O QUE É O REGULAMENTO GERAL SOBRE A PROTECÇÃO DE DADOS PESSOAIS (RGPD)?

O Regulamento Geral Sobre a Proteção de dados Pessoais, muitas vezes abreviado por “RGPD” é um novo regulamento Europeu que veio substituir a Diretiva 95/46/CE, relativamente a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, tendo entrado em vigor pleno no dia 25 de maio de 2018.

EM PORTUGAL EXISTE UMA NOVA LEI DE PROTECÇÃO DE DADOS?

Sim, entrou em vigor a Lei 58/2019, de 8 de agosto, que é a lei nacional de execução do Regulamento (UE) 2016/679 – Regulamento Geral sobre Proteção de Dados (RGPD). Esta lei revoga a anterior lei de proteção de dados pessoais (Lei 67/98). Entrou também em vigor uma lei específica de proteção de dados para os tratamentos efetuados por autoridades competentes para a deteção, prevenção, investigação e repressão de infrações penais e para a execução de sanções penais – Lei 59/2019, de 8 de agosto.
Os três instrumentos legais constituem a nova legislação de proteção de dados pessoais.

O QUE SÃO DADOS PESSOAIS?

Dados pessoais são informação relativa a uma pessoa viva, identificada ou identificável. Também constituem dados pessoais o conjunto de informações distintas que podem levar à identificação de uma determinada pessoa.

O QUE CONSTITUI O TRATAMENTO DE DADOS PESSOAIS?

O tratamento abrange um amplo conjunto de operações efetuadas sobre dados pessoais, por meios manuais ou automatizados. Inclui a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição de dados pessoais.

QUANDO PODE SER EFETUADO O TRATAMENTO DE DADOS PESSOAIS?

Só se pode efetuar o tratamento de dados pessoais nas circunstâncias seguintes:
    • quando existir uma obrigação contratual;
    • para cumprir uma obrigação legal (prevista na legislação da UE ou na legislação nacional);
    • quando o tratamento for necessário para o desempenho de uma tarefa de interesse público (prevista na legislação da UE ou na legislação nacional);
    • para proteger os interesses vitais de uma pessoa;
    • tendo em vista os interesses legítimos da organização, mas apenas após ter confirmado que os direitos e as liberdades fundamentais da pessoa cujos dados se está a tratar não serão gravemente afetados. Se os direitos da pessoa prevalecerem sobre os interesses da organização, não pode ser efetuado o tratamento com base em interesses legítimos. A avaliação com vista a determinar se os interesses legítimos da organização no tratamento prevalecem sobre os das pessoas em causa depende das circunstâncias específicas do caso.
    • com o consentimento das pessoas em causa.

QUANDO NECESSÁRIO, COMO DEVE SER SOLICITADO O CONSENTIMENTO?

Um pedido de consentimento tem de ser apresentado de forma clara e concisa, utilizando uma linguagem fácil de compreender, e de uma forma que o distinga claramente de outras informações, como os termos e condições. O pedido tem de especificar qual a utilização que será dada aos dados pessoais e tem de incluir os contactos da empresa que efetua o tratamento dos dados. O consentimento tem de ser dado de livre vontade e tem de ser específico e informado.

QUE DADOS PESSOAIS SÃO CONSIDERADOS “SENSÍVEIS”?

Os seguintes dados pessoais são considerados “sensíveis” e estão sujeitos a condições de tratamento específicas:
    • dados pessoais que revelem a origem racial ou étnica, opiniões políticas e convicções religiosas ou filosóficas;
    • filiação sindical;
    • dados genéticos, dados biométricos tratados simplesmente para identificar um ser humano;
    • dados relacionados com a saúde;
    • dados relativos à vida sexual ou orientação sexual da pessoa;
    • dados relativos à reserva da intimidade da vida privada (situação económica, geolocalização, condenações penais).

O TRATAMENTO DE DADOS “SENSÍVEIS” É PROIBIDO?

Como regra geral, o tratamento de dados “sensíveis“ é proibido. No entanto, uma organização poderá efetuar o tratamento de dados “pessoais sensíveis” sob certas condições, como por exemplo:
    • quando uma pessoa torna os seus dados sensíveis manifestamente públicos;
    • quando uma pessoa dá o seu consentimento explícito;
    • quando a lei estabelece regras relativas a um tipo específico de tratamento de dados para uma finalidade específica relacionada com o interesse público ou com a saúde;
    • quando uma lei, que inclua garantias adequadas, prevê o tratamento de dados pessoais sensíveis em domínios como a saúde pública, o emprego e a proteção social.

COMO POSSO EXERCER OS DIREITOS PREVISTOS NO RGPD?

Para exercer os seus direitos, pode contactar a organização que efetua o tratamento dos seus dados pessoais, ou seja, o responsável pelo tratamento.
E, quando a organização tiver um encarregado da proteção de dados, (EPD), também denominado por Data Protection Officer (DPO), poderá endereçar-lhe o pedido.
Na secção “Contactos Importantes” poderá encontrar as formas de contactar as entidades referidas. Poderá também exercer os seus direitos através do formulário eletrónico criado para esse efeito, disponível na secção “Formulários”.

QUANDO OCORRE UMA VIOLAÇÃO DE DADOS PESSOAIS?

Ocorre uma violação de dados pessoais, quando existe uma falha da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais tratados.
Quando isso acontece, a organização que possui os dados pessoais tem de notificar, sem demora injustificada, a autoridade de controlo (em Portugal, a Comissão Nacional de Proteção de Dados). E, se a violação dos dados pessoais for suscetível de implicar um elevado risco para os direitos e as liberdades de uma pessoa e esse risco não tiver sido atenuado, essa pessoa tem também de ser informada desse facto.