RGPD significa Regulamento Geral sobre a Proteção de Dados(Regulamento (UE) 2016/679) e especifica essencialmente a forma como os dados pessoais devem ser tratados de forma lícita (incluindo a forma como são recolhidos, utilizados, protegidos ou, de um modo geral, como se interage com os mesmos).
Destina-se a reforçar a proteção de dados para todas as pessoas cujas informações pessoais se enquadrem no seu âmbito de aplicação, devolvendo-lhes o controlo sobre os seus dados pessoais.
Dados pessoais, no contexto do RGPD, refere-se a quaisquer dados que se relacionem com uma pessoa singular identificada ou identificável. Tal inclui elementos de informação que, no seu conjunto, podem levar à identificação de uma pessoa.
O mesmo se aplica a dados que tenham sido pseudonimizados ou encriptados, desde que a encriptação/anonimização seja reversível. No que respeita ao cumprimento das obrigações de proteção de dados nos termos do regulamento, significa que as chaves de desencriptação terão de ser guardadas em separado dos dados pseudonimizados .
Exemplos de dados pessoais incluem (nomeadamente) dados de identidade básicos como nomes, dados relativos à saúde, dados genéticos e biométricos, dados da web, como endereços IP, endereços de correio eletrónico pessoais, opiniões políticas e dados sobre orientação sexual.
Exemplos de dados não pessoais incluem números de matrícula de sociedades, endereços eletrónicos genéricos de sociedades, como info@company.com, e dados anonimizados.
Por exemplo, uma empresa online poderá recolher informações do utilizador através do seu website e armazená-las através de um serviço de cloud de terceiros. Neste cenário, a empresa online é o responsável pelo tratamento e a organização que gere o serviço de cloud é o subcontratante.
O RGPD poderá aplicar-se quando:
Este âmbito abrange efetivamente quase todas as empresas, o que significa que pode estar sujeito ao RGPD independentemente de a sua organização estar ou não estabelecida na UE. De facto, este inquérito levado a cabo pela PwC revelou que o RGPD constitui uma prioridade máxima em termos de proteção de dados para até 92 por cento das empresas dos EUA inquiridas.
É um equívoco comum considerar-se que apenas os utilizadores da UE estão protegidos pelo RGPD. As proteções do RGPD aplicam-se igualmente aos utilizadores estabelecidos fora da UE se o responsável pelo tratamento estiver estabelecido na UE . Assim, se for um responsável pelo tratamento estabelecido na UE deve, por norma, aplicar as normas do RGPD a TODOS os seus utilizadores.
O RGPD entrou plenamente em vigor a 25 de maio de 2018 .
Os requisitos de aplicabilidade do RGPD encontram-se estabelecidos nos artigos 2.° e 3.° do RGPD de um ponto de vista de aplicação material e territorial. Para determinar se uma atividade de tratamento específica se encontra isenta da sua aplicabilidade, importa considerar ambos os aspetos.
O RGPD aplica-se ao tratamento de dados pessoais . Como tal, não se aplica aos dados das empresas, como a denominação social e o endereço. No entanto, convém ter cuidado visto que, normalmente, as “pessoas singulares” trabalham numa empresa e quaisquer dados referentes às mesmas seriam, consequentemente, considerados “pessoais” independentemente de serem tratados num contexto de Consumidores finais (B2C) ou Clientes empresariais (B2B).
Acresce ainda que, os dados pessoais não seriam abrangidos pelo âmbito de aplicação do RGPD, sempre que:
Em termos práticos, a única exceção relevante é a última: por exemplo, se recolher os dados pessoais dos seus amigos para a sua agenda telefónica pessoal, não está sujeito ao RGPD.
Paralelamente, e sem prejuízo do exposto, já referimos os requisitos relativos ao âmbito de aplicação territorial do RGPD.
Consequentemente, para que uma atividade de tratamento não seja sujeita ao RGPD, devem aplicar-se cumulativamente as seguintes condições :
Vejamos alguns exemplos práticos:
Nos termos do RGPD, os dados só podem ser tratados se houver pelo menos um fundamento jurídico para tal tratamento.
Os fundamentos jurídicos são os seguintes:
As organizações devem obter o consentimento verificável dos utilizadores.
Relativamente ao Consentimento para crianças, as organizações devem obter o consentimento verificável de um dos pais ou tutores, salvo se o serviço oferecido for um serviço preventivo ou de aconselhamento. As organizações devem envidar esforços razoáveis (utilizando a tecnologia disponível) no sentido de verificar que a pessoa que presta o consentimento é efetivamente responsável pela criança.
De um modo geral, ao obterem o consentimento para o tratamento de dados, as organizações não devem utilizar termos excessivamente complicados ou indecifráveis. Tal inclui legalês e jargão desnecessário. O que indica que os termos e políticas de privacidade devem ser apresentados de forma legível (consulte os nossos aqui) recorrendo a uma linguagem e cláusulas compreensíveis, de modo que os utilizadores estejam perfeitamente conscientes do que estão a consentir e as respetivas consequências.
O regulamento proíbe especificamente opções pré-validadas
As organizações devem ser transparentes relativamente à finalidade da recolha dos dados, devendo o consentimento ser “explícito e prestado de forma livre”. Tal significa que o mecanismo de obtenção do consentimento deve ser inequívoco e implicar um ato claro de “aceitação” (o regulamento proíbe especificamente opções pré-validadas e mecanismos de “recusa” similares). O regulamento confere igualmente um direito específico de retirar o consentimento. Como tal, deve ser igualmente fácil retirar ou prestar o consentimento.
Uma vez que o consentimento nos termos do RGPD representa uma questão tão importante, é obrigatório que mantenha registos claros e que consiga demonstrar que o utilizador prestou o consentimento. Se surgirem problemas, o ónus da prova recai sobre o responsável pelo tratamento, pelo que é essencial guardar registos rigorosos.
Os registos devem incluir:
Para consultar um exemplo de uma conservação de registos que cumpra os requisitos legais vs. uma conservação de registos que não cumpra os requisitos legais, veja o seguinte:
| Conservação de registos que não cumpre os requisitos legais | Conservação de registos que cumpre os requisitos legais |
|---|---|
| Guardar uma folha de cálculo com os nomes dos clientes e se o consentimento foi prestado ou não | Assegurar-se de que guarda uma cópia do formulário do cliente, assinada e datada, que apresenta a ação do mesmo que consubstancia o seu consentimento para o tratamento específico. |
| Guardar a hora e a data do consentimento associado a um endereço IP, com um link web para o seu formulário atual de recolha de dados e política de privacidade. | Conservar registos completos que incluam o ID de utilizador e os dados introduzidos, juntamente com um registo da data e hora. Conservar igualmente uma cópia da versão do formulário de recolha de dados bem como qualquer outra documentação relevante utilizada nessa data. |
Conservar registos válidos, apesar de obrigatório, pode representar um desafio técnico. A nossa Consent Database simplifica este processo, facilitando-lhe a visualização, gestão e exportação dos seus consentimentos registados. Saiba mais sobre o assunto aqui.
Uma nota sobre o consentimento: não é o ÚNICO fundamento que uma organização pode escolher para tratar dados de utilizadores. É apenas um dos “Fundamentos Jurídicos”, pelo que, em determinados casos, as empresas podem aplicar outros fundamentos jurídicos (no âmbito do RGPD) para uma atividade de tratamento de dados. Contudo, para determinar se outro fundamento jurídico se poderá aplicar ao seu tratamento, recomendamos que consulte um advogado . Dito isto, haverá sempre atividades de tratamento de dados em que o consentimento é a opção mais segura, a melhor opção ou a única opção.
Outra lei da UE que importa referir neste contexto é a Diretiva Privacidade e Comunicações Eletrónicas (igualmente designada Lei dos Cookies). Esta lei é ainda aplicável, visto não ter sido revogada pelo RGPD. No futuro, a Diretiva Privacidade e Comunicações Eletrónicas será substituída pelo regulamento ePrivacy e, como tal, aplicar-se-á em conjunto com o RGPD.. Prevê-se que o futuro regulamento continue a defender os mesmos valoresque a diretiva.
A Lei dos Cookies exige o consentimento informado dos utilizadores antes do armazenamento de cookies no dispositivo do utilizador e do seu rastreamento.
A Lei dos Cookies exige o consentimento informado dos utilizadores antes do armazenamento de cookies no dispositivo do utilizador e do seu rastreamento. Saiba mais sobre a Lei dos Cookies aqui .
💡 Para saber mais sobre que regras de consentimento de cookies se aplicam nos países da UE, consulte aqui o nosso Documento informativo sobre Consentimento de Cookies.
As organizações devem prestar informações aos utilizadores sobre as atividades de tratamento de dados que realizem. Tais informações devem ser prestadas no momento em que os dados pessoais são obtidos, normalmente, através de um aviso/política de privacidade. A informação deve ser concisa, transparente, inteligível e de fácil acesso, e numa linguagem clara e simples (especialmente se se destinar a crianças) e gratuita.
Se os dados forem recolhidos do próprio utilizador a que dizem respeito, deverão ser-lhe prestadas informações sobre privacidade no momento em que os dados forem obtidos. Contudo, se os dados pessoais forem obtidos a partir de uma fonte diferente do próprio utilizador a que os dados dizem respeito, deverão ser prestadas informações sobre privacidade ao utilizador dentro de um “prazo razoável” a contar da data de obtenção dos dados. Tal prazo não poderá exceder, de um modo geral, um mês. Se utilizar os dados para comunicar com o utilizador, a divulgação deverá ocorrer, o mais tardar, quando ocorrer a primeira comunicação.
Os utilizadores têm o direito de aceder aos seus dados pessoais e informações sobre a forma como os seus dados pessoais estão a ser tratados. Caso o utilizador o solicite, os responsáveis pelo tratamento devem apresentar um resumo das categorias de dados objeto de tratamento, uma cópia dos próprios dados e informações sobre o tratamento. As informações devem incluir a finalidade, a forma como os dados foram adquiridos e com quem foram partilhados.
Do mesmo modo, a organização deve fornecer gratuitamente à pessoa que apresenta o pedido uma cópia dos seus dados pessoais (podendo ser cobrada uma taxa razoável por cópias adicionais). Os dados solicitados devem ser fornecidos à pessoa sem demora injustificada e, o mais tardar, no prazo de um mês após a receção do pedido; o número exato de dias que a organização dispõe para satisfazer um pedido dependerá do mês em que o pedido for apresentado.
O direito de acesso encontra-se estreitamente relacionado com o direito de portabilidade dos dados, sendo estes dois direitos diferentes. Como tal, é importante que exista uma distinção clara entre os dois direitos na sua política de privacidade.
Os utilizadores têm o direito de obter a correção dos dados pessoais que lhes digam respeito se estes estiverem inexatos ou incompletos. Este direito implica igualmente que a retificação deva ser divulgada a quaisquer terceiros destinatários envolvidos no tratamento dos dados em causa – salvo se tal se revelar impossível ou desproporcionadamente difícil. Se for solicitado pelo utilizador, a organização deve igualmente informar o utilizador sobre tais terceiros destinatários.
Os pedidos podem ser prorrogados por mais dois meses quando forem complexos ou se forem recebidos inúmeros pedidos por parte da pessoa. A pessoa deve ser informada no prazo de um mês a contar da receção do pedido com uma explicação acerca da necessidade da prorrogação. Os pedidos devem ser satisfeitos sem demora injustificada e, o mais tardar, no prazo de um mês a contar da sua receção.
Na maioria dos casos, as organizações devem satisfazer um pedido de retificação sem cobrar uma taxa. Contudo, se um pedido for considerado “manifestamente infundado ou excessivo”, poderá ser cobrada uma “taxa razoável” para satisfazer o pedido ou recusar satisfazer o pedido. Em ambos os cenários, a decisão terá de ser devidamente justificada. Se um pedido for recusado, a pessoa deve ser informada (com a respetiva justificação) sem demora injustificada e no prazo de um mês após a receção do pedido.
Nos termos do RGPD, os utilizadores têm o direito de se opor a determinadas atividades em relação aos seus dados pessoais efetuadas pelo Responsável pelo Tratamento. Resumindo, o utilizador pode opor-se ao tratamento dos seus dados sempre que o mesmo se baseie no interesse legítimo do responsável pelo tratamento ou no desempenho de uma tarefa de interesse público/no exercício da autoridade pública ou para fins de investigação científica ou histórica e estatística. O utilizador tem de apresentar uma razão para a sua oposição, exceto se o tratamento for efetuado para fins de marketing direto, caso em que não é necessária qualquer razão para exercer tal direito.
Caso seja recebida uma oposição ao tratamento de dados pessoais e não houver razões para recusar, a atividade de tratamento deve cessar. Apesar de a atividade de tratamento (incluindo a conservação) dever cessar relativamente às atividades de tratamento específicas objeto de oposição, o apagamento poderá não se revelar adequado quando os dados sejam tratados para outras finalidades (incluindo o cumprimento de obrigações legais ou contratuais), uma vez que os dados terão de ser conservados para tais finalidades.
Os pedidos devem ser satisfeitos sem demora injustificada e, o mais tardar, no prazo de um mês a contar da sua receção. Os pedidos podem ser prorrogados por mais dois meses quando forem complexos ou se forem recebidos inúmeros pedidos por parte da pessoa. A pessoa deve ser informada no prazo de um mês a contar da receção do pedido com uma explicação acerca da necessidade da prorrogação.
Na maioria dos casos, as organizações devem respeitar uma objeção (quando não exista fundamento para recusar) sem cobrar uma taxa. Contudo, se um pedido for considerado “manifestamente infundado ou excessivo”, poderá ser cobrada uma “taxa razoável” para satisfazer o pedido ou o pedido poderá ser recusado. Em ambos os cenários, a decisão terá de ser devidamente justificada. Se um pedido for recusado, a pessoa deve ser informada (com a respetiva justificação) sem demora injustificada e no prazo de um mês após a receção do pedido.
Os utilizadores têm o direito de obter (num formato de leitura automática) os seus dados pessoais para efeitos de transferência de um responsável pelo tratamento para outro, sem serem impedidos de o fazer pelo subcontratante dos dados. Esta regra inclui tanto os dados “fornecidos” como os “observados”. Este direito apenas se aplica aos dados pessoais, não se aplicando a dados genuinamente anónimos (dados que não podem ser associados novamente à pessoa).
Os pedidos devem ser satisfeitos sem demora injustificada e, o mais tardar, no prazo de um mês a contar da sua receção. Os pedidos podem ser prorrogados por mais dois meses quando forem complexos ou se forem recebidos inúmeros pedidos por parte da pessoa. A pessoa deve ser informada no prazo de um mês a contar da receção do pedido com uma explicação acerca da necessidade da prorrogação.
Na maioria dos casos, as organizações devem satisfazer um pedido sem cobrar uma taxa. Contudo, se um pedido for considerado “manifestamente infundado ou excessivo”, poderá ser cobrada uma “taxa razoável” para satisfazer o pedido ou o pedido poderá ser recusado. Em ambos os cenários, a decisão terá de ser devidamente justificada. Se um pedido for recusado, a pessoa deve ser informada (com a respetiva justificação) sem demora injustificada e no prazo de um mês após a receção do pedido.
Quando os dados deixarem de ser relevantes para a sua finalidade original, quando os utilizadores tiverem retirado o consentimento ou quando os dados pessoais tiverem sido tratados de forma ilícita, os utilizadores têm o direito de solicitar o apagamento dos seus dados, bem como a cessação de qualquer difusão. Os pedidos devem ser satisfeitos sem demora injustificada e, o mais tardar, no prazo de um mês a contar da sua receção.
Os pedidos podem ser prorrogados por mais dois meses quando forem complexos ou se forem recebidos inúmeros pedidos por parte da pessoa. A pessoa deve ser informada no prazo de um mês a contar da receção do pedido com uma explicação acerca da necessidade da prorrogação.
