Orientações e Recomendações

Medidas de Segurança

A proteção dos dados pessoais exige a adoção de medidas técnicas e organizativas apropriadas, independentemente do setor de atividade. Estas medidas devem abranger sistemas informáticos, procedimentos internos e formação dos colaboradores, garantindo a conformidade com a legislação de proteção de dados.

Princípios básicos da segurança da informação

Confidencialidade – Garantir que os dados são acessíveis apenas a pessoas autorizadas.
Integridade – Assegurar que os dados não são alterados indevidamente ou acidentalmente.
Disponibilidade – Garantir que os dados estão acessíveis apenas a quem tem autorização, quando necessário.

Medidas técnicas de segurança

Para prevenir violações de dados e acessos não autorizados, as organizações devem adotar:

Controlos de acesso – Restringir o acesso aos dados apenas a colaboradores autorizados.
Encriptação de dados – Utilizar técnicas de encriptação para proteger informações sensíveis.
Palavras-passe seguras – Implementar políticas de criação e atualização de palavras-passe robustas.
Autenticação multifator (MFA) – Exigir mais do que um fator de autenticação para aceder a sistemas críticos.
Monitorização e auditoria – Implementar registos de acesso e monitorização contínua dos sistemas.
Atualizações e patches de segurança – Manter sistemas operativos e softwares atualizados.
Backups regulares – Realizar cópias de segurança frequentes e armazená-las em locais seguros.

Medidas organizacionais de segurança

Além das soluções tecnológicas, as organizações devem implementar boas práticas internas, tais como:

Definição de políticas internas de proteção de dados e formação dos colaboradores.
Revisão de acessos periodicamente, assegurando que apenas pessoas autorizadas acedem aos dados.
Avaliação de riscos para identificar vulnerabilidades e corrigir falhas de segurança.
Planos de resposta a incidentes, incluindo procedimentos para gerir violações de dados.
Confidencialidade contratual, garantindo que colaboradores e prestadores de serviços assinam acordos de confidencialidade.

Segurança na transferência e armazenamento de dados

As organizações devem assegurar que os dados pessoais são protegidos tanto no armazenamento como na transmissão:

Evitar o envio de dados sensíveis por e-mail sem proteção adequada.
Utilizar VPNs e redes seguras para acesso remoto a sistemas internos.
Armazenar dados pessoais em servidores protegidos, com acesso controlado e medidas de segurança reforçadas.

Gestão de incidentes e violações de dados

Se uma organização detetar um incidente de segurança que envolva dados pessoais, deve:

Identificar e conter a falha de segurança para evitar a sua propagação.
Avaliar o impacto da violação e os dados afetados.
Comunicar a violação à CNPD, caso esta represente um risco para os titulares dos dados.
Notificar os titulares dos dados, se a violação puder causar danos significativos.
Corrigir a falha e reforçar as medidas de segurança para evitar futuros incidentes.

Formação e sensibilização dos colaboradores

A segurança da informação não depende apenas da tecnologia, mas também do comportamento humano. Assim, as organizações devem:

Formar os seus colaboradores sobre boas práticas de proteção de dados.
Criar uma cultura de segurança, incentivando a identificação e comunicação de riscos.
Estabelecer diretrizes claras para a utilização de dispositivos e sistemas informáticos.

O que fazer em caso de incumprimento das medidas de segurança?

As organizações devem estar preparadas para responder rapidamente a falhas de segurança. Caso um titular dos dados suspeite de tratamento inadequado ou de uma violação de dados, pode apresentar uma reclamação à Comissão Nacional de Protecção de Dados (CNPD).

Para mais informações sobre como garantir a segurança dos dados pessoais na sua organização, consulte a CNPD.

Saúde

O tratamento de dados pessoais na área da saúde exige níveis elevados de segurança e confidencialidade, uma vez que estes dados são considerados sensíveis e podem revelar informações detalhadas sobre o estado físico e mental dos indivíduos. As entidades de saúde, públicas ou privadas, devem garantir que o tratamento de dados cumpre a legislação de proteção de dados, assegurando a privacidade dos pacientes e prevenindo acessos indevidos.

Quem pode tratar dados de saúde?

