Manual RGPD

FORMAÇÃO RGPD
FORMAÇÃO INTEREMPRESAS
MANUAL DE FORMAÇÃO

Conteúdos Elaborados por:
Elsa Veloso - Formadora
Hugo Leite – Formador
Pág. 1

Programa do Curso
Planos de Sessão
Objectivos
I. O Regulamento Geral de Proteção de Dados – O novo quadro legal

II. O Encarregado da Proteção de Dados
III. Governance, Accountability e Segurança da Informação
IV. Transparência e regras para o exercício dos direitos dos titulares dos
dados
V. O RGPD: mais do que Data Management, é GOVERNANCE
VI. Considerações Finais
Pág. 2

RGPD – REGULAMENTO GERAL SOBRE PROTEÇÃO DE DADOS

I. Enquadramento Histórico e Direitos Fundamentais
II. O Regulamento Geral de Proteção de Dados - RGPD
III. Principais Alterações
IV. O que muda para as Organizações
I. Definições
II. Princípios
III. Licitude de Tratamento
IV. Direitos ARCO e Portabilidade
V. Deveres ou Obrigações
VI. Segurança e Informação
VII. Implicações do RGPD no Marketing Digital
V. Tratamento de Dados Pessoais no Âmbito Laboral
VI. Desmistificar o RPGD para as Empresas
VII. Considerações Finais
Pág. 3

I. RGPD – ENQUADRAMENTO HISTÓRICO E DIREITOS FUNDAMENTAIS
Pág. 4

Pág. 5

II. RGPD – REGULAMENTO GERAL PROTEÇÃO DADDOS O NOVO QUADRO LEGAL
RGPD
- O Novo Quadro Legal -
Regulamento (UE) 2016/679 do Parlamento

Europeu e do Conselho,
de 27 de abril de 2016, relativo à proteção
das pessoas singulares no que diz respeito
ao tratamento de dados pessoais e à livre
circulação desses dados e que revoga a
Diretiva 95/46/CE
Regulamento Geral de Proteção de Dados -

RGPD
Entrou em vigor a 24 de Maio de 2016
Aplicável a partir de 25 de Maio de 2018
Aplicação
Material:
• Aplicável ao tratamento de todos os dados pessoais, exceto:
– efetuado no exercício de atividades não sujeitas à aplicação do direito da União;
– Efetuado pelos Estados-Membros no exercício de atividades abrangidas pelo
âmbito de aplicação do título V, capítulo 2, do TUE (política externa e de
segurança);
– Efetuado por uma pessoa singular no exercício de atividades exclusivamente
pessoais ou domésticas;
– Efetuado pelas autoridades competentes para efeitos de prevenção,
investigação,
deteção e repressão de infrações penais ou da execução de sanções penais.
Territorial:
• Organizações públicas e privadas que estejam dentro da UE,
• …mas também todas as organizações fora da UE que processem dados pessoais
para oferta de bens e serviços à UE.
Pág. 6

III. RGPD – PRINCIPAIS ALTERAÇÕES
Pág. 7

O QUE MUDA PARA AS ORGANIZAÇÕES?
IV. RGPD – DEFINIÇÕES
DADOS PESSOAIS
«Dados pessoais», informação relativa a uma pessoa singular identificada ou identificável («titular
dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou
indiretamente, em especial por referência a um identificador, como por exemplo um nome, um
número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais
elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou
social dessa pessoa singular.
Pág. 8

EXEMPLOS DE DADOS
NÃO CONSIDERADOS PESSOAIS
Referências
Pág. 9

DADOS PESSOAIS SENSÍVEIS

Dados pessoais que revelem a origem racial ou étnica,
as opiniões políticas, as convicções religiosas ou
filosóficas, ou a filiação sindical, bem como o tratamento
de dados genéticos, dados biométricos para identificar
uma pessoa de forma inequívoca, dados relativos à
saúde ou dados relativos à vida sexual ou orientação
sexual de uma pessoa.
TRATAMENTO
«Tratamento», uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou

sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a
recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a
recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra
forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a
destruição.
DEFINIÇÃO DE PERFIS
«Definição de perfis», qualquer forma de tratamento automatizado de dados pessoais que consista
em utilizar esses dados pessoais para avaliar certos aspetos pessoais de uma pessoa singular,
nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho profissional,
Pág. 10

a sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento,

localização ou deslocações.
PSEUDOMIZAÇÃO
«Pseudonimização», o tratamento de dados pessoais de forma que deixem de poder ser atribuídos
a um titular de dados específico sem recorrer a informações suplementares, desde que essas
informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e
organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa
singular identificada ou identificável.
RESPONSÁVEL PELO TRATAMENTO
«Responsável pelo tratamento», a pessoa singular ou coletiva, a autoridade pública, a agência ou

outro organismo que, individualmente ou em conjunto com outras, determina as finalidades e os
meios de tratamento de dados pessoais; sempre que as finalidades e os meios desse tratamento
sejam determinados pelo direito da União ou de um Estado-Membro, o responsável pelo
tratamento ou os critérios específicos aplicáveis à sua nomeação podem ser previstos pelo direito
da União ou de um Estado-Membro.
SUBCONTRAENTE
«Subcontratante», uma pessoa singular ou coletiva, a autoridade pública, agência ou outro

organismo que trate os dados pessoais por conta do responsável pelo tratamento destes.
VIOLAÇÃO DE DADOS PESSOAIS
«Violação de dados pessoais», uma violação da segurança que provoque, de modo acidental ou
ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados
pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
Pág. 11

IV. RGPD – PRINCÍPIOS
PRÍNCIPIOS
1. Licitude, lealdade e transparência

2. Limitação das finalidades
3. Minimização dos dados
4. Exatidão (exatos e atualizados sempre que necessário)
5. Limitação da conservação
6. integridade e confidencialidade
No quadro geral do princípio da “responsabilidade” (accountability) em que o responsável pelo

tratamento tem de poder comprovar o respeito pelos 6 Princípios da Privacidade.
IV. RGPD – LICITUDE DE TRATAMENTO CONSENTIMENTO

BASES LEGAIS PARA TRATAMENTO
LICITUDE DO TRATAMENTO DE DADOS PESSOAIS
O titular dos dados tiver dado o seu consentimento;

O tratamento for necessário para a execução de um contrato;
Cumprimento de uma obrigação jurídica (a que o responsável pelo tratamento esteja sujeito);
Interesses vitais do titular dos dados;
Exercício de funções de interesse público ou exercício da autoridade pública (ex. IRS);
O tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo responsável
pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades
fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for
uma criança.
CONSENTIMENTO
§ Responsável pelo tratamento deve poder demonstrar que o titular dos dados deu o seu
consentimento.
§ Deve ser apresentado de uma forma que o distinga de modo inteligível e de fácil acesso
e numa linguagem clara e simples.
§ O titular tem o direito de retirar o seu consentimento. O consentimento deve ser tão
fácil de retirar quanto de dar.
§ O consentimento não é dado livremente se, designadamente, a execução de um contrato,
inclusive a prestação de um serviço, está subordinada ao consentimento para o
tratamento de dados pessoais que não é necessário para a execução desse contrato.
§ Surge com uma regulação detalhada no RGPD (muito superior à da Diretiva 95/46)
• Consentimento deve ser LEIE e prestado mediante declaração ou ato positivo
inequívoco
• Se o consentimento for prestado no contexto de uma declaração escrita que diga também
respeito a outros assuntos, o pedido de consentimento deve ser apresentado de uma
forma que o distinga claramente desses outros assuntos de modo inteligível e de fácil
acesso e numa linguagem clara e simples –Pode estar aqui o fim dos termos de utilização
extensíssimos
• O tratamento de diferentes tipos de dados deve dar lugar a consentimentos distintos (evitar
a lógica de “tudo ou nada”)
• Pode obrigar as empresas (e.g comércio eletrónico) a rever os seus termos de utilização
• Consentimentos prestados antes do início de aplicação do RGPD são válidos desde que
cumpram as novas coordenadas
Pág. 12

CONSENTIMENTO
§ Dado em forma de ação positiva ( OPT-IN)
§ Por escrito, por meios electrónicos ou oralmente
§ Ticking box on website
§ Ativando configurações técnicas
§ Outras Declarações ou Condutas
NÃO SÃO FORMAS DE CONSENTIMENTO

§ Silêncio, pre-ticked boxes, inação não são formas de consentimento
§ Consentimento para Todos os Fins
IV. RGPD – DIREITOS

1. Direito à Informação
2. Direito de Acesso aos seus dados
3. Direito de retificação de dados inexatos
4. Direito ao apagamento dos dados («direito a ser esquecido»)
5. Direito de oposição
6. Direito à limitação do tratamento (inexatidão ou oposição em
7. Direito a notificação de retificação ou apagamento ou limitação de tratamento
8. Direito de portabilidade
9. Direito de oposição a decisões individuais automatizadas
Acesso
Retificação
Cancelamento
Oposição
Direitos ARCO
Direitos do titular dos dados
Acesso
Artigo 15º RGPD
O titular dos dados tem o direito de obter do responsável pelo tratamento a confirmação de que
os dados pessoais que lhe digam respeito são ou não objeto de tratamento e, se for esse o caso,
o direito de aceder aos seus dados pessoais e às seguintes informações:
● As finalidades do tratamento de dados;
● As categorias dos dados em questão
● Os destinatários ou categorias de destinatários a quem os dados pessoais foram ou
serão divulgados, nomeadamente os destinatários estabelecidos em países terceiros

Retificação
Artigo 16º RGPD
O titular tem o direito de obter, sem demora injustificada, do responsável pelo tratamento
a retificação dos dados pessoais inexatos que lhe digam respeito. Tendo em conta as
finalidades do tratamento, o titular dos dados tem direito a que os seus dados pessoais
incompletos sejam completados, incluindo por meio de uma declaração adicional.

Cancelamento- Direito ao apagamento dos dados
“Direito a ser esquecido”
Artigo 17º RGPD
O titular tem o direito de obter do responsável pelo tratamento o apagamento dos
seus dados pessoais, sem demora injustificada, e este tem a obrigação de apagar os
dados pessoais, sem demora injustificada, quando se aplique um dos seguintes motivos:

Pág. 13

● Os dados pessoais deixaram de ser necessários para a finalidade que motivou a sua
recolha ou tratamento
● O titular retira o consentimento em que se baseia o tratamento dos dados nos termos do
artigo 6.º, n.º 1, alínea a), ou do artigo 9.º, n.º 2, alínea a) e se não existir outro
fundamento jurídico para o referido tratamento.
● O titular opõe-se ao tratamento nos termos do artigo 21º, n.º 1 (Direito de oposição), e
não existem interesses legítimos prevalecentes que justifiquem o tratamento, ou o titular
opõe-se ao tratamento nos termos do artigo 21.º, n.º 2 (tratamento para comercialização
direta)
● Os dados pessoais foram tratados ilicitamente

Cancelamento- Direito a ser esquecido
Artigo 17º RGPD
● Os dados pessoais têm de ser apagados para o cumprimento de uma obrigação jurídica
decorrente do direito da União ou de um Estado-Membro a que o responsável pelo
tratamento esteja sujeito
● Os dados pessoais foram recolhidos no contexto da oferta de serviços da sociedade da
informação referida no artigo 8.º, n.º 1.
O artigo 8.º, n.º 1 determina que quando for aplicável o artigo 6.º, n.º 1, alínea a) (licitude do
tratamento com base no consentimento), no que respeita à oferta direta de serviços da sociedade
da informação às crianças, (o processamento ) dos dados pessoais de crianças é lícito se elas
tiverem pelo menos 16 anos.
Caso a criança tenha menos de 16 anos, o tratamento só é lícito se e na medida em que o

consentimento seja dado ou autorizado pelos titulares das responsabilidades parentais da
criança.
Direito a ser esquecido

Artigo 17º RGPD
Louis Brandeis e Samuel Warren (nas fotos) : percussores do direito a ser esquecido, no final do
século XIX, com a obra“ The right to Privacy”, publicado na Harvard Law Review, Volume IV , n.º
5, 15/Dez/1890 Segundo Dorothy Glancy , autora de “The Invention of the right to Privacy”,
separaram três Vertentes inerentes à pessoa humana:
PRIVACIDADE
Direito a ser esquecido
Artigo 17º RGPD
Liberdade: Assegurava, para Brandeis, extensos privilégios civis, mas não a privacidade
Pág. 14

