Você está na página 1de 185

Guia do Processo

de Adequação ao
Regulamento Gera de
Proteção de Dados
IMPLEMENTAÇÃO E AUDITORIA

Daniel Alves da Cunha, Ana Hierro e Diogo Rodrigues da Silva


Guia do Processo de
Adequação ao Regulamento
Geral de Proteção de Dados
Guia do Processo de
Adequação ao Regulamento
Geral de Proteção de Dados
IMPLEMENTAÇAO E AUDITORIA
2020

Daniel Alves da Cunha


Ana Hierro
Diogo Rodrigues da Silva

ALMEDINA
GUIA DO PROCESSO DE ADEQUAÇÃO
AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS
IMPLEMENTAÇÃO E AUDITORIA
AUTORES
Daniel Alves da Cunha
Ana Hierro
Diogo Rodrigues da Silva
EDITOR
EDIÇÕES ALMEDINA, S.A.
Rua Fernandes Tomás, nºs 76-80
3000-167 Coimbra
Tel.: 239 851904 · Fax: 239 851901
www.almedina.net · editora@almedina.net
Design de colecção: FBA.
Capa: Edições Almedina
PRÉ-IMPRESSÃO
EDIÇÕES ALMEDINA, SA
IMPRESSÃO E ACABAMENTO
ACD Print, S.A.
março, 2020
DEPÓSITO LEGAL
46800 3/20

O s dados e as opiniões inseridos na presente publicação são da exclusiva


responsabilidade do(s) seu(s) autor(es).
Toda a reprodução desta obra, por fotocópia ou outro qualquer processo, sem
prévia autorização escrita do Editor, é ilícita e passível de procedimento judicial
contra o infrator.

VfÃ
ALMEDINA
I GRUPOALMEDINA

BIBLIOTECA NACIONAL DE PORTUGAL - CATALOGAÇÃO NA PUBLICAÇÃO

CUNHA, Daniel Alves da, e outros


Guia do processo de adequação ao regulamento geral de proteção de dados:
implementação e auditoria/Daniel
Alves da Cunha, Ana Hierro, Diogo Rodrigues da Silva. - (Guias práticos)
eISBN 9789724084671
I - HIERRO, Ana
II - SILVA, Diogo Rodrigues da

CDU 342
NOTA INTRODUTÓRIA DOS AUTORES
Aceitámos o desafio de criar este guia considerando a experiência acu­
mulada neste âmbito, com diversos trabalhos de implementação e acom­
panhamento já desde a Diretiva que o Regulamento Geral de Proteção
de Dados veio revogar, e que quisemos partilhar com outros profissionais,
com estudantes, com gestores curiosos ou simplesmente com os interes­
sados pela temática, a quem dirigimos este contributo.
De igual modo nos motivou a ausência de qualquer obranesta temá­
tica com uma perspetiva eminentemente prática e de alguma forma sa­
tisfatoriamente assertiva, que pudesse servir o propósito de adequação
numa fase zero.
Foi algo desafiante preparar este trabalho num curto período de tempo,
o que, contudo, sentimos não ter prejudicado o verdadeiro propósito: o
de entregarmos um verdadeiro guia prático sobre o processo de adequa­
ção ao Regulamento Geral de Proteção de Dados, não caindo na tentação
de abordamos conceitos e perspetivas, dado que partimos do pressuposto e
condição de que o mesmo se destina a quem já teve previamente estudo e
contacto com a legislação de forma minimamente substancial.
Optámos, também, por desenvolver e partilhar diversos documentos
de trabalho, que cremos, irão auxiliar substancialmente o utilizador do
guia na melhor execução dos processos.
Uma nota final de agradecimento para todos aqueles com quem par­
tilhamos o nosso dia-a-dia, e outros que, não partilhando, todavia de
momento, deixaram a sua marca e que aqui se reflete.
DANIEL ALVES DA CUNHA
dac@adcadvogados.pt
ANAHIERRO
ah@hedadpo.pt
DIOGO RODRIGUES DA SILVA
drs@adcadvogados.pt

5
LISTA DE ABREVIATURAS

ACT - Autoridade para as Condições do Trabalho


Al. - Alínea
AIPD - Avaliação de impacto sobre a proteção de dados
AT - Autoridade Tributária e Aduaneira
Cfr. - Conforme
CNPD - Comissão Nacional de Proteção de Dados
CRP - Constituição da República Portuguesa
CT - Código do Trabalho
CV - Curriculum Vitae
DGERT - Direção Geral do Emprego e das Relações de Trabalho
DLP - Data loss prevention
e.g. - exempli gratia
EPD - Encarregado da proteção de dados
ERP - Enterprise Resource Planning
Ex: - Exemplo
FGS - Fundo de Garantia Salarial
G29 - Grupo de trabalho para a proteção das pessoas no que
diz respeito ao tratamento de dados pessoais, do artigo
29º da Diretiva 95/46/CE, para a Proteção de Dados.
INE - Instituto Nacional de Estatística
i.e. - Isto é
ISS - Instituto da Segurança Social
LNE - Lei Nacional de Execução do RGPD
Nº - Número
RGPD - Regulamento Geral sobre a Proteção de Dados

7
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

RH - Recursos humanos
WP - Working Partie
VPN - Virtual Private Network

8
1. Breve enquadramento

Da Diretiva 95/46/CE ao Regulamento (UE) 2016/679:


os principais pontos de contacto e as principais novidades

A Diretiva 95/46/CE1 surgiu no âmbito da livre circulação das merca­


dorias, das pessoas, dos serviços e dos capitais, sendo exigível nesse
contexto, que, por um lado, os dados pessoais pudessem circular livre­
mente entre Estados-Membros, mas por outro, que fossem protegidos
os direitos fundamentais dos respetivos titulares (nomeadamente o di­
reito à vida privada, especialmente na vertente da autodeterminação
informativa).
Num universo comunitário em que o recurso ao tratamento de dados
pessoais nos domínios das atividades económicas e sociais era cada vez
mais frequente, em que se assistia a progressos a nível das tecnologias
da informação e, consequentemente, as administrações dos Estados­
-Membros eram chamadas, força do direito comunitário, a colaborar e
a trocar entre si dados pessoais a fim de poderem desempenhar as suas
atribuições ou executar tarefas, surgiu a necessidade de coordenar e uni­
formizar as diversas legislações nacionais, de modo a que não fossem
levantados obstáculos à livre circulação de dados pessoais por razões de

1
Diretiva do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à pro­
teção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre
circulação desses dados.

9
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

proteção dos direitos e liberdades das pessoas. Pretendeu-se assim ga­


rantir um elevado nível de proteção na então Comunidade Europeia. 2
A referida Diretiva foi transposta para Portugal através da Lei de Pro­
teção de Dados3, que esteve em vigor até ao passado dia 9 de agosto de
2019, tendo sido nessa data revogada pela Lei Nacional de Execução do
RGPD (LNE) 4•
No entanto, desde 1995 e com o passar dos anos, assistimos ao surgi­
mento de vários desafios à privacidade à medida que a economia digi­
tal evoluía e, a determinada altura, perdeu-se o controlo sobre os da­
dos pessoais. A globalização e o incontrolável progresso tecnológico
que marcam a sociedade do século XXI, para além de nos providencia­
rem os efeitos colaterais que melhor nos servem - desde os avanços na
medicina à possibilidade de comunicação entre indivíduos a um nível
transfronteiriço e em tempo real-, apresentam, também, outras conse­
quências nefastas. Com a explosão de informação que dominou a inter­
net, a par da capacidade digital de proliferação e intercâmbio de dados
num ambiente marcado pelo princípio da livre circulação de pessoas e
capitais, deu-se um aumento incontrolável do fluxo transfronteiriço de
dados pessoais. É facto notório que cada vez mais pessoas singulares dis­
ponibilizam as suas informações pessoais de uma forma pública e global.
Chegamos inclusivamente a um ponto em que existe uma comercializa­
ção dos dados, tornando-se aquela num modelo de negócio e estes num
bem transacionável.
Considerando este fenómeno, a União Europeia pretendeu pugnar
pela criação de um mercado único digital (Digital Single Market)S, desen-

2
Refira-se que o direito à proteção de dados é reconhecido como direito fundamental na
Constituição da República Portuguesa (CRP), no seu artigo 35 º, sendo autónomo em relação
ao direito à privacidade, que vem referido no artigo 26º.
3
Lei 67/98, de 26 de outubro.
4
Lei 58/2019, de 8 de agosto (vejam-se os artigos 66 º e 68º, quanto à revogação e entrada em
vigor).
5
A estratégia pensada pela Comissão Europeia para o mercado único digital visou assegurar
que a economia, a indústria e a sociedade europeias tiravam pleno partido da nova era digital,
pelo que é parte integrante do projeto da União Europeia para a implementação de uma
Europa digital, a par das soluções e dos dados em linha, bem como dos serviços digitais trans­
fronteiras. Assim, este plano para o mercado único digital lançou as bases para uma socie­
dade digital europeia, unida e sustentável, sendo que nos últimos anos assistimos já a algumas
realizações marcantes como: o fim das tarifas de itinerância (roaming); a modernização da

10
I. BREVE ENQUADRAMENTO

volvendo para o efeito, um conjunto de medidas legislativas que visaram


a mitigação dos efeitos mais prejudiciais. Neste contexto, entendeu­
-se que a melhor solução seria uma política marcada pela livre circula­
ção de dados pessoais na União Europeia, com a possibilidade da sua
transferência a países terceiros (fora da União Europeia) e organizações
internacionais, na medida em que fosse assegurado um elevado nível de
proteção desses mesmos dados. Esta era uma missão que só poderia ser
bem-sucedida se tais políticas fossem aplicadas homogeneamente pelos
vários Estados-Membros.
O Regulamento Geral sobre a Proteção de Dados6 (RGPD) surgiu
na sequência dessas mudanças e entrou em vigor a 27 de abril de 2016,
tendo passado a ser plenamente exequível a partir de 25 de maio de 2018.
Ao contrário da referida Diretiva, não careceu de transposição através de
uma lei nacional, passando a ser aplicado diretamente nos diversos países
da União Europeia. Tanto é que a respetiva lei de execução apenas surgiu
mais de um ano depois.
No contexto de promulgação do RGPD, não se pretendeu o isola­
mento dos dados, mas tão só um tratamento lícito e informado, pelo que
aquele diploma não veio alterar princípios na matéria da proteção de
dados, mas sim especificar alguns conceitos. É inovador nesse aspeto,
introduzindo maior certeza jurídica na União Europeia, em relação à
Diretiva 95/46/CE.
Assim, os principais objetivos daquele diploma passaram por har­
monizar a legislação sobre proteção e tratamento de dados pessoais dos
titulares, tornando clara e transversal a política a seguir por todos os
que recolham e tratem dados pessoais, protegendo e fortalecendo a sua
privacidade e devolvendo-lhes o controlo sobre aqueles dados. Conse­
quentemente, a consagração de novos direitos para os titulares de dados
implicou, na outra face da moeda, a imposição de deveres para as entida­
des que tratam dados pessoais, que foram obrigadas a remodelar a forma
como procediam a esse tratamento e abordavam a privacidade.

proteção de dados, a portabilidade transfronteiras de conteúdos em linha e o acordo para


desbloquear o comércio eletrónico, que pôs fim ao bloqueio geográfico injustificado.
6
Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016,
relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais
e à livre circulação desses dados, revogando a Diretiva 95/46/CE.

11
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

A Diretiva previa os chamados "direitos ARCO" dos titulares em rela­


ção aos respetivos dados pessoais:
1. Direito de Acesso à informação: o titular tem direito à consulta e
edição dos dados;
2. Direito à Retificação: o titular tem direito a corrigir ou a manter
atualizados os seus dados;
3. Direito ao Cancelamento (ou apagamento): o titular tem direito a
solicitar a eliminação dos dados em casos específicos;
4. Direito de Oposição ao tratamento: o titular tem direito a opor-se
ao tratamento dos seus dados em casos específicos.

Os referidos direitos ARCO mantiveram-se com o RGPD, tendo ob­


tido uma nova dimensão, mas surgiram inclusivamente novos direitos
como:
1. Direito de portabilidade: o titular tem direito a solicitar a transfe­
rência dos seus dados de um prestador de serviços para outro;
2. Direito de não sujeição a nenhuma decisão tomada apenas com
base no tratamento automatizado (encaminhamento com base em
tendências);
3. Direito à limitação do tratamento;
4. Direito a um prazo de resposta (ao exercício dos direitos);
5. Direito à comunicação de violação de dados pessoais ao titular;
6. Direito à proteção de dados, que existe independentemente do
local de tratamento dos mesmos7;
7. Direito a apresentar queixa contra entidades sediadas noutro
Estado-Membro, junto da Autoridade de Controlo no país de resi­
dência do respetivo titular.

Entre os novos deveres para as entidades consagrados no RGPD des­


tacam-se:
1. Autorregulação;
2. Responsabilidade;

7
Assim, as entidades sediadas em países terceiros (como por exemplo a Google, o Facebook
ou outras, sediadas nos Estados Unidos da América) terão de garantir que as regras aplicáveis
são compatíveis com o RGPD, uma vez que tratarão dados na União Europeia e de titulares de
dados situados também em território da União.

12
I. BREVE ENQUADRAMENTO

3. Transparência e alargamento da informação a fornecer aos titula­


res de dados em relação às operações de tratamento e ao exercício
dos respetivos direitos;
4. Obrigação de nomear um EPD;
5. Obrigação de reportar uma violação de dados (data breach);
6. Proteção de dados desde a conceção e por defeito (privacy by design
e privacy by default, respetivamente);
7. Prova e evidência de cumprimento (accountability).

Para além disto, podem-se destacar como mudanças de paradigma


consagradas com o RGPD:
1. Exigências mais apertadas no que diz respeito às condições apli­
cáveis ao consentimento como fundamento de licitude do trata­
mento, em especial em relação ao consentimento de crianças no
que toca aos serviços da sociedade da informação;
2. Mecanismo do balcão único8;
3. Limitações à definição de perfis (pro.filing);
4. Aplicação de sanções pecuniárias elevadíssimas aos responsáveis
pelo tratamento de dados pessoais;
5. Análise de risco prévia ao tratamento, através da avaliação de
impacto sobre a proteção de dados (AIPD) e da consulta prévia à
Autoridade de Controlo;
6. Novas exigências em relação às transferências de dados para fora
da União Europeia (países terceiros).

Tendo deixado de haver um controlo prévio por parte das Autorida­


des de Controlo de cada país, como acontecia ao abrigo da Diretiva e da
Lei de Proteção de Dados (cfr. artigos 18 º a 20 º e artigos 27 º a 30 º , res­
petivamente), parte-se agora de um princípio de responsabilidade por
parte das entidades que tratam dados pessoais, presumindo-se que são
cumpridoras da legislação vigente e das obrigações que lhe foram impos-

8
Vai permitir ao responsável pelo tratamento com operações em vários Estados-Membros,
escolher sujeitar-se a uma única Autoridade de Controlo (Principal), a qual terá a responsa­
bilidade de articular as questões com as demais Autoridades de Controlo (Interessadas), pelo
que o objetivo é centralizar os procedimentos. Normalmente o critério é o da Autoridade de
Controlo do Estado-Membro onde sejam tratados os dados, que poderá não coincidir com a
sede da entidade.

13
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

tas, sendo colocado o ónus de demonstrar o compliance contínuo do seu


lado. Por sua vez, passou a existir tão só o modelo da fiscalização sucessiva
por parte das Autoridades de Controlo, devendo a fiscalização interna ser
assegurada pelo próprio responsável pelo tratamento, por um EPD ou
por um responsável pela proteção de dados.
É neste contexto que surgem os chamados auditores de dados, que são
os prestadores de serviços ou as empresas contratadas para adequar as
entidades ao RGPD, recomendando medidas a implementar ou acompa­
nhando mesmo a implementação das mesmas. Nesta senda e nesta quali­
dade, passaremos a descrever todo o processo de adequação em proteção
de dados, detalhadamente em cada uma das suas fases, incluindo ainda
uma fase prévia e uma fase posterior à auditoria.

14
li. Caracterização da entidade
e orçamentação dos trabalhos

1. Contacto com a entidade


A primeira reunião de trabalho da equipa de auditores de dados com vista
à obtenção da caracterização detalhada da entidade deve ser realizada
diretamente com a administração, necessariamente acompanhada, ao
menos, pelos responsáveis dos setores de sistemas de informação e de
recursos humanos.
Com a recolha inicialmente realizada através de um formulário de
caracterização da entidade (veja-se o Anexo I), bem como um contacto
direto mais pormenorizado, torna-se igualmente possível obter uma
ideia mais concreta da dimensão dos trabalhos necessários e, com isso,
orçamentar os mesmos.
O contacto com a gestão de topo nesta primeira reunião de trabalho
afigura-se crucial para o sucesso do procedimento de adequação da enti­
dade, considerando que apenas uma sensibilização séria para a temática
e objetivos do RGPD - que, recordamos, não passa de todo por restringir
a utilização de dados -, tornará este processo num investimento e não
num custo. Com efeito, acreditamos que o processo de adequação, não
obstante imposto por legislação, se verifica com resultados por demais
vantajosos para a entidade, que passa a conhecer e a controlar melhor os
seus processos de fluxo e gestão de informação (muitas das vezes de grande
sensibilidade até concorrencial), independentemente da informação que
contemple ou não dados pessoais.

15
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

O procedimento recomendado é também este no caso das estruturas


de menor dimensão, incluindo, no que toca aos sistemas de informação,
mormente os relacionados com a informática, e a presença dos prestado­
res de tais serviços em regime de outsourcing.
O objetivo primordial é, pois, compreender quais os fluxos de dados:
onde estão, quais são, como são tratados e para onde vão.

2. Identificação dos sistemas implementados


Como é sabido, um sistema de informação significa um conjunto organi­
zado de elementos utilizados para gestão de informação, seja tal sistema
de base manual, automatizada, computadorizada, de pessoas, entre ou­
tros. Evidentemente, as disposições do RGPD aplicam-se a todo o tipo de
gestão de dados, incluindo um simples bloco de notas em papel.
Devemos identificar na entidade todo o tipo de sistemas utilizados,
quem os utiliza, os tipos de dados que são tratados, a forma como os da­
dos são geridos e como são transmitidos quer interna quer externamente.
Com isto, obtemos informação que nos permite construir um fluxograma
de dados (ou diagrama de fluxo de dados), o qual constitui uma repre­
sentação esquemática ou gráfica da sequência operacional do desenvol­
vimento do processo de tratamento de dados e que ilustra de forma des­
complicada o que o caracteriza, permitindo assim uma perceção clara dos
tratamentos de dados realizados pela entidade.
Para efeitos de toda esta construção, aconselhamos a realização de
"entrevistas" às pessoas ligadas à entidade que participem nos trabalhos,
bem como uma visita às instalações, de forma a permitir analisar a orga­
nização interna, o arquivo, a disposição dos postos de trabalho. Para auxí­
lio desta tarefa entendemos útil e relevante o recurso a um guião de per­
guntas a colocar à entidade durante os contactos realizados em sede de
auditoria inicial (vide Anexo II).

3. Identificação preliminar das necessidades


Ao avançarmos nesta caracterização da entidade, e com isso chegamos à
representação macro dos processos que envolvem dados, realizamos de
imediato um diagnóstico empírico, uma ideia preliminar do que neces­
sita ser ajustado para o almejado compliance com o RGPD.
Será imprescindível obtermos conhecimento da tipologia de negócio
da entidade, o que releva para o desenho do processo de adequação, e

16
II. CARACTERIZAÇÃO DA ENTIDADE E ORÇAMENTAÇÃO DOS TRABALHOS

nos permitirá aferir da quantidade de dados que são tratados. Com efeito,
não é só a dimensão da entidade auditada que releva para a mensuração
dos trabalhos, mas também as operações de tratamento de dados pes­
soais que esta leva a cabo, as categorias de dados e dos respetivos titula­
res, o próprio modelo negocial que pratica, as entidades subcontratadas,
entre vários outros aspetos relevantes. Veja-se a título de exemplo uma
entidade com 250 trabalhadores, que se dedica à fabricação têxtil, com
modelo de negócio business-to-business, tratará praticamente apenas dados
pessoais de trabalhadores, o que implicará uma intervenção e adequação
focada no âmbito dos recursos humanos. Por outro lado, uma entidade
com 15 trabalhadores, de prestação de serviços de marketing digital a ou­
tras entidades por conta destas, mas em nome das próprias, tratará dados
pessoais de vários milhares de titulares, o que implicará uma intervenção
e adequação em diversas dimensões, incluindo nos seus próprios clientes.

17
Ili. Processo de adequação ao RGPD em três fases

A. Fase 1: Auditoria inicial: diagnóstico e mapeamento dos dados

1. Identificação das operações com dados pessoais


O primeiro passo da equipa de auditores de dados é apreender os fluxos
de informação da entidade, construindo o já referido fluxograma de da­
dos que contemple respostas às questões: onde estão, quais são, como são
tratados e para onde vão.
Essa apreensão dos fluxos de informação realiza-se, claro está, com as
primeiras reuniões de trabalho, nas quais se procede ao levantamento da
informação necessária junto dos intervenientes da entidade, conhecedo­
res dos processos.
Os auditores de dados devem conhecer todos os procedimentos e mé­
todos da entidade no que toca à recolha e tratamento de dados, perce­
bendo todo o funcionamento organizacional neste âmbito e com deta­
lhe, inclusivamente desde o momento em que alguém passa a portaria ou
entra na receção (e.g. a forma como é feito o registo de quem entra e sai,
onde ficam registados ou depositados os dados dessas pessoas, na posse
de quem, e a quem são transmitidos).
Vejam-se os seguintes exemplos de situações aparentemente simila­
res, porém substancialmente distintas no que respeita ao processamento
dos dados (na forma de recolha e tratamento, no número de intervenien­
tes envolvidos, na segurança de acesso e garantia de privacidade e na re­
siliência) e, por conseguinte, na intervenção necessária para adequação
às regras recomendáveis e em vigor:

19
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

Hipótese 1-A: porteiro funcionário da entidade-> registo de entradas


e saídas em livro próprio -> depositado diariamente
no final de cada turno -> num repositório próprio da
entidade -> de acesso restrito -> arquivado no final
da capacidade do livro -> num repositório próprio da
entidade-> de acesso restrito.
Hipótese 1-B: porteiro funcionário da entidade-> registo de entradas
e saídas em livro próprio -> sem depósito no final do
turno, permanecendo no posto de trabalho do funcio­
nário até ao retomar do seu turno-> arquivado no fim
da capacidade do livro-> num repositório no posto de
trabalho desse funcionário-> sem acesso restrito.
Hipótese 2-A: porteiro funcionário de empresa de segurança privada
contratada pela entidade -> registo de entradas e saí­
das em livro próprio-> depositado diariamente no final
de cada turno -> num repositório próprio da enti­
dade-> de acesso restrito-> arquivado no fim da capa­
cidade do livro -> num repositório próprio da enti­
dade-> de acesso restrito.
Hipótese 2-B: porteiro funcionário de empresa de segurança privada
contratada pela entidade-> registo de entradas e saídas
em livro próprio-> depositado diariamente no final de
cada turno-> num repositório próprio da empresa de
segurança privada-> de acesso restrito-> arquivado no
fim da capacidade do livro -> num repositório próprio
da empresa de segurança privada-> de acesso restrito.
Hipótese 3-A: porteiro funcionário de empresa de segurança privada
contratada pela entidade-> registo de entradas e saídas
em programa informático da empresa de segurança
privada -> o qual funciona em linha por acesso via
browser -> dados do programa alojados em servidor
próprio da empresa de segurança privada -> cópia de
segurança da informação contida no servidor próprio
da empresa de segurança privada armazenada em cloud
fornecida por terceiro.
Hipótese 3-B: porteiro funcionário de empresa de segurança privada
-> registo de entradas e saídas em programa informático

20
III. PROCESSO DE ADEQUAÇÃO AO RGPD EM TRÊS FASES

da empresa de segurança privada-> o qual funciona lo­


calmente em computador estacionado no posto de tra­
balho-> fornecido pela entidade-> dados do programa
alojados no disco do computador-> cópia de segurança
da informação realizada semanalmente em horário pré­
-definido-> em cloud contratada pela empresa de segu­
rança privada-> fornecida por terceiro.

Como se percebe, não obstante estarmos perante situações aparente­


mente similares (pelo menos na perspetiva de quem se dirige a determi­
nadas instalações), temos um contexto de tratamento de dados pessoais
muito díspar, na sua forma e meios, que exige, pois, uma abordagem com­
pletamente diferenciada no que respeita às várias hipóteses ilustradas.
De especial importância é também o enfoque que o legislador deu
às operações de dados pessoais em contexto laboral. Importa explanar
que, com "contexto laboral" queremos significar todas as operações de
tratamento de dados pessoais que são levadas a cabo desde a fase de recru­
tamento, à execução de contrato de trabalho, à cessação do vínculo con­
tratual, e ainda quanto aos efeitos post mortem do mesmo, conforme vem
definido pelo legislador europeu através do estatuído pelo artigo 88º e
pelo Considerando 155, ambos do RGPD.
No que concerne às especificidades do tratamento de dados em con­
texto laboral, grande parte das operações é comum aos diferentes res­
ponsáveis de tratamento, ou pelo menos existe um núcleo de operações
comuns, o que, de certa forma, facilita a auditoria de dados na dimensão
dos recursos humanos. Isto porque o motivo para a existência deste nú­
cleo duro reside essencialmente no facto de a justificação para o trata­
mento lícito dos dados pessoais, inseridos na realidade laboral, assentar
sobretudo em dois pilares: a fase pré-contratual/negocial e a respetiva
execução do contrato típico da relação laboral (contrato de trabalho nas
suas diversas modalidades); e em obrigações legais existentes que advêm
da existência do vínculo contratual. Sendo a base do tratamento lícito dos
dados pessoais em contexto laboral assente nestas duas dimensões, estão
relativamente circunscritas as operações que necessariamente terão de
ser auditadas, sem prejuízo de muitas outras operações que possam sur­
gir - e surgem - dada a complexidade dos meandrosjus laborais. Aliás, a
evolução das relações laborais tem tornado cada vez mais complexas as

21
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

operações com dados pessoais, como é desde logo o caso do profiling que
é executado nas empresas com dados intrinsecamente pessoais e que le­
vantam questões da maior pertinência, mormente quanto ao formato da
tomada de decisões destas entidades com base nas análises de comporta­
mentos dos seus colaboradores.
Nesta sequência, e feito um breve enquadramento, importará concre­
tizar quais são as principais operações com dados pessoais que em con­
texto laboral importará analisar:
1. Recebimento de candidaturas espontâneas mediante entrega de
curricula vitae;
2. Recrutamentos abertos pelas entidades;
3. Fase de negociação do contrato de trabalho (fase pré-contratual);
4. Celebração de contrato de trabalho e aditamentos ao contrato;
5. Inscrições e comunicações obrigatórias (e.g.Administração Tribu­
tária [AT], Instituto da Segurança Social [ISS], Fundo de Garantia
Salarial [FGS], Autoridade para as Condições do Trabalho [ACT],
Direção Geral do Emprego e das Relações do Trabalho [DGERT],
Instituto Nacional de Estatística [INE], entre outros);
6. Comunicação a seguradoras (seguro de acidentes de trabalho
obrigatório);
7. Comunicações trocadas entre entidade empregadora e trabalhador;
8. Processamento salarial;
9. Software integrado de gestão Empresarial (Enterprise Resource Plan­
ning [ERP]) para gestão de recursos humanos (RH);
10. Mapas de registo obrigatórios (mapa de férias, livros de ponto, re­
gisto atualizado de colaboradores, registo de trabalho suplemen­
tar, etc.);
11. Utilização de sistemas de dados biométricos para controlo de assi­
duidade e acesso a instalações9;
12. Sistemas de profiling de dados de trabalhadores;
13. Processos disciplinares;

9
A LNE veio permitir o tratamento de dados biométricos dos trabalhadores para controlo
de assiduidade e acesso às instalações do empregador, devendo estar devidamente salvaguar­
dada a exclusiva utilização de representações dos dados biométricos e que o processo de reco­
lha não permita a reversibilidade desses dados, conforme se retira da leitura do artigo 28º,
nº 6, disposição que, de resto, era já juridicamente permitida pelo artigo 18 º do Código do
Trabalho (CT).

22
III. PROCESSO DE ADEQUAÇÃO AO RGPD EM TRÊS FASES

14. Formação profissional;


15. Meios de controlo à distância (e.g. videovigilância e geolocalização
em contexto laboral1°);
16. Registo de acidentes de trabalho;
17. Exames médicos no âmbito da intervenção médica do trabalho
(onde por norma apenas existem as fichas de aptidão, mas exce­
cionalmente poderemos ter exames médicos, quando necessida­
des imperiosas de proteção e segurança ou particulares exigências
inerentes à atividade o justifiquem);
18. Baixas médicas do trabalhador.

Serão estas as operações que habitualmente encontraremos neste


âmbito, embora que existam muitas outras que variam consoante a
dimensão da entidade, o volume dos RH e a maior ou menor informa­
tização dos processos de tratamento de dados.
Conhecer todas as operações de tratamento de dados é absolutamente
essencial para uma auditoria de dados competente, a fim de inventariar
todas as medidas necessárias a tomar e a ajustar por parte da entidade
auditada.

2. Inventariação dos dados pessoais


Os auditores de dados devem verificar quais os dados pessoais que são
recolhidos pela entidade, no conjunto das diversas operações de proces­
samento que praticam, desde a recolha, à conservação, ao seu tratamento
em determinado contexto e posterior destruição.
Tal circunstância releva, também, para a aferição da necessidade
e proporcionalidade de tal processamento em relação aos objetivos,
nomeadamente se os dados recolhidos são apenas os necessários e se
são proporcionais em relação à finalidade de recolha para tratamento
dos mesmos.
Uma vez mais, a temática da inventariação de dados pessoais em con­
texto laboral merece uma atenção especial. Conhecidas as operações de
tratamento de dados pessoais neste âmbito, é chegada a altura de descor­
tinar quais são os dados pessoais tratados nessas operações, o que per­
mitirá a realização de um escrutínio sobre a boa aplicação dos princípios

10
Cfr. artigos 20 º e 21º do CT.

23
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

instituídos pelo RGPD, nomeadamente quanto à licitude do tratamento


desses dados, à minimização dos mesmos e à limitação da sua conserva­
ção. Uma das especificidades do tratamento de dados pessoais em con­
texto laboral, é o elevado volume dos dados que encontramos, uma vez
que a relação laboral é uma relação pessoal por definição, implicando o
tratamento de uma grande quantidade de dados pessoais, muitos deles
sensíveis, e alguns que não dizem diretamente respeito ao próprio tra­
balhador 11.
Para uma boa inventariação dos dados pessoais, todas as operações de
tratamento de dados deverão ser analisadas, devendo resultar daqui um
relatório de todos os dados pessoais que são tratados, com a separação
dos dados pessoais cujo tratamento é efetivamente necessário daqueles
que não são precisos (e que por princípio não poderão ser tratados, salvo
se existir qualquer outra forma que legitime o respetivo tratamentü12).
Esta inventariação pode ser pensada, no fundo, como um catálogo
dos dados pessoais existentes na entidade auditada, que permitirá des­
cortinar a necessidade de tratamento dos dados pessoais e a existência
de motivo justificativo para o seu tratamento. Desde logo, veja-se: para a
execução de um processo de recrutamento, existem diversos elementos
que são necessários conservar, como é o caso dos anúncios de emprego,
convites para preenchimento de postos de trabalho, resultados de testes,
balanços sociais relativos a dados e número de candidatos nas diversas
fases do recrutamento (cfr. artigo 32º do CT). Diz o referido artigo
que esses registos inerentes a um processo de recrutamento devem ser

11 Pense-se aqui no caso da declaração de situação familiar (cfr. artigo 99º do CIRS) em que
para aferir da taxa de retenção na fonte aplicável aos rendimentos do trabalhador, é necessá­
rio conhecer dados pessoais do seu agregado familiar, nomeadamente o nome dos familiares
que o compõem.
12
Uma forma de legitimar esse tratamento passará pelo consentimento do trabalhador. Muito
embora alguns autores (e o próprio G29) se tenham pronunciado no sentido de o consenti­
mento do trabalhador não ser válido por incumprir com os requisitos inerentes (cfr. artigo 7º
do RGPD) - nomeadamente por existir um desequilíbrio evidente de poderes-, parece-nos
evidente que o consentimento do trabalhador será válido se este estiver numa posição de
paridade com o empregador, ou seja, se o trabalhador não estiver por qualquer forma condi­
cionado na sua decisão de consentir ou não consentir, de expressar a sua vontade de forma
livre, e que todos os demais requisitos formais estejam também eles cumpridos. Claro está
que, para se aferir da validade do consentimento do trabalhador teremos que analisar os casos
em concreto, o que se pode revelar uma tarefa complicada, mas perfeitamente viável.

24
III. PROCESSO DE ADEQUAÇÃO AO RGPD EM TRÊS FASES

conservados pelo período de 5 anos. Perante esta situação, se verificar­


mos que uma entidade auditada tem aberto processos de recrutamento
sabemos que devemos conservar os dados desses recrutamentos pelo
menos durante 5 anos. Pressupondo que uma entidade queira conservar
alguns dos curricula vitae recebidos no âmbito de um recrutamento em
momento posterior a esses 5 anos, deverá solicitar o consentimento do
titular dos dados para que possa tratar os dados inseridos naquele CV por
período de tempo superior ao legalmente obrigatório.
Coloque-se também um caso hipotético que permita consolidar a im­
portância da inventariação dos dados: numa auditoria de implementação,
a dada altura, descobre-se que a entidade auditada tem uma plataforma
ou sistema de profiling de dados dos trabalhadores, a qual é alimentada,
entre outros, com dados como as convicções políticas, filiação sindical e
origem étnica. Questionada sobre se existe consentimento para o trata­
mento destes dados (porque inexiste qualquer outra forma de legitimi­
dade para o tratamento dos mesmos, uma vez que estão em causa catego­
rias especiais de dados pessoais) a entidade afirma que não. Atentos estes
elementos, percebemos imediatamente que estes dados não poderão ser
tratados, porque esse tratamento está vedado, salvo se existir o consenti­
mento explícito para aquela finalidade específica por parte do titular dos
dados (cfr. artigo 9 º do RGPD).
Nesta sequência, resta clarificar como se deve proceder à inventa­
riação dos dados. O procedimento de inventariação é bastante simples
e decorre imediatamente do conhecimento das respetivas operações
de tratamento. Assim sendo, utilizar-se-á o exemplo do processamento
salarial de trabalhadores, que resulta numa série de comunicações, desig­
nadamente ao ISS, à AT, e ao próprio trabalhador. Nesse processamento
tratam-se diversos dados pessoais, os quais se inventariam, conforme o
exemplo seguinte a respeito do processamento salarial:
1. Nome do trabalhador;
2. N º de contribuinte;
3. Nº de beneficiário da segurança social;
4. Salário base e demais retribuições existentes;
5. IBAN;
6. N º da apólice de seguro de acidentes de trabalho;
7. Categoria profissional;
8. Nº de pessoas no agregado familiar;

25
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

9. Estado civil;
10. Estado de saúde13 •

Resta claro que, inventariar dados é tão simplesmente listar os dados


pessoais que encontramos nos documentos atinentes às relações de tra­
balho e conexas.
Dito isto, afirmamos que conhecer as operações de tratamento de da­
dos em primeira linha, e inventariar os dados aí inseridos em segunda
linha, é da maior importância, sendo fundamental para todo o processo
de adequação, em especial para a fase seguinte na qual se diligencia pela
recomendação de medidas a adotar pela entidade (vide título B do pre­
sente capítulo).

3. Inventariação dos intervenientes que processam dados pessoais


Os auditores de dados devem verificar quais os intervenientes que rea­
lizam qualquer tipo de operação de tratamento de dados pessoais, no
conjunto das suas atividades.
Tal circunstância releva também para a aferição da necessidade e pro­
porcionalidade de tal processamento em relação ao sujeito, nomeada­
mente se existe razão para que esse interveniente tenha acesso àqueles
dados, tendo em conta o objetivo desse tratamento concreto. O inter­
veniente da entidade só pode ter acesso aos dados pessoais que sejam
absolutamente necessários para que possa cumprir as atividades sob sua
direta responsabilidade.
É extremamente frequente verificarmos nas entidades a inexistên­
cia de qualquer filtro ou estabelecimento de níveis de acesso aos vários
módulos do sistema de informação utilizados (mormente os ERP), per­
mitindo que qualquer colaborador de qualquer área ou departamento
tenha acesso a todos os dados existentes no repositório, inclusive aos da­
dos relacionados com as vicissitudes de âmbito laboral de colegas. Aqui,
verificando-se esta circunstância, a experiência leva-nos a recomendar
um procedimento inverso do que seria, digamos, natural: ao invés de
pensarmos nos acessos que podemos retirar, pensemos em quais acessos
precisamos conceder, cingindo tal concessão ao mínimo efetivamente
necessário. Numa fase zero, em pleno processo de auditoria de dados e

13
Nos casos da baixa médica que se reflete no recibo de vencimento e fica registado.

26
III. PROCESSO DE ADEQUAÇÃO AO RGPD EM TRÊS FASES

de adequação, sugerimos mesmo que seja feito o reset de todos os acessos


e, a partir daí, seja seguido o método que atrás recomendámos.
Esta verificação dos intervenientes deve tomar em linha de conta não
só os intervenientes internos, e.g. da própria entidade, como também os
intervenientes externos, nomeadamente os serviços que são contratados
em outsourcing com acesso a dados pessoais, desde logo de trabalhadores
e de clientes ou utentes da entidade, como os casos comuns do processa­
mento salarial, da contabilidade ou revisão de contas, da medicina, segu­
rança e higiene no trabalho, da assessoria informática, dos mediadores de
seguros (de acidentes de trabalho), entre outros.
É, pois, necessário conhecer todos os intervenientes que processam
dados pessoais, uma vez que, grande parte das vezes, se deteta que exis­
tem sujeitos nas operações com dados que são subcontratantes, e con­
forme veremos (no ponto 3 do título C do presente capítulo), as relações
com esses subcontratantes requerem regulação própria, sob pena de a
responsabilidade por alguma irregularidade ser imputável também ao
responsável pelo tratamento dos dados pessoais, i.e., a entidade auditada.
Exemplo desta afirmação é o caso dos contabilistas ou das empresas con­
tratadas para gestão de recursos humanos, nos quais tão frequentemente
se concentram operações de tratamento de dados como os processamen­
tos salariais ou os processos de recrutamento.
Acontece com regularidade que existem mais intervenientes com
acesso a dados pessoais do que aqueles que são efetivamente necessários,
devendo limitar-se ao máximo os acessos àqueles que não necessitem
de os ter, bem ainda, se possível, minimizar os próprios intervenientes
nas operações de tratamento de dados. É também importante para que
esta minimização seja efetuada com sucesso, que os intervenientes nes­
tes processos tenham sensibilização em proteção de dados e privacidade,
para poderem reconhecer que tratam dados pessoais e que poderão ter
acesso a dados que não deveriam, nem precisariam de conhecer.
Em relação a este ponto, cumpre referir que, se os intervenientes não
compreenderem o que está na génese da regulamentação, o que motivou
o legislador a regulamentar esta matéria, agirão com resistência ou de
forma mecanizada, levando a interpretações as mais das vezes extremistas
e, por conseguinte, sem sentido. Daí a relevância das formações internas
destinadas não só aos intervenientes nas operações com dados pessoais,
como também verticalmente em toda a entidade, a todos os colabora­
dores e decisores (veja-se a este propósito o ponto 6, do capítulo IV).

27
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

4. Inventariação dos fluxos de dados


Com a informação a que os auditores de dados obtiveram até este
momento, é já possível construir o previamente referido fluxograma
de dados, conseguindo obter-se uma perceção clara dos tratamentos
de dados realizados pela entidade, nomeadamente dos fluxos existentes.
Inventariar o fluxo dos dados é nada mais, nada menos, do que per­
ceber os dados que são tratados e a forma como eles circulam entre os
vários momentos (e.g. de recolha, de transmissão a terceiros, de conser­
vação, de edição, de eliminação, etc.).
Mais uma vez, no que toca ao tratamento de dados pessoais em con­
texto laboral, refira-se que o volume neste contexto e a especialidade
da matéria implicam que aqueles circulem de forma particularmente
otimizada, no que respeita a garantias de segurança e privacidade, con­
siderando que os intervenientes que os processam serão também eles
trabalhadores da mesma entidade. Assim, quanto mais eficiente for a
minimização dos intervenientes necessários, mais fácil será a implemen­
tação de medidas de prevenção e segurança no tratamento dos dados
pessoais. Veja-se o seguinte exemplo, referente à celebração de contratos
de trabalho:

A) Recolha dos dados pessoais necessários pelo departamento de RH

Envia para

B) Segurança Social Reenvia para

C) Seguradora

D) Assessoria jurídica para preparação do contrato de trabalho

Com esta ilustração temos o mapeamento dos dados pessoais, que nos
permite identificar e organizar a circulação de dados e intervenientes no
processo.

