10
2. Encarregado de Proteção de Dados ............................................................................................. 10
3. Registo de atividades de tratamento............................................................................................ 11
4. Avaliação de impacto sobre a proteção de dados ....................................................................... 11
5. Direito dos Titulares: apagamento e portabilidade ................................................................... 12
Conclusão ................................................................................................................................................... 12
Referências................................................................................................................................................. 14
Introdução
Esta análise pretende referir o contexto de surgimento, referindo as necessidades por
detrás do novo regulamento geral de proteção de dados. De seguida, são definidos os dois
conceitos mais importantes e analisado o âmbito de aplicação e os princípios estruturados do
regulamento. Por fim, são referidas as principais reformas que este regulamento trouxe.

Enquadramento
A primeira Constituição do mundo a proteger expressamente os dados pessoais foi a
Constituição da República Portuguesa (CRP), que consagrou em 1976, o direito à proteção de
dados pessoais (Jesus, 2012). O direito à autodeterminação informacional, previsto no art. 35º da
CRP, dá “a cada pessoa o direito de controlar a informação disponível a seu respeito, impedindo-
se que a pessoa se transforme em «simples objeto de informação»” (Canotilho & Moreira, 2007,
p. 551). De acordo com Castro (2016), o art.35º engloba os seguintes direitos: o direito de acesso,
retificação e atualização dos dados; o direito de conhecimento da finalidade dos tratamentos de
dados; o direito ao não tratamento de dados; o direito à não divulgação de dados objeto de
tratamento, traduzido na proibição do acesso aos dados por terceiros.
A proteção dos dados pessoais ganhou forma em Portugal com a Diretiva 95/46/CE, do
Parlamento Europeu e do Conselho, de 24 de outubro de 1995, que foi transposta para a ordem
jurídica portuguesa pela Lei n.º67/98. A diretiva 95/46/CE pretendia “instituir um quadro
regulamentar a fim de estabelecer um equilíbrio entre um nível elevado de proteção da vida
privada das pessoas e a livre circulação de dados pessoais no interior da União Europeia (UE)”
(EU, 2014). Todavia, era uma diretiva de caráter ambíguo que deixava espaço para interpretação,
levando a aplicações distintas entre os Estados-Membros. Segundo o Parlamento Europeu (União
Europeia, 2016: considerando n.º9):

Os objetivos e os princípios da Diretiva 95/46/CE continuam a ser válidos,

mas não evitaram a fragmentação da aplicação da proteção dos dados ao nível da
União, nem a insegurança jurídica ou o sentimento generalizado da opinião pública
de que subsistem riscos significativos para a proteção das pessoas singulares,
nomeadamente no que diz respeito às atividades por via eletrónica. As diferenças
no nível de proteção dos direitos e das pessoas singulares, nomeadamente do direito
à proteção dos dados pessoais no contexto do tratamento desses dados nos Estados-
 Membros, podem impedir a livre circulação de dados pessoais na União. Essas
diferenças podem, por conseguinte, constituir um obstáculo ao exercício das
atividades económicas a nível da União, distorcer a concorrência e impedir as
autoridades de cumprirem as obrigações que lhes incumbem por força do direito da
União. Essas diferenças entre os níveis de proteção devem-se à existência de
disparidades na execução e aplicação da Diretiva 95/46/CE.

A globalização e a rápida evolução tecnológica trouxeram novos desafios em matéria de

proteção de dados pessoais. Esta evolução exigiu um quadro de proteção de dados sólidos e mais
coerente na União Europeia, apoiado por uma aplicação rigorosa das regras (União Europeia,
2016). Ou seja, surgiu a necessidade de passar de um conjunto de diretrizes para um conjunto de
leis com caráter obrigatório. Em 2016, o Jornal Oficial da União Europeia publicou o novo
Regulamento Geral sobre a Proteção de Dados – Regulamento (UE) 2016/679 do Parlamento
Europeu e do Conselho, de 27 de abril de 2016, doravante referido como RGPD – revogando a
diretiva 95/46/CE. Este regulamento vigora desde 25 de maio de 2016, sendo aplicável desde 25
de maio de 2018.
O novo regulamento é um documento vinculativo para todos os Estados-Membros. Tem
como objetivo garantir a equivalente proteção das pessoas singulares no que diz respeito ao
tratamento de dados pessoais e à livre circulação desses dados na União Europeia e “defender os
direitos e liberdades fundamentais das pessoas singulares, nomeadamente o seu direito à proteção
dos dados pessoais” (n.º2 do art. 1º do RGPD).
Em território português, a nova legislação de proteção de dados é constituída por três
instrumentos legais. O primeiro refere-se ao Regulamento (UE) 2016/679. O segundo é a lei
nacional de execução do Regulamento pela Lei 58/2019, de 8 de agosto – que revoga a anterior lei
de proteção de dados pessoais (Lei 67/98). E o terceiro é uma lei específica de proteção de dados
para os tratamentos efetuados por autoridades competentes para a deteção, prevenção, investigação
e repressão de infrações penais e para a execução de sanções penais – Lei 59/2019, de 8 de agosto.