Profissionais de saúde sujeitos a sigilo profissional, como médicos, enfermeiros, farmacêuticos e psicólogos.
Entidades prestadoras de cuidados de saúde, incluindo hospitais, clínicas, laboratórios e farmácias.
Autoridades de saúde pública, quando necessário para fins de vigilância sanitária ou prevenção de doenças.

Outras entidades não podem aceder ou tratar dados de saúde sem uma justificação legal adequada.

Quais são as regras para o tratamento de dados de saúde?

As organizações devem respeitar os seguintes princípios fundamentais:

Finalidade específica – Os dados devem ser recolhidos apenas para fins legítimos, como diagnóstico, tratamento e gestão dos cuidados de saúde.
Minimização de dados – Apenas devem ser tratados os dados estritamente necessários.
Segurança e confidencialidade – Devem ser implementadas medidas rigorosas para evitar acessos indevidos ou divulgação não autorizada.
Consentimento informado – Sempre que aplicável, o titular dos dados deve ser informado sobre a finalidade do tratamento e dar o seu consentimento, exceto nos casos em que a lei permita o tratamento sem consentimento.

Como devem ser armazenados os dados de saúde?

Os dados de saúde devem ser armazenados em sistemas seguros, protegidos contra acessos não autorizados, incluindo:

Encriptação dos dados, tanto em trânsito como em repouso.
Controlo de acessos, garantindo que apenas profissionais autorizados podem consultar os dados.
Registo de acessos e atividades, permitindo monitorizar quem acedeu às informações e quando.
Backups regulares, para evitar a perda de dados críticos.

Durante quanto tempo podem ser armazenados os dados de saúde?

Os dados de saúde devem ser conservados apenas pelo tempo necessário para cumprir a finalidade do seu tratamento. A legislação pode definir prazos específicos para a retenção de registos clínicos, após os quais os dados devem ser eliminados ou anonimizados.

Os dados de saúde podem ser partilhados com terceiros?

A partilha de dados de saúde só é permitida nos seguintes casos:

Entre profissionais de saúde, quando necessário para garantir a continuidade dos cuidados ao paciente.
Com o consentimento explícito do titular, exceto em situações legalmente previstas.
Para fins de investigação científica, desde que os dados sejam anonimizados ou pseudonimizados.
Por obrigação legal ou interesse público, como no caso de epidemias ou emergências de saúde pública.

Quais são os direitos dos titulares dos dados de saúde?

Os cidadãos têm direito a:

Aceder aos seus dados de saúde e obter cópia do seu registo clínico.
Corrigir informações incorretas ou desatualizadas nos seus registos médicos.
Solicitar a eliminação dos seus dados, quando legalmente aplicável.
Ser informados sobre quem tem acesso aos seus dados e para que finalidade.

O que fazer em caso de violação de dados de saúde?

Se uma entidade de saúde sofrer uma violação de dados que possa comprometer a privacidade dos pacientes, deve:

Notificar a CNPD, caso o incidente represente um risco para os titulares dos dados.
Informar os titulares afetados, quando necessário.
Adotar medidas corretivas, reforçando a segurança para evitar futuras ocorrências.

Caso um cidadão suspeite de um uso indevido dos seus dados de saúde, pode apresentar uma reclamação à Comissão Nacional de Protecção de Dados (CNPD).

Para mais informações sobre a proteção de dados na área da saúde, consulte a CNPD.

Trabalho

As organizações têm a responsabilidade de garantir que o tratamento dos dados pessoais dos trabalhadores é realizado de forma transparente, proporcional e em conformidade com a legislação de proteção de dados. O respeito pela privacidade dos colaboradores deve ser assegurado em todas as fases da relação laboral, desde o recrutamento até ao término do contrato de trabalho.

Que dados pessoais podem ser recolhidos pelos empregadores?

Os empregadores podem recolher apenas os dados estritamente necessários para a gestão da relação laboral, tais como:

Dados de identificação (nome, morada, contacto, número de identificação fiscal e número de segurança social).
Informação contratual (categoria profissional, data de admissão, horário de trabalho e remuneração).
Dados bancários para processamento de salários.
Registos de assiduidade, desde que respeitem os princípios da proporcionalidade e necessidade.
Informações de saúde, apenas quando estritamente necessário, como exames médicos obrigatórios por lei para determinadas funções.

