Obrigações

Os responsáveis pelo tratamento dos dados, sejam eles entidades públicas ou privadas, têm várias obrigações sob a lei de proteção de dados de Cabo Verde:

  • Notificação e Consentimento: Devem informar claramente aos titulares sobre o tratamento de seus dados e obter consentimento explícito quando necessário.
  • Segurança dos Dados: Devem implementar medidas técnicas e organizacionais apropriadas para proteger os dados pessoais contra acessos não autorizados, perda, destruição ou danos.
  • Relatórios de Incidentes: Devem notificar a CNPD e, em alguns casos, os titulares dos dados sobre violações de dados pessoais que possam resultar em risco para os direitos e liberdades dos indivíduos.
  • Avaliação de Impacto: Devem realizar avaliações de impacto sobre a proteção de dados quando o tratamento for suscetível de resultar em alto risco para os direitos e liberdades das pessoas físicas

Registo de Atividades de Tratamento

Os responsáveis pelo tratamento e os subcontratantes devem manter um registo atualizado das atividades de tratamento de dados pessoais sob sua responsabilidade. Este registo deve incluir:

  • Finalidades do tratamento;
  • Categorias de dados e de titulares;
  • Destinatários dos dados;
  • Transferências internacionais (quando aplicável);
  • Medidas de segurança adotadas.


Este registo deve estar disponível para apresentação à CNPD, sempre que solicitado, e constitui uma ferramenta essencial para garantir a responsabilização (accountability).

Violação de Dados ou Data Breach

Uma violação de dados pessoais é qualquer incidente de segurança que leve à destruição, perda, alteração, divulgação não autorizada ou acesso não autorizado a dados pessoais.

Sempre que tal violação possa representar um risco para os direitos e liberdades dos titulares, o responsável pelo tratamento deve:

  • Notificar a CNPD no prazo máximo de 72 horas após ter tido conhecimento da violação;
  • Informar os titulares dos dados, quando a violação puder implicar um risco elevado para os seus direitos.


A notificação deve conter:

  • A natureza da violação;
  • As consequências prováveis;


As medidas adotadas ou propostas para remediar e mitigar os efeitos.

Encarregado de Proteção de Dados

O Encarregado de Proteção de Dados (EPD) é a pessoa responsável por assegurar a conformidade com a legislação de proteção de dados numa organização.

O EPD:

  • Informa e aconselha o responsável ou subcontratante e os seus trabalhadores;
  • Supervisiona a conformidade com a lei e políticas internas;
  • Coopera com a CNPD e atua como ponto de contacto.


A nomeação de um EPD é obrigatória para:

  • Autoridades e organismos públicos;
  • Organizações cuja atividade principal envolva tratamento em larga escala de dados sensíveis ou controlo sistemático de titulares.


A identidade e os contactos do EPD devem ser comunicados à CNPD.

Avaliação de Impacto

Antes de iniciar tratamentos de dados que possam representar um alto risco para os direitos e liberdades das pessoas, os responsáveis devem realizar uma Avaliação de Impacto sobre a Proteção de Dados (AIPD).

Casos típicos em que a AIPD é exigida:

  • Tratamento sistemático e extensivo de dados pessoais sensíveis;
  • Monitorização em larga escala de espaços públicos;
  • Utilização de novas tecnologias com impacto significativo sobre os titulares.


A AIPD deve incluir:

  • Uma descrição detalhada do tratamento e suas finalidades;
  • Avaliação da necessidade e proporcionalidade;
  • Análise dos riscos para os direitos dos titulares;
  • Medidas para mitigar os riscos identificados.


Se os riscos não puderem ser mitigados de forma aceitável, a CNPD deve ser consultada previamente.

Subscrever newsletter

Últimas notícias

CONTACTOS

Newsletter

Facebook-f Instagram Linkedin-in