a carregar...

UC.PT

Proteção de dados

Perguntas Frequentes



1. Dados pessoais

1.1 O que são dados pessoais?

“Informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.”



1.2 Em que consiste o tratamento de dados?

Trata-se de “uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.”



1.3 O que é a anonimização de dados?

É a conversão irreversível de dados privados em dados não identificáveis e que, por essa via, não ficam abrangidos pelo RGPD. Isso pode ser conseguido quer através da substituição dos dados, quer pela redução da granularidade.



1.4 O que é a pseudo-anonimização de dados?

É um processo semelhante ao de anonimização, mas que permite o processo de inversão (tornar possível a re-identificação do titular dos dados), ficando deste modo, o tratamento dos dados abrangido pelo RGPD. Os dados deixam de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam arquivadas/guardadas separadamente.



1.5 O que são "categorias especiais de dados pessoais"?

O Art. 9º do RGPD aplica restrições ainda mais severas ao tratamento de categorias especiais de dados pessoais, definidas como: "dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa. Todos estes dados têm restrições adicionais de tratamento pelo que se recomenda a leitura atenta das secções respetivas do RGPD.

Dados Genéticos são definidos como: "Os dados pessoais relativos às características genéticas, hereditárias ou adquiridas, de uma pessoa singular que deem informações únicas sobre a fisiologia ou a saúde dessa pessoa singular e que resulta designadamente de uma análise de uma amostra biológica proveniente da pessoa singular em causa" (RGPD, Artº 4, nº 13).

Dados biométricos são definidos como "Dados pessoais resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa singular, nomeadamente imagens faciais ou dados dactiloscópicos" (RGPD, Art. 4º, nº 14).

Dados relativos à saúde são definidos como "Dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde"(RGPD, Art. 4º, nº 15).




2. Regulamento Geral de Proteção de Dados (RGPD)

2.1 O que é o Regulamento Geral de Proteção de Dados (RGPD)?

É um diploma que entrou na nossa ordem jurídica em 25 de maio de 2018, através do Regulamento (EU) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, que pretende responder aos desafios colocados pela revolução tecnológica ocorrida nas últimas décadas e proteger melhor os dados sobre as pessoas, os direitos dos cidadãos da UE e a livre circulação de dados.



2.2 Porquê a necessidade de um novo enquadramento jurídico?

A quantidade de dados armazenados e transacionados, estruturados e não estruturados, não limitados às fronteiras, aumentou e aumentará exponencialmente nos próximos anos, pelo que a recolha e utilização dos dados pessoais é uma preocupação cada vez maior dos titulares dos dados e das organizações, obrigando por isso à introdução de um enquadramento jurídico mais rigoroso.

Para estar em conformidade com o RGPD, é fundamental que as organizações percebam que informação pessoal possuem, para que a utilizam, onde e como a armazenam e que sistemas tecnológicos, modelos organizativos e processos é que vão ter de alterar.

O RGPD tem como principais objetivos que o cidadão recupere o controlo sobre os seus dados pessoais, nomeadamente através de novos direitos, como aceder, alterar, transferir, apagar ou solicitar a sua informação na qualidade de titular dos dados.


2.3 Quais são as principais novidades?


· Maior amplitude do conceito de dados pessoais - Passa a incluir, nomeadamente, dados de localização e identificadores por via eletrónica (como endereços IP, cookies). Para além disso, passam a existir definições precisas no que respeita a “perfis”, "pseudonimização", "dados genéticos", "dados biométricos e "dados relativos à saúde".

· Direito ao esquecimento (apagamento), direito de portabilidade dos dados, direito ao consentimento e direito de oposição ao profiling - Os titulares dos dados passam a ter o direito a requerer a eliminação dos seus dados pessoais mediante determinadas circunstâncias. Passam, também, a poder transferir os seus dados de um responsável pelo tratamento para outro responsável e as organizações ficam obrigadas a fornecer ao titular dos dados, num formato de uso corrente e de leitura automática, os dados que aquele lhe tenha transmitido. Passam igualmente a gozar de regras mais exigentes para o consentimento (que pode ser retirado a qualquer momento) e também ao direito de se oporem ao profiling (processamento de informação, com o objetivo de avaliar e tipificar indivíduos com base nos seus dados pessoais).

· Reforço das obrigações das organizações - Para além da obrigação de adoção de políticas e procedimentos de segurança de dados, como a pseudonimização ou a cifragem de dados, é criada a figura do Data Protection Officer (DPO) / Encarregado de Proteção de Dados (EPD).

· Regras especiais para menores - O RGPD prevê a impossibilidade de menores, com idade inferior a 16 anos, prestarem o seu consentimento para tratamentos de dados em serviços online, ficando, no entanto, ao critério de cada Estado-membro determinar se os jovens com idades compreendidas entre os 13 e 16 anos poderão ter acesso a serviços online.

· Obrigação de comunicar quebras de segurança - As empresas passarão a estar obrigadas a notificar os casos de violação de dados pessoais às autoridades competentes e aos próprios titulares dos dados.