5. Identificação das medidas de segurança existentes


Para cada uma das operações realizadas com dados pessoais deverá exis­
tir uma medida de segurança implementada que seja adequada, a qual

28
III. PROCESSO DE ADEQUAÇÃO AO RGPD EM TRÊS FASES

garanta a restrição de acesso, a integridade, a segurança, a permanência


e a resiliência dos dados.
Por medida de segurança implementada adequada, entende-se a me­
dida que seja eficaz, em termos comuns ou médios, para que se consiga,
grosso modo, a restrição de acesso aos dados, assim garantindo a sua segu­
rança e a privacidade dos seus titulares.
Concretizando melhor, e tomando os exemplos que demos no ponto 1
do presente título, na hipótese 1-A, entende-se por medida adequada o
repositório onde se coloca o livro de registos ser um armário ou uma sala
que se encontrem fechados com chave ou código, acessível apenas pelos
funcionários adstritos à portaria ou à segurança das instalações; na hipó­
tese 3-A entende-se por medida adequada o sistema informático estar
protegido por acesso com autenticação por utilizador com palavra-chave,
bem como o acesso ao programa informático da empresa de segurança
privada estar protegido igualmente por autenticação por utilizador com
palavra-chave, que o servidor próprio da empresa de segurança privada
tenha também ele acesso restrito e esteja protegido por medidas de se­
gurança informática, incluindo o seu próprio acesso em linha, e por fim, o
mesmo quanto à cópia de segurança realizada para a cloud fornecida por
terceiro; por fim, na hipótese 3-B, e a par do referido para a hipótese 3-A
no que seja similar, recomendar-se-ia, para além do acesso por autenti­
cação de utilizador pelo menos por palavra-chave, e considerando que
os dados ficam alojados no disco do computador, que o mesmo estivesse
protegido em armário fechado com chave.
Um outro exemplo de medida de segurança considerada adequada, no
caso de documentos e informações em suporte físico dos recursos huma­
nos da entidade, é o de serem mantidos em sala própria e/ou depositados
em armários com acesso por chave, detida apenas pelos intervenientes
que efetivamente necessitem de tratar tais dados no âmbito das suas fun­
ções, sendo os mesmos acedidos apenas quando necessário e pelo tempo
estritamente necessário para o efeito (entenda-se: de nada serve termos
armários com acesso por chave se a informação ficar dispersa e acessível
pelas zonas de trabalho).

6. Identificação dos riscos de privacidade


Nesta sequência de trabalho, os auditores de dados perceberão quais os
riscos existentes para a privacidade dos titulares dos dados, verificando
criticamente os processos levados a cabo pela entidade auditada.

29
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

Serão, assim, capazes de sugerir nos momentos próprios (veja-se a este


propósito o ponto 4 do título B do presente capítulo) a implementação
das ditas medidas de, segurança, adequadas que minimizem os riscos de
violação do direito de privacidade dos titulares desses dados.

7. Avaliação do mérito das operações realizadas


Qualquer operação com dados pessoais deve ter um determinado pro­
pósito, um objetivo concretamente definido, tendo a montante uma causa
de tratamento legítimo. Neste âmbito, os auditores de dados devem veri­
ficar, antes do mais, se as operações com dados pessoais, realizadas pela
entidade, observam os princípios relativos ao tratamento daqueles14, bem
como se configuram alguma das situações expressamente previstas de
tratamento lícito15 •
Por conseguinte, o tratamento de dados pessoais deve obedecer aos
seguintes princípios:
1. Princípio da licitude, lealdade e transparência: os dados pessoais
são objeto de um tratamento lícito, leal e transparente em rela­
ção ao seu titular. Ex: informação prestada ao titular de dados no
momento da respetiva recolha, através de um aviso informativo
quanto às operações de tratamento que serão realizadas;
2. Princípio da limitação das finalidades: os dados pessoais são reco­
lhidos para finalidades determinadas, explícitas e legítimas, não
podendo ser tratados posteriormente de forma incompatível com
aquelas finalidades. Ex: se numa loja são pedidos os contactos de
um cliente para gestão de uma encomenda realizada, não poderão
esses contactos ser usados para finalidades de marketing e publi­
cidade;
3. Princípio da minimização: os dados pessoais devem ser adequados,
pertinentes e limitados ao que é necessário relativamente às finali­
dades para as quais são tratados. Ex: recolha apenas do nome, con­
tribuinte, nº de identificação e morada para realização do contrato
de trabalho, e não da cópia do cartão de cidadão, uma vez que no
mesmo constarão dados absolutamente desnecessários para o que
se pretende (como os nomes dos pais, a altura e o nº de utente);

14
Cfr. artigo Sº do RGPD.
15
Cfr. artigo 6 º do RGPD.

30
III. PROCESSO DE ADEQUAÇÃO AO RGPD EM TRÊS FASES

4. Princípio da exatidão: os dados pessoais devem ser exatos e atua­


lizados sempre que necessário, devendo ser adotadas todas as me­
didas adequadas para que os dados inexatos, tendo em conta as
finalidades para que são tratados, sejam apagados ou retificados
sem demora. Ex: a entidade pode implementar um procedimento
interno, com periodização anual, para atualização de dados dos
colaboradores, como moradas, estado civil ou atualização de cartão
de cidadão;
5. Princípio da limitação da conservação: os dados pessoais devem ser
conservados apenas durante o período necessário às finalidades
para os quais são tratados. Ex: cumprimento de prazos legais de
conservação;
6. Princípio da integridade e confidencialidade: os dados pessoais são
tratados de forma a que esteja garantida a sua segurança, incluindo
a proteção contra o seu tratamento não autorizado ou ilícito, bem
como contra a sua perda, destruição ou danificação acidental.
Ex: medidas de encriptação; cifragem; armazenamento de docu­
mentação em armários fechados à chave, com limitação de acessos.

Relativamente às situações de tratamento lícito, recordamos serem as


seguintes:
1. O titular dos dados tiver dado o seu consentimento para o trata­
mento para uma ou mais finalidades específicas;
2. O tratamento for necessário para a execução de um contrato no
qual o titular dos dados é parte, ou para diligências pré-contratuais
a pedido do titular dos dados;
3. O tratamento for necessário para o cumprimento de uma obriga­
ção jurídica a que o responsável pelo tratamento esteja sujeito;
4. O tratamento for necessário para a defesa de interesses vitais do
titular dos dados ou de outra pessoa singular;
5. O tratamento for necessário ao exercício de funções de interesse
público ou ao exercício da autoridade pública de que esteja inves­
tido o responsável pelo tratamento;
6. O tratamento for necessário para efeito dos interesses legítimos
prosseguidos pelo responsável pelo tratamento ou por terceiros,
exceto se prevalecerem os interesses ou direitos e liberdades fun­
damentais do titular que exijam a proteção dos dados pessoais, em
especial se o titular for uma criança.

31
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

A respeito do consentimento, será o mesmo a situação mais exigente


em termos de cumprimento de requisitos, tal como o evidencia a circuns­
tância de merecer um artigo autónomo16 para o explicar, bem como as
suas condições. Assim, o enquadramento nesta situação deve ser promo­
vido apenas quando não for aplicável qualquer outra das situações pre­
vistas, o que suporá neste caso o cumprimento do conjunto de todos os
pressupostos exigidos pela figura do consentimento.
Cabe, portanto, aos auditores, verificarem, quanto ao mérito das ope­
rações realizadas, se estão antes do mais observados estes pressupostos,
e.g. o cumprimento dos princípios e o enquadramento numa situação de
licitude de tratamento.

8. Avaliação da forma das operações realizadas


Todas as operações com dados pessoais devem ser objeto de registo rela­
tivo à forma como são levadas a cabo, sejam os procedimentos, sejam os
suportes utilizados.
A forma verificada terá que merecer uma análise crítica relativamente
à eficiência da mesma, sempre com o pressuposto de assegurar os prin­
cípios e regras em vigor. Dessa análise crítica resultará a conclusão de
existir, ou não, algum método mais eficiente com respeito a tal objetivo
de assegurar os princípios e regras em vigor.
Recordamos que todas as operações com dados pessoais devem ser
estabelecidas sob o princípio privacy by design, de onde resulta que tudo
deve ser desenvolvido de forma a garantir a maior eficiência na segurança
no tratamento dos dados, e.g. a privacidade dos seus titulares.
É crucial analisar a forma como cada uma das diversas operações de
dados é efetuada, permitindo criar mecanismos de tratamento mais ade­
quados para cada operação em concreto. As medidas podem ser diversas,
como: implementar um ERP e deixar de tratar dados em suporte físico;
alterar o ERP existente para aditar garantias de segurança à forma de tra­
tamento; destruir adequadamente os documentos de arquivo em papel
(numa destruidora própria) que não tenham razão lícita para permane­
cerem arquivados; analisar a forma como o sistema de câmaras de video­
vigilância recolhe imagens em contexto de trabalho (i.e. se "controla" a

16
Cfr. artigo 7º do RGPD.

32
III. PROCESSO DE ADEQUAÇÃO AO RGPD EM TRÊS FASES

atividade do trabalhador ou somente a segurança de pessoas e bens, ou se


elimina as imagens no prazo legalmente estabelecido).
Toda esta análise dependerá das especificidades da entidade, dos da­
dos pessoais tratados, das operações de tratamento de dados levadas a
cabo e do número de intervenientes nesse tratamento de dados pessoais.

9. Verificação dos requisitos de licitude do tratamento


Já vimos as seis situações existentes previstas pelo RGPD para que o
tratamento de dados seja considerado lícito (vide ponto 7 do presente
título).
Nesta conformidade, há que avaliar se o tratamento em execução se
integra em alguma das circunstâncias previstas no normativo aplicável,
uma vez que estamos num momento de auditoria a operações existentes
e não num momento de definição das mesmas.
A avaliação da licitude do tratamento é o primeiro passo da análise
crítica por parte dos auditores de dados, pois sem tratamento lícito não
pode existir tratamento de dados.
Caso exista alguma concreta operação que não se enquadre em al­
guma das referidas seis situações, e.g. relativamente à qual os auditores
de dados não considerem existir uma causa de licitude para o tratamento,
o mesmo, não sendo pois lícito, não pode mais ser levado a cabo. E não se
imporá apenas cessar tal tratamento, como também eliminar todo o rasto
digital ou físico que possa existir advindo desse tratamento irregular.
Voltando a assinalar o âmbito de tratamento de dados em contexto
laboral, encontraremos sobretudo três formas de tratamento lícito de da­
dos pessoais, sendo elas: as diligências pré-contratuais a pedido do titular
dos dados e a respetiva execução do contrato de trabalho; a existência de
obrigações jurídico-legais que sujeitam o responsável pelo tratamento;
e ainda, com menor incidência, mas também relevante, a existência de
interesses legítimos. Para além dos casos referidos, existe um outro fun­
damento de licitude de tratamento aplicável às relações laborais, ainda
que com menor impacto e sendo mesmo a ultima ratio de tratamento
de dados pessoais, com as reservas que já abordamos anteriormente:
o consentimento. Um bom exemplo desta situação pode ser o dos CV
que são enviados mediante candidatura espontânea para uma entidade,
os quais necessitarão de consentimento do titular dos dados para a sua
manutenção por parte da entidade, uma vez que não estamos propria-

33
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

mente perante uma diligência pré-contratual17• Outro exemplo será o do


uso de imagens que sejam obtidas num jantar de Natal da empresa, para
publicitar no respetivo website, as quais, embora obtidas num evento da
entidade, não são propriamente decorrentes da execução do contrato de
trabalho, estando fora do seu objeto, e como tal, escapam ao fundamento
de licitude da execução do contrato e do interesse legítimo, visto que se
encontra em causa o direito à imagem do trabalhador. Podemos referir
ainda, os sistemas de profiling em contexto laboral que, por não terem
fundamento de licitude, carecem de autorização dos titulares dos dados
- neste caso, os colaboradores - para poderem ser utilizados. Esta ques­
tão será mais controversa, uma vez que se discute se existe neste caso um
equilíbrio ou um desequilíbrio de poderes, dado que o trabalhador que
aceitar integrar este sistema de profiling poderá sair beneficiado em rela­
ção a outro trabalhador que se opôs à sua inclusão nesse sistema.
Por fim, recordar que vigora transversalmente o princípio da responsa­
bilidade (accountability), que vale por dizer que o ónus de provar a lici­
tude do tratamento cabe à entidade que leva a cabo as operações com
dados pessoais.

10. Identificação das áreas e dimensões necessárias de atuação


Com o diagnóstico realizado pelos auditores de dados nesta primeira
fase, terão sido detetadas todas as operações com dados pessoais levadas
a cabo pela entidade. Assim, aqui chegados, e tendo dissecado os trata­
mentos de dados promovidos, construímos um relatório com a identifica­
ção de todas as operações concretas com dados pessoais, com todo o deta­
lhe relativo às formas, métodos, suportes, intervenientes e o seu fluxo.
A análise com vista à adequação deve ser realizada sempre tendo em
conta cada operação concreta com dados pessoais, independentemente
da sua menor ou maior complexidade. Cada operação levada a cabo pela
entidade deve seguir o mesmo processo completo, respeitando essa in­
dividualidade. Com efeito, só este método permitirá ter por garantido
que todo o tratamento de dados é feito de forma adequada, ao invés do
agrupamento por tipos de tratamento de dados, de estilo estandardizado,

17Já será um caso diferente , no nosso entendimento, quando exista um recrutamento aberto e
o titular dos dados sabe que enviando a sua candidatura está a ingressar numa série de testes
e análises que poderão levar à sua vinculação contratual com aquela entidade.
Cfr. artigo S º nº 2, do RGPD.

34
III. PROCESSO DE ADEQUAÇÃO AO RGPD EM TRÊS FASES

que cremos absolutamente desaconselhável. Não nos referimos ao estan­


dardizar de procedimentos, que sim trazem, desde logo, eficiência de
processos, mas sim à necessidade de analisar cada operação concreta com
a individualidade que a mesma comporta: qualquer alteração mínima
de pressupostos pode alterar por completo o procedimento correto a
observar ou, dito de outro modo, levar a que um procedimento adequado
para um determinado enquadramento já não o seja em absoluto para um
outro, ainda que a forma seja exatamente a mesma.
O relatório desta fase deve, então, fazer um juízo crítico sobre todas as
operações que são levadas a cabo pela entidade, autuando como válidas
as que o sejam e como contingências aquelas que não sejam levadas a
cabo em termos regulares ou que não possam continuar sequer a conti­
nuar a ser efetuadas. Numa fase seguinte, o objetivo é indicar as medidas
que devem ser tomadas para alcançar a compliance total.

B. Fase 2: Descrição das medidas a tomar para a adequação

1. Desenvolvimento de um cronograma de atuação e de investimento


Os auditores de dados devem ter em conta que a intenção da entidade
será a total adequação ao RGPD, porém, sabendo-se que todos os recur­
sos são limitados e necessariamente geridos por ordem de prioridades, a
velocidade com que tal adequação se poderá processar depende do nível
de esforço de adaptação da entidade e da dimensão do investimento ne­
cessário. Deve existir sensibilidade para a circunstância de que nenhum
negócio possa suspender ou cessar a sua atividade normal, nem priorizar
em absoluto a sua adequação ao RGPD.
Assim sendo, mediante a informação colhida na fase anterior, e tendo
em conta as medidas que os auditores de dados já percecionaram como
necessárias, devem, num segundo relatório de trabalho que indicará as
resoluções a adotar, ter em atenção que essa descrição deve surgir por
ordem de prioridade face à contingência que representa. A tal chama­
mos "cronograma de atuação", que serve como guia de procedimentos a
seguir para a entidade (bem como para os auditores de dados e o EPD)
no processo seguinte de implementação. Aqui se inclui algum do inves­
timento que se afigure necessário, desde a alteração da arquitetura de
programas informáticos existentes (incluindo, por exemplo, a imple-

35
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

mentação de níveis de acesso diferenciados aos vários utilizadores, tendo


em conta o princípio de que todo o colaborador só pode aceder à infor­
mação imprescindível ao exercício das suas funções), à aquisição de no­
vos meios informáticos (especialmente os de repositório e de segurança
informática, tanto para restrição de acessos exteriores como para rastreio
dos acessos internos), ou tão-simplesmente na aquisição de fechaduras
para armários e portas.

2. Medidas para assegurar os direitos dos titulares dos dados


Conhecidos os direitos dos titulares dos dados, importa verificar quais
são as medidas objetivamente aplicáveis para garantia da salvaguarda
desses direitos. Nesta sede, são muitas e diversas as medidas que devem
ser tomadas. Desde logo, encontramos a informação como o elemento
soberano em termos de adequação, sendo sempre necessário em todas
as medidas que são tomadas. Informar o titular sobre todas as operações
realizadas sobre os seus dados, que de forma esclarecida e livre aceitou
ceder para determinado efeito e permitir-lhe o exercício dos seus direi­
tos enquanto titular dos dados, são pilares absolutos.
O titular dos dados deve receber informação sobre os procedimen­
tos que a entidade desenvolve para serem respeitados os seus direitos.
Em última linha, tal estará vertido no documento que adiante chamamos
de política de tratamento de dados pessoais da entidade, onde o titular
dos dados pode, em qualquer momento, consultar toda a informação
relevante a respeito.
Como vimos anteriormente (vide capítulo I), a par dos denominados
direitos "ARCO", vindos já da Diretiva 95/46/CE revogada pelo RGPD,
que querem significar os direitos de Acesso (consulta e edição dos dados),
de Retificação ( correção e atualização dos dados), de Cancelamento (eli­
minação dos dados) e de Oposição (ao tratamento dos seus dados), assis­
timos agora à consagração de novos direitos: o direito de portabilidade
dos dados (o titular tem direito a solicitar a transferência dos seus da­
dos de uma entidade para outra, diretamente entre entidades ou através
da extração de um ficheiro normalizado com a informação); o direito de
não sujeição a nenhuma decisão tomada apenas com base no tratamento
automatizado (que é o encaminhamento com base em tendências, aná­
lise de comportamentos e afins, no âmbito do profiling); o direito à limita­
ção do tratamento; o direito a um prazo de resposta quando no exercício

36
III. PROCESSO DE ADEQUAÇÃO AO RGPD EM TRÊS FASES

dos direitos (prazo razoável que é de um mês, salvo justificação séria que
permite dobrar este prazo); o direito a ser imediatamente informado em
caso de alguma violação dos seus direitos, nomeadamente quando fique
prejudicado o direito de privacidade e de integridade dos seus dados pes­
soais; o direito à proteção dos seus dados; e o direito de apresentar queixa
contra algum tratamento indevido, junto de Autoridades de Controlo.
Cabe à entidade adotar os mecanismos mais eficientes, tendo em conta
a sua própria estrutura orgânica, para que da forma mais adequada seja
assegurado aos titulares dos dados o exercício dos respetivos direitos.
Vale assim dizer, que a entidade deve: desenvolver a forma de o titular
poder aceder aos seus dados; de os atualizar/retificar; de os mesmos se­
rem eliminados salvo se existir imperativo de tratamento (por exemplo,
se os mesmos constam em faturas que lhe tenham sido emitidas, eviden­
temente que os dados não poderão ser apagados enquanto decorrer o
prazo legal de conservação dos documentos de âmbito tributário); de
não serem tratados em determinados contextos; de serem extraídos
para um ficheiro normalizado a fim de serem transferidos para outra en­
tidade, entre os demais casos, a fim de que quando o titular pretender
exercer tais direitos, a entidade tenha preparado o correspetivo meca­
nismo de sequência.
Para início de procedimento quanto ao tratamento de dados em geral,
sempre se recomenda:
1. A criação de um formulário quer físico quer eletrónico para este
efeito de exercício de direitos, onde o titular dos dados possa expor
o que pretende, o que permite, desde logo, a par de um suporte
normalizado ou estandardizado, evitar a dispersão de informação
e centralizar num suporte único tudo quanto se relacione com
este tema;
2. A criação de endereço de correio eletrónico específico para toda
a atividade relacionada com a análise dos pedidos dos titulares
dos dados (por exemplo dados@..., rgpd@..., privacidade@ ..., ou
mesmo, existindo, o próprio endereço do EPD da entidade), o que
permite, igualmente, evitar a dispersão de informação e manter
num repositório único tudo quanto se relacione com este tema,
reduzindo fluxos de dados.

Ainda como recomendações, quer de âmbito geral (de dentro para


fora), quer de âmbito interno (de dentro para dentro), quer ainda no

37
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

âmbito específico do tratamento de dados em contexto de recrutamento,


deve ser promovido o seguinte:
1. Aditar aos formulários de receção de CV por meio de candidatura
espontânea uma informação sobre os direitos que o candidato
detém enquanto titular de dados pessoais, bem como um pedi­
do de consentimento para tratamento desses mesmos dados, com
descrição da finalidade do tratamento e prazo de conservação dos
dados aí obtidos;
2. Criar um endereço de correio eletrónico destinado à receção de
curricula vitae (por exemplo cv@ ... ou candidaturas@ ... ) com uma
mensagem automática que informe o candidato que terá de con­
sentir no tratamento dos seus dados, pois caso contrário terão de
ser imediatamente destruídos;
3. Ponderar a alteração dos endereços de correio eletrónico dos tra­
balhadores, vendo da viabilidade de substituir o nome dos mesmos
e preferindo a categoria profissional ou outro elemento indicativo
(por exemplo comerciall@ ... ou financeiro3@ ...);
4. Celebrar aditamentos aos contratos de trabalho com inserção de
uma cláusula de proteção de dados, que informe o colaborador
sobre a existência de uma política de tratamento de dados pessoais
da entidade, sobre os seus direitos enquanto titular de dados, e
ainda sobre os dados pessoais que são tratados, de que forma são
tratados e porque motivo poderão ser tratados;
5. Utilizar estes aditamentos para estabelecer a obrigatoriedade da
confidencialidade e sigilo em matéria de dados pessoais;
6. Criar uma política interna de boas práticas e procedimentos para
o tratamento de dados pessoais incluída no regulamento inter­
no ou código de conduta da entidade, onde fiquem definidos os
procedimentos corretos para o tratamento de dados pessoais dos
trabalhadores e onde estes também recebam uma vez mais, infor­
mação sobre a forma como os seus dados pessoais são tratados e
sobre a existência de um responsável ou encarregado de proteção
de dados;
7. Criar uma declaração (de consentimento informado para os tra­
balhadores assinarem quando exista necessidade de a entidade
requerer o consentimento do trabalhador e estejam cumpridos os

38
III. PROCESSO DE ADEQUAÇÃO AO RGPD EM TRÊS FASES

requisitos estabelecidos pelo artigo 7º do RGPD e pela WP 25918,


nomeadamente a liberdade do consentimento e o equilíbrio de
poderes entre as partes;
8. Sugerir meios de gestão de dados dos RH informatizados, nomea­
damente o uso de sistemas que tenham a possibilidade de limitar
os acessos aos dados pessoais por utilizador e por departamento,
bem como a possibilidade de eliminar definitivamente os dados
pessoais que não podem ser tratados e a eventual pegada digital
existente;
9. Encerrar arquivos físicos, tendo acesso somente quem tem neces­
sidade de ter acesso;
10. Priorizar o arquivo digital dos dados pessoais dos trabalhadores
ao invés do arquivo físico, uma vez que existem garantias de segu­
rança mais fortes e permitem o controlo dos prazos de conser­
vação e da natureza dos dados pessoais;
11. Organizar os arquivos físicos por forma a controlar os prazos de
conservação em cada momento;
12. Destruir os dados pessoais desnecessários ou não tratados em con­
formidade;
13. Pedir regularmente a atualização dos dados pessoais dos trabalha­
dores, no cumprimento do princípio da exatidão, pois é recorrente
os trabalhadores não cumprirem com o seu dever de atualizar os
seus dados pessoais junto da entidade;
14. Alterar as palavras-chave de acesso aos computadores e programas
utilizados, acrescentando-lhe um grau de segurança (é muito fre­
quente encontrarmos palavras-chave como <admin> ou <12345>),
ou, em alternativa, criar sistemas de dupla autenticação;
15. Apagar os elementos biométricos existentes nos sistemas de reco­
lha deste tipo de dados pessoais, sempre que exista a cessação do
contrato de trabalho19 ;
16. Analisar a forma como os sistemas de controlo à distância estão im­
plementados (videovigilância e geolocalização), auditando sobre

18 WP 259 rev.01 do grupo do artigo 29º para a proteção de dados - Orientações relativas ao
consentimento na aceção do Regulamento (UE) 2016/679 do G29.
19
O que não impede a permanência dos relatórios emitidos por este tipo de sistemas, nomea­
damente os registos de assiduidade e de horários de trabalho praticados, que inclusivamente
têm um prazo de conservação de 5 anos, nos termos do artigo 202º, nº 4 do CT.

39
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

a aplicação das regras legais aplicáveis para instalação deste tipo


de sistemas, nomeadamente se servem para proteção e segurança
das pessoas e bens ou para controlo da execução das funções dos
trabalhadores;
17. Dar formação aos trabalhadores em matéria de proteção de dados;
18. Introduzir meios de encriptação de dados pessoais inseridos em
documentos digitais, o que permitirá enviar documentos com
dados pessoais com segurança acrescida;
19. Encerrar os servidores em bastidores fechados e conservar supor­
tes de bases de dados em salas de acesso restrito, permitindo
acesso apenas a quem efetivamente tenha de aceder aos dados aí
guardados;
20. Promover a criação de cópias de segurança para uma localização
segura, que não o próprio espaço de entidade, dado que em caso
de algum infortúnio, ter uma única cópia de segurança e no mesmo
local resultaria na perda de todos os dados (repositório original
e cópia de segurança), ou para cloud, contanto que a localização
desse data center se situe dentro do espaço da União Europeia;
21. Adquirir sistemas de segurança informática adequados aos sis­
temas informáticos implementados e à própria caracterização da
entidade;
22. Contratar serviços de saúde, higiene e segurança no trabalho,
seguradoras, assessoria jurídica, assessoria contabilística, entre
outros que possam também existir, os quais tenham garantias
dadas de que têm instituídas políticas de tratamento de dados
pessoais e de privacidade20 •

3. Adequação das operações com dados face às finalidades do trata-


mento
Tendo presente o importante princípio da limitação das finalidades de
tratamento, em que os dados pessoais são recolhidos para determinadas
finalidades, explícitas e legítimas - portanto concretamente definidas
num momento anterior a qualquer tratamento - e a impossibilidade de

20
Esta questão desenvolveremos sobretudo na regulação das responsabilidades com os sub­
contratantes, de que trataremos adiante (vide ponto 3 do título C do presente capítulo).

40
III. PROCESSO DE ADEQUAÇÃO AO RGPD EM TRÊS FASES

tratar tais dados num momento posterior de forma incompatível com


tais finalidades, o auditor de dados deve ter particular enfoque na análise
deste pressuposto.
Assim, num momento zero de análise relativamente a cada operação
com dados pessoais, cuja finalidade tenha sido definida e reúna os pres­
supostos adequados, deve ser avaliado se a forma como globalmente são
conduzidas tais operações é coerente com as finalidades.

4. Adequação das operações sob o princípio da privacidade desde a


conceção
O conceito de privacidade desde a conceção, mais comummente conhe­
cido por privacy by design, consiste no desenho das operações pessoais
tendo por base primeira a salvaguarda da privacidade dos seus titulares
(cfr. artigo 25º do RGPD). Pressupõe que o foco central aquando do
desenvolvimento de qualquer projeto, produto ou serviço com dados
pessoais, seja a salvaguarda de privacidade.
As ideias-chave deste método, recomendado pelo RGPD, assentam
essencialmente no seguinte:
1. Prevenir eventos que representem violação de privacidade, ao invés
de reagir a tal situação, ou seja, antecipar problemas potenciais
aquando da realização de operações com dados pessoais e pres­
supondo pro-atividade na monitorização dos riscos existentes e a
introdução constante de medidas mitigadoras desses riscos;
2. A possibilidade de o titular controlar os dados detidos pela enti­
dade de forma direta, alterando configurações, editando dados,
eliminando dados, substituindo dados, tudo isto sem prejudicar a
utilização do produto ou serviço prestado pela entidade;
3. Inexistência de qualquer vantagem ou desvantagem decorrente
da alteração de qualquer configuração de privacidade, como seja
respetivamente o acesso a produtos ou serviços adicionais ou a res­
trição a determinados produtos ou serviços;
4. A segurança da informação em todos os momentos, garantindo
que os fluxos estão convenientemente mapeados e que não existe
qualquer brecha em determinado momento do ciclo de tratamento
de dados;
5. Ser visível ou perfeitamente percetível ao titular dos dados o exer­
cício dos seus direitos e a salvaguarda dos mesmos, garantindo que

41
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

a entidade cumpre os pressupostos devidos e que provavelmente


tem isso vertido na sua política de privacidade;
6. Dentro do desenho da operação, tendo como foco principal a pri­
vacidade, a configuração zero deve ser a mais restritiva possível,
aquela em que o mínimo de dados para prestar o serviço ou entre­
gar o produto deve ser coletado, a um ponto em que até para for­
necer o produto ou prestar o serviço exista a necessidade de uma
ação positiva por parte do utilizador; esta ideia, dentro do privacy
by design e dele decorrente, é conhecida por privacy by default 21, e vai
inclusive ao ponto de pressupor que todos os dados são elimina­
dos imediatamente aquando da prestação do serviço ou da entrega
do produto.

A ideia aqui subjacente é contrariar a circunstância de a maioria dos


titulares de dados procurar rapidez e informalidade, especialmente em
ambiente online, não tendo a preocupação de verificar quais são as confi­
gurações padrão existentes, limitando-se a aceitar por defeito tudo o que
lhe é proposto (as mais das vezes sem sequer atentar minimamente no
conteúdo). Por esta razão, são proibidas por princípio, com o RGPD, as
opções pré-selecionadas.
A política de desenho de operações com dados pessoais, tendo a pri­
vacidade como conceito intrínseco e na sua conceção, visa precisamente
que as entidades atuem com essa transparência, já que ao motivarem uma
interação por parte do titular dos dados potenciam o evidenciar de qual­
quer alteração de configuração das definições de privacidade e as conse­
quências daí decorrentes, levando a que o titular esteja mais informado
sobre os dados que fornece e sobre o propósito com que serão tratados, e
necessariamente, ficando mais confiante na relação com a entidade.
O objetivo não é restringir a utilização de dados pessoais, mas sim
utilizá-los e informando disso o titular, uma e outra vez, sempre que os
mesmos forem utilizados. Imagine-se o exemplo do acesso à localização
através do smartphone, para de entre duas situações, se ilustrar a diferença
evidente de transparência entre a entidade e o titular dos dados:
• Situação 1: Uma aplicação que acede aos dados da localização
sem qualquer sinalização de o estar a fazer (ainda que aquando

21 Cfr. artigo 25 º, nº 2 do RGPD.

42
III. PROCESSO DE ADEQUAÇÃO AO RGPD EM TRÊS FASES

da instalação e primeira utilização, o utilizador, conscientemente


ou não, tenha tido essa possibilidade);
• Situação 2: Uma aplicação que avisa/questiona o titular dos dados
sempre que pretende aceder aos dados da localização.

5. Identificação das opções existentes de sistemas e serviços


Atenta a forma como a entidade leva a cabo as operações com dados pes­
soais, com maior ou menor complexidade, com maior ou menor grau de
informatização, devem ser ponderadas as opções que permitam à enti­
dade deter as ditas medidas técnicas e organizativas adequadas.
A palavra "adequação" tem aqui adjacente a ideia de segurança, mas
também de proporcionalidade, face à caracterização da entidade e das
operações com dados que realiza. Não é exigível, claro está, o mesmo tipo
e o mesmo nível de medidas a entidades com dimensões e caracterização
completamente díspares, mas antes se exige que, face ao tipo de opera­
ções que realiza e à exposição que tem, garanta medidas técnicas e orga­
nizativas adequadas nessa conformidade.
Também não quer pressupor investimentos avultados em sistemas de
segurança informática sofisticados para quem, face à sua caracterização
e tipo de operações que realiza, deles não necessita. Tanto é uma medida
adequada determos informação encriptada ou cifrada,firewalls, formas de
autenticação para acesso à informação de dois ou mais níveis, como o é
a política da clean desk, que pressupõe que os colaboradores não deixem
"à vista" de qualquer pessoa, documentos que contenham dados pessoais,
ou encerrarem com chave os armários e salas com informação. Aliás, de
nada adiantaria à entidade deter sistemas ultra sofisticados de segurança
do foro informático, se depois não levasse em linha de conta estes pontos
igualmente importantes.
Sem prejuízo disto, evidentemente que a segurança informática, para
entidades que trabalham a sua informação de forma maioritariamente
informatizada ou em ambiente online, é cada vez mais importante, tendo
em conta especialmente a evidência de que a criminalidade que se veri­
fica em crescendo é sobretudo a relacionada com a informática.
No âmbito da segurança informática existem três grandes dimensões:
a segurança do hardware, a segurança do software e a segurança da rede.
A segurança do hardware está relacionada com dispositivos utili­
zados para verificar um determinado sistema ou o próprio tráfego na

43
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

rede. Exemplos comuns são as .firewalls, os antivírus de hardware ou os


servidores proxy.
Também existem opções de módulos de segurança para o hardware,
como as chaves criptografadas, destinadas a funções de nível crítico como
a codificação, a descodificação e a autenticação para diversos tipos de sis­
temas. De todos os tipos de segurança informática, estes serão os que, em
princípio, serão capazes de fornecer os maiores níveis de proteção, sejam
a título principal sejam inclusive quando complementados com outros
sistemas, funcionando como uma espécie de camada adicional.
Por fim, quanto a esta dimensão, é de referir que a própria qualidade
dos materiais de hardware utilizados é, evidentemente, garante de maior
segurança quanto à integridade dos dados, pois qualquer suporte de me­
nor robustez na sua construção implicará maior probabilidade de dano.
Já a segurança do software serve para proteger programas e aplicações
contra-ataques informáticos diretos ou indiretos, com vista a garantir-se
a integridade dos sistemas e a disponibilidade da informação.
A segurança do software procura aproveitar o desenvolvimento na área
de engenharia e a implementação de medidas de proteção desde o início
de qualquer programa ou aplicativo, tentando diminuir as suas vulnera­
bilidades e lacunas cada vez mais exploradas por criminosos.
Em suma, este tipo de segurança é fundamental para salvaguardar os
riscos que possam colocar em causa o funcionamento dos programas e
aplicações da entidade.
Por fim, a segurança da rede, absolutamente crucial considerando o
quase pressuposto de ambiente online. Refere-se às atividades cujo obje­
tivo é a proteção da rede em que estamos conectados, a fim de garantir,
desde logo, a segurança na transmissão de dados. Um modelo de segu­
rança de rede eficaz é direcionado contra uma série de ameaças e con­
tra os métodos pelos quais os dispositivos conectados são introduzidos
ou disseminados.
Existem vários tipos de ameaças à segurança das redes, sendo os mais
comuns os vírus, os worms, os "cavalos de Troia", o spyware, o software de
publicidade invasiva e os ataques combinados.
Não existe propriamente alguma solução completa que garanta segu­
rança contra todo o tipo de ameaças existentes - até porque vão sur­
gindo a uma velocidade vertiginosa -, sendo pois necessário acolher
vários tipos de soluções de segurança que garantam o maior nível de

44
III. PROCESSO DE ADEQUAÇÃO AO RGPD EM TRÊS FASES

proteção possível, assim se conseguindo camadas de proteção que vão


anulando sucessivamente as ameaças.
Apresentamos de seguida alguma das soluções mais comuns e reco­
mendadas pelos especialistas, as quais, porém, estão sempre em constan­
te evolução e desenvolvimento:
• Programas antivírus e antispyware;
• Firewalls ou antivírus de rede, que bloqueiam o acesso não autori­
zado à rede;
• Modelos ou prevenção de intrusão no IP, identificando ameaças
que se possam espalhar rapidamente;
• Projeto de redes privadas virtuais ou VPN, que fornecem um sis­
tema de acesso remoto e seguro para sistemas locais.

É também muito importante que a entidade tenha os seus suportes


atualizados, dado que desta forma, por princípio, estarão melhor prepa­
rados para as mais recentes ameaças.

6. Análise dos sítios, plataformas, sistemas e similares detidos e/ ou


utilizados pela entidade
Com a interação cada vez mais natural em ambiente digital, serão pou­
cas as entidades que não dispõem de um sítio na internet. Com mais ou
menos conteúdo, com mais ou menos interação com o utilizador, impõe­
-se auditar os níveis de segurança do website e a adequação dos processos
com dados pessoais, da mesma forma que se fez com o ambiente físico.
Começamos por verificar se a ligação é segura, se detemos um pro­
tocolo e certificado que garanta aos utilizadores uma experiência em
segurança.
A cifragem com um certificado digital mantém privada tanto a infor­
mação enviada como a recebida no/do site.
Nas definições de segurança do navegador que estivermos a utilizar,
surge a identificação do nível de segurança do acesso e da utilização
desse site. O navegador indica se o site tem um certificado de segurança, se
esse certificado é reconhecido pelo navegador e se este tem uma ligação
privada. Cada nível de segurança tem um símbolo associado, com deter­
minada representação. Vejamos os seguintes exemplos retirados de um
navegador corrente:

45
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

i Seguro

As informações que enviar ou receber através do site são privadas.

Mesmo se vir este ícone, tenha sempre cuidado quando partilha informações privadas. Consulte a
barra de endereço para se certificar de que está no site ao qual pretende aceder.

<D Informações ou Inseguro

Este site não está a utilizar uma ligação privada. Alguém pode conseguir ver ou alterar as informações
que enviar ou receber através deste site.

Em alguns sites, pode aceder a uma versão mais segura da página:

1. Selecione a barra de endereço.


2. Elimine http: //e introduza antes https: / /.

Se isto não funcionar, contacte o proprietário do site e peça-lhe que proteja o site e os seus dados com
HTTPS.

A Inseguro ou Perigoso

Sugerimos que não introduza informações privadas ou pessoais nesta página. Se possível, não utilize o
site.

Inseguro: prossiga com cuidado. Existe um grave problema com a privacidade da ligação deste site.
Alguém pode conseguir ver as informações que enviar ou receber através deste site.

Pode ver a mensagem 'Início de sessão não seguro' ou 'Pagamento não seguro•.

Perigoso: evite este site. Se vir um ecrã de aviso de ecrã inteiro a vermelho, isso significa que o site foi
sinalizado como não seguro pela Navegação segura l2l . É provável que a utilização deste site coloque
as suas informações em risco.

Recomenda-se a utilização de protocolo HTTPS (segurança da liga­


ção), dado que desta forma, ao deter um certificado de segurança forne­
cido por entidades fidedignas, a classificação será de "seguro", garantido
ao utilizador o conforto correspondente na visita ao site da entidade.
Outro ponto importante é verificarmos quais os cookies22 que são
utilizados. Existem diversos tipos de cookies e todos eles com um nível bas­
tante diferente de atuação. Sendo o objetivo desta tecnologia a recolha de

22
Cookie é um ficheiro de texto de reduzida dimensão que um website coloca no computador
ou no dispositivo móvel do seu utilizador aquando da primeira visita, cujo objetivo é melho­
rar a experiência de navegação. Ao retornar ao mesmo website, são replicadas as informações
gravadas na primeira visita, evitando que o utilizador necessite de replicar toda a informação.

46
III. PROCESSO DE ADEQUAÇÃO AO RGPD EM TRÊS FASES

dados de navegação, de dados que preenchemos em formulários, entre


outros, as mais das vezes tem que ser considerada tecnologia que realize
de facto recolha de dados pessoais. E, como tal, este meio necessita de ser
mapeado e adequado.
No âmbito desta tecnologia, era já obrigatório deixar para explicitação
do utilizador se consentia ou não na utilização, inclusive podendo aceitar
cookies de um tipo e não aceitar cookies de outro tipo (mais intrusivos).
Se não consentir, a experiência que tem naquele website será diferente.
A boa navegação não é necessariamente impedida, porém não se con­
seguirá a maior otimização dos recursos existentes no mesmo. Para este
efeito, há que fazer uma distinção das categorias de cookies:
l. Cookies necessários: os quais estão sempre ativos, uma vez que têm
em vista a operabilidade do website, permitindo o acesso às funções
básicas de navegação e a zonas seguras da página;
2. Cookies de segurança: pretendem evitar riscos para a segurança do
website, e podem ser usados contra atos de usurpação de identidade
em geral e para ajudar a determinar a necessidade de implemen­
tação de novas medidas de segurança.

