RGPD: GUIA ESSENCIAL PARA

PME’s
PATROCINADO POR:
FICHA TÉCNICA
Autora:
Viviane Soares Silva

Revisão e validação:
Dra. Advogada especialista em proteção de dados Ana Bastos
Dra. Advogada Carina Lopes

Paginação:
Caetsu Advertising Agency

Edição:
Agosto de 2018

E-konomista, patrocinado por Fidelidade

E-konomista
www.E-konomista.pt
Info@e-konomista.pt

Rua Alfredo Allen, 455 e 461

Paranhos, Porto

PATROCINADO POR:
ÍNDICE
1 | Introdução e contextualização do RGPD...................................................................... 4
1.1. O que é o RGPD?.................................................................................................................... 5
1.2. Principais diferenças em relação à anterior Diretiva Comunitária............................................ 5
1.3. Contexto e importância do novo Regulamento....................................................................... 6
1.4. Objetivos do RGPD................................................................................................................. 7
1.5. Princípios do RGPD................................................................................................................. 7
1.6. A quem se aplica o RGPD....................................................................................................... 8
1.7. Quando se aplica o RGPD........................................................................................................ 8
1.8. Quem supervisiona em Portugal............................................................................................ 8

2 | Novos direitos dos utilizadores e deveres das empresas...................................... 9

2.1. Direito de informação........................................................................................................... 10
2.2. Direito de acesso.................................................................................................................. 10
2.3. Direito ao esquecimento...................................................................................................... 10
2.4. Direito de retificação.............................................................................................................11
2.5. Direito à portabilidade dos dados..........................................................................................11
2.6. Direito à limitação e oposição do tratamento........................................................................11
2.7. Direito à proteção dos dados “por design” e “por definição”..................................................12
2.8. Responsável pelo tratamento de dados vs. Subcontratante..................................................12

3 | Medidas e procedimentos para garantir a conformidade com o RGPD..........13

3.1. Medidas de gestão.......................................................................................................................14
3.2. Medidas que comprovem a conformidade................................................................................... 15

4 | Incumprimento e coimas................................................................................................. 18
4.1. Como proceder em caso de incumprimento.........................................................................19

5 | Minutas e Modelos de Documentos

5.1. Políticas de privacidade........................................................................................................ 22
5.2. Consentimento.................................................................................................................... 23

6 | Ferramentas úteis.....................................................................................................................26

7 | Checklist................................................................................................................................. 28

8 | Glossário................................................................................................................................ 30

Veja mais conteúdos online sobre o RGPD 3

PATROCINADO POR:
 1

INTRODUÇÃO E
CONTEXTUALIZAÇÃO DO RGPD

PATROCINADO POR:
1 | Introdução e contextualização do RGPD

1.1. O QUE É O RGPD?

O Regulamento Geral de Proteção de Dados (RGPD) ou “General Data Protection Regulation” (GDPR) - Regulamento
(UE) n.º 2016/679 - é uma moldura legal da União Europeia (UE) que se aplica a todos os Estados-membros e a
qualquer outro país que venda produtos ou serviços na Europa.

Em vigor desde 24 de maio de 2016, mas aplicável desde 25 de maio de 2018, tem como principal objetivo proteger
as pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

Em termos práticos, qualquer empresa com sede na UE ou fora da UE que, no contexto das atividades que exerce
(mesmo que de forma gratuita), trate de dados pessoais de cidadãos residentes no espaço europeu, recolhidos por
meios automatizados (ou não automatizados), fica obrigada a prestar contas sobre todas as ações que envolvem
esse tratamento e sobre as políticas de privacidade dadas às pessoas que os forneceram.

Assim sendo, todas as atividades de tratamento de dados pessoais terão de ser registadas de forma detalhada:
quais os dados que são guardados, como são registados, para que são usados, como são tratados, armazenados
e durante quanto tempo.

Não se tratando de uma Diretiva, mas de um Regulamento, o RGPD tem caráter obrigatório e poder jurídico
vinculativo.

1.2 PRINCIPAIS DIFERENÇAS EM RELAÇÃO À ANTERIOR DIRETIVA COMUNITÁRIA

O RGPD vem substituir a Lei n.º 67/98, de 26 de outubro, e a subsequente relativa à Proteção de Dados Pessoais,
de 2003.

Além de exigir que a obtenção de consentimento por parte do utilizador - para receber qualquer tipo de comunicação
ou para processamento de dados pessoais por parte de uma empresa, - seja um processo totalmente claro e
transparente, as principais novidades em relação à legislação anterior são as seguintes:

• O cidadão tem o direito de “ser esquecido”;

• Tem o direito de informação;
• Tem o direito de acesso;
• Tem o direito de retificação;
• Tem o direito à limitação e oposição de tratamento;
• Tem o direito de portabilidade;
• Tem o direito de não ficar sujeito a decisões individuais automatizadas .

PATROCINADO POR:
1 | Introdução e contextualização do RGPD

1.3. CONTEXTO E IMPORTÂNCIA DO NOVO REGULAMENTO

O novo Regulamento Geral de Proteção de Dados representa a mudança mais importante na regulação de
privacidade de dados dos últimos 20 anos e, em linhas muito gerais, visa reforçar os direitos fundamentais que as
pessoas singulares têm sobre os seus dados pessoais e, no fundo, preparar a Europa para a era digital.

Recorde-se que a Diretiva comunitária em vigor antes do RGPD foi criada antes da era das redes sociais ou mesmo
antes do mundo se ter tornado cada vez mais global e ligado à rede. 1995 foi o ano em que a Microsoft apresentou
o Internet Explorer 1 ou que a Amazon e o eBay foram fundados. O número de utilizadores da Internet rondava os
16 milhões.

