Guia do Registo das Atividades de Tratamento de Dados

O Regulamento Geral sobre a Proteção de Dados (RGPD) (Regulamento (UE) 2016/679) regula essencialmente a forma como os dados pessoais devem ser tratados de forma lícita (incluindo a forma como são recolhidos, utilizados, protegidos ou, de um modo geral, como se interage com os mesmos). Destina-se a reforçar a proteção de dados para todas as pessoas cujas informações pessoais se enquadrem no seu âmbito de aplicação, devolvendo-lhes o controlo sobre os seus dados pessoais.

Contudo, a sua implementação poderá representar um desafio técnico em termos práticos. Tal é particularmente verdade no caso da gestão interna da privacidade. O utilizador deve ser capaz de descrever os dados que recolhe, para que finalidades, as partes envolvidas e alguns outros detalhes para toda a empresa, incluindo os dados dos trabalhadores.

Se procura informações de enquadramento adicionais sobre o RGPD, consulte o nosso guia detalhado do RGPD.

Este guia destina-se a orientá-lo passo a passo pela nossa ferramenta de gestão interna da privacidade.

Nota: Apesar de o RGPD constituir uma razão comum para desenvolver mais esforços na gestão da privacidade interna, a nossa ferramenta não se destina exclusivamente a ser aplicada nos termos do RGPD. Pode ainda ser utilizada para a gestão da privacidade interna em geral, inclusive por empresas que não tenham quaisquer utilizadores/clientes na UE.

Continue a ler ou veja o tutorial completo.

A minha organização deve manter registos das atividades de tratamento nos termos do RGPD? 

O RGPD exige que tanto os responsáveis pelo tratamento como os subcontratantes mantenham um registo das atividades de tratamento. Tais registos devem assumir a forma escrita, incluindo em formato eletrónico. A IPM foi especificamente concebida para que os responsáveis pelo tratamento e os subcontratantes preencham este requisito.

O registo das atividades de tratamento deve ser disponibilizado à autoridade de controlo, caso seja solicitado.

O que significa o conceito de área?

As áreas são perímetros nos quais as atividades de tratamento de dados são homogéneas. São exemplos de áreas o seu website, aplicação móvel, lojas físicas, trabalhadores, recrutamento, fábrica, etc. Para cada uma delas, pode fornecer uma descrição de como os dados estão a ser tratados, como estará já, provavelmente, a fazer com o nosso gerador de política de privacidade ou com o gerador de condições de prestação do serviço para um determinado site. Resumindo, as áreas correspondem a réplicas da entidade do ‘site’ que estão ligadas entre si e que pode criar livremente.

De que forma são definidos os membros/funções?

Ao nível da conta, pode adicionar membros, que podem posteriormente ser associados a uma função em particular (como a função de “responsável pelo tratamento”, “subcontratante”, etc.) ou a uma área específica.

Ao proceder à associação, pode escolher a função atribuída a cada membro entre as seguintes opções:

• Responsável pelo tratamento: significa qualquer pessoa singular ou coletiva envolvida na determinação da finalidade e formas de tratamento dos dados pessoais.
• Membro da organização do responsável pelo tratamento: consulte a lista de exemplos abaixo.
• Subcontratante: significa qualquer pessoa singular ou coletiva envolvida no tratamento dos dados pessoais em nome do responsável pelo tratamento.
• Titular (por vezes designado igualmente utilizador): significa uma pessoa cujos dados pessoais são tratados por um responsável pelo tratamento ou subcontratante.

Por exemplo, uma empresa online poderá recolher informações do utilizador através do seu website e armazená-las através de um serviço de cloud de terceiros. Neste cenário, a empresa online é o responsável pelo tratamento e a organização que gere o serviço de cloud é o subcontratante.

Pode pensar nisto, basicamente, como um livro de endereços. Todos os proprietários atuais são igualmente membros.

Tenha em atenção que: As pré-definições que introduz na secção de membros da área são posteriormente aplicadas, por norma, a cada serviço.

Por norma, os seguintes membros estão disponíveis:

• Trabalhadores
• Utilizadores
• Utilizadores da UE
• Departamento de Marketing
• Departamento de RH
• Departamento Financeiro
• Departamento de Apoio ao cliente
• Departamento de Vendas
• Departamento de I&D
• Departamento de Desenvolvimento
• Departamento de Produtos
• Departamento Jurídico
• Departamento de RP
• Departamento de Informação

Como posso configurar serviços com as novas áreas?

A sua política de privacidade tem de ser ajustada às práticas de recolha de dados do seu site ou aplicação. Tal é possível ao adicionar um serviço.

