Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
PME’s
PATROCINADO POR:
FICHA TÉCNICA
Autora:
Viviane Soares Silva
Revisão e validação:
Dra. Advogada especialista em proteção de dados Ana Bastos
Dra. Advogada Carina Lopes
Paginação:
Caetsu Advertising Agency
Edição:
Agosto de 2018
E-konomista
www.E-konomista.pt
Info@e-konomista.pt
PATROCINADO POR:
ÍNDICE
1 | Introdução e contextualização do RGPD...................................................................... 4
1.1. O que é o RGPD?.................................................................................................................... 5
1.2. Principais diferenças em relação à anterior Diretiva Comunitária............................................ 5
1.3. Contexto e importância do novo Regulamento....................................................................... 6
1.4. Objetivos do RGPD................................................................................................................. 7
1.5. Princípios do RGPD................................................................................................................. 7
1.6. A quem se aplica o RGPD....................................................................................................... 8
1.7. Quando se aplica o RGPD........................................................................................................ 8
1.8. Quem supervisiona em Portugal............................................................................................ 8
4 | Incumprimento e coimas................................................................................................. 18
4.1. Como proceder em caso de incumprimento.........................................................................19
6 | Ferramentas úteis.....................................................................................................................26
7 | Checklist................................................................................................................................. 28
8 | Glossário................................................................................................................................ 30
PATROCINADO POR:
1
INTRODUÇÃO E
CONTEXTUALIZAÇÃO DO RGPD
PATROCINADO POR:
1 | Introdução e contextualização do RGPD
O Regulamento Geral de Proteção de Dados (RGPD) ou “General Data Protection Regulation” (GDPR) - Regulamento
(UE) n.º 2016/679 - é uma moldura legal da União Europeia (UE) que se aplica a todos os Estados-membros e a
qualquer outro país que venda produtos ou serviços na Europa.
Em vigor desde 24 de maio de 2016, mas aplicável desde 25 de maio de 2018, tem como principal objetivo proteger
as pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.
Em termos práticos, qualquer empresa com sede na UE ou fora da UE que, no contexto das atividades que exerce
(mesmo que de forma gratuita), trate de dados pessoais de cidadãos residentes no espaço europeu, recolhidos por
meios automatizados (ou não automatizados), fica obrigada a prestar contas sobre todas as ações que envolvem
esse tratamento e sobre as políticas de privacidade dadas às pessoas que os forneceram.
Assim sendo, todas as atividades de tratamento de dados pessoais terão de ser registadas de forma detalhada:
quais os dados que são guardados, como são registados, para que são usados, como são tratados, armazenados
e durante quanto tempo.
Não se tratando de uma Diretiva, mas de um Regulamento, o RGPD tem caráter obrigatório e poder jurídico
vinculativo.
O RGPD vem substituir a Lei n.º 67/98, de 26 de outubro, e a subsequente relativa à Proteção de Dados Pessoais,
de 2003.
Além de exigir que a obtenção de consentimento por parte do utilizador - para receber qualquer tipo de comunicação
ou para processamento de dados pessoais por parte de uma empresa, - seja um processo totalmente claro e
transparente, as principais novidades em relação à legislação anterior são as seguintes:
PATROCINADO POR:
1 | Introdução e contextualização do RGPD
O novo Regulamento Geral de Proteção de Dados representa a mudança mais importante na regulação de
privacidade de dados dos últimos 20 anos e, em linhas muito gerais, visa reforçar os direitos fundamentais que as
pessoas singulares têm sobre os seus dados pessoais e, no fundo, preparar a Europa para a era digital.
Recorde-se que a Diretiva comunitária em vigor antes do RGPD foi criada antes da era das redes sociais ou mesmo
antes do mundo se ter tornado cada vez mais global e ligado à rede. 1995 foi o ano em que a Microsoft apresentou
o Internet Explorer 1 ou que a Amazon e o eBay foram fundados. O número de utilizadores da Internet rondava os
16 milhões.
Num processo de aceleração histórica, e já em 2018, há mais de 3,7 biliões de utilizadores. Os dispositivos móveis
– smartphone, tablet, smartwatch, laptop, entre um sem número de outros gadgets – já funcionam como uma
extensão dos corpos, tal é a necessidade da ligação à rede – do acesso, do contacto, da exposição, do consumo,
da comunicação.
