Comissão Nacional de Protecção de Dados
Nova legislação de proteção de dados
Perguntas frequentes (FAQs)
Nova legislação de proteção de dados
Há uma nova lei de proteção de dados?
Sim. Está em vigor a Lei 58/2019, de 8 de agosto, que é a lei nacional de execução do Regulamento (UE) 2016/679 – Regulamento Geral sobre Proteção de Dados (RGPD). Esta lei revoga a anterior lei de proteção de dados pessoais (Lei 67/98). Entrou também em vigor uma lei específica de proteção de dados para os tratamentos efetuados por autoridades competentes para a deteção, prevenção, investigação e repressão de infrações penais e para a execução de sanções penais – Lei 59/2019, de 8 de agosto.
Estes três instrumentos legais constituem a nova legislação de proteção de dados pessoais.
As autorizações emitidas pela CNPD continuam válidas?
Sim, tudo o que não contrarie o disposto no RGPD e na Lei 58/2019, e desde que os tratamentos de dados pessoais não tenham sofrido alterações. À exceção da realização de avaliações de impacto sobre a proteção de dados, previstas no artigo 35.º do RGPD, os responsáveis por tratamentos autorizados pela CNPD têm que de cumprir as exigências do RGPD.
As deliberações-gerais da CNPD que contêm orientações mantêm a sua validade?
Mantêm-se válidos os princípios gerais aplicáveis aos tratamentos de dados e, nessa medida, as orientações da CNPD podem continuar a ser usadas como referência. No entanto, a CNPD irá proceder à sua atualização em conformidade com o novo quadro legal.
É necessário fazer algum registo na CNPD ou pedir autorização para tratar dados pessoais?
Não. A obrigação de notificação prévia de tratamentos de dados pessoais à CNPD desaparece com a aplicação do RGPD. Já não é necessário solicitar autorização à CNPD para realizar tratamentos de dados pessoais abrangidos pelo RGPD.
Consentimento
É obrigatório pedir outra vez o consentimento aos meus clientes para tratar os seus dados?
Antes de mais, deve verificar-se se o consentimento do titular é o fundamento de legitimidade adequado quando está em causa uma relação contratual com um cliente, uma vez que o tratamento de dados necessário à execução de um contrato não precisa do consentimento do cliente.
Se o que estiver em causa for um tratamento de dados pessoais adicionais em relação ao contrato, então se o consentimento que obteve anteriormente foi dado de forma implícita, é preciso pedir um novo consentimento ao titular dos dados nas condições exigíveis pelo RGPD.
O consentimento tem de ser explícito, isto é, a pessoa tem de manifestar a sua vontade em autorizar. Tem também de prestar as informações que vêm referidas no artigo 13.º do RGPD, adequadas ao seu caso concreto, não se esquecendo de informar o titular dos dados de que pode revogar o consentimento a todo o momento e indicando o meio como o pode fazer.
O consentimento tem ainda de ser específico, devendo ser diferenciado, por exemplo, quando haja utilização de dados para fins distintos ou quando haja comunicação de dados a terceiros, e acompanhado sempre da informação necessária relativa a cada situação.
Também não é possível fazer depender a execução de um contrato do consentimento do titular dos dados.
É preciso obter o consentimento dos trabalhadores no âmbito da gestão administrativa ou de processamento de remunerações?
Não. Os tratamentos de dados pessoais, no âmbito da gestão dos recursos humanos, têm como fundamentos de legitimidade a execução do contrato de trabalho e a lei.
O consentimento dos trabalhadores não é de uma maneira geral considerado válido, pois raramente poderá ser dado em condições de liberdade, atendendo ao desequilíbrio entre as partes.
Direitos dos titulares
Existe alguma minuta ou um texto-tipo para informar os titulares dos dados dos seus direitos?
Neste momento não, mas a CNPD não exclui a possibilidade de vir a disponibilizar alguns textos padrão, quando em causa estiverem tratamentos de dados pessoais mais simples.
Encarregado de Proteção de Dados (EPD/DPO)
É obrigatório ter um encarregado de proteção de dados?
Só é obrigatório designar um EPD em alguns casos.
As entidades públicas estão sempre obrigadas a ter um EPD.
Quanto às empresas, seja na qualidade de responsáveis pelos tratamentos ou de subcontratantes, só estão obrigadas a designar um EPD se tratarem dados sensíveis ou dados relativos a condenações penais e infrações em larga escala (dados referidos no artigo 9.º e 10.º do RGPD) ou se realizarem tratamentos em larga escala relativos ao controlo regular e sistemático dos titulares dos dados.
