REGULAMENTO GERAL DE PROTEÇÃO DE DADOS: UM ......das escolhas que não me podia faltar fazer. Aos...

Ana Sofia Medeiros Melo

REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS UM NOVO PARADIGMA REGULATOacuteRIO

Dissertaccedilatildeo no acircmbito do Mestrado em Ciecircncias Juriacutedico-Forenses orientada pelo Professor Doutor Pedro Antoacutenio Pimenta Costa Gonccedilalves e apresentada agrave Faculdade

de Direito da Universidade de Coimbra

Janeiro de 2019

REGULAMENTO GERAL DE PROTECcedilAtildeO DE

DADOS

Um Novo Paradigma Regulatoacuterio


Dissertaccedilatildeo no acircmbito do Mestrado em Ciecircncias Juriacutedico-Forenses orientada pelo Professor

Doutor Pedro Antoacutenio Pimenta Costa Gonccedilalves e apresentada agrave Faculdade de Direito da

Universidade de Coimbra

Janeiro de 2019

2

Aos meus pais

que me obrigam a natildeo desistir de lutar

3

ldquoFazer tudo da nossa parte

como se Deus natildeo pudesse fazer nada e depois

pocircr toda a nossa esperanccedila em Deus como se

da nossa parte natildeo tiveacutessemos feito nadardquo

(Inaacutecio de Loyola)

4

AGRADECIMENTOS

Aqui chegados cumpre dizer obrigada a todos os que mudaram a minha vida para

melhor ao que de bom muito bom a vida me traz e ao resto porque tem me feito correr

atraacutes dos meus sonhos ao que tenho e ao que sou aos que me deram a matildeo aos que

acrescentaram luz aos dias e aos que me fizeram perceber a pessoa que quero ser

Em primeiro lugar ao Senhor Professor Doutor Pedro Antoacutenio Pimenta Costa

Gonccedilalves que aceitou orientar a presente dissertaccedilatildeo pela sua sempre raacutepida e afaacutevel

resposta a todas as minhas comunicaccedilotildees bem como pela sua cuidadosa observaccedilatildeo ao meu

trabalho Permite-se afirmar que num mundo em que eacute difiacutecil fazer escolhas esta era uma

das escolhas que natildeo me podia faltar fazer

Aos meus pais Helena e Joseacute a quem devo a pessoa que me tornei fruto de uma

conjugaccedilatildeo de valores e ideias tanto maternos como paternos A eles que em todos os

momentos tanto do percurso acadeacutemico como ao longo da vida revelaram-se um pilar

responsaacutevel por toda a carga que a minha estrutura emocional acarreta Pais que sempre me

indicaram o rumo quando eu (tantas vezes) achei-me perdida A eles que datildeo sentido a cada

coisa da minha vida que para aleacutem de conhecerem o caminho percorreram-no ateacute ao fim de

matildeos dadas comigo Eles mais do que eu acreditaram e continuam a acreditar no meu

potencial

Aos meus irmatildeos e aos meus cunhados que sempre me indicaram que o sentido eacute em

frente e que apesar de tudo tal como os nossos pais os transmitiram a feacute eacute o que sempre

temos a nosso favor Um ldquonatildeo te preocupes que eu estou sempre aquirdquo nos dias certos uma

palavra de alento um gesto de amor uma frase de coragem Obrigado agrave matildeo cheia de

esperanccedila que depositaram em mim e por tantas vezes aliviarem a forccedila do aperto no

coraccedilatildeo

Aos meus sobrinhos que na ingenuidade dos seus olhos encontro o verdadeiro

significado de felicidade e que ganham o estatuto de pessoas-luz de toda esta caminhada A

presenccedila deles enche-me os dias de amor e eacute com este Amor que goza de maior pureza que

me sinto feliz

5

Agrave restante famiacutelia pelo apoio incondicional e por me ajudar a perceber que sou tatildeo

feliz com o ldquopoucordquo que tenho Por fazerem me sentir fenomenal e que sem saber fazem

magia com a sua alegria

Ao Doutor Ricardo do Nascimento Cabral um sentido obrigado por ter lanccedilado a

primeira pedra nesta obra por me ter impulsionado na pesquisa e investigaccedilatildeo na aacuterea da

proteccedilatildeo de dados E por desde o iniacutecio ter incentivado a frequecircncia neste Mestrado Natildeo

posso nunca deixar de agradecer aos restantes colegas de trabalho sem distinccedilotildees pelas

condiccedilotildees proporcionadas e pelo apoio prestado

Agraves amigas que Coimbra me deu pela inabalaacutevel forccedila dada ao longo dos uacuteltimos 6

anos e aos restantes amigos amigos de A grande que sabem (sempre) como me reconfortar

Ao que o Direito e a ilha juntaram diga-se ao Bruno agrave Carolina agrave Matilde agrave Joana

e agrave Rita por acreditarem por nunca me deixaram tirar da cabeccedila o que levo no coraccedilatildeo

Quando eu queria muito que desse certo eles acreditaram sempre que daria certo Satildeo uma

luz que se soma agrave minha forccedila

Estes 6 anos chegaram para perceber que o que importa de verdade eacute lutar para

alcanccedilar os nossos sonhos eacute saber quem satildeo os que caminham ao nosso lado sem filtros Eacute

ter a coragem de natildeo desistirmos de noacutes Eacute saber levantar e dar sempre a volta por cima Eacute

decidir que natildeo importa onde (em Coimbra ou na ilha) natildeo importa quando natildeo importa

como o plano eacute um soacute nem tudo vale tanto e quase nada vale tanto

Neste e noutros desafios da minha vida obrigada muito obrigada seraacute por vezes a

mais reconhecida homenagem num mundo em que soacute natildeo somos nada

6

RESUMO

A presente dissertaccedilatildeo encetada numa eacutepoca em que o desenvolvimento tecnoloacutegico

desafia os direitos fundamentais pretende enquadrar e analisar o novo Regulamento (UE)

2016679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 (Regulamento Geral

de Proteccedilatildeo de Dados Pessoais)

Para tanto foi levado a cabo a divisatildeo em duas partes do presente trabalho A

montante a proteccedilatildeo de dados enquanto direito fundamental e alvo de uma evoluccedilatildeo

legislativa concisa por forccedila da qual surgiu o RGPD

De facto foi com base na CEDH e na Convenccedilatildeo 108 no contexto do Conselho da

Europa que a Uniatildeo Europeia e os paiacuteses da Europa desenvolveram o direito agrave proteccedilatildeo de

dados No caso de Portugal consagrando inclusive constitucionalmente (atraveacutes do artigo

35ordm da CRP) e no acircmbito da Direito da Uniatildeo Europeia atraveacutes da Diretiva 9546CE a

base para o atual panorama do direito da proteccedilatildeo de dados

Essa diretiva embora inovatoacuteria natildeo conseguiu atingir a harmonizaccedilatildeo pretendida

A soluccedilatildeo foi o Parlamento Europeu e o Conselho socorrem-se da base legal do art 16ordm do

TFUE e aprovarem o Regulamento Geral de Proteccedilatildeo de Dados diretamente aplicaacutevel nos

Estados-Membros que teve como objetivo primaacuterio a centralizaccedilatildeo normativa de modo a

fomentar a proteccedilatildeo das pessoas singulares no que diz respeito ao tratamento de dados

pessoais e agrave livre circulaccedilatildeo desses dados

Daiacute que num segundo momento satildeo apresentadas as inovaccedilotildees que o RGPD trouxe

e que afetam todos os agentes econoacutemicos

O RGPD incorpora muito daquilo que jaacute eram os direitos e obrigaccedilotildees consagrados

na anterior diretiva As diferenccedilas essenciais encontram-se no modelo sancionatoacuterio (20

milhotildees de euros ou 4 da faturaccedilatildeo anual) e a autorresponsabilizaccedilatildeo que obrigaram

muitas empresas a preocuparem-se com o tema pela primeira vez

Assim o RGPD o que exige eacute uma mudanccedila de atitude por parte de todos os agentes

econoacutemicos Cidadatildeos Organizaccedilotildees e Estado para que se consiga promover a

7

sensibilizaccedilatildeo e a compreensatildeo da existecircncia de um verdadeiro direito agrave proteccedilatildeo de dados

pessoais

Palavras-Chave Proteccedilatildeo de Dados Regulamento Geral de Proteccedilatildeo de Dados Direito da

Uniatildeo Europeia Convenccedilatildeo 108 Diretiva 9546CE Direito agrave Privacidade Dados Pessoais

8

ABSTRACT

This dissertation made in an era when the technological development poses a

challenge to fundamental rights intends to frame and analyze the new Regulation (EU)

2016679 from the European Parliament and the Council of 27th April 2016 (General Data

Protection Regulation)

For that purpose the work was split in two parts Upstream data protection as a

fundamental right the target of a concise legislative evolution from which GDPR was born

In fact it was based on the ECHR and the Convention 108 amidst the Council of

Europe that the European Union and the European countries developed the right to data

protection In the Portuguese case it was even constitutionally elevated (through article 35

of the Portuguese constitution) and in the European Union law through the Directive

9546CE the basis of the current outlook of the data protection law

That directive although with new solutions was unable to achieve the harmonization

that was wished for The solution was for the European Parliament and Council to use article

16 TFEU to approve the General Data Protection Regulation directly applicable in the

Member-states which had the main purpose of centralizing the rules insofar as to promote

the protection of individual persons as to their personal data processing and free movement

of those data

Hence in a second moment the innovations brought by GDPR which affect all the

economic agents are presented

GDPR encompasses much of what were already the rights and obligations enshrined

in the former directive The essential differences are found in the sanctions framework (20

Million euros or 4 of turnover) and accountability which forced many companies to worry

about the topic for the first time

Therefore what GDPR demands is an attitude shift of all economic agents Citizens

Organizations and State in order to promote the awareness of a true right to personal data

protection

9

Keywords Data Protection General Data Protection Regulation European Union Law

Convention 108 Directive 9546CE Right to Privacy Personal Data

10

SIGLAS E ABREVIATURAS

AC - Acoacuterdatildeo

ACS - Acoacuterdatildeos

AEPD - Autoridade Europeia para a Proteccedilatildeo de Dados

AIPD - Avaliaccedilatildeo de Impacto sobre a Proteccedilatildeo de Dados

AL ndash Aliacutenea

ALS - Aliacuteneas

ART ndash Artigo

ARTS - Artigos

CC - Coacutedigo Civil

CCTV ndash Closed-circuit television (circuito fechado de televisatildeo)

CDFUE - Carta dos Direitos Fundamentais da Uniatildeo Europeia

CE - Conselho Europeu

CEE ndash Comunidade Econoacutemica Europeia

CEDH - Convenccedilatildeo Europeia dos Direitos do Homem

CF - Confira

CNPD - Comissatildeo Nacional de Proteccedilatildeo de Dados

CP - Coacutedigo Penal

CRP - Constituiccedilatildeo da Repuacuteblica Portuguesa

DPO - Data Protection Officer

ECHR ndash European Court of Human Rights

EPD - Encarregado de Proteccedilatildeo de Dados

EPE ndash Entidade Puacuteblica Empresarial

11

EU ndash European Union

GDPR ndash General Data Protection Regulation

GTA29 - Grupo de Trabalho do Artigo 29

IT ndash Informaccedilatildeo tecnoloacutegica

Nordm - Nuacutemero

Nordms - Nuacutemeros

P - Paacutegina

P EX - Por exemplo

PROC - Processo

RGCO - Regime Geral das Contra-Ordenaccedilotildees

RGPD - Regulamento Geral de Proteccedilatildeo de Dados

SS - Seguintes

TC - Tribunal Constitucional

TEDH ndash Tribunal Europeu dos Direitos do Homem

TFEU ndash Treaty on the Functioning of the European Union

TFUE - Tratado sobre o Funcionamento da Uniatildeo Europeia

TJUE - Tribunal de Justiccedila da Uniatildeo Europeia

UE - Uniatildeo Europeia

V ndash Versus

VOL ndash Volume

12

IacuteNDICE

Agradecimentos 4

Resumo 6

Abstract 8

Siglas e abreviaturas 10

Iacutendice 12

Introduccedilatildeo 17

PARTE I ENQUADRAMENTO 19

Capiacutetulo I Contextualizaccedilatildeo do direito fundamental agrave proteccedilatildeo de dados 19

1 Consagraccedilatildeo na Constituiccedilatildeo da Repuacuteblica Portuguesa 19

2 Presenccedila em diplomas europeus 19

Capiacutetulo II Evoluccedilatildeo legislativa 21

1 Convenccedilatildeo para a proteccedilatildeo das pessoas singulares relativamente ao tratamento

automatizado dos dados de caraacutecter pessoal 21

2 Diretiva 9546CE 21

PARTE II O REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS 23

Capiacutetulo I Nota introdutoacuteria 23

1 O processo de adoccedilatildeo 23

2 Um Regulamento porquecirc 24

3 Objeto e objetivos 24

4 Acircmbito de aplicaccedilatildeo 25

41 Material 25

42 Territorial 26

Capiacutetulo II Princiacutepios 28

1 Licitude lealdade e transparecircncia 28

11 Transparecircncia 29

12 Licitude 29

13

13 Lealdade 30

2 Limitaccedilatildeo dos tratamentos agraves finalidades 30

3 Minimizaccedilatildeo dos dados 32

4 Exatidatildeo 33

5 Limitaccedilatildeo da conservaccedilatildeo 34

6 Integridade e confidencialidade 36

7 Responsabilidade 37

Capiacutetulo III Pressupostos da licitude do tratamento 39

1 Consentimento 39

11 Definiccedilatildeo 39

12 Condiccedilotildees aplicaacuteveis ao consentimento 39

13 Consentimento das crianccedilas 41

2 Necessaacuterio para a execuccedilatildeo de um contrato no qual o titular dos dados eacute parte ou

para diligecircncias preacute-contratuais a pedido do titular dos dados 42

3 Necessaacuterio para o cumprimento de uma obrigaccedilatildeo juriacutedica a que o responsaacutevel pelo

tratamento esteja sujeito 43

4 Necessaacuterio para a defesa de interesses vitais do titular dos dados ou de outra pessoa

singular 43

5 Necessaacuterio ao exerciacutecio de funccedilotildees de interesse puacuteblico ou ao exerciacutecio da autoridade

puacuteblica de que estaacute investido o responsaacutevel pelo tratamento 44

6 Necessaacuterio para efeito dos interesses legiacutetimos perseguidos pelo responsaacutevel pelo

tratamento ou por um terceiro 45

Capiacutetulo IV Direitos do titular dos dados 48

1 Regras para o exerciacutecio dos direitos dos titulares dos dados 48

11 Prazo 48

12 Resposta 48

13 Custo 49

2 Direito a ser informado 49


22 Como cumprir 49

14

23 Isenccedilotildees 50

3 Direito de acesso 50

31Noccedilatildeo 50

4 Direito de retificaccedilatildeo 51

5 Direito ao apagamento (ldquoo direito de ser esquecidordquo) 52

51 Noccedilatildeo 52

52 Limitaccedilotildees 52

53 Esquecimento em linha 53

6 Direito agrave limitaccedilatildeo do tratamento 55

7 Direito agrave portabilidade de dados 55


72 Requisitos 56

73 Meios teacutecnicos 57

8 Direito de oposiccedilatildeo 58

9 Direito de natildeo ficar sujeito a decisotildees individuais automatizadas incluindo

definiccedilatildeo de perfis 59

10 Limitaccedilotildees aos direitos dos titulares de dados 60

Capiacutetulo V Responsaacutevel pelo tratamento e subcontratante 61

Secccedilatildeo I Obrigaccedilotildees gerais 61

1 Subcontrataccedilatildeo 61

2 Responsabilidade do responsaacutevel pelo tratamento 62

3 Proteccedilatildeo de dados desde a conceccedilatildeo e por defeito 63

31 Privacy by design 63

32 Privacy by default 63

33 Suacutemula 64

4 Documentaccedilatildeo e registo de atividade de tratamento 64

Secccedilatildeo II Seguranccedila dos dados pessoais 66

1 O reforccedilo de poliacuteticas e procedimentos de seguranccedila de dados 66

2 Notificaccedilatildeo de uma violaccedilatildeo de dados pessoais 68

15

21 Agrave autoridade de controlo 68

22 Ao titular dos dados 69

Secccedilatildeo III Breve alusatildeo ao estudo da avaliaccedilatildeo de impacto sobre a proteccedilatildeo de dados 69

Secccedilatildeo IV Encarregado de proteccedilatildeo de dados 71

1 Elo de ligaccedilatildeo 71

2 Designaccedilatildeo obrigatoacuteria 71

3 Funccedilotildees 72

4 Direitos 73

Capiacutetulo VI Sanccedilotildees 74

1 Corporate Risk 74

2 Sanccedilotildees 74

21 Natureza 74

22 Quantum das coimas 75

221 Limites maacuteximos e (natildeo) miacutenimos 75

23 Ne bis in idem 77

24 Responsaacuteveis pelas contra-ordenaccedilotildees 78

25 Ponderaccedilatildeo na aplicaccedilatildeo 79

251 Princiacutepio da proporcionalidade 79

252 Fatores 79

253 Como ponderar 80

3 Margem de discricionariedade dada aos Estados-Membros 80

Capiacutetulo VII Tutela judicial e responsabilidade civil 82

1 Via administrativa direito de apresentar reclamaccedilatildeo a uma autoridade de controlo

82

2 Via judicial 83

21 Contra uma autoridade de controlo 83

16

22 Contra um responsaacutevel pelo tratamento ou um subcontratante 83

3 Representaccedilatildeo dos titulares dos dados 84

4 Direito de indemnizaccedilatildeo e responsabilidade 84

Conclusatildeo 87

Bibliografia 90

Jurisprudecircncia 96

Legislaccedilatildeo consultada 101

Anexos 104

Anexo 1 Artigo 35ordm da Constituiccedilatildeo da Repuacuteblica Portuguesa 105

Anexo 2 Formulaacuterio para exercer direitos 106

Anexo 3 Poliacutetica de privacidade 107

Anexo 4 Contrato de subcontrataccedilatildeo 116

Anexo 5 Modelo de registo para o responsaacutevel pelo tratamento 127

Anexo 6 Modelo de registo para o subcontratante 137

Anexo 7 Notificaccedilatildeo da violaccedilatildeo de dados 146

Anexo 8 Notificaccedilatildeo da nomeaccedilatildeo do EDP 152

Anexo 9 Queixa perante a CNPD 156


17

INTRODUCcedilAtildeO

A presente dissertaccedilatildeo de Mestrado do Curso de Mestrado em Ciecircncias Juriacutedico-

Forenses da Faculdade de Direito da Universidade de Coimbra tem como principal objetivo

abordar a temaacutetica do Regulamento Geral de Proteccedilatildeo de Dados Regulamento nordm 2016679

do Parlamento Europeu e do Conselho de 27 de Abril de 2016 no que concerne agraves principais

implicaccedilotildees e mudanccedilas que se assistem na Uniatildeo Europeia Mudanccedilas estas que levam a

que as organizaccedilotildees caminhem para a implementaccedilatildeo de uma soluccedilatildeo de compliance

A principal razatildeo que nos impulsionou para a escolha do tema foi as repercussotildees em

termos de exequibilidade praacutetica do mesmo ateacute porque tendo em conta a dimensatildeo de tal

ato legislativo natildeo eacute de prever que o este se fique pela mera discussatildeo teoacuterica e abstrata

Dada agrave consabida complexidade e as consequecircncias praacuteticas que deste Regulamento podem

decorrer fomos assomados pela certeza quanto agrave importacircncia do tema que nos propusemos

investigar Natildeo se esconde ainda que a recente experiecircncia profissional foi determinante

nesta opccedilatildeo seja pela perceccedilatildeo da crescente relevacircncia da mateacuteria seja pelas oportunidades

que tal experiecircncia tem criado

Este eacute um tema que a todos atinge e que de uma maneira ou outra se encontra presente

diariamente na vida de cada um de noacutes Veja-se que dada a velocidade que a tecnologia

mudou vivemos todos num mundo conectado no entanto isto natildeo nos permite afirmar que

devemos arredar da privacidade devida Ateacute como Alan Westin1 afirmou ldquo(hellip) cada

indiviacuteduo estaacute continuamente empenhado num processo de ajuste pessoal em que manteacutem

um equiliacutebrio entre o desejo de privacidade com o desejo de divulgaccedilatildeo e comunicaccedilatildeo

(hellip)rdquo

Volvidos mais de vinte anos desde a Diretiva 9546CE a Uniatildeo Europeia entendeu

ser tempo de alargar horizontes e empreender uma viagem em busca de abordagens atuais

reforccedilando assim a mateacuteria de proteccedilatildeo de dados pessoais adotando o RGPD que tem como

objetivo principal contribuir para a realizaccedilatildeo de um espaccedilo de liberdade seguranccedila justiccedila

e de uma uniatildeo econoacutemica para o progresso econoacutemico e social consolidaccedilatildeo e a

1 WESTIN Alan Privacy and Freedom 1967


18

convergecircncia das economias a niacutevel do mercado interno e para o bem-estar das pessoas

singulares

A presente dissertaccedilatildeo encontra-se dividida em duas partes respetivamente a Parte I

(enquadramento) e a Parte II (o Regulamento Geral de Proteccedilatildeo de Dados) cada uma delas

integrada por capiacutetulos e alguns destes por secccedilotildees

Outra natildeo poderia ser a ordem de exposiccedilatildeo das mateacuterias Na parte I iniciaremos a

abordagem em termos geneacutericos atraveacutes do capiacutetulo I da temaacutetica da proteccedilatildeo de dados

enquanto direito fundamental tanto no ordenamento juriacutedico portuguecircs como no quadro

legal europeu passando agrave evoluccedilatildeo legislativa sentida na presente mateacuteria no capiacutetulo II

Enquadramento este necessaacuterio para que na parte II se possa tratar e expor as

principais inovaccedilotildees do Regulamento e dos problemas que a sua aplicaccedilatildeo suscita e

continuaraacute a suscitar

No acircmbito da dissertaccedilatildeo de forma cuidada selecionaacutemos jurisprudecircncia pertinente

embora os Acoacuterdatildeos citados tenham por base a diretiva jaacute revogada as interpretaccedilotildees feitas

continuam a ser vaacutelidas para a interpretaccedilatildeo e aplicaccedilatildeo do RGPD

O momento em que se avanccedila com a dissertaccedilatildeo natildeo nos permite assentar cegamente

nas soluccedilotildees neles consagradas em face do caraacuteter aberto de algumas delas A opccedilatildeo passou

antes pela apresentaccedilatildeo dos traccedilos gerais do regime dos princiacutepios ali refletidos do conjunto

de direitos dos titulares firmados e ainda das responsabilidades do responsaacutevel pelo

tratamento e do subcontratante Depois de compreendidos estes elementos avanccedilou-se para

a mateacuteria que em muito tem controvertido a das sanccedilotildees E por uacuteltimo os mecanismos de

tutela judicial e de acionamento da responsabilidade


19

sect PARTE I sect

ENQUADRAMENTO

CAPIacuteTULO I CONTEXTUALIZACcedilAtildeO DO DIREITO FUNDAMENTAL Agrave

PROTECcedilAtildeO DE DADOS

1 Consagraccedilatildeo na Constituiccedilatildeo da Repuacuteblica Portuguesa

Portugal foi o primeiro e um dos raros paiacuteses a conferir dignidade constitucional agrave

proteccedilatildeo de dados pessoais Logo na CRP aprovada em 2 de abril de 1976 que foi

sucessivamente atualizada ampliada e reforccedilada pelas leis de revisatildeo de 1982 e 1989 e por

fim na revisatildeo constitucional de 1997 dedicou um artigo agrave mateacuteria da proteccedilatildeo de dados

pessoais nomeadamente o seu art 35ordm2

Conclui-se que a mateacuteria de proteccedilatildeo de dados em Portugal natildeo eacute um tema

desconhecido3 no entanto natildeo goza da preocupaccedilatildeo devida quando comparado a outras

paiacuteses europeus nomeadamente a Alemanha

Verdade eacute que em Portugal as preocupaccedilotildees relativas agrave proteccedilatildeo de dados pessoais

passaram a estar em maior evidecircncia soacute com a entrada em vigor do RGPD

2 Presenccedila em diplomas europeus

A proteccedilatildeo das pessoas singulares no que diz respeito ao tratamento de dados

pessoais eacute um direito que se encontra plasmado tanto no art 8ordm n ordm1 da CDFUE4 como no

art 8ordm da CEDH5

Este direito coloca em praacutetica um sistema de ponderaccedilatildeo de modo a salvaguardar os

indiviacuteduos sempre que os seus dados pessoais satildeo tratados por isso natildeo eacute um direito absoluto

2 Cf Anexo 1 3 O direito agrave reserva da intimidade da vida privada foi consagrado pela primeira vez em Portugal no CC de

1966 4 Carta dos Direitos Fundamentais da Uniatildeo Europeia adotada em 7122000 5 Convenccedilatildeo Europeia dos Direitos do Homem adotada pelo Conselho da Europa em 4111950


20

mas deve ser considerado em relaccedilatildeo agrave sua funccedilatildeo veja-se neste sentido PAULO MOTA

PINTO quando afirma que a ldquotutela da privacy eacute caracterizada por uma fundamental

contraposiccedilatildeo de um lado o interesse do indiviacuteduo na sua privacidade isto eacute em subtrair-

se agrave atenccedilatildeo dos outros em impedir o acesso a si proacuteprio ou em obstar agrave tomada de

conhecimento ou agrave divulgaccedilatildeo de informaccedilatildeo pessoal (hellip) de outro lado fundamentalmente

o interesse em conhecer e em divulgar a informaccedilatildeo conhecida (hellip)rdquo6

Para aleacutem disso o regime europeu de proteccedilatildeo de dados pessoais veio a ser

consideravelmente reforccedilado com a consagraccedilatildeo do art 16ordm do TFUE7 em que o seu nordm 1

nos enuncia que ldquotodas as pessoas tecircm direito agrave proteccedilatildeo dos dados de caraacutecter pessoal que

lhes digam respeitordquo Este artigo estabeleceu assim pela primeira vez uma base juriacutedica

expressamente aplicaacutevel aos tratamentos de dados pessoais pelos Estados-Membros8

6 PINTO Paulo Mota O Direito agrave Reserva sobre a Intimidade da Vida Privada Boletim da Faculdade de

Direito - Universidade de Coimbra LXIX 1993 p 508 e 509 7 Tratado de Funcionamento da Uniatildeo Europeia 8 Cf GALVAtildeO Luiacutes Neto Comentaacuterio ao artigo 16ordm do TFUE in PORTO Manuel Lopes e ANASTAacuteCIO

Gonccedilalo (coordenadores) Tratado de Lisboa Anotado e Comentado 2012 p 252


21

CAPIacuteTULO II EVOLUCcedilAtildeO LEGISLATIVA


automatizado dos dados de caraacutecter pessoal

Com o surgimento da tecnologia da informaccedilatildeo na deacutecada de 1960 disparou a

necessidade de regras capazes de proteger os indiviacuteduos e em consequecircncia os seus dados

pessoais

Assim em meados da deacutecada de 1970 o Comiteacute de Ministros do Conselho da Europa

adotou vaacuterias resoluccedilotildees sobre proteccedilatildeo de dados pessoais referindo-se ao art 8ordm da CEDH

A 28 de janeiro de 1981 a Convenccedilatildeo para a proteccedilatildeo das pessoas relativamente ao

tratamento automaacutetico de dados pessoais (Convenccedilatildeo 108) foi assinada A Convenccedilatildeo 108

aplica-se a todos os tratamentos de dados pessoais efetuados pelo sector puacuteblico ou privado

incluindo o tratamento realizado pelas autoridades policiais ou judiciaacuterias e visa proteger os

cidadatildeos contra os abusos que possam surgir a recolha e tratamento de dados pessoais

A esta Convenccedilatildeo foi adotado um Protocolo Adicional em 2001 que introduziu

disposiccedilotildees relativas aos fluxos de dados transfronteiras para paiacuteses terceiros e ao

estabelecimento obrigatoacuterio de autoridades nacionais de supervisatildeo da proteccedilatildeo de dados

2 Diretiva 9546CE

De 1995 a maio de 2018 o principal instrumento juriacutedico da UE em mateacuteria de

proteccedilatildeo de dados foi a Diretiva 9546CE do Parlamento Europeu e do Conselho de 24 de

outubro de 1995 relativa agrave proteccedilatildeo das pessoas singulares no que diz respeito ao tratamento

de dados pessoais e agrave livre circulaccedilatildeo A Diretiva de Proteccedilatildeo de Dados foi inicialmente

baseada na base legal do mercado interno e na necessidade de aproximar as leis nacionais

para que a livre circulaccedilatildeo de dados dentro da UE natildeo fosse inibida9 tomando sempre como

base o jaacute disposto na Convenccedilatildeo 108

9 Ainda natildeo constava dos tratados da CEE qualquer norma de natureza semelhante ao art 16ordm do TFUE


22

Contudo com a adoccedilatildeo da Diretiva a harmonizaccedilatildeo que se pretendia natildeo foi

alcanccedilada Ora as diretivas carecem de transposiccedilatildeo interna pelos Estados-Membros Deste

modo os Estados-Membros ficaram dotados de margem de discricionariedade na sua

transposiccedilatildeo o que originou uma transposiccedilatildeo heterogeacutenea nos diferentes Estados-

Membros

A desarmonizaccedilatildeo sentida na UE e as mudanccedilas significativas na tecnologia da

informaccedilatildeo levaram a que se repensasse a legislaccedilatildeo em vigor o que motivou a reforma e a

adoccedilatildeo do Regulamento Geral de Proteccedilatildeo de Dados em Abril de 2016 que visa criar um

espaccedilo legislativo uniforme e harmonizado


23

sect PARTE II sect

O REGULAMENTO GERAL DE PROTECcedilAtildeO DE DADOS

CAPIacuteTULO I NOTA INTRODUTOacuteRIA

1 O processo de adoccedilatildeo

O fundamento legal para a adoccedilatildeo do RGPD encontra-se plasmado no nordm 2 do art