Num processo de aceleração histórica, e já em 2018, há mais de 3,7 biliões de utilizadores. Os dispositivos móveis
– smartphone, tablet, smartwatch, laptop, entre um sem número de outros gadgets – já funcionam como uma
extensão dos corpos, tal é a necessidade da ligação à rede – do acesso, do contacto, da exposição, do consumo,
da comunicação.

A dimensão desta transformação cultural teve, necessariamente, um enorme impacto socioeconómico. Na

sociedade digital, o acesso facilitado aos cidadãos passou a valer ouro no mundo empresarial. Conscientes de
que os seus clientes partilham da necessidade de estarem sempre conectados, as empresas são as principais
interessadas em perceber quem são ou quais são as tendências comportamentais que os seus targets têm online.

O novo Regulamento veio, assim, relançar a discussão em torno da proteção dos dados pessoais, mas, também,
em torno das questões da privacidade, fomentando o pensamento crítico sobre a forma como os cidadãos
disponibilizam os seus dados e como muitas vezes “abrem mão” dos seus direitos consagrados para terem acesso
a serviços online.

Disponibilizam-se dados pessoais – nome, morada, endereço de email, contactos telefónicos, localização,
fotografias, detalhes de cartões de crédito, entre outros – e aceitam-se, acriticamente, termos e políticas de
privacidade confusas em prol do acesso a conteúdos e serviços.

Por um lado, a partilha deste tipo de dados serve para criarmos relações com as organizações com as quais
interagimos e que fazem parte do nosso dia-a-dia. Por outro, se este tipo de informação cair nas mãos erradas,
pode ser utilizada para um sem número de atividades fraudulentas, inclusive para o roubo de identidade.

Não será também excessivo afirmar que uma das principais ‘lacunas’ da anterior Diretiva prendia-se, digamos assim,
com a falta de métrica em relação à aplicação das regras da proteção de dados. Cada Estado-membro interpretava
essas mesmas regras à sua maneira quando as transformavam em legislação local.

A natureza do RGPD tem, assim, por finalidade reforçar a Proteção de Dados, prevista no art.º 8.º da Carta dos
Direitos Fundamentais da União Europeia, e harmonizar a legislação existente nos Estados-Membros, criando as
6

PATROCINADO POR:
1 | Introdução e contextualização do RGPD

bases para o mercado único digital. A UE acredita que o novo quadro legislativo vai economizar, coletivamente,
muitos milhões de euros por ano.

Em suma, este Regulamento é uma medida essencial para reforçar os direitos fundamentais dos cidadãos na era
digital e facilitar a atividade comercial através da simplificação das normas aplicáveis às empresas no mercado
único digital. A introdução de um ato legislativo único acabará também com a fragmentação e os dispendiosos
encargos administrativos que existem atualmente.

1.4. OBJETIVOS DO RGPD

Tal como se lê no novo Regulamento Geral de Proteção de Dados, o novo quadro legislativo tem como principal
objetivo “contribuir para a realização de um espaço de liberdade, segurança e justiça e de uma união económica,
para o progresso económico e social, a consolidação e a convergência das economias a nível do mercado interno e
para o bem-estar das pessoas singulares”.

Assim sendo, o RGPD visa:

• Assegurar o respeito pelo direito fundamental de cada pessoa à privacidade dos seus dados;
• Proteger os cidadãos da UE num contexto de economia global;
• Dar aos cidadãos o total controlo sobre os seus dados pessoais;
• Harmonizar a legislação existente nos Estados-Membros;
• Travar o crescimento das fugas de informação online, perda de dados confidenciais e ciberataques;
• Reforçar a proteção dos sistemas empresariais.

1.5. PRINCÍPIOS DO RGPD

Transparência, clareza, acesso, consentimento, direito à oposição são alguns dos conceitos que visam o
empowerment dos cidadãos no que toca à utilização, manipulação e partilha dos seus dados pessoais por parte
das organizações empresariais.

O processo de conformidade com a nova legislação exigirá das empresas um esforço considerável em termos
de compliance com as novas regras. Além de estarem obrigadas a rever uma série de medidas organizacionais,
técnicas e de processamento de dados, há, também, um trabalho de mindset dos seus colaboradores que terá,
obrigatoriamente, de ser levado a cabo.

De entre um conjunto vasto de medidas, as empresas terão de, por exemplo:

• Adotar mecanismos de segurança dos dados pessoais;
• Proporcionar formação aos funcionários acerca das normas do RGPD;

PATROCINADO POR:
1 | Introdução e contextualização do RGPD

• Avaliar a necessidade/obrigatoriedade de nomeação de um Data Protection Officer (DPO) ou Encarregado de

Proteção de Dados, figura responsável por gerir o processo de conformidade dentro da empresa;
• Mapear e categorizar os dados pessoais recolhidos e tratados;
• Criar automatismos que simplifiquem a conformidade com o Regulamento;
• Comunicar às autoridades reguladoras e aos respetivos titulares dos dados a ocorrência de incidentes de
violação de dados, no prazo de 72 horas, após ser conhecida uma falha de segurança.

1.6. A QUEM SE APLICA O RGPD

O novo Regulamento aplica-se a todas as organizações estabelecidas em território da União Europeia e àquelas
que, estando localizadas fora da UE, tratem dados de cidadãos aí residentes, desde que comercializem os seus
produtos/serviços (a título oneroso ou gratuito) ou monitorizem comportamentos que ocorram dentro da UE.

É de salientar que estão excluídas desta obrigatoriedade, por exemplo, as forças de segurança pública, uma vez
que estão sujeitas a uma legislação específica.

Importante ainda ressalvar que, no que toca ao registo detalhado das atividades de processamento de dados,
as organizações empresariais com menos de 250 funcionários estão excluídas deste requisito, desde que não se
verifique nenhuma das seguintes condições no tratamento de dados:
• Seja suscetível de implicar um risco para os direitos e liberdades do titular de dados;
• Não seja ocasional;
• Abranja as seguintes categorias de dados: origem racial ou ética, opiniões políticas, convicções religiosas ou
filosóficas, filiação sindical, dados genéticos, dados biométricos, dados relativos à saúde ou relativos à vida
sexual ou orientação sexual;
• Dados pessoais relativos a condenações penais e infrações.

