Lei Europeia de Proteção de Dados e Esboço de Prática

Secção I: Introdução à protecção de dados europeia

 Origens e Contexto Histórico da Lei de Proteção de Dados
o Justificativa: aumento de computadores para a década de 1970
o Comércio transfronteiriço
 Equilíbrio entre as preocupações nacionais em matéria de liberdade pessoal e de
privacidade e a capacidade de apoiar o comércio livre a nível da CEE
 É também aqui que a UE obtém a autoridade para regular a privacidade (livre
circulação)
o Leis de Direitos Humanos
 DUDH 1948
 "a dignidade inerente e os direitos iguais e inalienáveis de todos os membros da
raça humana na fundação da liberdade, da justiça e da paz no mundo"
 ART 12: direito à privacidade
 ART 19: direito à liberdade de informação/transferência de informações
 ARTIGO 29.º, n.º 2: ponderação dos direitos
 TEDH
 Conselho da Europa, Roma 1950 (entrou em vigor em 1953)
 Tribunal Europeu de RH (Estrasburgo)=> sistema de execução, decisões
vinculativas
o Pode igualmente emitir pareceres consultivos sobre a CEDH
 ART 8º: direito à privacidade
o Necessidade e proporcionalidade, interesse público, não um direito
absoluto
 ART 10: direito à liberdade de expressão/informação
 ARTIGO 10.º, n.º 2: equilíbrio, razões para violar direitos
o Necessário numa sociedade democrática
o Segurança nacional
o Integridade territorial
o Segurança pública
o Prevenção da desordem ou do crime
o Protecção da saúde ou da moral
o Proteção da reputação ou dos direitos de terceiros
o Impedir a divulgação de informações recebidas em sigilo
o Manter a autoridade e a imparcialidade do Poder Judiciário
o Leis antigas/antecessoras
 Décadas de 1960 a 1980: países com leis que controlam o uso de informações pessoais
por governos e grandes empresas
 A perna nacional não protegeu adequadamente o direito à privacidade com
tecnologia emergente
o Recc 509 sobre RH e desenvolvimentos científicos e tecnológicos
modernos
 1973/4: Resoluções 73/2 e 74/29 do Comité das Regiões: princípios da
protecção de dados em bancos de dados automatizados
 Orientações da OCDE (sobre a proteção da privacidade e dos fluxos transfronteiriços de
dados pessoais)

1
  facilitar a harmonização da legislação de proteção de dados entre os países
 não juridicamente vinculativo
 nenhuma distinção entre informações pessoais coletadas eletronicamente ou
não
 Aviso ou consentimento
 Finalidade específica da coleta
 direitos individuais de obter informações do controlador de dados
 equilibrar privacidade e livre fluxo de informações/comércio
 As leis nacionais podem ter padrões mais elevados
 Convenção 108 (1981)
 Convenção do Comité das Regiões (para a Protecção das Pessoas no que diz
respeito ao Tratamento Automatizado de Dados Pessoais)
 Aberto à assinatura de países fora da Europa!
 Juridicamente vinculativo: primeiro instrumento internacional vinculativo para
estabelecer normas para os dados pessoais e o equilíbrio com livre fluxo de
informações para o comércio internacional
 Aqueles que usam informações pessoais têm responsabilidade social para
proteger esses dados pessoais
 Com base nos princípios do CoE 73/22 e 74/29
 Exceções permitidas para os signatários quando medida necessária na
sociedade democrática (por exemplo, segurança do Estado ou investigação
crim) **proporcionalidade
 LIVRE FLUXO DE INFORMAÇÕES ENTRE SIGNATÁRIOS b/c nível mínimo de
proteção
 Protocolo adicional trata de transferências para países que não são signatários
o Interesses legítimos do indivíduo
o No interesse público
o Transferência baseada em cláusulas contratuais aprovadas pela
autoridade de supervisão
 Assistência mútua com as autoridades de controlo
 Ainda é o único instrumento jurídico vinculativo com um âmbito de aplicação
mundial no domínio da proteção de dados aberto a qualquer país
o Harmonização na Europa
 Diretiva de Proteção de Dados (95/46/CE)
 Comissão Europeia convidou o Parlamento Europeu em 1976, em vigor em 1995
 Diretivas são legislação, mas deixam os métodos de implementação para os
Estados-Membros
 Com base na Convenção 108
 Diferenças nos resultados nos Estados-Membros (aplicação incorrecta, normas
diferentes)
o Por exemplo, obrigação de notificar os DPAs locais sobre detalhes de
processamento
o Corrigido com GDPR
 Carta dos Direitos Fundamentais
 UE, 2000 em Nice, consolida RH fundamental na Europa
 Refere-se especificamente à proteção de dados pessoais (ao contrário da CEDH,
que apenas tem direito à privacidade)

2
  ART 7º: direito à privacidade
 ART 8.º: direitos de proteção de dados
o De forma justa para fins específicos, consentimento ou algum outro
interesse legítimo estabelecido por lei
o Valores básicos: (1) justo, (2) finalidade especificada, (3) base legítima
para o processamento, (4) direito individual de acessar e retificar dados
pessoais, (5) autoridade de supervisão para supervisionar o
cumprimento
 ART 10: direito à transferência de informações
 ART 52: necessidade e proporcionalidade (equilíbrio)
 Tratado de Lisboa
 TUE e TFUE
 ARTIGO 16.º, n.º 1 do TFUE: todas as pessoas têm direito à proteção dos dados
pessoais
 ARTIGO 16.º, n.º 2: todas as instituições da UE devem proteger as pessoas
singulares no tratamento de dados pessoais
o As APD nacionais também podem ter jurisdição
 O Tratado de Maastricht não mencionou os direitos fundamentais,
 RGPD
 A Comissão lançou uma revisão do atual quadro jurídico em 2009/2010 para
reforçar as regras de proteção de dados
 Regulamentos obrigatórios em sua totalidade e aplicáveis diretamente aos
Estados membros imediatamente = > maximizar a consistência da abordagem
o Os Estados-Membros ainda podem promulgar leis mais específicas em
alguns casos
 Leis já específicas em vigor (por exemplo, retenção de dados de
funcionários)
 Fins de arquivamento de interesse público, fins de pesquisa
científica ou histórica, fins estatísticos
 Tratamento de categorias especiais de dados
 Processamento em conformidade com a obrigação legal
 PRINCIPAIS MUDANÇAS
o Direitos mais fortes para os indivíduos (especialmente online)
o Proteção de dados desde a conceção e por defeito (nova tecnologia
desenvolvida)
o Responsabilidade: as organizações devem ser capazes de demonstrar
conformidade com o GDPR
o Poderes acrescidos para as autoridades de controlo
o Balcão único
o Aplicação mais ampla a qualquer pessoa que vise os consumidores da
UE
 Diretiva de Proteção de Dados de Aplicação da Lei
 Proteção das pessoas singulares no que diz respeito ao tratamento de dados
pessoais pelas autoridades competentes para efeitos de prevenção,
investigação, deteção ou repressão de infrações penais ou execução de sanções
penais

3
  Os Estados-Membros têm até 6 de maio de 2018 para transpor para o direito
nacional
 Diretiva Privacidade e Comunicações Eletrónicas
 Processamento de dados em redes de comunicações públicas (não intranet da
empresa)
 O RGPD não impõe obrigações adicionais para além das previstas nesta diretiva
o A Diretiva Privacidade e Comunicações Eletrónicas deve ser revista e
alterada para garantir a coerência
 Instituições da União Europeia
o Tratado de Lisboa (2009): com o alargamento da UE, deve racionalizar o processo de tomada de
decisões para melhorar a eficiência e a rapidez da UE
 Conselho Europeu e BCE=estatuto institucional, podem tomar decisões vinculativas
 Carta dos Direitos Fundamentais = mesmo estatuto jurídico dos tratados, juridicamente
vinculativo
 Polónia e Reino Unido = Carta só se aplica quando contém leis e práticas já
reconhecidas nesses países
 República Checa também com disposições especiais
o Parlamento Europeu
 Membros eleitos diretamente pelos cidadãos da UE
 4 responsabilidades: (1) desenvolvimento legislativo, (2) supervisão de outras
instituições, (3) representação democrática, (4) desenvolvimento do orçamento
 Trabalha com a Comissão para apresentar nova legislação
o Pode solicitar à Comissão que apresente uma proposta legislativa ao
Conselho da UE; convidar a Comissão a ponderar a possibilidade de
alterar as políticas existentes e de desenvolver novas políticas
 Poder de censura à Comissão: a Comissão deve apresentar regularmente relatórios ao
Parlamento
 6-96 membros por Estado, têm assento em grupos políticos à escala europeia (e não por
Estados-Membros)
 O grupo deve ter um mínimo de 25 membros com pelo menos 1/4 de Estado-
Membro representado no grupo
 Preparar relatório para sessão plenária
 Em sessão plenária, o Parlamento examina, altera e vota propostas legislativas
 Votação= maioria simples
 Partilha poderes legislativos com o Conselho da Europa
 Processo ordinário: ambas as instituições devem dar o seu parecer favorável à
legislação
 Processo de consulta: o Conselho deve consultar o Parlamento, mas não está
vinculado
 Processo de aprovação: decisões importantes, é necessária a aprovação do
Parlamento
 PAPEL NA PROTECÇÃO DE DADOS: toda a legislação em matéria de protecção de dados
adoptada ao abrigo do processo legislativo ordinário - > Parlamento com um papel
importante e igual na adopção
 Defensor vocal do direito à privacidade
o Conselho Europeu
 Reunião de Chefes de Estado, instituição executiva

4
  Reúne-se 4 vezes por ano para que os Chefes de Estado possam discutir questões que
afetam a comunidade
o Conselho da UE
 Um ministro por Estado, co-legisla com o Parlamento
 Principal órgão de decisão, escreve legislação proposta pela Comissão
 Conclui acordos internacionais negociados pela Comissão
 Conselho tem sido criticado por ser antidemocrático e falta de transparência - > agora as
reuniões são realizadas em público
 Presidência rotativa
 Maiorias qualificadas
o Comissão Europeia
 Criado a partir da fusão da Eur Coal e da Steal Comm e da Eur Atomic Energy Comm
 Órgão executivo, executa as decisões e políticas da UE
 Assegurar a aplicação dos Tratados e das medidas adoptadas pelas instituições
 Aplicação do direito da UE sob controlo do TJCE
 Executar orçamento e gerenciar programas
 Inicia a legislação
 A legislação da UE só pode ser adotada quando proposta pela Comissão
 Poder de tomar medidas legais e administrativas, incluindo a imposição de multas
contra os Estados-Membros que não cumpram as leis; autoridade de supervisão sobre
outras instituições
 Comissários independentes sem lealdade aos Estados-Membros que os enviam
 Seleccionado com base na "competência geral e compromisso europeu"
 PAPEL NA PROTEÇÃO DE DADOS: cria legislação; pode adotar " constatações de
adequação" sobre as quais os Estados-Membros terceiros fornecem níveis adequados
de proteção de dados; aplica a Carta de RH, garantindo assim um elevado nível de
proteção dos direitos individuais à privacidade e à proteção de dados
o Tribunal de Justiça das Comunidades Europeias
 Sediado no Luxemburgo, criado com o Tratado de Paris de 1951
 Jurisdição
 Acções intentadas pela Comissão ou por um Estado-Membro contra o
incumprimento por parte do Estado-Membro
 Ações intentadas pelos Estados-Membros, por uma instituição da UE ou por
uma pessoa singular ou coletiva para fiscalizar a legalidade dos atos de uma
instituição da UE
 Acções por omissão intentadas por Estados-Membros, instituições da UE ou
pessoas singulares ou colectivas contra instituições da UE
 Acções intentadas nos órgãos jurisdicionais nacionais a partir das quais são
apresentados pedidos de decisão prejudicial ao TJCE sobre questões de
interpretação ou de validade do direito da União
 Pareceres sobre a compatibilidade dos acordos internacionais da UE com os
tratados
 Recursos de questões de direito do TPI (tribunal de primeira instância do TJCE)
 Toma decisões sobre o direito da UE e aplica as decisões europeias com base em:
 Medidas tomadas pela Comissão contra um Estado-Membro
 Medidas tomadas pelos particulares para fazer valer os seus direitos ao abrigo
do direito da UE

5
  28 juízes nomeados pelo governo com mandatos de 6 anos; um presidente entre os 28,
eleito por juízes a cada 3 anos
 8 advogados-gerais (emitir pareceres não vinculativos para ajudar o TJCE a
decidir os casos)
 PAPEL NA PROTECÇÃO DE DADOS: envolvido em processos relativos à protecção de
dados (Decisões do TJCE relacionadas com a protecção de dados)
 Intentado nos tribunais nacionais, interposto pela Comissão contra os Estados-
Membros
 Caso do Reino Unido por não aplicar plenamente as regras da UE em matéria de
confidencialidade das comunicações eletrónicas
 Google Espanha vs. AEDP (2014), direito ao esquecimento
 Direitos Digitais Irlanda v. Irlanda (2014): Invalidade da Diretiva relativa à
conservação de dados no que diz respeito aos artigos 7.º, 8.º e 11.º da Carta
 Smaranda Bara v. CNAS (caso ANAF, 2015): os dados pessoais não podem ser
transferidos entre organismos da administração pública de um Estado-Membro
sem que o indivíduo seja informado da transferência
 Weltimmo v. APD húngaro (2015): transferências transfronteiras dentro da UE
 Schrems v. Data Protection Commissioner (2015): invalidou o Safe Harbor dos
EUA como inadequado
o Tribunal Europeu dos Direitos do Homem* (fundado pelo CdE, não pela UE)
 Não é uma instituição da UE, não tem poderes de execução
 As sentenças são vinculativas, os países obrigados a cumpri-las
 As decisões do TEDH podem proporcionar reparações às partes lesadas
 Número de juízes=número de membros do CoE que ratificaram a Convenção, mas não
representam nenhum Estado
 Secções de 7 juízes julgam processos, despesas suportadas pelo Comité das
Regiões
 Jurisdição
 Todos os casos relativos à interpretação ou aplicação da CEDH
 Os casos podem ser remetidos pelos Estados contratantes ou pela Comissão
Europeia de RH
o Os Estados contra os quais os cidadãos são alegadamente vítimas de
uma violação da CEDH, os Estados que remetem o caso para a Comissão
e os Estados contra os quais foi apresentada uma queixa (se a jurisdição
obrigatória do TEDH ou o consentimento para que o caso seja ouvido
pelo TEDH) podem intentar acções
o A violação deve ter sido cometida por um Estado vinculado à CEDH
 O TEDH não tem poderes para anular decisões nacionais ou anular leis
nacionais; ausência de poderes de execução (o Comité das Regiões trata após a
tomada de uma decisão)
 PAPEL NA PROTEÇÃO DE DADOS: garantir o direito à privacidade (não à proteção de
dados!) protegido; O TEDH tem atuado na proteção de dados
 Três casos franceses (2009): A Corte reafirmou o papel fundamental da
proteção de dados pessoais, mas considerou que o tratamento automatizado de
dados para fins policiais e, mais especificamente, "a inclusão dos requerentes no
banco de dados da polícia nacional de agressores sexuais não era contrária ao
artigo 8º".

6
  MM v. UK (2012): é pouco provável que a recolha indiscriminada e aberta de
dados relativos ao registo criminal cumpra o artigo 8.º
 Copland v. UK (2007): monitorar o e-mail do candidato no trabalho é contrário
ao artigo 8º, uma vez que não há previsão legal para isso
 Gaskin c. UK (1989): restrição do acesso dos requerentes ao seu processo
contrária ao artigo 8.°
 Haralambie v. Roménia: os obstáculos colocados ao requerente quando este
pediu acesso ao processo dos serviços secretos que lhe foram elaborados em
dias de regime comunista eram contrários ao artigo 8.º
 Quadro Legislativo
o Convenção 108 (1981)
 Primeiro instrumento internacional juridicamente vinculativo no domínio da PD
 Razões para C108: (1) ausência de resposta dos Estados-Membros às resoluções do CdE
de 73 e 74 relativas à protecção da vida privada e (2) necessidade de reforço dos
princípios estabelecidos nessas resoluções com instrumento vinculativo
 Aberto para assinatura em 28 de janeiro de 1981
 Notável por 3 razões
 Com base em uma série de princípios que abordam as principais preocupações
relacionadas à DP (precisão e segurança da DP, direito de acesso) que
encontraram seu caminho na Diretiva e GDPR
 Ambos garantem proteções adequadas à privacidade individual e também
reconhecem a importância do livre fluxo de DP para o comércio e exercício de
funções públicas
 Instrumento juridicamente vinculativo: exige que os Estados signatários
apliquem princípios através da promulgação de legislação nacional
 Objecto: alcançar uma maior unidade entre os Estados signatários e alargar as
salvaguardas dos direitos individuais e das liberdades fundamentais
o Directiva relativa à protecção de dados (95/46/CE) (1995)
 Surgiu porque apenas um pequeno número de Estados ratificou as leis C108 e MS
assumiu uma abordagem fragmentada ao implementá-la: tornou-se um impedimento
aos direitos de privacidade
 Marcou o ponto de partida da liderança da UE na PD europeia e a relativa
desvalorização da importância da C108
 A UE não pode criar legislação autónoma em matéria de recursos humanos, ao contrário
do CdE: deve basear-se em disposições específicas ao abrigo do Tratado de Roma=>
***COM BASE NA MEDIDA DE HARMONIZAÇÃO DO MERCADO INTERNO
 Regula a livre circulação de dados pessoais entre os Estados-Membros
 Como uma diretiva, criou diferentes interpretações adotadas pelos Estados-Membros
em toda a Europa
 Necessidade e adequação conceitos-chave da directiva (motivos legais para o
tratamento e não transferência para países que não ofereçam um nível de protecção
adequado)
 Trata os dados manuais e automatizados da mesma forma
 Princípios-chave:
 Processamento justo e lícito
 Recolhidos para fins específicos e legítimos, não processados de forma
incompatível com essa finalidade

7
  Adequado, relevante, não excessivo
 Preciso e atualizado
 Não conservado por mais tempo do que o necessário
 Processado de acordo com os direitos individuais
 Medidas técnicas e organizacionais adequadas
 Apenas transferido para fora do EEE para países com níveis adequados de
proteção de dados
 Apenas aplicado a responsáveis pelo tratamento de dados estabelecidos nos Estados-
Membros da UE, ou quando C utiliza equipamento de tratamento de dados no território
de um Estado-Membro (req para nomear representante)
 Categorias especiais de dados identificados: raça, etnia, política, religião, filiação
sindical, informações sobre saúde e vida sexual
 Criação de APD, sendo o WP29 um organismo independente composto por
representantes de APD
 Descartado para GDPR na tentativa de ter aplicação e interpretação mais consistentes
 3 fatores de revisão: divergência de medidas e práticas nacionais na
implementação, impacto nas empresas e indivíduos, desenvolvimentos em
tecnologia
 Objetivos principais: proteger os dados individuais, reduzir a burocracia para as
empresas, garantir a livre circulação de dados na UE
 Principais alterações da Diretiva para o RGPD:
 Requisitos de administração removidos (por exemplo, requisitos de notificação,
indevidamente dispendiosos para as empresas)
 Aumento da responsabilidade e responsabilização pelo processamento da DP
 Autoridade principal/DPA principal
 Maior controle dos indivíduos sobre os dados (consentimento mais explícito
necessário)
 Portabilidade melhorada para melhorar a concorrência entre os prestadores de
serviços
 Direito ao esquecimento
 Garantir que as regras da UE são aplicadas quando os dados da UE tratados no
estrangeiro ou os serviços comercializados junto dos cidadãos da UE
 Reforço dos poderes e sanções da APD
 Princípios e regras da cooperação policial e judiciária em matéria penal
 Processo de trílogo entre Comissão, Parlamento e Conselho de Ministros com vários
projetos para chegar a um acordo sobre o regulamento final
o RGPD (2018)
 Passo essencial para reforçar os direitos fundamentais dos cidadãos na era digital e
facilitar as empresas através da simplificação das regras aplicáveis às empresas no
mercado único digital
 Contém tanto a lei operativa como os considerandos que auxiliam na interpretação da
lei
 Principais alterações da directiva:
 Aplicação da lei: directamente aplicável a todos os Estados-Membros sem
promulgação de lei
o Não limitado a controladores de dados
 Alcance de braço longo do estatuto (estabelecimento não obrigatório)

