a carregar...

UC.PT

Proteção de dados

Perguntas Frequentes



1. Dados pessoais

1.1 O que são dados pessoais?

“Informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.”



1.2 Em que consiste o tratamento de dados?

Trata-se de “uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.”



1.3 O que é a anonimização de dados?

É a conversão irreversível de dados privados em dados não identificáveis e, consequentemente, extrai esses dados completamente do âmbito do RGPD. Isso pode ser conseguido quer através da substituição dos dados, quer pela redução da granularidade e por isso usa critérios para classificar os sujeitos num grande grupo de pessoas, em vez de um indivíduo específico.


1.4 O que é a pseudo-anonimização de dados?
É um processo semelhante ao de anonimização, mas permite o processo de inversão (tornar a re-identificação do sujeito de dados possível), ficando deste modo abrangidos pelo RGPD. Os dados deixam de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente.


1.5 O que são "categorias especiais de dados pessoais"?

O Art. 9º do RGPD aplica restrições ainda mais severas ao tratamento de categorias especiais de dados pessoais, definidas como: "dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa. ". Todos estes dados têm restrições adicionais de tratamento pelo que se recomenda a leitura atenta das secções respetivas do RGPD.

Dados Genéticos são definidos como: "Os dados pessoais relativos  às características genéticas,  hereditárias ou adquiridas, de uma pessoa  singular que deem informações únicas sobre  a fisiologia ou a saúde dessa pessoa singular  e que resulta designadamente de uma análise de uma amostra  biológica proveniente da pessoa singular em causa" (RGPD, Artº 4, nº 13)

Dados biométricos são definidos como "Dados pessoais resultantes de um tratamento técnico específico relativo às características físicas, fisiológicas ou comportamentais de uma pessoa singular que permitam ou confirmem a identificação única dessa pessoa singular, nomeadamente imagens faciais ou dados dactiloscópicos" (RGPD, Art. 4º, nº 14)

Dados relativos à saúde são definidos como "Dados pessoais relacionados com a saúde física ou mental de uma pessoa singular, incluindo a prestação de serviços de saúde, que revelem informações sobre o seu estado de saúde"(RGPD, Art. 4º, nº 15).




2. Regulamento Geral de Proteção de Dados (RGPD)

2.1 O que é o Regulamento Geral de Proteção de Dados (RGPD)?É um diploma que entrou na nossa ordem jurídica em 25 de maio de 2018, através do Regulamento (EU) 2016/679, do Parlamento Europeu e do Conselho de 27 de abril de 2016, que pretende responder aos desafios colocados pela revolução tecnológica ocorrida nas últimas décadas e proteger melhor os dados sobre as pessoas, os direitos dos cidadãos da EU e a livre circulação de dados.


2.2 Porquê a necessidade de um novo enquadramento jurídico?A quantidade de dados armazenados e transacionados, estruturados e não estruturados, não limitados às fronteiras, aumentou e aumentará exponencialmente nos próximos anos, pelo que a recolha e utilização dos dados pessoais é uma preocupação cada vez maior dos titulares dos dados e das organizações, obrigando por isso à introdução de um enquadramento jurídico mais rigoroso.

Para estar em conformidade com o RGPD, é fundamental que as organizações percebam que informação pessoal possuem, para que a utilizam, onde e como a armazenam e que sistemas tecnológicos, modelos organizativos e processos é que vão ter de alterar.

O RGPD tem como principais objetivos que o cidadão recupere o controlo sobre os seus dados pessoais, nomeadamente através de novos direitos, como aceder, alterar, transferir, apagar ou solicitar a sua informação na qualidade de titular dos dados.


2.3 Quais são as principais novidades?


· Maior amplitude do conceito de dados pessoais - Passa a incluir, nomeadamente, dados de localização e identificadores por via eletrónica (como endereços IP, cookies). Para além disso, passam a existir definições precisas no que respeita a “perfis”, "pseudonimização", "dados genéticos", "dados biométricos e "dados relativos à saúde".

· Direito ao esquecimento (apagamento), direito de portabilidade dos dados, direito ao consentimento e direito de oposição ao profiling - Os titulares dos dados passam a ter o direito a requerer a eliminação dos seus dados pessoais mediante determinadas circunstâncias. Passam, também, a poder transferir os seus dados de um responsável pelo tratamento para outro responsável e as organizações ficam obrigadas a fornecer ao titular dos dados, num formato de uso corrente e de leitura automática, os dados que aquele lhe tenha transmitido. Passam igualmente a gozar de regras mais exigentes para o consentimento (que pode ser retirado a qualquer momento) e também ao direito de se oporem ao profiling (processamento de informação, com o objetivo de avaliar e tipificar indivíduos com base nos seus dados pessoais).

· Reforço das obrigações das organizações - Para além da obrigação de adoção de políticas e procedimentos de segurança de dados, como a pseudonimização ou a cifragem de dados, é criada a figura do Data Protection Officer (DPO) / Encarregado de Proteção de Dados (EPD).

