A iubenda implementou um sistema que lhe permite aplicar diferentes direitos a diferentes grupos de utilizadores, cujos dados pessoais recolhe e trata enquanto “responsável pelo tratamento” (este é o termo que o RGPD utiliza para quem determina as finalidades e a forma de tratamento de dados pessoais).
👋 Se visar utilizadores baseados nos EUA, a Lei relativa à Privacidade dos Consumidores da Califórnia [California Consumer Privacy Act] (CCPA) poderá aplicar-se a si. Pode consultar tudo sobre a CCPA e fazer a nossa avaliação gratuita aqui.
Pode escolher “Aplicar as normas de proteção mais abrangentes do RGPD”
Pode encontrar o botão aqui:
Depois de decidir que direitos pretende oferecer a quem, pode continuar.
Se for um responsável pelo tratamento estabelecido nos EUA, poderá escolher aplicar direitos básicos aos seus utilizadores, tal como exigido pela legislação dos EUA. No entanto, se parte das suas atividades de tratamento consistirem na oferta de bens ou serviços, pagos ou gratuitos, a utilizadores estabelecidos na UE, ou na monitorização do comportamento na UE, é obrigado, nesses casos, a aplicar normas de proteção mais abrangentes.
A aplicação de normas de proteção mais abrangentes compreende implicações adicionais, tal como descrito abaixo.
Se recolher Dados Pessoais dentro da UE, pode transferi-los para outro país da UE ou do EEE. No entanto, se pretender transferi-los para outros países, como a Suíça ou os EUA, tem de recorrer a uma base legal válida que permita tal transferência.
Serviços que pode considerar adicionar:
Sempre que trabalhar com parceiros ou adicionar serviços fora da UE/EEE (como, por exemplo, o Google Analytics), está a transferir dados pessoais para fora da UE. Os serviços enumerados no nosso gerador têm uma estimativa do local de estabelecimento do serviço.
Ao adicionar um serviço personalizado (ou seja, um serviço escrito por si), não se esqueça de indicar o fundamento jurídico para tal transferência.
Se for um responsável pelo tratamento fora da UE, transfere dados pessoais para fora da UE cada vez que recolhe dados de utilizadores estabelecidos na UE. Por favor, certifique-se de que o faz de acordo com um dos fundamentos jurídicos para a transferência.
O RGPD prevê vários fundamentos jurídicos válidos para a transferência de dados para fora da UE. Os mais relevantes são:
Sempre que a Comissão Europeia considera que determinado país no mundo garante normas de proteção de dados comparáveis com as aplicáveis na UE, emite uma decisão de adequação. Se planear transferir dados para tal país, poderá fazê-lo – deve apenas avisar os seus Utilizadores através da sua política de privacidade.
Até à data, as decisões de adequação foram adotadas para Andorra, Argentina, Canadá (organizações comerciais), Ilhas Faroé, Guernsey, Israel, Ilha de Man, Jersey, Nova Zelândia, Suíça, Uruguai e Japão.
Serviço a adicionar, neste caso: “Transferência de dados para países que garantam as normas europeias“.
Se o país para o qual planeia exportar dados parece não garantir um nível de proteção adequado, pode verificar se o importador de dados em causa (ou seja, a empresa ou pessoa para quem está a exportar os dados) cumpre normas mais restritas. Para tal, celebrará um contrato com o importador de dados que inclua cláusulas contratuais-tipo redigidas pela Comissão Europeia. Na maioria dos casos, utilizará as cláusulas contratuais-tipo com Responsáveis pelo tratamento estabelecidos na UE que exportem dados para Responsáveis pelo tratamento estabelecidos noutros locais.
Aqui, mais uma vez: caso tenha celebrado tal contrato, poderá transferir dados pessoais – mas tem de o referir na sua política de privacidade.
Serviço a adicionar, neste caso: “Transferência de Dados para o estrangeiro com base em cláusulas contratuais-tipo“.
Finalmente, se nenhuma das opções indicadas acima parecer viável, deve recolher o consentimento dos seus Utilizadores para transferir os seus dados para fora da UE. Este é o cenário mais complicado uma vez que tem de se certificar que o seu consentimento é – entre outros aspetos – “informado”. Quer mesmo saber o que acontecerá aos dados do Utilizador depois de serem exportados para fora da UE? Sabe que tipo de medidas de segurança são previstas pela legislação local, ou adotadas por iniciativa do importador de dados, para garantir a proteção dos dados pessoais?
Se conseguir responder a estas questões poderá solicitar o consentimento dos seus Utilizadores para a transferência de dados pessoais. Se não conseguir, tenha cuidado: nenhum consentimento recolhido será considerado como “informado“, sendo, como tal, nulo.
Serviço a adicionar, neste caso: “Transferência de dados para o estrangeiro com base no consentimento“.
Finalmente, um facto menos conhecido é o de que o RGPD refere outras opções (apesar de menos relevantes) para a transferência de dados para fora da UE. Se baseia a sua transferência em qualquer uma destas opções, deve escolher o serviço “Outros fundamentos jurídicos para a transferência de Dados para o estrangeiro” e especificar ou adicionar qualquer pormenor relevante pela adição de um cláusula personalizada.
Se está a transferir dados pessoais da Suíça para outro país, tem de o fazer de acordo com um dos fundamentos jurídicos reconhecidos pela Lei suíça.
Pode ser consultada informação sobre as normas de proteção de dados pessoais a nível federal, na Suíça, aqui.
A definição de perfis refere-se a qualquer forma automatizada de tratamento de dados pessoais realizada no sentido de avaliar certos aspetos pessoais relacionados com um pessoa singular, nomeadamente, analisar ou prever aspetos relacionados com o seu desempenho no trabalho, situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou movimentos.
Se definir perfis para os seus utilizadores, tem de os informar. Como tal, deve selecionar a respetiva cláusula no gerador de políticas de privacidade.
Serviços que pode considerar adicionar:
Se vender produtos e mantiver registos das escolhas dos utilizadores para fins comerciais, dividindo-os em categorias relevantes como idade, género, origem geográfica, etc., está a definir perfis.
A tomada de decisão automatizada, ou TDA, é um processo que lhe permite tomar decisões que poderão produzir efeitos legais ou similares nos utilizadores de forma totalmente automatizada, sem qualquer intervenção humana. A TDA pode igualmente ser baseada na definição de perfis (ver acima).
Deve informar os seus utilizadores se estiver a implementar um processo de TDA. Como tal, deve selecionar a respetiva cláusula no gerador de políticas de privacidade. Tenha em conta que os utilizadores gozam de um direito específico de oposição a processos de TDA, especificado na secção reservada à tomada de decisão automatizada da política de privacidade que gerar.
Serviços que pode considerar adicionar:
É um banco. Para decidir se os utilizadores são elegíveis para um empréstimo, pede-lhe que insiram os seus dados pessoais num formulário. Esses dados são avaliados através de um algoritmo de forma totalmente automatizada, e a decisão é tomada.
Se não recolhe dados pessoais diretamente do utilizador a que estes dizem respeito, mas recolhe-os através de terceiros, deve informar o respetivo utilizador sobre esse terceiro, para além de todos os restantes deveres de informação. Queira selecionar a respetiva cláusula no gerador de políticas de privacidade.
Esta informação deve ser dada ao utilizador, no máximo, um mês após a recolha dos dados e, nomeadamente
Serviços que pode considerar adicionar:
É um caça-talentos. Encontra um perfil interessante no LinkedIn. Logo que contacta o respetivo candidato ou transfere os seus dados para o eventual empregador, e, em qualquer caso, no prazo de um mês, deve transmitir ao candidato todas as informações obrigatórias, incluindo referir o LinkedIn como fonte dos seus dados.
Se for um responsável pelo tratamento fora da UE, tem de nomear qualquer pessoa, singular ou coletiva, estabelecida num dos países da UE em que os seus utilizadores se encontrem, como representante na UE. A nomeação deve ser efetuada por escrito, devendo o representante nomeado ser mencionado na sua política de privacidade.
Como tal, insira as informações do representante (nome e dados de contacto) no campo onde tenha inserida a informação da sua própria empresa.
Em determinadas condições, deve nomear uma pessoa, singular ou coletiva, como encarregado da proteção de dados (ou EPD) e mencioná-lo na sua política de privacidade.
No caso de alguma das condições acima se aplicar a si, queira inserir os dados do EPD (dados de contacto do seu encarregado de proteção de dados) no campo onde tenha inserida a informação da sua própria empresa.
Tenha em conta que o RGPD permite que os Estados-Membros da UE prevejam condições adicionais nos termos das quais a nomeação de um EPD seja obrigatória. Como tal, verifique se, para além do RGPD, está sujeito a qualquer disposição nacional de qualquer Estado-Membro e se tal disposição requer que nomeie um EPD.
Pode consultar informação adicional sobre o encarregado de proteção de dados e outros tópicos no nosso guia do RGPD.
