Quais são os direitos que as pessoas têm ao abrigo do RGPD?
O RGPD confere os seguintes direitos aos titulares dos dados, ou seja, às pessoas cujos dados são tratados:
- Direito a ser informado
- Direito de acesso
- Direito à retificação
- Direito ao apagamento (direito a ser esquecido)
- Direito à limitação do tratamento
- Direito à portabilidade dos dados
- Direito de oposição
- O direito a não estar sujeito a uma decisão baseada exclusivamente num tratamento automatizado
Tenha em atenção que alguns desses direitos não se aplicam em todas as situações, pode consultar os direitos dos titulares dos dados para cada quadro da base legal para obter mais informações.
O responsável pelo tratamento dos dados tem a obrigação de responder aos pedidos dos titulares dos dados que exercem os seus direitos e deve facilitar o exercício desses direitos. O subcontratante deve prestar assistência ao responsável pelo tratamento de dados nesta tarefa.
Lista de verificação do que fazer em relação aos direitos dos titulares dos dados:
- Estar preparado: Desenvolva sistemas e procedimentos para responder aos pedidos de direitos dos titulares de dados e forme o seu pessoal para integrar os pedidos de direitos dos titulares de dados nos seus fluxos de trabalho internos.
- Facilitar o exercício dos direitos: Facilite aos titulares dos dados saber quais são os seus direitos e como contactá-lo para os exercer.
- Conhecer os fluxos de dados: Mantenha o seu registo atualizado para identificar rapidamente os dados que trata e para localizar e recuperar informações de forma eficiente.
- Ser transparente: Informe sempre os titulares dos dados de uma forma clara e compreensível sobre os dados pessoais que trata, antes do tratamento (por exemplo, na sua política de privacidade) e durante o tratamento (por exemplo, ao cumprir um pedido de acesso do titular dos dados).
- Responder no prazo de 1 mês: Responda sempre a um pedido do titular dos dados no prazo de um mês. Se precisar de mais tempo para responder ou se não puder satisfazer o pedido: informe o titular dos dados desse facto no prazo de um mês.
- Passar palavra: Quando receber um pedido relativo a dados pessoais que tenha transferido para outros destinatários, não se esqueça, se necessário, de informar os destinatários do resultado do pedido.
- Documentar: Acompanhe os pedidos dos titulares dos dados e registe as suas respostas; também não perca de vista a sua justificaçãoquando não responde a um pedido.
Como tratar o pedido de direitos do titular dos dados
A transparência é fundamental na proteção de dados em geral e, naturalmente, no contexto dos direitos do titular dos dados.
O responsável pelo tratamento deve:
- comunicar com os titulares dos dados numa linguagem clara e compreensível (isto é particularmente importante nos casos em que uma organização se dirige a crianças); e
- facilitar o exercício destes direitos, nomeadamente através de meios eletrónicos. Por exemplo, pode fornecer no seu sítio Web um formulário em linha que os titulares dos dados podem utilizar para exercer facilmente os seus direitos em matéria de proteção de dados.
Responder por escrito
A regra geral é que uma organização deve responder ao pedido de acesso de uma pessoa da mesma forma que o pedido foi feito, ou da forma como o titular dos dados pediu especificamente uma resposta. De preferência, deve responder por escrito, incluindo, se for caso disso, por via eletrónica. Uma resposta a um pedido de direito do titular dos dados pode ser dada oralmente, mas isso não é aconselhável, uma vez que tem de ser capaz de provar que respondeu ao pedido.
Responder no prazo de um mês
O RGPD especifica quanto tempo um responsável pelo tratamento de dados deve responder a um pedido e em que casos pode cobrar taxas.
Quando os titulares dos dados exercerem um dos seus direitos, o responsável pelo tratamento deve responder no prazo de um mês. Se o pedido for demasiado complexo e for necessário mais tempo para responder, a sua organização pode prorrogar o prazo por mais dois meses, desde que o titular dos dados seja informado no prazo de um mês a contar da receção do pedido. Se a sua organização puder provar que o pedido é manifestamente infundado ou excessivo, em especial devido ao seu caráter repetitivo, pode cobrar uma taxa razoável ou recusar-se a deferir o pedido.
Se a sua organização tiver dúvidas razoáveis sobre a identidade da pessoa que faz o pedido (por exemplo, o pedido é feito com um endereço de e-mail diferente do normalmente utilizado pelo seu cliente, ou é feito fora de uma conta de cliente autenticada), pode solicitar informações adicionais para confirmar a identidade do titular dos dados antes de responder.
Se não pretender satisfazer o pedido específico do titular dos dados, deve informá-lo, no prazo de um mês a contar da receção do pedido, das razões pelas quais não irá deferir o pedido (por exemplo, por que razão não está a apagar os dados solicitados). Além disso, deve informar os titulares dos dados da possibilidade de apresentar uma reclamação à respetiva autoridade nacional de proteção de dados e de intentar uma ação judicial.
Não cobrar uma taxa
A sua organização não pode exigir qualquer pagamento a um titular de dados que solicite o exercício de um dos seus direitos. No entanto, pode cobrar uma taxa se o pedido do titular dos dados for manifestamente infundado ou excessivo, em especial devido ao seu caráter repetitivo. O cálculo da taxa deve ter em conta o custo administrativo que a resposta ao pedido tem para a sua organização. Tal como acima explicado, também é possível recusar dar seguimento a um pedido manifestamente infundado ou excessivo. Em tal situação, deve ser capaz de demonstrar que é esse o caso.
Na prática
- Um titular de dados apresenta pedidos de acesso de dois em dois meses ao carpinteiro que fabricou a sua mesa. O carpinteiro respondeu inteiramente ao primeiro pedido. Uma vez que o carpinteiro não trata dados pessoais no âmbito da sua atividade principal e não prestou mais do que um serviço ao titular dos dados, é improvável que tenham ocorrido alterações no conjunto de dados relativos ao titular dos dados. O titular dos dados esclareceu que o novo pedido diz respeito às mesmas informações que o último pedido. Por conseguinte, este pedido pode ser considerado excessivo devido ao seu caráter repetitivo.
- Se o carpinteiro decidir fornecer os dados pessoais ao titular dos dados, mas mediante uma taxa, é aconselhável informá-lo antecipadamente desse facto, dando-lhe assim a possibilidade de retirar o pedido para evitar ser cobrado. Em alternativa, o carpinteiro pode informar o titular dos dados das razões pelas quais não responderá a este pedido, bem como da possibilidade de apresentar uma reclamação junto de uma autoridade de proteção de dados e de intentar uma ação judicial.
Direito a ser informado
O direito a ser informado permite que as pessoas compreendam o que será feito com os seus dados e, consequentemente, tomem decisões informadas e tenham mais controlo sobre os seus dados pessoais. Todos os titulares dos dados têm o direito de receber informações quando trata os seus dados.
Enquanto organização que atua como responsável pelo tratamento, tem a obrigação de informar os titulares dos dados.
Que informações?
As informações a fornecer diferem consoante tenha recolhido os dados pessoais diretamente do titular dos dados (recolha direta, regulada pelo artigo 13.º do RGPD) ou se os tenha obtido de outra fonte (recolha indireta, regulada pelo artigo 14.º do RGPD). Os quadros que se seguem fornecem uma panorâmica das informações que deve fornecer ao titular dos dados:
Além disso, o RGPD exige que a sua organização forneça as seguintes informações para garantir um tratamento leal e transparente:
A sua organização deve fornecer novamente as informações contidas neste segundo quadro em caso de tratamento posterior para uma nova finalidade compatível que difira da finalidade original. Estas informações devem ser fornecidas antes desse tratamento posterior. Neste caso, deve também fornecer ao titular dos dados uma explicação sobre a forma como as novas e as anteriores finalidades são compatíveis entre si.
Quando as informações devem ser fornecidas?
Se a sua organização recolher os dados pessoais diretamente junto do titular dos dados, deve fornecer as informações necessárias no momento da recolha.
Em caso de recolha indireta de dados pessoais, a sua organização deve fornecer as informações o mais tardar no prazo de um mês após a obtenção inicial dos dados pessoais. Este período máximo de um mês é reduzido:
- se os dados pessoais forem utilizados para efeitos de comunicação com o titular dos dados. Nesse caso, deve informar o titular dos dados o mais tardar no momento da primeira comunicação ao titular dos dados;
- se os dados forem transmitidos a outro destinatário, a organização informa desse facto os titulares dos dados o mais tardar aquando da transmissão dos dados pessoais.
O prazo máximo de um mês não pode, em caso algum, ser prorrogado.
Em caso de alterações subsequentes ao tratamento (por exemplo, novos destinatários, finalidade compatível, transferência para fora do EEE, etc.), a sua organização deve informar o titular dos dados em qualquer caso antes de a alteração entrar em vigor e deve fazê-lo com bastante antecedência. Quanto mais substancial for a alteração, mais cedo a sua organização deve informar o titular dos dados para que este disponha de um prazo razoável para apreciar o seu impacto e exercer os seus direitos.
Quando é que a sua organização não é obrigada a comunicar informações?
A sua organização não é obrigada a informar o titular dos dados se essa pessoa já tiver recebido as informações necessárias.
Em caso de recolha indireta de dados pessoais, aplicam-se exceções adicionais. Neste caso, o fornecimento de informações não é necessário se:
- a prestação dessas informações se revelar impossível ou exigir esforços desproporcionados. A fasquia para esta exceção é, no entanto, muito elevada, o que implica que um responsável pelo tratamento só pode invocar este critério a título excecional;
- a obtenção ou divulgação de dados está expressamente prevista na lei;
- os dados pessoais devem ser mantidos confidenciais com base numa obrigação legal de sigilo profissional.
Na prática
- Em alguns países da UE, a legislação nacional pode obrigar as autoridades fiscais a solicitar determinadas informações sobre os trabalhadores aos empregadores. Neste caso, as autoridades fiscais não têm de informar o trabalhador. No entanto, como parte do seu dever de informar, o empregador informará o trabalhador de que as autoridades fiscais são um dos destinatários dos dados pessoais.
Como devem ser prestadas as informações ao titular dos dados?
Uma boa forma de fornecer informações é trabalhar com diferentes níveis de informação. Isto evita que seja fornecida uma quantidade excessiva de informações de uma só vez, o que pode prejudicar a transparência e afogar o titular dos dados com informações. A utilização de uma abordagem progressiva em níveis segue tanto o requisito de ser conciso como o requisito de fornecer todas as informações necessárias. Isto não só simplifica a tarefa do responsável pelo tratamento, mas também permite ao titular dos dados compreender as informações essenciais de forma rápida e eficiente. A apresentação das informações pode ser a seguinte:
- Um primeiro nível de informações básicas
- O QUÊ? A organização fornece um resumo das informações de base de que o titular dos dados necessita para avaliar o impacto e o âmbito do tratamento (ou seja, a identidade do responsável pelo tratamento, as finalidades do tratamento, as categorias de destinatários, a fonte dos dados, os direitos do titular dos dados, etc.).
- COMO? Por exemplo, num formato de tabela, num local claramente visível com o título «Informações básicas sobre a proteção de dados» ou através de pop-ups que fornecem explicações quando os dados pessoais são recolhidos. Se o tratamento se basear no consentimento, é preferível mencionar esta informação no local onde o titular dos dados tem de dar o seu consentimento (perto do botão «consentimento»).
- Um segundo nível de informações adicionais e mais detalhadas
- O QUÊ? Esta parte apresenta de forma compreensível e abrangente as restantes informações que a organização é obrigada a fornecer nos termos dos artigos 13.º e 14.º do RGPD.
- COMO? As informações adicionais podem ser fornecidas de várias formas, por exemplo através de hiperligações incluídas nas informações básicas ou através do descarregamento de um documento. O fornecimento destas informações adicionais deve proporcionar um equilíbrio entre o caráter conciso, por um lado, e a exaustividade e exatidão, por outro. As informações devem ser estruturadas de modo a serem facilmente legíveis. Não se esqueça de adaptar as informações ao grupo-alvo (por exemplo: se o seu serviço visa crianças, escreva as informações de uma forma que elas possam compreender).
Direito de acesso
Ao exercerem o seu direito de acesso, os titulares dos dados podem verificar a licitude de cada atividade de tratamento que lhes diga respeito.
