Escolar Documentos
Profissional Documentos
Cultura Documentos
existem regras específicas a seguir de acordo com o RGPD - Regulamento Geral sobre a Proteção
de Dados. E caso não as cumpra, a sua empresa fica sujeita à aplicação de coimas bastante
elevadas.
Dados recentes da Comissão Europeia mostram que "apenas 15% das pessoas sentem que têm
o controlo absoluto sobre as informações que fornecem na internet".
Não nos podemos esquecer que a Privacidade é um direito fundamental à dignidade humana.
Na verdade, esta desarmonização foi sentida por legisladores e reguladores da União Europeia
que consideraram que a legislação que vigorava antes do RGPD, não protegia suficientemente
os direitos de privacidade de dados dos titulares ao utilizarem redes sociais e serviços na
internet.
O que é o RGPD?
O RGPD (Regulamento Geral sobre a Proteção de Dados) entrou em vigor no dia 25 de maio de
2018, de forma a estabelecer regras relativas à proteção, tratamento, armazenamento e livre
circulação dos dados pessoais das pessoas singulares.
Este regulamento é um conjunto de regras definidas pela União Europeia, que garantem
a proteção da privacidade dos titulares que fornecem dados a empresas, concedendo o controlo
aos titulares destes dados.
Isto significa que o RGPD concede aos titulares dos dados vários direitos entre eles o direito de
acesso aos seus dados a todo o momento, o direito à retificação dos seus dados, o direito a
Oposição na utilização de dados pessoais para fins de "criação de perfis “, o Direito
à Legitimidade no tratamento dos seus dados, o Direito ao Esquecimento e/ou apagamento dos
seus dados, e o Direito à portabilidade.
O Direito ao apagamento dos dados pessoais poderá em algumas situações não ser possível ,
em situações previstas na legislação. De qualquer forma cabe a Entidade ou empresa justificar
e apresentar um motivo legalmente válido para não realizar o apagamento de dados a pedido
do titular.
E o que são considerados dados pessoais? Dados pessoais são todos os dados ou informações
que permitem identificar uma pessoa em particular, de forma direta ou indireta, sem esforço
razoável.
Por exemplo, informações como nome, morada, endereços de email, números de telefone, NIF
ou número do cartão do cidadão, número de contas bancárias.
O RGPD traz também uma nova categoria de dados são eles os dados sensíveis.
E o que são dados sensíveis? São todos os dados biométricos e genéticos, clínicos e ainda dados
sobre a raça, etnia, religião, opiniões políticas e orientação sexual
1. Os dados pessoais devem ser tratados de forma lícita, leal e transparente em relação ao
titular dos dados.
Neste principio o RGPD traz como pilar fundamental, o consentimento prévio e esclarecido ,
como forma de licitude.
É uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos
dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe
dizem respeito sejam objeto de tratamento para aquelas finalidades.
2. Estes dados devem ser recolhidos para certas finalidades explícitas e legítimas. Ou seja,
a sua empresa não poderá tratar posteriormente estes dados de forma incompatível
com a finalidade que usou para recolhê-los. Atenção que existem exceções quando o
tratamento é para fins de arquivo de interesse público, investigação científica, histórica
ou para fins estatísticos (deve consultar o artigo 89.º do RGPD artigo nº1).
3. Os dados recolhidos devem ser adequados, pertinentes e limitados ao que é
necessário para concretizar a (as) finalidade(s). Ou seja, apenas deve recolher o mínimo
de dados possíveis para alcançar a finalidade que comunicou ao titular dos dados.
4. As empresas que recolhem dados pessoais devem tratar os dados de forma exata e
atualizá-los sempre que seja necessário. Todos os dados inexatos devem ser
apagados ou retificados o mais breve possível.
5. Outro dos princípios é que deve conservar os dados de forma a permitir a identificação
dos titulares apenas pelo período necessário de acordo com as suas finalidades.
Contudo, existem dados que podem ser conservados durante um período de tempo
mais elevado, como os referidos no artigo 89.º do RGPD.
6. O sexto princípio é que os dados devem ser tratados de uma forma segura. Isto significa
que estes dados devem ser protegidos contra o tratamento não autorizado, ilícito e
contra a sua perda, destruição ou danificação acidental. Na prática isto quer dizer que a
sua empresa deve adotar medidas técnicas ou organizativas para garantir a integridade
e confidencialidade dos dados pessoais dos seus clientes.
7. O último princípio a considerar é o de responsabilidade. As empresas serão
responsáveis pela utilização incorreta dos dados ou por eventuais danos causados pelo
acesso indevido aos mesmos. E é neste sentido que o RGPD introduz coimas avultadas.
A coima por incumprimento da privacidade de dados sempre foi uma realidade, mas a
novidade no RGPD são os valores das coimas que poderão corresponder que pode
corresponder a 4% do volume de negócios anual global da sua empresa até aos 20
milhões de euros.
O RGPD e as leis relativas à proteção de dados definem inúmeras regras e são documentos
bastante extensos que deve consultar com tempo e com atenção. Contudo, para ter uma ideia
geral das principais regras impostas por este regulamento, apresentamos um pequeno resumo
do que deve saber.
Na hora de recolher dados e informar as pessoas sobre o que fará com estes dados
pessoais use uma linguagem simples. Explique aos consumidores quem é, porque
precisa dos seus dados pessoais, porque é que vai tratar destes dados, quem irá recebê-
los e durante quanto tempo serão conservados.
Ao celebrar contratos, apresentar documentos sobre obrigações legais, etc., a sua
empresa deve apresentar aos clientes um documento que garante a forma de licitude
escolhida, o o consentimento prévio da recolha e tratamento de dados pessoais é uma
forma de licitude. Atualmente, o consentimento é um dos fundamentos legais para o
processamento de dados. E por isso, toda a informação deve ser apresentada de forma
clara e afirmativa. Assim, as pessoas saberão exatamente o que estão a consentir.
Qualquer pessoa tem direito a aceder aos dados que forneceu. Segundo o artigo 15.º
do RGPD as pessoas podem solicitar o acesso aos seus dados pessoais a qualquer
altura. Ou seja, qualquer pessoa pode solicitar informações sobre quais são as
finalidades do tratamento dos dados, as categorias em que se inserem, os destinatários,
o prazo de conservação, como foram recolhidos, se os seus dados estão sujeitos a
decisões automatizadas (por meios tecnológicos sem envolvimento humano), etc.
Direito ao esquecimento: A sua empresa deve garantir, quando solicitado, que os dados
pessoais são apagados, desde que isso não coloque em causa a liberdade de expressão
ou capacidade de pesquisa. Além disso, também deverá assegurar o direito à limitação
do tratamento. Isto significa que ao alcançar a finalidade inicial e confirmar a inutilidade
dos dados, estes podem e devem ser apagados.
A sua empresa deve conceder às pessoas o direito de portabilidade dos dados
fornecidos. Isto significa que se um cliente autoriza a transmissão automática dos seus
dados a um novo fornecedor, deverá proceder à portabilidade dos dados.
Dê às pessoas o direito de oposição. Por exemplo, segundo as regras do RGPD, as
empresas devem garantir que as pessoas podem escolher se pretendem ou não receber
campanhas de marketing direito com os seus dados pessoais.
No caso da sua empresa utilizar a caraterização de perfis para processar pedidos de
acordos juridicamente vinculativos, como empréstimos, terá de informar os seus
clientes de tal. Além disso, deve certificar-se que o processo é feito por uma pessoa se
o pedido for recusado. Por fim, o requerente pode contestar a decisão, e todo o
procedimento de caraterização de perfis deverá seguir a base legal mais adequada.
Se a sua empresa trata dados sobre saúde, raça, orientação sexual, religião ou
convicções políticas deve ter salvaguardas medidas de proteção extraordinárias para
essas informações.
Todos os dados pessoais recolhidos devem ser salvaguardados de forma segura desde a
primeira fase, com acesso limitado apenas a quem tem necessidade de aceder aos dados
para cumprimento das finalidades de tratamento.
E não se esqueça, caso um titular exerça, por escrito, algum dos seus direitos como por
exemplo o direito ao apagamento dos dados tem no máximo 30 dias para responder a
este pedido.
Após diversas discussões, em 2019, Portugal definiu os 13 anos como idade mínima para o
consentimento requerido pelo RGPD, ou seja, para menores de 13 anos é obrigatório o
consentimento prévio na utilização dos dados pelos responsáveis legais do menor. Contudo, as
empresas devem sempre comprovar a idade dos menores, devendo dar preferência a meios de
autenticação segura.
Caso tenha dúvidas, deixamos aqui três exemplos de atividade que requerem a contratação de
um responsável pela proteção de dados:
Contudo, avalie bem esta situação. Afinal, cabe à empresa avaliar se o tratamento de dados
exige ou não a designação de um EPD. Ou seja, a Comissão Nacional de Proteção de Dados não
se pronuncia sobre casos concretos, e por isso é a sua empresa que terá de fazer essa avaliação.
Apenas uma nota: caso a sua empresa contrate um Encarregado de Proteção de Dados deve
comunicar à CNPD.
Por norma, a falta de cumprimento das regras gera uma advertência numa primeira fase,
passando posteriormente a um processo de reprimenda. Caso o incumprimento se mantenha
então a sua empresa ficará a suspensa do tratamento de dados. A partir daí aplica-se uma coima
que pode chegar até aos 20 milhões de euros. No entanto, também existe a possibilidade de a
coima corresponder a 4% do volume de negócios anual global da sua empresa.
Em Portugal foi-se ainda mais longe na parametrização das coimas, dado que se definiram
valores mínimos caso se trate de uma contraordenação grave ou muito grave.
Assim, é fundamental que a sua empresa esteja bem informada sobre as regras do RGPD para
garantir o cumprimento de todos os princípios legais e obrigações.
Onde posso ter acesso à totalidade das regras do RGPD?
As regras, normas, direitos e deveres das empresas e titulares dos dados constam no
Regulamento Geral sobre a Proteção de Dados, que está disponível em português no site
da Comissão Nacional de Proteção de Dados, mais concretamente no separador "Legislação".
Afinal, é a CNPD que controla e fiscaliza o cumprimento do RGPD em Portugal, bem como das
disposições legais impostas na Lei 58/2019, Lei 59/2019 e da Lei 41/2004, entre outras matérias
relativas à proteção de dados pessoais. Ou seja, a Comissão Nacional de Proteção de Dados
controla e fiscaliza a proteção de dados para defender os direitos, liberdades e garantias das
pessoas singulares.