Voltar à Página de entradaVoltar à Página de entrada

Français English
Av. D. Carlos I, 134 - 1.º 1200-651 Lisboa - Tel: +351 213928400 - Fax: +351 213976832 - e-mail: geral@cnpd.pt>

 

Perguntas frequentes (FAQs)
sobre a aplicação do Regulamento Geral sobre a Proteção de Dados (RGPD) a partir de 25 de maio de 2018

A CNPD disponibiliza aqui respostas a um conjunto de perguntas mais frequentes que nos têm chegado nos últimos dias. Iremos atualizar esta secção, alargando os temas tratados e acrescentando mais questões.

Nova legislação de proteção de dados
Consentimento
Encarregado de Proteção de Dados (EPD/DPO)
Videovigilância
Biometria
Violações de dados pessoais
Direitos dos titulares

Página atualizada em 24/09/2019

    A. Nova legislação de proteção de dados

  • Há uma nova lei de proteção de dados?

    Sim. Está em vigor a Lei 58/2019, de 8 de agosto, que é a lei nacional de execução do Regulamento (UE) 2016/679 – Regulamento Geral sobre Proteção de Dados (RGPD). Esta lei revoga a anterior lei de proteção de dados pessoais (Lei 67/98). Entrou também em vigor uma lei específica de proteção de dados para os tratamentos efetuados por autoridades competentes para a deteção, prevenção, investigação e repressão de infrações penais e para a execução de sanções penais – Lei 59/2019, de 8 de agosto.
    Estes três instrumentos legais constituem a nova legislação de proteção de dados pessoais.



  • As autorizações emitidas pela CNPD continuam válidas?

    Sim, em tudo o que não contrarie o disposto no RGPD e na Lei 58/2019, e desde que os tratamentos de dados pessoais não tenham sofrido alterações. Mas independentemente de os responsáveis pelos tratamentos terem autorizações da CNPD têm de cumprir as exigências do RGPD, à exceção da realização de avaliações de impacto sobre a proteção de dados, previstas no artigo 35.º do RGPD, para os tratamentos de dados pessoais já autorizados.



  • As deliberações-gerais da CNPD que contêm orientações mantêm a sua validade?

    Mantêm-se válidos os princípios gerais aplicáveis aos tratamentos de dados e, nessa medida, as orientações da CNPD podem continuar a ser usadas como referência. No entanto, a CNPD irá proceder à sua atualização em conformidade com o novo quadro legal.



  • É necessário fazer algum registo na CNPD ou pedir autorização para tratar dados pessoais?

    Não. A obrigação de notificação prévia de tratamentos de dados pessoais à CNPD desaparece com a aplicação do RGPD. Já não é necessário solicitar autorização à CNPD para realizar tratamentos de dados pessoais abrangidos pelo RGPD.



  • B. Consentimento

  • É obrigatório pedir outra vez o consentimento aos meus clientes para tratar os seus dados?

    Antes de mais, deve verificar se o consentimento do titular é o fundamento de legitimidade adequado quando está em causa uma relação contratual com um cliente, uma vez que o tratamento de dados necessário à execução de um contrato não precisa do consentimento do cliente.

    Se o que estiver em causa for um tratamento de dados pessoais adicionais em relação ao contrato, então se o consentimento que obteve anteriormente foi dado de forma implícita, é preciso pedir um novo consentimento ao titular dos dados nas condições exigíveis pelo RGPD.

    O consentimento tem de ser explícito, isto é, a pessoa tem de manifestar a sua vontade em autorizar. Tem também de prestar as informações que vêm referidas no artigo 13.º do RGPD, adequadas ao seu caso concreto, não se esquecendo de informar o titular dos dados de que pode revogar o consentimento a todo o momento e indicando o meio como o pode fazer.

    O consentimento tem ainda de ser específico, devendo ser diferenciado, por exemplo, quando haja utilização de dados para fins distintos ou quando haja comunicação de dados a terceiros, e acompanhado sempre da informação necessária relativa a cada situação.

    Também não é possível fazer depender a execução de um contrato do consentimento do titular dos dados.



  • É preciso obter o consentimento dos trabalhadores no âmbito da gestão administrativa ou de processamento de remunerações?

