O que são dados pessoais?
Dados pessoais significa qualquer informação relativa a um indivíduo identificado ou identificável.
Exemplos do tipo de informação que pode permitir a identificação direta ou indireta de uma pessoa e, por conseguinte, qualificar-se como dados pessoais, são:
- nome, apelido, números de telefone dos clientes, partes intervenientes, trabalhadores, prestadores de serviços;
- números de identificação, como o número de cliente de uma pessoa, o número de funcionário,
- uma referência de reserva;
- endereços de correio eletrónico, dados de localização;
- o histórico de navegação de um indivíduo;
- histórico de compras e recibos de uma pessoa;
- fotografias, vídeos e gravações áudio que contenham imagens ou sons de indivíduos.
Com estes dados pessoais, uma pessoa pode ser identificada direta ou indiretamente:
- se a sua organização estiver a tratar o nome ou apelido de uma pessoa, por exemplo, estes dados pessoais permitem a identificação direta dessa pessoa;
- se a sua organização estiver a processar o número de cliente de uma pessoa ou a referência de reserva, por exemplo, estes dados pessoais podem permitir a identificação indireta dessa pessoa.
- Qualquer tipo de informação tratada em relação ao indivíduo identificado direta ou indiretamente (ou seja, preferências, hábitos) também será considerado como dados pessoais.
Leia mais
Categorias especiais de dados pessoais
Alguns tipos de dados pessoais, normalmente denominados dados sensíveis, pertencem a categorias especiais que merecem mais proteção. De acordo com o artigo 9.º do RGPD, os dados sensíveis incluem dados que revelam informações sobre:
- a saúde de uma pessoa;
- a vida sexual ou a orientação sexual de um indivíduo;
- origem racial ou étnica de um indivíduo;
- as opiniões políticas, as convicções religiosas ou filosóficas de uma pessoa;
- dados biométricos e genéticos de uma pessoa;
- filiação sindical.
O tratamento de dados sensíveis de uma pessoa é geralmente proibido, exceto em circunstâncias específicas que justifiquem o seu tratamento (como o consentimento explícito).
Para mais informações sobre as circunstâncias em que os dados sensíveis podem ser tratados, consulte Tratar legalmente os dados pessoais
Dados pessoais relativos a condenações penais e infrações
O tratamento de dados pessoais relativos a condenações penais e infrações está sujeito a condições legais estritas. Estes dados pessoais só podem ser tratados por uma autoridade pública, como a polícia, sob o controlo de uma autoridade pública, ou quando autorizados pela legislação nacional.
Lista de verificação de boas práticas do RGPD
- Pergunte-se se a finalidade para a qual os dados pessoais podem ser recolhidos é justificada.
- Recolha apenas dados pessoais que sejam necessários para a(s) finalidade(s) específica(s) prevista(s).
- Informe as pessoas sobre como e para que finalidades os seus dados pessoais podem ser tratados.
- Verifique se dispõe de uma base legal adequada para o tratamento de dados pessoais. Caso pretenda basear-se no consentimento dos indivíduos, peça o seu consentimento antes de tratar os seus dados pessoais.
- Certifique-se de que os dados pessoais das pessoas são tratados de forma segura.
- Mantenha os dados pessoais dos indivíduos exatos e atualizados.
- Apague os dados pessoais dos indivíduos quando já não forem necessários. Tenha em conta que a legislação nacional pode obrigá-lo a conservar determinados dados (, por ex: por razões fiscais).
O que significa tratar dados pessoais?
O tratamento dos dados pessoais inclui qualquer tipo de atividade (operação de tratamento) realizada por meios automatizados ou não automatizados sobre ou com os dados pessoais de pessoas singulares.
São exemplos de operações de tratamento a recolha, o registo, a organização, a utilização, a modificação, o armazenamento, a divulgação de dados pessoais dos indivíduos.
Mesmo que o RGPD esteja principalmente relacionado com o tratamento automatizado de dados pessoais, as operações de tratamento realizadas manualmente também estarão sujeitas ao RGPD a partir do momento em que os ficheiros em papel são organizados de forma sistemática, por exemplo, ordenados por ordem alfabética num arquivo.
Leia mais
O RGPD aplica-se à sua organização?
O RGPD pode aplicar-se a todas as organizações públicas e privadas se:
- a organização em questão está estabelecida na UE ou no Espaço Económico Europeu (EEE — países da UE + Islândia, Listenstaine e Noruega); ou
- a organização não está estabelecida no EEE, mas os seus produtos ou serviços são oferecidos a pessoas que se encontram no EEE, ou a organização está a monitorizar o comportamento das pessoas que se encontram no EEE.
O RGPD também se aplica da mesma forma a qualquer subcontratante que possa estar a tratar dados pessoais dos indivíduos em nome de uma organização pública ou privada.
Na prática, o RGPD aplica-se a si se se aplicar uma das seguintes condições:
- É uma empresa com sede num país do EEE;
- É uma organização, sediada num país não pertencente ao EEE, que vende bens ou oferece serviços, mesmo gratuitamente, visando indivíduos num país do EEE;
- É uma empresa de TI sediada num país não pertencente ao EEE que foi subcontratada por uma organização privada com sede no EEE para gerir as suas bases de dados informáticas, como uma base de dados de clientes;
- É um prestador de serviços com sede no EEE e processa dados pessoais em nome de outra empresa.
Os princípios fundamentais do RGPD
Ao tratar os dados pessoais dos indivíduos, a sua organização deve cumprir os seguintes 6 princípios fundamentais do RGPD. Além disso, a sua organização deve ser capaz de demonstrar a sua conformidade com estes princípios.
Licitude, lealdade e transparência
Qualquer tratamento de dados pessoais deve ser lícito, leal e transparente.
A sua organização só pode tratar os dados pessoais de uma pessoa se a operação de tratamento prevista for lícita; por conseguinte, com base no consentimento do indivíduo, necessário para a execução de um contrato, ou com base num dos outros fundamentos legais para o tratamento de dados mencionados no artigo 6.º do RGPD.
Se o tratamento se basear no consentimento, a sua organização deve garantir que esse consentimento é dado livremente, informado, específico e inequívoco. Por outras palavras, não deve haver dúvida de que as pessoas estão cientes do que concordam, para que finalidades o tratamento está a ser feito, e que esse consentimento foi dado ativamente antes do início do tratamento. Além disso, as pessoas devem poder retirar livremente o seu consentimento. Se perceber que o tratamento dos seus dados será, no entanto, necessário (ou seja, no contexto de um contrato), significa que o consentimento não é a base legal adequada.
Limitação da finalidade
A sua organização só pode recolher dados pessoais para fins específicos, explícitos e legítimos. O tratamento dos dados de uma pessoa deve ser estritamente limitado à(s) finalidade(s) inicialmente estabelecida(s) e, por conseguinte, não serem tratados para finalidades posteriores ou outras que sejam incompatíveis com as finalidades iniciais.
Minimização dos dados
A sua organização só pode tratar dados pessoais que sejam necessários e proporcionados à luz da finalidade prevista.
Exatidão
Os dados pessoais dos indivíduos que a sua organização trata devem ser exatos e atualizados. Os dados pessoais inexatos devem ser retificados ou apagados.
Limitação da conservação
A conservação dos dados pessoais deve ser limitada no tempo, tendo em conta a finalidade para a qual esses dados foram recolhidos e tratados. Como tal, os dados pessoais devem ser apagados ou anonimizados, logo que estes dados deixem de ser necessários. Na prática, isto significa que a sua organização deve ter em vigor uma política interna relativa a períodos de conservação de dados por cada finalidade diferente, bem como um procedimento para a eliminação de dados.
Segurança
O tratamento dos dados pessoais deve ser efetuado de forma segura. Neste sentido, devem ser adotadas salvaguardas robustas em matéria de proteção de dados, tais como medidas de cibersegurança apropriadas, para garantir a proteção adequada dos dados das pessoas singulares. Estas medidas devem impedir a divulgação, perda, destruição ou danificação, de forma acidental, não autorizada ou ilícita, dos dados pessoais dos indivíduos.
Leia mais
Orientações sobre o tratamento de dados pessoais nos termos do artigo 6.º, n.º 1, alínea b), do RGPD no contexto da prestação de serviços em linha aos titulares dos dados
CEPD