Direito de acesso, de informação e política de proteção de dados

Diogo Pereira Duarte

 Índice
• Delimitação do tema de hoje
• Transparência, direito de informação, medidas adequadas e responsabilidade
proactiva
• Regras gerais sobre o modo de prestar informação
• Informação ao titular dos dados (relativa à recolha)
• Informação para efeitos do consentimento
• Informação relativa ao exercício de direitos
• Informação no contexto de um evento de violação de dados
• As normas nacionais restritivas de direitos (artigo 23º RGPD)
• RGPD e o dever de segredo
• Algumas imposições legais nacionais do dever de segredo
• O artigo 20º da lei 58/2019, de 8 de agosto
• O parecer 20/2018 e Deliberação/2019/494, da CNPD
• O direito comparado
• Conclusão

2
 transparência
(cons. 39) Deverá ser transparente para as pessoas singulares
que os dados pessoais que lhes dizem respeito são recolhidos,
utilizados, consultados ou sujeitos a qualquer outro tipo de
tratamento e a medida em que os dados pessoais são ou virão
a ser tratados. /…/
Esse princípio diz respeito, em particular, às informações
fornecidas aos titulares dos dados sobre a identidade do
responsável pelo tratamento dos mesmos e os fins a que o
tratamento se destina, bem como às informações que se
destinam a assegurar que seja efetuado com equidade e
transparência para com as pessoas singulares em causa, bem
como a salvaguardar o seu direito a obter a confirmação e a
comunicação dos dados pessoais que lhes dizem respeito que
estão a ser tratados.

3
 áreas chave do direito de informação
do RGPD
• informação aos titulares de dados (relativa à
recolha);
• informação para efeito de consentimento;
• Informação no âmbito do exercício de direitos;
• Informação sobre data breach (violação de
dados).

4
 Responsabilidade (accountability)
(cons. 78) A defesa dos direitos e liberdades das pessoas
singulares relativamente ao tratamento dos seus dados
pessoais exige a adoção de medidas técnicas e
organizativas adequadas, a fim de assegurar o
cumprimento dos requisitos do presente regulamento.
Para poder comprovar a conformidade com o presente
regulamento, o responsável pelo tratamento deverá
adotar orientações internas e aplicar medidas que
respeitem os princípios de proteção de dados desde a
conceção e da proteção de dados por defeito /…/. Tais
medidas podem incluir /…/ a transparência no que toca
às funções e ao tratamento de dados pessoais.

5
regras gerais sobre o modo de prestar
a informação
• “medidas adequadas”;
• concisa, transparente, inteligível e de fácil acesso;
• linguagem clara e simples;
(ref. à Diretiva 93/13/CE)
• em especial para com crianças;
• por escrito, ou outros meios quando adequado;
• oralmente, quando solicitado;
• de forma gratuita;
6
7
 Informação aos titulares dos dados
(relativa à recolha)
• “medidas adequadas”;
• tempo;
• conteúdo básico;
• “riscos, regras e garantias”;
• alterações;
• exceções gerais

8
Em especial; riscos, regras e garantias
A (s) política (s) internas de proteção de dados devem conter:
• governance de proteção de dados;
• os critérios de abordagem ao risco (finalidades adicionais /
interesse legítimo / DPIAS / violação de dados );
• proteção by design e by default;
• segurança (política de segurança da informação);
• relação com terceiros;
• work flow sobre exercício de direitos;
• work flow sobre reclamações;
• work flow de eventos de violação de dados

9
Autoridades de controlo (ao abrigo do
RGPD)
• CNPD (deliberação 2019/222; 2019/207);
• Agência española protección datos
(procedimiento n.º PS/00266/2019;
procedimiento n.º PS/00268/2019)

10
 consentimento
Informação sobre os elementos necessários para
fazer uma escolha informada, v.g:
• responsável;
• tipo de dados;
• finalidades;
• o direito a retirar o consentimento.

11
 Exercício de direitos
• informação sobre as medidas tomadas;
• informações adicionais (identificação e
objeto);
• prazo;
• recusa.

12
 acesso
• o artigo 15.º e considerando 63 estabelecem o
conteúdo do direito de acesso
• o titular dos dados tem o direito de obter do
responsável pelo tratamento a confirmação de
que os dados pessoais que lhe digam respeito
são ou não objeto de tratamento e, se for esse
o caso, o direito de aceder aos seus dados
pessoais e às seguintes informações.

13
 data breach
• elevado risco para os direitos e liberdades das
pessoas singulares;
• conteúdo da comunicação;
• tempo da comunicação;
• modo da comunicação;
• exceções.

14
 as restrições do artigo 23º
• O artigo 23º do RGPD permite que o direito de
informação, o direito de acesso ou
portabilidade possam ser limitados pelos
direitos nacionais

15
 RGPD e o dever de segredo
• O RGPD admite que o dever de segredo possa limitar
os poderes inspetivos das autoridades de controlo
(artigo 90º) – ver secção 29 (3) da DSAnpUG-EU

• O dever legal de segredo (sigilo profissional e outras

obrigações legais de confidencialidade) está
expressamente previsto no artigo 14º /5, d), e implícito
nas referências a direitos e liberdades de terceiros, pois
sobre eles o responsável tem também um dever (legal)
de confidencialidade (5º/1/f) e artigo 32º).

16
Ex. de imposições legais (nacionais) do
dever de segredo

• Artigo 78º do RGICSF

• Artigo 54.º da Lei BC/FT
• Artigo 92.º EOA
• Artigo 139º EOM

17
 artigo 20º da Lei 58/2019

• Âmbito do artigo 20º

• Prevalência do dever de segredo, na Lei

58/2019, de 8 de agosto e a Deliberação de
desaplicação da CNPD

18
 Direito comparado
• A secção 29 da Lei de Proteção de Dados (alemã) dedica-se a regular os direitos
dos titulares dos dados e os poderes da autoridade de controlo no caso de deveres
de sigilo
• Encontramos restrições ao direito de informação no par. 1 1ª e 3ª partes / no
parágrafo 2 (limitação que também se encontra na secção 32, parágrafo 5)
• Encontramos restrições ao direito de acesso no parágrafo 1, 2ª parte
• Também no Data Protection Bill (UK) encontramos no schedule 2 (exemptions from
the GDPR) exceções aos artigos 13º a 15º baseadas no artigo 23º relacionadas com
deveres de confidencialidade para com terceiros (Part 3) – exceção ao direito de
acesso - ou decorrentes da prevalência de legal professional previlege ou
confidentality of communications (scotland) (Part 4) – exceção ao direito de acesso
e informação
• O mesmo sucede na Suécia, na Lei 2018:218, de proteção de dados) (Capítulo 5:
restrições a certos direitos e obrigações), que estabelece uma limitação aos artigos
13-15 do RGPD . Estabelecendo que esses preceitos não se aplicarão aos dados
que o responsável pelo tratamento não pode revelar nos termos da lei ou de outra
disposição

19
 Obrigado!
diogoduarte@fd.ulisboa.pt

20