Propriedade- Compreendia interesses materiais do indivíduo mas opunha-se à privacidade

enquanto interesse espiritual
Privacidade entendida como a vontade de controlar a exposição e a disponibilidade de
informações acerca de si mesmo e de existir de forma anónima, tendo a solidão como critério e
fonte de liberdade ►The Right To Be Let Alone.
“A Privacidade é o Direito à Reserva de Informações Pessoais e da Própria Vida Privada”

Louis Brandeis

Oposição
Artigo 21º RGPD
O titular dos dados tem o direito de se opor a qualquer momento, por motivos
relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe
digam respeito
com base no artigo 6.o, n.º 1, alínea e) ou f), ou no artigo 6.º, n.º 4, incluindo a definição de
perfis com base nessas disposições
Direito à Portabilidade Artigo 20.º do RGPD
O titular dos dados tem o direito de receber os dados pessoais que lhe
digam respeito e que tenha fornecido a um responsável pelo tratamento:
● num formato estruturado
● de uso corrente e de leitura automática
Subsequentemente,
o direito de transmitir esses dados a outro responsável pelo tratamento sem que
o responsável a quem os dados pessoais foram fornecidos o possa impedir, se:
● O tratamento se basear no consentimento dado nos termos do artigo 6.º, n.º 1,
alínea a), ou do artigo 9.º, n.º 2, alínea a), ou num contrato referido no artigo 6.º, n.º
1, alínea b); e
● O tratamento for realizado por meios automatizados.
▼
Requisitos cumulativos
Pág. 15

Direito à Portabilidade
Artigo 20.º do RGPD
Direito de portabilidade
• O titular dos dados tem o direito de receber os dados pessoais que lhe digam respeito e
que tenha fornecido a um responsável pelo tratamento, num formato estruturado, de uso
corrente e de leitura automática, e o direito de transmitir esses dados a outro
responsável pelo tratamento sem que o responsável a quem os dados pessoais foram
fornecidos o possa impedir
• Pode exercer-se quando: a) O tratamento se basear no consentimento; e b) O
tratamento for realizado por meios automatizados
• Ao exercer este direito, o titular dos dados tem o direito a que os dados pessoais sejam
transmitidos diretamente entre os responsáveis pelo tratamento, sempre que tal seja
tecnicamente possível
• Acarretando a obrigação de adoção de modelos interoperáveis de alojamento de dados,
poderá implicar um desafio operacional e técnico relevante para as empresas /
organizações
Como responder aos desafios? Proposta de Lei n.º 120/XIII da Presidência do Conselho de
Ministros (22/03/2018)
Artigo 18.º
Portabilidade e interoperabilidade dos dados
1 - O direito de portabilidade dos dados previsto no artigo 20.º do RGPD abrange apenas os
dados fornecidos pelos respetivos titulares.
2 - A portabilidade dos dados deve, sempre que possível, ter lugar em formato aberto.
3 - No âmbito da Administração Pública, sempre que a interoperabilidade dos dados não seja
tecnicamente possível, o titular dos dados tem o direito de exigir que os mesmos lhe sejam
entregues num formato digital aberto, de acordo com o Regulamento Nacional de
Interoperabilidade Digital em vigor.
Pág. 16

DIREITO AO ESQUECIMENTO
É um direito ao apagamento de dados pessoais (acórdão “Google” de 20 de junho de 2014)

É um direito de obter o apagamento sem demora injustificada e uma obrigação de apagamento
sem demora injustificada
Admite algumas exceções: exercício da liberdade de expressão e de informação
IV. RGPD – DEVERES E OBRIGAÇÕES

OBRIGAÇÕES TÉCNICAS E OPERACIONAIS
Dos Responsáveis pelo Tratamento e Subcontratantes
Pág. 17

IV. RGPD – SEGURANÇA
Os três princípios comuns de segurança da informação,

conhecidos como C-I-A ou tríade de segurança da informação:
Confidencialidade, Integridade e Disponibilidade. A
Accountability (responsabilidade associada à transparência e
rastreabilidade) e Assurance (garantia/fiabilidade) devem ser
aplicadas aos outros 3 Princípios Base.
As medidas de segurança física implementadas em cada
instalação devem refletir a sensibilidade da informação alojada
nesse local.
Criação de Valor:
• A Segurança e Avaliação do Risco são os dois conceitos centrais do GDPR Espera-se
que a aplicação do RGPD crie valor para a organização pelo reforço da confiança dos
seus clientes e parceiros, ao mesmo tempo que garante um controlo efetivo dos dados a
seu cargo, através da mitigação dos riscos externos e internos. Normalmente há 3 áreas
particularmente beneficiadas:
• Gateways de e-mail – proteção contra perda de dados de email, proteção de antispam e
antimalware, filtragem inteligente de conteúdo avançada e encriptação de email
• DLP (Data Loss Prevention) – software para prevenção de perda de dados
• SIEM (Security Information and Event Management) - gestão de informação sobre os
eventos de segurança como (Logins e Logouts, chamadas de API, Exportações de
relatórios/dados, …)
• GDPR define que para certo casos é obrigatória a realização de uma avaliação de
riscos.
• “Quando um certo tipo de tratamento, em particular que utilize novas tecnologias e tendo
em conta a sua natureza, âmbito, contexto e finalidades, for suscetível de implicar um
elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo
tratamento procede, antes de iniciar o tratamento, a uma avaliação de impacto das
operações de tratamento previstas sobre a proteção de dados pessoais.”
• Data Protection Impact Assessments (DPIA) incluem:
• Descrição sistemática do processamento
• Base jurídica do processamento (interesse legítimo)
• Necessidade e proporcionalidade
• Riscos para os direitos e liberdades dos titulares dos dados
• Controles para tratar riscos inaceitáveis
• Consulta aos titulares dos dados, quando apropriado
Pág. 18

MEDIDAS CRÍTICAS DE SEGURANÇA
(…)No que respeita ao tratamento automatizado de dados, cada Estado-Membro prevê que o
responsável pelo tratamento ou o subcontratante, na sequência de uma avaliação dos riscos,
aplique medidas para os seguintes efeitos:
Pág. 19

O RGPD - QUADRO SANCIONATÓRIO
Coimas até 20.000.000 ou 4% do volume global anual de negócios do exercício anterior

(empresas) por:
1. Violação das regras do consentimento
2. Deveres dos responsáveis perante os titulares (transparência, informação, acesso,
esquecimento, portabilidade)
3. Regras de transferências internacionais de dados
IV. RGPD – PRIVACY BY DESIGN
Governação da informação: privacidade desde a concepção
O Regulamento determina que os responsáveis pelo tratamento considerem a conformidade com

o Regulamento desde o momento inicial de desenvolvimento do produto
Obrigação de aplicação das medidas técnicas e organizativas adequadas (como a
pseudonimização)
A proteção dos dados pessoais torna-se central no negócio
IV. RGPD – AVALIAÇÃO DE IMPACTO
Governação da informação: avaliação de impacto
O fim das notificações e das autorizações:

Diretiva 95/46 prevê uma obrigação de notificação à autoridade de controlo por parte do
responsável pelo tratamento antes da realização de um tratamento ou conjunto de tratamentos
Novos procedimentos:
O RGPD substitui essa obrigação por uma outra, também prévia ao início do tratamento, de
avaliação de impacto das operações de tratamento sobre a proteção de dados pessoais
Essa avaliação é obrigatória sempre que um certo tipo de tratamento (que, por exemplo, envolva
o uso de novas tecnologias) e considerando a sua natureza, âmbito, contexto e finalidades, for
suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares
e.g casos de definição de perfis, de operações de tratamento em grande escala de dados sensíveis
ou controlo sistemático de zonas acessíveis ao público em grande escala
IV. RGPD – ENCARREGADO DE PROTEÇÃO DE DADOS

O Encarregado da Proteção de Dados (“DPO”)
• Não é obrigatório para todas as organizações

• Pode ser um colaborador interno ou em outsourcing
• Tem que ser um colaborador com relevante formação e experiência na proteção de
dados pessoais
• Reporta à Gestão de Topo
• Deve permanecer independente e protegido
• Controla a conformidade e fornece conselhos e orientações sobre questões de proteção
de dados. Incluindo, a repartição de responsabilidades, a sensibilização e formação do
pessoal, e auditorias correspondentes
• Coopera com a autoridade de controlo e é o ponto de contacto primário
Quando é obrigatório designar?

• Quando o tratamento for efetuado por uma autoridade ou organismo público;
Pág. 20

• Quando as atividades principais do responsável pelo tratamento ou do subcontratante

consistem em operações de tratamento que, devido à sua natureza, âmbito e/ou
finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande
escala (v.g prestação de serviços de telecomunicações); ou
consistam em operações de tratamento em grande escala de categorias especiais de
dados (v.g processamento de dados médicos pelos hospitais)
• Funções do DPO:
– Informa e aconselha o responsável pelo tratamento ou o subcontratante, bem
como os trabalhadores que tratem os dados, a respeito das suas obrigações nos
termos do RGPD
– Controla a conformidade dos procedimentos adotados pelo responsável pelo
tratamento ou pelo subcontratante
– Presta aconselhamento no que respeita à avaliação de impacto sobre a proteção
de dados e controla a sua realização
– Coopera com a autoridade de controlo (ponto de contacto)
• O DPO pode ser um elemento do pessoal do responsável pelo tratamento ou do
subcontratante, ou exercer as suas funções com base num contrato de prestação de
serviços
• Um grupo empresarial pode designar um único encarregado da proteção de dados desde
que o mesmo seja facilmente acessível a partir de cada estabelecimento
Posição: imparcialidade & independência
Proposta de Lei n.º 120/XIII da Presidência do Conselho de Ministros (22/03/2018)

Artigo 11.º
Funções do encarregado de proteção de dados
Para além do disposto nos artigos 37.º a 39.º do RGPD, são funções do encarregado de
proteção de dados:
a) Assegurar a realização de auditorias, quer periódicas, quer não programadas;
b) Sensibilizar os utilizadores para importância da deteção atempada de incidentes de
segurança e para a necessidade de informar imediatamente o responsável pela
segurança, sempre que for detetado código malicioso;
c) Assegurar as relações com os titulares dos dados nas matérias abrangidas pelo RGPD e
pela legislação nacional em matéria de proteção de dados.
IV. RGPD – VIOLAÇÃO DE DADOS
Notificação e comunicação de uma violação de dados pessoais

• Com o RGPD o procedimento passa a ser único: em caso de violação de dados
pessoais, o responsável pelo tratamento notifica a autoridade de controlo, sempre que
possível, até 72 horas após ter tomado conhecimento da mesma
• O subcontratante notifica o responsável pelo tratamento sem demora injustificada após
ter
tomado conhecimento de uma violação de dados pessoais
• Quando a violação dos dados pessoais for suscetível de implicar um elevado risco para
os direitos e liberdades das pessoas singulares, o responsável pelo tratamento comunica
a violação ao titular dos dados sem demora injustificada
Pág. 21

RGPD – BALCÃO ÚNICO

Sistema de Balcão Único (One Stop Shop)
• Grupos multinacionais com vários estabelecimentos na Europa

• Os responsáveis pelo tratamento e subcontratantes terão apenas que comunicar com a
autoridade de controlo principal – onde está se encontra o estabelecimento
principal da empresa.
• Porém, as autoridades de controlo locais continuam a ter poderes em vários sectores e
irão colaborar com as principais em investigações
RGPD – SANÇÕES
• É um dos temas centrais do RGPD e que maiores atenções tem despertado
• Na Diretiva 95/46 a determinação do montante das coimas a aplicar encontrava-se
delegada nos Estados-membros
• O RGPD estabelece um quadro de aplicação uniforme e assente em dois tipos de
sanções (em função da gravidade da violação):
– Nos casos mais “leves” (p.e., violação das regras “privacy by design” e “privacy
by default”), as coimas poderão ter um valor até 10 000 000 EUR ou até 2% do
volume de negócios anual a nível mundial correspondente ao exercício
financeiro anterior, consoante o montante que for mais elevado;
– Nos casos mais gravosos (p.e., violação das condições de consentimento), as
coimas poderão ter um valor até 20 000 000 EUR ou até 4% do volume de
negócios a nível mundial correspondente ao exercício financeiro anterior,
consoante o montante que for mais elevado
Pág. 22