    Não. Os tratamentos de dados pessoais, no âmbito da gestão dos recursos humanos, têm como fundamentos de legitimidade a execução do contrato de trabalho e a lei.

    O consentimento dos trabalhadores não é de uma maneira geral considerado válido, pois raramente poderá ser dado em condições de liberdade, atendendo ao desequilíbrio entre as partes.



  • C. Encarregado de Proteção de Dados (EPD/DPO)

  • É obrigatório ter um encarregado de proteção de dados?

    Só é obrigatório designar um EPD em alguns casos.
    As entidades públicas estão sempre obrigadas a ter um EPD. O artigo 12.º da Lei 58/2019 regula mais concretamente a designação de EPD em entidades públicas.

    Quanto às empresas, seja na qualidade de responsáveis pelos tratamentos ou de subcontratantes, só estão obrigadas a designar um EPD se tratarem dados sensíveis ou dados relativos a condenações penais e infrações, em larga escala (dados referidos no artigo 9.º e 10.º do RGPD) ou se realizarem tratamentos em larga escala relativos ao controlo regular e sistemático dos titulares dos dados.

    É ao responsável pelo tratamento e ao subcontratante que compete avaliar, em cada situação, se os tratamentos de dados realizados pela sua organização exigem a designação de um EPD. A CNPD não se pronuncia sobre o caso concreto.

    Para obter mais informação sobre EPD, pode consultar as Orientações sobre os encarregados de proteção de dados.



  • É preciso fazer algum registo do EPD?

    É necessário publicar os contactos do encarregado de proteção de dados e dar conhecimento aos titulares dos dados desses contactos quando lhes presta as informações referidas nos artigos 13.º e 14.º do RGPD.

    Também é necessário comunicar à CNPD essa informação.
    Para o efeito, a CNPD disponibiliza um formulário próprio em https://www.cnpd.pt/home/notifica_rgpd/epd_dpo.htm



  • É possível várias empresas partilharem o mesmo encarregado de proteção de dados?

    Sim. O RGPD admite que associações ou outros organismos representativos de empresas possam designar um EPD comum. Também dentro do mesmo grupo empresarial, é possível designar um único EPD, desde que este esteja facilmente acessível a partir de cada estabelecimento.



  • É possível usar o mesmo formulário de notificação para comunicar à CNPD a designação de um EPD dentro do mesmo grupo?

    Não. Cada empresa do Grupo, com estabelecimento em Portugal, tendo a obrigação de designar um EPD, tem de comunicar individualmente à CNPD quem é o seu encarregado de proteção de dados.



  • A minha empresa está integrada num grupo empresarial europeu/internacional que designou um EPD comum que está sediado noutro Estado-Membro. É preciso comunicar à CNPD quem é o EPD?

    A empresa com estabelecimento em Portugal, que partilhe o EPD do Grupo, tem de notificar a CNPD quem é o seu EPD e os seus contactos.



  • Pode ser a empresa do Grupo, com estabelecimento no Estado-Membro onde está o EPD, a comunicar os contactos do encarregado de proteção de dados à CNPD?

    Não. A empresa com estabelecimento nesse Estado-Membro notifica a autoridade de controlo competente desse Estado-Membro que designou um encarregado de proteção de dados.



  • O Grupo empresarial a que pertence a minha empresa tem um EPD num outro país, mas em Portugal temos um delegado do EPD. Fazemos a notificação à CNPD dos contactos dessa pessoa?

    Não. Apenas é aceite a notificação quanto ao EPD. Independentemente de como o Grupo se organiza internamente, é em torno do EPD formalmente designado como tal que recaem as obrigações do RGPD, quanto às condições da sua designação, ao exercício das suas funções e à sua posição no interior da empresa.



  • Os EPD precisam de alguma certificação para desempenhar as suas funções?

    Não. Não é necessária certificação profissional para o desempenho das funções. O EPD deve ser designado com base nas suas qualidades profissionais e, em especial, nos seus conhecimentos especializados no domínio do direito e das práticas de proteção de dados.



  • D. Videovigilância

  • Quero instalar/renovar um sistema de videovigilância para proteção de pessoas e bens, mas já não encontro o formulário da CNPD. Como devo proceder? É preciso pagar taxa?