16ordm do TFUE nos seguintes termos

ldquo(hellip) estabelecem as normas relativas agrave proteccedilatildeo das pessoas singulares no que diz

respeito ao tratamento de dados pessoais pelas instituiccedilotildees oacutergatildeos e organismos da Uniatildeo

bem como pelos Estados-Membros no exerciacutecio de atividades relativas agrave aplicaccedilatildeo do

direito da Uniatildeo e agrave livre circulaccedilatildeo desses atos ()rdquo10

A negociaccedilatildeo do RGPD demonstrou uma grande complexidade de mobilizaccedilatildeo de

meios11 ateacute porque se trata de uma mateacuteria com projeccedilatildeo social cultural e financeira de

grande dimensatildeo

Apoacutes anos de acesa discussatildeo12 a ratificaccedilatildeo formal do acordo previamente obtido

pelo Conselho deu-se a 12 de fevereiro de 2016 e a aprovaccedilatildeo definitiva pelo Plenaacuterio do

Parlamento Europeu deu-se a 14 de abril de 2016 com um periacuteodo de ldquovacatio legisrdquo de

dois anos tornando-se plenamente aplicaacutevel em 25 de maio de 2018 quando a Diretiva

9546CE foi revogada

10 Negrito nosso 11 Neste sentido veja-se MANtildeAS Joseacute Luiacutes Pintildear Antecedentes e processo de reforma sobre proteccioacuten de

datos personales en la Unioacuten Europea in Regulamento General de Proteccioacuten de Datos Hacia un nuevo

modelo europeo de proteccioacuten de datos 2016 p 49 12 Os debates tiveram iniacutecio em 2009 contudo a proposta de Regulamento soacute foi publicada pela Comissatildeo em

janeiro de 2012 dando iniacutecio a um longo processo legislativo de negociaccedilotildees entre o Parlamento Europeu e o

Conselho da UE


24

2 Um Regulamento porquecirc

Nos termos do disposto no 2ordm paraacutegrafo do art 288ordm do TFUE e como aliaacutes consta

do Regulamento este ldquo(hellip) eacute obrigatoacuterio em todos os seus elementos e diretamente aplicaacutevel

em todos os Estados membrosrdquo13

Trata-se portanto de um ato legislativo da UE que pela sua natureza eacute parte

integrante do direito interno e produz efeito direto simultaneamente nas relaccedilotildees verticais e

horizontais sem necessidade de qualquer mecanismo de receccedilatildeo14

No entanto mesmo que o RGPD seja diretamente aplicaacutevel espera-se que os Estados

Membros atualizem as leis nacionais de proteccedilatildeo de dados existentes para que se alinhem

plenamente com o Regulamento o que reflete alguma margem de discricionariedade para

disposiccedilotildees especiacuteficas15 neste sentido importa sublinhar ALEXANDRE SOUSA

PINHEIRO ldquo() natildeo pensamos que o RGPD possa ser considerado como um texto

paradigmaticamente unificador da mateacuteria da proteccedilatildeo de dados no domiacutenio da Uniatildeo

Europeia Esta conclusatildeo eacute extraiacuteda pela abertura legislativa fornecida aos Estados-

Membros natildeo pela atuaccedilatildeo das autoridades de controlo cuja accedilatildeo estaacute sujeita ao

procedimento do controlo da coerecircnciardquo16

3 Objeto e objetivos

O RGPD prevecirc um conjunto uacutenico de regras consistentes de proteccedilatildeo de dados em

toda a UE estabelecendo um ambiente de seguranccedila juriacutedica do qual os operadores

econoacutemicos e os titulares dos dados podem beneficiar o que contribuiu para a modernizaccedilatildeo

da legislaccedilatildeo da UE tornando-a adequada para proteger os direitos fundamentais no contexto

dos desafios econoacutemicos e sociais da era digital Verifica-se portanto a harmonizaccedilatildeo da

legislaccedilatildeo coerecircncia do tratamento de dados pessoas e seguranccedila juriacutedica

13 Negrito nosso 14 Cf por todos MACHADO Joacutenatas E M Direito da Uniatildeo Europeia 2010 p 199-201 e HENRIQUES

Miguel Gorjatildeo Direito da Uniatildeo Europeia 2014 p 296 15 Muitas delas de extrema relevacircncia p ex os Estados-Membros podem introduzir limitaccedilotildees agraves obrigaccedilotildees

e direitos previstos no RGPD (considerando 85 a 91 e art 23ordm) 16 PINHEIRO Alexandre Sousa Comentaacuterio ao Regulamento Geral de Proteccedilatildeo de Dados 2018 p 21


25

As novas regras e obrigaccedilotildees impostas agraves organizaccedilotildees faratildeo com que a mateacuteria de

proteccedilatildeo de dados passe a ser levada em conta na sua gestatildeo

4 Acircmbito de aplicaccedilatildeo

41Material

Segundo o art 2ordm nordm 1 o RGPD aplica-se ao tratamento17 de dados pessoais18

realizados por meios total ou parcialmente automatizados ou por meios natildeo automatizados

desde que contidos em ficheiros ou a eles destinados

Em conjugaccedilatildeo ainda com o nordm 2 importa delimitar negativamente o seu acircmbito

Assim encontram-se excluiacutedos do acircmbito de aplicaccedilatildeo do Regulamento

a O tratamento de dados efetuado no exerciacutecio de atividades natildeo sujeitas agrave aplicaccedilatildeo

do direito da UE19

b O tratamento de dados efetuado pelos Estados-Membros no exerciacutecio de atividades

relativas agrave poliacutetica externa e de seguranccedila comum

c O tratamento efetuado pelas autoridades competentes para efeitos de prevenccedilatildeo

investigaccedilatildeo deteccedilatildeo e repressatildeo de infraccedilotildees penais ou da execuccedilatildeo de sanccedilotildees

penais incluindo a salvaguarda e a prevenccedilatildeo de ameaccedilas agrave seguranccedila puacuteblica

d Os ldquodados anonimizadosrdquo ou seja os dados relativos a uma pessoa identificada ou

identificaacutevel que natildeo pode razoavelmente voltar a ser identificada ou

identificaacutevel20

e Os dados das pessoas coletivas

17 Definiccedilatildeo constante do art 4ordm nordm 2 18 Cf art 4ordm nordm 1 saliente-se que o legislador optou por uma definiccedilatildeo do conceito de dados pessoais bastante

ampla que abrange qualquer informaccedilatildeo de qualquer natureza e independentemente do suporte 19 P ex no acircmbito de medidas de seguranccedila nacional 20 A informaccedilatildeo pessoal identificaacutevel eacute irreversivelmente alterada de tal forma que a informaccedilatildeo pessoal

identificaacutevel principal natildeo pode mais ser identificada direta ou indiretamente quer pelo responsaacutevel pelo

tratamento quer por terceiros


26

f O tratamento de dados efetuado por uma pessoa singular no exerciacutecio de atividades

exclusivamente pessoais ou domeacutesticas21 ou seja sem ligaccedilatildeo a uma atividade

profissional ou comercial22

Em relaccedilatildeo a este uacuteltimo ponto importa apresentar o sentido da jurisprudecircncia

proveniente do TJUE que nos permite clarificar que situaccedilotildees se enquadram no acircmbito de

aplicaccedilatildeo material O Ac de 6 de novembro de 2003 Lindqvist23 sustenta que ldquo a operaccedilatildeo

que consiste na referecircncia feita numa paacutegina da Internet a vaacuterias pessoas e a sua

identificaccedilatildeo pelo nome ou por outros meios por exemplo o nuacutemero de telefone ou

informaccedilotildees relativas agraves suas condiccedilotildees de trabalho e aos seus passatempos constitui um

laquotratamento de dados pessoais por meios total ou parcialmente automatizadosraquo na aceccedilatildeo

do artigo 3deg nordm 1 da Diretiva (hellip)rdquo

Ou sublinhe-se o Ac de 11 de Dezembro de 2014 Ryneš em que Ryneš captou a

imagem de dois indiviacuteduos que quebraram as janelas da sua casa atraveacutes do sistema de

vigilacircncia CCTV domeacutestico que havia instalado A gravaccedilatildeo foi entregue agrave poliacutecia e usada

durante o processo criminal Para o TJUE os tratamentos em causa natildeo se integravam na

ldquohousehold exemptionrdquo ldquouma videovigilacircncia (hellip) ainda que parcialmente ao espaccedilo

puacuteblico e por esse motivo se dirige para fora da esfera privada da pessoa que procede do

tratamento de dados por esse meio natildeo pode ser considerada uma atividade exclusivamente

laquopessoal ou domeacutesticaraquo (hellip)rdquo

Daiacute que a decisatildeo tenha sido no sentido de que ldquo(hellip)a exploraccedilatildeo de um sistema de

cacircmara que daacute lugar a uma gravaccedilatildeo viacutedeo de pessoas guardada num dispositivo de

gravaccedilatildeo contiacutenua como um disco riacutegido sistema esse instalado por uma pessoa singular

na sua casa de famiacutelia para proteger os bens a sauacutede e a vida dos proprietaacuterios dessa casa

e que vigia igualmente o espaccedilo puacuteblico natildeo constitui um tratamento de dados efetuado

no exerciacutecio de atividades exclusivamente pessoais ou domeacutesticas na aceccedilatildeo desta

disposiccedilatildeordquo 24

21 A compreensatildeo desta disposiccedilatildeo obriga agrave avaliaccedilatildeo de doutrina do GTA29 e do considerando 18 do RGPD

(acompanhado pela recomendaccedilatildeo do AEPD em adenda ao Parecer nordm 32015) 22 P ex operaccedilotildees realizadas na lista de contactos do telemoacutevel pessoal 23 Merece igualmente destaque o Ac TJUE de 16 de Dezembro de 2008 proc C-7307 Satamedia 24 Negrito nosso


27

42Territorial

O acircmbito de aplicaccedilatildeo territorial do RGPD estaacute relacionado com a localizaccedilatildeo do

estabelecimento do responsaacutevel pelo tratamento ou do subcontratante assim aplica-se a

empresas estabelecidas na UE e aplica-se tambeacutem a responsaacuteveis pelo tratamento e a

subcontratantes natildeo estabelecidos na UE que oferecem bens ou serviccedilos25 a titulares de dados

residentes na UE ou que procedam ao controlo do seu comportamento e por uacuteltimo a um

responsaacutevel pelo tratamento estabelecido natildeo na UE mas num lugar em que se aplique o

direito de um Estado-Membro por forccedila do direito internacional puacuteblico

Tal opccedilatildeo legislativa justifica-se porque vaacuterias empresas de tecnologia estrangeiras

tecircm uma participaccedilatildeo chave no mercado europeu assim sujeitar estas organizaccedilotildees agraves regras

de proteccedilatildeo de dados da UE eacute importante para garantir a proteccedilatildeo dos indiviacuteduos bem como

para garantir condiccedilotildees equitativas Ora o seu acircmbito de aplicaccedilatildeo territorial acarreta

consequecircncias a niacutevel global

25 O mero facto de estar disponiacutevel um siacutetio web do responsaacutevel pelo tratamento ou subcontratante um

endereccedilo eletroacutenico ou outro tipo de contactos natildeo eacute suficiente para determinar a intenccedilatildeo de oferecer serviccedilos

a titulares de dados num ou mais Estados-Membros da UE Contudo existem indicadores determinantes p ex

a utilizaccedilatildeo de uma liacutengua ou de uma moeda de uso corrente num ou mais Estados-Membros


28

CAPIacuteTULO II PRINCIacutePIOS

O art 5ordm nordm 1 do RGPD estabelece um conjunto de princiacutepios de respeito

obrigatoacuterio que regem o tratamento de dados pessoais

Conforme dispotildee o art 5ordm nordm 2 o responsaacutevel pelo tratamento eacute o centro de

imputaccedilatildeo de obrigaccedilotildees e de responsabilidades ou seja para aleacutem de cumprir os princiacutepios

constantes do RGPD teraacute de o comprovar- accountability26

Esta disposiccedilatildeo legal eacute a buacutessola que deveraacute nortear todo o comportamento dos

responsaacuteveis pelo tratamento de dados pessoais ateacute porque opera como uma ldquoConstituiccedilatildeo

do RGPDrdquo27 De seguida analisaremos cada um destes princiacutepios

1 Licitude lealdade e transparecircncia

Eacute a base de todo o sistema consagrado no Regulamento De acordo com o princiacutepio

da ldquolicitude lealdade transparecircnciardquo constante da al a) do nordm 1 do art 5ordm os dados pessoais

devem ser ldquoobjeto de um tratamento liacutecito leal e transparenterdquo

Diga-se ldquoos dados tratados deveratildeo ser associados ao respetivo fundamento

juriacutedico do tratamento mantendo-se disponiacuteveis as evidecircncias de legitimidade (hellip)

Deveratildeo ainda ser disponibilizadas aos titulares dos dados pessoais as informaccedilotildees

previstas nos arts 13ordm e 14ordm28(hellip) Para efetivaccedilatildeo destes princiacutepios o responsaacutevel pelo

tratamento poderaacute ceder certo controlo a todo o tempo aos titulares dos dados que sobre

os mesmos estejam tratados e com a possibilidade de prestaccedilatildeo e retirada do

consentimento ou de oposiccedilatildeo ao tratamento assegurando contudo que cada titular

apenas teraacute acesso aos seus proacuteprios dadosrdquo29

26 No mesmo sentido cf GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 12010 sobre os conceitos de

laquoresponsaacutevel pelo tratamentoraquo e laquosubcontratanteraquordquo (WP 169) adotado em 16022010 p 4 e 11 27 Expressatildeo utilizada in PINHEIRO Alexandre Sousa e GONCcedilALVES Carlos Jorge Comentaacuterio ao

Regulamento Geral de Proteccedilatildeo de Dados 2018 p 205 28 Vide art 13ordm nordm 3 e art 14ordm nordm 4 do RGPD 29 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 401 e 402


29

Em seguida iremos discorrer sobre cada um dos conceitos constante do princiacutepio

suprarreferido

11Transparecircncia30

A transparecircncia exige que ldquoas informaccedilotildees ou comunicaccedilotildees relacionadas com o

tratamento desses dados pessoais sejam de faacutecil acesso e compreensatildeo e formuladas numa

linguagem clara e simples (hellip) informaccedilotildees fornecidas aos titulares dos dados sobre a

identidade do responsaacutevel pelo tratamento dos mesmos e os fins a que o tratamento se

destina bem como agraves informaccedilotildees que se destinam a assegurar que seja efetuado com

equidade e transparecircncia para com as pessoas singulares em causa bem como a

salvaguardar o seu direito a obter a confirmaccedilatildeo e a comunicaccedilatildeo dos dados pessoais que

lhes dizem respeito que estatildeo a ser tratadosrdquo 31

Ou seja as informaccedilotildees acerca dos direitos enquanto titular dos dados e as

relacionadas com o tratamento de dados pessoais devem ser de faacutecil compreensatildeo e acesso

Deveraacute portanto ser claro para as pessoas singulares que os dados pessoais que lhes digam

respeito satildeo recolhidos utilizados consultados ou sujeitos a qualquer outro tipo de

tratamento e a medida em que os dados pessoais satildeo ou viratildeo a ser tratados

12Licitude

A licitude estaacute associada natildeo soacute ao cumprimento da legalidade na prossecuccedilatildeo dos

tratamentos de dados como tambeacutem na aplicaccedilatildeo do art 52ordm da CDFUE assim exige-se

que os dados pessoais sejam processados de forma liacutecita para tanto o art 6ordm nordm 1 do RGPD

inclui seis fundamentos para o tratamento liacutecito de dados pessoas32 Para tanto os titulares

dos dados devem ser avisados dos riscos regras garantias e direitos associados ao

tratamento e ainda alertados para os meios que dispotildeem para exercer esses direitos

30 Cf Considerando 58 60 61 e 62 31 Considerando 39 32 Mateacuteria alvo de desenvolvimento no capiacutetulo IV


30

13Lealdade

ldquoA lealdade estaacute essencialmente relacionada com o desenvolvimento dos

tratamentos de dados pessoais com respeito por uma relaccedilatildeo de equiliacutebrio entre

responsaacuteveis e subcontratantes e titulares dos dados pessoais Pode manifestar-se de uma

forma mais evidente em tratamentos de dados realizados por entidades puacuteblicas ou por

empregadoresrdquo33

Quer isto dizer que os responsaacuteveis pelo tratamento devem tomar as medidas

adequadas para manter os titulares dos dados informados do modo com os seus dados satildeo

tratados devendo ainda ser capazes de demonstrar a conformidade das operaccedilotildees de

tratamento com o RGPD

2 Limitaccedilatildeo dos tratamentos agraves finalidades34

Segundo o art 5ordm nordm 1 al b) os dados pessoais satildeo recolhidos para finalidades

determinadas expliacutecitas e legiacutetimas que foram estabelecidas no momento da recolha natildeo

podendo ser tratados posteriormente de uma forma incompatiacutevel com essas finalidades

ALEXANDRE SOUSA PINHEIRO35 afirma que ldquoo espaccedilo do princiacutepio da

finalidade no direito a proteccedilatildeo de dados pessoais eacute crucial na medida em que funciona

como a primeira justificaccedilatildeo para a realizaccedilatildeo de um tratamento de dados impondo-se ateacute

ao consentimento A realizaccedilatildeo de recolha de informaccedilatildeo pessoal ndash ou qualquer outra

operaccedilatildeo de tratamento ndash deve estar respaldada numa razatildeo-finalidade para em funccedilatildeo

dela se determinar a natureza necessaacuteria e natildeo excessiva da informaccedilatildeo pessoal recolhida

A imposiccedilatildeo do princiacutepio da finalidade ao consentimento assenta na necessidade de

proteger situaccedilotildees em que o primeiro esteja por natureza limitadordquo

Aceita-se o tratamento de dados para finalidades natildeo apenas determinantes da

recolha mas tambeacutem natildeo com estas incompatiacuteveis no entanto eacute entendimento doutrinaacuterio

33 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 207 34 Cf considerando 50 35 PINHEIRO Alexandre Sousa Privacy Proteccedilatildeo de Dados Pessoais () 2015 p 826


31

que natildeo podem ser armazenados dados pessoais para ldquofinalidades futuras que ainda natildeo

estatildeo previstas no momento da recolhardquo36

Vejamos que a al b) do nordm 1 do art 5ordm tendo por base as finalidades do nordm 1 do art

89ordm determina que os tratamentos ldquopara fins de arquivo de interesse puacuteblico ou para fins

de investigaccedilatildeo cientiacutefica ou histoacuterica ou para fins estatiacutesticosrdquo natildeo satildeo considerados

incompatiacuteveis com as finalidades iniciais

Para avaliar se o tratamento posterior eacute compatiacutevel (ou natildeo) com a finalidade para a

qual os dados pessoais foram inicialmente recolhidos o responsaacutevel pelo seu tratamento

apoacutes ter cumprido todos os requisitos para a licitude do tratamento inicial deveraacute ter em

atenccedilatildeo os seguintes fatores

a Existecircncia de uma ligaccedilatildeo entre a finalidade inicial e a finalidade do tratamento

futuro pretendido

b Contexto da recolha dos dados pessoais em particular no que se refere agraves expetativas

razoaacuteveis dos titulares dos dados quanto agrave sua posterior utilizaccedilatildeo com base na sua

relaccedilatildeo entre o titular dos dados e o responsaacutevel pelo seu tratamento

c Natureza dos dados pessoais com especial cuidado para as categorias especiais de

dados pessoais

d Eventuais consequecircncias do tratamento posterior pretendido para os titulares dos

dados

e Existecircncia de salvaguardas e garantias adequadas tanto no tratamento inicial como

nas outras operaccedilotildees de tratamento previstas 37

O princiacutepio da finalidade postula uma delineaccedilatildeo clara do objetivo ou seja os

titulares dos dados deveratildeo ser alertados para os riscos regras garantias e direitos associados

ao respetivo tratamento e para os meios de que dispotildeem para exercer os seus direitos no que

concerne a esse tratamento

Caso o titular dos dados tenha dado o seu consentimento ou o tratamento se baseie

em disposiccedilotildees do direito da Uniatildeo ou de um Estado-Membro que constituam uma medida

36 HEBERLEIN Horst in EHMANN Eugen e SELMAYR Martin (coordenaccedilatildeo) ldquoDatenschutz-

Grundverordnungrdquo 2017 p 194 37 Como a anonimizaccedilatildeo encriptaccedilatildeo ou pseudonimizaccedilatildeo dos dados e a restriccedilatildeo do acesso aos dados


32

necessaacuteria e proporcionada numa sociedade democraacutetica para salvaguardar em especial

os importantes objetivos de interesse puacuteblico geral o responsaacutevel pelo tratamento deveraacute ser

autorizado a proceder ao tratamento posterior dos dados pessoais independentemente da

compatibilidade das finalidades

3 Minimizaccedilatildeo dos dados

O princiacutepio da minimizaccedilatildeo dos dados previsto no art 5ordm nordm 1 al c) consagra que os

dados tratados devem ser ldquoadequados pertinentes e limitados ao que eacute necessaacuterio

relativamente agraves finalidades para as quais satildeo tratadosrdquo por isso tambeacutem pode ser

designado como princiacutepio da qualidade dos dados ou da pertinecircncia dos dados Este princiacutepio

deve ser encarado como uma norma de seguranccedila porque quanto menor a informaccedilatildeo

menor seraacute o risco

Segundo ALEXANDRE PINHEIRO e CARLOS GONCcedilALVES38 ldquoeacute necessaacuterio

assegurar que o prazo de conservaccedilatildeo dos dados seja limitado ao miacutenimo Segundo este

princiacutepio os dados pessoais apenas deveratildeo ser tratados se a finalidade do tratamento natildeo

puder ser atingida de forma razoaacutevel por outros meios (dimensatildeo da adequaccedilatildeo do princiacutepio

da proporcionalidade em sentido amplo)rdquo

Assim o responsaacutevel pelo tratamento deveraacute fixar os prazos para o apagamento ou a

revisatildeo perioacutedica de modo a que os dados sejam conservados apenas durante o prazo

estritamente necessaacuterio

Os dados recolhidos tecircm de ser apenas aqueles estritamente necessaacuterios agrave

concretizaccedilatildeo do objetivo do tratamento que foi transmitido ao titular Portanto ldquoocorre

uma relaccedilatildeo estreita entre as finalidades do tratamento e os dados recolhidos O tratamento

eacute necessariamente limitado pela necessidade imposta pelas finalidadesrdquo39

Alguma jurisprudecircncia tem colocado em praacutetica esta doutrina vejamos entre

outros40 o Ac TJUE de 20 de Maio de 2013 Oumlsterreichischer Rundfunk e outros que nos

38 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 209 39 Ibidem 40 Cf Ac TJUE de 8 de abril de 2014 proc 29312 Digital Rights Ireland bem como o Ac TJUE de 30 de

Maio de 2013 proc C-34212 Worten


33

enuncia ldquoqualquer tratamento de dados pessoais deve ser conforme por um lado aos

laquoprinciacutepios relativos da qualidade dos dadosraquo enunciados no artigo 6ordm da diretiva e por

outro a um dos laquoprinciacutepios relativos agrave legitimidade do tratamento de dadosraquo (hellip) os dados

devem ser laquorecolhidos para finalidades determinadas explicitas e legiacutetimasraquo [artigo 6ordm

nordm 1 aliacutenea b) da Diretiva 9546] bem como laquoadequados pertinentes e natildeo excessivosraquo

relativamente a essas finalidades [artigo 6ordm nordm 1 aliacutenea c)] Aleacutem disso (hellip) o tratamento

de dados pessoais eacute liacutecito respectivamente se laquofor necessaacuterio para cumprir uma obrigaccedilatildeo

legal agrave qual o responsaacutevel pelo tratamento esteja sujeitoraquo ou se laquofor necessaacuterio para a

execuccedilatildeo de uma missatildeo de interesse puacuteblico ou o exerciacutecio da autoridade puacuteblica de que eacute

investido o responsaacutevel pelo tratamento [] a quem os dados sejam comunicadosraquordquo41

4 Exatidatildeo

Este princiacutepio encontra-se previsto no art 5ordm nordm 1 al d) e de acordo com este os

dados pessoais satildeo ldquoexatos e atualizados sempre que necessaacuterio devem ser adotadas todas

as medidas adequadas para que os dados inexatos tendo em conta as finalidades para que

satildeo tratados sejam apagados ou retificados sem demorardquo

Reformulando este princiacutepio deve ser implementado em todas as operaccedilotildees de

tratamento e prevecirc que os dados pessoais devam ser corretos e atualizados ou seja deve

ser assegurada a integridade dos dados e sempre que razoavelmente possiacutevel a sua

atualizaccedilatildeo assim dados imprecisos devem ser apagados ou retificados sem demora para

que se garanta a sua precisatildeo isto porque existem casos em que dados imprecisos constituem

um dano potencial para o titular dos dados42 Aqui chegados permite-se afirmar que este

princiacutepio estaacute intimamente relacionado com os direitos de acesso de retificaccedilatildeo dos dados e

do seu apagamento previstos nos arts 15ordm 16ordm e 17ordm43 Este eacute um princiacutepio indiciador de

boa gestatildeo da informaccedilatildeo

41 Negrito nosso 42 P ex para concluir um contrato de creacutedito com uma instituiccedilatildeo bancaacuteria o banco geralmente verifica a

capacidade creditiacutecia do cliente em potencial lanccedilando matildeo de bases de dados especiais contendo dados sobre

o histoacuterico de creacutedito de particulares Ora se tal banco de dados fornecer dados incorretos ou desatualizados

sobre um indiviacuteduo essa pessoa poderaacute sofrer efeitos negativos 43 Que seratildeo alvo de desenvolvimento no capiacutetulo IV


34

Meramente a tiacutetulo exemplificativo vejamos o Ac de 7 de Maio de 2009 Rijkeboer

em que o TJUE considerou que ldquoeste direito (hellip) implica que a pessoa em causa possa

assegurar-se de que esses dados pessoais satildeo tratados com exactidatildeo e de forma liacutecita ou

seja em especial que os dados de base que lhe dizem respeito satildeo exactos e satildeo enviados a

destinataacuterios autorizados (hellip) para poder efectuar as verificaccedilotildees necessaacuterias a pessoa em

causa deve dispor de um direito de acesso aos dados que lhe dizem respeito e que estatildeo em

fase de tratamentordquo44

5 Limitaccedilatildeo da conservaccedilatildeo

O princiacutepio da limitaccedilatildeo da conservaccedilatildeo conforme disposto no art 5ordm nordm 1 al e)

consigna natildeo soacute que os dados devem ser ldquoconservados de uma forma que permita a

identificaccedilatildeo dos titulares dos dados apenas durante o periacuteodo necessaacuterio para as

finalidades para as quais satildeo tratadosrdquo bem como ainda que poderatildeo ldquoser conservados

durante periacuteodos mais longos desde que sejam tratados exclusivamente para fins de arquivo

de interesse puacuteblico ou para fins de investigaccedilatildeo cientifica ou histoacuterica ou para fins

estatiacutesticos em conformidade com o nordm1 do artigo 89ordmrdquo

Significa isto que os dados pessoais soacute devem ser conservados pelo periacuteodo

necessaacuterio agrave prossecuccedilatildeo das finalidades do tratamento e que apoacutes esse periacuteodo o

responsaacutevel pelo tratamento deveraacute proceder ao seu apagamento ou anonimizaccedilatildeo

definitivos Para que se cumpra devidamente este princiacutepio os limites de tempo devem ser

estabelecidos pelo responsaacutevel pelo tratamento de modo a garantir que os dados sejam

mantidos por natildeo mais do que o necessaacuterio

No Ac datado de 4 de Dezembro de 2008 Marper o TEDH decidiu que a retenccedilatildeo

indefinida das impressotildees digitais amostras de ceacutelulas e perfis de ADN era

desproporcionada e desnecessaacuteria numa sociedade democraacutetica considerando que o

processo penal contra os titulares tinha terminado numa absolviccedilatildeo e arquivamento

respetivamente Ou ainda no Ac de 06 de Junho de 2006 Segerstedt-Wiberg e outros v

44 Negrito nosso


35

Sueacutecia em que o TEDH constatou uma violaccedilatildeo do art 8ordm da CEDH uma vez que o

armazenamento contiacutenuo dos dados natildeo era pertinente devido ao longo periacuteodo decorrido45

O TJUE no Ac de 9 de Marccedilo de 2017 Manni entendeu que ldquono estado atual do

direito da Uniatildeo cabe aos Estados-Membros determinar se as pessoas singulares visadas

no artigo 2ordm nordm 1 aliacuteneas d) e j) desta uacuteltima diretiva podem pedir agrave autoridade

encarregada da manutenccedilatildeo respetivamente do registo central do registo comeacutercio ou do

registo das sociedades que verifique com base numa apreciaccedilatildeo casuiacutestica se justifica

excecionalmente por razotildees preponderantes e legiacutetimas relativas agrave sua situaccedilatildeo especial

limitar findo um prazo suficientemente longo apoacutes dissoluccedilatildeo da sociedade em causa o

acesso aos dados pessoais que lhes dizem respeito inscritos no registordquo46

Por uacuteltimo tal princiacutepio eacute ainda patente no Ac que data de 8 de Abril de 2014 Digital

Rights Ireland em que o TJUE decidiu invalidar a Diretiva 200624CE do Parlamento

Europeu e do Conselho de 15 de marccedilo de 2006 relativa agrave conservaccedilatildeo de dados gerados

ou tratados no contexto da oferta de serviccedilos de comunicaccedilotildees que alterava a Diretiva

200258CE por desrespeito ao princiacutepio da proporcionalidade visto que os dados podiam

ficar retidos por ateacute dois anos No presente caso inexistia criteacuterios objetivos que

determinassem o periacuteodo estritamente necessaacuterio para conservaccedilatildeo daqueles dados daiacute

ldquo(hellip) concluir que a Diretiva 200624 natildeo prevecirc garantias suficientes como exige o artigo

8ordm da Carta que permitam assegurar uma proteccedilatildeo eficaz dos dados conservados contra

os riscos de abuso e contra qualquer acesso e utilizaccedilatildeo iliacutecita dos mesmos (hellip) natildeo

estabelece regras especiacuteficas e adaptadas agrave grande quantidade de dados cuja conservaccedilatildeo

eacute imposta por essa diretiva ao caraacuteter sensiacutevel destes dados e ao risco de acesso iliacutecito aos

mesmo regras que se destinariam designadamente a regular de maneira clara e estrita a

proteccedilatildeo e a seguranccedila dos dados em causa a fim de garantir a sua plena integridade e

confidencialidaderdquo47

45 Ou ainda o Ac 18 de Setembro de 2014 Brunet v France em que o TEDH entendeu que o periacuteodo de

conservaccedilatildeo de registos pessoais ateacute 20 anos era excessivamente longo 46 Negrito nosso 47 Negrito nosso


