UFCD 6236 – SECRETARIADO FORENSE 1

OS CLIENTES

➢ O Regulamento Geral de Proteção de Dados

✓ Como tratar os dados das pessoas singulares.
✓ Âmbito de aplicação do RGPD.

O RGPD aplica-se a dados pessoais, tratados por meios, total ou parcialmente

automatizados, ou tratados por meios não automatizados de dados pessoais contidos em
ficheiros ou a eles destinados.

O RGPD aplica-se dentro da União Europeia quando o tratamento é efetuado no contexto

das atividades de um estabelecimento de um responsável pelo tratamento ou
subcontratante situado no território da UE, independentemente de o tratamento ocorrer
dentro ou fora da União.

O RGPD aplica-se fora da União Europeia, tendo uma aplicação extraterritorial, quando o
tratamento incida sobre dados pessoais de titulares que estão na UE, e seja efetuado por
um responsável pelo tratamento ou subcontratante não estabelecido na União, quando
as suas atividades estejam relacionadas com oferta de bens e serviços (pagos ou gratuitos)
ou com o controlo do comportamento dos titulares de dados.

✓ Conceitos-base

Dados Pessoais: “informação relativa a uma pessoa singular identificada ou identificável

(«titular de dados»), é considerada identificável uma pessoa singular que possa ser
identificada, direta ou indiretamente, em especial por referência a um identificador, um
nome, um número de identificação, dados de localização, identificadores por via eletrónica,
um ou mais elementos específicos da identidade física, fisiológica, genética, mental, cultural
ou social dessa pessoa”.
 UFCD 6236 – SECRETARIADO FORENSE 2

Sistematizando podemos dividir dados pessoais em diferentes categorias:

• Biografia – data e local de nascimento, local ou locais de residência, filiação, entre outros…

• Saúde – historial clínico, dados de medicina no trabalho, entre outros …

• Vida Privada – estado civil, histórico online, entre outros …

• Aparência – dados biométricos

• Educação e trabalho – Informação do CV, locais de trabalho atuais e anteriores, escolas

frequentadas, classificações, entre outros …

✓ Dados Sensíveis

Há determinadas categorias de dados que são consideradas sensíveis:

• Origem Racial ou Étnica

• Opiniões Políticas

•Convicções Religiosas ou Filosóficas

• Filiação Sindical • Dados genéticos

• Dados biométricos

• Dados relativos à saúde

• Dados relativos à vida sexual

• Orientação sexual Regime específico (artigo 9.º)

Em princípio, o tratamento de dados sensíveis é proibido. Mas, há exceções a esta proibição,

nas situações previstas no artigo 9.º, nº.2

✓ Tratamento

Considera-se tratamento de dados: “uma operação ou um conjunto de operações efetuadas

sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não
 UFCD 6236 – SECRETARIADO FORENSE 3

automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação,

a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por
transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou
interconexão, a limitação, o apagamento ou a destruição.”

✓ Medidas de segurança técnicas e organizativas

As medidas de segurança técnicas e organizativas são implementadas com o objetivo de

garantir a segurança no tratamento dos dados e cumprir os requisitos do RGPD.

Tais medidas podem incluir a minimização do tratamento de dados pessoais, a

pseudonimização de dados pessoais o mais cedo possível, a transparência no que toca às
funções e ao tratamento de dados pessoais, a possibilidade de o titular dos dados controlar
o tratamento de dados e a possibilidade de o responsável pelo tratamento criar e melhorar
medidas de segurança.

✓ O que considerar quando se define a segurança no tratamento?

• Técnicas mais avançadas

• Custos de aplicação e natureza

• Âmbito do tratamento

• Contexto do tratamento

• Finalidades do tratamento

• Riscos na proteção dos dados pessoais

✓ Proteção de dados desde a conceção e proteção de dados por defeito

No desenvolvimento de todos os instrumentos deve ser assegurado que, por defeito, só sejam
tratados os dados pessoais que forem necessários para cada finalidade específica do
tratamento.
 UFCD 6236 – SECRETARIADO FORENSE 4

Estes conceitos devem-se ter em conta quando definimos:

• A quantidade de dados pessoais recolhidos;

• A extensão do tratamento;

• O prazo de conservação;

• A sua acessibilidade.

✓ Pseudonomização

Tratamento de dados de forma que deixem de ser atribuídos a um titular de dados

específicos sem recorrer a informações suplementares.

✓ Cifragem

A cifragem é o processo de conversão de um texto claro para um código cifrado.

✓ Consentimento

Características do consentimento:

• Demonstrável

• Quando for escrito deve ter uma linguagem clara e simples

• O titular tem o direito de retirar o consentimento a qualquer momento

• O consentimento deve ser tão fácil de retirar como de dar

• Deve ser livre e específico para cada finalidade Responsável pelo tratamento. O responsável
pelo tratamento ou controler, é o primeiro responsável pelo tratamento dos dados pessoais
que recolhe/recebe.
 UFCD 6236 – SECRETARIADO FORENSE 5

✓ Quais as responsabilidades do Responsável pelo Tratamento?

• Determina as finalidades do tratamento

• Determina os meios de tratamento

• Determina os subcontratantes: quando o responsável pelo tratamento determina o

subcontratante deve assegurar-se de que os princípios e procedimentos do RGPD (artigo 28º)

• Assegura o cumprimento dos princípios relativos ao tratamento de dados (artigo 5º)

✓ Subcontratante

Trata-se de uma pessoa singular ou coletiva, autoridade pública, agência ou outro organismo
que trate os dados pessoais por conta do responsável pelo tratamento destes.

✓ Quais as responsabilidades do Subcontratante?

• Efetuar o tratamento dos dados por conta do responsável pelo tratamento

• Pode contratar um sub-subcontratante, se o responsável pelo tratamento o consentir

• Deve ter implementadas medidas que demonstrem o cumprimento do RGPD - «O facto de

o subcontratante cumprir um código de conduta aprovado ou um procedimento de
certificação aprovado poderá ser utilizado como elemento para demonstrar o cumprimento
das obrigações do responsável pelo tratamento.»

• Manter um registo de atividades de tratamento sob a sua responsabilidade.

Para comprovar a observância do Regulamento é necessário manter um registo de atividades

de tratamento sob a sua responsabilidade (tanto quanto no que toca ao responsável pelo
tratamento como ao subcontratante).
 UFCD 6236 – SECRETARIADO FORENSE 6

✓ O contrato entre o responsável pelo tratamento e o subcontratante:

É obrigatório, de acordo com o disposto no artigo 28º do Regulamento Geral de Proteção de

Dados que seja formalizado, isto é, reduzido a escrito, um contrato entre o responsável pelo
tratamento e o subcontratante. Assim, há certos elementos que devem estar contemplados,
quando sejam aplicados e outros que são obrigatórios para segurança jurídica de ambas as
partes.

Em primeiro lugar, é importante que esteja contemplada uma cláusula de confidencialidade

por parte dos subcontratantes, isto é, todos os dados que são fornecidos ao subcontratante

devem ser tratados com confidencialidade e sigilo, por todas as pessoas que estão autorizadas

a “mexer” neles.

O tratamento dos dados efetuados não poderá ir além das instruções documentadas pelo

responsável pelo tratamento, a menos que exista alguma obrigatoriedade para tal. Nesse

caso específico, é necessário comunicar assim que possível esse requisito jurídico para o

tratamento.

O contrato também deve prever o cumprimento das medidas de segurança no que toca ao

tratamento (cumprimento do artigo 32.º). Se possível devem ser previstas, por exemplo, os

meios seguros de transferência de dados pessoais tendo em conta o risco.

De referir que a cifragem e a pseudonimização são sugeridas pelo RGPD como propostas das

medidas de segurança que se podem adotar para fazer face ao risco.

Deve também estar estipulado neste contrato a possibilidade de contratação de outro

subcontratante. Sem esta definição no contrato, não é lícito qualquer contrato ou relação

contratual com um sub-subcontratante.

 UFCD 6236 – SECRETARIADO FORENSE 7

Quando prevista, esta relação contratual deve cumprir as mesmas formalidades que a relação

entre responsável pelo tratamento e subcontratante.

O subcontratante também deve apoiar o responsável pelo tratamento, na medida do

possível, a dar seguimento aos procedimentos de exercício dos direitos dos titulares de dados.