    Com o novo regulamento europeu de proteção de dados, já não é necessário pedir autorização à CNPD para ter um sistema de videovigilância.
    Assim, já não é preciso preencher qualquer formulário ou pagar taxa, nem é preciso comunicar nada à CNPD.

    No entanto, para poder instalar um sistema de videovigilância tem de atender a vários requisitos legais, que podem incluir além do RGPD e da lei nacional que o executa (Lei n.º 58/2019, de 8 de agosto), a Lei 34/2013, de 16 de maio, que regula a atividade de segurança privada ou o Código do Trabalho, consoante o que for aplicável à sua situação concreta.



  • As autorizações de videovigilância emitidas antes de 25 de maio continuam válidas?

    Sim, em tudo o que não contrarie o disposto no RGPD ou na Lei 58/2019 (artigo 19.º). Os responsáveis pelo tratamento devem cumprir as condições estabelecidas nas autorizações para o tratamento de dados pessoais através de videovigilância.



  • Quero acrescentar o número de câmaras que estão referidas na autorização da CNPD. Como fazer?

    Já não é necessário realizar nenhuma notificação ou comunicação à CNPD. Se colocar câmaras em locais não abrangidos pela autorização, esta ficará desatualizada (caduca). De qualquer forma, deve ter atenção para não captar imagens em zonas não permitidas.

    De acordo com o RGPD, é o responsável pelo tratamento que deve analisar previamente se o tratamento de dados pessoais, decorrente da utilização de um sistema de videovigilância, cumpre os requisitos do RGPD, da Lei 58/2019 e de outra legislação nacional que seja aplicável.



  • Continua a ser necessário afixar o aviso informativo?

    Sim. Os titulares dos dados têm o direito a ser informados sobre a utilização de sistemas de videovigilância. O aviso informativo deve respeitar o previsto no artigo 31.º, n.ºs 5 e 6, da Lei 34/2013, de 16 de maio e respetiva portaria regulamentar.



  • Durante quanto tempo tenho de conservar as imagens de videovigilância?

    A menos que a sua organização esteja abrangida por legislação específica de videovigilância que imponha prazos determinados, deve conservar as imagens pelo período de 30 dias, sendo obrigatório eliminar as imagens até 48 horas após os 30 dias. Isto sem prejuízo de ser necessário manter as imagens por mais tempo, no âmbito de processo criminal em curso.



  • Quando a lei obriga a ter sistemas de videovigilância, como proceder?

    Nalguns setores específicos de atividade, há legislação especial que obriga à instalação de sistemas de CCTV, como por exemplo em estabelecimentos financeiros, em gasolineiras, ourivesarias, armeiros ou empresas sucateiras.

    Nestes casos, o fundamento de legitimidade da videovigilância assenta no cumprimento de obrigação legal, mas em termos de procedimento não altera em nada o que foi acima explicado. Todas as restantes obrigações legais têm de ser observadas.



  • Quais são os locais onde não posso pôr câmaras?

    A instalação de videovigilância tem por objetivo a proteção de pessoas e bens, seja pelo seu potencial efeito dissuasor, seja para permitir a identificação do perpetrador em processo criminal. Por isso, a colocação das câmaras deve ter em conta a estrita necessidade de manter um perímetro de segurança e de controlar os acessos a partir do exterior, de modo adequado às circunstâncias do local e de modo proporcionado para não restringir excessivamente os direitos dos cidadãos.

    Assim, as câmaras não podem incidir sobre as vias públicas, propriedades limítrofes ou outros locais que não sejam do domínio exclusivo do responsável.

    Também não podem incidir sobre o interior de áreas reservadas a clientes ou utentes, tais como: instalações sanitárias, zonas de esperas de espera, áreas técnicas de cabeleireiros, zonas de descanso ou lazer, o interior dos elevadores, salas de refeições, esplanadas, vestiários, interior de piscina ou ginásio.

    Na colocação das câmaras, deve ser tido especial cuidado para que estas não permitam captar imagens da digitação de códigos de segurança em terminais de pagamento ou caixas multibanco.

    Nos estabelecimentos de ensino, as câmaras só podem incidir sobre os perímetros externos e locais de acesso e ainda sobre espaços cujos bens e equipamentos requeiram especial proteção, como laboratórios ou salas de informática.

