O tratamento de dados pessoais só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações: Show
Consentimento Execução de um Contrato Cumprimento de uma Obrigação Jurídica Defesa de Interesses Vitais Exercício de Funções de Interesse Público ou Exercício da Autoridade Pública Interesses Legítimos prosseguidos pelo Responsável pelo tratamento ou por Terceiros RespostaSim, mas só em alguns casos. Se a sua empresa/organização tiver recolhido dados com base em interesses legítimos, num contrato ou em interesses vitais, pode utilizá-los para outra finalidade, mas apenas depois de verificar que a nova finalidade é compatível com a finalidade original. Devem ser ponderados os seguintes aspetos:
Caso a sua empresa/organização pretenda utilizar os dados para fins estatísticos ou para investigação científica, não é necessário efetuar o teste de compatibilidade. Caso a sua empresa/organização tenha recolhido os dados com base em consentimento ou num requisito legal, não poderá efetuar o tratamento subsequente para além do que se encontra abrangido pelo consentimento original ou pela disposição legal. Qualquer tratamento subsequente exigirá a obtenção de um novo consentimento ou de uma nova base jurídica. ExemplosÉ possível um tratamento subsequente Um banco tem um contrato com um cliente relativo a uma conta bancária e a um empréstimo pessoal. No final do primeiro ano, o banco utiliza os dados pessoais do cliente para verificar se este é elegível para um empréstimo com melhores condições e para um plano de poupança. Informa o cliente desse facto. O banco pode tratar os dados do cliente de novo, uma vez que as novas finalidades são compatíveis com as finalidades iniciais. Não é possível um tratamento subsequente O mesmo banco pretende partilhar os dados do cliente com companhias de seguros, com base no mesmo contrato relativo à conta bancária e ao empréstimo pessoal. Este tratamento não é permitido sem o consentimento expresso do cliente, uma vez que a sua finalidade não é compatível com a finalidade original para a qual os dados foram tratados. Referências
Os interesses legítimos são a base legal mais flexível para o processamento de dados, mas não se pode presumir que será sempre a base legal mais indicada. Esta base legal aplica-se quando os titulares dos dados pessoais consideram a utilização dos seus dados pessoais como razoável e se tiverem um impacto mínimo na sua privacidade ou quando existe uma justificação para o seu processamento. Quando os interesses legítimos são
usados como base legal, existe uma responsabilidade adicional no que toca a considerar e proteger os direitos e interesses dos titulares dos dados pessoais. Como sempre, a ação deve ser documentada para justificar o porquê e como os dados pessoais foram recolhidos e processados e, se relevante, os indivíduos devem ser informados. Segundo o Artigo
6(1)(f), “o tratamento é necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.”. Isso pode ser dividido em um teste de três partes:
Dados de clientes e colaboradores, prevenção de fraudes de marketing, transferências entre grupos e segurança de TI são especificamente referenciados no RGPD como interesses legítimos. A divulgação de informações sobre possíveis atos criminosos ou ameaças de segurança às autoridades também são considerados como interesse legítimo. Quando pode ser Aplicado?Interesse legítimo é a base legal mais flexível, mas não se deve presumir que será sempre a mais apropriada para o processamento de dados pessoais. É mais provável que o interesse legítimo seja uma base apropriada quando os dados são usados ??de maneira que as pessoas consideram como razoável e tenham um impacto mínimo na sua privacidade. Se houver um impacto sobre os indivíduos, esta base legal ainda pode ser aplicada quando existe uma justificação convincente de um benefício para o seu processamento e o seu impacto seja igualmente justificado. Em particular as autoridades públicas, só podem confiar no interesse legítimo quando processam os dados pessoais por uma razão legítima diferente da execução das suas tarefas como uma autoridade pública. Necessita de ajuda com o RGPD?Contacte-nos para saber as soluções RGPD que temos disponíveis. O interesse público é aplicável quando o processamento de dados pessoais é exigido no exercício da autoridade oficial ou quando a lei o permite no interesse público. O que é “Interesse Público”?Segundo o Artigo 6(1)(e), “o tratamento é necessário para o desempenho de uma tarefa realizada no interesse público ou no exercício da autoridade pública do responsável pelo tratamento”. Quando pode ser Aplicado?A aplicação desta base legal é principalmente impulsionada pela lei. Quando a lei estabelece uma tarefa específica de interesse público ou quando é necessário um exercício de autoridade oficial, tais como tarefas, funções, deveres ou poderes de um organismo público. Isto contempla funções públicas e poderes que são estabelecidos em lei. Necessita de ajuda com o RGPD?Contacte-nos para saber as soluções RGPD que temos disponíveis. O interesse vital é aplicável quando o processamento de dados pessoais é necessário para proteger a vida de alguém. O que são “Interesses Vitais”?Segundo a Razão 46, os interesses vitais abrangem apenas os interesses essenciais para a vida de alguém. Quando pode ser Aplicado?Uma vez que o escopo desta base legal
é muito limitado, geralmente aplica-se apenas a questões de vida ou morte. Necessita de ajuda com o RGPD?Contacte-nos para saber as soluções RGPD que temos disponíveis. A obrigação legal é aplicável como base legal quando é necessário processar dados pessoais para cumprimento da lei ou de uma obrigação legal. Neste caso, deve haver uma disposição legal específica ou uma fonte apropriada de aconselhamento ou orientação que estabeleça claramente a obrigação. Quando se aplica?Esta base legal é aplicada quando uma organização é obrigada a processar os dados pessoais para cumprimento da lei. De forma simples, é aplicada sempre que um estado membro ou a legislação da UE assim o obrigar, porque o objetivo geral é cumprir uma obrigação legal que tenha uma base suficientemente clara no direito comum ou no estatuto. Obviamente, exige a identificação da obrigação em questão, seja por referência à disposição legal específica, seja por indicação de uma fonte adequada de orientação ou conselho que a defina claramente. Por exemplo, pode referir um site do governo ou uma orientação geral da indústria ou setor que explique as obrigações legais aplicáveis. Necessita de ajuda com o RGPD?Contacte-nos para saber as soluções RGPD que temos disponíveis. Existe base legal para processamento de dados pessoais quando os dados pessoais de um indivíduo são necessários para cumprir uma obrigação contratual ou quando o indivíduo pede a uma organização que faça algo antes de acordar um contrato. A segunda parte não se aplica quando uma organização pode, de forma razoável, obter o mesmo resultado sem efetuar o processamento de dados pessoais. ContratosQuando o processamento de dados pessoais é exigido para um contrato com um indivíduo, não é necessário um consentimento separado do mesmo. Isso é bastante simples e direto. Quando está envolvida uma categoria especial para a elaboração do contrato, então é necessário identificar separadamente a condição para o processamento desses dados. Quando o contrato é com um menor de 18 anos, a organização deve considerar se o menor tem a competência necessária para celebrar o contrato. Em caso de dúvida, poderá ser aplicada outra base legal, por exemplo, de interesses legítimos se se demonstrar que os direitos e interesses do menor são devidamente considerados e protegidos. DireitosQuando os dados pessoais são processados tendo como base o contrato, o direito do indivíduo a contestar e o direito de não estar sujeito a uma decisão baseada unicamente no processamento automatizado não se aplica. No entanto, o indivíduo tem direito à portabilidade dos dados. Podemos ajudar com o RGPD?Contacte-nos para saber como podemos ajudar no RGPD. O consentimento significa que os indivíduos possuem uma escolha e controlo real sobre os seus próprios dados pessoais. Pedir ConsentimentoO consentimento requer uma declaração muito clara e específica com uma resposta explícita. Desta forma, as opções pré-selecionadas ou outros métodos de consentimento pré-selecionados são ilegais. A indicação da razão de recolha de dados e o será feito com os
mesmos deve ser indicado de forma clara e suportada na base legal mais adequada para o processamento. As autoridades públicas e os empregadores devem ter cuidado adicional para mostrar que o consentimento é dado livremente e deve evitar a dependência excessiva do consentimento. As crianças têm proteção específica em relação aos seus dados
pessoais. Uma atenção especial deve ser dada para fins publicitários, perfis de utilizadores e a recolha de dados pessoais ao utilizar serviços oferecidos diretamente a uma criança. Auditoria ao ConsentimentoComo o consentimento é auditável, é necessário manter registos de quando, como e para que efeito o indivíduo deu o seu consentimento. Gestão do ConsentimentoOs indivíduos podem gerir o consentimento, inclusive retirar o mesmo em qualquer momento. ObjetivoO consentimento feito de forma genuína, deve criar confiança e compromisso com o cliente, o que aumentará sua reputação perante o mesmo. Necessita de ajuda no RGPD?Temos vários soluções para cumprir com o RGPD. Contacte-nos. O RGPD impõe que as organizações tenham uma base legal válida para processar dados pessoais de forma a que o tratamento seja considerado lícito. A base legal deve ser determinada antes do início do processamento de dados porque deve ser documentada, juntamente com os propósitos do processamento de dados, e incluída no aviso de privacidade aceite pelas pessoas. Isso deixa claro a que é que as pessoas estão dando o seu consentimento. Se os propósitos mudarem, a menos que sejam compatíveis com o propósito inicial, será necessário alterar a base legal, e poderá ser necessário refazer os processos de documentação, consentimento, etc.. Bases Legais para Processamento de DadosAs seis bases legais para processamento de dados pessoais são definidas no Artigo 6:
As atividades de processamento que se enquadram no cumprimento de um contrato, obrigação legal, interesses vitais e tarefa pública podem ser bastante simples e diretas na sua identificação. A chave para muitos estará na avaliação sobre se o Consentimento ou os Interesses Legítimos serão mais apropriados para o processamento específico das informações pessoais. Processamento de Dados de Categoria EspecialAo processar dados de categorias especiais, é necessário identificar uma base legal para o processamento geral e uma condição adicional para o processamento desse tipo de dados. Processamento de Dados CriminaisAo processar dados de condenação criminal ou dados sobre ofensas, é necessário identificar uma base legal para o processamento geral e uma condição adicional para o processamento desse tipo de dados. Podemos ajudar no RGPD?Temos várias soluções de RGPD. Contacte-nos. O RGPD define as principais responsabilidades das organizações no que respeita à proteção de dados e processamento de dados pessoais. O Artigo 5 do RGPD introduz os dois pilares da proteção e processamento dos dados pessoas. De forma simples, introduz os princípios relacionados com os dados e quem é responsável pelo seu cumprimento. Princípios dos Dados PessoaisAo abrigo do RGPD, os dados pessoais serão:
Como é compreensível acima, existem limitações de finalidade e conservação onde os tratamento dos dados foi, de alguma forma, estendido. ResponsávelAo abrigo do RGPD, é necessária a existência de um responsável que será
De forma simples, as organizações têm de ter um Data Protection Officer (commumente referido como DPO) que é responsável por garantir o cumprimento e demonstrar esse cumprimento no que toca aos princípios dos dados pessoais. Dependendo do tamanho da organização, o DPO poderá ser alguém da própria organização, exceptuando os casos de administradores, por óbvias razões de potenciais conflitos. Precisa de ajuda com o RGPD?Temos solução para os seus problemas de RGPD. Contacte-nos. O RGPD, comummente também referido como GDPR por ser a sigla em inglês de General Data Protection Regulation, refere-se ao regulamento europeu 2016/679 sobre proteção e dados pessoais. O RGPD define os direitos e obrigações legais relativos à recolha, processamento e circulação de dados pessoais dos cidadãos da UE. Fornece um nível de proteção elevado e coerente, equivalente em todos os Estados Membros, e é extensível às organizações externas à UE que trabalham com dados pessoais dos cidadãos da UE. As obrigações relacionadas com a manipulação de dados pessoais abrangem agora situações como o direito a ser esquecido e a obrigatoriedade de informar o regulador no caso de existir uma violação de segurança que possa comprometer o acesso aos dados pessoais por pessoas não autorizadas para o efeito. Afinal o que são “dados pessoais”?De forma simples, são todos os dados sobre uma pessoa que uma organização recolhe, armazena e transmite: formulários web, cookies, preferências de utilizador, relatórios médicos, recibos de vencimento, etc.. O RGPD reforça o processamento dos dados pessoais de forma legal, justa e transparente em relação à pessoa em causa.
Consulte o Artigo 4 para mais informação. E os dados altamente sensíveis?O RGPD leva em consideração tipos especiais de dados altamente sensíveis, como seja informação médica, convicções criminais, vida sexual, orientações políticas, dados genéticos, etc.. Em tais casos, aplicam-se regras especiais. Consulte o Artigo 9 para mais informação. A quem se aplica?O RGPD aplica-se a todas as pessoas e organizações que recolham, reúnam, transmitam ou processem de qualquer forma os dados pessoais dos cidadãos da União Europeia. Sim, isso significa que as organizações não pertencentes à UE têm igualmente de cumprir com este regulamento quando tratam dados pessoais de cidadãos da UE. As micro, pequenas e médias empresas têm níveis de conformidade um pouco mais simplificados. Tal inclui uma derrogação para organizações com menos de 250 colaboradores em relação à manutenção de registos. As organizações públicas e de direito penal são abrangidas por regras especiais, uma vez que abordam questões específicas de índoles nacionais e europeias. Quão difícil é cumprir com o RGPD?Como é obviamente compreensível, tal dependerá de quão grande seja sua organização, o que ela faz e como ela já aborda o processamento de dados pessoais. A melhor estratégia para a conformidade começa com uma avaliação realizada por uma equipe multidisciplinar composta por pessoas certificadas em RGPD, advogados conhecedores do RGPD e uma equipa de TI pragmática que compreende verdadeiramente o RGPD. Precisa de ajuda com o RGPD?Contacte-nos se precisar de ajuda em RGPD. O Regulamento (UE) 2016/679, também conhecido como Regulamento Geral sobre a Proteção de Dados, abreviado para RGDP, é extremamente importante para os cidadãos da UE e para as organizações que processam dados pessoais de cidadãos da UE. Os seguintes artigos explicam a adoção do RGDP pelas organizações:
Não sabe o que fazer com o RGPD? Percebemos de RGPD e das necessidades dos DPOs. O que são interesses vitais?Base Legal: Interesses Vitais
O interesse vital é aplicável quando o processamento de dados pessoais é necessário para proteger a vida de alguém. Essa base não é aplicável quando for possível proteger razoavelmente os interesses vitais da pessoa de outra maneira menos intrusiva.
Quais são os tipos especiais de dados pessoais?São categorias especiais de dados pessoais:. a origem racial ou étnica;. as opiniões políticas;. as convicções religiosas.. as convicções filosóficas;. a filiação sindical;. os dados genéticos;. os dados biométricos para identificar uma pessoa de forma inequívoca;. os dados relativos à saúde;. É considerado ou tratamento de categorias especiais de dados pessoais entre outros?É proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos , dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados ...
|