RGPD - Regulamento Geral sobre a Proteção de Dados

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho

CAPÍTULO III - Direitos do titular dos dados

Secção 3 - Retificação e apagamento

1. O titular dos dados tem o direito de obter do responsável pelo tratamento a limitação do tratamento, se se aplicar uma das seguintes situações:
   1. Contestar a exatidão dos dados pessoais, durante um período que permita ao responsável pelo tratamento verificar a sua exatidão;
   2. O tratamento for ilícito e o titular dos dados se opuser ao apagamento dos dados pessoais e solicitar, em contrapartida, a limitação da sua utilização;
   3. O responsável pelo tratamento já não precisar dos dados pessoais para fins de tratamento, mas esses dados sejam requeridos pelo titular para efeitos de declaração, exercício ou defesa de um direito num processo judicial;
   4. Se tiver oposto ao tratamento nos termos do artigo 21.o, n.o 1, até se verificar que os motivos legítimos do responsável pelo tratamento prevalecem sobre os do titular dos dados.
2. Quando o tratamento tiver sido limitado nos termos do n.o 1, os dados pessoais só podem, à exceção da conservação, ser objeto de tratamento com o consentimento do titular, ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial, de defesa dos direitos de outra pessoa singular ou coletiva, ou por motivos ponderosos de interesse público da União ou de um Estado-Membro.
3. O titular que tiver obtido a limitação do tratamento nos termos do n.o 1 é informado pelo responsável pelo tratamento antes de ser anulada a limitação ao referido tratamento.

O artigo 18.º da Lei n.º 58/2019, datada de 8 de agosto, aborda a portabilidade e interoperabilidade dos dados no contexto do Regulamento Geral de Proteção de Dados (RGPD). Vamos explorar os principais pontos desse artigo:

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho

CAPÍTULO III - Direitos do titular dos dados

Secção 3 - Retificação e apagamento

O responsável pelo tratamento comunica a cada destinatário a quem os dados pessoais tenham sido transmitidos qualquer retificação ou apagamento dos dados pessoais ou limitação do tratamento a que se tenha procedido em conformidade com o artigo 16.o, o artigo 17.o, n.o 1, e o artigo 18.o, salvo se tal comunicação se revelar impossível ou implicar um esforço desproporcionado. Se o titular dos dados o solicitar, o responsável pelo tratamento fornece-lhe informações sobre os referidos destinatários.

O artigo 19.º da Lei n.º 58/2019, datada de 8 de agosto, versa sobre a videovigilância no contexto do Regulamento Geral de Proteção de Dados (RGPD). Vamos explorar os principais pontos desse artigo:

A Lei n.º 58/2019 é uma legislação importante em Portugal relacionada à proteção de dados pessoais e à aplicação do Regulamento Geral sobre a Proteção de Dados (RGPD) no ordenamento jurídico português.

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho

CAPÍTULO I - Disposições gerais

1. O presente regulamento aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados.
2. O presente regulamento não se aplica ao tratamento de dados pessoais:
   1. Efetuado no exercício de atividades não sujeitas à aplicação do direito da União:
   2. Efetuado pelos Estados-Membros no exercício de atividades abrangidas pelo âmbito de aplicação do título V, capítulo 2, do TUE;
   3. Efetuado por uma pessoa singular no exercício de atividades exclusivamente pessoais ou domésticas;
   4. Efetuado pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou da execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública.
3. O Regulamento (CE) n.o 45/2001 aplica-se ao tratamento de dados pessoais pelas instituições, órgãos, organismos ou agências da União. O Regulamento (CE) n.o 45/2001, bem como outros atos jurídicos da União aplicáveis ao tratamento de dados pessoais, são adaptados aos princípios e regras do presente regulamento nos termos previstos no artigo 98.o.
4. O presente regulamento não prejudica a aplicação da Diretiva 2000/31/CE, nomeadamente as normas em matéria de responsabilidade dos prestadores intermediários de serviços previstas nos seus artigos 12.o a 15.o.

O artigo 20.º da Lei n.º 58/2019, datada de 8 de agosto, trata do dever de segredo no contexto do Regulamento Geral de Proteção de Dados (RGPD). Vamos explorar os principais pontos desse artigo:

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho

CAPÍTULO III - Direitos do titular dos dados

Secção 3 - Retificação e apagamento

1. O titular dos dados tem o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido a um responsável pelo tratamento, num formato estruturado, de uso corrente e de leitura automática, e o direito de transmitir esses dados a outro responsável pelo tratamento sem que o responsável a quem os dados pessoais foram fornecidos o possa impedir, se:
   1. O tratamento se basear no consentimento dado nos termos do artigo 6.o, n.o 1, alínea a), ou do artigo 9.o, n.o 2, alínea a), ou num contrato referido no artigo 6.o, n.o 1, alínea b); e
   2. O tratamento for realizado por meios automatizados.
2. Ao exercer o seu direito de portabilidade dos dados nos termos do n.o 1, o titular dos dados tem o direito a que os dados pessoais sejam transmitidos diretamente entre os responsáveis pelo tratamento, sempre que tal seja tecnicamente possível.
3. O exercício do direito a que se refere o n.o 1 do presente artigo aplica-se sem prejuízo do artigo 17.o. Esse direito não se aplica ao tratamento necessário para o exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento.
4. O direito a que se refere o n.o 1 não prejudica os direitos e as liberdades de terceiros.

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho

CAPÍTULO III - Direitos do titular dos dados

Secção 4 - Direito de oposição e decisões individuais automatizadas

1. O titular dos dados tem o direito de se opor a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito com base no artigo 6.o, n.o 1, alínea e) ou f), ou no artigo 6.o, n.o 4, incluindo a definição de perfis com base nessas disposições. O responsável pelo tratamento cessa o tratamento dos dados pessoais, a não ser que apresente razões imperiosas e legítimas para esse tratamento que prevaleçam sobre os interesses, direitos e liberdades do titular dos dados, ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial.
2. Quando os dados pessoais forem tratados para efeitos de comercialização direta, o titular dos dados tem o direito de se opor a qualquer momento ao tratamento dos dados pessoais que lhe digam respeito para os efeitos da referida comercialização, o que abrange a definição de perfis na medida em que esteja relacionada com a comercialização direta.
3. Caso o titular dos dados se oponha ao tratamento para efeitos de comercialização direta, os dados pessoais deixam de ser tratados para esse fim.
4. O mais tardar no momento da primeira comunicação ao titular dos dados, o direito a que se referem os n.os 1 e 2 é explicitamente levado à atenção do titular dos dados e é apresentado de modo claro e distinto de quaisquer outras informações.
5. No contexto da utilização dos serviços da sociedade da informação, e sem prejuízo da Diretiva 2002/58/CE, o titular dos dados pode exercer o seu direito de oposição por meios automatizados, utilizando especificações técnicas.
6. Quando os dados pessoais forem tratados para fins de investigação científica ou histórica ou para fins estatísticos, nos termos do artigo 89.o, n.o 1, o titular dos dados tem o direito de se opor, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito, salvo se o tratamento for necessário para a prossecução de atribuições de interesse público.

O artigo 21.º da Lei n.º 58/2019 trata do prazo de conservação de dados pessoais. De acordo com este artigo, os dados pessoais devem ser conservados apenas durante o período necessário para as finalidades para as quais são tratados. No entanto, é possível manter os dados por períodos mais longos, desde que sejam exclusivamente para fins de arquivo de interesse público, investigação científica, histórica ou estatística. Essa conservação prolongada deve estar em conformidade com o artigo 89.o, n.o 1, sujeita à aplicação de medidas técnicas e organizativas adequadas para proteger os direitos e liberdades dos titulares dos dados. Portanto, a legislação visa equilibrar a necessidade de retenção de dados com a proteção dos direitos individuais.

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho

CAPÍTULO III - Direitos do titular dos dados

Secção 4 - Direito de oposição e decisões individuais automatizadas

1. O titular dos dados tem o direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base no tratamento automatizado, incluindo a definição de perfis, que produza efeitos na sua esfera jurídica ou que o afete significativamente de forma similar.
2. O n.o 1 não se aplica se a decisão:
   1. For necessária para a celebração ou a execução de um contrato entre o titular dos dados e um responsável pelo tratamento;
   2. For autorizada pelo direito da União ou do Estado-Membro a que o responsável pelo tratamento estiver sujeito, e na qual estejam igualmente previstas medidas adequadas para salvaguardar os direitos e liberdades e os legítimos interesses do titular dos dados; ou
   3. For baseada no consentimento explícito do titular dos dados.
3. Nos casos a que se referem o n.o 2, alíneas a) e c), o responsável pelo tratamento aplica medidas adequadas para salvaguardar os direitos e liberdades e legítimos interesses do titular dos dados, designadamente o direito de, pelo menos, obter intervenção humana por parte do responsável, manifestar o seu ponto de vista e contestar a decisão.
4. As decisões a que se refere o n.o 2 não se baseiam nas categorias especiais de dados pessoais a que se refere o artigo 9.o, n.o 1, a não ser que o n.o 2, alínea a) ou g), do mesmo artigo sejam aplicáveis e sejam aplicadas medidas adequadas para salvaguardar os direitos e liberdades e os legítimos interesses do titular.

O artigo 22.º da Lei n.º 58/2019 aborda as transferências de dados no contexto do Regulamento Geral de Proteção de Dados (RGPD). Este artigo estabelece as regras para a transferência de dados pessoais para fora da União Europeia (UE) ou do Espaço Económico Europeu (EEE). Aqui estão os principais pontos:

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho

CAPÍTULO III - Direitos do titular dos dados

Secção 5 - Limitações

1. O direito da União ou dos Estados-Membros a que estejam sujeitos o responsável pelo tratamento ou o seu subcontratante pode limitar por medida legislativa o alcance das obrigações e dos direitos previstos nos artigos 12.o a 22.o e no artigo 34.o, bem como no artigo 5.o, na medida em que tais disposições correspondam aos direitos e obrigações previstos nos artigos 12.o a 22.o, desde que tal limitação respeite a essência dos direitos e liberdades fundamentais e constitua uma medida necessária e proporcionada numa sociedade democrática para assegurar, designadamente:
   1. A segurança do Estado;
   2. A defesa;
   3. A segurança pública;
   4. A prevenção, investigação, deteção ou repressão de infrações penais, ou a execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública;
   5. Outros objetivos importantes do interesse público geral da União ou de um Estado-Membro, nomeadamente um interesse económico ou financeiro importante da União ou de um Estado-Membro, incluindo nos domínios monetário, orçamental ou fiscal, da saúde pública e da segurança social;
   6. A defesa da independência judiciária e dos processos judiciais;
   7. A prevenção, investigação, deteção e repressão de violações da deontologia de profissões regulamentadas;
   8. Uma missão de controlo, de inspeção ou de regulamentação associada, ainda que ocasionalmente, ao exercício da autoridade pública, nos casos referidos nas alíneas a) a e) e g);
   9. A defesa do titular dos dados ou dos direitos e liberdades de outrem;
   10. A execução de ações cíveis.
2. Em especial, as medidas legislativas referidas no n.o 1 incluem, quando for relevante, disposições explícitas relativas, pelo menos:
   1. Às finalidades do tratamento ou às diferentes categorias de tratamento;
   2. Às categorias de dados pessoais;
   3. Ao alcance das limitações impostas;
   4. Às garantias para evitar o abuso ou o acesso ou transferência ilícitos;
   5. À especificação do responsável pelo tratamento ou às categorias de responsáveis pelo tratamento;
   6. Aos prazos de conservação e às garantias aplicáveis, tendo em conta a natureza, o âmbito e os objetivos do tratamento ou das categorias de tratamento;
   7. Aos riscos específicos para os direitos e liberdades dos titulares dos dados; e
   8. Ao direito dos titulares dos dados a serem informados da limitação, a menos que tal possa prejudicar o objetivo da limitação.

O artigo 23.º da Lei n.º 58/2019 trata do tratamento de dados pessoais por entidades públicas para finalidades diferentes. Este artigo estabelece que tal tratamento tem natureza excecional e deve ser devidamente fundamentado. O objetivo é assegurar a prossecução do interesse público que, de outra forma, não poderia ser adequadamente acautelado. Para isso, o responsável pelo tratamento deve considerar os critérios definidos no artigo 6.º do Regulamento Geral de Proteção de Dados (RGPD). Esses critérios incluem a necessidade de compatibilidade entre a finalidade original da recolha dos dados e a nova finalidade, bem como a aplicação de medidas técnicas e organizativas para proteger os direitos dos titulares dos dados. Em resumo, o artigo 23.º visa equilibrar o interesse público com a proteção dos dados pessoais em posse das entidades públicas.

O artigo 24.º da Lei n.º 58/2019 aborda a liberdade de expressão e informação em situações específicas de tratamento de dados pessoais. Este artigo reconhece a importância fundamental da liberdade de expressão e do acesso à informação, especialmente no contexto digital. No entanto, também estabelece limites para garantir a proteção dos dados pessoais.