36

O TJUE considerou e bem que a diretiva interferia com o direito ao respeito da vida

privada e com o da proteccedilatildeo de dados ateacute porque os dados recolhidos quando tomados no

seu todo permitiam tirar conclusotildees muito precisas sobre a vida das pessoas

6 Integridade e confidencialidade

O art 5ordm nordm 1 al f) preconiza o princiacutepio da integridade e confidencialidade48 isto

eacute os dados deveratildeo ser ldquotratados de uma forma que garanta a sua seguranccedila incluindo a

proteccedilatildeo contra o seu tratamento natildeo autorizado ou iliacutecito e contra a sua perda destruiccedilatildeo

ou danificaccedilatildeo acidental adotando as medidas teacutecnicas ou organizativas adequadasrdquo

A integridade e a confidencialidade dos dados pessoais satildeo essenciais para evitar

efeitos adversos para o titular dos dados por isso torna-se imperativo adotar medidas de

seguranccedila apropriadas (de natureza teacutecnica eou organizacional) para evitar o acesso uso

modificaccedilatildeo divulgaccedilatildeo perda destruiccedilatildeo ou dano acidentais natildeo autorizados ou ilegais a

dados pessoais

A adequaccedilatildeo das medidas de seguranccedila deve ser determinado caso a caso e revista

regularmente devendo estas serem coadunadas com o respetivo risco associado Contudo

adiantaacutemos jaacute que para que se alcance a fiabilidade e seguranccedila dos sistemas ou suporte de

conservaccedilatildeo dos dados podem ser utilizadas algumas teacutecnicas tais como a

pseudonimizaccedilatildeo49 ou a encriptaccedilatildeo assim como procedimentos de limitaccedilatildeo e autorizaccedilatildeo

de acessos para a intervenccedilatildeo humana p ex deveratildeo ser mantidos logs de acesso o controlo

e verificaccedilatildeo em sede de auditorias internas de possiacuteveis acessos natildeo autorizados e

implementaccedilatildeo de medidas de melhoria dos meios de seguranccedila bem como a adesatildeo a um

coacutedigo de conduta aprovado ou a um mecanismo de certificaccedilatildeo aprovado

48 Este princiacutepio teve origem no direito-garantia criado pela jurisprudecircncia alematilde correspondendo ao ldquodireito

fundamental agrave garantia da confidencialidade e integridade dos sistemas teacutecnico-informacionaisrdquo (Grundrecht

auf Gewahrlett tung der Integritat und Vertraulichkeit informationstechnischer System) 49 Definiccedilatildeo constante do art 4ordm nordm 5


37

7 Responsabilidade

Ao iniciar do capiacutetulo jaacute tivemos oportunidade de referir em traccedilos largos este

princiacutepio repita-se compete ao responsaacutevel pelo tratamento garantir o cumprimento dos

princiacutepios elencados neste capiacutetulo e comprovar esse cumprimento segundo o nordm 2 do art

5ordm

Citando TATIANA DUARTE50 ldquoo responsaacutevel pelo tratamento deve ainda

envergar as vestes de mulher de Ceacutesar porquanto natildeo lhe bastaraacute cumprir o Regulamento

teraacute de demonstrar que o cumprerdquo Todavia atrevemo-nos a afirmar que se exige mais ao

responsaacutevel pelo tratamento do que se exigia agrave mulher de Ceacutesar natildeo basta ser nem parecer

teraacute de o provar

Esta responsabilidade permite transferir o dever de verificaccedilatildeo inicial da legalidade

por parte da CNPD para o responsaacutevel pelo tratamento ou seja baseia-se na eliminaccedilatildeo do

controlo administrativo preacutevio em prol do princiacutepio da liberdade de circulaccedilatildeo no espaccedilo

europeu Nem mesmo um regime de mera comunicaccedilatildeo preacutevia mereceu acolhimento no

Regulamento51 O sistema estaacute pois construiacutedo segundo uma loacutegica de responsabilizaccedilatildeo

(accountability52) dos responsaacuteveis pelos tratamentos de dados e de aliacutevio da tarefa

administrativa de controlo baseada numa tarefa de ldquocontrolo do controlordquo53

Os responsaacuteveis pelo tratamento devem poder demonstrar a conformidade com as

disposiccedilotildees de proteccedilatildeo de dados aos titulares de dados ao puacuteblico em geral e agraves autoridades

de controlo a qualquer momento Apesar deste princiacutepio ser direcionado apenas para os

responsaacuteveis pelo tratamento espera-se tambeacutem que os subcontratantes o cumpram uma

vez que este estaacute intimamente relacionado com o responsaacutevel e ateacute porque sobre os

subcontratantes tambeacutem recaem vaacuterias obrigaccedilotildees

50 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 144 51 Sobre a mera comunicaccedilatildeo preacutevia ou comunicaccedilatildeo preacutevia sem prazo cf GONCcedilALVES Pedro Reflexotildees

sobre o Estado Regulador e o Estado Contratante Direito Puacuteblico e Regulaccedilatildeo 2013 p 163-165

MIRANDA Joatildeo Comentaacuterios ao Novo Coacutedigo do Procedimento Administrativo 2015 p 495-511 52 Terminologia utilizada no direito anglo-saxoacutenico 53 A expressatildeo eacute utilizada por Pedro Gonccedilalves num sentido diferente de controlo das entidades privadas que

foram objeto de acreditaccedilatildeo para realizar a certificaccedilatildeo e de (hetero)controlondash cf idem p 162


38

Os responsaacuteveis pelo tratamento podem facilitar o cumprimento desse requisito de

variadas formas entre as quais54

a Registar as atividades de tratamento para que as possa disponibilizar quando

solicitadas

b Em determinadas situaccedilotildees designar um encarregado de proteccedilatildeo de dados que esteja

envolvido em todas as questotildees relacionadas agrave proteccedilatildeo de dados pessoais

c Realizar avaliaccedilotildees de impacto da proteccedilatildeo de dados para tipos de tratamento que

possam resultar em um alto risco aos direitos e liberdades das pessoas

d Garantir a proteccedilatildeo de dados por defeito e por conceccedilatildeo

e Implementar modalidades e procedimentos para o exerciacutecio dos direitos dos titulares

dos dados

f Aderir a coacutedigos de conduta aprovados ou mecanismos de certificaccedilatildeo

54 Desenvolvidas no capiacutetulo V


39

CAPIacuteTULO III PRESSUPOSTOS DA LICITUDE DO TRATAMENTO

O art 6ordm nordm 1 do RGPD enuncia-nos os diferentes pressupostos que constituem as

causas de licitude do tratamento os quais iremos explicar em seguida

1 Consentimento55

Um dos principais pressupostos da licitude do tratamento dos dados reside na

necessidade de consentimento do titular dos dados para uma finalidade claramente definida

11Definiccedilatildeo

O consentimento de acordo com o art 4ordm nordm 11 consiste numa ldquomanifestaccedilatildeo de

vontade livre especiacutefica informada e expliacutecita pela qual o titular dos dados aceita

mediante declaraccedilatildeo ou ato positivo inequiacutevoco que os dados pessoais que lhe dizem

respeito sejam objeto de tratamentordquo

12Condiccedilotildees aplicaacuteveis ao consentimento

O art 7ordm consigna que o ldquoresponsaacutevel pelo tratamento deve poder demonstrar que

o titular dos dados pessoais deu o seu consentimento para o tratamentordquo sempre que o

consentimento legitimar o tratamento de dados assim define as condiccedilotildees para que este ato

seja considerado vaacutelido nos termos que a seguir se apresenta

O pedido de consentimento deve constar de uma declaraccedilatildeo escrita e deve distinguir-

se de outras mateacuterias que tambeacutem constem dessa declaraccedilatildeo deve ser inteligiacutevel de faacutecil

acesso e ser dotado de linguagem clara e simples Assim um consentimento dado de forma

oral ou ateacute mediante um consentimento taacutecito ou outro natildeo oferece estas garantias porquanto

55 Para aleacutem da anaacutelise dos considerandos eacute importante cf GRUPO DE TRABALHO DO ARTIGO 29

ldquoOrientaccedilotildees relativas ao consentimento na aceccedilatildeo do Regulamento (UE) 2016679rdquo adotadas em 28 de

novembro de 2017 sendo a uacuteltima redaccedilatildeo revista e adotada em 13 de abril de 2018


40

natildeo permite fazer prova de ter sido obtido de forma livre especiacutefica informada expliacutecita e

atraveacutes de ato inequiacutevoco56

Eacute necessaacuterio que o titular previamente conheccedila as condiccedilotildees do tratamento dos seus

dados mediante a prestaccedilatildeo de um conjunto de informaccedilotildees preacutevias relativas ao tratamento

daiacute o titular gozar do direito agrave informaccedilatildeo (de acordo com o considerando 42 o

consentimento soacute seraacute informado se o titular dos dados conhecer no miacutenimo a identidade do

responsaacutevel pelo tratamento e as finalidades a que o tratamento se destina)

O consentimento deve ainda ser apresentando de forma destacada distinta e clara de

outros eventuais assuntos que faccedilam parte do mesmo documento Portanto deveratildeo existir

as devidas garantias de que o titular dos dados estaacute plenamente ciente do consentimento dado

e do alcance Eacute possiacutevel identificar algumas presunccedilotildees de que o consentimento natildeo foi livre

e voluntaacuterio nomeadamente casos de desequiliacutebrio manifesto entre o titular dos dados e o

responsaacutevel pelo seu tratamento57 quando natildeo for possiacutevel dar consentimento

separadamente para diferentes operaccedilotildees de tratamento de dados pessoais ainda que seja

adequado no caso especiacutefico e se a execuccedilatildeo de um contrato incluindo a prestaccedilatildeo de um

serviccedilo e depender do consentimento apesar de o consentimento natildeo ser necessaacuterio para a

mesma execuccedilatildeo

O titular dos dados deve ter a possibilidade de retirar o seu consentimento a qualquer

momento que deve ser tatildeo faacutecil como o ato de consentir Esta disposiccedilatildeo obriga a que as

organizaccedilotildees permitam a retirada do consentimento pela mesma forma em que foi

concedido No que concerne agrave retirada do consentimento importa salientar que natildeo fica

comprometida a licitude do tratamento efetuado com base na sua preacutevia prestaccedilatildeo

Estabelece-se que a prestaccedilatildeo de um serviccedilo natildeo pode ficar dependente de

consentimento do tratamento do titular dos dados se este natildeo eacute necessaacuterio para a prestaccedilatildeo

de serviccedilo

Ora o consentimento eacute entendido como uma manifestaccedilatildeo de vontade o que

significa que natildeo existe a figura do consentimento obrigatoacuterio ou seja segundo o Parecer

56 Da Diretiva resultava que o consentimento podia resultar quer de uma accedilatildeo quer de uma natildeo accedilatildeo 57 No domiacutenio do tratamento de dados sensiacuteveis em contexto laboral


41

de 201758 ldquose o consentimento estiver agregado a uma parte natildeo negociaacutevel das condiccedilotildees

gerais do contrato presume-se que natildeo foi dado livremente Assim sendo natildeo se considera

que o consentimento foi dado de livre vontade se o titular dos dados natildeo o puder recusar

nem o puder retirar sem ficar prejudicadordquo Ou seja para que o consentimento seja livre o

titular dos dados natildeo pode ficar privado do acesso a um bem ou serviccedilo ao natildeo consentir

13Consentimento das crianccedilas

No considerando 38 fica patente que o RGPD pretendeu que existissem regras

especiacuteficas quando em causa esteja o consentimento de uma crianccedila exceto se este

consentimento for solicitado num contexto de serviccedilos preventivos ou de aconselhamento

ao menor Fora deste caso quando os serviccedilos forem disponibilizados agraves crianccedilas com idade

inferior a 16 anos eacute sempre necessaacuterio que o responsaacutevel parental consinta

Tal medida justifica-se pelo facto de serem menores e por isso ldquomenos cientes dos

riscos consequecircncias e garantias em questatildeo e dos seus direitos relacionados com o

tratamento dos dados pessoaisrdquo De acordo com o art 8ordm a idade ateacute agrave qual eacute necessaacuterio o

aval do responsaacutevel parental pode ser alterada pelos Estados-Membros sem nunca poder ser

abaixo dos 13 anos

A abertura aqui efetuada agrave definiccedilatildeo pelos Estados-Membros sobre a idade (entre os

13 e os 16 anos) na qual seraacute necessaacuterio pedir consentimento poderaacute gerar dificuldades de

harmonizaccedilatildeo na utilizaccedilatildeo de serviccedilos da sociedade da informaccedilatildeo Os operadores de redes

sociais (p ex Facebook Youtube Instagram entre outros) poderatildeo ter dificuldade em

enquadrar as diferentes regras neste acircmbito atendendo a que estes serviccedilos natildeo se

encontram pela sua natureza limitados agraves fronteiras de cada Estado

58 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees relativas ao consentimento na aceccedilatildeo do

Regulamento (UE) 2016679rdquo op cit p 6


42

2 Necessaacuterio para a execuccedilatildeo de um contrato no qual o titular dos dados eacute parte

ou para diligecircncias preacute-contratuais a pedido do titular dos dados

O art 6ordm nordm 1 al b) constitui outra base para o tratamento legiacutetimo que abrange dois

cenaacuterios diferentes

Em primeiro lugar a disposiccedilatildeo abrange situaccedilotildees nas quais o tratamento seja

necessaacuterio para a execuccedilatildeo de um contrato na qual o titular dos dados eacute parte Tal pode

incluir por exemplo o tratamento dos dados relativos ao endereccedilo da pessoa em causa para

que os bens adquiridos em linha possam ser entregues ou o tratamento dos dados relativos

ao cartatildeo de creacutedito para que o pagamento seja efetuado

Em segundo lugar abrange as relaccedilotildees preacute-contratuais desde que a negociaccedilatildeo

ocorra a pedido do titular dos dados e natildeo por iniciativa do responsaacutevel pelo tratamento

ou de terceiros Por exemplo se uma pessoa solicitar a uma seguradora uma proposta de

seguro automoacutevel a seguradora pode tratar os dados necessaacuterios designadamente relativos

agrave origem e agrave idade do automoacutevel e outros dados relevantes proporcionados de forma a

preparar a proposta

Realce-se que deve existir um viacutenculo direto objetivo e substancial entre o

contrato e o tratamento realizado

Assim sendo questionaacutemo-nos onde podemos enquadrar um exemplo corriqueiro

como eacute o de algueacutem proceder agrave compra de flores e pretender que seja entregue a pessoa

diversa Com que fundamento o vendedor das flores trata os dados pessoais desta terceira

pessoa Eis que nos deparaacutemos com o desafio constante que a vida praacutetica nos oferece

sendo sempre mais criativa que qualquer legislador

Para aleacutem disso esta base de licitude conforme descrita e analisada demonstra

facilmente a desnecessidade da esmagadora maioria dos pedidos de consentimento para os

quais os cidadatildeos europeus tecircm vindo a ser bombardeados Na duacutevida sobre as regras e

medidas a aplicar os agentes do mercado tecircm vindo a pedir consentimentos para tudo

mesmo agraves pessoas ao abrigo de uma relaccedilatildeo contratual preacutevia

Poreacutem tal eacute gravoso para a atividade das empresas De facto o consentimento eacute

livremente revogaacutevel logo ao utilizaacute-lo como base de licitude na execuccedilatildeo do contrato as

empresas abrem implicitamente a possibilidade de resoluccedilatildeo unilateral dos contratos com os


43

seus clientes ou pelo menos a possibilidade de manutenccedilatildeo de um contrato com obrigaccedilotildees

apenas unilaterais59

3 Necessaacuterio para o cumprimento de uma obrigaccedilatildeo juriacutedica a que o responsaacutevel

pelo tratamento esteja sujeito

A necessidade do tratamento para o cumprimento de uma obrigaccedilatildeo juriacutedica a que o

responsaacutevel esteja sujeito poderaacute derivar de todas as fontes normativas agrave exceccedilatildeo da fonte

contratual Satildeo exemplos que se enquadram neste pressuposto de licitude o caso da entidade

patronal ter de fornecer agrave seguranccedila social ou agraves autoridades fiscais dados relativos aos

salaacuterios dos seus trabalhadores ou quando as instituiccedilotildees financeiras sejam obrigadas a

denunciar determinadas transaccedilotildees suspeitas agraves autoridades competentes nos termos das

normas em mateacuteria de luta contra branqueamento de capitais

4 Necessaacuterio para a defesa de interesses vitais do titular dos dados ou de outra

pessoa singular

Este fundamento parece-nos estar limitado pela expressatildeo ldquointeresse vitalrdquo a

questotildees de vida ou morte ou no miacutenimo a situaccedilotildees que acarretam um risco de lesatildeo ou de

outros danos para a sauacutede da pessoa em causa Eacute o que sucede no caso de tratamento de

dados relacionados com situaccedilotildees meacutedicas urgentes Este soacute tem lugar quando natildeo se puder

basear noutro fundamento Neste sentido veja-se o Ac 15 de Dezembro de 2009 Y v

Turquia que se debruccedilou sobre um caso de uma equipa de ambulacircncia que comunicou agrave

equipa do hospital que a pessoa que transportara inconsciente era seropositiva O TEDH

considerou natildeo haver uma violaccedilatildeo de direitos do titular dos dados neste caso (e no nosso

entendimento outra natildeo podia ser a soluccedilatildeo considerando que em causa estava o interesse

vital do proacuteprio)

59 No caso dos contratos em que a contraprestaccedilatildeo pela prestaccedilatildeo de serviccedilos seja a utilizaccedilatildeo dos dados dos

clientes para fins de marketing direto p ex


44

Acontece que em certas situaccedilotildees ao se verificar o pressuposto aqui em causa

verifica-se ainda que a reboque o tratamento serve importantes interesses puacuteblicos eacute o caso

de um titular de dados contaminado por uma epidemia passiacutevel de propagaccedilatildeo O tratamento

de dados in casu natildeo soacute salvaguarda o interesse vital do titular mas tambeacutem atinge fins

humanitaacuterios Outro exemplo ainda oferecido pelo considerado 46 eacute o das cataacutestrofes

naturais

5 Necessaacuterio ao exerciacutecio de funccedilotildees de interesse puacuteblico ou ao exerciacutecio da

autoridade puacuteblica de que estaacute investido o responsaacutevel pelo tratamento

Em relaccedilatildeo a este pressuposto o jaacute citado Parecer indica que ldquo() abrange as

situaccedilotildees nas quais o proacuteprio responsaacutevel pelo tratamento tenha sido investido de

autoridade puacuteblica ou de uma missatildeo de interesse puacuteblico (mas natildeo necessariamente

tambeacutem de uma obrigaccedilatildeo legal de tratar dados) e o tratamento seja necessaacuterio para o

exerciacutecio dessa autoridade ou a execuccedilatildeo dessa missatildeordquo

O TJUE declarou no Ac de 27 de Setembro de 2017 Puskar que ldquo() natildeo se opotildee

a um tratamento de dados pessoais pelas autoridades de um Estado-Membro para efeitos

da cobranccedila de impostos e de luta contra a fraude fiscal (hellip) sem o consentimento das

pessoas em causa na condiccedilatildeo por um lado de essas autoridades terem sido investidas

pela legislaccedilatildeo nacional de missotildees de interesse puacuteblico na acessatildeo desta disposiccedilatildeo de a

criaccedilatildeo desta lista e na inscriccedilatildeo do nome das pessoas em causa serem efetivamente

adequadas e necessaacuterias para alcanccedilar os objetivos prosseguidos e de haver indiacutecios

suficientes para presumir que a inscriccedilatildeo das pessoas em causa na lista eacute justificada e por

outro de estarem cumpridos todos os requisitos de licituderdquo

O TJUE declarou igualmente no Ac de 16 de Dezembro de 2008 Huber que ldquoum

sistema de tratamento de dados pessoais respeitantes aos cidadatildeos da Uniatildeo que natildeo satildeo

nacionais do Estado-Membro em causa (hellip) e que tenha por objetivo dar apoio agraves

administraccedilotildees encarregadas da aplicaccedilatildeo da legislaccedilatildeo sobre o direito de residecircncia soacute

cumpre a exigecircncia da necessidade () interpretado agrave luz da proibiccedilatildeo de qualquer

discriminaccedilatildeo exercida em razatildeo da nacionalidade se contiver unicamente os dados

necessaacuterios agrave aplicaccedilatildeo dessa legislaccedilatildeo pelas referidas autoridades (hellip) natildeo se podem


45

considerar necessaacuterios na acessatildeo do artigo 7ordm aliacutenea e) da Diretiva 9546 a conservaccedilatildeo

e tratamento de dados pessoais nominativos no acircmbito de um registo como registo central

dos estrangeiros para fins estatiacutesticosrdquo60

Salienta-se nesta decisatildeo que natildeo estando presente a dimensatildeo da necessidade o

TJUE entendeu que o tratamento de dados natildeo poderaacute ser realizado


tratamento ou por um terceiro

Por uacuteltimo refere-se agrave necessidade do tratamento ldquopara efeito dos interesses

legiacutetimos prosseguidos pelo responsaacutevel pelo tratamento ou por terceiros exceto se

prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a

proteccedilatildeo de dados pessoais em especial se o titular for uma crianccedilardquo

De acordo com o considerando 47 ldquoos interesses legiacutetimos dos responsaacuteveis pelo

tratamento (hellip) podem constituir um fundamento juriacutedico para o tratamento desde que natildeo

prevaleccedilam os interesses ou os direitos e liberdades fundamentais do titular tomando em

conta as expectativas razoaacuteveis dos titulares dos dados baseadas na relaccedilatildeo com o

responsaacutevelrdquo

A existecircncia de um interesse legiacutetimo requer uma avaliaccedilatildeo cuidada nomeadamente

da questatildeo de saber se o titular dos dados pode razoavelmente prever no momento e no

contexto em que os dados pessoais satildeo recolhidos que esses poderatildeo vir a ser tratados com

essa finalidade Satildeo exemplos de interesses legiacutetimos dos responsaacuteveis que podem constituir

fundamento juriacutedico para o tratamento desde que natildeo prevaleccedilam os interesses ou os direitos

e liberdades fundamentais do titular designadamente quando

a Existir uma relaccedilatildeo relevante e apropriada entre o titular dos dados e o responsaacutevel

em situaccedilotildees como a que aquele eacute cliente ou estaacute ao serviccedilo deste

b O tratamento for estritamente necessaacuterio aos objetivos de prevenccedilatildeo e controlo da

fraude

c O tratamento for efetuado para efeitos de comercializaccedilatildeo direta

60 Negrito nosso


46

d Os responsaacuteveis que faccedilam parte de um grupo empresarial ou de uma instituiccedilatildeo

associada a um organismo central transmitam dados pessoais no acircmbito do - grupo

de empresas para fins administrativos internos incluindo o tratamento de dados

pessoais de clientes ou funcionaacuterios e

e O tratamento eacute necessaacuterio para assegurar a seguranccedila da rede e das informaccedilotildees

sobretudo quando o tratamento vise impedir o acesso natildeo autorizado a redes de

comunicaccedilotildees eletroacutenicas e a distribuiccedilatildeo de coacutedigos maliciosos e pocircr termo a

ataques de ldquonegaccedilatildeo a serviccedilordquo e a danos causados aos sistemas de comunicaccedilotildees

informaacuteticas e eletroacutenicas

No acircmbito deste fundamento o TJUE declarou no Ac de 24 de Novembro de 2011

Asociacioacuten Nacional de Establecimientos Financieros de Creacutedito que ldquoopotildee a uma

legislaccedilatildeo nacional que na inexistecircncia do consentimento da pessoa em causa e para

autorizar o tratamento dos seus dados pessoais necessaacuterio para prosseguir interesses

legiacutetimos do responsaacutevel pelo tratamento ou do terceiro ou terceiros a quem os dados sejam

comunicados exige aleacutem do respeito dos direitos e liberdades fundamentais dessa pessoa

que os referidos dados constem de fontes acessiacuteveis ao puacuteblico excluindo assim de forma

categoacuterica e generalizada todo e qualquer tratamento de dados que natildeo constem dessas

fontesrdquo

Ou ainda o Ac de 19 de Outubro de 2016 Patrick Breyer que ldquoopotildee a uma

regulamentaccedilatildeo de um Estado-Membro nos termos da qual um prestador de serviccedilos de

meios de comunicaccedilatildeo em linha apenas pode recolher e utilizar dados pessoais de um

utilizador desses serviccedilos sem o consentimento deste na medida em essa recolha e essa

utilizaccedilatildeo sejam necessaacuterias para permitir e faturar a utilizaccedilatildeo concreta dos referidos

serviccedilos por esse utilizador sem que o objetivo de garantir o funcionamento geral desses

mesmos serviccedilos possa justificar a utilizaccedilatildeo dos referidos dados apoacutes o termo de uma

sessatildeo de consulta desses meios de comunicaccedilatildeo () natildeo impotildee a obrigaccedilatildeo de comunicar

dados pessoais a um terceiro a fim de lhe permitir instaurar uma accedilatildeo de indemnizaccedilatildeo num

tribunal ciacutevel por um dano causado pela pessoa interessada na proteccedilatildeo desses dados

Todavia o artigo 7ordm aliacutenea f) desta diretiva natildeo se opotildee a tal comunicaccedilatildeo com base no

direito nacionalrdquo


47

Veja-se que o recurso ao criteacuterio dos interesses legiacutetimos natildeo abrange a prossecuccedilatildeo

de tarefas puacuteblicas nomeadamente de caraacutecter administrativo e exige sempre uma

ponderaccedilatildeo entre o interesse do responsaacutevel pelo tratamento do titular dos dados e

eventualmente de um terceiro


48

CAPIacuteTULO IV DIREITOS DO TITULAR DOS DADOS

O RGPD confere aos titulares dos dados pessoais objeto de tratamento um cataacutelogo

de direitos que devem ser salvaguardados pelo responsaacutevel pelo tratamento de dados de

modo a mitigar os desequiliacutebrios existentes

1 Regras para o exerciacutecio dos direitos dos titulares dos dados

O art 12ordm enuncia as regras para exerciacutecio dos direitos dos titulares dos dados neste

sentido qualquer um dos direitos abaixo elencados implica para as empresas a procura e a

implementaccedilatildeo de soluccedilotildees teacutecnicas que lhe permitam dar resposta agraves solicitaccedilotildees dos

titulares Ou seja o responsaacutevel pelo tratamento deveraacute fornecer os meios necessaacuterios para

que os titulares possam fazer os pedidos61

11Prazo

O art 12ordm nordm 3 exige que o responsaacutevel pelo tratamento forneccedila ldquoao titular as

informaccedilotildees sobre as medidas tomadas () sem demora injustificada e no prazo de um mecircs

a contar da data de receccedilatildeo do pedidordquo Na eventualidade de precisar de prorrogar o prazo

para aleacutem do periacuteodo de 30 dias o mesmo pode ser alargado ateacute trecircs meses no maacuteximo para

os casos complexos devendo o responsaacutevel informar o titular dos dados dos motivos da

demora no prazo de um mecircs a contar da data do pedido inicial

12Resposta

O responsaacutevel deve responder de forma clara concisa e suficiente aos pedidos

formulados Quanto agrave forma a adotar existe liberdade de forma a menos que se constate

imposiccedilatildeo legal ou contratual em contraacuterio No caso de as informaccedilotildees serem prestadas por

61 P ex atraveacutes da disponibilizaccedilatildeo de formulaacuterio constante do Anexo 2


49

via escrita com recurso a meios eletroacutenicos e por via oral eacute necessaacuterio que o responsaacutevel

pelo tratamento solicite que o titular comprove a sua identidade (nordm 1)

Em caso de indeferimento da pretensatildeo do titular o responsaacutevel pelo tratamento deve

comunicar as razotildees que sustentam a decisatildeo e informar da possibilidade de recorrer da

decisatildeo junto da entidade de controlo ou das instacircncias jurisdicionais

13Custo

Relativamente a custos nos termos do nordm 5 a regra eacute a prestaccedilatildeo gratuita das

informaccedilotildees e das comunicaccedilotildees para a satisfaccedilatildeo da pretensatildeo do titular poreacutem no caso de

os pedidos revestirem natureza infundada ou excessiva ou apresentarem caraacuteter repetitivo

pode ser exigido o pagamento de uma taxa que visa suportar os encargos administrativos

2 Direito a ser informado


O art 12ordm do RGPD prevecirc que deve ser fornecido aos titulares dos dados pessoais

objeto de tratamento um conjunto amplo e abrangente de informaccedilotildees (concisas

transparentes inteligiacuteveis e facilmente acessiacuteveis atraveacutes de uma linguagem clara) por

escrito ou natildeo tanto nos casos em que a recolha dos dados seja realizada diretamente junto

do titular como nos casos em que esta natildeo se realize na sua presenccedila Este direito pressupotildee

uma posiccedilatildeo proactiva pelo responsaacutevel e natildeo uma accedilatildeo indagatoacuteria por parte do titular

dos dados

22Como cumprir

Perante esta obrigaccedilatildeo o responsaacutevel pelo tratamento poderaacute incluir essas

informaccedilotildees nos documentos de suporte62 agrave recolha dos dados (formulaacuterios em papel ou em

62 Veja-se a tiacutetulo exemplificativo a poliacutetica de privacidade constante do Anexo 3


50

website) ou fazecirc-los constar numa claacuteusula de um determinado contrato ou ateacute num

Regulamento Interno A empresa ou a organizaccedilatildeo pode ainda optar pela entrega de um

documento escrito ou incluir a informaccedilatildeo no script dos operadores telefoacutenicos

O considerando 61 afirma uma das diferenccedilas fundamentais entre os arts 13ordm e 14ordm

baseado na dimensatildeo temporal ldquoas informaccedilotildees sobre o tratamento de dados pessoais

relativos ao titular dos dados deveratildeo ser a este fornecidas no momento da sua recolha junto

do titular dos dados ou se os dados pessoais tiverem sido obtidos a partir de outra fonte

dentro de um prazo razoaacutevel consoante as circunstacircnciasrdquo Dada a dificuldade em

interpretar a expressatildeo ldquoprazo razoaacutevelrdquo o nordm 3 do art 14ordm enuncia criteacuterios orientadores

relativamente agrave definiccedilatildeo de prazos nos termos seguintes

a O prazo maacuteximo definido em periacuteodo de tempo deve ser de um mecircs dependendo dos

processos de tratamento- al a)

b Caso se trate de dados a utilizar para fins de comunicaccedilatildeo o mais tardar no momento

da primeira comunicaccedilatildeo- al b)

c Caso esteja prevista a divulgaccedilatildeo junto de um destinataacuterio no limite no momento da

divulgaccedilatildeo- al c)

