Iubenda logo
Comece a gerar

Documentação

Índice

Escolher as opções certas da política de privacidade

A iubenda implementou um sistema que lhe permite aplicar diferentes direitos a diferentes grupos de utilizadores, cujos dados pessoais recolhe e trata enquanto “responsável pelo tratamento” (este é o termo que o RGPD utiliza para quem determina as finalidades e a forma de tratamento de dados pessoais).

Nomeadamente:

  • Pode decidir aplicar, por norma, uma proteção mais abrangente a todos os seus utilizadores. Neste caso, gerará uma política de privacidade totalmente aplicável a todos os seus utilizadores e que cumpre o RGPD.
  • Pode decidir aplicar determinados direitos básicos a todos os utilizadores e normas de proteção mais abrangentes a apenas alguns deles. Neste caso, as normas de proteção mais abrangentes serão aplicáveis sempre que o tratamento de dados pessoais esteja sujeito ao RGPD. Em todos os outros casos será aplicável um conjunto de direitos básicos.

👋 Se visar utilizadores baseados nos EUA, a Lei relativa à Privacidade dos Consumidores da Califórnia [California Consumer Privacy Act] (CCPA) poderá aplicar-se a si. Pode consultar tudo sobre a CCPA e fazer a nossa avaliação gratuita aqui.

Como fazer a escolha certa?

Pode escolher “Aplicar as normas de proteção mais abrangentes do RGPD”

  • Apenas à UE
  • A todos os utilizadores

Pode encontrar o botão aqui:

  • Inicie sessão na área de administrador da sua política de privacidade
  • Insira a redação da sua política de privacidade, que pode encontrar em Painel de controlo > [a sua política] > Redação
  • Aí encontrará uma caixa com o botão para ativar o texto do RGPD denominado “Normas específicas de legislação”

  • Sob o título “Aplicar as normas de proteção mais abrangentes do RGPD”, escolha se pretende Aplicar a todos os utilizadores (opção pré-definida) ou Aplicar apenas a utilizadores da EU
  • Deste modo pode analisar o seu caso específico, considerar a localização dos seus utilizadores/clientes e escolher em conformidade

Depois de decidir que direitos pretende oferecer a quem, pode continuar.

Neste caso, deve aplicar as normas de proteção mais abrangentes a todos os seus utilizadores visto todas as atividades de tratamento de dados que efetua estarem sujeitas ao RGPD – este evento estende-se aos seus utilizadores que não estão estabelecidos na UE.
Neste caso, poderá escolher aplicar normas de proteção mais abrangentes a todos os seus utilizadores ou aplicá-las apenas em casos em que o tratamento de dados pessoais esteja sujeito ao RGPD. Tenha em conta que deve aplicar normas de proteção mais abrangentes sempre que o tratamento
  • for relativo a Dados Pessoais de utilizadores que se encontram na UE e esteja relacionado com a oferta de bens ou serviços, pagos ou gratuitos, a tais Utilizadores;
  • for relativo a Dados Pessoais de utilizadores que se encontram na UE e permita ao Proprietário monitorizar o comportamento de tais Utilizadores na UE.

💡 Vejamos um exemplo prático:

Se for um responsável pelo tratamento estabelecido nos EUA, poderá escolher aplicar direitos básicos aos seus utilizadores, tal como exigido pela legislação dos EUA. No entanto, se parte das suas atividades de tratamento consistirem na oferta de bens ou serviços, pagos ou gratuitos, a utilizadores estabelecidos na UE, ou na monitorização do comportamento na UE, é obrigado, nesses casos, a aplicar normas de proteção mais abrangentes.

Implicações adicionais das normas de proteção mais abrangentes

A aplicação de normas de proteção mais abrangentes compreende implicações adicionais, tal como descrito abaixo.

📌 Transferência de dados fora da UE

Se recolher Dados Pessoais dentro da UE, pode transferi-los para outro país da UE ou do EEE. No entanto, se pretender transferi-los para outros países, como a Suíça ou os EUA, tem de recorrer a uma base legal válida que permita tal transferência.

Serviços que pode considerar adicionar:

  • Transferência de dados para países que garantam as normas europeias
  • Transferência de Dados para o estrangeiro com base em cláusulas contratuais-tipo
  • Transferência de Dados para o estrangeiro com base no consentimento
  • Outros fundamentos jurídicos para a transferência de Dados para o estrangeiro

💡 Alguns exemplos de transferências de dados

  • Sempre que trabalhar com parceiros ou adicionar serviços fora da UE/EEE (como, por exemplo, o Google Analytics), está a transferir dados pessoais para fora da UE. Os serviços enumerados no nosso gerador têm uma estimativa do local de estabelecimento do serviço.