RGPD – IMPLICAÇÕES NO MARKETING DIGITAL
1. O Ciclo de Vida dos Dados Pessoais

Exemplos de vários tipos de captação:
Como deve, o DPO, avaliar o ciclo de vida dos dados pessoais?
Pág. 23

Como deve, o DPO, garantir uma captação online conforme?
2. Implicações do RGPD no Marketing Digital

2.1 Cookies
2.2. Opt In
2.2 Termos e Condições, Política de Privacidade
2.3. Third Parties
2.4. ARCO Rights
2.1. Cookies - Elementos Política de Cookies
O que são: Pequenos ficheiros de texto enviados para o seu computador ou dispositivo móvel
quando visita websites. Os cookies ajudam os websites a armazenar e recuperar informação sobre
os seus hábitos de navegação por forma a personalizar a navegação de acordo com as suas
preferências
Para que servem: Para ajudar a determinar a utilidade, interesse e o número de utilizações dos
seus websites, permitindo uma navegação mais rápida e eficiente, eliminando a necessidade de
introduzir repetidamente as mesmas informações.
Regulamentação: As empresas na Europa devem obter o consentimento explícito para a utilização
de cookies e fornecer opções de opt-outs claros aos utilizadores. Passa a ser proibido condicionar
o acesso a um website a aceitar o uso de cookies de rastreamento.
Tipos de Cookies:
Cookies de sessão: São cookies temporárias que permanecem em arquivo de cookies do

navegador até que este abandone a página web, pelo que não fica qualquer registo no disco rígido
do utilizador. A Informação recolhida por estes cookies serve para analisar padrões de tráfego do
site o que permite melhorar o conteúdo e a usabilidade do site.
Cookies de análise: São aqueles que bem tratados pelos titulares do website, permitem quantificar
o número de utilizadores e realizar a medição e análise estatística de como os utilizadores usam
o esse mesmo website. Examinam a sua navegação, com o objetivo de melhorar o fornecimento
de produtos e serviços que lhe disponibilizamos.
Pág. 24

Cookies publicitárias: São aqueles que bem tratadas por nós ou por terceiros, nos permitem gerir
de uma forma mais eficiente a oferta de espaços publicitários que existem no site, podendo analisar
os seus hábitos de navegação e mostrar-lhe publicidade relacionada com o seu perfil de
navegação.
EXEMPLOS PRÁTICOS:
Cookies próprias: Utilizados para a Reserva em loja para manter a loja selecionada pelo
utilizador.
Cookies de sessão:
I. Associam com o carrinho de compras o que escolhe;
II. Armazenam a informação de categoria para mostrar as páginas de forma mais rápida;
Indicam se está atualmente logado no site;
III. Indicam os IDs de sessão no servidor; Guardam os últimos produtos visualizados;
Guardam Informação sobre as pesquisas;
IV. Indicam se o utilizador autoriza o uso de cookies.
Cookies de terceiros:
I. Utilizados para distinguir utilizadores e sessões;
II. Utilizados para determinar novas visitas, sessões;
III. Armazenam a fonte de tráfego para explicar como o utilizador chega ao nosso site;
IV. Utilizados para identificar utilizadores e prevenir usos fraudulentos de dados de
utilizadores e proteger dados de utilizadores de terceiros;
V. Utilizados para personalizar publicidade em redes de Publisher;
VI. Utilizados para permitir ao site recordar preferências de navegação, idioma, região, etc.
Outros Cookies:
I. Analíticas web e vídeos;
II. Utilizados para determinar que servidor mostra a informação ao utilizador; Utilizados
para seguir as sessões ativas;
III. Utilizados para determinar se os cookies estão ativos; Utilizados para medir o tempo de
resposta dos utilizadores;
IV. Utilizados para identificar quantas vezes nos visitou um utilizador, que produtos comprou
e a que preço comprou.
V. E ainda, permitir saber se é a primeira visita ao site ou não.
Exemplo Cookie Bar
Pág. 25

Desativar Cookies no Website: Apesar da maioria dos titulares, por defeito, otimizarem o seu site
para usufruírem da informação dos cookies, o utilizador, caso pretenda, poderá desativar esta
configuração no seu browser, sendo certo que não terá uma interacção tão intuitiva, obtida por
força dessa captação, que lhe poderá ser bastante útil E facilitadora.
Efeitos da Desativação dos Cookies: Se preferir não permitir cookies, tem a possibilidade de
desativar os mesmos, no navegador de internet (browser) que utiliza e continuará a navegar,
mas deverá ter em conta que poderá impedir que algumas páginas Web sejam apresentadas da
forma mais agradável e otimizada ao utilizador.
Exemplo Desativação de Cookies
2.2. Retargeting e Profiling
Retargeting (ou Remarketing): consiste em impactar utilizadores que visitaram previamente

determinado website com anúncios de texto, imagem ou emails, de forma a dar-lhes razões para
visitarem esse website de novo. Este processo, possível através da adição de cookies ao browser
dos utilizadores ou através da captura dos respectivos emails, tem como objetivo tornar estes
potenciais compradores em compradores.
Profiling: Consiste em qualquer forma automatizada de processamento de informação pessoal, com

o objetivo de avaliar e tipificar indivíduos com base nos seus dados pessoais. Os titulares dos
dados têm direito a opor-se ao uso de profiling.
Exemplo Oposição
Pág. 26

2.3. Opt in
● Explícito
● Ato positivo do utilizador
● Esclarecimento expresso das finalidades da captação
● Aceitação dos Termos e Condições e da Política de Privacidade.
● Escolha dos canais de envio das comunicações digitais ( email, sms, entre outros)
Exemplo Opt-in
2.4. Termos e Condições, Política de Privacidade Requisitos e exemplos práticos
Colocação dos dois tipos de textos legais em urls distintos.

Necessidade de aceitação dos textos legais mediante consentimento do utilizador.
Colocação na Política de Privacidade dos requisitos exigíveis para o exercício dos Arco Rights.
Identificação do interesse legítimo para a captação dos dados.
Textos com linguagem clara e perceptível para o utilizador comum. Exemplos de Termos e
Condições e Política de Privacidade
2.5. Third Parties
Consideram-se entidades terceiras os parceiros dos titulares dos websites a quem serão
transmitidas as bases de dados captadas.
Requisitos desta captação

Identificação das finalidades da captação de dados. Opt-in com a identificação do Logo do parceiro.
Opt-in aos Termos e Condições e Política de Privacidade do Parceiro
Opt -in para o canal de comunicação, isto é, permitir ao utilizador a escolha do canal para
recebimento das comunicações comerciais e de marketing ( email, sms, call center centre, entre
outros)
Transferência dos dados segundo modelos de encriptação ou protocolos de segurança de dados.
Exemplos práticos:
Pág. 27

2.6. ARCO RIGHTS
Esta nova norma reforça os direitos conhecidos como ARCO (Acesso, Rectificação, Cancelamento
e Oposição) e acrescenta novos direitos para proteger os dados das pessoas singulares.
Transparência (artigo 12º) Informação (arts. 13 a 14)

Acesso (artigo 15)
Retificação (artigo 16)
Exclusão ou direito a ser esquecido (artigo 17) Limitação de tratamento (artigo 18) Portabilidade
de dados (artigo 20)
Oposição (artigo 21)
Esses direitos exigirão a adaptação dos sistemas de informação para oferecer aos clientes acesso
seguro que lhes permita fazer consultas, modificações, blocos seletivos e despejos de dados em
dispositivos externos, para a sua entrega a outras empresas ou instituições.
3. Relação com Fornecedores e Fontes de Tráfego Responsabilidade solidária vs

Transferência de Risco
Encriptpação/ Protocolos de segurança

Criação de robustez contratual mediante a criação de clausulas de compliance Questionários de
compliance para escolha dos fornecedores
Análise de fontes de tráfego com especial atenção para redes de afiliação
Pág. 28

4. Exemplos Práticos
Identificação de pontos positivos e pontos a melhorar
Pág. 29

Pág. 30

RGPD – TRATAMENTO DE DADOS PESSOAIS NO ÂMBITO LABORAL

INTRODUÇÃO DE NOVAS TECNOLOGIAS PELAS EMPRESAS
Ø Deteção e prevenção de propriedade intelectual ou perda de ativos;

Ø Aumentar a produtividade dos trabalhadores;
Ø Proteger os dados pessoais tratados na empresa/organização.
LEGISLAÇÃO EM APLICAÇÃO
RGPD
O Grupo de Trabalho de Proteção de Dados do artigo 29 (WP29)

• Opinião (2/2017) relativa ao tratamento de dados pessoais no contexto laboral.
• Esta opinião complementa e atualiza uma opinião anterior sobre o tema (Opinião
08/2001).
Comissão Europeia
• Documento de trabalho sobre a monitorização das comunicações eletrónicas no local de
trabalho.
QUE QUESTÕES SE LEVANTAM?
I. Temos uma base legal para o tratamento de dados pessoais?

II. Qual é a finalidade do tratamento de dados?
III. O tratamento de dados pessoais é proporcional e necessário para as finalidades que
prossegue?
IV. Os trabalhadores foram informados acerca do tratamento dos seus dados?
V. Adotámos as medidas técnicas e organizativas adequadas para o tratamento?
Temos uma base legal para o tratamento de dados?

Artigo 6.º RGPD: Licitude do tratamento (para a presente análise, são relevantes quatrosituações)
1. O CONSENTIMENTO DO TRABALHADOR - 6º (1)(a) RGPD
No geral, tendo em conta a natureza da relação existente entre empregado e empregador, não é
possível basear um tratamento legal de dados pessoais no consentimento do empregado.
Opinião 2/2017: as configurações padrão ou a instalação de software não-informado, sem a
oposição do empregado, não devem ser consideradas como consentimento, pois não existe uma
manifestação de vontade informada e explícita da vontade do trabalhador.
WP 29 conclui que o tratamento de dados pessoais somente deve basear-se no consentimento

do trabalhador quando este tem a liberdade de consentir o tratamento, tendo a possibilidade de
negar o tratamento sem que exista qualquer tipo de consequências negativas para ele / ela .
Artigo 6.º RGPD: Licitude do tratamento

2. TRATAMENTO NECESSÁRIO PARA A EXECUÇÃO DE UM CONTRATO no qual o titular
dos dados é parte - 6(1)(b) RGPD
Opinião 2/2017: existem certos tipos de tratamento que podem ser necessários para a execução
de um contrato de trabalho, sendo, neste caso, lícito o tratamento dos dados pessoais do
trabalhador.
Um exemplo claro será o tratamento dos dados pessoais com o objetivo de pagar o salário ao
trabalhador.
Pág. 31

3. TRATAMENTO NECESSÁRIO O CUMPRIMENTO DE OBRIGAÇÃO JURÍDICA - 6(1)(c)

RGPD
O direito do trabalho pode impor obrigações legais ao empregador.

Um exemplo poderá ser o tratamento de dados pessoais com o objetivo de calcular a retenção
no salário do trabalhador .
Artigo 6.º RGPD: Licitude do tratamento

4. TRATAMENTO NECESSÁRIO PARA EFEITO DOS INTERESSES LEGÍTIMOS DO
EMPREGADOR - 6(1)(f) RGPD
Importante: exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do

titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.
O conceito de interesse legítimo pode ser definido como o objeto final do tratamento.
Um exemplo poderá ser a proteção de dados pessoais contidos nos servidores de uma empresa
da qual o empregador é o responsável pelo tratamento de dados e com o objetivo de protegê-los
de acesso não autorizado ou fuga de informações.
4. TRATAMENTO NECESSÁRIO PARA EFEITO DOS INTERESSES LEGÍTIMOS DO

EMPREGADOR - 6(1)(f) RGPD
Em resumo, como se afirma no Parecer 6/2014 sobre a noção de interesses legítimos do
responsável pelo tratamento de dados, existem três regras principais que consideram um
interesse como legítimo:
• Deve ser lícito, de acordo com a legislação nacional e europeia;
• Deve ser indicado com clareza suficiente para o poder comparar com os direitos e
liberdades fundamentais do titular dos dados;
• Deve representar um interesse real e atual.
II. Qual é a finalidade do tratamento de dados?
Exemplo: no caso de tratarmos dados para o pagamento dos salários do trabalhador, a

finalidade do tratamento dos dados pessoais necessários não seria outra a não ser o pagamento
do salário do trabalhador. Estes dados pessoais só poderão ser tratados para esta finalidade,
exceto no caso de ter outra base legal para o tratamento dos dados.
Por que é tão importante?

