Base Legal: Obrigações Legais

A obrigação legal é aplicável como base legal quando é necessário processar dados pessoais para cumprimento da lei ou de uma obrigação legal. Neste caso, deve haver uma disposição legal específica ou uma fonte apropriada de aconselhamento ou orientação que estabeleça claramente a obrigação.
Tal não se aplica às obrigações contratuais e não se aplica quando é razoavelmente possível alcançar o mesmo objetivo sem processar dados pessoais.
Como sempre, a ação deve ser documentada para justificar o porquê e como os dados pessoais foram recolhidos e processados.

Quando se aplica?

Esta base legal é aplicada quando uma organização é obrigada a processar os dados pessoais para cumprimento da lei.
É necessário ter em consideração de que a Razão 41 confirma que esta  não tem de ser uma obrigação estatutária explícita, desde que a aplicação da lei seja de aplicação previsível. Por esta razão, inclui obrigações claras de direito comum.

De forma simples, é aplicada sempre que um estado membro ou a legislação da UE assim o obrigar, porque o objetivo geral é cumprir uma obrigação legal que tenha uma base suficientemente clara no direito comum ou no estatuto.

Obviamente, exige a identificação da obrigação em questão, seja por referência à disposição legal específica, seja por indicação de uma fonte adequada de orientação ou conselho que a defina claramente. Por exemplo, pode referir um site do governo ou uma orientação geral da indústria ou setor que explique as obrigações legais aplicáveis.

Necessita de ajuda com o RGPD?

Contacte-nos para saber as soluções RGPD que temos disponíveis.

Base Legal para Processamento de Dados Pessoais

O RGPD impõe que as organizações tenham uma base legal válida para processar dados pessoais de forma a que o tratamento seja considerado lícito.
Existem seis bases legais, todas de importância igual, embora a escolha da base mais adequada a usar dependerá do propósito da organização e da sua relação com as pessoas.

A base legal deve ser determinada antes do início do processamento de dados porque deve ser documentada, juntamente com os propósitos do processamento de dados, e incluída no aviso de privacidade aceite pelas pessoas. Isso deixa claro a que é que as pessoas estão dando o seu consentimento.

Se os propósitos mudarem, a menos que sejam compatíveis com o propósito inicial, será necessário alterar a base legal, e poderá ser necessário refazer os processos de documentação, consentimento, etc..

Bases Legais para Processamento de Dados

As seis bases legais para processamento de dados pessoais são definidas no Artigo 6:

  • a pessoa em causa consentiu o processamento dos seus dados pessoais para um ou mais fins específicos;
  • o processamento é necessário para a execução de um contrato do qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados;
  • o processamento é necessário para o cumprimento de uma obrigação jurídica ou legal a que o responsável pelo tratamento está sujeito;
  • o processamento é necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular;
  • o processamento é necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento;
  • o processamento é necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança. Isso não se aplica ao processamento realizado pelas autoridades públicas no desempenho de suas tarefas.

As atividades de processamento que se enquadram no cumprimento de um contrato, obrigação legal, interesses vitais e tarefa pública podem ser bastante simples e diretas na sua identificação. A chave para muitos estará na avaliação sobre se o Consentimento ou os Interesses Legítimos serão mais apropriados para o processamento específico das informações pessoais.

Processamento de Dados de Categoria Especial

Ao processar dados de categorias especiais, é necessário identificar uma base legal para o processamento geral e uma condição adicional para o processamento desse tipo de dados.

Processamento de Dados Criminais

Ao processar dados de condenação criminal ou dados sobre ofensas, é necessário identificar uma base legal para o processamento geral e uma condição adicional para o processamento desse tipo de dados.

Podemos ajudar no RGPD?

Temos várias soluções de RGPD. Contacte-nos.

O que é o RGPD

O RGPD, comummente também referido como GDPR por ser a sigla em inglês de General Data Protection Regulation, refere-se ao regulamento europeu 2016/679 sobre proteção e dados pessoais.

O RGPD define os direitos e obrigações legais relativos à recolha, processamento e circulação de dados pessoais dos cidadãos da UE. Fornece um nível de proteção elevado e coerente, equivalente em todos os Estados Membros, e é extensível às organizações externas à UE que trabalham com dados pessoais dos cidadãos da UE.

As obrigações relacionadas com a manipulação de dados pessoais abrangem agora situações como o direito a ser esquecido e a obrigatoriedade de informar o regulador no caso de existir uma violação de segurança que possa comprometer o acesso aos dados pessoais por pessoas não autorizadas para o efeito.

Afinal o que são “dados pessoais”?

De forma simples, são todos os dados sobre uma pessoa que uma organização recolhe, armazena e transmite: formulários web, cookies, preferências de utilizador, relatórios médicos, recibos de vencimento, etc.. O RGPD reforça o processamento dos dados pessoais de forma legal, justa e transparente em relação à pessoa em causa.
Ao nível legal, no RGPD os dados pessoais são definidos como

informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular

Consulte o Artigo 4 para mais informação.

E os dados altamente sensíveis?

O RGPD leva em consideração tipos especiais de dados altamente sensíveis, como seja informação médica, convicções criminais, vida sexual, orientações políticas, dados genéticos, etc.. Em tais casos, aplicam-se regras especiais.

Consulte o Artigo 9 para mais informação.

A quem se aplica?

O RGPD aplica-se a todas as pessoas e organizações que recolham, reúnam, transmitam ou processem de qualquer forma os dados pessoais dos cidadãos da União Europeia. Sim, isso significa que as organizações não pertencentes à UE têm igualmente de cumprir com este regulamento quando tratam dados pessoais de cidadãos da UE.

As micro, pequenas e médias empresas têm níveis de conformidade um pouco mais simplificados. Tal inclui uma derrogação para organizações com menos de 250 colaboradores em relação à manutenção de registos.

As organizações públicas e de direito penal são abrangidas por regras especiais, uma vez que abordam questões específicas de índoles nacionais e europeias.

Quão difícil é cumprir com o RGPD?

Como é obviamente compreensível, tal dependerá de quão grande seja sua organização, o que ela faz e como ela já aborda o processamento de dados pessoais.

A melhor estratégia para a conformidade começa com uma avaliação realizada por uma equipe multidisciplinar composta por pessoas certificadas em RGPD, advogados conhecedores do RGPD e uma equipa de TI pragmática que compreende verdadeiramente o RGPD.

Precisa de ajuda com o RGPD?

Contacte-nos se precisar de ajuda em RGPD.