O empregador não pode recolher ou tratar informações sobre opiniões políticas, religião, orientação sexual ou outras categorias de dados sensíveis, salvo quando exigido por obrigações legais específicas ou com consentimento explícito do trabalhador.

Monitorização no local de trabalho: o que é permitido?

A monitorização dos trabalhadores deve ser feita dentro dos limites da legislação, garantindo um equilíbrio entre a necessidade do empregador e o direito à privacidade dos colaboradores.

E-mails e dispositivos profissionais: O empregador pode definir regras para a utilização de equipamentos e contas de e-mail corporativas, mas não pode aceder a conteúdos privados dos trabalhadores sem justificação legal e sem aviso prévio.
Videovigilância: A instalação de câmaras no local de trabalho só pode ser feita para fins de segurança e proteção de bens e pessoas. As câmaras não podem ser utilizadas para controlo contínuo do desempenho dos trabalhadores, e os funcionários devem ser informados da sua existência.
Sistemas biométricos: A utilização de impressões digitais, reconhecimento facial ou outras tecnologias biométricas para controlo de assiduidade deve ser proporcional e justificada. Sempre que existam alternativas menos intrusivas, estas devem ser preferidas.
Geolocalização (GPS): A monitorização de veículos de empresa ou dispositivos móveis via GPS só é permitida se for estritamente necessária para a atividade laboral e previamente comunicada aos trabalhadores.

O consentimento do trabalhador é obrigatório para o tratamento de dados?

No contexto laboral, o consentimento nem sempre é uma base legal válida para o tratamento de dados, uma vez que a relação entre empregador e trabalhador pode não garantir um consentimento verdadeiramente livre. Assim, o tratamento de dados deve basear-se noutras justificações legais, como o cumprimento de obrigações legais ou contratuais.

Durante quanto tempo podem ser conservados os dados dos trabalhadores?

Os dados dos trabalhadores devem ser conservados apenas pelo tempo necessário para a finalidade para a qual foram recolhidos. Após a cessação do contrato, os dados devem ser eliminados, salvo quando exista uma obrigação legal que exija a sua retenção por um período específico (por exemplo, para efeitos fiscais ou de segurança social).

Os trabalhadores podem aceder e corrigir os seus dados?

Sim. Os trabalhadores têm direito a:

Aceder aos seus dados pessoais tratados pela entidade empregadora.
Solicitar a retificação de dados incorretos ou desatualizados.
Solicitar a eliminação dos seus dados, caso já não sejam necessários para a finalidade para a qual foram recolhidos.

O que fazer em caso de violação de dados no contexto laboral?

Se houver um incidente de segurança que comprometa os dados dos trabalhadores, a entidade empregadora deve:

Avaliar o impacto da violação e identificar os dados afetados.
Comunicar o incidente à CNPD, caso este represente um risco para os titulares dos dados.
Notificar os trabalhadores afetados, se a violação puder causar danos significativos.
Adotar medidas corretivas para evitar futuras falhas de segurança.

Se um trabalhador suspeitar que os seus dados estão a ser tratados de forma indevida, pode apresentar uma reclamação à Comissão Nacional de Protecção de Dados (CNPD).

Para mais informações sobre proteção de dados no contexto laboral, consulte a CNPD.

Educação

As instituições de ensino, desde creches e escolas até universidades e centros de formação, tratam uma grande quantidade de dados pessoais de alunos, encarregados de educação, professores e funcionários. É essencial que o tratamento dessas informações cumpra a legislação de proteção de dados, garantindo a privacidade, segurança e transparência no acesso e utilização dos dados.

Que dados podem ser recolhidos pelas instituições de ensino?

As instituições de ensino podem recolher apenas os dados necessários para a gestão académica e administrativa, incluindo:

Dados de identificação dos alunos (nome, data de nascimento, número de identificação, morada, contactos, etc.).
Dados dos encarregados de educação (nome, contacto e relação com o aluno).
Informações académicas (notas, avaliações, frequência escolar, registos de comportamento).
Dados de saúde, apenas se forem necessários para garantir o bem-estar do aluno (ex.: alergias, necessidades educativas especiais).

As instituições não podem recolher dados excessivos nem utilizá-los para finalidades diferentes daquelas para as quais foram fornecidos.

Consentimento e tratamento de dados de alunos

O tratamento de dados pessoais de alunos menores de idade deve ser autorizado pelos encarregados de educação.
O consentimento deve ser livre, informado e específico, especialmente para atividades como divulgação de imagens em redes sociais ou participação em estudos.
Para alunos maiores de idade, a instituição deve garantir que os próprios alunos estão cientes do tratamento dos seus dados e dos seus direitos.

Publicação de dados escolares e divulgação de imagens

As escolas e universidades não podem divulgar publicamente informações pessoais dos alunos sem uma justificação válida e sem consentimento expresso. Isso inclui:

Publicação de notas e resultados escolares em locais acessíveis ao público.
Divulgação de fotografias e vídeos dos alunos em redes sociais, websites ou materiais promocionais.
Partilha de listas de alunos e contactos sem a devida proteção.

Videovigilância em escolas e universidades

A instalação de câmaras de videovigilância em espaços educativos deve respeitar regras rigorosas:

Só pode ser feita para fins de segurança e nunca para monitorização contínua de alunos, professores ou funcionários.
As câmaras não podem ser instaladas em locais privados, como salas de aula, balneários e casas de banho.
Os alunos e encarregados de educação devem ser informados sobre a existência das câmaras e a sua finalidade.

Ensino à distância e proteção de dados

O ensino remoto e a utilização de plataformas digitais para atividades escolares exigem cuidados adicionais para proteger a privacidade dos alunos e professores:

As plataformas de ensino online devem garantir a segurança dos dados, impedindo acessos não autorizados.
As aulas não podem ser gravadas ou partilhadas sem o consentimento de todos os participantes.
Os alunos e professores devem ser informados sobre boas práticas de segurança digital ao utilizar ferramentas online.

Partilha de dados com terceiros

Os dados dos alunos não podem ser partilhados com terceiros sem uma base legal clara. Isso inclui:

Empresas de tecnologia ou serviços educativos que solicitam acesso aos dados escolares.
Seguradoras e entidades externas que pretendam utilizar os dados dos alunos para fins comerciais.
Apenas podem ser partilhados com autoridades competentes quando exigido por lei (ex.: Ministério da Educação, Segurança Social).

Direitos dos alunos e encarregados de educação

Os titulares dos dados (ou os seus encarregados de educação) têm direito a:

Aceder aos seus dados pessoais e saber como estão a ser utilizados.
Corrigir informações incorretas no seu registo escolar.
Solicitar a eliminação de dados que já não sejam necessários ou cuja retenção não tenha justificação legal.
Retirar o consentimento, quando o tratamento dos dados for baseado nesta autorização.

O que fazer em caso de violação de dados na educação?

Se uma instituição de ensino sofrer uma violação de dados que comprometa a privacidade dos alunos ou professores, deve:

Avaliar o impacto da violação e identificar os dados afetados.
Notificar a CNPD, caso o incidente represente um risco significativo para os titulares dos dados.
Informar os titulares afetados, quando necessário.
Adotar medidas corretivas para evitar futuras falhas de segurança.

Se um aluno, professor ou encarregado de educação suspeitar que os seus dados estão a ser utilizados de forma indevida, pode apresentar uma reclamação à Comissão Nacional de Protecção de Dados (CNPD).

Para mais informações sobre a proteção de dados no setor da educação, consulte a CNPD.

Gravação de Chamadas

A gravação de chamadas telefónicas por organizações deve cumprir a legislação de proteção de dados, garantindo que os direitos dos cidadãos são respeitados. O tratamento destas gravações deve ser feito com transparência, proporcionalidade e segurança, assegurando que apenas são recolhidos e armazenados os dados estritamente necessários.

Em que situações é permitida a gravação de chamadas?

A gravação de chamadas pode ser realizada apenas quando existir uma base legal válida, tais como:

Cumprimento de uma obrigação legal (ex.: chamadas de emergência, serviços financeiros regulamentados).
Execução de um contrato (ex.: prestação de um serviço que exija registo da comunicação).
Interesse legítimo da organização, desde que respeite os direitos dos titulares dos dados.
Consentimento explícito da pessoa que participa na chamada.

Se a gravação for baseada no consentimento, este deve ser livre, informado e específico, permitindo ao titular dos dados recusar sem consequências negativas.

As organizações devem informar que a chamada está a ser gravada?