Isso é relevante porque o artigo 5 (1) (b) RGPD estabelece o princípio da limitação das finalidades.
Os dados devem ser recolhidos para finalidades determinadas, explícitas e legítimas e não
podendo ser tratados posteriormente de uma forma incompatível com essas finalidades.
Um empregador decide instalar um sistema que supervisiona/controla o tráfego de dados dos

trabalhadores para impedir acessos não autorizados ou a fuga de informações.
No entanto, vamos imaginar que um empregador utiliza os dados recolhidos com o objetivo de
monitorizar o trabalho efetivo realizado pelos trabalhadores. Neste caso, o empregador usaria os
dados recolhidos para uma finalidade dentro de um propósito diferente.
Este tratamento deveria ser analisado de forma a perceber se o mesmo atende a todos os
requisitos para ser considerado legal.
Esta é a razão pela qual a finalidade do tratamento deve ser clara e específica, porque toda a
finalidade deve ser submetida a uma análise, para garantir a licitude do tratamento.
III.O tratamento de dados pessoais é proporcional e necessário para as finalidades que

prossegue?
Relevante: princípio da minimização dos dados [Artigo 5(1)(c)]
Pág. 32

Estabelece que os dados pessoais devem ser adequados, pertinentes e limitados ao que é
necessário relativamente às finalidades para as quais são tratados
Além disso:
As medidas adotadas para a recolha de dados pessoais devem obedecer aos princípios da
proporcionalidade e subsidiariedade, com o objetivo de restringir ao mínimo os danos aos
direitos fundamentais dos trabalhadores.
Significa que:
• Os dados devem ser tratados na quantidade necessária de dados relacionados com a

finalidade do tratamento;
• Os direitos fundamentais dos trabalhadores devem ser ponderados com base na
recolha de dados pessoais (o método, a quantidade e a finalidade);
Direito à Informação: artigos 10 e 12 a 14 RGPD

Os trabalhadores devem ser informados sobre: A finalidade do tratamento dos dados;
As circunstâncias do tratamento de dados;
As possibilidades de impedir a captura dos dados;
A existência de um sistema de monitorização do tráfego da Internet; Outras garantias para um
tratamento lícito de dados.
IV.Adotámos as medidas técnicas e organizativas adequadas para o tratamento?
Como qualquer tratamento de dados pessoais, o responsável pelo tratamento - neste caso, o
empregador - está obrigado pelo Artigo 32.º RGPD a implementar medidas técnicas e
organizativas adequadas para garantir um nível de segurança apropriado ao tratamento.
Depois de observar brevemente o processo de análise que deve ser seguido, em seguida, serão
analisados os diferentes casos especificados na Opinião 2/2017.
O TRATAMENTO DE DADOS PESSOAIS EM

PROCESSOS DE RECRUTAMENTO
WP29: em geral, não devem ser recolhidos os dados de uma rede social do
candidato, mesmo que esses dados sejam públicos.
Empresa advoga interesse legitimo: os candidatos devem ser informados sobre o tratamento
destes dados. Neste caso, deve-se considerar qual é a finalidade da rede social (privado-Facebook
- ou negócio -Linkedin).
Finalmente, os dados recolhidos durante o recrutamento devem ser eliminados assim que o
processo de recrutamento terminar, com exceção dos casos em que o empregador os queira
manter para futuros processos de recrutamento: a pessoa em causa deve ser informada sobre
isso e ter a possibilidade de aceitar ou recusar o tratamento de dados.
TRANSFERÊNCIA DE DADOS PESSOAIS

DOS TRABALHADORES PARA CLIENTES
O empregador pode transferir dados pessoais para os seus clientes apenas nos casos em que
essa transferência é proporcional à finalidade desta transferência.
EXEMPLO.
O empregador envia aos clientes um link para o nome, foto e localização do remetente. No entanto,
este processamento de dados não pode cumprir o princípio da necessidade de entrega de
mercadorias, não é necessário a transferência dos dados pessoais do trabalhador.
Pág. 33

TRANSFERÊNCIAS INTERNACIONAIS DE DADOS PESSOAIS DOS TRABALHADORES

(RH)
Pode ocorrer uma transferência internacional de dados no caso de o departamento usar uma
aplicação baseada num sistema de computação em nuvem.
Nestes casos, o empregador deve garantir que seja cumprido o requisito para uma transferência
lícita e adequada, tentando evitar que a base legal para estas transferências seja o
consentimento do empregado - pelos motivos anteriormente explicados.
CONCLUSÕES
O que deve ter em mente? (segundo o WP29)
1. Tenha sempre em mente os princípios da proteção de dados.
2. O conteúdo das comunicações eletrónicas no trabalho tem os mesmos direitos
fundamentais que as comunicações privadas.
3. O consentimento é altamente improvável como base legal. Os trabalhadores devem poder
recusar o tratamento de dados sem consequências negativas.
4. A execução de um contrato e o interesse legítimo podem ser a base legal para o tratamento
- apenas nos casos em que é estritamente necessário para a finalidade legítima e quando
cumpridos os princípios da proporcionalidade e subsidiariedade.
5. Os trabalhadores podem receber informações eficazes e úteis sobre a
monitorização/controlo dos dispositivos usados no trabalho.
6. As transferências internacionais de dados só devem efetuadas quando for assegurado
um nível adequado de garantias.
Artigo 28.º
Relações laborais
1 - O empregador pode tratar os dados pessoais dos seus trabalhadores nos termos
definidos no Código do Trabalho e respetiva legislação complementar ou noutros regimes
setoriais, com as especificidades estabelecidas no presente artigo.
2 - O número anterior abrange igualmente o tratamento efetuado por subcontratante ou
contabilista certificado em nome do empregador, para fins de gestão das relações laborais,
desde que realizado ao abrigo de um contrato de prestação de serviços e sujeito a iguais
garantias de sigilo.
3 - Salvo norma legal em contrário, o consentimento do trabalhador não constitui requisito de
legitimidade do tratamento dos seus dados pessoais:
a) Se do tratamento resultar uma vantagem jurídica ou económica para o trabalhador; ou

b) Se esse tratamento estiver abrangido pelo disposto na alínea b) do n.º 1 do artigo 6.º do
RGPD.
4 - As imagens gravadas e outros dados pessoais registados através da utilização de sistemas

de vídeo ou outros meios tecnológicos de vigilância à distância, nos termos previstos no artigo
20.º do Código do Trabalho, só podem ser utilizadas no âmbito do processo penal.
5 - Nos casos previstos no número anterior, as imagens gravadas e outros dados pessoais
podem também ser utilizados para efeitos de apuramento de responsabilidade disciplinar,
na medida em que o sejam no âmbito do processo penal.
6 - O tratamento de dados biométricos dos trabalhadores só é considerado legítimo para
controlo de assiduidade e para controlo de acessos às instalações do empregador.
7 - A transferência de dados pessoais de trabalhadores entre empresas que se encontrem
em relação de domínio ou de grupo, ou mantenham estruturas organizativas comuns, só
é lícita nos casos de cedência ocasional de trabalhador e na medida que seja
proporcional, necessária e adequada aos objetivos a atingir.
8 - Os dados pessoais de trabalhadores podem ainda ser transferidos, nos termos do
número anterior, nas situações de cedência de trabalhador por parte de empresa de
Pág. 34

trabalho temporário e de destacamento para outro Estado.
RGPD – ADAPTAÇÃO AO RGPD EMPRESAS

Ponto prévio: lições aprendidas
1. Níveis de maturidade muito distintos nas organizações;

2. Necessidade de articulação de conhecimentos especializados em vários domínios,
jurídico, tecnológico, gestão de riscos, etc;
3. Cada setor/organização tem desafios próprios – necessidade de uma abordagem taylor-
made;
4. Tone from the Top - O exemplo vem de cima. O sucesso de um Mecanismo de
Integridade e Sistema de Compliance estará nas mãos do "número um" da organização
(dono, CEO, presidente ou equivalente).
Não Esquecer!
Converter o Cumprimento numa Oportunidade

“Nos termos previstos do RGPD”… vs “Queremos proteger a sua privacidade e necessitamos
que…”
A conformidade com o RGPD não acaba com a implementação do projeto
Qual o papel previsto para a auditoria interna?
As áreas de inovação e desenvolvimento da organização
conhecem o RGPD (PbDesign, PbDefault, DPIAs).
Oportunidade de Ganhar Vantagens Competitivas para as Empresas
Clientes
• As Empresas passam a ter a capacidade de demonstrar que a sua Organização
controla plenamente os Dados Pessoais, dando garantias acrescidas; Financeiras e
Reputacionais
• As Organizações vão conseguir reduzir o risco financeiro e Reputacional resultantes
da aplicação de multas e coimas; Inovação
• As Organizações ganham uma perspetiva antecipada dos riscos relacionados com a
proteção de Dados Pessoais em novas iniciativas e projetos e extrair maior valor dos
dados.
Pág. 35

ADAPTAÇÃO AO RGPD – EMPRESAS
1. PRINCÍPIO DA RESPONSABILIDADE DEMONSTRADA

a) Designação do ENCARREGADO DA PROTEÇÃO DE DADOS (DPO) caso seja
obrigatório para a empresa ou caso o assuma voluntariamente. Caso não seja
necessário designar um DPO, identificar a(s ) pessoa(s ) responsáveis por
COORDENAR A ADAPTAÇÃO.
b) Elaborar o REGISTO DAS ATIVIDADES DE TRATAMENTO, tendo em conta a
sua finalidade e a base legal
2. ENFOQUE NO RISCO
a) Realizar um ANÁLISE DE RISCOS.
b) Rever MEDIDAS DE SEGURANÇA à luz dos resultados da análise aos riscos.
a) Caso seja necessário, realizar uma AVALIAÇÃO DE IMPACTO SOBRE
PROTEÇÃO DE DADOS.
3. ATUAÇÕES SIMULTÂNEAS AOS PASSOS ANTERIORES

a) Adequar os FORMULÁRIOS, WEBSITE, INTRANET… – Direito à Informação.
a) Adaptar os MECANISMOS E PROCEDIMENTOS para o exercício dos direitos
ARCO.
b) Verificar se os SUBCONTRATANTES oferecem as garantias adequadas e
adaptação dos contratos.
c) Estabelecer mecanismos e procedimento de NOTIFICAÇÃO DE INCIDENTES
DE SEGURANÇA.
d) Elaborar/Adaptar uma POLÍTICA DE PRIVACIDADE.
Pág. 36

RGPD – CONSIDERAÇÕES FINAIS
Tomar medidas Práticas
1. Eliminar dados Desnecessários que não são analisados nem protegidos.