1.7. QUANDO SE APLICA O RGPD

O RGPD tem aplicação direta a partir de 25 de maio de 2018. O Regulamento entrou em vigor em 24 de maio
de 2016, após quase 5 anos de negociações e cerca de 4 000 adendas, sendo aplicado diretamente, isto é, sem
necessidade de qualquer transposição para a ordem jurídica interna.

1.8. QUEM SUPERVISIONA EM PORTUGAL

O cumprimento do RGPD será supervionado em Portugal pela Comissão Nacional de Proteção de Dados (CNPD).

PATROCINADO POR:
 2

NOVOS DIREITOS DOS

UTILIZADORES E DEVERES
DAS EMPRESAS

PATROCINADO POR:
2 | Novos direitos dos utilizadores e deveres das empresas

O consentimento passou a ser um dos requisitos mais importantes para que o tratamento de dados pessoais
possa ser considerado legal. E, mesmo quando o consentimento para o tratamento é dado pelo titular, existem
muitas condicionantes a ter em conta para que as empresas possam proceder a esse tratamento. Isto porque, de
acordo com o RGPD, os cidadãos passam a ter os seguintes direitos:

2.1. DIREITO DE INFORMAÇÃO

Todos os cidadãos têm o direito de receber informação sobre os termos que envolvem o contrato de tratamento
de dados pessoais.

Não basta dar acesso a páginas de informação intermináveis, com letras miudinhas e difíceis de compreender.
A informação tem de ser clara, resumida, expressa numa linguagem fácil de entender e distinguível de outras
informações como os termos e condições. Considera-se que só assim o consentimento pode ser informado.

É ainda de salientar que as empresas são obrigadas a notificar a autoridade de supervisão nacional (Comissão
Nacional de Proteção de Dados) quando existe uma violação dos dados que ponha os titulares dos dados em
risco, no período de 72 horas seguinte ao conhecimento da violação. Devem, igualmente, comunicar aos cidadãos
afetados para que estes possam tomar as medidas apropriadas.

2.2. DIREITO DE ACESSO

Este é outro aspeto de referência do novo Regulamento. Os cidadãos terão acesso a mais informação sobre os dados
e à forma como estes são processados, informação esta que terá de ser clara e acessível. Após o consentimento,
os cidadãos podem aceder aos dados que são recolhidos e confirmar quais são e se eles estão a ser ou não objeto
de tratamento. As empresas devem criar meios para que esse acesso seja fácil e rápido, sendo que muitas já
permitem essa consulta online.

2.3. DIREITO AO ESQUECIMENTO

O cidadão passar a ter o direito de “ser esquecido”. Isto é, tem o direito a pedir que os seus dados pessoais sejam
apagados, sem demora injustificada, e dentro dos limites legalmente previstos.

Este direito apenas deixa de fora os dados que sejam necessários às empresas para cumprir com as suas obrigações
legais. Por exemplo, não pode ser utilizado para apagar dados que dificultem a cobrança de dívidas.

A medida, de acordo com o RGPD, pretende “proteger a privacidade dos indivíduos, e não de apagar eventos
passados ou restringir a liberdade à imprensa”.

10

PATROCINADO POR:
2 | Novos direitos dos utilizadores e deveres das empresas

O Regulamento refere ainda que “o titular tem o direito de obter o apagamento dos seus dados pessoais e a
organização tem a obrigação de o fazer, sem demora injustificada, quando se aplique um dos seguintes motivos:
• Os dados pessoais deixaram de ser necessários para a finalidade que motivou a sua recolha ou tratamento;
• O titular retira o consentimento em que se baseia o tratamento dos dados, se não existir outro fundamento
jurídico para o referido tratamento;
• O titular opõe-se ao tratamento e não existem interesses legítimos prevalecentes que justifiquem o tratamento;
• Os dados pessoais foram tratados ilicitamente;
• Os dados pessoais têm de ser apagados para o cumprimento de uma obrigação jurídica decorrente do direito
da União ou de um Estado-Membro a que o responsável pelo tratamento esteja sujeito;
• Os dados pessoais foram recolhidos no contexto da oferta de serviços da sociedade da informação”.

2.4. DIREITO DE RETIFICAÇÃO

Se o titular dos dados verificar que as informações pessoais estão inexatas, ele tem direito a, sem demora
injustificada, conseguir a sua retificação ou atualização.

A título de exemplo, nos casos em que a situação familiar e laboral possa já ter sido alterada ou em que a divulgação
da situação antiga pode ser embaraçosa ou mesmo prejudicar a vida do titular.

2.5. DIREITO À PORTABILIDADE DOS DADOS

O novo direito à portabilidade dos dados vai tornar mais fácil a transmissão de dados pessoais entre fornecedores
de serviços. Isto porque o cidadão passa a poder transferir os seus dados para outro prestador de serviços quando
bem entender.

Além disso, qualquer cidadão pode pedir a entrega dos seus dados num formato de uso corrente e de leitura
automática - seja para arquivar ou para trabalhar a sua própria informação.

2.6. DIREITO À LIMITAÇÃO E OPOSIÇÃO DO TRATAMENTO

Dado o consentimento para o tratamento dos dados pessoais, o titular pode, em qualquer momento, solicitar a
limitação do tratamento integral ou parcial dos seus dados, sem que por tal a relação contratada com a empresa
seja afetada.