23Isenccedilotildees

Nos termos do art 13ordm nordm 4 e do art 14ordm nordm 5 do RGPD a obrigaccedilatildeo de informar

os titulares dos dados natildeo se aplica se o titular jaacute detiver todas as informaccedilotildees ou quando os

dados pessoais natildeo tiverem sido obtidos a partir do titular dos dados e a prestaccedilatildeo de

informaccedilotildees for impossiacutevel ou desproporcionada nomeadamente quando os dados pessoais

satildeo tratados para fins de arquivo no interesse puacuteblico para fins de investigaccedilatildeo cientiacutefica ou

histoacuterica ou para fins estatiacutesticos

3 Direito de acesso

31Noccedilatildeo

O direito de acesso encontra-se previsto no art 15ordm do RGPD e no nordm 1 do art 35ordm

da CRP e consiste em os titulares dos dados saberem se estatildeo ou natildeo a ser tratados dados


51

pessoais que lhes digam respeito se os dados foram transmitidos para outra entidade ou o

destino que lhes foi dado bem como de aceder aos seus dados e a todas as informaccedilotildees

respeitantes agraves respetivas operaccedilotildees de tratamento O direito de aceder agrave informaccedilatildeo permite

que os proacuteprios titulares validam o modo como a sua informaccedilatildeo estaacute a ser tratada

Este eacute um direito que se queda a montante de outros direitos tornando-se por isso

basilar no exerciacutecio dos outros direitos pois eacute aquele que permite o exerciacutecio posterior

dos outros63

Por exemplo no caso do Ac datado de 27 de Outubro de 2009 Haralambie v

Romecircnia o TEDH reiterou que os indiviacuteduos que foram objeto de tratamento de dados

pessoais tinham interesse em acedecirc-los Todavia o titular soacute teve acesso agraves informaccedilotildees

pretendidas cinco anos depois do pedido o que violou de forma clara e inequiacutevoca o art 8ordm

da CEDH Note-se que jaacute haacute largos anos este eacute um direito de maior interesse para os titulares

dos dados mas que nem sempre cumprido como se idealiza Assim o legislador por forma

a efetivar os direitos dos titulares no ordenamento juriacutedico passou a sujeitar as organizaccedilotildees

ao apertado crivo do prazo para o efeito

4 Direito de retificaccedilatildeo

O titular dos dados tem o direito de exigir que os dados a seu respeito sejam corretos

exatos completos e atuais para tanto pode o titular dos dados retificar ou completar os

seus dados pessoais quando estejam desatualizados incorretos ou incompletos

Note-se que a precisatildeo dos dados pessoais eacute essencial para garantir um elevado niacutevel

de proteccedilatildeo de dados para os titulares dos dados e no mesmo sentido tem entendido o TEDH

p ex no Ac de 18 de Novembro de 2014 Cemalettin Canli v Turquia por natildeo ser dada a

possibilidade de o titular retificar os dados considerou-se haver uma violaccedilatildeo do art 8ordm da

Carta

63 Neste sentido cf Ac TEDH de 28 de Abril de 2009 KH e outros v Eslovaacutequia TEDH


52

5 Direito ao apagamento (o direito de ser esquecido)64

51Noccedilatildeo

O nordm 1 do art 17ordm confere aos titulares dos dados pessoais o direito de solicitarem

que os dados pessoais que lhes dizem respeito sejam apagados criando assim nos

responsaacuteveis ou nos subcontratantes a obrigaccedilatildeo de o fazer com a maior brevidade

52Limitaccedilotildees

Este direito natildeo eacute absoluto sofre limitaccedilotildees que se encontram estabelecidas por lei

Assim o direito de obter a eliminaccedilatildeo dos dados pessoais eacute possiacutevel se

a Os dados se revelarem desnecessaacuterios supervenientemente para as finalidades que

estiveram na base da recolha ou do tratamento

b O titular dos dados retirar o consentimento (art 6ordm nordm 1 al a) ou art 9ordm nordm 2 al a))

quando o tratamento for necessariamente fundamentado neste e natildeo exista outro

fundamento legal para o tratamento dos dados

c O titular dos dados se opuser ao tratamento nos termos do art 21ordm nordm 1 e o

responsaacutevel pelo tratamento natildeo demonstrar que existam interesses legiacutetimos

prevalecentes que justifiquem o tratamento conforme o art 21ordm nordm 2

d Os dados foram tratados ilicitamente

e O apagamento dos dados for necessaacuterio para o cumprimento de uma obrigaccedilatildeo legal

a que o responsaacutevel pelo tratamento esteja sujeito

f Os dados foram recolhidos numa oferta de serviccedilos da sociedade de informaccedilatildeo a

crianccedilas com menos de 16 anos sem o consentimento dado por quem exerce as

responsabilidades parentais (art 8ordm nordm 1)

Mesmo que o titular dos dados possua um dos fundamentos anteriormente elencados

para o apagamento dos dados importa averiguar se estes dados se revelam necessaacuterios para

o responsaacutevel pelo tratamento ou subcontratante conforme consta do nordm 3 do mesmo artigo

ou seja se satildeo necessaacuterios ao exerciacutecio do direito agrave liberdade de expressatildeo e de informaccedilatildeo

para o cumprimento de uma obrigaccedilatildeo legal de um Estado-Membro para o exerciacutecio de

64 Cf Considerando 65


53

funccedilotildees de interesse puacuteblico ou o exerciacutecio da autoridade puacuteblica por motivos de sauacutede

puacuteblica para fins de arquivo investigaccedilatildeo ou estatiacutestica para efeitos de declaraccedilatildeo

exerciacutecio ou defesa de um direito num processo judicial Se alguma destas situaccedilotildees ocorrer

o direito ao esquecimento pode natildeo ser levado a cabo pelo responsaacutevel pelo tratamento

53Esquecimento em linha

O nordm 2 do art 17ordm trata do direito a ser esquecido em linha ou seja na eventualidade

de os dados entretanto terem sido divulgados a outras entidades o responsaacutevel pelo

tratamento deveraacute informar os restantes responsaacuteveis pelo tratamento dos dados que o titular

solicitou o ldquoapagamento das ligaccedilotildees para esses dadosrdquo e se estes forem puacuteblicos o

responsaacutevel pelo tratamento deve informar os restantes responsaacuteveis de que o titular solicitou

o assim como das ldquocoacutepias e reproduccedilotildeesrdquo tornando ldquoas medidas que forem razoaacuteveisrdquo

A propoacutesito do direito a ser esquecido em linha o TJUE jaacute haacute muito se pronunciou65

Defendeu que a atividade de um motor de busca como eacute o caso do Google eacute considerada

uma atividade que comporta o tratamento de dados e consequentemente deve tal entidade

ser considerada responsaacutevel pelo tratamento ateacute porque indexa armazena e potildee agrave disposiccedilatildeo

informaccedilotildees que contenham dados pessoais Por ser intitulado por responsaacutevel pelo

tratamento tem o dever de atender aos pedidos de esquecimento dos titulares isto eacuteldquo(hellip) o

operador de um motor de busca eacute obrigado a suprimir da lista de resultados exibida na

sequecircncia de uma pesquisa efetuada a partir do nome de uma pessoa as ligaccedilotildees a outras

paginas web publicadas por terceiros e que contenham informaccedilotildees sobre essa pessoardquo

Reconheceu ainda que esse direito natildeo eacute absoluto devendo ser avaliado caso a caso

e para o efeito forneceu orientaccedilotildees sobre os fatores a ter em conta durante o processo de

ponderaccedilatildeo ndash ldquo(hellip) esses direitos prevalecem em princiacutepio natildeo soacute sobre o interesse

econoacutemico do operador do motor de busca mas tambeacutem sobre o interesse desse puacuteblico em

aceder agrave informaccedilatildeo numa pesquisa sobre o nome dessa pessoa No entanto natildeo seraacute esse

o caso de se afigurar que por razotildees especiais como por exemplo o papel desempenhado

por essa pessoa na vida puacuteblica a ingerecircncia nos seus direitos fundamentais eacute justificada

65 Ac TJUE de 13 de maio de 2014 proc nordm C-13112 Google Spain


54

pelo interesse preponderante do referido puacuteblico em ter acesso agrave informaccedilatildeo em questatildeo

em virtude dessa inclusatildeordquo

Este Acoacuterdatildeo tratou de um pedido de um cidadatildeo espanhol que havia requerido agrave

Google que atraveacutes dos meios necessaacuterios garantisse que natildeo fossem devolvidos

determinados resultados por parte do motor de busca propriedade daquela aquando da

procura efetuada pelo seu nome

O TJUE reconheceu o direito ao esquecimento em linha e consequentemente o

direito de supressatildeo das ligaccedilotildees agraves informaccedilotildees pessoais por parte dos motores de busca

No entanto o TJUE natildeo se acanhou ao enunciar que no presente caso o direito ao

esquecimento em linha prevalece natildeo soacute sobre o interesse econoacutemico do operador de busca

mas tambeacutem sobre o direito agrave informaccedilatildeo Na sequecircncia do acoacuterdatildeo o GTA29 adotou

orientaccedilotildees para a aplicaccedilatildeo da decisatildeo do TJUE que incluem uma lista de criteacuterios comuns

a utilizar pelas autoridades de controlo no tratamento de queixas relacionadas com pedidos

de supressatildeo de indiviacuteduos

No sentido inverso eacute nos trazido o Ac TJUE de 9 de marccedilo de 2017 Manni que

depois de uma avaliaccedilatildeo ponderada nos nordms 53 54 56 e 57 sustentou que o titular dos dados

natildeo podia gozar do direito ao esquecimento tendo em conta que ldquo() os dados (hellip) podem

revelar-se necessaacuterios para designadamente apurar a legalidade de um ato praticado em

nome dessa sociedade durante o periacuteodo da sua atividade ou para que terceiros possam

intentar uma accedilatildeo contra os membros dos seus oacutergatildeos ou contra os seus liquidataacuterios Aleacutem

disso em funccedilatildeo designadamente dos prazos de prescriccedilatildeo aplicaacuteveis nos diferentes

Estados-Membros podem surgir questotildees que imponham a necessidade de dispor desses

dados mesmo vaacuterios anos apoacutes uma sociedade ter deixado de existir () Nessas condiccedilotildees

os Estados-Membros () natildeo podem garantir agraves pessoas (hellip) o direito de obter por

principio apoacutes um determinado prazo a contar da dissoluccedilatildeo da sociedade em causa a

supressatildeo dos dados pessoais que lhes dizem respeito que foram inscritos no registo em

aplicaccedilatildeo dessa uacuteltima disposiccedilatildeo ou o bloqueio desses dados para o puacuteblico Esta

interpretaccedilatildeo (hellip) natildeo conduz por outro lado a uma ingerecircncia desproporcionada nos

direitos fundamentais das pessoas em causa designadamente no direito ao respeito da vida

privada bem como no seu direito agrave proteccedilatildeo de dados pessoais garantidos pelos artigos 7ordm

e 8ordm da Cartardquo


55

6 Direito agrave limitaccedilatildeo do tratamento

O legislador introduziu o direito agrave limitaccedilatildeo do tratamento no art 18ordm que conjetura

que o titular dos dados tem o direito de exigir a limitaccedilatildeo do tratamento junto do responsaacutevel

quando pretender contestar a exatidatildeo dos dados pessoais durante um periacuteodo que permita

ao responsaacutevel pelo tratamento verificar a sua exatidatildeo se o tratamento for iliacutecito e o titular

dos dados se opuser ao apagamento dos dados pessoais e solicitar em contrapartida a

limitaccedilatildeo da sua utilizaccedilatildeo se o responsaacutevel pelo tratamento deixar de precisar dos dados

pessoais para fins de tratamento mas esses dados sejam requeridos pelo titular para efeitos

de declaraccedilatildeo exerciacutecio ou defesa de um direito num processo judicial se se tiver oposto ao

tratamento ateacute se verificar que os motivos legiacutetimos do responsaacutevel pelo tratamento

prevalecem sobre os do titular dos dados

Uma vez exercido este direito o responsaacutevel pelo tratamento deve informar a cada

destinataacuterio a quem os dados tenham sido transmitidos salvo se nos termos do art 19ordm tal

notificaccedilatildeo se revelar impossiacutevel ou implicar um desproporcionado esforccedilo Os dados

pessoais objeto desse exerciacutecio soacute podem ser tratados mediante consentimento do seu titular

para efeitos de declaraccedilatildeo exerciacutecio ou defesa de um direito num processo judicial para

defesa dos direitos de outra pessoa singular ou coletiva ou por motivos ponderosos de

interesse puacuteblico da Uniatildeo ou de um Estado-Membro

7 Direito agrave portabilidade de dados

71Noccedilatildeo

O art 20ordm do RGPD introduz um novo direito que deriva diretamente do direito de

acesso Este direito permite aos titulares dos dados receber os dados pessoais que tenham

fornecido a um responsaacutevel pelo tratamento num formato estruturado de uso corrente e de

leitura automaacutetica e transmitir esses dados a outro responsaacutevel pelo tratamento sem

impedimentos Este direito eacute estribado no princiacutepio do controlo do utilizador cujo objetivo

eacute conferir poderes de controlo do titular sobre os seus dados o que apoia a liberdade de


56

escolha do utilizador o controlo do utilizador e a capacitaccedilatildeo do utilizador66 uma vez que

lhes permite obter e reutilizar os seus dados pessoais para as suas proacuteprias finalidades e em

diferentes serviccedilos

Quando o responsaacutevel responde a um pedido de portabilidade de dados deve agir de

acordo com as instruccedilotildees do titular o que significa que natildeo eacute responsaacutevel pela conformidade

do destinataacuterio com a lei de proteccedilatildeo de dados dado que o titular decide para quem transfere

Importa ainda salientar que este direito de transmitir esses dados eacute efetuado

independentemente da vontade do responsaacutevel a quem o titular tenha inicialmente

fornecido os dados pessoais

72Requisitos

O exerciacutecio deste direito estaacute subordinado agrave verificaccedilatildeo cumulativa de quatro

pressupostos

a Incidecircncia sobre dados fornecidos pelo titular

b Tratamento baseado no consentimento (ao abrigo do art 6ordm nordm 1 al a) ou do art 9ordm

nordm 2 al a)) ou baseado na execuccedilatildeo de um contrato na qual o titular dos dados eacute parte

(ao abrigo do art 6ordm nordm 1 al b)

c Tratamento circunscrito aos dados respeitantes ao titular ou seja os dados inferidos

e os dados derivados que satildeo criados pelo responsaacutevel pelo tratamento com base nos

dados laquofornecidos pelo titular dos dadosraquo natildeo podem serem recebidos pelo titular

de dados e

d Tratamento realizado por meios automatizados

No que concerne a este uacuteltimo requisito natildeo se compreende a ratio legis do mesmo

Ora de acordo com a definiccedilatildeo constante do art 4ordm nordm 3 do RGPD que vai ao encontro do

art 35ordm nordm 7 da CRP ldquoos dados pessoais constantes de ficheiros manuais gozam de proteccedilatildeo

idecircntica agrave prevista em nuacutemeros anteriores nos termos da leirdquo

66 Cf GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre o direito agrave portabilidade dos dadosrdquo

(16PT WP 242 rev 01) adotada em 13 de dezembro de 2016 com a uacuteltima redaccedilatildeo revista e adotada em 5 de

abril de 2017 p 3


57

Assim sendo porque natildeo se incluiu todos os dados pessoais neste direito agrave

portabilidade A legislaccedilatildeo faz uma diferenciaccedilatildeo no nosso entendimento injustificada que

impede o acionamento deste direito por parte dos titulares dos dados que vecircm os seus dados

organizados em ficheiros manuais

Quando uma pessoa exerce o seu direito agrave portabilidade dos dados faacute-lo sem prejuiacutezo

de qualquer outro direito (tal como sucede com qualquer outro direito no acircmbito do RGPD)

Um titular de dados pode continuar a utilizar e beneficiar dos serviccedilos do responsaacutevel pelo

tratamento mesmo apoacutes uma operaccedilatildeo de portabilidade de dados

73Meios teacutecnicos

O art 20ordm nordm 2 impotildee aos responsaacuteveis pelo tratamento a obrigaccedilatildeo de transmitir os

dados portaacuteveis diretamente para outros responsaacuteveis pelo tratamento ldquosempre que tal seja

tecnicamente possiacutevelrdquo

Este direito tem como objetivo obter reutilizar e transmitir os dados entre diferentes

serviccedilos e para os seus proacuteprios fins com isso ldquoespera-se que (hellip) promova oportunidades

de inovaccedilatildeo e de partilha segura de dados pessoais entre os responsaacuteveis pelo tratamento

sob o controlo do titular dos dadosrdquo 67

Todavia natildeo tendo o RGPD tornado obrigatoacuterio o desenvolvimento de formatos

interoperaacuteveis68 nem imposto recomendaccedilotildees sobre o formato especiacutefico a ser fornecido

tem-se entendido que este armazenamento pode ser feito atraveacutes de um dispositivo privado

ou de uma nuvem privada sem haver necessariamente lugar a uma transmissatildeo dos dados

para outro responsaacutevel pelo tratamento

Face ao exposto devido aos obstaacuteculos que os titulares dos dados sentiratildeo no

exerciacutecio deste direito por falta de formatos interoperaacuteveis e de recomendaccedilotildees defendemos

que este direito seraacute despido de aplicaccedilatildeo praacutetica (ou pelo menos natildeo teraacute tanta aplicabilidade

quanto a desejada)

67 Idem p 6 68 Pode ser definida em um sentido amplo como a capacidade dos sistemas de informaccedilatildeo de trocar dados e

permitir o compartilhamento de informaccedilotildees


58

No nosso entendimento devia este direito ser alvo de concretizaccedilatildeo legislativa pelos

Estados-Membros atraveacutes da adoccedilatildeo de diretrizes que exigissem que as organizaccedilotildees

dispussem de formatos interoperaacuteveis formatos estes preacute-estabelecidos pelo legislador

8 Direito de oposiccedilatildeo

O art 21ordm nordm 1 do RGPD autoriza o titular dos dados a opor-se a qualquer momento

por motivos relacionados com a sua situaccedilatildeo particular ao tratamento dos dados pessoais

que lhe digam respeito que tenham por base interesses legiacutetimos ou interesse puacuteblico

incluindo a definiccedilatildeo de perfis com base nessas disposiccedilotildees 69

O exerciacutecio do direito de oposiccedilatildeo pressupotildee a existecircncia de um tratamento de dados

legiacutetimo que tenha como fundamento de legitimidade natildeo o consentimento nem uma

obrigaccedilatildeo legal mas a prossecuccedilatildeo de interesse puacuteblico (art 6ordm nordm 1 al e)) a realizaccedilatildeo de

interesses legiacutetimos do responsaacutevel pelo tratamento ou de um terceiro (art 6ordm nordm 1 al f))

ou as condiccedilotildees previstas no art 6ordm nordm 4

Este direito natildeo se considera aplicaacutevel se o responsaacutevel apresentar uma ponderaccedilatildeo

de interesses em que invoque ldquorazotildees imperiosas e legiacutetimas para esse tratamento que

prevaleccedilam sobre os interesses direitos e liberdades do titular dos dados ou para efeitos

de declaraccedilatildeo exerciacutecio ou defesa de um direito num processo judicialrdquo Trata-se dos

requisitos de aplicaccedilatildeo de interesse legiacutetimo como fundamento de legitimidade para o

tratamento de dados pessoais

O tratamento de dados para efeitos de comercializaccedilatildeo direta permite que o titular

dos dados se oponha a qualquer momento ao tratamento dos dados pessoais que lhe digam

respeito para os efeitos da referida comercializaccedilatildeo (nordm 2) Se assim for os dados pessoais

deixam de ser tratados para esse fim (nordm 3)

Mesmo quando o tratamento relativo a profiling for legiacutetimo o titular dos dados tem

direito a opor-se nos termos do art 21ordm que consagra um direito especiacutefico de oposiccedilatildeo

relativamente a decisotildees individuais automatizadas De acordo com este artigo o

69 A este propoacutesito ver o Ac TJUE de 9 de marccedilo de 2017 proc C-39815 Manni no que concerne ao

reconhecimento por parte do TJUE da existecircncia de um direito de se opor ao tratamento


59

responsaacutevel pelo tratamento dos dados deve cessar o tratamento se existir oposiccedilatildeo do titular

dos dados a natildeo ser que apresente razotildees imperiosas e legiacutetimas para o tratamento


definiccedilatildeo de perfis70

Desde a implementaccedilatildeo da Diretiva a tecnologia sofreu avanccedilos significativos

permitindo aos responsaacuteveis pelo tratamento reunir e analisar dados dos titulares de forma a

criar perfis tornando os titulares dos dados alvos para tratamento de dados intrusivos

O art 22ordm consagra o direito agrave natildeo sujeiccedilatildeo a decisotildees individuais automatizadas

suscetiacuteveis de serem tomadas por um responsaacutevel pelo tratamento baseadas nos dados

pessoais do titular constantes do sistema informaacutetico daquele

O nordm 1 consagra o direito do titular dos dados a natildeo ficar sujeito a nenhuma decisatildeo

tomada exclusivamente com base no tratamento automatizado que poderaacute incluir uma

medida que avalie aspetos pessoais que lhe digam respeito incluindo a definiccedilatildeo de perfis

mediante qualquer forma de tratamento automatizado de dados pessoais para avaliar aspetos

pessoais relativos a uma pessoa singular em especial a anaacutelise e previsatildeo de aspetos

relacionados com o desempenho profissional a situaccedilatildeo econoacutemica sauacutede preferecircncias ou

interesses pessoais fiabilidade ou comportamento localizaccedilatildeo ou deslocaccedilotildees do titular dos

dados (cf considerando 71)

Este direito de natildeo sujeiccedilatildeo a decisotildees automatizadas abrange apenas aquelas

decisotildees que produzam efeitos na esfera juriacutedica dos titulares ou afetem significativamente

de forma similar

Embora por princiacutepio o titular dos dados tenha o direito de natildeo ficar sujeito a decisotildees

baseadas em tratamentos automatizados dos dados incluindo o profiling estas seratildeo

possiacuteveis nos termos do art 22ordm quando

a Necessaacuterias para a celebraccedilatildeo de um contrato ou execuccedilatildeo do mesmo entre o titular

dos dados e o responsaacutevel pelo tratamento

b Autorizadas pela lei de um estado membro

70 Cf definiccedilatildeo constante do art 4ordm nordm 4


60

c Existir consentimento expliacutecito do titular

De acordo com o nordm 3 nos casos previstos em a e c o responsaacutevel pelo tratamento

deve aplicar medidas para salvaguardar os direitos e legiacutetimos interesses daquele

designadamente a informaccedilatildeo especiacutefica ao titular dos dados ou seja o direito de obter a

intervenccedilatildeo humana de manifestar o seu ponto de vista de obter uma explicaccedilatildeo sobre a

decisatildeo tomada na sequecircncia dessa avaliaccedilatildeo e de contestar a decisatildeo Se tais decisotildees

puderem ter um impacto significativo na vida das pessoas por exemplo71 na qualidade de

creacutedito eacute necessaacuteria uma proteccedilatildeo especial para evitar consequecircncias negativas

10 Limitaccedilotildees aos direitos dos titulares de dados

Para aleacutem das limitaccedilotildees especiacuteficas de cada um dos direitos dos titulares de dados

existe um conjunto de restriccedilotildees comuns a todos os direitos e que satildeo referidas no art 23ordm

do RGPD Estamos a considerar limitaccedilotildees necessaacuterias num contexto de uma sociedade

democraacutetica para salvaguardar como refere o texto do RGPD seguranccedila do Estado defesa

seguranccedila puacuteblica prevenccedilatildeo investigaccedilatildeo deteccedilatildeo ou repressatildeo de infraccedilotildees penais ou a

execuccedilatildeo de sansotildees penais incluindo a salvaguarda e a prevenccedilatildeo de ameaccedilas agrave seguranccedila

puacuteblica outros objetivos importantes do interesse puacuteblico geral da Uniatildeo ou de um Estado-

Membro nomeadamente um interesse econoacutemico ou financeiro importante da Uniatildeo ou de

um Estado-Membro incluindo nos domiacutenios monetaacuterio orccedilamental ou fiscal da sauacutede

puacuteblica e da seguranccedila social defesa da independecircncia judiciaacuteria e dos processos judiciais

prevenccedilatildeo investigaccedilatildeo deteccedilatildeo e repressatildeo de violaccedilotildees da deontologia de profissotildees

regulamentadas uma missatildeo de controlo de inspeccedilatildeo ou de Regulamento associada ainda

que ocasionalmente ao exerciacutecio da autoridade puacuteblica nos casos referidos nas als a) e) e

g) a defesa do titular dos dados ou dos direitos e liberdades de outrem a execuccedilatildeo de accedilotildees

ciacuteveis

71 Para avaliar rapidamente a credibilidade de um cliente futuro as agecircncias de creacutedito reuacutenem determinados

dados Esses dados pessoais satildeo posteriormente convertidos em um algoritmo de pontuaccedilatildeo que calcula um

valor global representando a capacidade de creacutedito do cliente em potencial


61

CAPIacuteTULO V RESPONSAacuteVEL PELO TRATAMENTO E SUBCONTRATANTE

Secccedilatildeo I Obrigaccedilotildees Gerais

1 Subcontrataccedilatildeo

O RGPD define o responsaacutevel pelo tratamento ou controller na terminologia

inglesa no seu art 4ordm nordm 7 como ldquoa pessoa singular ou coletiva a autoridade puacuteblica a

agecircncia ou outro organismo que individualmente ou em conjunto com outras determina as

finalidades e os meios de tratamento de dados pessoais sempre que as finalidades e os

meios desse tratamento sejam determinados pelo direito da Uniatildeo ou de um Estado-

Membro o responsaacutevel pelo tratamento ou os criteacuterios especiacuteficos aplicaacuteveis agrave sua

nomeaccedilatildeo podem ser previstos pelo direito da Uniatildeo ou de um Estado-Membrordquo

E subcontratante72 ou processor na terminologia inglesa no seu art 4ordm nordm 8 como

ldquouma pessoa singular ou coletiva a autoridade puacuteblica agecircncia ou outro organismo que

trate os dados pessoais por conta do responsaacutevel pelo tratamento destesrdquo

Na Diretiva os subcontratantes tinham essencialmente de cumprir deveres relativos

agrave seguranccedila e agrave confidencialidade Com o Regulamento apesar de o responsaacutevel pelo

tratamento dos dados continuar em grande parte a ser o responsaacutevel pelo cumprimento das

regras de proteccedilatildeo de dados pessoais o subcontratante fica obrigado a diversos deveres a

que ateacute agora natildeo estava obrigado veja-se a tiacutetulo exemplificativo a obrigatoriedade de

registo das atividades de tratamento (art 30ordm nordm 2) o cumprimento da seguranccedila no

tratamento dos dados (art 32ordm) ou a nomeaccedilatildeo de EPD (art 37ordm)

O Regulamento preceitua ainda que os subcontratantes satildeo responsabilizados pelo

incumprimento das regras do RGPD nos termos previstos no art 82ordm ldquose natildeo tiver

cumprido as obrigaccedilotildees decorrentes do presente regulamento dirigidas especificamente aos

subcontratantes ou se natildeo tiver seguido as instruccedilotildees liacutecitas do responsaacutevel pelo

72 De acordo com a CNPD o termo correto seraacute subcontratado e natildeo subcontratante como consta do

Regulamento No entanto seraacute adotada a terminologia usada no RGPD


62

tratamentordquo podendo inclusivamente ficar sujeitos ao pagamento das coimas previstas no

art 83ordm do RGPD

Tal alteraccedilatildeo legislativa justifica-se porque a decisatildeo de contratar um subcontratante

cabe em exclusivo ao responsaacutevel pelo tratamento que pode optar por levar a cabo o

tratamento de dados dentro da sua proacutepria organizaccedilatildeo ou externalizar73

A relaccedilatildeo entre o responsaacutevel pelo tratamento e o subcontratante deve constar de um

documento escrito para o efeito o art 28ordm do Regulamento apresenta de forma detalhada a

forma e o conteuacutedo deste contrato74 prevendo-se inclusivamente a possibilidade de a

Comissatildeo vir a estabelecer claacuteusulas contratuais tipo A natildeo existecircncia deste contrato eacute uma

violaccedilatildeo da obrigaccedilatildeo de fornecer documentaccedilatildeo por escrito de responsabilidades muacutetuas

2 Responsabilidade do responsaacutevel pelo tratamento

O art 24ordm nordm 1 consigna duas obrigaccedilotildees indissociaacuteveis do responsaacutevel pelo

tratamento A primeira eacute a obrigaccedilatildeo que ldquotendo em conta a natureza o contexto as

finalidades do tratamento dos dados bem como os riscos para os direitos e liberdades das

pessoas singulares cuja probabilidade e gravidade podem ser variaacuteveis o responsaacutevel pelo

tratamento aplica as medidas teacutecnicas e organizativas que forem adequadas para assegurar

e poder comprovar que o tratamento eacute realizado em conformidade com o presente

regulamentordquo

Por medidas teacutecnicas e organizativas o legislador abarca natildeo soacute as plataformas

fiacutesicas informaacuteticas ou digitais mas tambeacutem todos os procedimentos manuais com ou sem

intervenccedilatildeo humana - que afetaratildeo o tratamento (vide art 24ordm nordm 2 e 3)

A segunda obrigaccedilatildeo eacute a de revisatildeo e atualizaccedilatildeo dessas medidas consoante as

necessidades

73 A externalizaccedilatildeo de qualquer serviccedilo implica abdicar do controlo inerente agrave circunstacircncia desse serviccedilo ser

levado a cabo internamente 74 Exemplo constante do Anexo 4


63

3 Proteccedilatildeo de dados desde a conceccedilatildeo e por defeito

31 Privacy by design

De acordo com o art 25ordm n ordm1 encontra-se plasmada a ideia de ldquoprivacy by designrdquo

ou ldquoproteccedilatildeo desde a conceccedilatildeordquo que se traduz numa ldquoabordagem que assenta na

necessidade de garantir a privacidade durante todo o processo de desenvolvimento de um

novo produtoprocesso Eacute uma abordagem proacute-ativa que permite que aquando da conceccedilatildeo

de um novo produto ou de um novo serviccedilo se considere o risco que tal representa para a

privacidade ao inveacutes de apenas serem consideradas estas questotildees posteriormente As

empresas e as organizaccedilotildees devem avaliar cuidadosamente e implementar medidas e

procedimentos teacutecnicos e organizacionais adequados desde o iniacutecio para garantir que o

tratamento estaacute em conformidade com o RGPD e protege os direitos dos titulares dos dados

em causardquo75

Ou seja o responsaacutevel pelo tratamento ao adotar os meios teacutecnicos e organizativos

a aplicar ao tratamento deveraacute ponderar desde logo na conceccedilatildeo do tratamento as teacutecnicas

mais avanccediladas existentes no mercado (ldquostate of the artrdquo) os custos de aplicaccedilatildeo de tais

meios a natureza do tratamento o acircmbito nomeadamente em termos de categorias de

dados volume de dados tratados extensatildeo territorial ou nuacutemero de titulares abrangidos o

contexto do tratamento as finalidades do tratamento dos dados e os riscos de tratamento no

que respeita aos direitos e liberdades das pessoas singulares sendo este graduado natildeo apenas

em funccedilatildeo da gravidade em abstrato da sua verificaccedilatildeo mas tambeacutem da probabilidade da

sua efetiva concretizaccedilatildeo

32 Privacy by default

O nordm 2 do art 25ordm consagra o princiacutepio da ldquoproteccedilatildeo de dados por defeitordquo ou

ldquoprivacy by defaultrdquo segundo o qual soacute os dados pessoais tratados devem cingir-se ao

miacutenimo estritamente necessaacuterio agraves finalidades do tratamento pretendido proibindo-se a

75 MAGALHAtildeES Filipa Matias PEREIRA Maria Leitatildeo Regulamento Geral de Proteccedilatildeo de Dados Manual

Praacutetico 2018 p 36


64

recolha de dados que excedam tais finalidades A este respeito a atuaccedilatildeo das organizaccedilotildees

deve limitar-se ao miacutenimo necessaacuterio quer quanto ldquoagrave quantidade de dados pessoais

recolhidos agrave extensatildeo de seu tratamento ao seu prazo de conservaccedilatildeo e agrave sua

acessibilidaderdquo assim como agraves pessoas ou entidades que aos mesmos tecircm acesso

33 Suacutemula

Em suma os princiacutepios de ldquoprivacy by designrdquo e ldquoprivacy by defaultrdquo auxiliam o

responsaacutevel pelo tratamento e o subcontratante desde um momento embrionaacuterio o que soacute

por si exprime um grande avanccedilo no objetivo de estar compliant neste sentido vejamos que

ldquoa necessidade de proteccedilatildeo de dados deveraacute ser considerada desde logo no

desenvolvimento de um novo produtoprocesso de modo a garantir que somente os dados

pessoais necessaacuterios para cada propoacutesito especiacutefico do tratamento sejam recolhidos (acesso

por tipo de utilizador em funccedilatildeo da sua necessidade) vedando-se a recolha de dados

pessoais completamente desnecessaacuteriosrdquo76

4 Documentaccedilatildeo e registo de atividade de tratamento

O art 30ordm consagra uma obrigaccedilatildeo77 que natildeo existia na Diretiva e que eacute uma das

manifestaccedilotildees do dever de accountability consiste no dever dos responsaacuteveis pelo

tratamento de dados e dos subcontratantes (art 30ordm nordm 2) de documentar de forma

detalhada todas as atividades relacionadas com o tratamento de dados pessoais natildeo soacute as

que resultam da obrigaccedilatildeo de manter um registo como tambeacutem as relativas a outros

procedimentos internos de modo a que a organizaccedilatildeo esteja apta a demonstrar o

cumprimento de forma transparente de todas as obrigaccedilotildees decorrentes do RGPD

A obrigaccedilatildeo de proceder ao registo de tratamentos dos dados pessoais jaacute foi encetada

aquando do enquadramento do preceituado no nordm 2 do art 5ordm na medida em que estabelece

que ldquoo responsaacutevel pelo tratamento eacute responsaacutevel pelo cumprimento do disposto no nordm 1 e

tem de poder comprovaacute-lo (laquoresponsabilidaderaquo)rdquo e do art 24ordm nordm 1 que prevecirc que o

76 Ibidem 77 Em bom rigor trata-se antes de um dever atenta agrave definiccedilatildeo legal de obrigaccedilatildeo contida no art 397ordm do

CC


65

responsaacutevel pelo tratamento de dados pessoais deve ldquopoder comprovar que o tratamento eacute

realizado em conformidaderdquo

Segundo a primeira parte do nordm 5 do art 30ordm apenas as entidades que empregam

mais de 250 trabalhadores estatildeo sujeitas a esta obrigaccedilatildeo de registo exceto se o tratamento

efetuado for suscetiacutevel de implicar um risco para os direitos e liberdades do titular dos dados

natildeo for ocasional abranger dados sensiacuteveis ou abranger dados penais ou relativos a

condenaccedilotildees penais e infraccedilotildees referidas no art 10ordm

Aos responsaacuteveis pelo tratamento de dados que devem conservar um registo das

atividades de tratamento de dados78 ou aos que pretendem de forma voluntaacuteria fazecirc-lo o

art 30ordm nordm 1 define as informaccedilotildees que deste registo deve constar diga-se

a Identificaccedilatildeo (nome e contactos do responsaacutevel pelo tratamento ou responsaacutevel

conjunto pelo tratamento ou do seu representante bem como do EDP)

b Finalidades dos tratamentos dos dados

c Descriccedilatildeo das categorias de titulares de dados e das categorias de dados pessoais

d Categorias de destinataacuterios a quem os dados pessoais foram ou seratildeo divulgados

e As transferecircncias de dados pessoais para paiacuteses terceiros ou organizaccedilotildees

internacionais incluindo a identificaccedilatildeo desses paiacuteses terceiros ou organizaccedilotildees

internacionais e a documentaccedilatildeo que comprove a existecircncia das garantias adequadas

(se aplicaacutevel)

f Prazos previstos para o apagamento das diferentes categorias de dados

g Descriccedilatildeo geral das medidas teacutecnicas e organizativas no domiacutenio da seguranccedila

incluindo consoante o que for adequado a pseudonimizaccedilatildeo e a cifragem dos dados

pessoais a capacidade de assegurar a confidencialidade integridade disponibilidade

e resiliecircncia permanentes dos sistemas e dos serviccedilos de tratamento a capacidade de

restabelecer a disponibilidade e o acesso dos dados pessoais de forma atempada no

caso de um incidente fiacutesico ou teacutecnico e um processo para testar apreciar e avaliar

78 Ver exemplo constante do Anexo 5


66

regularmente a eficaacutecia das medidas teacutecnicas e organizativas para garantir a

seguranccedila do tratamento

Jaacute no art 30ordm nordm 2 estatildeo elencadas as informaccedilotildees que deveratildeo constar dos registos

das atividades de tratamento de dados pessoais realizadas pelos subcontratantes eou pelos

seus representantes em nome de um responsaacutevel pelo tratamento que satildeo por conseguinte

menores79

Esta obrigaccedilatildeo relaciona-se com o facto de as notificaccedilotildeesautorizaccedilotildees preacutevias

atuais deixarem na sua maioria de ser obrigatoacuterias pelo que este registo e a existecircncia do

EPD acabam por ser as principais formas de demonstrar a conformidade com a lei perante

as autoridades de proteccedilatildeo de dados

Secccedilatildeo II Seguranccedila dos dados pessoais

1 O reforccedilo de poliacuteticas e procedimentos de seguranccedila de dados

A seguranccedila dos dados apresenta-se como fundamental no Regulamento o que em

termos gerais impotildee regras mais exigentes para a seguranccedila dos dados80 vejamos o seu art

32ordm que exige ldquotendo em conta as teacutecnicas mais avanccediladas os custos de aplicaccedilatildeo e a

natureza o acircmbito o contexto e as finalidades do tratamento dos dados bem como os riscos

de probabilidade e gravidade variaacutevel para os direitos e liberdades das pessoas singulares

o responsaacutevel pelo tratamento e o subcontratanterdquo sejam aplicadas as medidas teacutecnicas e

organizativas necessaacuterias para garantir um niacutevel de seguranccedila adequado Este artigo aponta

sugestotildees especiacuteficas de medidas de seguranccedila consideradas adequadas

a A pseudonimizaccedilatildeo e a cifragem dos dados pessoais

b A capacidade de garantir a confidencialidade integridade (proteccedilatildeo contra qualquer

forma de perda de dados) disponibilidade e resiliecircncia permanentes dos sistemas e

dos serviccedilos de tratamento o que exige do responsaacutevel pelo tratamento a

implementaccedilatildeo de um sistema de gestatildeo de seguranccedila da informaccedilatildeo

79 Modelo constante do Anexo 6 80 Ainda com algum paralelismo com o art 17ordm da Diretiva


67

c A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de

forma atempada no caso de um incidente fiacutesico ou teacutecnico

d Um processo para testar apreciar e avaliar regularmente a eficaacutecia das medidas

adotadas

e O cumprimento de um coacutedigo de conduta (art 40ordm) ou de um processo de certificaccedilatildeo

(art 42ordm)

Ou ainda atraveacutes das seguintes regras organizacionais internas

a Formaccedilatildeo regular aos funcionaacuterios sobre as regras de seguranccedila de dados e suas

obrigaccedilotildees especialmente em mateacuteria de confidencialidade

b Distribuiccedilatildeo e descriccedilatildeo clara das responsabilidades e competecircncias

c Utilizaccedilatildeo de dados pessoais apenas de acordo com as instruccedilotildees da pessoa

competente ou de acordo com as regras estabelecidas

d Proteccedilatildeo contra acesso a locais de hardware e software incluindo controlos sobre a

autorizaccedilatildeo de acesso

e Certificaccedilatildeo de que as autorizaccedilotildees de acesso a dados pessoais foram concedidas pela

pessoa com poderes para o ato exigindo-se para o efeito documentaccedilatildeo

f Protocolos automatizados de acesso eletroacutenico a dados pessoais e controlo regular de

tais protocolos

g Documentaccedilatildeo exaustiva de modo a demonstrar que natildeo ocorreram transmissotildees

ilegais de dados

h Formaccedilatildeo e educaccedilatildeo sobre seguranccedila dos dados

i Os procedimentos de verificaccedilatildeo tambeacutem devem ser implementados para assegurar

que as medidas apropriadas natildeo apenas existam no papel mas sejam implementadas

e funcionem na praacutetica (como auditorias internas ou externas)

A jurisprudecircncia tem se vindo a pronunciar neste sentido vejamos o Ac do TEDH

de 17 de julho de 2008 I v Finland em que o TEDH concluiu que houve uma violaccedilatildeo do

art 8ordm da CEDH uma vez que o sistema de registo do hospital natildeo esclarecia

retroativamente o uso de registos de pacientes pois revelava apenas as uacuteltimas cinco

consultas


68

2 Notificaccedilatildeo de uma violaccedilatildeo de dados pessoais

Em caso de uma violaccedilatildeo de dados pessoais que eacute definida no art 4ordm nordm 12 as

organizaccedilotildees devem de forma a evitar investigaccedilotildees por parte das autoridades de controlo e

possiacuteveis aplicaccedilotildees de sanccedilotildees criar uma poliacutetica adequada de resposta que inclua um plano

de accedilatildeo e de implementaccedilatildeo raacutepida

21 Agrave autoridade de controlo

No caso de uma violaccedilatildeo de dados pessoais81 o art 33ordm nordm 1 estabelece que os

responsaacuteveis pelo tratamento ficam obrigados a notificar82 as autoridades de proteccedilatildeo de

dados (em Portugal a CNPD) ldquosem demora injustificada e sempre que possiacutevel ateacute 72 horas

apoacutes ter tido conhecimento da mesmardquo

Esta notificaccedilatildeo natildeo eacute obrigatoacuteria se a violaccedilatildeo dos dados pessoais natildeo for suscetiacutevel

de resultar num risco83 para os direitos e liberdades dos titulares dos dados

Note-se que o prazo de 72 horas natildeo se encontra previsto para o subcontratante

Poreacutem eacute de entender que o prazo imposto para comunicar a violaccedilatildeo ao responsaacutevel deveraacute

ser ainda mais reduzido atento o conceito de demora injustificada aplicaacutevel a ambos

Assim eacute fundamental que o responsaacutevel pelo tratamento ou o subcontratante seja

capaz de detetar qualquer violaccedilatildeo de dados assim que a mesma ocorra e notificar nos termos

definidos no Regulamento Esta notificaccedilatildeo deve conter84

a A descriccedilatildeo da natureza da violaccedilatildeo de dados pessoais incluindo sempre que

possiacutevel as categorias e o nuacutemero aproximado de pessoas em causa bem como as

categorias e o nuacutemero aproximado de registo de dados pessoais em questatildeo

b O nome e os dados de contacto do responsaacutevel pela proteccedilatildeo de dados

c Descriccedilatildeo das consequecircncias provaacuteveis da violaccedilatildeo de dados pessoais

81 Na Diretiva natildeo se encontrava qualquer definiccedilatildeo de ldquoviolaccedilatildeo de dados pessoaisrdquo nem se fazia referecircncia

agrave necessidade de notificaccedilatildeo agraves autoridades de proteccedilatildeo de dados nem aos titulares dos dados pessoais 82A CNPD jaacute publicou um modelo de formulaacuterio para as situaccedilotildees de violaccedilotildees de dados disponiacutevel no Anexo

7 83 Quanto a noacutes bastaraacute a existecircncia de um risco miacutenimo para ser necessaacuterio o cumprimento da obrigaccedilatildeo em

causa 84Tendo em conta o prazo eacute permitido no nordm 4 que as informaccedilotildees sejam fornecidas faseadamente


69

d Descriccedilatildeo das medidas tomadaspropostas pelo responsaacutevel pelo tratamento para

reparar a violaccedilatildeo de dados pessoais incluindo quando apropriado medidas para

mitigar seus possiacuteveis efeitos negativos

Considerando que em alguns casos jaacute mencionados o registo das atividades eacute

obrigatoacuterio o responsaacutevel pelo tratamento dos dados fica incumbido de manter registados os

incidentes de violaccedilatildeo de dados pessoais podendo a autoridade de proteccedilatildeo de dados

verificar o seu cumprimento

22 Ao titular dos dados

De acordo com o art 34ordm nordm 1 sempre que a violaccedilatildeo de dados seja suscetiacutevel de

representar um alto risco para os direitos e liberdades dos seus titulares deve o responsaacutevel

pelo tratamento dos dados comunicar tal violaccedilatildeo ao titular dos dados em linguagem

acessiacutevel e simples sem demora injustificada

Diga-se ainda que o nordm 3 do art 33ordm estabelece um conjunto de derrogaccedilotildees a esta

obrigaccedilatildeo designadamente quando o responsaacutevel pelo tratamento tenha implementado

medidas de proteccedilatildeo teacutecnicas e organizativas adequadas e essas medidas tenham sido

aplicadas aos dados pessoais afetados pela violaccedilatildeo de dados pessoais especialmente

medidas que tornem os dados pessoais ininteligiacuteveis a qualquer pessoa que natildeo autorizada a

aceder os mesmo como criptografia quando o responsaacutevel pelo tratamento tiver tomado

medidas subsequentes que assegurem que o elevado risco para os direitos e liberdades dos

titulares dos dados natildeo for suscetiacutevel de se concretizar ou se a notificaccedilatildeo implicar um

esforccedilo desproporcionado neste caso os titulares de dados podem ser informados sobre a

violaccedilatildeo atraveacutes de outros meios como uma comunicaccedilatildeo puacuteblica ou medidas semelhantes

Secccedilatildeo III Breve alusatildeo ao estudo da avaliaccedilatildeo de impacto sobre a proteccedilatildeo de dados

Segundo o GTA29 ldquouma AIPD eacute um processo concebido para descrever o

tratamento avaliar a necessidade e proporcionalidade desse tratamento e ajudar a gerir os

riscos para os direitos e liberdades das pessoas singulares decorrentes do tratamento dos

dados pessoais avaliando-os e determinando as medidas necessaacuterias para fazer face a esses


70

riscos As AIPD satildeo instrumentos importantes em mateacuteria de responsabilizaccedilatildeo uma vez

que ajudam os responsaacuteveis pelo tratamento natildeo apenas a cumprir os requisitos do RGPD

mas tambeacutem a demonstrar que foram tomadas medidas adequadas para assegurar a

conformidade com o regulamentordquo85

Trata-se de uma soluccedilatildeo ex ante jaacute que eacute realizada antes de iniciar o tratamento e satildeo

uma forma uacutetil de os responsaacuteveis pelo tratamento de dados aplicarem sistemas de

tratamento de dados que estejam em conformidade juriacutedica

Satildeo dimensionaacuteveis e podem assumir diferentes formas ou seja os responsaacuteveis pelo

tratamento de dados gozam de flexibilidade para determinar a estrutura e a forma com vista

a que se encaixe nas praacuteticas de trabalho existentes Poreacutem o RGPD no seu nordm 7 do art 35ordm

define os requisitos baacutesicos para uma AIPD eficaz Este tipo de avaliaccedilatildeo eacute de caraacuteter

obrigatoacuterio conforme dispotildee o art 35ordm quando o tratamento implicar a avaliaccedilatildeo sistemaacutetica

e completa dos aspetos pessoais relacionados com pessoas singulares baseada no tratamento

automatizado de dados incluindo profiling que levem a decisotildees que afetem o titular dos

dados operaccedilotildees de tratamento em larga escala de dados sensiacuteveis eou o controlo

sistemaacutetico de zonas acessiacuteveis ao puacuteblico em grande escala

A realizaccedilatildeo de uma AIPD implica a solicitaccedilatildeo obrigatoacuteria pelo responsaacutevel de um

parecer ao EDP nos casos em que este exista mas a sua fundamentaccedilatildeo e conclusotildees natildeo

satildeo vinculativas para o responsaacutevel A autoridade de controlo tambeacutem deve ser consultada

antes de se iniciar qualquer tipo de tratamento quando a avaliaccedilatildeo de impacto indicar que

existe um risco elevado86 natildeo mitigado pela tomada de medidas devendo comunicar-lhe

nessa consulta as informaccedilotildees previstas no art 36ordm nordm 3 do RGPD

85 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees relativas agrave Avaliaccedilatildeo de Impacto sobre a Proteccedilatildeo

de Dados (AIPD) e que determinam se o tratamento eacute laquosuscetiacutevel de resultar num elevado riscoraquo para efeitos

do Regulamento (UE) 2016679rdquo (WP 248 rev01) adotada em 04042017 p 4 86 O Grupo de Trabalho do Artigo 29 emitiu diretrizes sobre as avaliaccedilotildees de impacto de proteccedilatildeo de dados

como jaacute referenciada supra Desenvolveu nove criteacuterios para ajudar a determinar se uma avaliaccedilatildeo de impacto

de proteccedilatildeo de dados eacute necessaacuteria introduzindo a regra de que as operaccedilotildees que atendam a dois ou mais

criteacuterios exigiratildeo a AIPD


71

Secccedilatildeo IV Encarregado de proteccedilatildeo de dados

1 Elo de ligaccedilatildeo

Umas das principais novidades introduzidas pelo RGPD eacute a figura do encarregado

de proteccedilatildeo de dados (EPD) ou na terminologia inglesa o Data Protection Officer (DPO)

plasmada nos arts 37ordm e ss A figura natildeo existia na Diretiva 9546CE no entanto natildeo eacute uma

novidade para diversos paiacuteses da UE cuja legislaccedilatildeo interna jaacute contemplava uma figura

similar com destaque para a lei alematilde onde o Regulamento nitidamente se inspirou87 A

figura do EPD eacute vista como uma pedra angular da responsabilizaccedilatildeo uma vez que facilita o

cumprimento ao mesmo tempo que atuam como intermediaacuterios entre as autoridades de

controlo88 os titulares dos dados e o responsaacutevel pelo tratamento O EDP assegura que os

direitos e liberdades dos titulares dados natildeo satildeo suscetiacuteveis de serem violados aquando do

tratamento O EPD eacute uma pessoa agrave qual eacute atribuiacuteda a responsabilidade formal de assegurar

que a empresa que o contrata estaacute devidamente compliance com as regras da proteccedilatildeo de

dados

2 Designaccedilatildeo obrigatoacuteria

Conforme o art 37ordm a nomeaccedilatildeo de um EPD pelo responsaacutevel pelo tratamento dos

dados ou pelo subcontratante eacute obrigatoacuteria para as autoridades ou organismos puacuteblicos

entidades que controlem regularmente dados pessoais em grande escala entidades que

controlem regularmente dados pessoais sensiacuteveis em grande escala ou dados pessoais

relativos a condenaccedilotildees penais e infraccedilotildees Diga-se no entanto que o RGPD se socorreu de

conceitos indeterminados89 para definir as situaccedilotildees em que eacute obrigatoacuterio nomear um DPO

87 A Lei Federal Alematilde de Proteccedilatildeo de Dados (Bundesdatenschutzgesetz) impotildee agraves entidades em que pelo

menos 9 trabalhadores trabalhem em tratamento automatizado de dados ou em que pelo menos 20 procedam

ao tratamento natildeo automatizado de dados a nomeaccedilatildeo de um encarregado de proteccedilatildeo de dados 88 Devendo para o efeito a sua designaccedilatildeo ser notificada agrave CNPD atraveacutes de formulaacuterio proacuteprio que consta do

Anexo 8 89 Veja-se nesse sentido os esclarecimentos do GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre

os encarregados da proteccedilatildeo de dados (EPD)rdquo (WP 243 rev01) adotada em 13122016


72

Aleacutem disso o art 37ordm nordm 4 do RGPD prevecirc que o responsaacutevel pelo tratamento o

subcontratante ou as associaccedilotildees e outros organismos representativos de categorias de

responsaacuteveis pelo tratamento ou subcontratantes possam facultativamente ou de acordo com

a legislaccedilatildeo do Estado-Membro designar um EPD90

O EPD deve ser designado com base nas suas ldquoqualidades profissionaisrdquo e nos seus

ldquoconhecimentos especializadosrdquo em mateacuteria de proteccedilatildeo de dados91 entre os quais se

considera essencial um adequado conhecimento da legislaccedilatildeo e praacuteticas tanto nacionais

como europeias de proteccedilatildeo de dados conhecimento das operaccedilotildees de processamento

realizadas e conhecimento das tecnologias de informaccedilatildeo e de seguranccedila dos dados de modo

a promover uma cultura de proteccedilatildeo de dados dentro da organizaccedilatildeo

O EPD tanto pode pertencer agrave estrutura interna do responsaacutevel pelo tratamento ou do

subcontratante como ser contratado em regime de prestaccedilatildeo de serviccedilos com as vantagens

daiacute advenientes como a independecircncia e isenccedilatildeo no exerciacutecio das funccedilotildees em caso de ser

externo e o conhecimento aprofundado do funcionamento da organizaccedilatildeo no caso de ser

interno

3 Funccedilotildees

As suas funccedilotildees satildeo exercidas com autonomia o que significa que o EDP pode

exercer outras funccedilotildees desde que natildeo fique sujeito a um eventual conflito de interesses92

Em termos gerais o EPD deve

a Ter capacidade para informar aconselhar e monitorizar a administraccedilatildeo da

empresainstituiccedilatildeo bem como os seus trabalhadores a respeito das obrigaccedilotildees

constantes do RGPD assim como das outras disposiccedilotildees de proteccedilatildeo de dados em

vigor na UE ou noutros Estados-Membros

90 Prevecirc-se que na Europa sejam necessaacuterios cerca de 28000 EPD 91 Apesar de a lei natildeo referir qualificaccedilotildees especiais para o exerciacutecio destas funccedilotildees o que se verifica nos paiacuteses

onde jaacute existia esta figura eacute que elas satildeo exercidas essencialmente por profissionais da aacuterea legal ou de IT 92 Os cargos suscetiacuteveis de gerar conflitos no seio da organizaccedilatildeo podem incluir os cargos de gestatildeo superiores

outras funccedilotildees em niacuteveis inferiores da estrutura organizacional se esses cargos ou funccedilotildees levarem agrave

determinaccedilatildeo das finalidades e dos meios de tratamento ou se o EPD externo for chamado a representar o

responsaacutevel pelo tratamento e o subcontratante junto dos tribunais no acircmbito de processos respeitantes a

questotildees de proteccedilatildeo de dados


73

b Manter-se atualizado recorrendo a formaccedilatildeo e sensibilizaccedilatildeo para mateacuterias de

proteccedilatildeo de dados pessoais

c Realizar auditorias

d Aconselhamento em AIPD

e Colaborar com as autoridades de proteccedilatildeo de dados

f Relacionar-se com os titulares dos dados nomeadamente no acircmbito do exerciacutecio dos

seus direitos

g Estar vinculado agrave obrigaccedilatildeo de sigilo ou de confidencialidade

4 Direitos

Assim em funccedilatildeo da natureza das operaccedilotildees de tratamento e das atividades e

dimensatildeo da organizaccedilatildeo deve ser concedido ao EPD

a Apoio ativo agraves funccedilotildees do EPD por parte dos quadros de gestatildeo superiores

b Tempo suficiente para que os EPD desempenhem as suas tarefas

c Apoio adequado em termos de recursos financeiros materiais e humanos sempre

que necessaacuterio

d Acesso a outros serviccedilos no seio da organizaccedilatildeo para que os EPD possam receber

apoio contributos ou informaccedilotildees essenciais por parte destes outros serviccedilos

e Formaccedilatildeo contiacutenua pois tem direito a manter-se atualizado

f Acesso a todas as operaccedilotildees de tratamento e dados pessoais tratados pela entidade

g Natildeo correr o risco de ser destituiacutedo ou penalizado pelo facto de exercer as funccedilotildees

Tudo sob pena de a empresa estar em risco de ser condenada no pagamento de uma

coima por violaccedilatildeo das obrigaccedilotildees e deveres decorrentes do RGPD


74

CAPIacuteTULO VI SANCcedilOtildeES

1 Corporate Risk

Os dados pessoais que satildeo na sua geacutenese um ldquodireito do homemrdquo passam a ser

tambeacutem um ldquoCorporate Riskrdquo tendo em conta as coimas elevadas que aliadas a uma maior

fiscalizaccedilatildeo das autoridades de proteccedilatildeo de dados vatildeo obrigar as organizaccedilotildees a olhar

seriamente para as questotildees de privacidade Nas palavras de BECCARIA se o legislador

surge como o ldquohaacutebil arquitecto cujo ofiacutecio eacute o de se opor agraves direccedilotildees desastrosas da [forccedila

da] gravidade e de consolidar aquelas que contribuem para a seguranccedila da construccedilatildeordquo93

JOSEacute MOUTINHO E ANTOacuteNIO RAMALHO entendem que o legislador ldquocriou um

edifiacutecio cuja excessiva solidez natildeo se adaptaraacute agraves forccedilas das Constituiccedilotildees nacionais e ruiraacute

sobre si mesmardquo94 isto porque ldquoa tutela dos bens juriacutedicos subjacentes agrave proteccedilatildeo de dados

natildeo se cria pela imposiccedilatildeo externa de sanccedilotildees desproporcionais ao agente da infraccedilatildeo (hellip)

devendo ser antes o fruto de um labor de sensibilizaccedilatildeo que faccedila brotar da consciecircncia

juriacutedica comum a compreensatildeo dos referidos valores e a importacircncia do seu respeito para

tutela da pessoa humanardquo95 Analisemos o seu regime

2 Sanccedilotildees

21Natureza

Para a definiccedilatildeo de crime e de contraordenaccedilatildeo atendemos ao criteacuterio formal rectius

nominal96 ndash ou seja se a praacutetica de um facto declarado for passiacutevel de ldquopenardquo por lei (art 1ordm

93 BECCARIA Cesare Beccaria Dos delitos e das penas 2009 p 73 94 MOUTINHO Joseacute Lobo e RAMALHO David Silva Notas sobre o regime sancionatoacuterio da proposta

Regulamento Geral sobre Proteccedilatildeo de Dados do Parlamento Europeu e do Conselho in laquoFoacuterum de Proteccedilatildeo

de Dadosraquo n ordm1 2015 p 31 95 Ibidem 96 Segundo MOUTINHO Joseacute Lobo Direito das contra-ordenaccedilotildees- Ensinar e Investigar 2008 p 29 e 30

laquoEacute que para por seu turno se apurar quando estamos perante uma coima natildeo parece bastar uma mera

equivalecircncia de natureza (sanccedilatildeo pecuniaacuteria natildeo convertiacutevel em prisatildeo) como demonstram os casos natildeo soacute

das multas disciplinares como das multas processuais e das multas aplicaacuteveis agraves pessoas coletivas em caso de

crime Tudo vem pois a depender do facto de o texto da lei conter a palavra ldquocoimardquo para designar a sanccedilatildeo

correspondente ao facto iliacutecito A opccedilatildeo por um criteacuterio nominal eacute sem duacutevida de entre todas a mais

pragmaacutetica na medida em que poupa o inteacuterprete agrave questatildeo da qualificaccedilatildeoraquo


75

nordm 1 do CP) estaremos perante um crime se a praacutetica de um facto preencher um tipo legal

no qual se comine uma ldquocoimardquo (art 1ordm do RGCO) ndash estaremos perante uma

contraordenaccedilatildeo Ora as sanccedilotildees aplicaacuteveis agraves infraccedilotildees puniacuteveis por forccedila do RGPD satildeo

expressamente qualificadas como ldquocoimasrdquo97 e satildeo impostas pelas autoridades de controlo

segundo o art 83ordm nordm 9 Desta qualificaccedilatildeo decorre a aplicabilidade subsidiaacuteria do RGCO

isto eacute naquilo que o art 83ordm for omisso este diploma colmataraacute as lacunas

22Quantum das coimas

Veja-se que o Regulamento estabelece no art 83ordm dois niacuteveis de aplicaccedilatildeo de coimas

a Coimas ateacute euro2000000 ou no caso de uma empresa ateacute 4 do seu volume de

negoacutecios anual a niacutevel mundial correspondente ao exerciacutecio financeiro anterior

consoante o montante que for mais elevado para o caso de incumprimento de

obrigaccedilotildees do responsaacutevel pelo tratamento e do subcontratante previstas nos arts

8ordm 11ordm 25ordm a 39ordm e 42ordm e 43ordm de obrigaccedilotildees dos organismos de certificaccedilatildeo

previstas nos arts 42ordm e 43ordm e de obrigaccedilotildees do organismo de supervisatildeo que se

refere o art 41ordm nordm 4

b Coimas ateacute euro10000000 ou no caso de uma empresa ateacute 2 do seu volume de


consoante o montante que for mais elevado estando em causa violaccedilotildees dos

princiacutepios baacutesicos do tratamento nos termos dos arts 5ordm a 7ordm e 9ordm violaccedilotildees dos

direitos previstos nos arts 12ordm a 22ordm violaccedilotildees das regras sobre transferecircncias

previstas nos arts 44ordm a 49ordm violaccedilotildees do direito do Estado-Membro adotado o

abrigo do Capiacutetulo IX (art 85ordm a 91ordm) ou ainda violaccedilotildees dos art 58 ordm nordm 1 e nordm 2

221 Limites maacuteximos e (natildeo) miacutenimos

Do exposto note-se que o RGPD criou um limite maacuteximo sancionatoacuterio aplicaacutevel

no entanto natildeo definiu os limites miacutenimos para as sanccedilotildees que prevecirc possibilitando assim a

97 A versatildeo alematilde tambeacutem qualifica as sanccedilotildees como ldquoGelbuBenrdquo que satildeo exatamente as sanccedilotildees

correspondentes agrave definiccedilatildeo legal das contra-ordenaccedilotildees (ldquoGesetz uumlber Ordnungswidrigkeitenrdquo) Jaacute a versatildeo

inglesa fala em ldquoadministrative finesrdquo e a francesa em ldquoamendes administrativesrdquo


76

aplicaccedilatildeo de coimas de valor reduzido (no limite um euro ou 374 euros se considerarmos a

legislaccedilatildeo portuguesa mais concretamente o RGCO)

Perante uma moldura tatildeo dilatada entre os montantes miacutenimos e maacuteximos das

coimas as autoridades de controlo nacional satildeo alvo de seacuterias dificuldades no momento de

fixar a medida da coima concretamente aplicaacutevel

Jaacute haacute muito se tem apontado na doutrina que a fixaccedilatildeo das sanccedilotildees viola as normas

da CRP isto porque para aleacutem de suscitar problemas de proporcionalidade na medida em

que agraves infraccedilotildees de iacutenfima gravidade possam fazer-se seguir sanccedilotildees de gravidade

inversamente severas tambeacutem se verifica um desrespeito pelo princiacutepio da legalidade

previsto no art 29ordm CRP jaacute que ldquo(hellip) sanccedilotildees com limites tatildeo distantes entre si (hellip)

traduziriam a transferecircncia da funccedilatildeo legislativa (ou normativa) para o aplicador da sanccedilatildeo

e portanto a ausecircncia de qualquer garantia contra o arbiacutetriordquo98

A jurisprudecircncia do Tribunal Constitucional no Ac nordm 852012 e nos Acs nordms

782013 e 6122014 tem-se caracterizado de uma acrescida toleracircncia relativamente a

coimas de elevada amplitude e com maacuteximos extremamente elevados apesar de algumas

divergecircncias a respeito da concretizaccedilatildeo dessa exigecircncia99 Apesar de tudo e jaacute como o velho

ditado popular nos ensina ldquoquando a esmola eacute demais o pobre desconfiardquo com isto

queremos dizer que natildeo nos parece que o TC continue a ser tatildeo benevolente em relaccedilotildees aos

limites maacuteximos das coimas As sanccedilotildees em causa natildeo se mostram aptas a resistir agraves

exigecircncias de nenhuma das vaacuterias orientaccedilotildees assumidas pelo TC ateacute porque estamos a falar

de coimas ateacute euro10000000 ou euro20000000 Daiacute que se afigure necessaacuterio que a legislaccedilatildeo

nacional preveja um regime que respeitando embora o topo estabelecido no Regulamento

possa tambeacutem respeitar os princiacutepios constitucionais da proporcionalidade e da legalidade

Lembremo-nos que EDUARDO CORREIA enquanto Ministro da Justiccedila exorou

no relatoacuterio do diploma que introduziu as contra-ordenaccedilotildees em Portugal ldquopara obviar [hellip]

a perigos e abusos submete-se a aplicaccedilatildeo da coima a um estrito princiacutepio de

legalidaderdquo100

98 MOUTINHO Joseacute Lobo - Legislador portuguecircs precisa-se Algumas notas sobre o regime sancionatoacuterio no

Regulamento Geral de Proteccedilatildeo de Dados (Regulamento (UE) 2016679) in laquoFoacuterum de Proteccedilatildeo de Dadosraquo

nordm 4 2017 p 4 a 57 em especial p 56 e 57 99 Cf Acs TC nordm 57495 54701 e 412004 100 Relatoacuterio do Decreto-Lei nordm 23279 de 24 de Julho nordm 5


77

23Ne bis in idem

Como Portugal ainda natildeo adotou legislaccedilatildeo interna sobre proteccedilatildeo de dados apoacutes a

entrada em vigor do RGPD no presente momento no nosso paiacutes a Lei nordm 6798 de 26 de

outubro a Lei da Proteccedilatildeo Dados Pessoais continua a ser a lei portuguesa em mateacuteria de

proteccedilatildeo de dados Esta lei transpocircs para a ordem juriacutedica portuguesa a Diretiva nordm

9546CE do Parlamento Europeu e do Conselho de 241095 relativa agrave proteccedilatildeo das

pessoas singulares no que diz respeito ao tratamento de dados pessoais e agrave livre circulaccedilatildeo

desses dados e que ao momento presente ainda se encontra em vigor A este propoacutesito

cumpre citar o comunicado101 da Autoridade de Controlo portuguesa em mateacuteria de proteccedilatildeo

de dados a CNPD emitido no dia 25 de maio de 2018 que explicou que enquanto natildeo for

aprovada legislaccedilatildeo nacional que complemente o RGPD e que venha a revogar a Lei nordm

6798 de 26 de outubro esta lei se manteacutem em vigor em tudo o que natildeo contrarie o

Regulamento

Acontece que muitos dos comportamentos presentemente previstos na Lei nordm 6798

como iliacutecitos penais estatildeo agora tipificados no RGPD como iliacutecitos contraordenacionais

Apesar de revestirem a natureza de contraordenaccedilatildeo as coimas satildeo mais graves do que as

multas previstas na lei nacional Lanccedilando matildeo do art 20ordm do RGCO segundo o qual nos

enuncia que se o mesmo facto constituir simultaneamente crime e contraordenaccedilatildeo seraacute o

agente sempre punido a tiacutetulo de crime Tal puniccedilatildeo a tiacutetulo de crime levaraacute a uma violaccedilatildeo

do RGPD jaacute que implicaraacute a aplicaccedilatildeo do regime penal portuguecircs em detrimento do direito

da UE e consequentemente de um regime menos severo para as organizaccedilotildees

Conforme CRISTINA PIMENTA COELHO102 nos ensina ldquodeveraacute assim ser

seriamente repensado o Direito Penal da proteccedilatildeo de dados limitando-se os iliacutecitos penais

a casos particularmente graves que envolvam um grande nuacutemero de titulares de dados

lesados ou em que haja um enriquecimento iliacutecito agrave custa de um tratamento abusivo de dados

101 Comunicado da CNPD - Aplicaccedilatildeo do novo quadro legal de proteccedilatildeo de dados de 25 de maio de 2018 ldquohellipA

partir de hoje 25 de maio de 2018 o RGPD tem plena aplicaccedilatildeo em toda a Uniatildeo Europeia e por isso

tambeacutem em Portugal Enquanto natildeo for aprovada legislaccedilatildeo nacional que complemente o RGPD e que venha

a revogar a Lei nordm 6798 de 26 de outubro esta lei manter-se-aacute em vigor em tudo o que natildeo contrarie aquele

diploma europeu No que diz respeito aos tratamentos de dados pessoais relativos agrave prevenccedilatildeo investigaccedilatildeo

e repressatildeo criminal a Lei nordm 6798 tem integral aplicaccedilatildeo sem qualquer alteraccedilatildeo ateacute agrave transposiccedilatildeo da

Diretiva 2016680helliprdquo 102 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] op cit p 650


78

pessoais com um agravamento significativo da moldura penal face ao quadro atualmente

vigenterdquo

24 Responsaacuteveis pelas contra-ordenaccedilotildees

Afinal quem satildeo os responsaacuteveis pelas coimas

No contexto sancionatoacuterio o Regulamento usa da expressatildeo ldquoempresardquo O art 4ordm

nordm 18 e nordm 19 definem empresa (enterprise) e grupo de empresas (group of undertakings)

No entanto a expressatildeo ldquoempresardquo no regime sancionatoacuterio natildeo eacute a definida no RGPD

Atraveacutes da leitura do considerando 150 extrai-se que o legislador pretendeu esclarecer a

quem compete a responsabilidade ao expor que ldquosempre que forem impostas coimas a

empresas estas deveratildeo ser entendidas como empresas nos termos dos artigos 101ordm e 102ordm

do TFUE para esse efeitordquo Sucede que as regras do Tratado para que se apela versam sobre

praacuteticas anti concorrenciais e embora usem a expressatildeo ldquoempresardquo natildeo incluem

expressamente qualquer definiccedilatildeo da mesma Soacute atraveacutes da jurisprudecircncia do Tribunal de

Justiccedila e dos Direitos nacionais (entre noacutes art 3ordm do Regime Juriacutedico da Concorrecircncia

aprovado pela Lei nordm 192012 de 8 de Maio103) podemos clarificar o conceito

Implementa-se assim a duacutevida sobre a noccedilatildeo de ldquoempresardquo utilizada nas normas

sancionadoras que traz consigo a indeterminaccedilatildeo sobre a sanccedilatildeo a aplicar a empresas

integradas em grupos uma vez que a coima a aplicar agraves ldquoempresasrdquo tem como maacuteximo uma

percentagem do seu ldquovolume de negoacutecios anual a niacutevel mundial correspondente ao exerciacutecio

financeiro anteriorrdquo (cf art 83ordm nordm 4 5 e 6) e este eacute naturalmente diferente consoante se

considere a empresa em si e por si ou o grupo de empresas em que ela se insira Mais uma

vez exige-se legislaccedilatildeo interna

103 De acordo com o qual se considera ldquoqualquer entidade que exerccedila uma atividade econoacutemica que consista

na oferta de bens ou serviccedilos num determinado mercado independentemente do seu estatuto juriacutedico e do seu

modo de financiamentordquo (nordm 1) e uma uacutenica empresa ldquoo conjunto de empresas que embora juridicamente

distintas constituem uma unidade econoacutemica ou mantecircm entre si laccedilos de interdependecircncia decorrentes

nomeadamente a) De uma participaccedilatildeo maioritaacuteria no capital b) Da detenccedilatildeo de mais de metade dos votos

atribuiacutedos pela detenccedilatildeo de participaccedilotildees sociais c) Da possibilidade de designar mais de metade dos

membros do oacutergatildeo de administraccedilatildeo ou de fiscalizaccedilatildeo d) Do poder de gerir os respetivos negoacuteciosrdquo (nordm 2)


79

25 Ponderaccedilatildeo na aplicaccedilatildeo

O art 83ordm nordm 2 prevecirc o princiacutepio da proporcionalidade e procede agrave enumeraccedilatildeo dos

fatores a ter em consideraccedilatildeo na aplicaccedilatildeo das coimas

251 Princiacutepio da proporcionalidade

O princiacutepio da proporcionalidade prevecirc que as coimas possam ser aplicadas para

aleacutem ou em vez das medidas referidas no art 58ordm nordm 2 al a) a h) e j) ou seja nem sempre a

violaccedilatildeo das normas do RGPD daraacute lugar agrave aplicaccedilatildeo de coimas Pode a autoridade de

controlo decidir repreender advertir ou ordenar a adoccedilatildeo de medidas que levem ao

cumprimento do RGPD Quer isto dizer que haacute sempre que fazer uma avaliaccedilatildeo casuiacutestica

para determinar se haacute ou natildeo razotildees para aplicar uma coima

252 Fatores

Este preceito esclarece que ldquoao decidir sobre a aplicaccedilatildeo de uma coima e sobre o

montante da coima em cada caso individualrdquo satildeo tidas ldquoem devida consideraccedilatildeordquo uma

seacuterie de circunstacircncias entre as quais importa destacar a natureza a gravidade e a duraccedilatildeo

da infraccedilatildeo o caraacuteter intencional ou negligente as categorias de dados afetados o grau de

cooperaccedilatildeo com a autoridade de controlo as medidas tomadas para atenuar os danos

sofridos o grau de responsabilidade ou eventuais infraccedilotildees anteriores a via pela qual a

infraccedilatildeo chegou ao conhecimento da autoridade de controlo o cumprimento das medidas

ordenadas contra o responsaacutevel pelo tratamento ou subcontratante o cumprimento de um

coacutedigo de conduta ou quaisquer outros fatores agravantes ou atenuantes entre outras

Este elenco eacute natildeo taxativo o que permite aos Estados-Membros consagrar na

legislaccedilatildeo interna outros criteacuterios que se afigurem pertinentes nomeadamente a situaccedilatildeo

econoacutemica do infrator


80

253 Como ponderar

Do exposto no art 83ordm nordm 2 natildeo eacute possiacutevel distinguir com clareza os casos em que

soacute deve ser aplicada a coima daqueles em que deve ser cumulada com medidas corretivas ou

daqueles em que se impotildee somente medidas corretivas

No entanto o RGPD atribui no seu art 70ordm nordm 1 al k) competecircncia ao Comiteacute

europeu para a proteccedilatildeo de dados104 para elaborar ldquodiretrizes dirigidas agraves autoridades de

controlo em mateacuteria de aplicaccedilatildeo das medidas a que se refere o artigo 58ordm nordms 1 2 e 3 e

de fixaccedilatildeo de coimas nos termos do artigo 83ordmrdquo Neste ponto uma vez mais reitera-se a

importacircncia de o legislador intervir para que as sanccedilotildees aplicadas sigam criteacuterios

proporcionais e equitativos

3 Margem de discricionariedade dada aos Estados-Membros105

Em mateacuteria de sanccedilotildees existem vaacuterios pontos que deveratildeo ser alvo de intervenccedilatildeo

alguns deles jaacute referidos ao longo desse capiacutetulo dedicado agraves sanccedilotildees Para aleacutem dos jaacute

referidos o art 84ordm prevecirc que ldquoos Estados-Membros estabelecem as regras relativas agraves

outras sanccedilotildees aplicaacuteveis em caso de violaccedilatildeo do disposto no presente regulamento

nomeadamente agraves violaccedilotildees que natildeo satildeo sujeitas a coimas nos termos do art 83ordm 106 e

tomam todas as medidas necessaacuterias para garantir a sua aplicaccedilatildeo As sanccedilotildees previstas

devem ser efetivas proporcionadas e dissuasivasrdquo

Fica assim claro que cabe aos Estados-Membros natildeo soacute a determinaccedilatildeo de outras

sanccedilotildees (designadamente penais) para as violaccedilotildees ao Regulamento como ainda a previsatildeo

104 De acordo com o art 68ordm do Regulamento ldquoo Comiteacute eacute composto pelo diretor de uma autoridade de

controlo de cada Estado-Membro e da Autoridade Europeia para a Proteccedilatildeo de Dados ou pelos respetivos

representantesrdquo (nordm 3) ldquoQuando num determinado Estado-Membro haja mais do que uma autoridade de

controlo com responsabilidade pelo controlo da aplicaccedilatildeo do presente regulamento eacute nomeado um

representante comum nos termos do direito desse Estado-Membrordquo (nordm 4) 105 Como refere HENRIQUES Miguel Gorjatildeo Direito da Uniatildeo Europeia 2014 p 297 a ldquoautossuficiecircncia

normativardquo de que gozam os Regulamentos ldquonatildeo implica que todo e cada regulamento seja em si mesmo

preciso e suficiente ao ponto de dispensar qualquer atuaccedilatildeo normativa por parte da Uniatildeo ou dos Estados

membros Eacute o que acontece no primeiro caso com os Regulamentos adotados ao abrigo de processo legislativo

e que prevecircem a adoccedilatildeo de atos delegados ou de execuccedilatildeo E no segundo caso com aqueles (muitos)

Regulamentos que expressa ou implicitamente habilitam os Estados membros a adotar medidas de aplicaccedilatildeo

legislativas regulamentares administrativas e financeiras necessaacuterias agrave sua efetiva aplicaccedilatildeo reconhecendo a

estes inclusivamente poderes discricionaacuteriosrdquo 106 Por lapso na publicaccedilatildeo oficial diz-se ldquo7983ordmrdquo resultado de natildeo se ter eliminado o nuacutemero do art em que

a mateacuteria vinha tratada na Proposta que era o 79ordm


81

de sanccedilotildees aplicaacuteveis agraves infraccedilotildees que natildeo satildeo sujeitas a coimas nos termos do art 83ordm107

Assim sendo parece indeclinaacutevel uma intervenccedilatildeo do legislador nacional pelo menos para

o efeito de prever e determinar os termos do sancionamento das infraccedilotildees ao Regulamento

natildeo previstas nos nordms 4 a 6 do art 83ordm

Em suma em mateacuteria sancionatoacuteria apesar de estarmos perante um Regulamento

torna-se imperativo a mediaccedilatildeo de lei portuguesa que preveja as infraccedilotildees ao Regulamento

natildeo diretamente nele tipificadas que estabeleccedila normas incriminadoras e que segundo JOSEacute

MOUTINHO E ANTOacuteNIO RAMALHO permita respeitar a reserva relativa da Assembleia

da Repuacuteblica108 em mateacuteria de regime geral das contra-ordenaccedilotildees adiante-se que segundo

este autor esta competecircncia eacute violada com a aprovaccedilatildeo do regime sancionatoacuterio apenas pelo

RGPD

Outro caso de ldquoaberturardquo estabelecido aos Estados-Membros eacute o do art 83ordm nordm 7 em

consonacircncia com o considerando 150 que dispotildee que cabe a estes determinar se as

autoridades e organismos puacuteblicos deveratildeo estar sujeitas a coimas e em que medida o seratildeo

sem prejuiacutezo da possibilidade de aplicaccedilatildeo de medidas de correccedilatildeo Uma vez que natildeo foi

aprovada a lei portuguesa destinada a executar o RGPD considera-se que natildeo haacute base legal

para a aplicaccedilatildeo de coimas a entidades puacuteblicas Diferente foi o entendimento da CNPD

atraveacutes da Deliberaccedilatildeo nordm 9842018 de 9 de outubro homologada pela respetiva Presidente

Filipa Calvatildeo em 11 de outubro de 2018 que aplicou a uma entidade puacuteblica empresarial

mais concretamente ao Centro Hospitalar Barreiro Montijo EPE uma coima de euro400000

ao abrigo do RGPD Aguarda-se a decisatildeo do tribunal que vier a recair sobre esta decisatildeo da

CNPD

107 O mesmo deriva do considerando 152 108 MOUTINHO Joseacute Lobo e RAMALHO David Silva Notas sobre o regime sancionatoacuterio da proposta


de Dadosraquo n ordm1 2015 p 20-35


82

CAPIacuteTULO VII TUTELA JUDICIAL E RESPONSABILIDADE CIVIL

De modo a tornar eficazes as regras europeias de proteccedilatildeo de dados eacute necessaacuterio

estabelecer mecanismos que permitam aos indiviacuteduos combater as violaccedilotildees de seus direitos

e buscar compensaccedilatildeo por qualquer dano sofrido Vejamos de seguida quais satildeo

1 Via administrativa direito de apresentar reclamaccedilatildeo a uma autoridade de

controlo

O nordm 1 do art 77ordm vem densificar o direito de reclamar perante a autoridade de

controlo esclarecendo que tal direito natildeo interfere ou preclude o direito de utilizar outras

vias designadamente graciosas ou contenciosas

Ou seja a preacutevia reclamaccedilatildeo perante a autoridade de controlo natildeo eacute condiccedilatildeo

necessaacuteria para se poder recorrer contenciosamente de acordo aliaacutes com as regras de

Direito Administrativo vigentes em Portugal Mas tambeacutem significa que eacute possiacutevel utilizar

os meios graciosos normais (reclamaccedilatildeo e recurso hieraacuterquico) quando o ato em causa tenha

sido praticado ao abrigo de disposiccedilotildees de direito administrativo natildeo sendo a autoridade de

controlo a uacutenica entidade competente para apreciar queixas relativas agrave mateacuteria da proteccedilatildeo

de dados e a eventuais violaccedilotildees do RGPD

De acordo com o nordm 1 do art 77ordm o titular dos dados pode apresentar uma reclamaccedilatildeo

a uma de trecircs autoridades de controlo agrave autoridade do Estado-Membro da sua residecircncia

habitual agrave autoridade do seu local de trabalho ou agrave autoridade do local onde foi alegadamente

praticada a infraccedilatildeo Este preceito dota o titular dos dados do poder de escolher aquela que

considere mais conveniente aos seus interesses

Em consonacircncia com o disposto no art 57ordm nordm 1 al f) o nordm 2 do art 77ordm estabelece

um dever de informaccedilatildeo que impende sobre a autoridade de controlo onde foi apresentada

a reclamaccedilatildeo estabelecendo que o reclamante deve ser informado do respetivo andamento

e das suas conclusotildees e inclusivamente do seu direito a agir judicialmente contra a proacutepria

autoridade de controlo


83

O RGPD exige que as autoridades de supervisatildeo adotem medidas para facilitar a

apresentaccedilatildeo de queixas como a criaccedilatildeo de um formulaacuterio eletroacutenico de apresentaccedilatildeo de

reclamaccedilotildees109 As queixas devem ser investigadas e a autoridade supervisora deve informar

a pessoa em causa do resultado do processo que trata da reclamaccedilatildeo

2 Via judicial

21Contra uma autoridade de controlo

O nordm 1 do art 78ordm consagra o direito de recorrer judicialmente contra as decisotildees

juridicamente vinculativas da autoridade de controlo maxime daquelas que imponham

coimas ou que desatendam reclamaccedilotildees A Diretiva natildeo consagrava este direito decorria

antes das normas do direito portuguecircs uma vez que a CNPD eacute uma entidade administrativa

cujas decisotildees satildeo passiacuteveis de recurso judicial

O direito de accedilatildeo judicial contra uma autoridade de controlo natildeo preclude o recurso

agraves vias administrativas ou agrave resoluccedilatildeo extrajudicial de litiacutegios nem eacute prejudicado pelo facto

de estas terem sido utilizadas O nordm 2 do art 78ordm explicita que o titular dos dados tem direito

agrave via judicial se ocorrer omissatildeo da autoridade de controlo no que toca agrave obrigaccedilatildeo de

informar o titular dos dados sobre o andamento e resultado de reclamaccedilotildees que lhe tenham

sido apresentadas ao abrigo do disposto no art 77ordm por mais de 3 meses

O nordm 3 consagra uma regra de competecircncia jurisdicional estabelecendo que as accedilotildees

contra as autoridades de controlo devem ser propostas nos tribunais dos Estados-Membros

respetivos

22Contra um responsaacutevel pelo tratamento ou um subcontratante

Como resulta do nordm 1 do art 79ordm do RGPD o direito de accedilatildeo judicial quando se

considere ter havido violaccedilatildeo dos direitos que lhe assistem natildeo preclude o recurso agraves vias

109 Cf Anexo 9 que disponibiliza o meacutetodo de apresentaccedilatildeo da queixa


84

administrativas ou agrave resoluccedilatildeo extrajudicial de litiacutegios nem mesmo eacute prejudicado pelo facto

de estas terem sido utilizadas


contra os responsaacuteveis pelo tratamento ou contra os subcontratantes satildeo em princiacutepio

propostas nos tribunais do Estado-Membro em que estes tenham estabelecimento Atribui

igualmente competecircncia aos tribunais do Estado-Membro em que o titular dos dados tenha

a sua residecircncia habitual exceto se o responsaacutevel pelo tratamento ou o subcontratante for

uma autoridade no exerciacutecio dos seus poderes puacuteblicos

3 Representaccedilatildeo dos titulares dos dados

Em consonacircncia com o disposto no considerando 142 e de modo a facilitar o

exerciacutecio dos direitos dos titulares o art 80ordm nordm 1 atribui ao titular dos dados o direito de

mandatar um organismo organizaccedilatildeo ou associaccedilatildeo sem fins lucrativos que seja constituiacutedo

ao abrigo do direito do Estados-Membros para o representar no tocante aos direitos previstos

nos arts 77ordm a 79ordm quando considerar que estes foram violados Exige-se que tal entidade

tenha por objeto atividades relacionadas com a proteccedilatildeo dos dados pessoais e que os

respetivos fins sejam de interesse puacuteblico

Essas entidades sem fins lucrativos devem ter objetivos estatutaacuterios dentro da esfera

de interesse puacuteblico e estar ativo no campo da proteccedilatildeo de dados Podem apresentar a

reclamaccedilatildeo ou exercer o direito a recurso judicial em nome do titular dos dados O

Regulamento daacute aos Estados-Membros a opccedilatildeo de decidir - de acordo com o direito nacional

- se um organismo pode apresentar reclamaccedilotildees em nome de titulares de dados sem ser

mandatado por esses titulares de dados

4 Direito de indemnizaccedilatildeo e responsabilidade

O resultado de uma accedilatildeo administrativa ou judicial eacute o reconhecimento da existecircncia

de um dano perante uma violaccedilatildeo de dados pessoais nesse sentido o lesado deve dirigir-se

ao responsaacutevel pelo tratamento eou ao subcontratante para exigir a indemnizaccedilatildeo a que se

acha com direito Deveraacute assim verificar-se o preenchimento dos vaacuterios pressupostos da


85

responsabilidade civil extracontratual a saber a praacutetica de ato iliacutecito a culpa a existecircncia de

um dano e o nexo de causalidade entre o ato iliacutecito culposo e o prejuiacutezo sofrido110

O nordm 2 do art 82ordm esclarece em que casos pode o subcontratante ser responsabilizado

perante lesados determinando que o mesmo soacute eacute responsaacutevel pelos danos causados pelo

tratamento se natildeo tiver cumprido as obrigaccedilotildees decorrentes do RGPD dirigidas

especificamente aos subcontratantes (vide art 28ordm) ou se natildeo tiver seguido as instruccedilotildees

liacutecitas do responsaacutevel pelo tratamento Natildeo conhecendo o lesado tais instruccedilotildees afigura-se

que em termos processuais deveraacute demandar quer o responsaacutevel pelo tratamento quer o

subcontratante e aguardar pelas respetivas defesas O regime ora consagrado no RGPD

traduz-se numa inversatildeo do oacutenus da prova favoraacutevel aos interesses dos lesados a quem

basta demonstrar que os prejuiacutezos sofridos foram causados cabendo agrave outra parte demonstrar

que natildeo eacute responsaacutevel pelos danos ou seja que o facto natildeo lhe pode ser imputaacutevel

No seguimento do nordm 4 e em conformidade com o previsto no considerando 146 o

nordm 5 do art 82ordm vem atribuir direito de regresso a quem sendo corresponsaacutevel pagou a

totalidade da indemnizaccedilatildeo prevendo que deve ser apurada a medida da responsabilidade

de cada um Eacute imperativo apurar o quantum da responsabilidade de cada um

O TJUE no Ac de 6 de Outubro de 2015 Schrems considerou que o esquema Safe

Harbor tinha vaacuterias deficiecircncias o que comprometia os direitos fundamentais dos cidadatildeos

da UE nomeadamente o direito a um recurso legal efetivo afirmando que ldquouma

regulamentaccedilatildeo dessa proteccedilatildeo que implique uma ingerecircncia nos direitos fundamentais

garantidos (hellip) deve (hellip) estabelecer regras clara e precisas que regulem o acircmbito e a

aplicaccedilatildeo de uma medida e imponham exigecircncias miacutenimas de modo a que as pessoas cujos

dados pessoais estejam em causa disponham de garantias suficientes que permitam proteger

eficazmente os seus dados contra os riscos de abuso e contra qualquer acesso e qualquer

utilizaccedilatildeo iliacutecita desses dados A necessidade de dispor destas garantias eacute ainda mais

importante quando os dados pessoais sejam sujeitos a tratamento automaacutetico e exista um

risco significativo de acesso iliacutecito aos mesmos (Acoacuterdatildeo Digital Rights Ireland)

(hellip) uma decisatildeo adotada ao abrigo desta disposiccedilatildeo (hellip) natildeo obsta a que uma autoridade

de controlo (hellip) examine o pedido de uma pessoa relativo agrave proteccedilatildeo dos seus direitos e

110 Sobre a mateacuteria dos pressupostos da responsabilidade civil vide PRATA Ana [et al] Coacutedigo Civil

Anotado vol I 2017 p 627 e ss


86

liberdades em relaccedilatildeo ao tratamento de dados pessoais que lhe dizem respeito que foram

transferidos de um Estado-Membro para esse paiacutes terceiro quando essa pessoa alega que

o direito e as praacuteticas em vigor neste uacuteltimo natildeo asseguram um niacutevel de proteccedilatildeo

adequadordquo

Eacute mateacuteria assente no TJUE que o titular deve dispor de garantias suficientes para

salvaguarda dos seus direitos tendo por isso invalidado a Decisatildeo 2000520 sobre o Safe

Harbor por a mesma natildeo dispor destas


87

CONCLUSAtildeO

Com o desenvolvimento desta dissertaccedilatildeo natildeo assumimos o propoacutesito de fazer uma

anaacutelise exaustiva do Regulamento mas apenas uma anaacutelise praacutetica e diretamente

vocacionada para as principais implicaccedilotildees que o novo quadro legal acarreta