    A ponderação entre o interesse legítimo da empresa ou entidade pública e os direitos das pessoas tem sempre de ser feita pelo responsável pelo tratamento de dados, com exceção dos locais já proibidos por lei (artigo 19.º da Lei 58/2019) ou legalmente autorizados em legislação especial.



  • Quais são as condições para ter videovigilância no local de trabalho (armazém, oficina, escritório, fábrica, etc.)?

    No contexto laboral, mantêm-se vigentes as condições impostas pelo Código do Trabalho para a vigilância à distância, à exceção da necessidade de solicitar autorização da CNPD, que é incompatível com o RGPD.

    Assim, a videovigilância não pode ser usada para controlo do desempenho dos trabalhadores, não devendo, por isso, incidir regularmente sobre estes, o que exclui a abrangência das áreas de laboração, seja em linha de produção, armazém ou trabalho administrativo em escritório.

    As câmaras também não podem incidir sobre o interior de áreas reservadas aos trabalhadores, designadamente áreas de refeição, vestiários, ginásios, instalações sanitárias e zonas exclusivamente afetas ao seu descanso (artigo 19.º, n.º 2, alínea d) da Lei 58/2019).

    Os trabalhadores têm de ser informados sobre a existência do sistema de videovigilância, bem como de todas as questões relevantes quanto ao seu funcionamento. Aplicam-se ao contexto laboral as exigências previstas no artigo 19.º, n.º 1, da Lei 58/2019.

    As imagens só podem ser utilizadas no âmbito de processo penal e, apenas posteriormente, ser utilizadas para efeitos de apuramento de responsabilidade disciplinar (artigo 28.º, n.ºs 4 e 5 da Lei 58/2019).



  • Além da imagem, é possível proceder à captação de som?

    É proibida a captação de som, exceto no período em que as instalações estejam encerradas, isto é, sem pessoas a trabalhar nas zonas vigiadas, ou mediante autorização prévia da CNPD (artigo 19.º, n.º 4, da Lei 58/2019).



  • Quero pôr um sistema de videovigilância na minha moradia/propriedade, o que tenho de fazer para estar dentro da lei?

    Não é necessário fazer qualquer notificação à CNPD. As câmaras só podem abranger imagens dentro da sua propriedade. Não podem ser captadas quaisquer imagens da via pública, de propriedades de terceiros ou caminhos de uso comum (servidões de passagem).

    As câmaras não podem ser colocadas em suporte fora da sua propriedade.

    Se tiver trabalhadores dentro da sua propriedade, a localização das câmaras não pode implicar a monitorização constante dos seus movimentos, devendo estes ser informados sobre a existência do sistema de videovigilância.

    Se o sistema de videovigilância se destinar à proteção de pessoas e bens, as imagens só podem ser usadas para fins de participação criminal.



  • E. Biometria

  • Quando é que é legal colocar um sistema de biometria?

    Os dados biométricos são considerados dados sensíveis, pelo que só é legítimo proceder ao seu tratamento em duas situações: se houver uma lei que expressamente preveja esse tratamento e que, adicionalmente, estabeleça garantias para a defesa dos direitos dos titulares; ou se for obtido o consentimento do titular dos dados, nos termos legalmente exigíveis para o consentimento, ou seja, assegurando que o consentimento é explícito, informado, específico e dado livremente.

    Para mais informação sobre o consentimento, ver secção B destas FAQs.



  • Posso colocar um sistema biométrico na minha organização para controlo de acesso e assiduidade dos trabalhadores?

    Sim, embora dependendo do cumprimento de todos os requisitos locais e das características do sistema no caso concreto.

    O tratamento de dados biométricos é considerado legítimo para controlo de assiduidade e para controlo de acessos às instalações do empregador (artigo 28.º, n.º 6, da Lei 58/2019, e artigo 9.º, n.º 2, alínea b) do RGPD).

    No entanto, deve assegurar-se que só são utilizadas representações do dado biométrico (template) e que o processo não permita a reversibilidade dos dados (artigo 28.º, n.º 6, da Lei 58/2019).

    Deve garantir que tem na sua posse uma declaração do fabricante do sistema atestando a existência destas características.

