Dados pessoais significa qualquer informação relativa a um indivíduo identificado ou identificável. Um indivíduo identificável é qualquer pessoa que possa ser identificada, direta ou indiretamente. Diferentes elementos de informação que somados em conjunto podem conduzir à identificação de uma determinada pessoa também constituem dados pessoais.

Exemplos de dados pessoais incluem:

• nome e apelido;
• um endereço de domicílio;
• um endereço de correio eletrónico;
• um número de bilhete de identidade;
• dados de localização;
• um endereço IP (Protocolo Internet);
• um ID de cookie;
• contas bancárias;
• relatórios fiscais;
• dados biométricos (como impressões digitais);
• um número de segurança social;
• número do passaporte;
• resultados dos ensaios;
• notas na escola;
• histórico de navegação;
• fotografia individual;
• número de matrícula do veículo, etc.

Mais informações:

• Elementos básicos em matéria de proteção de dados

O RGPD distingue entre duas funções principais: as do responsável pelo tratamento de dados e do subcontratante. Esta distinção é crucial, uma vez que o responsável pelo tratamento dos dados assume mais responsabilidades e tem de cumprir mais obrigações do que o subcontratante.

Os responsáveis pelo tratamento de dados e os subcontratantes podem ser pessoas singulares ou coletivas, por exemplo: uma PME, uma autoridade pública, uma empresa, uma organização, um organismo estatal, uma associação, etc.

O responsável pelo tratamento determina as finalidades e os meios de uma operação de tratamento. Por outras palavras, o responsável pelo tratamento decide o como e o porquê de uma operação de tratamento. Considerando que os subcontratantes tratam dados pessoais em nome do responsável pelo tratamento, o tratamento efetuado pelos subcontratantes deve ser regulado por um contrato com o responsável pelo tratamento dos dados ou por outro ato jurídico.

Exemplos de responsáveis pelo tratamento:

• empresas que tratam os dados pessoais dos seus clientes para concluir uma venda;
• instituições financeiras que tratam dados pessoais dos seus clientes;
• associações que tratam os dados dos seus membros;
• escolas ou universidades que tratam dados pessoais de estudantes e professores;
• hospitais que tratam dados pessoais dos seus doentes;
• agências governamentais que tratam dados pessoais dos cidadãos.

Exemplos de subcontratantes:

• uma PME contrata um serviço de contabilidade para manter os seus livros e registos, a PME é responsável pelo tratamento de dados e o serviço de contabilidade é um subcontratante de dados;
• uma empresa de processamento de salários processa dados pessoais de uma PME. A empresa de processamento de salários atuará como subcontratante se apenas tratar os dados pessoais em nome da PME. A PME determina as finalidades e os meios do tratamento de dados e, por conseguinte, é responsável pelo tratamento dos dados.
• uma PME encarrega uma empresa de marketing de recolher endereços de correio eletrónico através de sítios Web de terceiros.  A empresa de marketing fá-lo de acordo com as instruções explícitas da PME e para fins exclusivos da PME. A Empresa de Marketing atua como subcontratante para esta recolha de dados.

Mais informações:

• Responsável pelo tratamento de dados ou subcontratante

Não, não é necessário tornar público o seu registo de atividades de tratamento. No entanto, deve poder disponibilizar o registo à autoridade de proteção de dados, mediante pedido.

Mais informações:

• Estar em conformidade

O RGPD ou o Regulamento Geral sobre a Proteção de Dados cria um conjunto harmonizado de regras aplicáveis a todo o tratamento de dados pessoais por organizações (públicas ou privadas, independentemente da sua dimensão) estabelecidas no Espaço Económico Europeu (EEE) ou dirigidas a pessoas singulares na UE. O principal objetivo do RGPD é garantir que os dados pessoais gozam do mesmo nível elevado de proteção em todo o EEE, aumentando a segurança jurídica tanto para as pessoas singulares como para as organizações que tratam dados e oferecendo um elevado grau de proteção às pessoas singulares.

O regulamento entrou em vigor em 24 de maio de 2016 e é aplicável desde 25 de maio de 2018.

O CEPD publica regularmente comunicados de imprensa, notícias, blogues e outros conteúdos no sítio Web do CEPD e nos seus canais de redes sociais (Twitter: @EU_EDPB; LinkedIn: Comité Europeu para a Proteção de Dados) para manter a comunidade de proteção de dados e o público em geral atualizados sobre o seu trabalho.

O sítio Web do CEPD dispõe igualmente de dois feeds RSS, que pode subscrever para atualizações automáticas das notícias do CEPD e das mais recentes publicações do CEPD.

A pseudonimização consiste na transformação de dados pessoais para que deixem de poder ser atribuídos a um indivíduo específico sem a utilização de informações adicionais, desde que essas informações adicionais sejam mantidas separadamente e estejam sujeitas a medidas técnicas e organizativas para garantir que os dados pessoais não são atribuídos a indivíduos. Na prática, pode significar a substituição de dados pessoais (nome, nome próprio, número pessoal, número de telefone, etc.) num conjunto de dados por dados de identificação indireta (por exemplo, número sequencial, etc.). Os dados pseudonimizados continuam a ser dados pessoais e estão sujeitos ao RGPD.

Dados anónimos são dados que foram tornados anónimos de tal forma que o indivíduo não é ou deixou de ser identificável por qualquer meio que seja razoavelmente provável de ser utilizado. Quando a anonimização é implementada corretamente, o RGPD deixa de se aplicar aos dados anonimizados.

Mais informações:

• Dados pessoais seguros

Sim, pode, mas o RGPD impõe certas obrigações às empresas que partilham dados pessoais. A sua organização deve informar as pessoas de que irá partilhar os seus dados com terceiros. Deve também informá-los sobre as suas finalidades, segurança, acesso e as medidas de conservação que se aplicarão.

De um modo geral, todas as organizações devem manter um registo das suas atividades de tratamento. Este é um inventário de todas as operações de tratamento e pode ajudá-lo a comprrender melhor as suas responsabilidades ao abrigo do RGPD e possíveis riscos.

Cada uma destas operações de tratamento deve ser descrita no registo com as seguintes informações:

• a finalidade do tratamento (por exemplo, fidelização do cliente);
• as categorias de dados tratados (por exemplo, para a folha de pagamento: nome, nome próprio, data de nascimento, salário, etc.);
• quem tem acesso aos dados (os destinatários — por exemplo: o serviço responsável pelo recrutamento, o serviço informático, a gestão, os prestadores de serviços, os parceiros, etc.);
• quando aplicável, informações relacionadas com transferências de dados pessoais para fora do Espaço Económico Europeu (EEE),
• sempre que possível, o período de conservação (período durante o qual os dados são úteis do ponto de vista operacional e do ponto de vista arquivístico).
• sempre que possível, uma descrição geral das medidas de segurança.

O registo das atividades de tratamento é da responsabilidade do gestor da sua organização.

Este registo deve estar disponível para a autoridade de proteção de dados do país do EEE onde opera, se solicitado.

Não é necessário que as organizações que empregam menos de 250 pessoas mencionem atividades puramente ocasionais no seu registo (por exemplo, dados tratados para eventos pontuais, como a abertura de uma loja).

Mais informações:

• Estar em conformidade

• Qualquer tratamento de dados pessoais deve ser lícito, leal e transparente.
• Apenas recolher dados pessoais para finalidades específicas, explícitas e legítimas. O tratamento dos dados de uma pessoa deve ser estritamente limitado à(s) finalidade(s) inicialmente estabelecida(s) e, por conseguinte, não ser tratado para finalidades posteriores ou outras que sejam incompatíveis com as finalidades iniciais.
• Apenas tratar dados pessoais que sejam necessários e proporcionados à luz da finalidade prevista.
• Todos os dados pessoais que trata devem ser precisos e atualizados. Os dados pessoais inexatos devem ser retificados ou apagados.
• O armazenamento dos dados pessoais das pessoas singulares deve ser limitado no tempo, tendo em conta a finalidade para a qual esses dados foram recolhidos e tratados. Como tal, os dados pessoais dos indivíduos devem ser apagados ou anonimizados, assim que estes dados deixem de ser necessários.
• O tratamento dos dados pessoais deve ser efetuado de forma segura. Neste sentido, devem ser criados controlos de cibersegurança sólidos, a fim de garantir a proteção adequada dos dados das pessoas.

Finalmente, o responsável pelo tratamento é responsabilizável. Isto significa que é responsável e deve ser capaz de demonstrar a conformidade com os princípios acima referidos.

Mais informações:

• Elementos básicos em matéria de proteção de dados

Alguns tipos de dados pessoais pertencem a categorias especiais de dados pessoais, o que significa que merecem mais proteção, os chamados dados sensíveis. Os dados sensíveis incluem dados que revelam informações sobre:

• a saúde de uma pessoa;
• a orientação sexual de um indivíduo;
• origem racial ou étnica de um indivíduo;
• as opiniões políticas, as convicções religiosas ou filosóficas de uma pessoa; a filiação sindical de uma pessoa;
• dados biométricos e genéticos de um indivíduo.

O tratamento de dados sensíveis de uma pessoa é geralmente proibido, exceto em circunstâncias específicas que justifiquem o seu tratamento.

Mais informações:

• Elementos básicos em matéria de proteção de dados