Estes dois tipos não estão dependentes de autorização do utilizador,


não havendo portanto sequer possibilidade de prestar ou não consenti­
mento. Serão cookies estritamente necessários ao funcionamento do sítio,
e.g. para que se complete a transmissão de uma comunicação eletrónica,
através da rede ou, para fornecer um serviço que tenha sido expressa­
mente solicitado pelo utilizador.
l. Cookies de início de sessão ou de autenticação: quando o utilizador
inicia sessão no website, é armazenada informação como um núme­
ro de ID associado e a hora de início de sessão no dispositivo, per­
mitindo navegar sem ter de iniciar sessão constantemente;
2. Cookies de preferências: guardam definições de preferência, como
por exemplo de idioma ou definições de privacidade, para que não
tenham de ser repostas de cada vez que o utilizador retorne;
3. Cookies de publicidade direcionada (baseada em comportamen­
tos): recolhem informação sobre o uso feito pelo utilizador (e.g. ar­
tigos ou anúncios visualizados ou cliques realizados), permitindo
identificar os interesses do utilizador para que a publicidade que
lhe seja dirigida seja do seu melhor interesse. Este tipo de cookies

47
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

pode ser usado para auxiliar vendedores a apresentar anúncios de


interesse, com o objetivo de dar ao utilizador uma experiência per­
sonalizada na sua visita ao website;
4. Cookies de estatísticas: recolhem informação capaz de medir a efi­
ciência dos serviços prestados e da atividade comercial desenvol­
vida, por exemplo, recolhendo o endereço IP dos utilizadores e
controlando o seu número de visitas, tudo com vista ao desenvolvi­
mento de estatísticas sobre as operações disponíveis ao utilizador;
5. Cookies de desempenho e de análise: procuram entender se estão
disponíveis ao utilizador os recursos necessários à boa utilização do
website e se as ferramentas acessíveis são as mais adequadas para o
efeito, em prol de um melhoramento contínuo de performance.

Já este tipo de cookies deverá ser expressamente permitido pelo utili­


zador.
Aconselha-se, como mecanismo de licitude válido que, no aviso infor­
mativo de cookies que deverá surgir no momento em que se abre o sítio,
exista uma tabela ou semelhante com a informação das categorias de
cookies, para que o utilizador seja informado e possa prestar o consenti­
mento, nos termos referidos. A elaboração de uma política específica de
cookies, onde conste a informação relevante é um elemento muito impor­
tante no cumprimento do dever da informação da entidade e também
demonstrador da conformidade com o RGPD.
Com respeito ao próprio site, devemos verificar em concreto o nível de
interação com o utilizador. Se existe alguma área pessoal do utilizador,
na qual ele necessite autenticar-se e onde estão registados os seus dados
pessoais (aqui, necessariamente, deve-se analisar transversalmente a li­
citude da existência e a regularidade do processo que levou à obtenção
desses dados, perceber quais os dados e com que propósito constam, a
forma como foram obtidos, os prazos de manutenção, enfim ... a propor­
cionalidade); se existem zonas de preenchimento de informação que seja
enviada à entidade, como algum tipo de formulário, campo de subscrição
de newsletter, etc. E, aqui, repetir o exercício crítico da conformidade das
operações que sejam levadas a cabo.
Caso o site não tenha mais do que informação institucional da enti­
dade e não recolha propriamente dados pessoais - recorde-se, com res­
salva de algum tipo de cookies que possam existir a promover essa recolha

48
III. PROCESSO DE ADEQUAÇÃO AO RGPD EM TRÊS FASES

de dados, como é exemplo o analytics -, então o foco será o de garantir


que seja proporcionada uma experiência de navegação segura, que não
comprometa ou permita comprometer a segurança do utilizador.
Aconselha-se também como sugestão de boas práticas o desenvol­
vimento de uma política de privacidade específica para o website, que
aborde os aspetos referidos e permita ao utilizador conhecer, de forma
clara e inteligível, todas as operações de tratamento a que os dados pes­
soais estão sujeitos.
Sendo particularmente habituais em ambiente online, as referidas polí­
ticas informativas resultam num conjunto de termos e informações des­
crevendo todas as práticas que são levadas a cabo pela entidade, em rela­
ção às informações (dados) dos seus utilizadores, que vão sendo tratados
durante a permanência dos mesmos (ou até em momento posterior).
Estes dados são adquiridos por diversas formas e meios, de entre os quais
destacamos, entre vários outros:
1. Dados de contacto enviados pelo próprio utilizador/titular;
2. Informações de navegação (cookies);
3. Dados sobre as páginas visitadas (histórico);
4. Dados gerais sobre a navegação e tráfego;
S. Localização;
6. Comportamentos e tendências do utilizador (para profiling).

A principal função destes instrumentos é permitir ao utilizador per­


ceber, de forma clara e inteligível, todas as operações de tratamento a
que os dados pessoais estão sujeitos, que dados estão a ser recolhidos e o
que se pretende fazer com os mesmos, incluindo, se for o caso, a possível
transmissão deles a terceiros. Desta forma, a informação deve ser o mais
ampla e transparente possível e, bem assim, escrita da forma mais simples
e clara, por forma a ser entendida por qualquer pessoa, sem nenhuma
dificuldade.

7. Análise dos contratos existentes


Todos os contratos existentes, que possam conter dados pessoais, deve­
rão ser objeto de análise, a fim de que os auditores de dados possam, nessa
sequência, propor o que se afigurar adequado em cada caso.
Existirão casos diversos em que encontraremos dados pessoais em
contratos, como sejam os contratos com prestadores de serviços pessoas

49
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

singulares ou contratos com prestadores de serviços que irão tratar dados


pessoais por conta da entidade. Esta situação em concreto é abordada em
pontos próprios, atenta a importância que merece (cfr. os pontos 3 e 4 do
título C do presente capítulo).
Em todos os casos de contratos, nos quais sejam processados dados
pessoais dos prestadores de serviços, devem ser celebrados aditamentos
que prestem as informações aplicáveis aos titulares dos dados.
Há que referir ainda os contratos de trabalho, que enquanto con­
tratos integrantes de dados pessoais, deverão ser alvo de uma reforma,
passando a incluir uma cláusula de dados pessoais e de privacidade.
Por outro lado, poderão não existir contratos de trabalho escritos, mas
meramente verbais (caso dos contratos sem termo), devendo nessas
situações ser lavrado um aditamento aos contratos de trabalho verbais
que adite esta mesma cláusula.
Note-se que está em causa um aditamento ao contrato de trabalho no
sentido de transmitir informação, porquanto os trabalhadores, enquanto
titulares de dados pessoais, têm direito a ser informados dos seus direitos
nesse âmbito.
Esta cláusula em perspetiva para aditamento aos contratos em que são
tratados dados pessoais deverá informar os titulares dos dados sobre:
1. Os seus direitos enquanto titular dos dados pessoais;
2. A existência de uma política de dados pessoais e privacidade (o
documento onde são transparentes todas as informações sobre as
operações de tratamento de dados);
3. Quais os dados pessoais que são tratados;
4. Quais os fundamentos para o tratamento desses dados pessoais;
5. Se a comunicação de dados pessoais constitui ou não uma obrigação
legal ou contratual, ou um requisito necessário para celebrar um
contrato, bem como se o titular está obrigado a fornecer os dados
pessoais e as eventuais consequências de não fornecer esses dados;
6. Quais os períodos de conservação dos dados pessoais tratados
nesta sede;
7. A existência do direito de solicitar acesso aos dados pessoais que
lhe digam respeito, bem como a sua retificação ou o seu apaga­
mento, e a limitação do tratamento no que disser respeito ao titular
dos dados, ou do direito de se opor ao tratamento, bem como do
direito à portabilidade dos dados (no aplicável);

50
III. PROCESSO DE ADEQUAÇÃO AO RGPD EM TRÊS FASES

8. No caso dos trabalhadores da entidade, quais as consequências


caso violem os procedimentos definidos pela entidade quanto ao
tratamento e segurança dos dados, nomeadamente penalizações
disciplinares;
9. Ainda no caso dos trabalhadores da entidade, remeter também para
um regulamento interno/código de conduta que deve existir23 •

Quando a entidade tiver a intenção de proceder ao tratamento pos­


terior dos dados pessoais para um fim que não seja aquele para o qual os
dados tenham sido recolhidos, antes desse tratamento terá que fornecer
ao titular dos dados informações sobre esse fim e quaisquer outras infor­
mações pertinentes, sem prejuízo da necessidade de se verificar uma das
formas previstas de tratamento lícito desses dados.

8. Levantamento de informações junto dos prestadores de serviços


da entidade
Os auditores de dados, no âmbito do trabalho que levam a cabo, devem
necessariamente realizar entrevistas com os prestadores de serviços
da entidade que, por qualquer forma ou razão, contactem com dados
pessoais que são recolhidos por esta.
Só deste modo se conseguirá garantir que estão a ser aportadas ao
relatório de auditoria as informações efetivamente rigorosas, contanto
declaradas pelos próprios.
Deve recolher-se informação, (também) diretamente dos prestadores
de serviços, sobre os fluxos de dados, e.g. como chegam os dados ao seu
contacto, bem como procurar obter garantias de um tratamento de tais
dados em conformidade com o RGPD.
Neste âmbito de serviços em outsourcing, são particularmente impor­
tantes, por ser algo comum, os prestadores de serviços informáticos e os
prestadores de serviços de contabilidade e processamento salarial.

23Esta recomendação deve-se ao facto de o regulamento interno ser obrigatório para as em­
presas, nomeadamente para regular políticas de combate à discriminação e ao assédio, ou
mesmo para informar sobre os direitos na parentalidade, o que torna este documento um
meio apropriado para se regular também questões relacionadas com tratamento de dados
pessoais, procedimentos e cuidados a tomar para o respetivo tratamento e as sanções que o
incumprimento desse modus operandi poderá trazer.

51
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

No primeiro caso, acresce a vantagem de se conseguirem percecio­


nar melhor os sistemas de informação da entidade e o nível de segurança
existente, bem como as vulnerabilidades da entidade que o próprio pres­
tador de serviços conheça e possa desde logo apontar.
Este prestador de serviços e a sua colaboração é habitualmente fun­
damental no sucesso do processo de adequação, considerando a temática
que tutela para a entidade. A entrevista a este interveniente resulta sem­
pre como uma das mais relevantes, dado que se obtém, em linguagem
mais técnica do que é expetável através de um interveniente (não espe­
cializado no tema) da própria entidade, o quadro detalhado da estrutura
de sistemas de informação e da segurança existente.
Por princípio, teremos aqui informação mais detalhada sobre várias
dimensões relevantes, como os sistemas existentes (especialmente os
ERP), os módulos, as formas de acesso e o nível de proteção no acesso;
as características dos servidores da entidade, a sua localização e os ní­
veis de proteção física e lógica no acesso ao mesmo, a existência de aces­
sos remotos; mecanismos de proteção da integridade e permanência da
informação (UPS); procedimentos de recuperação de dados (DLP);
realização de cópias de segurança, periodicidade, forma e destino (para
onde, fora da entidade e se para outra localização física ou se para um data
center); a tecnologia utilizada no correio eletrónico, a segurança no
acesso, incluindo a utilização do correio eletrónico da entidade pelos
colaboradores, seja em equipamento da própria entidade, seja dos pró­
prios (e as garantias de existência de autenticação ao equipamento para
proteção de acesso aos dados); se os computadores são do tipo desktop ou
portátil, se habitualmente saem das instalações da entidade e que tipo de
autenticação no acesso é utilizado; quais os sistemas de proteção existen­
tes ao nível de hardware, software e de rede; a existência de impressoras
ligadas à rede e os controlos de acessos às mesmas.
No segundo caso, temos os prestadores de serviços de contabilidade e
processamento salarial, considerando que tais serviços são um ponto de
contacto de grande relevância face ao volume e tipo de dados aos quais
têm acesso, como sejam dados de clientes e de trabalhadores da entidade.
Importará sobremaneira perceber em concreto quais os dados a que têm
acesso (incluindo se o próprio processamento é feito integralmente em
sistemas detidos por este prestador de serviço), a forma como têm acesso
(se fisicamente, se em suporte digital, se por acesso remoto aos sistemas

52
III. PROCESSO DE ADEQUAÇÃO AO RGPD EM TRÊS FASES

da entidade, etc.), quem promove o arquivo de tais dados depois do seu


tratamento, durante quanto tempo e em que termos, se existe transmissão
para algum terceiro ou para algum sistema de um terceiro, entre outros.
Também neste âmbito se afigura essencial um levantamento deta­
lhado de informação e a construção de um fluxograma dos dados.

9. Desenvolvimento dos suportes de recolha de dados


A recolha de dados pessoais por parte das entidades far-se-á presumivel­
mente de variadas formas, nomeadamente no que concerne aos suportes
utilizados (físicos/papel, informáticos, digitais, etc.).
Aos auditores de dados cabe verificar a conformidade desses suportes,
e decorrendo daí, proceder à correção, substituição ou elaboração de tais
suportes (e formas).
O pressuposto a ter em conta neste âmbito decorre mormente do que
vimos sobejamente atrás: que os dados são recolhidos de forma lícita,
com uma finalidade concreta e explicitada, de forma adequada e propor­
cional (quanto aos dados recolhidos tendo em perspetiva a finalidade), e
bem assim, que são facultados aos titulares dos dados pessoais o conjunto
de informações a respeito das operações levadas a cabo e do conjunto de
direitos que lhes assistem nesta sequência.

10. Desenvolvimento dos suportes de registo das atividades de tra-


tamento
O registo das atividades de tratamento é o processo pelo qual a entidade
promove algum tipo de registo sobre as operações com dados que realiza.
Serve o propósito de garantir um repositório central de informação sobre
tais operações.
Como vimos anteriormente, a entidade auditada deve conhecer todas
as operações que realiza com dados pessoais, desenvolvendo um mapea­
mento de dados e um fluxograma dos dados. Assim, bem realizado este
trabalho, a obrigatoriedade de registo das atividades de tratamento,
quando aplicável (cfr. artigo 30 º do RGPD), é consequentemente cum­
prida pela realização do registo correspetivo.
Existem diversos modelos de registo passíveis de preencher o pres­
suposto desta obrigação, sendo certo que, à data, a própria Comissão
Nacional da Proteção de Dados (CNPD) disponibiliza no respetivo sítio
dois exemplos para o efeito (veja-se o ponto 7 do capítulo IV).

53
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

Por fim, deve dizer-se que a demonstração do cumprimento da obri­


gação de levar a cabo o registo das atividades ocorre unicamente perante
a Autoridade de Controlo (não estando relacionada com os titulares dos
dados pessoais).

11 . Desenvolvimento de guia de procedimentos internos


Realizado o diagnóstico prévio e ponderadas as medidas necessárias para
adequarmos a entidade em toda a linha, reformulando processos, criando
outros processos e eliminando outros que se afiguravam inadequados,
deve seguir-se a criação de um guia de procedimentos internos.
Com efeito, a construção deste documento vertical é altamente reco­
mendável na medida em que será o guião de atuação transversal para
toda a entidade, constituindo o repositório de procedimentos a tomar em
linha de conta por todos os intervenientes internos entre si, e por todos
estes para com intervenientes externos.
Diferentemente do documento a que chamamos "política de trata­
mento de dados pessoais" (ou política de privacidade), o guia de proce­
dimentos internos é construído de dentro para dentro da entidade, cons­
tituindo um código de atuação da própria no que respeita a operações
com dados pessoais. Este documento deve ponderar todo o conjunto de
operações com dados pessoais e todos os procedimentos a ter em conta
nessa conformidade, constituindo o guião pelo qual a entidade dirige
toda a sua atuação no que respeita ao tratamento de dados pessoais.
O RGPD prevê a possibilidade de existirem códigos de conduta ela­
borados por entidades representativas de setores, aprovados pelos órgãos
da União Europeia ou pelas Autoridades de Controlo (cfr. artigo 40 º do
RGPD). A adesão a um código de conduta aprovado garante uma presun­
ção de cumprimento do RGPD, contanto que a entidade efetivamente o
coloque em prática.
Está também previsto um procedimento de certificação de entidades,
às quais é atribuído um selo de qualidade no que toca a procedimentos
relacionados com o RGPD (cfr. artigo 42º do RGPD).
Tanto os códigos de conduta como o procedimento de certificação são
instrumentos opcionais, cabendo à entidade decidir se pretende aderir
a um determinado código de conduta ou se pretende submeter-se a um
procedimento de certificação. Embora tal não implique, de todo, o im­
perativo de respeitar e cumprir o RGPD, a adesão a estes instrumentos

54
III. PROCESSO DE ADEQUAÇÃO AO RGPD EM TRÊS FASES

é tida em consideração não só pela referida presunção de cumprimento


como também, em caso de alguma contingência, verificada pela Autori­
dade de Controlo relacionada com as operações com dados pessoais.

12. Desenvolvimento da política de tratamento de dados pessoais


da entidade
A política de tratamento de dados pessoais da entidade será o documento
mais importante quanto à visibilidade, dado que publicita junto de todos
os intervenientes qual o posicionamento da entidade na abordagem à
temática do tratamento de dados pessoais, mormente o conjunto de ga­
rantias que oferece quanto ao respeito dos princípios gerais. É, assim, um
dos maiores indícios do cumprimento do princípio da responsabilidade
a que está sujeito o responsável pelo tratamento de dados (cfr. artigo 24º
doRGPD).
Este instrumento vincula não só a própria entidade no exercício da
sua atividade e os seus colaboradores no exercício das suas funções, mas
também as suas relações com os seus parceiros, prestadores de serviços e
demais profissionais, podendo ser alterada a todo o tempo na medida do
necessário à sua atualização e retificação.
A política de tratamento de dados pessoais ou política de privacidade
deve conter, entre outras, as seguintes informações:
1. A identificação e os contactos da entidade;
2. A qualidade em que a entidade trata os dados, nomeadamente se,
para além de responsável pelo tratamento é também subcontra­
tante ou responsável conjunto;
3. A identificação e os contactos do responsável conjunto pelo trata-
mento de dados, se existir;
4. A definição que a entidade toma de dados pessoais;
5. A definição que a entidade toma de titular de dados pessoais;
6. As categorias de dados pessoais recolhidos pela entidade;
7. As finalidades da recolha e do tratamento dos dados pessoais pela
entidade;
8. O prazo de conservação dos dados pessoais;
9. Os termos em que são mantidos os dados pessoais, nomeadamen­
te as medidas técnicas e organizativas adequadas tomadas pela en­
tidade para garantir segurança e privacidade;
10. A identificação e os contactos do EDP, se existir;

55
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

11. Os direitos dos titulares de dados pessoais;


12. A forma de exercício dos direitos pelos titulares de dados pessoais;
13. A eventual transmissão dos dados pessoais a terceiros;
14. As garantias relativamente aos dados pessoais cedidos a terceiros;
15. A forma como a entidade coopera com a Autoridade de Controlo.

Para um exemplo de informação relevante que entendemos dever


constar deste instrumento, veja-se a sugestão de índice que propomos
(vide Anexo III).

C. Fase 3: Implementação das medidas necessárias


para cumprimento

1. Aplicação das recomendações resultantes do relatório da fase 2


Realizado o levantamento da caracterização da entidade e das operações
com dados pessoais que realiza, e a partir da diagnose decorrente, apon­
tadas as medidas necessárias para garantir à entidade o compliance total
da sua atividade neste âmbito, chegamos ao momento de aplicação des­
sas medidas.
Nesta última fase do processo de adequação, são aplicados todos os
mecanismos e recomendações expostos anteriormente, momento a partir
do qual se inicia a consequente concretização nas dinâmicas da entidade.
Considerando que é neste momento que se inicia essa concretização
das medidas recomendadas, o que pressupõe uma alteração substan­
cial de comportamentos tidos até então, recomenda-se vivamente que
seja promovida a realização de uma sessão de formação interna a todos
os colaboradores, assim garantindo que o processo decorre com pleno
envolvimento dos mesmos, conscientes do que está em causa, motivados
e sem resistências ao que será, claro está, uma mudança no status quo.

2. Utilização dos documentos produzidos no âmbito da fase 2


Pressuposto desta fase de concreta implementação, será a utilização dos
documentos produzidos na decorrência da fase anterior.
Tomando as recomendações vertidas no relatório da fase 1, e os supor­
tes alterados ou desenvolvidos nessa conformidade, iniciamos aqui o uso
pleno dos mesmos.

56
III. PROCESSO DE ADEQUAÇÃO AO RGPD EM TRÊS FASES

3. Acordos sobre responsabilidades no tratamento de dados com os


subcontratantes e outros
O "subcontratante"24 é uma pessoa singular ou coletiva, uma a autoridade
pública, agência ou outro organismo que trata os dados pessoais por conta
do responsável pelo tratamento destes (cfr. artigo 4º, nº 8 do RGPD).
Neste conceito inclui-se qualquer prestador de serviços (em sentido
lato) que a entidade responsável pelo tratamento contrate e com quem
mantenha uma relação, negocial ou não, cujo objeto seja o processamento
de dados pessoais que recolhe e trata, sendo então englobados os forne­
cedores, os serviços contratados em outsourcing e mesmo os prestadores
de serviço em nome individual (vulgo "recibos verdes"). Os exemplos
mais comuns serão a prestação de serviços de contabilidade, de advoca­
cia, de fornecimento de soluções informáticas, de gestão de websites, de
higiene, saúde e segurança no trabalho, entre outros. Mas existem exem­
plos menos óbvios como bancos, seguradoras25, empresas de consultoria,
empresas que fornecem uma aplicação móvel ou que fornecem cartões
de refeição.
Cabe aos responsáveis pelo tratamento adotar as medidas adequadas
a garantir que os seus subcontratantes cumprem todas as suas obriga­
ções relativas à proteção dos dados pessoais objeto das operações de
tratamento que conduzem26, e em última linha, responsabilizar-se pela
atuação daqueles, perante os titulares de dados pessoais. Assim, uma
vez que o serviço contratualizado implica que o responsável pelo trata­
mento confie atividades de tratamento, deverá recorrer exclusivamente

24
Entendemos que o termo escolhido não será o mais adequado, uma vez que estas pessoas
ou entidades são, na verdade, subcontratadas para prestar um serviço que envolve tratamento
de dados pessoais dos titulares da entidade que os contrata.
25
Em relação às seguradoras, temos assistido na realidade prática que muitas se assumem
como responsáveis pelo tratamento dos dados, apesar de não serem contratadas diretamente
pelos titulares de dados. Pense-se no caso dos seguros obrigatórios de acidentes de traba­
lho ou mesmo seguros de saúde que algumas empresas oferecem aos seus colaboradores.
Uma vez que são as próprias seguradoras a definir as finalidades e os meios de tratamento, não
podendo estar sujeitas a instruções da empresa que as contrata neste sentido, as mesmas são
consideradas responsáveis pelo tratamento. O mesmo argumento vale para qualquer subcon­
tratante que se comporte como responsável pelo tratamento nestes termos (cfr. artigo 28 º,
nº 10 do RGPD).
26
O cumprimento de códigos de conduta ou procedimento de certificação por parte do sub­
contratante poderá ser uma presunção sólida de conformidade, no que toca à demonstração
das garantias adequadas e suficientes (cfr. artigo 28º, nº 5 do RGPD).

57
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

a subcontratantes que ofereçam garantias suficientes, especialmente em


termos de conhecimentos especializados, fiabilidade e recursos, quanto
à execução de medidas técnicas e organizativas que cumpram os requi­
sitos do presente regulamento, nomeadamente no que se refere à segu­
rança do tratamento. Na prática isto traduz-me por estarem os próprios
subcontratantes devidamente adequados ao RGPD e à demais legislação
vigente, terem um EPD nomeado quando obrigatório e políticas próprias
de tratamento de dados.
Poderá a entidade (sub)contratar entidades sediadas em países ter­
ceiros, havendo assim transferência de dados para países fora da União
Europeia ou organizações internacionais27, por razões relacionadas com:
exigências legais sempre que estejam previstas decisões de adequação
que o permitam (cfr. artigo 45º do RGPD); com a proteção dos titulares
dos dados (por exemplo, para evitar spam ou tentativas de defraudar os
utilizadores dos produtos fornecidos pela entidade); com a operabilidade
e manutenção da segurança dos serviços da entidade, incluindo evitar ou
impedir um ataque nos respetivos sistemas informáticos ou redes de uti­
lizadores28 ; com exigências contratuais promovidas pelo próprio titular.
Nesses casos, cabe à entidade responsável pelo tratamento assegurar a
segurança dos dados pessoais que transfere, mas também à entidade sub­
contratante, garantir a mesma segurança dos dados que lhe forem trans­
feridos e aos quais tenha acesso e trate.
Desta forma, é imprescindível regular as relações com os subcontra­
tantes, de forma a balizar responsabilidades em termos de tratamento
de dados pessoais, sendo que o RGPD obriga a que a realização de ope­
rações de tratamento de dados em subcontratação seja regulada por um
contrato ou por outro ato normativo29 reduzido a escrito30 (cfr. artigo 28 º ,

27
A este propósito, refira-se que as transferências para países fora da União Europeia ou orga­
nizações internacionais que sejam realizadas no cumprimento de obrigações legais, por enti­
dades públicas no exercício de poderes de autoridade, são consideradas de interesse público.
28
Pense-se no exemplo da contratação de um serviço de alojamento de bases de dados situado
num servidor no Nepal, por esta entidade oferecer garantias de segurança superiores à maior
parte das entidades sitas na União Europeia.
29
Como sugestão de título para este instrumento normativo referimos "Acordo de regulação
de responsabilidades em termos de tratamento de dados pessoais" ou simplesmente "Acordo
de tratamento de dados pessoais".
30
O RGPD obriga a que o contrato ou ato normativo seja reduzido a escrito, ainda que o
contrato de prestação de serviços subjacente seja meramente verbal. Por outro lado, se existir

58
III. PROCESSO DE ADEQUAÇÃO AO RGPD EM TRÊS FASES

nº 3 e 9 e Considerando 81 do RGPD). Não foram disponibilizadas cláu­


sulas contratuais-tipo pela CNPD (cfr. artigo 28 º, nº 6 e 8 do RGPD),
pelo que o mesmo contrato deverá ser adaptado a cada subcontratante e
deverá obedecer a uma determinada estrutura e consagrar determinados
elementos, a saber (veja-se para mais detalhe o Anexo IV):
1. Identificação das partes;
2. Referência ao tipo de serviço contratado (ainda que não exista
contrato escrito de prestação de serviços):
3. Objeto e a duração do contrato;
4. Natureza e as finalidades do tratamento;
5. Tipo de dados pessoais e as categorias dos titulares dos dados31;
6. Tarefas e responsabilidades específicas do responsável pelo trata­
mento e do subcontratante no contexto do tratamento a realizar;
7. Dever de confidencialidade;
8. Instruções do responsável pelo tratamento32•

Para além destes elementos que vêm previstos no RGPD, aconselha­


mos ainda que se faça referência à(s) política(s) de proteção de dados
pessoais implementadas, e que seja(m) anexada(s) ao referido contrato.
Aconselhamos também a inserção de considerandos e eventualmente, de
um glossário com termos específicos consagrados no RGPD (ou no pró­
prio contrato).
De uma maneira geral, é conveniente que os titulares de dados te­
nham conhecimento de que os seus dados pessoais são transferidos para

contrato de prestação de serviços escrito, o contrato que seja realizado para regular as rela­
ções em termos de tratamento de dados pessoais, deverá ser anexo àquele. Em casos de vários
contratos de prestação de serviços diferentes, há que atender aos tipos de dados pessoais
tratados, às operações de tratamento e às categorias dos titulares. Se estes elementos coin­
cidirem nos diferentes contratos, poder-se-á dizer que será suficiente um único acordo ou
contrato de balizamento de responsabilidades para aquele fornecedor. Caso haja distinção,
então deverá ser feito e adaptado um acordo para cada contrato de prestação de serviços e
anexado ao mesmo.
31
Aconselhamos que seja dado especial relevo ou destaque para as categorias especiais de
dados ou dados de titulares vulneráveis, sendo que esse tratamento pressupõe medidas de
proteção acrescidas e um compromisso nesse sentido.
32
Em casos de operações de tratamento avultadas ou complexas, poderá ser conveniente que
as instruções sejam consagradas num anexo, em lugar de fazerem parte do clausulado do
próprio contrato.

59
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

outras entidades, por parte do responsável pelo tratamento (ou mesmo


pelo próprio subcontratante, nos casos em que os termos do contrato o
permitem33). Tal informação constará por exemplo da política de privaci­
dade da entidade, ou de avisos informativos específicos para tratamento
de dados34, normalmente usados aquando da recolha dos mesmos.
Na eventualidade da entidade auditada ser, ela própria, para além
de responsável pelo tratamento de dados, subcontratante, as sugestões
dadas relacionadas com os acordos ou contrato referidas aplicam-se de
igual forma, sendo uma boa iniciativa por parte dos auditores de dados,
o desenvolvimento de minutas dos mesmos para enviarem aos respetivos
responsáveis pelo tratamento, apesar da obrigação ser destes35 •
Para além destes casos, merecem também destaque e distinção os
"terceiros"36 em termos de RGPD, que se definem quase que por exclusão
de partes, e a principal diferença em relação aos subcontratantes é que
estes tratam dados pessoais por conta dos responsáveis pelo tratamento
e aqueles têm contacto com os dados pessoais na medida da sua autori­
zação. A verdade é que, muitas das vezes, este tratamento ocorre quase
de forma incidental. Veja-se o exemplo de uma empresa de limpeza, que,
ao ter acesso às instalações da entidade, tem contacto com todos os dados
pessoais, na medida em que pode aceder aos arquivos e às secretárias de
trabalho para desempenhar o serviço para o qual foi contratada. Também
as empresas de transporte acabam por ter acesso aos dados pessoais dos

33
A regra é que o subcontratante não pode contratar outro subcontratante sem que o respon­
sável pelo tratamento expressamente o autorize por escrito. O subcontratante ulterior estará
sujeito às mesmas obrigações fixadas por contrato entre o responsável pelo tratamento e o
subcontratante inicial. Caso tal não aconteça, este último mantem-se plenamente responsá­
vel perante o primeiro (cfr. artigo 28º, nº 2 e 4 do RGPD).
34
Por exemplo, aquando da assinatura do contrato de trabalho.
35
Exemplificando: uma empresa que preste serviços de higiene, saúde e segurança no tra­
balho, poderá desenvolver uma minuta para os respetivos clientes (que serão as entidades
empregadoras responsáveis pela proteção de dados dos respetivos trabalhadores). Neste caso
fará mais sentido que seja o subcontratante a tomar a iniciativa, pois estará em melhor posição
para poder descrever de forma discriminada as operações de tratamento que levará a cabo por
conta do responsável pelo tratamento (sem prejuízo das instruções relativas ao tratamento
que a este cabem fornecer).
36
"A pessoa singular ou coletiva, a autoridade pública, o serviço ou organismo que não seja
o titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a
autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a
tratar os dados pessoais" (cfr. artigo 4º, nº 10 do RGPD).

60
III. PROCESSO DE ADEQUAÇÃO AO RGPD EM TRÊS FASES

clientes particulares37 das entidades, uma vez que, ao realizar o serviço,


tomam conhecimento do nome e morada dos mesmos.
Esta figura não está sujeita às mesmas obrigações a que estão sujei­
tos os subcontratantes, mas sobre eles impende igualmente os deve­
res de confidencialidade e segurança no que toca aos dados pessoais
com que contactam, pelo que é aconselhável a inclusão de uma cláusula
de proteção de dados no respetivo contrato (vide ponto 4 do presente
capítulo).
Por fim, cabe referir uma outra figura com quem é necessário bali­
zar as responsabilidades, que é o responsável conjunto (cfr. artigo 26 º do
RGPD). Efetivamente, poderá haver casos em que existirá mais do que
um responsável pelo tratamento de dados e em que todos definem con­
juntamente as finalidades e os meios desse tratamento38 • Para o efeito,
terá que haver um acordo39 entre as entidades, que defina clara e transpa­
rentemente as responsabilidades de cada um, em especial no que diz res­
peito ao exercício dos direitos dos titulares e ao cumprimento do dever
de informação (vide Anexo V). Em relação ao primeiro ponto, os respon­
sáveis apenas poderão definir entre si quem dará resposta aos exercícios
de direitos dos titulares, uma vez que o RGPD consagra que estes podem
exercer os mesmos perante qualquer um dos responsáveis (cfr. artigo
26º, nº 3 do RGPD).

37
Só estes serão titulares de dados pessoais, uma vez que os clientes empresas não são pessoas
singulares, não estando por isso sujeitos ao RGPD (cfr. artigo lº, nº 1 do RGPD).
38
Esta situação acontece algumas vezes entre entidades do mesmo grupo empresarial que
prossigam fins comuns mas também pode ocorrer em relação a duas entidades que estabele­
çam uma parceria. No primeiro caso, veja-se como exemplo a situação em que uma entidade
contrata outra do mesmo grupo para prestar serviços de apoio à gestão, gestão de recursos
humanos e de contabilidade. Quando ao segundo exemplo, pense-se no caso de uma empre­
sa pública de transporte ferroviário que realiza um protocolo com uma empresa privada de
gestão de parques de estacionamento em determinadas estações ferroviárias. Assim os utili­
zadores do transporte poderão deixar os veículos automóveis nos parques de estacionamento
parceiros, beneficiando de um desconto nos mesmos, usufruindo então desta oferta combi­
nada. Ambas as entidades poderão determinar conjuntamente as finalidades subjacentes ao
tratamento de dados e os meios a que o mesmo estará sujeito.
39
O mesmo deve refletir de forma inequívoca as funções de cada entidade e as relações com
os titulares dos dados, devendo a essência do acordo ser disponibilizada aos mesmos (e.g.
plasmada em políticas ou avisos informativos que lhes sejam divulgados ou que estejam facil­
mente acessíveis).

61
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

Será útil que seja designado um ponto de contacto cuja identificação


e contactos sejam também publicados ou devidamente transmitidos aos
titulares de dados e às entidades que se relacionem com os responsáveis
conjuntos.

4. Aditamentos aos contratos existentes e celebração de novos con-


tratos (escritos)
Após a análise realizada aos contratos de prestação de serviços e de traba­
lho na Fase 2 (vide ponto 7 do título B do capítulo II), se os mesmos não
apresentarem as garantias e medidas suficientes em termos de informa­
ção e consagração de responsabilidades, deverão ser alterados, nomeada­
mente através de um aditamento de uma cláusula de proteção de dados.
Em especial aos contratos de trabalho, na prática muitos deles incluem
já uma obrigação de sigilo ou de confidencialidade, o que já representa
um bom indício de cumprimento, sendo todavia insuficiente em termos
de garantia de proteção de dados40 • Os colaboradores são titulares de da­
dos, pelo que têm direito a ser devidamente informados sobre como a
entidade empregadora (responsável pelo tratamento) trata os seus dados
pessoais, mas, ao mesmo tempo estarão envolvidos nas operações de tra­
tamento de dados pessoais (seja de clientes, de prestadores de serviços,
ou mesmo de outros colaboradores da entidade, conforme as funções
que desempenharem ou o departamento em que se inserirem). Assim, a
cláusula aditada ao contrato de trabalho servirá como informação pres­
tada sobre os respetivos direitos e deveres dos colaboradores, respetiva­
mente no que toca ao tratamento dos seus dados e do tratamento por si,
de dados de outros titulares. A mesma deverá descrever as operações de
tratamento realizadas sobre os dados dos colaboradores de forma deta­
lhada e discriminada, bem como a política de privacidade adotada pela
entidade (veja-se como exemplo, o Anexo VI). Uma sugestão de boas
práticas passará por dar a conhecer esta política ao mesmo tempo que o
aditamento, cumprindo-se assim devidamente o dever de informação a
que está sujeito o empregador.

40
Algu ns subcontratantes poderão estar inclusivamente obrigados ao sigilo profissional, por
força dos respetivos estatutos deontológicos, como será o caso dos contabilistas certificados,
dos revisores oficiais de contas, dos advogados e dos solicitadores, mas tal facto não é bastante
para dispensar a regulação das relação no que toca à proteção de dados que, como vimos, é um
conceito bem mais amplo que o da privacidade.

62
III. PROCESSO DE ADEQUAÇÃO AO RGPD EM TRÊS FASES

Por outro lado, no que toca aos contratos de prestação de serviços


existentes, em primeiro lugar cumpre referir que apenas será neces­
sário alterar os contratos ( nomeadamente através de aditamento de uma
cláusula de proteção de dados, à semelhança dos contratos de trabalho)
quando os prestadores em causa tenham contacto com dados pessoais,
ou seja, quando se qualificarem como subcontratantes ou terceiros.
Num segundo momento, caberá distinguir entre os prestadores indi­
viduais ("recibos verdes") e as empresas. Em qualquer caso, ambos serão
considerados subcontratantes, se tratarem dados pessoais, por conta do
responsável pelo tratamento, de titulares deste. No entanto, no primeiro
caso, à semelhança dos colaboradores, estes serão também titulares de
dados, na medida em que são pessoas singulares. Neste caso aconselha-se
o aditamento de uma cláusula em termos semelhantes à dos contratos de
trabalho, sendo que a entidade tem que cumprir o dever de informação
perante estes, discriminando as operações de tratamento que leva a cabo
(veja-se como exemplo, o Anexo VII). Já quando os prestadores de ser­
viços são outras empresas (incluindo fornecedores), não existe já aquela
preocupação nem obrigação, mas tão só a de acautelar que os mesmos se
vinculam a cumprir a legislação vigente em matéria de proteção de dados
e a garantir a confidencialidade no que toca às informações relaciona­
das com dados pessoais a que tenham acesso (veja-se como exemplo, o
Anexo VIII).
Em ambos os casos, o aditamento não dispensa o contrato ou acordo
realizado nos termos do artigo 28º do RGPD e referido no ponto imedia­
tamente anterior, quando os prestadores de serviços sejam subcontra­
tantes, pelo que ambos deverão ser anexados ao contrato de prestação de
serviços existente.41 Já no caso dos prestadores de serviços serem "tercei­
ros" nos termos do RGPD, bastará o aditamento em causa.
Para além do que foi referido, poderá haver casos em que vigoram
contratos, quer de trabalho, quer de prestação de serviços, verbais.
No primeiro caso será menos comum, exceto nas relações laborais de
longa data. Já no caso da prestação de serviços, sabemos que muitas

41
Em alguns casos, a pedido do responsável pelo tratamento, mormente para diminuir a bu­
rocracia, ou por questões de simplificação que surjam no caso concreto, poderá justificar-se
incluir o conteúdo do clausulado aditado no próprio acordo ou contrato realizado com os
subcontratantes, de forma a que se assine apenas um instrumento legislativo relativo à prote­
ção de dados na prestação do serviço contratado.

63
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

vezes (principalmente na relação com fornecedores ou recibos verdes42)


nas partes não celebram contrato escrito, sendo a respetiva relação
demonstrada apenas por faturas e recibos, que funcionam como indicador
da existência e prestação do serviço).
Apesar de não existir obrigatoriedade de forma em relação à celebra­
ção dos referidos contratos, é aconselhável a realização de instrumentos
normativos escritos com os colaboradores e com os prestadores de ser­
viços (em sentido lato), no qual seja incluída a cláusula de proteção de
dados (evitando assim o posterior aditamento), especialmente por uma
questão de transparência. Na prática, muitas das entidades aproveitam
o momento de implementação das medidas para adequação ao RGPD
para regular outros aspetos da sua atividade, como organizar o arquivo,
mudanças a nível de segurança nas instalações, mas também para regular
as relações existentes que não contratualizadas formalmente. No entanto,
se por algum motivo tal não for possível ou aconselhável, poderá ser
desenvolvida uma minuta de aditamento a um contrato verbal43 •

5. Adequação dos sítios e/ou aplicações em linha


Vimos já, no ponto 6 do título B do presente capítulo, as linhas-guia para
adequação dos sítios ou aplicações da entidade, as quais devem ser imple­
mentadas nesta fase.
Considerando que a implementação das diretrizes facultadas no rela­
tório da fase anterior serão executadas por quem, dentro da entidade, ou
como mais habitualmente, por outsourcing, é responsável pela construção
e edição de tais suportes tecnológicos, este conteúdo dispositivo deve ser
partilhado com esses intervenientes, a fim de que possam promover as ins­
truções facultadas e integrando com o conhecimento técnico que possuem.
A equipa de auditores de dados e apoio à implementação deve acom­
panhar a evolução dos trabalhos executados pelo responsável técnico dos
sítios ou aplicações da entidade, garantindo que existe uma correta inter­
pretação das instruções e, bem assim, que tudo decorre precisamente de
acordo com os pressupostos.

42
Na prática assiste-se a isto muitas vezes no que toca a profissionais de saúde, o que é parti­
cularmente preocupante, tendo em conta que os mesmos tratam categorias especiais de
dados, especialmente dados de saúde, genéticos, ou outros dados sensíveis.
43
Que terá o mesmo conteúdo do aditamento a contrato escrito, exceto eventuais referências
a que o mesmo será anexado ao contrato existente.

64
III. PROCESSO DE ADEQUAÇÃO AO RGPD EM TRÊS FASES

É natural que no decurso destes trabalhos surja a necessidade de


reuniões periódicas para articular as instruções com as especificidades
dos sítios e das aplicações, dado que, pelas diferentes tecnologias que
são utilizadas na sua construção, bem como pelo seu desenho, existirá
necessidade de reformular alguns pontos que, de forma mais assertiva,
permitam o cumprimento dos objetivos. Com efeito, e sem o mínimo pre­
juízo do rigor dos trabalhos e da concretização de todas as medidas que
se impõem para um compliance cabal, a equipa de implementação deve
ter a capacidade de ser sensível a encontrar alternativas que minimizem
o volume dos trabalhos tecnológicos necessários, contanto exista um
caminho mais simples que permita obter o resultado pretendido.