99% dos dados mundiais não são analisados e 80% não têm qualquer mecanismo de proteção
(Fonte: The Digital Universe in 2020, IDC)
2. Definir responsabilidades com entidades externas (responsabilidade conjunta tratamento;

cláusulas subcontratação).
3. Implementar processos internos para dar resposta aos direitos ARCO (enquanto não for
possível automatizar).
218.320 Pedidos de Privacidade (Right to be Forgotten) à Google
4. Reestruturar e testar a segurança da informação (uma grande questão por direito próprio).
5. Juntar e treinar equipas específicas para reportar e responder no caso de um incidente

relacionado com a segurança de dados - problema ampliado para as empresas internacionais
que trabalham em diferentes fusos horários.
6. Alterar avisos de privacidade: quem tem acesso aos dados, porquê, por quanto tempo serão
conservados e os direitos dos titulares de dados
Pág. 37

SESSÃO 2
REGULAMENTO GERAL SOBRE PROTEÇÃO DADOS
O NOVO QUADRO LEGAL
RGPD
- O Novo Quadro Legal -
Regulamento (UE) 2016/679 do Parlamento

Europeu e do Conselho,
de 27 de abril de 2016, relativo à proteção
das pessoas singulares no que diz respeito
ao tratamento de dados pessoais e à livre
circulação desses dados e que revoga a
Diretiva 95/46/CE
Regulamento Geral de Proteção de Dados -

RGPD
Entrou em vigor a 24 de Maio de 2016
Aplicável a partir de 25 de Maio de 2018
Pág. 38

Pág. 39

O QUE SÃO DADOS PESSOAIS
Pág. 40

RGPD – PRÍNCIPIOS
PRINCÍPIOS
Os dados pessoais são:
a) Objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados («licitude,
lealdade e transparência»);
b) Recolhidos para finalidades determinadas, explícitas e legítimas e não podendo ser tratados
posteriormente de uma forma incompatível com essas finalidades; o tratamento posterior para
fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para
fins estatísticos, não é considerado incompatível com as finalidades iniciais («limitação das
finalidades»);
c) Adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as

quais são tratados («minimização dos dados»);
d) Exatos e atualizados sempre que necessário; devem ser adotadas todas as medidas
adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados,
sejam apagados ou retificados sem demora («exatidão»);
e) Conservados de uma forma que permita a identificação dos titulares dos dados apenas durante
o período necessário para as finalidades para as quais são tratados; os dados pessoais podem
ser conservados durante períodos mais longos, desde que sejam tratados exclusivamente para
fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para
fins estatísticos, sujeitos à aplicação das medidas técnicas e organizativas adequadas exigidas
pelo presente regulamento, a fim de salvaguardar os direitos e liberdades do titular dos dados
(«limitação da conservação»);
f) Tratados de uma forma que garanta a sua segurança, incluindo a proteção contra o seu
tratamento não autorizado ou ilícito e contra a sua perda, destruição ou danificação acidental,
adotando as medidas técnicas ou organizativas adequadas («integridade e
confidencialidade»);
Responsabilidade do responsável pelo tratamento

O responsável pelo tratamento é responsável pelo cumprimento [dos princípios relativos ao
tratamento de dados pessoais] e tem de poder comprová-lo («responsabilidade»).
[Art.º 5.º, n.º2]
RGPD – LICITUDE DO TRATAMENTO

O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes
situações:
• O titular dos dados tiver dado o seu consentimento;
• O tratamento for necessário para a execução de um contrato;
• Cumprimento de uma obrigação jurídica (a que o responsável pelo tratamento esteja
sujeito);
• Interesses vitais do titular dos dados;
• Exercício de funções de interesse público ou exercício da autoridade pública (AT);
• O tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo
responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou
direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais,
em especial se o titular for uma criança.
Pág. 41

O Encarregado da Proteção de Dados
Quando é obrigatório designar?

• Quando o tratamento for efetuado por uma autoridade ou organismo público;
consistem em operações de tratamento que, devido à sua natureza, âmbito e/ou
finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande
escala (v.g prestação de serviços de telecomunicações); ou
consistam em operações de tratamento em grande escala de categorias especiais de
dados (v.g processamento de dados médicos pelos hospitais)
Pág. 42

O DPO nas organizações privadas
"O responsável pelo tratamento e o subcontratante designam um encarregado de proteção de

dados sempre que a atividade privada desenvolvida, a título principal, implique:
• a) Operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam
um controlo regular e sistemático dos titulares dos dados em grande escala; ou
• b) Operações de tratamento em grande escala das categoriais especiais de dados nos
termos do artigo 9.º do RGPD, ou de dados pessoais relacionados com condenações
penais e contraordenacionais nos termos do artigo 10.º do RGPD."
Deste modo, para compreender a necessidade de nomear um DPO, deve ter em atenção três
conceitos determinantes: «atividades principais»; «grande escala» e «controlo regular e
sistemático»
Atividades principais
O considerando 97 especifica que as atividades principais do responsável pelo tratamento dizem

respeito às suas «atividades primárias e não estão relacionadas com o tratamento de dados
pessoais como atividade auxiliar».
O WP 29 - futuro Comité Europeu da Proteção de Dados - fornece linhas de orientação quanto

aos critérios e à terminologia utilizada no artigo 37.º, n.º 1 (WP 243, com a última redação revista
e adotada em 5 de abril de 2017):
As «atividades principais» podem entender-se como as operações essenciais necessárias
para alcançar os objetivos do responsável pelo tratamento ou do subcontratante.
Não deve excluir as atividades em que o tratamento de dados constitui uma parte
indissociável das atividades do responsável pelo tratamento ou do subcontratante.
Exemplos:
1. a atividade principal de um hospital é a prestação de cuidados de saúde. Contudo, um
hospital não poderia prestar cuidados de saúde de forma segura e eficaz sem proceder
ao tratamento de dados relativos à saúde, designadamente os registos de saúde dos
doentes. Assim, o tratamento destes dados deve ser considerado uma das atividades
principais de qualquer hospital, cabendo, portanto, aos hospitais nomear um DPO;
2. Para dar outro exemplo, uma empresa de segurança privada exerce a vigilância de um
conjunto de centros comerciais privados e de espaços públicos. A vigilância é a atividade
principal da empresa, que, por sua vez, está indissociavelmente ligada ao tratamento de
dados pessoais. Por conseguinte, esta empresa deve igualmente designar um DPO. Por
outro lado, todas as organizações exercem determinadas atividades de apoio,
nomeadamente a remuneração dos seus trabalhadores ou atividades comuns de apoio
informático. Trata-se de exemplos de funções de apoio necessárias para a atividade
principal ou a área de negócio central da organização. Embora sejam necessárias ou
essenciais, por norma estas atividades são consideradas funções acessórias e não a
atividade principal.
Fonte: artigo 37.º, n.º 1, alíneas b) e c), do RGPD
Grande escala
O RGPD não define o que constitui um tratamento de grande escala. O GT 29 recomenda que,
em especial, os seguintes fatores sejam tomados em consideração para determinar se o
tratamento é efetuado em grande escala:
· o número de titulares de dados afetados – como número concreto ou em percentagem da
população em causa;
· o volume de dados e/ou o alcance dos diferentes elementos de dados objeto de tratamento;
· a duração, ou permanência, da atividade de tratamento de dados;
· o âmbito geográfico da atividade de tratamento.
Pág. 43

Contam-se como exemplos de tratamento de grande escala:

· o tratamento de dados de doentes no exercício normal das atividades de um hospital
· o tratamento de dados de viagem das pessoas que utilizam o sistema de transportes públicos de
uma cidade (p. ex., através de passes de viagem)
· o tratamento em tempo real de dados de geolocalização de clientes de uma cadeia de
restauração rápida internacional para fins estatísticos por parte de um subcontratante
especializado nestas atividades;
· o tratamento de dados de clientes no exercício normal das atividades de uma companhia de
seguros ou de um banco
· o tratamento de dados pessoais para fins de publicidade comportamental por um motor de
busca
· o tratamento de dados (conteúdo, tráfego, localização) por operadoras telefónicas ou por
fornecedores de serviços de internet
Como exemplos que não constituem tratamento de grande escala, incluem-se:
· o tratamento de dados de doentes pacientes por um médico ou profissional de cuidados de
saúde
· o tratamento de dados pessoais relacionados com condenações penais e infrações por um
advogado
Fonte: artigo 37.º, n.º 1, alíneas b) e c), do RGPD
Controlo regular e sistemático
A noção de controlo regular e sistemático dos titulares dos dados não está definida no RGPD,
mas inclui claramente todas as formas de seguimento e de definição de perfis na internet,
designadamente para fins de publicidade comportamental. No entanto, a noção de controlo não
se cinge ao ambiente em linha.
Exemplos de atividades que podem constituir um controlo regular e sistemático dos titulares de
dados:
exploração de uma rede de telecomunicações; prestação de serviços de telecomunicações;
reorientação de mensagens de correio eletrónico; atividades de promoção comercial baseadas
em dados; definição de perfis e pontuação para fins de avaliação dos riscos (p. ex., para efeitos
de pontuação de crédito, fixação de prémios de seguro, prevenção de fraudes, deteção de casos
de branqueamento de capitais); localização, por exemplo, através de aplicações móveis;
programas de fidelização; publicidade comportamental; controlo de dados relativos ao bem-estar,
à condição física e à saúde através de usáveis; televisão em circuito fechado; dispositivos
conectados, por exemplo, contadores inteligentes, automóveis inteligentes, domótica, etc.
Controlo regular e sistemático
Na interpretação do GT 29, «regular» significa, neste caso, uma ou mais das seguintes
características:
· contínuo ou que ocorre a intervalos específicos num determinado período,
· recorrente ou repetido em horários estipulados,
· constante ou periódico.
Na interpretação do GT 29, «sistemático» significa, neste caso, uma ou mais das seguintes
características:
· que ocorre de acordo com um sistema,
· predefinido, organizado ou metódico,
· realizado no âmbito de um plano geral de recolha de dados,
· efetuado no âmbito de uma estratégia.
Mesmo quando não é obrigatório designar um DPO, a organizações poderão, nalguns casos,
considerar conveniente designar um DPO a título voluntário.
O WP 29 é favorável a estas iniciativas voluntárias.
Pág. 44

Quando uma organização designa um DPO a título voluntário, são aplicáveis à sua nomeação,
posição e atribuições os mesmos requisitos aplicáveis à designação obrigatória.
Funções do DPO
– Informa e aconselha o responsável pelo tratamento ou o subcontratante, bem

como os trabalhadores que tratem os dados, a respeito das suas obrigações nos
termos do RGPD
– Controla a conformidade dos procedimentos adotados pelo responsável pelo
tratamento ou pelo subcontratante
– Presta aconselhamento no que respeita à avaliação de impacto sobre a proteção
de dados e controla a sua realização
– Coopera com a autoridade de controlo (ponto de contacto)
• O DPO pode ser um elemento do pessoal do responsável pelo tratamento ou do
subcontratante, ou exercer as suas funções com base num contrato de prestação de
serviços
• Um grupo empresarial pode designar um único encarregado da proteção de dados desde
que o mesmo seja facilmente acessível a partir de cada estabelecimento
Posição: imparcialidade & independência
«controlo da conformidade»?
· recolher informações para identificar as atividades de tratamento;

· analisar e verificar a conformidade das atividades de tratamento;
· prestar informações e aconselhamento e formular recomendações ao responsável pelo
tratamento ou ao subcontratante.
Fonte: artigo 39.º, n.º 1, alínea b), do RGPD
DPO Externo
Contrato de prestação de serviços celebrado com uma pessoa ou uma organização.

Se a função do DPO for exercida por um prestador de serviços externo, um conjunto de pessoas
que trabalham para essa entidade poderá exercer de modo eficaz as funções do DPO enquanto
equipa, sob a responsabilidade de um contacto principal e «pessoa responsável»
designado para o cliente. Neste caso, é essencial que cada membro da organização externa
que exerça as funções de DPO cumpra todos os requisitos aplicáveis do RGPD.
Por motivos de clareza jurídica e de boa organização, e no sentido de prevenir conflitos de
interesses dos membros das equipas, WP 29 recomenda que o contrato de prestação de serviços
preveja uma clara repartição das tarefas no seio da equipa do DPO externo e a designação de
uma única pessoa como contacto principal e pessoa «responsável» do cliente.
Fonte: artigo 37.º, n.º 6, do RGPD
Contrato de prestação de serviços celebrado com uma pessoa ou uma organização.