  • Ao adicionar um serviço personalizado (ou seja, um serviço escrito por si), não se esqueça de indicar o fundamento jurídico para tal transferência.

  • Se for um responsável pelo tratamento fora da UE, transfere dados pessoais para fora da UE cada vez que recolhe dados de utilizadores estabelecidos na UE. Por favor, certifique-se de que o faz de acordo com um dos fundamentos jurídicos para a transferência.

📌 Fundamentos jurídicos para a transferência

O RGPD prevê vários fundamentos jurídicos válidos para a transferência de dados para fora da UE. Os mais relevantes são:

Sempre que a Comissão Europeia considera que determinado país no mundo garante normas de proteção de dados comparáveis com as aplicáveis na UE, emite uma decisão de adequação. Se planear transferir dados para tal país, poderá fazê-lo – deve apenas avisar os seus Utilizadores através da sua política de privacidade.

Até à data, as decisões de adequação foram adotadas para Andorra, Argentina, Canadá (organizações comerciais), Ilhas Faroé, Guernsey, Israel, Ilha de Man, Jersey, Nova Zelândia, Suíça, Uruguai e Japão.

Serviço a adicionar, neste caso: “Transferência de dados para países que garantam as normas europeias“.

Se o país para o qual planeia exportar dados parece não garantir um nível de proteção adequado, pode verificar se o importador de dados em causa (ou seja, a empresa ou pessoa para quem está a exportar os dados) cumpre normas mais restritas. Para tal, celebrará um contrato com o importador de dados que inclua cláusulas contratuais-tipo redigidas pela Comissão Europeia. Na maioria dos casos, utilizará as cláusulas contratuais-tipo com Responsáveis pelo tratamento estabelecidos na UE que exportem dados para Responsáveis pelo tratamento estabelecidos noutros locais.

Aqui, mais uma vez: caso tenha celebrado tal contrato, poderá transferir dados pessoais – mas tem de o referir na sua política de privacidade.

Serviço a adicionar, neste caso: “Transferência de Dados para o estrangeiro com base em cláusulas contratuais-tipo“.

Finalmente, se nenhuma das opções indicadas acima parecer viável, deve recolher o consentimento dos seus Utilizadores para transferir os seus dados para fora da UE. Este é o cenário mais complicado uma vez que tem de se certificar que o seu consentimento é – entre outros aspetos – “informado”. Quer mesmo saber o que acontecerá aos dados do Utilizador depois de serem exportados para fora da UE? Sabe que tipo de medidas de segurança são previstas pela legislação local, ou adotadas por iniciativa do importador de dados, para garantir a proteção dos dados pessoais?

Se conseguir responder a estas questões poderá solicitar o consentimento dos seus Utilizadores para a transferência de dados pessoais. Se não conseguir, tenha cuidado: nenhum consentimento recolhido será considerado como “informado“, sendo, como tal, nulo.

Serviço a adicionar, neste caso: “Transferência de dados para o estrangeiro com base no consentimento“.

Finalmente, um facto menos conhecido é o de que o RGPD refere outras opções (apesar de menos relevantes) para a transferência de dados para fora da UE. Se baseia a sua transferência em qualquer uma destas opções, deve escolher o serviço “Outros fundamentos jurídicos para a transferência de Dados para o estrangeiro” e especificar ou adicionar qualquer pormenor relevante pela adição de um cláusula personalizada.

E as transferências da Suíça?

Se está a transferir dados pessoais da Suíça para outro país, tem de o fazer de acordo com um dos fundamentos jurídicos reconhecidos pela Lei suíça.

Pode ser consultada informação sobre as normas de proteção de dados pessoais a nível federal, na Suíça, aqui.

📌 Definição de perfis

A definição de perfis refere-se a qualquer forma automatizada de tratamento de dados pessoais realizada no sentido de avaliar certos aspetos pessoais relacionados com um pessoa singular, nomeadamente, analisar ou prever aspetos relacionados com o seu desempenho no trabalho, situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou movimentos.

Se definir perfis para os seus utilizadores, tem de os informar. Como tal, deve selecionar a respetiva cláusula no gerador de políticas de privacidade.