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho

CAPÍTULO IV - Responsável pelo tratamento e subcontratante

Secção 1 - Obrigações gerais

1. Tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento. Essas medidas são revistas e atualizadas consoante as necessidades.
2. Caso sejam proporcionadas em relação às atividades de tratamento, as medidas a que se refere o n.o 1 incluem a aplicação de políticas adequadas em matéria de proteção de dados pelo responsável pelo tratamento.
3. O cumprimento de códigos de conduta aprovados conforme referido no artigo 40.o ou de procedimentos de certificação aprovados conforme referido no artigo 42.o pode ser utilizada como elemento para demonstrar o cumprimento das obrigações do responsável pelo tratamento.

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho

CAPÍTULO IV - Responsável pelo tratamento e subcontratante

Secção 1 - Obrigações gerais

1. Tendo em conta as técnicas mais avançadas, os custos da sua aplicação, e a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos decorrentes do tratamento para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento aplica, tanto no momento de definição dos meios de tratamento como no momento do próprio tratamento, as medidas técnicas e organizativas adequadas, como a pseudonimização, destinadas a aplicar com eficácia os princípios da proteção de dados, tais como a minimização, e a incluir as garantias necessárias no tratamento, de uma forma que este cumpra os requisitos do presente regulamento e proteja os direitos dos titulares dos dados.
2. O responsável pelo tratamento aplica medidas técnicas e organizativas para assegurar que, por defeito, só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do tratamento. Essa obrigação aplica-se à quantidade de dados pessoais recolhidos, à extensão do seu tratamento, ao seu prazo de conservação e à sua acessibilidade. Em especial, essas medidas asseguram que, por defeito, os dados pessoais não sejam disponibilizados sem intervenção humana a um número indeterminado de pessoas singulares.
3. Pode ser utilizado como elemento para demonstrar o cumprimento das obrigações estabelecidas nos n.os 1 e 2 do presente artigo, um procedimento de certificação aprovado nos termos do artigo 42.o.

O artigo 25.º da Lei n.º 58/2019 aborda a publicação em jornal oficial no contexto do Regulamento Geral de Proteção de Dados (RGPD). Este artigo estabelece regras específicas para o tratamento de dados pessoais em documentos publicados em jornais oficiais.

O Artigo 26.º da Lei n.º 58/2019 trata do acesso a documentos administrativos que contenham dados pessoais. Essa lei assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679, também conhecido como Regulamento Geral de Proteção de Dados (RGPD). O objetivo é proteger os direitos das pessoas singulares no que diz respeito ao tratamento de seus dados pessoais e à livre circulação desses dados. A lei abrange tratamentos realizados no território nacional, independentemente da natureza pública ou privada do responsável pelo tratamento. Além disso, ela se aplica a tratamentos realizados fora do território nacional, desde que afetem titulares de dados no país ou estejam relacionados a cidadãos portugueses residentes no exterior. A Comissão Nacional de Proteção de Dados (CNPD) é a autoridade de controlo nacional para efeitos do RGPD e desta lei. Vale ressaltar que a lei não se aplica aos ficheiros de dados pessoais do Sistema de Informações da República Portuguesa, que possui regras específicas.

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho

CAPÍTULO IV - Responsável pelo tratamento e subcontratante

Secção 1 - Obrigações gerais

1. Quando dois ou mais responsáveis pelo tratamento determinem conjuntamente as finalidades e os meios desse tratamento, ambos são responsáveis conjuntos pelo tratamento. Estes determinam, por acordo entre si e de modo transparente as respetivas responsabilidades pelo cumprimento do presente regulamento, nomeadamente no que diz respeito ao exercício dos direitos do titular dos dados e aos respetivos deveres de fornecer as informações referidas nos artigos 13.o e 14.o, a menos e na medida em que as suas responsabilidades respetivas sejam determinadas pelo direito da União ou do Estado-Membro a que se estejam sujeitos. O acordo pode designar um ponto de contacto para os titulares dos dados.
2. O acordo a que se refere o n.o 1 reflete devidamente as funções e relações respetivas dos responsáveis conjuntos pelo tratamento em relação aos titulares dos dados. A essência do acordo é disponibilizada ao titular dos dados.
3. Independentemente dos termos do acordo a que se refere o n.o 1, o titular dos dados pode exercer os direitos que lhe confere o presente regulamento em relação e cada um dos responsáveis pelo tratamento.