É preciso fazer algum registo do EPD?
É necessário publicar os contactos do encarregado de proteção de dados e dar conhecimento aos titulares dos dados desses contactos quando lhes presta as informações referidas nos artigos 13.º e 14.º do RGPD.
Também é necessário comunicar à CNPD essa informação.
Para o efeito, a CNPD disponibiliza um formulário próprio em https://www.cnpd.pt/bin/notifica_rgpd/epd_dpo.htm
É possível várias empresas partilharem o mesmo encarregado de proteção de dados?
Sim. O RGPD admite que associações ou outros organismos representativos de empresas possam designar um EPD comum. Também dentro do mesmo grupo empresarial, é possível designar um único EPD, desde que este esteja facilmente acessível a partir de cada estabelecimento.
É possível usar o mesmo formulário de notificação para comunicar à CNPD a designação de um EPD dentro do mesmo grupo?
Não. Cada empresa do Grupo, com estabelecimento em Portugal, tendo a obrigação de designar um EPD, tem de comunicar individualmente à CNPD quem é o seu encarregado de proteção de dados.
A minha empresa está integrada num grupo empresarial europeu/internacional que designou um EPD comum que está sediado noutro Estado-Membro. É preciso comunicar à CNPD quem é o EPD?
A empresa com estabelecimento em Portugal, que partilhe o EPD do Grupo, tem de notificar a CNPD de quem é o seu EPD e os seus contactos.
Pode ser a empresa do Grupo, com estabelecimento no Estado-Membro onde está o EPD, a comunicar os contactos do encarregado de proteção de dados à CNPD?
Não. A empresa com estabelecimento nesse Estado-Membro notifica a autoridade de controlo competente desse Estado-Membro de que designou um encarregado de proteção de dados.
O Grupo empresarial a que pertence a minha empresa tem um EPD num outro país, mas em Portugal temos um delegado do EPD. Fazemos a notificação à CNPD dos contactos dessa pessoa?
Não. Apenas é aceite a notificação quanto ao EPD. Independentemente de como o Grupo se organiza internamente, é em torno do EPD formalmente designado como tal que recaem as obrigações do RGPD, quanto às condições da sua designação, ao exercício das suas funções e à sua posição no interior da empresa
Os EPD precisam de alguma certificação para desempenhar as suas funções?
Não. O EPD deve ser designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados.
Videovigilância
Quero instalar/renovar um sistema de videovigilância para proteção de pessoas e bens, mas já não encontro o formulário da CNPD. Como devo proceder? É preciso pagar taxa?
Com o novo regulamento europeu de proteção de dados, já não é necessário pedir autorização à CNPD para ter um sistema de videovigilância.
Assim, já não é preciso preencher qualquer formulário ou pagar taxa, nem é preciso comunicar nada à CNPD.
No entanto, para poder instalar um sistema de videovigilância tem de atender a vários requisitos legais, que podem incluir além do RGPD e da Lei nacional que o executa (Lei n.º 58/2019, de 8 de agosto), a Lei 34/2013, de 16 de maio, que regula a atividade de segurança privada ou o Código do Trabalho, consoante o que for aplicável à sua situação concreta.
As autorizações de videovigilância emitidas antes de 25 de maio continuam válidas?
Sim, em tudo o que não contrarie o disposto no RGPD ou na Lei 58/2019 (artigo 19.º). Os responsáveis pelo tratamento devem cumprir as condições estabelecidas nas autorizações para o tratamento de dados pessoais através de videovigilância.
Quero acrescentar o número de câmaras que estão referidas na autorização da CNPD. Como fazer?
Já não é necessário realizar nenhuma notificação ou comunicação à CNPD. Se colocar câmaras em locais não abrangidos pela autorização, esta ficará desatualizada (caduca). De qualquer forma, deve ter atenção para não captar imagens em zonas não permitidas.
De acordo com o RGPD, é o responsável pelo tratamento que deve analisar previamente se o tratamento de dados pessoais, decorrente da utilização de um sistema de videovigilância, cumpre os requisitos do RGPD e de outra legislação nacional que seja aplicável.
Continua a ser necessário afixar o aviso informativo?
Sim. Os titulares dos dados têm o direito a ser informados sobre a utilização de sistemas de videovigilância. O aviso informativo deve respeitar o previsto no artigo 31.º, n.º 5, da Lei 34/2013, de 16 de maio, ou, no caso de não se encontrar abrangido por esta lei, deve cumprir os requisitos do artigo 13.º do RGPD, devidamente adaptados ao contexto da videovigilância.