De um modo geral, os serviços enquadram-se em duas categorias:

• Serviços relacionados com as suas próprias atividades de recolha de dados (por exemplo, formulários de contacto)
• Serviços relacionados com atividades de recolha de dados de terceiros (por exemplo, Google Analytics)

Ao decidir que serviços básicos adicionar à sua política, poderá questionar-se sobre o seguinte:

• Que dados dos utilizadores recolho eu próprio e de que modo os recolho?
  (por exemplo, formulários de newsletter, formulários de contacto, sistemas de comentários)
• Que serviços de terceiros utilizo no meu site/aplicação? Muito provavelmente, estes serviços tratam igualmente dados dos utilizadores de alguma forma, devendo, por isso, ser incluídos na sua política.

Na secção seguinte, analisaremos as novas áreas que lançámos para facilitar a sua gestão interna da privacidade (pode encontrar estas áreas na janela de personalização que é apresentada quando se adiciona um serviço). Procederemos à análise passo a passo para o ajudar a escolher a opção que se adequa à sua situação específica.

Rótulo e Descrição

Estas 2 áreas servem apenas para que possa descrever o respetivo serviço com facilidade. Um exemplo de um rótulo poderia ser “centro de dados DE”, podendo a respetiva descrição ser “centro de dados de Frankfurt”.

Região

Esta é uma área que se aplica apenas a alguns serviços onde pode especificar se mantém os dados na UE. Um bom exemplo disto é a “Amazon Web services” (frequentemente abreviada como “AWS”).

Dados pessoais personalizados

Uma área disponível em apenas alguns serviços, que lhe permite especificar o tipo de dados pessoais recolhidos através de tais serviços.

Fundamento jurídico para o tratamento dos dados

Nos termos do RGPD, os dados só podem ser tratados se houver, pelo menos, um fundamento jurídico para tal tratamento.

Os fundamentos jurídicos são os seguintes:

• O utilizador deu o seu consentimento para uma ou mais finalidades específicas.
• O tratamento dos dados é necessário para a execução de um contrato no qual o utilizador é parte, ou é necessário para diligências pré-contratuais a pedido do utilizador.
• O tratamento é necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito.
• O tratamento é necessário para defender os interesses vitais do utilizador ou de outra pessoa.
• O tratamento é necessário para o exercício de funções de interesse público ou o exercício da autoridade pública de que o responsável pelo tratamento está investido.
• O tratamento é necessário para efeito dos interesses legítimos do responsável pelo tratamento ou de terceiros, exceto se prevalecerem os interesses ou direitos e liberdades do utilizador, nomeadamente se o utilizador for uma criança.

Na nossa ferramenta, pode selecionar entre as seguintes opções:

• Consentimento: Consentimento significa proporcionar a cada pessoa um controlo e a possibilidade de escolha efetivos. O consentimento genuíno deve dar o controlo às pessoas, criar confiança e compromisso e reforçar a sua reputação. Tal aplica-se a todas as ferramentas de rastreamento com base em cookies, para as quais recolhe o consentimento através do banner de cookies.
• Contrato: Tudo o que deve fazer para prestar o serviço (alojamento, etc.). Pode recorrer a este fundamento jurídico se necessitar de tratar dados pessoais de uma pessoa:
  • para cumprir as suas obrigações contratuais assumidas perante tais pessoas; ou
  • porque lhe pediram que fizesse algo antes de celebrar um contrato (por exemplo, apresentar um orçamento).
• Obrigação legal: Pode recorrer a este fundamento jurídico se necessitar de tratar dados pessoais de modo a cumprir uma lei ou uma obrigação legal comum. Tal refere-se, por exemplo, à faturação.
• Interesse vital: Deverá poder recorrer aos denominados interesses vitais como fundamento jurídico se necessitar de tratar dados pessoais para proteger a vida de uma pessoa. Este tratamento deve ser necessário. Se conseguir proteger os interesses vitais de tal pessoa de uma forma razoável, de forma menos invasiva, este fundamento não se aplicará ao seu caso.
• Tarefa pública: A tarefa pública é mais relevante para as autoridades públicas, mas poderá aplicar-se a qualquer organização que exerça a autoridade pública ou funções de interesse público geral.
• Interesse legítimo: O interesse legítimo é certamente o fundamento jurídico mais flexível para o tratamento. Contudo, não se pode assumir que será sempre o mais adequado ao seu caso. Será provavelmente o mais adequado se utilizar os dados das pessoas de uma forma que estas razoavelmente esperariam e que tenha um impacto mínimo na privacidade, ou quando exista um motivo válido para o tratamento.
• Dados de categorias especiais: Os dados de categorias especiais são dados pessoais que, nos termos do RGPD, são mais sensíveis e, como tal, carecem de maior proteção. Tal inclui, por exemplo, informações sobre a origem racial, religião ou saúde de uma pessoa.
• Dados sobre crimes: Para tratar dados pessoais relacionados com condenações penais ou infrações, é necessário tanto um fundamento jurídico, nos termos do artigo 6.º, como uma autoridade legal ou pública para o tratamento, nos termos do artigo 10.º.