Sim. Antes de iniciar a gravação, a organização deve informar os participantes da chamada sobre:

A finalidade da gravação e a base legal que a justifica.
Quem terá acesso à gravação e por quanto tempo será armazenada.
O direito de aceder à gravação ou solicitar a sua eliminação, quando aplicável.

O aviso deve ser claro e compreensível, permitindo que a pessoa decida se deseja ou não continuar a chamada.

Durante quanto tempo podem ser armazenadas as gravações?

As gravações devem ser conservadas apenas pelo tempo necessário para cumprir a finalidade para a qual foram recolhidas. Findo esse prazo, devem ser eliminadas de forma segura. O período de retenção pode variar conforme a legislação aplicável ou a necessidade específica da organização, mas deve sempre ser proporcional e justificado.

Quem pode aceder às gravações?

O acesso às gravações deve ser restrito a pessoas autorizadas e apenas para as finalidades previamente definidas. As organizações devem garantir que:

As gravações não são partilhadas indevidamente com terceiros.
Existem medidas de segurança adequadas para evitar acessos não autorizados.
As gravações são utilizadas apenas para os fins informados aos titulares dos dados.

É permitido gravar chamadas de trabalhadores no contexto laboral?

As chamadas realizadas ou recebidas por trabalhadores não podem ser gravadas para controlo contínuo do desempenho. A gravação pode ser permitida apenas se for necessária para:

Garantir qualidade do serviço ao cliente.
Cumprir obrigações legais (ex.: setor bancário, serviços de emergência).
Proteger direitos e interesses legítimos, desde que o impacto na privacidade do trabalhador seja minimizado.

Em qualquer caso, os trabalhadores devem ser previamente informados sobre a gravação e a sua finalidade.

O que fazer em caso de gravação indevida de chamadas?

Se uma organização gravar chamadas sem cumprir as normas legais, os titulares dos dados podem:

Solicitar informações sobre a base legal da gravação e o tempo de armazenamento.
Exigir o acesso à gravação ou a sua eliminação, se aplicável.
Apresentar uma reclamação à Comissão Nacional de Protecção de Dados (CNPD) em caso de uso indevido.

Para mais informações sobre gravação de chamadas e proteção de dados, consulte a CNPD

Encarregado de Proteção de Dados

O Encarregado de Proteção de Dados (EPD), também conhecido como Data Protection Officer (DPO), desempenha um papel fundamental na garantia da conformidade das organizações com a legislação de proteção de dados. O EPD atua como um intermediário entre a organização, os titulares dos dados e a Comissão Nacional de Protecção de Dados (CNPD), assegurando que os princípios da privacidade e segurança da informação são cumpridos.

Quando é obrigatória a nomeação de um EPD?

A nomeação de um Encarregado de Proteção de Dados é obrigatória para:

Autoridades e organismos públicos, independentemente do tipo de dados tratados.
Empresas e organizações cuja atividade principal envolva tratamento sistemático e regular de dados pessoais em larga escala.
Entidades que tratem categorias especiais de dados, como dados de saúde, biometria ou antecedentes criminais, em larga escala.

Mesmo quando não for obrigatório, qualquer organização pode nomear um EPD para reforçar a conformidade e transparência no tratamento de dados pessoais.

Quais são as funções do Encarregado de Proteção de Dados?

O EPD deve:

Informar e aconselhar a organização e os seus colaboradores sobre as suas obrigações legais em matéria de proteção de dados.
Monitorizar a conformidade da organização com a legislação e políticas internas de proteção de dados.
Prestar aconselhamento sobre Avaliações de Impacto na Proteção de Dados (AIPD), quando exigidas.
Cooperar com a CNPD e atuar como ponto de contacto para questões relacionadas com proteção de dados.
Responder a pedidos de titulares de dados, assegurando o exercício dos seus direitos (acesso, retificação, apagamento, etc.).

Quem pode ser nomeado como EPD?

O Encarregado de Proteção de Dados pode ser um colaborador interno da organização ou um profissional externo contratado para desempenhar esta função. Deve possuir:

Conhecimento especializado em proteção de dados e legislação aplicável.
Capacidade para atuar de forma independente, sem receber instruções que comprometam a sua imparcialidade.
Acesso direto à gestão de topo, garantindo que as políticas de proteção de dados são devidamente implementadas.

O EPD pode ser responsabilizado por violações de proteção de dados?

Não. O EPD não é pessoalmente responsável pelo incumprimento da legislação de proteção de dados. A responsabilidade recai sobre a organização, sendo o EPD um elemento de suporte e orientação para garantir a conformidade.

Como deve ser feita a comunicação do EPD?

As organizações que nomeiam um Encarregado de Proteção de Dados devem:

Divulgar internamente a sua nomeação e função dentro da organização.
Comunicar os seus contactos à CNPD, garantindo que os titulares dos dados podem exercer os seus direitos.
Assegurar que o EPD tem autonomia para desempenhar as suas funções sem conflitos de interesse.

O que fazer se uma organização não nomear um EPD quando é obrigatório?

Se uma organização que está legalmente obrigada a nomear um Encarregado de Proteção de Dados não o fizer, pode estar sujeita a sanções da CNPD.

Caso um titular dos dados tenha dúvidas sobre a conformidade de uma organização, pode apresentar uma reclamação à Comissão Nacional de Protecção de Dados (CNPD).

Para mais informações sobre a nomeação e funções do Encarregado de Proteção de Dados, consulte a CNPD.

Disponibilização de Dados

As organizações que recolhem, utilizam ou partilham dados pessoais devem garantir que a disponibilização dessas informações é feita em conformidade com a legislação de proteção de dados. A partilha de dados deve respeitar os princípios da finalidade, proporcionalidade e segurança, assegurando que os titulares dos dados mantêm o controlo sobre as suas informações.

Em que situações pode uma organização disponibilizar dados pessoais?

As organizações podem disponibilizar dados pessoais apenas quando existe uma base legal válida, tais como:

Consentimento do titular dos dados, quando este aceita explicitamente a partilha das suas informações.
Obrigação legal, quando a lei exige que os dados sejam fornecidos a entidades como autoridades fiscais ou judiciais.
Execução de um contrato, quando a partilha é necessária para cumprir um acordo estabelecido com o titular dos dados.
Interesse legítimo da organização, desde que não prevaleçam os direitos e liberdades dos titulares dos dados.
Proteção de interesses vitais, quando a partilha dos dados é essencial para proteger a vida ou integridade física do titular.

Se os dados forem partilhados com terceiros, a organização deve garantir que a finalidade é compatível com a que foi inicialmente comunicada ao titular dos dados.

O consentimento é sempre necessário para a disponibilização de dados?

Não. O consentimento é uma das bases legais, mas nem sempre é obrigatório. Se a disponibilização dos dados for baseada no consentimento, este deve ser livre, específico, informado e explícito, permitindo ao titular retirar a sua autorização a qualquer momento.

Se houver outra base legal para o tratamento dos dados, o consentimento pode não ser necessário, mas a organização deve informar o titular sobre a finalidade da partilha.

As organizações podem partilhar dados pessoais com terceiros?

A partilha de dados pessoais com terceiros deve ser justificada e estar protegida por medidas de segurança adequadas. As organizações devem:

Garantir que o terceiro cumpre a legislação de proteção de dados e utiliza as informações apenas para a finalidade acordada.
Celebrar um contrato de tratamento de dados quando a partilha for feita com subcontratantes ou parceiros comerciais.
Evitar transferências desnecessárias e garantir que os dados não são utilizados para fins incompatíveis com os originalmente previstos.

Caso a partilha envolva a transferência internacional de dados, é necessário verificar se o país de destino garante um nível adequado de proteção de dados.

Durante quanto tempo podem ser disponibilizados os dados pessoais?

Os dados devem ser disponibilizados apenas pelo tempo necessário para cumprir a finalidade para a qual foram partilhados. Após esse período, a organização deve eliminá-los ou anonimizá-los, garantindo que não são usados de forma indevida.

O que fazer se os meus dados forem partilhados sem autorização?

Se os seus dados forem disponibilizados de forma indevida, pode:

Solicitar informações à organização sobre a base legal para a partilha.
Exigir a eliminação dos seus dados se a partilha não estiver devidamente justificada.
Apresentar uma reclamação à Comissão Nacional de Protecção de Dados (CNPD) se suspeitar de uma violação da legislação.

Para mais informações sobre os seus direitos e boas práticas na disponibilização de dados, consulte a CNPD.

Difusão na Internet

A internet tornou-se um meio essencial para a comunicação e partilha de informação, mas a difusão de dados pessoais online deve ser feita com responsabilidade, garantindo a privacidade e segurança dos titulares dos dados. As organizações que publicam, partilham ou armazenam dados pessoais na internet devem adotar boas práticas de proteção de dados, respeitando a legislação em vigor.

Quando podem as organizações divulgar dados pessoais na internet?

A divulgação de dados pessoais na internet só pode ocorrer quando existir uma base legal que a justifique, como:

Consentimento explícito do titular dos dados, quando este autoriza a publicação das suas informações.
Obrigação legal, se a divulgação for exigida por lei ou regulamentos específicos.
Execução de um contrato, se a publicação for necessária para cumprir uma obrigação contratual.
Interesse legítimo, desde que a divulgação não viole os direitos e liberdades dos titulares dos dados.

Se os dados forem disponibilizados publicamente, o titular deve ser informado sobre essa possibilidade no momento da recolha dos dados.

Quais são os riscos da difusão indevida de dados na internet?

A divulgação não controlada de dados pessoais pode resultar em:

Roubo de identidade, através da utilização indevida de informações pessoais.
Acesso não autorizado a informações sensíveis, comprometendo a privacidade dos titulares.
Ciberataques e fraudes, como phishing e engenharia social.
Danos à reputação, especialmente se forem divulgadas informações incorretas ou sem contexto adequado.

Para minimizar estes riscos, as organizações devem garantir que apenas os dados estritamente necessários são publicados e que são aplicadas medidas de segurança adequadas.

Publicação de dados de clientes, trabalhadores ou estudantes

As organizações não podem divulgar dados pessoais de clientes, trabalhadores, estudantes ou outros titulares sem uma justificação válida. Isto inclui:

Publicação de nomes e contactos em sites ou redes sociais sem autorização.
Divulgação de fotografias ou vídeos de colaboradores ou clientes sem consentimento.
Partilha de dados académicos ou profissionais sem justificação legal.

Sempre que a publicação de dados seja necessária, a organização deve informar os titulares sobre os seus direitos e permitir que solicitem a remoção das informações.

Recolha de dados através de websites e redes sociais

As organizações que recolhem dados pessoais através de plataformas digitais devem:

Informar claramente os utilizadores sobre a recolha e o tratamento dos dados (ex.: políticas de privacidade).
Obter consentimento explícito para a utilização de cookies e tecnologias de rastreamento.
Garantir a segurança dos dados recolhidos, impedindo acessos não autorizados.
Permitir que os utilizadores exerçam os seus direitos, incluindo o direito ao apagamento dos seus dados.

Como remover dados pessoais da internet?

Se um titular de dados solicitar a remoção das suas informações da internet, a organização deve:

Eliminar os dados se já não houver uma justificação legal para a sua manutenção.
Solicitar a desindexação dos conteúdos nos motores de busca, se aplicável.
Assegurar que terceiros que tenham acedido aos dados também deixam de os tratar.

Se os dados foram divulgados indevidamente, o titular pode apresentar uma reclamação à Comissão Nacional de Protecção de Dados (CNPD).

Transferência de dados para plataformas online e serviços em nuvem

As organizações que utilizam serviços em nuvem ou plataformas online devem garantir que:

Escolhem fornecedores que cumpram as normas de proteção de dados.
Verificam a localização dos servidores, garantindo que os dados não são transferidos para países sem garantias adequadas de proteção.
Implementam medidas de segurança, como encriptação e controlo de acessos.

O que fazer em caso de violação de dados na internet?

Se uma organização divulgar dados pessoais sem autorização ou sofrer um ataque que comprometa as informações online, deve:

Avaliar a extensão da violação e os dados afetados.
Notificar a CNPD, se a violação representar um risco para os titulares dos dados.
Informar os titulares afetados, caso a violação possa ter impacto significativo na sua privacidade.
Adotar medidas corretivas para evitar futuras ocorrências.

Caso um titular de dados se sinta lesado pela difusão indevida das suas informações na internet, pode apresentar uma reclamação à Comissão Nacional de Protecção de Dados (CNPD).