O que se entende por tratamento de dados pessoais?
O tratamento abrange um amplo conjunto de operações efetuadas sobre dados pessoais, por meios manuais ou automatizados. Inclui a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição de dados pessoais.
Exemplos de tratamento de dados:
- gestão de pessoal e de folhas de pagamentos;
- acesso/consulta de uma base de dados de contactos que contenha dados pessoais;
- envio de mensagens de correio eletrónico promocionais;
- destruição de documentos que contenham dados pessoais;
- publicação/colocação de uma foto de uma pessoa num sítio web;
- armazenamento de endereços IP ou endereços MAC;
- gravação de vídeo (CCTV).
Princípios base do tratamento de dados
Transparência – O tratamento deve ser feito de forma licita, leal e transparente em relação ao titular dos dados;
Finalidade – Os dados devem ser recolhidos para finalidades determinadas e explicitas e não podem ser tratados posteriormente para finalidades diversas;
Minimizaçao - Os dados recolhidos devem ser limitados ao que é necessário relativamente às finalidades para os quais são tratados;
Precisão – Os dados devem ser exatos e atualizados sempre que necessário e quando sejam inexatos devem ser corrigidos ou eliminados;
Conservação – Os dados devem ser conservados apenas durante o período necessário para a concretização das finalidades para que foram recolhidos;
Integralidade e confidencialidade dos dados - Os dados devem ser tratados de uma forma que garanta a sua segurança, protegendo-os de tratamentos não autorizados ou ilícitos e contra a sua perda, destruição ou danificação;
Responsabildade - O responsável pelo tratamento é responsável pelo cumprimento das normas do RGPD.
Fundamentos para tratamento dos dados
O tratamento de dados pessoais só é licito se tiver como fundamento:
- Cumprimento de obrigações legais, a que o responsável do tratamento esteja sujeito;
- Contrato, se for necessário para a execução de um contrato;
- Interesse legítimo, prosseguido pelo responsável pelo tratamento ou por terceiros;
- Consentimento do titular dos dados, dado de forma específica, informada, livre e inequívoca, através da qual por declaração ou ato positivo o titular comunica o seu acordo para o tratamento dos seus dados pessoais.
O pedido de consentimento tem de ser apresentado em linguagem simples, não técnica, e ser facilmente entendível, sem referir outros textos ou documentos e deve apresentar as seguintes informações:
- Que dados são recolhidos;
- Que uso é dado aos dados;
- Que dados são transferidos e a quem;
- Se é recolhida informação de localização.
O responsável pelo tratamento deve conseguir demonstrar que o titular dos dados deu o seu consentimento para o tratamento dos mesmos.
O consentimento pode ser revogado em qualquer altura e o processo deve ser fácil e imediato.
Registo das atividades de tratamento
Apenas as empresas com mais de 250 trabalhadores são obrigadas a conservar um registo das atividades sob a sua responsabilidade que inclua, designadamente a seguinte informação: tipo de dados tratados, finalidades, descrição das categorias de titulares de dados e destinatários dos mesmos, medidas de segurança e prazo de conservação