Âmbito de Aplicação
O RGPD aplica-se ao “tratamento de dados pessoais por meios total ou parcialmente
automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos
em ficheiros ou a eles destinados” (União Europeia, 2016, art. 2º n.º1)
 Um aspeto que difere este regulamento dos seus antecessores é que, para além de existir a
obrigatoriedade de cumprimento das novas regras por parte dos Estados-membros, também os
Estados que, mesmo não fazendo parte da União Europeia, pretendam tratar dados pessoais de
cidadãos europeus, deverão ter em conta a aplicação do documento em causa (Batalha, 2017).
Assim, o âmbito territorial deste regulamente é internacional. O art. 3º do RGPD esclarece quanto
ao âmbito territorial ao afirmar que o “regulamento aplica-se ao tratamento de dados pessoais
efetuado no contexto das atividades de um estabelecimento de um responsável pelo tratamento ou
de um subcontratante situado no território da União, independentemente de o tratamento ocorrer
dentro ou fora da União”. Nos casos em que o subcontratante não situado na União proceda ao
tratamento de dados pessoais de titulares residentes no território da União, o regulamento só se
aplica quando as atividades estejam relacionadas com oferta de bens ou serviços a esses titulares
e/ou controlo do comportamento que tenha lugar na União.

O conceito de dados pessoais e o seu tratamento

Importa agora explicar o que se entende por dados pessoais e tratamento de dados. De acordo
com o art. 4º (União Europeia, 2016), dados pessoais são a informação que diz respeito ao titular
dos dados, sendo este a pessoa singular “identificada ou identificável”. Ou seja, se uma pessoa
puder ser identificada, caraterizada ou definida de alguma coisa, direta ou indiretamente, por
“nome, número de identificação, dados de localização, identificadores por via eletrónica ou a um
ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica,
cultural ou social” inferimos dados pessoais.
No considerando n.º26 é referido que “os dados pessoais que tenham sido pseudonimizados,
que possam ser atribuídos a uma pessoa singular mediante a utilização de informações
suplementares, deverão ser considerados informações sobre uma pessoa singular identificável.”
(União Europeia, 2016). O mesmo considerando afirma que os princípios da proteção de dados
não se aplicam aos dados anónimos, isto é, “informações que não digam respeito a uma pessoa
singular identificada ou identificável nem a dados pessoais tornados de tal modo anónimos que o
seu titular não seja ou já não possa ser identificado.” (União Europeia, 2016)
 De modo a abranger a proteção dos dados pessoais, o legislador optou por um conceito amplo
que englobasse a definição de perfis1 (Vaz, 2018). Ou seja, o conceito também engloba dados de
localização, identificadores por via eletrónica (IP) e testemunhos de conexão (cookies). Segundo
o conferindo 30, “estes identificadores podem deixar vestígios que, em especial quando
combinados com identificadores únicos e outras informações recebidas pelos servidores, podem
ser utilizados para a definição de perfis e a identificação das pessoas singulares.” (União Europeia,
2016).
Os dados sensíveis que “revelem a origem racial ou étnica, as opiniões políticas, as
convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados
genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à
saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa”, estão consagrados no
art. 9º como categorias especiais de dados pessoais. O seu tratamento é proibido, a não ser que,
por exemplo2, haja consentimento explícito do titular dos dados ou o tratamento se referir a dados
pessoais que tenham sido manifestamente tornados públicos pelo seu titular. Esta proibição é
fundamentada pelos riscos significativos para os direitos e liberdades fundamentais que o
tratamento desses dados pode infligir (considerando n.º 51).
Relativamente ao tratamento de dados, este trata-se de “uma operação ou um conjunto de
operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios
automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação,
a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por
transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão,
a limitação, o apagamento ou a destruição” (União Europeia, 2016, art.4º n.º2 ).