· Regras especiais para menores - O RGPD prevê a impossibilidade de menores, com idade inferior a 16 anos, prestarem o seu consentimento para tratamentos de dados em serviços online, ficando, no entanto, ao critério de cada Estado-membro determinar se os jovens com idades compreendidas entre os 13 e 16 anos poderão ter acesso a serviços online.

· Obrigação de comunicar quebras de segurança - As empresas passarão a estar obrigadas a notificar os casos de violação de dados pessoais às autoridades competentes e aos próprios titulares dos dados.

· Accountability - Desaparece a obrigação de notificação/autorização à CNPD, tornando-se esta um órgão fiscalizador. Há uma mudança de paradigma, que obriga os responsáveis pelo tratamento de dados de serem capazes de, a qualquer momento, demonstrar o cumprimento das exigências previstas no RGPD.

· Encarregado de Proteção de Dados (EPD) - As autoridades e organismos públicos estão obrigados a contratar/nomear um EPD, o qual deve ter conhecimentos especializados no domínio do direito e das práticas da proteção de dados, considerando que a sua principal função é controlar o cumprimento das regras do novo Regulamento pela empresa.



2.4 A quem se aplica?

A todas as pessoas singulares e coletivas que efetuem tratamento de dados pessoais a residentes da UE, mesmo que estejam sediadas fora dela.



2.5 É necessário fazer a transposição do regulamento?

O Regulamento não necessita de transposição. É diretamente aplicável a todos os Estados Membros em simultâneo.



2.6 Podem-se efetuar transferências de dados para fora da UE?

As transferências de dados são proibidas para fora da UE, exceto se reunidas algumas condições.



2.7 A quem é que os cidadãos se podem queixar do incumprimento no tratamento dos seus dados?

A autoridade nacional de controlo responsável por assegurar que as regras contidas no documento são cumpridas é a CNPD.



2.8 Quem é que controla a forma como os dados pessoais são tratados dentro das empresas ou outras entidades?

O RGPD introduz a figura do encarregado da proteção de dados. A figura é obrigatória para todas as entidades públicas e para as entidades privadas que tratam dados em larga escala ou dados sensíveis vão ter que ter um responsável deste tipo. É com este encarregado que os cidadãos devem interagir para saber como os seus dados são tratados ou para exercer o direito ao esquecimento ou acesso aos seus dados. Segundo o regulamento, é função deste encarregado, entre outras coisas, informar e aconselhar o responsável pelo tratamento dos dados sobre as suas obrigações, prestar aconselhamento sobre as políticas da proteção de dados pessoais, cooperar com a autoridade de controlo e servir de ponto de contacto entre a entidade que faz o tratamento dos dados e a autoridade nacional. 



2.9 Quais são as consequências para quem não cumpre as regras?

A não conformidade com o RGPD, pode conduzir a multas até 20.000.000€ ou 4% da faturação global da empresa (consoante o montante mais elevado).



2.10 O que é que acontece se houver um problema e os dados ficarem comprometidos?

As entidades têm até 72 horas para comunicar à CNPD eventuais violações de dados pessoais. Se essa violação for considerada de alto risco para os direitos e liberdades dos cidadãos e se esse risco não tiver sido mitigado, então o indivíduo também tem o direito a ser informado dessa fuga. É possível apresentar uma queixa à CNPD e se tiver sofrido um prejuízo pode intentar uma ação judicial a pedir uma indemnização.



2.11 É possível pedir indemnizações pelo mau uso dos dados?

Sim, caso a empresa ou entidade não tenha respeitado as leis da proteção de dados e, na sequência disso, o cidadão tenha sofrido prejuízos materiais ou de outro tipo, nomeadamente, danos de reputação.




3. Relação entre a Lei Nacional de Proteção de Dados Pessoais e o RGPD

3.1. Para que serve a nova lei de proteção de dados pessoais (Lei n.º 58/2019), uma vez que o RGPD, por ser um Regulamento, é de aplicação direta em Portugal?

A Lei n.º 58/2019 de 8 de agosto, é a nova Lei de Proteção de Dados, que assegura a execução, na ordem jurídica portuguesa do Regulamento (UE) 2016/679 RGPD. Entrou em vigor no dia 9 de agosto, revoga a anterior lei de proteção de dados pessoais (Lei 67/98).

Há três grupos de razões para a existência desta nova Lei, designadamente:


Um: o RGPD dá aos Estados-Membros margem de manobra, em algumas questões, para estes legislarem sobre essas matérias, tais como dados especialmente protegidos e tratamento de dados dos trabalhadores, idade mínima de menores, etc., o que aconteceu através da presente lei. 

Dois: cada Estado-Membro dever nomear, através de ato legislativo, a autoridade de controlo encarregue da fiscalização da aplicação do RGPD. Através da presente lei a Assembleia da República nomeou a CNPD como entidade de controlo. 

Três: entendem alguns autores que as contraordenações e os crimes são matéria da exclusiva competência da Assembleia da República. Assim, as normas do RGPD sobre as contraordenações não são diretamente aplicáveis, daí a necessidade de serem transpostas por ato legislativo nacional.