6. Divulgação e aplicação das políticas desenvolvidas e procedimen-


tos recomendados
As políticas e procedimentos que sejam implementados têm que ser
divulgados a todas as pessoas e entidades a que se dirijam, desde aos
titulares de dados (e.g. colaboradores, clientes, prestadores de serviços,
utilizadores do website, ou outros) aos parceiros de negócios, prestadores
de serviços e fornecedores, em cumprimento do dever de informação e
transparência que assiste ao responsável pelo tratamento de dados (cfr.
artigos 12º a 14º do RGPD).
As políticas relacionadas com o website da entidade referidas no ponto
imediatamente anterior ao presente, devem ser disponibilizadas no
mesmo, num campo próprio (e.g. "proteção de dados" ou "RGPD"), de
fácil acesso e visibilidade44 •
Já a política de privacidade propriamente dita deverá também ser
publicada no sítio da internet, mas também divulgada na própria enti­
dade, ou seja, disponibilizada na sede (por exemplo, poderá ser afixada
em local próprio, a par de outras políticas ou manuais de acolhimento
internos), enviada por email ou entregue em mão aos colaboradores.
Se a entidade responsável pelo tratamento tiver atividade em vários esta­
belecimentos, aconselha-se a que exista um exemplar deste documento
em cada um deles.

44
O RGPD permite que as informações possam ser fornecidas por via eletrónica, por exemplo
num sítio web, quando se destinarem ao público, e.g. nos casos dos clientes numa empresa de
comércio eletrónico ou nos utilizadores do website da entidade (cfr. artigo 12 º, nº 1 do RGPD).

65
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

Quanto aos aditamentos aos contratos, sugere-se que os aditamentos


a contratos de trabalho sejam entregues ou enviados aos respetivos traba­
lhadores, de forma a que estes os analisem devidamente antes de assina­
rem, tendo sempre a oportunidade de solicitar esclarecimentos. A mesma
solução poderá ser utilizada em relação aos aditamentos a contratos de
prestação de serviços quando as pessoas em causa prestem atividade nas
instalações da entidade. Já no caso das empresas e fornecedores em que
isso não aconteça, aconselha-se o envio por correio eletrónico, com um
texto informativo (veja-se Anexo IX) e a política de privacidade do res­
ponsável pelo tratamento em anexo (ou, quando a mesma esteja disponi­
bilizada no sítio web, a referência à respetiva hiperligação).
Refira-se que o responsável pelo tratamento não tem o ónus de provar
que as pessoas leram de facto todas as políticas e avisos de caráter infor­
mativo, mas tem que conseguir demonstrar que lhes deu conhecimento
dos mesmos através de meios adequados45 • Poderá a entidade salvaguar­
dar-se, por exemplo, solicitando a todos os colaboradores que assinem
uma declaração em que atestam que leram e compreenderam o conteúdo
de tais instrumentos, mas julgamos que tal procedimento é desnecessá­
rio, uma vez que já excede as obrigações da entidade.
Em especial no que toca a procedimentos internos, quer sejam trans­
versais a toda a atividade da organização, quer sejam aplicáveis apenas
a departamentos específicos, também o envio de circulares internas de
procedimentos, de manuais de acolhimento ou de códigos de conduta,
poderá ser aconselhável. Pense-se por exemplo no caso do envio por
parte do diretor comercial, de uma circular aplicável ao departamento
em questão, que explicita a adoção de novos procedimentos rigorosos no
que toca à gestão de clientes e ao envio de newsletters.

7. Cumprimento do dever de informação aos titulares dos dados


Impendem sobre o responsável pelo tratamento de dados, obrigações
apertadas no que toca à transparência e dever de informação perante
os respetivos titulares. Assim, as informações devem ser prestadas e de
forma "concisa, transparente, inteligível e de fácil acesso" e, regra geral,

45
Por exemplo, nos websites, em lugar de existir a vinheta que aparece muitas vezes "declaro
que li e concordo com o termos da política de privacidade", aquela poderá ser substituída por
um pop up, em que apareça a mesma política e obrigue o utilizador a fazer scroll para baixo até
ao final do documento, para poder avançar na operação que esta a realizar no website.

66
III. PROCESSO DE ADEQUAÇÃO AO RGPD EM TRÊS FASES

por escrito (cfr. artigo 12º, nº 1 do RGPD)46• Desta forma, a entidade deve
privilegiar a recolha de dados pessoais junto do titular dos dados, atuando,
na medida do possível, para salvaguardar que o mesmo se encontre devi­
damente informado sobre os riscos, regras, garantias e direitos associa­
dos ao tratamento dos seus dados pessoais. Concretizando, os titulares de
dados pessoais deverão ser informados sobre:
1. A identidade e os contactos do responsável pelo tratamento;
2. Os contactos do EPD;
3. As finalidades do tratamento a que os dados pessoais se destinam
(as quais deverão ser explícitas, legítimas e determinadas aquando
da respetiva recolha) ou o fundamento jurídico para o tratamento47;
4. Os destinatários ou categorias de destinatários dos dados pessoais;
5. A transferência dos dados pessoais para um país terceiro ou uma
organização internacional, e a existência ou não de uma decisão de
adequação adotada pela Comissão Europeia;
6. A existência de interesses legítimos do responsável pelo tratamento
ou de entidade terceira, subjacentes ao tratamento de dados;
7. O prazo de conservação dos dados pessoais ou, se não for possível,
os critérios usados para definir esse prazo;
8. Os seus direitos e forma de exercício dos mesmos48;
9. A existência de decisões automatizadas, incluindo a definição de
perfis (profiling) e das consequências que daí advêm.

O momento para a prestação das referidas informação será aquando da


recolha dos dados, quando forem diretamente recolhidos junto do titular
(cfr. artigo 13º do RGPD) - como será o caso do preenchimento de uma
ficha de admissão de colaborador ou de uma ficha de cliente numa esta­
belecimento de atendimento ao público -, ou num prazo razoável após
esse momento, sem nunca exceder um mês (cfr. artigo 14º do RGPD),

46
Tal significa que a informação sobre tratamento de dados consagrada em letra de tamanho
propositadamente diminuído em relação ao restante conteúdo do contrato e noutro local,
não poderá ser considerada explícita.
47
Por exemplo, se a comunicação de dados pessoais constitui ou não uma obrigação legal ou
contratual, ou um requisito necessário para celebrar um contrato, bem como se o titular está
obrigado a fornecer os dados pessoais e as eventuais consequências de não o fazer.
48
Os titulares devem ser devidamente informados da existência do direito de solicitar acesso
aos dados pessoais que lhe digam respeito, do direito de retificação, apagamento, limitação do
tratamento, à portabilidade e ainda de se opor ao tratamento quando aplicável.

67
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

quando a recolha for indireta (i.e. os dados não forem recolhidos junto
do titular), por exemplo no caso de ações de marketing direto num centro
comercial. Da mesma forma, sempre que os dados forem suscetíveis de
ser comunicados a outro destinatário (e.g. subcontratante ou terceiro) de
forma legítima ou usados para outra finalidade, o titular deve ser infor­
mado desse facto e, no último caso, poderá ser necessário consentir para
esse efeito.
Nos casos em que a entidade tiver atividades noutros países para além
de Portugal e os titulares de dados forem estrangeiros, o ideal será que as
políticas e avisos informativos sejam também (para além da língua por­
tuguesa) redigidos na língua corrente utilizada nesse país ou, em alter­
nativa, em língua inglesa, por ser de caráter universal, de forma a que os
titulares não sejam privados da proteção que lhes assiste49 •
Existe sempre a necessidade de adequar os meios de informação às
categorias de titulares de dados existentes. O RGPD já obriga a que as
informações ou comunicações relacionadas com o tratamento sejam
formuladas numa linguagem clara e simples (cfr. Considerando 39 do
RGPD), mas se os destinatários forem pessoas especialmente vulneráveis
(e.g. idosos, crianças, pessoas portadoras de deficiência), devem ser cum­
pridas exigências acrescidas, sendo a linguagem simplificada ao máximo
e adaptada, de maneira a que aqueles a consigam compreender (cfr. Con­
siderando 58 do RGPD).

8. Cumprimento do dever de informação a todas as entidades


Para além do dever de informação ao titular de dados, a entidade respon­
sável pelo tratamento tem também o dever de informar todas as restantes
entidades com quem se relaciona, por uma questão de transparência.
É especialmente importante que os subcontratantes e terceiros conhe­
çam a forma de atuar da entidade, até porque a mesma se vai refletir
nas instruções dadas aos primeiros (no acordo/contrato de balizamento
de responsabilidades realizado ao abrigo do artigo 28 º do RGPD - vide
ponto 3 do presente título), e nas autorizações conferidas aos segundos.
Em especial as políticas informativas no que respeita ao tratamento,
como a política de privacidade e tratamento de dados e as políticas dos
websites (e.g. política de tratamento de dados do mesmo e política de

49
Veja-se a este propósito o Considerando 23 do RGPD.

68
III. PROCESSO DE ADEQUAÇÃO AO RGPD EM TRÊS FASES

cookies) serão de fácil acesso, uma vez disponibilizadas no sítio de internet


da entidade. Mas, no entanto, é necessário informar as diversas entida­
des que as mesmas foram desenvolvidas e onde podem ser consultadas.
Entendemos que uma simples comunicação por email, - com indicação
da(s) hiperligação(ões) a consultar ou, caso não exista um sítio web, com
a informação em anexo - onde será bastante para cumprir este dever de
informação.
A transparência e o dever de informação serão certamente alvo de fis­
calização por parte das Autoridades de Controlo, motivo pelo qual deverá
a entidade lograr demonstrar que forneceu a toda a informação bastante
às entidades com quem se relaciona. Ademais, a própria Autoridade de
Controlo é uma das entidades que deve ser informada de alguns aspetos
de tratamento de dados, como a nomeação de EPD (vide ponto 5 do capí­
tulo IV) e a violação de dados (vide ponto 12 do capítulo IV).

9. Implementação de mecanismos de licitude do tratamento válidos


Conforme já foi referido (veja-se o ponto 9 do título A do presente capí­
tulo), os dados pessoais só podem ser processados se existir uma causa
justificativa que legitime o tratamento dos mesmos, pelo que se justifica,
nesta fase, a implementação de mecanismos de licitude de tratamento
válidos.
Já referimos que se não existir algum dos motivos justificativos para
o tratamento de dados, e.g. uma obrigação legal ou a execução de um
contrato50, teremos necessariamente que recorrer ao mecanismo último
para legitimar o tratamento dos dados, fundado na liberdade das partes:
o consentimento. No entanto, existindo outro fundamento de licitude,
não pode a entidade cair no erro de fundamentar a atuação no consenti­
mento do titular, pois daqui poderão advir sérias consequências. Pense­
-se no caso de qualquer pessoa que pretende adquirir um serviço, e.g.

50
A par da execução do contrato existem também as diligências pré contratuais a pedido do
titular de dados (cfr. artigo 6 º , nº 1, al. b), 2 ª parte do RGPD), sendo dado enfoque à iniciativa
deste último. Assim sendo, não parece que haja licitude numa operação de tratamento de
dados em que uma instituição bancária emita um cartão bancário já com o nome do consu­
midor e pré ativado e o envie para a sua residência, sem que este o haja solicitado. Quando o
mesmo usasse o cartão, dar-se-ia início ao contrato de prestação de serviços bancários. Esta­
mos perante uma atividade de marketing não solicitada e não perante a apresentação de uma
proposta contratual.

69
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

realizar uma obra no seu domicílio. Estamos perante a prestação de um


serviço (execução de um contrato de empreitada), pelo que se o funda­
mento de licitude fosse o consentimento e o titular não prestasse o mesmo
para o tratamento dos seus dados, o empreiteiro deixaria de poder pres­
tar o serviço por não ter acesso aos dados e não poder sequer faturar o
mesmo. E se, ao limite o consentimento fosse prestado e, depois da rea­
lização da obra o titular o retirasse, o empreiteiro não poderia conser­
var os dados e deixaria de estar salvaguardado em caso de surgimento
de um eventual litígio por causa do serviço prestado. Pode-se falar aqui
em interesse legítimo (do empreiteiro, em armazenar os dados enquanto
estiverem em curso prazos de prescrição de direitos) ou em execução de
contrato, a qual pressupõe necessariamente a conservação dos dados en­
quanto decorrerem prazos legais associados à execução do mesmo, mas
o fundamento de tratamento nunca poderá ser aqui o consentimento.
O mesmo argumento poderá funcionar para o caso do consumidor que
adquire um bem numa loja e na mesma lhe é solicitado o consentimento
para utilizar os seus dados para faturação, quando existe uma obrigação
legal nesse sentido.
Dito isto, é nesta fase que se verifica se, em relação ao tratamento de
dados que tenha subjacente o consentimento do titular, o mesmo foi
prestado de acordo com os requisitos legais exigíveis (cfr. artigo 7º do
RGPD). Caso se verifique que isso não acontece (e.g. em casos de con­
sentimento tácito ou através de seleção de opções já pré-selecionadas por
defeito), deverá o mesmo consentimento ser renovado de forma expressa,
livre51, esclarecida e inequívoca. Poderá acontecer que se verifique que

51
A expressão "consentimento livre" é alvo de várias interpretações, uma vez que para se
considerar que é aquele é fornecido de livre vontade não deverá haver um desequilíbrio
manifesto entre o titular dos dados e o responsável pelo tratamento, o que poderá acontecer,
nomeadamente quando o titular for um consumidor, um paciente ou mesmo um colabora­
dor e o responsável for um comerciante, um médico ou um empregador, respetivamente.
Também quando o responsável pelo tratamento for uma autoridade pública, é improvável
que o consentimento seja prestado de livre vontade. Alguns autores entendem que se deve­
rá realizar um juízo de probabilidade em relação a cada caso, sobre se o consentimento foi
prestado ou não de livre vontade: sempre que exista desequilíbrio manifesto, provavelmente
o consentimento não foi livre (cfr. CORDEIRO, A. Barreto Menezes - O Consentimento do Titu­
lar dos Dados no RGPD. [Em linha] [Consult. 1 dez. 2019]. Disponível em: https://blook.pt/
publications/publication/e772e2d8f7b4/). Presunção de que o consentimento não foi livre
existirá se não for possível dar consentimento separadamente para diferentes operações de

70
III. PROCESSO DE ADEQUAÇÃO AO RGPD EM TRÊS FASES

a entidade tratava dados pessoais sem sequer ter obtido consentimento


para o efeito, sendo este o momento ideal para a implementação das de­
clarações de consentimento na entidade auditada. Recordamos desde já
o exemplo do recrutamento nas empresas, designadamente mediante
entrega de curricula vitae por via de candidatura espontânea, ou ainda o
exemplo da utilização da imagem dos trabalhadores para publicação no
sítio da internet da entidade quando recolhida fora do contexto laboral.
O consentimento não terá necessariamente que ser fornecido por es­
crito, mas será mais fácil para o responsável pelo tratamento demonstrar
que existe este requisito de licitude se assim o for. No entanto, existem
outras opções, como a gravação de chamadas. A este propósito, vejam-se
a título de exemplo para recolha de consentimento na entrega de can­
didaturas espontâneas presencialmente e por email, respetivamente os
Anexos X e XI.
Outros casos poderão ser um pouco mais complexos, quanto à sua
implementação e mesmo colocar entraves ao negócio da entidade em
causa. Veja-se por exemplo exercício de operações de marketing e publi­
cidade e da simples emissão de newsletters, em que é imperativo perceber
previamente se a forma como se obtiveram as leads (listas de potenciais
clientes ou contactos existentes) até àquele momento foi com base num
fundamento de licitude. Isto porque um dos objetivos que se pretendeu
com o RGPD foi acabar com a publicidade não solicitada. Se existir um
fundamento de licitude, as leads serão válidas e poderão continuar a ser
trabalhadas. Não existindo, o procedimento correto será solicitar desde
logo o consentimento para o tratamento desses dados com essa finali­
dade específica. Este procedimento poderá ser realizado nomeadamente
através do envio de comunicações para obtenção do consentimento, nos
termos preconizados no artigo 7º do RGPD. Na verdade, como muitas
entidades possuíam bases de dados com dados pessoais que não obtive­
ram diretamente e enviavam publicidade ou comunicações a titulares
que não eram seus clientes (não existia portanto, uma relação comercial),
viram-se obrigados a contactar todos os titulares constantes dessa base
de dados para renovação do consentimento neste aspeto. Em relação a

tratamento, ou se a execução de um contrato (incluindo a prestação de um serviço) depender


do consentimento, apesar deste não ser necessário para a mesma execução (cfr. Conside­
rando 43 do RGPD).

71
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

isto e como o consentimento não pode ser prestado por defeito e deverá
ser expresso, se os destinatários das comunicações não responderem, e
não forem clientes da entidade, esta deverá eliminar os respetivos dados
pessoais. Na prática esta situação poderá representar uma grande perda
de contactos, mas é necessária para restaurar a licitude das operações, a
implementação de medidas que permitam "filtrar" os dados que estão a
ser usados de forma lícita e os que não.
Por outro lado, se os titulares forem já clientes da entidade, na me­
dida em que contrataram os seus serviços e ou adquiriram bens à mesma,
ou mesmo se já tiverem tido alguma interação comercial com a entidade
(potenciais clientes), poderá ser admitido o tratamento sem necessidade
de consentimento, desde que a publicação em causa tenha sempre a
opção de cancelamento imediato (unsubscribe). Veja-se neste sentido e
para melhor entendimento o esquema constante do Anexo XII.
Não obstante, como forma de salvaguarda nos casos em que a própria
entidade não consegue distinguir, dentro da sua base de dados, quais os
contactos que obteve de forma direta ou indireta (nomeadamente atra­
vés de terceiros, que não o próprio titular) ou os titulares que prestaram
e os que não prestaram consentimento para receber as comunicações,
aconselha-se o envio de uma comunicação que preveja, de forma abran­
gente, as diversas situações e que conceda a oportunidade dos titulares se
desvincularem do envio de publicidade (vide Anexo XIII).
Ainda este propósito, poder-se-á recorrer ao fundamento de licitude
do interesse legítimo da entidade e não do consentimento, no caso de
marketing direto, se estiverem preenchidos 3 requisitos: (1) se estiverem
em causa produtos próprios da empresa (2) as operações de marketingfo­
rem direcionadas a clientes existentes52 ou pessoas que solicitaram uma
oferta ou proposta; (3) que não seja feito por meios eletrónicos53 (o email
e as comunicações por telemóvel, designadamente por mensagem escrita
ficarão excluídos; já o envio de cartas para subscrição de revistas será per­
mitido). Há também que distinguir o envio de publicidade (e.g. anúncios

52
Estando portanto excluídos antigos clientes (que o foram em tempos, mas já não o são, só
que os contactos ainda estão na base de dados).
53
Caso diferente será o marketing eletrónico, que está sujeito a regras próprias, sendo já
necessário o consentimento expresso para receber tal publicidade, não valendo já o argu­
mento do interesse legítimo. Ex: spam.

72
III. PROCESSO DE ADEQUAÇÃO AO RGPD EM TRÊS FASES

de promoções dos produtos) e o envio de comunicações informativas


(e.g. de eventos, de alterações de procedimentos ou políticas, etc.)54•
Diga-se ainda, que os mecanismos de licitude pressupõem que quando
o consentimento é revogado e não existe mais nenhum fundamento vá­
lido para o tratamento, a entidade deixa de poder tratar os dados pes­
soais. E se não existir nenhum prazo legal de conversação nem nenhum
interesse legítimo, deverá inclusivamente apagar os dados do titular em
causa (o que implicará necessariamente a redução das leads), ressalvando­
-se sempre a hipótese de este tomar a iniciativa de voltar a contratar pos­
teriormente com a entidade.

10. Implementação de monitorização e controlos adequados


Assumindo a entidade o compromisso de garantir a proteção e segurança
dos dados pessoais que lhe são disponibilizados, através da implementa­
ção de medidas de segurança físicas e lógicas contra a sua difusão, perda,
e uso indevidos, bem como contra o seu tratamento ou acesso não auto­
rizado ou qualquer outra forma de tratamento ilícito, tal implica, desde
logo, como já amplamente abordado, que os pontos de acesso a dados
pessoais devam estar devidamente identificados, autenticados e restrin­
gidos mediante políticas de atribuição de direitos de acesso e privilégio,
em prol da proteção de dados contra acessos não autorizados e indevidos,
contra a sua perda, destruição e corrupção (independentemente de os
dados serem tratados digitalmente ou não).
Como tal, todas as operações de tratamento de dados devem estar
devidamente monitorizadas e registadas, não só para efeitos de controlo
sobre as mesmas, mas também para cumprimento do ónus de prova da
existência de uma efetiva proteção dos dados. Tal sistema de monitori­
zação e registo deve:
1. Identificar quais os dados tratados, os repositórios onde os mesmos
se encontram conservados e quem acede a quais dados;
2. Identificar o responsável pelo tratamento, subcontratantes e ter­
ceiros;
3. Identificar a finalidade do processamento;
4. Categorizar os dados e descrever as respetivas categorias;

54
Ex: determinada empresa possui uma newslettercom conselhos práticos acerca de utilização
de produtos. Poderá informar os clientes da existência dessa publicação periódica e de como
poderão aqueles subscrever a mesma.

73
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

5. Registar detalhes do fluxo de transferências de dados (como cate­


gorias de destinatários, meios e dispositivos utilizados, prova de
garantias adequadas);
6. Descrever as medidas de segurança implementadas (técnicas e
organizacionais);
7. Atualizar a informação recolhida e assegurar a manutenção da
integridade do seu conteúdo;
8. Envolver sistemas de testes de vulnerabilidade e de intrusão, backup
data up to date e disaster recovery testing.

Neste âmbito, o EPD terá um papel fundamental, considerando a


preparação e responsabilidade nas auditorias de verificação, que pres­
supõem a realização de testes regulares aos processos, procedimentos e
sistemas implementados.

11. Nomeação de um responsável pela proteção de dados ou de um


encarregado da proteção de dados
A fase de implementação de medidas será a altura adequada para nomea­
ção de uma pessoa que fiscalize, dentro da entidade auditada, se está a ser
cumprida a legalidade no que toca às operações de tratamento de dados
pessoais - um verdadeiro "protetor" destes.
Essa pessoa tanto poderá ser o chamado responsável pela proteção de
dados (vide ponto 1 do capítulo IV), como o EPD, independentemente de
existir ou não para a entidade, essa obrigação (vide ponto 2 do capítulo
IV), e deverá acompanhar a implementação das medidas recomendadas
pelos auditores de dados, bem como fiscalizar o compliance da entidade
daí por diante.
A nomeação da pessoa em causa deverá se comunicada a todos os titu­
lares de dados, mas também a todas as entidades que se relacionem com a
entidade auditada - e, em especial no caso do EPD, também à Autoridade
de Controlo (vide ponto 5 do capítulo IV) -, uma vez que servirá como
ponto de contacto entre aquela e estes.

12. Implementação de sistemas de gestão de segurança da informação


No que respeita à implementação de sistemas de gestão de segurança da
informação, temos de manter bem presente que a análise na especiali­
dade da entidade auditada fará variar as soluções a implementar. Não

74
III. PROCESSO DE ADEQUAÇÃO AO RGPD EM TRÊS FASES

obstante, existem alguns sistemas que necessariamente deverão ser su­


geridos, sendo eles os seguintes:
1. Rever acessos a eventuais pastas partilhadas em rede, que não se
encontrem limitadas. Deverá ser criada uma política de permis­
sões. Para o efeito é necessário alterar as configurações dos progra­
mas utilizados em conformidade;
2. As passwords dos colaboradores devem ser de atualização obrigató­
ria como requisitos mínimos de segurança associados impedindo
que o nível de segurança seja negligenciado;
3. Os dispositivos móveis utilizados por colaboradores, concreta­
mente telemóveis da empresa onde estes têm acesso ao email ins­
titucional, devem ser minimamente assegurados por referência
a uma política de boa utilização. O colaborador deve assegurar a
segurança do dispositivo que usa através - por exemplo - da utili­
zação de password. O mesmo se aplica aos computadores portáteis
adstritos aos colaboradores destacados;
4. Não se deve aceder com computadores profissionais a redes públi­
cas de wifi;
5. Não se deve usar emails profissionais/institucionais para subs­
crever newsletters ou receber publicidade, para eliminar as possi­
bilidades de recebermos vírus ou anexos duvidosos nesses emails
(phishing) 55;
6. Deve-se usar sempre VPN nos acessos remotos aos servidores e
plataformas;
7. Não se deve colocar nada no Disco Local (C:) que não esteja en­
criptado.
8. Nunca se devem utilizar softwares pirata, mas sim devidamente
licenciados;

55
Termo que designa as tentativas de obtenção de informação pessoalmente identificável
através de uma suplantação de identidade por parte de criminosos em contextos informáticos
(engenharia social). É normalmente levado a cabo através da falsificação de comunicação ele­
trónica - spoofing - de correio ou mensagens, dirigindo o utilizador para um sítio semelhante
ao original e incitando-o a preencher campos onde detalhe dados como nomes de utilizador,
chaves de acesso ou detalhes bancários. Estas tentativas fingem ter como origem portais so­
ciais, instituições bancárias ou administradores de sistemas e podem conter ligações a sítios
infetados por ameaças. Para além disto, pode servir para a instalação de software malicioso
no sistema da vítima, podendo servir de plataforma para outro tipo de ataques, como por
exemplo as ameaças persistentes avançadas. Ex: receber anexos ou hiperligações duvidosos.

75
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

9. Deve-se proceder a atualizações de patch e software e usar as últi­


mas versões de tudo;
10. Deve-se recorrer a sistemas com maturidade uniforme, segregando
sistemas mais antigos, para não contaminarem os restantes;
11. Na eliminação de documentos e ficheiros em papel, deve ser usa­
do um meio que garanta a sua total destruição ( e.g. trituradora de
papel), de forma a evitar a dispersão de dados em cestos de papéis
ou caixotes do lixo;
12. Na eliminação de ficheiros digitais, deve-se garantir que não exis­
tem cópias, e.g. na pasta da reciclagem, no email, no servidor ou no
backup.

Muito embora falar em sistemas de gestão da segurança da informação


possa não querer significar programas informáticos para esse efeito, é
esta uma forma muito eficaz de implementar sistemas que garantam a se­
gurança dos dados. Importante é referir que um arquivo de documentos
físicos que esteja fechado, com limitação de acessos, por exemplo por via
de dados biométricos, estará integrado naquilo que é entendido como
um sistema de gestão de segurança da informação. O mesmo se diga em
relação ao encerramento total com a respetiva limitação de acessos a uma
sala de servidores.
Com isto queremos dizer que um sistema de gestão de segurança e
informação será todo o conjunto de medidas instituídas numa organiza­
ção tendentes a garantir a privacidade, confidencialidade e segurança dos
dados, incluindo estratégias, planos, políticas, medidas e controlos que
permitam monitorar e melhorar a segurança da informação.
Nesta senda, a implementação destes sistemas, deverá ser analisada
em concreto e objetivamente, uma vez que todas as entidades terão ne­
cessidades diferentes a este nível, mas sem qualquer margem de dúvida
que, esta implementação passará por medidas controlo de acessos, inte­
gridade dos dados, privacidade, auditorias regulares de controlo e segu­
rança (física e digital) dos dados, como as que temos vindo a referir.
Desta forma, referimos alguns exemplos de implementação de medidas
neste sentido:
1. A produção do relatório final da auditoria, que permitirá analisar
as potenciais brechas existentes na segurança dos dados detetadas
pelos auditores e dará soluções para essas situações;

76
III. PROCESSO DE ADEQUAÇÃO AO RGPD EM TRÊS FASES

2. A criação da política de proteção de dados pessoais e privacidade,


que pela sua natureza instituirá uma política organizacional para o
tratamento dos dados, bem como transparecerá todos os formatos
de tratamentos de dados aí existentes;
3. O regulamento interno ou código de conduta, que poderá ser
equiparado à política de proteção de dados e privacidade, mas em
especial no concernente com o tratamento de dados em contexto
laboral;
4. A celebração de contratos escritos com a inclusão de uma cláusula
de proteção de dados, privacidade e confidencialidade;
5. O encerramento de arquivos físicos, acompanhado da limitação de
acessos e de intervenientes passíveis de lhes aceder reduzidos ao
mínimo indispensável;
6. O encerramento dos servidores em bastidores, e em salas próprias
devidamente encerradas e de acesso limitado e controlado;
7. A realização de backups regulares num servidor secundário em
uma outra localização que não a da informação precedente;
8. O reforço da dificuldade das palavras-chave de acesso e dupla
autenticação, mormente nos computadores utilizados pelos fun­
cionários, sendo particularmente necessário no caso de uso de
VPN fora das infraestruturas da entidade;
9. A instalação de sistemas que permitam a encriptação de ficheiros
que sejam enviados para fora do sistema informático da empresa,
designadamente dos ficheiros em formato word ou excel que tantas
vezes contêm uma quantidade imensa de dados pessoais;
10. A instalação de antivírus e firewalls que impeçam não só o acesso
externo, mas também a saída de informações internas para o
exterior;
11. A instalação de sistemas de bases de dados distribuídas que per­
mitem o registo de informações de forma permanente e com for­
tes garantias de segurança, mantendo essa informação mesmo que
um dos pontos de acesso que constitui esse sistema em rede seja
removido ou desapareça;
12. O recurso a planos de desastre que refiram medidas em caso de
eventuais violações da estrutura de proteção e segurança dos dados;
13. As simulações de tentativas de intrusão regulares nos sistemas de
blindagem da informação.

77
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

São diversas as medidas possíveis e todas elas terão de ser ponderadas


numa task force com as diversas dimensões da proteção de dados. Desde
logo, a jurídica e a informática que neste plano são indissociáveis.
A implementação destes sistemas trará uma possibilidade que nos
dias de hoje é cada vez mais relevante, que se traduz no acesso à certifi­
cação em gestão da segurança, ou seja, à norma ISO 2700!56, ou até mes­
mo à norma, direcionada para a área da saúde, designada como OHSAS
1800157 (sistemas de gestão de segurança e saúde ocupacional).

13. Registo dos procedimentos e medidas promovidas para demons-


tração da adequação
Ao longo do processo de implementação, afigura-se necessário a pro­
moção do registo de todas as iniciativas realizadas, pelo que a equipa de
apoio à adequação da entidade tem que tomar nota dos procedimentos
concretizados, decorrentes das recomendações transmitidas no âmbito
da fase anterior, e outros que mereçam alguma observação.
O processo de auditoria pressupõe exatamente isto por definição,
importando este rigor a fim de documentar todas as informações perti­
nentes e aportá-las no relatório final (vide ponto 14 do presente título).

14. Relatório final


Após a análise crítica da informação recolhida no âmbito da assessoria,
da situação da entidade e da recomendação de medidas para adequação,
todo o procedimento e o resultado da auditoria de dados será vertido
num relatório, que vai refletir todos os passos da mesma. Este instrumen­
to terá como pretensão plasmar todas as fases da auditoria, e será, a par
das políticas de privacidade desenvolvidas, o principal instrumento de
conformidade.
Neste documento deverá haver referência à entidade auditora de
dados e às pessoas que participaram no decurso dos trabalhos, sejam in­
ternos ou externos àquela, bem como todos os elementos (informação
e documentação) facultados nesse âmbito. O mesmo terá então caráter

56
Sistema de Gestão da Segurança da Informação - única norma da série 27000 com requisi­
tos de certificação e passível de certificação acreditada.
57
"Occupational Health and Safety Assessment Series", cuja melhor tradução é "Série de Ava­
liação de Segurança e Saúde Ocupacional".

78
III. PROCESSO DE ADEQUAÇÃO AO RGPD EM TRÊS FASES

confidencial, destinando-se ao uso interno da entidade auditada, não


sendo aconselhável a partilha do mesmo com qualquer empresa ou pes­
soa sem ligação laboral à mesma58, sem prejuízo de exibição à CNPD, no
âmbito de uma eventual fiscalização.
A estrutura do relatório final será variável, mas aconselhamos a que
tenha os seguintes elementos:
1. Nota introdutória, explicando o propósito do relatório e identifica­
ção da entidade que o elaborou (auditores de dados);
2. Identificação da entidade auditada (indicando se é responsável
pelo tratamento e/ou também subcontratante ou responsável con­
junto);
3. Descrição do estado das coisas e do levantamento da informação
realizado na fase 1, incluindo a visita às instalações e as entrevis­
tas realizadas com as várias pessoas que laboram na entidade, mas
também com os prestadores de serviços externos (vide título A do
presente capítulo);
4. Descrição das medidas em concreto para cada situação - fase 2
(vide título B do presente capítulo);
5. Recomendação de medidas já implementadas no decurso da audi­
toria (se for o caso, e.g. aditamentos já realizados mas ainda não as­
sinados, desenvolvimento de políticas, avisos informativos e outros
instrumentos documentais) e das medidas ainda a implementar,
incluindo informação acerca da cooperação com a CNPD e com o
EPD (se for nomeado) - adiantando e preparando a entidade para
a fase da pós-adequação (cfr. Capítulo IV).

Posto isto, a título de exemplo de um índice de um relatório final de ade­


quação ao regulamento geral de proteção de dados veja-se o Anexo XIV.

58
Ao contrário do que acontece em relação à politica de privacidade e tratamento de dados
pessoais e semelhantes, que se destinam ao conhecimento dos titulares e das demais entida­
des que se relacionem com a auditada, devendo ser publicadas e divulgadas, conforme já foi
referido (veja-se os pontos 6 a 8 do presente título).

79
IV. Pós-adequação ao RGPD: o papel e as funções
do encarregado da proteção de dados

Com o surgimento do RGPD fomos confrontados com o aparecimento


de uma figura no âmbito da proteção de dados pessoais, denominada
"encarregado da proteção de dados"59• Aquele diploma reconhece o
papel essencial desta figura enquanto participante no novo sistema de
governação de dados e estabelece as condições aplicáveis à sua nomea­
ção, posição e atribuições, conforme veremos.
Casos existem em que é obrigatória a sua nomeação (cfr. artigo 37 º
do RGPD e artigos 12º e 13º da respetiva LNE), sendo que será sempre
aconselhável que as entidades responsáveis pelo tratamento de dados
pessoais procedam a essa nomeação, por motivos de salvaguarda ou
mesmo por conveniência, sendo o respetivo papel fulcral, não só para o
acompanhamento da implementação das medidas recomendadas, como

59
No entanto, apesar de em Portugal não termos tido, até ao presente, contacto com esta
figura, a verdade é que a mesma existe já há vários anos, no contexto da legislação da proteção
de dados. Já a Diretiva 95/46/CE, do Parlamento Europeu e do Conselho, de 24/10/1995,
não impunha a nomeação desta figura, deixando isso ao critério das organizações, de forma
voluntária- no caso dos artigos 18º, nº 2 e 20º, nº 2, bem como no seu Considerando 54 - para
efeitos de simplificação ou isenção da notificação prévia à Autoridade de Controlo. Desta for­
ma, o EPD substitui-se à Autoridade de Controlo, no que toca ao controlo prévio desenvol­
vido pela mesma através da obrigação de notificação. Nesta sequência, a prática da nomeação
do EPD desenvolveu-se em vários Estados-Membros, como é o caso da França, da Suécia, do
Luxemburgo e da Holanda.

81
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

para a posterior fiscalização sucessiva interna, consubstanciando-se, de


qualquer forma, como um dos melhores indícios possíveis de compliance.
A figura do EPD deverá ser dotada de versatilidade, pensando "fora
da caixa" e evidenciando até alguma criatividade no desenvolvimento da
atividade, cabendo-lhe cumprir as funções a que está adstrita da melhor
forma, sempre de acordo com o bom senso e intuição no desenvolver da
atividade. Pese embora as qualidades profissionais sejam importantes,
igualmente relevam as capacidades pessoais, as quais se deverão prender
com a integridade e um elevado nível de ética profissional, especialmente
no que toca à possibilidade de surgir um conflito de interesses na ativi­
dade desenvolvida.
O EPD deverá estar acessível aos titulares dos dados pessoais, à Autori­
dade de Controlo e bem assim à organização em que se encontra inserido60 •
Em relação aos titulares de dados, deverá estar acessível no sentido
em que estes possam contactar o EPD sobre todas questões relacionadas
com o tratamento dos seus dados pessoais e com o exercício dos direitos
que lhe são conferidos (cfr. artigo 38 º, nº 4 do RGPD).
No que toca à Autoridade de Controlo, o EPD coopera com a mesma
sendo o ponto de contacto com esta sobre questões relacionadas com o
tratamento - incluindo a consulta prévia a que se refere o artigo 36º do
RGPD - e consulta-a, sobre qualquer outro assunto relacionado com a
matéria em causa (cfr. artigo 39 º, nº 1, alíneas d) e e) do RGPD).
Por fim, no que toca à organização onde se insere, importa referir a
proximidade do EPD com a mesma, tendo em conta que faz parte do
exercício das suas funções informar e aconselhar o responsável pelo tra­
tamento ou o subcontratante, bem como os respetivos colaboradores que
tratem os dados, a respeito das suas obrigações, nos termos do RGPD e
de outras disposições de proteção de dados da União ou dos Estados­
-Membros (cfr. artigo 39 º, nº 1, al. a) do RGPD).
De forma a assegurar que o EPD esteja devidamente acessível, inde­
pendentemente de ser contratado em outsourcing ou de ser um colabo­
rador interno da organização, os seus contactos deverão estar sempre

60 O G29 recomenda que o EPD esteja localizado na União Europeia, independentemente de


o responsável pelo tratamento ou o subcontratante não estarem estabelecidos nesse territó­
rio, a menos que seja este o caso e o EPD possa exercer as suas atividades de forma mais eficaz
se estiver situado também fora da União.

82
IV. PÓS-ADEQUAÇÃO AO RGPD: O PAPEL E AS FUNÇÕES DO ENCARREGADO ...

disponíveis no website desta e/ou na sua sede ou estabelecimento prin­


cipal, e ser comunicados à Autoridade de Controlo, como é legalmente
exigível (cfr. artigos 13º, nº 1, al. b), 14 º, nº 1, al. b) e 37º, nº 7 do RGPD)61•
É requisito que esta figura esteja em condições de comunicar eficien­
temente com os titulares dos dados e de cooperar com a Autoridade de
Controlo, o que implica que as referidas comunicações sejam realizadas
na(s) língua(s) utilizada(s) por aqueles. Para além disso, a disponibili­
dade do EPD fisicamente nas mesmas instalações em que se encontram
os trabalhadores da entidade que o contratou, é essencial para garantir
que estes o possam contactar62 •
Em alternativa, nos casos em que não haja obrigatoriedade de nomear
um EPD, sempre os responsáveis pelo tratamento deverão assegurar a
existência de um responsável da proteção de dados, que se substituirá
àquela figura veremos.
Nos termos do disposto no RGPD, tanto as entidades públicas como as
do setor privado, cujas atividades principais consubstanciem operações
de tratamento de dados pessoais em larga escala, que exijam um controlo
regular e sistemático dos titulares de dados - especialmente categorias
especiais de dados - devem designar um EPD (vide ponto 2 do presente
capítulo).
O EPD designado não carece de certificação profissional63 para o de­
sempenho das suas funções, devendo possuir conhecimentos em direito,

61
O objetivo destes requisitos é assegurar que os titulares de dados e as Autoridades de Con­
trolo possam contactar fácil e diretamente o EPD, sem terem de contactar outra parte da
organização. Devem ser fornecidas informações que permitam contactar facilmente o EPD
(endereço postal, número de telefone e/ou endereço de correio eletrónico). Se necessário,
para efeitos de comunicação com o público, podem igualmente ser disponibilizados outros
meios de comunicação, por exemplo uma linha direta ou um formulário específico de con­
tacto do EPD. Como medida adequada de comunicação sugere-se que a mesma seja realizada
através de meios de comunicação seguros.
62
A título de boa prática, o G29 recomenda que a entidade informe os seus colaboradores do
nome e contactos do EPD, podendo, por exemplo, ser publicados na rede interna da organi­
zação, nas listas telefónicas ou em organogramas.
63
Existem várias certificações ainda que não aprovadas pela CNPD ou mesmo pelo G29, for­
necidas por entidades certificadas, como a European Institute of Public Administration (EIPA),
que oferece neste momento o Data Protection Certification Course, o Data Protection: Refresher
and Advanced Course for DPOs and Data Protection Experts, que são geralmente os cursos de
eleição dos EPD das instituições europeias; e a International Association of Privacy Professionals
(IAPP) com o Certified Information Privacy Professional (CIPP).

83
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

concretamente na área da proteção de dados e privacidade, e estar em


contínua formação e a par de todas as alterações legislativas e inovações
que possam ocorrer em relação a estas matérias (cfr. artigo 37º, nº 5 do
RGPD e artigo 9 º, nº 1 da respetiva LNE). Para além disso, deverá estar
plenamente inserido na organização que o designou, conhecendo a fun­
do o modelo de negócio e a atividade desenvolvida. O EPD deve assim
apresentar um bom conhecimento das operações de tratamento efetua­
das, bem como dos sistemas de informação, da segurança e das necessi­
dades de proteção de dados da organização em causa.
Esta figura poderá exercer outras funções dentro ou fora da organi­
zação, mas que não sejam suscetíveis de gerar conflito de interesses (cfr.
artigo 38 º, nº 6 do RGPD), pelo que não pode exercer um cargo que
implique determinar os meios e as finalidades de tratamento dos dados
pessoais.
Não existe um elenco taxativo de cargos ou funções não cumuláveis
com o de EPD, pelo que damos exemplos dos que consideramos incom­
patíveis com a mesma:
1. CEO, gerente ou administrador (conforme a estrutura da organi­
zação)64;
2. Chefe de Operações ou Diretor/Responsável pelos seguintes de­
partamentos: Recursos Humanos, Informática, Marketing, Finan­
ceiros, Logística (ou de qualquer outro Departamento que defina
as finalidades e os meios de tratamento de dados pessoais e/ou que
lide com orçamentos);
3. Diretor Clínico de uma Unidade de Saúde;
4. Advogado da entidade65;

64 Uma vez que o EPD tem que responder precisamente perante estas figuras de chefia ou
representação da entidade, não pode haver esta coincidência de papéis.
65
Neste último caso, não pode patrocinar a entidade em situação de litígio com algum titular
de dados ou por exercer as funções de EPD. Para além desse caso mais remoto, enuncie-se
um que poderá surgir mais frequentemente: se o EPD for simultaneamente o advogado da
empresa poderá eventualmente sentir a tentação de se abster de recomendar medidas para
proteger os dados pessoais, as quais poderão afetar de alguma forma a atividade desenvolvida
ou acarretar custos, por pretender agradar ao cliente. Veja-se o seguinte exemplo. Desde 25
de maio de 2018 que as empresas, que não obtiveram o consentimento dos titulares cujos da­
dos tratam, terão que apagar os mesmos, se não tiverem mais nenhum fundamento de licitude
para os manter. O advogado, neste caso, pode fazer a ponderação entre os prós e os contras
de apagar os dados. Se recomendar apagar, a entidade está compliant, mas poderá diminuir as

84
IV. PÓS-ADEQUAÇÃO AO RGPD: O PAPEL E AS FUNÇÕES DO ENCARREGADO ...

conhecimentos (acesso a toda a documentação), permitir-lhe o acesso aos


dados pessoais e às operações de tratamento, bem como a outros serviços
dentro da organização72 (cfr. artigo 38º , nº 2 do RGPD). Dessa forma,
deverá participar em reuniões e dever-lhe-ão ser prestadas as informa­
ções relevantes na matéria, para que se possa pronunciar e dar parecer,
bem como deverá como ser informado de violações de dados e de quei­
xas, reclamações e ações judiciais73 •
Destarte, o EPD deverá colaborar, ser informado e estar plenamente
envolvido nos seguintes aspetos da organização em que se insere ou a
quem presta serviços:
1. Registo ou inventário de dados pessoais;
2. Políticas de proteção de dados e procedimentos internos de trata­
mento;
3. Alterações de procedimentos internos que envolvam tratamento
de dados pessoais;
4. Redação e alteração de contratos;
5. Exercícios de direitos por parte dos titulares de dados;
6. Reclamações internas ou externas (à CNPD) e/ou ações judiciais
por parte de titulares de dados;
7. Violações de dados (data breaches);
8. Controlo da segurança;
9. Notificações de privacidade.

No desempenho das funções de EPD, este deverá ter em devida consi­


deração os riscos associados às operações de tratamento, tendo em conta
a natureza, o âmbito, o contexto e as finalidades do tratamento. Desta­
cam-se como funções de relevo as referidas no seguinte elenco74 (cfr. ar­
tigo 39º do RGPD e artigo 11º da respetiva LNE):

72 É importante que o EPD seja encarado como interlocutor no seio da organização e que faça
parte dos grupos de trabalho incumbidos de gerir as atividades de tratamento de dados nessa
organização, tendo em conta o seu papel protetor e fiscalizador dos dados pessoais.
73
Há que referir que as entidades que nomeiam o EPD podem discordar da sua opinião ou
mesmo optar por não seguir as suas recomendações. Do ponto de vista do EPD, convém redu­
zir a escrito (por exemplo, lavrar uma ata) a medida recomendada, a opção de não a seguir e,
se possível, os motivos de discórdia, como mero dever de salvaguarda.
74 Note-se que o presente elenco tem caráter exemplificativo, na medida em que fazem parte

do mesmo as funções previstas nos diplomas legais referidos. No entanto, tal não prejudica o

87
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

1. Aconselhar e monitorizar o compliance com as regras de proteção


de dados (informar e aconselhar a entidade e os respetivos traba­
lhadores a respeito das obrigações nos termos previstos no RGPD
e demais legislação vigente a cada momento);
2. Controlar a conformidade do RGPD com as políticas da entidade
relativas à proteção de dados pessoais, incluindo a repartição de
responsabilidades;
3. Dar formação e sensibilizar o pessoal para matérias de proteção de
dados;
4. Realizar auditorias, quer periódicas quer não programadas;
5. Sensibilizar os utilizadores para a importância de deteção atem­
pada de incidentes de segurança e para a necessidade de informar
imediatamente o responsável pela segurança;
6. Aconselhar em avaliações de impacto sobre Proteção de Dados
e controlar a respetiva realização, bem como emitir pareceres no
âmbito das mesmas;
7. Colaborar com as Autoridades de Controlo e servir de ponto de
contacto com as mesmas, notificando-as das operações de controlo
com mais risco para os titulares de dados, monitorizando a imple­
mentação das suas recomendações no que toca a consultas prévias;
8. Relacionar-se com os titulares dos dados, nomeadamente no âm­
bito do exercício dos seus direitos, servindo assim de ponto de con­
tacto com os mesmos.

Já no que toca aos métodos de trabalho no âmbito do desempenho das


respetivas funções, consideramos que será um exemplo de boas práticas
a elaboração de relatórios periódicos que consagrem as atividades de tra­
tamento levadas a cabo (vide ponto 9 do presente capítulo).

1. A importância da existência de um responsável da proteção de


dados
Em primeiro lugar, cabe distinguir esta figura da do responsável pelo
tratamento de dados, que é descrito nos termos do RGPD como a pes­
soa singular ou coletiva que determina as finalidades e os meios de trata-

facto de serem contratualizadas outras funções para além dessas, no âmbito da prestação do
serviço.

88
IV. PÓS-ADEQUAÇÃO AO RGPD: O PAPEL E AS FUNÇÕES DO ENCARREGADO ...

mento de dados pessoais (cfr. artigo 4º, nº 7 do RGPD). O responsável


pela proteção de dados é uma figura não expressamente consagrada no
RGPD ou na demais legislação, mas será alguém que servirá essencial­
mente como ponto de contacto entre o responsável pelo tratamento e
os demais sujeitos ou entidades envolvidas, contribuindo também para
assegurar o cumprimento da legislação.
Independentemente dos casos em que é obrigatória a nomeação de
um EPD externo, será sempre conveniente ou aconselhável existir um
responsável pela proteção de dados dentro da entidade, no primeiro
caso para se encarregar das funções que àquele caberiam e, no segundo
caso, para cooperar com o mesmo, no desempenho dessas mesmas
funções.
Dentro da entidade, deverá sempre existir alguém (ou um grupo
de pessoas, se a respetiva dimensão assim o justificar) responsável por
determinadas questões como:
1. Controlo de prazos de conservação, revisão e apagamento de
dados pessoais;
2. Garantia de que é cumprido o dever de informação aos titulares de
dados;
3. Controlo de renovação de pedidos de consentimento;
4. Gestão dos pedidos de exercício de direitos por parte dos titulares
de dados e garantia do cumprimento do respetivo prazo de res­
posta (1 mês, ou 2, em caso de prorrogação - cfr. artigo 12º, nº 3 do
RGPD);
5. Comunicação de violações de dados dentro dos prazos legalmente
estabelecidos para o efeito, quer à CNPD, quer aos titulares de
dados, quando estiverem preenchidos os respetivos requisitos;
6. Receção de reclamações de titulares de dados e fornecimento
da respetiva resposta bem como, se possível, resolução dos pro­
blemas;
7. Cooperação com a CNPD, reportando situações e solicitando
pareceres, quando necessário e/ou adequado, ou dar resposta a
pedidos de informação daquela entidade;
8. Acompanhamento da regulação de relações com subcontratantes
ou terceiros;
9. Realização dos registos de tratamento de dados, quando obrigató­
rios.

89
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

10. Promoção e realização das avaliações de impacto e das consultas


prévias, quando necessário.
11. Implementação das medidas recomendadas pelos auditores de
dados, com o objetivo de as adequar ao RGPD. Por exemplo, con­
tratar serviços para instalação de softwares mais seguros, garantir a
divulgação das políticas de privacidade elaboradas ou o envio dos
aditamentos aos colaboradores e prestadores de serviços, forne­
cedores, etc.

Importa ressalvar que, existindo EPD nomeado, algumas das funções


suprarreferidas poderão ser por ele desempenhadas. Note-se que os
exemplos dados são da responsabilidade do responsável pelo tratamento
de dados, sendo que podem ser realizados pelo EPD se constarem do
âmbito do contrato de prestação de serviços celebrado.
Posto isto, importa questionar: quem poderá ser responsável pela pro­
teção de dados no seio de uma organização?
Ora, se a organização optou por não nomear um EPD, logicamente
fará sentido que este responsável seja alguém interno, que tenha conhe­
cimento pleno das operações de tratamento realizadas. Em empresas de
pequena ou média dimensão poderá ser o próprio sócio gerente ou al­
guém que desempenha funções administrativas, que na prática acaba por
ser o "braço direito" da gerência. No caso de empresas de maior dimen­
são, fará sentido que seja um responsável de departamento, por exem­
plo, de compliance, de qualidade, financeiro, de informática, de recursos
humanos, ou mesmo todos em conjunto, em relação às operações de
tratamento dos seus próprios departamentos.
De qualquer forma, convém sempre que seja a pessoa que acompanha
a auditoria de adequação ao RGPD e que faz a ponte com os auditores
de dados contratados para esse efeito, por forma a que fique plenamente
inteirada das medidas a implementar e das operações e procedimentos
a mudar.
O que distingue esta figura do EPD é que o responsável pela prote­
ção de dados não tem o papel fiscalizador e de isenção e imparcialidade
que obrigatoriamente terá que ter aquele, pelo que apenas terá que dar
seguimento ao controlo da legalidade dentro da própria entidade, re­
portando ao EPD, quando este exista, e servindo mesmo como ponto de
contacto. Não é então preocupante que a sua função coincida com a de

90
IV. PÓS-ADEQUAÇÃO AO RGPD: O PAPEL E AS FUNÇÕES DO ENCARREGADO ...

chefe de departamento que lida com orçamentos e estabelece medidas


para a empresa.

2. A obrigatoriedade de nomeação de encarregado da proteção de


dados
Na realidade com que nos deparamos atualmente, o EPD tem um papel
central neste novo quadro normativo relativamente a um vasto número
de organizações, facilitando o cumprimento das disposições doRGPD.
Uma das inovações que este diploma consagrou, no que toca à figura e
ao papel do EPD, consiste na nomeação obrigatória dos responsáveis pelo
tratamento e subcontratantes, nos casos infra enunciados (cfr. artigo 37º
doRGPD).
O primeiro caso de nomeação obrigatória ocorre quando "o tratamen­
to for efetuado por uma autoridade ou um organismo público, excetuan­
do os tribunais no exercício da sua função jurisdicional" 75 (cfr. artigo 37º,
nº 1, al. a) doRGPD).
ORGPD não define o conceito de "autoridade ou organismo público",
remetendo para a legislação nacional de cada Estado-Membro. Na reali­
dade portuguesa e com o surgimento da LNE podemos referir que cabem
neste conceito: o Estado; as regiões autónomas; as autarquias locais e as
entidades supranacionais previstas na lei; as entidades administrativas
independentes e o Banco de Portugal; os institutos públicos; as institui­
ções de ensino superior públicas, independentemente da sua natureza;
as empresas do setor empresarial do Estado e dos setores empresariais
regionais e locais e as associações públicas (cfr. artigo 12º, nº 2 da LNE).

75
Em especial no que toca à exceção consagrada relativa aos tribunais, não se compreende o
motivo que leva a que estes sejam excluídos de tal obrigatoriedade. No entanto, é de ressalvar
que a mesma diz respeito apenas ao exercício da sua "função jurisdicional". Apesar de não ser
isso o que tem sido aplicado na prática, cremos que o exercício de funções administrativas por
parte dos funcionários judiciais implicaria já a nomeação de um EPD nas secretarias judiciais,
destinando-se a exceção da parte final da al. a) do nº 1 do artigo 37º do RGPD estritamente
aos casos dos magistrados no exercício das suas funções. A função jurisdicional exercida pelos
juízes anda a par com garantias de responsabilidade e independência, consagradas inclusiva­
mente na CRP (cfr. artigo 216 º, nº 2) e no Estatuto dos Magistrados Judiciais (cfr. artigos 4º,
nº 1 e 5º, nº 1), sendo essa a única justificação plausível para que a mesma atividade não seja
fiscalizada no que toca ao tratamento de dados pessoais. No entanto, tal facto não quer signi­
ficar que os tribunais não tenham que cumprir o RGPD, mas apenas que não estão obrigados
a designar um EPD.

91
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

A referida Lei consagra ainda uma obrigatoriedade acrescida da exis­


tência de pelo menos um EPD (cfr. artigo 12º, nº 3 da LNE):
a) Por cada ministério ou área governativa, no caso do Estado, sendo
designado pelo respetivo ministro, com faculdade de delegação em
qualquer secretário de Estado que o coadjuvar;
b) Por cada secretaria regional, no caso das regiões autónomas, sendo
designado pelo respetivo secretário regional, com faculdade de
delegação em dirigente superior de 1º grau;
c) Por cada município, sendo designado pela câmara municipal, com
faculdade de delegação no presidente e subdelegação em qualquer
vereador;
d) Nas freguesias em que tal se justifique, nomeadamente naquelas
com mais de 750 habitantes, sendo designado pela junta de fre­
guesia, com faculdade de delegação no presidente;
e) Por cada entidade, no caso das demais entidades referidas no nú­
mero anterior, sendo designada pelo respetivo órgão executivo, de
administração ou gestão, com faculdade de delegação no respetivo
presidente.

Ainda em relação ao EPD de entidades públicas a lei não impõe o


exercício das respetivas funções em regime de exclusividade, sendo que
existe uma limitação no caso de o EPD que tenha atribuições de regu­
lação ou controlo, uma vez que não pode exercer essas funções simul­
taneamente em entidade sujeita ao controlo, ou inserida no perímetro
regulatório daquela entidade (cfr. artigo 12º, nº Se 6 da LNE do RGPD).
Passando ao segundo caso em que é obrigatória a nomeação de um
EPD, no que toca agora ao setor privado, importa referir os casos em que
"as atividades principais76 do responsável pelo tratamento ou do subcon­
tratante consistam em operações de tratamento que, devido à sua natu-
76
O Considerando 97 do RGPD refere que "No setor privado, as atividades principais do res­
ponsável pelo tratamento dizem respeito às suas atividades primárias e não estão relacionadas
com o tratamento de dados pessoais como atividade auxiliar" e o G29 descreve as mesmas
como "as operações essenciais necessárias para alcançar os objetivos do responsável pelo tra­
tamento ou do subcontratante", não excluindo aquelas em que o tratamento de dados cons­
titui uma parte indissociável das atividades da empresa, distinguindo-se assim das atividades
auxiliares, que consistem em funções de apoio necessárias - ou mesmo essenciais - para o
desenvolvimento da atividade principal, mas que não se confundem com ela (exemplos muito
comuns são as atividades de faturação ou de apoio informático de uma empresa).

92
IV. PÓS-ADEQUAÇÃO AO RGPD: O PAPEL E AS FUNÇÕES DO ENCARREGADO ...

reza, âmbito e/ ou finalidade, exijam um controlo regular e sistemático77


dos titulares dos dados em grande escala78" (cfr. artigo 37º, nº 1, al. b) do
RGPD e artigo 13 º, nº 1, al. a) da respetiva LNE).
O terceiro e último caso que obriga à nomeação de um EPD é o das
entidades do setor privado (responsáveis pelo tratamento ou subcontra­
tantes) que procedam a tratamentos em larga escala de categorias espe­
ciais de dados79 ou dados pessoais relacionados com condenações penais
ou infrações80 (cfr. artigo 37º, nº 1, al. c) do RGPD e artigo 13º, nº 1, al. b)
da respetiva LNE).
O dever de nomear um EPD aplica-se não só aos responsáveis pelo
tratamento, mas também à entidade subcontratante que trate dados por
sua conta, desde que estejam preenchidos os requisitos de designação
obrigatória. Cabe a estas entidades avaliar, em cada situação, se os trata­
mentos de dados realizados exigem a designação de um EPD.
O artigo 28 º do RGPD define os termos pelos quais se deverá pautar a
relação entre subcontratantes e responsáveis pelo tratamento. Nestes casos,
cada uma das entidades poderá nomear um EPD, ou poderão nomear o
mesmo para as duas, passando este a cooperar com cada uma delas. Pode­
rá até acontecer que seja nomeado o mesmo EPD para as duas entidades,
ainda que para uma delas não seja obrigatório. Um EPD comum a ambas
as entidades será visto como uma boa prática e um indício de compliance.

77
O conceito de "tratamento regular e sistemático" é igualmente abstrato e indeterminado,
sendo que o G29 nos orienta no sentido de considerar aquele que é "contínuo ou que ocorre
a intervalos específicos num determinado período; recorrente ou repetido em horários esti­
pulados ou constante ou periódico" - regular - e "que ocorre de acordo com um sistema;
predefinido, organizado ou metódico; realizado no âmbito de um plano geral de recolha de
dados ou efetuado no âmbito de uma estratégia" - sistemático.
78
O conceito de "grande escala'' não é definido pelo RGPD, embora o seu Considerando 91
refira "uma grande quantidade de dados pessoais a nível regional, nacional ou supranacional"
que possa afetar "um número considerável de titulares de dados". Entendemos que os fatores
a considerar para determinar se uma atividade de tratamento é realizada em larga escala, ou
não, são: o número dos titulares de dados, o volume deste, a duração ou permanência da ati­
vidade de tratamento e o âmbito geográfico da mesma.
79
Entre as categorias especiais de dados encontram-se aqueles que "revelam a origem racial
ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical,
bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa
de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação
sexual de uma pessoa" (cfr. artigo 9º do RGPD).
80
Veja-se, a este propósito, o artigo 10 º do RGPD.

93
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

Saliente-se ainda que um EPD designado por um subcontratante tam­


bém pode supervisionar as operações de tratamento de dados em que
aquele atue na qualidade de responsável pelo tratamento por direito pró­
prio. Tal acontece, por exemplo, em relação a uma empresa de informá­
tica ou de contabilidade (sub)contratada em outsourcing pelos seus clien­
tes e atuando então como subcontratante na medida em que trata dados
pessoais daqueles, por sua conta. No entanto, estas entidades também
terão os seus próprios colaboradores, pelo que atuarão como responsá­
veis pelo tratamento em relação a eles.

3. Outros casos de nomeação de encarregado da proteção de dados


Para além dos três casos supra enunciados, existem outras situações em
que é possível ou aconselhável a nomeação de um EPD. Isto porque o
EPD proporciona, se não mais, uma vantagem competitiva às organiza­
ções, pois facilita a conformidade, através da implementação de instru­
mentos de responsabilização, já que serve de ponto intermédio de con­
tacto quer com os titulares de dados, quer com a Autoridade de Controlo
e, inclusivamente, dentro da própria entidade.
Em primeiro lugar, existe também a possibilidade de ser nomeado um
único EPD para um grupo empresarial81, desde que seja facilmente aces­
sível82 a partir de cada estabelecimento (cfr. artigo 37º, nº 2 do RGPD).
Pode igualmente ser designado um único EPD para várias autori­
dades ou organismos públicos tendo em conta as respetivas estrutura
organizacional e dimensão83 (cfr. artigo 37º, nº 3 do RGPD). A LNE veio
concretizar este aspeto, prevendo que pode ser designado o mesmo EPD
para vanos m1n1stenos ou areas governativas, secretarias reg10na1s,
'' I • • • I • I • • • •

autarquias locais ou outras pessoas coletivas públicas" (cfr. artigo 12º ,


nº 4). Uma vez que o EPD tem a seu cargo um conjunto vasto de funções,
as entidades que o nomeiam, neste caso, devem assegurar que um único

81
"Grupo empresarial", segundo o Considerando 37 do RGPD, abrange uma empresa que
exerce o controlo sobre as demais exercendo a primeira uma influência dominante sobre as
restantes e controlando o tratamento dos dados pessoais nestas.
82 A
propósito da noção de acessibilidade, veja-se o que foi referido supra, na parte introdu­
tória do presente Capítulo IV.
83
É o caso da Universidade do Porto, em que se optou por um único EPD, em vez de um para
cada uma das sua unidades orgânicas (Faculdades).

94
IV. PÓS-ADEQUAÇÃO AO RGPD: O PAPEL E AS FUNÇÕES DO ENCARREGADO ...

EPD - com a ajuda de uma equipa se necessário - pode cumprir as suas


funções de forma eficiente.
Podemos também referir que existe a possibilidade de designação vo­
luntária de um EPD por parte das entidades - a título de responsáveis
pelo tratamento ou de subcontratantes, ou ainda "associações e outros
organismos que representem categorias de responsáveis de tratamento
ou de subcontratantes" - ou se tal lhes for exigido pelo D ireito da União
ou dos Estados-Membros (cfr. artigo 37º , nº 4 do RGPD). No entanto,
a LNE não prevê nada em relação a este último aspeto, pelo que até ao
momento não existe legislação neste sentido.
Existem posições que entendem que a dimensão também poderá ser
critério de designação de um EPD, estando neste caso as entidades que
caibam no conceito de "grande empresa", uma vez que têm, por referência,
mais de 250 trabalhadores. No entanto, consideramos que os critérios
plasmados no RGPD não atendem à dimensão da organização (conside­
rado o número de colaboradores) mas, antes, ao risco que os tratamentos
realizados comportam para os direitos, liberdades e garantias dos titulares
dos dados. As organizações que tratam maior quantidade de dados pes­
soais ou dados sensíveis criam mais riscos, pelo que devem ter garantias
acrescidas de responsabilidade e, por isso, devem designar um EPD.
Assim sendo, entendemos que fará sentido nomear um EPD, quando
os titulares, cujos dados sejam tratados pelos responsáveis pelo trata­
mento ou subcontratantes, exigirem uma proteção acrescida, designa­
damente por levarem a cabo avaliações de desempenho com recurso a
meios automatizados ou por tratarem dados biométricos, ainda que não
de forma regular, sistemática e em grade escala.

4. Nomeação de encarregado da proteção de dados interno ou exter-


no à entidade
Na prática, um dos grandes dilemas que assiste às entidades quando pre­
tendem nomear um EPD é decidir se designam um colaborador interno
ou se contratam um prestador de serviços externo (em regime de outsour­
cing). Em qualquer um dos casos de nomeação (obrigatória ou voluntá­
ria, como vimos), importa escolher bem o EPD nomeado e, apesar de o
RGPD expressamente permitir a nomeação de "um elemento do pessoal
da entidade" (cfr. artigo 37º, nº 6 do RGPD), há que ponderar as vanta­
gens e as desvantagens de tal opção.

95
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

Assim sendo, devem as entidades evitar nomear um funcionário sem


a formação de base necessária para o correto desempenho das funções
(relembre-se, conhecimentos especializados no domínio do direito e das
práticas da proteção de dados, bem como capacidade de desempenhar as
funções necessárias - cfr. artigos 37º, nº 5 e 39 º do RGPD).
Assiste-se muitas vezes a situações de entidades que, nos termos le­
gais, estão obrigadas a nomear um EPD, mas, por falta de recursos finan­
ceiros em alguns casos, e por falta de vontade de investimento, noutros,
assume as funções de EPD o sócio gerente, um chefe de departamento
(muito comummente de recursos humanos ou de informática) ou mesmo
um administrativo. Desta forma, evita-se o custo extra que acarreta a
celebração de um contrato de prestação de serviços ou a realização de
uma avença mensal com um EPD84• No entanto, tal prática é desaconse­
lhada, uma vez que, no âmbito de uma eventual fiscalização, poderão ser
postas em causa as competências da pessoa nomeada como EPD.
Na verdade, partindo do pressuposto que a entidade possui um fun­
cionário que domina o Direito e a proteção de dados (nomeadamente
por ter entretanto realizado formação na área), existe a vantagem de este
ter o conhecimento do funcionamento da organização e saber quais as
melhores medidas técnicas e organizativas a manter e a implementar.
Estará, neste sentido, mais apto do que alguém externo à atividade e ao
modelo de negócio da entidade.
Por outro lado e a título de desvantagem, cabe referir que, se o EPD
for um colaborador da empresa ou da organização, isso poderá eventual­
mente dificultar a independência ou potenciar situações de conflito de
interesses, elevando-se assim o risco de não cumprimento da legislação e
de eventual aplicação de uma sanção85 •

84
Ressalve-se que o EPD contratado em regime de outsourcing pode atuar a título individual
ou através de empresa constituída para o efeito e que preste os mesmos serviços.
85
O RGPD prevê no seu artigo 83 º, nº 4, al. a), a aplicação de uma coima até 10.000.000,00
euros ou, no caso de uma empresa, até 2 % do seu volume de negócios anual a nível mundial
correspondente ao exercício financeiro anterior, consoante o montante que for mais elevado,
para as violações das obrigações do responsável pelo tratamento e do subcontratante, dos
artigos 37º a 39º (relativos ao EPD). Para além disso, a Lei Nacional de Execução refere como
contraordenação grave, o incumprimento dos deveres previstos no artigo 37º do RGPD, a
violação do artigo 38º do RGPD no que respeita às garantias de independência do EPD e o
incumprimento dos deveres do artigo 39 º do RGPD, respetivamente nas alíneas n), o) e p) do
nº 1 do seu artigo 38 º.

96
IV. PÓS-ADEQUAÇÃO AO RGPD: O PAPEL E AS FUNÇÕES DO ENCARREGADO ...

Poderão ainda existir casos, dependendo das outras funções que o co­
laborador exercia antes de ser nomeado EPD e que continua a exercer,
em que o EPD não consegue ter a influência que teria um prestador de
serviços externo, ao ter de reportar à "direção ao mais alto nível".
Assim, independentemente de o EPD nomeado ser interno ou externo
à organização, parece que o que é mais relevante, e de que não se pode
prescindir, é que a pessoa nomeada para desempenhar as funções de EPD
seja dotada dos conhecimentos necessários na matéria. Ou seja, caso se
opte por um colaborador que, devido à exigência das funções, está em
condições de manter a isenção e a independência necessárias e não se
depara facilmente com conflitos de interesse, deverá o mesmo beneficiar
da formação suficiente, que imprescindivelmente terá que ter, para o cor­
reto desempenho dessa atividade86 • O objetivo deverá ser uma melhoria
permanente do nível de competência, devendo o EPD ser incentivado a
participar em cursos de formação sobre proteção de dados e em outras
iniciativas de desenvolvimento profissional, tais como conferências ou
seminários sobre privacidade. Tudo isto sem prejuízo de o EPD ser as­
sessorado nas suas funções ou mesmo de trabalhar em Comité (o que se
justificará em casos de grandes entidades ou operações de tratamento de
dados complexas ou sensíveis) 87•
Em qualquer dos casos, o EPD deve ser nomeado pelo Conselho de
Administração ou pela gerência da entidade em questão, sendo que tal
facto deverá ser documentado, por exemplo, através de um contrato
de prestação de serviços, uma carta de missão ou documento similar.
Ademais, poderá desenvolver as suas funções em regime de part-time ou

86
Em relação a este aspeto, ressalve-se que, por vezes, poderá não ser bastante a formação
em Direito e, em especial, em proteção de dados. Por exemplo, se a atividade de tratamento
de dados no caso concreto for particularmente complexa, ou se estiver em causa uma grande
quantidade de dados sensíveis, casos em que o EPD poderá necessitar de um nível de compe­
tências e de apoio mais elevado.
87
A título de exemplo, se o background do EPD for direito (se for jurista ou advogado), este
dificilmente dominará as tecnologias informáticas. Noutro caso, se for externo à entidade em
causa, poderá não conhecer bem o funcionamento da mesma, necessitando de auxílio nesse
aspeto. Igualmente poderá munir-se de uma equipa multidisciplinar (especialmente se pres­
tar os seus serviços através de uma empresa de consultoria no âmbito da proteção de dados),
com conhecimentos em áreas diversificadas (por exemplo: Direito, informática, consultoria,
gestão, recursos humanos, etc.), de forma a prestar um serviço mais completo.

97
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

full-time, conforme as exigências concretas das operações de tratamento


de dados.

5. A nomeação junto da Autoridade de Controlo


A nomeação do EPD, caso seja ou não obrigatório nos casos suprarre­
feridos, deve ser comunicada à Autoridade de Controlo (cfr. artigo 37º ,
nº 7 do RGPD) - em Portugal, a CNPD. Apesar de este artigo apenas se
referir aos "contactos" 88 do mesmo EPD, na prática, a referida comuni­
cação implica comunicação de mais dados e faz-se através de formulário
próprio, disponível no website da CNPD em https://www.cnpd.pt/bin/
notifica_rgpd/epd_dpo.htm.
O que começou por ser uma solução transitória, que consistia no
preenchimento de um formulário contido num ficheiro excel e que im­
plicava o posterior envio para um email próprio da CNPD, é hoje em dia
(desde julho de 2019)89 um formulário disponibilizado online, que per­
mite não só fazer a notificação do EPD, mas também alterar os respetivos
dados ou os da entidade que o nomeou (seja responsável pelo tratamento
ou subcontratante), bem como comunicar o término das funções do EPD.
A CNPD desenvolveu este mecanismo de comunicação gratuito, que
se destina às notificações de EPD nomeados, nos seguintes casos (requi­
sitos cumulativos):
1. Entidades com estabelecimento no território nacional;
2. O EPD é uma pessoa singular (ainda que atue através de empresa
que fornece os serviços);
3. Grupos empresariais em que o EPD é comum a todas as empresas
que os compõem, sendo necessário preencher um formulário para
cada uma das empresas que integram o grupo90 •

88
Situação diferente da notificação de violação de dados, conforme veremos no ponto 12 do
presente capítulo.
89
No entanto, as notificações realizadas por email, enquanto esse era o único meio disponível,
consideram-se válidas.
90
Note-se que se a entidade estiver integrada num grupo empresarial europeu ou interna­
cional e o EPD do mesmo estiver estabelecido noutro país que não Portugal, a empresa por­
tuguesa mantem a obrigação de comunicar à CNPD quem é o respetivo EPD e os respetivos
contactos, através do preenchimento do formulário disponibilizado. Acontece, frequente­
mente, nestes casos em que há um único EPD para um grupo empresarial, haver delegados
do EPD nas restantes empresas nos vários países. No entanto, tal não inibe a responsabilidade
de cada empresa comunicar à respetiva Autoridade de Controlo quem é o EPD, uma vez que

98
IV. PÓS-ADEQUAÇÃO AO RGPD: O PAPEL E AS FUNÇÕES DO ENCARREGADO ...

Na notificação deverão ser registados, num primeiro momento, os


dados de identificação da entidade que nomeia o EPD, o respetivo setor
de atividade e a indicação se atua na qualidade de responsável de trata­
mento, subcontratante ou ambos.
Num segundo momento, deverão ser referidos os dados de identifica­
ção do EPD, o país em que se encontra e a informação sobre se é "inter­
no" ou "externo" à entidade, se exerce outras funções dentro da mesma
e que quem reporta, bem assim, se atua a título individual ou através de
empresa, se exerce as respetivas funções a tempo parcial ou integral, se
presta serviços a outras entidades e de que tipo (grupo empresarial, as­
sociação setorial, serviço público ou privado) e qual a data de início de
funções nessa qualidade.
Atente-se que a obrigação de comunicação impende sobre o respon­
sável de tratamento ou o subcontratante que nomeia o EPD (cfr. artigo
37º, nº 7 do RGPD), sendo que poderá ser o próprio EPD nomeado a
fazê-lo, bastando que declare, no próprio formulário, que está manda­
tado pela entidade notificante para proceder à notificação e que as infor­
mações prestadas correspondem à verdade.
A comunicação gera uma referência ["DPO- (... )], que será enviada
para os contactos da entidade que nomeia o EPD, indicados no formulá­
rio, sendo que a referência gerada será necessária para eventuais altera­
ções aos dados, quer da entidade, quer do EPD, bem como para comuni­
car o término de funções deste último (sem a referência, não é possível
avançar no registo, aquando do preenchimento do formulário). Tal situa­
ção pode levantar uma dificuldade prática ao EPD que pretenda realizar
estes registos, uma vez que sempre terá que solicitar a referência à enti­
dade. Uma sugestão de boas práticas é que, aquando da comunicação da
nomeação à CNPD, o EPD informe a entidade desse facto, aproveitando
para solicitar o envio da respetiva referência.
Ressalve-se que, em caso de cessação de funções, o EPD sempre estará
salvaguardado, caso não logre comunicar a mesma à CNPD, por falta da
referida referência, uma vez que a responsabilidade da notificação e de
quaisquer alterações que sejam feitas posteriormente é da entidade que

é em torno do EPD formalmente designado que recaem as obrigações do RGPD, uma vez
que o delegado uma figura prevista na lei. Tal resulta apenas da organização interna de cada
grupo empresarial.

99
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

o nomeou. O EPD apenas deverá comunicar por escrito, à referida enti­


dade, a data em que deixará de exercer funções enquanto tal.

6. A importância da formação interna e da sensibilização para as


questões de privacidade e segurança
Seja no âmbito da primeira auditoria em proteção de dados, seja na fase
de implementação de medidas, ou mesmo já na fase de controlo do com­
pliance contínua pós-implementação, não deverão as entidades, sejam
responsáveis pelo tratamento, sejam subcontratantes, abdicar da forma­
ção aos seus colaboradores e prestadores de serviços (pessoas singulares,
vulgo "recibos verdes"), no que toca às matérias em causa, através da rea­
lização de ações de sensibilização.
Cada entidade deverá analisar os melhores meios para fazer chegar
a informação aos respetivos colaboradores e prestadores de serviços,
dependendo da estrutura da mesma e de outras situações como, por
exemplo, se tem EPD nomeado.
Consideramos que a formação e sensibilização para esta matéria numa
fase prévia à implementação poderá ser vantajosa, na medida em que se
informam desde logo os colaboradores e prestadores de serviços que irá
decorrer a auditoria, que serão abordados ou entrevistados para expli­
carem os seus métodos de trabalho habituais que envolvam tratamento
de dados pessoais e, mais importante ainda, que assistirão a alterações
no seio da entidade. Esta altura será uma boa oportunidade para comu­
nicar implementação de procedimentos novos, instauração de políticas
de privacidade e, mais relevante, que haverá aditamentos aos respetivos
contratos (nomeadamente para inserção de uma cláusula de proteção de
dados). Em relação a este último aspeto, que costuma ser o mais sensí­
vel para os colaboradores (principalmente se pertencerem já aos quadros
da entidade ou se nem sequer tiverem um contrato de trabalho redu­
zido a escrito), entendemos importante que seja abordado durante um
workshop ou uma formação, uma vez que, se a mesma for relegada para
momento posterior, poderá haver resistência por parte dos colaborado­
res a assinarem um aditamento, por desconhecerem ou não compreen­
derem o respetivo motivo.
Assim, devem as entidades que se pretendem adaptar ao RGPD, ao
contratar os auditores de dados, dar primazia a que estes prevejam a rea­
lização de formações, workshops ou sessões de esclarecimento. Se assim

100
IV. PÓS-ADEQUAÇÃO AO RGPD: O PAPEL E AS FUNÇÕES DO ENCARREGADO ...

não suceder e for nomeado um EPD, deverá ser o este a promover as re­
feridas ações de formação.
Sabemos que, desde que o RGPD passou a ser aplicável, surgiu mais
legislação nacional e várias orientações e diretrizes da CNPD que o com­
plementam e ajudam na interpretação das suas normas. Sendo estas
matérias da proteção de dados e da privacidade tão voláteis, deverá ser
privilegiada a formação contínua, na medida do necessário e adequado
à realidade da entidade, principalmente se houver muitos funcionários
com acesso a dados pessoais ou que realizam o respetivo tratamento.
Ressalve-se que este tipo de medidas não prejudica a realização de
reuniões entre departamentos, ou a divulgação de folhetos ou circulares
internas informativas e relacionadas com estas matérias.
Para além ou independentemente da referida formação, é também
muito importante a sensibilização dos colaboradores para as questões
da privacidade e da segurança, principalmente dos que lidam com dados
pessoais (geralmente dos departamentos jurídico, de recursos humanos,
comercial, de informática ou de marketing).
Desde logo, explicar em que consiste uma violação de dados e tentar
estabelecer um protocolo de atuação nessa eventualidade, são medidas
que consideramos de elevada importância, permitindo aos colaboradores
e prestadores de serviços identificar as situações passíveis de consubstan­
ciar um data breach, informando de imediato o responsável pela proteção
de dados ou o EPD, para que possam ser tomadas as devidas diligências
no sentido de notificar a Autoridade de Controlo e os titulares, se for
caso disso, dentro dos prazos legalmente estabelecidos (vide ponto 12 do
presente capítulo). Poder-se-á dizer que quanto maior for a estrutura de
entidade, mais importância terá o referido protocolo de atuação, uma vez
que o fluxo de comunicação será provavelmente maior até que chegue
ao EPD. A título de exemplo, poderá estabelecer-se que o colaborador
que detetar ou suspeitar de uma ocorrência de violação de dados a comu­
nique logo ao responsável pelo departamento em questão, que por sua
vez, a poderá comunicar às chefias e à pessoa que tenha sido designada
para atuar como interlocutora com o EPD (ou ao responsável pela prote­
ção de dados). No entanto, nos casos em que não houver EPD nomeado
(nem tampouco responsável pela proteção de dados), convém que esteja
previamente definida uma pessoa de contacto que fique responsável pela
notificação à CNPD e aos titulares dos dados pessoais objeto de violação.

101
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

7. O registo das atividades de tratamento de dados


O registo das atividades de tratamento é uma obrigação imposta pelo
RGPD para os responsáveis pelo tratamento e para os subcontratantes
(cfr. artigo 30 º do RGPD), exceto para as entidades com menos de 250
trabalhadores, que levem a cabo atividades de tratamento de dados que
não sejam suscetíveis de implicar risco para os titulares de dados, que
sejam ocasionais e que não abranjam categorias especiais de dados nem
dados relativos a condenações penais e infrações (cfr. nº 5 do referido
artigo 30 º). Na prática, facilmente verificamos que serão poucas as enti­
dades que se encontram em nenhuma das situações enunciadas, pelo que
a regra será a da obrigatoriedade do registo de tratamento.
Neste sentido e de modo a facilitar o cumprimento desta obrigação, a
CNPD disponibilizou, no seu website, dois modelos de registo que podem
ser utilizados para o efeito, respetivamente, para entidades responsáveis
pelo tratamento e para subcontratantes, disponíveis em https://www.
cnpd.pt/bin/rgpd/rgpd.htm e que poderão ser exibidos perante esta en­
tidade, a pedido (cfr. artigo 30 º, nº 4 do RGPD). Parece que este "pedi­
do" será apenas da própria CNPD e não de titulares de dados ou outros
interessados, pelo menos na descrição do Considerando 82 do RGPD91 •
Poderá eventualmente suceder que exista, por parte dos titulares de da­
dos, uma denúncia ou reclamação perante aquela autoridade, no sentido
de a entidade em causa não cumprir com o registo de tratamento nos
termos em que o mesmo é exigível, e, nessa sequência, aquela poderá
proceder ao designado "pedido".
Antes do referido formulário ter sido disponibilizado pela CNPD,
havia outras formas de cumprir com o registo de tratamento de dados,
designadamente através de formulários excel semelhantes ou mesmo de
programas especialmente desenvolvidos para o efeito. Não obstante, uma
boa política de privacidade terá já incluído alguns (se não mesmo todos)
elementos previstos no artigo 30 º: a identificação do responsável de tra­
tamento ou do subcontratante; a descrição das finalidades do tratamento
de dados, bem como as categorias dos respetivos titulares, dos próprios
dados e dos destinatários a quem os mesmos poderão ser divulgados; a
existência de transferências de dados para países terceiros ou organi-
91
"Os responsáveis pelo tratamento e subcontratantes deverão ser obrigados a cooperar com
a autoridade de controlo e a facultar-lhe esses registos, a pedido, para fiscalização dessas ope­
rações de tratamento".