· Accountability - Desaparece a obrigação de notificação/autorização à CNPD, tornando-se esta um órgão fiscalizador. Há uma mudança de paradigma, que obriga os responsáveis pelo tratamento de dados de serem capazes de, a qualquer momento, demonstrar o cumprimento das exigências previstas no RGPD.

· Encarregado de Proteção de Dados (EPD) - As autoridades e organismos públicos estão obrigados a contratar/nomear um EPD, o qual deve ter conhecimentos especializados no domínio do direito e das práticas da proteção de dados, considerando que a sua principal função é controlar o cumprimento das regras do novo Regulamento pela empresa.



2.4 A quem se aplica?

A todas as pessoas singulares e coletivas que efetuem tratamento de dados pessoais a residentes da UE, mesmo que estejam sediadas fora dela.



2.5 É necessário fazer a transposição do regulamento?

O Regulamento não necessita de transposição. É diretamente aplicável a todos os Estados Membros em simultâneo.



2.6 Podem-se efetuar transferências de dados para fora da UE?

As transferências de dados são proibidas para fora da UE, exceto se reunidas as condições previstas no capítulo V do RGPD.

Com efeito, na transferência de dados pessoais para fora da UE, o RGPD exige que seja assegurado um elevado nível de proteção dos dados pessoais, compatível com o nível de proteção conferido pelo próprio RGPD. Isto é, só são legais as transferências internacionais realizadas para jurisdições fora da UE consideradas “seguras”, através dos diversos institutos jurídicos que o próprio RGPD regulamenta. 



2.7 A quem é que os cidadãos se podem queixar do incumprimento no tratamento dos seus dados?

Os cidadãos podem apresentar as suas queixas à Comissão Nacional de Proteção de Dados (CNPD), enquanto autoridade nacional de controlo, responsável por assegurar que as regras contidas no documento são cumpridas.



2.8 Quem é que controla a forma como os dados pessoais são tratados dentro das empresas ou outras entidades?

O RGPD introduz a figura do encarregado da proteção de dados. A figura é obrigatória para todas as entidades públicas e para as entidades privadas que tratam dados em larga escala ou dados sensíveis. É função deste encarregado, entre outras, informar e aconselhar o responsável pelo tratamento dos dados sobre as suas obrigações, prestar aconselhamento sobre as políticas da proteção de dados pessoais, cooperar com a autoridade de controlo e servir de ponto de contacto entre a entidade que faz o tratamento dos dados e a autoridade nacional. 



2.9 Quais são as consequências para quem não cumpre as regras?

A não conformidade com o RGPD, pode conduzir a multas até 20.000.000€ ou 4% da faturação global da empresa (consoante o montante mais elevado).



2.10 O que é que acontece se houver um problema e os dados ficarem comprometidos?

As entidades têm até 72 horas para comunicar à CNPD eventuais violações de dados pessoais. Se essa violação for considerada de alto risco para os direitos e liberdades dos cidadãos e se esse risco não tiver sido mitigado, então o titular também tem o direito a ser informado dessa fuga. É possível apresentar uma queixa à CNPD e, em caso de prejuízo, intentar uma ação judicial a requerer indemnização.



2.11 Há direito a indemnização, por mau uso dos dados pessoais?

Sim, pode haver, caso a empresa ou entidade não tenha respeitado as leis da proteção de dados e, na sequência disso, o cidadão tenha sofrido prejuízos materiais ou de outro tipo, nomeadamente, danos de reputação.




3. Relação entre a Lei Nacional de Proteção de Dados Pessoais e o RGPD

3.1. Para que serve a nova lei de proteção de dados pessoais (Lei n.º 58/2019), uma vez que o RGPD, por ser um Regulamento da UE, é de aplicação direta em Portugal?

A Lei n.º 58/2019, de 8 de agosto, é a nova Lei de Proteção de Dados, que assegura a execução do RGPD na ordem jurídica portuguesa. Entrou em vigor no dia 9 de agosto e revoga a anterior LPDP (Lei 67/98).

Há três razões para a existência desta nova Lei, designadamente:


Um: o RGPD deixa aos Estados-Membros a decisão sobre algumas matérias específicas, tais como dados especialmente protegidos, tratamento de dados dos trabalhadores, idade mínima de menores, etc.. 

Dois: o RGPD determina que cada Estado-Membro nomeie, por ato legislativo, a autoridade de controlo encarregue da fiscalização da sua aplicação. 

Três: entendem alguns autores que as contraordenações e os crimes são matéria da exclusiva competência da Assembleia da República. Assim, as normas do RGPD sobre as contraordenações não são diretamente aplicáveis, daí a necessidade de serem transpostas por ato legislativo nacional.

Entrou também em vigor uma lei específica de proteção de dados para os tratamentos efetuados por autoridades competentes para a deteção, prevenção, investigação e repressão de infrações penais e para a execução de sanções penais – Lei 59/2019, de 8 de agosto.

Estes três instrumentos legais (RGPD, Lei 58/2018 e Lei 59/2019) constituem a nova legislação de proteção de dados pessoais.


