Sim, os subcontratantes (ou seja, indivíduos ou organismos que tratam dados em nome de um responsável pelo tratamento de dados) têm obrigações ao abrigo do RGPD. Existem, no entanto, algumas diferenças entre as responsabilidades dos responsáveis pelo tratamento de dados e dos subcontratantes.

Os subcontratantes têm de cumprir as responsabilidades estabelecidas no contrato entre o responsável pelo tratamento e o subcontratante, que especifica as operações de tratamento e os meios de tratamento de dados pessoais. Por exemplo, o subcontratante terá de efetuar as operações de tratamento com as medidas técnicas e organizativas adequadas, de acordo com as instruções do responsável pelo tratamento. Ao fazê-lo, o subcontratante auxilia o responsável pelo tratamento no cumprimento do RGPD.

Mais informações:

• Responsável pelo tratamento de dados ou subcontratante

Nos termos do RGPD, existem, em princípio, duas formas principais de transferir dados pessoais para um país não pertencente ao EEE ou para uma organização internacional. As transferências podem ser efetuadas com base numa decisão de adequação ou, na falta de tal decisão, com base em garantias adequadas, incluindo direitos oponíveis e vias de recurso para as pessoas singulares.

Mais informações:

• Transferências internacionais

Não, não é necessário ser certificado para se tornar um EPD.

Os EPD devem, no entanto, ser capazes de demonstrar que possuem as qualificações necessárias exigidas pelo RGPD, tais como conhecimentos especializados em matéria de legislação e práticas em matéria de proteção de dados.

Mais informações:

• Responsável pela proteção de dados

A tarefa do encarregado da proteção de dados inclui, entre outras:

• informar e aconselhar a organização e os seus colaboradores sobre o cumprimento da proteção de dados;
• controlar a conformidade da proteção de dados;
• prestar aconselhamento sobre pedidos relativos à avaliação de impacto sobre a proteção de dados (AIPD);
• atuar como ponto de contacto para a autoridade de proteção de dados (APD) e cooperar com essa autoridade de proteção de dados;
• atuar como ponto de contacto para os indivíduos.

Além disso, a presença do encarregado da proteção de dados é geralmente recomendada quando são tomadas decisões com implicações para a proteção de dados. O encarregado de proteção de dados deve também ser imediatamente consultado logo que tenha ocorrido uma violação de dados ou outro incidente.

Mais informações:

• Encarregado de proteção de dados

More information:

• Data Protection Officer

Os responsáveis pelo tratamento de dados só podem tratar dados pessoais numa das seguintes circunstâncias:

• com o consentimento das pessoas em causa;
• se o tratamento for necessário para a execução de um contrato (contrato entre a sua organização e uma pessoa singular);
• para cumprir uma obrigação legal ao abrigo da legislação da UE ou nacional;
• se o tratamento for necessário para o desempenho de uma missão de interesse público ao abrigo da legislação da UE ou nacional;
• para proteger os interesses vitais de um indivíduo;
• para os interesses legítimos da sua organização — exceto nos casos em que se sobreponham aos direitos e liberdades dos indivíduos.

Além disso, o RGPD estabelece condições adicionais para o tratamento de dados sensíveis.

Mais informações:

• Tratar legalmente os dados pessoais

Com efeito, o consentimento pode constituir uma base jurídica válida para o armazenamento dos CV dos candidatos a emprego. Outra possível base legal poderia ser o interesse legítimo. Nesse caso, terá de realizar um teste de ponderação para provar que os interesses legítimos da sua organização são superiores aos direitos dos candidatos.

De qualquer forma, terá de informar os candidatos de que tenciona armazenar os seus dados e para que finalidades.

Mais informações:

• Tratar legalmente os dados pessoais

As medidas de segurança necessárias podem diferir com base na natureza dos dados pessoais que trata e nos riscos associados para as pessoas. Em qualquer caso, existem algumas medidas mínimas a aplicar:

• acesso seguro às instalações;
• utilizar software antivírus regularmente atualizado;
• escolha cuidadosamente as suas palavras-passe;
• fazer com que os utilizadores se autentiquem antes de utilizarem as instalações informáticas;
• tenha uma política de salvaguarda e recuperação de dados em vigor em caso de incidente.

Além disso, algumas medidas básicas, como bloquear o ecrã enquanto está longe e bloquear o escritório no final do dia, nunca estão fora do lugar…

Mais informações:

• Dados pessoais seguros

Não é possível armazenar dados pessoais para sempre.

Regra geral, os dados pessoais só podem ser conservados durante o tempo necessário, tendo em conta as finalidades para as quais os dados pessoais são tratados.

Em alguns casos, o período de armazenamento pode ser determinado por leis específicas, por exemplo, a regulamentação laboral determina um período de armazenamento para listas de salários.

As organizações devem implementar políticas de conservação de dados para garantir que os dados pessoais não são mantidos por mais tempo do que o necessário. Os dados pessoais das pessoas singulares devem ser apagados ou anonimizados, logo que estes dados deixem de ser necessários para a finalidade para a qual foram tratados.

Mais informações:

• Elementos básicos em matéria de proteção de dados

Não, o tratamento de dados sensíveis é geralmente proibido, exceto em circunstâncias muito específicas:

• A pessoa tiver dado o seu consentimento explícito para o tratamento dos seus dados sensíveis.
• O tratamento de dados sensíveis for necessário para que o responsável pelo tratamento cumpra as suas obrigações, nomeadamente no contexto do emprego, da segurança social e da proteção social. Por exemplo, o responsável pelo tratamento de dados pode ter de tratar os dados sensíveis de uma pessoa para poder determinar se tem direito a determinadas prestações de segurança social ou subsídios de emprego.
• O tratamento de dados sensíveis for necessário para proteger os interesses vitais de uma pessoa quando a pessoa seja física ou legalmente incapaz de dar o seu consentimento. Por exemplo, se um indivíduo ficar inconsciente em resultado de um acidente e necessitar de cuidados médicos imediatos, os seus dados de saúde podem ter de ser processados para que os cuidados médicos adequados sejam prestados.
• O tratamento de dados sensíveis é efetuado no contexto das atividades legítimas de uma fundação, associação ou outra organização sem fins lucrativos com um objetivo político, filosófico, religioso ou sindical, e apenas para o tratamento dos dados pessoais dos seus membros, antigos membros ou pessoas que com eles tenham contactos regulares.
• Os dados sensíveis foram manifestamente tornados públicos pelo titular.
• O tratamento de dados sensíveis for necessário no contexto de processos judiciais.
• O tratamento de dados sensíveis for necessário por motivos de interesse público importante.
• O tratamento de dados sensíveis for necessário no contexto da medicina preventiva ou do trabalho. Por exemplo, avaliar os dados sensíveis de uma pessoa, como os seus dados médicos, pode ser necessário para determinar a sua capacidade de trabalho como funcionário.
• O tratamento de dados sensíveis for necessário por questões de saúde pública com base na legislação da UE ou nacional. Por exemplo, o tratamento de dados sensíveis de indivíduos pode ser necessário para garantir uma elevada qualidade dos cuidados de saúde e uma elevada qualidade dos produtos médicos, ou para combater ameaças graves para a saúde, como vírus.
• O tratamento de dados sensíveis for necessário para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou para fins estatísticos. Por exemplo, o tratamento de dados sensíveis pode ser necessário para fornecer estatísticas precisas sobre a situação de um país num determinado domínio.

Mais informações:

• Tratar legalmente os dados pessoais

1. Certifique-se de que os dados que recebeu foram recolhidos de forma legítima e que as pessoas em causa foram informadas sobre o tratamento dos seus dados pessoais.
2. Caso a entidade esteja a tratar dados pessoais em seu nome, certifique-se de que tem um contrato entre responsável pelo tratamento e subcontratante, que detalhe as operações de tratamento e os meios para tratar os dados pessoais.

E, claro, cumpra todas as obrigações dos responsáveis pelo tratamento.

Mais informações:

• Responsável pelo tratamento de dados ou subcontratante