Se a função do DPO for exercida por um prestador de serviços externo, um conjunto de pessoas
que trabalham para essa entidade poderá exercer de modo eficaz as funções do DPO enquanto
equipa, sob a responsabilidade de um contacto principal e «pessoa responsável»
designado para o cliente. Neste caso, é essencial que cada membro da organização externa
que exerça as funções de DPO cumpra todos os requisitos aplicáveis do RGPD.
Por motivos de clareza jurídica e de boa organização, e no sentido de prevenir conflitos de
interesses dos membros das equipas, WP 29 recomenda que o contrato de prestação de serviços
preveja uma clara repartição das tarefas no seio da equipa do DPO externo e a designação de
uma única pessoa como contacto principal e pessoa «responsável» do cliente.
Pág. 45

DPO - Qualidades Profissionais?
O DPO deve ser designado com base nas suas qualidades profissionais e, em especial, nos
seus conhecimentos especializados no domínio das normas e práticas de proteção de
dados, bem como na sua capacidade para desempenhar as respetivas funções.
WP29
As competências e conhecimentos especializados pertinentes incluem:
· competências no domínio das normas e práticas de proteção de dados nacionais e europeias,
incluindo um conhecimento profundo do RGPD,
· conhecimento das operações de tratamento efetuadas,
· conhecimento das tecnologias da informação e da segurança dos dados,
· conhecimento do setor empresarial e da organização,
· capacidade para promover uma cultura de proteção de dados no seio da organização.

Artigo 11.º
Funções do encarregado de proteção de dados
Para além do disposto nos artigos 37.º a 39.º do RGPD, são funções do encarregado de proteção
de dados:
a) Assegurar a realização de auditorias, quer periódicas, quer não programadas;
b) Sensibilizar os utilizadores para importância da deteção atempada de incidentes de segurança
e para a necessidade de informar imediatamente o responsável pela segurança, sempre que for
detetado código malicioso;
c)Assegurar as relações com os titulares dos dados nas matérias abrangidas pelo RGPD e pela
legislação nacional em matéria de proteção de dados.
O DPO é pessoalmente responsável pelo incumprimento dos requisitos de proteção de

dados?
WP 29
Não. Os DPO não são pessoalmente responsáveis pelo incumprimento dos requisitos de
proteção de dados.
Compete ao responsável pelo tratamento ou ao subcontratante assegurar e poder comprovar que
o tratamento respeita o Regulamento aplicável.
O cumprimento das normas de proteção de dados é da competência do responsável pelo
tratamento ou do subcontratante.
Governance, Accountability e Segurança da Informação

Transparência e regras para o exercício dos direitos dos titulares dos dados
O RGPD: mais do que Data Management, é Governance

CONSIDERANDO 78
(…) Para poder comprovar a conformidade com o RGPD, o responsável pelo tratamento
deverá adotar orientações internas e aplicar medidas que respeitem, em especial, os princípios
da proteção de dados desde a conceção e da proteção de dados por defeito. Tais medidas
podem incluir (…) a transparência no que toca às funções e ao tratamento de dados
pessoais, a possibilidade de o titular dos dados controlar o tratamento de dados e a
possibilidade de o responsável pelo tratamento criar e melhorar medidas de segurança.
Pág. 46

ESTRATÉGIAS DE GOVERNANCE: POLÍTICAS DE PRIVACIDADE
RGPD: O Direito à informação

RGPD inclui regras acerca da prestação de informações de privacidade aos titulares dos
dados nos artigos 12, 13 e 14 do RGPD - Obrigação de Transparência.
Pelo menos: identidade do responsável pelo tratamento, contactos do DPO, finalidade da
operação de tratamento, destinatários, existência de direito de acesso e retificação.
Para garantir um tratamento equitativo e transparente: base legal, prazo de conservação dos
dados pessoais, direito de retirar consentimento em qualquer altura, direito de apresentar
reclamação a uma AC, existência de decisões automatizadas, incluindo a definição de perfis,
origem dos dados quando os dados pessoais não são recolhidos junto do titular, outras
informações úteis.

Espera-se que os responsáveis pelo tratamento tomem as "medidas adequadas".
A informação prestada ao titular acerca da forma como tratam os seus dados pessoais deve
ser:
• Concisa, transparente, inteligível e de fácil acesso;
• Utilizando uma linguagem clara e simples, em especial quando as informações são
dirigidas especificamente a crianças;
• Sem custos.
ESTRATÉGIA DE PRIVACIDADE DA EMPRESA
QUE SOLUÇÃO?
Estratégia de Privacidade
[Estratégias práticas para criar uma cultura de privacidade na empresa]
Código de Ética e de Conduta

Política de Proteção de Dados Pessoais
Avisos de Privacidade
O Código de Ética (ou Código de Ética e Conduta, podendo também ser esta a designação, de
modo conjunto) orientará os trabalhadores da empresa no que concerne aos valores éticos e
morais nos quais a empresa se revê e procura implementar.
É, no fundo, um conjunto de normas de natureza moral e valorativa, orientadoras da conduta da
entidade.
Código de Ética e Conduta: importante na transmissão dos princípios da privacidade aos

stakeholders.

Pág. 47

Adoção prática das “orientações internas” [considerando 78] quanto à recolha, gestão e arquivo
de dados pessoais.
A Política de Proteção de Dados Pessoais visa manter um nível de proteção dos dados recolhidos
que esteja de acordo com as normas legais aplicáveis e nos termos da qual se promova o
envolvimento de todos os trabalhadores da empresa no que respeita à sua motivação para a
necessidade manter a confidencialidade dos dados pessoais recolhidos.
Importante: boas práticas da cibersegurança aplicadas em contexto de trabalho.

Folheto: Centro Nacional de Cibersegurança - Segurança da informação no espaço de trabalho
Fonte: https://www.cncs.gov.pt/recursos/boas-praticas/a-seguranca-da-informacao-para-o-
colaborador/
Pág. 48

Privacy notices [avisos de privacidade]

Em sites, intranets, serviços eletrónicos, formulários, cartas de convite, etc.
O que devemos incluir NOS AVISOS de privacidade?
Pelo menos, a seguinte informação:
- Que dados são recolhidos?

- Quem é responsável?
- Quem terá acesso?
- Qual a finalidade?
- Por quanto tempo serão retidos?
- Como se pode aceder, verificar, retificar os (nossos) dados?
- A quem podemos reclamar?
Abordagem “estratificada” [layered approach]
Pág. 49

Avisos Privacidade nos dispositivos móveis
O RGPD: mais do que Data Management, é GOVERNANCE
O MERCADO
Várias soluções e apresentações de software concentradas nos aspetos de gestão de dados do
RGPD – asseguram o âmbito de "consentimento, eliminação, bloqueio e retenção" de dados.
Bom Ponto de Partida. No entanto…
O DESAFIO
No entanto, o desafio colocado pelo RGPD às empresas é mais sobre as mudanças
organizacionais e processuais que serão necessárias para demonstrar que uma empresa leva
a sério a necessidade de proteger os dados pessoais como um “business-as-usual” e a todos
os níveis: partes interessadas, operações, tecnologia e parcerias.
E POR QUE É NECESSÁRIO LEVAR A SÉRIO A PROTEÇÃO DE DADOS?

Para quê as “medidas técnicas e organizativas”?
Pág. 50

O RGPD É COMPLEXO?
Quase metade dos artigos do RGPD estão relacionados com processos de negócio
associados a:
1. Políticas (de privacidade);
2. Conservação de registos de tratamento;
3. Responsabilidades e funções de entidades,
a fim de demonstrar que a abordagem de uma empresa para lidar com dados pessoais é levada
tão a sério quanto o regulamento o exige.


[Exposição de Motivos]
O encarregado de proteção de dados disporá de um estatuto de independência dentro da
organização e deve ser designado de acordo com os seus conhecimentos de proteção de dados,
contribuindo para substituir o papel de controlo prévio das autoridades de controlo, que é
eliminado e substituído por registos das atividades de tratamento no âmbito de cada
responsável pelo tratamento.
Documentar a privacidade: o artigo 30.º rgpd
Subcontratantes com obrigações diretas, como responsáveis. Devem manter um registo escrito
das categorias de tratamento realizadas em nome de cada responsável pelo tratamento e
notificar logo que tenham conhecimento de uma violação de dados, sem demora injustificada.
Os responsáveis pelo tratamento devem manter um registo escrito das atividades de
tratamento.
Pág. 51

Nota: não é suficiente alcançar este requisito tecnicamente. Deve ser criada uma Governance
firme para a gestão desta tarefa.
Pág. 52

“CATEGORIAS DE TITULARES DE DADOS”
O titular dos dados é a "pessoa singular identificada ou identificável" (i.e. da pessoa a quem os
dados dizem respeito).
Exemplos:
Trabalhador/a(s)
Candidato/a(s) a emprego
Pessoa(s) de contacto de emergência do trabalhador
Paciente(s)
Cliente(s)
Fornecedor/a(s)
Prestador/a(s) de serviços
Funcionário/a(s) eleito/a(s)
Utilizador/a(s) do sistema
Participante(s) de um estudo
Funcionário(s) de um organismo público
Professor(es)
Exemplos:
Recursos Humanos
Recrutamento e Seleção
Saúde
Dados de arrendamentos
Dados de empréstimos
Filiação sindical
Dados de natureza financeira
Medidas técnicas e organizativas? – Foco no “RISCO”

Artigo 32.º
Segurança do tratamento
1. Tendo em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito,
o contexto e as finalidades do tratamento, bem como os riscos, de probabilidade e gravidade
variável, para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento
e o subcontratante aplicam as medidas técnicas e organizativas adequadas para assegurar um
nível de segurança adequado ao risco, incluindo, consoante o que for adequado:
a) A pseudonimização e a cifragem dos dados pessoais;
b) A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência
permanentes dos sistemas e dos serviços de tratamento;
c) A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma
atempada no caso de um incidente físico ou técnico;
d) Um processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e
organizativas para garantir a segurança do tratamento.
Pág. 53

Exemplos de medidas de controlo que ajudam a reduzir o nível de exposição do risco

potencial identificado
Implicar “Risco”
Considerando 75
O risco para os direitos e liberdades das pessoas singulares (…) poderá resultar de operações de
tratamento de dados pessoais suscetíveis de causar danos físicos, materiais ou imateriais, em
especial quando o tratamento possa dar origem à discriminação, à usurpação ou roubo da
identidade, a perdas financeiras, prejuízos para a reputação, perdas de confidencialidade de dados
pessoais protegidos por sigilo profissional, à inversão não autorizada da pseudonimização, ou a
quaisquer outros prejuízos importantes de natureza económica ou social; quando os titulares dos
dados possam ficar privados dos seus direitos e liberdades ou impedidos do exercício do controlo
sobre os respetivos dados pessoais; quando forem tratados dados pessoais que revelem [dados
sensíveis]; quando forem avaliados aspetos de natureza pessoal, em particular análises ou
previsões de aspetos que digam respeito ao desempenho no trabalho, à situação económica, à
saúde, às preferências ou interesses pessoais, à fiabilidade ou comportamento e à localização ou
às deslocações das pessoas, a fim de definir ou fazer uso de perfis; quando forem tratados dados
relativos a pessoas singulares vulneráveis, em particular crianças; ou quando o tratamento incidir
sobre uma grande quantidade de dados pessoais e afetar um grande número de titulares de dados.
Implicar “Risco”
Considerando 75 e WP 248 (orientação sobre DPIAs)

Pág. 54

Dados relativos a titulares de dados vulneráveis:

O tratamento deste tipo de dados constitui um critério devido ao acentuado desequilíbrio de poder
entre os titulares dos dados e o responsável pelo tratamento dos dados, significando isto que os
indivíduos podem não ser capazes de consentir, ou opor-se, facilmente ao tratamento dos seus
dados ou de exercer os seus direitos.
Os titulares de dados vulneráveis podem incluir crianças (estas podem ser consideradas incapazes
de consentir ou opor-se consciente e criteriosamente ao tratamento dos seus dados), empregados,
segmentos mais vulneráveis da população que necessitem de proteção especial (pessoas com
doenças mentais, requerentes de asilo, idosos, doentes, etc.) e todos os casos em que possa ser
identificado um desequilíbrio na relação entre a posição do titular dos dados e o responsável pelo
tratamento.
Exceção do art.º 30, n.º 5. Entidades com menos de 250 trabalhadores, salvo se se verificar
alguma das seguintes condições (alternativas, e não cumulativas, como se retira do “...não
seja ocasional ou abranja as...”):
1. Os tratamentos de dados efetuados sejam suscetíveis de implicar risco para os
direitos e liberdades dos titulares;
2. Os tratamentos de dados efetuados não sejam ocasionais; OU
3. Os tratamentos de dados efetuados abranjam as categorias especiais de dados do
art.º 9.º ou os dados do art. 10.º.
[nota do formador] A qualificação de “EMPREGADOS” como “pessoas singulares vulneráveis”, para

os efeitos da condição de exclusão da exceção 1. acima (isto é, para definir se há um risco
relevante) é excessiva – embora a equiparação pelo WP29 na sua orientação sobre DPIAs, o
resultado dessa equiparação seria o seguinte:
As entidades com menos de 250 trabalhadores não têm de ter registo, a não ser que tratem dados
de Empregados (o que, naturalmente, todas – ou quase todas, farão).
Isto é:
Torna-se irrelevante terem menos de 250 trabalhadores ou não – se tiverem trabalhadores, têm de
tratar dados deles (por inerência, como seja para pagamento de salários) e, logo, teriam de ter
registo.
Opinião do formador: Esta conclusão tem de se afastar.
«Controlo regular e sistemático»

Na interpretação do GT 29
«regular» significa, neste caso, uma ou mais das seguintes características:
· Contínuo ou que ocorre a intervalos específicos num determinado período
· Recorrente ou repetido em horários estipulados
· Constante ou periódico
Fonte: Guidelines on Data Protection Officers ('DPOs') (wp243rev01) - European Commission
«Controlo regular e sistemático»

«sistemático» significa, neste caso, uma ou mais das seguintes
características:
· Que ocorre de acordo com um sistema
· Predefinido, organizado ou metódico
· Realizado no âmbito de um plano geral de recolha de dados
· Efetuado no âmbito de uma estratégia
Fonte: Guidelines on Data Protection Officers ('DPOs') (wp243rev01) - European Commission
Pág. 55

Nota do formador:
Em conclusão, preceito é de difícil interpretação, não sendo claro se as condições de exclusão de
exceção devem mesmo ser alternativas (porque, na prática, se não forem cumulativas, obrigam
quase todos a manter registo – o que não parece ser o propósito da exclusão, que visa salvaguardar
as PMEs desta obrigação, como se retira do critério do número de trabalhadores empregados).
Pode argumentar-se que todas precisam de registo; pode argumentar-se no sentido contrário – o
certo é que, mesmo que não seja legalmente obrigatório, é recomendado manter-se um registo, já
que parece ser a forma mais eficiente e adequada de mapear as atividades de tratamento
realizadas e demonstrar o cumprimento com o RGPD às autoridades de controlo.
Pág. 56

CONSIDERAÇÕES FINAIS
Pelo exposto,
O RGPD versa essencialmente sobre duas coisas: o uso ético de dados pessoais e manter
esses dados pessoais seguros.
ADAPTAÇÃO AO RGPD
1. Princípio da responsabilidade demonstrada

a) Designação do ENCARREGADO DA PROTEÇÃO DE DADOS (DPO) caso seja
obrigatório para a empresa ou caso o assuma voluntariamente. Caso não seja
necessário designar um DPO, identificar a(s ) pessoa(s ) responsáveis por
COORDENAR A ADAPTAÇÃO.
b) Elaborar o REGISTO DAS ATIVIDADES DE TRATAMENTO, tendo em conta a
sua finalidade e a base legal
2. FOCO NO RISCO
a) Realizar um ANÁLISE DE RISCOS.
b) Rever MEDIDAS DE SEGURANÇA à luz dos resultados da análise aos riscos.
c) Caso seja necessário, realizar uma AVALIAÇÃO DE IMPACTO SOBRE
PROTEÇÃO DE DADOS.
Pág. 57

MATERIAIS DE LEITURA RECOMENDADOS
1. Orientações e Documentos Temáticos do Grupo de Trabalho do Artigo 29.º
• Opinion 03/2013 on purpose limitation, WP 203, 2.4.2013

• Opinion 15/2011 on the definition of consent , WP 187, 13.7.2011
• Opinion 1/2010 on the concepts of ‘controller’ and ‘processor’ , WP 169, 16.2.2010
• Opinion 6/2014 on the notion of legitimate interests of the data controller under
Article 7 of Directive 95/46/EC , WP 217, 9.4.2014
• Opinion 3/2010 on the principle of accountability , WP 173, 13.7.2010
• Opinion 4/2007 on the concept of personal data , WP 136, 20.6.2007
• Guidelines on the right to data portability , WP242 rev.01, 5.4.2017
• Guidelines on Data Protection Impact Assessment (DPIA) and determining whether
processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 ,
WP 248, 4.4.2017
• Guidelines for identifying a controller or processor’s lead supervisory authority, WP
244 rev.01, 5.4.2017
• Guidelines on Data Protection Officers (‘DPOs’) , WP 243 rev.01, 5.4.2017
• Guidelines on Personal data breach notification under Regulation 2016/679, WP 250
03.10.2017
• Guidelines on Automated individual decision-making and Profiling for the purposes of
Regulation 2016/679, WP 251 03.10.2017
2. Outros Materiais de Leitura
Transferências Internacionais de Dados/Binding Corporate Rules
• Opinion 01/2016 on the EU – U.S. Privacy Shield draft adequacy decision, WP

238, 13.4.2016
• Explanatory Document on the Processor Binding Corporate Rules, WP
204, 19.4.2013
• Working Document 02/2012 setting up a table with the elements and principles to
be found in Processor Binding Corporate Rules, WP 195, 06.06.2012
• Recommendation 1/2012 on the Standard Application form for Approval of Binding
Corporate Rules for the Transfer of Personal Data for Processing Activities, WP
195, 06.06.2012
• Working Document on Frequently Asked Questions (FAQs) related to Binding
Corporate Rules, WP 155 rev04, 24.6.2008
• Working Document sWorking Document Setting up a framework for the structure
of Binding Corporate Rules, WP 154, 24.06.2008
Pág. 58

• Working Document setting up a table with the elements and principles to be found
in Binding Corporate Rules, WP 153, 24.06.2008
• Working document on a common interpretation of Article 26(1) of Directive
95/46/EC of 24 October 1995, WP 114, 25.11.2005
• Working Document on Transfers of personal data to third countries: Applying
Article 26 (2) of the EU Data Protection Directive to Binding Corporate Rules for
International Data Transfers, WP 74, 03.06.2003
• Working Document: Transfers of personal data to third countries: Applying Articles
25 and 26 of the EU data protection directive , WP 12, 24.6.1998
e- Privacy (Comunicações Eletrónicas)
• Opinion 03/2016 on the evaluation and review of the e-Privacy Directive, WP 240,
19.7.2016
• Opinion 2/2010 on online behavioural advertising , WP 171, 22.6.2010
• Opinion 04/2012 on Cookie Consent Exemption, WP 194, 7.6.2012
• Working Document 02/2013 providing guidance on obtaining consent for cookies , WP
208, 2.10.2013
3. Jurisprudência
• Tribunal de Justiça da União Europeia

Summaries of EU Court decisions - Relating to data protection 2000-2015
Preparados por Laraine Laudati Olaf - Data Protection Officer
• Tribunal Europeu dos Direitos do Homem
Factsheet – Personal data protection List of Judgements (non-exhaustive)
• Autoridade Europeia para a Proteção de Dados (EDPS)– Resumo da Jurisprudência
(01 dezembro de 2014 - 31 dezembro 2015)
Relevant case-law of CJEU, ECHR and national courts of EU Member States on the
right to the protection of personal data, the right to the protection of private life, access
to documents and the right to freedom of expression. Inclui referência a casos
pendentes
4. Documentos Temáticos da Autoridade Europeia para a Proteção de Dados (EDPS):
• Guidelines on the Rights of Individuals with regard to the Processing of Personal Data,
25.2.2014
• Position paper on the role of Data Protection Officers in ensuring effective compliance
with Regulation (EC) 45/2001, 28.11.2015
• Policy Paper on Monitoring and Ensuring Compliance with Regulation (EC) 45/2001,
13.12.2010
Pág. 59

• Opinion 5/2017 on Upgrading data protection rules for EU institutions and

bodies, 15.3.2017
• Opinion 4/2016 on the EU-U.S. Privacy Shield draft adequacy decision, 30.5.2016
5. Recomendações Bibliográficas
• Araceli Mangas, M. (ed.) (2008), Carta de los derechos fundamentales de la

Unión Europea, Bilbao, Fundación BBVA.
• EDRi, An introduction to data protection, Brussels, disponível em:
www.edri.org/files/ paper06_datap.pdf
• Santos Vara, J. (2013), The role of the European Parliament in the conclusion of the
Transatlantic Agreements on the transfer of personal data after Lisbon, Centre for
the Law of External Relations, CLEER Working Papers 2013/2, disponível em:
www.asser. nl/upload/documents/20130226T013310-cleer_13-2_web.pdf.
• United Kingdom Information Commissioner’s Office, Privacy Impact Assessment,
disponível em:
www.ico.org.uk/for_organisations/data_protection/topic_guides/privacy_impact_asse
ssment.
• United Kingdom Information Commissioner’s Office (2012), Anonymisation:
managing data protection risk. Code of practice, disponível em:
www.ico.org.uk/for_organisations/data_protection/topic_guides/anonymisation.
• United Kingdom Information Commissioner’s Office (2012), Anonymisation:
managing data protection risk. Code of practice, disponível em:
www.ico.org.uk/for_organisations/data_protection/topic_guides/anonymisation.
Pág. 60

CASOS PRATICOS
Pág. 61

Caso Prático: Política de Privacidade para o uso da Aplicação XPTO
POLÍTICA DE PRIVACIDADE
A sua privacidade é relevante para nós:
A recolha e tratamento de dados pessoais foi delineada para estar em concordância com o Regu-
lamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo
à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre
circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção
de Dados).
Esta Política de Privacidade explica:
• Quais as informações pessoais que ___________e ___________e por que o fazemos;

• Como usamos essas informações;
• As opções que oferecemos, incluindo o modo de acesso e __________de informações.
A EMPRESA poderá, unilateralmente e a qualquer momento, alterar, modificar, aditar ou retificar

a presente Política de Privacidade, sem necessidade de qualquer aviso prévio.
1. Responsável pelo tratamento dos dados pessoais
O Responsável pelo tratamento dos dados é a ORGANIZAÇÃO, com sede XXXXXXX. Pode
entrar em contato com o responsável pelo tratamento dos dados a qualquer momento com
qualquer dúvida sobre proteção de dados ou por __________ ou por ___________.
2. Fundamento jurídico da recolha e tratamento de dados pessoais
Ao aceder e utilizar a Aplicação, seu conteúdo e/ou aos nossos serviços, o utilizador aceita e
____________ livre e expressamente, mediante ato positivo inequívoco, autoriza que os seus
dados pessoais, solicitados ou opcionalmente fornecidos por si, sejam recolhidos e tratados pela
ORGANIZAÇÃO nos termos aqui previstos.
A utilização da Aplicação pressupõe que os Utilizadores conhecem e aceitam os termos e condi-
ções da presente Política de Privacidade.
3. ____________ do tratamento de dados pessoais
Os dados por si fornecidos à ORGANIZAÇÃO têm por finalidade:

- XXXXXXXXXXXXX
4. Categorias de dados pessoais que tratamos
A ORGANIZAÇÃO não recolhe nem processa qualquer dado pessoal ou informação obtida
através da Aplicação para efeitos de permitir a sua exploração, por qualquer forma, por terceiros.
Quando utiliza a nossa Aplicação, corresponde-se connosco, sendo que ao comunicar com a
OR- GANIZAÇÃO, poderemos recolher informação pessoal. Esta informação poderá conter:
nome, nú- mero de telefone, fotografia, género, _______, __________, ____________ .
Pág. 62

5. Existência de decisões automatizadas
Quando utiliza a Aplicação, a ORGANIZAÇÃO recolhe automaticamente informação relacionada

com a sua visita (incluindo o endereço de IP, “pageviews" e interações).
6. Segurança do tratamento dos seus dados pessoais
A ORGANIZAÇÃO garante a proteção dos seus dados pessoais contra qualquer perda,
destruição, alteração, acesso, ou utilização indevida ou não autorizada adotando para o efeito
todas as medidas legalmente exigidas para o efeito.
Para estes efeitos, a ORGANIZAÇÃO possui medidas técnicas e _________ que visam garantir
a segurança da informação e protege-la contra quaisquer atos deliberados ou acidentais que
possam provocar a sua manipulação, destruição, perda ou utilização não autorizada.
Apesar dos nossos esforços, alertamos que a Internet poderá não constituir um lugar seguro de
comunicação. De facto, a informação veiculada através da Internet poderá ser intercetada por
terceiros. Assim, não poderemos garantir em absoluto a segurança e autenticidade da
informação que nos seja enviada por esta via. Ao utilizar esta Aplicação e nele inserir informação,
expressamente aceita que o faz de acordo com a sua expressa vontade e assumindo o
correspondente risco.
7. ____________ _____________ dos dados pessoais
A ORGANIZAÇÃO
____________________________________________________________________________
____________________________________________________________________________
____________________________________________________________________________
8. Direito de Acesso, ____________, Cancelamento e __________ (ARCO) dos dados

pessoais.
Nos termos do Regulamento Geral sobre Proteção de Dados, o titular dos dados tem o direito de
solicitar ao responsável pelo tratamento acesso aos dados pessoais que lhe digam respeito, bem
como a sua retificação ou o seu apagamento. O titular dos dados tem ainda o direito de exigir,
em determinadas circunstâncias, a limitação do tratamento dos dados pessoais, assim como tem
o direito de se opor ao tratamento e o direito de portabilidade dos dados.
O titular dos dados tem ainda o direito de retirar o consentimento dado ao tratamento dos mes-
mos, em qualquer altura, sem comprometer a licitude do tratamento efetuado com base no con-
sentimento previamente dado.
Poderá exercer esses direitos de acesso, retificação, apagamento, limitação ao tratamento,

oposi- ção ao tratamento, portabilidade ou retirada de consentimento junto da ORGANIZAÇÃO
através do envio de email para XXXXXX ou de comunicação escrita para o seguinte endereço:
ORGANIZAÇÃO Rua XXXXXXXXX
Pág. 63

9. Direito de apresentar uma ____________ a uma autoridade de controlo
Nos termos do RGPD, informa-se que o titular dos dados tem o direito de apresentar
______________à autoridade de controlo competente, no caso a Comissão Nacional de
Proteção de Dados.
10. O ______________________
A ORGANIZAÇÃO designou o/a/a empresa x como o seu Encarregado da Proteção de Dados

(DPO), nos termos da legislação em vigor. Pode entrar em contato com o DPO da
ORGANIZAÇÃO a todo o momento com qualquer dúvida sobre proteção de dados pessoais por
e-mail para: XXX@XXX.pt.
11. Contactos
Questões, comentários e pedidos relacionados com esta e os seus direitos deverão ser
endereçados para info@ti-ex.pt ou de comunicação escrita para o seguinte endereço:
ORGANIZAÇÃO Rua XXXXXXXXXXX
Pág. 64

Formação Data Protection Officer – O Encarregado da Proteção de Dados
Avaliação de Impacto sobre a Proteção de dados e a Proteção de Dados By Design na prática.
Caso de Estudo gentilmente cedido por FIU.NET Bureau:
“Ma3tch technology”
A criação do Mercado Único Europeu e a eliminação das fronteiras nacionais não só levou a um
aumento dos negócios, comércio, concorrência e emprego, mas também facilitou as atividades
transfronteiriças de lavagem de dinheiro e de crimes financeiros. De forma a combater estas
ameaças transfronteiriças, tem existido uma necessidade crescente em eliminar as barreiras à
comunicação e à partilha de informações entre os Estados-Membros. O estabelecimento de
agências governamentais especializadas – Financial Intelligence Units – FIUs – representa um
esforço para desenvolver um sistema cpaz de combater a lavagem de dinheiro e outros crimes
financeiros ao nível da UE. As FIUs são unidades centrais, nacionais dos Estados-Membros em
que, com a finalidade de combater a lavagem de dinheiro e o terrorismo financeiro, recolhem e
analisam informação relativa a factos que possam indiciar estes crimes. Como função principal,
as FIUs recebem e, em certa medida, solicitam, analisam e divulgam às autoridades
competentes (p.ex autoridades com poder judicial) informação financeira relativa a
procedimentos suspeitos de configurar crime e potencial financiamento do terrorismo, ou
requerida pela legislação nacional, tendo em vista o combate à lavagem de dinheiro e ao
terrorismo financeiro.
Neste processo, as FIUs enfrentam o desafio de lidar com dois possíveis conflitos de interesse
em jogo: as FIUs devem saber mais sobre os cidadãos da UE e tratar os seus dados pessoais
(muitas vezes dados sensíveis), de forma a combater a lavagem de dinheiro e o terrorismo
financeiro, enquanto, ao mesmo tempo, garantir proteção forte e efetiva da privacidade e
proteção dos dados pessoais dos titulares. Na recolha de informações, as FIUs devem cooperar
e poderão solicitar troca de informações a FIUs de outro Estado-Membro. Para receber estas
informações, as FIUs utilizam a rede descentralizada de computadores FIU.NET. A FIU.NET
permite a troca de informação sobre cidadãos da UE entre as FIUs nacionais.
Foi recentemente desenvolvida uma nova forma de partilha de informações e conhecimentos –

a Ma3tch. A Ma3tch é uma tecnologia que permite a melhoria da troca de informações, excluindo
requisitos desnecessários, com maior prontidão e reforça a privacidade. Desta forma, fornece
uma solução inovadora que pode servir ambos os objetivos através de uma análise de dados
anónima e autónoma: garante o interesse das FIUs em recolher a informação e em proteger a
privacidade e os dados pessoais dos cidadãos da UE.
Descrição da tecnologia Ma3tch
Pág. 65

A Ma3tch permite que as FIUs conectadas façam correspondências (match) com os dados de
outras FIUs, com o intuito de verificar se as outras FIUs têm informação acerca de uma pessoa
em particular nas suas bases de dados, para conduzir análises conjuntas para a deteção de
relações e redes e identificar tendências, irregularidades, classificações, correlações ou outliers
entre as fontes de dados distribuídas. Isto é alcançado através da criação de filtros anónimos
que podem ser usados para determinar a aproximação de correspondências (matches) entre as
FIUs sem a necessidade de serem expostos ou partilhados os dados pessoais para além dos
seus princípios/finalidades. Na sua essência, a Ma3tch captura as “características” originais dos
dados. Por exemplo, se a tecnologia Ma3tch se aplica a uma lista de 4 registos contendo detalhes
pessoais, o resultado será um filtro do tipo _”Nm0a”_. Isto não é uma encriptação e é mais do
que apenas hashing (função criptográfica). Na realidade, o que se faz é “hashing the hash” (o
algoritmo que mapeia dados de comprimento variável para dados de comprimento fixo é,
inclusive, criptografado). O texto encriptado pode ser desencriptado. O texto em hash é
irreversível, mas pode ser potencialmente rastreado através de uma “rainbow table” - uma tabela
de consulta de hashes pré-calculados. Criptografar um texto em hash (“hashing the hash”) é
irreversível e não pode ser rastreado por um indivíduo. Uma vez criado o filtro (p.ex
_”Nm0a”_) não existe a possibilidade de rastrear o conteúdo original do filtro.
Desafio aos DPOs

Como DPO, é-lhe solicitado o parecer relativamente à Avaliação de Impacto sobre a Proteção
de Dados relativamente à tecnologia Ma3tch, de forma a aconselhar se a Ma3tch é realmente
uma tecnologia que garante o interesse das FIUs em recolher informação e em proteger a
privacidade e os dados pessoais dos cidadãos da UE. Nesta tarefa, há questões fundamentais
que carecem de resposta, tais como:
I. Na conceção desta tecnologia, são tidos em consideração os requisitos necessários
para a proteção de dados;
II. Cumpre com a relevante legislação em matéria de proteção de dados;
III. Há pontos a considerar no que concerne aos direitos e obrigações do quadro
legislativo Europeu.
Discuta a metodologia da Avaliação de Impacto sobre a Proteção de Dados e pense nos

resultados em termos de riscos e medidas de mitigação dos riscos de proteção de dados.
Pág. 66

Manual RGPD

Загружено:

Сведения о документе

Исходное описание:

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Manual RGPD

Загружено:

Авторское право:

Доступные форматы

FORMAÇÃO RGPD

I. O Regulamento Geral de Proteção de Dados – O novo quadro legal

RGPD – REGULAMENTO GERAL SOBRE PROTEÇÃO DE DADOS

I. RGPD – ENQUADRAMENTO HISTÓRICO E DIREITOS FUNDAMENTAIS

II. RGPD – REGULAMENTO GERAL PROTEÇÃO DADDOS O NOVO QUADRO LEGAL

Regulamento (UE) 2016/679 do Parlamento

Regulamento Geral de Proteção de Dados -

Entrou em vigor a 24 de Maio de 2016

Aplicável a partir de 25 de Maio de 2018

III. RGPD – PRINCIPAIS ALTERAÇÕES

O QUE MUDA PARA AS ORGANIZAÇÕES?

IV. RGPD – DEFINIÇÕES

DADOS PESSOAIS SENSÍVEIS

«Tratamento», uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou

a sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento,

RESPONSÁVEL PELO TRATAMENTO

«Responsável pelo tratamento», a pessoa singular ou coletiva, a autoridade pública, a agência ou

«Subcontratante», uma pessoa singular ou coletiva, a autoridade pública, agência ou outro

VIOLAÇÃO DE DADOS PESSOAIS

IV. RGPD – PRINCÍPIOS

1. Licitude, lealdade e transparência

No quadro geral do princípio da “responsabilidade” (accountability) em que o responsável pelo

IV. RGPD – LICITUDE DE TRATAMENTO CONSENTIMENTO

LICITUDE DO TRATAMENTO DE DADOS PESSOAIS

O titular dos dados tiver dado o seu consentimento;

NÃO SÃO FORMAS DE CONSENTIMENTO

IV. RGPD – DIREITOS

Direitos do titular dos dados

Direitos do titular dos dados

Direitos do titular dos dados

Caso a criança tenha menos de 16 anos, o tratamento só é lícito se e na medida em que o

Direito a ser esquecido

Propriedade- Compreendia interesses materiais do indivíduo mas opunha-se à privacidade

“A Privacidade é o Direito à Reserva de Informações Pessoais e da Própria Vida Privada”

Direitos do titular dos dados

Direito à Portabilidade Artigo 20.º do RGPD

É um direito ao apagamento de dados pessoais (acórdão “Google” de 20 de junho de 2014)

IV. RGPD – DEVERES E OBRIGAÇÕES

IV. RGPD – SEGURANÇA

Os três princípios comuns de segurança da informação,

MEDIDAS CRÍTICAS DE SEGURANÇA

O RGPD - QUADRO SANCIONATÓRIO

Coimas até 20.000.000 ou 4% do volume global anual de negócios do exercício anterior

IV. RGPD – PRIVACY BY DESIGN

Governação da informação: privacidade desde a concepção

O Regulamento determina que os responsáveis pelo tratamento considerem a conformidade com

A proteção dos dados pessoais torna-se central no negócio

IV. RGPD – AVALIAÇÃO DE IMPACTO

Governação da informação: avaliação de impacto

O fim das notificações e das autorizações:

IV. RGPD – ENCARREGADO DE PROTEÇÃO DE DADOS

• Não é obrigatório para todas as organizações

Quando é obrigatório designar?

• Quando as atividades principais do responsável pelo tratamento ou do subcontratante

Posição: imparcialidade & independência

Proposta de Lei n.º 120/XIII da Presidência do Conselho de Ministros (22/03/2018)

IV. RGPD – VIOLAÇÃO DE DADOS

Notificação e comunicação de uma violação de dados pessoais

RGPD – BALCÃO ÚNICO

• Grupos multinacionais com vários estabelecimentos na Europa

RGPD – IMPLICAÇÕES NO MARKETING DIGITAL

1. O Ciclo de Vida dos Dados Pessoais

Como deve, o DPO, avaliar o ciclo de vida dos dados pessoais?