3.2. Quais são as principais alterações introduzidas pela nova Lei?
 

I. Autoridade de Controlo (Capítulo II, artigos 3.º a 8.º)

- A Comissão Nacional de Proteção de Dados (CNPD) é designada como a autoridade de controlo nacional para efeitos do RGPD e da lei que agora entra em vigor (Alteração e Republicação da Lei n.º 43/2004, de 18 de agosto).

- Prevê a cooperação com o Instituto Português de Acreditação, I. P. (IPAC, I. P.) em matéria de acreditação dos organismos de certificação em sistemas de proteção de dados.

- Reforça que compete à CNPD fomentar a elaboração de códigos de conduta que regulem atividades determinadas, os quais devem tomar em atenção as necessidades específicas das micro, pequenas e médias empresas.

- Refere que a CNPD difunde uma lista de tipos de tratamento de dados cuja avaliação prévia de impacto não é obrigatória.

- Obriga as entidades públicas e privadas a colaborar com a CNPD, quando necessário, para o cabal cumprimento das suas competências, designadamente examinar o sistema informático e os ficheiros de dados pessoais, bem como toda a documentação relativa ao tratamento e transmissão de dados pessoais.

II. Funções do Encarregado de Proteção de Dados (Capítulo III, art.os 9.º a 13.º)

- Para além das competências que são confiadas ao EPD, nos termos do disposto no RGPD, cabem-lhe ainda as seguintes funções:



a) assegurar a realização de auditorias de proteção de dados, quer periódicas, quer não programadas;

b) sensibilizar os utilizadores para a importância da deteção atempada de incidentes de segurança e para a necessidade de informar imediatamente o responsável pela segurança;

c) assegurar as relações com os titulares dos dados nas matérias abrangidas pelo RGPD e pela legislação nacional em matéria de proteção de dados.

- O encarregado de proteção de dados, bem como os responsáveis pelo tratamento de dados, incluindo os subcontratantes, e todas as pessoas que intervenham em qualquer operação de tratamento de dados, estão obrigados a um dever de confidencialidade que acresce aos deveres de sigilo profissional previstos na lei.

III. Disposições especiais - consentimento de menores, proteção de pessoas falecidas, portabilidade e interoperabilidade, videovigilância, dever de segredo, prazo de conservação, transferências de dados e tratamento de dados pessoais por entidades públicas para finalidades diferentes (Capítulo V, art.º 16.º a 23.º)

- Refere que o consentimento de menores relativo à oferta direta de serviços da sociedade de informação só é admissível quando os menores já tenham completado 13 anos de idade.

- Prevê a necessidade de proteção de dados pessoais especiais de pessoas falecidas.

- Clarifica que o direito de portabilidade dos dados abrange apenas os dados fornecidos pelos respetivos titulares.

- Esclarece que, sempre que a interoperabilidade dos dados entregues à Administração Pública não seja tecnicamente possível, o titular dos dados tem o direito de exigir que os mesmos lhe sejam entregues num formato digital aberto, de acordo com o Regulamento Nacional de Interoperabilidade Digital em vigor.

- Impõe regras e limites na utilização de Videovigilância (ver ponto 6).

- Clarifica algumas dúvidas em relação ao prazo de conservação de dados pessoais, como os dados relativos a declarações contributivas para efeitos de aposentação ou reforma, que podem ser conservados sem limite de prazo.

IV. Situações específicas de tratamento de dados pessoais – liberdade de expressão, publicação em jornal oficial, acesso a documentos administrativos, publicação de dados no âmbito da contratação pública, relações laborais, tratamento de dados de saúde e dados genéticos, bases de dados ou registos centralizados de saúde, tratamentos para fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins estatísticos (Capítulo VI, art.os 24.º a 31.º)

- A proteção de dados pessoais não prejudica o exercício da liberdade de expressão, informação e imprensa, incluindo o tratamento de dados para fins jornalísticos e para fins de expressão académica, artística ou literária, mas não legitima a divulgação de dados pessoais como moradas e contactos, à exceção daqueles que sejam de conhecimento generalizado.

- Sempre que o dado pessoal «nome» seja suficiente para garantir a identificação do titular e a eficácia do tratamento, não devem ser publicados em jornais oficiais outros dados pessoais, sendo o responsável pelo tratamento a entidade que manda proceder à publicação.

- Caso seja necessária a publicação de dados pessoais, não devem ser publicados outros dados pessoais para além do nome, sempre que este seja suficiente para garantir a identificação do contraente público e do cocontratante.

- O tratamento de dados biométricos dos trabalhadores só é considerado legítimo para controlo de assiduidade e para controlo de acessos às instalações do empregador, devendo assegurar-se que apenas se utilizem representações dos dados biométricos e que o respetivo processo de recolha não permita a reversibilidade dos referidos dados.

- Estabelece que o consentimento do trabalhador não constitui requisito de legitimidade do tratamento dos seus dados pessoais:

a) se do tratamento resultar uma vantagem jurídica ou económica para o Trabalhador;
b) se esse tratamento for necessário para a execução de um contrato no qual o trabalhador seja parte, ou necessário para diligências pré-contratuais.

- Inclui requisitos de confidencialidade e sigilo associados ao tratamento de dados de saúde e dados genéticos. O titular dos dados deve ser notificado de qualquer acesso realizado aos seus dados pessoais, cabendo ao responsável pelo tratamento assegurar a disponibilização desse mecanismo de rastreabilidade e notificação.