102
IV. PÓS-ADEQUAÇÃO AO RGPD: O PAPEL E AS FUNÇÕES DO ENCARREGADO ...

zações internacionais; os prazos de conservação de dados; e mesmo a des­


crição genérica das medidas técnicas e organizativas a nível de segurança.
O mesmo se diga em relação ao relatório final de auditoria de adequação
(vide ponto 14 do capítulo C do título III), que terá necessariamente o
registo de toda a informação referida e que poderá ser exibido como ins­
trumento de compliance nesse sentido.
Em relação às entidades que cumpriram o referido registo através des­
tes instrumentos antes de ser disponibilizado o formulário pela CNPD,
entende-se que é aconselhável o preenchimento deste último que, apesar
de ser um modelo não obrigatório, é o maior exemplo de cumprimento
que poderá existir, uma vez que é o sugerido pela própria Autoridade de
Controlo, em especial por parte das micro, pequenas e médias empresas.
Numa nota especial, em relação às grandes empresas, poderá ser usado
o referido formulário para cada departamento, por exemplo, dependendo
da estrutura da mesma.

8. A fiscalização sucessiva
As entidades responsáveis pelo tratamento e/ou subcontratantes estão
obrigadas a cumprir com o requisito da "responsabilidade", demonstran­
do que cumprem com o RGPD (cfr. artigos Sº , nº 2 e 24 º do RGPD),
motivo pelo qual a compliance é contínua. Isto significa que a adequação
ao RGPD é apenas o ponto de partida para uma vida de cumprimento
com a legalidade.
Posto isto, depois da adequação e implementação de medidas nas enti­
dades, cabe ao EPD (ou ao responsável pela proteção de dados), fiscalizar
se a atividade desenvolvida envolve o respetivo cumprimento da legisla­
ção, de forma a assegurar sempre uma situação de legalidade.
Tal fiscalização passa pela realização de auditorias periódicas, pela
realização de formações ou workshops (caso não tenham sido realizados
numa fase prévia ou, tendo sido, se se considerar útil ou necessário um
reforço de conhecimentos, por exemplo, por entretanto ter ocorrido
alguma alteração legislativa ou ter surgido alguma orientação nova por
parte da CNPD).
A realização de AIPD também é relevante nesta fase, se estiverem
verificadas as respetivas condições e requisitos (vide ponto 12 do pre­
sente capítulo). Diga-se ainda que, mesmo nos casos em que a AIPD não
seja obrigatória (cfr. artigo 35 º , nº 3 do RGPD, a contrario), a mesma é

103
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

aconselhável uma vez que é um grande indício de compliance, conside­


rando que se trata de uma avaliação em que se analisam forçosamente
os riscos das atividades de tratamento levadas a cabo. No entanto, mesmo
depois de realizadas as mesmas avaliações de impacto, sempre haverá
que averiguar se as operações de tratamento de dados são realizadas em
conformidade com a(s) AIPD, pelo menos quando haja uma alteração
dos riscos que as mesmas operações representam (cfr. artigo 35 º, nº 11
doRGPD).
A referida fiscalização passa também pela realização regular de testes
de identificação das vulnerabilidades de intrusão e acesso aos dados, que
permitam aferir se os mecanismos de prevenção são adequados e estão
plenamente operacionais (vide ponto 10 do presente capítulo).

9. A(s) auditoria(s) de conformidade


As auditorias de conformidade (com oRGPD e demais legislação aplicá­
vel) são realizadas na fase da fiscalização sucessiva ou pós-implementação,
no âmbito da prestação de um serviço de uma assessoria contínua e acon­
selhamento por parte do EPD (e eventualmente da equipa de auditores
de dados, responsável pelas fases 1 a 3) à entidade já adequada aoRGPD
(cfr. artigo 39 º, nº 1, al. b) doRGPD e artigo 11 º, al. a) da respetiva LNE).
Devem ser feitas de forma regular, sendo que a sua periodicidade irá
variar consoante vários fatores, desde logo: o risco existente nas ativida­
des de tratamento, a dimensão da estrutura da entidade, o número de
titulares de dados, as categorias de dados objeto de tratamento, o tipo de
operações de tratamento levadas a cabo, o valor da avença contratualiza­
da com o EPD, entre outros.
Entendemos necessário, pelo menos, uma auditoria anual, mas acon­
selhável, duas a três por ano, dependendo dos fatores supra enunciados.
As referidas auditorias irão pressupor, necessariamente, uma reunião
presencial (com todas ou algumas das pessoas que acompanharam a
auditoria inicial e a adequação) e uma visita às instalações, as quais pres­
supõem o levantamento de informação92, de forma a avaliar a situação
atual da entidade (à semelhança da primeira auditoria), mas tendo agora
em conta as medidas recomendadas e já implementadas, nomeadamente

92Assim, deverão ser disponibilizados e tornados acessíveis os documentos e informação rele­


vantes, à semelhança da primeira auditoria realizada na entidade.

104
IV. PÓS-ADEQUAÇÃO AO RGPD: O PAPEL E AS FUNÇÕES DO ENCARREGADO ...

analisar se foram bem implementadas e se são as mais adequadas, ou se


existe necessidade de novas recomendações.
Enunciamos alguns exemplos:
a) Em sede de adequação e implementação, pode ter sido recomen­
dado que apenas tivesse acesso à chave do armário onde se encon­
tra a documentação relativa a recursos humanos o respetivo diretor
desse departamento. No entanto, entretanto, em sede de auditoria
de conformidade, verificou-se que o referido diretor passava muito
tempo ausente do gabinete por realizar muitas entrevistas presen­
ciais, pelo que o colaborador encarregue do processamento salarial
necessitava de aguardar que o diretor estivesse no departamento
para lhe solicitar o acesso ao armário fechado à chave. Assim, por
ter necessidade e decorrer do âmbito das respetivas funções, en­
tende-se que será adequado e aconselhável haver duas chaves, até
para a eventualidade de uma das pessoas com acesso à documenta­
ção estar de férias ou ausente.
b) Outro caso poderá ser o da recomendação da criação de um en­
dereço de correio eletrónico próprio (ex: rh@nomedaentidade.
pt) para prestar e receber informações acerca de recrutamento na
empresa, divulgado no website, bem como receber curricula vitae a
título de candidaturas espontâneas, mas chegar-se à conclusão que
havia clientes ou potenciais clientes a solicitar informações para
este endereço, que nada tinham que ver com recrutamento, em
vez de as pedirem para o email geral da entidade. Então, para cum­
primento do princípio da minimização e das limitações de acesso,
decide-se não divulgar o endereço do recrutamento e criar um for­
mulário a preencher num espaço próprio do website, destinado ao
recrutamento, e determina-se que todas as candidaturas espontâ­
neas deverão ser submetidas como anexos ao mesmo formulário,
sendo que os pedidos recebidos desta forma serão redirecionados
para o endereço de correio eletrónico do recrutamento, ao qual
apenas terão acesso os responsáveis pelo recrutamento no seio da
organização, evitando assim que recebam ou tenham acesso a ou­
tro tipo de informação (e de dados).

Por vezes, as medidas sugeridas por quem analisa e adequa a enti­


dade nem sempre são as que melhor funcionam na prática, uma vez que a

105
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

respetiva implementação pode vir a revelar-se excessiva, desproporcio­


nada ou desadequada, afetando ou prejudicando o funcionamento do ne­
gócio. Isto porque, quem recomenda as medidas pode nem sempre ter a
sensibilidade para entender como serão aplicáveis. Estas situações devem
ser debatidas num momento pós-implementação e nestas auditorias de
conformidade, devendo o EPD ser naturalmente envolvido, trabalhando
todos em conjunto para encontrar medidas alternativas, que cumpram
com a legislação vigente em matéria de proteção de dados, mas que per­
mitam o normal funcionamento do negócio ou atividade desenvolvida
(ou que, pelo menos, não o prejudiquem).
Não poucas vezes, os responsáveis pelo tratamento oferecem alguma
resistência nestes procedimentos de mudança, cabendo ao EPD ou aos
auditores de dados agilizar da melhor forma a implementação dos mes­
mos, sensibilizando para a importância das alterações ou, em alguns
casos, substituir as medidas por outras, desde que se mantenha a con­
formidade.
Daí a importância da realização das auditorias de conformidade pe­
riodicamente, para se analisarem eventuais alterações de procedimentos
internos da entidade, novas contratações de colaboradores, prestadores
de serviços, fornecedores, alterações ao nível das instalações da entidade,
dos espaços de trabalho, de forma a garantir que não são potenciados
riscos para os titulares de dados.
As auditorias deverão culminar num relatório que, à semelhança do
relatório final de auditoria de adequação (vide ponto 14 do título C do
capítulo III) transpareça o que foi analisado no âmbito de realização da
mesma, bem como as medidas que foram implementadas desde a audi­
toria anterior e as que são recomendadas para implementação futura.
O mesmo relatório deverá forçosamente incluir também aspetos como: o
número de avaliações de impacto e consultas prévias realizadas; o resumo
de diligências da Autoridade de Controlo junto da empresa e os esfor­
ços desenvolvidos para implementar recomendações daquela entidade;
o número de pedidos de exercício de direitos por parte dos titulares de
dados; e o número de violações de dados ocorridas. Deverá ser transversal
aos vários aspetos relacionados com o tratamento de dados, que foram
analisados em sede de auditoria inicial (e.g. operações de tratamento de
dados de colaboradores, clientes, utilizadores de websites; relações com
fornecedores e parceiros; organização interna; medidas de informação,

106
IV. PÓS-ADEQUAÇÃO AO RGPD: O PAPEL E AS FUNÇÕES DO ENCARREGADO ...

comunicação e transparência, de apoio ao exercício dos direitos dos titu­


lares; cooperação com a Autoridade de Controlo; medidas de segurança
e privacidade implementadas, entre outras).
Estes relatórios servirão como exemplo do cumprimento das exigên­
cias vigentes nesta matéria e salvaguardarão a entidade responsável pelo
tratamento perante uma eventual fiscalização por parte da CNPD ou nos
casos de denúncia ou reclamação por parte de algum titular de dados, pelo
que, à semelhança do relatório final de auditoria de adequação, deverão
identificar plenamente a entidade alvo de auditoria, serão devidamente
datados (pelo menos mês e ano) e terão caráter confidencial, destinando­
-se apenas a um número restrito de pessoas dentro da organização (as
chefias, os responsáveis de departamento que deverão implementar as
medidas, o responsável pela proteção de dados interno, sem prejuízo de
haver outros colaboradores ou prestadores de serviços autorizados a con­
sultar o referido relatório, se for conveniente ou adequado).

10. A promoção de testes regulares de vulnerabilidades e a violação


da privacidade
Independentemente de se terem mantido as medidas de segurança ao
nível da privacidade, já existentes na entidade adequada, ou de se terem
implementado novos mecanismos ou procedimentos, releva a importân­
cia dos testes regulares de "intrusão", vulnerabilidades e de recuperação
de dados, que permitam verificar a eficiência das referidas medidas e ave­
riguar a eventual vulnerabilidade da entidade e os riscos existentes (cfr.
artigo 32º do RGPD).
Assim, devem ser implementados mecanismos de deteção de ameaças
na defesa perimétrica de sistemas que abranjam todos os dispositivos tec­
nológicos com acesso a dados pessoais. Exemplo disto será a realização
de testes de recuperação recorrentes aos backups, às .firewalls e antivírus,
acesso aos servidores, proxys, protocolos de segurança diversos, aos me­
canismos de DLP existentes, entre outros, de forma a analisar a respetiva
capacidade de impedir as violações de dados ou a de permitir a recupe­
ração dos mesmos, de forma atempada, em caso de perda. Serão verda­
deiros testes à capacidade de as medidas técnicas e organizativas imple­
mentadas ao nível da segurança assegurarem a confidencialidade, a in­
tegridade, a disponibilidade dos dados pessoais (em particular, aferir da
probabilidade de existência de destruição, perda ou alteração acidental

107
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

dos dados e de divulgação ou acesso indevido dos mesmos) e também à


resiliência permanente dos sistemas usados nos serviços de tratamento.
Estes testes fazem parte do processo de apreciação e avaliação da efi­
cácia das medidas existentes e deverá sempre ser tido em conta o risco
que resulta do tratamento de dados.
Apesar de serem as entidades responsáveis pelo tratamento ou sub­
contratantes que estão vinculadas a estas obrigações, ressalve-se a hipó­
tese - até mais comum - de estas medidas de avaliação poderem ser rea­
lizadas por entidades externas (designadamente na prestação de serviços
informáticos), contratadas para o efeito e com o respetivo know-how,
sendo que se deverá sempre assegurar que as mesmas atuam sob auto­
ridade da entidade responsável pelo tratamento de dados ou subcontra­
tante e seguindo as suas instruções (cfr. artigo 32º, nº 4 do RGPD).
Entendemos que todos os testes realizados, bem como outros proce­
dimentos e medidas, deverão ser sempre registados em relatórios (por
exemplo, nos relatórios de auditoria de conformidade) para efeito de
prova de compliance.

11. O parecer nas avaliações de impacto da proteção de dados


O RGPD estipula que o responsável pelo tratamento de dados tem o
ónus de implementar medidas e procedimentos eficazes na proteção dos
direitos e liberdades das pessoas singulares, de forma a mitigar elevados
riscos que sobre estas recaiam aquando do tratamento de dados pessoais
que leva a cabo.
Assim sendo, sempre que as operações de tratamento de dados pes­
soais que a entidade realize suscitem dúvidas quanto a saber se implicam
ou não um elevado risco para os direitos e liberdades das pessoas sin­
gulares, aquela deverá realizar uma AIPD, antes de iniciar o tratamento,
"a fim de avaliar a probabilidade ou gravidade particulares do elevado
risco, tendo em conta a natureza, o âmbito, o contexto e as finalidades do
tratamento e as fontes do risco" (cfr. Considerando 90 do RGPD).
A AIPD consiste num processo de análise que visa estabelecer e de­
monstrar conformidade, descrevendo o tratamento de dados realizado
por um responsável por tal tratamento e aferir da necessidade e propor­
cionalidade desse mesmo tratamento, permitindo assim diagnosticar
quais os riscos que dele possam advir, e bem ainda, quais as respetivas

108
IV. PÓS-ADEQUAÇÃO AO RGPD: O PAPEL E AS FUNÇÕES DO ENCARREGADO ...

consequências para os titulares dos dados93 • Através desta avaliação,


torna-se possível determinar, em função dos riscos verificados, as medi­
das necessárias para os mitigar e para atenuar o respetivo impacto nega­
tivo. Considera-se assim que, aAIPD é um processo destinado a estabele­
cer e demonstrar a conformidade das operações de tratamento de dados
com o RGPD, podendo ser realizada para este efeito, ainda que não seja
obrigatória em todos os casos.
O RGPD impôs àsAutoridades de Controlo o dever de elaborar e pu­
blicitar uma lista dos tipos de operações de tratamento de dados sujeitos
aAIPD, (cfr. artigo 35 º, nº 4 do RGPD), o que foi reforçado pela respetiva
LNE (cfr. artigo 6º, nº 1, al. c) da LNE). Por outro lado, tornou faculta­
tiva a elaboração de uma lista das operações de tratamento em relação
às quais não é necessária a realização de AIPD (cfr. artigo 35 º, nº 5 do
RGPD), sendo que a LNE também se refere a esta situação (cfr. artigo
7º , nº 1 da LNE). Em ambos os casos, as listas deverão ser publicadas no
website da CNPD (cfr. artigo 7º , nº 3 da LNE).
No entanto, até ao presente, a CNPD cumpriu apenas a primeira
hipótese (porque entendeu que não existe ainda experiência suficiente
na aplicação do RGPD para determinar de forma precisa o tipo de trata­
mento de dados não sujeito àquela avaliação), através do seu Regula­
mento nº 1/2018 relativo à lista94 de tratamento de dados pessoais sujeitos
aAIPD.
Assim, em Portugal, os casos em que AIPD é obrigatória95 ocorrem
quando a entidade responsável pelo tratamento (cfr. artigo 35 º, nº 3 do
RGPD e Regulamento da CNPD nº 1/2018):

93
O G29 entende que o responsável pelo tratamento deve gerir os riscos de forma regular,
identificando-os, analisando-os, estimando-os, avaliando-os e atenuando-os, não podendo
obstar-se à sua responsabilidade, cobrindo os mesmos riscos com apólices de seguro.
94
Ressalve-se que esta lista tem natureza normativa, uma vez que traduz a imposição por
via geral e abstrata do dever de realizar a AIPD. Tem também caráter dinâmico e exaustivo,
podendo ser alterada com a evolução científico-tecnológica e com a experiência adquirida na
aplicação do RGPD.
95
A sua não realização quando obrigatório (ou, no nosso entender, também a realização
da mesma de forma incorreta) pressupõe uma contraordenação, suscetível de aplicação de
uma coima até 10.000.000,00 euros ou, no caso de uma empresa, até 2% do seu volume de
negócios anual a nível mundial correspondente ao exercício financeiro anterior, consoante o
montante que for mais elevado (cfr. artigo 83º, nº 4, al. a) do RGPD e artigo 38º, nº 1, al. l) da
LNE).

109
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

1. Proceda a avaliações sistemáticas e completas dos aspetos pessoais


relacionados com pessoas singulares, baseadas no tratamento
automatizado de dados pessoais, incluindo definição de perfis, e
que levem à tomada de decisões. Ex: pedidos de crédito ou finan­
ciamento, práticas de recrutamento eletrónico ou avaliações de
desempenho, sem intervenção humana96 •
2. Realize operações de tratamento de categorias especiais de dados
em grande escala ou de dados pessoais relacionados com conde­
nações penais ou infrações. Ex: tratamento de dados de saúde de
pacientes num hospital97•
3. Introduza um sistema de controlo sistemático de zonas acessíveis
ao público em grande escala (nomeadamente se forem utilizados
mecanismos optoelectrónicos). Ex: um operador ferroviário que
pretende instalar sistemas de videovigilância em todas as suas es­
tações.
4. Proceda ao tratamento de informação decorrente da utilização de
dispositivos eletrónicos que transmitam dados pessoais relativos
à saúde, por redes de comunicação. Ex: sistema de informação
(software) de um hospital que trata dados genéticos e de saúde.
5. Proceda ao estabelecimento de interconexões de dados pessoais
ou realize uma operação de tratamento de categoriais especiais de
dados, dados pessoais relacionados com condenações penais ou
infrações, ou dados de natureza altamente pessoal. Ex: uma em­
presa que recolha dados públicos das redes sociais para elaborar
perfis.
6. Proceda ao tratamento de categorias especiais de dados, dados
pessoais relacionados com condenações penais ou infrações, ou
dados de natureza altamente pessoal, através da recolha indireta
dos mesmos, quando não seja possível ou exequível assegurar o di­
reito de informação nos termos do artigo 14 º, n º 5, al. b) do RGPD.
Ex: um investigador privado que mantenha informações acerca
dos autores das infrações.

96 Um dos riscos que poderá ocorrer neste tipo de tratamento e que deve ser alvo de AIPD é a
existência de eventuais efeitos discriminatórios.
97
Se o tratamento for feito por um determinado médico, profissional de saúde, ou mesmo um
advogado em prática isolada já não estará preenchido o conceito de "grande escala". Veja-se a
este propósito a nota de rodapé nº 78.

110
IV. PÓS-ADEQUAÇÃO AO RGPD: O PAPEL E AS FUNÇÕES DO ENCARREGADO ...

7. Proceda o tratamento de dados que pressuponha a criação de


perfis em grande escala. Ex: um Banco que faça controlo seletivo
dos seus clientes, a partir de uma base de dados de referências de
crédito bancário, com vista a decidir se lhes concede ou não um
empréstimo.
8. Realize um tratamento que permita rastrear a localização ou os
comportamentos dos respetivos titulares (trabalhadores, clien­
tes ou apenas transeuntes), que tenha como efeito a avaliação ou
classificação destes, exceto quando tal for indispensável para a
prestação de serviços requeridos especificamente pelos mesmos.
Ex: uma empresa que desenvolva perfis comportamentais ou pu­
blicitários baseados na utilização ou navegação no seu website; uma
empresa que controle as atividades dos trabalhadores, incluindo o
controlo dos computadores e atividade na internet.
9. Proceda ao tratamento de categoriais especiais de dados, dados
pessoais relacionados com condenações penais ou infrações, ou
dados de natureza altamente pessoal para finalidades de arqui­
vo de interesse público, investigação científica e histórica ou fins
estatísticos, exceto se os tratamentos forem regulados legalmen­
te e apresentem garantias adequadas aos direitos dos titulares.
Ex: conservação para fins de arquivo de investigação científica de
dados pessoais sensíveis de pessoas que tenham participado num
ensaio clínico.
10. Trate dados biométricos para identificação de titulares vulnerá­
veis98 ou dados genéticos destes, exceto se os tratamentos forem
regulados por lei que tenha sido precedida de uma AIPD. Ex: re­
gisto de assiduidade numa entidade em que os colaboradores são
portadores de deficiência; uma empresa de biotécnica que ofereça
testes genéticos diretamente aos seus clientes para avaliar e prever
riscos de doença ou para fins de saúde.
11. Proceda ao tratamento de categoriais especiais de dados, dados
pessoais relacionados com condenações penais ou infrações, ou

98
Exemplos de titulares de dados vulneráveis serão as crianças, os idosos, os requerentes de
asilo, as pessoas doentes e os portadores de deficiência física ou mental, e inclusivamente os
colaboradores, uma vez que poderá ser identificado um desequilíbrio na relação entre a posi­
ção destes e o responsável pelo tratamento.

111
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

dados de natureza altamente pessoal com utilização de novas


tecnologias (ou novas utilizações de tecnologias existentes) nas
operações de tratamento de dados. Ex: utilização de um sistema
de câmaras integradas num sistema inteligente de análise atra­
vés de vídeo para controlar o comportamento dos condutores nas
autoestradas, que permita selecionar veículos específicos e reco­
nhecer automaticamente as matrículas.

Se existir um conjunto de operações de tratamento que apresenta ris­


cos elevados semelhantes, pode ser analisado numa única avaliação.
A LNE veio prever a dispensa de realização de avaliações de impacto
nos casos em que a entidade tenha obtido autorização na CNPD antes
de 25 de maio de 2018, ao abrigo da Lei de Proteção de Dados então em
vigor (cfr. artigo 60º, nº 4, 2ª parte), por se entender que já existiu uma
análise e um controlo prévio por parte daquela entidade em relação às
operações de tratamento levadas a cabo.
O responsável pelo tratamento deverá servir-se destas avaliações para
demonstrar o bom cumprimento do seu dever de proteção de dados pes­
soais, obrigando-se a solicitar a opinião dos titulares dos dados pessoais
ou o parecer da CNPD sempre que necessário (cfr. artigos 35º, nº 9 e 36º,
nº 1 do RGPD). Para o efeito deverá guiar-se por procedimentos transpa­
rentes e eficazes:
1. Efetuar uma descrição sistemática das operações de tratamento e
das finalidades subjacentes;
2. Avaliar a necessidade e a proporcionalidade das operações de pro­
cessamento;
3. Identificar, gerir e avaliar os riscos (na sua natureza, origem, par­
ticularidade e gravidade) que advêm para os direitos e liberdades
dos titulares dos dados pessoais;
4. Identificar os mecanismos de segurança e controlo existentes;
5. Desenvolver medidas de mitigação de riscos99;
6. Identificar a periodicidade de realização das AIPD;
7. Verificar se a CNPD deve ser previamente consultada;

99
A certificação em gestão de risco, conferida pela norma ISO 31.000:2009 poderá ser um
bom indício de conformidade nestes termos.

112
IV. PÓS-ADEQUAÇÃO AO RGPD: O PAPEL E AS FUNÇÕES DO ENCARREGADO ...

8. Determinar quando será necessária a assistência de um subcontra­


tante para assegurar o cumprimento das obrigações decorrentes
da realização de avaliações do impacto (cfr. artigo 28º, nº 3, al. f)
doRGPD);
9. Documentar todo o processo;
10. Assegurar o controlo e reexame das medidas tomadas.

Para uma sistematização do que foi referido, consulte-se a check-list


sugerida pelo G29 (Anexo XV) e o modelo complementar a esta (Anexo
XVI), sendo os dois últimos, exemplos de metodologias e formas de do­
cumentação a seguir na realização da AIPD.
Em relação ao papel do EPD no âmbito da AIPD, diga-se que aquele
não as pode realizar, uma vez que o seu papel é de fiscalização, mas emite
parecer (artigo 35 º, nº 2 doRGPD). Pode, contudo, auxiliar, fazendo uma
análise prévia da situação da entidade, uma vez que a AIPD pressupõe,
necessariamente, que estejam reunidas as condições de licitude do trata­
mento. No entanto, apesar da mesma licitude, pode haver risco. O EPD
pode igualmente controlar a realização da AIPD. Poderá haver casos em
que as operações de tratamento de dados configuram uma das situações
supra descritas (ou semelhantes) e a entidade responsável pelo trata­
mento entenda que as mesmas não são suscetíveis de conter um elevado
risco. Nestes casos, deve a mesma justificar e documentar as razões que a
levam a não realizar uma AIPD, incluindo a opinião do EPD em relação
ao assunto.
Ressalve-se que quando a AIPD revelar que do tratamento objeto de
análise resultaria um elevado risco, o responsável pelo tratamento deve
consultar previamente a CNPD no sentido de averiguar se poderá reali­
zar as operações em questão100• O momento para a realização da consulta
prévia é depois da AIPD e antes do início do tratamento. É neste sentido
que o EPD poderá também dar o seu contributo como ponto de contacto
com a Autoridade de Controlo (artigos 36 º e 39º, nº 1, al. e) doRGPD).

100
Isto acontece quando da avaliação de impacto resulte a verificação da falta de garantias e
de medidas e procedimentos de segurança para atenuar os elevados riscos que o tratamento
implica para os direitos e liberdades das pessoas singulares e o responsável pelo tratamento
considere que o risco não poderá ser atenuado através de medidas razoáveis, atendendo à
tecnologia disponível e aos custos de aplicação.

113
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

A AIPD é um processo contínuo e não um exercício ocasional, uma


vez que as próprias operações de tratamento de dados são dinâmicas e
estão sujeitas a constantes mudanças.

12. A comunicação de violações de dados pessoais


A) À Autoridade de Controlo (CNPD)
Na eventualidade de ocorrer algum incidente de violação de dados pes­
soais (data breach) que cause um risco101 para os direitos, liberdades e
interesses fundamentais dos seus titulares, o responsável pelo tratamento
está obrigado a informar a CNPD da ocorrência, sem demora justifi­
cada102 e num prazo máximo de 72 horas, sob pena de ter de justificar os
motivos do atraso (cfr. artigo 33º, nº 1 do RGPD).
Nos casos em que os subcontratantes dos responsáveis pelo tratamento
tenham conhecimento de eventuais ocorrências de incidentes de viola­
ção de dados pessoais, estão obrigados a notificá-los logo após conheci­
mento de facto. Mas não estão obrigados a avaliar o risco, pois essa função
cabe aos responsáveis pelo tratamento. Todavia, podem os responsáveis
pelo tratamento e os subcontratantes acordar que sejam estes últimos a
notificar a CNPD, caso tenham, em primeira linha, conhecimento destas
violações, nomeadamente pelo facto de lhes serem imputáveis, de terem
ocorrido no seu estabelecimento ou, caso envolvam os seus colabora­
dores, nos termos do contrato de balizamento de responsabilidades que
devem celebrar conforme o disposto no artigo 28º, nº 3 do RGPD 103.
Nos casos em que haja EPD nomeado ou responsável pela proteção
de dados, poderá ser este a realizar a notificação em nome da entidade.

101
O critério da existência de risco é fundamental para determinar se a notificação deve ou não
ocorrer, sendo que o texto do artigo 33º, nº 1 do RGPD ressalva expressamente os casos em
que este não ocorre: "a menos que a violação dos dados pessoais não seja suscetível de resultar
num risco para os direitos e liberdades das pessoas singulares". Note-se que poderão ocorrer
casos de violações de dados em que não exista este risco, nomeadamente pelo facto de os da­
dos objeto da violação estarem anonimizados, ou por serem dados de conhecimento público,
ou mesmo por terem sido recuperados em tempo útil, não chegando a haver risco real.
102
Para comprovar que a notificação foi enviada sem demora injustificada importa ter em con­
sideração, em especial, a natureza e a gravidade da violação dos dados pessoais, as respetivas
consequências e os efeitos adversos para o titular dos dados.
103
No entanto, este acordo valerá apenas para efeitos de atribuição de responsabilidades inter­
partes, uma vez que a obrigação de notificação será sempre do responsável pelo tratamento.

114
IV. PÓS-ADEQUAÇÃO AO RGPD: O PAPEL E AS FUNÇÕES DO ENCARREGADO ...

A notificação de violação de dados poderá resultar numa intervenção


da CNPD em conformidade com as suas funções e competências (cfr.
artigos 57º e 58º do RGPD e artigo 6 º da respetiva LNE), nomeadamente
para solicitação de esclarecimentos em relação à situação ocorrida, de
envio de relatórios, de emissão de orientações ou mesmo, eventualmente,
de fiscalizações. Desta forma, envolverá a cooperação por parte dos res­
ponsáveis pelo tratamento, do EPD e, eventualmente, dos subcontra­
tantes com quem os primeiro se relacionem. Por sua vez, estes subcontra­
tantes também podem solicitar àquela entidade pareceres e orientações
para os casos em análise.
A notificação propriamente dita faz-se através do preenchimento de
formulário disponível no website da CNPD: https://www.cnpd.pt/bin/
notifica_rgpd/data_breach.htm, sendo que existe um outro formulário
no qual é permitido alterar uma notificação anteriormente submetida
(por exemplo nos casos em que não seja possível fornecer todas as infor­
mações ao mesmo tempo e estas sejam fornecidas por fases - artigo 33º,
nº 4 do RGPD).
O EPD, o responsável pela proteção de dados ou a pessoa que for
encarregada de preencher o referido formulário deverá recolher pre­
viamente as informações do incidente junto de quem esteja mais apto
para as fornecer dentro da entidade. Deverá então preencher os seguin­
tes campos do formulário:
1. Dados da entidade: identificar a entidade que sofreu a violação
de dados pessoais (dados de identificação e setor de atividade em
que atua);
2. Dados de contacto: comunicar o nome e os contactos do EPD ou
de outro ponto de contacto onde possam ser obtidas mais infor­
mações;
3. Informações sobre a violação de dados:
a) Relatar detalhadamente a violação dos dados ocorrida, com
informação da data e da hora em que ocorreu e cessou, da data
em que se teve conhecimento da mesma e a forma como foi
identificada (e.g. furto de um portátil com ficheiros de bases
de dados);
b) Informar dos motivos de atraso na notificação, quando ocorrer
(ex: o furto ocorreu a uma sexta feira ao final do dia e o comer­
cial só informou a administração do sucedido na segunda feira
seguinte);

115
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

c) Identificar o tipo, a natureza e a causa da violação e a forma


como foi identificada (ex: confidencialidade de dados; equipa­
mento perdido ou furtado; ato externo malicioso; comunicação
de furto);
4. Consequências da violação de dados: descrever as consequências
prováveis da violação de dados pessoais ao nível da integridade, da
confidencialidade e da disponibilidade dos dados pessoais;
5. Dados pessoais envolvidos: identificar o tipo de dados pessoais
envolvidos (ex: dados de identificação, dados de faturação, dados
de contactos, dados de saúde) e, se possível, indicar o número
aproximado de titulares de dados afetados;
6. Titulares dos dados: indicar as categorias de titulares de dados afe­
tados (ex: colaboradores, clientes, titulares especialmente vulne­
ráveis);
7. Informação aos titulares dos dados: referir se os titulares de dados
foram informados da violação e, em caso afirmativo, quantos titu­
lares foram contactados, em que data, de que forma e qual a men­
sagem enviada;
8. Medidas preventivas/corretivas: descrever as medidas preventi­
vas (ex: câmaras de vigilância instaladas no local) e corretivas (ex:
queixa-crime junto das autoridades policiais; bloqueio do acesso
aos endereços de correio eletrónico e ao ERP a que se acedia atra­
vés do computador furtado), adotadas ou propostas pelo respon­
sável pelo tratamento para reparar a violação de dados pessoais,
inclusive, se for caso disso, medidas para atenuar os seus eventuais
efeitos negativos;
9. Tratamentos transfronteiriços: informar se há tratamento trans­
fronteiriço de dados pessoais e, em caso afirmativo, quais os países
com titulares afetados e quais os procedimentos de notificação a
outras entidades de controlo dentro ou fora da União Europeia.

B) Aos titulares dos dados pessoais


Nem todas as violações de dados pessoas pressupõem a necessidade de
informar os respetivos titulares de dados pessoais.
Os titulares dos dados violados serão informados, "sem demora injus­
tificada", quando o incidente represente "elevado risco" para os seus
direitos, liberdades e interesses fundamentais (cfr. artigo 34º, nº 1 do

116
IV. PÓS-ADEQUAÇÃO AO RGPD: O PAPEL E AS FUNÇÕES DO ENCARREGADO ...

RGPD). A comunicação deverá descrever a natureza da violação dos


dados pessoais e dirigir recomendações à pessoa singular em causa, para
atenuar potenciais efeitos adversos.
A informação deverá ser prestada logo que seja razoavelmente pos­
sível104, em cooperação com a CNPD e em cumprimento das orientações
fornecidas por esta ou por outras autoridades competentes (e.g. autori­
dades policiais), de forma escrita, em linguagem clara e de fácil com­
preensão, que informe:
1. Do nome e dos contactos da pessoa responsável dentro da empresa
e/ou do EPD para que possam ser solicitadas mais informações;
2. Das consequências prováveis da violação ocorrida;
3. Das medidas adotadas ou propostas para reparar a violação dos
dados pessoais e, se for caso disso, das medidas utilizadas para
atenuar os seus eventuais efeitos negativos. A título de exemplo:
a) Da capacidade da entidade para assegurar a confidencialidade,
integridade, disponibilidade e resiliência permanentes dos sis­
temas e dos serviços de tratamento de dados;
b) Da capacidade de restabelecer a disponibilidade e o acesso aos
dados pessoais de forma atempada, no caso de um incidente
físico ou técnico;
c) Do processo para testar, apreciar e avaliar regularmente a efi­
cácia das medidas técnicas e organizativas para garantir a segu­
rança do tratamento.

Esta obrigação de informação não é aplicável em determinados casos,


nomeadamente se:
• Já existirem previamente ou forem subsequentemente aplicadas aos
dados pessoais objeto da violação, medidas técnicas e organizativas
suficientes e adequadas à tutela dos respetivos titulares (ex: medi­
das como a cifragem ou outras que tornem os dados incompreen­
síveis para qualquer pessoa não autorizada a aceder aos mesmos),
impedindo que se concretize o elevando risco para os titulares;
• A mesma implicar um esforço desproporcionado para a enti­
dade responsável pelo tratamento, nomeadamente por existir um
104Há que aferir casuisticamente o que é "razoavelmente possível", uma vez que pode ocorrer
a necessidade de atenuar um risco imediato de prejuízo, o que exigirá uma pronta comuni­
cação aos titulares dos dados.

117
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

elevando número de titulares. Neste caso, dever-se-á proceder a


uma comunicação pública para o efeito, que garanta a mesma eficá­
cia da informação.

Ainda que o responsável pelo tratamento não tenha comunicado a


violação dos dados pessoais aos respetivos titulares, a CNPD pode consi­
derar que existe probabilidade de a violação resultar num elevado risco e
exigir-lhe que proceda a essa notificação (cfr. artigo 34 º, n º 4 do RGPD).
Uma sugestão de boas práticas é que sejam implementados mecanis­
mos e procedimentos céleres e eficientes de comunicação, de forma a
serem cumpridos os prazos legalmente estabelecidos para as notificações
(vide ponto 6 do presente capítulo).
Para além disso, e apesar do formulário de notificação preenchido no
website da CNPD, deverá ser realizado um relatório que documente de
uma forma mais exaustiva e detalhada as violações que ocorram, os factos
relacionados com as mesmas, os respetivos efeitos e as medidas de repa­
ração adotadas face à necessidade de reparação dos danos presentes e
de mitigação de danos futuros (cfr. artigo 33º, nº 5 do RGPD). O mesmo
poderá incluir anexos, como o próprio formulário de notificação e a cópia
do auto de denúncia às autoridades policiais (se a violação em causa con­
substanciar a prática de um crime).
Ressalve-se que estas obrigações de informação e comunicação, quer à
Autoridade de Controlo, que aos titulares de dados pessoais é do respon­
sável pelo tratamento (cfr. artigos 33º, nº 1 e 34º, nº 1 do RGPD), sendo
que poderá servir-se do EPD nomeado para o efeito. Poderá haver casos
de violações de dados em que a entidade visada opte por não comunicar
a violação à CNPD. Poder-se-ia levantar a questão de o EPD estar obri­
gado a proceder à notificação, tanto àquela entidade como aos titulares.
Entendemos que não existe esse dever, pois o EPD está obrigado a man­
ter o sigilo e a confidencialidade (cfr. artigo 38º, nº 5 do RGPD). Assim,
como dever da própria salvaguarda, o EPD deverá dar o seu parecer e
fazer o mesmo constar em ata ou em outra forma de documentação.
Se não forem adotadas medidas adequadas e oportunas, a violação
de dados pessoais pode causar danos variados (físicos, materiais ou ima­
teriais) às pessoas singulares, traduzidos em desvantagens económicas
ou sociais significativas. Exemplos disso são: a perda de controlo sobre
os próprios dados pessoais; a limitação dos seus direitos; situações de

118
IV. PÓS-ADEQUAÇÃO AO RGPD: O PAPEL E AS FUNÇÕES DO ENCARREGADO ...

discriminação; o roubo ou a usurpação da identidade; perdas financeiras;


danos para a honra ou a reputação; a perda de confidencialidade de dados
pessoais protegidos por sigilo profissional, entre outros.
As entidades, ao estabelecerem regras pormenorizadas relativamente
ao formato e aos procedimentos aplicáveis à notificação das violações de
dados pessoais, deverão ter devidamente em conta as circunstâncias do
data breach, nomeadamente a existência ou não de proteção dos dados
pessoais através de medidas técnicas adequadas para reduzir eficazmente
a probabilidade de usurpação da identidade ou outras formas de utiliza­
ção abusiva. Além disso, tais regras e procedimentos deverão ter em con­
ta os legítimos interesses das autoridades policiais, nos casos em que a
divulgação precoce de informações possa dificultar desnecessariamente
a investigação das circunstâncias da violação105•

105
Assim, a título de exemplo, será de evitar a comunicação pública aos titulares de dados,
se estiver a decorrer a fase de inquérito de um processo-crime, de forma a evitar alertar os
suspeitos, quando isso possa prejudicar a investigação.

119
V. Anexos
Anexo 1
CARATERIZAÇÃO DA ENTIDADE A AUDITAR

Entidade (denominação/firma completa): _____________

Marca(s) ou denominação(ões) comercial(ais): ___________

Número de trabalhadores: ------

Número de prestadores de serviços similares a trabalhadores (com relação de


colaboração muito estreita): ______

Número aproximado de fornecedores, subcontratados e/ ou prestadores de


serviços externos que por qualquer razão tenham acesso a dados pessoais
(exemplos: empresas de assessoria informática, marketing digital, processamento
salarial, contabilidade, etc.): ______

A faturação é interna ou externa? ___________

A contabilidade é interna ou externa? ----------

O processamento salarial é interno ou externo? ____________


A assessoria informática é interna ou externa? ------------

Caracterização do tipo de negócio: maioritariamente Business to Business (B2B)


ou Business to Consumer (B2C)? _____________

Existe tratamento de dados pessoais após a prestação do serviço "principal"


quando haja tratamento de dados de clientes/consumidores finais (por exemplo:

123
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

se após a venda o cliente é contactado ou recebe algo da entidade por qualquer


razão)? Qual/Quais? ____________________

Endereço(s) do(s) website(s): ________________

Realiza vendas online? -------

Possui aplicações para sistemas operativos móveis (ex: Android, iOS)?


Qual/ Quais?

Tem aplicações informáticas locais próprias? Para que efeito? _______

Promove videovigilância? Em que zonas? ______________

Recolhe dados biométricos? De quem e para que efeito? ________

Número de estabelecimentos em Portugal: ________

Localização dos estabelecimentos comerciais (localidades): _______

124
Anexo li
GUIA DA AUDITORIA INICIAL EM PROTEÇÃO DE DADOS

Data:
Entrevistado(s):

INFORMAÇÕES GERAIS:
Entidade:
NIPC:
Atividade:
Data de início de atividade:
Sede:
Contactos:
Website:

ESTRUTURA ORGANIZACIONAL
- Departamentos?
- Departamentos com acesso a dados pessoais?
• Colaboradores
• Clientes
• Prestadores de serviços e parceiros
- Quais as pessoas, dentro de cada departamento, com acesso a dados pessoais?
- Quais dados pessoais? Categorias especiais de dados? Dados de condenações
penais e infrações? Dados sensíveis?

CLIENTES
- Empresas ou particulares/em nome individual?
- Momentos de recolha de dados?

125
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

- Ficha de cliente? Dados? Onde são guardadas?


- Base de dados? Física? Digital?
- Quem acede a esta base de dados? Precisa?

MARKETING e PUBLICIDADE
- Fazem?
- Por que meio? Newsletters? SMS?
- Fazem profiling?

INFORMÁTICA
1. ERP
- Qual?
- Módulos?
- Acessos?

2. Servidor
- Conteúdo? Dados Pessoais?
- Localização? Fechado? Trancado?
- Acessos? Locais? Remotos?
- Pastas partilhadas? Conteúdo?

3. Endereços de correio eletrónico


- Geral? Quem acede? Precisa? Protegido por password? Definições de Segu­
rança?
- Outros onde entrem dados pessoais? Quem acede? Precisa? Protegidos
por password?
- Partilha de acessos ao mesmo endereço? Por que motivo?

4. Telemóveis profissionais
- Existe política/regulamento de utilização destes equipamentos?
- Colaboradores levam-nos para casa?
- Utilizados para fins pessoais?
- Acesso aos emails profissionais?
- Aplicações com acesso a dados pessoais?

5. Computadores da empresa
- Fixos? Portáteis?

126
V. ANEXOS

- Protegidos por password? Partilha de acessos à mesma password? Por que


motivo?
- Existe política/regulamento de utilização destes equipamentos?
- Colaboradores levam-nos para casa?
- Utilizados para fins pessoais?

6. Impressoras
- Controlo de acessos/impressões? Realizados por quem?

CONTABILIDADE (Geral+ Processamento Salarial)


- Interno ou prestado por uma empresa externa? Em caso de entidade externa,
existe contrato escrito com serviço com balizamento de responsabilidades?
- A que dados pessoais têm acesso? Clientes? Colaboradores? Prestadores de
Serviço?
- De que forma são enviados recibos de vencimento aos trabalhadores?
- Qual o software utilizado? Quem acede? Precisa? Quais os níveis de acesso?
- O arquivo é físico e/ou digital?
- Como é mantido o arquivo digital? Durante quanto tempo conservam a infor-
mação neste arquivo?
- Onde é mantido o arquivo físico/escrituração? Durante quanto tempo con­
servam os documentos? Fechado? Trancado? Quem tem a chave? Onde é
guardada a chave?
- Transferem alguns dados pessoais para outras entidades/terceiros (ex: ROC)?
- Existe troca de emails (envio de faturas)? São enviados dados pessoais por
email?
- Quais as medidas de segurança adotadas para prevenir violação de dados
pessoais?

LABORALeRH
1. Geral
- Quantos trabalhadores existem?
- Têm contratos de trabalho escritos e/ou verbais?
- Os contratos têm cláusula informativa sobre proteção de dados pessoais?
- Quais os dados recolhidos para elaboração do contrato de trabalho?
- Existem consentimentos fornecidos? Válidos?
- Recibos verdes?

127
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

2. Colaboradores com acesso a dados pessoais


- Quais os colaboradores?
Quais os dados?
Onde estão guardados?
Com que finalidade?
Todos precisam de ter acesso?
Quanto tempo conservam os dados?
Foi dada formação sobre dados pessoais a estes trabalhadores?

3. Arquivo físico
- Composto pelo quê? Pastas?
- Localizado?
- Fechado?
- Trancado?
- Quem tem acesso à chave?
- Onde é que guardam a chave?
- Quem tem acesso à informação?
- Quem precisa de ter acesso?
- Como eliminam a informação? Trituradoras?

4. Arquivo digital
- Onde está situado? Plataforma? Servidor? ERP?
- Quem tem acesso? Restrição através da definição de perfis/utilizador
(informação limitada consoante os perfis)?
- Quem necessita de ter acesso?
- Tipo de autenticação/palavra-passe?

5. Aquivo morto
- Onde é que guardam?
- Quem acede?
- Qual a data da pasta mais antiga?

6. Elementos de recolha de dados


- Ficha de inscrição?
- Ficha de admissão?
- Contratos de trabalho?

128
V. ANEXOS

7. Recrutamento
- Realizado internamente ou por entidade externa contratada?
- Como é feito? Por anúncio? Medidas do IEFP?
- Existem procedimentos de recrutamento abertos?
- São recebidas candidaturas espontâneas? Se sim, como?
- Candidaturas em mão? Quem recebe? Quem acede à informação? Precisa?
Qual o fim que lhes é dado?
- Candidaturas via email? Qual o email? Quem acede? Mantêm no email?
Imprimem? Eliminam ou guardam?
- Candidatura pelo website (formulário)? Remete para qual email? Quem
acede?
- Quais os dados pessoais recolhidos?
- Existem consentimentos fornecidos? Válidos?
- Existe algum mecanismo de retirada de consentimento instituído?
- São fornecidas as informações ao candidato sobre direitos enquanto titular
de dados?
- São controlados os prazos de conservação de dados obtidos no recruta­
mento?

8. Registo de ponto
- Livro de ponto?
- Cartão de colaborador? Dados recolhidos?
- Recolha de dados biométricos (impressão digital, reconhecimento facial, íris
ocular)? Que entidade fornece o sistema? Essa entidade presta assistência
técnica? Quem acede à informação registada pelo sistema? Por quanto
tempo mantêm essa informação?
- Imprimem informação?
- Quando o vínculo laboral cessa tornam o colaborador inativo no sistema?
Apagam os dados biométricos?

9. Políticas e procedimentos internos


- Têm regulamento interno ou código de conduta?
- Têm alguma política de proteção de dados pessoais?
- Manual de acolhimento?
- Outro tipo de políticas internas?
- Mapas laborais? Afixados onde?

129
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

10. Saúde, higiene e segurança no trabalho


- Assegurado internamente ou por uma empresa externa? Existe contrato
escrito com serviço com balizamento de responsabilidades?
Onde se realizam as consultas?
O arquivo é físico e/ou digital?
Onde é que se encontra o arquivo? - Fechado? - Trancado?
Quem é que acede ao arquivo? Quem precisa de aceder?
Quem possui a chave? Onde é que é guardada?
Quais os dados tratados? Dados de saúde? Exames médicos? Outros dados
sensíveis?
- Durante quanto tempo conservam os dados recolhidos?

11. Acidentes de trabalho


- Procedimentos internos?
- Seguro de acidentes de trabalho?
- Quem faz as comunicações à seguradora?
- Como é que são feitas as comunicações? Plataforma própria? Email? Carta?
- Quem mais acede a esta informação?
- Arquivo?

12. Outros seguros


- Quais?
- Que dados são enviados às seguradoras? Categorias especiais de dados?
- Procedimentos internos?
- Como é que são feitas as comunicações? Plataforma própria? Email? Carta?
- Existe contrato escrito com serviço com balizamento de responsabili-
dades?

13. Sistema de videovigilância


- Onde é que se encontram as câmaras?
- Foi pedida autorização da CNPD ao abrigo da Lei de Proteção de Dados?
- Qual a empresa que forneceu o sistema? Presta assistência? Acede às ima-
gens?
- Quem acede às imagens em tempo real? Precisa?
- Quem acede às imagens registadas? Precisa?
- Guardam as imagens por quanto tempo?

130
V. ANEXOS

14. Procedimentos disciplinares


- Qual o procedimento adotado?
- A quem e por quem é transmitida a informação?
- Onde é que arquivam? Fechado? Trancado? Acesso à chave?

15. Avaliação de desempenho


- Como é que procedem? Que programas usam?
- Recorrem a procedimentos automatizados? Fazem profiling?

16. Formação profissional


- Entidade externa?
- Que dados dos colaboradores são recolhidos?

17. Cartões de identificação dos colaboradores


- Usam?
- Que dados recolhem: foto? Nome? Nº de colaborador?

18. Carros da empresa


- Geolocalização?
- Política/regulamento de utilização de veículo?
- Veículos de entrega levam fichas ou outra informação a nível de dados
pessoais dos clientes (ex: fatura, moradas, etc.)?

PRESTADORES DE SERVIÇOS
- Limpeza? Interna ou externa? Sendo externa, têm chave? Acedem às insta-
lações na ausência de colaboradores?
- Transportadoras?
- Bancos?
- Consultoras?
- Outros? Quais?

DESCRIÇÃO DA VISITA ÀS INSTALAÇÕES

131
Anexo Ili
ÍNDICE DA POLÍTICA DE PRIVACIDADE E TRATAMENTO DE DADOS PESSOAIS

ÍNDICE
I. QUALIDADE DA ENTIDADE NOS TERMOS DO RGPD:
A. ENQUANTO RESPONSÁVEL PELO TRATAMENTO DE DADOS
B. ENQUANTO SUBCONTRATANTE

II. SOBRE OS DADOS PESSOAIS E O SEU TRATAMENTO:


A. IDENTIFICAR DADOS PESSOAIS E OPERAÇÕES DE TRATA­
MENTO
- DADOS PESSOAIS
- OPERAÇÃO DE TRATAMENTO DE DADOS PESSOAIS
- TRATAMENTO QUE NÃO EXIGE IDENTIFICAÇÃO
- DECISÕES BASEADAS EM TRATAMENTO AUTOMATIZADO
DE DADOS
B. FUNDAMENTO DO TRATAMENTO
- A EXECUÇÃO DE UM CONTRATO NO QUAL O TITULAR
É PARTE OU DILIGÊNCIAS PRÉ-CONTRATUAIS A PEDIDO
DO MESMO
- A NECESSIDADE DE CUMPRIMENTO DE UMA OBRIGAÇÃO
JURÍDICA
- A EXISTÊNCIA DE UMA FINALIDADE COMPATÍVEL COM
AQUELA PARA A QUAL OS DADOS FORAM INICIALMENTE
RECOLHIDOS
- A EXISTÊNCIA DE INTERESSES LEGÍTIMOS PROSSEGUIDOS
PELO RESPONSÁVEL PELO TRATAMENTO DE DADOS OU
POR OUTREM
- O CONSENTIMENTO

133
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

C. DURAÇÃO E FINALIDADE DO TRATAMENTO


D. CATEGORIAS DE DADOS PESSOAIS

III. DADOS PESSOAIS NA ESTRUTURA EMPRESARIAL:


A. DADOS PESSOAIS DOS COLABORADORES
- NO ÂMBITO DE RECRUTAMENTO E CONTRATAÇÃO
- NO CUMPRIMENTO DE OBRIGAÇÕES LEGAIS
- NO ÂMBITO DA GESTÃO DOS SERVIÇOS DE SEGURANÇA,
HIGIENE E SAÚDE NO TRABALHO
- NO SEGUIMENTO DA BOA GESTÃO DOS RECURSOS HUMA­
NOS E DA RELAÇÃO CONTRATUAL
- PRAZOS LEGAIS DE CONSERVAÇÃO DE DADOS PESSOAIS
EM CONTEXTO LABORAL
B. DADOS PESSOAIS DE PRESTADORES DE SERVIÇOS
- PRAZOS LEGAIS DE CONSERVAÇÃO DE DADOS PESSOAIS
EM CONTEXTO DE CONTRATAÇÃO DE PRESTADORES DE
SERVIÇOS
C. DADOS PESSOAIS DE CLIENTES
- PRAZOS DE CONSERVAÇÃO EM SEDE DE SERVIÇOS PRES­
TADOS A CLIENTES
D. DADOS PESSOAIS DE UTILIZADORES
- UTILIZAÇÃO DO WEBSITE
- COMUNICAÇÕES VOLUNTÁRIAS DE TITULARES DE DA-
DOS PESSOAIS
- PRAZOS DE CONSERVAÇÃO EM FUNÇÃO DE DADOS RECO­
LHIDOS ATRAVÉS DO WEBSITE
E. SISTEMA DE VIDEOVIGILÂNCIA

IV. PARCEIROS E PRESTADORES DE SERVIÇOS

V. PRINCÍPIOS QUE VINCULAM O TRATAMENTO DE DADOS PESSOAIS:


- PRINCÍPIO DA LICITUDE
- PRINCÍPIO DA TRANSPARÊNCIA
- PRINCÍPIO DA LIMITAÇÃO DAS FINALIDADES
- PRINCÍPIO DA MINIMIZAÇÃO DOS DADOS E DA LIMITAÇÃO
DO SEU TRATAMENTO

134
V. ANEXOS

- PRINCÍPIO DA EXATIDÃO, DA INTEGRIDADE E DA LEALDADE


DOS DADOS
- PRINCÍPIO DA CONFIDENCIALIDADE

VI. DIREITOS DOS TITULARES DOS DADOS PESSOAIS:


A. TIPOS DE DIREITOS E LIMITAÇÕES
- DIREITO DE ACESSO
- DIREITO DE RETIFICAÇÃO
- DIREITO À LIMITAÇÃO E AO APAGAMENTO (DIREITO A
SER ESQUECIDO)
- DIREITO DE PORTABILIDADE
- DIREITO DE OPOSIÇÃO
- LIMITAÇÕES AOS DIREITOS
B. TUTELA DOS DIREITOS DO TITULAR
C. OBRIGAÇÃO DE INFORMAÇÃO
D. RESPONSABILIDADE CML

VII. TRANSFERÊNCIA DE DADOS PESSOAIS:


A. COOPERAÇÃO DE PARCEIROS
B. TRANSFERÊNCIA DE DADOS PARA PAÍSES TERCEIROS

VIII. CONFIDENCIALIDADE DO TRATAMENTO

IX. AVALIAÇÃO DE IMPACTO PARA A PROTEÇÃO DE DADOS ("AIPD")

X. VIOLAÇÃO DE DADOS PESSOAIS:


A. OBRIGAÇÃO DE REPORTAR INCIDENTES
B. COOPERAÇÃO E COMUNICAÇÃO COM A AUTORIDADE DE
CONTROLO

XI. SEGURANÇA E PRIVACIDADE NO TRATAMENTO DE DADOS -


TECNOLOGIAS DE INFORMAÇÃO E COMUNICAÇÃO, E OUTRAS
MEDIDAS DE SEGURANÇA

XII. ENCARREGADO DA PROTEÇÃO DE DADOS PESSOAIS

135
Anexo IV
ACORDO DE REGULAÇÃO DE RESPONSABILIDADES EM TERMOS
DE TRATAMENTO DE DADOS PESSOAIS- SUBCONTRATANTES

(FIRMA), pessoa coletiva/contribuinte nº XXXXXXXXX, com sede na


(MORADA), na qualidade de "responsável de tratamento", doravante designada
por PRIMEIRA CONTRATANTE.

(NOME/FIRMA), pessoa coletiva/contribuinte nº XXXXXXXXX, com


sede/domicílio na (MORADA), na qualidade de "subcontratante", doravante
designada SEGUNDA CONTRATANTE.

É celebrado o presente acordo de regulação de responsabilidades em termos de


tratamento de dados pessoais, que se rege pelas cláusulas seguintes:

CONSIDERANDO QUE:
1. A PRIMEIRA CONTRATANTE é "responsável pelo tratamento de dados
pessoais", nos termos do Regulamento (UE) 2016/679 do Parlamento
Europeu e do Conselho de 27 de abril de 2016 ("Regulamento Geral da
Proteção de Dados" ou "RGPD" ).
2. A SEGUNDA CONTRATANTE é "subcontratante" nos termos do
RGPD.
3. A PRIMEIRA CONTRATANTE estabeleceu como prioridade na sua
política interna, a proteção dos dados pessoais por si processados,
assegurando o total cumprimento do RPGD e da demais legislação
vigente, nomeadamente através da implementação de uma "Política de
Privacidade e Tratamento de Dados Pessoais" anexa a este acordo.
4. O conceito de "dados pessoais" engloba qualquer informação, de qual­
quer natureza e independentemente do respetivo suporte, incluindo

137
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

som e imagem, relativa a uma pessoa singular, suscetível de a identificar


ou de a tornar identificável (isto é, identificada direta ou indiretamente,
designadamente por referência a um número de identificação ou a um ou
mais elementos específicos da sua identidade física, fisiológica, psíquica,
económica, cultural ou social).
5. O conceito de "processamento de dados" engloba toda aquela atividade
que seja efetuada sobre dados pessoais, independentemente do meio
através do qual é realizada (automatizado ou não), como a recolha, o re­
gisto, a organização, a estruturação, a conservação, a adaptação ou altera­
ção, a recuperação, a consulta ou mero acesso, a utilização, a divulgação
por transmissão, difusão ou qualquer outra forma de disponibilização, a
comparação ou a interconexão, a limitação, o apagamento ou a destrui­
ção.
6. A SEGUNDA CONTRATANTE foi contratada para prestar serviços de
(discriminar serviços) à PRIMEIRA CONTRATANTE.
7. A SEGUNDA CONTRATANTE, no âmbito dos serviços referidos
no Considerando anterior, irá tratar dados pessoais dos titulares da
PRIMEIRA CONTRATANTE, por conta desta.
8. O presente contrato é celebrado de forma a dar cumprimento ao artigo
28º do RGPD, regulando as relações entre responsáveis pelo tratamento
de dados pessoais e os respetivos subcontratantes.

É acordado de forma livre, esclarecida e de boa fé, o seguinte:

Cláusula 1
(Objeto)
A PRIMEIRA CONTRATANTE confia à SEGUNDA CONTRATANTE, ativi­
dades de tratamento de dados pessoais de titulares daquela, no âmbito dos
serviços que esta irá prestar contratados e melhor descritos no Considerando 6.

Cláusula2
(Tipo de Dados Pessoais e Finalidade de Tratamento)
1. A SEGUNDA CONTRATANTE poderá processar dados pessoais de (iden­
tificar titulares. Ex: colaboradores, prestadores de serviços, clientes
particulares, utilizadores de website) da PRIMEIRA CONTRATANTE, para
concretizar os serviços prestados e melhor descritos no Considerando 6, a
saber: (indicar dados pessoais tratados. Ex: - nome de colaboradores, função

138
V. ANEXOS

desempenhada na estrutura, endereço de email, contactos telefónicos, endereço


postal, endereço IP, data de nascimento).
2. SEGUNDA CONTRATANTE deve ter em consideração que poderá ter acesso
a dados pessoais sensíveis nos termos do RGPD, nomeadamente "informação
de saúde" (abrange toda a informação ligada à saúde de uma pessoa diga esta
informação respeito a um diagnóstico ou a um prognóstico do seu estado
clínico), no âmbito dos serviços que presta à PRIMEIRA CONTRATANTE,
como por exemplo quando faz a manutenção das suas bases de dados. 1
3. A SEGUNDA CONTRATANTE não deve tratar quaisquer outros dados
pessoais ou aplicar ou utilizar os dados pessoais para qualquer outra finalidade
para além da prestação dos serviços, nem os utilizar para as suas próprias
finalidades.

Cláusula3
(Duração)
1. A SEGUNDA CONTRATANTE procederá ao tratamento dos dados pessoais
enquanto se mantiverem os serviços identificados no Considerando 6, sendo
que deverá apagar os mesmos aquando da respetiva cessação.
2. A SEGUNDA CONTRATANTE apenas poderá conservar os dados pessoais
para além do período referido no número anterior, se tal exigência decorrer da
legislação nacional, por razões de interesse público ou ainda se os titulares dos
dados expressamente consentirem na sua utilização para outras finalidades.

Cláusula4
(Obrigações do Responsável de Tratamento)
A PRIMEIRA CONTRATANTE obriga-se a:
a) Disponibilizar os dados pessoais que trata apenas em virtude da prosse­
cução dos fins relacionados com os serviços melhor referidos no Consi­
derando 6;
b) Notificar a SEGUNDA CONTRATANTE por escrito da autorização ou
das objeções à designação do subcontratante ulterior proposto;
c) Não fornecer à SEGUNDA CONTRATANTE instruções que inviabili­
zem o tratamento lícito de dados pessoais.

1
Neste ponto deverão ser referidas as categorias especiais de dados tratadas. O mesmo deverá
ser retirado quando não for aplicável no caso concreto.

139
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

Cláusulas
(Obrigações do Subcontratante)
1. A SEGUNDA CONTRATANTE compromete-se:
a) A não contratar outra entidade subcontratante sem o consentimento
anterior e expresso da PRIMEIRA CONTRATANTE, fornecido por
escrito.
b) Não transferir os dados pessoais para países terceiros ou organizações
internacionais, salvo o cumprimento de uma obrigação legal ou interesse
público caso em que dará conhecimento à PRIMEIRA CONTRATANTE;
c) Guardar sigilo sobre todos os conhecimentos que tiver no exercício da
sua prestação de serviços;
d) Possuir e a manter as medidas técnicas e organizativas adequadas e
suficientes para que o tratamento dos dados pessoais que levar a cabo
cumpra os requisitos do RGPD, nomeadamente no que toca à defesa dos
direitos dos respetivos titulares e à segurança do referido tratamento, de
forma a não colocar em risco os dados pessoais dos respetivos titulares,
designadamente:
i) Assegurar a confidencialidade, integridade, disponibilidade e resiliên­
cia permanentes dos sistemas de tratamento;
ii) Restabelecer a disponibilidade e acesso aos dados pessoais de forma
atempada no caso de incidente físico ou técnico;
e) Prestar assistência à PRIMEIRA CONTRATANTE permitindo que esta
cumpra as obrigações a que está legalmente obrigada, nomeadamente:
i) Dar resposta aos pedidos dos titulares que atuem no exercício dos
respetivos direitos;
ii) Implementar as medidas de segurança adequadas e suficientes ao
referido tratamento;
iii) Notificar a Autoridade de Controlo em caso de violação de dados;
iv) Comunicação a violação referida no ponto imediatamente anterior ao
respetivo titular;
v) Realizar avaliações de impacto para a proteção de dados.
f ) Apagar ou devolver à PRIMEIRA CONTRATANTE, consoante o que
esta exigir, os dados pessoais a que teve acesso, no término dos serviços
contratados, apagando as cópias existentes, salvo no cumprimento de
uma obrigação legal ou existência de interesse público, caso em que dará
conhecimento à PRIMEIRA CONTRATANTE;
g) Disponibilizar à PRIMEIRA CONTRATANTE todas as informações
necessárias para que esta cumpra as obrigações a que esteja sujeito,

140
V. ANEXOS

contribuindo para as auditorias, inspeções e demais fiscalizações con­


duzidas por aquela;
h) Conservar registos escritos das atividades de tratamento de dados pessoais
realizadas em nome da PRIMEIRA CONTRATANTE, designadamente:
i) Nome e contactos das Partes, bem como do encarregado da proteção
de dados;
ii) Categorias de tratamentos de dados pessoais;
iii) Descrição geral das medidas técnicas e organizativas no domínio da
segurança;
i) Disponibilizar os registos referidos na alínea anterior à Autoridade de
Controlo nos casos legalmente exigidos.
j) Não tratar quaisquer outros dados pessoais ou aplicar ou utilizar os
dados pessoais para qualquer outra finalidade para além da prestação dos
serviços, nem os utilizar para as suas próprias finalidades.
k) Disponibilizar a necessária formação em proteção de dados ao pessoal
autorizado a tratar dados pessoais.
1) Quando necessário, designar um encarregado de proteção de dados
e comunicar o nome e dados de contato dessa pessoa à PRIMEIRA
CONTRATANTE.
2. Se a SEGUNDA CONTRATANTE considerar qualquer das instruções con­
trárias ao RGPD ou ao abrigo do direito da União Europeia ou dos Estados­
-Membros, deve informar a PRIMEIRA CONTRATANTE imediatamente.
3. A SEGUNDA CONTRATANTE deve respeitar a "Política de Privacidade e
Tratamento de Dados Pessoais" instituída pela PRIMEIRA CONTRATANTE,
sendo imperativo, ademais, o cumprimento da legislação sobre privacidade e
proteção de dados pessoais em vigor a cada momento. A sua violação poderá ser
motivo justificativo para a cessação do(s) contrato( s) de prestação de serviços
existente(s) entre as partes, sem prejuízo de responsabilidade civil ou criminal.

Este Acordo é feito em dois exemplares, um para cada uma das partes.

(LOCALIDADE), a (DATA).

A PRIMEIRA CONTRATANTE,

A SEGUNDA CONTRATANTE,

141
Anexo V
ACORDO DE REGULAÇÃO DE RESPONSABILIDADES EM TERMOS
DE TRATAMENTO DE DADOS PESSOAIS - RESPONSÁVEIS CONJUNTOS

(FIRMA), pessoa coletiva/contribuinte nº XXXXXXXXX, com sede na


(MORADA), doravante designada por PRIMEIRA CONTRATANTE.

(FIRMA), pessoa coletiva/contribuinte nº XXXXXXXXX, com sede na


(MORADA), doravante designada SEGUNDA CONTRATANTE.

É celebrado o presente acordo de regulação de responsabilidades em termos de


tratamento de dados pessoais, que se rege pelas cláusulas seguintes:

CONSIDERANDO QUE:
1. As Partes são empresas inseridas no mesmo grupo empresarial e que
prosseguem fins comuns.
2. No âmbito da atividade desenvolvida, a SEGUNDA CONTRATANTE
contratou os serviços de (discriminar serviços) da PRIMEIRA CON­
TRATANTE.
3. As Partes são Responsáveis Conjuntos pelo tratamento de dados pessoais,
nos termos do artº 26 º do Regulamento (UE) 2016/679 do Parlamento
Europeu e do Conselho de 27 de abril de 2016 ("Regulamento Geral da
Proteção de Dados" ou "RGPD"), porquanto determinam conjuntamente
as finalidades e os meios do tratamento dos dados pessoais dos seus
titulares.
4. O conceito de "dados pessoais" engloba qualquer informação, de qual­
quer natureza e independentemente do respetivo suporte, incluindo
som e imagem, relativa a uma pessoa singular, suscetível de a identificar
ou de a tornar identificável (isto é, identificada direta ou indiretamente,

143
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

designadamente por referência a um número de identificação ou a um ou


mais elementos específicos da sua identidade física, fisiológica, psíquica,
económica, cultural ou social).
5. O conceito de "tratamento de dados" engloba toda aquela atividade que
seja efetuada sobre dados pessoais, independentemente do meio através
do qual é realizada (automatizado ou não), como a recolha, o registo, a
organização, a estruturação, a conservação, a adaptação ou alteração, a
recuperação, a consulta ou mero acesso, a utilização, a divulgação por
transmissão, difusão ou qualquer outra forma de disponibilização, a
comparação ou a interconexão, a limitação, o apagamento ou a destruição
em conformidade com o artigo 4º ("definições") do RGPD.

É acordado de forma livre, esclarecida e de boa fé, o seguinte:

Cláusula 1
(Tipo de Dados Pessoais e Finalidade de Tratamento)
1. As Partes determinam em conjunto as finalidades e os meios do tratamento
dos dados pessoais dos seguintes titulares de dados: (identificar titulares. Ex:
a) Colaboradores de ambas as Partes;
b) Prestadores de Serviços da SEGUNDA CONTRATANTE;
c) Utilizadores do website da SEGUNDA CONTRATANTE.)
2. Os tipos de dados, que serão tratados exclusivamente para concretizar o
objeto do contrato de prestação de serviços melhor descrito no Considerando
2, serão (indicar dados pessoais tratados. Ex: elementos de identificação e
credenciais profissionais, designadamente: nome de colaboradores, con­
tribuinte, morada, função desempenhada na estrutura, endereço de email,
contactos telefónicos, endereço IP, data de nascimento e localização).
3. As Partes comprometem-se a não tratar os dados pessoais para qualquer
outra finalidade para além da prestação dos serviços, nem os utilizar para as suas
próprias finalidades.

Cláusula2
(Obrigações das Partes e Repartição de Responsabilidades)
1. A SEGUNDA CONTRATANTE assume as responsabilidades perante os
titulares de dados cujos dados as Partes tratam em conjunto, obrigando-se a
assegurar o exercício dos seus direitos e a cumprir os deveres de informação a
que está obrigada, em especial a fornecer um ponto de contacto para o efeito.

144
V. ANEXOS

2. Uma vez que os titulares de dados têm a faculdade de exercer os respetivos


direitos em relação a cada uma das Partes, nos termos do artº 26 º, nº 3 do RGPD,
se aqueles o fizerem junto da PRIMEIRA CONTRATANTE, esta informará a
SEGUNDA CONTRATANTE para que dê resposta ao solicitado.

Este Acordo é feito em dois exemplares, para cada uma das partes.

(LOCALIDADE), a (DATA).

A PRIMEIRA CONTRATANTE,

A SEGUNDA CONTRATANTE,

145
Anexo VI
ADITAMENTO A CONTRATO DE TRABALHO

Entre:
(NOME/FIRMA), pessoa coletiva/contribuinte nº XXXXXXXXXX, com sede
na (MORADA), doravante designada por Entidade Empregadora, e

(NOME), titular do nº de BI/CC XXXXXXXXXX, contribuinte fiscal


nº XXXXXXXX, residente na (MORADA), doravante designado/a por
Colaborador.

Conjuntamente designados por Partes.

Considerando que:
1. Está em vigor o Regulamento 2016/679, do Parlamento Europeu e do
Conselho, de 27 de abril de 2016, o qual tem plena força executiva desde o
pretérito dia 25 de maio de 2018.
2. O referido Regulamento pretende garantir a privacidade dos titulares de
dados pessoais em todas as operações de tratamento dos mesmos, nos quais
se incluem os dados dos trabalhadores das entidades, bem como dos dados
respetivos clientes e/ou prestadores de serviços.
3. Serve o presente aditamento para aditar ao contrato de trabalho, oportu­
namente celebrado entre as Partes, a cláusula infra, respeitante à proteção
de dados pessoais, no seguimento da criação da "Política de Privacidade e
Tratamento de Dados Pessoais" da Entidade Empregadora.

Assim:
A Entidade Empregadora, por um lado, e o Colaborador, por outro, celebram
entre si, de forma livre, esclarecida e de boa-fé, o presente ADITAMENTO A

147
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

CONTRATO DE TRABALHO, sendo aditada ao contrato de trabalho oportu­


namente celebrado a cláusula seguinte, a cujo cumprimento reciprocamente se
obrigam, mantendo-se em tudo o mais e integralmente o clausulado do contrato
de trabalho celebrado:

1. Proteção de Dados Pessoais


1. Com a assinatura do presente contrato é dado conhecimento ao Colabora­
dor que a Entidade Empregadora tem instituída uma "Política de Privacidade e
Tratamento de Dados Pessoais" vertida em documento próprio com esta deno­
minação, cujo cumprimento, bem como da legislação sobre privacidade e pro­
teção de dados pessoais em vigor é imperativo, salvaguardando-se as situações
de exercício de direitos legalmente instituídos, que assistem ao Colaborador
enquanto titular de dados, em relação à Entidade Empregadora.
2. O Colaborador deverá zelar pela privacidade, confidencialidade e segurança
dos dados pessoais por si tratados no âmbito das suas funções e está obrigado a
reportar qualquer eventual fuga e/ ou violação de dados de dados que seja por
si detetada.
3. A Entidade Empregadora declara cumprir integralmente o disposto na
legislação sobre privacidade e proteção de dados pessoais em vigor e que utiliza
os dados pessoais do Colaborador estritamente no âmbito do cumprimento das
obrigações legalmente previstas e decorrentes do vínculo laboral, permanecendo
na posse dos mesmos após esse momento para cumprimento dos prazos legais
obrigatórios de conservação que forem aplicados em cada caso, ou quando
exista um interesse legítimo daquela que não fira os direitos do Colaborador.
4. Os dados pessoais do Colaborador serão tratados no âmbito e na pendência
da relação laboral, e enquanto existir alguma obrigação legal ou qualquer
outro fundamento de licitude para o tratamento de dados pessoais, no estrito
cumprimento das finalidades para as quais forem recolhidos e com as devidas
garantias de privacidade implementadas pela Entidade Empregadora e definidas
na "Política de Privacidade e Tratamento de Dados Pessoais", nos seguintes
moldes:
a) Os dados pessoais do Colaborador poderão ser enviados para pessoas ou
entidades subcontratadas para fins de gestão das relações laborais, como
é o caso dos prestadores de serviços de assessoria informática, assessoria
contabilística, assessoria jurídica, Entidade Empregadora de Segurança,
Higiene e Saúde no Trabalho, Seguradoras, entidades financeiras, enti­
dades de formação profissional, entidades públicas, entre outras, com a

148
V. ANEXOS

mesma posição relacional face à Entidade Empregadora, nomeadamente


para fazer face a obrigações legais existentes no âmbito da execução do
contrato ou para fins estatísticos, bem ainda no caso de existir algum
interesse legítimo da Entidade Empregadora, devidamente fundamen­
tado e constante da legislação em vigor;
b) Os dados pessoais do Colaborador serão, igualmente, utilizados para efei­
tos de avaliação de desempenho que a Entidade Empregadora promova,
assegurando-se a sua preservação e integridade e sempre ressalvando-se
o direito do Colaborador a não se sujeitar a decisões tomadas exclusiva­
mente com base no tratamento automatizado e a obter intervenção hu­
mana na respetiva avaliação;
c) Os dados pessoais que venham a ser obtidos através da marcação de ponto
com recolha de impressão digital (dados biométricos), serão tratados pela
Entidade Empregadora, apenas para controlo de assiduidade e acesso às
instalações;
d) As fotografias e vídeos que forem tirados em ambiente de trabalho
poderão ser publicados em newsletters/ divulgações internas ou externas,
no website e nas redes sociais da Entidade Empregadora, ressalvando-se
sempre o direito de oposição do Colaborador ao uso e divulgação da sua
imagem para fins comerciais da Entidade Empregadora;
e) Os dados pessoais do Colaborador (incluindo os que constem de currí­
culos vitais, candidaturas espontâneas ou outros elementos recolhidos no
âmbito do recrutamento) poderão ser fornecidos a entidades que sub­
contratem a Entidade Empregadora, apenas no estritamente necessário
para a execução desses contratos, sempre para efeitos de contacto, por
razões de segurança ou para cumprimento de obrigação legais, e poderão
ser inclusivamente inseridos em plataformas de contratação.
7. Informa-se o Colaborador que poderá em qualquer momento aceder aos seus
dados pessoais, editar os mesmos, conhecer da respetiva forma de tratamento e
solicitar a eliminação dos dados que porventura possam estar a ser tratados de
forma desnecessária, bem como o direito a revogar o consentimento que seja
prestado para casos específicos.
8. Em tudo o que não esteja expressamente previsto no que toca ao tratamento
de dados pessoais do Colaborador, remete-se para a "Política de Privacidade e
Tratamento de Dados Pessoais" da Entidade Empregadora e para a legislação
laboral e de privacidade e proteção de dados, em vigor a cada momento.

149
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

O presente aditamento é feito em duas vias, de igual valor e conteúdo, ficando


uma cópia para cada uma das Partes, sendo todas as vias assinadas e todas as
páginas rubricadas por estes.

(LOCALIDADE), a (DATA).

A Entidade Empregadora:

O Colaborador:

150
Anexo VII
ADITAMENTO A CONTRATO DE PRESTAÇÃO DE SERVIÇOS - PESSOA SINGULAR

Entre:
(FIRMA), pessoa coletiva/Contribuinte nº XXXXXXXXX, com sede na
(MORADA), doravante designada por Empresa, e

(NOME), contribuinte nº XXXXXXXXX, com domicílio na (MORADA), dora­


vante designado por Prestador de Serviços

Conjuntamente designados por Partes.

A Empresa, por um lado, e o Prestador de Serviços, por outro lado, celebram


entre si de forma livre, esclarecida e de boa-fé o presente ADITAMENTO AO
CONTRATO DE PRESTAÇÃO DE SERVIÇOS, o qual se rege pelos termos
e condições constantes das cláusulas seguintes e cujo integral cumprimento
reciprocamente se obrigam.

Considerandos:
1. As Partes acordam no presente aditamento ao contrato de prestação de
serviços em vigor, celebrado entre si.
2. É da vontade das Partes que o presente aditamento produza efeitos
imediatos à data da assinatura do presente aditamento ao contrato de
prestação de serviços.

Ponto Único
1. Serve o presente aditamento para aditar a cláusula infra respeitante à proteção
de dados pessoais, no seguimento da criação da "Política de Privacidade e
Tratamento de Dados Pessoais" da Empresa.

151
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

2. Adita-se a cláusula infra com a seguinte redação:

PROTEÇÃO DE DADOS PESSOAIS


1. Com a assinatura do presente contrato é dado conhecimento ao Prestador
de Serviços que a Empresa tem instituída uma "Política de Privacidade e
Tratamento de Dados Pessoais", aplicável a todos os Colaboradores e Prestadores
de Serviços, vertida em documento próprio com esta denominação, o qual está
permanentemente acessível na sede desta, a qual é livre e integralmente aceite
pelo Prestador de Serviços.
2. O cumprimento pelo Prestador de Serviços da "Política de Privacidade e Tra­
tamento de Dados Pessoais" instituída é imperativo, bem como o cumprimento
da legislação sobre privacidade e proteção de dados pessoais em vigor, sendo a
sua violação motivo justificativo para cessação do presente contrato, entre ou­
tras ações possíveis de âmbito criminal ou cível.
3. No caso de o Prestador de Serviços incumprir com as regras implementa­
das para tratamento de dados pessoais será responsável pelos prejuízos que esse
incumprimento trouxer à Empresa, mormente coimas aplicadas, e demais res­
ponsabilidades noutras sedes conforme indicado no ponto anterior.
4. A Empresa declara que utiliza os dados pessoais do Prestador de Serviços
estritamente no âmbito do cumprimento das obrigações legais decorrentes da
celebração do contrato e para efeitos de execução do mesmo, permanecendo
na posse desses dados após esse momento para cumprimento dos prazos legais
obrigatórios de conservação que forem aplicados em cada caso.
5. A Empresa declara cumprir integralmente o disposto na legislação sobre
privacidade e proteção de dados pessoais em vigor, no que concerne aos dados
pessoais dos seus Prestadores de Serviços e Colaboradores.
6. Informa-se o Prestador de Serviços que os seus dados pessoais serão trata­
dos, na pendência da relação contratual, e enquanto existir alguma obrigação
legal, interesse legítimo, interesse público, ou consentimento, nos seguintes
moldes:
a) Os dados pessoais do Prestador de Serviços poderão ser enviados para
as entidades subcontratantes, nomeadamente: assessoria informática,
assessoria contabilística, assessoria jurídica, entidades financeiras, enti­
dades públicas, entre outras com a mesma posição relacional (subcon­
tratantes) face à Empresa, nomeadamente para fazer face a obrigações
legais existentes no âmbito da execução do contrato, bem ainda no caso
de existir algum interesse legítimo da Empresa;

152
V. ANEXOS

b) Os dados pessoais do Prestador de Serviços serão utilizados no estrito


cumprimento das finalidades para as quais foram recolhidos, sempre que
necessários e da forma adequada para o efeito, com as devidas garantias
de privacidade implementadas pela Empresa e definidas no documento
vertical com a "Política de Privacidade e Tratamento de Dados Pessoais";
c) Os dados pessoais do Prestador de Serviços serão utilizados ainda que
sem consentimento, quando exista outra forma de tratamento lícito dos
mesmos, nomeadamente para o cumprimento de uma obrigação legal,
execução do contrato, existência de um interesse legítimo da empresa ou
ainda interesse público;
7. Informa-se o Prestador de Serviços que poderá em qualquer momento aceder
aos seus dados pessoais, editar os mesmos, conhecer da respetiva forma de
tratamento e solicitar a eliminação dos dados que porventura possam estar a ser
tratados de forma desnecessária, bem como o direito a revogar o consentimento
que seja prestado para casos específicos.

O presente aditamento é feito em duas vias, de igual valor e conteúdo, ficando


uma cópia para cada uma das Partes, sendo todas as vias assinadas e todas as
páginas rubricadas por estas.

(LOCALIDADE), a (DATA).

A Empresa:

O Prestador de Serviços:

153
Anexo VIII
ADITAMENTO A CONTRATO DE PRESTAÇÃO DE SERVIÇOS- EMPRESA

Entre:
(FIRMA), pessoa coletiva/Contribuinte nº XXXXXXXXX, com sede na
(MORADA), doravante designada por Empresa, e

(FIRMA), pessoa coletiva/Contribuinte nº XXXXXXXXX, com sede na


(MORADA), doravante designada por Prestadora de Serviços.

Conjuntamente designados por Partes.

A Empresa, por um lado, e a Prestadora de Serviços, por outro lado, celebram


entre si de forma livre, esclarecida e de boa-fé o presente ADITAMENTO AO
CONTRATO DE PRESTAÇÃO DE SERVIÇOS, o qual se rege pelos termos
e condições constantes das cláusulas seguintes e cujo integral cumprimento
reciprocamente se obrigam.

Considerandos:
1. As Partes celebraram um contrato de prestação de serviços através do
qual a Prestadora de Serviços terá contacto e poderá tratar dados pessoais
de titulares da Empresa.
2. É da vontade das Partes que o presente aditamento ao referido contrato
de prestação de serviços produza efeitos imediatos à data da assinatura
do mesmo.

Ponto Único
1. Serve o presente aditamento para aditar a cláusula infra respeitante à proteção
de dados pessoais, no seguimento da criação da política de tratamento de dados
pessoais da Empresa.

155
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

2. Adita-se a cláusula infra com a seguinte redação:

Proteção de Dados Pessoais


1. Com a assinatura do presente contrato é dado conhecimento à Prestadora
de Serviços que a Empresa tem instituída uma "Política de Privacidade e Trata­
mento de Dados Pessoais", aplicável a todos os Colaboradores e Prestadores de
Serviços, vertida em documento próprio com esta denominação, a qual é livre e
integralmente aceite pela Prestadora de Serviços.
2. O cumprimento pela Prestadora de Serviços da "Política de Privacidade e
Tratamento de Dados Pessoais" instituída é imperativo, assim como o cumpri­
mento da legislação sobre privacidade e proteção de dados pessoais em vigor,
podendo a sua violação constituir motivo justificativo para cessação do presente
contrato, sem prejuízo de existir eventual responsabilidade civil ou criminal.
3. A Prestadora de Serviços compromete-se a tratar os dados pessoais de titula­
res da Empresa a que tenha acesso no âmbito da relação comercial estabelecida
entre as Partes, com a segurança e confidencialidade exigidas nos termos legais.
4. No caso de a Prestadora de Serviços incumprir com as regras implementadas
para tratamento de dados pessoais poderá ser responsabilizado pelos prejuízos
que esse incumprimento trouxer à Empresa, mormente coimas aplicadas, e
demais responsabilidades noutras sedes conforme indicado no ponto anterior.
5. A Empresa declara cumprir integralmente o disposto na legislação sobre
privacidade e proteção de dados pessoais em vigor, no que concerne aos dados
pessoais dos seus Prestadores de Serviços e Colaboradores.

O presente aditamento é feito em duas vias, de igual valor e conteúdo, ficando


uma cópia para cada uma das Partes, sendo todas as vias assinadas e todas as
páginas rubricadas por estes.

(LOCALIDADE), a (DATA).

A Empresa:

A Prestadora de Serviços:

156
Anexo IX
EXEMPLO DE TEXTO INFORMATIVO AOS PARCEIROS NEGOCIAIS
OU PRESTADORES DE SERVIÇOS

Estimado Parceiro,

A realidade jurídica tem revelado cada vez mais uma enorme preocupação no
que respeita ao tratamento de dados pessoais, razão pela qual se encontra em
vigor o Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho,
de 27 de abril de 2016 (RGPD).

Também a (identificar entidade) se mostra sensibilizada para com esta


questão, tendo por isso instituído uma "Política de Privacidade e Tratamento
de Dados Pessoais" - ora enviada em anexo e também disponível em: (inserir
hiperligação) - com vista a melhor salvaguardar todos os dados pessoais por si
tratados.

É neste sentido que devem igualmente os nossos Parceiros entender-se como


vinculados a tal Política que ora se anexa à presente comunicação, na medida
em que tratem dados sob a responsabilidade da (identificar entidade) - seja
na qualidade de subcontratante, seja na qualidade de terceiro, nos termos do
RGPD.

Ainda neste contexto pretendemos regular as nossas relações com os nossos


Parceiros em cumprimento da suprarreferida legislação em vigor, remetemos
os documentos em anexo ("Aditamento a contrato de prestação de serviços" e
"Acordo de regulação de responsabilidades em termos de tratamento de dados
pessoais"), para balizamento das relações contratuais no âmbito do tratamento
de dados pessoais. Pedimos que ceda o cuidado e atenção na leitura e análise
destes elementos, respeite a respetiva recolha de assinatura, e nos devolva o

157
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

exemplar assinado para o endereço de email: (inserir endereço). Em alternativa,


pode enviar para: (inserir morada).

Com os melhores cumprimentos,

(assinatura)

158
Anexo X
DECLARAÇÃO DE CONSENTIMENTO PARA TRATAMENTO DE DADOS PESSOAIS
(RECRUTAMENTO)

Eu, ____________________________
declaro ter entregue, no presente dia, a saber __J__}___� a seguinte
documentação relativa à minha candidatura espontânea a possíveis futuras
oportunidades de emprego patrocinadas pela Entidade _________
---------------� declarando desde já que autorizo o
tratamento dos meus dados pessoais aí inseridos com esta finalidade.
D Curriculum Vitae
D Carta de Motivação
D Outros (especificar):

Declaro ainda ter sido informado/a do seguinte:


Que os referidos documentos e os dados pessoais neles constantes serão
utilizados apenas para fins de recrutamento;
Que os meus dados pessoais poderão ser conservados pelo período de 5 anos;
Que findo o prazo de conservação supra mencionado os meus dados pessoais
serão integral e eficazmente eliminados por meios adequados, salvo se for
renovado o presente consentimento.
Que, relativamente aos dados pessoais fornecidos, poderei exercer os
seguintes direitos:
■ Direito a solicitar o seu acesso;
■ Direito a solicitar a sua rectificação;

159
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

■ Direito a solicitar a sua eliminação;


■ Direito a solicitar a limitação do seu tratamento;
■ Direito a solicitar a sua transferência (direito à portabilidade dos

dados)
■ Direito a apresentar reclamação à Comissão Nacional de Proteção de

Dados.
Que o exercício de qualquer direito acima enunciado será assistido no prazo
de um mês, a menos que se sobreponha razão de interesse público ou ainda se o
pedido for manifestamente infundado.
Que o presente consentimento pode ser retirado em qualquer altura, devendo
para tal comunicar essa vontade a esta Entidade, mediante mero contacto.
Que o retirar do consentimento não afectará de forma alguma o tratamento
até então realizado.
Que, em caso de violação de dados e sempre que tal seja exigível nos termos
da legislação em vigor, a Entidade prestará informação tão precisa quanto o
possível e em prazo razoável sobre os dados afectados, as consequências previstas
pela violação e as medidas adoptadas para reparar a mesma.
Que a presente Entidade tem instituída uma política de privacidade e
tratamento de dados pessoais passível de ser consultada na sua sede e no seu
website.

_________, em --- de ----- de -----

O(A) Candidato(a)

160
Anexo XI
EMAIL TIPO PARA CONSENTIMENTO NO TRATAMENTO DAS CANDIDATURAS
ESPONTÂNEAS

Estimado(a) Sr.(a).
Serve o presente para acusar a receção da candidatura espontânea por V/ Exa.
remetida, a qual merecerá a nossa melhor atenção e apreço, bem como para
agradecer o interesse e a preferência demonstrados.
Porque temos interesse em preservar o seu Curriculum Vitae e demais elementos,
mas respeitamos os seus dados pessoais pedimos que nos informe se pretende
ser por nós contactado(a) para efeitos de comunicação de oportunidades de
emprego e/ ou recrutamento para essas mesmas vagas, assim consentindo
na conservação dos seus dados pessoais na nossa base de dados para fins de
recrutamento. Para tal, informamos que será necessário que responda à presente
comunicação utilizando a expressão "CONSINTO".
A par disso, considere-se desde já informado de que os dados pessoais em apreço
serão tratados nos moldes que se seguem:
- O Curriculum Vitae, a carta de motivação, e os demais elementos enviados,
mediante a candidatura espontânea por V.Exa apresentada poderão ser
conservados pelo período de S anos.
- Findo o prazo de conservação mencionado, os documentos serão integral e
eficazmente eliminados, bem como o serão todos os dados pessoais que deles
constem, salvo se for renovado o presente consentimento.
- Os elementos enviados na candidatura espontânea apresentada serão utiliza­
dos somente para fins de recrutamento.

161
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

- Poderá retirar o presente consentimento em qualquer altura, sendo que


se o fizer, os elementos enviados a título de candidatura espontânea serão
eliminados e tal não afetará de forma alguma o tratamento até então realizado.
- Em caso de violação de dados e sempre que tal seja exigível nos termos da
legislação em vigor, prestaremos informação tão precisa quanto o possível e
em prazo razoável sobre os dados afetados, as consequências previstas pela
violação e as medidas adotadas para reparar a mesma.
- Relativamente aos dados pessoais fornecidos, poderá exercer os seguintes
direitos:
■ Direito a solicitar o seu acesso;
■ Direito a solicitar a sua retificação;
• Direito a solicitar a sua eliminação;
■ Direito a solicitar a limitação do seu tratamento;
■ Direito a solicitar a sua transferência (direito à portabilidade dos dados)
■ Direito a apresentar reclamação à Comissão Nacional de Proteção de
Dados.

Caso não responda ao presente email em 10 (dez) dias, informamos que findo
esse prazo, iremos proceder à eliminação integral dos elementos fornecidos.

Para mais informações poderá consultar a nossa "Política de Privacidade e Tra­


tamento de Dados Pessoais" na nossa sede ou no nosso website: (inserir hiper­
ligação)

Sem mais de momento, subscrevemo-nos com os mais cordiais cumprimentos,

162
Anexo XII
PROCEDIMENTO DE ENVIO DE NEWSLETTERSOU OUTRAS SUBSCRIÇÕES

USTA DE CONTACTOS SIM NÃO A VAI PODER USAR


SALVO SE SOUCITAR E OBTIVER
CONIENTIIIENTO VÃUDO
NÃO

ESTÁ TUDO BEM


MAS RECOMEIIDAMOS ENVIO DA POJA POl..ln::A
DE TRATAMENTO DE DADOS PESSCWS
O CONTACTO SOLICITOU A
ATUAl.lZADA EM CONFORMIDADE COM O RG.P.D.
SUBSCRIÇÃO OU SUBSCREVEU
E SEMPRE 00M A POSSIIIII..DADE DE
DIRETAMENTE A LISTA OE
CANCELAMENTO NEDIATO DA SUBSCRIÇÃO.
DIVULGAÇÃO?

JÃ TEVE ALGUMA INTERAÇÃO COMERCIAL COM OS


CONTACTOS E AS COMUNICAÇÕES QUE ENVIA PERMITEM
O CANCELAMENTO IMEDIATO DA SUBSCRIÇÃO?

"'º
/
NÃO A VAJ PODER USAR
� SOLICITAR E OBTIVER CONIENT9ENTO �
OU SEJA. PARA OS CASOS EM QUE NÃO HOWE PEDIDO E/OU SlmCRIÇÃO DA LISTA
DE DIVULGAÇÃO, tEM HOUVE QUALQUER INTERAÇÃO COMERCIAI., TERÁ QUE SER
ENYIAPACOMlflllÇ&ÇÃOAOSCOOACTQS COM UMCQNYJIEASUBSCRJcio

163
Anexo XIII
EMAIL TIPO PARA ENVIO DE NEWSLETTERSOU OUTRAS SUBSCRIÇÕES

Estimado(a) Subscritor(a),
Se está a receber esta comunicação é porque já tem uma relação comercial con­
nosco, porque subscreveu a nossa newsletter ou porque voluntariamente for­
neceu os seus contactos para este efeito.
Com gosto temos vindo a partilhar novidades sobre a atividade que desenvol­
vemos, bem como informações acerca das ofertas, promoções especiais e outras
que poderão ser do seu interesse. A subscrição das nossas newsletters é um
motivo de orgulho e satisfação, e assim gostaríamos que continuasse.
No entanto, a realidade jurídica tem revelado cada vez mais uma enorme preo­
cupação no que respeita ao tratamento de dados pessoais, motivo pelo qual
desenvolvemos todos os esforços para que os nossos subscritores estejam ple­
namente informados sobre as operações de tratamento realizadas e para que
estas ocorram com a segurança e privacidade necessárias e legalmente exigidas.
Ainda assim, se por qualquer razão não quiser continuar a receber notícias nos­
sas, clique em: (inserir hiperligação para cancelar a subscrição)
Para maiores esclarecimentos em relação ao modo como procedemos ao trata­
mento dos seus dados pessoais, consulte também a nossa "Política de Privaci­
dade e Tratamento de Dados Pessoais" disponível no nosso website em: (inserir
hiperligação)
"O TRATAMENTO DOS DADOS PESSOAIS DE VERÁ SER CONCEBIDO
PARA SERVIR AS PESSOAS"!
Queremos servi-lo sempre melhor, agora, através da proteção e salvaguarda dos
seus bens mais singulares: os seus dados pessoais.

165
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

Nota: os seus dados não serão partilhados com outra entidade que não esta plataforma que
gere a sua subscrição e que nos garantiu estar dotada de medidas técnicas e organizativas
adequadas para proteção dos seus dados.
A todo o tempo pode apresentar reclamações junto da Comissão Nacional de Proteção de
Dados, solicitar o acesso, retificação, apagamento e requerer a portabilidade dos seus da­
dos. Poderá inclusive opor-se à utilização dos mesmos para este fim sempre que receba uma
newsletter.
Os seus dados pessoais serão mantidos em segurança na nossa base de dados até que cancele
a subscrição.

[Nos termos da legislação em vigor aplicável em sede de tratamento de dados pessoais no contexto eletró­
nico e que regula as comunicações publicitárias de marketing direto, poderá recusar que tratemos os seus
dados de carácter pessoal nestes termos. Em todo o caso, este email destina-se única e exclusivamente a
informar atuais ou potenciais clientes e não deve ser considerado SPAM.]

166
Anexo XIV
ÍNDICE DO RELATÓRIO FINAL DE ADEQUAÇÃO AO REGULAMENTO GERAL
SOBRE A PROTEÇÃO DE DADOS

ÍNDICE
UTILIZAÇÃO DESTE RELATÓRIO
ENQUADRAMENTO

I. CONHECER O RESPONSÁVEL PELO TRATAMENTO DE DADOS


PESSOAIS
A. IDENTIFICAÇÃO DO RESPONSÁVEL
B. DA ORGANIZAÇÃO INTERNA

II. LEVANTAMENTO E MAPEAMENTO DE DADOS PESSOAIS:


A. PROCEDIMENTOS INTERNOS DE TRATAMENTO DE DADOS
PESSOAIS DE COLABORADORES
B. PROCEDIMENTOS INTERNOS DE TRATAMENTO DE DADOS
PESSOAIS DE CLIENTES
C. DO WEBSITE
D. DAS RELAÇÕES COM SUBCONTRATANTES E TERCEIROS

III. SEGURANÇA E PRIVACIDADE: TECNOLOGIAS DE INFORMAÇÃO E


COMUNICAÇÃO, E OUTRAS MEDIDAS DE SEGURANÇA
A. INFORMÁTICA
B. ERP
C. SEGURANÇA DO TRATAMENTO: POLÍTICAS DE ACESSO E
OUTRAS MEDIDAS DE SEGURANÇA DA INFORMAÇÃO

IV. TRANSPARÊNCIA, COMUNICAÇÃO, INFORMAÇÃO E APOIO AO


EXERCÍCIO DOS DIREITOS DOS TITULARES DE DADOS

167
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

V. COOPERAÇÃO E COMUNICAÇÃO COM A AUTORIDADE DE CON-


TROLO

VI. AVALIAÇÃO DE IMPACTO SOBRE A PROTEÇÃO DE DADOS

VII. ENCARREGADO DA PROTEÇÃO DE DADOS PESSOAIS

VIII. GUIA DE IMPLEMENTAÇÃO

NOTA FINAL

168
Anexo XV1
AVALIAÇÃO DE IMPACTO SOBRE A PROTEÇÃO DE DADOS- CHECK LIST

D Uma descrição sistemática das operações de tratamento é fornecida (artigo


35º , nº 7, alínea a) doRGPD):
D A natureza, o âmbito, o contexto e as finalidades do tratamento são
tidos em conta (Considerando 90 doRGPD);
D Os dados pessoais, os destinatários e o período de tempo durante o
qual os dados pessoais serão conservados são registados;
D Uma descrição funcional da operação de tratamento é fornecida;
D Os ativos de que dependem os dados pessoais (equipamento infor­
mático, programa informático, redes, pessoas, papel ou canais de
transmissão em papel) são identificados;
D O cumprimento dos códigos de conduta aprovados é tido em conta
(artigo 35º , nº 8 doRGPD);
D A necessidade e a proporcionalidade são avaliadas (artigo 35 º , nº 7, alínea b)
doRGPD):
D As medidas previstas para demonstrar a conformidade com o regu­
lamento são determinadas (artigo 35 º , nº 7, alínea d), e Considerando 90 do
RGPD), tendo em conta:

1
O G29 propôs os seguintes critérios que os responsáveis pelo tratamento dos dados possam
utilizar para avaliar se uma AIPD, ou uma metodologia para realizar uma AIPD, é ou não sufi­
cientemente exaustiva para estar em conformidade com oRGPD - cfr. Anexo 2 às Orientações
relativas à Avaliação de Impacto sobre a Proteção de Dados (AIPD) e que determinam se o tratamento é
«suscetível de resultar num elevado risco» para efeitos do Regulamento (UE) 2016/679: adotadas em 4
de abril de 2017, Revistas e adotadas pela última vez em 4 de outubro de 2017.

169
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

D As medidas que contribuem para a proporcionalidade e a ne­


cessidade do tratamento com base em:
D Finalidade(s) determinada(s), explícita(s) e legítima(s) (artigo
5º, nº 1, alínea b) doRGPD);
D Licitude do tratamento (artigo 6º doRGPD);
D Dados adequados, pertinentes e limitados ao que é necessário
(artigo 5º, nº 1, alínea e) doRGPD);
D Conservação por tempo limitado (artigo5 º, nº 1, alínea e) doRGPD);
D As medidas que contribuem para os direitos dos titulares dos dados:
D Informações fornecidas ao titular dos dados (artigos 12 º, 13 º e 14º
doRGPD);
D Direito de acesso e de portabilidade dos dados (artigos 15º e20 º do
RGPD);
D Direito de retificação e de apagamento dos dados (artigos 16 º, 17 º
e 19 º doRGPD);
D Direito de oposição e direito à limitação do tratamento (artigos
18 º' 19 º e21 º doRGPD)·'
D Relações com os subcontratantes (artigo 28 º doRGPD);
D Garantias relativas às transferência( s) internacional(is) (capítulo
V doRGPD);
D Consulta prévia (artigo 36 º doRGPD).
D Os riscos para os direitos e as liberdades dos titulares dos dados são geridos
(artigo 35º, nº 7, alínea e) doRGPD):
D A origem, a natureza, a particularidade e a gravidade dos riscos são
apreciadas (Considerando 84 do RGPD) ou, mais especificamente, para
cada risco (acesso ilegítimo, modificação indesejada, desapareci­
mento de dados) da perspetiva dos titulares dos dados:
D As fontes de risco são tidas em conta (Considerando 90 doRGPD);
D Os potenciais impactos nos direitos e nas liberdades dos
titulares dos dados são identificados na eventualidade de acesso
ilegítimo, modificação indesejada e desaparecimento de dados,
entre outros;
D As ameaças que possam conduzir a acesso ilegítimo, modificação
indesejada e desaparecimento de dados são identificadas;

170
V. ANEXOS

D A probabilidade e a gravidade são estimadas (Considerando 90 do


RGPD);
D As medidas previstas para fazer face a esses riscos são determinadas
(artigo 35Q , nQ 7, alínea d), e Considerando 90 do RGPD);
D As partes interessadas são envolvidas:
D O parecer do EPD é solicitado (artigo 35 Q, nQ 2 do RGPD);
D As opiniões dos titulares de dados ou dos seus representantes são
solicitadas, se necessário (artigo 35Q, nQ 9 do RGPD).

171
Anexo XVI
MODELO COMPLEMENTAR À CHECK LIST DA AVALIAÇÃO DE IMPACTO
SOBRE A PROTEÇÃO DE DADOS

1. ANÁLISE DO CICLO DE VIDA DOS DADOS SUJEITOS A TRATA­


MENTO
A) Identificar em relação aos dados pessoais:
a. Quais os dados pessoais sujeitos a tratamento
b. Como ocorre a recolha dos mesmos
c. Como são classificados/armazenados
d. Quais os fins do tratamento a que se destinam
e. Identificar se existe cessão ou transferência de dados a terceiros
f. Tempo de conservação/ quando ocorre a eliminação dos mesmos
B) Indicar em relação ao tratamento:
a. Quais as atividades do processo de tratamento
b. Quem são os intervenientes no processo
c. Quais as tecnologias intervenientes
C) Sujeitos intervenientes no tratamento:
a. Interessados no tratamento
b. Responsáveis pelo tratamento
c. Encarregado da proteção de dados
d. Responsáveis conjuntos
e. Subcontratantes
D) Descrição sistemática das operações e finalidades do tratamento:
a. Há transferência de dados para outras entidades?
b. Qual o fluxo de dados entre sistemas?
c. Quais os procedimentos adotados para cumprir com o dever de
informação, quando os dados pessoais são recolhidos diretamente?

173
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

d. Quais os procedimentos adotados para a recolha do consentimento


dos titulares dos dados?
e. Qual o procedimento interno adotado aquando do exercício dos
direitos pelos titulares dos dados?
f. Quando a recolha dos dados se dê através da celebração de um con­
trato, o responsável pelo tratamento informa a parte contrária de
quais as suas obrigações e deveres a nível da proteção de dados e
quais as medidas de segurança adotadas?
g. Existem transferências de dados para fora da UE? Se sim, estas
transferências são protegidas de forma adequada?

2. ANÁLISE DA NECESSIDADE E PROPORCIONALIDADE DO TRATA­


MENTO
A) Legitimidade do tratamento
Fundamentos inerentes ao tratamento
B) Avaliação da necessidade e proporcionalidade do tratamento
a. Os dados recolhidos são utilizados exclusivamente para o fim decla­
rado e não para qualquer outro que não tenha sido informado ao
titular dos dados ou, que seja incompatível com a legitimidade do
seu tratamento? Sim? Não? Em que termos? (Princípio da limitação
do tratamento).
b. A finalidade do tratamento requer o tratamento de todos os dados
pessoais recolhidos, de todos os titulares? (Princípio da minimi­
zação).
c. As tecnologias utilizadas para o tratamento dos dados são apropriadas
para a finalidade do tratamento, do ponto de vista do cumprimento
dos princípios fundamentais de privacidade?
d. Os dados são conservados apenas pelo tempo necessário aos objetivos
do tratamento? (Princípio da limitação do período de conservação).
e. Conclusões.

3. GESTÃO DE RISCOS
A) Identificação das ameaças
a. Referência às atividades de tratamento fontes de risco
b. Identificação das operações de tratamento
c. Referência da ameaça

174
V. ANEXOS

B) Apreciação do risco inerente


a. Identificação da ameaça
b. Qual o risco dela adveniente
c. Possibilidade de evolução
d. Qual o impacto
e. Avaliação do risco
f. Classificação do grau de risco (baixo, elevado, muito elevado)
C) Medidas de controlo
a. Identificação das medidas de controlo em relação a cada ameaça

4. MODELO DE PLANO DE AÇÃO E CONCLUSÃO


A) Identificação das medidas mitigantes
B) Identificação da responsabilidade pela implementação das medidas

5. CATÁLOGO EXEMPLIFICATIVO DE AMEAÇAS


A) Legitimidade do tratamento e transferências de dados pessoais
a. Tratar ou recolher dados pessoais quando não for necessário para o
propósito pretendido.
b. Falta de legitimidade clara e suficiente para o processamento ou
transferência de dados
c. Obter um consentimento duvidoso ou inválido para o tratamento
d. Fazer a revogação do consentimento ou a manifestação da oposição
a um tratamento ou atribuição.
e. Dificuldades para garantir a legitimidade da recolha e transferência
de dados pessoais de terceiros.
f. Solicitar e processar dados especialmente protegidos, sem necessi­
dade ou sem a adoção das salvaguardas necessárias.
g. Fazer conexões de dados pessoais de maneira não prevista nos
objetivos iniciais e sem informação adequada às pessoas afectadas
quando realizam uma interligação com outras bases de dados da
organização ou de terceiros, em particular, a reidentificação da
informação dissociada
h. Impedir o uso anônimo de um determinado produto ou serviço
quando a identificação do usuário não é essencial.
B) Transferências internacionais
a. Acesso secreto a dados pessoais por autoridades de países terceiros.

175
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

b. Falta de mecanismos para controlar o cumprimento das garantias


estabelecidas para a transferência.
e. Impedimentos por parte do importador para o exercício dos proce­
dimentos de supervisão e controle acordados.
d. Incapacidade de ajudar os cidadãos no exercício de seus direitos
perante o importador.
e. Não obter as autorizações legais necessárias.
C) Notificação e registo de atividades de tratamento
a. Sem os mecanismos e procedimentos necessários para detetar
quando deveria registrar a criação, modificação ou cancelamento de
atividades de tratamento.
b. Sem os mecanismos e procedimentos necessários para detetar
quando deveria análise de impacto sobre a proteção de dados e a sua
consulta à Autoridade de Controlo.
D) Transparência do tratamento
a. Recolha de dados pessoais sem fornecer as informações necessárias
ou de forma fraudulenta ou não autorizada (localização geográfica,
comportamento, hábitos de navegação, etc.).
b. No ambiente da web, localizar informações sobre proteção de dados
(diretivas privacidade, cláusulas informativas) em lugares de difícil
localização ou disseminados em várias seções e seções que impedem
seu acesso conjunto e detalhado.
e. Prestar informações sobre proteção de dados numa linguagem
pouco clara e imprecisa que impede que os afetados tenham uma
ideia clara e ajustada dos elementos essenciais que devem conhecer
para ter um tratamento justo de seus dados
E) Qualidade dos dados
a. Solicitar dados ou categorias de dados desnecessários para os propó­
sitos do novo sistema, produto ou serviço.
b. Existência de erros técnicos ou organizacionais que propiciem a
falta de integridade de informações, permitindo a existência de
registros duplicados com informações diferentes ou contraditórias,
o que pode levar a decisões errôneas.
e. Garantias insuficientes para o uso de dados pessoais para fins
históricos, científicos ou estatísticos
d. Uso de dados pessoais para fins não especificados ou incompatíveis
com o declarado.

176
V. ANEXOS

• Dados transacionais, de navegação ou de geolocalização para mo­


nitorar o comportamento, criando perfis e tomando decisões so­
bre pessoas.
• Tomada de decisões econômicas, sociais, trabalhistas, etc. rele­
vante sobre pessoas (particularmente aqueles pertencentes a
grupos vulneráveis), especialmente se puderem ser adversas
ou discriminatórias, incluindo diferenças de preços e custos de
serviços e produtos ou obstáculos para a passagem de fronteiras.
• Tomada de decisão automatizada com possíveis consequências
relevantes para pessoas
• Utilização de metadados para fins não declarados ou incompatíveis
com o declarado.
e. Realização de inferências ou deduções erróneas (e, quando apro­
priado, prejudiciais) sobre pessoas específicas através do uso de
técnicas de inteligência artificial (em particular, mineração de da­
dos), reconhecimento facial ou análise biométrica de qualquer tipo.
f. Falta de procedimentos claros e ferramentas adequadas para garantir
o cancelamento de dados pessoais, uma vez que tenham deixado de
ser necessários para a finalidade ou finalidades para as quais foram
recolhidos.
F) Categorias especiais de dados
a. Falhas ou erros sistemáticos ou ocasionais para obter consentimento
expresso quando esta é a causa que legitima seu tratamento ou
atribuição.
b. Assunção errônea da existência de uma autorização legal para o
tratamento ou cessão de dados de categorias especiais.
c. Dissociação deficiente ou reversível que permite a reidentificação de
dados de categorias especiais em processos de pesquisa que apenas
preveem o uso de dados anônimos.
G) Dever de sigilo
a. Acesso não autorizado a dados pessoais.
b. Violações da confidencialidade de dados pessoais por funcionários
da organização.
H) Terceiros e Subcontratantes
a. Ausência de contrato ou preparação de um contrato incorreto que
não reflita todos seções necessárias e as garantias adequadas.
b. Falta de diligência (ou dificuldade em mostrá-lo) na escolha do ge­
rente de tratamento.

177
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

e. Má gestão da terceirização e controle insuficiente sobre gerentes


e subcontratantes e, em especial, dificuldades na verificação ou
supervisão de que o responsável e os subcontratantes cumprem as
instruções e, em especial, o segurança
d. Nenhuma definição ou deficiências nos procedimentos para comu­
nicar à pessoa responsável o exercício dos direitos das partes interes­
sadas perante os responsáveis pelo tratamento.
e. Dificuldades para conseguir portabilidade de dados pessoais para
outros ambientes depois que o contrato terminar.
I) Direitos dos titulares dos dados
a. Tornar difícil ou impossível exercer os direitos das partes interessadas.
b. Falta de procedimentos e ferramentas para a gestão dos direitos das
partes interessadas.
e. Falta de procedimentos e ferramentas para comunicação de retifi­
cações, cancelamentos ou oposições aos cessionários de dados pes­
soais.
J) Segurança
a. Nenhuma responsabilidade pela segurança ou definição deficiente
de suas funções e competências.
b. Nenhuma política de segurança.
e. Deficiências organizacionais na gestão do controle de acesso.
d. Deficiências técnicas no controlo de acesso que permitem pessoas
não autorizadas a aceder e subtrair dados pessoais.
e. Impossibilidade de atribuir aos usuários identificados todas as ações
que são realizadas em um sistema de informação.
f. Uso de identificadores que revelam informações dos afetados.
g. Deficiências na proteção da confidencialidade das informações.
h. Falta de treinamento de pessoal sobre medidas de segurança que
são necessárias adotar e sobre as consequências que podem surgir
de não fazê-lo.
i. Existência de incentivos para obter informações ilicitamente devido
ao seu valor (econômico, político, social, trabalhista, etc.) para ter­
ceiros não autorizados.

178
REFERÊNCIAS

Legislação:
Decreto de 10 de abril de 1976 (Constituição da República Portuguesa).
Diretiva 95/46/CE, do Parlamento Europeu e do Conselho, de 24 de outu-
bro de 1995, relativa à proteção das pessoas singulares no que diz respeito
ao tratamento de dados pessoais e à livre circulação desses dados.
Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27
de abril de 2016, relativo à proteção das pessoas singulares no que diz
respeito ao tratamento de dados pessoais e à livre circulação desses dados
e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção
de Dados).
Lei nº 58/2019, de 8 de agosto (Lei Nacional de Execução do RGPD).
Lei nº 7/2009, de 12 de fevereiro (Código do Trabalho), na versão alterada
pela Lei nº 93/2019, de 04 de setembro.
Lei nº 110/2009, de 16 de setembro (Código dos Regimes Contributivos do
Sistema Previdencial da Segurança Social), na versão alterada pela Lei nº
100/2019, de 6 de setembro.

Orientações:
WP 243 rev.01 do grupo do artigo 29º para a proteção de dados - Orienta­
ções sobre os encarregados da proteção de dados (EPD): adotadas a 13 de
dezembro de 2016, com a última redação revista e adotada em 5 de abril
de 2017. [Em linha] Bruxelas, 2016. [Consult. 29 nov. 2019]. Disponível
em https://www.cnpd.pt/bin/rgpd/docs/wp243rev0l_pt.pdf
WP 248 rev.01 do grupo do artigo 29º para a proteção de dados - Orienta­
ções relativas à Avaliação de Impacto sobre a Proteção de Dados (AIPD)
e que determinam se o tratamento é «suscetível de resultar num elevado

179
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

risco» para efeitos do Regulamento (UE) 2016/679: adotadas em 4 de


abril de 2017, Revistas e adotadas pela última vez em 4 de outubro de
2017. [Em linha] Bruxelas, 2017. [Consult. 30 nov. 2019]. Disponível em:
https://www.cnpd.pt/bin/rgpd/docs/wp248rev.01_pt.pdf
WP 250 rev.01 do grupo do artigo 29º para a proteção de dados - Orienta­
ções sobre a notificação de uma violação de dados pessoais ao abrigo do
Regulamento (UE) 2016/679: adotadas em 3 de outubro de 2017, Revis­
tas e adotadas pela última vez 6 de fevereiro de 2018. [Em linha] Bruxelas,
2017. [Consult. 27 nov. 2019]. Disponível em:
https://www.cnpd.pt/bin/rgpd/docs/wp250rev01_pt.pdf
WP 251 ver.OI do grupo do artigo 29º para a proteção de dados-Orientações
sobre as decisões individuais automatizadas e a definição de perfis para
efeitos do Regulamento (EU) 2016/679: adotadas a 3 de outubro de 2017,
Revistas e adotadas pela última vez 6 de fevereiro de 2018. [Em linha]
Bruxelas, 2017. [Consult. 1 nov. 2019]. Disponível em:
https://www.cnpd.pt/bin/rgpd/docs/wp25lrev01_pt.pdf
WP 259 rev.01 do grupo do artigo 29º para a proteção de dados-Orientações
relativas ao consentimento na aceção do Regulamento (UE) 2016/679:
adotadas em 28 de novembro de 2017, Última redação revista e adotada
em 10 de abril de 2017. [Em linha] Bruxelas, 2017. [Consult. 30 nov. 2019].
Disponível em:
https://www.cnpd.pt/bin/rgpd/docs/wp259rev0.1_PT.pdf
Regulamento da CNPD nº 1/2018 relativa à lista de tratamentos de dados
pessoais sujeitos a Avaliação de Impacto sobre a Proteção de Dados. [Em
linha] Lisboa, 2018. [Consult. 24 set. 2019]. Disponível em: https://www.
cnpd. pt/bin/decisoes/regulamentos/regulamento_1_2018.pdf
Deliberação da CNPD 2019/494. [Em linha] 2019. [Consult. 25 out. 2019].
Disponível em:
https://www.cnpd.pt/bin/decisoes/Delib/DEL_20l9_494.pdf
Deliberação da CNPD nº 7680/2014, aplicável aos tratamentos de dados
pessoais decorrentes da utilização de tecnologias de geolocalização no
contexto laboral. [Em linha] Lisboa, 2014. [Consult. 1 dez. 2019]. Dispo­
nível em:
https://www.cnpd.pt/bin/orientacoes/DEL_7680-2014_GEO_LABO
RAL.pdf
Deliberação da CNPD nº 840/2010, aplicável aos tratamentos de dados no
âmbito da gestão da informação dos serviços de segurança e saúde no
trabalho. [Em linha] Lisboa, 2010. [Consult. l dez. 2019]. Disponível em:

180
REFERÊNCIAS

https://www.cnpd.pt/bin/orientacoes/DEL_840_2010_MED_traba
lho_actualizada.pdf
Deliberação da CNPD nº 61/2004, Princípios sobre o tratamento de da­
dos por videovigilância. [Em linha] Lisboa, 2004. [Consult. 1 dez. 2019].
Disponível em:
https://www.cnpd.pt/bin/ orientacoes/DEL61-2004-VIDEOVIGILAN
CIA.pdf
Princípios da CNPD sobre a utilização de dados biométricos no âmbito do
controlo de acessos e de assiduidade. [Em linha] 2004. [Consult. 1 dez.
2019]. Disponível em:
https://www.cnpd.pt/bin/orientacoes/PRINCIPIOS-BIOM-assiduidade
-acesso.pdf

Bibliografia:
CORDEIRO, A. Barreto Menezes - O Consentimento do Titular dos Dados no
RGPD. [Em linha] 2018. [Consult. 1 dez. 2019]. Disponível em: https://
blook.pt/publications/publication/e772e2d8f7b4/
GARCIA MuRCIA, Joaquín; RODRIGUEZ CARDO, Iván Antonio - Implicacio­
nes laborales del reglamento 2016/679 de la Unión Europea sobre Pre­
tección de datos personales. Revista Questões Laborais. 51 (2017), p. 35-67.
MAGALHÃES, Filipa Matias; PEREIRA, Maria Leitão - Regulamento Geral sobre a
Proteção de Dados. 2.ª ed. rev. e ampl. Porto: Vida Económica, 2018.
MONTEIRO, António Fernandes - Direito do Trabalho. 14.ª ed. Coimbra: Al­
medina, 2009.
MOREIRA, Teresa Coelho - Algumas implicações laborais no Regulamento
Geral de Proteção de Dados Pessoais no Trabalho 4.0. Revista Questões
Laborais. 51 (2017), p. 9-34.
MOREIRA, Teresa Coelho - O Direito à desconexão dos trabalhadores. Revista
Questões Laborais. 49 (2017), p. 7-28.
RAMALHO, Maria do Rosário Palma - Direito do Trabalho. Parte I - Dogmática
Geral, Coimbra: Almedina, 2005.

181
ÍNDICE

I. BREVE ENQUADRAMENTO 9
Da Diretiva 95/46/CE ao Regulamento (UE) 2016/679: os principais
pontos de contacto e as principais novidades 9

II. CARACTERIZAÇÃO DA ENTIDADE E ORÇAMENTAÇÃO


DOS TRABALHOS 15
1. Contacto com a entidade 15
2. Identificação dos sistemas implementados 16
3. Identificação preliminar das necessidades 16

III. PROCESSO DE ADEQUAÇÃO AO RGPD EM TRÊS FASES 19


A. Fase 1: Auditoria inicial: diagnóstico e mapeamento dos dados 19
1. Identificação das operações com dados pessoais 19
2. Inventariação dos dados pessoais 23
3. Inventariação dos intervenientes que processam dados pessoais 26
4. Inventariação dos fluxos de dados 28
5. Identificação das medidas de segurança existentes 28
6. Identificação dos riscos de privacidade 29
7. Avaliação do mérito das operações realizadas 30
8. Avaliação da forma das operações realizadas 32
9. Verificação dos requisitos de licitude do tratamento 33
10. Identificação das áreas e dimensões necessárias de atuação 34

B. Fase 2: Descrição das medidas a tomar para a adequação 35


1. Desenvolvimento de um cronograma de atuação e de
investimento 35

183
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

2. Medidas para assegurar os direitos dos titulares dos dados 36


3. Adequação das operações com dados face às finalidades do
tratamento 40
4. Adequação das operações sob o princípio da privacidade desde
a conceção 41
5. Identificação das opções existentes de sistemas e serviços 43
6. Análise dos sítios, plataformas, sistemas e similares detidos
e/ou utilizados pela entidade 45
7. Análise dos contratos existentes 49
8. Levantamento de informações junto dos prestadores de serviços
da entidade 51
9. Desenvolvimento dos suportes de recolha de dados 53
10. Desenvolvimento dos suportes de registo das atividades
de tratamento 53
11. Desenvolvimento de guia de procedimentos internos 54
12. Desenvolvimento da política de tratamento de dados pessoais
da entidade 55

C. Fase 3: Implementação das medidas necessárias para


cumprimento 56
1. Aplicação das recomendações resultantes do relatório da fase 2 56
2. Utilização dos documentos produzidos no âmbito da fase 2 56
3. Acordos sobre responsabilidades no tratamento de dados
com os subcontratantes e outros 57
4. Aditamentos aos contratos existentes e celebração de novos
contratos (escritos) 62
5. Adequação dos sítios e/ou aplicações em linha 64
6. Divulgação e aplicação das políticas desenvolvidas e
procedimentos recomendados 65
7. Cumprimento do dever de informação aos titulares dos dados 66
8. Cumprimento do dever de informação a todas as entidades 68
9. Implementação de mecanismos de licitude do tratamento válidos 69
10. Implementação de monitorização e controlos adequados 73
11. Nomeação de um responsável pela proteção de dados ou de
um encarregado da proteção de dados 74
12. Implementação de sistemas de gestão de segurança
da informação 74

184
ÍNDICE

13. Registo dos procedimentos e medidas promovidas para


demonstração da adequação 78
14. Relatório final 78

IV. PÓS-ADEQUAÇÃO AO RGPD: O PAPEL DO


ENCARREGADO DA PROTEÇÃO DE DADOS 81
1. A importância da existência de um responsável da proteção
de dados 88
2. A obrigatoriedade de nomeação de encarregado da proteção
de dados 91
3. Outros casos de nomeação de encarregado da proteção de dados 94
4. Nomeação de encarregado da proteção de dados interno ou
externo à entidade 95
5. A nomeação junto da Autoridade de Controlo 98
6. A importância da formação interna e da sensibilização para
as questões da privacidade e segurança 100
7. O registo das atividades de tratamento de dados 102
8. A fiscalização sucessiva 103
9. A(s) auditoria(s) de conformidade 104
10. A promoção de testes regulares de vulnerabilidades e a violação
da privacidade 107
11. O parecer nas avaliações de impacto da proteção de dados 108
12. A comunicação de violações da privacidade 114
A) À Autoridade de Controlo (CNPD) 114
B) Aos titulares dos dados pessoais 116

V. ANEXOS 121
Anexo I Caraterização da entidade a auditar 123
Anexo II Guia da auditoria inicial em proteção de dados 125
Anexo III Índice da política de privacidade e tratamento de dados
pe�oa� 133
Anexo IV Acordo de regulação de responsabilidades em termos
de tratamento de dados pessoais - subcontratantes 137
Anexo V Acordo de regulação de responsabilidades em termos
de tratamento de dados pessoais - responsáveis
conjuntos 143
Anexo VI Aditamento a contrato de trabalho 147

185
GUIA DO PROCESSO DE ADEQUAÇÃO AO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

Anexo VII Aditamento a contrato de prestação de serviços


-pessoa singular 151
Anexo VIII Aditamento a contrato de prestação de serviços
-empresa 155
Anexo IX Exemplo de texto informativo aos parceiros negociais
ou prestadores de serviços 157
Anexo X Declaração de consentimento para tratamento
de dados pessoais (recrutamento) 159
Anexo XI Email tipo para consentimento no tratamento
das candidaturas espontâneas 161
Anexo XII Procedimento de envio de newsletters ou outras
subscrições 163
Anexo XIII Email tipo para envio de newsletters ou outras
subscrições 165
Anexo XIV Índice do relatório final de adequação ao regulamento
geral sobre a proteção de dados 167
Anexo XV Avaliação de impacto sobre a proteção de dados
- check list 169
Anexo XVI Modelo complementar à check list da avaliação
de impacto sobre a proteção de dados 173

186