Entrou também em vigor uma lei específica de proteção de dados para os tratamentos efetuados por autoridades competentes para a deteção, prevenção, investigação e repressão de infrações penais e para a execução de sanções penais – Lei 59/2019, de 8 de agosto.

Estes três instrumentos legais (RGPD, Lei 58/2018 e Lei 59/2019) constituem a nova legislação de proteção de dados pessoais.


3.2. Quais são as principais alterações introduzidas pela nova Lei?
De entre os vários aspetos regulados, destacam-se as seguintes novidades:

I. Autoridade de Controlo (Capítulo II, artigos 3.º a 8.º)

- A Comissão Nacional de Proteção de Dados (CNPD) é designada como a autoridade de controlo nacional para efeitos do RGPD e da lei que agora entra em vigor (Alteração e Republicação da Lei n.º 43/2004, de 18 de agosto).

- Prevê-se a cooperação com o Instituto Português de Acreditação, I. P. (IPAC, I. P.) em matéria de acreditação dos organismos de certificação em sistemas de proteção de dados.

- Reforça-se que compete à CNPD fomentar a elaboração de códigos de conduta que regulem atividades determinadas, os quais devem tomar em atenção as necessidades específicas das micro, pequenas e médias empresas.

- Refere-se que a CNPD difunde uma lista de tipos de tratamentos de dados cuja avaliação prévia de impacto não é obrigatória, mas não impede os responsáveis pelo tratamento de efetuar uma avaliação prévia de impacto por iniciativa própria.

- Obriga-se as entidades públicas e privadas a colaborar com a CNPD, quando esta tiver necessidade, para o cabal exercício das suas funções, de examinar o sistema informático e os ficheiros de dados pessoais, bem como toda a documentação relativa ao tratamento e transmissão de dados pessoais.

II. Funções do Encarregado de Proteção de Dados (Capítulo III, artigos 9.º a 13.º)

- Para além das funções que são confiadas ao EPD, nos termos do disposto no RGPD, cabem-lhe ainda as seguintes funções:



a) assegurar a realização de auditorias, quer periódicas, quer não programadas de proteção de dados;

b) sensibilizar os utilizadores para a importância da deteção atempada de incidentes de segurança e para a necessidade de informar imediatamente o responsável pela segurança;

c) assegurar as relações com os titulares dos dados nas matérias abrangidas pelo RGPD e pela legislação nacional em matéria de proteção de dados.

- Refere-se que o encarregado de proteção de dados, bem como os responsáveis pelo tratamento de dados, incluindo os subcontratantes, e todas as pessoas que intervenham em qualquer operação de tratamento de dados, estão obrigados a um dever de confidencialidade que acresce aos deveres de sigilo profissional previsto na lei.

III. Disposições especiais - consentimento de menores, proteção de pessoas falecidas, portabilidade e interoperabilidade, videovigilância, dever de segredo, prazo de conservação, transferências de dados e tratamento de dados pessoais por entidades públicas para finalidades diferentes (Capítulo V, art.º 16.º a 23.º)

- Refere-se que o consentimento de menores relativo à oferta direta de serviços da sociedade de informação só é admissível quando os menores já tenham completado 13 anos de idade.

- Prevê-se a necessidade de proteção de dados pessoais especiais de pessoas falecidas.

- Clarifica-se que o direito de portabilidade dos dados, abrange apenas os dados fornecidos pelos respetivos titulares.

- Esclarece-se que, sempre que a interoperabilidade dos dados entregues à Administração Pública não seja tecnicamente possível, o titular dos dados tem o direito de exigir que os mesmos lhe sejam entregues num formato digital aberto, de acordo com o Regulamento Nacional de Interoperabilidade Digital em vigor.

- Impõe regras e limites na utilização de Videovigilância (ver ponto 6)

- Clarifica algumas dúvidas em relação ao prazo de conservação de dados pessoais, como os dados relativos a declarações contributivas para efeitos de aposentação ou reforma, que podem ser conservados sem limite de prazo.

IV. Situações específicas de tratamento de dados pessoais – liberdade de expressão, publicação em jornal oficial, Acesso a documentos administrativos, publicação de dados no âmbito da contratação pública, relações laborais, tratamento de dados de saúde e dados genéticos, bases de dados ou registos centralizados de saúde, tratamentos para fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins estatísticos (Capítulo VI, artigos 24.º a 31.º)

- A proteção de dados pessoais não prejudica o exercício da liberdade de expressão, informação e imprensa, incluindo o tratamento de dados para fins jornalísticos e para fins de expressão académica, artística ou literária, mas não legitima a divulgação de dados pessoais como moradas e contactos, à exceção daqueles que sejam de conhecimento generalizado.

- Sempre que o dado pessoal «nome» seja suficiente para garantir a identificação do titular e a eficácia do tratamento, não devem ser publicados em jornais oficiais outros dados pessoais, sendo o responsável pelo tratamento a entidade que manda proceder à publicação.

- Caso seja necessária a publicação de dados pessoais, não devem ser publicados outros dados pessoais para além do nome, sempre que este seja suficiente para garantir a identificação do contraente público e do cocontratante.

- O tratamento de dados biométricos dos trabalhadores só é considerado legítimo para controlo de assiduidade e para controlo de acessos às instalações do empregador, devendo assegurar-se que apenas se utilizem representações dos dados biométricos e que o respetivo processo de recolha não permita a reversibilidade dos referidos dados.

- Estabelece-se que o consentimento do trabalhador não constitui requisito de legitimidade do tratamento dos seus dados pessoais:

a) se do tratamento resultar uma vantagem jurídica ou económica para o Trabalhador;
b) se esse tratamento for necessário para a execução de um contrato no qual o trabalhador seja parte, ou necessário para diligências pré-contratuais.

- Incluem-se requisitos de confidencialidade e sigilo associados ao tratamento de dados de saúde e dados genéticos. O titular dos dados deve ser notificado de qualquer acesso realizado aos seus dados pessoais, cabendo ao responsável pelo tratamento assegurar a disponibilização desse mecanismo de rastreabilidade e notificação.

- O tratamento para fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins estatísticos deve respeitar o princípio da minimização dos dados e incluir a anonimização ou a pseudonimização dos mesmos, sempre que os fins visados possam ser atingidos por uma destas vias.

V. Tutela administrativa, responsabilidade civil, tutela jurisdicional, representação dos titulares dos dados, legitimidade da CNPD (Capítulo VII, secção I, artigos 32.º a 36.º)

- Em termos de responsabilidade civil, indica-se que qualquer pessoa que tenha sofrido um dano devido ao tratamento ilícito de dados ou a qualquer outro ato que viole disposições do RGPD ou da lei nacional em matéria de proteção de dados pessoais, tem o direito de obter do responsável ou subcontratante a reparação pelo dano sofrido.

VI. Contraordenações (Capítulo VII, secção II a IV, art.º 37.º a 56.º)

- O legislador nacional introduz algumas novidades no regime das contraordenações. As contraordenações muito graves são punidas com coima:

a) de 5 000€ a 20 000 000€ ou 4% do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de grande empresa;
b) de 2 000€ a 2 000 000€ ou 4% do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de PME;
c) de 1 000€ a 500 000€, no caso de pessoas singulares.
- As contraordenações graves são punidas com coima:
a) de 2 500€ a 10 000 000€ ou 2% do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de grande empresa;
b) de 1 000€ a 1 000 000€ ou 2% do volume de negócios anual, a nível mundial, conforme o que for mais elevado, tratando-se de PME;
c) de 500€ a 250 000€, no caso de pessoas singulares.
- Esta Lei vem estabelecer como critérios de determinação da medida da coima, além dos previstos no RGPD, os seguintes:
a) A situação económica do agente, no caso de pessoa singular, ou o volume de negócios e o balanço anual, no caso de pessoa coletiva;
b) O caráter continuado da infração;
c) A dimensão da entidade, tendo em conta o número de trabalhadores e a natureza dos serviços prestados.

- Outra novidade inserida no diploma é a de estipular que, exceto em caso de dolo, a instauração de processo de contraordenação depende de prévia advertência do agente, por parte da CNPD, para cumprimento da obrigação omitida ou reintegração da proibição violada em prazo razoável.- O montante das coimas cobradas reverte em 60% para o Estado e em 40% para a CNPD.

- Apresenta-se lista dos crimes puníveis com pena de prisão como a utilização de dados de forma incompatível com a finalidade da recolha, o acesso indevido, o desvio de dados, a viciação ou destruição de dados, a inserção de dados falsos, violação do dever de sigilo e desobediência.

VII. Entidades Públicas (artigo 44.º e 59.º)

- No âmbito de aplicação das contraordenações, as coimas previstas no RGPD e na presente lei aplicam-se de igual modo às entidades públicas e privadas, mas as entidades públicas, mediante pedido devidamente fundamentado, podem solicitar à CNPD a dispensa da aplicação de coimas durante o prazo de três anos a contar da entrada em vigor da Lei 58/2019.

VIII. Legislação alterada e revogada (artigo 65.º e 66.º)

- Este diploma procede à alteração à Lei n.º 26/2016, de 22 de agosto, nomeadamente do artigo 6.º do regime de acesso à informação administrativa e ambiental e de reutilização dos documentos administrativos que passa a ter a seguinte redação:

«Artigo 6.º

[...]

9 — Sem prejuízo das ponderações previstas nos números anteriores, nos pedidos de acesso a documentos nominativos que não contenham dados pessoais que revelem a origem étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical, dados genéticos, biométricos ou relativos à saúde, ou dados relativos à intimidade da vida privada, à vida sexual ou à orientação sexual de uma pessoa, presume -se, na falta de outro indicado pelo requerente, que o pedido se fundamenta no direito de acesso a documentos administrativos.»

- A norma revogatória faz caducar a Lei n.º 67/98, de 26 de outubro, que transpõe para a ordem jurídica portuguesa a Diretiva 95/45/CE, do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção de pessoas singulares no que diz respeito ao tratamento dos dados pessoais e à livre circulação desses dados.