Ao exercerem o seu direito de acesso, os titulares dos dados devem obter uma confirmação do responsável pelo tratamento quanto à questão de saber se os seus dados pessoais estão ou não a ser tratados. Se for esse o caso, os titulares dos dados têm acesso aos seus dados pessoais e às seguintes informações:
- as finalidades do tratamento;
- as categorias de dados pessoais em causa;
- os destinatários (ou categorias de destinatários) dos dados pessoais;
- o período de conservação dos dados pessoais ou os critérios utilizados para determinar esse período;
- a existência do direito de solicitar ao responsável pelo tratamento a retificação ou o apagamento de dados pessoais ou a limitação do tratamento de dados pessoais relativos ao titular dos dados ou de se opor a esse tratamento;
- a existência do direito de apresentar uma reclamação a uma autoridade de proteção de dados;
- a fonte dos dados (quando os dados pessoais não são recolhidos diretamente junto do titular dos dados);
- a existência de decisões automatizadas, incluindo a definição de perfis, informações significativas sobre a lógica subjacente, bem como a importância e as consequências previstas desse tratamento para o titular dos dados;
- quando os dados pessoais são transferidos para fora da União Europeia, são aplicadas todas as garantias adequadas (nos termos do artigo 46.º do RGPD relativo às transferências de dados).
Além disso, a pessoa tem o direito de receber (gratuitamente) uma cópia dos dados pessoais que lhe dizem respeito que a sua organização está a tratar. Se a pessoa solicitar cópias adicionais, a sua organização poderá decidir cobrar uma taxa razoável, calculada com base no custo administrativo da realização de cópias. Note-se que, na maioria dos casos, os indivíduos não podem ser obrigados a pagar uma taxa para aceder às suas informações pessoais.
Se um pedido for apresentado por via eletrónica, a sua organização deve fornecer as informações necessárias num formato eletrónico comummente utilizado, salvo pedido em contrário.
Importante a notar
Antes de fornecer uma cópia dos dados pessoais, deve verificar se tal não afetará os direitos e liberdades de terceiros (por exemplo, se as informações relativas a mais do que uma pessoa forem tratadas no mesmo ficheiro, ou informações relativas a segredos comerciais e propriedade intelectual).
Direito à retificação
O titular dos dados tem o direito de solicitar e obter do responsável pelo tratamento dos dados a correção de dados inexatos e a completude de dados incompletos. Se a sua organização tiver transmitido os dados pessoais a terceiros, deve informá-los da retificação, salvo se tal se revelar impossível ou exigir esforços desproporcionados.
Na prática
- Um cliente informa a sua organização de que se mudou para outra cidade. É necessário alterar a morada dele na sua base de dados de clientes.
Direito ao apagamento (direito a ser esquecido)
O titular dos dados pode solicitar que uma organização apague dados pessoais que lhe digam respeito nas seguintes situações:
- os dados pessoais já não são necessários para a finalidade para a qual foram recolhidos
- a organização trata os dados pessoais de forma ilegal
- a organização tem de apagar os dados pessoais devido a uma obrigação legal
- o titular dos dados retira o consentimento e o tratamento não tem outra base legal
- o titular dos dados exerceu com êxito o direito de oposição
- os menores que tenham dado o seu consentimento para utilizar um serviço em linha podem sempre solicitar o apagamento desses dados pessoais (independentemente da sua idade atual)
Quando os dados pessoais a apagar foram previamente transmitidos a outras organizações, deve informar esses destinatários de que o titular dos dados solicitou o apagamento, exceto se tal se revelar impossível ou exigir esforços desproporcionados.
Quando a sua organização é obrigada a apagar dados pessoais que tenha tornado públicos, deve tomar todas as medidas razoáveis para informar os outros responsáveis pelo tratamento desses dados de que o titular dos dados solicitou o apagamento de quaisquer ligações ou cópias ou replicações desses dados pessoais.
A sua organização só pode recusar o apagamento de dados pessoais num número limitado de casos, tais como:
- o exercício do direito à liberdade de expressão e de informação;
- a declaração, o exercício ou a defesa de um direito num processo judicial;
- o cumprimento de uma obrigação legal a que a organização esteja sujeita ou o exercício de uma missão de interesse público ou no exercício da autoridade pública que lhe foi confiada;
- razões de interesse público no domínio da saúde pública;
- fins de arquivo de interesse público, fins de investigação científica ou histórica ou fins estatísticos (em condições específicas).
Na prática
- Um funcionário da sua organização foi demitido. O funcionário solicita que os seus dados pessoais sejam apagados do seu ficheiro pessoal. No entanto, o direito do trabalho exige que guarde vários documentos de RH (registo dos membros do pessoal, cópias das folhas de vencimento, etc.) durante um determinado período de tempo. Para estes documentos, deve recusar o pedido de eliminação dos dados.
- Um antigo cliente já não deseja receber e-mails de marketing da sua organização e solicita-lhe que apague os seus dados de contacto. Uma vez que não existem razões imperiosas para continuar a processar os dados de contacto, deve apagá-los.
Direito à limitação do tratamento
Em determinadas circunstâncias, os titulares dos dados podem solicitar uma limitação do tratamento dos seus dados. Como resultado, a sua organização pode ainda reter os dados pessoais, mas deve cessar todas as outras atividades de tratamento.
O titular dos dados tem o direito de obter a limitação do tratamento de dados quando:
- o titular dos dados contesta a exatidão dos dados pessoais;
- o tratamento é ilegal: em vez de apagamento dos dados, o titular dos dados pode, em vez disso, solicitar a limitação da utilização dos dados pessoais;
- a organização já não necessita dos dados pessoais, mas os dados continuam a ser necessários para que o titular dos dados possa intentar uma ação judicial;
- o titular dos dados exerceu o direito de oposição. A limitação aplica-se durante o tempo necessário para verificar se os motivos legítimos prosseguidos pela organização prevalecem sobre os do titular dos dados.
Se o titular dos dados exercer com êxito o seu direito à limitação do tratamento, a sua organização só pode utilizar os dados em determinadas circunstâncias específicas, por exemplo com o consentimento do titular dos dados ou para a defesa de ações judiciais. Já transmitiu anteriormente os dados «restritos» a outros destinatários? Em seguida, deve informar estes destinatários da restrição do tratamento, a menos que tal se revele impossível ou exija esforços desproporcionados.
Antes de levantar a limitação, certifique-se de que informa o titular dos dados da sua intenção de o fazer.
Direito à portabilidade dos dados
O direito à portabilidade dos dados permite aos titulares dos dados obter os seus dados pessoais num formato estruturado, de uso corrente e legível por máquina. Desta forma, podem facilmente reutilizar os dados e, se assim o desejarem, transmitir os seus dados a outro responsável pelo tratamento de dados. O direito à portabilidade dos dados só pode ser exercido se estas três condições estiverem preenchidas simultaneamente:
- o tratamento se baseiar no consentimento ou num contrato;
- o tratamento for automatizado (ou seja, sem documentos em papel);
- e os titulares dos dados tiverem fornecido eles próprios os dados. Tal inclui também quaisquer dados que a sua organização tenha observado com base no comportamento do titular dos dados (por exemplo, com acessórios ligados).
Por conseguinte, este direito não diz respeito aos dados que a própria organização cria com base nos dados acima referidos.
Mais concretamente, os titulares dos dados têm o direito de:
- obter os seus dados pessoais num formato estruturado, de uso corrente e legível por máquina. O formato deve permitir ao titular dos dados reutilizar os dados pessoais para outro serviço.
Exemplo: XML, JSON e CSV são formatos comuns que cumprem este critério. Os metadados também devem ser fornecidos para que os dados possam ser utilizados noutra plataforma. Um formato PDF não é suficiente. - ter os seus dados pessoais transferidos diretamente para outro responsável pelo tratamento de dados. A sua organização só deve fazê-lo se tal transferência direta for tecnicamente possível.
Na prática
- A sua organização presta serviços de streaming de música em linha. Os seus clientes podem solicitar a transferência das suas listas de música para outro serviço de streaming de música.
- É uma PME que oferece um serviço de webmail. Se o seu cliente que tem uma conta de correio eletrónico para necessidades puramente pessoais ou domésticas o solicitar, deve transferir a sua lista de endereços e os seus e-mails para outro serviço de correio eletrónico, desde que tal seja tecnicamente viável. Se tal não for possível, terá de fornecer ao cliente a lista de endereços e os e-mails num formato digital reutilizável.
Direito de oposição
Os titulares dos dados podem opor-se ao tratamento de dados pessoais que lhes digam respeito «por motivos relacionados com a sua situação particular». O direito de oposição só pode ser exercido se o tratamento se basear numa das seguintes bases legais:
- o interesse legítimo da organização ou de um terceiro; ou
- o desempenho de uma missão de interesse público ou no exercício da autoridade pública.
Noutras situações, o titular dos dados não pode exercer o direito de oposição porque, para as outras bases legais, existem alternativas para atingir a mesma finalidade: em caso de consentimento, o titular dos dados pode simplesmente retirar o consentimento. O titular dos dados não pode opor-se a um tratamento imposto por lei.
Quando os titulares dos dados exercem o direito de oposição, a sua organização tem de equilibrar os interesses de ambas as partes. Deve cessar todo o tratamento destes dados pessoais, a menos que possa demonstrar razões legítimas imperiosas que se sobreponham aos direitos e liberdades do titular dos dados (por exemplo, está a intentar uma ação judicial). A sua organização deve documentar e comunicar estas razões ao titular dos dados.
Importante tomar nota
Quando os dados são tratados para fins de marketing, o titular dos dados tem o direito de se opor a este tratamento sem apresentar qualquer motivo. Neste caso, as razões pelas quais a sua organização está a tratar estes dados não são relevantes, mas a objeção deve levar ao fim imediato do tratamento para este fim.
Na prática
- É uma pequena empresa de marketing de eventos. Quando uma pessoa compra um bilhete para o concerto de uma banda online, recebe anúncios para outros concertos semelhantes. Se a pessoa quiser parar de receber estes anúncios e objetos, a organização deve parar o marketing direto.
- É uma PME ativa no setor dos seguros. Neste setor, os dados pessoais são necessários em determinadas situações para combater as práticas de branqueamento de capitais. Pode, enquanto corretor de seguros, recusar-se a dar seguimento a um direito de oposição, uma vez que as suas leis nacionais em matéria de luta contra o branqueamento de capitais o obrigam a tratar os dados.
Leia mais
O direito a não estar sujeito a uma decisão baseada exclusivamente num tratamento automatizado
Uma pessoa tem o direito de não ser objeto de uma decisão totalmente automática (ou seja, sem qualquer intervenção humana no processo decisório), que tenha efeitos jurídicos ou afete significativamente a pessoa em questão.
A tomada de decisões automatizadas é frequentemente acompanhada da definição de perfis, definida no RGPD como «qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados pessoais para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos relacionados com o seu desempennho profissional, a sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocações» (artigo 4.º, n.º 4, do RGPD).
Para que este direito seja aplicável, o tratamento automatizado deve implicar:
- uma decisão que se baseia exclusivamente no tratamento automatizado, sem intervenção humana. Isto significa que nenhuma pessoa singular tem um controlo significativo sobre a decisão e não pode, por exemplo, alterar ou reverter a decisão;
- uma decisão que produza efeitos jurídicos para os titulares dos dados ou que os afete significativamente.
Na prática
- Um exemplo de efeitos jurídicos pode ser a rescisão automática de um contrato de telefonia porque o cliente não pagou a fatura mensal.
- Uma decisão que afete significativamente a pessoa pode ser encontrada nos seguintes exemplos (embora, naturalmente, o contexto deva sempre ser tido em conta ao avaliar se o impacto no titular dos dados é significativo):
- decisões que afetam a situação financeira das pessoas, tais como a sua elegibilidade para a retirada de crédito;
- recusa automática dos requerentes que se candidatem através de uma plataforma em linha;
- diferenciação de preços com base no histórico de navegação e nos hábitos de compra do consumidor;
- decisões que afetam o acesso de alguém à educação, por exemplo, as admissões universitárias.
Há três situações em que uma decisão individual automatizada ainda pode ser tomada:
- se tal for permitido por lei (por exemplo, prevenção da fraude ou da evasão fiscal);
- se a decisão se basear no consentimento explícito do titular dos dados; ou
- se for necessário para a celebração ou execução de um contrato. No entanto, esteja ciente de que, nesta última situação, depende sempre de uma avaliação caso a caso. Logo que existam métodos menos invasivos da privacidade para celebrar ou executar o contrato, a decisão automatizada deixa de ser considerada «necessária».
Se estiverem envolvidos dados sensíveis, a tomada de decisões automatizada só é possível com base num consentimento explícito ou num interesse público substancial nos termos do direito da União ou do direito nacional.
Direitos do titular dos dados para cada base legal
