Mensagens

Último Post

AUMENTO DE PARTICIPAÇÕES À CNPD POR AÇÕES DE MARKETING DIRETO

 As participações, na sua grande maioria, dizem respeito a ações de ‘marketing’ direto levadas a cabo por entidades com quem os titulares dos dados pessoais não têm qualquer relação de clientela, ou em relação às quais não se recordam de ter concedido qualquer tipo de consentimento. A CNPD, na deliberação aprovada em 25 de janeiro, especifica que as ações de ‘marketing’ reclamadas "são frequentemente descritas pelos titulares dos dados como intrusivas" pela frequência e insistência na sua realização, que acontece por correio eletrónico, por SMS/MMS ou por chamada telefónica, independentemente de esta ser realizada através de aparelhos de chamada automática ou através de intervenção humana, o que não releva para o regime jurídico aplicável, lembra a comissão. Tendo em conta que, frequentemente, as ações de ‘marketing’ não são realizadas diretamente pela entidade promotora ou beneficiária do ‘marketing’, mas por outras entidades por si contratadas para o concreto envio das comu

CNPD APROVA TRATAMENTO DE DADOS SUJEITOS A AVALIAÇÃO DE IMPACTO

A CNPD aprovou o Regulamento n.º 1/2018 , relativo à lista de tratamentos de dados pessoais sujeitos a prévia Avaliação de Impacto sobre a Proteção de Dados (AIPD), que acresce às situações já expressamente previstas no n.º 3 do artigo 35.º do RGPD. Esta lista resulta das recomendações contidas no Parecer 18/2018 do Comité Europeu de Proteção de Dados , após a lista nacional ter sido submetida ao mecanismo de coerência previsto no RGPD, bem como das sugestões recebidas no âmbito da consulta pública lançada pela CNPD . A realização de avaliações de impacto não dispensa as organizações do cumprimento das restantes obrigações legais do RGPD (31.10.2018)

CNPD IMPÕE A PRIMEIRA COIMA de 400 MIL EUROS

Depois de receber uma denúncia por parte do Sindicato dos Médicos da Zona Sul, a CNPD iniciou uma inspeção no Centro Hospitalar do Barreiro Montijo que culminou com a deteção de três infrações e com a aplicação das correspondentes coimas. Com efeito, a CNPD detetou diferentes deficiências nos sistemas de autenticação e controle de acesso à base de dados. Concretamente, considerou que os sistemas hospitalares permitiam o acesso a usuários sem a devida autorização, tendo verificado que 985 médicos tiveram acesso a dados clínicos, quando o Hospital do Barreiro conta com apenas 296 médicos. Além do mais, considera ainda que o hospital não possui um protocolo interno para a criação de contas de usuários, níveis de acesso a informações médicas ou um método de autenticação da conexão de profissionais com o hospital. Esta infração, ou seja, o acesso indiscriminado, por parte de profissionais através de perfis não adequados às suas funções e categoria profissional, a um conjunto de dados

FACEBOOK MULTADO PELO REINO UNIDO EM 560.000€

O Informations Commisioner’s Office (ICO), o departamento que supervisiona o cumprimento das regras de proteção de dados no Reino Unido anunciou que a rede social Facebook permitiu a violação da legislação ao possibilitar o acesso às informações dos utilizadores sem qualquer “consentimento”. O escândalo atingiu a empresa norte-americana no passado mês de março ao descobrir-se que a consultora britânica Cambridge Analytica (que encerrou em maio) utilizou uma aplicação de recolha de milhões de dados de utilizadores do Facebook e que foram utilizados na campanha presidencial de Donald Trump, nos Estados Unidos, em 2016. Em julho, o ICO notificou a companhia norte-americana de que tencionava aplicar a multa mais elevada (560 mil euros) pelo escândalo Cambridge Analytica. “Entre 2007 e 2014 a empresa Facebook recolheu informações pessoais através de aplicações, sem um consentimento suficiente, claro e informado”, refere o ICO em comunicado. “Além do mais, a rede social Facebook falhou

O QUE É UMA POLÍTICA DE PRIVACIDADE?

Uma política de privacidade é uma declaração ou um documento legal que tem por objetivo divulgar a forma como uma organização recolhe, usa, divulga, gere e protege os dados pessoais dos seus clientes ou utilizadores. O conteúdo de uma política de privacidade procura dar respostas sobre que dados são recolhidos, como e porque é que são recolhidos, por que meios, onde é que a informação foi obtida, qual o fundamento legal para a recolha (em regra, consentimento ou interesse legítimo), como irão ser processados os dados, quem é o responsável pelo processamento e, se houver,  quem é encarregado de proteção de dados e como poderá ser contactado. Adicionalmente, informa os titulares dos dados sobre quais são os seus direitos, como o direito de acesso, retificação, apagamento, limitação do tratamento, portabilidade ou oposição, assim como a entidade competente para receber eventuais reclamações (em Portugal, a CNPD) e as medidas de segurança relacionados com os riscos apresentados pelo tra

É OBRIGATÓRIO NOMEAR UM ENCARREGADO DE PROTEÇÃO DE DADOS?

Sim, para qualquer autoridade ou organismo do Estado é sempre obrigatório nomear um EDP/DPO (Encarregado de Proteção de Dados/Data Protection Officer). A única exceção são os tribunais. Para entidades privadas, apenas é obrigatório para aquelas organizações que façam tratamento de dados pessoais que, devido à natureza, âmbito ou finalidade, exija um controlo regular e sistemático, ou quando há tratamento de dados sensíveis em grande escala (condenações penais e infrações). No entanto, qualquer organização, querendo, pode voluntariamente nomear um. É possível várias empresas partilharem o mesmo encarregado de proteção de dados?   Sim. O RGPD admite que associações ou outros organismos representativos de empresas possam designar um EPD comum. Também dentro do mesmo grupo empresarial, é possível designar um único EPD, desde que este esteja facilmente acessível a partir de cada estabelecimento. Os EPD precisam de alguma certificação para desempenhar as suas funções?  Não. O EPD d

EM QUE SITUAÇÕES É CONSIDERADO LÍCITO O TRATAMENTO DE DADOS PESSOAIS?

Por tratamento de  dados pessoais  entende-se quaisquer operações efetuadas sobre os mesmos, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição. O tratamento de dados pessoais carece sempre de um fundamento jurídico, de outro modo, é suscetível de ser considerado tratamento ilícito. Existem apenas seis fundamentos legais possíveis. O cabimento em qualquer um deles depende da finalidade específica da recolha dos dados. O consentimento A primeira fundamento legal para o tratamento de dados pessoais é o consentimento. O consentimento é bastante exigente. Consiste numa manifestação de vontade explícita, livre, específica, informada e inequívoca. O tratamento de dados é considerado lícito se o titular dos dados tiver dado o seu consentimento