8
 o Determinado pela localização do titular dos dados, se os bens ou
serviços oferecidos ou o comportamento monitorado
o Rastrear DS na Internet para analisar ou prever suas preferências
pessoais desencadeará a aplicação do Regulamento, incluindo cookies
de rastreamento ou uso de aplicativos
 Colocando os indivíduos no controle de seus dados: fortalecendo o
consentimento e os direitos de DS
o O consentimento não pode ser empacotado com T&Cs, pode ser
retirado a qualquer momento de forma fácil, explicado aos indivíduos
antes do consentimento obtido
o Restrição de crianças
 Direitos individuais mais novos e mais fortes
o Obrigações de transparência, direitos à portabilidade dos dados,
restrição do tratamento, direito ao esquecimento
o Retenção dos direitos existentes: o acesso do sujeito, a retificação, o
apagamento, o direito de oposição, o direito de cobrar uma taxa foram
removidos
 Novo regime de responsabilização: tornar as empresas mais responsáveis por
suas práticas de dados
o Empresas implementam políticas de proteção de dados
o Proteção de dados por design e padrão
o Obrigações de manutenção de registos
o Cooperação com as APD
o DPIAs
o Consulta prévia às APD em situações de alto risco
o DPOs obrigatórios para determinados Cs e Ps
 Novas obrigações do processador de dados
o Não pode subcontratar com a sub-P sem o consentimento da C
o Muitas obrigações semelhantes a C, ou obrigação de ajudar C a cumprir
o RGPD
 Transferências internacionais de dados: continuam a existir restrições
o Estabelecer salvaguardas adequadas, desde que existam direitos
exequíveis e vias de recurso eficazes para os indivíduos
o BCRs agora explicitamente mencionados, juntamente com SCCs, códigos
de conduta, mecanismos de certificação, outros contratos aprovados
por DPA
o Mecanismo de consistência para DPAs
 Segurança: medida técnica e organizacional adequada para proteger os dados
pessoais
o Comunicar violações de dados à DPA c/em 72 horas, comunicar
violações de alto risco à DS
 Fiscalização e risco de descumprimento aumentam
o Os indivíduos têm direito a compensação, podem obrigar um DPA a agir
sobre uma queixa
o Os direitos podem ser exercidos pelas entidades de consumidores em
nome dos particulares

9
 o Potencial para sanções severas, especialmente por violações de
princípios básicos (consentimento), direitos de DS, transferências
internacionais legais de dados, obrigações sob as leis de MS e ordens de
DPAs
o LEDP (2008) ·
 Protecção da DP na cooperação policial e judiciária em matéria penal
 3 objetivos principais:
 (1) uma melhor cooperação entre as autoridades responsáveis pela aplicação da
lei, melhorando a cooperação na luta contra o terrorismo e outras formas
graves de criminalidade na Europa,
 (2) uma melhor proteção dos dados dos cidadãos, utilizando os princípios da
necessidade, proporcionalidade e legalidade, com salvaguardas e supervisão
adequadas por APD nacionais independentes com vias de recurso disponíveis, e
 (3) regras claras para os fluxos internacionais de dados, a fim de garantir a
proteção das pessoas da UE que não sejam prejudicadas;
o Diretiva Privacidade e Comunicações Eletrónicas (2002)
 Substituiu a directiva de 1997 para reflectir o processo de convergência, a Internet
emergente
 Legislação da UE em matéria de telecomunicações alargada a todas as comunicações
electrónicas
 Necessidade de proteção consistente e igualitária, independentemente das tecnologias
utilizadas
 Reformas destinadas a incentivar uma maior concorrência na indústria, a escolha e a
protecção dos consumidores, um maior direito dos consumidores à privacidade
 Aplica-se ao "tratamento de DP no âmbito da prestação de serviços de comunicações
eletrónicas publicamente disponíveis em redes públicas de comunicações" na UE
 Rede privada, como a intranet das empresas, geralmente não coberta (os
princípios da diretiva ainda se aplicam se a DP for processada)
 Principais Provisões:
 Medidas técnicas e organizacionais para salvaguardar a segurança dos seus
serviços; Prestador de serviços com maior obrigação de informar o assinante
sobre a violação de dados
 Os Estados-Membros devem garantir a confidencialidade das comunicações e
dos dados de tráfego gerados
o Exceções: consentimento do usuário para interceptação e vigilância, ou
tal autorizado por lei
 A maioria das formas de marketing digital requer consentimento prévio (opt-in)
o Exceção limitada para clientes existentes para produtos e serviços
semelhantes, em vez disso provisão de opt-out
 Processamento de informações de tráfego e faturamento restrito
 Os dados de localização só podem ser processados se forem anonimizados ou
com consentimento e durante o período necessário
 Os assinantes devem ser informados antes de serem colocados em qualquer
diretório
 Para equilibrar os direitos de privacidade dos dados com a livre circulação de dados, os
Estados-Membros devem evitar impor demasiados requisitos técnicos que impediriam a
livre circulação

10
 Alterações
 Notificação obrigatória de violações de dados pessoais por parte de prestadores
de serviços às ANPD e a indivíduos relevantes em caso de violação suscetível de
afetar negativamente os dados pessoais ou a privacidade de um assinante ou
indivíduo
 Indivíduos e ISPs podem mover ações contra comunicações não solicitadas
(spam)
 Cookies: apenas permitidos na condição de o utilizador em causa ter dado o seu
consentimento, tendo recebido informações claras e abrangentes, em
conformidade com a Diretiva
o Excepções: o armazenamento técnico ou o acesso destinam-se
exclusivamente a realizar a transmissão de uma comunicação através de
uma rede de comunicações electrónicas ou são estritamente
necessários para a prestação de um serviço da sociedade da informação
explicitamente solicitado pelo assinante ou utilizador
 Meios pelos quais o consentimento deve ser obtido não especificado: o consentimento
inequívoco pode ser inferido a partir de certas ações quando as ações levam a uma
conclusão inequívoca de que o consentimento é dado desde que o consentimento
atenda ao padrão de ser dado livremente, específico e informado (consentimento
implícito)
 Reforma da ePD
 Regulamento de Privacidade Eletrónica em discussão para substituir o ePD,
harmonizar o quadro e garantir a coerência com o RGPD
 Principais características:
o Aplicação mais ampla (todos os prestadores de serviços de
comunicações eletrónicas)
o Conjunto único de regras
o Confidencialidade das E-Comms (acesso de conteúdo não permitido
sem consentimento do usuário, exceção para salvaguardar o interesse
público)
o Consentimento para processar conteúdo e metadados de comunicação:
anonimizado ou excluído se os usuários não derem consentimento,
exceto para fins de faturamento
o Novas oportunidades de negócio: permitir que os operadores de
telecomunicações tenham mais oportunidades de utilizar dados e
fornecer serviços adicionais
o Cookies: atualmente uma sobrecarga de solicitações de consentimento,
agiliza o processo
 Permitir que os usuários tenham mais controle sobre as
configurações
 Não é necessário consentimento para cookies intrusivos que
não sejam de privacidade, melhorando a experiência na
Internet (por exemplo, lembrando o histórico do carrinho de
compras)
 Cookies definidos pelo site no número de visitantes não mais
req consentimento

11
 o Proteção contra spam: proíbe comunicações eletrônicas não solicitadas
por qualquer meio, registre-se na lista de não chamadas, chamadas de
marketing terão que se identificar
o Execução: responsabilidade das APD nacionais
 Consequências da violação: espelha o RGPD
 Proposta de introdução de "interesses legítimos" como outra justificação para o
tratamento de dados
o Diretiva relativa à conservação de dados (2006)
 Projetado para garantir a disponibilidade de dados de tráfego e localização para fins de
crimes graves e antiterrorismo
 2014: O TJUE considerou a diretiva inválida por ser desproporcionada no seu âmbito de
aplicação e incompatível com os direitos à privacidade e à DP ao abrigo da Carta dos
Direitos Fundamentais da UE
o Impacto nos Estados-Membros
 Coerência e aplicação atempada um problema com as directivas
 Concedida aos Estados-Membros a liberdade de determinarem com precisão as
condições em que o tratamento da DP é lícito
 Mecanismos diferentes utilizados em diferentes EM
 Os controladores em vários Estados-Membros tiveram que cumprir obrigações
conflitantes, como notificações, transferências internacionais de dados e
requisitos de marketing direto
 Os Estados-Membros têm um prazo para aplicar uma directiva
o A Comissão aplica e assegura a aplicação adequada e pode tomar
medidas se a aplicação violar a legislação da UE
o Se a MS não implementar a tempo, medidas tomadas contra ela
 Efeito direto = os particulares podem imediatamente recorrer a ele para
intentar ações contra os governos nos tribunais nacionais
 Os Estados-Membros e os seus tribunais devem interpretar as suas leis à luz do
texto e da finalidade da directiva, mesmo que ainda não tenham sido aplicadas
 Efeito direto da regulação
 Os atos nacionais do Dp deixarão de ser relevantes para todas as questões
abrangidas pelo âmbito de aplicação do RGPD
 Os regulamentos diretamente aplicáveis nos Estados-Membros, não requerem
implementação adicional, aplicam-se imediatamente em toda a UE a partir de
25 de maio de 2018

Secção II: Lei e Regulamento Europeu de Proteção de Dados

 Conceitos de proteção de dados
o Os desenvolvimentos na tecnologia mudaram a forma como as empresas operam e exigem
proteções para dados pessoais agora
 Nova definição de dados pessoais para incluir identificadores online
o Dados Pessoais (amplos, aplica-se mesmo quando o vínculo com a pessoa é tênue)
 Quatro elementos constitutivos: (1) qualquer informação (2) relativa a (3) uma pessoa
singular identificada ou identificável (4)
 Qualquer informação
 Olhe para a natureza, conteúdo e forma
 Afirmações sobre uma pessoa, tanto objetivas quanto subjetivas

12
  Não precisa ser verdadeiro para ser dados pessoais
 Informações sobre a vida privada do indivíduo e informações sobre qualquer
atividade realizada pelo indivíduo; também identificadores online (criar perfil)
 Informações disponíveis sob qualquer forma: processadas por meios
automatizados, mas também por meios manuais, se fizerem parte de um
sistema de depósito (destinado a ser tecnologicamente neutro)
 Relativo a
 Sobre um indivíduo
 Pode estar relacionado a objetos, processos ou eventos: impulsionado pela
finalidade do processamento (por exemplo, informações sobre um carro para
processar a conta de uma pessoa)
 Conteúdo (informações sobre um indivíduo), finalidade (processado para
avaliar, considerar ou analisar uma pessoa), resultado (o processamento tem
impacto nos direitos e interesses individuais)
 Identificado ou identificável
 Não que alguém seja identificado, mas que é possível fazê-lo combinando dados
com outras informações (mesmo que outras informações não sejam retidas pelo
controlador de dados (identificação de quebra-cabeças)
 A identificação hipotética não é suficiente, deve ser razoavelmente provável
(considerando custos, tecnologia disponível e desenvolvimentos tecnológicos)
 Ex.: CFTV: objetivo é identificar indivíduos
 Endereços IP dinâmicos podem ser vinculados com a ajuda de ISPs, por isso são
PD
 O RGPD não se aplica a informações anónimas; pseudonimização fornece meio
termo, mas não remove a organização do GDPR
o Medida para garantir DP não atribuível a indivíduos é boa segurança
o As proteções ajudam na minimização dos dados
 A agregação para fins estatísticos resulta em dados não pessoais, mas o
contexto pode permitir a identificação de tamanho da amostra não
suficientemente grande
 Pessoa física
 Independentemente do país de residência; não se aplica a pessoas falecidas ou
dados organizacionais
o Dados Pessoais Sensíveis (categorias especiais)
 Informações em que o tratamento possa criar riscos significativos para os direitos e
liberdades fundamentais das pessoas
 Categorias: raça, etnia, opinião política, religião, filiação sindical, dados genéticos ou
biométricos (para identificação exclusiva de pessoa física), dados de saúde, orientação
sexual, vida sexual
 Saúde= estado de saúde passado, presente ou futuro, saúde física ou mental
o Registo ou prestação de serviços de saúde, informações derivadas de
testes ou exames do corpo ou substância corporal
 Processamento de fotografias (pode revelar raça, etnia, deficiência física=saúde)
o Controladores e processadores
 Controlador: determina a finalidade e os meios de processamento de dados, principal
tomador de decisões

13
  Responsabilidade de garantir que o processamento tenha base legítima, que os
direitos de DS sejam honrados e que a notificação de DPAs ou DS seja necessária
quando houver uma violação
 Provável que seja o primeiro alvo de aplicação por DPAs, não Ps
 Identificar o C ajuda a determinar qual DPA tem autoridade sobre a atividade de
processamento
 Pode ser uma pessoa física, mas geralmente a organização ou empresa em vez
de uma pessoa específica nomeada pelo controlador
o Se o processamento ocorrer fora do escopo e controle de C, o indivíduo
pode se tornar controlador
 Conjuntamente: se o mesmo conjunto de dados/meios e finalidades de
processamento determinados por dois controladores separados, pode ser em
conjunto (o mesmo conjunto de informações pode ser processado
separadamente por diferentes controladores e não torná-lo um processamento
associado)
o As empresas-mãe podem tornar-se responsáveis conjuntos pelo
controlo das filiais
o Determinar as respectivas responsabilidades pela conformidade com o
GDPR no início, para que a controladoria conjunta não evolua ao longo
do tempo; Atribuir claramente responsabilidades por uma possível
violação de dados
o Os controladores conjuntos devem colocar a essência do
relacionamento à disposição da DS; Os direitos de DS podem ser
exercidos contra cada um dos Cs
 Cs determinam as finalidades e os meios de tratamento: elementos ou
circunstâncias factuais susceptíveis de se tornarem decisivos (Ps podem tornar-
se Cs)
o Por que e como do processamento: por que o processamento está
acontecendo e qual é o papel das partes envolvidas no processamento
 Ps têm alguma discricionariedade em realizar o como sem se
tornar Cs: "meios" não é apenas a forma técnica de
processamento, mas também quais dados são processados,
quais 3terceiros têm acesso, quais dados são excluídos, por quanto
tempo são mantidos, etc
 Ps pode determinar aspectos técnicos e organizacionais, como
que tipo de software usar para processamento
 Os elementos essenciais do processamento estão com C
 3 fontes de controle: competência jurídica explícita, competência implícita,
influência fática
 Processador: só pode processar dados com base em instruções documentadas do
Controlador
 Pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que
trate dados pessoais em nome do responsável pelo tratamento
 GDPR P reqs: segurança, manutenção de registros, notificação de violações de
dados e garantia de conformidade com restrições sobre transferências
internacionais de dados

14
 o Obrigações relativas à finalidade como fundamento legal e respeito aos
direitos da DS impostas apenas à Cs
 A Ps só deve tratar dados com base nas instruções C e ter um contrato ou ato
jurídico vinculativo que regule a relação entre C e P por escrito
 **Novo para PS fora do EEE, se o processamento para EEA-C ainda tiver de
seguir o RGPD
 P contract reqs: processa dados apenas com base em instruções documentadas
de C, incluindo instruções sobre transferências; garantir que o pessoal de acesso
autorizado concorde com a confidencialidade; tomar todos os meios para a
segurança do processamento; respeitar as condições de subprocessamento;
auxiliar C com medidas de segurança técnicas e organizacionais apropriadas;
auxiliar C no cumprimento das obrigações previstas nos artigos 32.º a 36.º
 Subcontratação: autorização prévia de C (pode ser geral ou específica, com
possibilidade de se opor à adição ou substituição de subcontratantes), o
contrato entre P e sub-Ps deve incluir disposições obrigatórias do
subcontratante, e P inicial permanece totalmente responsável perante C pela
execução dos seus sub-Ps
 Cs e Ps devem determinar o grau de julgamento independente que P pode exercer,
monitoramento pelo C de execução do serviço, visibilidade/imagem retratada por C ao
indivíduo e perícia das partes
o Processamento
 Qualquer operação ou conjunto de operações realizadas sobre dados pessoais ou
conjuntos de dados, por meios automatizados ou não, tais como recolha, registo, etc.
 Tempos difíceis de identificar quando o uso de DP não está sendo processado, definição
ampla
 Condições: (1) o tratamento deve ser total ou parcialmente realizado por meios
automatizados, ou (2) se não for automatizado, deve dizer respeito a DP que faça parte
do sistema de arquivamento (conjunto estruturado de DP acessível de acordo com
critérios específicos
o Titular dos dados: pessoa singular identificada ou identificável, relacionada com dados pessoais
 O GDPR não se estende a pessoas jurídicas nem se aplica a pessoas mortas
 Âmbito territorial e material do RGPD
o Abrangência territorial
 Organizações criadas na UE
 Se estabelecido na UE, não importa onde o processamento ocorre
 Estabelecimento: exercício efectivo e real da actividade através de acordos
estáveis (Weltimmo)
o Conceito amplo de estabelecimento: site direcionado a pessoas em um
país, usando sua língua, representante disponível, caixa postal = isso é
suficiente!
o Nacionalidade da DS irrelevante
o "Uma organização pode ser estabelecida quando exerça 'por meio de
acordos estáveis no território desse Estado-membro, uma atividade real
e efetiva, mesmo que mínima'."
 "No contexto das atividades"
o O GDPR será aplicado independentemente de o processamento ocorrer
na União ou não

15
 o Google v. Espanha: conexão suficiente entre as atividades do Google
Espanha e Google, Inc.- inextricavelmente ligadas por causa dos lucros
o Qualquer organização com escritórios de vendas da UE que promovam
ou vendam publicidade ou marketing, ou visem indivíduos na UE, será
abrangida pelo âmbito de aplicação (também empresas estrangeiras
com escritórios na UE)
o Não explicitamente utilizado para determinar quais as leis dos Estados-
Membros que devem ser aplicadas: se as isenções ou derrogações
diferirem entre os Estados-Membros, deverá aplicar-se a lei do Estado-
Membro a que C está sujeito
o Os processadores de dados com estabelecimento na UE também se
enquadram no GDPR, mesmo que C, DS e processamento ocorram fora
da UE!! Louco largo
 Organizações de braço longo, que vendem bens ou serviços para, ou monitoram
comportamentos de indivíduos da UE
 DS deve estar na UE, mas a residência na UE não é necessariamente um pré-req
 Visando o DS da UE
o Verificar se C ou P prevê oferecer serviços à DS na UE (se
inadvertidamente vender algo a indivíduos da UE, não necessariamente
ao abrigo do RGPD)
o Fatores relevantes: (1) utilização da língua da UE, (2) apresentação dos
preços em moeda da UE, (3) capacidade de efetuar encomendas nas
línguas da UE e (4) referência a utilizadores ou clientes da UE
o A intenção de visar os clientes da UE pode ser demonstrada por provas
de "patentes" (por exemplo, dinheiro para um motor de busca para
facilitar o acesso nos Estados-Membros da UE) e outros fatores, tais
como a natureza internacional da atividade (atividades turísticas),
menções ao número de telefone com código do país, utilização do nome
de domínio do país (.de, .fr, .uk, .eu), itinerários originários de um
Estado-Membro, e menções à clientela internacional, incluindo clientes
nos Estados-Membros
 Comportamento de monitoramento
o O comportamento deve ocorrer dentro da UE
o Rastreamento de indivíduos on-line para criar perfis, analisando ou
prevendo preferências pessoais (cookies)
 Direito Internacional Público
o Tratamento num local onde o direito público permite a jurisdição dos
Estados-Membros (por exemplo, embaixadas e consulados dos Estados-
Membros da UE, aviões, navios)
o Escopo do material
 Assuntos fora do RGPD (tudo o resto está dentro)
 Segurança Pública, Defesa, Segurança Nacional, Política Externa e de Segurança
Comum da UE
 Isenção do agregado familiar: atividade puramente pessoal ou doméstica, não
ligada a atividades profissionais ou empresariais (por exemplo, redes sociais e
atividades em linha)

16
 o Cs e Ps que fornecem meios de processamento de atividades
domésticas ainda dentro do escopo
o Lindqvist: a isenção não se aplica ao processamento de uma publicação
na Internet para que os dados sejam disponibilizados a um número
indefinido de pessoas
 WP29= publicação de informações para o mundo em geral, em
vez de um pequeno grupo de amigos, pode ser um fator na
aplicabilidade da isenção
 Prevenção, detecção e repressão de sanções penais (poderes de polícia)
o A Diretiva de Proteção de Dados Policiais abrange a DP nestes casos
o O LEDP aplica-se às "autoridades competentes": autoridade pública
competente para a prevenção, investigação, deteção ou repressão de
infrações penais, OU qualquer outro organismo ou entidade incumbido
pela lei dos Estados-Membros de exercer autoridade pública para os fins
acima referidos
o Se os dados forem processados para finalidades diferentes, a
autoridade competente pode estar sujeita ao RGPD e ao LEDP
o Os dados transferidos para outro organismo que não seja uma
autoridade competente estarão sujeitos ao RGPD
 Instituições da UE
 Diretiva Privacidade e Comunicações Eletrónicas
 O RGPD não deve impor obrigações adicionais às pessoas já sujeitas à Diretiva
Privacidade e Comunicações Eletrónicas se a Diretiva já abordar um domínio
 O consentimento para marketing direto sob ePD pode ser mais rigoroso sob o
GDPR agora
 Comissão quer alcançar plena coerência entre RGPD e ePD
 Diretiva Comércio Eletrónico
 O RGPD não prejudica as regras da ECD, nomeadamente no que diz respeito aos
prestadores de serviços intermediários
 No entanto, a ECD afirma que as questões relacionadas ao tratamento de DP
estão excluídas de seu escopo e são regidas exclusivamente pela legislação de
proteção de dados relevante
 Princípios de processamento de dados
o Deriva da Convenção 108 e da Diretiva de Proteção de Dados
o Legalidade, equidade e transparência
 Licitude: fundamentos legais para o tratamento dos dados
 Consentimento
 Execução do contrato com o titular dos dados
 Obrigação legal (na UE/Estado-Membro)
 Interesses vitais (vida ou morte)
 Interesse público (exercício da autoridade pública)
 Interesse legítimo: necessário para o interesse legítimo do controlador ou de
terceiros, e os interesses não são sobrepostos por interesses ou direitos e
liberdades fundamentais do titular dos dados (equilíbrio!)
 Justiça
 A DS deve estar ciente de que os dados estão sendo processados, como os
dados serão coletados e usados

17
  Em certos casos, o processamento é automaticamente permitido por lei e
considerado justo
 Veja como o processamento afeta a DS: se o impacto negativo e o impacto não
forem justificados, o processamento será considerado injusto
o Por exemplo, quando sites de viagens aumentam os preços de lugares
que você olhou várias vezes com base em cookies, o processamento é
injusto
o Por exemplo, quando o policial vê alguém parado por excesso de
velocidade já tem várias multas por excesso de velocidade e aumenta a
multa, isso é justo
 Transparência
 C deve ser aberto e claro com DS sobre o processamento (como e porquê,
fonte)
o É por isso que req para notificar DPA eliminado: não ajudou DS em tudo
 Isenção do dever de informar quando os dados recolhidos diretamente da DS e
da DS já tiverem conhecimento de informações relevantes
 Isenção quando C obtém dados de outra fonte E: fornecer informações será
impossível ou exigirá esforço desproporcional, para proteger o interesse
legítimo da DS e preservar a confidencialidade das informações
 Exige que as informações sejam transmitidas em tempo útil (ver capítulo de
notificação)
 As informações devem ser claras, concisas e fáceis de entender e fornecidas de
maneira acessível
o Leve em conta as seguintes circunstâncias: tipo de dados, maneira como
são coletados e se as informações são coletadas direta ou
indiretamente
o Considere se a SD é uma criança (linguagem simples e simples), se
haverá jargão técnico envolvido, tente usar linguagem simples; usar
avisos de privacidade curtos e ad-hoc com links para textos mais longos
 Uso de ícones padronizados contemplados
o Limitação da finalidade
 Somente processar dados para cumprir finalidades especificadas, explícitas e legítimas,
não processar além de tais finalidades, a menos que o processamento adicional
compatível com a finalidade original de dados tenha sido coletado. Para determinar a
compatibilidade, considere:
 Ligação entre as finalidades do tratamento
 Contexto em que a DP foi coletada, expectativas razoáveis de SD
 Natureza da DP (categorias especiais?)
 Consequências do processamento posterior para a DS
 Existência de salvaguardas adequadas
 Primeiro, identifique a finalidade específica para o processamento de DP
 Se o processamento posterior for compatível com o uso original, a base jurídica original
pode ser usada; se incompatível, é necessária uma base jurídica separada e C deve
notificar a DS
o Minimização de dados
 Os dados devem ser relevantes, necessários e adequados para cumprir a finalidade para
a qual são processados

18
  Necessidade: adequada e razoável para fins de processamento
 De natureza necessária para atingir a finalidade
 Adequado se a natureza ou quantidade de DP for proporcional em relação aos
fins
 Determinar se o propósito pode ser alcançado anonimizando dados pode ajudar
na avaliação da necessidade (despojado de todos os identificadores exclusivos)
 Proporcionalidade
 Considere a quantidade de dados coletados: grande quantidade de dados sem
restrições será desproporcional
 Considerar o impacto potencialmente adverso dos meios de processamento e
verificar se existem alternativas
 Aplica-se também a projetos de big data
o Exatidão
 A Cs deve tomar medidas razoáveis para garantir que os dados sejam precisos e
mantidos atualizados
 Implementar processos para evitar imprecisões durante o processo de coleta de dados e
processamento de dados contínuo
 Os Cs devem avaliar o quão confiável é uma fonte a partir da qual coletam informações
 Quando os dados são coletados para fins estatísticos ou históricos, C só precisa manter a
DP como foi originalmente coletada
 A precisão pode exigir a manutenção de registros de erros corrigidos
 Cs deve responder ao DS que solicita que as informações sejam corrigidas
o Limitação de armazenamento (tempo): dados não mantidos por mais tempo do que o
necessário para fins PD está sendo processado
 A DP pode ser armazenada por mais tempo se anonimizada ou processada apenas para
fins de arquivamento de interesse público, fins de pesquisa científica ou histórica ou fins
estatísticos
 Cs só pode manter PD por tempo ilimitado quando os dados irreversivelmente
anonimizados, ou outros motivos acima
 Devem ser estabelecidos prazos para o apagamento ou revisão periódica
 Cs revisar registros pessoais de funcionários quando o relacionamento chega ao fim,
determinar o que deve ser mantido para fins legais
 Quando a lei é silenciosa, as políticas internas de retenção de dados devem ser definidas
para atender a esse princípio
o Integridade e Confidencialidade
 Proteção contra processamento não autorizado ou ilegal e contra perda, destruição ou
dano acidental usando medidas técnicas e organizacionais apropriadas
 Usar pseudonimização e criptografia de dados
 Atribuir recursos suficientes para desenvolver e implementar uma estrutura de política
de segurança da informação
 Use especialistas legais e técnicos em segurança de dados e reserve um orçamento
dedicado
o Além disso, a prestação de contas, adicionada no GDPR!
 Critérios de processamento legal
o O tratamento deve ser feito de forma lícita, justa e transparente

19
o Linha de base: processamento ilegal! C deve demonstrar base legal para o processamento ou
mostrar exceção (jornalismo ou pesquisa onde o interesse da liberdade de expressão pode
prevalecer)
o Tratamento de dados pessoais normais
 Consentimento (para fins específicos)
 Deve ser dado livremente, específico, informado e inequívoco
o Freely-given=escolha genuína, com capacidade de recusar ou retirar-se
 Não fornecido gratuitamente se for empacotado com outro
problema (por exemplo, compra de um serviço)
 O pedido de consentimento deve ser apresentado de forma
claramente distinguível de outras questões
 Se a execução do contrato estiver condicionada ao
consentimento do processamento e o processamento não for
necessário para a execução do contrato, o consentimento não
será válido
 O consentimento não deve ser invocado quando se verifica um
desequilíbrio claro entre DS e C (relação empregador-
trabalhador, consentimento válido só possível se o trabalhador
tiver possibilidade real de reter sem sofrer prejuízo: os
empregadores não devem confiar no consentimento)
 Liberdade de revogação: portanto, Cs deve considerar se o
consentimento é a melhor condição para o processamento de
longo prazo
o Specific=relacionado com uma operação de processamento específica
 C deve explicar claramente o uso proposto de dados para DS
 Se houver múltiplas finalidades, o consentimento deve ser dado
para todas elas
 Se a atividade de processamento mudar, pode ser
necessário obter um novo consentimento
 Para a investigação científica, se não for possível identificar
totalmente, a DS pode dar o seu consentimento a determinadas
áreas da investigação científica
o Informed=DS dado todos os detalhes necessários da atividade de
processamento na linguagem e forma que eles podem entender, saber
como o processamento irá afetá-los
 A DS deve, pelo menos, estar ciente da identificação do
responsável pelo tratamento e das finalidades do
processamento
o Inequívoca=declaração DS ou ato afirmativo não deve deixar dúvidas
quanto à sua intenção de dar consentimento
 Não é possível ter a caixa de seleção de consentimento pré-
selecionada, exigir que o DS marque ativamente uma caixa de
seleção
 Silêncio ou caixas pré-marcadas não constituem consentimento
 Se o consentimento for pré-formulado, deve ser apresentado de forma
inteligível e facilmente acessível, utilizando uma linguagem clara e simples e

20
 sem cláusulas abusivas, em conformidade com os requisitos de defesa do
consumidor
 Às vezes, o consentimento é necessário, então os empregadores podem confiar
no consentimento mais outra condição de processamento legítima para criar
adesão
 Se o consentimento válido for obtido, as interações contínuas com a SD podem
fornecer consentimento contínuo
 Tempo: o consentimento deve ser obtido antes de C processar PD
 Cs deve demonstrar que a DS deu o seu consentimento para a operação de
tratamento, manter registo dos consentimentos dados por determinada DS
 Consentimento não é o mesmo que dar oportunidade de opt-out, requer
indicação expressa de desejos e algum tipo de ação afirmativa
 O consentimento obtido por coação ou coação não é válido
o Certos tipos de pessoas vulneráveis podem não ser capazes de dar
consentimento (menores de idade requerem consentimento do titular
da responsabilidade pessoal sobre a criança)
 Quando o consentimento dos pais for necessário, C deve
envidar esforços razoáveis para verificar o consentimento dado
pelos pais ou tutores
 Regra da idade mínima de consentimento apenas no contexto
de (1) serviços da sociedade da informação oferecidos
diretamente a uma criança e (2) quando o C se baseia
exclusivamente no consentimento ou não pode invocar outro
critério
 **Cs deve considerar outro critério para processar a DP da
criança
 Necessidade
 Conexão estreita e substancial entre o processamento e as finalidades
(meramente conveniente não conta)
 Não basta para C considerar o tratamento necessário para os seus fins, deve ser
um teste objetivo se o tratamento é estritamente necessário para fins
declarados
 Execução do Contrato em que a DS é parte
 Quando a DS compra produto ou serviço da C
 O processamento de DP deve ser inevitável para concluir o contrato
 Necessário para o Cumprimento da Obrigação Legal a que C está Sujeito
 Obrigada a cumprir a lei, como obrigações fiscais ou de segurança social na UE
 Sujeito a leis adicionais de EM
 Para proteger interesses vitais da DS ou de outra pessoa singular
 Situações de vida ou morte, apenas relevantes em raras situações de
emergência quando a SD não pode dar consentimento (inconsciente), prestação
de cuidados médicos urgentes
 Só se aplica com outra base de processamento não existe
 Necessário para o desempenho de tarefas de interesse público ou para o exercício da
autoridade pública investida do controlador
 Os Estados-Membros ou a legislação da UE determinarão quais as tarefas
desempenhadas no interesse público

21
  A DS tem o direito de se opor à utilização dos seus dados
o Se C receber objeções, C deve demonstrar que tem motivos legítimos
convincentes para processar dados, suficientes para se sobrepor a
interesses, direitos e liberdades do titular dos dados, ou para o
estabelecimento, exercício ou defesa de reivindicações legais
 Sujeito a leis adicionais de EM
 Necessário para interesses legítimos prosseguidos por C ou terceiros
 Excepto quando os interesses forem preteridos por interesses ou direitos e
liberdades fundamentais da DS (em especial quando a DS for uma criança)
 **Teste de balanceamento
 As autoridades públicas não podem invocar motivos de interesse legítimo, os
legisladores devem fornecer base jurídica para as autoridades públicas tratarem
dados pessoais
 Requisitos para invocar esta base: (1) necessário para o efeito, (2) o objectivo
deve ser um interesse legítimo de C ou3ª parte, e (2) o interesse legítimo não
pode ser preterido por interesses da DS ou direitos e liberdades fundamentais
 Considere expectativas razoáveis de SD
 Podem existir interesses legítimos quando existe uma relação relevante e
adequada entre a DS e a C, como quando a DS é cliente ou está ao serviço da C
 O processamento de DP para evitar fraudes constitui interesse legítimo
 Marketing direto, fins de administração interna, podem ser interesses legítimos
 Processamento estritamente proporcional e necessário para garantir a rede e
informações sec
 Esta base pode ser entendida de forma diferente pelas APD em toda a UE (por
exemplo.ICO= estabelecer a legitimidade do interesse prosseguido e, em
seguida, demonstrar que o tratamento não é injustificado em nenhum caso
específico por prejuízo para o indivíduo em causa)
o Mesmo que haja preconceito que se relacione com um indivíduo em
particular devido a circunstâncias únicas, não necessariamente
prejudica todo o processamento
 Usando este critério, a DS tem o direito de se opor ao uso de seus dados:
quando houver uma objeção justificada da DS, C deve cessar o processamento
de dados
o Tratamento de dados pessoais sensíveis
 As fotografias não devem ser sistematicamente consideradas dados sensíveis, uma vez
que só contam como dados biométricos quando tratados por meios técnicos específicos
que permitam identificação única ou autenticação de indivíduo
 O uso dessas categorias de dados pode, por sua natureza, representar uma ameaça à
privacidade
 Os dados pessoais particularmente sensíveis em relação aos direitos e liberdades
fundamentais merecem uma proteção específica, uma vez que o contexto pode criar
riscos significativos
 Influenciado por leis antidiscriminação (explicado por SSN e números de cartão de
crédito não incluídos)
 Em algumas jurisdições, os Cs devem obter permissão de DPAs antes do processamento

22
 Cs devem satisfazer as condições previstas nos artigos 6.º e 9.º para tratar dados
sensíveis; garantir a notificação adequada e completa à Ds sobre como os dados são
usados de acordo com o Art. 12-14
 Ponto de partida= processamento proibido, a menos que uma exceção possa ser
encontrada
 EXCEÇÕES
 Consentimento (a menos que a legislação da UE ou dos Estados-Membros diga
que a proibição de processamento não pode ser levantada pela DS: então outro
critério deve ser usado)
o Inequívoca, livre, específica, informada e explícita
 Pode ser explícito em papel ou em formato eletrônico com
assinaturas digitais, clicando em ícones, ou e-mail de
confirmação
 O consentimento deve estabelecer explicitamente a finalidade
do processamento (na verdade, refere-se às categorias de
dados que serão processados)
 Pode ser necessário consentimento por escrito e/ou um registo
permanente
o Declaração ou ação afirmativa clara necessária
 Necessário para efeitos de cumprimento de obrigações e exercício de direitos
específicos do C ou DS em matéria de direito do emprego e da segurança social
e da protecção social
o Necessário para que C cumpra com a obrigação legal nos termos da lei
de proteção trabalhista, soc sec ou soc
o Relevante para candidatos, funcionários e contratados da DS
o Teste de necessidade, extensão do critério depende da legislação
trabalhista local
 Necessário para proteger interesses vitais
o Quando a DS for física ou legalmente incapaz de dar o seu
consentimento
o Espera-se que tente obter consentimento antes de confiar nisso
 Realizado no curso de atividades legítimas com salvaguardas apropriadas por
uma fundação, associado ou outro órgão sem fins lucrativos com Objetivo
Político, Filosófico, Religioso ou Sindical
o E na condição de que o processamento se refira apenas a membros ou
ex-membros, ou a pessoas que tenham contato regular com a
organização em conexão com seus propósitos, e que o PD não seja
divulgado fora do órgão sem o consentimento da DS
o Igrejas, partidos políticos, etc
o O tratamento só deve ter lugar (1) no decurso de atividades legítimas,
(2) com salvaguardas adequadas e (3) em ligação com fins específicos
 Dados Pessoais Manifestamente Tornados Públicos pela DS
o Entrevistas na mídia, potencialmente plataformas de redes sociais
 Necessário para Estabelecimento, Exercício ou Defesa de Ações Judiciais, ou
quando Tribunais atuem em Capacidade Judicial
o Exige que C estabeleça a necessidade: conexão estreita e substancial
entre o processamento e as finalidades

23
 o Todo esse processamento ainda está sujeito aos princípios de PD
estabelecidos no artigo 5º
 Interesse público substancial
o Com base na legislação da UE ou dos Estados-Membros, que deve ser
proporcional ao objetivo prosseguido, respeitar a essência do direito à
proteção de dados e prever medidas adequadas e específicas para
salvaguardar os direitos e interesses fundamentais da DS
o Os Estados-Membros podem legislar as leis, mas o tratamento deve ser
(1) proporcional ao objetivo prosseguido e (2) demonstrar respeito pela
essência do direito à proteção de dados
o Interesse Público definido por alguns Estados-Membros (não definido
pelo RGPD)
 Não é obrigado a notificar derrogações à CE nos termos da
directiva
o O Reino Unido tem outros critérios para o processamento de interesse
público: o processamento deve ser necessário para fins de prevenção
ou detecção de qualquer ato ilícito ou para desempenhar qualquer
função destinada a proteger o público contra conduta desonesta,
gravemente imprópria ou má gestão na administração de qualquer
organização ou associação
 Necessário para fins de Medicina Preventiva ou do Trabalho, para Avaliação da
Capacidade de Trabalho do Empregado, Diagnóstico Médico, Prestação de
Cuidados de Saúde, ou De acordo com contrato com Profissional de Saúde, e
sujeito a condições e salvaguardas adicionais
o Finalidade da assistência médica ou social
o O tratamento pode ser efetuado com base na legislação da UE ou dos
Estados-Membros, ou sob contrato com um profissional de saúde
o A exceção se aplica principalmente a médicos, enfermeiros ou outros
envolvidos em profissões de saúde
 Exceção não significa que essas pessoas são, exceto do resto do
GDPR
o Também permite coisas como funcionários de teste de drogas para
garantir a aptidão para o trabalho
 Necessário por razões de interesse público em áreas de Saúde Pública
o Tais como a protecção contra ameaças sanitárias transfronteiriças
graves ou a garantia de elevados padrões de qualidade e segurança dos
cuidados de saúde e dos medicamentos ou dispositivos médicos
o Saúde pública: todos os elementos relacionados com a saúde,
nomeadamente o estado de saúde, incluindo a morbilidade e a
incapacidade, os determinantes que têm um efeito sobre esse estado
de saúde, as necessidades de cuidados de saúde, os recursos atribuídos
aos cuidados de saúde, a provisão e o acesso universal aos cuidados de
saúde, bem como as despesas e o financiamento dos cuidados de
saúde, e as causas da moralidade
o Esse tratamento não deve resultar no tratamento de DP por outras
razões por terceiros (por exemplo, empregadores, companhias de
seguros ou bancárias)

24
 o Permite a supervisão de medicamentos e dispositivos mediais para
garantir a qualidade e segurança
 Necessário para fins de arquivamento de interesse público, pesquisa científica
ou histórica, ou fins estatísticos
o Para se basear neste critério, é necessário que o tratamento tenha
garantias adequadas e seja necessário para uma das finalidades
baseadas no direito da UE ou dos Estados-Membros, que deve ser
proporcionado, respeitar a essência do direito à DP e prever
salvaguardas adequadas
o **Anonimização reflete as melhores práticas
o Empresas farmacêuticas e instituições acadêmicas devem explorar
parâmetros dessa exceção
o Dados sobre infrações, condenações criminais e infrações e medidas de segurança
 Garante um maior nível de proteção
 Só pode ser processado sob controle de uma autoridade oficial ou quando o
processamento for autorizado pela UE ou pelos Estados-Membros que prevejam
garantias adequadas para os direitos e liberdades da DS
 O responsável pelo tratamento do setor privado terá de examinar as regras ao abrigo da
legislação da UE ou local em matéria de tratamento de dados
 **NÃO considerada categoria de dados sensíveis nos termos do artigo 9.º
o Processamento que não requer identificação
 Se C não precisar identificar DS ao processar dados, C não será obrigado a manter,
adquirir ou processar informações adicionais para identificar DS com o único propósito
de cumprir o GDPR
 C não precisa cumprir com as obrigações relativas a certos direitos da DS, a menos que a
DS forneça informações adicionais para permitir sua identificação
 Obrigações de prestação de informações
o Transparência
 Os dados devem ser transferidos "de forma legal, justa" e transparente
 Tornar claro aos titulares dos dados os seus dados pessoais que estão a ser tratados,
tomar conhecimento dos seus direitos e dos riscos, regras e salvaguardas relacionados
com o tratamento
 DS informado da existência do tratamento e da sua finalidade
 Se a base do processamento for o consentimento, deve ser informado (transparência!)
 O DS deve estar ciente da ID do controlador
 Informações imprecisas ou incompletas não atenderão ao padrão de transparência
 Base de interesse legítimo para o processamento: pode um DS razoavelmente esperar
no momento e no contexto da coleta de DP que o processamento para esse fim possa
ocorrer
 Requisito geral de notificação de DPA removido!!
o DS direito de receber certas informações de Cs independentemente de onde as informações
coletadas
o Artigo 13.º: prestação de informações à DS quando as informações recolhidas diretamente
 As seguintes informações necessárias para fornecer:
 ID e detalhes de contato de C
 Dados de contato do DPO (se aplicável)
 Finalidades e base legal para o processamento

25
  Se usar o interesse legítimo, qual é o interesse legítimo perseguido?
 Destinatários ou categorias de destinatários de dados
 Se C tenciona transferir para o 3.º país ou para a OI e se existe uma decisão de
adequação da CE e, em caso negativo, que salvaguardas adequadas estão em
vigor para a transferência
 Artigo 13.º, n.º 2: para assegurar um tratamento justo e transparente, forneça também
os seguintes dados (só precisa de ser fornecido quando necessário para garantir que a
DP seja processada de forma justa: pode ser sempre)
 Período PD será armazenado, ou critérios usados para determinar esse período
 Direitos da DS em relação aos dados: (1) rt para solicitar acesso, retificação ou
apagamento, (2) rt para solicitar restrição de processamento, (3) objeção ao
processamento, (4) rt para portabilidade de dados
o NB não são direitos incondicionais, não em todas as circunstâncias,
existem exceções
 Se o processamento for baseado em consentimento, deve retirar o
consentimento
 Rt para apresentar uma queixa à autoridade de controlo
 Se a prestação de PD é um requisito legal ou contratual, ou req necessário para
celebrar um contrato
 Se a DS é obrigada a fornecer DP e as consequências se não o fizerem
 Existência de tomada de decisão automatizada também conhecida como
profiling
o Art 14: informações para fornecer DS quando informações recebidas indiretamente
 Tudo com o artigo 13.º, mais as categorias de dados pessoais em causa e a fonte dos
dados
 Não há necessidade de informar a DS se a disposição se baseia em requisitos
legais ou contratuais, ou de explicar se a DS é obrigada a fornecer informações e
consequências de não o fazer
 Fornecer informações, a menos que se aplique uma isenção
o Informações adicionais a fornecer
 Art 15: DS direito de solicitar informações
 Direito de exigir que C restrinja o processamento
 Direito de se opor ao processamento com base em interesses legítimos de C,
necessidade de realizar processamento por interesse público ou marketing
direto
 Direito de se opor à criação de perfis
 Transferências Internacionais de Dados
 Com base no interesse legítimo: informado da transferência e qual é o interesse
 Com base no consentimento: possíveis riscos de transferência e salvaguardas
adequadas
 Com base em BCR: informações em BCR, direitos de processamento DS e
acordos de responsabilidade
 Nova finalidade do processamento
 A DS deve ser informada do motivo do tratamento para além do motivo original
 Múltiplos Controladores
 A essência do arranjo deve ser "disponibilizada" à DS (diferente de "fornecer")
 Violações de dados pessoais: às vezes é necessário fornecer informações

26
o Quando fornecer informações
 Informações obtidas diretamente do DS: fornecer informações no momento em que a
DP obteve
 Obtido indiretamente: dentro de um período de tempo razoável após a obtenção
(dentro de 1 mês), se usado para comms, em seguida, no momento da primeira
comunicação com DS, e se divulgado a outro destinatário o mais tardar quando PD
divulgado pela primeira vez
 Se ocorrer um novo processamento, a DS deve ser informada antes de um novo
processamento
 O direito de oposição da DS deve ser fornecido pelo menos no momento da primeira
comunicação com a DS
 As informações sobre o direito de retirar o consentimento devem ser fornecidas antes
do consentimento
o Como fornecer informações
 Forma concisa, transparente, inteligível e de fácil acesso
 Considere o público (diferente para crianças)
 Mesma forma que as informações fornecidas (por exemplo, eletronicamente,
no site, por e-mail, etc.)
 Linguagem clara e simples
 Informações de processamento justo podem ser dadas oralmente, se solicitadas, desde
que a identificação do DS comprovada por outros meios
 Gratuito
 Ícones de visualização/padrão podem ser usados
 Pedidos de consentimento
 Apresentado de forma claramente distinguível de outros assuntos
 Forma inteligível e de fácil acesso
 Linguagem clara e simples
 O direito de se opor ao processamento deve ser levado ao conhecimento da DS de
forma clara e separada de outras informações
o Isenções relativas à obrigação de informação
 Nova finalidade do tratamento: não há necessidade de informar se
 DS já tem esta informação
 Se obtiver ou divulgar DP na legislação do Estado-Membro a que C está sujeita e
que preveja medidas adequadas para proteger os interesses legítimos da DS
 A DP deve permanecer confidencial sujeita a uma obrigação de sigilo
profissional regulada pela legislação da UE ou dos Estados-Membros, OU
 O fornecimento de informações seria impossível ou implicaria um efeito
desproporcionado, ou para fins de arquivo, no interesse público, na investigação
científica ou histórica, ou para fins estatísticos (se forem cumpridas as condições
e salvaguardas para o tratamento dessas informações OU o fornecimento de
informações de tratamento equitativo suscetíveis de tornar impossível ou afetar
gravemente a realização dos objetivos do tratamento)
 C deve tomar as medidas adequadas para proteger os DS rts, liberdades e interesses
legítimos
 Definição de "efeito desproporcional": número de titulares dos dados, idade da DP,
medidas compensatórias aplicadas (salvaguardas apropriadas adotadas)
 Notificar indivíduos conhecidos sobre a retenção de dados sobre eles é um absurdo

27
  A DS continua a ter o direito de solicitar informações sobre o tratamento de dados,
mesmo que se aplique uma isenção à obrigação de fornecer as informações
 Art. 23: exceções para coisas relacionadas à aplicação da lei, ao interesse público e à
segurança nacional
 Direito dos titulares dos dados de serem informados das restrições, a menos
que tal prejudique a finalidade da restrição
 Os Estados-Membros podem criar legislação com isenções para os meios de
comunicação social e a arte
o Diretiva Privacidade e Comunicações Eletrónicas Reqs
 Relevante para o uso de cookies, etc
 Somente consentimento disponível: pode colocar cookies, coletar informações, somente
com consentimento
 Informações sobre o cookie devem ser dadas ao usuário, e o usuário deve
consentir antes que o cookie seja colocado em seu dispositivo
o Avisos de Processamento Justo
 Cs deve fornecer informações ou levá-las especificamente ao conhecimento/informar o
DS
 Fatores para "fornecer" ou "disponibilizar" informações
 Nível de informação já disponível para a DS
 Elemento de coleta ou processamento DS seria inesperado ou censurável
 Se as consequências de (não) fornecer seus dados pessoais são claras e quais
são as consequências
 Natureza da DP coletada (categorias especiais??) e tipo de indivíduos
(vulneráveis)
 Método pelo qual os dados são coletados
 O direito de oposição deve ser levado ao conhecimento da DS e não apenas
fornecido
 As informações devem ser fornecidas:
 Claro, conciso e fácil de entender em linguagem simples, inequívoca e direta
 Genuinamente informativo
 Preciso e atualizado
 De maneira adequada
 Prospectivo, mas realista (não precisa listar todos os usos possíveis de dados no
futuro, mas aqueles razoavelmente previsíveis)
 Benefícios comerciais para o fornecimento de informações
 DS deposita confiança na organização, cria fidelização e retenção de clientes
 DS provavelmente fornecerá dados pessoais cada vez mais valiosos
 O risco de reclamações e litígios que possam surgir com o uso da DP será
reduzido
 Formas de fornecer avisos:
 Avisos de processamento justo em camadas: aviso inicial curto com cliques para
um formulário mais completo, a DS sabe as informações disponíveis se quiser
(formulário apropriado, como número gratuito para ligar se não estiver online)
o 3 camadas recomendadas
o Os Cs devem fornecer informações essenciais e detalhes do
processamento que podem ser inesperados ou censuráveis imediata e
proeminentemente

28
 o Primeiro deve ser ID de C e finalidade de alto nível de processamento
o Benefícios: ajudar o DS que só pode receber certa quantidade de dados,
limitações de espaço/tempo, avisos mais longos prejudicam a
legibilidade
o Certifique-se de que as informações que devem ser levadas à atenção
da DS não sejam enterradas
 Avisos just-in-time: prestação de informações em pontos específicos de
processamento
 Painéis de privacidade: podem permitir que a DS controle como a PD está sendo
processada
 Formatos alternativos: visualização, ícones padronizados, animações para
crianças
 Disponibilize também uma versão sem camadas se o DS precisar consultá-la
 Diversas tecnologias (por exemplo, CFTV, drones)
 Afixar sinais e fichas de informação quando utilizados numa área específica que
notifiquem os indivíduos da utilização, local de lista para informações de
contacto e aviso mais longo (código QR)
 Use mídias sociais, etc, se para ser usado em eventos
 Disponibilizar informações de processamento no site do operador
 Certifique-se de que o drone / câmeras são visíveis e a operação também é
claramente visível com identificação de sinalização como operador de drone
 Direitos dos Titulares dos Dados
o Reforçar os direitos é uma das principais ambições da CE com o RGPD
 C deve envidar esforços razoáveis para identificar a SD
 Prazos para atender às solicitações de DS definidas: pelo menos confirmar o
recebimento da solicitação e confirmar ou esclarecer o que é solicitado dentro de um
mês a partir do recebimento da solicitação (pode ser estendido para mais 2 meses para
casos de situações específicas e/ou solicitações especialmente complexas)
 Se a organização decidir não prosseguir, deve notificar a DS e aconselhar a
oportunidade de apresentar reclamações
 As solicitações recebidas eletronicamente devem ser respondidas
eletronicamente, a menos que a DS queira outra coisa
 A transparência é fundamental: os direitos dos DS não podem ser assegurados se não
forem devidamente informados sobre as atividades de C
o Direito à Informação (sobre coleta e processamento de dados pessoais)
 ID do C, razões e finalidades do processamento, base legal, destinatários dos dados,
transferência para 3países terceiros, outras informações para garantir o processamento
justo e transparente dos dados
 Fonte dos dados, se indireta
o Direito de acesso
 A DS tem o direito de obter confirmação de C se a DP está sendo processada e, em caso
afirmativo, também as seguintes informações
 Finalidades do tratamento
 Categorias de DP
 Destinatários (incluindo transferência)
 Período previsto para o armazenamento da DP
 Direito ao apagamento ou retificação

29
  Direito de apresentar uma queixa
 Fonte dos dados, se indireta
 Existência de tomada de decisão automatizada
o Direito de Retificação: retificar dados inexatos
 C deve assegurar que os dados inexactos ou incompletos sejam apagados, alterados ou
rectificados
o Direito ao Apagamento (Direito ao Esquecimento)
 Direito ao apagamento se os dados deixarem de ser necessários para a finalidade
original e não existir uma nova finalidade legal, OU a base legal for o consentimento e o
consentimento for retirado sem motivos legais adicionais para o processamento, a OU
DS exercer o direito de oposição e C não tiver motivos para substituição, OU os dados
tiverem sido processados ilegalmente OU o apagamento necessário para o
cumprimento da legislação da UE ou do Estado-Membro nacional
 Se C tornou os dados públicos e terceiros estão a processar, deve informar 3rd partes
que a DS exerceu este direito (isento se impossível de cumprir ou exigiria um esforço
desproporcionado)
 Isenções, se o processamento for necessário
 Pelo exercício do direito à liberdade de expressão e de informação
 Para o cumprimento de obrigações legais do direito da UE ou dos Estados-
Membros OU para o desempenho de uma tarefa de interesse público (saúde
pública, arquivo, investigação científica ou histórica ou fins estatísticos)
 Estabelecimento, exercício ou defesa contra ações judiciais
 Fortalece o direito ao esquecimento no ambiente online
o Direito de restringir o processamento
 Direito de restringir se a exatidão dos dados for contestada (restringir até que a exatidão
seja verificada), o processamento for ilegal (a DS pode solicitar restrição em vez de
apagamento), C não precisa mais de dados para fins originais, mas ainda assim precisa
de direitos legais, OU a verificação de motivos imperiosos está pendente no contexto de
um pedido de apagamento
 Como fazer isso: mover dados para outro sistema de processamento, restringir o acesso,
tornar indisponível para os usuários, remover temporariamente do site
o Direito à Portabilidade de Dados
 Direito de obter dados em formato estruturado, comumente usado e legível por
máquina para transferir para outro controlador, ou solicitar que sejam transferidos
diretamente quando tecnicamente viável
 Direito de transmitir dados a outro C sem impedimento do C atual
o Direito de Oposição
 Se C usar "interesses legítimos" como motivos legais, a DS pode se opor ao
processamento
 Após a objeção, C deve demonstrar motivos legítimos convincentes para o
processamento > suficientemente convincentes para se sobrepor aos interesses,
direitos e liberdades do titular dos dados (por exemplo, para estabelecer,
exercer ou se defender contra reivindicações legais)
 Relacionado com o tratamento para fins de investigação científica e histórica ou para
fins estatísticos, a DS só pode opor-se se o tratamento não for considerado necessário
para o desempenho de uma tarefa realizada no interesse público
o Direito de não estar sujeito à Tomada de Decisão Automatizada

30
  Só se aplica se tal decisão se basear exclusivamente no tratamento automatizado e
produzir efeitos jurídicos em relação ao DS ou se os afetar significativamente de forma
semelhante
 Mesmo que o tratamento se enquadre neste artigo, permitido se autorizado por lei,
necessário para a preparação ou execução de um contrato, ou feito com o
consentimento explícito da DS, desde que C tenha colocado salvaguardas suficientes
 Segurança dos Dados Pessoais
o Por que a segurança é importante
 (1) estado de segurança muitas vezes um pré-requisito para alcançar o cumprimento de
outros princípios de DP
 (2) casos graves de insegurança garantem cobertura negativa da mídia
 (3) controles de segurança deficientes = características diferentes de escala e dano em
comparação com outras violações de DP
 Prejuízos: fraude e roubo de identidade
 A cibersegurança e a segurança de dados têm a atenção dos líderes nacionais por causa
dos danos que podem causar
 Tensões entre segurança e direito à privacidade (segurança nacional e aplicação
da lei)
o Princípio de Segurança
 Artigo 5.º, n.º 1, alínea f): Integridade e confidencialidade dos dados
 5.º, n.º 2: os responsáveis pelo tratamento devem poder demonstrar a
conformidade
 Artigo 32.º: medidas técnicas e organizativas adequadas
 Cs e Ps req para implementar controles para proteger contra ameaças
tecnológicas complexas, bem como proteger contra funcionários negligentes
 Não requer segurança absoluta
o Os reguladores não podem presumir falha legal de falha operacional
 Abordagem baseada no risco: avaliações de risco
o Natureza dos dados a tratar
o Ameaças razoavelmente previsíveis
o Teste de última geração
o Consideração do custo
 Não se pode descartar uma medida baseada apenas no custo
o Práticas recomendadas do setor (por exemplo, criptografia porque o
padrão do setor, não requisito legal, mas a falha na implementação
tornou-se um problema em relação às práticas recomendadas)
 Artigo 32.º, n.º 4: Pessoas sob controlo/trabalho para Cs e Ps
 Questões de confidencialidade
 Todas as pessoas que têm acesso à DP através do trabalho têm um dever de
confiança
 Ameaça interna: Cs e Ps devem ter políticas robustas alertando os funcionários
sobre suas responsabilidades entregando DP, fornecer treinamento regular e
deixar claras consequências por violar a política
 Art 28: Processadores e a relação entre Cs e Ps
 28.º, n.º 3, alínea h): os transformadores devem poder demonstrar a
conformidade

31
  28.°, n.° 1: redução dos princípios de segurança de C para P e posteriormente
para os sub-Ps
 Cs só podem usar Ps que possam fornecer garantias suficientes de
implementação de medidas técnicas e organizacionais apropriadas
o Prova antes da assinatura do contrato, auditorias para verificação
o Ps só pode agir de acordo com instruções de Cs, ou então correr o risco
de se tornar um C!
 P dever de prestar assistência a C no cumprimento e redução do risco
o Por exemplo, notificações de violação de DP, detecção e resposta
eficazes a incidentes
 Art 30: Os controladores e processadores devem manter registros das atividades de
processamento sob sua responsabilidade
o Notificação de violação: Requisito do controlador para notificar o DPA
 Mecanismo de transparência, incentiva a mitigação de perdas e danos, ajuda a
sociedade a entender as causas das falhas, possibilita o desenvolvimento de respostas
para minimizar o risco de eventos futuros e seu impacto
 Os reguladores podem aplicar um escrutínio adverso (processos de execução
regulamentar e pedidos de indemnização)
 Se a entidade declarante tomar medidas de segurança adequadas, nenhuma
outra medida será tomada
 Artigo 4.º, n.º 12: deve ser uma violação real da segurança que conduza a um resultado
negativo - > os riscos de violações de segurança não contam, embora o próprio princípio
de segurança procure prevenir riscos
 Art. 33.º: Regulador notificador
 Gatilho: detecção de violação de PD (C toma conhecimento de violação)
o Não pode evitar a implementação de medidas para detectar (artigo 5.º,
n.º 1, alínea f), requisitos de segurança)
 Violação que cause risco às liberdades dos indivíduos deve ser notificada à DPA
o NOTIFICAR WIHTOUT ATRASO INDEVIDO: limite de 72 horas
 Plano de resposta a incidentes para C
 Conceito de risco não sujeito a limiar de gravidade, porque o conceito de
direitos e liberdades é amplo
 C deve documentar toda vez que ocorrer violação de dados, manter registros
para sempre, especialmente se decidir não atender ao limite de relatórios de
DPA (também registrar aqueles que são relatados)
 **Os Ps devem notificar a Cs sobre violações de dados pessoais sem demora
injustificada
 Art 34: comunicação com o titular dos dados
 Violações que apresentem altos riscos para as liberdades dos titulares dos dados
devem fornecer notificações aos titulares dos dados
o Limiar de gravidade não presente no artigo 33.º
o O que é um risco "alto"? Impacto para um grande número de titulares
de dados, ou uma quantidade particularmente grande de danos a
determinados indivíduos
 Exceções
o Medidas tomadas para tornar a DP ininteligível (por exemplo, por meio
de criptografia

32
 o C tomou medidas para evitar que riscos elevados se materializem
o A divulgação de violação envolveria um esforço desproporcional (por
exemplo, se C não conseguir identificar todos os indivíduos afetados
pela violação)
 Se este for o caso, amplo anúncio público apropriado
 Os reguladores podem req Cs para se envolver nessas comunicações
o Entregando a segurança
 Os membros de negócios devem trabalhar juntos em toda a linha para garantir a
segurança: conecte todas as facetas dos negócios com especialistas em segurança na
organização
 Avaliação de riscos, responsabilidade e privacidade desde a concepção
 Fatores a serem considerados ao projetar a resposta a incidentes (entre outros):
 Avaliações de ameaças e vulnerabilidades
 Fatores humanos
 Detecção e resposta a incidentes
 Crie mapeamento de dados e exercício de inventário para identificar áreas de captura
de dados e entrada de dados = > plotar o fluxo de dados através da organização até
redundância, quando as informações são excluídas ou destruídas
 Uma gestão eficaz é fundamental: leve a sério os desvios da política e de outros
incidentes
 Considere as consequências de uma violação de segurança grave: escrutínio
adverso de terceiros
 Conscientização e mitigação de riscos internos
 Cultura de conscientização de risco, respeito pela DP para criar uma boa
segurança
 Os principais componentes de uma boa cultura de segurança incluem:
o Compreensão dos riscos das pessoas (avaliação e mitigação de riscos,
treinamento)
o Processo de recrutamento: mostre valor de segurança e
confidencialidade mesmo com candidatos a emprego
o Carta de oferta e contrato de trabalho: incorporar a cultura da empresa
o Aceitação da oferta de emprego: recruta deve afirmar ler quadro de
privacidade
o Indução: novo programa de indução de funcionários com mais
treinamento
o Formação contínua
o Processos adequados para lidar com falhas, medidas disciplinares
o Fim do emprego: devolver componentes físicos, garantir direitos de
acesso e privilégios rescindidos
 Documentação de segurança
 Política escrita, regras de segurança
 A adequação da papelada é uma das primeiras coisas que os reguladores
considerarão na investigação
o A documentação inadequada pode levar a uma má impressão e, no caso
de violações de segurança e perda de dados, pode dar aos reguladores
motivos suficientes para encontrar não conformidade

33
  Regulamentação baseada em políticas muito mais fácil de controlar e policiar,
mais barata, mais rápida, mais eficiente
 A proteção de dados desde a concepção, as DPIAs e o princípio da
responsabilização pressupõem a criação e distribuição de registos
 ABORDAGEM EM CAMADAS: a camada superior contém instruções de política
de alto nível, a camada intermediária tem controles implementados para
alcançar políticas e a camada inferior inclui processos e procedimentos
operacionais (o porquê, o quê e como)
 Garanta pilhas de tecnologia robustas: antivírus, antispam, firewalls, prevenção de
perda de dados, etc
 Algumas jurisdições (Alemanha) têm requisitos legais para trabalhar com
conselhos de empresa antes de implantar tecnologias
 Totalmente testado por testadores de penetração (hackers éticos)
 Ambiente físico: CFTV, políticas de mesa limpa, etc
 Gestão de riscos de Ps, fornecedores e vendedores
 Cs deve: (1) escolher processadores confiáveis, (2) manter o QC e a
conformidade durante todo o relacionamento, e (3) estruturar o
relacionamento no contrato que contém as disposições necessárias que exigem
que P mantenha a segurança, aja apenas de acordo com as instruções de C,
coopere com C na conformidade e faça a cascata de requisitos através da cadeia
de suprimentos
 Realizar auditorias e avaliar partes 3D antes de se envolver com elas
 Como os Cs podem se proteger de problemas de conformidade com o Artigo 28
o Lista de verificação de questões a considerar na fase pré-K DD
o Avaliação de riscos para entender ameaças e desafios colocados pela
terceirização
o O contrato deve conter um quadro para as garantias contínuas
(auditorias no local, inspeções, testes, avaliações periódicas da
conformidade em curso)
o Resposta a incidentes
 Criar plano de resposta a incidentes
 Aprovação pela alta liderança (obter buy-in)
 Abordar aspectos antecipatórios do incidente e aspectos de resposta a incidentes
 Incluir princípios para a tomada de decisões, lista de quem estará envolvido
 Modelos para mensagens públicas e comunicações
 Benchmarking contra pares no mercado
 Analisar o que é realista para a organização e sua equipe de resposta a incidentes
 Análise de lacunas, exercício de descoberta para descobrir o que já está sendo
feito, revisar eventos anteriores para sucessos e fracassos passados
 Detecção de incidentes: determine se a organização já foi comprometida (muitos
hackers invadem e não agem há anos)
 Garantir a classificação adequada dos incidentes (se classificados incorretamente,
podem levar a um tratamento incorreto e a decisões de divulgação de violações)
 Criar manual para lidar com incidentes com maior probabilidade de ocorrer
 Criar plano para lidar com as consequências, lidando com mídia, aplicação da lei,
titulares de dados, seguradoras, fornecedores
 Como lidar com a divulgação de violações

34
  Desenvolver postura contenciosa
 Requisitos de prestação de contas
o Em geral, o que está mudando
 Responsabilidade significa que os DPAs podem fazer check-in sempre que quiserem para
conformidade com 6 princípios de DP (novo no GDPR)!
 As organizações devem incorporar questões de DP em seus negócios e operações,
promover uma cultura de proteção de dados dentro da empresa
 Os DPAs podem publicar Padrões de Privacidade para programas de DP eficazes
(políticas internas e externas, DPOs, auditorias): se seguirem os Padrões da CNIL,
receberão selo de privacidade
o Responsabilidade do Controlador
 Medidas técnicas e organizacionais: levam em conta a natureza, o escopo, o contexto e
as finalidades do tratamento e os riscos aos direitos e liberdades dos indivíduos
 Quanto maior for o risco do tratamento (danos à reputação, discriminação,
desvantagens económicas ou sociais, privação de direitos e liberdades), maior
será a medida de redução do risco exigida pelo C
 Ter e implementar políticas é a maneira mais fácil de provar a conformidade com o DPA
(nenhuma política = improvável de ter conformidade), mas isso não é suficiente sozinho:
3 áreas-chave
 Políticas internas: questões-chave que devem ser abordadas
o Âmbito de aplicação: a quem e tipos de actividades a que se aplica
o Declaração de política: compromisso com as proteções de DP,
descrições de finalidades para processamento e finalidade comercial
legítima
o Responsabilidades do funcionário: o que cada função pode fazer com os
dados, limitações em torno do uso, etapas a seguir, obrigações de
segurança e acesso, transferência de DP proibida, a menos que motivos
legítimos estabelecidos (medidas que os funcionários devem tomar
antes de transferir dados), programas de treinamento
 Políticas de segurança da informação: práticas recomendadas
para se basear em padrões do setor (ISO 27001/2), mas não
obrigatórias
o Responsabilidades de gestão: desenvolver protocolos para identificar e
lidar com riscos, as responsabilidades devem ser claramente atribuídas
a funções individuais
o Relatar incidentes: os funcionários devem ser expressamente obrigados
a relatar imediatamente incidentes de violações de dados (o tempo é
essencial: 72 horas para relatar à DPA); estabelecer um plano e uma
equipe de resposta a incidentes e testar regularmente
o Conformidade com a Política: os funcionários que não cumprirem
sujeitos à disciplina interna, a empresa e as pessoas envolvidas poderão
estar sujeitos a penalidades criminais e civis, indenizações e
indenizações por contratos de serviços de terceiros
 Alocação Interna de Responsabilidades
o Cs deve ser capaz de demonstrar recursos de gerenciamento de DP para
DPAs

35
 o Facilitar a supervisão por DPAs, permitir que a DS exerça direitos,
permitir que as políticas sejam atualizadas regularmente
o Criar uma equipe ou conselho de gerenciamento de privacidade,
nomear DPO
 Formação
o Programas internos para informar os funcionários sobre as obrigações
legais de DP
o Crie programas de treinamento flexíveis adaptados a funções
específicas
o Documentar e monitorar a implantação de programas de treinamento
o Proteção de dados por design e padrão (integrar salvaguardas em todo o processamento)
 Privacidade por Design
 Incorporar o DP nas especificações de projeto de novos sistemas e tecnologias
 Aplica-se a todas as etapas de um projeto ou produto, não apenas às etapas de
planejamento e execução de novos desenvolvimentos
o Crie produtos com capacidade integrada para gerenciar e cumprir todas
as obrigações do GDPR
 Privacidade por padrão
 Implementar medidas técnicas e organizacionais apropriadas para garantir que
apenas a DP necessária para cada finalidade seja processada
 Limitar ou minimizar os dados coletados, maiores controles sobre a extensão do
processamento
 PD deve, por padrão, ser mantido apenas pelo tempo necessário para fornecer
o produto ou serviço
 Obrigação explícita de implementar medidas técnicas e organizacionais
apropriadas para cumprir esse requisito
 Como cumprir: considerar o estado da técnica, o custo de implementação, a natureza, o
escopo, o contexto e as finalidades do processamento, bem como os riscos de
probabilidade e gravidade variáveis para os direitos e liberdades das pessoas físicas
 Tipos de técnicas a cumprir: minimização da DP processada, pseudonimização,
permitindo ao DS maior controle sobre seus dados
 Garantir DP fácil de pesquisar e encontrar, corrigir, colagem cedo; configurar sistemas
para eliminação automatizada de DP; garantir excesso de DP não recolhida inicialmente;
garantir que o PD seja estruturado em formato comumente usado, legível por máquina
e interoperável
o Documentação e Cooperação com Reguladores
 GDPR: requisitos de notificação e registro abolidos!
 Em vez disso, os Cs devem manter registros detalhados das operações de
processamento por escrito a serem disponibilizados às DPAs mediante
solicitação
 Registros de DP que devem ser mantidos (semelhante aos requisitos de notificação)
 Cs nome e detalhes de contato, DPOs, finalidades de processamento, gatos de
DS e PD, gatos de destinatários, transferências antecipadas, salvaguardas
adequadas, períodos de retenção, medidas de segurança
 Ds deve manter detalhes de contato, DPO, nome e contato de cada C P
processos para, gatos de processamento detalhes de transferências e
salvaguardas, medidas de segurança

36
  Isenção para empresas com menos de 250 empregados
 A isenção não se aplica se o tratamento for suscetível de resultar em risco para
os direitos e liberdades da DS, for frequente e não ocasional, ou envolver gatos
especiais de dados; também não se aplica a dados relacionados a condenações
e infrações penais
o Avaliação de Impacto sobre a Proteção de Dados (AIPD)
 As empresas usam o DPIA para identificar e resolver problemas de DP que podem surgir
ao desenvolver novos produtos ou serviços ou realizar novas atividades de
processamento
 Exigido pelo RGPD quando a atividade de processamento pode representar um alto
risco para os direitos e liberdades da DS; também antes de prosseguir com atividades
arriscadas de processamento de DP
 Quando os riscos forem identificados, tomar as medidas apropriadas para prevenir ou,
pelo menos, minimizar os riscos
 ICO considera o DPIA uma ferramenta de práticas recomendadas
 Como determinar se o DPIA é necessário e como realizar
 O processamento é de "alto risco"?
o Perfil sistêmico e extensivo que produza efeitos jurídicos ou afete
significativamente indivíduos; gatos especiais de DP em larga escala;
monitorização sistemática de uma área acessível ao público em grande
escala (por exemplo, CCTV e drones)
 E se o processamento for de alto risco e for necessário um DPIA?
o Primeiro, procure aconselhamento do DPO
o A AIPD deve incluir, pelo menos, o seguinte: descrição sistemática das
atividades de tratamento previstas, finalidades e interesse legítimo;
avaliação da necessidade e proporcionalidade em relação às finalidades;
avaliação dos riscos para os direitos e liberdades das pessoas; medidas
para fazer face aos riscos, incluindo salvaguardas e medidas e
mecanismos de segurança
 E se o processamento ainda for de alto risco?
o Nenhuma medida suficiente para mitigar o risco, C obrigado a consultar
o DPA antes do processamento (permitir que os DPAs até 8 semanas
considerem o encaminhamento)
o Encarregado de Proteção de Dados
 Formalmente reconhecido, mas não obrigatório
 Exigido quando: tratamento efetuado por autoridade pública, atividades essenciais são
o monitoramento regular e sistemático de indivíduos em larga escala, OU o
processamento de categorias especiais de dados pessoais em grande escala
 Atividades principais: operações-chave necessárias para atingir os objetivos de C
ou P, o DP é parte indissociável das atividades de C ou P
 Factores de grande escala: número de DS em causa, volume de dados, gama de
elementos de dados, duração ou permanência, extensão geográfica
 Monitoramento regular e sistemático: todas as formas de rastreamento e
criação de perfis baseados na Internet
o Regular: contínua ou em intervalos específicos durante um determinado
período, recorrente ou repetida, constante ou periodicamente

37
 o Sistemática: de acordo com um sistema, pré-organizado, organizado ou
metódico, parte do plano geral para coleta de dados, realizada como
parte da estratégia
 O DPO deve ser nomeado se exigido pela lei dos Estados-Membros (Alemanha = pelo
menos 9 empregados no processamento automatizado de DP, ou pelo menos 20
pessoas no processamento não automatizado)
 França: sem exigência, mas vantagens potenciais para empresas com DPOs
 Nomeações em todo o grupo permitidas: o DPO deve ser facilmente acessível a cada
empresa
 Papel do DPO: envolvido de forma adequada e atempada em todas as questões
relacionadas com a proteção da DP; operar de forma independente (pode ter outras
funções que não gerem conflito de interesses); sem limite de posse
 Deve ter uma linha de reporte direto ao mais alto nível de gestão da empresa, e acesso
às operações de processamento de dados da empresa
 Conhecimentos técnicos e conhecimentos especializados suficientes, nomeados com
base na experiência e habilidades no campo da privacidade
 Deve ser capaz de: informar e aconselhar a empresa sobre as obrigações com o GDPR,
monitorar a conformidade com o GDPR e as políticas da empresa, fornecer
aconselhamento sobre DPIAs, cooperar com o DPA e atuar como ponto de contato para
DPAs
 Pode ser um funcionário da empresa ou processador de serviços terceirizado
o Outras medidas: BCRs-> garante o mesmo alto nível de proteção da DP cumprido por todos os
membros de um grupo com um único conjunto de regras vinculativas e executáveis
 Padrão ouro porque, para alcançá-los, as empresas devem demonstrar estrutura de
conformidade de privacidade após a aplicação ao DPA; A DPA também monitora a
conformidade contínua
 Transferências Internacionais de Dados (Países e organizações internacionais)
o As transferências não incluem o trânsito, devem incluir o processamento fora do EEE
 O roteamento técnico, como e-mail e páginas da Web, pode envolver movimentação
aleatória de dados ao redor do mundo em trânsito
 O acesso eletrônico a dados pessoais por viajantes que estão fisicamente em outro lugar
por um curto período de tempo não conta
o Transferências somente sob 1 de 3 condições
 (1) Nível adequado de proteção oferecido por país (conforme reconhecido pela
Comissão da UE, com revisões periódicas de adequação a cada 4 anos)
 País segue o Estado de Direito, protege os direitos humanos, tem legislação que
protege o processamento de dados (incluindo legislação sobre transferências) e
tem recursos administrativos e judiciais eficazes para os titulares de dados cujos
dados são transferidos
 Autoridades de supervisão independentes, incluindo poderes de execução
adequados, E
 São tidos em conta os compromissos internacionais assumidos por países
terceiros ou OI em matéria de proteção de dados pessoais
 **11 países e territórios atualmente reconhecidos
 (2) C ou P fornece salvaguardas apropriadas com direitos exequíveis do titular dos dados
e recursos legais eficazes, OU
 (3) A transferência enquadra-se numa das derrogações para situações específicas

38
o Direito da UE aplicado extraterritorialmente
 As grandes multinacionais devem aplicar a legislação da UE em todo o seu tratamento a
nível mundial
o Estados Unidos
 Porto Seguro
 Disposições relativas à adequação das organizações para assinarem e se
autocertificarem para transferências UE-EUA
o As partes não estavam realizando verificações anuais de conformidade
exigidas, e a FC não impôs
 Revelações de Snowden mostraram Safe Harbor ineficaz
o Não quis suspender devido à importância da transferência de dados
entre os EUA e a UE para o comércio internacional, bem como para a
aplicação da lei e a segurança nacional: começou a estudar outros
mecanismos ("Rebuilding Trust in the UE-U.S. Data Flow")
o Schrems I: TJCE invalidou Safe Harbor
 Escudo de Privacidade
 4 grandes prioridades da Comissão: (1) transparência, (2) reparação, (3)
aplicação, (4) acesso aos dados pelas autoridades dos EUA
o Ponto de discórdia para os EUA: a exceção de segurança nacional só
deveria ser aplicada quando estritamente necessária e proporcional de
acordo com a CE
 7 princípios: (1) notificação, (2) escolha, (3) responsabilidade, (4) segurança, (5)
integridade dos dados e limitação da finalidade, (6) acesso e (7) recurso,
aplicação e responsabilidade
 Documentação mais detalhada do que Safe Harbor, padrões mais elevados
implementados
o Cartas de garantias que restringem o acesso de agências
governamentais dos EUA, freios e contrapesos
 WP29 Preocupações de opinião: não incluiu princípios fundamentais de DP da
legislação da UE, nenhuma proteção para transferências de dados
subsequentes, mecanismo de reparação para indivíduos muito complexo,
documentação não excluiu a coleta de dados maciça/indiscriminada por
agências de inteligência dos EUA, novo ombudsman não suficientemente
independente ou poderoso
 Empresas dos EUA sujeitas à FTC ou DOT podem se juntar preenchendo o
registro on-line no DOC (não abrange bancos ou empresas de
telecomunicações!!)
o As empresas PS tomam certas medidas para demonstrar conformidade,
incluindo (1) avaliações internas de conformidade, (2) registro com
provedor de arbitragem de3ª parte e (3) adotam o aviso do Privacy
Shield e publicam on-line
o Fornecer salvaguardas adequadas
 Cláusulas Modelo
 C a C ou C a P
 Pré-aprovado pela Comissão, arquivado junto da DPA
o As APD também podem adotar seus próprios SCCs ou aprovar contratos
ad hoc apresentados a elas pelas partes para transferências

39
 (proporciona maior flexibilidade, permite adotar obrigações contratuais
mais realistas que são menos propensas a violar)
 Códigos de conduta e certificação: nova ideia com o GDPR
 Regras corporativas vinculantes: agora expressamente no GDPR
 Padrões mais elevados, legitima todas as transferências dentro da corporação
como adequadas
o Deve ser submetido e aprovado por DPAs
o Custo-benefício para grandes multinacionais
 As organizações multinacionais elaboram e seguem voluntariamente, e os
reguladores nacionais aprovam de acordo com suas próprias legislações
 As APD devem ser aprovadas de acordo com o mecanismo de coerência
 O conjunto completo de BCRs deve incluir o seguinte
o Estrutura e contactos do grupo empresarial e dos membros
o Transferências de dados (categorias, tipo de tratamento, finalidades,
tipo de titulares de dados afetados, país ou países terceiros de
identificação
o Natureza juridicamente vinculativa
o Aplicação dos princípios gerais de DP (art. 5º)
o Direitos dos titulares dos dados e meios para exercer esses direitos
o Aceitação por C ou P estabelecidos no território de um Estado-Membro
de responsabilidade por quaisquer violações do BCR por qualquer
membro em causa não estabelecido na UE
o Como as informações sobre BCR fornecidas aos titulares dos dados
o Tarefas do DPO
o Procedimentos de reclamação
o Mecanismo para verificar a conformidade com a BCR
o Mecanismos de comunicação e registo das alterações às regras
o Mecanismo de cooperação com a APD
o Mecanismos para reportar à ANPD quaisquer requisitos legais a que um
membro do grupo empresarial esteja sujeito num3.º país que possa ter
um efeito adverso substancial sobre as garantias fornecidas no BCR
o Treinamento adequado ao pessoal que tem contato com dados
 Derrogações
 Consentimento: explícito, específico e informado (inclusive informado sobre
possíveis riscos)
 Execução do contrato
o A transferência pode ser efectuada, se necessário, para a execução do
contrato (por exemplo, contrato de compra)
o Contrato celebrado a pedido do indivíduo ou no seu interesse
o Pode solicitar contratos de trabalho, mas avaliar se a transferência é
necessária com base nos bens e serviços fornecidos, e não na escolha da
organização do exportador
 Interesse público: prevenção da criminalidade, segurança nacional, cobrança de
impostos
 Ações Judiciais
 Interesses vitais: situação de vida ou morte (geralmente prontuários)

40
  Registos públicos: se houver informação disponível, os extractos podem ser
transferidos
 Transferências não repetitivas: número limitado de titulares de dados,
necessário para fins de interesses legítimos imperiosos do C, se não for
preterido pelos interesses ou direitos e liberdades do titular dos dados
o +C também deve fornecer salvaguardas adequadas para proteger a DP
o C deve informar a autoridade de controlo e o titular dos dados da
transferência e dos interesses legítimos imperiosos
 Supervisão e Execução
o Relacionado à prestação de contas
o Autorregulação
 Demonstrou conformidade com os princípios de DP, nomeação de DPO e maior foco em
códigos de conduta e certificação = métodos de autorregulação
 Cs têm funções regulatórias sobre seus Ps, Ps sobre sub-Ps, cria supervisão e aplicação
 DD pré-contratual, formação do contrato, requisitos pós-contratuais
 Cs esperava identificar os riscos e, em seguida, enviá-los para resolvê-los
 Prova demonstrável de conformidade por meio de testes e atividades semelhantes,
incluindo testes como parte das atividades de negócios
 Notificação de violações de DP a DPAs e, às vezes, a indivíduos: dissuasão é fundamental
para a aplicação
 Sanções administrativas efetivas, proporcionadas e dissuasivas
 DPIAs quando o processamento pode resultar em alto risco para as liberdades dos
indivíduos
 DPOs: posição clara de supervisão e execução, imune à demissão, mais parecida com
quase DPA do que com > empregado dever de cooperação com DPA e extensão do
regulador
 Códigos de conduta, certificados e selos: os associados da indústria podem criar códigos
e certificações, Cs e Ps devem se comprometer a solicitá-los e devem ser monitorados
quanto à conformidade
 Os órgãos representativos podem submeter projetos de códigos à ANPD para
aprovação
 Mecanismo de consistência quando o código de rascunho afetará pelo menos 2
MS
 Os órgãos de fiscalização devem comprovar independência, expertise e evitar
conflitos; ter procedimentos para emissão, revisão e revogação de selos e
marcas, se aplicável, e procedimentos para lidar com conformidades
 Cs e Ps podem ser multados pela DPA por violar requisitos de código em casos
graves
 As APD podem revogar a acreditação do organismo de controlo
o Regulação pelo Cidadão
 Os cidadãos impulsionaram a mudança não legislativa nas leis de PD (ver: Google v.
Espanha e direito ao esquecimento)
 As Organizações da Sociedade Civil (OSCs) também têm poder no contencioso
 Risco primário de escrutínio adverso por parte dos cidadãos enquanto litigantes e não
de APD
 Direitos do titular dos dados

41
  Direito à transparência, acesso aos dados, retificação, apagamento, restrição do
processamento, portabilidade dos dados, objeto, informado sobre violações
graves de dados
 **Não há exigência de que a DS busque direitos contra C antes de buscar
reclamações e recursos perante DPAs ou tribunais! Em muitos casos, os direitos
não fornecem uma rota direta e óbvia para o controlador (consulte: princípios
de DP, como confidencialidade)
 Vias de recurso em caso de incumprimento das obrigações
 Levar queixas a DPAs ou tribunais, buscar esses recursos e com o C ao mesmo
tempo
 Recorrer a DPAs para obter remédios é a opção de baixo risco
 Os indivíduos podem sempre buscar recursos com o tribunal de origem ou DPA,
independentemente do local de estabelecimento C ou P
 Ações Coletivas/Representativas
 Direito de ação coletiva do GDPR de acordo com o Artigo 80
 Os indivíduos podem optar por ser rejeitados por organizações sem fins
lucrativos (OSC), defensores da privacidade ou grupos de pressão: podem agir
em nome de um ou muitos
o Os Estados-Membros podem dar às organizações poderes
independentes dos mandatos dos indivíduos
 Responsabilidade e Reivindicações de Compensação
 A DS pode entrar com pedidos de indenização se sofrer danos b/c de
descumprimento
 Cs e Ds podem alegar não serem responsáveis por evento que deu origem ao
dano como defesa
o Se várias partes culpadas, qualquer indivíduo C ou P que é responsável
por quaisquer danos pode ser responsabilizado por todos os danos >
então a parte compensadora pode buscar indenização de outros Cs e Ps
 O que significa dano? Perda financeira, talvez sofrimento ou dano não
patrimonial
o "Danos não patrimoniais" significa claramente angústia
 Regulação dos Reguladores
 Se o indivíduo apresentar queixa à DPA, mas não for tratada, ou se não ouvir
nada por 3 meses, pode tomar medidas contra a DPA perante os tribunais para
forçar a questão
o Foi assim que Schrems I aconteceu contra a DPA irlandesa
 O objetivo principal é permitir recursos contra a ação corretiva do DPA
o Os indivíduos também podem usar contra DPAs que eles sentem que
falharam em tomar o tipo certo de ação corretiva, ou foram muito
lenientes em sancionar
o Fiscalização e Fiscalização Administrativa
 As APD são os únicos organismos dotados de poderes administrativos de supervisão e
execução (CNIL, ICO, AEPD): todos os países da UE já têm APD
 Os Estados-Membros devem designar autoridades públicas independentes para
monitorizar a aplicação do RGPD, agir com total independência, com competências e
recursos suficientes

42
 Exigência de consulta, dar aos reguladores influência sobre as agendas legislativas,
tarefa e capacitar as APD para fornecer aconselhamento e orientação aos seus
parlamentos e governos sobre DP
 Tarefas de DPA
 Promover a conscientização e a compreensão do DP
 Lidar com reclamações e realizar investigações
 Apoiar a aplicação consistente do RGPD internacionalmente, aplicando
mecanismo de consistência
 Monitorar o desenvolvimento de informações e comunicações técnicas e
práticas comerciais
 Receber e tratar reclamações: os cidadãos têm a maior parte do contacto diário
com Cs, pelo que estão em melhor posição para realmente afetar o
cumprimento; os cidadãos precisam de campeão oficial, que é o DPA
 DPIAs: as DPAs publicam listas de situações em que as DPIAs devem ser
realizadas e quando não são necessárias; Cs também deve consultar DAPs
quando DPIA indica que a atividade resultaria em alto risco para os direitos e
liberdades dos indivíduos
 Códigos, certificados, selos e marcas: incentivar o desenvolvimento, emitir
pareceres sobre projetos de códigos, emendas ou extensões (estejam em
conformidade com o GDPR), aprovar projetos de código, etc., se fornecer
salvaguardas suficientes, retirar certificados onde os requisitos não forem mais
atendidos
 Aprovar SCCs e BCRs: também podem criar seus próprios SCCs e aprovar
contratos exclusivos para transferências
 Registros de infrações e ações tomadas: o GDPR exige essa manutenção de
registros, prática já padrão em muitos Estados-Membros
 Os DPAs não podem cobrar DS ou DPOs por seus serviços, mas podem cobrar
custos administrativos em solicitações manifestamente infundadas ou
excessivas
 Relatórios de atividades: a regulamentação deve ser conduzida de forma
transparente para promover a confiança no sistema regulatório e fornecer à
sociedade uma visão crítica sobre as tendências e desenvolvimentos dentro da
regulamentação
 Poderes do Regulador
 Poderes de investigação: acessar todas as provas, materiais e instalações
necessárias para permitir o cumprimento de tarefas, juntamente com
mecanismos para iniciar investigações, notificar Cs e Ps de supostas violações
o Os DPAs poderão obter acesso a quaisquer documentos relevantes
mantidos pela organização sob investigação, incluindo 3 documentos,
relatórios e relatórios de auditoria (a menos que privilegiados)
o As APD podem realizar análises operacionais
 Poderes corretivos: Permitir que os DPAs avisem Cs e Ps sobre atividades de
processamento duvidosas, apliquem penalidades financeiras e ordenem que Cs
e Ps interrompam o processamento de dados
 Poderes de Autorização e Assessoramento: códigos, certificações, selos e
marcas

43
  Litígios por parte dos reguladores: as APD devem ser capazes de forçar o cumprimento
através dos tribunais
 Proteger Cs e Ps de ações regulatórias precipitadas: pessoas físicas e jurídicas afetadas
por decisões de DPA podem tomar medidas judiciais para proteger suas posições
 Obrigação de sigilo sobre as APD e o seu pessoal com informações confidenciais a que
acedem.
o Competência e Cooperação Internacional
 Quem tem autoridade para impor supervisão e aplicação regulamentar?
 Competência
 As APD podem agir a partir do território do seu próprio Estado-Membro
 As APD podem regular Cs e Ps estabelecidas no seu território
 Se C ou P estiverem estabelecidos em vários territórios, ou se houver
tratamento transfronteiriço, a autoridade principal tem competência
o Aplica-se o "estabelecimento principal" de C ou P: onde a tomada de
decisão para o tratamento de dados pessoais é feita, geralmente na
administração central (mas se a tomada de decisão em um local
diferente, o estabelecimento principal está lá)
o Autoridade principal para regular situações de tratamento
transfronteiras
 As entidades estabelecidas num único Estado-Membro podem
continuar a realizar tratamentos transfronteiras
 A autoridade principal é o único interlocutor desse tratamento
transfronteiriço
o As autoridades não responsáveis podem tomar medidas em situações
transfronteiriças em que a queixa (1) diga respeito apenas ao seu
território ou (2) se afetar substancialmente apenas indivíduos no seu
território
 DPA afirmando competência precisa notificar a autoridade
principal (pode desencadear batalha de competência)
 Se a autoridade principal rejeitar a alegação de
competência de outro DPA e assumir a questão em si, o
procedimento no art. 60 deve ser seguido
 Se a autoridade principal aceitar a afirmação de
competência de outra APD, a 2ª DPA pode proceder
sujeita a regras sobre assistência mútua e operações
conjuntas
o Litígios e desafios sobre competências mais prováveis na sequência de
uma queixa apresentada por um indivíduo: pode apresentar queixa à
APD nos Estados-Membros da sua residência habitual, local de trabalho
ou local de alegada infração
 Cooperação
 A regra da autoridade principal aplica-se apenas ao tratamento transfronteiras:
se entrar em vigor, aplicam-se os procedimentos de cooperação previstos no
artigo 60.º
o Geralmente começa com solicitação de assistência mútua e operações
conjuntas, mas também pode começar por DPA não líder afirmando
competência

44
  A APD principal fornece um projeto de decisão a outras APD interessadas
o Pode desencadear comentários, uma objeção fundamentada ou um
simples acordo
o Em caso de objecção fundamentada, a autoridade principal pode aceitar
ou rejeitar a objecção
 Se for aceite, emite um projeto de decisão revisto, que outras
APD podem aceitar ou apresentar objeções fundamentadas
adicionais
 Em caso de novas objeções fundamentadas, o ciclo
continua até que o impasse seja rompido (pode ser feito
com encaminhamento ao CEPD)
 Se rejeitada, a autoridade principal deve seguir o mecanismo de
coerência
o Se não houver objeções, a autoridade principal e outros DPA em acordo
e projeto de decisão é vinculativa
 Se o projeto de decisão for aceite, a autoridade principal adota-
o e notifica C ou P no estabelecimento principal, as outras APD
interessadas e o CEPD
 Se a queixa for desencadeada por uma APD individual ou não
líder, a APD relevante deve notificar o queixoso do resultado
 O ônus muda para C ou P para garantir a conformidade,
incluindo a comunicação à autoridade líder sobre como isso é
alcançado
o **O artigo 60.º tem um calendário para estes eventos-chave
 Assistência mútua: exige a cooperação e o intercâmbio de informações
o As APD devem pôr em prática medidas adequadas para prestar
assistência sem demora injustificada (paragem de um mês)
o A ANPD deve atender às solicitações, exceto quando elas não têm
competência para prestar assistência ou precisam evitar a ilegalidade
o Se o DPA receber não prestar assistência no prazo de um mês, o DPA
solicitante pode adotar uma medida provisória que desencadeia um
procedimento de urgência
 Operações conjuntas: concebidas para garantir que todas as APD em causa
estejam devidamente representadas nos trabalhos de supervisão e execução
o Quando Cs e Ps estabelecidos em vários territórios, ou o processamento
afeta um número significativo de indivíduos em vários territórios, todas
as APD envolvidas têm o direito de participar em operações conjuntas
o Cabe à autoridade competente a obrigação de convidar outras APD a
participar
 Mecanismo de Consistência
 EDPB: sucessor do PT29
 Pareceres do CEPD
o O CEPD deve emitir pareceres sobre as listas de circunstâncias em que
as AIPD são necessárias, sobre a adoção de códigos propostos que
afetam vários Estados-Membros, os critérios de acreditação dos
organismos de monitorização e certificação, os CCS aprovados pela APD
e as autorizações BCR

45
  Pareceres emitidos após o trabalho inicial das APD
 Qualquer APD, presidente do CEPD ou a CE podem solicitar
pareceres sobre questões de aplicação geral ou que produzam
efeitos em vários Estados-Membros
 Resolução de litígios pelo CEPD
o Parte fundamental do mecanismo de coerência, acionado sempre que a
autoridade principal rejeita objeções fundamentadas ao projeto de
decisão relativo ao tratamento transfronteiras, sempre que exista um
litígio entre as APD sobre quem é competente para um estabelecimento
principal, ou sempre que a APD não remeta as suas decisões (acima)
para o CEPD
o Resultado= adopção de uma decisão vinculativa
 Quando relacionado com o projeto de litígio de decisão, a
autoridade principal ou outro DPA é obrigado a adotar uma
decisão final com base em decisão vinculativa
 Procedimento de urgência
o Circunstâncias excecionais em que a APD deve tomar medidas urgentes
para proteger os direitos e liberdades das pessoas
 Se a urgência for suficientemente grande, pode não ser tempo
suficiente para prosseguir a cooperação ou o mecanismo de
coerência
 A ANPD pode adotar imediatamente medidas provisórias, sob
reserva de um período de vida de três meses, e ter de ser
remetida pela APD com razões a outras APD que tenham uma
preocupação na matéria, ao CEPD e à Comissão
 Ao fim de 3 meses, as medidas provisórias caducam, a
menos que a ANPD considere que a medida final precisa
ser adotada com urgência, caso em que pode solicitar
parecer urgente ou decisão vinculativa urgente ao CEPD
o Sanções e Penalidades
 Coimas administrativas com base na natureza da infracção e no estatuto da entidade
coima (não empresas: autoridades públicas, organizações que não exercem uma
actividade económica; versus empresas: empresas)
 Nível 1
o Contravenções: consentimento de crianças, proteção de dados por
design e padrão, engajamento de Ps por Cs, registros de
processamento, cooperação com reguladores, segurança, notificação de
violação, DPIAs, DOPs, códigos e certificações
o Até 10 milhões de € ou 2% do volume de negócios anual mundial total
no ano anterior
 Nível 2
o Infrações: princípios de proteção de dados, licitude do tratamento,
consentimento, tratamento de categorias especiais de dados, direitos
de DS, transferências internacionais, incumprimento dos poderes de
investigação e corretiva das APD
o Até 20 milhões de € ou 4% do volume de negócios anual mundial total
no ano anterior

46
  Fatores a considerar antes de aplicar multas
 Eficaz, proporcional e dissuasivo
 Violações graves do GDPR podem ser enfrentadas com várias respostas
 O montante total da coima não pode exceder o montante especificado para a
infracção mais grave
 Factores do n.o 2 do artigo 83.o:
o Natureza, gravidade e duração da infração, natureza, âmbito ou
finalidade do tratamento em causa, número de DS afetados, nível de
danos
o Caráter intencional ou negligente da infração
o Ações tomadas para mitigar os danos do DS
o Grau de responsabilidade, considerando medidas técnicas e
organizacionais
o Infracções anteriores
o Grau de cooperação com a DPA
o Categorias de DP afetadas
o Se a DPA notificou a infração
o Cumprimento de medidas anteriormente decretadas contra Cs e Ps
o Adesão aos códigos de conduta aprovados
o Quaisquer outros agravantes ou atenuantes
 Empresa: uma entidade que exerce uma actividade comercial (sociedades)
 As autoridades públicas e os associados não constituídos em sociedade não são
empresas
 Os Estados-Membros podem retirar completamente as autoridades públicas dos
regimes de coimas
 Empresa é uma entidade única, não discute grupos de empresas
o As empresas que fazem parte do grupo de empresas só podem ser
multadas até à percentagem do volume de negócios da empresa
individual, e não do volume de negócios do grupo
o Diretiva relativa à proteção de dados relativos à aplicação da lei: regime de supervisão e
execução espelhados, exceto na ausência do conceito de autoridade principal (e dos
mecanismos de cooperação e coerência conexos) e de sanções financeiras

Seção III: Conformidade com a Lei e o Regulamento Europeus de Proteção de Dados

 Relações de Emprego
o Área complicada porque intersecção de privacidade de dados e direito do trabalho
 Consulta ao direito do trabalho jurisdicional e aos conselhos de empresa
 As regras dos Estados-Membros em matéria de DP dos trabalhadores incluem medidas
destinadas a salvaguardar a dignidade humana, os interesses legítimos e os direitos
fundamentais no que diz respeito à transparência do tratamento e da transferência,
bem como ao acompanhamento e controlo
 Os funcionários devem ter o direito de acessar seus dados pessoais
o Bases legais para o processamento de dados pessoais de funcionários
 Consentimento
 Deve ser dado livremente, difícil de dizer em circunstâncias de emprego porque
o poder desigual
o Não é uma boa base para os empregadores confiarem

47
  Às vezes, a lei local estipula que o consentimento não pode ser
dado nesta circunstância
 O consentimento não deve ser invocado, a menos que a
retirada do consentimento não seja problemática para a licitude
do tratamento ou prejudicial para o emprego do empregado
 Livremente, específico, informado e inequívoco
 Capaz de retirar o consentimento sem sofrer qualquer prejuízo
 Alguns países da UE necessitam de consentimento e por escrito
 Cumprimento do contrato de trabalho
 Por exemplo, para pagar funcionário (nome e dados bancários)
 Necessário para cumprir com a obrigação legal (da UE) (por exemplo, impostos)
 Interesses legítimos do empregador
 Por exemplo, quando o empregador altera sistemas estruturais para migrar os
dados dos funcionários do antigo sistema de folha de pagamento para um novo,
isso está sendo processado com base em um interesse legítimo
 As autoridades públicas não podem invocar este fundamento
o Dados confidenciais de funcionários
 Se o tratamento desses dados, o empregador deve estar dentro de uma exceção do Art.
9º
 Inclui consentimento, mas deve ser o último recurso do empregador
 Em algumas jurisdições, a extensão em que os dados confidenciais dos funcionários
podem ser processados depende das leis trabalhistas ou trabalhistas que o
acompanham
 Por exemplo, em Portugal, deve obter autorização da DPA
 Pode ser necessário estabelecer, exercer ou defender reivindicações legais (por
exemplo, reivindicação por demissão ilegal, discriminação)
o Notificação para processamento
 Os empregadores devem fornecer aviso sobre o processamento de dados, finalidades,
quem contatar e quais são os direitos do DS
 Pode ser feito com manual do funcionário ou documento de notificação específico
 Os funcionários devem ser notificados sempre que surgir uma nova finalidade
 O aviso deve fornecer, em detalhes, a base legal, quais são os interesses legítimos (se
usados), destinatários dos dados, para onde os dados serão transferidos e por quanto
tempo serão retidos
o Armazenamento de registros de pessoal
 Não deve ser retido por mais tempo do que o necessário, embora durante todo o
emprego é normal, provavelmente protegido sob uma razão legítima
 Pós-emprego, pode precisar de registros para conformidade com o direito das
sociedades, direito do trabalho, direito de saúde e segurança, direito tributário, direito
da segurança social, etc
 Deve ser arquivado com segurança
o Monitoramento do local de trabalho e prevenção de perda de dados
 Direitos dos trabalhadores em equilíbrio com os direitos legítimos da empresa de operar
 Antecedentes
 Deve ser conduzido para evitar a contratação de pessoas inescrupulosas

48
  Os funcionários devem certificar-se de não compilar listas negras durante
verificações de antecedentes (geralmente ilegais) ou compilar listas de
indivíduos que não empregarão
 Prevenção de perda de dados
 As ferramentas DLP usam terceiros para operar, envolve o processamento de
dados de funcionários, mas o objetivo principal é evitar a perda de dados
 Monitoramento de funcionários
 Deve estar em conformidade com as leis trabalhistas locais, bem como com as
leis de proteção de dados
 Assegurar o cumprimento dos seguintes princípios: necessidade, legitimidade
(fundamentos legais), proporcionalidade e transparência
 Garantir que os dados sejam mantidos de forma segura e acessados apenas por
aqueles com motivos legítimos para visualizá-los
 Necessidade
 Considere primeiro outras medidas menos intrusivas para o seu propósito
 Deve realizar DPIA quando o monitoramento possa resultar em alto risco para
os direitos e liberdades das pessoas
o DPIA necessária se o monitoramento for uma avaliação sistêmica e
extensiva de aspectos pessoais dos indivíduos com base no
processamento automático e em que se baseiam decisões que
produzem efeitos jurídicos ou afetam significativamente os indivíduos
 Legitimidade
 Deve ter uma base legal para o controlo
 Teste de ponderação do interesse legítimo: interesse legítimo do empregador
versus violação dos direitos e liberdades individuais
 Consentimento para monitoramento muito limitado em sua utilidade
 Monitoramento que envolve coleta de dados pessoais sensíveis provavelmente
problemáticos
 A UE tem leis rigorosas sobre o que é considerado legítimo controlo dos
trabalhadores, considera as convenções colectivas e consulta os conselhos de
empresa
o Os acordos entre o conselho de empresa e as entidades patronais
podem indicar os controlos permitidos
 Triagem de e-mails para evitar vírus e monitoramento do tempo on-line não
trabalhando são atividades legítimas do empregador
o Não é possível filtrar o conteúdo do que os funcionários estão fazendo
o Encontre alternativas menos intrusivas: bloquear determinados sites,
prevenção de vírus sobre detecção
 Proporcionalidade
 Determinar se o monitoramento proposto é proporcional à preocupação do
empregador
 Resposta racional e realista a uma ameaça potencial ou conhecida
o Minimização de dados: os dados pessoais devem ser adequados,
relevantes e limitados ao necessário em relação à finalidade do
processamento
o Na verdade, abrir e-mails é desproporcional

49
  Se as convenções colectivas aprovarem o controlo, é provável que haja uma
eventual alteração da proporcionalidade
 Transparência
 Os empregadores devem fornecer informações suficientes sobre a atividade de
monitoramento
 Definir expectativas ajuda a garantir que o monitoramento seja lícito: se os
funcionários não foram informados sobre o monitoramento, podem ter
expectativa de maior nível de privacidade
 A lei reconhece que os funcionários desfrutam de um certo grau de privacidade
no trabalho
 Política de Uso Aceitável para equipamentos de comunicação, incluindo o
quanto o uso privado do equipamento do empregador é permitido: os
funcionários têm direito ao uso privado limitado do equipamento do
empregador
 As comunicações privadas não devem ser abertas ou monitorizadas
 Às vezes, é necessário um monitoramento encoberto: às vezes não é permitido
ou uso limitado permitido e a polícia deve ser envolvida
 Informações a serem fornecidas pelos empregadores
 E-mail/política de Internet da empresa
 Razões e finalidade da vigilância
 Informações pormenorizadas sobre as medidas de vigilância tomadas
 Procedimentos de execução
 Se o uso de contas de webmail é permitido no trabalho
 Disposições em vigor para aceder ao conteúdo dos e-mails dos trabalhadores
 Período de armazenamento para cópias de backup de mensagens
 Informações sobre quando os e-mails são excluídos dos servidores
 Envolvimento dos representantes dos trabalhadores na formulação de políticas
 Condições em que a utilização privada da Internet é permitida
 Sistemas implementados para evitar o uso indevido da Internet e o acesso a
determinados sites
 Informações sobre o envolvimento dos representantes dos empregadores na
criação e implementação de políticas
 Notificar os funcionários quando for detectado uso indevido; pode também ter
de notificar os conselhos de empresa
 Direitos do Empregado Acusado: não acuse imediatamente, erros comuns
 Fiscalização ilegal
 Difícil justificar o monitoramento que coleta PD sensível ou é particularmente
intrusivo
 Monitoramento secreto, ilegal, sem permissão prévia do DPA ou uma exceção
 E-mails marcados como privados geralmente não devem ser lidos
o Conselhos de empresa
 Obrigação de salvaguardar os direitos dos trabalhadores
 Específico do país: o Reino Unido só tem sindicatos que não têm uma palavra a dizer
sobre como os empregadores usam a DP, enquanto a Alemanha e a França têm
conselhos de empresa fortes
 Por exemplo, WCs alemães podem se opor ao uso de dispositivos de
monitoramento de funcionários

50
  Os empregadores se envolvem com WCs (1) notificando WC, (2) consultando WC, ou (3)
buscando aprovação de WC
 Se a WC rejeitar uma decisão, a única opção dos empregadores pode ser
contestar nos tribunais locais
 Às vezes, o DPA pode não aprovar o processamento a menos e até que o WC tenha sido
envolvido
o Esquemas de denúncia
 SOX: empresas dos EUA com filiais na UE vinculadas pela SOX
 Empresa obrigada a facilitar a capacidade dos funcionários de fazer alegações
sobre irregularidades (pode entrar em conflito com as leis de dados da UE)
 Ponto de direito é tornar as empresas mais responsáveis e responsáveis,
especialmente no que diz respeito aos controles internos
 As empresas incentivam aqueles com informações de fraude potencial ou real a
se apresentarem e fornecerem relatórios confidenciais
o Pode usar agências independentes de3ª parte para que os denunciantes
entrem em contato
 Preocupação: o sujeito de uma queixa não pode confrontar a pessoa que faz a
alegação, e o anonimato pode levar ao abuso de função
 Problemas de conformidade com o RGPD
 DPIA deve ser conduzido para esquema de denúncia
 Ligação com WCs antes de implementar o método
 3contratos de subcontratante fora da UE devem cumprir as leis de processamento
da UE
 Os mecanismos de transferência de dados para fora do EEE devem estar em
conformidade com as leis
 Pode ser necessário o consentimento dos funcionários
 A política e o procedimento de denúncia devem ser transparentes para os
funcionários
 A política de denúncia de irregularidades deve abranger elementos específicos:
 Indivíduos que relatam (limite de quem pode relatar com base em quem tem
conhecimento direto)
 Indivíduos incriminados (apenas aqueles conhecidos da pessoa que denuncia)
 Confidencialidade sobre o anonimato das reportagens (saber a identificação do
repórter resultará em uma investigação mais precisa e completa)
 Escopo dos relatórios (limitar o escopo de assuntos reportáveis àqueles que
afetam a governança da empresa)
 Retenção de dados: política rigorosa após a conclusão da investigação e
exclusão de quaisquer relatórios considerados não fundamentados
 Fornecimento de informações: atenda aos requisitos do GDPR para
transparência e notificação
 Direitos das pessoas incriminadas: os direitos de DP podem ser limitados se
afetar a investigação
 Transferências para fora do EEE: mecanismo estatal utilizado para legitimar
transferências
o Traga sua própria política de dispositivo

51
  O empregador permanece responsável como controlador por quaisquer dados pessoais
processados no dispositivo do funcionário para fins relacionados ao trabalho usando
configurações de e-mail de trabalho
 As empresas devem estabelecer uma política para dispositivos pessoais usados para o
trabalho
 Considere como gerenciar os dados pessoais mantidos no dispositivo quando o
funcionário deixar a empresa ou o dispositivo for perdido ou roubado
 Atividades de Vigilância
o Necessidade de equilibrar a necessidade de vigilância no interesse da segurança nacional e o
direito individual à privacidade
 Internet significa mais e mais informações sobre cidadãos privados disponíveis para
vigilância
 As sociedades estão se tornando sociedades de vigilância?
o Tecnologia: nova tecnologia para tornar nossas vidas mais seguras, mas também gera mais
dados
 Agora, atividades de vigilância realizadas diariamente, tanto pelo setor público quanto
pelo privado, para uma série de finalidades lícitas
 CFTV e GSP parte da vigilância
o Se a vigilância resultar em invasão de privacidade, verifique se a invasão é necessária, legal,
justa e proporcional
o Regulação da Fiscalização
 Órgãos públicos e estatais ou entidades privadas podem realizar vigilância (segurança
nacional, aplicação da lei, fins privados, como direito do trabalho)
 Os direitos individuais podem ser restringidos se a restrição respeitar a essência dos
direitos e liberdades fundamentais e for uma medida necessária e proporcionada numa
sociedade democrática
 A segurança nacional e pública, a prevenção e detecção da criminalidade e a
protecção da DS e dos direitos e liberdades são razões para a aplicação de
restrições
 Diretiva LEDP aplica-se a atividades de aplicação da lei
 Embora o tratamento de dados pessoais deva ser lícito, equitativo e
transparente, tal não deve impedir as autoridades responsáveis pela aplicação
da lei de realizarem atividades como investigações encobertas ou
videovigilância
 As actividades podem ser exercidas desde que estejam previstas na lei e
constituam uma medida necessária e proporcionada numa sociedade
democrática, tendo devidamente em conta os interesses legítimos da pessoa
singular em causa
 As entidades do setor privado podem estar obrigadas a reter e/ou partilhar DP
com as autoridades responsáveis pela aplicação da lei
o Dados de Comunicações
 A vigilância moderna geralmente ocorre por meios eletrônicos, gerando conteúdo e
metadados
 Metadados= dados sobre dados, informações geradas e processadas como
consequência da transmissão de uma comunicação

52
 o Dados de tráfego: tipo, formato, hora, duração, origem, destino,
roteamento, protocolo usado e redes de origem e término de uma
comunicação
o Dados de localização: lat, long, altitude do equipamento do usuário,
célula de rede
o Dados do assinante: nome, detalhes de contato, informações de
pagamento
 Os metadados podem fornecer uma imagem completa da comunicação e
podem ser usados para identificar indivíduos (portanto, se enquadram no
GDPR)
 Dificuldade em equilibrar interesses jurídicos concorrentes: limitação de duração do
GDPR versus lei de telecomunicações que exige que os provedores mantenham os
dados de chamadas por mais tempo do que o necessário para o processamento
 Neste caso, o TJUE decidiu em 2014 que a diretiva era inválida por violar
desproporcionadamente os direitos de privacidade
o Vigilância por vídeo (CFTV)
 Contém imagens de indivíduos que podem ser usadas para identificar um indivíduo: isso
é considerado processamento!
 Sempre que a imagem de um indivíduo é capturada, são considerados dados
biométricos
 Artigo 9.º Aplicam-se as categorias especiais de isenção de dados
o C pode invocar a legislação dos Estados-Membros para realizar
vigilância de interesse público para uma área pública ou no exercício da
autoridade pública
 Cs provavelmente têm que confiar no teste de equilíbrio de interesse legítimo para base
legal, improvável de obter consentimento
 O uso do CFTV não deve se sobrepor aos direitos e liberdades dos indivíduos
 DPIA necessária se: vigilância considerada de alto risco, envolver monitoramento
sistemático de área acessível ao público em grande escala, ou se a vigilância por vídeo
incluída na lista por DPA relevante
 A AIPD terá de descrever: tratamento a efetuar, finalidades do tratamento, interesses
legítimos prosseguidos, avaliação das razões pelas quais a vigilância é necessária e
proporcionada, avaliação dos riscos para os direitos e liberdades da DS afetada e
medidas necessárias para fazer face a esses riscos
 Se o DPIA indicar que os riscos elevados não podem ser suficientemente
mitigados, C deve consultar o DPA antes de utilizar a videovigilância
o Quando o interesse público for a base legal, os Estados-Membros
podem tornar obrigatória a consulta ao DPA
 Solução proporcional e adequada, relevante e não excessiva para o problema que
aborda, o uso de CFTV só deve acontecer se outras soluções menos intrusivas que não
exigem aquisição de imagem tiverem sido consideradas e consideradas inaplicáveis ou
inadequadas para a finalidade
 A proporcionalidade também se estende à escolha do sistema e da tecnologia
(por exemplo, reconhecimento facial e tecnologia de zoom)
 Proporcionalidade também significa determinar se os aspectos de CFTV
utilizados e processamento de imagens são proporcionais à finalidade do
sistema de CCTV usado para

53
 o Arranjos operacionais e de monitoramento: aspectos operacionais
fundamentais (tipos de câmeras, posicionamento das câmeras), ver se o
monitoramento de espaços específicos pode ser minimizado; uso de
recursos específicos (zoom, congelamento)
o Retenção de imagens de CFTV: reter apenas pelo tempo estritamente
necessário
o Necessidade de divulgar a terceiros, como autoridades policiais
o Se as imagens de CCTV serão combinadas com outras informações para
identificar indivíduos
o Vigilância de áreas com alta expectativa de privacidade (vestiários,
banheiros): permitido apenas na maioria das circunstâncias
excepcionais com necessidade de lidar com preocupações muito sérias,
conscientizar os indivíduos de que estão sob vigilância
 Outras medidas: formação do pessoal, sanções disciplinares e legais por utilização
indevida, política de CCTV (documento escrito que aborda questões importantes de
privacidade), revisões regulares para garantir a conformidade e reconsiderar se a
utilização de CCTV continua a ser justificada
 Direitos DS e CFTV
 Os requisitos de transparência ainda se aplicam, especialmente quando as
câmeras cobrem grandes espaços públicos
o As informações devem ser visíveis e colocadas a uma distância razoável
da área monitorada
o Identificar a finalidade da vigilância e C com detalhes de contato
 Sujeito ao Art 15 direito de acesso pela DS: CCTV retido por curtos períodos de
tempo, por isso pode ser mais difícil usar este direito
o Se as imagens contiverem imagens de outras pessoas, devem ser
tomadas medidas para salvaguardar a sua privacidade, como desfocar
imagens
o Dados Biométricos
 Dados pessoais resultantes de tratamento técnico específico relativo às características
físicas, fisiológicas ou comportamentais de uma pessoa singular, que permitam ou
confirmem a identificação única dessa pessoa singular
 Por exemplo, DNA, impressões digitais, palmas das mãos, padrões de veias,
odor, voz, rosto, caligrafia, marcha
 Pode estar em sua forma bruta ou forma de modelo biométrico: o modelo deve incluir
detalhes suficientes para permitir que um indivíduo seja identificado a partir da
população de indivíduos armazenados em sistema biométrico
 Principais usos dos sistemas: identificação e autenticação
 Para se enquadrar na categoria especial do artigo 9.º, a finalidade do tratamento de
dados biométricos deve ser a identificação exclusiva de uma pessoa singular
o Dados de localização
 Serviços baseados em localização, dependem da capacidade técnica para localizar um
dispositivo portátil
 Derivado de dados gerados por rede de satélite (GPS), dados móveis baseados em
células (Cell ID), dados gerados por cartão com chip (cartões de pagamento)
 3 grandes categorias de dados de localização que o Google usa para fornecer seus
serviços: informações de localização implícitas (usando consulta de pesquisa etc);

54
 Informações de tráfego de Internet (endereço IP, permite a aplicação da linguagem
correta); Serviços de localização baseados em dispositivos (navegação passo a passo)
 Os dados de localização são um identificador, pois podem identificar ou levar à
identificação de um indivíduo: considerados dados pessoais sob esta definição
 Mesmo que os usuários desativem os serviços de localização em seus
dispositivos ou para um aplicativo, as vulnerabilidades em um aplicativo móvel
podem ser exploradas para acessar a localização
 Os desenvolvedores de aplicativos precisam decidir se os aplicativos que usam a
localização resultam em altos riscos aos direitos e liberdades dos indivíduos,
caso em que um DPIA é necessário
 O histórico de localização pode ser usado para fazer inferências sobre o
indivíduo, como casas de amigos, religião, estado de saúde, afiliação política, etc
 Preocupações com a retenção e o acesso por parte das autoridades públicas ou
dos empregadores
o Se o empregador usar para rastrear frota de veículos não vinculados a
indivíduos, não dados pessoais: se os dados usados para qualquer
finalidade relacionada ao funcionário, então se enquadra no GDPR
 Marketing Direto
o Em Geral
 DM: qualquer forma de promoção de vendas, incluindo DMs de instituições de caridade
e organizações políticas para fins de angariação de fundos
 Não precisa oferecer algo para venda, pode ser uma promoção gratuita ou
apenas promover a organização em geral
 Direcionado a indivíduos específicos (as leis de DP se aplicam quando a DP dos
indivíduos é processada para comunicar mensagem de marketing a eles)
 A maioria dos DM está sujeita às leis de DP, bem como às leis de proteção ao
consumidor e leis de publicidade, que variam entre os Estados-Membros
 A lei aplicável pode ser onde o remetente ou destinatário está localizado, ou
ambos
 Muitas vezes inclui dados coletados através do dispositivo do consumidor: cookies,
dados de localização
 Push-messages e mensagens no aplicativo são DM!
 Marketing não direcionado (banners do site) e mensagens puramente relacionadas a
serviços (informar sobre o status de um pedido) não são DM
 A Diretiva Privacidade e Comunicações Eletrónicas aplicar-se-á à comercialização
enviada por redes de comunicações eletrónicas: não se aplica à comercialização postal
 Cs deve satisfazer todos os requisitos do GDPR: base legal para o processamento
(geralmente consentimento ou interesses legítimos), fornecimento de informações de
processamento justo (transparência), medidas técnicas e organizacionais apropriadas
para proteger os dados, nenhuma transferência para fora do EEE
 DS deve ter o direito específico de recusar ou optar por não receber DM enviada por C;
se baseado em consentimento, pode ser retirado a qualquer momento; se baseado em
interesses legítimos, o opt-out ainda é necessário
 A DS deve ser informada do direito de opt-out, apresentada de forma clara e
separada de outras informações
 A DS deve poder optar por não participar em todos os canais de marketing
 Os Cs devem honrar os pedidos de opt-out em tempo hábil, sem custo para a DS

55
  PD deve ser excluído, a menos que a retenção seja estritamente exigida
o Exceções: necessárias para o estabelecimento, exercício ou defesa de
reivindicações legais, motivos legítimos convincentes para o
processamento contínuo superando os interesses de privacidade da DS
 Os dados de criação de perfil devem ser removidos sem uma isenção na qual se
basear
 Se os indivíduos solicitarem a exclusão, o Cs deve suprimir em vez de excluir os
detalhes de contato: impede a reaquisição de detalhes mais tarde e a retomada
da DM
o C deve manter registro de DS que não deve ser enviado comunicações
de marketing
 Listas Nacionais de Opt-Out ("Lista Robinson")
o A MS pode exigir que a Cs limpe a lista de DM em relação às Listas
Robinson, bem como os registros internos de exclusão antes de enviar
materiais de marketing: falha em fazê-lo não é uma violação de dados,
apenas violação das leis nacionais
o O consentimento de aceitação posterior substitui a Lista Robinson
 Diretiva Privacidade e Comunicações Eletrónicas
 Impõe requisitos de consentimento e informações sobre marketing por
telefone, fax, e-mail, SMS, mensagens instantâneas, notificações push e outras
mensagens eletrônicas
 Requer consentimento prévio do destinatário
o Isenções para marketing por e-mail em regime de opt-out quando C
obteve informações DS através da venda de produto ou serviço
 Aborda marketing baseado em localização e cookies OBA
 Às vezes imposta pelo regulador de telecomunicações em vez de DPA
o Por via postal (a Diretiva Privacidade e Comunicações Eletrónicas não se aplica)
 Mesmo que não seja eletrônico, ainda garantir seguir os princípios do GDPR/DP
(processamento legal, transparência, solicitações de opt-out, outros direitos DS)
 Requisitos de consentimento
 Não há req direto no GDPR, mas algumas regras nacionais exigem para DM
postal: se não req, geralmente dependem de interesses legítimos com exercício
de equilíbrio
 Fatores de balanceamento: cliente existente de C, natureza do produto e
serviços, DS foi previamente informado que não receberia DMs postais
 Se a base de interesse legítimo não estiver disponível, o consentimento
necessário
 Em alguns Estados-Membros, deve limpar a lista Dm contra o registo nacional de opt-
out, a menos que o consentimento válido da DS
o Por telefone (aplica-se a Diretiva Privacidade e Comunicações Eletrónicas)
 Requisitos de consentimento
 Nenhuma exigência expressa para obter consentimento, exceto para sistemas
de chamadas automatizados (sempre req opt-in consentimento)
o Sistemas automatizados ainda podem ser usados para discar números
para facilitar conversas de pessoa para pessoa
 As leis dos Estados-Membros podem determinar se são permitidas com base no
opt-in ou opt-out

56
 o A DS deve poder optar por não participar gratuitamente
o A maioria dos Estados-Membros tem registos nacionais de opt-out para
telemarketing
o Alguns Estados-Membros exigem que os operadores de telemarketing
mencionem o registo nacional de opt-out em cada chamada e oferecem
o direito individual de se registarem imediatamente sem custos
 As condições de DP nem sempre se aplicam, as leis geralmente variam de Estado para
Estado
 Apenas uma abordagem de tamanho único está obtendo consentimento em toda a
linha
 Sistemas de chamada automatizados: alguns MS req ID e detalhes de contato do
chamador
 Alguns MS têm abordagem mais relaxada para telemarketing B2B
 O GDPR ainda se aplica, especialmente ao processar a DP dos funcionários para
DM B2B
 A Diretiva Privacidade e Comunicações Eletrónicas aplica-se igualmente ao
telemarketing B2B e B2C
o Por e-mail/SMS (aplica-se a Diretiva Privacidade e Comunicações Eletrónicas)
 Deve satisfazer os requisitos gerais do GDPR, como transparência e processamento legal
 Correio eletrônico: qualquer mensagem de texto, voz, som ou imagem enviada através
de uma rede pública de comunicações que possa ser armazenada na rede ou no
equipamento terminal dos destinatários até que seja coletada pelo destinatário
(definição tecnologicamente neutra)
 C deve obter consentimento prévio e fornecer um aviso de processamento justo quando
os dados serão coletados
 Exceção de exclusão limitada quando os detalhes de contato da DS forem
obtidos no contexto da venda de um produto ou serviço
o Alguns Estados-Membros exigem que a venda tenha sido feita,
enquanto outros permitem durante o contato geralmente (nenhuma
venda feita)
 Para isenção, C só deve enviar DM para indivíduos sobre os próprios produtos
ou serviços de C semelhantes aos adquiridos, E
o Os detalhes não podem ser compartilhados com terceiros
o Não pode comercializar produtos ou serviços de forma diferente da
ligada à DS
 C deve ter dado clara e distintamente aos indivíduos a oportunidade de optar
por não participar do marketing por e-mail de forma simples e gratuita no
momento em que os dados foram inicialmente coletados e em cada
comunicado de marketing
o Geralmente feito através de caixa de seleção ao coletar dados
 Deve enviar DS com endereço válido para solicitar opt-out, através do meio apropriado
pelo qual a comunicação de marketing foi enviada
 C não deve ocultar ou disfarçar a identificação do remetente, garantir que a
mensagem seja claramente identificável como comunicação comercial, garantir
que quaisquer ofertas promocionais sejam claramente identificáveis e que as
condições para elas sejam facilmente acessíveis e inequívocas, e que os jogos

57
 promocionais ou competições sejam claramente identificáveis e as condições de
participação facilmente acessíveis e apresentadas de forma clara/inequívoca
o Por fax (aplica-se a Diretiva Privacidade e Comunicações Eletrónicas)
 Aplicam-se o RGPD, incluindo os requisitos de transparência e processamento legal
 Requisito de consentimento: deve obter consentimento prévio antes de enviar fax
 Apresentar um aviso de processamento justo quando os dados forem coletados
 Nos casos em que os Estados-Membros permitem actualmente a comercialização de fax
B2B numa base de opt-out, a Cs pode ser obrigada, nos termos da legislação nacional, a
limpar os contactos de marketing de fax pretendidos contra o registo de opt-out
o Baseado na localização (aplica-se a Diretiva Privacidade e Comunicações Eletrónicas)
 Dados de localização: quaisquer dados tratados numa rede de comunicações
electrónicas ou por um serviço de comunicações electrónicas, indicando a posição
geográfica do equipamento terminal de um utilizador de um serviço de comunicações
electrónicas acessível ao público
 Inclui lat/long, altitude, direção da viagem
 Aplica-se apenas aos dados que mostram a posição do equipamento terminal,
não a localização da pessoa > local de publicação no Facebook não se aplica
(mas o GDPR ainda se aplicará, apenas sem ePD)
 Seja com base em dados de localização do smartphone (passando por uma loja) ou
fazendo upload para redes sociais
 Os dados baseados na localização são dados pessoais, pelo que se aplica o RGPD:
aplicam-se requisitos de transparência e processamento legal
 Consentimento: opt-in necessário para "serviço de valor agregado"
 Isenção: dados anonimizados, mas é improvável que se apliquem de forma
realista
 A DS deve ser previamente informada sobre: tipos de dados de localização recolhidos e
tratados, finalidades e duração do tratamento e se transmitidos a terceiros
 Muitas vezes difícil de fornecer de maneira amigável, a prática recomendada é
incluir informações sobre o uso de dados de localização para marketing na
política de privacidade do aplicativo
 C deve oferecer à DS a capacidade de retirar o consentimento para usar a localização
para DM e deve estar disponível durante todo o período em que os dados de localização
da DS estiverem sendo processados
 Deve oferecer direito abrangente de opt-out e direito de optar
temporariamente por não participar em cada conexão à rede ou para cada
comunicação
o Publicidade Comportamental Online (OBA) – Cookies! (Aplica-se a Diretiva Privacidade e
Comunicações Eletrónicas)
 A publicidade no site que é direcionada a indivíduos com base na observação do
comportamento ao longo do tempo, oferece publicidade mais relevante para os direitos
e interesses dos indivíduos, melhora a eficácia do anúncio e a taxa de cliques
 Cs pode fazer recomendações para DS com base em interações anteriores com um site
 As redes de publicidade podem rastrear o comportamento em vários sites não
afiliados para direcionar publicidade em todos os sites
 Cookie colocado no computador para coletar informações, registrar
preferências e enviar de volta para a rede

58
 o Eventualmente, um perfil é atribuído a esse usuário (nova mãe, jovem
profissional)
 A questão é se o perfil online sem conhecer o indivíduo real deve se qualificar como DP
e, portanto, se enquadrar no GDPR
 Considerado "perfil"
 O OBA permite o rastreamento de usuários de um computador específico,
mesmo quando endereços IP dinâmicos são usados, para que os usuários
possam ser destacados mesmo que os nomes reais não sejam conhecidos
 Qual entidade é o controlador de dados?
 As redes de anúncios geralmente se qualificam porque têm controle total sobre
a finalidade e os meios para os quais as informações dos visitantes do site são
processadas: as redes de anúncios alugam espaço dos editores do site, definem
e leem informações relacionadas a cookies e coletam endereços IP e outros
dados
 O editor do site pode ser um controlador conjunto com a rede de anúncios,
engajando redes de anúncios para observar o OBA por meio de seus sites
o A rede e os editores devem concordar contratualmente quem notificará
os visitantes de que os dados pessoais que estão sendo usados para o
OBA, e como os visitantes terão a capacidade de recusar
 Os anunciantes podem ser controladores de dados independentes: o
anunciante monitora a atividade de navegação subsequente do indivíduo e a
combina com o perfil de segmentação relacionado ao indivíduo
 **Todas as partes envolvidas podem ter requisitos de conformidade
 O ePD aplica-se independentemente de o RGPD ser considerado aplicável
 Menção explícita de cookies no ePD
o O uso de cookies só é permitido na condição de que o indivíduo tenha
dado consentimento, tendo sido fornecido com informações claras e
abrangentes (consentimento prévio informado)
o O consentimento deve ser indicação específica de sua vontade,
livremente dada e revogável: participação ativa do usuário necessária,
mecanismos passivos de opt-out insuficientes
 Uso das configurações do navegador geralmente insuficiente para obter
consentimento
o Potencialmente, se o padrão de configuração do navegador for sem
cookies e o usuário alterá-lo ativamente para aceitar cookies, isso
poderá ser aplicado
 A maioria das soluções OBA implica o uso de cookies de terceiros: link para a política de
privacidade de terceiros
o Execução
 Multas e sanções administrativas por DPAs
 Responsabilidade civil e, por vezes, criminal
 Diretiva de Privacidade Eletrônica: recursos judiciais, responsabilidades e sanções do
GDPR aplicadas a infrações de ePD
 Pode ser aplicada pelos reguladores de proteção ao consumidor e de
telecomunicações em vez de DPAs
 Novo direito estabelecido para indivíduos e empresas com interesse legítimo na
cessação ou proibição de spam para mover o direito privado de ação contra

59
 comerciantes não conformes (expectativa de que os ISPs apresentarão essas
reivindicações)
 Tecnologia e Comunicações para Internet
o Computação em nuvem
 O fornecimento de TI através da Internet (software, infraestrutura, hospedagem,
plataformas)
 Modelos de serviço: infraestrutura, plataforma ou software como serviço
 A estrutura do serviço é compartilhada entre os clientes dos fornecedores em vários
países
 ARTIGO 3.º PROVAVELMENTE APLICA-SE: atividades de estabelecimento da UE do
responsável pelo tratamento OU oferecer bens ou serviços a indivíduos na UE, ou
monitorizar o seu comportamento
 Weltimmo (1ª prova): estabelecimento depende do grau de estabilidade dos
arranjos, e se há um exercício efetivo das atividades
o O sítio Web dirigido à Hungria, utilizando a língua húngara, com um
representante na Hungria para processos judiciais/cobrança de dívidas,
uma caixa de correio na Hungria e uma conta bancária húngara é
suficiente para o estabelecimento na Hungria
o Atividades mínimas podem constituir estabelecimento
 Google v. Espanha: ligação económica entre o tratamento de dados C fora da UE
PD e o estabelecimento baseado na UE pode significar atividades C sujeitas a
regulamentação
 2º teste: não há necessidade de determinar se o estabelecimento na UE
o Ps pode ser puxado para a legislação da UE com base no
processamento: mesmo que P não esteja diretamente sujeito às leis sob
esses dois testes, se o cliente se enquadrar na legislação da UE, P terá
que segui-lo também!
 C v. P: C determina como e por que a DP é processada, P está agindo de acordo com as
instruções de C
 Se P determinar alguns elementos substanciais e essenciais do processamento,
como a retenção de dados, eles podem se tornar um C
 Relevante como os computadores em nuvem procuram fazer uso de dados
pessoais coletados pelos clientes para seus próprios fins
 Contratos de serviços regulados pelo GDPR com lista detalhada de obrigações do
processador:
 Incluir informações sobre o assunto, duração, natureza e finalidade do
processamento, com tipo de dados pessoais e categorias de DS
 A DP só é processada com instruções documentadas, incluindo transferências
de dados
 Pessoas que tratam dados sujeitos a obrigação de confidencialidade
 Medidas de segurança mais prescritivas
 Cs notificados de sub-Ps e têm direito de oposição
 Todos os sub-Ps têm as mesmas obrigações contratuais que os Ps
 Medidas tomadas para garantir que a Cs possa cumprir todas as suas obrigações
com a ajuda da Ps (por exemplo, notificar a DS sobre violação de dados,
conduzir DPIA, etc.)

60
  Todos os PD são excluídos ou devolvidos assim que a prestação de serviços é
concluída
 Acompanhamento do cumprimento do contrato permitido
 Cs também buscam cláusulas contratuais normais, como indenização por uso
indevido de PD por P
 TAMBÉM P não se responsabiliza pelas obrigações regulatórias de C
 Transferências Internacionais de Dados
 Cs devem ser capazes de mostrar salvaguardas para a proteção de DP
transferidos: opções
o Limitações geográficas (podem derrotar o propósito da nuvem,
aumentar os custos)
o Escolha fornecedores certificados pelo Privacy-Shield nos EUA
o Usar cláusulas de modelo
 Difícil de construir para transferências para várias partes
 Deve ser atualizado à medida que o processo evolui
 São inflexíveis
o Acordos de transferência de dados personalizados (devem ser
aprovados pelos reguladores)
o BCRs para Ps (permite que Cs use quando informações transferidas por
Ps)
o Códigos de Conduta e Certificação (novo com GDPR)
o Derrogação do artigo 49.º: inclui o consentimento
o Bolinhos
 Cookie: um pequeno arquivo de texto que é entregue por um servidor de site no
computador dos visitantes de seu site (impressão digital do dispositivo) - > limitado em
dispositivos móveis e w / apps
 Ajude a personalizar as ofertas do site e mantenha a segurança dos indivíduos enquanto
estiver conectado ao site, também facilite a publicidade direcionada
 Vinculado a informações não pessoalmente identificáveis (endereços IP, tempo de uma
visita ao site, etc), mas juntar essas informações pode criar um perfil de identidade de
hábitos de navegação: isso é dados pessoais sob GDPR porque os cookies coletam PD
para desenvolver o perfil!
 Se vincular o perfil ao nome, e-mail ou endereço, definitivamente dados
pessoais
 Os dados sob pseudônimo incluem perfis que podem ser vinculados a um indivíduo,
mesmo que C não pretenda fazer o link
 Vidal-Hall v. Google: perfis de hábitos de navegação usados para criar perfis para
anúncios segmentados
 O English Ct of Appeal decidiu que os perfis eram PD e que o uso de perfis pelo
Google era censurável porque, mesmo que o Google não soubesse quem era o
indivíduo, outras pessoas que usavam o dispositivo provavelmente sabiam e
obteriam informações sobre o indivíduo com base em anúncios direcionados
 Endereços IP agora explicitamente considerados PD no GDPR
 A legislação da UE aplicada a sítios Web não pertencentes à UE devido à2.ª parte do
artigo 3.º do teste
 Diretiva Privacidade e Comunicações Eletrónicas também aplicável

61
  O armazenamento de informações ou a obtenção de acesso a informações só
são permitidos se o consentimento for dado com base em informações claras e
abrangentes (isenção para cookies necessários)
o Informações sobre o envio e a finalidade dos cookies devem ser
fornecidas ao usuário
o O usuário deve consentir antes que o cookie seja colocado
o O usuário deve ter a opção de consentir e fornecer indicação ativa de
que o consentimento é dado
 Debate sobre se o consentimento dado através das configurações do navegador
é suficiente
o Suficiente SE: (1) o padrão do navegador rejeitar cookies, (2) as
configurações forneçam informações claras, abrangentes e totalmente
visíveis sobre o uso e a finalidade dos cookies, e como recusá-los, (3) os
usuários devem tomar medidas positivas para aceitar a configuração de
cookies e a recuperação contínua de dados de cookies, e (4) é
impossível ignorar as escolhas feitas pelos usuários em suas
configurações
 Os sites devem fornecer divulgação completa e transparente sobre o uso de cookies
 Os endereços IP são PD, porque o ISP pode vincular o endereço a um cliente específico
 As organizações ainda podem criar perfis de usuários IP e distinguir com base no
endereço IP, e podem pedir aos ISPs que identifiquem usuários IP
 Breyer v. Alemanha (endereços IP dinâmicos)
o Endereços IP estáticos e dinâmicos podem constituir PD nas mãos de
outras organizações que não ISPs
o Mecanismos de Busca
 Processar grandes quantidades de volumes, incluindo endereços IP do usuário, cookies
(usados para personalizar e melhorar os serviços), arquivos de log do usuário (o que eles
pesquisaram anteriormente), páginas da Web de terceiros
 Ao criar perfis, como arquivos de log do usuário, e gerenciar 3 páginas da Web de
terceiros, os mecanismosde pesquisa são Cs para o PD
 3rd party páginas web porque SEOs, etc
 O art. 3ºinciso aplica-se em geral, geralmente fora do EEE, mas monitorando o
comportamento
 Também pode estar sujeito como processador quando 3páginas de terceiros Cs sujeito
ao GDPR
 Google v. Espanha: As atividades do Google Espanha e do Google, Inc., estavam
"inextricavelmente ligadas" por causa do papel do Google Espanha de vender o espaço
publicitário necessário para tornar o mecanismo de busca do Google, Inc.,
economicamente viável
 Outras questões
 Retenção de dados: deve cumprir o requisito de proporcionalidade, máximo de
6 meses, depois apagar ou tornar anônimo de forma irreversível
 Tratamento posterior para diferentes finalidades: os parâmetros devem ser
claramente definidos e os utilizadores devem ser informados da finalidade (por
exemplo, se os dados do utilizador estiverem correlacionados entre plataformas
e serviços, o consentimento do utilizador deve ser obtido)

62
 o Se os Mecanismos de Pesquisa vincularem dados entre fontes, poderá
ser ilegal se os indivíduos não receberem as informações de
processamento justo necessárias quando os dados forem coletados e o
direito de optar por não participar da criação de perfis
 Cumprimento dos direitos da DS: utilizadores registados e não registados,
correção ou eliminação de dados pessoais armazenados em cache (direito a ser
esquecido)
o Redes Sociais
 Fornecedores SNS = Cs, mesmo que fora do EEE (mesmas considerações que os motores
de busca)
 SNSs devem garantir que aplicativos deterceiros também estejam em conformidade com o
GDPR
 Os utentes do SNS podem ser isentos ao abrigo de "exceção de agregado familiar" ou
exceção para utilização de DP para fins jornalísticos, artísticos ou literários
 Não se aplicará se o SNS for usado pela organização (os usuários são Cs sob
GPDR)
 Se o usuário conscientemente estende o acesso aos dados pessoais para além
dos contatos selecionados (também operando como C neste caso)
 Informações que devem ser fornecidas pelos prestadores do SNS
 Observe que o PD será usado para marketing e exclusão (se aplicável)
 Observe que a DP será compartilhada com terceiros específicos
 Explicação da definição de perfil realizada
 Informações sobre o processamento de PD confidenciais
o Consentimento explícito da DS necessário para disponibilizar na internet
o SNS deve deixar claro fornecimento de dados totalmente voluntário
o As fotos podem revisar dados confidenciais, mas, a menos que o
objetivo seja revelar esses dados, geralmente não serão capturados
nessa área
 Avisos sobre riscos à privacidade
 Aviso sobre o consentimento de 3terceiros necessário ao carregar dados de outras
pessoas, como fotos
 Se o SNS reunir e agregar PD de não-usuários (por exemplo, lista de contatos de upload
de usuários) e, em seguida, criar perfil, esse processamento é ilegal de acordo com o
GDPR porque a pessoa cujo perfil é criado sobre não está em posição de aprender sobre
o processamento
 CRIANÇAS
 Menores de 13 a 16 anos (país dependente), o consentimento dos pais deve ser
dado
 Motivos de interesse legítimo para o processamento podem não estar
disponíveis
 Cs deve ter respeito pelo superior interesse da criança
 Actividades de sensibilização e tratamento justo e lícito
 PD sensível não deve ser solicitada, configurações padrão amigáveis à
privacidade devem ser adotadas e menores de idade não devem ser alvo de
marketing direto
o Aplicativos Móveis

63
  Os aplicativos têm acesso a dados móveis armazenados, usados para oferecer serviços
inovadores aos usuários, podem ser enviados de volta aos desenvolvedores de
aplicativos e associados a um dispositivo específico (incluindo localização, fotos, e-mails,
histórico de navegação na Internet, altitude, áudio, vídeo, velocidade, interações do
usuário)
 A DP especial também pode ser revelada por localização (por exemplo, visitas
repetidas a uma igreja)
 Dados coletados em aplicativos que podem ser considerados dados pessoais
 A Diretiva Privacidade e Comunicações Eletrónicas também se aplica, especialmente se
os cookies forem aplicados e utilizados
 Cookies geralmente disponíveis apenas a partir do aplicativo que os configura
o Por causa disso, os anunciantes desenvolveram novos métodos de
rastreamento
o Sempre que novos métodos são utilizados, eles também requerem o
consentimento da DS
 O desenvolvedor do aplicativo provavelmente será C de dados, a menos que o aplicativo
processe dados no telefone, mas não envie de volta ao desenvolvedor
 Muitas outras partes provavelmente também estarão envolvidas como
processadores
 Terceiros também podem se transformar em controladores
 O acesso do aplicativo a itens como contatos e fotos requer o consentimento do usuário
 Perceba: informação adequada difícil dentro de um espaço pequeno
 Ícones ou símbolos visuais podem ser ferramentas melhores
 Avisos em camadas com links para informações completas
 Aviso e política de privacidade podem precisar ser dados antes do download do
aplicativo
 Consentimento: a Diretiva Privacidade e Comunicações Eletrónicas requer
consentimento antes de armazenar informações num dispositivo, o que inclui a
transferência de uma aplicação
 Pode ser exigido como fundamento legal, outros motivos podem não estar
disponíveis (como interesse legítimo por informações íntimas sobre a
localização)
 Consentimento para processamento de dados que não é essencial para o
fornecimento de funções do aplicativo geralmente não é válido se o usuário
tiver que fornecê-lo para usar o aplicativo
 O consentimento deve ser específico, sem consentimento guarda-chuva para
qualquer processamento por aplicativo
 Minimização de dados: os dados pessoais devem ser adequados, relevantes e limitados
ao necessário em relação à finalidade para a qual são processados
o Internet das Coisas
 Coisas gerais da vida conectada à internet (Home Nest, Alexa, etc)
 Os sensores frequentemente coletam informações sobre indivíduos identificáveis
 C v. P: mesmas considerações que os dispositivos móveis
 Desafio de segurança porque um grande número de objetos conectados à mesma rede
(grande número de pontos para entrada mal-intencionada) e software com menor
probabilidade de serem mantidos atualizados com patches de segurança

64
  As redes devem ser projetadas de forma segura, implementar a proteção de
dados desde a concepção ao projetar coisas
 Edital e escolha
 Como dar aos indivíduos avisos justos exigidos pelo GDPR (adesivos?)
 Consentimento geralmente o fundamento mais apropriado para o
processamento: os mecanismos de consentimento podem precisar ser
incorporados aos próprios dispositivos

65