Ora se eacute verdade que as leis devem ter a capacidade de transmitir aos seus

destinataacuterios de forma clara e precisa os seus direitos e deveres mais verdade ainda eacute que

nem sempre assistimos a isto e natildeo raras vezes desencontramo-nos nos conceitos

indeterminados e na complexidade da teia legislativa

Sendo a proteccedilatildeo de dados uma aacuterea transversal na sociedade permite-se afirmar que

satildeo raras ou atrevemo-nos ainda a dizer inexistentes as organizaccedilotildees na Uniatildeo Europeia (e

fora dela) que natildeo estatildeo sujeitas ao Regulamento aqui em estudo Eacute um regime juriacutedico que

por incluir conceitos de difiacutecil absorccedilatildeo e por estar interligado com outros domiacutenios do

conhecimento designadamente a informaacutetica exige um esforccedilo acrescido e concertado a

ser desenvolvido com o auxiacutelio dos Estados-Membros atraveacutes da adoccedilatildeo de legislaccedilatildeo

interna que clarifique o regime

Tendo em conta a atualidade e a pertinecircncia das questotildees do Regulamento Geral de

Proteccedilatildeo de Dados nordm 6792016 UE do Parlamento Europeu e do Conselho relativo agrave

proteccedilatildeo das pessoas singulares no que diz respeito ao tratamento de dados pessoais e agrave livre

circulaccedilatildeo desses dados foi realizada uma anaacutelise detalhada sobre as principais imposiccedilotildees

do Regulamento tendo-se atendido em primeiro lugar ao seu enquadramento como direito

fundamental e ainda agrave sua evoluccedilatildeo legislativa

Tendo sido Portugal o primeiro paiacutes a consagrar este direito na CRP seria de esperar

que esta fosse uma mateacuteria alvo de um desenvolvimento acrescido Poreacutem as preocupaccedilotildees

na aacuterea da proteccedilatildeo de dados soacute comeccedilaram a surgir com a aprovaccedilatildeo do RGPD e em grande

medida pela imposiccedilatildeo de avultadas coimas

Assim consideraacutemos de extrema importacircncia lanccedilar matildeo num primeiro momento do

regime geral previsto no Regulamento para que as organizaccedilotildees se encontrem em

compliance e por conseguinte imunes agraves coimas previstas


88

Quando nos referimos a regime geral falaacutemos em primeiro lugar do seu acircmbito de

aplicaccedilatildeo e dos princiacutepios norteadores da atividade das organizaccedilotildees que desempenham um

papel de buacutessola e que por isso se tornam fundamentais para o cumprimento do

Regulamento

Natildeo menos importante eacute ainda referir a panoacuteplia dos direitos conferidos aos titulares

dos dados Com o Regulamento os titulares dos dados beneficiaram de um conjunto de

direitos a que corresponde um conjunto de obrigaccedilotildees para as organizaccedilotildees de modo a lhes

ser dado um maior controlo sobre a sua privacidade

Ainda neste acircmbito e tendo em conta a particularidade e importacircncia da mateacuteria para

o nosso estudo foi realizada uma anaacutelise agraves obrigaccedilotildees que recaiacuteram sobre o responsaacutevel

pelo tratamento e sobre o subcontratante Obrigaccedilotildees estas acrescidas tendo em conta que

foi descartado o modelo de autorizaccedilatildeo preacutevio Atualmente as organizaccedilotildees tecircm de cumprir

a legislaccedilatildeo em vigor decidir como a cumprir e ainda provar que a cumprem Face ao

exposto o registo das atividades passou a ter uma relevacircncia exacerbada nas instituiccedilotildees

pois trata-se de uma ferramenta imprescindiacutevel para a demonstraccedilatildeo de cumprimento das

normas relativas agrave proteccedilatildeo de dados pessoais

Note-se contudo que a transferecircncia para os responsaacuteveis pelos tratamentos dos

dados da responsabilidade pelo cumprimento do Regulamento (autorresponsabilizaccedilatildeo) e a

canalizaccedilatildeo dos recursos puacuteblicos para a tarefa de controlo sucessivo natildeo eacute per se garantia

de uma tutela eficaz dos direitos fundamentais no acircmbito de tratamentos de dados pessoais

A UE de modo a garantir que cada preceito do Regulamento seja levado na devida

conta decidiu sancionar os incumprimentos com coimas que podem chegar ateacute aos vinte

milhotildees de euros ou 4 do valor anual de negoacutecios A Uniatildeo soacute natildeo impotildee que o direito agrave

proteccedilatildeo de dados deva ser respeitado como coage as instituiccedilotildees a pensarem no mesmo

Todavia no quadro legal atual a autoridade administrativa natildeo tem conhecimento de

quem estaacute a realizar tratamentos dados pessoais com exceccedilatildeo de alguns casos O que em

termos praacuteticos pode resultar na aplicaccedilatildeo de menos coimas do que o esperado isto porque

o controlo por parte da CNPD seraacute limitado agraves situaccedilotildees em que haacute queixas ou denuacutencias de

tratamentos iliacutecitos notificaccedilatildeo da violaccedilatildeo dos dados pessoais ou se restrinja aos

organismos puacuteblicos e agraves empresas de maior dimensatildeo


89

Daiacute termos igualmente abordado o direito que o titular dos dados pessoais possui de

apresentar uma queixa eou intentar accedilatildeo judicial contra um responsaacutevel pelo tratamento ou

contra uma entidade subcontratante nos termos do nordm1 do art 79ordm do RGPD bem como o

direito previsto no art 82ordm nordm1 que prevecirc que qualquer pessoa que tenha sofrido danos

materiais ou imateriais devido a uma violaccedilatildeo do RGPD tenha direito a receber uma

indemnizaccedilatildeo do responsaacutevel pelo tratamento ou do subcontratante pelos danos sofridos

Por tudo o que foi dito constata-se que a Uniatildeo Europeia inaugurou a regulaccedilatildeo do

direito fundamental agrave proteccedilatildeo de dados Agora cabe aos Estados-Membros investir na

adoccedilatildeo de legislaccedilatildeo interna e na investigaccedilatildeo para consciencializar e auxiliar os cidadatildeos

de modo a que a aplicaccedilatildeo do mesmo seja a mais coerente e correta


90

BIBLIOGRAFIA

Livros

1 BECCARIA Cesare Dos delitos e das penas 3ordf ediccedilatildeo Lisboa Fundaccedilatildeo Calouste

Gulbenkian Serviccedilo de Educaccedilatildeo e Bolsas Lisboa 2009 ISBN 9789723108163

2 CALVAtildeO Filipa Urbano Direito da Proteccedilatildeo de Dados Pessoais Relatoacuterio sobre

o programa os conteuacutedos e os meacutetodos de ensino da disciplina 1ordf ediccedilatildeo

Universidade Catoacutelica 2018 ISBN 978-989-8835-40-6

3 CASTRO Catarina Sarmento Direito da Informaacutetica Privacidade e Dados

Pessoais Almedina Coimbra 2005 ISBN 9789724024240

4 Conselho da Europa e Agecircncia de Direitos Fundamentais da Uniatildeo Europeia

Handbook on European data protection law ndash 2018 edition Serviccedilo das Publicaccedilotildees

da Uniatildeo Europeia [Sl] 2018 ISBN 978-92-871-9849-5

5 EHMANN Eugen e SELMAYR Martin (coordenaccedilatildeo) [et al] Datenschutz-

Grundverordnung 2017

6 FAZENDEIRO Ana Regulamento Geral de Proteccedilatildeo de Dados- Algumas notas

sobre o RGPD 2ordf ediccedilatildeo Almedina Coimbra 2018 ISBN 978-972-40-7154-1

7 GOMES Carla Amado NEVES Ana Fernanda e SERRAtildeO Tiago (coordenaccedilatildeo)

Comentaacuterios ao Novo Coacutedigo do Procedimento Administrativo 2ordf ediccedilatildeo

Associaccedilatildeo Acadeacutemica da Faculdade de Direito de Lisboa Lisboa 2015

8 GONCcedilALVES Maria Eduarda Direito da Informaccedilatildeo Novos Direitos e Formas de

Regulamentaccedilatildeo na Sociedade da Informaccedilatildeo Almedina Coimbra 2003 ISBN

9789724019086


91

9 GONCcedilALVES Pedro Reflexotildees sobre o Estado Regulador e o Estado Contratante

Direito Puacuteblico e Regulaccedilatildeo Cedipre Coimbra Editora Coimbra 2013 ISBN

9789723221473

10 HENRIQUES Miguel Gorjatildeo Direito da Uniatildeo 7ordf ediccedilatildeo Coimbra Almedina

Coimbra 2014 ISBN 9789724055541

11 MACHADO Joacutenatas E M Direito da Uniatildeo Europeia 1ordf ediccedilatildeo Coimbra

Wolters Kluwer Portugal- Coimbra Editora Coimbra 2010 ISBN 9789723218589

12 MANtildeAS Joseacute Luiacutes Pintildear [et al] Reglamento General de Proteccioacuten de Datos

Hacia un nuevo modelo europeo de proteccioacuten de datos Editorial Reus 2016

13 MAGALHAtildeES Filipa Matias PEREIRA Maria Leitatildeo Regulamento Geral de

Proteccedilatildeo de Dados Manual Praacutetico 2ordf ediccedilatildeo revista e ampliada Vida Econoacutemica

2018 ISBN 978-989-768-445-6

14 MARTINS Lourenccedilo e MARQUES Garcia Direito de Informaacutetica Liccedilotildees de

Direito da Comunicaccedilatildeo Almedina Coimbra 2000 ISBN 972-40-1399-5

15 MOUTINHO Joseacute Lobo Direito das contra-ordenaccedilotildees- Ensinar e Investigar

Universidade Catoacutelica Editora Lisboa 2008 ISBN 9789725402078

16 PINHEIRO Alexandre Sousa (coordenaccedilatildeo) [et al] Comentaacuterio ao Regulamento

Geral de Proteccedilatildeo de Dados Almedina Coimbra 2018 ISBN 978-972-40-7786

17 PINHEIRO Alexandre Sousa Privacy Proteccedilatildeo de Dados Pessoais A Construccedilatildeo

Dogmaacutetica do Direito agrave identidade Informacional 1ordf ediccedilatildeo Associaccedilatildeo

Acadeacutemica da Faculdade de Direito de Lisboa Lisboa 2015 ISBN 5606939008169

18 PORTO Manuel Lopes e ANASTAacuteCIO Gonccedilalo (coordenaccedilatildeo) [et al] Tratado de

Lisboa Anotado e Comentado Almedina Coimbra 2012 ISBN 9789724046136


92

19 PRATA Ana [et al] Coacutedigo Civil Anotado vol I Almedina Coimbra 2017 ISBN

9789724069937

20 SALDANHA Nuno Novo Regulamento Geral de Proteccedilatildeo de Dados- O que eacute A

quem se aplica Como implementar 1ordf ediccedilatildeo FCA 2018 ISBN 978-972-72-

2889-8

Outros ficheiros

1 EUROPEAN DATA PROTECTION SUPERVISIOR A grande oportunidade da

Europa ndash Recomendaccedilotildees da AEPD sobre as opccedilotildees da UE para a reforma da

proteccedilatildeo de dados (Parecer 32015) 2015 disponiacutevel

em httpsedpseuropaeusitesedpfilespublication15-10-

09_gdpr_with_addendum_ptpdf (consultado a 29012019)

2 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees relativas ao consentimento

na aceccedilatildeo do Regulamento (UE) 2016679rdquo adotadas em 28 de novembro de 2017

sendo a uacuteltima redaccedilatildeo revista e adotada em 13 de abril de 2018 disponiacutevel em

httpswwwcnpdptbinrgpddocswp259rev01_PTpdf (consultado a 01012019)

3 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre o direito agrave

portabilidade dos dadosrdquo (16PT WP 242 rev 01) adotada em 13 de dezembro de

2016 com a uacuteltima redaccedilatildeo revista e adotada em 5 de abril de 2017 Disponiacutevel em

httpswwwcnpdptbinrgpddocswp242rev01_ptpdf (consultado a 15012019)

4 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre os encarregados da

proteccedilatildeo de dados (EPD)rdquo (WP 243 rev01) adotada em 13122016 Disponiacutevel em


5 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees sobre a identificaccedilatildeo da

autoridade de controlo principal do responsaacutevel pelo tratamento ou do


93

subcontratanterdquo (WP 244 rev01) adotada em 13122016 Disponiacutevel em


6 GRUPO DE TRABALHO DO ARTIGO 29 ldquoOrientaccedilotildees relativas agrave Avaliaccedilatildeo de

Impacto sobre a Proteccedilatildeo de Dados (AIPD) e que determinam se o tratamento eacute

laquosuscetiacutevel de resultar num elevado riscoraquo para efeitos do Regulamento (UE)

2016679rdquo (WP 248 rev01 ) adotada em 04042017 Disponiacutevel em


7 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 032014 relativo agrave notificaccedilatildeo

da violaccedilatildeo de dados pessoaisrdquo (WP250rev01 ) adotado em 03102017 disponiacutevel

em httpswwwcnpdptbinrgpddocswp250rev01_ptpdf (consultado a

26012019)

8 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 12010 sobre os conceitos de

laquoresponsaacutevel pelo tratamentoraquo e laquosubcontratanteraquordquo (WP 169) adotado em

16022010 Disponiacutevel em

httpswwwgpdpgovmouploadfileotherswp169_ptpdf (consultado a

02012019)

9 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 82010 sobre a lei aplicaacutevelrdquo

(WP 179) adotado em 16122010 Disponiacutevel em


05102019)

10 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 152011 sobre a definiccedilatildeo de

consentimentordquo (WP187) adotado em 13072011 Disponiacutevel em


26112018)

11 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 062012 sobre o projeto de

decisatildeo da Comissatildeo relativa agraves medidas aplicaacuteveis agrave notificaccedilatildeo da violaccedilatildeo de


94

dados pessoais em conformidade com a Diretiva 200258CE relativa agrave privacidade

e agraves comunicaccedilotildees eletroacutenicasrdquo (WP197) adotado em 12072012 Disponiacutevel em

httpswwwgpdpgovmouploadfile2016011220160112121132800pdf

(consultado a 26112018)

12 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 32013 sobre a limitaccedilatildeo da

finalidaderdquo (WP 203) adotado em 02042013 Disponiacutevel em



13 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 052014 sobre teacutecnicas de

anonimizaccedilatildeordquo (GT216) adotado em 10042014 Disponiacutevel em



14 GRUPO DE TRABALHO DO ARTIGO 29 ldquoParecer 062014 sobre o conceito de

interesses legiacutetimos do responsaacutevel pelo tratamento dos dados na aceccedilatildeo do artigo

7ordm da Diretiva 9546CErdquo (WP197) adotado em 12072012 Disponiacutevel em



15 MOUTINHO Joseacute Lobo - Legislador portuguecircs precisa-se Algumas notas sobre o

regime sancionatoacuterio no Regulamento Geral de Proteccedilatildeo de Dados (Regulamento

(UE) 2016679) in laquoFoacuterum de Proteccedilatildeo de Dadosraquo nordm 4 (2017) Paacutegs 40ndash57 ISSN

2183-7066

16 MOUTINHO Joseacute Lobo e RAMALHO David Silva Notas sobre o regime

sancionatoacuterio da proposta Regulamento Geral sobre Proteccedilatildeo de Dados do

Parlamento Europeu e do Conselho in laquoFoacuterum de Proteccedilatildeo de Dadosraquo n ordm1 (2015)

Paacutegs 20-35 ISSN 2183-7066


95

17 PINTO Paulo Mota O Direito agrave Reserva sobre a Intimidade da Vida Privada in

Boletim da Faculdade de Direito - Universidade de Coimbra LXIX 1993 p 479-

586

Outros links na internet

1 httpswwwcnpdpt

2 httpseur-lexeuropaeulegal-contentPTALLuri=celex3A32016R0679

3 httpseceuropaeuinfolawlaw-topicdata-protectiondata-protection-eu_pt

4 httpseceuropaeuinfolawlaw-topicdata-protectiondata-transfers-outside-eu_pt

5 httpseceuropaeuinfolawlaw-topicdata-protectionreform_pt

6 httpcuriaeuropaeujurisrecherchejsfoqp=ampfor=ampmat=orampjge=amptd=3BALL

ampjur=C2CT2CFampnum=C-

293252F12ampdates=amppcs=Ooramplg=amppro=ampnat=orampcit=none252CC252CCJ

252CR252C2008E252C252C252C252C252C252C252C252C

252C252Ctrue252Cfalse252Cfalseamplanguage=ptampavg=ampcid=10905516

7 httpswwwechrcoeintPageshomeaspxp=home

8 httpwwwsgpcmgovptsobre-nosregulamento-geral-de-

proteC3A7C3A3o-de-dadosaspx

9 httpseceuropaeucommissionprioritiesjustice-and-fundamental-rightsdata-

protection2018-reform-eu-data-protection-rules_pt


96

JURISPRUDEcircNCIA

1 Acoacuterdatildeo do Tribunal de Justiccedila de 6 de Novembro de 2003 processo C-10101 ndash

Bodil Lindqvist ECLIEUC2003596 disponiacutevel em

httpcuriaeuropaeujurisshowPdfjsftext=ampdocid=48382amppageIndex=0ampdocla

ng=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485

2 Acoacuterdatildeo do Tribunal de Justiccedila de 11 de Dezembro de 2014 processo C-21213 ndash

František Ryneš ECLIEUC20142428 disponiacutevel em

httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=160561amppageInd

ex=0ampdoclang=ptampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485

3 Acoacuterdatildeo do Tribunal de Justiccedila de 20 de Maio de 2003 processo C-46500 ndash

Oumlsterreichischer Rundfunk e outros ECLIEUC2003294 disponiacutevel em


ng=ptampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485

4 Acoacuterdatildeo do Tribunal de Justiccedila de 8 de Abril de 2014 processo C-29312 ndash Digital

Rights Ireland e Seitlinger e outros ECLIEUC2014238 disponiacutevel em


ex=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485

5 Acoacuterdatildeo do Tribunal de Justiccedila de 30 de Maio de 2013 processo C-34212 ndash Worten

ECLIEUC2013355 disponiacutevel em




Rijkeboer ECLIEUC2009293 disponiacutevel em

httpcuriaeuropaeujurisdocumentdocumentjsftext=ampdocid=74028amppageInde

x=0ampdoclang=ptampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485


97

7 Acoacuterdatildeo do Tribunal de Justiccedila de 9 de Marccedilo de 2017 processo C-39815 ndash Manni




8 Acoacuterdatildeo do Tribunal de Justiccedila de 27 de Setembro de 2017 processo C-7316 ndash

Puškaacuter ECLIEUC2017725 disponiacutevel em




Huber ECLIEUC2008724 disponiacutevel em


x=0ampdoclang=PTampmode=lstampdir=ampocc=firstamppart=1ampcid=9063485


Asociacioacuten Nacional de Establecimientos Financieros de Creacutedito (ASNEF)




11 Acoacuterdatildeo do Tribunal de Justiccedila de 19 de Outubro de 2016 processo C-58214 ndash

Breyer ECLIEUC2016779 disponiacutevel em



12 Acoacuterdatildeo do Tribunal de Justiccedila de 13 de Maio de 2014 processo C-13112 ndash Google

Spain e Google ECLIEUC2014317 disponiacutevel em




98


Schrems ECLIEUC2015650 disponiacutevel em




Satakunnan Markkinapoumlrssi e Satamedia ECLIEUC2008727 disponiacutevel em



15 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 18 de Novembro de 2014

processo 2242704 ndash Case of Cemalettin Canli v Turkey disponiacutevel em

httpshudocechrcoeintspa22itemid22[22001-8962322]

16 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 17 de Julho de 2008

processo 2051103 ndash Case of I v Finland disponiacutevel em


17 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 4 de Dezembro de 2008

processo 3056204 e 3056604 ndash Case of S and Marper v The United Kingdom

disponiacutevel em

httpshudocechrcoeintspa22fulltext22[22s20v20marper22]2

2documentcollectionid222[22GRANDCHAMBER2222CHAMBER22]

22itemid22[22001-9005122]

18 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 18 de Setembro de 2014

processo 2101010 ndash Case of Affaire Brunet v France disponiacutevel em

httphudocechrcoeintfrei=001-146389

19 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 27 de Outubro de 2009

processo 2173703 ndash Case of Haralambie v Romania disponiacutevel em



99

20 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 28 de Abril de 2009

processo 3288104 Case of K H and Others v Slovakia disponiacutevel em


21 Acoacuterdatildeo do Tribunal Europeu dos Direitos do Homem de 06 de Junho de 2006

processo 6233200 ndash Case of Segerstedt-Wiberg and Others v SWEDEN disponiacutevel

em httphudocechrcoeintengi=001-75591


processo 64810- Case of Y v Turkey disponiacutevel em

httphudocechrcoeintengi=001-183961

23 Acoacuterdatildeo do Tribunal Constitucional nordm 852012 de 15 de Fevereiro de 2012

processo 36711 1ordf secccedilatildeo relatora Conselheira Pamplona Oliveira disponiacutevel em

httpwwwtribunalconstitucionalpttcacordaos20120085html

24 Acoacuterdatildeo do Tribunal Constitucional nordm 57495 de 18 de Outubro de 1995 processo

35794 2ordf secccedilatildeo relator Conselheiro Messias Bento disponiacutevel em


25 Acoacuterdatildeo do Tribunal Constitucional nordm 54701 de 07 de Dezembro de 2001

processo 48100 3ordf secccedilatildeo relatora Conselheira Maria dos Prazeres Beleza

disponiacutevel em httpwwwtribunalconstitucionalpttcacordaos20010547html

26 Acoacuterdatildeo do Tribunal Constitucional nordm 412004 de 14 de Janeiro de 2004 processo

37503 2ordf secccedilatildeo relator Conselheiro Fernanda Palma disponiacutevel em



62412 2ordf secccedilatildeo relator Conselheiro Joatildeo Cura Mariano disponiacutevel em



100

28 Acoacuterdatildeo do Tribunal Constitucional nordm 6122014 de 30 de Setembro de 2014

processo 22714 3ordf secccedilatildeo relator Conselheiro Carlos Fernandes Cadilha disponiacutevel

em httpwwwtribunalconstitucionalpttcacordaos20140612html


101

LEGISLACcedilAtildeO CONSULTADA

1 Carta dos Direitos Fundamentais da Uniatildeo Europeia adotada em 07 de Dezembro de

2000 OJ C 326 26102012 p 391ndash407 ELI

httpdataeuropaeuelitreatychar_2012oj

2 Coacutedigo Civil aprovado pelo Decreto-lei nordm 47 344 de 25 de Novembro de 1966 na

versatildeo decorrente da aplicaccedilatildeo da Lei nordm 642018 de 29 de outubro

3 Coacutedigo Penal aprovado pelo Decreto-lei nordm 4895 de 15 de Marccedilo na versatildeo

decorrente da aplicaccedilatildeo da Lei nordm 442018 de 9 de agosto

4 Convenccedilatildeo Europeia dos Direitos do Homem adotada em 04 de Novembro de 1950

aprovada para ratificaccedilatildeo atraveacutes da Lei nordm 6578 de 13 de Outubro publicada em

Diaacuterio da Repuacuteblica nordm 236 I Seacuterie de 13 de Outubro de 1978

5 Convenccedilatildeo para a proteccedilatildeo das pessoas relativamente ao tratamento automatizado de

dados de caraacutecter pessoal adotada em 28 de Janeiro de 1981 aprovada para

ratificaccedilatildeo pela Resoluccedilatildeo da Assembleia da Repuacuteblica nordm 2393 de 9 de Julho e

retificada pela Retificaccedilatildeo nordm 1093 de 20 de Agosto publicada no Diaacuterio da

Repuacuteblica I Seacuterie-A nordm 19593

6 Constituiccedilatildeo da Repuacuteblica Portuguesa na versatildeo decorrente da aplicaccedilatildeo da Lei

Constitucional nordm 12005 - Diaacuterio da Repuacuteblica nordm 1552005 Seacuterie I-A de 2005-08-

12

7 Decreto-Lei nordm 23279 de 24 de Julho que institui o iliacutecito de mera ordenaccedilatildeo social

publicado no Diaacuterio da Repuacuteblica nordm 1691979 Seacuterie I de 1979-07-24

8 Decreto-Lei nordm 43382 de 27 de Outubro que institui o iliacutecito de mera ordenaccedilatildeo

social na versatildeo decorrente da aplicaccedilatildeo da Lei nordm 1092001 de 24 de Dezembro

publicado no Diaacuterio da Repuacuteblica nordm 2962001 Seacuterie I-A de 2001-12-24


102

9 Diretiva nordm 9546CE do Parlamento Europeu e do Conselho de 24 de Outubro de

1995 JO L 281 de 23111995 p 31mdash50 ELI

httpdataeuropaeuelidir199546oj

10 Diretiva (UE) 2016680 do Parlamento Europeu e do Conselho de 27 de abril de

2016 JO L 119 de 452016 p 89mdash131 ELI


11 Diretiva 200258CE do Parlamento e do Conselho de 12 de Julho de 2002 JO L

201 de 3172002 p 37mdash47 ELI httpdataeuropaeuelidir200258oj

12 Diretiva 200624CE do Parlamento Europeu e do Conselho de 15 de Marccedilo de

2006 JO L 105 de 1342006 p 54mdash63 ELI


13 Diretiva 68151CEE do Conselho de 9 de Marccedilo de 1968 JO ediccedilatildeo especial

portuguesa Cap 17 Vol 001 p 3-6 ELI httpdataeuropaeuelidir1968151oj

14 Tratado sobre o Funcionamento da Uniatildeo Europeia na decorrecircncia da redaccedilatildeo que

lhe eacute dada pelo Tratado de Lisboa adotado em 13 de Dezembro de 2007 versatildeo

consolidada publicada no Jornal Oficial da Uniatildeo Europeia C 202 7 de junho de

2016

15 Lei nordm 192012 de 8 de Maio que aprova o novo regime da concorrecircncia na versatildeo

que lhe foi dada pela Lei nordm 232018 de 05 de Junho publicada no Diaacuterio da

Repuacuteblica nordm 1072018 Seacuterie I de 2018-06-05

16 Lei nordm 6798 de 26 de outubro publicado em Diaacuterio da Repuacuteblica nordm 2471998

Seacuterie I-A de 1998-10-26 na versatildeo que lhe foi dada pela Lei nordm 1032015 de 24 de

agosto publicada no Diaacuterio da Repuacuteblica nordm 1642015 Seacuterie I de 2015-08-24


103

17 Proposta de Lei nordm 120XIII publicada no Diaacuterio da Assembleia da Repuacuteblica II

Seacuterie A nordm 89XIII3 de 26 de marccedilo de 2018

18 Regulamento Geral de Proteccedilatildeo de Dados (UE) 2016679 do Parlamento Europeu e

do Conselho de 27 de abril de 2016 JO L 119 de 452016 p 1mdash88 ELI

httpdataeuropaeuelireg2016679oj

104

ANEXOS

105

ANEXO 1 ARTIGO 35ordm DA CONSTITUCcedilAtildeO DA REPUacuteBLICA PORTUGUESA

Artigo 35ordm

Utilizaccedilatildeo da informaacutetica

1 Todos os cidadatildeos tecircm o direito de acesso aos dados informatizados que lhes digam

respeito podendo exigir a sua rectificaccedilatildeo e actualizaccedilatildeo e o direito de conhecer a

finalidade a que se destinam nos termos da lei

2 A lei define o conceito de dados pessoais bem como as condiccedilotildees aplicaacuteveis ao seu

tratamento automatizado conexatildeo transmissatildeo e utilizaccedilatildeo e garante a sua

protecccedilatildeo designadamente atraveacutes de entidade administrativa independente

3 A informaacutetica natildeo pode ser utilizada para tratamento de dados referentes a

convicccedilotildees filosoacuteficas ou poliacuteticas filiaccedilatildeo partidaacuteria ou sindical feacute religiosa vida

privada e origem eacutetnica salvo mediante consentimento expresso do titular

autorizaccedilatildeo prevista por lei com garantias de natildeo discriminaccedilatildeo ou para

processamento de dados estatiacutesticos natildeo individualmente identificaacuteveis

4 Eacute proibido o acesso a dados pessoais de terceiros salvo em casos excepcionais

previstos na lei

5 Eacute proibida a atribuiccedilatildeo de um nuacutemero nacional uacutenico aos cidadatildeos

6 A todos eacute garantido livre acesso agraves redes informaacuteticas de uso puacuteblico definindo a

lei o regime aplicaacutevel aos fluxos de dados transfronteiras e as formas adequadas de

protecccedilatildeo de dados pessoais e de outros cuja salvaguarda se justifique por razotildees

de interesse nacional

7 Os dados pessoais constantes de ficheiros manuais gozam de protecccedilatildeo idecircntica agrave

prevista nos nuacutemeros anteriores nos termos da lei

106

ANEXO 2 FORMULAacuteRIO PARA EXERCER DIREITOS

FORMULAacuteRIO

_________________________________________________ (NOME) portador do cartatildeo

de Cidadatildeo nordm _____________________ vaacutelido ateacute ____________ declara para os

devidos efeitos que nos termos dos artigos 12ordm a 22ordm do Regulamento Geral de Proteccedilatildeo de

Dados 2016679 do Parlamento Europeu e do Conselho de 27 de Abril de 2016 pretende

exercer (selecionar a opccedilatildeo pretendida)

Direito de acesso

Direito de retificaccedilatildeo

Direito de apagamentoesquecimento

Direito agrave limitaccedilatildeo do tratamento

Direito de portabilidade dos dados

Direito de oposiccedilatildeo

Direito de natildeo sujeiccedilatildeo a decisotildees individuais automatizadas

incluindo a definiccedilatildeo de perfis

Direito a reclamaccedilatildeo

Direito de retirar o seu consentimento

Nos termos e com os seguintes fundamentos

_________________________________________________________________________

_________________________________________________________________________

_________________________________________________________________________

Para dar cumprimento ao direito exercido dou expressamente consentimento para a

resposta ser enviada para ____________________________________________________

Data ____________

__________________________________________

(Assinatura conforme documento de identificaccedilatildeo)

107

ANEXO 3 POLIacuteTICA DE PRIVACIDADE

POLIacuteTICA DE PROTECcedilAtildeO DE DADOS

Considerando que todas as pessoas tecircm direito agrave proteccedilatildeo dos dados de caraacuteter

pessoal que lhes digam respeito a XXX LDA vem definir a sua Poliacutetica de Proteccedilatildeo de

Dados

Eacute nosso compromisso preservar a sua privacidade pois encaramos seriamente o

tratamento dos dados pessoais que recolhemos no acircmbito da nossa atividade

Com esta Poliacutetica de Proteccedilatildeo de Dados pretendemos esclarececirc-lo o melhor possiacutevel

afirmando o nosso compromisso e respeito para com as novas regras de privacidade e de

proteccedilatildeo de dados pessoais adotadas no acircmbito do Regulamento Geral de Proteccedilatildeo de Dados