Fundamento jurídico para as transferências de dados para fora da UE

Tal aplica-se quando transferir dados para fora da UE. Como tal, escolha em conformidade.

Poderá optar entre as seguintes opções:

• Nenhuma transferência de dados: não requer explicação.
• Decisões de adequação: Uma decisão adotada pela Comissão Europeia com base na Diretiva 95/46/CE, que estabelece que um país não pertencente à UE assegura um nível adequado de proteção de dados pessoais em virtude do seu direito nacional ou dos compromissos internacionais que assumiu.
• Regras vinculativas aplicáveis às empresas: As Regras Vinculativas aplicáveis às Empresas (BCR) destinam-se a permitir que as empresas multinacionais transfiram dados pessoais a partir do Espaço Económico Europeu (EEE) para as suas filiais localizadas fora do EEE, respeitando o 8.º princípio da proteção de dados e o artigo 25.º da Diretiva 95/46/CE. O procedimento destina-se a evitar que tenha de abordar cada autoridade de proteção de dados individualmente. Poderá consultar informações adicionais no artigo 47.º.
• Garantias adequadas: Não tendo sido tomada qualquer decisão nos termos do artigo 45.o, n.º 3, os responsáveis pelo tratamento ou subcontratantes só podem transferir dados pessoais para um país terceiro ou organização internacional se tiverem apresentado garantias adequadas, e desde que os titulares dos dados gozem de direitos oponíveis e de medidas jurídicas corretivas eficazes. Poderá consultar informações adicionais no artigo 46.º.
• Consentimento: Consentimento significa proporcionar a cada pessoa um controlo e a possibilidade de escolha efetivos. O consentimento genuíno deve dar o controlo às pessoas, criar confiança e compromisso e reforçar a sua reputação. Tal aplica-se a todas as ferramentas de rastreamento com base em cookies, para as quais recolhe o consentimento através do banner de cookies.
• Cláusulas-tipo de proteção de dados adotadas pela Comissão da UE: A Comissão Europeia pode decidir que as cláusulas contratuais-tipo oferecem garantias de proteção de dados adequadas para que os dados possam ser transferidos a nível internacional. Até à data, emitiu dois conjuntos de cláusulas contratuais-tipo para transferências de dados de Responsáveis pelo tratamento da UE para Responsáveis pelo tratamento estabelecidos fora da UE ou do Espaço Económico Europeu (EEE). Trata-se da Decisão 2001/497/CE e da Decisão 2004/915/CE.
• Interesse público: O interesse público é mais relevante para as autoridades públicas, mas pode aplicar-se a qualquer organização que exerça a autoridade pública ou funções de interesse público geral.
• Declaração, exercício ou defesa de um direito num processo judicial.
• Interesse vital: Deverá poder recorrer aos denominados interesses vitais como fundamento jurídico se necessitar de tratar dados pessoais para proteger a vida de uma pessoa. Este tratamento deve ser necessário. Se conseguir proteger os interesses vitais de tal pessoa de uma forma razoável, de forma menos invasiva, este fundamento não se aplicará ao seu caso.

As partes envolvidas no tratamento de dados pessoais

Responsável pelo Tratamento
Refere-se a qualquer pessoa singular ou coletiva envolvida na determinação da finalidade e das formas de tratamento dos dados pessoais.

Subcontratantes
Refere-se a qualquer pessoa singular ou coletiva envolvida no tratamento dos dados pessoais em nome do responsável pelo tratamento.

Membros da organização do responsável pelo tratamento
Um exemplo comum são os trabalhadores de determinada empresa/organização.

Titulares
Podem ser, por exemplo, os utilizadores de determinado website ou aplicação, visitantes de uma loja física ou clientes que efetuem pagamentos.

