Recolha e registo de dados

existem regras específicas a seguir de acordo com o RGPD - Regulamento Geral sobre a Proteção
de Dados. E caso não as cumpra, a sua empresa fica sujeita à aplicação de coimas bastante
elevadas.

A quem se aplica o RGPD?

 uma empresa ou entidade que efetue o tratamento de dados pessoais com sede ou
sucursal na União Europeia, independentemente do local onde os dados são tratados;
ou,
 uma empresa com sede fora da UE mas que oferece bens/serviços (pagos ou gratuitos)
e que para isso tem acesso a dados de pessoas na UE.

Dados recentes da Comissão Europeia mostram que "apenas 15% das pessoas sentem que têm
o controlo absoluto sobre as informações que fornecem na internet".

Por que razão sentiu a União Europeia necessidade em elaborar o RGPD?

A palavra de ordem é. harmonização sobre o tema da privacidade. Foi sentido que este tema da
proteção da privacidade nos dados estaria a ter diversas interpretações entre os vários países
da UE, colocando desta forma, em causa, a proteção da privacidade dos dados

Não nos podemos esquecer que a Privacidade é um direito fundamental à dignidade humana.

Na verdade, esta desarmonização foi sentida por legisladores e reguladores da União Europeia
que consideraram que a legislação que vigorava antes do RGPD, não protegia suficientemente
os direitos de privacidade de dados dos titulares ao utilizarem redes sociais e serviços na
internet.

O que é o RGPD?
O RGPD (Regulamento Geral sobre a Proteção de Dados) entrou em vigor no dia 25 de maio de
2018, de forma a estabelecer regras relativas à proteção, tratamento, armazenamento e livre
circulação dos dados pessoais das pessoas singulares.

Este regulamento é um conjunto de regras definidas pela União Europeia, que garantem
a proteção da privacidade dos titulares que fornecem dados a empresas, concedendo o controlo
aos titulares destes dados.

Ou seja, antes da aprovação deste regulamento, as empresas "assumiam" a propriedade dos

dados pessoais dos seus clientes e não só. Mas atualmente é evidente que a propriedade dos
dados não pertence às empresas que os recolhem ou processam, e sim dos titulares.

Isto significa que o RGPD concede aos titulares dos dados vários direitos entre eles o direito de
acesso aos seus dados a todo o momento, o direito à retificação dos seus dados, o direito a
Oposição na utilização de dados pessoais para fins de "criação de perfis “, o Direito
à Legitimidade no tratamento dos seus dados, o Direito ao Esquecimento e/ou apagamento dos
seus dados, e o Direito à portabilidade.

O Direito ao apagamento dos dados pessoais poderá em algumas situações não ser possível ,
em situações previstas na legislação. De qualquer forma cabe a Entidade ou empresa justificar
e apresentar um motivo legalmente válido para não realizar o apagamento de dados a pedido
do titular.
E o que são considerados dados pessoais? Dados pessoais são todos os dados ou informações
que permitem identificar uma pessoa em particular, de forma direta ou indireta, sem esforço
razoável.

Por exemplo, informações como nome, morada, endereços de email, números de telefone, NIF
ou número do cartão do cidadão, número de contas bancárias.

O RGPD traz também uma nova categoria de dados são eles os dados sensíveis.

E o que são dados sensíveis? São todos os dados biométricos e genéticos, clínicos e ainda dados
sobre a raça, etnia, religião, opiniões políticas e orientação sexual

Quais os princípios a seguir no tratamento de dados pessoais dos clientes?

Segundo o Regulamento Geral sobre a Proteção de Dados, as empresas devem seguir
determinados princípios na hora de tratarem os dados pessoais, destacando-se os seguintes
sete princípios:

1. Os dados pessoais devem ser tratados de forma lícita, leal e transparente em relação ao
titular dos dados.

Neste principio o RGPD traz como pilar fundamental, o consentimento prévio e esclarecido ,
como forma de licitude.

Mas o que é o Consentimento prévio?

É uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos
dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe
dizem respeito sejam objeto de tratamento para aquelas finalidades.

2. Estes dados devem ser recolhidos para certas finalidades explícitas e legítimas. Ou seja,
a sua empresa não poderá tratar posteriormente estes dados de forma incompatível
com a finalidade que usou para recolhê-los. Atenção que existem exceções quando o
tratamento é para fins de arquivo de interesse público, investigação científica, histórica
ou para fins estatísticos (deve consultar o artigo 89.º do RGPD artigo nº1).
3. Os dados recolhidos devem ser adequados, pertinentes e limitados ao que é
necessário para concretizar a (as) finalidade(s). Ou seja, apenas deve recolher o mínimo
de dados possíveis para alcançar a finalidade que comunicou ao titular dos dados.
4. As empresas que recolhem dados pessoais devem tratar os dados de forma exata e
atualizá-los sempre que seja necessário. Todos os dados inexatos devem ser
apagados ou retificados o mais breve possível.
5. Outro dos princípios é que deve conservar os dados de forma a permitir a identificação
dos titulares apenas pelo período necessário de acordo com as suas finalidades.
Contudo, existem dados que podem ser conservados durante um período de tempo
mais elevado, como os referidos no artigo 89.º do RGPD.
6. O sexto princípio é que os dados devem ser tratados de uma forma segura. Isto significa
que estes dados devem ser protegidos contra o tratamento não autorizado, ilícito e
contra a sua perda, destruição ou danificação acidental. Na prática isto quer dizer que a
sua empresa deve adotar medidas técnicas ou organizativas para garantir a integridade
e confidencialidade dos dados pessoais dos seus clientes.
7. O último princípio a considerar é o de responsabilidade. As empresas serão
responsáveis pela utilização incorreta dos dados ou por eventuais danos causados pelo
acesso indevido aos mesmos. E é neste sentido que o RGPD introduz coimas avultadas.
 A coima por incumprimento da privacidade de dados sempre foi uma realidade, mas a
novidade no RGPD são os valores das coimas que poderão corresponder que pode
corresponder a 4% do volume de negócios anual global da sua empresa até aos 20
milhões de euros.

Quais são as principais regras?

O RGPD e as leis relativas à proteção de dados definem inúmeras regras e são documentos
bastante extensos que deve consultar com tempo e com atenção. Contudo, para ter uma ideia
geral das principais regras impostas por este regulamento, apresentamos um pequeno resumo
do que deve saber.

 Na hora de recolher dados e informar as pessoas sobre o que fará com estes dados
pessoais use uma linguagem simples. Explique aos consumidores quem é, porque
precisa dos seus dados pessoais, porque é que vai tratar destes dados, quem irá recebê-
los e durante quanto tempo serão conservados.
 Ao celebrar contratos, apresentar documentos sobre obrigações legais, etc., a sua
empresa deve apresentar aos clientes um documento que garante a forma de licitude
escolhida, o o consentimento prévio da recolha e tratamento de dados pessoais é uma
forma de licitude. Atualmente, o consentimento é um dos fundamentos legais para o
processamento de dados. E por isso, toda a informação deve ser apresentada de forma
clara e afirmativa. Assim, as pessoas saberão exatamente o que estão a consentir.
 Qualquer pessoa tem direito a aceder aos dados que forneceu. Segundo o artigo 15.º
do RGPD as pessoas podem solicitar o acesso aos seus dados pessoais a qualquer
altura. Ou seja, qualquer pessoa pode solicitar informações sobre quais são as
finalidades do tratamento dos dados, as categorias em que se inserem, os destinatários,
 o prazo de conservação, como foram recolhidos, se os seus dados estão sujeitos a
decisões automatizadas (por meios tecnológicos sem envolvimento humano), etc.
 Direito ao esquecimento: A sua empresa deve garantir, quando solicitado, que os dados
pessoais são apagados, desde que isso não coloque em causa a liberdade de expressão
ou capacidade de pesquisa. Além disso, também deverá assegurar o direito à limitação
do tratamento. Isto significa que ao alcançar a finalidade inicial e confirmar a inutilidade
dos dados, estes podem e devem ser apagados.
 A sua empresa deve conceder às pessoas o direito de portabilidade dos dados
fornecidos. Isto significa que se um cliente autoriza a transmissão automática dos seus
dados a um novo fornecedor, deverá proceder à portabilidade dos dados.
 Dê às pessoas o direito de oposição. Por exemplo, segundo as regras do RGPD, as
empresas devem garantir que as pessoas podem escolher se pretendem ou não receber
campanhas de marketing direito com os seus dados pessoais.
 No caso da sua empresa utilizar a caraterização de perfis para processar pedidos de
acordos juridicamente vinculativos, como empréstimos, terá de informar os seus
clientes de tal. Além disso, deve certificar-se que o processo é feito por uma pessoa se
o pedido for recusado. Por fim, o requerente pode contestar a decisão, e todo o
procedimento de caraterização de perfis deverá seguir a base legal mais adequada.
 Se a sua empresa trata dados sobre saúde, raça, orientação sexual, religião ou
convicções políticas deve ter salvaguardas medidas de proteção extraordinárias para
essas informações.
 Todos os dados pessoais recolhidos devem ser salvaguardados de forma segura desde a
primeira fase, com acesso limitado apenas a quem tem necessidade de aceder aos dados
para cumprimento das finalidades de tratamento.
 E não se esqueça, caso um titular exerça, por escrito, algum dos seus direitos como por
exemplo o direito ao apagamento dos dados tem no máximo 30 dias para responder a
este pedido.

Quais as regras do RGPD quanto a dados pessoais de menores de idade?

Por norma, a recolha de dados pessoais de menores levanta algumas questões quanto às regras
estabelecidas no RGPD. Teoricamente, a recolha de dados pessoais de menores de 16 anos de
idade requer o consentimento dos responsáveis legais do menor. No entanto, o Regulamento
Geral sobre a Proteção de Dados dá a liberdade para os Estados Membros da União Europeia
reduzirem esta limitação entre os 13 e os 16 anos de idade.

Após diversas discussões, em 2019, Portugal definiu os 13 anos como idade mínima para o
consentimento requerido pelo RGPD, ou seja, para menores de 13 anos é obrigatório o
consentimento prévio na utilização dos dados pelos responsáveis legais do menor. Contudo, as
empresas devem sempre comprovar a idade dos menores, devendo dar preferência a meios de
autenticação segura.

A minha empresa precisa de um encarregado de proteção de dados?

Depende. Na verdade, nem sempre é obrigatório uma empresa ter um responsável pela
proteção de dados. De acordo com o RGPD, esta obrigação depende da quantidade de dados
que a sua empresa recolhe, se o tratamento de dados é a sua atividade principal e se o faz em
grande escala.
Contudo, as entidades públicas estão sempre obrigadas a ter um responsável pela proteção de
dados, designado de EPD. Já as empresas que tratem dados sensíveis ou dados relativos
a condenações penais e infrações também estão obrigadas a ter um EPD.

Caso tenha dúvidas, deixamos aqui três exemplos de atividade que requerem a contratação de
um responsável pela proteção de dados:

 Recolha e tratamento de dados pessoais para selecionar publicidade através de motores

de busca com base nos comportamentos das pessoas em linha;
 Tratamento de dados sensíveis sobre genética e saúde.
 Empresas. Publicas

Contudo, avalie bem esta situação. Afinal, cabe à empresa avaliar se o tratamento de dados
exige ou não a designação de um EPD. Ou seja, a Comissão Nacional de Proteção de Dados não
se pronuncia sobre casos concretos, e por isso é a sua empresa que terá de fazer essa avaliação.

Apenas uma nota: caso a sua empresa contrate um Encarregado de Proteção de Dados deve
comunicar à CNPD.

O que acontece caso se incumprir o RGPD?

Como referido, em Portugal é a Comissão Nacional de Proteção de Dados que efetua o controlo
do cumprimento do RGPD, sendo este processo coordenado a nível da União Europeia. No
entanto, saiba que se a sua empresa entrar em incumprimento, as coimas são bastante
elevadas.

Por norma, a falta de cumprimento das regras gera uma advertência numa primeira fase,
passando posteriormente a um processo de reprimenda. Caso o incumprimento se mantenha
então a sua empresa ficará a suspensa do tratamento de dados. A partir daí aplica-se uma coima
que pode chegar até aos 20 milhões de euros. No entanto, também existe a possibilidade de a
coima corresponder a 4% do volume de negócios anual global da sua empresa.

Em Portugal foi-se ainda mais longe na parametrização das coimas, dado que se definiram
valores mínimos caso se trate de uma contraordenação grave ou muito grave.

Assim, estão previstos os seguintes valores por tipologia de contraordenação:

No caso de uma contraordenação grave, as coimas mínimas previstas são:

 1.000€ para PME;

 2.500€ para grandes empresas;
 500€ para pessoas singulares.

No caso de uma contraordenação muito grave, as coimas mínimas previstas são:

 2.000€ para PME;

 5.000€ para grandes empresas;
 1.000€ para pessoas singulares

Assim, é fundamental que a sua empresa esteja bem informada sobre as regras do RGPD para
garantir o cumprimento de todos os princípios legais e obrigações.
Onde posso ter acesso à totalidade das regras do RGPD?
As regras, normas, direitos e deveres das empresas e titulares dos dados constam no
Regulamento Geral sobre a Proteção de Dados, que está disponível em português no site
da Comissão Nacional de Proteção de Dados, mais concretamente no separador "Legislação".

Afinal, é a CNPD que controla e fiscaliza o cumprimento do RGPD em Portugal, bem como das
disposições legais impostas na Lei 58/2019, Lei 59/2019 e da Lei 41/2004, entre outras matérias
relativas à proteção de dados pessoais. Ou seja, a Comissão Nacional de Proteção de Dados
controla e fiscaliza a proteção de dados para defender os direitos, liberdades e garantias das
pessoas singulares.

Já em relação às empresas, estas devem colaborar com a CNPD, facultando as informações

solicitadas, bem como o acesso ao sistema informático, a ficheiros de dados pessoais ou a
qualquer documentação relativa a tratamento de dados pessoais.