Base legal: Interesses Legítimos

Os interesses legítimos são a base legal mais flexível para o processamento de dados, mas não se pode presumir que será sempre a base legal mais indicada. Esta base legal aplica-se quando os titulares dos dados pessoais consideram a utilização dos seus dados pessoais como razoável e se tiverem um impacto mínimo na sua privacidade ou quando existe uma justificação para o seu processamento.

Quando os interesses legítimos são usados como base legal, existe uma responsabilidade adicional no que toca a considerar e proteger os direitos e interesses dos titulares dos dados pessoais. Como sempre, a ação deve ser documentada para justificar o porquê e como os dados pessoais foram recolhidos e processados e, se relevante, os indivíduos devem ser informados.

O que são “Interesses Legítimos”?

Segundo o Artigo 6(1)(f), “o tratamento é necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.”.

Isso pode ser dividido em um teste de três partes:

  1. Objetivo: existe um interesse legítimo envolvido?

    Os interesses legítimos podem ser de qualquer uma das partes envolvidas e podem incluir interesses comerciais, interesses individuais ou benefícios sociais mais amplos.

  2. Necessidade: o processamento é necessário para esse fim?

    O processamento deve ser uma maneira direcionada e proporcional de atingir o objetivo principal.

  3. Equilíbrio: os interesses do indivíduo sobrepõem-se ao interesse legítimo?

    Tem de haver um equilíbrio entre os interesses de ambas as partes. Se a utilização dos dados pessoais não for considerada como razoável ou se causarem danos injustificados, os interesses dos titulares provavelmente impedem o uso desta base legal.

Dados de clientes e colaboradores, prevenção de fraudes de marketing, transferências entre grupos e segurança de TI são especificamente referenciados no RGPD como interesses legítimos. A divulgação de informações sobre possíveis atos criminosos ou ameaças de segurança às autoridades também são considerados como interesse legítimo.

Quando pode ser Aplicado?

Interesse legítimo é a base legal mais flexível, mas não se deve presumir que será sempre a mais apropriada para o processamento de dados pessoais.
Ao escolher o interesse legítimo, existe responsabilidade extra implícita na garantia de que os direitos e interesses das pessoas são totalmente considerados e protegidos.

É mais provável que o interesse legítimo seja uma base apropriada quando os dados são usados ??de maneira que as pessoas consideram como razoável e tenham um impacto mínimo na sua privacidade. Se houver um impacto sobre os indivíduos, esta base legal ainda pode ser aplicada quando existe uma justificação convincente de um benefício para o seu processamento e o seu impacto seja igualmente justificado.

Em particular as autoridades públicas, só podem confiar no interesse legítimo quando processam os dados pessoais por uma razão legítima diferente da execução das suas tarefas como uma autoridade pública.

Necessita de ajuda com o RGPD?

Contacte-nos para saber as soluções RGPD que temos disponíveis.

Base Legal: Interesse Público

O interesse público é aplicável quando o processamento de dados pessoais é exigido no exercício da autoridade oficial ou quando a lei o permite no interesse público.
É mais relevante para as autoridades públicas, mas pode ser aplicado a qualquer organização que exerça autoridade oficial ou desempenhe tarefas de interesse público. Não é necessário um poder estatutário específico para processar dados pessoais, mas a tarefa, função ou poder subjacente deve ter uma base clara na lei. O processamento deve ser necessário. Se a tarefa ou os poderes exercidos poderem ser executados de uma forma menos intrusiva, esta base legal não se aplica. Como sempre, a ação deve ser documentada para justificar o porquê e como os dados pessoais foram coletados e processados e, se relevantes, os indivíduos devem ser informados.

O que é “Interesse Público”?

Segundo o Artigo 6(1)(e), “o tratamento é necessário para o desempenho de uma tarefa realizada no interesse público ou no exercício da autoridade pública do responsável pelo tratamento”.

Quando pode ser Aplicado?

A aplicação desta base legal é principalmente impulsionada pela lei. Quando a lei estabelece uma tarefa específica de interesse público ou quando é necessário um exercício de autoridade oficial, tais como tarefas, funções, deveres ou poderes de um organismo público. Isto contempla funções públicas e poderes que são estabelecidos em lei.

Necessita de ajuda com o RGPD?

Contacte-nos para saber as soluções RGPD que temos disponíveis.

Base Legal: Contrato

Existe base legal para processamento de dados pessoais quando os dados pessoais de um indivíduo são necessários para cumprir uma obrigação contratual ou quando o indivíduo pede a uma organização que faça algo antes de acordar um contrato.

A segunda parte não se aplica quando uma organização pode, de forma razoável, obter o mesmo resultado sem efetuar o processamento de dados pessoais.
Como sempre, a ação deve ser documentada para justificar o porquê e o como da recolha e processamento dos dados pessoais.

Contratos

Quando o processamento de dados pessoais é exigido para um contrato com um indivíduo, não é necessário um consentimento separado do mesmo. Isso é bastante simples e direto.

Quando está envolvida uma categoria especial para a elaboração do contrato, então é necessário identificar separadamente a condição para o processamento desses dados.

Quando o contrato é com um menor de 18 anos, a organização deve considerar se o menor tem a competência necessária para celebrar o contrato. Em caso de dúvida, poderá ser aplicada outra base legal, por exemplo, de interesses legítimos se se demonstrar que os direitos e interesses do menor são devidamente considerados e protegidos.

Direitos

Quando os dados pessoais são processados tendo como base o contrato, o direito do indivíduo a contestar e o direito de não estar sujeito a uma decisão baseada unicamente no processamento automatizado não se aplica. No entanto, o indivíduo tem direito à portabilidade dos dados.

Podemos ajudar com o RGPD?

Contacte-nos para saber como podemos ajudar no RGPD.

Quais as organizações que necessitam de um DPO?

De acordo com o RGPD, certas organizações são obrigadas a nomear um Diretor de Proteção de Dados (DPO). As organizações também são obrigadas a publicar os detalhes de seu DPO e fornecer esses detalhes à autoridade nacional de supervisão.

Uma organização é obrigada a nomear um DPO quando:

  • o tratamento é realizado por uma autoridade ou organismo público;
  • as atividades principais do responsável pelo tratamento ou do subcontratante consistem em operações de tratamento que necessitam de um acompanhamento regular e sistemático dos titulares dos dados em grande escala; ou
  • as atividades principais do controlador ou do processador consistem no processamento em larga escala de categorias especiais de dados ou dados pessoais relacionados com condenações.

Necessita de ajuda com o RGPD?

Contacte-nos se precisar de ajuda em RGPD.

Princípios do RGPD

O RGPD define as principais responsabilidades das organizações no que respeita à proteção de dados e processamento de dados pessoais.

O Artigo 5 do RGPD introduz os dois pilares da proteção e processamento dos dados pessoas. De forma simples, introduz os princípios relacionados com os dados e quem é responsável pelo seu cumprimento.

Princípios dos Dados Pessoais

Ao abrigo do RGPD, os dados pessoais serão:

  • objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados;
  • recolhidos para finalidades determinadas, explícitas e legítimas e não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades; o tratamento posterior para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, não é considerado incompatível com as finalidades iniciais;
  • adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados;
  • exatos e atualizados sempre que necessário; devem ser adotadas todas as medidas adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora;
  • conservados de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados; os dados pessoais podem ser conservados durante períodos mais longos, desde que sejam tratados exclusivamente para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, sujeitos à aplicação das medidas técnicas e organizacionais adequadas exigidas pelo presente regulamento, a fim de salvaguardar os direitos e liberdades do titular dos dados;
  • tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizacionais adequadas.

Como é compreensível acima, existem limitações de finalidade e conservação onde os tratamento dos dados foi, de alguma forma, estendido.
Existem assim garantias e derrogações relativas ao tratamento para fins de arquivo de interesse público ou para fins de investigação científica ou histórica ou para fins estatísticos, tal como especificado no Artigo 89.

Responsável

Ao abrigo do RGPD, é necessária a existência de um responsável que será

responsável pelo cumprimento e ter forma de o comprovar.

De forma simples, as organizações têm de ter um Data Protection Officer (commumente referido como DPO) que é responsável por garantir o cumprimento e demonstrar esse cumprimento no que toca aos princípios dos dados pessoais.

Dependendo do tamanho da organização, o DPO poderá ser alguém da própria organização, exceptuando os casos de administradores, por óbvias razões de potenciais conflitos.

Precisa de ajuda com o RGPD?

Temos solução para os seus problemas de RGPD. Contacte-nos.

O que é o RGPD

O RGPD, comummente também referido como GDPR por ser a sigla em inglês de General Data Protection Regulation, refere-se ao regulamento europeu 2016/679 sobre proteção e dados pessoais.

O RGPD define os direitos e obrigações legais relativos à recolha, processamento e circulação de dados pessoais dos cidadãos da UE. Fornece um nível de proteção elevado e coerente, equivalente em todos os Estados Membros, e é extensível às organizações externas à UE que trabalham com dados pessoais dos cidadãos da UE.

As obrigações relacionadas com a manipulação de dados pessoais abrangem agora situações como o direito a ser esquecido e a obrigatoriedade de informar o regulador no caso de existir uma violação de segurança que possa comprometer o acesso aos dados pessoais por pessoas não autorizadas para o efeito.

Afinal o que são “dados pessoais”?

De forma simples, são todos os dados sobre uma pessoa que uma organização recolhe, armazena e transmite: formulários web, cookies, preferências de utilizador, relatórios médicos, recibos de vencimento, etc.. O RGPD reforça o processamento dos dados pessoais de forma legal, justa e transparente em relação à pessoa em causa.
Ao nível legal, no RGPD os dados pessoais são definidos como

informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular

Consulte o Artigo 4 para mais informação.

E os dados altamente sensíveis?

O RGPD leva em consideração tipos especiais de dados altamente sensíveis, como seja informação médica, convicções criminais, vida sexual, orientações políticas, dados genéticos, etc.. Em tais casos, aplicam-se regras especiais.

Consulte o Artigo 9 para mais informação.

A quem se aplica?

O RGPD aplica-se a todas as pessoas e organizações que recolham, reúnam, transmitam ou processem de qualquer forma os dados pessoais dos cidadãos da União Europeia. Sim, isso significa que as organizações não pertencentes à UE têm igualmente de cumprir com este regulamento quando tratam dados pessoais de cidadãos da UE.

As micro, pequenas e médias empresas têm níveis de conformidade um pouco mais simplificados. Tal inclui uma derrogação para organizações com menos de 250 colaboradores em relação à manutenção de registos.

As organizações públicas e de direito penal são abrangidas por regras especiais, uma vez que abordam questões específicas de índoles nacionais e europeias.

Quão difícil é cumprir com o RGPD?

Como é obviamente compreensível, tal dependerá de quão grande seja sua organização, o que ela faz e como ela já aborda o processamento de dados pessoais.

A melhor estratégia para a conformidade começa com uma avaliação realizada por uma equipe multidisciplinar composta por pessoas certificadas em RGPD, advogados conhecedores do RGPD e uma equipa de TI pragmática que compreende verdadeiramente o RGPD.

Precisa de ajuda com o RGPD?

Contacte-nos se precisar de ajuda em RGPD.