O novo Regulamento veio, assim, relançar a discussão em torno da proteção dos dados pessoais, mas, também,
em torno das questões da privacidade, fomentando o pensamento crítico sobre a forma como os cidadãos
disponibilizam os seus dados e como muitas vezes “abrem mão” dos seus direitos consagrados para terem acesso
a serviços online.
Disponibilizam-se dados pessoais – nome, morada, endereço de email, contactos telefónicos, localização,
fotografias, detalhes de cartões de crédito, entre outros – e aceitam-se, acriticamente, termos e políticas de
privacidade confusas em prol do acesso a conteúdos e serviços.
Por um lado, a partilha deste tipo de dados serve para criarmos relações com as organizações com as quais
interagimos e que fazem parte do nosso dia-a-dia. Por outro, se este tipo de informação cair nas mãos erradas,
pode ser utilizada para um sem número de atividades fraudulentas, inclusive para o roubo de identidade.
Não será também excessivo afirmar que uma das principais ‘lacunas’ da anterior Diretiva prendia-se, digamos assim,
com a falta de métrica em relação à aplicação das regras da proteção de dados. Cada Estado-membro interpretava
essas mesmas regras à sua maneira quando as transformavam em legislação local.
A natureza do RGPD tem, assim, por finalidade reforçar a Proteção de Dados, prevista no art.º 8.º da Carta dos
Direitos Fundamentais da União Europeia, e harmonizar a legislação existente nos Estados-Membros, criando as
6
PATROCINADO POR:
1 | Introdução e contextualização do RGPD
bases para o mercado único digital. A UE acredita que o novo quadro legislativo vai economizar, coletivamente,
muitos milhões de euros por ano.
Em suma, este Regulamento é uma medida essencial para reforçar os direitos fundamentais dos cidadãos na era
digital e facilitar a atividade comercial através da simplificação das normas aplicáveis às empresas no mercado
único digital. A introdução de um ato legislativo único acabará também com a fragmentação e os dispendiosos
encargos administrativos que existem atualmente.
Tal como se lê no novo Regulamento Geral de Proteção de Dados, o novo quadro legislativo tem como principal
objetivo “contribuir para a realização de um espaço de liberdade, segurança e justiça e de uma união económica,
para o progresso económico e social, a consolidação e a convergência das economias a nível do mercado interno e
para o bem-estar das pessoas singulares”.
Transparência, clareza, acesso, consentimento, direito à oposição são alguns dos conceitos que visam o
empowerment dos cidadãos no que toca à utilização, manipulação e partilha dos seus dados pessoais por parte
das organizações empresariais.
O processo de conformidade com a nova legislação exigirá das empresas um esforço considerável em termos
de compliance com as novas regras. Além de estarem obrigadas a rever uma série de medidas organizacionais,
técnicas e de processamento de dados, há, também, um trabalho de mindset dos seus colaboradores que terá,
obrigatoriamente, de ser levado a cabo.
PATROCINADO POR:
1 | Introdução e contextualização do RGPD
O novo Regulamento aplica-se a todas as organizações estabelecidas em território da União Europeia e àquelas
que, estando localizadas fora da UE, tratem dados de cidadãos aí residentes, desde que comercializem os seus
produtos/serviços (a título oneroso ou gratuito) ou monitorizem comportamentos que ocorram dentro da UE.
É de salientar que estão excluídas desta obrigatoriedade, por exemplo, as forças de segurança pública, uma vez
que estão sujeitas a uma legislação específica.
Importante ainda ressalvar que, no que toca ao registo detalhado das atividades de processamento de dados,
as organizações empresariais com menos de 250 funcionários estão excluídas deste requisito, desde que não se
verifique nenhuma das seguintes condições no tratamento de dados:
• Seja suscetível de implicar um risco para os direitos e liberdades do titular de dados;
• Não seja ocasional;
• Abranja as seguintes categorias de dados: origem racial ou ética, opiniões políticas, convicções religiosas ou
filosóficas, filiação sindical, dados genéticos, dados biométricos, dados relativos à saúde ou relativos à vida
sexual ou orientação sexual;
• Dados pessoais relativos a condenações penais e infrações.
O RGPD tem aplicação direta a partir de 25 de maio de 2018. O Regulamento entrou em vigor em 24 de maio
de 2016, após quase 5 anos de negociações e cerca de 4 000 adendas, sendo aplicado diretamente, isto é, sem
necessidade de qualquer transposição para a ordem jurídica interna.
O cumprimento do RGPD será supervionado em Portugal pela Comissão Nacional de Proteção de Dados (CNPD).
PATROCINADO POR:
2
PATROCINADO POR:
2 | Novos direitos dos utilizadores e deveres das empresas
O consentimento passou a ser um dos requisitos mais importantes para que o tratamento de dados pessoais
possa ser considerado legal. E, mesmo quando o consentimento para o tratamento é dado pelo titular, existem
muitas condicionantes a ter em conta para que as empresas possam proceder a esse tratamento. Isto porque, de
acordo com o RGPD, os cidadãos passam a ter os seguintes direitos:
Todos os cidadãos têm o direito de receber informação sobre os termos que envolvem o contrato de tratamento
de dados pessoais.
Não basta dar acesso a páginas de informação intermináveis, com letras miudinhas e difíceis de compreender.
A informação tem de ser clara, resumida, expressa numa linguagem fácil de entender e distinguível de outras
informações como os termos e condições. Considera-se que só assim o consentimento pode ser informado.
É ainda de salientar que as empresas são obrigadas a notificar a autoridade de supervisão nacional (Comissão
Nacional de Proteção de Dados) quando existe uma violação dos dados que ponha os titulares dos dados em
risco, no período de 72 horas seguinte ao conhecimento da violação. Devem, igualmente, comunicar aos cidadãos
afetados para que estes possam tomar as medidas apropriadas.
Este é outro aspeto de referência do novo Regulamento. Os cidadãos terão acesso a mais informação sobre os dados
e à forma como estes são processados, informação esta que terá de ser clara e acessível. Após o consentimento,
os cidadãos podem aceder aos dados que são recolhidos e confirmar quais são e se eles estão a ser ou não objeto
de tratamento. As empresas devem criar meios para que esse acesso seja fácil e rápido, sendo que muitas já
permitem essa consulta online.
O cidadão passar a ter o direito de “ser esquecido”. Isto é, tem o direito a pedir que os seus dados pessoais sejam
apagados, sem demora injustificada, e dentro dos limites legalmente previstos.
Este direito apenas deixa de fora os dados que sejam necessários às empresas para cumprir com as suas obrigações
legais. Por exemplo, não pode ser utilizado para apagar dados que dificultem a cobrança de dívidas.
A medida, de acordo com o RGPD, pretende “proteger a privacidade dos indivíduos, e não de apagar eventos
passados ou restringir a liberdade à imprensa”.
10
PATROCINADO POR:
2 | Novos direitos dos utilizadores e deveres das empresas
O Regulamento refere ainda que “o titular tem o direito de obter o apagamento dos seus dados pessoais e a
organização tem a obrigação de o fazer, sem demora injustificada, quando se aplique um dos seguintes motivos:
• Os dados pessoais deixaram de ser necessários para a finalidade que motivou a sua recolha ou tratamento;
• O titular retira o consentimento em que se baseia o tratamento dos dados, se não existir outro fundamento
jurídico para o referido tratamento;
• O titular opõe-se ao tratamento e não existem interesses legítimos prevalecentes que justifiquem o tratamento;
• Os dados pessoais foram tratados ilicitamente;
• Os dados pessoais têm de ser apagados para o cumprimento de uma obrigação jurídica decorrente do direito
da União ou de um Estado-Membro a que o responsável pelo tratamento esteja sujeito;
• Os dados pessoais foram recolhidos no contexto da oferta de serviços da sociedade da informação”.
Se o titular dos dados verificar que as informações pessoais estão inexatas, ele tem direito a, sem demora
injustificada, conseguir a sua retificação ou atualização.
A título de exemplo, nos casos em que a situação familiar e laboral possa já ter sido alterada ou em que a divulgação
da situação antiga pode ser embaraçosa ou mesmo prejudicar a vida do titular.