Serviços que pode considerar adicionar:

  • Análise e previsões com base nos Dados do Utilizador (“definição de perfis”)

💡 Exemplo prático

Se vender produtos e mantiver registos das escolhas dos utilizadores para fins comerciais, dividindo-os em categorias relevantes como idade, género, origem geográfica, etc., está a definir perfis.

📌 Tomada de decisão automatizada

A tomada de decisão automatizada, ou TDA, é um processo que lhe permite tomar decisões que poderão produzir efeitos legais ou similares nos utilizadores de forma totalmente automatizada, sem qualquer intervenção humana. A TDA pode igualmente ser baseada na definição de perfis (ver acima).

Deve informar os seus utilizadores se estiver a implementar um processo de TDA. Como tal, deve selecionar a respetiva cláusula no gerador de políticas de privacidade. Tenha em conta que os utilizadores gozam de um direito específico de oposição a processos de TDA, especificado na secção reservada à tomada de decisão automatizada da política de privacidade que gerar.

Serviços que pode considerar adicionar:

  • Tomada de decisão automatizada
  • Análise e previsões com base nos Dados do Utilizador (“definição de perfis”)

💡 Exemplo prático

É um banco. Para decidir se os utilizadores são elegíveis para um empréstimo, pede-lhe que insiram os seus dados pessoais num formulário. Esses dados são avaliados através de um algoritmo de forma totalmente automatizada, e a decisão é tomada.

📌 Recolha de dados através de terceiros

Se não recolhe dados pessoais diretamente do utilizador a que estes dizem respeito, mas recolhe-os através de terceiros, deve informar o respetivo utilizador sobre esse terceiro, para além de todos os restantes deveres de informação. Queira selecionar a respetiva cláusula no gerador de políticas de privacidade.

Esta informação deve ser dada ao utilizador, no máximo, um mês após a recolha dos dados e, nomeadamente

  • se os dados pessoais vierem a ser utilizados para comunicar com o utilizador, o mais tardar durante a primeira comunicação com tal utilizador; ou
  • se estiver prevista uma divulgação a outro destinatário, o mais tardar durante a primeira divulgação dos dados pessoais.

Serviços que pode considerar adicionar:

  • Dados pessoais recolhidos de fontes diferentes do Utilizador

💡 Exemplo prático

É um caça-talentos. Encontra um perfil interessante no LinkedIn. Logo que contacta o respetivo candidato ou transfere os seus dados para o eventual empregador, e, em qualquer caso, no prazo de um mês, deve transmitir ao candidato todas as informações obrigatórias, incluindo referir o LinkedIn como fonte dos seus dados.

📌 Representante na UE

Se for um responsável pelo tratamento fora da UE, tem de nomear qualquer pessoa, singular ou coletiva, estabelecida num dos países da UE em que os seus utilizadores se encontrem, como representante na UE. A nomeação deve ser efetuada por escrito, devendo o representante nomeado ser mencionado na sua política de privacidade.

Como tal, insira as informações do representante (nome e dados de contacto) no campo onde tenha inserida a informação da sua própria empresa.

📌 Encarregado da Proteção de Dados

Em determinadas condições, deve nomear uma pessoa, singular ou coletiva, como encarregado da proteção de dados (ou EPD) e mencioná-lo na sua política de privacidade.

Nomeadamente, deve nomear um EPD sempre que:

  • for uma autoridade ou organismo público; ou
  • as suas atividades principais consistam em operações que requeiram uma monitorização regular e sistemática de utilizadores em grande escala; ou
  • as suas atividades principais consistam no tratamento em grande escala de dados sensíveis ou dados relacionados com condenações penais e infrações.

No caso de alguma das condições acima se aplicar a si, queira inserir os dados do EPD (dados de contacto do seu encarregado de proteção de dados) no campo onde tenha inserida a informação da sua própria empresa.

Tenha em conta que o RGPD permite que os Estados-Membros da UE prevejam condições adicionais nos termos das quais a nomeação de um EPD seja obrigatória. Como tal, verifique se, para além do RGPD, está sujeito a qualquer disposição nacional de qualquer Estado-Membro e se tal disposição requer que nomeie um EPD.

Pode consultar informação adicional sobre o encarregado de proteção de dados e outros tópicos no nosso guia do RGPD.

Crie uma política de privacidade já hoje!

Comece a gerar