Durante quanto tempo tenho de conservar as imagens de videovigilância?
No caso de estar abrangido pelo âmbito da Lei 34/2013, de 16 de maio, deve conservar as imagens pelo período de 30 dias, sendo obrigatório eliminar as imagens até 48 horas após os 30 dias. Isto sem prejuízo de ser necessário manter as imagens por mais tempo, no âmbito de processo criminal em curso.
Quando a lei obriga a ter sistemas de videovigilância, como proceder?
Nalguns setores específicos de atividade, há legislação especial que obriga à instalação de sistemas de CCTV, como por exemplo em estabelecimentos financeiros, em gasolineiras, ourivesarias, armeiros ou empresas sucateiras.
Nestes casos, o fundamento de legitimidade da videovigilância assenta no cumprimento de obrigação legal, mas em termos de procedimento não altera em nada o que foi acima explicado. Todas as restantes obrigações legais têm de ser observadas.
Quais são os locais onde não posso pôr câmaras?
A instalação de videovigilância tem por objetivo a proteção de pessoas e bens, seja pelo seu potencial efeito dissuasor, seja para permitir a identificação do perpetrador em processo criminal. Por isso, a colocação das câmaras deve ter em conta a estrita necessidade de manter um perímetro de segurança e de controlar os acessos a partir do exterior, de modo adequado às circunstâncias do local e proporcionado para não restringir excessivamente os direitos dos cidadãos.
Assim, as câmaras não deverão abranger, designadamente, áreas de espera em consultório médico, áreas técnicas de cabeleireiros, zonas de descanso ou lazer, o interior dos elevadores, salas de aula, salas de refeições, esplanadas, vestiários, interior e acessos a casas de banho, interior de piscina ou ginásio.
Na colocação das câmaras, deve ser tido especial cuidado para que estas não permitam captar imagens da digitação de códigos de segurança em terminais de pagamento.
As câmaras não podem incidir sobre a via pública ou a propriedade de terceiros.
A ponderação entre o interesse legítimo da empresa ou entidade pública e os direitos das pessoas tem sempre de ser feita pelo responsável pelo tratamento de dados, com exceção dos locais já proibidos por lei (artigo 19.º da Lei 58/2019) ou legalmente autorizados em legislação especial.
Quais são as condições para ter videovigilância no local de trabalho (armazém, oficina, escritório, fábrica, etc.)?
No contexto laboral, mantêm-se vigentes as condições impostas pelo Código do Trabalho para a vigilância à distância, à exceção da necessidade de solicitar autorização da CNPD, que é incompatível com o RGPD.
Assim, a videovigilância não pode ser usada para controlo do desempenho dos trabalhadores, não devendo, por isso, incidir regularmente sobre estes, o que exclui a abrangência das áreas de laboração, seja em linha de produção, armazém ou trabalho administrativo em escritório
As câmaras também não podem incidir sobre o interior de áreas reservadas aos trabalhadores, designadamente áreas de refeição, vestiários, ginásios, instalações sanitárias e zonas exclusivamente afetas ao seu descanso (artigo 19.º, n.º 2, alínea d) da Lei 58/2019).
Os trabalhadores têm de ser informados sobre a existência do sistema de videovigilância, bem como de todas as questões relevantes quanto ao seu funcionamento.
Além da imagem, é possível proceder à captação de som?
É proibida a captação de som, exceto no período em que as instalações estejam encerradas, isto é, sem pessoas a trabalhar nas zonas vigiadas, ou mediante autorização prévia da CNPD (artigo 19.º, n.º 4, da Lei 58/2019).
Quero pôr um sistema de CCTV na minha moradia/propriedade, o que tenho de fazer para estar dentro da lei?
Não é necessário fazer qualquer notificação à CNPD. As câmaras só podem abranger imagens dentro da sua propriedade. Não podem ser captadas quaisquer imagens da via pública, de propriedades de terceiros ou caminhos de uso comum (servidões de passagem).
Se tiver trabalhadores dentro da sua propriedade, a localização das câmaras não pode implicar a monitorização constante dos seus movimentos, devendo estes ser informados sobre a existência do sistema de videovigilância.
As imagens só podem ser usadas para fins de participação criminal
Violações de dados pessoais
Como é feita a notificação de violações de dados pessoais à CNPD?
A CNPD disponibiliza um formulário próprio para os responsáveis pelos tratamentos de dados efetuarem as notificações exigidas pelo artigo 33.º do RGPD.
Está acessível em https://www.cnpd.pt/bin/notifica_rgpd/data_breach.htm
