• Cristina Paula Baptista

5 Coisas que deve saber sobre proteção de dados

Atualizado: 27 de Ago de 2018

Com a entrada em vigor do Regulamento Geral de Proteção de Dados (RGPD|GDPR) a 25 de maio de 2018 são reforçadas e uniformizadas as políticas de proteção de dados para todos os residentes na União Europeia, independentemente na sua nacionalidade.



Para uma melhor compreensão do RGPD|GDPR há 5 coisas que deve saber sobre proteção de dados.


1. O que são dados pessoais?

Para o RGPD|GDPR são "dados pessoais" qualquer informação objectiva (ex.: o salário mensal), subjectiva (ex.: opinião sobre um assunto) e relativa a informação sensível (ex.: convicções políticas ou religiosas, raça) relativa a uma pessoa, sobre essa pessoa ou com impacto nessa pessoa, identificada ou identificável direta (ex.: com o nome ou um número de identificação) ou indiretamente (ex.: quem escreveu um determinado livro), que esteja viva (as regras relativas à proteção de dados de pessoas falecidas são estabelecidas pelo direito interno dos Estados). São, também, "dados pessoais" as informações obtidas online, com recurso a dados de localização ou outros, que, através da combinação de um ou mais factores permitem a identificação da pessoa ou a criação de um perfil de identificação.

Confirmar definição no RGPD, artigo 4.º, alínea 1).


2. O que é o tratamento de dados?

Entende-se por "tratamento de dados pessoais" as operações, automatizadas ou não automatizadas, de recolha, registo, organização, estruturação, conservação, adaptação ou alteração, recuperação, consulta, utilização, divulgação, comparação ou interconexão, apagamento ou destruição de dados pessoais.

O tratamento de dados pessoais tem de ser legítimo e realizado nos termos da lei. São muitas as questões que se colocam em matéria de tratamento de dados pessoais e, oportunamente, abordaremos aqui algumas delas.

Confirmar definição no RGPD, artigo 4.º, alínea 2).


3. Quem é o responsável pelo tratamento de dados?

O "responsável pelo tratamento de dados" é a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades do tratamento de dados (para que são necessários e porque são necessários), bem como os meios pelos quais se realizará o tratamento (meios automatizados ou outros).

Os deveres do responsável pelo tratamento de dados relativamente à qualidade, legitimidade e legalidade do tratamento são estabelecidos em função da tipologia e sensibilidade dos dados tratados.

Entende-se por "subcontratante" a pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que proceda ao tratamento de dados pessoais por conta do responsável pelo tratamento de dados.

Confirmar definições no RGPD, artigo 4.º, alíneas 7) e 8).


4. Para que serve a Autoridade de controlo?

A "Autoridade de controlo" é uma autoridade pública independente, criada pelos Estados-Membros com a responsabilidade pela fiscalização da aplicação do RGPD|GDPR, a fim de defenderem os direitos e liberdades fundamentais das pessoas singulares relativamente ao tratamento dos seus dados pessoais e facilitarem a livre circulação desses dados na União Europeia.

Em Portugal a Autoridade de controlo é a Comissão Nacional de Proteção de Dados. Na prossecução das suas atribuições e no exercício dos poderes que lhe estão atribuídos, pelo RGPD e pela Lei, a CNPD age com total independência e os seus membros não estão sujeitos a influencias externas ou internas, diretas ou indiretas, quando no exercício das suas funções.

As Autoridades de controlo dos Estados-Membros estão representadas no Comité.


5. Quando ocorre a violação de dados?

Há "violação de dados pessoais" sempre que ocorra uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.

Assegurar a segurança do tratamento dos dados é uma obrigação do responsável pelo tratamento e do subcontratante (quando exista) que devem aplicar as medidas técnicas e organizativas necessárias, de modo a garantir um nível de segurança adequado ao risco do tratamento de dados.

Em caso de violação de dados pessoais o responsável pelo tratamento está obrigado a notificar a autoridade de controlo (CNPD), sem demora e, sempre que possível, até 72 horas após ter tido conhecimento da mesma.

Há circunstâncias em que deve ser comunicada a violação de dados pessoais ao titular dos dados.


Nota: Este artigo é de caráter informativo e não dispensa a consulta de um profissional habilitado a responder sobre questões concretas relativas à proteção de dados pessoais.

#dadospessoais #RGPD #GDPR #violaçãodedados #proteçãodedados #tratamentodedados #responsaveltratamentodedados

416 visualizações