- São também revogados o n.º 3 do artigo 15.º e o n.º 2 do artigo 17.º da Lei n.º 43/2004, de 18 de agosto, alterada pela Lei n.º 55 -A/2010, de 31 de dezembro.



3.3 As deliberações-gerais da CNPD que contêm orientações mantêm a sua validade?

Mantêm-se válidos os princípios gerais aplicáveis aos tratamentos de dados e, nessa medida, as orientações da CNPD podem continuar a ser usadas como referência. No entanto, a CNPD irá proceder à sua atualização em conformidade com o novo quadro legal.



3.4 As autorizações emitidas pela Comissão Nacional de Proteção de Dados (CNPD) anteriores à aplicação do RGPD continuam válidas?

Sim, tudo o que não contrarie o disposto no RGPD, em particular no que diz respeito às condições de licitude dos tratamentos.



3.5 É necessário fazer algum registo na CNPD ou pedir autorização para tratar dados pessoais?

Não. A obrigação de notificação prévia de tratamentos de dados pessoais à CNPD desaparece com a aplicação do RGPD. Já não é necessário solicitar autorização à CNPD para realizar tratamentos de dados pessoais abrangidos pelo RGPD.




4. Consentimento

4.1 Qual a importância de consentir o tratamento dos meus dados?

O consentimento é uma das situações que torna legal o tratamento dos dados pessoais. Um dos aspetos fundamentais deste regulamento é a forma como este consentimento tem que ser obtido. Tem que ser livre, específico para uma determinada finalidade, explícito e informado — o que implica conhecimento de todos os dados pessoais objeto de tratamento. O pedido de consentimento deve ser apresentado “de forma clara e concisa, utilizar linguagem que é fácil de entender e ser distinguível de outras informações como os termos e condições”, detalha a Comissão Europeia. Esse documento deve incluir o tipo de uso que será feito aos dados e incluir detalhes de contacto da empresa que vai processar essa informação.



4.2 O que mudou no consentimento?

Até agora o consentimento podia ser tácito, ou seja, incluído numa longa lista de termos e condições que raramente as pessoas liam. Isso deixa de ser válido. Se um tratamento de dados foi autorizado com base num consentimento que não cumpre as novas regras, a entidade que trata esses dados vai ter que pedir novamente esse consentimento.



4.3 É obrigatório pedir outra vez o consentimento aos meus utentes/clientes para tratar os seus dados?

    Antes de mais, deve verificar-se se o consentimento do titular é o fundamento de legitimidade adequado quando está em causa uma relação contratual com um utente/cliente, uma vez que o tratamento de dados necessário à execução de um contrato não precisa do consentimento do utente/cliente.  

    Se o que estiver em causa for um tratamento de dados pessoais adicionais em relação ao contrato, então se o consentimento que obteve anteriormente foi dado de forma implícita, é preciso pedir um novo consentimento ao titular dos dados nas condições exigíveis pelo RGPD. 

    O consentimento tem de ser explícito, isto é, a pessoa tem de manifestar a sua vontade em autorizar. Tem também de prestar as informações que vêm referidas no artigo 13.º do RGPD, adequadas ao seu caso concreto, não se esquecendo de informar o titular dos dados de que pode revogar o consentimento a todo o momento e indicando o meio como o pode fazer.  

    O consentimento tem ainda de ser específico, devendo ser diferenciado, por exemplo, quando haja utilização de dados para fins distintos ou quando haja comunicação de dados a terceiros, e acompanhado sempre da informação necessária relativa a cada situação.  Também não é possível fazer depender a execução de um contrato do consentimento do titular dos dados.

    

    4.4 É preciso obter o consentimento dos trabalhadores no âmbito da gestão administrativa ou de processamento de remunerações?

      Não. Os tratamentos de dados pessoais, no âmbito da gestão dos recursos humanos, têm como fundamentos de legitimidade a execução do contrato de trabalho e a lei.  O consentimento dos trabalhadores não é de uma maneira geral considerado válido, pois raramente poderá ser dado em condições de liberdade, atendendo ao desequilíbrio entre as partes.

      
      

      5. Direitos dos titulares

      5.1 Existe alguma minuta ou um texto-tipo para informar os titulares dos dados dos seus direitos?

        Neste momento não, mas a CNPD não exclui a possibilidade de vir a disponibilizar alguns textos padrão, quando em causa estiverem tratamentos de dados pessoais mais simples.

        
        

        6. Videovigilância

        6.1 Quero instalar/renovar um sistema de videovigilância para proteção de pessoas e bens. Como devo proceder?

        Com o novo regulamento europeu de proteção de dados, já não é necessário pedir autorização à CNPD para ter um sistema de videovigilância. Assim, já não é preciso preencher qualquer formulário ou pagar taxa, nem é preciso comunicar nada à CNPD.

        No entanto, para poder instalar um sistema de videovigilância tem de atender a vários requisitos legais, que incluem, além do RGPD, a Lei n.º 34/2013 de 16 de maio, que regula a atividade de segurança privada, as disposições do Código do Trabalho, o disposto no art.º 19.º da Lei 58/2019, de 8 de agosto, e outra legislação aplicável a cada situação em concreto.

        

        6.2 As autorizações de videovigilância emitidas antes de 25 de maio continuam válidas?

        Sim, em tudo o que não contrariem o disposto no RGPD e/ou na Lei n.º 58/2019 (artigo 19.º). Os responsáveis pelo tratamento devem cumprir as condições estabelecidas nas autorizações para o tratamento de dados pessoais através de videovigilância.

        

        6.3 Quero acrescentar o número de câmaras que estão referidas na autorização da CNPD. Como fazer?

        Já não é necessário realizar nenhuma notificação ou comunicação à CNPD. Se colocar câmaras em locais não abrangidos pela autorização, esta ficará desatualizada (caduca). De qualquer forma, deve ter atenção para que as imagens captadas devem respeitar o disposto na Lei 58/2019 (art.º 19.º).

        De acordo com o RGPD, é o responsável pelo tratamento que deve analisar previamente se o tratamento de dados pessoais, decorrente da utilização de um sistema de videovigilância, cumpre os requisitos do RGPD e de outra legislação nacional que seja aplicável.

        

        6.4 Quais são os locais onde não posso pôr câmaras?

        A instalação de videovigilância tem por objetivo a proteção de pessoas e bens, seja pelo seu potencial efeito dissuasor, seja para permitir a identificação do perpetrador em processo criminal. Por isso, a colocação das câmaras deve ter em conta a estrita necessidade de manter um perímetro de segurança e de controlar os acessos a partir do exterior, de modo adequado às circunstâncias do local e proporcionado para não restringir excessivamente os direitos dos cidadãos.

        Assim, as câmaras não deverão abranger, designadamente, áreas de espera em consultório médico, zonas de descanso ou lazer, o interior dos elevadores, salas de aula, salas de refeições, esplanadas, vestiários, interior e acessos a casas de banho, interior de ginásios.

        Na colocação das câmaras, deve ser tido especial cuidado para que estas não permitam captar imagens da digitação de códigos de segurança em terminais de pagamento. 

        As câmaras não podem incidir sobre a via pública ou a propriedade de terceiros.

        Nos termos da redação do n.º 3 do art.º 19.º da Lei 58/2019, “nos estabelecimentos de ensino, as câmaras de videovigilância só podem incidir sobre os perímetros externos e locais de acesso, e ainda sobre espaços cujos bens e equipamentos requeiram especial proteção, como laboratórios ou salas de informática.”

        

        6.5 Quais são as condições para ter videovigilância no local de trabalho (armazém, oficina, escritório, fábrica, etc.)?

        No contexto laboral, mantêm-se vigentes as condições impostas pelo Código do Trabalho para a vigilância à distância, à exceção da necessidade de solicitar autorização da CNPD, que é incompatível com o RGPD.

        Assim, a videovigilância não pode ser usada para controlo do desempenho dos trabalhadores, não devendo, por isso, incidir regularmente sobre estes, o que exclui a abrangência das áreas de laboração, seja em linha de produção, armazém ou trabalho administrativo em escritório.

        Os trabalhadores têm de ser informados sobre a existência do sistema de videovigilância, bem como de todas as questões relevantes quanto ao seu funcionamento.

        

        6.6 Além da imagem, é possível proceder à captação de som?

        Nos casos em que é admitida a videovigilância, é proibida a captação de som, exceto no período em que as instalações estejam encerradas, isto é, sem pessoas a trabalhar nas zonas vigiadas, ou mediante autorização prévia da CNPD (artigo 19.º, n.º 4, da Lei 58/2019).

        

        6.7 Continua a ser necessário afixar o aviso informativo?

        Sim. Os titulares dos dados têm o direito a ser informados sobre a utilização de sistemas de videovigilância. O aviso informativo deve respeitar o previsto no artigo 31.º, n.º 5, da Lei n.º 34/2013 de 16 de maio.

        

        6.8 Durante quanto tempo tenho de conservar as imagens de videovigilância?

        Em conformidade com a Lei n.º 34/2013 de 16 de maio, deve conservar as imagens pelo período de 30 dias. Isto sem prejuízo de ser necessário manter as imagens por mais tempo, no âmbito de processo criminal em curso.

        
        

        7. Computadores pessoais

        7.1 Posso ter dados pessoais de alunos, funcionários e candidatos no meu computador pessoal?Sim, desde que seja para o estrito cumprimento das suas funções profissionais (e.g. elaboração de uma pauta).
        

        7.2 Tenho dados pessoais de alunos, funcionários ou candidatos no meu computador pessoal, como devo proceder?Os dados pessoais dos alunos, funcionários ou candidatos devem permanecer nos computadores pessoais o tempo indispensável à realização da tarefa legítima, após o qual devem ser apagados.

        Durante o tempo em que permanecem no computador pessoal, o funcionário deve assegurar-se que o seu computador cumpre todas as regras básicas de segurança.

        Opcionalmente, o utilizador poderá cifrar os ficheiros com dados pessoais, com a ajuda de programas como o WinRAR e o 7-Zip, que sendo de utilização livre permitem comprimir e cifrar um conjunto de ficheiros com uma password.

        

        7.3 Quais as regras básicas de segurança que devo seguir para assegurar a proteção dos dados pessoais temporariamente armazenados no meu computador pessoal?Sem prejuízo de nenhuma outra, devem ser asseguradas as seguintes regras:

        A senha de acesso ao computador deve possuir uma dimensão mínima de 8 caracteres, deve ser memorizável, para que não tenha que ser escrita noutro local, mas não deve resultar de uma palavra ou de um conjunto de palavras;

        Recomenda-se o uso de frases para facilitar a memorização, sendo que estas podem ser utilizadas diretamente (tendo como resultado senhas muito longas), ou escolhendo algumas letras de cada palavra (e.g. as duas/três primeiras/últimas letras de cada palavra);

        O computador deve possuir todas as atualizações de segurança mais recentes;

        O computador não deve ter instalado software para além do software aprovado pela Universidade;

        Devem ser seguidas as regras de prudência no seguimento de hiperligações recebidas por meios não solicitados (e.g. por email). As hiperligações recebidas por email são o mecanismo mais comum para ataque a computadores pessoais;

        
        

        8. Dados recolhidos

        8.1 Porque é que a Universidade necessita de saber toda a informação que pede aos alunos, e.g. o nome do pai e nome da mãe, etc?

        A maioria desses dados são necessário para responder a inquéritos oficiais como o RAIDES. De forma a cumprir este desiderato a universidade mantém esta informação durante todo o tempo de permanência do aluno na Universidade e por mais dois anos após a sua última inscrição.

        

        8.2 Os candidatos a mestrados, doutoramento e outros programas perguntam-me o que fazemos com os dados pessoais deles caso a sua candidatura não seja aceite, o que devo responder?

        Os candidatos que não se transformam em alunos, seja porque não foram aceites, seja porque desistem antes de iniciar, seja porque o procedimento se esgota no final da candidatura, têm os seus dados pessoais eliminados ao fim do período necessário para garantir os prazos de reclamação, com exceção dos dados de faturação, caso tenha existido um pagamento, que só são eliminados findo o prazo legal.

        

        8.3 Os funcionários têm-me perguntado qual a necessidade de recolher os seus dados pessoais?

        Todos os dados pessoais recolhidos pelas unidades orgânicas da UC são obrigatórios no âmbito do emprego na função pública.

        

        8.4 A utilização de informação biométrica para controlo da assiduidade é legal no âmbito do RGPD?

        Sim, a utilização é legal desde que a recolha da informação biométrica tenha sido efetuado de forma legítima. A legitimidade das recolhas depende da legislação em vigor à data da respetiva recolha. Anteriormente à entrada em vigor do regulamento as recolhas são legítimas desde que o sistema de controlo de assiduidade tenha sido registado na Comissão Nacional de Proteção de dados. Após a entrada em vigor do regulamento a recolha é legítima se tiver o consentimento do trabalhador.

        

        8.5 O que devo fazer quando tomar conhecimento de que os dados que me foram confiados estão na posse de terceiros?

        O RGPD tem medidas muito claras relativamente a estes casos. Existem prazos para comunicar ao Encarregado da Proteção de Dados, que terá que informar a Comissão Nacional de Proteção de Dados num máximo de 72h após a tomada de conhecimento de que os dados foram comprometidos. Se a quebra poder afetar significativamente o titular dos dados, poderá ser necessário informá-lo(s).

        

        8.6 Como eliminar dados pessoais?

        O RGPD não faz distinção pelo suporte (papel ou digital). Em todos os casos é necessário assegurar a efetiva destruição dos dados. Se os dados estiverem em papel, deve ser usada uma destruidora de papel. CDs/DVDs devem também ser efetivamente destruídos. Num computador depois de apagados, é importante assegurar que os ficheiros são igualmente destruídos do "Recycle Bin".

        
        

        9. Dados enviados para outras Unidades Orgânicas

        9.1 Podem ser enviados regularmente dados pessoais, de alunos, funcionários ou candidatos para entidades internas à Universidade?

        Em regra todas as trocas de dados pessoais dentro da Universidade de Coimbra são permitidas desde que sejam legítimas, i.e. tenham como objetivo o cumprimento da função da Universidade. De facto, no âmbito do RGPD, o envio de informação pessoal entre unidades orgânicas não é diferente da troca de dados pessoais entre funcionários dentro da mesma unidade orgânica. Em ambos os casos a troca de informação deverá ser legítima, controlada e transparente.

        No entanto, como a troca de informação entre unidades orgânicas implica uma perda de controlo superior à troca de informação entre pessoas da mesma unidade orgânica, em regra, todas as trocas de dados pessoais entre unidade orgânicas deve ser comunicada ao EPD.

        
        

        10. Publicação de dados

        10.1 As pautas podem ser publicadas?

        Sim, mas apenas nos locais indicados para o efeito e com as restrições adequadas. As classificações dos alunos são dados pessoais e por isso não são públicos. No entanto, a bem da transparência, as avaliações podem e devem ser conhecidas pelos colegas de avaliação.

        
        

        11. Emails

        11.1 O que é um email institucional?
        Um email institucional é um email que foi criado por uma instituição (e.g. unidade orgânica, serviços de ação social, instituto de investigação) para comunicar com as pessoas que dela fazem parte.
        
        11.2 Um email institucional pode ser um email com um domínio externo à organização?
        Pode se for o titular do email a fornecer explicitamente esse email para ser usado em substituição do email institucional.
        

        11.3 O email institucional é um dado pessoal?

        Sim, em regra todos os emails são dados pessoais, exceto aqueles que nomeiam cargos ou organizações.

        

        11.4 O email profissional é um dado pessoal?

        Se esse email apresentar elementos que possa identificar uma pessoa singular então representa um dado pessoal e deve ser protegido com os mecanismos adequados.

        

        11.5 Posso enviar emails para listas de funcionários e alunos através do seu email institucional?

        Pode no âmbito da missão da UC, ficando arredado dessa divulgação por exemplo os eventos não profissionais ou não académicos. 

        Para o uso do email institucional para esses fins é necessário obter consentimento informado do titular.

        

        11.6 Posso enviar emails para listas de email genéricas que possuo na minha instituição?

        Pode, mas apenas se tiver o consentimento informado do titular do email.

        

        11.7 Como posso obter o consentimento informado para utilizar um email para fins de divulgação?

        Aquando da criação do email institucional ou aquando da obtenção do email, o titular deverá ter a opção de aceitar ou não a utilização do email para fins de divulgação ou quaisquer outros que se pretenda obter consentimento.

        
        

        12. Cloud

        12.1 Tenho dados pessoais armazenados em Cloud públicas, como devo proceder?

        Os dados pessoais não devem ser mantidos em Cloud públicas, como a Dropbox, o Google Docs ou o Office365. Caso seja absolutamente necessário manter essa informação na Cloud pública então esta deve estar cifrada (e.g. WinRAR, 7-Zip).

        

        12.2 Uso documentos online de uma Cloud pública (e.g. Google Docs, Office365) para processar dados pessoais de alunos, funcionários ou candidatos (e.g. preenchimento cooperativo de pautas), posso continuar a fazê-lo?

        As Cloud públicas não devem ser usadas para processar dados pessoais, pois não é garantido o respeito pelo RGPD. Em vez disso deverá usar-se a versões contratualizadas dos mesmos produtos, por exemplo a licença Google Docs for Education, o a licença Microsoft Office365 que a grande maioria das escolas possuem no âmbito do Microsoft Campus Agreement. Tal implica a utilização das contas de utilizadores associadas à universidade.

        
        

        13. Dados enviados para entidades terceiras

        13.1 Envio regularmente dados pessoais, de alunos, funcionários ou candidatos para entidades exteriores à Universidade, posso continuar a fazê-lo?

        Estas trocas podem ser feitas desde que exista uma obrigação legal para o fazer ou tenha obtido autorização dos titulares dos dados para tal.

        Em regra, todas as trocas periódicas de dados pessoais com entidades terceiras à Universidade devem ser comunicadas ao Encarregado de Proteção de Dados da sua Instituição.

        De forma geral os dados pessoais enviados no âmbito de procedimentos de inquérito para fins estatísticos de âmbito nacional (e.g. RAIDES, REBIDES) são obrigatórios por lei.

        

        
        

        14. Subcontratação

        É possível ser outra entidade a efetuar o tratamento de dados em nome da minha organização?

        Uma outra entidade (uma pessoa singular ou coletiva ou qualquer outro organismo) pode efetuar o tratamento de dados pessoais em seu nome desde que exista um contrato ou outro ato jurídico. É importante que o subcontratante nomeado por si apresente garantias suficientes para a aplicação de medidas técnicas e organizativas destinadas a assegurar que o tratamento cumprirá as normas do Regulamento Geral de Proteção de Dados e a garantir a proteção dos direitos das pessoas.

        O subcontratante nomeado não pode, posteriormente, nomear outro subcontratante sem a sua autorização prévia, específica ou geral, por escrito. O contrato ou ato jurídico celebrado entre a sua empresa/organização e o subcontratante deve incluir os seguintes elementos:

        
        • o tratamento só pode ser efetuado com base em instruções documentadas do responsável pelo tratamento;
        • o subcontratante garante que as pessoas autorizadas a efetuar o tratamento de dados pessoais assumiram um compromisso de confidencialidade ou se encontram sujeitas a uma obrigação legal de confidencialidade adequada;
        • o subcontratante deve oferecer um nível mínimo de segurança definido pelo responsável pelo tratamento;
        • o subcontratante deve ajudá-lo a garantir a conformidade com o RGPD.
        
        

        Referências:www.cnpd.pt

        www.phcsoftware.com/business-at-speed/rgpd-as-19-respostas-ainda-precisa-saber/

        http://portal3.ipb.pt/index.php/pt/ipb/quem-somos/acao-social/129-proteccao-de-dados/1012-home-proteccao-de-dados-perguntas-frequentes