Newsletter

Back to top

RGPD para iniciados

Desmistificar o RGPD (Regulamento Geral de Proteção de Dados)

(GDPR [General Data Protection Regulation])

Desde que a anunciada implementação do GDPR a 25 de maio de 2018, chegou ao conhecimento dos empresários e administradores de empresas, que temos assistido a uma corrida ao mercado por soluções que ofereçam a devida conformidade para evitar as coimas (pesadas, diga-se) previstas pela Comissão Europeia. Começando pela coima, esta pode atingir os 20 milhões de euros ou até 4% da faturação da empresa. Agora que estamos posicionados, vamos de seguida esclarecer as questões típicas e imediatas que todos temos sobre o RGPD.

Para que serve o Regulamento Geral de Proteção de Dados (RGPD)?

O RGPD estabelece as regras relativas ao tratamento, por uma pessoa, uma empresa ou uma organização, de dados pessoais relativos a pessoas/ cidadãos da União Europeia. Nesta medida, serve para proteger as pessoas da utilização abusiva dos seus dados pessoais por outras entidades, conferindo-lhes ainda o direito de acesso aos seus dados (de forma gratuita) para consulta, atualização ou eliminação (o direito de eliminação depende do enquadramento: se existir por exemplo uma obrigação jurídica, a entidade não é obrigada a eliminar os dados da pessoa).

Não se aplica ao tratamento de dados pessoais de pessoas falecidas ou de pessoas coletivas.

 

Resposta que parece óbvia a uma pergunta que parece básica:

O que são dados pessoais?

Dados pessoais são informação relativa a uma pessoa viva, identificada ou identificável. Também constituem dados pessoais o conjunto de informações distintas que podem levar à identificação de uma determinada pessoa.

Dados pessoais que tenham sido descaracterizados, codificados ou pseudonimizados, mas que possam ser utilizados para reidentificar uma pessoa, continuam a ser dados pessoais e são abrangidos pelo âmbito de aplicação do RGPD.

Dados pessoais que tenham sido tornados anónimos de modo a que a pessoa não seja ou deixe de ser identificável deixam de ser considerados dados pessoais. Para que os dados sejam verdadeiramente anonimizados, a anonimização tem de ser irreversível.

O RGPD protege os dados pessoais independentemente da tecnologia utilizada para o tratamento desses dados – é neutra em termos tecnológicos e aplica-se tanto ao tratamento automatizado como ao tratamento manual, desde que os dados sejam organizados de acordo com critérios pré-definidos (por exemplo, por ordem alfabética). Também é irrelevante o modo como os dados são armazenados — num sistema informático, através de videovigilância, ou em papel; em todos estes casos, os dados pessoais estão sujeitos aos requisitos de proteção previstos no RGPD.

Exemplos de alguns dados considerados pessoais

  • nome e apelido;
  • endereço de residência;
  • endereço de correio eletrónico como nome.apelido@empresa.com;
  • número do cartão de identificação;
  • dados de localização (por exemplo, a função de dados de localização num telemóvel)*;
  • endereço IP (protocolo de internet);
  • testemunhos de conexão (cookies);
  • o identificador de publicidade do seu telefone;
  • os dados detidos por um hospital ou médico, que permitam identificar uma pessoa de forma inequívoca.

 

A quem se aplica a lei de proteção de dados?

O RGPD aplica-se a empresas ou entidades que efetuem o tratamento de dados pessoais no âmbito das atividades de uma das suas sucursais estabelecida na UE, independentemente do local onde os dados são tratados; ou uma empresa constituída fora da UE que oferece bens/serviços (pagos ou gratuitos) ou controla o comportamento de pessoas na União Europeia. Se o tratamento de dados pessoais não for uma parte principal do seu negócio e a sua atividade não criar riscos para as pessoas, então algumas obrigações do RGPD não se aplicam a si (por exemplo, a nomeação de um encarregado da proteção de dados (EPD ou DPO – data protection officer).

Por falar nisso…

A minha empresa/organização tem de ter um encarregado da proteção de dados (EPD)?

A sua empresa/ organização tem de nomear um DPO, quer seja um responsável pelo tratamento, quer um subcontratante, se as suas atividades principais envolverem o tratamento de dados sensíveis em grande escala ou se as suas atividades principais envolverem o controlo sistemático, regular e em grande escala de pessoas. Neste contexto, o controlo do comportamento das pessoas inclui todas as formas de rastreamento e definição de perfis na internet, nomeadamente para efeitos de publicidade comportamental.

As administrações públicas têm sempre a obrigação de nomear um EPD (com exceção dos tribunais no exercício da sua função jurisdicional).

O EPD pode ser um funcionário da sua organização ou pode ser contratado externamente com base num contrato de prestação de serviços. O EPD pode ser uma pessoa ou uma organização.

 

As regras de proteção de dados aplicam-se aos dados relativos a empresas?

Não, as regras aplicam-se apenas a dados pessoais relativos a pessoas singulares. Não dizem portanto respeito a dados relativos a empresas nem a outras entidades jurídicas. Contudo, as informações respeitantes a empresas unipessoais podem constituir dados pessoais caso permitam a identificação de uma pessoa singular. As regras também se aplicam a todos os dados pessoais relacionados com pessoas singulares no âmbito de uma atividade profissional, como os trabalhadores de uma empresa/organização, incluindo endereços de correio eletrónico profissionais como «nome.apelido@empresa.eu» ou os números de telefone profissionais dos trabalhadores.

Esperamos ter ajudado a esclarecer algumas das questões mais elementares e fundamentais do GDPR. Caso pretenda mais esclarecimentos, contacte-nos para dpo@jellycode.pt


O conteúdo deste artigo foi baseado e transcrito de https://ec.europa.eu

JELLYCODE – Agência Digital