Muito útil para, por exemplo, evitar ações de marketing direto indesejadas por parte de um fornecedor, mantendo
os outros aspetos da relação comercial.
O titular tem ainda o direito de se opor à divulgação ou partilha dos seus dados pessoais.
11

PATROCINADO POR:
2 | Novos direitos dos utilizadores e deveres das empresas

2.7. DIREITO À PROTEÇÃO DOS DADOS “POR DESIGN” E “POR DEFINIÇÃO”

Proteção de dados “por design” significa que cada novo serviço ou negócio que faça uso de dados pessoais está
obrigado a tomar em consideração a proteção desses dados. A este respeito, as empresas terão de ser capazes de
mostrar que têm segurança apropriada.

Em termos práticos isto significa que os departamentos de tecnologias de informação devem ter em conta a
privacidade dos dados no “design” da tecnologia do produto ou serviço.

Proteção de dados “por definição”, significa que as empresas terão de se certificar que só os dados pessoais
absolutamente necessários para determinada ação serão processados.

As configurações de privacidade dos dados dos cidadãos devem estar, por defeito, no nível mais alto de segurança.
Além disso, os dados pessoais devem, por definição, apenas ser mantidos pelo espaço de tempo necessário para
providenciar determinado produto ou serviço.

2.8. RESPONSÁVEL PELO TRATAMENTO DE DADOS VS SUBCONTRATANTE

De acordo com a informação prestada pela UE, o responsável pelo tratamento de dados (“Controller”) determina
as finalidades e os meios pelos quais os dados pessoais são tratados.

Uma empresa/organização é a responsável pelo tratamento se decide “porquê” e “como” os dados pessoais devem
ser tratados. Os trabalhadores que efetuam o tratamento de dados pessoais na organização fazem-no para cumprir
as tarefas enquanto responsável pelo tratamento.

Porém, uma empresa/organização também é responsável conjunto pelo tratamento quando determina,
em conjunto com uma ou mais organizações, “porquê” e “como” os dados pessoais devem ser tratados. Os
responsáveis conjuntos pelo tratamento devem celebrar um acordo que defina as respetivas responsabilidades
pelo cumprimento das regras do RGPD. Os principais aspetos desse acordo devem ser comunicados às pessoas
cujos dados são objeto de tratamento.

Já o subcontratante só efetua o tratamento de dados pessoais em nome do responsável pelo tratamento

(“Processor”). O subcontratante é, geralmente, externo à empresa. Contudo, no caso referido dos grupos de
empresas, uma empresa pode atuar como subcontratante para outra empresa.

12

PATROCINADO POR:
 3

MEDIDAS E PROCEDIMENTOS
PARA GARANTIR A
CONFORMIDADE COM O RGPD

13

PATROCINADO POR:
3 | Medidas e procedimentos para garantir a conformidade com o RGPD

De acordo com o RGPD, uma empresa/organização deve ser responsável por cumprir todos os princípios da
proteção de dados e também por demonstrar esse cumprimento (Princípio da Responsabilidade).

A este propósito, o novo Regulamento oferece às empresas/organizações um conjunto de instrumentos, alguns

dos quais obrigatórios, que lhes permitem demonstrar a sua responsabilidade.

Por exemplo, em casos específicos, a nomeação de um Encarregado de Proteção de Dados (EPD) ou a realização
de Avaliações de Impacto da Proteção de Dados (AIPD) podem ser obrigatórias.

Os responsáveis pelo tratamento podem optar por utilizar outros instrumentos, como códigos de conduta e
procedimentos de certificação, para demonstrar a conformidade com os princípios da proteção de dados.

Tanto os códigos de conduta como a certificação são instrumentos opcionais, pelo que cabe à empresa/organização
decidir se pretende aderir a um determinado código de conduta ou solicitar uma certificação.

Embora a empresa/organização continue a ter de respeitar e cumprir o RGPD, a adesão a estes instrumentos pode
ser tida em consideração no caso de uma medida de execução adotada contra a sua organização por violação do
RGPD.

3.1. MEDIDAS DE GESTÃO

A defesa dos direitos ARCO e liberdades das pessoas singulares relativamente ao tratamento dos seus dados
pessoais exige a adoção de medidas técnicas e organizativas adequadas, a fim de assegurar o cumprimento dos
requisitos do RGPD.

Para poder comprovar a conformidade com o novo Regulamento, o responsável pelo tratamento deverá adotar
orientações internas e aplicar medidas que respeitem, em especial, os princípios da proteção de dados desde a
conceção e da proteção de dados por defeito (Privacy by Design and by Default). Tais medidas podem incluir:

• Atualização do regulamento interno

O qual deve refletir todas as ações da empresa para estar em conformidade com a nova legislação. Deve
incluir uma lista de todos os colaboradores que lidam com dados pessoais e respetiva discriminação de
responsabilidades.

• Reformulação de Termos e Condições e Políticas de Privacidade

As empresas devem rever os Termos e Condições e Políticas de Privacidade das suas páginas online - os quais,
na maioria, são muito extensos e confusos para o utilizador. Além de refletirem as novas políticas de proteção
de dados, devem ser mais transparentes e concisos.

14

PATROCINADO POR:
3 | Medidas e procedimentos para garantir a conformidade com o RGPD

• Avaliação da recolha de dados

As empresas devem avaliar se toda a informação que recolhem dos seus clientes é absolutamente necessária.
Se não houver uma justificação clara para recolher e tratar esses dados, é aconselhável que as empresas não
os recolham. Todos os dados que recolherem deverão estar espelhados no regulamento interno, bem como a
justificação de os ter recolhido e de como os trata.

Recorde-se que se deve recolher e processar dados pessoais só para objetivos legais, e proteger sempre
esses dados. Os requisitos de segurança incluem prevenção de destruição acidental ou criminosa, perda,
processamento, divulgação, acesso e alteração. Ou seja, estes requisitos devem garantir, entre outros, os
direitos ARCO.

• Avaliação da necessidade de nomear um EPD – Encarregado de Proteção de Dados

Quer seja um responsável pelo tratamento, quer um subcontratante, se as atividades principais da empresa/
organização envolverem o tratamento de dados sensíveis ou se as atividades principais envolverem o controlo
sistemático, regular e em grande escala de pessoas, então deve ser nomeado um EPD. Esta figura, que pode
ser um funcionário ou um consultor externo, ficará responsável pela conformidade em matéria de proteção de
dados.

• Formação dos colaboradores

De forma a assegurar a não violação das novas normas e de demonstrar que a proteção de dados é um assunto
de vital importância para as empresas, um dos muitos desafios será, com toda a certeza, sensibilizar os
colaboradores para as novas questões de privacidade e tratamento de dados. O que se procura será fundar uma
nova mentalidade corporativa para esta nova era da regulamentação da privacidade. Deverão, adicionalmente,
ser concluídos termos de responsabilidade com os colaboradores que têm acesso a dados pessoais.

3.2. MEDIDAS QUE COMPROVEM A CONFORMIDADE

Um dos pontos transversais ao RGPD prende-se com o facto das empresas terem de manter documentação que
prove, em caso de fiscalização ou auditoria, que todos os consentimentos necessários foram recolhidos e que
está, de facto, em conformidade com a lei.

Tem de se manter documentação de todas as atividades de processamento de dados, nomeadamente o

propósito do processamento, as categorias de dados pessoais envolvidos, as categorias dos destinatários, as
salvaguardas em todas as transferências de dados, e se possível, limites temporais para apagar esses dados.

Também é necessário manter uma descrição técnica das medidas de segurança na organização. Estes registos
deverão ser mantidos em suporte de papel ou eletrónico, e disponíveis para auditoria e revisão pela autoridade de
supervisão sempre que solicitado.

15

PATROCINADO POR:
3 | Medidas e procedimentos para garantir a conformidade com o RGPD

Além desta recolha de consentimentos, é fundamental, mais uma vez, que o regulamento interno demonstre
cabalmente a um potencial auditor que a empresa se ajustou ao RGPD e que adotou novas políticas com vista à
proteção de dados pessoais.

3.2.1. CONSENTIMENTOS

Embora as regras de processamento de dados pessoais, vigente na lei desde 1995, não sejam muito diferentes
no RGPD, o novo Regulamento traz novas exigências no que toca à validade do consentimento. Tendo em vista a
conformidade, as empresas devem:
-- Avaliar se os dados já recolhidos, e que estão registados na base de dados, foram recolhidos com o consentimento
necessário. Se não, os consentimentos devem ser novamente recolhidos para poderem continuar a comunicar
com os seus clientes;
-- Assegurar que as plataformas que estão a ser utilizadas permitem uma gestão de consentimentos. É importante
que o utilizador possa gerir os seus consentimentos ou mesmo apagar a sua conta, na sua área de cliente, a
qualquer momento;
-- Assegurar que o consentimento é obtido através de um ato positivo inequívoco e de uma manifestação de
vontade livre, específica, informada e explícita (ou seja, p.ex., o consentimento não pode estar pré-selecionado
no caso de utilização de checkboxes);
-- Assegurar que os consentimentos são recolhidos de forma granular, ou seja, de forma a que o consentimento
para diferentes atividades de marketing receba obrigatoriamente consentimentos separados. A este propósito,
recorde-se, os consentimentos não podem ser remetidos para os termos e condições da plataforma, pois
não servirá como prova de recolha de consentimento se o utilizador não fizer o opt in (ato mediante o qual, o
utilizador dá o seu consentimento);
-- Privilegiar os consentimentos obtidos através de double opt in. Isto é, além dos consentimentos não poderem
estar “previamente clicados”, recomenda-se que as empresas obtenham um consentimento duplo. Em termos
práticos, traduz-se em enviar um email ao titular dos dados a confirmar que consente, de facto, com essas
comunicações. Isto aplica-se, por exemplo, nos casos de registo na newsletter ou de registo no site, onde o
cliente receberá um email para confirmar que foi ele que, de facto, fez esse registo;

3.2.2. COOKIES

Até à entrada em vigor do RGPD, as cookies eram tratadas com um simples alerta, de aceitação ou não aceitação
da política de cookies - para se poder continuar a navegar num determinado site.

Embora as cookies não sejam consideradas, diretamente, dados pessoais, existem formas de cruzamento de
informação que podem levar à identificação de um cidadão. Por esta razão, o RGPD encara as cookies como
dados pessoais, mesmo que apenas identifiquem um cidadão indiretamente.

16

PATROCINADO POR:
3 | Medidas e procedimentos para garantir a conformidade com o RGPD

Neste contexto, e tendo em vista a conformidade, as empresas devem:

-- Fazer uma gestão de cookies que permita a possibilidade de o utilizador aceitar ou recusar, parcial ou totalmente,
as cookies. Cada tipo de cookie deve ser explicada ao utilizador de forma clara e sucinta.
-- Nunca recusar acesso ao utilizador mesmo que este recuse todas as cookies;
-- Enquanto o utilizador não tomar qualquer ação sobre as cookies, o site não deve gravar nenhuma cookie no
seu browser, sendo que é aconselhável que o alerta permaneça visível até que o utilizador tome alguma ação.

3.2.3. BASE DE DADOS

A principal preocupação que as empresas devem ter com as suas bases de dados de clientes prende-se com a
recolha de consentimentos. De acordo com o RGPD:
-- As bases de dados devem ser recolhidas pelas empresas em conformidade com as regras do novo Regulamento;
-- É aconselhável a encriptação das bases de dados, de forma a evitar ataques informáticos e/ou eventuais fugas
de informação. Em caso de fuga ou roubo, as empresas terão de alertar num prazo de 72 horas as autoridades
reguladoras e, em alguns casos, os próprios titulares dos dados;
-- Em caso de exercício dos direitos ARCO, devem as bases de dados ser atualizadas conforme o direito pretendido,
consoante seja exercido o direito de retificação, cancelamento, oposição ou esquecimento.