Da mesma forma, deve apoiar o responsável pelo tratamento para que possa cumprir todas

as obrigações relacionadas com a segurança no tratamento e também que se relacionem com

o cumprimento das disposições que regulam os deveres no âmbito de violações de dados

pessoais.

Conforme o que for acordado, o subcontratante deve apagar ou devolver os dados pessoais

ao responsável pelo tratamento assim que terminar a prestação de serviços contratualizada,

apagando as cópias existentes, exceto se existirem obrigações de conservação determinadas

pela lei nacional ou europeia.

Em tudo isto, é importante que o subcontratante consiga demonstrar o cumprimento de

todas as obrigações acordadas entre as partes, disponibilizando a informação relevante para

tal.

➢ Princípios do RGPD

1. Princípio da licitude, lealdade e transparência

“Os dados pessoais são objeto de

um tratamento lícito, leal e transparente em relação ao titular dos dados.”

 UFCD 6236 – SECRETARIADO FORENSE 8

2. Licitude no tratamento: o tratamento SÓ é lícito quando estiver enquadrado numa

destas situações:

• Consentimento por parte do titular (artigo 6.º, n.º 1, al. a)

• Existência de contrato a executar ou de diligências pré-contratuais, a pedido do titular de

dados (artigo 6.º, n.º 1, al. b)

• Cumprimento de uma obrigação jurídica (artigo 6.º, n.º 1, al. c)

• Defesa dos interesses vitais do titular de dados ou de outra pessoa singular (artigo 6.º, n.º

1, al. d)

• Exercício de funções de interesse público ou exercício da autoridade pública de que está

investido o responsável pelo tratamento (artigo 6.º, n.º 1, al. e)

• Existirem interesses legítimos prosseguidos pelo responsável pelo tratamento (artigo 6.º,

n.º 1, al. f)

3. Licitude no tratamento: o tratamento de dados sensíveis é lícito quando:

• Existir consentimento explícito (artigo 9.º, n.º 2, al. a)

• For necessário para efeitos do cumprimento de obrigações e do exercício de direitos

específicos do responsável pelo tratamento de dados ou do titular em matéria de legislação

laboral, de segurança social e de proteção social (artigo 9.º, n.º 2, al. b)

• For necessário para proteger os interesses vitais do titular de dados (artigo 9.º, n.º 2, al. c)

• O tratamento for efetuado, no âmbito das suas atividades e mediante garantias adequadas,
 UFCD 6236 – SECRETARIADO FORENSE 9

por uma fundação, associação sem fins lucrativos e que prossiga fins políticos, filosóficos,

religiosos ou sindicais (artigo 9.º, n.º 2, al. d)

• O tratamento referir a dados pessoais manifestamente tornados públicos pelo seu titular

(artigo 9.º, n.º 2, al. e)

• O tratamento for necessário à declaração, ao exercício ou à defesa de um direito num

processo judicial (artigo 9.º, n.º 2, al. f)

• O tratamento for necessário por motivos de interesse público importante (artigo 9.º, n.º 2,

al. g)

• O tratamento for necessário para efeitos de medicina do trabalho preventiva, avaliação da

capacidade de trabalho do empregado, diagnóstico médico, prestação de cuidados ou

tratamentos de saúde, ou de ação social (artigo 9.º, n.º 2, al. h)

• O tratamento for necessário por motivos de interesse público no domínio da saúde pública

(artigo 9.º, n.º 2, al. i)

• O tratamento for necessário para fins de arquivo de interesse publico, investigação científica

ou histórica ou fins estatísticos (artigo 9.º, n.º 2, al. j)

4. Princípio da limitação das finalidades

“Os dados pessoais são recolhidos para finalidades determinadas, explícitas e legítimas e não

podendo ser tratados posteriormente de uma forma incompatível com essas finalidades”.
 UFCD 6236 – SECRETARIADO FORENSE 10

As finalidades devem ser:

• Determinadas

• Explícitas

• Legítimas

Os dados pessoais apenas podem ser tratados de acordo com as finalidades do tratamento.

Essas finalidades devem ser determinadas, isto é, para o tratamento de dados ser lícito e

legítimo as finalidades devem coincidir com os dados recolhidos, num contexto de

necessidade e proporcionalidade.