- O tratamento para fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins estatísticos deve respeitar o princípio da minimização dos dados e incluir a anonimização ou a pseudonimização dos mesmos, sempre que os fins visados possam ser atingidos por uma destas vias.

V. Tutela administrativa, responsabilidade civil, tutela jurisdicional, representação dos titulares dos dados, legitimidade da CNPD (Capítulo VII, secção I, art.os 32.º a 36.º)

- Em termos de responsabilidade civil, indica que qualquer pessoa que tenha sofrido um dano devido ao tratamento ilícito de dados ou a qualquer outro ato que viole disposições do RGPD ou da lei nacional em matéria de proteção de dados pessoais, tem o direito de obter do responsável ou subcontratante a reparação pelo dano sofrido.

VI. Contraordenações (Capítulo VII, secção II a IV, art.os 37.º a 56.º)

- O legislador nacional introduz algumas novidades no regime das contraordenações. As contraordenações muito graves são punidas com coima:

a) de 5 000€ a 20 000 000€ ou 4% do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de grande empresa;
b) de 2 000€ a 2 000 000€ ou 4% do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de PME;
c) de 1 000€ a 500 000€, no caso de pessoas singulares.
- As contraordenações graves são punidas com coima:
a) de 2 500€ a 10 000 000€ ou 2% do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de grande empresa;
b) de 1 000€ a 1 000 000€ ou 2% do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de PME;
c) de 500€ a 250 000€, no caso de pessoas singulares.
- Esta Lei vem estabelecer como critérios de determinação da medida da coima, além dos previstos no RGPD, os seguintes:
a) A situação económica do agente, no caso de pessoa singular, ou o volume de negócios e o balanço anual, no caso de pessoa coletiva;
b) O caráter continuado da infração;
c) A dimensão da entidade, tendo em conta o número de trabalhadores e a natureza dos serviços prestados.

- Outra novidade inserida no diploma é a de estipular que, à exceção dos casos de dolo, a instauração de processo de contraordenação depende de prévia advertência do agente, por parte da CNPD, para cumprimento da obrigação omitida ou reintegração da proibição violada em prazo razoável. O montante das coimas cobradas reverte em 60% para o Estado e em 40% para a CNPD.

- Apresenta lista dos crimes puníveis com pena de prisão, como a utilização de dados de forma incompatível com a finalidade da recolha, o acesso indevido, o desvio de dados, a viciação ou destruição de dados, a inserção de dados falsos, a violação do dever de sigilo e a desobediência.

VII. Entidades Públicas (art.os 44.º e 59.º)

- No âmbito de aplicação das contraordenações, as coimas previstas no RGPD e na presente lei aplicam-se de igual modo às entidades públicas e privadas, mas as entidades públicas, podendo as primeiras, fundamentar e solicitar à CNPD a dispensa da aplicação de coimas durante o prazo de três anos, a contar da entrada em vigor da Lei 58/2019.

VIII. Legislação alterada e revogada (artigo 65.º e 66.º)

- Este diploma procede à alteração à Lei n.º 26/2016, de 22 de agosto (nova LADA), nomeadamente do artigo 6.º do regime de acesso à informação administrativa e ambiental e de reutilização dos documentos administrativos que passa a ter a seguinte redação:

«Artigo 6.º

[...]

9 — Sem prejuízo das ponderações previstas nos números anteriores, nos pedidos de acesso a documentos nominativos que não contenham dados pessoais que revelem a origem étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical, dados genéticos, biométricos ou relativos à saúde, ou dados relativos à intimidade da vida privada, à vida sexual ou à orientação sexual de uma pessoa, presume -se, na falta de outro indicado pelo requerente, que o pedido se fundamenta no direito de acesso a documentos administrativos.»

- A norma revogatória faz caducar a Lei n.º 67/98, de 26 de outubro, que transpõe para a ordem jurídica portuguesa a Diretiva 95/45/CE, do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção de pessoas singulares no que diz respeito ao tratamento dos dados pessoais e à livre circulação desses dados.

- São também revogados o n.º 3 do art.º 15.º e o n.º 2 do art.º 17.º da Lei n.º 43/2004, de 18 de agosto (Lei de organização e funcionamento da CNPD), alterada pela Lei n.º 55-A/2010, de 31 de dezembro (Orçamento do estado para 2011).



3.3 As deliberações-gerais da CNPD que contêm orientações mantêm a sua validade?

Mantêm-se válidos os princípios gerais aplicáveis aos tratamentos de dados e, nessa medida, as orientações da CNPD podem continuar a ser usadas como referência. No entanto, a CNPD irá proceder à sua atualização em conformidade com o novo quadro legal.



3.4 As autorizações emitidas pela Comissão Nacional de Proteção de Dados (CNPD) anteriores à aplicação do RGPD continuam válidas?

Sim, mantém-se válidas em tudo o que não contrarie o disposto no RGPD e na Lei 58/2019, e desde que os tratamentos de dados pessoais não tenham sofrido alterações. Adicionalmente, os responsáveis pelo tratamento dos dados têm de cumprir as exigências do RGPD, à exceção da realização de avaliações de impacto sobre a proteção de dados, previstas no artigo 35.º do RGPD, para os tratamentos de dados pessoais já autorizados.



3.5 É necessário fazer algum registo na CNPD ou pedir autorização para tratar dados pessoais?

Não. A obrigação de notificação prévia de tratamentos de dados pessoais à CNPD desaparece com a aplicação do RGPD. Já não é necessário solicitar autorização à CNPD para realizar tratamentos de dados pessoais abrangidos pelo RGPD.




4. Consentimento

4.1 Qual a importância de consentir o tratamento dos meus dados?

O consentimento é uma das circunstâncias que torna legal o tratamento dos dados pessoais. Um dos aspetos fundamentais do RGPD é a forma como este consentimento tem que ser obtido. Tem que ser livre, específico para uma determinada finalidade, explícito e informado, o que implica conhecimento de todos os dados pessoais objeto de tratamento. O pedido de consentimento deve ser apresentado “de forma clara e concisa, utilizando linguagem de fácil entendimento e diferenciar-se de outras informações como sejam ‘’os termos e condições”. Este documento deve, ainda, incluir o tipo de uso que será feito dos dados e incluir os contactos da entidade que vai processar essa informação.

O consentimento tem, pois, de ser explícito, isto é, a pessoa tem de manifestar a sua vontade em autorizar. Tem também de prestar as informações que previstas no art.º 13.º do RGPD, adequadas ao seu caso concreto, não se esquecendo de informar o titular dos dados de que pode revogar o consentimento a todo o momento e indicando o meio como o pode fazer.  

O consentimento tem, ainda, de ser específico, devendo ser diferenciado, por exemplo, quando haja utilização de dados para fins distintos ou quando haja comunicação de dados a terceiros, e acompanhado sempre da informação necessária relativa a cada situação. Também não é possível fazer depender a execução de um contrato do consentimento do titular dos dados.



4.2 O que mudou no consentimento?

Até agora o consentimento podia ser tácito, ou seja, incluído numa longa lista de termos e condições que raramente as pessoas liam. Isso deixa de ser válido. Se um tratamento de dados foi autorizado com base num consentimento que não cumpre as novas regras, este não tem validade, pelo que a entidade que trata esses dados terá que pedir novamente um novo consentimento informado, nas condições exigidas pelo RGPD.



4.3 É obrigatório pedir outra vez o consentimento aos meus utentes/clientes para tratar os seus dados?

    Antes de mais, deve verificar-se se o consentimento do titular é o fundamento de legitimidade adequado quando está em causa uma relação contratual com um utente/cliente, uma vez que o tratamento de dados necessário à execução de um contrato não precisa do consentimento do utente/cliente.  

    Se estiver em causa o tratamento de dados pessoais adicionais em relação ao contrato e se o consentimento obtido anteriormente foi dado de forma implícita, então será necessário obter um novo consentimento do titular dos dados, nas condições exigíveis pelo RGPD. 

    

    4.4 É preciso obter o consentimento dos trabalhadores no âmbito da gestão administrativa ou de processamento de remunerações?

      Não. Os tratamentos de dados pessoais, no âmbito da gestão dos recursos humanos, têm como fundamentos de legitimidade a execução do contrato de trabalho e a lei.  O consentimento dos trabalhadores não é, de uma maneira geral, considerado válido, pois raramente poderá ser dado em condições de liberdade, atendendo ao desequilíbrio de poder entre as partes.

      
      

      5. Direitos dos titulares

      5.1 Existe alguma minuta ou um texto-tipo para informar os titulares dos dados dos seus direitos?

        Atualmente não existem minutas oficiais, mas a CNPD não exclui a possibilidade de vir a disponibilizar alguns textos padrão, quando em causa estiverem tratamentos de dados pessoais mais simples.

        De qualquer forma, o EPD-UC disponibiliza na sua página oficial, a todos os trabalhadores da organização, um conjunto de minutas elaboradas para situações específicas.

        
        

        6. Videovigilância

        6.1 Quero instalar/renovar um sistema de videovigilância para proteção de pessoas e bens. Como devo proceder?

        Com o RGPD, já não é necessário pedir autorização à CNPD para ter um sistema de videovigilância. Assim, já não é preciso preencher qualquer formulário ou pagar taxa, nem prestar qualquer informação desta natureza à CNPD.

        No entanto, para poder instalar um sistema de videovigilância tem de se atender a vários requisitos legais, que incluem, além do RGPD, a Lei n.º 34/2013 de 16 de maio, que regula a atividade de segurança privada, as disposições do Código do Trabalho, o disposto no art.º 19.º da Lei 58/2019, de 8 de agosto, e outra legislação aplicável a cada situação em concreto.

        

        6.2 As autorizações de videovigilância emitidas antes de 25 de maio continuam válidas?

        Sim, em tudo o que não contrariem o disposto no RGPD e/ou na Lei n.º 58/2019 (art.º 19.º). Os responsáveis pelo tratamento devem cumprir as condições estabelecidas nas autorizações para o tratamento de dados pessoais através de videovigilância.

        

        6.3 Quero acrescentar o número de câmaras que estão referidas na autorização da CNPD. Como fazer?

        Não é necessário realizar qualquer notificação ou comunicação à CNPD, devendo as imagens captadas respeitar o disposto no art.º 19º da Lei 58/2019. No entanto, qualquer colocação de câmaras em locais não abrangidos pela autorização, originará a caducidade desta. 

        De acordo com o RGPD, compete ao responsável pelo tratamento analisar previamente se o tratamento de dados pessoais, decorrente da utilização de um sistema de videovigilância, cumpre os requisitos do RGPD e demais legislação aplicável.

        

        6.4 Quais são os locais onde não posso pôr câmaras?

        A instalação de videovigilância tem por objetivo a proteção de pessoas e bens, seja pelo seu potencial efeito dissuasor, seja para permitir a identificação do perpetrador em processo criminal. Por isso, a colocação das câmaras deve ter em conta a estrita necessidade de manter um perímetro de segurança e de controlar os acessos a partir do exterior, de modo adequado às circunstâncias do local e proporcionado para não restringir excessivamente os direitos dos cidadãos.

        Assim, as câmaras não deverão abranger, designadamente, áreas de espera em consultório médico, zonas de descanso ou lazer, o interior dos elevadores, salas de aula, salas de refeições, esplanadas, vestiários, interior e acessos a casas de banho, interior de ginásios.

        Na colocação das câmaras, deve ser tido especial cuidado para que estas não permitam captar imagens da digitação de códigos de segurança em terminais de pagamento. 

        As câmaras não podem incidir sobre a via pública ou a propriedade de terceiros.

        Nos termos da redação do n.º 3 do art.º 19.º da Lei 58/2019, “nos estabelecimentos de ensino, as câmaras de videovigilância só podem incidir sobre os perímetros externos e locais de acesso, e ainda sobre espaços cujos bens e equipamentos requeiram especial proteção, como laboratórios ou salas de informática.”

        

        6.5 Quais são as condições para ter videovigilância no local de trabalho (armazém, oficina, escritório, fábrica, etc.)?

        No contexto laboral, mantêm-se vigentes as condições impostas pelo Código do Trabalho para a vigilância à distância, à exceção da necessidade de solicitar autorização da CNPD, que é incompatível com o RGPD.

        Assim, a videovigilância não pode ser usada para controlo do desempenho dos trabalhadores, não devendo, por isso, incidir regularmente sobre estes, o que exclui a abrangência das áreas de laboração, seja em linha de produção, armazém ou trabalho administrativo em escritório.

        Os trabalhadores têm de ser informados sobre a existência do sistema de videovigilância, bem como de todas as questões relevantes quanto ao seu funcionamento.

        

        6.6 Além da imagem, é possível proceder à captação de som?

        Nos casos em que é admitida a videovigilância, é proibida a captação de som, exceto no período em que as instalações estejam encerradas, isto é, sem pessoas a trabalhar nas zonas vigiadas, ou mediante autorização prévia da CNPD (art.º 19.º, n.º 4, da Lei 58/2019).

        

        6.7 Continua a ser necessário afixar o aviso informativo?

        Sim. Os titulares dos dados têm o direito a ser informados sobre a utilização de sistemas de videovigilância. O aviso informativo deve respeitar o previsto no art.º 31.º, n.º 5, da Lei n.º 34/2013, de 16 de maio.

        

        6.8 Durante quanto tempo tenho de conservar as imagens de videovigilância?

        Em conformidade com a Lei n.º 34/2013, de 16 de maio, deve conservar as imagens pelo período de 30 dias. Isto sem prejuízo de ser necessário manter as imagens por mais tempo, no âmbito de processo criminal em curso.

        

        6.9 No Perímetro exterior, o sinal aviso identificativo da existência de videovigilância tem que estar junto da cada câmara mesmo que existam várias câmaras no mesmo local? 

        O sinal aviso tem apenas de estar visível no local onde estão instaladas as câmaras.

        

        6.10 No interior dos edifícios, tem de existir um sinal identificativo junto a cada câmara ou basta existir um único sinal junto dos acessos aos edifícios?

        O sinal aviso tem apenas de estar visível junto dos acessos.

        
        

        7. Computadores pessoais

        7.1 Posso ter dados pessoais de alunos, funcionários e candidatos no meu computador pessoal?

        Sim, desde que seja para o estrito cumprimento das suas funções profissionais (e.g. elaboração de uma pauta).

        

        7.2 Tenho dados pessoais de alunos, funcionários ou candidatos no meu computador pessoal, como devo proceder?

        Os dados pessoais dos alunos, funcionários ou candidatos devem permanecer nos computadores pessoais o tempo indispensável à realização da tarefa legítima, após o qual devem ser apagados.

        Durante o tempo em que permanecem no computador pessoal, o funcionário deve assegurar-se que o seu computador cumpre todas as regras básicas de segurança.

        Opcionalmente, o utilizador poderá cifrar os ficheiros com dados pessoais, com a ajuda de programas como o WinRAR e o 7-Zip, que sendo de utilização livre permitem comprimir e cifrar um conjunto de ficheiros com uma password.

        

        7.3 Quais as regras básicas de segurança que devo seguir para assegurar a proteção dos dados pessoais temporariamente armazenados no meu computador pessoal?

        Sem prejuízo de outras, devem ser asseguradas as seguintes regras:

        A senha de acesso ao computador deve possuir uma dimensão mínima de 8 caracteres, deve ser memorizável, para que não tenha que ser escrita noutro local, mas não deve resultar de uma palavra ou de um conjunto de palavras;

        Recomenda-se o uso de frases para facilitar a memorização, sendo que estas podem ser utilizadas diretamente (tendo como resultado senhas muito longas), ou escolhendo algumas letras de cada palavra (e.g. as duas/três primeiras/últimas letras de cada palavra);

        O computador deve possuir todas as atualizações de segurança mais recentes;

        O computador não deve ter instalado software para além do software aprovado pela Universidade;

        Devem ser seguidas as regras de prudência no seguimento de hiperligações recebidas por meios não solicitados (e.g. por email). As hiperligações recebidas por email são o mecanismo mais comum para ataque a computadores pessoais;

        
        

        8. Dados recolhidos

        8.1 Porque é que a Universidade necessita de saber toda a informação que pede aos alunos, e.g. o nome do pai e nome da mãe, etc.?

        A maioria desses dados são necessários para responder a inquéritos oficiais como o RAIDES. De forma a cumprir este desiderato, a UC mantém esta informação durante todo o tempo de permanência do aluno na Universidade e por mais dois anos, após a sua última inscrição.

        

        8.2 Qual o tratamento dado aos dados pessoais dos candidatos que não concretizam a sua inscrição na UC?

        Os candidatos que não se transformam em alunos, seja porque não foram aceites, seja porque desistem antes de iniciar, seja porque o procedimento se esgota no final da candidatura, têm os seus dados pessoais eliminados no final do período necessário para garantir os prazos de reclamação, com exceção dos dados de faturação, caso tenha existido pagamentos, que são eliminados findo o prazo legal.

        

        8.3 Qual a necessidade de recolher dados pessoais dos trabalhadores?

        Os dados pessoais dos trabalhadores recolhidos pelas unidades orgânicas e serviços da UC, são obrigatórios no âmbito do emprego na função pública.

        

        8.4 A utilização de informação biométrica para controlo da assiduidade é legal no âmbito do RGPD?

        Sim, a utilização é legal desde que a recolha da informação biométrica tenha sido efetuada de forma legítima. A legitimidade das recolhas depende da legislação em vigor à data da respetiva recolha. Anteriormente à entrada em vigor do RGPD as recolhas eram legítimas desde que o sistema de controlo de assiduidade tivesse sido registado na Comissão Nacional de Proteção de Dados. Após a entrada em vigor do RGPD, a recolha é legítima se tiver o consentimento do trabalhador.

        

        8.5 O que devo fazer quando tomar conhecimento de que os dados que me foram confiados estão na posse de terceiros?

        O RGPD tem medidas muito claras relativamente a estes casos. Existem prazos para comunicar ao Encarregado da Proteção de Dados, que por sua vez, terá que informar a Comissão Nacional de Proteção de Dados num máximo de 72h, após a tomada de conhecimento de que os dados foram comprometidos. Se a violação do RGPD puder afetar significativamente o titular dos dados, poderá ser necessário informá-lo(s).

        

        8.6 Como eliminar dados pessoais?

        O RGPD não faz distinção pelo suporte (papel ou digital). Em todos os casos é necessário assegurar a efetiva destruição dos dados. Se os dados estiverem em papel, deve ser usada uma destruidora de papel. CDs/DVDs devem também ser efetivamente destruídos. Num computador depois de apagados, é importante assegurar que os ficheiros são igualmente destruídos do "Recycle Bin".

        
        

        9. Dados enviados para outras Unidades Orgânicas

        9.1 Podem ser enviados regularmente dados pessoais de alunos, funcionários ou candidatos para entidades internas à Universidade?

        Em regra todas as trocas de dados pessoais dentro da Universidade de Coimbra são permitidas desde que sejam legítimas, i.e. tenham como objetivo o cumprimento da função da Universidade. De facto, no âmbito do RGPD, o envio de informação pessoal entre unidades orgânicas não é diferente da troca de dados pessoais entre funcionários dentro da mesma unidade orgânica. Em ambos os casos a troca de informação deverá ser legítima, controlada e transparente.

        No entanto, como a troca de informação entre unidades orgânicas implica uma perda de controlo, em regra, todas as trocas de dados pessoais entre unidades orgânicas devem ser comunicadas ao EPD.

        
        

        10. Publicação de dados

        10.1 As pautas podem ser publicadas?

        Sim, mas apenas nos locais indicados para o efeito e com as restrições adequadas. As classificações dos alunos são dados pessoais e por isso não são públicos. No entanto, a bem da transparência, as avaliações podem e devem ser conhecidas pelos colegas de avaliação.

        
        

        11. Emails

        11.1 O que é um email institucional?

        Um email institucional é um email que foi criado por uma instituição (e.g. unidade orgânica, serviços de ação social, instituto de investigação) para comunicar com as pessoas que dela fazem parte.

        

        11.2 Um email institucional pode ser um email com um domínio externo à organização?

        Sim, pode ter domínio externo à organização, se for o titular do email a fornecer explicitamente esse email para ser usado em substituição do email institucional.

        

        11.3 O email institucional é um dado pessoal?

        Sim, em regra todos os emails são dados pessoais, exceto aqueles que nomeiam cargos ou organizações.

        

        11.4 O email profissional é um dado pessoal?

        Se esse email apresentar elementos que possam identificar uma pessoa singular então representa um dado pessoal e deve ser protegido com os mecanismos adequados.

        

        11.5 Posso enviar emails para listas de funcionários e alunos através dos seus emails institucionais?

        Sim, podem ser utilizados os emails de funcionários e alunos, desde que no âmbito da missão da UC, ficando arredados dessa divulgação por exemplo os eventos não profissionais ou não académicos, respetivamente. Para o uso do email institucional para estes fins, será necessário obter consentimento informado do titular.

        

        11.6 Posso enviar emails para listas de email genéricas que possuo na minha instituição?

        Pode, mas apenas se tiver o consentimento informado do titular do email.

        

        11.7 Como posso obter o consentimento informado para utilizar um email para fins de divulgação?

        Aquando da criação do email institucional ou aquando da obtenção do email, o titular deverá ter a opção de aceitar ou não a utilização do email para fins de divulgação ou quaisquer outros fins para que se pretenda obter consentimento.

        
        

        12. Cloud

        12.1 Tenho dados pessoais armazenados em Cloud públicas, como devo proceder?

        Os dados pessoais não devem ser mantidos em Cloud públicas, como a Dropbox, o Google Docs ou o Office365. Caso seja absolutamente necessário manter essa informação na Cloud pública então esta deve estar cifrada (e.g. WinRAR, 7-Zip).

        

        12.2 Uso documentos online de uma Cloud pública (e.g. Google Docs, Office365) para processar dados pessoais de alunos, funcionários ou candidatos (e.g. preenchimento cooperativo de pautas), posso continuar a fazê-lo?

        As Cloud públicas não devem ser usadas para processar dados pessoais, pois não é garantido o respeito pelo RGPD. Em vez disso deverá usar-se a versões contratualizadas dos mesmos produtos, por exemplo a licença Google Docs for Education, o a licença Microsoft Office365 que a grande maioria das escolas possuem no âmbito do Microsoft Campus Agreement. Tal implica a utilização das contas de utilizadores associadas à universidade.

        
        

        13. Dados enviados para entidades terceiras

        13.1 Posso enviar regularmente dados pessoais de alunos, funcionários ou candidatos, para entidades externas à Universidade?

        Estas trocas podem ser feitas desde que exista uma obrigação legal para o fazer ou tenha obtido autorização dos titulares dos dados para tal.

        Em regra, todas as trocas periódicas de dados pessoais com entidades terceiras à Universidade devem ser comunicadas ao Encarregado de Proteção de Dados da sua Instituição.

        De forma geral os dados pessoais enviados no âmbito de procedimentos de inquérito para fins estatísticos de âmbito nacional (e.g. RAIDES, REBIDES) são obrigatórios por lei.

        

        
        

        14. Subcontratação

        É possível ser outra entidade a efetuar o tratamento de dados em nome da minha organização?

        É possível ser outra entidade a efetuar o tratamento de dados, em nome da minha organização?

        Uma entidade (singular ou coletiva) pode efetuar o tratamento de dados pessoais em nome de uma outra entidade, desde que exista um contrato ou outro ato jurídico. É importante que o subcontratante nomeado apresente garantias suficientes para a aplicação de medidas técnicas e organizativas destinadas a assegurar que o tratamento dos dados cumprirá as normas do Regulamento Geral de Proteção de Dados e proteja os direitos das pessoas.

        O subcontratante nomeado não pode, posteriormente, nomear outro subcontratante sem a autorização prévia da entidade que o subcontratou, específica ou geral, por escrito. O contrato ou ato jurídico celebrado entre uma empresa/organização e o subcontratante deve incluir os seguintes elementos:

        
        • o tratamento só pode ser efetuado com base em instruções documentadas do responsável pelo tratamento;
        • o subcontratante garante que as pessoas autorizadas a efetuar o tratamento de dados pessoais assumiram um compromisso de confidencialidade ou se encontram sujeitas a uma obrigação legal de confidencialidade adequada;
        • o subcontratante deve oferecer um nível mínimo de segurança definido pelo responsável pelo tratamento;
        • o subcontratante deve ajudá-lo a garantir a conformidade com o RGPD.
        
        

        Referências:

        www.cnpd.pt

        www.phcsoftware.com/business-at-speed/rgpd-as-19-respostas-ainda-precisa-saber/

        www.psp.pt/depsegurancaprivada/Pages/faq/faq.aspx?filter=Sistema+de+Videovigilancia

        http://portal3.ipb.pt/index.php/pt/ipb/quem-somos/acao-social/129-proteccao-de-dados/1012-home-proteccao-de-dados-perguntas-frequentes