17

PATROCINADO POR:
 4

INCUMPRIMENTO E COIMAS

18

PATROCINADO POR:
4 | Incumprimento e coimas

As penalizações para quem não estiver em conformidade com o novo Regulamento serão severas. O RGPD
estabelece um quadro de aplicação de coimas assente em dois escalões (em função da gravidade), a saber:
• Nos casos menos graves, a coima poderá ter um valor até 10 milhões de Euros ou 2% do volume de negócios
anual a nível mundial, consoante o montante que for mais elevado.
• Nos casos mais graves, a coima poderá ter um valor até 20 milhões de Euros ou 4% do volume de negócios
anual a nível mundial, consoante o montante que for mais elevado.

No primeiro caso, as coimas aplicar-se-ão a falhas no cumprimento de exigências técnicas ou organizacionais,

como, por exemplo, falha na comunicação de violações das suas bases de dados, ou falta de certificações.

No segundo, para os casos mais graves de violação dos princípios básicos relacionados com a segurança dos dados,
como, por exemplo, o não respeito pelo consentimento dado pelo utilizador, a transferência de dados pessoais
para outros países ou organizações que não assegurem um determinado nível de proteção de dados.

4.1 COMO PROCEDER EM CASO DE INCUMPRIMENTO

O novo Regulamento obriga a que todas as violações de segurança que resultem em risco para os direitos dos
titulares sejam comunicadas à autoridade de controlo assim como aos respetivos titulares dos dados.

De acordo com o novo Regulamento (Artigo 33.º), em caso de violação de dados pessoais, os procedimentos de
comunicação à autoridade de controlo são os seguintes:
• O responsável pelo tratamento notifica desse facto a autoridade de controlo competente, sem demora
injustificada e, sempre que possível, até 72 horas após ter tido conhecimento da mesma, a menos que a
violação dos dados pessoais não seja suscetível de resultar num risco para os direitos e liberdades das pessoas
singulares. Se a notificação à autoridade de controlo não for transmitida no prazo de 72 horas, é acompanhada
dos motivos do atraso.

A notificação deve, pelo menos:

-- Descrever a natureza da violação dos dados pessoais incluindo, se possível, as categorias e o número
aproximado de titulares de dados afetados, bem como as categorias e o número aproximado de registos de
dados pessoais em causa;
-- Comunicar o nome e os contactos do encarregado da proteção de dados ou de outro ponto de contacto onde
possam ser obtidas mais informações;
-- Descrever as consequências prováveis da violação de dados pessoais;
-- Descrever as medidas adotadas ou propostas pelo responsável pelo tratamento para reparar a violação de
dados pessoais, inclusive, se for caso disso, medidas para atenuar os seus eventuais efeitos negativos. Caso,

19

PATROCINADO POR:
4 | Incumprimento e coimas

e na medida em que não seja possível fornecer todas as informações ao mesmo tempo, estas podem ser
fornecidas por fases, sem demora injustificada. O subcontratante notifica o responsável pelo tratamento sem
demora injustificada após ter conhecimento de uma violação de dados pessoais.
-- O responsável pelo tratamento documenta quaisquer violações de dados pessoais, compreendendo os factos
relacionados com as mesmas, os respetivos efeitos e a medida de reparação adotada. Essa documentação
deve permitir à autoridade de controlo verificar o cumprimento do disposto no presente artigo.

Já no que respeita à comunicação ao titular dos dados (Artigo 34.º), os procedimentos são:
• Quando a violação dos dados pessoais for suscetível de implicar um elevado risco para os direitos e liberdades
das pessoas singulares, o responsável pelo tratamento comunica a violação de dados pessoais ao titular dos
dados sem demora injustificada.
• A comunicação ao titular dos dados descreve, em linguagem clara e simples, a natureza da violação dos dados
pessoais e fornece, pelo menos, as seguintes informações:

-- Comunicar o nome e os contactos do encarregado da proteção de dados ou de outro ponto de contacto onde
possam ser obtidas mais informações;
-- Descrever as consequências prováveis da violação de dados pessoais;
-- Descrever as medidas adotadas ou propostas pelo responsável pelo tratamento para reparar a violação de
dados pessoais, inclusive, se for caso disso, medidas para atenuar os seus eventuais efeitos negativos.

• A comunicação ao titular dos dados não é exigida se for preenchida uma das seguintes condições:

-- O responsável pelo tratamento tiver aplicado medidas de proteção adequadas, tanto técnicas como
organizativas, e essas medidas tiverem sido aplicadas aos dados pessoais afetados pela violação de dados
pessoais, especialmente medidas que tornem os dados pessoais incompreensíveis para qualquer pessoa não
autorizada a aceder a esses dados, tais como a cifragem;
-- O responsável pelo tratamento tiver tomado medidas subsequentes que assegurem que o elevado risco para
os direitos e liberdades dos titulares dos dados já não é suscetível de se concretizar; ou
-- Implicar um esforço desproporcionado. Nesse caso, é feita uma comunicação pública ou tomada uma medida
semelhante através da qual os titulares dos dados são informados de forma igualmente eficaz.

20

PATROCINADO POR:
 5

MINUTAS/ EXEMPLOS
DE DOCUMENTOS

21

PATROCINADO POR:
5 | Minutas/ Exemplos de documentos

5.1 POLÍTICAS DE PRIVACIDADE

Uma Política de Privacidade é um documento que deve constar, por exemplo, no site de uma empresa. Tem por
objetivo informar de forma transparente, leal e clara os utilizadores desse mesmo site sobre os dados que são
recolhidos, para que são utilizados, com quem os dados serão partilhados (se aplicável) e como o utilizador pode
impor os seus direitos.

Exemplo:

Política de Privacidade e de Proteção de Dados Pessoais

Como é do conhecimento público, o novo Regulamento Geral de Proteção de Dados é aplicável desde 25 de maio
em todos os Estados-Membros da União Europeia.

Na NOME DA EMPRESA, valorizamos e atribuímos a máxima importância à confiança que deposita em nós e
garantimos que os seus dados pessoais se encontram em segurança e são processados com total privacidade.
Privacidade, confidencialidade e transparência são três elementos fulcrais na relação de confiança que
estabelecemos com os nossos Clientes.

O tratamento dos seus dados pessoais permite, entre outras finalidades, o desenvolvimento e a comercialização
direta dos produtos e serviços que acreditamos serem os mais adequados ao perfil e necessidades de cada
Cliente.

A presente Política de Privacidade estabelece a forma como a NOME DA EMPRESA utiliza os dados pessoais dos
seus clientes e dos seus potenciais clientes e é composta pelas seguintes secções [a preencher pela empresa]:

Quem é responsável pelo tratamento dos seus dados pessoais >>

Como é que recolhemos os seus dados pessoais >>

Para que finalidades e com que fundamento podem ser utilizados os seus dados pessoais >>

Que dados pessoais podem ser recolhidos >>

Como é que mantemos os seus dados pessoais seguros >>

Durante quanto tempo conservamos os seus dados pessoais >>

22

PATROCINADO POR:
5 | Minutas/ Exemplos de documentos

Com quem podemos partilhar os seus dados pessoais e como é que os mantemos seguros >>

Como é que pode alterar ou retirar seu consentimento >>

Os seus direitos de proteção de dados >>

O direito de apresentar reclamação junto da sua autoridade de controlo >>

Caso esteja insatisfeito com a nossa utilização dos seus dados pessoais ou com a nossa resposta após
o exercício de algum destes direitos, tem o direito de apresentar reclamação junto da sua autoridade de
controlo (Comissão Nacional de Proteção de Dados – CNPD | Rua de São Bento, n.º 148, 3º, 1200-821 Lisboa |
Tel: 351 213928400 | Fax: +351 213976832 | e-mail: geral@cnpd.pt).

Entre em contacto connosco para mais informações >>

5.2 CONSENTIMENTO

Um pedido de consentimento tem de ser apresentado de forma clara e concisa, utilizando uma linguagem fácil de
compreender, e de uma forma que o distinga claramente de outras informações, como os Termos e Condições.

O pedido tem de especificar qual a utilização que será dada aos dados pessoais e tem de incluir os contactos da
empresa que efetua o tratamento dos dados.

O consentimento tem de ser dado de livre vontade e tem de ser específico e informado. Consentimento
informado significa que o titular dos dados tem de receber, pelo menos, as seguintes informações sobre o
tratamento:

-- A identidade da organização que efetua o tratamento dos dados;

-- Os fins para os quais os dados estão a ser tratados;
-- O tipo de dados que serão tratados;
-- A possibilidade de retirar o consentimento dado (por exemplo, enviando uma mensagem de correio eletrónico
para retirar o consentimento);
-- Se aplicável, o facto de os dados irem ser utilizados para decisões exclusivamente automatizadas, incluindo a
definição de perfis;
-- Informações destinadas a apurar se o consentimento está relacionado com uma transferência internacional
dos dados, os possíveis riscos de transferências de dados para fora da UE, se tais países não estiverem sujeitos
a uma decisão de adequação da Comissão e não existirem garantias adequadas.

23

PATROCINADO POR:
5 | Minutas/ Exemplos de documentos

Exemplo de declaração de consentimento:

DECLARAÇÃO

NOME: _______________________________________________________
CLIENTE N.º:__________________________________________________

Declaro para os efeitos previstos no disposto no art.º 13.º do Regulamento Geral de Proteção de Dados (EU)2016/679
do P. E. e do Conselho de 27 de abril (RGPD) prestar, por este meio, o meu consentimento para o tratamento dos
meus dados pessoais à NOME DA EMPRESA, Pessoa Coletiva n.º 000000000, com sede em MORADA DA EMPRESA.
Li e aceito a Política de Privacidade e de Proteção de Dados pessoais e autorizo a NOME DA EMPRESA a:
Fornecer os meus dados, sem prejuízo da sua confidencialidade, assegurando uma utilização em função do objecto
social desta empresa e compatível com os fins da recolha.
Os dados transmitidos a NOME DA EMPRESA, por esta são incorporados e tratados num ficheiro da sua
responsabilidade, tendo como único fim a gestão dos serviços solicitados pelo cliente, por forma a cumprir as
exigências legais aplicáveis.
Autorizo o tratamento dos referidos dados e aceito o acesso aos mesmos, pelos colaboradores da NOME DA
EMPRESA que desenvolvam qualquer das atividades necessárias para a prestação e promoção do serviço.
Tenho conhecimento que sou livre de fornecer ou não as informações solicitadas e de autorizar ou não o seu
tratamento, quando submeto um formulário devidamente preenchido.
Aceito que não fornecendo todas as informações solicitadas, a NOME DA EMPRESA poderá não prestar-me o
serviço ou vender o bem, ou conseguir o correto funcionamento de algumas funcionalidades presentes e/ou futuras
no portal, bem como eficácia de um o posterior envio, tratamento informático, consulta ou contacto.
Tenho conhecimento que tenho o direito de retirar o meu consentimento a qualquer momento, não comprometendo
nesse caso, a licitude do tratamento efectuado com base no consentimento previamente dado.

___/____/____ ___________________________________
(Data) (Assinatura)

24

PATROCINADO POR:
 6

FERRAMENTAS ÚTEIS

25

PATROCINADO POR:
6 | Ferramentas úteis

Estas são algumas das melhoras ferramentas online para verificar a conformidade com as regras do novo
Regulamento.

Algolia’s
A Algolia’s é uma ferramenta que reúne todas as informações sobre o RGPD.

ECOMPLY.io
ECOMPLY.io é uma ferramenta de gestão de tarefas relacionada com a conformidade ao RGPD.

Email Copy
O Email Copy é um software que disponibiliza templates com emails padrão a enviar aos titulares dos dados, de
forma a obter o consentimento.

GDPR Form
O GDPR Form disponibiliza formulários para fazer a gestão de solicitações de acesso, portabilidade, limitação ou
oposição de dados, por parte dos titulares.

Lubenda
A Lubenda é uma das ferramentas disponíveis para as necessidades da conformidade com o RGPD. Banners
de cookies, gestão de consentimentos e ferramentas internas de privacidade são algumas das soluções que
disponibiliza.

Siftery Track
Este software, Siftery Track, é uma preciosa ajuda no que toca a verificar se os fornecedores de SaaS estão em
conformidade. Isto no que diz respeito à proteção dos dados pessoais.

26

PATROCINADO POR:
 7

CHECKLIST

27

PATROCINADO POR:
7 | Checklist

Tendo em consideração as medidas e os procedimentos para garantir a conformidade com o RGPD, listados no
ponto 3 do presente documento, as empresas devem assegurar, então, os seguintes requisitos:

-- Atualizar Regulamento Interno

-- Reformular Termos e Condições e Políticas de Privacidade
-- Avaliar os dados atuais (local onde estão armazenados; processos de transferência de dados; políticas de segurança)
-- Validar todos os mecanismos de segurança e reporting
-- Avaliar a recolha de dados (informar o utilizador do propósito da recolha e ser claro e direto na mensagem
transmitida; não usar checkbox previamente selecionadas para fazer chegar essa mensagem ao utilizador;
identificar qual o propósito da recolha dos dados; estipular prazo para manter esses dados)
-- Assegurar uma comunicação transparente com os titulares dos dados
-- Garantir o consentimento livre, específico, informado e explícito para os dados pessoais recolhidos
-- Optimizar o direito de acesso a esses mesmos dados
-- Permitir a retificação dos dados
-- Facilitar o direito de cancelamento e oposição
-- Agilizar o direito ao esquecimento
-- Simplificar a portabilidade e transmissão dos dados
-- Efetuar o registo das atividades do tratamento de dados
-- Criar acessos condicionados a dados pessoais e dados sensíveis
-- Identificar permissões dos colaboradores que processam dados
-- Prevenir a violação de dados (por exemplo, implementar tecnologias e software que visem gerar reports de
falhas e do comportamento dos sistemas)
-- Contratar um EPD (Encarregado de Proteção de Dados), quando tal for legalmente exigível
-- Formação de colaboradores
-- Não transferir dados pessoais para fora da U.E.
-- Ter um plano para resolução de incidentes devidamente discriminado
-- Encriptação de todos os dispositivos com dados pessoais (periféricos USB, Discos externos, CDs, DVDs,
computadores, entre outros)
-- Encriptação das bases de dados
-- Encriptação de todos os e-mails com dados pessoais
-- Utilização de mecanismos de criptografia para garantir que a troca de informação é feita de forma segura
-- Implementar mecanismos de autenticação seguros no acesso à rede ou dispositivos (VPNs, máquinas virtuais, etc.)
-- Implementar sistemas de cópias de segurança
-- Implementar mecanismos de monitorização, firewalls, IDSS, geração de relatórios e alertas
-- Manter, em suporte de papel e eletrónico, uma descrição técnica das medidas de segurança adoptadas (tem
de estar disponível no caso de uma auditoria ou revisão pela autoridade de supervisão sempre que solicitada)
-- Assegurar a conformidade da política de cookies
28

PATROCINADO POR:
 8

GLOSSÁRIO

29

PATROCINADO POR:
8 | Glossário

Consentimento do titular dos dados

Uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita,
mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de
tratamento.

Dados biométricos
Dados pessoais resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas
ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa
singular, nomeadamente imagens faciais ou dados dactiloscópicos.

Dados genéticos
Os dados pessoais relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa singular que
deem informações únicas sobre a fisiologia ou a saúde dessa pessoa singular e que resulta designadamente de
uma análise de uma amostra biológica proveniente da pessoa singular em causa.

Dados pessoais
Informação relativa a uma pessoa singular identificada ou identificável (“titular dos dados”). É considerada
identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a
um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores
por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental,
económica, cultural ou social dessa pessoa singular.

Dados relativos à saúde

Dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de
serviços de saúde, que revelem informações sobre o seu estado de saúde.

Dados sensíveis
São dados pessoais que estão sujeitos a condições de tratamento específicas. Entre eles:
• Dados pessoais que revelem a origem racial ou étnica, opiniões políticas e convicções religiosas ou filosóficas;
• Filiação sindical;
• Dados genéticos, dados biométricos tratados simplesmente para identificar um ser humano;
• Dados relacionados com a saúde;
• Dados relativos à vida sexual ou orientação sexual da pessoa.

Encarregado de Proteção de Dados (EPD)

Figura responsável pela conformidade em matéria de proteção de dados. Pode ser um funcionário da empresa
ou um consultor externo. Além de facilitar a conformidade através da implementação de instrumentos de
responsabilização (viabilizando, por exemplo, avaliações de impacto sobre a proteção de dados e efetuando
ou viabilizando auditorias), os EPD servem de intermediários entre as partes interessadas (as autoridades de
controlo, os titulares de dados e as unidades empresariais dentro de uma organização).

30

PATROCINADO POR:
8 | Glossário

Limitação do tratamento
A inserção de uma marca nos dados pessoais conservados com o objetivo de limitar o seu tratamento no futuro.

Responsável pelo tratamento (data controller)

A pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em
conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as
finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado-Membro,
o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo
direito da União ou de um Estado-Membro.

Subcontratante (data processor)

Uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais
por conta do responsável pelo tratamento destes.

Tratamento
Uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados
pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a
estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por
transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o
apagamento ou a destruição.

Violação de dados pessoais

Uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a
divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer
outro tipo de tratamento.

31

PATROCINADO POR:
 PATROCINADO POR:
32

PATROCINADO POR: