Regulamento Geral sobre a Proteção de Dados

(RGPD)

Aplicação em Portugal - 2024

Documento elaborado em conformidade com:

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho

Lei n.º 58/2019, de 8 de agosto (Lei de Execução Nacional do RGPD em Portugal)

1. INTRODUÇÃO

O Regulamento Geral sobre a Proteção de Dados (RGPD) estabelece as regras relativas ao tratamento de dados pessoais e à livre circulação desses dados na União Europeia. Em Portugal, o RGPD é complementado pela Lei n.º 58/2019, de 8 de agosto, que define as especificidades nacionais de aplicação.

2. DIREITOS DOS TITULARES DE DADOS

Os titulares de dados pessoais gozam dos seguintes direitos fundamentais:

2.1 Direito de Acesso

O titular tem o direito de obter confirmação sobre se os seus dados pessoais estão a ser tratados e, em caso afirmativo, aceder aos mesmos e às informações sobre o tratamento.

2.2 Direito de Retificação

O titular tem o direito de obter a retificação dos dados pessoais inexatos que lhe digam respeito e de completar dados incompletos.

2.3 Direito ao Apagamento (Direito ao Esquecimento)

O titular tem o direito de obter o apagamento dos seus dados pessoais quando se verifiquem determinadas condições previstas no RGPD.

2.4 Direito à Limitação do Tratamento

O titular tem o direito de obter a limitação do tratamento dos seus dados pessoais em circunstâncias específicas.

2.5 Direito à Portabilidade dos Dados

O titular tem o direito de receber os dados pessoais que lhe digam respeito num formato estruturado, de uso corrente e de leitura automática.

2.6 Direito de Oposição

O titular tem o direito de se opor ao tratamento dos seus dados pessoais por motivos relacionados com a sua situação particular.

2.7 Direito à Revogação do Consentimento

O titular tem o direito de revogar o seu consentimento a qualquer momento, sem comprometer a licitude do tratamento efetuado com base no consentimento previamente dado.

3. OBRIGAÇÕES DAS EMPRESAS

3.1 Consentimento Válido

As empresas devem garantir que o consentimento seja:

Livre e específico

Informado e inequívoco

Dado por uma manifestação de vontade clara

Facilmente revogável

3.2 Encarregado da Proteção de Dados (DPO)

As empresas devem nomear um Encarregado da Proteção de Dados quando:

Tratam dados em grande escala

Tratam categorias especiais de dados

Exercem atividades de controlo regular e sistemático

3.3 Transparência e Facilitação de Direitos

As empresas devem:

Comunicar de forma clara e transparente

Facilitar o exercício dos direitos dos titulares

Responder aos pedidos no prazo de um mês

3.4 Responsabilidade por Subcontratantes

As empresas são responsáveis pelos subcontratantes que processam dados em seu nome, devendo garantir contratos adequados e supervisão.

3.5 Tratamento Conforme a Finalidade

Os dados devem ser:

Tratados de forma lícita, leal e transparente

Recolhidos para finalidades determinadas, explícitas e legítimas

Adequados, pertinentes e limitados ao necessário

Exatos e atualizados

Conservados apenas pelo tempo necessário

Tratados de forma segura

4. MEDIDAS DE CONFORMIDADE

4.1 Avaliação de Impacto sobre a Proteção de Dados

Obrigatória quando o tratamento apresentar elevado risco para os direitos e liberdades das pessoas singulares.

4.2 Notificação de Violações de Dados

As violações de dados devem ser notificadas à CNPD no prazo de 72 horas após ter conhecimento da mesma.

4.3 Registos das Atividades de Tratamento

As empresas devem manter registos escritos de todas as atividades de tratamento sob a sua responsabilidade.

4.4 Proteção de Dados desde a Conceção

Implementar medidas técnicas e organizativas adequadas desde a conceção dos sistemas e por defeito.

5. AUTORIDADE DE CONTROLO

Comissão Nacional de Proteção de Dados (CNPD)

A CNPD é a autoridade nacional responsável pela:

Fiscalização do cumprimento do RGPD

Garantia dos direitos dos titulares

Aplicação de sanções e coimas

Emissão de pareceres e orientações

6. PENALIDADES E COIMAS

Conforme a Lei n.º 58/2019, de 8 de agosto:

6.1 Contraordenações Muito Graves (Artigo 37.º)

Grandes empresas: 5.000€ a 20.000.000€ ou 4% do volume de negócios anual

PME: 2.000€ a 2.000.000€ ou 4% do volume de negócios anual

Pessoas singulares: 1.000€ a 500.000€

6.2 Contraordenações Graves (Artigo 38.º)

Grandes empresas: 2.500€ a 10.000.000€ ou 2% do volume de negócios anual

PME: 1.000€ a 1.000.000€ ou 2% do volume de negócios anual

Pessoas singulares: 500€ a 250.000€

6.3 Critérios para Determinação da Coima

São considerados os seguintes fatores:

Situação económica do agente

Volume de negócios e balanço anual

Caráter continuado da infração

Dimensão da entidade (número de trabalhadores)

Natureza dos serviços prestados

7. DISPOSIÇÕES ESPECIAIS

7.1 Entidades Públicas

As coimas aplicam-se também a entidades públicas, que podem solicitar dispensa à CNPD por um período de 3 anos.

7.2 Transferências Internacionais

As transferências de dados para países terceiros devem cumprir as salvaguardas adequadas previstas no RGPD.

8. RECOMENDAÇÕES PRÁTICAS

Implementar políticas de privacidade claras e acessíveis

Formar colaboradores sobre proteção de dados

Realizar auditorias regulares de conformidade

Manter documentação atualizada sobre tratamentos de dados

Estabelecer procedimentos para resposta a pedidos dos titulares

Implementar medidas de segurança técnicas e organizativas

9. CONCLUSÃO

O cumprimento do RGPD em Portugal exige uma abordagem abrangente que combine o conhecimento do regulamento europeu com as especificidades da lei nacional. As empresas devem implementar medidas proativas de conformidade para proteger os direitos dos titulares de dados e evitar sanções significativas.

Data de elaboração: 23 de setembro de 2024

Legislação de referência: Regulamento (UE) 2016/679 e Lei n.º 58/2019, de 8 de agosto