Os dados não podem ser tratados posteriormente de forma incompatível com essa finalidade.

5. Princípio da minimização dos dados

“Os dados pessoais são adequados, pertinentes e limitados ao que é necessário relativamente

às finalidades para as quais são tratados”.

Esta minimização aplica-se não só à quantidade de dados recolhida, mas também à

quantidade de pessoas que têm acesso a estes durante o tratamento, num sentido de

diminuição do risco.

Este princípio também deve ser tido em conta no âmbito da proteção de dados por conceção

e por defeito.
 UFCD 6236 – SECRETARIADO FORENSE 11

6. Princípio da exatidão dos dados

“Os dados pessoais são exatos e atualizados sempre que necessário; devem ser adotadas

todas as medidas adequadas para que os dados inexatos, tendo em conta as finalidades para

que são tratados, sejam apagados ou retificados sem demora.

Os dados devem ser:

• Exatos

• Atualizados, sempre que necessário.

Os dados inexatos devem ser apagados e retificados da forma mais célere possível.

7. Princípio da limitação da conservação

“Os dados pessoais são conservados de uma forma que permita a identificação dos titulares

dos dados apenas durante o período necessário para as finalidades para as quais são tratados;

os dados pessoais podem ser conservados durante períodos mais longos, desde que sejam

tratados exclusivamente para fins de arquivo de interesse público, ou para fins de

investigação científica ou histórica ou para fins estatísticos (…)”.

A conservação dos dados deve ser determinada tendo em conta as finalidades para que foram

recolhidos.
 UFCD 6236 – SECRETARIADO FORENSE 12

Exceções - Conservação por períodos mais longos quando:

• Fins de arquivo de interesse público

• Fins de investigação científica ou histórica

• Fins estatísticos.

8. Princípio da integridade e confidencialidade

“Os dados são tratados de uma forma que garanta a sua segurança, incluindo a proteção

contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou

danificação acidental, adotando as medidas técnicas ou organizativas adequadas”.

O tratamento dos dados deve ter em conta:

• Garantia de segurança

• Proteção contra o tratamento não autorizado ou ilícito

• Proteção contra perda, destruição ou danificação acidental

• Adoção de medidas técnicas ou organizativas adequadas.

✓ (Auto) Responsabilidade

O responsável pelo tratamento é responsável pelo cumprimento da licitude do tratamento e

tem de poder comprová-lo.

 UFCD 6236 – SECRETARIADO FORENSE 13

O controlo prévio deixará de existir e dará lugar à fiscalização.

✓ Direitos dos titulares de dados

O RGPD prevê qual a informação que deve ser facultada ao titular de aquando da recolha dos

seus dados pessoais.

As informações a disponibilizar inserem-se em dois catálogos, o previsto no artigo 13.º, que

estabelece as informações a facultar quando os dados são recolhidos junto do titular, e o

previsto no artigo 14.º, que prevê as informações a facultar quando os dados pessoais não

são recolhidos junto do titular.

Além deste direito à informação, o titular de dados pessoais tem também os seguintes

direitos:

o Direito de Acesso

O titular pode obter por parte do responsável pelo tratamento a confirmação de que os dados

pessoais que lhe digam respeito são ou não objeto de tratamento.

Se for esse o caso, o titular poderá ter acesso às seguintes informações:

• As finalidades do tratamento dos dados;

• As categorias dos dados pessoais em questão;

 UFCD 6236 – SECRETARIADO FORENSE 14

• Os destinatários ou categorias de destinatários a quem os dados pessoais foram ou serão

divulgados;

• O prazo previsto de conservação dos dados pessoais;

• A existência do direito de solicitar a retificação, o apagamento ou a limitação do tratamento

dos dados pessoais;

• O direito de apresentar reclamação a uma autoridade de controlo;

• Se os dados não tiverem sido recolhidos junto do titular, as informações disponíveis sobre

a origem desses dados;

• A existência de decisões automatizadas, incluindo a definição de perfis.

o Direito de Retificação

O titular tem direito de obter do responsável pelo tratamento, sem demora injustificada, a

retificação dos dados inexatos que lhe digam respeito.

o Direito ao Esquecimento

O titular dos dados tem direito ao esquecimento quando se aplique um dos seguintes

motivos:

✓ Os dados deixaram de ser necessários para a finalidade que motivou a sua recolha ou

tratamento
 UFCD 6236 – SECRETARIADO FORENSE 15

✓ O titular retira o consentimento em que se baseia o tratamento e não existe outro

fundamento

✓ O titular opõe-se ao tratamento fazendo valer o seu direito à oposição e se não existirem

interesses legítimos do responsável pelo tratamento prevalecentes

✓ O titular opõe-se ao tratamento no âmbito do direito à oposição de tratamento para fins

de comercialização direta

✓ Os dados pessoais foram tratados ilicitamente

✓ Os dados pessoais têm que ser apagados para cumprimento de uma obrigação jurídica

✓ Os dados pessoais foram recolhidos no contexto da oferta de serviços da sociedade de

informação referidos no artigo 8.º.

o Direito à limitação do tratamento

O titular dos dados pode limitar o tratamento quando se verifique uma das seguintes

situações:

✓ Contestar a exatidão dos dados pessoais, durante o período que permita ao responsável

pelo tratamento verificar a sua exatidão

✓ O tratamento for ilícito e o titular dos dados se opuser ao apagamento dos dados pessoais

e solicitar em contrapartida a limitação do seu tratamento

 UFCD 6236 – SECRETARIADO FORENSE 16

✓ O responsável pelo tratamento já não precisa de dados pessoais para fins de tratamento,

mas esses dados sejam requeridos pelo titular para efeitos de declaração, exercício ou defesa

de um direito num processo judicial

✓ Se o titular de dados se tiver oposto ao tratamento no âmbito de decisões automatizadas

(artigo 21.º, n.º 1), até se verificar que os interesses legítimos de o responsável pelo

tratamento prevalecem sobre os do titular dos dados.

o Direito à portabilidade dos dados:

• Direito a receber os dados pessoais

• Direito de transmitir os dados pessoais a outro responsável pelo tratamento “sem

impedimentos”.

A portabilidade de dados apenas abrange situações em que o tratamento se baseia:

• No consentimento

• Num contrato

✓ Que dados pessoais devem ser incluídos:

Dados pessoais que digam respeito ao titular;

Dados que tenham sido fornecidos pelo titular dos dados a um responsável pelo tratamento

de forma ativa e consciente (p. ex., endereço postal, nome de utilizador, idade, etc.);
 UFCD 6236 – SECRETARIADO FORENSE 17

Em virtude da utilização do serviço ou do dispositivo (podem incluir, por exemplo, o histórico

das pesquisas realizadas por uma pessoa, dados de tráfego e dados de localização.

Podem igualmente incluir outros dados brutos, como, por exemplo, o ritmo cardíaco

monitorizado por um dispositivo vestível («wearable»).

O pedido deve ser respondido no prazo de um mês, podendo ser alargado até 3 meses nos

casos mais complexos.

Os responsáveis pelo tratamento não podem permanecer em silêncio quando instados a

responder a um pedido de portabilidade.

✓ Direito de Oposição

O titular tem direito de se opor ao tratamento de dados quando:

• Tendo em conta a sua situação particular, o tratamento seja baseado no exercício de

funções de interesse público ou autoridade pública ou,

• Tendo em conta a sua situação particular, o tratamento seja baseado para prossecução de

interesses legítimos do responsável pelo tratamento ou,

• Tendo em conta a sua situação particular, os dados forem tratados para efeitos de

comercialização direta ou,

• Tendo em conta a sua situação particular, os dados forem utilizados para fins de

investigação histórica ou científica ou para fins estatísticos

• Tendo em conta a sua situação particular, o tratamento incluir definição de perfis de forma

automática.
 UFCD 6236 – SECRETARIADO FORENSE 18

✓ Decisões Individuais Automatizadas

O titular tem direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base

no tratamento automatizado, exceto quando:

• For necessária para a celebração ou a execução de um contrato entre o titular de dados e

um responsável pelo tratamento (artigo 22, n.º 2, al.a)

• For autorizada pelo direito da União ou de um Estado-membro a que o responsável pelo

tratamento esteja sujeito (artigo 22.º, n.º 2, al. b)

• For baseada no consentimento explícito do titular de dados (artigo 22.º, n.º 2, al.c)