Princípios relativos ao tratamento de dados

Para além de compreender o significado dos conceitos que servem de base ao novo
regulamento, também é importante entender as regras estabelecidas na forma de princípios para o
tratamento de dados pessoais.

1
“Qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados pessoais
para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos
relacionados com o seu desempenho profissional, a sua situação económica, saúde, preferências pessoais,
interesses, fiabilidade, comportamento, localização ou deslocações.” (art.4º n.º 4 do RGPD).
2
As restantes exceções estão listadas no art. 9º n.º1 do RGPD.
1. Princípio da licitude, lealdade e transparência (art. 5º n.º1 alínea a) do RGPD)

Os dados pessoais são “objeto de um tratamento lícito, leal e transparente em relação ao

titular dos dados” (União Europeia, 2016, art. 5º n.º1 alínea a)).A licitude do tratamento é aferida
pela verificação do cumprimento das regras nacionais, comunitárias, europeias e internacionais a
que este está sujeito (Vasconcelos, 2012). O tratamento de dados pessoais só é lícito se e na medida
em que se verifique pelo menos umas das seguintes situações (União Europeia, 2016, art. 6º n.º1):

a. Consentimento explícito
b. Execução de um contrato
c. Cumprimento de uma obrigação jurídica
d. Defesa de Interesses Vitais
e. Exercício de funções de interesse público ou exercício da autoridade pública
f. Interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros

O princípio da lealdade confere a relação entre o responsável pelo tratamento dos dados e a
pessoa a que os dados se referem, obrigando a que o primeiro revele todas as operações de
tratamento que os dados serão sujeitos, bem como informar sobre as circunstâncias da sua recolha
dos dados (Vaz, 2018). O princípio da lealdade e da transparência encontram-se interligados, no
sentido em que o titular tem o direito a que lhe sejam prestadas informações sobre o tratamento
dos seus dados: identidade do responsável pelo tratamento dos mesmos, fins a que o tratamento se
destina, informações que se destinam a assegurar que seja efetuado com equidade e transparência.
O princípio da transparência exige que tais informações sejam de fácil acesso e compreensão,
devendo ser formuladas numa linguagem clara e simples para melhor compreensão (União
Europeia, 2016, conferindo n.º 39). Todas as pessoas a que os dados dizem respeito devem ser
alertadas para todos os riscos, regras, garantias e direitos associados ao tratamento dos dados, bem
como as finalidades específicas do tratamento de dados. A comunicação destas informações deve
ser feita no momento da recolha dos dados (ibidem).

2. Princípio da limitação das finalidades (art. 5º n.º1 alínea b) do RGPD)

O princípio da limitação das finalidades declara que os dados pessoais são recolhidos para
finalidades determinadas, explícitas e legítimas e não podem ser tratados posteriormente de forma
incompatível com a finalidade inicialmente estabelecida (ibidem). O considerando n.º 61
complementa este princípio esclarecendo que “sempre que o responsável pelo tratamento tiver a
intenção de tratar os dados pessoais para outro fim que não aquele para o qual tenham sido
recolhidos, antes desse tratamento o responsável pelo tratamento deverá fornecer ao titular dos
dados informações sobre esse fim e outras informações necessárias”.
Caso se pretenda realizar o tratamento de dados para finalidades diferentes daquelas
estipuladas quando os dados foram recolhidos e não haja consentimento para tal, o n.º 4 do art. 6º
exige que o responsável pelo tratamento averigue se “o tratamento para outros fins é compatível
com a finalidade para a qual os dados pessoais foram inicialmente recolhidos”. Para tal, deverá ter
em consideração a possível ligação entre a finalidade que fundou a recolha de dados e a finalidade
do tratamento subsequente, o contexto da recolha e a natureza dos dados (União Europeia, 2016).

3. Princípio da minimização dos dados (art. 5º n.º 1 alínea c) do RGPD)

De acordo com este princípio, os dados recolhidos devem ser “adequados, pertinentes e
limitados ao que é necessário relativamente às finalidades para as quais são tratados” (ibidem). O
objetivo deste princípio é evitar a recolha excessiva e desnecessária de dados pessoais. Para tal, o
considerando n.º 39 afirma ser necessário assegurar que o prazo de conservação dos dados seja
limitado ao mínimo necessário. Cabe ao responsável pelo tratamento fixar os prazos para o
apagamento ou a revisão periódica. É de notar que os dados pessoais apenas deverão ser tratados
se a finalidade do tratamento não puder ser atingida de forma razoável por outros meios. Caso tal
aconteça, os dados deverão ser tratados de modo a garantir a devida segurança e confidencialidade.
Do princípio de minimização dos dados, decorre também a possibilidade de recorrer à
aplicação da “pseudonimização”3 aos dados pessoais de modo a poder “reduzir os riscos para os
titulares dos dados em questão e ajudar os responsáveis pelo tratamento e os seus subcontratantes
a cumprir as suas obrigações de proteção de dados” (União Europeia, 2016: conferendo n.º 28).

4. Princípio da exatidão (art. 5º n.º 1 alínea d) do RGPD)

Segundo o princípio da exatidão, os dados devem ser exatos e atualizados sempre que necessário
para garantir a sua exatidão. Devem ser adotadas medidas adequadas para apagar ou retificar, sem
demora, os dados inexatos.

3
Codificação da informação. Todavia, através do cruzamento de dados, é possível a identificação do titular (Vaz,
2018).
5. Princípio da limitação da conservação (art. 5º n.º 1 alínea e) do RGPD)

Da limitação da conservação resulta que os dados devem ser “conservados de uma forma que
permita a identificação dos titulares dos dados e apenas durante o período necessário para as
finalidades para as quais são tratado” (ibidem). Cabe ao responsável pelo tratamento dos dados
fixar os prazos para o apagamento ou revisão periódica, com o objetivo de assegurar que os dados
são conservados apenas o tempo considerado necessário. (União Europeia, 2016: conferendo n.º
39).
A este princípio deve ser aliado o direito a ser esqueccido, previsto no art. 17º (União
Europeia, 2016), em que o titular tem o direito a requerer o apagamento dos seus dados pessoais,
sem demora injustificada. Em Portugal, cabe à É a Comissão Nacional de Protecção de Dados que
tem competência atribuída pela Lei 67/98 de 26 de outubro (art. 23º n.º1 al. f)) para fixar o tempo
de conservação dos dados pessoais em função da finalidade, poder que exerce quando procede ao
registo ou autoriza um tratamento de dados pessoais.

6. Princípio da integridade e confidencialidade (art. 5º n.º 1 alínea f) do RGPD)

Os dados devem ser tratados de modo a garantir a sua segurança, “incluindo a proteção contra
o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental”
(ibidem). Para tal, o responsável pelo tratamento de dados deve adotar medidas técnicas ou
organizativas adequadas. O considerando n.º 83 refere que o responsável ou subcontratante deve
avaliar os riscos que o tratamento implica e aplicar medidas que os atenuem, como a cifragem,
com o objetivo de preservar a segurança do tratamento de dados. Este considerando esclarece que,
no cumprimento desta exigência de segurança, serão tidas em consideração “as técnicas mais
avançadas e os custos da sua aplicação em função dos riscos e da natureza dos dados pessoais a
proteger”.

7. Princípio da responsabilidade (art. 5º n.º 2 do RGPD)

Avaliando a natureza, o âmbito, o contexto e a finalidade do tratamento de dados, bem como

os riscos para os direitos e liberdades das pessoais singulares, o responsável pelo tratamento aplica
as medidas que forem adequadas para assegurar a conformidade com o regulamento (União
Europeia, 2016, art.24º n.º 1). O responsável pelo tratamento é encarregado de cumprir os
princípios acima referidos (disposto no art.5º n.º 1) e tem de poder comprová-lo (União Europeia,
2016, art.5º n.º2).