O novo direito à portabilidade dos dados vai tornar mais fácil a transmissão de dados pessoais entre fornecedores
de serviços. Isto porque o cidadão passa a poder transferir os seus dados para outro prestador de serviços quando
bem entender.
Além disso, qualquer cidadão pode pedir a entrega dos seus dados num formato de uso corrente e de leitura
automática - seja para arquivar ou para trabalhar a sua própria informação.
Dado o consentimento para o tratamento dos dados pessoais, o titular pode, em qualquer momento, solicitar a
limitação do tratamento integral ou parcial dos seus dados, sem que por tal a relação contratada com a empresa
seja afetada.
Muito útil para, por exemplo, evitar ações de marketing direto indesejadas por parte de um fornecedor, mantendo
os outros aspetos da relação comercial.
O titular tem ainda o direito de se opor à divulgação ou partilha dos seus dados pessoais.
11
PATROCINADO POR:
2 | Novos direitos dos utilizadores e deveres das empresas
Proteção de dados “por design” significa que cada novo serviço ou negócio que faça uso de dados pessoais está
obrigado a tomar em consideração a proteção desses dados. A este respeito, as empresas terão de ser capazes de
mostrar que têm segurança apropriada.
Em termos práticos isto significa que os departamentos de tecnologias de informação devem ter em conta a
privacidade dos dados no “design” da tecnologia do produto ou serviço.
Proteção de dados “por definição”, significa que as empresas terão de se certificar que só os dados pessoais
absolutamente necessários para determinada ação serão processados.
As configurações de privacidade dos dados dos cidadãos devem estar, por defeito, no nível mais alto de segurança.
Além disso, os dados pessoais devem, por definição, apenas ser mantidos pelo espaço de tempo necessário para
providenciar determinado produto ou serviço.
De acordo com a informação prestada pela UE, o responsável pelo tratamento de dados (“Controller”) determina
as finalidades e os meios pelos quais os dados pessoais são tratados.
Uma empresa/organização é a responsável pelo tratamento se decide “porquê” e “como” os dados pessoais devem
ser tratados. Os trabalhadores que efetuam o tratamento de dados pessoais na organização fazem-no para cumprir
as tarefas enquanto responsável pelo tratamento.
Porém, uma empresa/organização também é responsável conjunto pelo tratamento quando determina,
em conjunto com uma ou mais organizações, “porquê” e “como” os dados pessoais devem ser tratados. Os
responsáveis conjuntos pelo tratamento devem celebrar um acordo que defina as respetivas responsabilidades
pelo cumprimento das regras do RGPD. Os principais aspetos desse acordo devem ser comunicados às pessoas
cujos dados são objeto de tratamento.
12
PATROCINADO POR:
3
MEDIDAS E PROCEDIMENTOS
PARA GARANTIR A
CONFORMIDADE COM O RGPD
13
PATROCINADO POR:
3 | Medidas e procedimentos para garantir a conformidade com o RGPD
De acordo com o RGPD, uma empresa/organização deve ser responsável por cumprir todos os princípios da
proteção de dados e também por demonstrar esse cumprimento (Princípio da Responsabilidade).
Por exemplo, em casos específicos, a nomeação de um Encarregado de Proteção de Dados (EPD) ou a realização
de Avaliações de Impacto da Proteção de Dados (AIPD) podem ser obrigatórias.
Os responsáveis pelo tratamento podem optar por utilizar outros instrumentos, como códigos de conduta e
procedimentos de certificação, para demonstrar a conformidade com os princípios da proteção de dados.
Tanto os códigos de conduta como a certificação são instrumentos opcionais, pelo que cabe à empresa/organização
decidir se pretende aderir a um determinado código de conduta ou solicitar uma certificação.
Embora a empresa/organização continue a ter de respeitar e cumprir o RGPD, a adesão a estes instrumentos pode
ser tida em consideração no caso de uma medida de execução adotada contra a sua organização por violação do
RGPD.
A defesa dos direitos ARCO e liberdades das pessoas singulares relativamente ao tratamento dos seus dados
pessoais exige a adoção de medidas técnicas e organizativas adequadas, a fim de assegurar o cumprimento dos
requisitos do RGPD.
Para poder comprovar a conformidade com o novo Regulamento, o responsável pelo tratamento deverá adotar
orientações internas e aplicar medidas que respeitem, em especial, os princípios da proteção de dados desde a
conceção e da proteção de dados por defeito (Privacy by Design and by Default). Tais medidas podem incluir:
14
PATROCINADO POR:
3 | Medidas e procedimentos para garantir a conformidade com o RGPD
Recorde-se que se deve recolher e processar dados pessoais só para objetivos legais, e proteger sempre
esses dados. Os requisitos de segurança incluem prevenção de destruição acidental ou criminosa, perda,
processamento, divulgação, acesso e alteração. Ou seja, estes requisitos devem garantir, entre outros, os
direitos ARCO.
Um dos pontos transversais ao RGPD prende-se com o facto das empresas terem de manter documentação que
prove, em caso de fiscalização ou auditoria, que todos os consentimentos necessários foram recolhidos e que
está, de facto, em conformidade com a lei.
Também é necessário manter uma descrição técnica das medidas de segurança na organização. Estes registos
deverão ser mantidos em suporte de papel ou eletrónico, e disponíveis para auditoria e revisão pela autoridade de
supervisão sempre que solicitado.
15
PATROCINADO POR:
3 | Medidas e procedimentos para garantir a conformidade com o RGPD
Além desta recolha de consentimentos, é fundamental, mais uma vez, que o regulamento interno demonstre
cabalmente a um potencial auditor que a empresa se ajustou ao RGPD e que adotou novas políticas com vista à
proteção de dados pessoais.
3.2.1. CONSENTIMENTOS
Embora as regras de processamento de dados pessoais, vigente na lei desde 1995, não sejam muito diferentes
no RGPD, o novo Regulamento traz novas exigências no que toca à validade do consentimento. Tendo em vista a
conformidade, as empresas devem:
-- Avaliar se os dados já recolhidos, e que estão registados na base de dados, foram recolhidos com o consentimento
necessário. Se não, os consentimentos devem ser novamente recolhidos para poderem continuar a comunicar
com os seus clientes;
-- Assegurar que as plataformas que estão a ser utilizadas permitem uma gestão de consentimentos. É importante
que o utilizador possa gerir os seus consentimentos ou mesmo apagar a sua conta, na sua área de cliente, a
qualquer momento;
-- Assegurar que o consentimento é obtido através de um ato positivo inequívoco e de uma manifestação de
vontade livre, específica, informada e explícita (ou seja, p.ex., o consentimento não pode estar pré-selecionado
no caso de utilização de checkboxes);
-- Assegurar que os consentimentos são recolhidos de forma granular, ou seja, de forma a que o consentimento
para diferentes atividades de marketing receba obrigatoriamente consentimentos separados. A este propósito,
recorde-se, os consentimentos não podem ser remetidos para os termos e condições da plataforma, pois
não servirá como prova de recolha de consentimento se o utilizador não fizer o opt in (ato mediante o qual, o
utilizador dá o seu consentimento);
-- Privilegiar os consentimentos obtidos através de double opt in. Isto é, além dos consentimentos não poderem
estar “previamente clicados”, recomenda-se que as empresas obtenham um consentimento duplo. Em termos
práticos, traduz-se em enviar um email ao titular dos dados a confirmar que consente, de facto, com essas
comunicações. Isto aplica-se, por exemplo, nos casos de registo na newsletter ou de registo no site, onde o
cliente receberá um email para confirmar que foi ele que, de facto, fez esse registo;
3.2.2. COOKIES
Até à entrada em vigor do RGPD, as cookies eram tratadas com um simples alerta, de aceitação ou não aceitação
da política de cookies - para se poder continuar a navegar num determinado site.
Embora as cookies não sejam consideradas, diretamente, dados pessoais, existem formas de cruzamento de
informação que podem levar à identificação de um cidadão. Por esta razão, o RGPD encara as cookies como
dados pessoais, mesmo que apenas identifiquem um cidadão indiretamente.
16
PATROCINADO POR:
3 | Medidas e procedimentos para garantir a conformidade com o RGPD
A principal preocupação que as empresas devem ter com as suas bases de dados de clientes prende-se com a
recolha de consentimentos. De acordo com o RGPD:
-- As bases de dados devem ser recolhidas pelas empresas em conformidade com as regras do novo Regulamento;
-- É aconselhável a encriptação das bases de dados, de forma a evitar ataques informáticos e/ou eventuais fugas
de informação. Em caso de fuga ou roubo, as empresas terão de alertar num prazo de 72 horas as autoridades
reguladoras e, em alguns casos, os próprios titulares dos dados;
-- Em caso de exercício dos direitos ARCO, devem as bases de dados ser atualizadas conforme o direito pretendido,
consoante seja exercido o direito de retificação, cancelamento, oposição ou esquecimento.
17
PATROCINADO POR:
4
INCUMPRIMENTO E COIMAS
18
PATROCINADO POR:
4 | Incumprimento e coimas
As penalizações para quem não estiver em conformidade com o novo Regulamento serão severas. O RGPD
estabelece um quadro de aplicação de coimas assente em dois escalões (em função da gravidade), a saber:
• Nos casos menos graves, a coima poderá ter um valor até 10 milhões de Euros ou 2% do volume de negócios
anual a nível mundial, consoante o montante que for mais elevado.
• Nos casos mais graves, a coima poderá ter um valor até 20 milhões de Euros ou 4% do volume de negócios
anual a nível mundial, consoante o montante que for mais elevado.
No segundo, para os casos mais graves de violação dos princípios básicos relacionados com a segurança dos dados,
como, por exemplo, o não respeito pelo consentimento dado pelo utilizador, a transferência de dados pessoais
para outros países ou organizações que não assegurem um determinado nível de proteção de dados.
O novo Regulamento obriga a que todas as violações de segurança que resultem em risco para os direitos dos
titulares sejam comunicadas à autoridade de controlo assim como aos respetivos titulares dos dados.
De acordo com o novo Regulamento (Artigo 33.º), em caso de violação de dados pessoais, os procedimentos de
comunicação à autoridade de controlo são os seguintes:
• O responsável pelo tratamento notifica desse facto a autoridade de controlo competente, sem demora
injustificada e, sempre que possível, até 72 horas após ter tido conhecimento da mesma, a menos que a
violação dos dados pessoais não seja suscetível de resultar num risco para os direitos e liberdades das pessoas
singulares. Se a notificação à autoridade de controlo não for transmitida no prazo de 72 horas, é acompanhada
dos motivos do atraso.
19
PATROCINADO POR:
4 | Incumprimento e coimas
e na medida em que não seja possível fornecer todas as informações ao mesmo tempo, estas podem ser
fornecidas por fases, sem demora injustificada. O subcontratante notifica o responsável pelo tratamento sem
demora injustificada após ter conhecimento de uma violação de dados pessoais.
-- O responsável pelo tratamento documenta quaisquer violações de dados pessoais, compreendendo os factos
relacionados com as mesmas, os respetivos efeitos e a medida de reparação adotada. Essa documentação
deve permitir à autoridade de controlo verificar o cumprimento do disposto no presente artigo.
Já no que respeita à comunicação ao titular dos dados (Artigo 34.º), os procedimentos são:
• Quando a violação dos dados pessoais for suscetível de implicar um elevado risco para os direitos e liberdades
das pessoas singulares, o responsável pelo tratamento comunica a violação de dados pessoais ao titular dos
dados sem demora injustificada.
• A comunicação ao titular dos dados descreve, em linguagem clara e simples, a natureza da violação dos dados
pessoais e fornece, pelo menos, as seguintes informações:
-- Comunicar o nome e os contactos do encarregado da proteção de dados ou de outro ponto de contacto onde
possam ser obtidas mais informações;
-- Descrever as consequências prováveis da violação de dados pessoais;
-- Descrever as medidas adotadas ou propostas pelo responsável pelo tratamento para reparar a violação de
dados pessoais, inclusive, se for caso disso, medidas para atenuar os seus eventuais efeitos negativos.
• A comunicação ao titular dos dados não é exigida se for preenchida uma das seguintes condições:
-- O responsável pelo tratamento tiver aplicado medidas de proteção adequadas, tanto técnicas como
organizativas, e essas medidas tiverem sido aplicadas aos dados pessoais afetados pela violação de dados
pessoais, especialmente medidas que tornem os dados pessoais incompreensíveis para qualquer pessoa não
autorizada a aceder a esses dados, tais como a cifragem;
-- O responsável pelo tratamento tiver tomado medidas subsequentes que assegurem que o elevado risco para
os direitos e liberdades dos titulares dos dados já não é suscetível de se concretizar; ou
-- Implicar um esforço desproporcionado. Nesse caso, é feita uma comunicação pública ou tomada uma medida
semelhante através da qual os titulares dos dados são informados de forma igualmente eficaz.
20
PATROCINADO POR:
5
MINUTAS/ EXEMPLOS
DE DOCUMENTOS
21
PATROCINADO POR:
5 | Minutas/ Exemplos de documentos
Uma Política de Privacidade é um documento que deve constar, por exemplo, no site de uma empresa. Tem por
objetivo informar de forma transparente, leal e clara os utilizadores desse mesmo site sobre os dados que são
recolhidos, para que são utilizados, com quem os dados serão partilhados (se aplicável) e como o utilizador pode
impor os seus direitos.
Exemplo:
Como é do conhecimento público, o novo Regulamento Geral de Proteção de Dados é aplicável desde 25 de maio
em todos os Estados-Membros da União Europeia.
Na NOME DA EMPRESA, valorizamos e atribuímos a máxima importância à confiança que deposita em nós e
garantimos que os seus dados pessoais se encontram em segurança e são processados com total privacidade.
Privacidade, confidencialidade e transparência são três elementos fulcrais na relação de confiança que
estabelecemos com os nossos Clientes.
O tratamento dos seus dados pessoais permite, entre outras finalidades, o desenvolvimento e a comercialização
direta dos produtos e serviços que acreditamos serem os mais adequados ao perfil e necessidades de cada
Cliente.
A presente Política de Privacidade estabelece a forma como a NOME DA EMPRESA utiliza os dados pessoais dos
seus clientes e dos seus potenciais clientes e é composta pelas seguintes secções [a preencher pela empresa]:
Para que finalidades e com que fundamento podem ser utilizados os seus dados pessoais >>
22
PATROCINADO POR:
5 | Minutas/ Exemplos de documentos
Com quem podemos partilhar os seus dados pessoais e como é que os mantemos seguros >>
Caso esteja insatisfeito com a nossa utilização dos seus dados pessoais ou com a nossa resposta após
o exercício de algum destes direitos, tem o direito de apresentar reclamação junto da sua autoridade de
controlo (Comissão Nacional de Proteção de Dados – CNPD | Rua de São Bento, n.º 148, 3º, 1200-821 Lisboa |
Tel: 351 213928400 | Fax: +351 213976832 | e-mail: geral@cnpd.pt).
5.2 CONSENTIMENTO
Um pedido de consentimento tem de ser apresentado de forma clara e concisa, utilizando uma linguagem fácil de
compreender, e de uma forma que o distinga claramente de outras informações, como os Termos e Condições.
O pedido tem de especificar qual a utilização que será dada aos dados pessoais e tem de incluir os contactos da
empresa que efetua o tratamento dos dados.
O consentimento tem de ser dado de livre vontade e tem de ser específico e informado. Consentimento
informado significa que o titular dos dados tem de receber, pelo menos, as seguintes informações sobre o
tratamento:
23
PATROCINADO POR:
5 | Minutas/ Exemplos de documentos
DECLARAÇÃO
NOME: _______________________________________________________
CLIENTE N.º:__________________________________________________
Declaro para os efeitos previstos no disposto no art.º 13.º do Regulamento Geral de Proteção de Dados (EU)2016/679
do P. E. e do Conselho de 27 de abril (RGPD) prestar, por este meio, o meu consentimento para o tratamento dos
meus dados pessoais à NOME DA EMPRESA, Pessoa Coletiva n.º 000000000, com sede em MORADA DA EMPRESA.
Li e aceito a Política de Privacidade e de Proteção de Dados pessoais e autorizo a NOME DA EMPRESA a:
Fornecer os meus dados, sem prejuízo da sua confidencialidade, assegurando uma utilização em função do objecto
social desta empresa e compatível com os fins da recolha.
Os dados transmitidos a NOME DA EMPRESA, por esta são incorporados e tratados num ficheiro da sua
responsabilidade, tendo como único fim a gestão dos serviços solicitados pelo cliente, por forma a cumprir as
exigências legais aplicáveis.
Autorizo o tratamento dos referidos dados e aceito o acesso aos mesmos, pelos colaboradores da NOME DA
EMPRESA que desenvolvam qualquer das atividades necessárias para a prestação e promoção do serviço.
Tenho conhecimento que sou livre de fornecer ou não as informações solicitadas e de autorizar ou não o seu
tratamento, quando submeto um formulário devidamente preenchido.
Aceito que não fornecendo todas as informações solicitadas, a NOME DA EMPRESA poderá não prestar-me o
serviço ou vender o bem, ou conseguir o correto funcionamento de algumas funcionalidades presentes e/ou futuras
no portal, bem como eficácia de um o posterior envio, tratamento informático, consulta ou contacto.
Tenho conhecimento que tenho o direito de retirar o meu consentimento a qualquer momento, não comprometendo
nesse caso, a licitude do tratamento efectuado com base no consentimento previamente dado.
___/____/____ ___________________________________
(Data) (Assinatura)
24
PATROCINADO POR:
6
FERRAMENTAS ÚTEIS
25
PATROCINADO POR:
6 | Ferramentas úteis
Estas são algumas das melhoras ferramentas online para verificar a conformidade com as regras do novo
Regulamento.
Algolia’s
A Algolia’s é uma ferramenta que reúne todas as informações sobre o RGPD.
ECOMPLY.io
ECOMPLY.io é uma ferramenta de gestão de tarefas relacionada com a conformidade ao RGPD.
Email Copy
O Email Copy é um software que disponibiliza templates com emails padrão a enviar aos titulares dos dados, de
forma a obter o consentimento.
GDPR Form
O GDPR Form disponibiliza formulários para fazer a gestão de solicitações de acesso, portabilidade, limitação ou
oposição de dados, por parte dos titulares.
Lubenda
A Lubenda é uma das ferramentas disponíveis para as necessidades da conformidade com o RGPD. Banners
de cookies, gestão de consentimentos e ferramentas internas de privacidade são algumas das soluções que
disponibiliza.
Siftery Track
Este software, Siftery Track, é uma preciosa ajuda no que toca a verificar se os fornecedores de SaaS estão em
conformidade. Isto no que diz respeito à proteção dos dados pessoais.
26
PATROCINADO POR:
7
CHECKLIST
27
PATROCINADO POR:
7 | Checklist
Tendo em consideração as medidas e os procedimentos para garantir a conformidade com o RGPD, listados no
ponto 3 do presente documento, as empresas devem assegurar, então, os seguintes requisitos:
PATROCINADO POR:
8
GLOSSÁRIO
29
PATROCINADO POR:
8 | Glossário
Dados biométricos
Dados pessoais resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas
ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa
singular, nomeadamente imagens faciais ou dados dactiloscópicos.
Dados genéticos
Os dados pessoais relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa singular que
deem informações únicas sobre a fisiologia ou a saúde dessa pessoa singular e que resulta designadamente de
uma análise de uma amostra biológica proveniente da pessoa singular em causa.
Dados pessoais
Informação relativa a uma pessoa singular identificada ou identificável (“titular dos dados”). É considerada
identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a
um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores
por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental,
económica, cultural ou social dessa pessoa singular.
Dados sensíveis
São dados pessoais que estão sujeitos a condições de tratamento específicas. Entre eles:
• Dados pessoais que revelem a origem racial ou étnica, opiniões políticas e convicções religiosas ou filosóficas;
• Filiação sindical;
• Dados genéticos, dados biométricos tratados simplesmente para identificar um ser humano;
• Dados relacionados com a saúde;
• Dados relativos à vida sexual ou orientação sexual da pessoa.
30
PATROCINADO POR:
8 | Glossário
Limitação do tratamento
A inserção de uma marca nos dados pessoais conservados com o objetivo de limitar o seu tratamento no futuro.
Tratamento
Uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados
pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a
estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por
transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o
apagamento ou a destruição.
31
PATROCINADO POR:
PATROCINADO POR:
32
PATROCINADO POR: