A proteção dos dados pessoais exige a adoção de medidas técnicas e organizativas apropriadas, independentemente do setor de atividade. Estas medidas devem abranger sistemas informáticos, procedimentos internos e formação dos colaboradores, garantindo a conformidade com a legislação de proteção de dados.
Para prevenir violações de dados e acessos não autorizados, as organizações devem adotar:
Além das soluções tecnológicas, as organizações devem implementar boas práticas internas, tais como:
As organizações devem assegurar que os dados pessoais são protegidos tanto no armazenamento como na transmissão:
Se uma organização detetar um incidente de segurança que envolva dados pessoais, deve:
A segurança da informação não depende apenas da tecnologia, mas também do comportamento humano. Assim, as organizações devem:
As organizações devem estar preparadas para responder rapidamente a falhas de segurança. Caso um titular dos dados suspeite de tratamento inadequado ou de uma violação de dados, pode apresentar uma reclamação à Comissão Nacional de Protecção de Dados (CNPD).
O tratamento de dados pessoais na área da saúde exige níveis elevados de segurança e confidencialidade, uma vez que estes dados são considerados sensíveis e podem revelar informações detalhadas sobre o estado físico e mental dos indivíduos. As entidades de saúde, públicas ou privadas, devem garantir que o tratamento de dados cumpre a legislação de proteção de dados, assegurando a privacidade dos pacientes e prevenindo acessos indevidos.
Outras entidades não podem aceder ou tratar dados de saúde sem uma justificação legal adequada.
Quais são as regras para o tratamento de dados de saúde?
As organizações devem respeitar os seguintes princípios fundamentais:
Os dados de saúde devem ser armazenados em sistemas seguros, protegidos contra acessos não autorizados, incluindo:
Os dados de saúde devem ser conservados apenas pelo tempo necessário para cumprir a finalidade do seu tratamento. A legislação pode definir prazos específicos para a retenção de registos clínicos, após os quais os dados devem ser eliminados ou anonimizados.
A partilha de dados de saúde só é permitida nos seguintes casos:
Os cidadãos têm direito a:
Se uma entidade de saúde sofrer uma violação de dados que possa comprometer a privacidade dos pacientes, deve:
Caso um cidadão suspeite de um uso indevido dos seus dados de saúde, pode apresentar uma reclamação à Comissão Nacional de Protecção de Dados (CNPD).
As organizações têm a responsabilidade de garantir que o tratamento dos dados pessoais dos trabalhadores é realizado de forma transparente, proporcional e em conformidade com a legislação de proteção de dados. O respeito pela privacidade dos colaboradores deve ser assegurado em todas as fases da relação laboral, desde o recrutamento até ao término do contrato de trabalho.
Os empregadores podem recolher apenas os dados estritamente necessários para a gestão da relação laboral, tais como:
O empregador não pode recolher ou tratar informações sobre opiniões políticas, religião, orientação sexual ou outras categorias de dados sensíveis, salvo quando exigido por obrigações legais específicas ou com consentimento explícito do trabalhador.
A monitorização dos trabalhadores deve ser feita dentro dos limites da legislação, garantindo um equilíbrio entre a necessidade do empregador e o direito à privacidade dos colaboradores.
No contexto laboral, o consentimento nem sempre é uma base legal válida para o tratamento de dados, uma vez que a relação entre empregador e trabalhador pode não garantir um consentimento verdadeiramente livre. Assim, o tratamento de dados deve basear-se noutras justificações legais, como o cumprimento de obrigações legais ou contratuais.
Os dados dos trabalhadores devem ser conservados apenas pelo tempo necessário para a finalidade para a qual foram recolhidos. Após a cessação do contrato, os dados devem ser eliminados, salvo quando exista uma obrigação legal que exija a sua retenção por um período específico (por exemplo, para efeitos fiscais ou de segurança social).
Sim. Os trabalhadores têm direito a:
Se houver um incidente de segurança que comprometa os dados dos trabalhadores, a entidade empregadora deve:
Se um trabalhador suspeitar que os seus dados estão a ser tratados de forma indevida, pode apresentar uma reclamação à Comissão Nacional de Protecção de Dados (CNPD).
As instituições de ensino, desde creches e escolas até universidades e centros de formação, tratam uma grande quantidade de dados pessoais de alunos, encarregados de educação, professores e funcionários. É essencial que o tratamento dessas informações cumpra a legislação de proteção de dados, garantindo a privacidade, segurança e transparência no acesso e utilização dos dados.
As instituições de ensino podem recolher apenas os dados necessários para a gestão académica e administrativa, incluindo:
As instituições não podem recolher dados excessivos nem utilizá-los para finalidades diferentes daquelas para as quais foram fornecidos.
As escolas e universidades não podem divulgar publicamente informações pessoais dos alunos sem uma justificação válida e sem consentimento expresso. Isso inclui:
A instalação de câmaras de videovigilância em espaços educativos deve respeitar regras rigorosas:
O ensino remoto e a utilização de plataformas digitais para atividades escolares exigem cuidados adicionais para proteger a privacidade dos alunos e professores:
Os dados dos alunos não podem ser partilhados com terceiros sem uma base legal clara. Isso inclui:
Os titulares dos dados (ou os seus encarregados de educação) têm direito a:
Se uma instituição de ensino sofrer uma violação de dados que comprometa a privacidade dos alunos ou professores, deve:
Se um aluno, professor ou encarregado de educação suspeitar que os seus dados estão a ser utilizados de forma indevida, pode apresentar uma reclamação à Comissão Nacional de Protecção de Dados (CNPD).
A gravação de chamadas telefónicas por organizações deve cumprir a legislação de proteção de dados, garantindo que os direitos dos cidadãos são respeitados. O tratamento destas gravações deve ser feito com transparência, proporcionalidade e segurança, assegurando que apenas são recolhidos e armazenados os dados estritamente necessários.
A gravação de chamadas pode ser realizada apenas quando existir uma base legal válida, tais como:
Se a gravação for baseada no consentimento, este deve ser livre, informado e específico, permitindo ao titular dos dados recusar sem consequências negativas.
Sim. Antes de iniciar a gravação, a organização deve informar os participantes da chamada sobre:
O aviso deve ser claro e compreensível, permitindo que a pessoa decida se deseja ou não continuar a chamada.
As gravações devem ser conservadas apenas pelo tempo necessário para cumprir a finalidade para a qual foram recolhidas. Findo esse prazo, devem ser eliminadas de forma segura. O período de retenção pode variar conforme a legislação aplicável ou a necessidade específica da organização, mas deve sempre ser proporcional e justificado.
O acesso às gravações deve ser restrito a pessoas autorizadas e apenas para as finalidades previamente definidas. As organizações devem garantir que:
As chamadas realizadas ou recebidas por trabalhadores não podem ser gravadas para controlo contínuo do desempenho. A gravação pode ser permitida apenas se for necessária para:
Em qualquer caso, os trabalhadores devem ser previamente informados sobre a gravação e a sua finalidade.
Se uma organização gravar chamadas sem cumprir as normas legais, os titulares dos dados podem:
O Encarregado de Proteção de Dados (EPD), também conhecido como Data Protection Officer (DPO), desempenha um papel fundamental na garantia da conformidade das organizações com a legislação de proteção de dados. O EPD atua como um intermediário entre a organização, os titulares dos dados e a Comissão Nacional de Protecção de Dados (CNPD), assegurando que os princípios da privacidade e segurança da informação são cumpridos.
A nomeação de um Encarregado de Proteção de Dados é obrigatória para:
Mesmo quando não for obrigatório, qualquer organização pode nomear um EPD para reforçar a conformidade e transparência no tratamento de dados pessoais.
O EPD deve:
O Encarregado de Proteção de Dados pode ser um colaborador interno da organização ou um profissional externo contratado para desempenhar esta função. Deve possuir:
Não. O EPD não é pessoalmente responsável pelo incumprimento da legislação de proteção de dados. A responsabilidade recai sobre a organização, sendo o EPD um elemento de suporte e orientação para garantir a conformidade.
As organizações que nomeiam um Encarregado de Proteção de Dados devem:
Se uma organização que está legalmente obrigada a nomear um Encarregado de Proteção de Dados não o fizer, pode estar sujeita a sanções da CNPD.
Caso um titular dos dados tenha dúvidas sobre a conformidade de uma organização, pode apresentar uma reclamação à Comissão Nacional de Protecção de Dados (CNPD).
As organizações que recolhem, utilizam ou partilham dados pessoais devem garantir que a disponibilização dessas informações é feita em conformidade com a legislação de proteção de dados. A partilha de dados deve respeitar os princípios da finalidade, proporcionalidade e segurança, assegurando que os titulares dos dados mantêm o controlo sobre as suas informações.
As organizações podem disponibilizar dados pessoais apenas quando existe uma base legal válida, tais como:
Se os dados forem partilhados com terceiros, a organização deve garantir que a finalidade é compatível com a que foi inicialmente comunicada ao titular dos dados.
Não. O consentimento é uma das bases legais, mas nem sempre é obrigatório. Se a disponibilização dos dados for baseada no consentimento, este deve ser livre, específico, informado e explícito, permitindo ao titular retirar a sua autorização a qualquer momento.
Se houver outra base legal para o tratamento dos dados, o consentimento pode não ser necessário, mas a organização deve informar o titular sobre a finalidade da partilha.
A partilha de dados pessoais com terceiros deve ser justificada e estar protegida por medidas de segurança adequadas. As organizações devem:
Caso a partilha envolva a transferência internacional de dados, é necessário verificar se o país de destino garante um nível adequado de proteção de dados.
Os dados devem ser disponibilizados apenas pelo tempo necessário para cumprir a finalidade para a qual foram partilhados. Após esse período, a organização deve eliminá-los ou anonimizá-los, garantindo que não são usados de forma indevida.
Se os seus dados forem disponibilizados de forma indevida, pode:
A internet tornou-se um meio essencial para a comunicação e partilha de informação, mas a difusão de dados pessoais online deve ser feita com responsabilidade, garantindo a privacidade e segurança dos titulares dos dados. As organizações que publicam, partilham ou armazenam dados pessoais na internet devem adotar boas práticas de proteção de dados, respeitando a legislação em vigor.
A divulgação de dados pessoais na internet só pode ocorrer quando existir uma base legal que a justifique, como:
Se os dados forem disponibilizados publicamente, o titular deve ser informado sobre essa possibilidade no momento da recolha dos dados.
A divulgação não controlada de dados pessoais pode resultar em:
Para minimizar estes riscos, as organizações devem garantir que apenas os dados estritamente necessários são publicados e que são aplicadas medidas de segurança adequadas.
As organizações não podem divulgar dados pessoais de clientes, trabalhadores, estudantes ou outros titulares sem uma justificação válida. Isto inclui:
Sempre que a publicação de dados seja necessária, a organização deve informar os titulares sobre os seus direitos e permitir que solicitem a remoção das informações.
As organizações que recolhem dados pessoais através de plataformas digitais devem:
Se um titular de dados solicitar a remoção das suas informações da internet, a organização deve:
Se os dados foram divulgados indevidamente, o titular pode apresentar uma reclamação à Comissão Nacional de Protecção de Dados (CNPD).
As organizações que utilizam serviços em nuvem ou plataformas online devem garantir que:
Se uma organização divulgar dados pessoais sem autorização ou sofrer um ataque que comprometa as informações online, deve:
Caso um titular de dados se sinta lesado pela difusão indevida das suas informações na internet, pode apresentar uma reclamação à Comissão Nacional de Protecção de Dados (CNPD).