    No contexto laboral, o tratamento de dados biométricos dos trabalhadores tem ainda de respeitar o disposto no artigo 18.º do Código do Trabalho, com exceção da notificação à CNPD.



  • Posso usar os dados biométricos já recolhidos no contexto laboral para outra finalidade (por exemplo, controlo de acesso às máquinas de vending)?

    Não. A lei é muito clara só admitindo como tratamento legítimo para a finalidade de controlo de assiduidade e/ou controlo de acesso às instalações do empregador. Assim, não podem ser recolhidos e utilizados dados biométricos dos trabalhadores para mais nenhum fim.



  • Posso usar a biometria para controlar o acesso dos clientes/utentes às minhas instalações?

    Sim, desde que obtido o consentimento dos clientes/utentes nos termos legais e melhor explicitados na resposta à Questão 26.

    No entanto, tem de haver forma alternativa de acesso às instalações para os clientes/utentes que não consentirem na recolha dos seus dados biométricos. Para garantir as condições de liberdade efetiva de escolha, o responsável pelo tratamento não pode criar obstáculos, ou de outro modo dificultar, o acesso alternativo sem controlo biométrico.

    Os meios empregues no controlo de acesso devem ser proporcionais ao nível de segurança das instalações e às necessidades de verificação de acesso.



  • Preciso de fazer uma avaliação de impacto sobre a proteção de dados para tratar dados biométricos?

    A obrigatoriedade de realizar uma avaliação de impacto sobre a proteção de dados (AIPD) quando há tratamento de dados biométricos depende de vários fatores.

    As organizações que já possuem uma autorização da CNPD para os tratamentos de dados biométricos – e desde que não tenha havido alteração às condições autorizadas para o funcionamento do sistema – não precisam de realizar uma AIPD.

    As organizações que não tenham obtido até 25 de maio de 2018 autorização da CNPD, estão obrigadas a realizar uma avaliação de impacto sobre a proteção de dados quando realizarem tratamentos em larga escala, conforme exigido pelo artigo 35.º, n.º 3, alínea b) do RGPD.

    Quando realizarem tratamentos de dados biométricos, em pequena escala, estão igualmente obrigadas a realizar avaliações de impacto sobre a proteção de dados, sempre que o tratamento recaia sobre titulares de dados de grupos vulneráveis, como é o caso de trabalhadores. (cf. Ponto 7 do Regulamento 1/2018, da CNPD, no seguimento do Parecer 18/2018 do Comité Europeu da Proteção de Dados).

    Sublinha-se que a avaliação de impacto sobre a proteção de dados pode ser realizada diretamente pelo responsável pelo tratamento ou pela empresa que concebeu e/ou desenvolveu o sistema biométrico (cf. parte final do n.º 1 do artigo 35.º do RGPD).



  • Preciso de autorização da CNPD para colocar um sistema biométrico?

    Não. A obrigação de notificação prévia de tratamentos de dados pessoais à CNPD desapareceu com a aplicação do RGPD. Já não é necessário solicitar autorização, preencher formulário ou pagar taxa à CNPD para realizar tratamentos de dados pessoais abrangidos pelo RGPD.



  • O que devo fazer se pretender alterar o funcionamento do sistema biométrico já autorizado pela CNPD?

    Se fizer alterações ao tratamento de dados biométricos previamente autorizado pela CNPD e às condições aí fixadas, a autorização perde a sua validade (caduca). Em consequência, terá de cumprir todas as exigências legais como se estivesse a projetar um tratamento de dados pela primeira vez. Veja a resposta às questões anteriores desta secção.



  • F. Violações de dados pessoais

  • Como é feita a notificação de violações de dados pessoais à CNPD?

    A CNPD disponibiliza um formulário próprio para os responsáveis pelos tratamentos de dados efetuarem as notificações exigidas pelo artigo 33.º do RGPD.
    Está acessível em https://www.cnpd.pt/home/notifica_rgpd/data_breach.htm



    G. Direitos dos titulares

  • Existe alguma minuta ou um texto-tipo para informar os titulares dos dados dos seus direitos?

    Neste momento não, mas a CNPD não exclui a possibilidade de vir a disponibilizar alguns textos padrão, quando em causa estiverem tratamentos de dados pessoais mais simples.