A Lei da Proteção de Dados define como princípio geral que o tratamento de dados pessoais deve processar-se de forma transparente e no estrito respeito pela reserva da vida privada, bem como pelos direitos, liberdades e garantias fundamentais.

Trata-se de proteger a privacidade da pessoa no seu todo e, em especial, quando confrontados que somos, no dia-a-dia, com os novos desafios de uma sociedade global, em que a recolha de dados pessoais era, até à data, efetuada muitas vezes sem o consentimento expresso do titular ou, possuindo esse consentimento, de uma forma que extravasava o mesmo.

Os dados pessoais são agora entendidos de forma abrangente, englobando qualquer informação, de qualquer natureza e independentemente do respetivo suporte, relativa a uma pessoa singular identificada ou identificável.

A proteção de dados engloba, assim:
  • Legislação de proteção de dados
  • Consentimento para recolha de dados
  • Tratamento de dados recolhidos

O Regulamento Geral de Proteção de Dados (RGPD), de fonte comunitária, em vigor desde 25 de maio de 2018, pretende dar resposta aos novos desafios em matéria de proteção de dados pessoais, que surgiram da rápida e constante evolução tecnológica, associada ao fenómeno da globalização. Este regulamento revoga a anterior Diretiva europeia, estabelecendo que o nível de proteção dos direitos e liberdades das pessoas, relativo ao tratamento dos dados pessoais, deve ser equivalente em todos os Estados membros, embora seja permitido que estes especifiquem, em alguns domínios, regras internas. Efetivamente, enquanto não for aprovada legislação que complemente o RGPD, a atual Lei de Proteção de Dados, que já estabelecia que o tratamento de dados pessoais se devia processar de forma transparente e no estrito respeito pela reserva da vida privada, mantém-se em vigor em tudo o que não contrarie o Regulamento europeu.
 
Os princípios da proteção de dados pessoais deverão aplicar-se a qualquer informação relativa a uma pessoa singular identificada ou identificável como, por exemplo, o nome, morada, informação de saúde ou perfil cultural. O respetivo tratamento refere-se a qualquer operação efetuada sobre tais dados pessoais por meios automatizados ou não automatizados.
 
Uma questão de particular importância, principalmente por vivermos numa verdadeira «aldeia global», é o risco acrescido das pessoas singulares não exercerem os seus direitos à proteção de dados quando está em causa o tratamento transfronteiriço, ou seja, quando o tratamento de dados ocorre ou afeta titulares em mais do que um Estado membro, sendo necessário uma cooperação mais estreita entre as autoridades de controlo de proteção de dados.
 
Um dos maiores problemas suscitados pela matéria da proteção de dados pessoais é a recolha e tratamento de dados pessoais sem consentimento expresso do titular dos dados ou extravasando-o, por exemplo, pelo seu uso para finalidades que não as inicialmente acordadas. Assim sendo, o Regulamento Geral de Proteção de Dados alterou de forma significativa o modo como deve ser realizado o tratamento de dados pessoais, estabelecendo uma maior proteção ao cidadão.
 
Atualmente, o titular dos dados pessoais tem que estar plenamente ciente do consentimento dado e do seu alcance, pelo que deverá ser fornecida uma declaração de consentimento de forma inteligível e de fácil acesso, numa linguagem simples e clara e sem cláusulas abusivas.
 
No próprio momento da recolha dos dados pessoais, o titular dos dados pessoais deverá ser informado da identidade e dos contactos do responsável pelo tratamento, das suas finalidades, do prazo de conservação dos dados pessoais e da sua revisão periódica. Por outro lado, o consentimento do titular dos dados deverá ser prestado mediante um ato positivo que indique uma manifestação de vontade livre, específica, informada e inequívoca.
 
O tratamento dos dados pessoais deverá ser lícito e transparente em relação ao titular, exigindo-se que este seja informado, de forma simples e clara, das operações de tratamento e das suas finalidades, sendo que, desde logo, os dados pessoais recolhidos deverão ser adequados e limitados aos efeitos pretendidos.
 
​Estas finalidades específicas de tratamento de dados pessoais deverão ser determinadas aquando da sua recolha, não podendo posteriormente ser tratados para outros fins que não sejam compatíveis com aqueles para os quais os dados tenham sido inicialmente recolhidos.
 
Uma questão de particular importância e que segue a lógica por trás do RGPD, de proteção dos direitos de personalidade, nomeadamente, o direito à reserva da vida privada, é que os titulares dos dados têm direito a que estes sejam retificados e, ainda mais importante, têm direito ao esquecimento, ou seja, têm direito a que os seus dados, mesmo que consentida a sua recolha, sejam apagados e deixem de ser objeto de tratamento quando deixarem de ser necessários para a finalidade para o qual foram inicialmente recolhidos e, ainda, se o titular retirar o seu consentimento, algo que pode acontecer a qualquer momento.
 
Por fim, o titular dos dados tem direito a aceder aos dados fornecidos, às finalidades de tratamento respetivas e à lista de destinatários a quem os seus dados pessoais foram ou serão divulgados. 

Regulamento Geral de Proteção de Dados

O Regulamento Geral de Proteção de Dados (RGPD), em vigor desde 25 de maio de 2018, estabelece as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados entre os Estados membros da União Europeia.

Este Regulamento pretende dar resposta aos novos desafios em matéria de proteção de dados, criados pela evolução tecnológica e globalização que permite às entidades, públicas e privadas, um acesso quase ilimitado e consequente utilização de dados pessoais. Assim, procura-se defender is direitos e as liberdades das pessoas singulares, designadamente o seu direito à proteção dos dados pessoais, em linha com o direito à privacidade e à reserva da vida privada.

Atualmente, a qualquer momento do dia, qualquer pessoa partilha constantemente os seus dados pessoais, seja através da inscrição em qualquer site, através de uma compra efetuada online, através de uma pesquisa efetuada no Google, através de uma publicação no Facebook ou através da partilha da sua localização pelo Whatsapp. Na verdade, os dados pessoais consistem em qualquer informação relativa a uma pessoa singular identificável, como o nome, um número de identificação, dados de localização, identificadores por via eletrónica, elementos da identidade física, fisiológica, genética, mental, económica, cultural ou social.

Esta partilha de dados era, até agora, feita de forma pública mas de forma quase inconsciente e as entidades que recolhiam tais dados começaram a construir perfis sobre qualquer pessoa, utilizando tais informações para fins publicitários, por exemplo. Ora, o que este Regulamento vem prever é que a recolha e tratamento de dados pessoais deve ser expressamente autorizada pelo seu titular, devendo ser indicada a finalidade desse mesmo tratamento.

Sendo um Regulamento de fonte comunitária, é diretamente aplicável a todos os Estados Membros da União Europeia, sem necessidade de transposição. Todavia, o próprio Regulamento permite que os Estados Membros especifiquem algumas regras internas. Em Portugal, mantém-se em vigor a Lei de Proteção de Dados, enquanto não for aprovada legislação que complemente o RGPD, o que pode ocorrer a qualquer momento.

O RGPD por ser, desde logo, tão abrangente tem suscitado diversas dúvidas e dificuldades de aplicação. O que é certo é que a sua violação dá origem a avultadas coimas que não poupam entidades privadas ou públicas. 

Consentimento do titular dos dados

O Regulamento Geral de Proteção de Dados veio prever que a recolha e o tratamento de dados pessoais, para determinadas finalidades, deve ser precedida do consentimento do titular dos dados.

Este consentimento do titular dos dados pessoais pode ser dado:
  • Mediante um ato positivo claro que indique uma manifestação de vontade livre, específica, informada e inequívoca de que o titular de dados consente no tratamento dos dados que lhe digam respeito, como, por exemplo, mediante uma declaração escrita, inclusive em forma eletrónico, ou uma declaração oral;
  • Validando uma opção ao visitar um sítio web na Internet, selecionando os parâmetros técnicos para os serviços da sociedade da informação;
  • Mediante outra declaração ou conduta que indique claramente nesse contexto que aceita o tratamento proposto dos seus dados pessoais.

Em relação à capacidade, prevê-se que o consentimento de crianças é lícito se elas tiverem pelo menos 16 anos. Antes disso, o consentimento deve ser prestado ou autorizado pelos titulares das responsabilidades parentais da criança. Atente-se, contudo, que o RGPD permite que cada Estado Membro baixe este limite de idade até aos 13 anos, sendo que se prevê que seja esta a idade aplicável a Portugal.

O pedido de consentimento deve ser apresentado de um modo inteligível, de fácil acesso e numa linguagem clara e simples e devem ser indicadas, desde logo, as seguintes informações:
  • Identidade e os contactos do responsável pelo tratamento;
  • Os contactos do encarregado da proteção de dados, caso exista;
  • As finalidades do tratamento a que os dados pessoais se destinam, bem como o fundamento jurídico para o seu tratamento, sendo que nos casos em que o tratamento sirva fins múltiplos, deverá ser dado um consentimento para todos esses fins;
  • A intenção de transferir dados pessoais para um país terceiro ou uma organização internacional;
  • Prazo de conservação dos dados pessoais;
  • A existência do direito de solicitar ao responsável pelo tratamento acesso aos dados pessoais, bem como a sua retificação ou o seu apagamento;

​A existência do direito de retirar o seu consentimento a qualquer momento, sendo que deve ser tão fácil retirar quanto de dar.

Tratamento de dados pessoais

O tratamento de dados pessoais consiste numa operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.

A proteção das pessoas singulares relativamente ao tratamento de dados pessoais é um direito fundamental. Neste sentido, o Regulamento Geral de Proteção de Dados prevê que o tratamento de dados pessoais tenha que ser efetuado de forma lícita, o que se verifica quando:
  • O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas;
  • O tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados;
  • O tratamento for necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito;
  • O tratamento for necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular;
  • O tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento;
  • O tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.

Pelo contrário, salvo algumas exceções, é proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.

O RGPD prevê, ainda, que o tratamento dos dados pessoais deve ser completamente transparente e que as finalidades específicas do tratamento dos dados pessoais deverão ser explícitas e legítimas e ser determinadas aquando da recolha dos dados pessoais.

​Ainda, os dados pessoais deverão ser adequados, pertinentes e limitados ao necessário para os efeitos para os quais são tratados e deverão ser garantida a devida segurança e confidencialidade, incluindo para evitar o acesso a dados pessoais e equipamento utilizado para o seu tratamento, ou a utilização dos mesmos, por pessoas não autorizadas.

Direito ao esquecimento

O Regulamento Geral de Proteção de Dados (RGPD) prevê uma série de direitos para o titular dos dados pessoais, designadamente:
  • Direito de acesso: o titular dos dados tem o direito de obter do responsável pelo tratamento a confirmação de que os dados pessoais que lhe digam respeito são ou não objeto de tratamento e o direito de aceder aos seus dados pessoais e a determinadas informações, como as finalidades do tratamento, as categorias dos dados e prazo previsto de conservação;
  • Direito de retificação: o titular dos dados tem o direito de obter, sem demora injustificada, do responsável pelo tratamento a retificação dos dados pessoais inexatos que lhe digam respeito;
  • Direito de oposição: o titular dos dados tem o direito de se opor a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito, não ser que razões imperiosas e legítimas para esse tratamento prevaleçam sobre os interesses, direitos e liberdades do titular;
  • Direito ao apagamento dos dados: o titular dos dados tem o direito de obter do responsável pelo tratamento, sem demora injustificada, o apagamento dos seus dados.

Este direito ao apagamento dos dados, ou “direito a ser esquecido”, pode ser solicitado quando:
  • Os dados pessoais deixarem de ser necessários para a finalidade que motivou a sua recolha ou tratamento;
  • O titular retira o consentimento em que se baseia o tratamento dos dados e não existir outro fundamento jurídico para o referido tratamento;
  • O titular se opõe ao tratamento e não existam interesses legítimos prevalecentes que justifiquem o tratamento;
  • Os dados pessoais foram tratados ilicitamente.

Nestes casos, quando as empresas e instituições responsáveis pelo tratamento tiverem tornado públicos os dados pessoais e forem obrigadas a apagá-los devem tomar todas as medidas razoáveis, incluindo as de caráter técnico, tendo em consideração a tecnologia disponível e os custos da sua aplicação, para informar os responsáveis pelo tratamento efetivo dos dados pessoais de que o titular dos dados lhes solicitou o apagamento das ligações para esses dados pessoais, bem como das cópias ou reproduções dos mesmos. 

Mais sobre Direito Informático e Propriedade Intelectual

Serviços jurídicos

Ficando o nosso escritório situado na cidade do Porto, esta é uma das nossas áreas de atuação preferencial, sendo que os nossos advogados prestam os seguintes serviços jurídicos.
Tel. (+351) 222 440 820
E-mail. geral@nfs-advogados.com
Membro Associado da 
Associação Europeia de Advogados.
Áreas de atuação.
Prática preferencial
Legalização de estrangeiros
Seguros
Direito Informático
Imobiliário e Urbanismo
Direito do Ambiente
Direito do Trabalho
Recuperação de créditos
Prática geral
Contactos.
Telf.: (+351) 222 440 820
   
Fax: (+351) 220 161 680

E-mail: 
geral@nfs-advogados.com

Porto | Lisboa | São Paulo
  • Mais sobre Direito Informático 
  • Newsletter
  • Artigos
  • Notas informativas
<
>
Para saber mais acerca desta área de atuação e dos serviços que prestamos.
Para consultar as Newsletter publicadas pelo escritório.
Para consultar os Artigos publicados pelo escritório acerca desta área de atuação.
Para consultar as Notas informativas publicadas pelo escritório acerca desta área de atuação.