Principais Reformas e Inovações

1. Sanções

Em Portugal, a Comissão Nacional de Proteção de Dados (CNPD) assegura o papel de

autoridade de controlo, dando assim continuidade ao trabalho que já realizava no seguimento da
Diretiva 95/46/CE. Assim, é a entidade responsável pela aplicação de coimas por incumprimento
das regras estabelecidas no RGPD. A Lei 58/2019, que tem como pilar o RGPD, prevê um aumento
substancial das coimas por incumprimento.

A título de exemplo, a violação dos princípios consagrados no art.5º do RGPD ou o tratamento

de dados sem ter por base o consentimento ou outra condição de legitimidade conforme art. 6º do
RGPD constituem uma contraordenação muito grave. Estas são punidas com coimas que podem
ir até “20 000 000 (euro) ou 4 % do volume de negócios anual, a nível mundial, conforme o que
for mais elevado, tratando-se de grande empresa” (art.37º n.º2 al. a) da Lei 58/2019; art. 38º do
RGPD). A CNPD, de acordo com o artigo 39º da lei nº 58/2019, para além dos critérios
estabelecidos no n.º 2 do artigo 83.º do RGPD, terá que ter em consideração os seguintes critérios
para determinar o montante a aplicar:
a. A situação económica do agente, no caso de pessoa singular, ou o volume de negócios e o
balanço anual, no caso de pessoa coletiva;
b. O caráter continuado da infração;
c. A dimensão da entidade, tendo em conta o número de trabalhadores e a natureza dos
serviços prestados.
É de notar também que o montante das coimas aplicadas reverte 60% para o Estado e 40% para
a CNPD (art. 42º da Lei 58/2019).

2. Encarregado de Proteção de Dados

Para além da obrigação de adoção de políticas e procedimentos de segurança dos dados, é
criada a figura do Encarregado da proteção dos dados, consagrado no art. 37º do RGPD. Esta figura
deve ter conhecimentos especializados neste domínio do direito e das práticas de proteção dos
dados (Batalha, 2017), tendo como função principal controlar o cumprimento das regras do RGPD
(União Europeia, 2016, art. 39º). A nomeação do encarregado de proteção dos dados só é
obrigatória para (União Europeia, 2016, art. 37º):

a. Autoridades e organismos públicos;

b. Entidades que procedam a tratamentos em larga escala de dados pessoais sensíveis;
c. Entidades que efetuem tratamento de dados pessoais, também em larga escala, que exijam
um controlo regular e sistemático dos titulares de dados.

3. Registo de atividades de tratamento

A nova exigência de registo de atividades de tratamento, provém do princípio da
responsabilidade presente no art. 5º n.º 2. A constituição e atualização de um registo das operações
de tratamento de dados efetuadas, possibilita a comprovação do cumprimento da lei, por parte dos
responsáveis pelo tratamento, nos termos do art. 5º, n.º 2. O registo de atividades de tratamento
deverá ser disponibilizado, a pedido, à autoridade de controlo e deverá incluir as informações
elencadas no n.º 1 do artigo 30º do RGPD, entre elas: a identificação do responsável pelo
tratamento, as finalidades do tratamento, as transferências de dados pessoais para países terceiros
ou organizações internacionais e os prazos previstos para o apagamento dos dados. Também os
subcontratantes devem manter um registo das operações de tratamento realizadas em nome de um
responsável pelo tratamento.
O registo deve ser efetuado por escrito e será obrigatório para empresas com mais de 250
trabalhadores, excetuando alguns casos. Em determinados casos, esta obrigação de registo de
atividades de tratamento não é aplicável. “Empresas ou organizações com menos de 250
trabalhadores, a menos que o tratamento efetuado seja suscetível de implicar um risco para os
direitos e liberdades do titular dos dados, não seja ocasional ou abranja as categorias especiais de
dados a que se refere o artigo 9º, n.º 1, ou dados pessoais relativos a condenações penais e infrações
referido no artigo 10º.” (União Europeia, 2016, art.30º n.º5).

4. Avaliação de impacto sobre a proteção de dados

A avaliação de impacto sobre a proteção de dados (Data Privacy Impact Assesment - DPIA)
trata-se de uma das inovações trazidas pelo RGPD. Esta consiste numa avaliação que deverá ser
feita pelo responsável pelo tratamento de dados com o intuito de detetar possíveis ameaças à
proteção de dados e minimizar o seu impacto (Vaz, 2018).
 De acordo com o art. 35º n.º3, a DPIA é obrigatória quando ocorrem: avaliações sistemáticas
e completas dos aspetos pessoais relacionados com pessoas singulares, baseada no tratamento
automatizado, incluindo a definição de perfis, sendo com base nela adotadas decisões que
produzem efeitos jurídicos relativamente à pessoa singular ou que a afetem significativamente de
forma similar; operações de tratamento em grande escala de categorias especiais de dados, ou de
dados pessoais relacionados com condenações penais e infrações; ou controlo sistemático de zonas
acessíveis ao público em grande escala.
De acordo com o art. 35º, n.º 7 a avaliação deve, pelo menos, incluir: a descrição das
operações de tratamento e sua finalidade, a avaliação da proporcionalidade das operações e dos
riscos que podem trazer para os direitos e liberdades dos titulares de dados, mas também eventuais
medidas a adotar para fazer face a esses mesmos riscos e garantir a proteção dos dados pessoais.

5. Direito dos Titulares: apagamento e portabilidade

Perante o direito ao apagamento dos dados (direito de ser esquecido), previsto no art. 17º do
RGPD, o titular tem o direito de obter o apagamento dos seus dados pessoais. Para tal basta que,
a título de exemplo, o titular retire o consentimento em que se baseia o tratamento de dados.
O direito à portabilidade confere aos titulares o direito a solicitarem ao responsável pelo
tratamento dos dados, os seus dados pessoais, num formato estruturado, de uso corrente e leitura
automática (União Europeia, 2016, art. 20º).

Conclusão
Face ao desenvolvimento tecnológico e consequente crescimento do volume de dados, é
necessário um novo quadro de proteção de dados que uniformize as regras entre os Estados-
membros. O RGPD vem proporcionar maior controlo sobre os dados pessoais para os cidadãos
europeus, gerando, em contrapartida, novas exigências às empresas.
A proteção das pessoas singulares relativamente ao tratamento de dados pessoais é um direito
fundamental que veio a ser fortalecido com este regulamento. O ponto positivo mais forte, no meu
ponto de vista, é a concessão dos direitos de ser esquecido e de portabilidade. Apesar de
inconvenientes para as entidades processadoras dos dados, representam um importante passo na
aproximação do direito à atual realidade, caraterizada pela crescente componente tecnológica.
 O ponto mais negativo refere-se às preocupações que estas novas regras poderão gerar nas
empresas, visto que o seu não cumprimento implica sanções mais penosas. Todavia, as mesmas
tiveram dois anos para implementarem as mudanças necessárias para estarem em conformidade
com o regulamento.
Referências

Batalha, J. (2017). Novos Desafios sobre a Proteção de Dados.

Canotilho, J., & Moreira, V. (2007). Constituição da República Portuguesa Anotada (4ª ed., Vol. I).
Coimbra Editora.

Castro, C. (2016). 40 anos de “Utilização da Informática”: O artigo 35.º da Constituição da República

Portuguesa. e-Pública: Revista Eletrónica de Direito Público, 3(3), pp. 84-99. Obtido em 01 de
novembro de 2020, de http://www.scielo.mec.pt/scielo.php?script=sci_arttext&pid=S2183-
184X2016000300004&lng=pt&tlng=pt

EU. (10 de março de 2014). Proteção dos dados pessoais. Obtido em 02 de novembro de 2020, de EUR-
Lex: https://eur-lex.europa.eu/legal-content/PT/LSU/?uri=celex:31995L0046

Jesus, I. (dezembro de 2012). O Novo Regime Jurídico de Protecção de Dados Pessoais na Europa.

União Europeia. (27 de abril de 2016). Regulamento (UE) 2016/679 do Parlamento Europeu e do
Conselho, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de
dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de
Dados). Official Journal of The European Union, L119 V59, 1-19. Obtido de https://eur-
lex.europa.eu/legal-content/PT/TXT/?uri=celex%3A32016R0679

Vasconcelos, M. (2012). Comunicações Eletrónicas e Direitos Fundamentais no âmbito do Direito da

União Europeia. Dissertação de Mestrado.

Vaz, A. (2018). O Regulamento Geral de Proteção de Dados: Desafios e Impactos. Dissertação de

Mestrado.