Direitos disponíveis

Em circunstâncias normais, quaisquer assuntos para os quais o “consentimento” constitui o fundamento jurídico do tratamento devem ter todos os direitos selecionados. A nossa solução proporciona-lhe as seguintes opções:

• Informação: As pessoas têm o direito de ser informadas sobre a recolha e utilização dos seus dados pessoais. Este é um requisito de transparência fundamental nos termos do RGPD.
• Acesso: As pessoas têm o direito de aceder aos seus dados pessoais e informações complementares. O direito de acesso permite que as pessoas tenham conhecimento e verifiquem a licitude do tratamento.
• Retificação: O RGPD inclui o direito de as pessoas retificarem dados pessoais inexatos ou de os completarem caso estejam incompletos. Qualquer pessoa pode solicitar uma retificação verbalmente ou por escrito.
• Apagamento: O RGPD estabelece o direito de as pessoas poderem apagar os seus dados pessoais (igualmente designado por “direito a ser esquecido”). As pessoas podem solicitar o apagamento verbalmente ou por escrito.
• Limitação do tratamento: As pessoas têm o direito de solicitar a limitação ou o apagamento dos seus dados pessoais. Contudo, este não é um direito absoluto, aplicando-se apenas em determinadas circunstâncias.
• Portabilidade dos dados: O direito de portabilidade dos dados permite que as pessoas obtenham e reutilizem os seus dados pessoais para as suas próprias finalidades em diferentes serviços. Permite-lhes mover, copiar ou transferir facilmente dados pessoais de um ambiente informático para outro de uma forma segura, sem afetar a sua utilização.
• Oposição: As pessoas têm o direito de se opor:
  • ao tratamento com base em interesses legítimos ou ao desempenho de uma tarefa de interesse público/no exercício da autoridade pública (incluindo a definição de perfis);
  • marketing direto (incluindo a definição de perfis); e
  • tratamento para fins de investigação científica ou histórica e estatísticos.

Política de conservação

Este campo refere-se ao tempo pelo qual os dados são conservados. A opção pré-definida consiste em “conservar os dados pelo período necessário para cumprir objetivos”, devendo aplicar-se à maioria dos casos. Caso contrário, poderá optar por um prazo de 1 a 5 anos.

Medidas de segurança

São exemplos comuns o método de encriptação utilizado ou as avaliações de vulnerabilidade/testes de penetração, o que significa que os seus sistemas técnicos devem ser testados periodicamente para avaliar a segurança e resiliência dos seus sistemas.

Outra medida importante é a denominada “cópia de segurança e armazenamento de suportes de cópias de segurança”, o que significa que é aconselhável manter os suportes de cópias de segurança num local próprio, apenas acessível ao pessoal responsável. A segurança do local deve ser verificada, pelo menos, anualmente.

Recomenda-se igualmente a instalação e manutenção de uma firewall. Recomenda-se que reveja as configurações atuais, gira as permissões dos utilizadores do sistema, verifique se o sistema se encontra atualizado e, por último, continue a instalação em dispositivos portáteis. Contudo, dispor de uma firewall não é obviamente novidade relativamente ao RGPD, devendo ser considerado uma medida de segurança mínima já prevista pelos padrões atuais.

Através desta ferramenta, poderá optar entre as seguintes opções:

• Encriptação: A encriptação consiste num processo amplamente utilizado em que os dados são transformados numa versão codificada e ininteligível através de algoritmos de encriptação e de uma chave de encriptação, e em que uma chave ou código de desencriptação permite que outros os descodifiquem novamente.
• Anonimização: O considerando 26 do RGPD define dados anonimizados como “dados pessoais tornados de tal modo anónimos que o seu titular não seja ou já não possa ser identificado.”
• Pseudonimização: A pseudonimização consiste na separação dos dados dos identificadores diretos de modo que a associação a uma identidade não seja possível sem informações adicionais que são mantidas separadamente. Tal poderá reduzir os riscos associados ao tratamento de dados, mantendo ao mesmo tempo a utilidade dos dados.
• Auditoria: Auditorias regulares a dados, juntamente com análises e exercícios de gestão de dados, constituem requisitos contínuos para assegurar a conformidade nos termos do RGPD.
• Limitação do acesso: Tal refere-se à limitação do acesso a quaisquer dados de identificação pessoal que sejam recolhidos ou armazenados de qualquer pessoa na União Europeia.

O que significa o botão “Adicionar alternativas”?

De modo a descrever o tratamento de forma rigorosa, tal como exigido nos termos do RGPD, deve ser muito minucioso ao descrever as suas práticas de recolha de dados. Um cenário comum é o de um website com vários formulários de contacto, em que cada formulário se destina a pessoas diferentes ou para o qual os dados são partilhados com partes diferentes. Outro exemplo é possuir duas newsletters diferentes para diferentes grupos de utilizadores ou clientes.

A nossa ferramenta de gestão interna da privacidade permite-lhe assim adicionar diferentes versões do mesmo serviço.

Exemplos práticos

Analisemos agora uma série de exemplos específicos para colocar em prática as informações acima referidas, incluindo as nossas “opções alternativas”: