Proteção de Dados Pessoais

Legislação

Relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados).

Regulamento Geral da Proteção de Dados

Assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

Lei 58/2019

Aprova as regras relativas ao tratamento de dados pessoais para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, transpondo a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016.

Lei 59/2019

Orientações/Recomendações (atualizado em 15.novembro.2020)

Orientações publicadas pela CNPD.

Orientações sobre os tratamentos de dados de saúde previstos no Decreto 8/2020 do Conselho de Ministros no contexto da pandemia decorrente do coronavírus SARS-CoV-2 e da doença COVID-19 (15.novembro.2020)

Orientações sobre avaliação à distância nos estabelecimentos de ensino superior (22.maio.2020)

Orientações para os estabelecimentos de ensino quanto à medição da temperatura corporal dos alunos (19.maio.2020)

Orientações sobre a recolha de dados de saúde dos trabalhadores (23.abril.2020)

Orientações sobre divulgação de informação relativa a infetados por Covid-19 (22.abril.2020)

Orientações sobre o controlo à distância em regime de teletrabalho (17.abril.2020)

Utilização de tecnologias de suporte ao ensino à distância (09.abril.2020)

Disponibilização de dados pessoais de alunos no sítio da Internet dos estabelecimentos de educação e ensino (06.setembro.2016)

Recomendações publicadas por Entidades e Organismos diversos.

Regras de proteção de dados da UE para empresas e organizações (Comissão Europeia)

Recomendações para o exercício de funções em trabalho remoto (Universidade Católica Portuguesa)

Estudo em Casa: Recomendações de Segurança (Direção-Geral da Educação)

Estudo em Casa com Segurança - Recomendações de segurança para a plataforma Zoom (Centro Nacional de Cibersegurança)

Estudo em Casa com Segurança - Recomendações de segurança para a plataforma Moodle (Centro Nacional de Cibersegurança)

Estudo em Casa com Segurança - Recomendações de segurança para a plataforma Microsoft Teams (Centro Nacional de Cibersegurança)

Tips for cybersecurity when working from home (European Union Agency for Cybersecurity (ENISA))

Safe Teleworking tips and advice (Europol)

Definições

«Dados pessoais», informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.

«Tratamento», uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.

«Definição de perfis», qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados pessoais para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho profissional, a sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocações.

«Pseudonimização», o tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável.

«Responsável pelo tratamento», a pessoa singular ou coletiva, a autoridade pública, a agência ou outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento sejam determinados pelo direito da União ou de um Estado-Membro, o responsável pelo tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito da União ou de um Estado-Membro.

«Subcontratante», uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes.

«Destinatário», uma pessoa singular ou coletiva, a autoridade pública, agência ou outro organismo que recebem comunicações de dados pessoais, independentemente de se tratar ou não de um terceiro. Contudo, as autoridades públicas que possam receber dados pessoais no âmbito de inquéritos específicos nos termos do direito da União ou dos Estados-Membros não são consideradas destinatários; o tratamento desses dados por essas autoridades públicas deve cumprir as regras de proteção de dados aplicáveis em função das finalidades do tratamento.

«Consentimento» do titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento.

«Violação de dados pessoais», uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.

Violação de dados pessoais

Orientações sobre a notificação de uma violação de dados pessoais ao abrigo do Regulamento (UE) 2016/679

Princípios relativos ao tratamento de dados pessoais – art. 5º do RGPD

Os dados pessoais são recolhidos para finalidades determinadas, explícitas e legítimas e não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades; o tratamento posterior para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, não é considerado incompatível com as finalidades iniciais, em conformidade com o artigo 89.o, n.o 1 («limitação das finalidades»).

Os dados pessoais são adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados («minimização dos dados»).

Os dados pessoais são exatos e atualizados sempre que necessário; devem ser adotadas todas as medidas adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora («exatidão»).

Os dados pessoais são conservados de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados; os dados pessoais podem ser conservados durante períodos mais longos, desde que sejam tratados exclusivamente para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, em conformidade com o artigo 89.o, n.o 1, sujeitos à aplicação das medidas técnicas e organizativas adequadas exigidas pelo presente regulamento, a fim de salvaguardar os direitos e liberdades do titular dos dados («limitação da conservação»).

Os dados pessoais são tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas adequadas («integridade e confidencialidade»).

O responsável pelo tratamento é responsável pelo cumprimento do disposto no nº 1 do artigo 5º do RGPD e tem de poder comprová-lo («responsabilidade»).

Licitude do tratamento – art. 6º do RGPD

O tratamento só é lícito se e na medida em que o titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas.

O tratamento só é lícito se e na medida em que for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados.

O tratamento só é lícito se e na medida em que for necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito.

O tratamento só é lícito se e na medida em que for necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular.

O tratamento só é lícito se e na medida em que for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento.

O tratamento só é lícito se e na medida em que for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.