O direito ao apagamento dos dados pode ser recusado:
Os utilizadores têm o direito de limitar o tratamento dos seus dados pessoais quando:
A limitação deve ser divulgada a quaisquer terceiros destinatários envolvidos no tratamento dos dados em causa – salvo se tal se revelar impossível ou desproporcionadamente difícil. Se for solicitado pelo utilizador, a organização deve igualmente informar o utilizador sobre tais terceiros destinatários.
Os pedidos devem ser satisfeitos sem demora injustificada e, o mais tardar, no prazo de um mês a contar da sua receção. Os pedidos podem ser prorrogados por mais dois meses quando forem complexos ou se forem recebidos inúmeros pedidos por parte da pessoa. A pessoa deve ser informada no prazo de um mês a contar da receção do pedido com uma explicação acerca da necessidade da prorrogação.
Na maioria dos casos, as organizações devem satisfazer um pedido sem cobrar uma taxa. Contudo, se um pedido for considerado “manifestamente infundado ou excessivo”, poderá ser cobrada uma “taxa razoável” para satisfazer o pedido ou o pedido poderá ser recusado. Em ambos os cenários, a decisão terá de ser devidamente justificada. Se um pedido for recusado, a pessoa deve ser informada (com a respetiva justificação) sem demora injustificada e no prazo de um mês após a receção do pedido.
Os utilizadores têm o direito de não ficar sujeitos a uma decisão tomada com base no tratamento automatizado ou definição de perfis que produza efeitos na sua esfera jurídica ou que os afete significativamente de forma similar.
As organizações só podem efetuar decisões automatizadas quando estas sejam necessárias para o cumprimento de um contrato; autorizadas nos termos da lei do Estado-Membro da UE aplicável ao responsável pelo tratamento; não tenham um efeito jurídico ou um efeito similar significativo sobre o utilizador; ou se baseiem no consentimento expresso da pessoa. Apenas poderá efetuar decisões automatizadas com base em dados de categorias especiais com o consentimento expresso do utilizador ou por razões de interesse público significativo.
O RGPD apenas permite transferências de dados de residentes da UE para fora do Espaço Económico Europeu (EEE) quando se cumpram determinados requisitos. Nestes termos, o país ou região para os quais os dados são transferidos devem assegurar um nível de proteção de dados pessoais “adequado” segundo as normas da UE ou, quando não for considerado adequado, as transferências poderão ainda ser autorizadas mediante a aplicação de cláusulas contratuais-tipo (CCT) ou regras vinculativas aplicáveis às empresas (BCR).
O RGPD apenas permite transferências de dados de residentes da UE para fora do Espaço Económico Europeu (EEE) quando se cumpram determinados requisitos
Relativamente à transferência de dados para os EUA, todas as transferências exigem que o consentimento informado do utilizador seja recebido (caso em que o consentimento deve ser prestado com base em informações suficientemente rigorosas, incluindo informações sobre a falta de proteção no país terceiro).
A proteção de dados deve ser incluída desde o início da conceção e desenvolvimento dos processos e infraestruturas empresariais. O que significa que as definições de privacidade devem ser configuradas como “elevadas” por norma, devendo ser adotadas medidas para assegurar que o ciclo de vida do tratamento dos dados preencha os requisitos do RGPD.
O responsável pelo tratamento dos dados deve notificar a Autoridade de Controlo no prazo de 72 horas após tomar conhecimento da violação. Caso o tratamento seja efetuado por um subcontratante em nome do responsável pelo tratamento, o subcontratante dos dados deve notificar o responsável pelo tratamento imediatamente após tomar conhecimento da mesma. Esta regra exige igualmente que os utilizadores devam ser informados da violação (no mesmo prazo), exceto se os dados violados tiverem sido protegidos por encriptação (dados tornados ilegíveis para o infrator) ou, de um modo geral, se for pouco provável que a violação resulte num risco para os direitos e liberdades das pessoas. Em qualquer caso, o responsável pelo tratamento deve manter registos das violações ocorridas de modo a conseguir demonstrar à autoridade de controlo que cumpre estas disposições.
O Encarregado da Proteção de Dados (EPD) é um especialista em legislação de proteção de dados, que deve assistir o responsável pelo tratamento ou o subcontratante no controlo do cumprimento da regulamentação do RGPD a nível interno e na supervisão da estratégia e implementação da proteção de dados. O EPD deve ainda possuir conhecimentos em matéria de gestão de processos informáticos, segurança dos dados e outras questões fundamentais relativas ao tratamento de dados pessoais e sensíveis.
O RGPD exige a nomeação de um EPD especificamente nos seguintes casos:
Como tal, a nomeação de um EPD não se baseia apenas no número efetivo de trabalhadores, mas na essência da atividade de tratamento dos dados. Caso a sua organização não se enquadre nestas categorias, não é obrigatório nomear um EPD.
O RGPD exige que tanto os responsáveis pelo tratamento como os subcontratantes dos dados conservem e mantenham registos atualizados “completos e abrangentes” sobre as atividades de tratamento de dados específicas que efetuem.
São expressamente exigidos registos completos e abrangentes relativos ao tratamento dos dados quando as atividades de tratamento de dados:
Tal inclui, efetivamente, quase todos os responsáveis pelo tratamento e subcontratantes.
Os registos das atividades de tratamento devem ser reduzidos a escrito. Apesar de tanto os formulários em papel como os formulários eletrónicos serem aceitáveis, recomenda-se a utilização de um método eletrónico de conservação de registos, de modo a permitir efetuar alterações com facilidade.
Os registos do responsável pelo tratamento devem incluir:
Os registos do subcontratante devem incluir:
Mesmo que as suas atividades de tratamento não se enquadrem nas situações referidas anteriormente, os seus deveres de informação perante os utilizadores (Artigos 13.º e 14.º) exigem que mantenha registos básicos dos dados que recolhe, a sua finalidade, de todas as partes envolvidas no seu tratamento e do prazo de conservação dos dados — isto é obrigatório para todos.
Na verdade, poderá considerar bastante útil a realização de auditorias regulares de informações sobre os dados que a sua organização detém, uma vez que esta prática não só o ajuda a cumprir as suas obrigações em matéria de conservação de registos de forma célere, como facilita igualmente a revisão e otimização dos seus procedimentos de tratamento de dados.
A nossa solução Registo das Atividades de Tratamento de Dados revela-se igualmente muito útil neste contexto, uma vez que simplifica IMENSO o processo técnico de criação e gestão dos seus Registos de Atividades de Tratamento. Saiba mais sobre como o pode ajudar aqui ou aceda diretamente aqui ao guia e vídeo de configuração.
Uma avaliação de impacto sobre a proteção de dados (AIPD) é um processo utilizado para ajudar as organizações a cumprir efetivamente o RGPD, garantindo que os princípios de responsabilidade, privacidade desde a conceção e privacidade por norma são respeitados pela organização. O processo de AIPD deve ser registado por escrito. Apesar de a publicação da AIPD não constituir um requisito legal geral do RGPD, recomenda-se que os responsáveis pelo tratamento dos dados considerem publicar a sua AIPD, total ou parcialmente, como um ato de transparência e responsabilidade, especialmente em casos em que sejam afetados membros do público (por exemplo, quando uma autoridade pública realize a AIPD).
Uma AIPD eficaz revela-se útil para preencher o requisito de “Privacidade desde a conceção”, visto permitir que as organizações detetem e resolvam problemas numa fase inicial, atenuando assim tanto os riscos de segurança dos dados para os utilizadores, como o risco de coimas, sanções e prejuízos para a reputação que de outra forma poderiam surgir para a organização. A AIPD só é obrigatória quando a atividade de tratamento de dados possa resultar num elevado risco para os utilizadores (aplica-se particularmente quando se introduzem novas tecnologias de tratamento).
Contudo, se não tiver a certeza se a sua atividade de tratamento é considerada de “elevado risco”, recomenda-se de qualquer modo a realização de uma AIPD, uma vez que constitui um instrumento útil para assegurar o cumprimento da lei.
As atividades de tratamento de dados de “elevado risco” incluem:
As AIPD podem ainda ser exigidas noutras circunstâncias (com base numa avaliação caso a caso), incluindo, nomeadamente, para o tratamento de dados relativos a pessoas vulneráveis (por exemplo, crianças, idosos), transferências de dados para fora da UE e dados que sejam utilizados na definição de perfis (por exemplo, pontuações de crédito). Saiba mais sobre os critérios aqui [PDF].
A AIPD deve incluir:
As consequências jurídicas do incumprimento podem incluir coimas até 20 milhões de euros (20M EUR) ou 4% do volume de negócios anual a nível mundial (consoante o que for mais elevado). Contudo, talvez igualmente preocupantes são as restantes possíveis sanções que podem ser aplicadas contra organizações consideradas em incumprimento. Tais sanções incluem admoestações oficiais (no caso do primeiro incumprimento), auditorias de proteção de dados periódicas e indemnizações por danos.
As consequências jurídicas do incumprimento podem incluir coimas até 20 milhões de euros (20M EUR) ou 4% do volume de negócios anual a nível mundial.
O RGPD confere aos utilizadores o direito expresso de apresentar reclamações junto de uma autoridade de controlo quando considerarem que qualquer tratamento dos seus dados pessoais foi efetuado de forma contrária ao RGPD. Assim, por exemplo, caso seja apresentado um relatório à autoridade sobre uma situação de incumprimento da lei, a autoridade poderá optar por realizar uma auditoria às operações de tratamento de dados da organização. Caso se considere que alguma atividade de tratamento foi efetuada de forma ilícita, não só é aplicada uma coima, como a organização poderá igualmente ser proibida de continuar a utilizar tanto os dados do inquérito como os dados adquiridos através de mecanismos similares. Tal significa que, caso a utilização incorreta esteja relacionada com a recolha de endereços de correio eletrónico, a organização corre o risco de ser impedida de utilizar toda a lista de endereços de correio eletrónico.
O RGPD confere ainda aos utilizadores o direito a serem indemnizados por quaisquer danos que resultem do incumprimento da regulamentação aplicável por parte de uma organização, ficando os violadores, desse modo, sujeitos a eventuais litígios.
No que respeita à conformidade, um dos primeiros passos lógicos é certificar-se de que os seus documentos cumprem os requisitos legais. Na iubenda, adotamos uma abordagem abrangente relativamente ao cumprimento da legislação sobre dados. Criamos soluções tendo em consideração as regulamentações mais rigorosas, proporcionando-lhe opções completas de personalização conforme necessário. Deste modo, ajudamo-lo a cumprir as suas obrigações legais, a reduzir o seu risco de litígios e a proteger os seus clientes — criando confiança e credibilidade.
Eis o que precisa para iniciar com total conformidade:
Este documento jurídico deve indicar as formas como o seu website ou aplicação recolhe, trata, conserva, partilha e protege os dados dos utilizadores, as respetivas finalidades e os direitos dos utilizadores a esse respeito.
Com o nosso Gerador de Políticas de Privacidade e de Cookies pode criar uma política de privacidade elegante, redigida por advogados e rigorosa, e integrá-la de forma harmoniosa com o seu website ou aplicação. Pode simplesmente adicionar qualquer uma das diversas cláusulas pré-criadas com um simples clique de um botão ou redigir as suas próprias cláusulas personalizadas com toda a facilidade através do formulário incorporado.
A política de privacidade inclui ainda a opção de adicionar uma política de cookies (é necessário incluí-la se o seu website ou aplicação utilizar cookies). As políticas são personalizáveis em função das suas necessidades e geridas remotamente por uma equipa jurídica internacional.
Para informações adicionais sobre políticas de privacidade clique aqui.
Dado que a utilização de cookies pode significar tanto o tratamento de dados dos utilizadores como a instalação de ficheiros nos seus dispositivos, constituem motivo de grande preocupação no que respeita aos direitos de privacidade dos dados dos utilizadores. Por este motivo, é fundamental que o seu website ou aplicação cumpra a Diretiva Privacidade e Comunicações Eletrónicas (Lei dos Cookies) da UE. Para responder a esta necessidade, criámos a nossa Privacy Controls e Cookie Solution abrangentes, que facilitam o cumprimento da Lei dos Cookies europeia. Trata-se de uma solução de consentimento de cookies e de uma política de cookies fácil de executar (que inclui a gestão de banners), sendo rápida e não exigindo investimentos avultados.
Para informações adicionais sobre a nossa Privacy Controls and Cookie Solution, clique aqui.
Várias Autoridades de Proteção de Dados em toda a UE reforçaram os seus requisitos e alinharam as suas regras em matéria de cookies e rastreadores com os requisitos do RGPD. Mais concretamente, deve registar e guardar as provas das preferências dos seus utilizadores.
O Registo de Preferências de Consentimento e Cookies encontra-se atualmente disponível na nossa Privacy Controls and Cookie Solution.
Clique aqui para informações adicionais sobre como ativar o Registo de Preferências de Consentimento e Cookies na sua Privacy Controls and Cookie Solution.
Cumprir o RGPD poderá representar um desafio técnico em termos práticos no que respeita à sua implementação. Tal é particularmente verdade no caso da gestão interna da privacidade. De modo a cumprir os requisitos legais, deve conseguir monitorizar e descrever:
A nossa solução ajuda-o a registar e gerir facilmente toda a atividade de tratamento de dados da sua organização para que possa facilmente cumprir os requisitos do RGPD e cumprir as suas obrigações legais. Permite-lhe criar registos da atividade de tratamento: adicione atividades de tratamento a partir de mais de 1.700 opções previamente preparadas, divida-as por área (subdivisões nas quais as operações de tratamento dos dados são as mesmas), designe operadores e outras funções de membros e documente bases legais e outros registos exigidos pelo RGPD.
Nota: Mesmo que as suas atividades de tratamento não se enquadrem nas situações referidas anteriormente no presente guia, os seus deveres de informação perante os utilizadores (Artigos 13.º e 14.º) exigem que mantenha registos básicos dos dados que recolhe, a sua finalidade, de todas as partes envolvidas no seu tratamento e do prazo de conservação dos dados — isto é obrigatório para todos
Acresce ainda que, apesar de o RGPD constituir uma razão comum para desenvolver mais esforços na gestão da privacidade interna, a nossa ferramenta não se destina exclusivamente a ser aplicada nos termos do RGPD. Pode ainda ser utilizada para a gestão da privacidade interna em geral, inclusive por empresas que não tenham quaisquer utilizadores/clientes na UE.
Para obter uma lista completa das funcionalidades da ferramenta Registo das Atividades de Tratamento de Dados clique aqui ou leia o guia aqui.
Por forma a cumprir as leis em matéria de privacidade, em particular o RGPD, as empresas devem guardar a prova de consentimento para que possam demonstrar que o consentimento foi recolhido. Estes registos devem indicar:
A nossa Consent Database simplifica este processo, ajudando-o a armazenar a prova de consentimento e a gerir facilmente as preferências de consentimento e privacidade para cada um dos seus utilizadores. Permite-lhe controlar todos os aspetos do consentimento (incluindo o aviso legal ou de privacidade, bem como o formulário de consentimento que foi apresentado ao utilizador no momento da recolha do consentimento) e as preferências relacionadas expressas pelo utilizador.
Para a utilizar, basta ativar a Consent Database e obter a chave API. De seguida, instale-a através da API HTTP ou do widget JS e já está; poderá consultar os consentimentos a qualquer momento e mantê-los atualizados.
Para obter uma lista completa das funcionalidades da Consent Database clique aqui ou leia o guia aqui .
Note que as leis são periodicamente alteradas e atualizadas. Assim, importa assegurar que as suas políticas preenchem os requisitos legais mais recentes. Por este motivo, recorremos à incorporação e NÃO copiamos e colamos . Com este método, poderá ter a certeza de que a sua política estará atualizada e será gerida remotamente pela nossa equipa jurídica.
