Avançar para o conteúdo principal

EM QUE SITUAÇÕES É CONSIDERADO LÍCITO O TRATAMENTO DE DADOS PESSOAIS?

Por tratamento de dados pessoais entende-se quaisquer operações efetuadas sobre os mesmos, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.

O tratamento de dados pessoais carece sempre de um fundamento jurídico, de outro modo, é suscetível de ser considerado tratamento ilícito. Existem apenas seis fundamentos legais possíveis. O cabimento em qualquer um deles depende da finalidade específica da recolha dos dados.

O consentimento
A primeira fundamento legal para o tratamento de dados pessoais é o consentimento. O consentimento é bastante exigente. Consiste numa manifestação de vontade explícita, livre, específica, informada e inequívoca. O tratamento de dados é considerado lícito se o titular dos dados tiver dado o seu consentimento informado para uma ou mais finalidades específicas.

O requisito da necessidade do tratamento
Para além do consentimento, todos os restantes cinco fundamentos legais para o tratamento de dados pessoais exigem que tal tratamento seja necessário, por referência a finalidades expressamente específicadas, que são as seguintes:

-  A execução de um contrato ou diligências pré-contratuais a pedido de titular dos dados, por exemplo: avaliação de risco para efeitos de concessão de crédito, gestão da relação contratual, acompanhamento e recuperação de crédito;

-  O cumprimento de uma obrigação jurídica do responsável pelo tratamento de dados, por exemplo: obrigações de retenção, pagamento ou declaração para efeitos fiscais, segurança e proteção de dados pessoais;

- A defesa de interesses vitais do titular ou de outra pessoa singular;

- O exercício de funções de interesse público ou o exercíco de autoridade pública;

- Para efeito dos interesses legítimos do responsável do tratamento, desde que não se sobreponha ao direito à privacidade do titular, por exemplo: marketing e promoção de produtos a clientes, melhoria e monotorização da qualidade do serviço, cessão de crédito, fornecimento ou recolha de informações de crédito.

Assim, sempre que ocorra tratamento de dados pessoais, é necessário vericar, antes de mais, qual o fundamento de licitude.

Comentários

MENSAGENS POPULARES

É OBRIGATÓRIO NOMEAR UM ENCARREGADO DE PROTEÇÃO DE DADOS?

Sim, para qualquer autoridade ou organismo do Estado é sempre obrigatório nomear um EDP/DPO (Encarregado de Proteção de Dados/Data Protection Officer). A única exceção são os tribunais. Para entidades privadas, apenas é obrigatório para aquelas organizações que façam tratamento de dados pessoais que, devido à natureza, âmbito ou finalidade, exija um controlo regular e sistemático, ou quando há tratamento de dados sensíveis em grande escala (condenações penais e infrações). No entanto, qualquer organização, querendo, pode voluntariamente nomear um. É possível várias empresas partilharem o mesmo encarregado de proteção de dados?   Sim. O RGPD admite que associações ou outros organismos representativos de empresas possam designar um EPD comum. Também dentro do mesmo grupo empresarial, é possível designar um único EPD, desde que este esteja facilmente acessível a partir de cada estabelecimento. Os EPD precisam de alguma certificação para desempenhar as suas funções?  Não. O EPD d

CNPD APROVA TRATAMENTO DE DADOS SUJEITOS A AVALIAÇÃO DE IMPACTO

A CNPD aprovou o Regulamento n.º 1/2018 , relativo à lista de tratamentos de dados pessoais sujeitos a prévia Avaliação de Impacto sobre a Proteção de Dados (AIPD), que acresce às situações já expressamente previstas no n.º 3 do artigo 35.º do RGPD. Esta lista resulta das recomendações contidas no Parecer 18/2018 do Comité Europeu de Proteção de Dados , após a lista nacional ter sido submetida ao mecanismo de coerência previsto no RGPD, bem como das sugestões recebidas no âmbito da consulta pública lançada pela CNPD . A realização de avaliações de impacto não dispensa as organizações do cumprimento das restantes obrigações legais do RGPD (31.10.2018)