(Regulamento UE 2016679 do Parlamento Europeu e do Conselho de 27 de Abril de 2016)

Tendo em conta que o jaacute referido Regulamento este nos seus artigos 13ordm e 14ordm

impotildee o fornecimento de certas informaccedilotildees aos titulares dos dados estas consideram-se

prestadas pela leitura da presente poliacutetica

Quem eacute o responsaacutevel pelo tratamento dos seus dados pessoais

O Responsaacutevel pelo tratamento dos seus dados pessoais eacute

XXX LDA com sede em Rua xxx nordm xx 9500-000 Ponta Delgada Satildeo Miguel

Accedilores

Contactos Telefone xxxxxxxxx Fax xxxxxxxxx e-mail xxxxxxxxxxpt

Tal entidade seraacute referenciada daqui em diante nesta Poliacutetica de Privacidade como

XXX

O que satildeo dados pessoais

Entende-se por ldquodado pessoalrdquo qualquer informaccedilatildeo de qualquer natureza e

independentemente do respetivo suporte relativa a uma pessoa singular identificada ou

identificaacutevel (titular dos dados)

108

Eacute considerada identificaacutevel a pessoa que possa ser reconhecida direta ou

indiretamente em especial por referecircncia a um identificador como por exemplo um nome

nuacutemero de identificaccedilatildeo dados de localizaccedilatildeo identificadores por via eletroacutenica ou a um ou

mais elementos especiacuteficos da identidade fiacutesica fisioloacutegica geneacutetica mental econoacutemica

cultural ou social dessa pessoa singular

Como recolhemos os seus dados

Alguns dos dados pessoais satildeo recolhidos atraveacutes de interaccedilotildees consigo e obtemos

alguns deles atraveacutes dos seus acessos no nosso website Deste modo tanto recolhemos

informaccedilotildees pessoais como dados do seu dispositivo

Que dados pessoais recolhemos

A XXX recolhe e trata os dados pessoais necessaacuterios agrave prestaccedilatildeo dos seus serviccedilos

eou subscriccedilotildees

bull Quando nos contacta de forma a diligenciar um contrato seratildeo necessaacuterios dados

pessoais como o seu nome idade profissatildeo nuacutemero do cartatildeo de cidadatildeobilhete

de identidade contribuinte fiscal data de nascimento dados de contacto (e-mail

nuacutemero de telefone e endereccedilo postal)

Tendo em conta que a transmissatildeo de alguns destes dados eacute obrigatoacuteria se estes natildeo

forem fornecidos a XXX poderaacute natildeo disponibilizar o serviccedilocontrato solicitado

bull O nosso website natildeo requer qualquer forma de registo havendo assim a possibilidade

de o visitar sem se identificar Todavia com o acesso ao nosso website satildeo recolhidos

de forma automaacutetica um conjunto de dados informaacuteticos que satildeo gravados de forma

temporaacuteria em ficheiros proacuteprios sendo eliminados de forma tambeacutem automaacutetica

apoacutes determinado periacuteodo A recolha destes dados tem objetivos meramente teacutecnicos

Os dados em questatildeo satildeo os seguintes endereccedilo do processador requerente data e

hora de acesso nome do ficheiro transferido volume dos dados transmitidos

indicaccedilatildeo sobre se a transferecircncia foi efetuada com ecircxito dados de identificaccedilatildeo do

software do navegador e do sistema operativo siacutetio Web a partir do qual acedeu ao

nosso siacutetio nome do fornecedor de serviccedilo de Internet

109

O nosso website tem ao dispor dos seus visitantes um serviccedilo gratuito de subscriccedilatildeo

de newsletters Para poder usufruir deste serviccedilo teraacute necessariamente de fornecer o seu

endereccedilo de e-mail no campo existente para o efeito podendo a subscriccedilatildeo das newsletters

ser cancelada a todo o tempo bastando para o efeito seguir as indicaccedilotildees nesse sentido

presentes no final de cada newsletter

Quais satildeo as finalidades da recolha dos seus dados

Usamos os seus dados pessoais para os seguintes fins

bull Prestaccedilatildeo e gestatildeo dos serviccedilos contratadossubscritos

Sempre que for parte do contrato ou se as diligecircncias forem realizadas a seu pedido

os seus dados seratildeo utilizados em todos os atos necessaacuterios para a execuccedilatildeo deste mesmo

contrato

Ocasionalmente podemos contactaacute-lo por e-mail eou SMS por motivos

administrativos

Uma vez que estas comunicaccedilotildees satildeo de natureza operacional e natildeo satildeo realizadas

para efeitos de marketing continuaraacute a recebecirc-las mesmo que tenha optado por natildeo receber

comunicaccedilotildees de marketing

Tambeacutem utilizaremos os seus dados pessoais para responder aos seus pedidos

sugestotildees ou contactos e claro para melhorar os nossos serviccedilos

bull Comunicaccedilotildees de Marketing

Caso nos tenha indicado que deseja receber a nossa Newsletter comeccedilaraacute a receber

newsletters por parte da XXX com as melhores oportunidades de negoacutecio no ramo

divulgaccedilatildeo de novos produtos eventos feiras campanhas etc

Importa realccedilar que os seus dados pessoais nunca seratildeo partilhados com outras

empresas para efeitos de marketing a natildeo ser com o seu consentimento

bull Estudo melhoria desenvolvimento e adequaccedilatildeo dos nossos serviccedilos aos seus

interesses e necessidades

Atraveacutes do tratamento dos seus dados pessoais conseguimos adaptar os nossos

serviccedilos agraves suas necessidades e preferecircncias

110

Tambeacutem podemos recolher informaccedilotildees sobre como utiliza o nosso website

nomeadamente que produtos procura para percebermos quais satildeo os seus gostos e

preferecircncias

bull Cumprir os nossos objetivos administrativos e comerciais

Os objetivos de negoacutecio para os quais usamos as suas informaccedilotildees incluem

contabilidade faturaccedilatildeo e auditoria verificaccedilatildeo de cartatildeo de creacutedito ou outro anaacutelise de

fraude seguranccedila efeitos juriacutedicos e processuais estudos estatiacutesticos e desenvolvimento e

manutenccedilatildeo de sistemas

bull Cumprir com exigecircncias legais (prevenccedilatildeo de fraudes e investigaccedilotildees)

Por obrigaccedilatildeo legal nomeadamente tendo por base a Lei 832017 de 18 de Agosto

que estabelece as medidas de combate ao branqueamento de capitais e ao financiamento do

terrorismo podemos ter de fornecer os seus dados pessoais a certas entidades

Quais satildeo os fundamentos juriacutedicos do processamento dos seus dados pessoais

A nossa legitimidade para proceder ao presente tratamento dos seus dados pessoais

encontra-se prevista

1 Na aliacutenea b) do nordm 1 do art 6ordm do RGPD quando a recolha e processamento dos

seus dados pessoais baseia-se principalmente na relaccedilatildeo contratual que tem

connosco

2 Na aliacutenea a) do nordm 1 do art 6ordm do RGPD quando lhe enviamos as nossas newsletters

pois eacute com base no seu consentimento que as disponibilizaacutemos

3 Na aliacutenea c) do nordm 1 do art 6ordm do RGPD se o tratamento for necessaacuterio para o

cumprimento de uma obrigaccedilatildeo juriacutedica a que estamos sujeitos

Por quanto tempo seratildeo conservados os dados

O periacuteodo durante o qual os dados satildeo armazenados varia consoante a finalidade para

que foram recolhidos caso natildeo exista uma exigecircncia legal especiacutefica

Existem no entanto requisitos legais que obrigam a conservar os dados por um

determinado periacuteodo

111

Quais satildeo os direitos enquanto titulares dos dados

Tem o direito de solicitar ao responsaacutevel pelo tratamento dos dados o exerciacutecio dos

seguintes direitos

1 Direito de acesso do titular dos dados tem o direito de obter do responsaacutevel pelo

tratamento a confirmaccedilatildeo de que os dados pessoais que lhe digam respeito satildeo ou

natildeo objeto de tratamento e se for esse o caso o direito de aceder aos seus dados

pessoais e agraves informaccedilotildees previstas no Regulamento Geral de Proteccedilatildeo de Dados

2 Direito de retificaccedilatildeo o titular tem o direito de obter sem demora injustificada do

responsaacutevel pelo tratamento a retificaccedilatildeo dos dados pessoais inexatos que lhe digam

respeito

3 Direito ao apagamentos dos dados (ldquodireito a ser esquecidordquo) o titular tem o

direito de obter do responsaacutevel pelo tratamento o apagamento dos seus dados

pessoais sem demora injustificada e este tem a obrigaccedilatildeo de apagar os dados

pessoais sem demora injustificada quando se aplique nomeadamente um dos

seguintes motivos 1) os dados pessoais deixaram de ser necessaacuterios para a finalidade

que motivou a sua recolha ou tratamento 2) o titular retira o consentimento em que

se baseia o tratamento dos dados (quando o mesmo se baseie no consentimento) e se

natildeo existir outro fundamento juriacutedico para o referido tratamento 3) o titular opotildee-se

ao tratamento e natildeo existem interesses legiacutetimos prevalecentes que justifiquem o

tratamento 4) os dados pessoais foram tratados ilicitamente 5) os dados pessoais

tecircm de ser apagados para o cumprimento de uma obrigaccedilatildeo juriacutedica decorrente do

direito da Uniatildeo ou de um Estado-Membro a que o responsaacutevel pelo tratamento esteja

sujeito 6) os dados pessoais foram recolhidos no contexto de serviccedilos da sociedade

da informaccedilatildeo

Contudo importa informar que este direito comporta algumas exceccedilotildees

4 Direito agrave limitaccedilatildeo do tratamento o titular dos dados tem o direito de obter do

responsaacutevel pelo tratamento a limitaccedilatildeo do tratamento se se aplicar uma das

seguintes situaccedilotildees a) contestar a exatidatildeo dos dados pessoais durante um periacuteodo

que permita ao responsaacutevel pelo tratamento verificar a sua exatidatildeo b) o tratamento

for iliacutecito e o titular dos dados se opuser ao apagamento dos dados pessoais e solicitar

112

em contrapartida a limitaccedilatildeo da sua utilizaccedilatildeo c) o responsaacutevel pelo tratamento jaacute

natildeo precisar dos dados pessoais para fins de tratamento mas esses dados sejam

requeridos pelo titular para efeitos de declaraccedilatildeo exerciacutecio ou defesa de um direito

num processo judicial d) se tiver oposto ao tratamento ateacute se verificar que os

motivos legiacutetimos do responsaacutevel pelo tratamento prevalecem sobre os do titular dos

dados

5 Direito de oposiccedilatildeo o titular dos dados tem o direito de se opor a qualquer momento

por motivos relacionados com a sua situaccedilatildeo particular ao tratamento dos dados

pessoais que lhe digam respeito O responsaacutevel pelo tratamento cessa o tratamento

dos dados pessoais a natildeo ser que apresente razotildees imperiosas e legiacutetimas para esse

tratamento que prevaleccedilam sobre os interesses direitos e liberdades do titular dos

dados ou para efeitos de declaraccedilatildeo exerciacutecio ou defesa de um direito num processo

judicial

Quando os dados pessoais forem tratados para efeitos de comercializaccedilatildeo direta o

titular dos dados tem o direito de se opor a qualquer momento ao tratamento dos

dados pessoais que lhe digam respeito para os efeitos da referida comercializaccedilatildeo o

que abrange a definiccedilatildeo de perfis na medida em que esteja relacionada com a

comercializaccedilatildeo direta

Caso o titular dos dados se oponha ao tratamento para efeitos de comercializaccedilatildeo

direta os dados pessoais deixam de ser tratados para esse fim

6 Direito de portabilidade dos dados o titular dos dados tem nos termos e nas

condiccedilotildees definidas na lei o direito de receber os dados pessoais que lhe digam

respeito e que tenha fornecido a um responsaacutevel pelo tratamento num formato

estruturado de uso corrente e de leitura automaacutetica e o direito de transmitir esses

dados a outro responsaacutevel pelo tratamento sem que o responsaacutevel a quem os dados

pessoais foram fornecidos o possa impedir se a) O tratamento se basear no

consentimento ou num contrato e b) O tratamento for realizado por meios

automatizados

7 Direito de natildeo ficar sujeito a nenhuma decisatildeo automatizada incluindo

definiccedilatildeo de perfis o titular dos dados tem o direito de natildeo ficar sujeito a nenhuma

113

decisatildeo tomada exclusivamente com base no tratamento automatizado incluindo a

definiccedilatildeo de perfis que produza efeitos na sua esfera juriacutedica ou que o afete

significativamente de forma similar

8 Direito de retirar o consentimento se o tratamento dos dados se basear no

consentimento o titular dos dados tem o direito de retirar o seu consentimento em

qualquer altura sem comprometer a licitude do tratamento efetuado com base no

consentimento previamente dado

9 Direito ao conhecimento da existecircncia de uma violaccedilatildeo de dados

10 Direito de apresentar reclamaccedilatildeo a uma autoridade de controlo o titular dos

dados tem o direito de a qualquer momento apresentar uma reclamaccedilatildeo agrave autoridade

de supervisatildeo e controlo competente ou seja agrave Comissatildeo Nacional de Proteccedilatildeo de

Dados (CNPD) sediada na Avenida D Carlos I nordm 134 1ordm 1200-651 Lisboa com

os seguintes contactos telefone - +351213928400 fax - +351213976832 email ndash

geralcnpdpt

O exerciacutecio destes direitos eacute gratuito exceto se fizer pedidos injustificados ou

excessivos Neste caso pode ser cobrada uma taxa razoaacutevel baseada em custos

administrativos

Caso pretenda exercer qualquer um dos direitos mencionados deveraacute contactar-nos

atraveacutes

1 De um pedido enviado por carta registada para

XXX LDA

Rua XXX 9500-000

Ponta Delgada Satildeo Miguel Accedilores

2 De formulaacuterio proacuteprio disponiacutevel na nossa loja situada na morada acima referida

3 De um pedido enviado por endereccedilo de correio eletroacutenico para xxxxxxxxxxpt

114

Haacute a possibilidade de divulgaccedilatildeo dos dados pessoais

Os seus dados pessoais podem ser comunicados a prestadores de serviccedilos da XXX

subcontratados ou terceiros para efeitos da prestaccedilatildeo dos serviccedilos e a autoridades judiciais

fiscais e regulatoacuterias com a finalidade do cumprimento de imposiccedilotildees legais

Assumimos o compromisso de o proteger

Porque assumimos o compromisso de o proteger adotaacutemos as medidas teacutecnicas e

organizativas que foram adequadas para assegurar e poder comprovar que o tratamento eacute

realizado em conformidade com a legislaccedilatildeo aplicaacutevel nomeadamente

bull Asseguraacutemos que o tratamento eacute liacutecito leal e transparente enquadrado no que foi

transmitido ao titular no momento da recolha e o titular dos dados poderaacute verificar

como eacute feito o tratamento desses mesmos dados

bull Os dados satildeo recolhidos para finalidades determinadas expliacutecitas e legiacutetimas natildeo

sendo tratados para finalidades distintas a menos que exista um claro interesse

superior que o preveja

bull Os dados pessoais recolhidos satildeo adequados pertinentes e limitados ao que eacute

necessaacuterio relativamente agraves finalidades para os quais satildeo tratados

bull Os dados satildeo exatos e atualizados sempre que necessaacuterio

bull Os dados satildeo conservados durante o tempo estritamente necessaacuterio e permitem a


finalidades quais satildeo tratados assim foi implementada uma poliacutetica de manutenccedilatildeo

arquivo e apagamento dos dados de modo a garantir que esses natildeo sejam conservados

durante um periacuteodo superior ao estritamente necessaacuterio

bull Os dados satildeo tratados de uma forma que garanta a sua seguranccedila incluindo a

proteccedilatildeo contra o seu tratamento natildeo autorizado ou iliacutecito e contra a sua perda

destruiccedilatildeo ou danificaccedilatildeo acidental bem como de todos os demais direitos que lhe

assistem enquanto titular de dados

bull Asseguraacutemos a anonimizaccedilatildeo dos dados pessoais sempre que tal for exigido

bull Respeitaacutemos o sigilo profissional em relaccedilatildeo aos dados pessoais tratados

115

bull A XXX definiu regras claras de contratualizaccedilatildeo do tratamento de dados pessoais

com os seus subcontratantes e exige que estes adotem as medidas teacutecnicas e

organizacionais necessaacuterias para protegecirc-los

Natildeo obstante todas as medidas de seguranccedila adotadas eacute necessaacuterio alertar que

quando acede agrave Internet deve tomar regularmente precauccedilotildees e adotar medidas de

seguranccedila adicionais nomeadamente atraveacutes da utilizaccedilatildeo de um computador e browser

atualizados

A XXX poderaacute proceder a qualquer momento a modificaccedilotildees ou atualizaccedilotildees agrave

presente Poliacutetica de Proteccedilatildeo de Dados alteraccedilotildees essas que seratildeo devidamente atualizadas

nas nossas Plataformas

Sugerimos assim que as consulte regularmente para estar a par de eventuais

alteraccedilotildees

Para qualquer pedido ou esclarecimento natildeo hesite em contactar-nos

116

ANEXO 4 CONTRATO DE SUBCONTRATACcedilAtildeO

CONTRATO DE SUBCONTRATACcedilAtildeO EM MATEacuteRIA DE PROTECcedilAtildeO DE

DADOS PESSOAIS

ENTRE --------------------------------------------------------------------------------------------------

PRIMEIRO OUTORGANTE XXXXX LDA pessoa coletiva nordm

XXXXXXXXX matriculada na Conservatoacuteria do Registo Comercial de Ponta Delgada-

Accedilores com sede na Rua XXXXX nordm XX 9500-000 Ponta Delgada Satildeo Miguel neste ato

devidamente representada pelo soacutecio gerente XXX XXX XXX adiante designado

ldquoRESPONSAacuteVEL PELO TRATAMENTOrdquo ----------------------------------------------------

E -----------------------------------------------------------------------------------------------------------

SEGUNDO OUTORGANTE XXXXX LDA pessoa coletiva nordm



devidamente representada pelo soacutecio gerente XXX XXX XXX adiante designada

ldquoSUBCONTRATANTErdquo ----------------------------------------------------------------------------

CONSIDERANDO QUE

a) Ambas as partes chegaram a contrato anteriormente (a seguir designado ldquocontrato

principalrdquo) que regula a prestaccedilatildeo de serviccedilos pelo subcontratante ao responsaacutevel

pelo tratamento --------------------------------------------------------------------------------

b) A prestaccedilatildeo habitual destes serviccedilos requer necessariamente o processamento de

dados pessoais ---------------------------------------------------------------------------------

c) Alguns dos dados tratados natildeo pertencem aos aqui Outorgantes -----------------------

d) O responsaacutevel pelo tratamento apenas recorre ao aqui subcontratante porque este

apresenta garantias suficientes de execuccedilatildeo de medidas teacutecnicas e organizativas

117

adequadas de forma a que o tratamento satisfaccedila os requisitos do Regulamento Geral

de Proteccedilatildeo de Dados 2016679 do Parlamento Europeu e do Conselho de 27 de

Abril 2016 (adiante designado RGPD) e assegura a defesa dos direitos do titular dos

dados --------------------------------------------------------------------------------------------

Entre os Outorgantes eacute celebrado de boa feacute o referido contrato de forma a ajustaacute-lo

aos requisitos do Regulamento Geral sobre a Proteccedilatildeo de Dados Pessoais nos termos e

condiccedilotildees das claacuteusulas seguintes --------------------------------------------------------------------

CLAacuteUSULA PRIMEIRA

(Objeto)

1 Define-se como objetivos primordiais deste contrato ------------------------------------

a) Garantir e reforccedilar as obrigaccedilotildees estabelecidas para ambas as partes pelo

Regulamento 2016679 do Parlamento Europeu e do Conselho de 27 de Abril 2016

relativo agrave Proteccedilatildeo de Dados -----------------------------------------------------------------

b) Documentar todo o acesso limitado de dados pessoais por parte do subcontratante -

c) Fortalecer o quadro de confidencialidade que deve ser mantido pelo subcontratante

como entidade responsaacutevel pelo processamento de tais dados pessoais em resultado

da realizaccedilatildeo dos serviccedilos regulamentados no contrato principal ----------------------

CLAacuteUSULA SEGUNDA

(Duraccedilatildeo)

1 O presente contrato entraraacute em vigor no dia da sua assinatura e teraacute o mesmo prazo

que o contrato principal -----------------------------------------------------------------------

2 Os acordos de proteccedilatildeo de dados confidencialidade e sigilo seratildeo vaacutelidos por tempo

indeterminado continuando em vigor apoacutes a rescisatildeo do contrato principal por

qualquer razatildeo ----------------------------------------------------------------------------------

118

CLAacuteUSULA TERCEIRA

(Natureza)

O subcontratante encontra-se vinculado ao responsaacutevel pelo tratamento por um

contrato de prestaccedilatildeo de serviccedilos na aacuterea informaacutetica executando todos os serviccedilos nesta

aacuterea e assumindo a responsabilidade teacutecnica pela mesma ----------------------------------------

CLAacuteUSULA QUARTA

(Finalidade)

1 O subcontratante tem acesso a dados pessoais disponibilizados pelo responsaacutevel

pelo tratamento estritamente necessaacuterios para as finalidades acordadas no contrato

principal nomeadamente para ---------------------------------------------------------------

a) Criaccedilatildeoevoluccedilatildeo de um sistema informaacutetico de registo de dados de clientes

vendedores de potenciais clientes compradores e de comerciais -----------------------

b) Apoio na utilizaccedilatildeo do sistema de faturaccedilatildeo e subsequente submissatildeo via portal das

Financcedilas ----------------------------------------------------------------------------------------

CLAacuteUSULA QUINTA

(Tipo de dados pessoais e as categorias dos titulares dos dados)

1 O subcontratante tem acesso aos seguintes dados pessoais ------------------------------

a) Dos clientes vendedores nome NIF contactos morada dados dos imoacuteveis de que

satildeo proprietaacuterios -------------------------------------------------------------------------------

b) Dos potenciais compradores nome contactos --------------------------------------------

c) Dos comerciais nome contactos morada NIF BI IBAN -----------------------------

CLAacuteUSULA SEXTA

(Obrigaccedilatildeo de apresentar garantias e defender direitos)

1 Sobre o subcontratante recai a obrigaccedilatildeo de -----------------------------------------------

a) Apresentar garantias suficientes de execuccedilatildeo de medidas teacutecnicas e organizativas

adequadas de forma a que o tratamento dos dados seja conforme com os requisitos

do RGPD ---------------------------------------------------------------------------------------

119

b) Assegurar a defesa dos direitos do titular dos dados -------------------------------------

CLAacuteUSULA SEacuteTIMA

(Contrataccedilatildeo de outro subcontratante)

1 O subcontratante natildeo contrata outro subcontratante sem que o responsaacutevel pelo

tratamento tenha dado previamente e por escrito autorizaccedilatildeo especiacutefica ou geral --

a) Em caso de autorizaccedilatildeo geral por escrito o subcontratante informa o responsaacutevel

pelo tratamento de quaisquer alteraccedilotildees pretendidas quanto ao aumento do nuacutemero

ou agrave substituiccedilatildeo de outros subcontratantes dando assim ao responsaacutevel pelo

tratamento a oportunidade de se opor a tais alteraccedilotildees -----------------------------------

2 Se o subcontratante contratar outro subcontratante para a realizaccedilatildeo de operaccedilotildees

especiacuteficas de tratamento de dados por conta do responsaacutevel pelo tratamento satildeo

impostas a esse outro subcontratante as mesmas obrigaccedilotildees em mateacuteria de proteccedilatildeo

de dados aqui estabelecidas entre o responsaacutevel pelo tratamento e o subcontratante

nomeadamente ---------------------------------------------------------------------------------


adequadas de forma a que o tratamento seja conforme com os requisitos do presente

Regulamento -----------------------------------------------------------------------------------


3 Se esse outro subcontratante natildeo cumprir as suas obrigaccedilotildees em mateacuteria de proteccedilatildeo

de dados o subcontratante inicial continua a ser plenamente responsaacutevel perante o

responsaacutevel pelo tratamento pelo cumprimento das obrigaccedilotildees desse outro

subcontratante ----------------------------------------------------------------------------------

CLAacuteUSULA OITAVA

(Instruccedilotildees)

No tratamento dos dados pessoais o subcontratante obedeceraacute agraves instruccedilotildees

documentadas do responsaacutevel pelo tratamento incluindo no que respeita agraves transferecircncias

de dados para paiacuteses terceiros ou organizaccedilotildees internacionais a menos que seja obrigado a

fazecirc-lo pelo direito da Uniatildeo ou do Estado-Membro a que estaacute sujeito informando nesse

caso o responsaacutevel pelo tratamento desse requisito juriacutedico antes do tratamento salvo se a

lei proibir tal informaccedilatildeo por motivos importantes de interesse puacuteblico -----------------------

120

CLAacuteUSULA NONA

(Confidencialidade das pessoas autorizadas)

1 O subcontratante declara ter conhecimento de que todas as informaccedilotildees e em

particular as informaccedilotildees pessoais que lhe foram facultadas em resultado da

prestaccedilatildeo dos serviccedilos satildeo absolutamente confidenciais e nesse sentido obriga-se

sob sua total responsabilidade a -------------------------------------------------------------

a) Utilizar a informaccedilatildeo exclusivamente para o fim para o qual foi facilitada de acordo

com o contrato principal comprometendo-se tambeacutem a natildeo a usar de qualquer forma

que exceda a referida finalidade -------------------------------------------------------------

b) Natildeo divulgar a informaccedilatildeo nem a comunicar sob nenhuma forma a terceiros nem

mesmo para sua conservaccedilatildeo ----------------------------------------------------------------

c) Garantir que as pessoas autorizadas a tratar os dados pessoais assumiram um

compromisso de confidencialidade ou estatildeo sujeitas a adequadas obrigaccedilotildees legais

de confidencialidade durante e apoacutes o teacutermino do relacionamento com o responsaacutevel

pelo tratamento --------------------------------------------------------------------------------

2 O subcontratante eacute obrigado a manter o sigilo absoluto sobre as informaccedilotildees que teve

conhecimento como consequecircncia da prestaccedilatildeo do objeto de serviccedilo do contrato

principal e compromete-se a exigir o mesmo dever de sigilo aos seus funcionaacuterios

que intervecircm em qualquer fase do processamento de dados pessoais ------------------

3 Esta obrigaccedilatildeo manteacutem-se para o subcontratante mesmo depois de terminar a sua

relaccedilatildeo com o responsaacutevel pelo tratamento e para os seus colaboradores mesmo

depois de terminada a sua relaccedilatildeo com o subcontratante --------------------------------

CLAacuteUSULA DEacuteCIMA

(Seguranccedila do Tratamento)

1 Tendo em conta as teacutecnicas mais avanccediladas os custos de aplicaccedilatildeo e a natureza o

acircmbito o contexto e as finalidades do tratamento bem como os riscos de

probabilidade e gravidade variaacutevel para os direitos e liberdades das pessoas

singulares o subcontratante aplica as medidas teacutecnicas e organizativas adequadas

para assegurar um niacutevel de seguranccedila adequado ao risco incluindo consoante o que

for adequado -----------------------------------------------------------------------------------

121

a) A pseudonimizaccedilatildeo e a cifragem dos dados pessoais -----------------------------------

b) A capacidade de assegurar a confidencialidade integridade disponibilidade e

resiliecircncia permanentes dos sistemas e dos serviccedilos de tratamento -------------------

c) A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de

forma atempada no caso de um incidente fiacutesico ou teacutecnico ----------------------------

d) Um processo para testar apreciar e avaliar regularmente a eficaacutecia das medidas

teacutecnicas e organizativas para garantir a seguranccedila do tratamento ----------------------

e) Aprovaccedilatildeo de uma poliacutetica de proteccedilatildeo de dados pessoais que contemple a revisatildeo

perioacutedica das praacuteticas de gestatildeo de dados pessoais --------------------------------------

f) Nomeaccedilatildeo de um ponto de contacto para questotildees relacionadas com a seguranccedila e

privacidade dos dados pessoais -------------------------------------------------------------

g) Definiccedilatildeo de responsabilidade pela proteccedilatildeo de dados pessoais -----------------------

h) Identificaccedilatildeo dos colaboradores com acesso a dados pessoais e execuccedilatildeo de

formaccedilatildeo adequada sobre melhores praacuteticas para praacuteticas para proteccedilatildeo de dados -

i) Implementaccedilatildeo de procedimento de avaliaccedilatildeo do risco dos processos que envolvam

o tratamento de dados pessoais -------------------------------------------------------------

j) Caso exista tratamento de dados de categoria especial implementaccedilatildeo de taxonomia

para categorizaccedilatildeo de dados pessoais e procedimento para controlo e tratamento

diferenciado dos dados de categoria especial (eacute considerado tratamento de dados de

categoria especial o que revele a origem racial ou eacutetnica opiniotildees poliacuteticas

convicccedilotildees religiosas ou filosoacuteficas filiaccedilatildeo sindical dados geneacuteticos dados

biomeacutetricos dados de sauacutede ou dados relativos agrave vida sexual ou orientaccedilatildeo sexual

de uma pessoa) --------------------------------------------------------------------------------

k) Implementaccedilatildeo de procedimento para a identificaccedilatildeo e gestatildeo de violaccedilotildees de

seguranccedila em mateacuteria de dados pessoais --------------------------------------------------

l) Comunicaccedilatildeo de violaccedilotildees de seguranccedila em mateacuteria de dados pessoais ao

responsaacutevel pelo tratamento -----------------------------------------------------------------

m) Adoccedilatildeo de revisotildees perioacutedicasauditorias a processos e sistemas que envolvam o

tratamento de dados pessoais ---------------------------------------------------------------

n) Capacidade de o responsaacutevel pelo tratamento aceder aos resultados das

revisotildeesauditorias e propor outras sobre os processos e sistemas utilizados --------

122

o) Adoccedilatildeo de procedimentos de controlo do acesso a instalaccedilotildees fiacutesicas onde estatildeo

armazenados fiacutesica ou digitalmente os dados pessoais --------------------------------

p) Adoccedilatildeo de medidas de proteccedilatildeo de dados pessoais em suporte fiacutesico (por exemplo

documentaccedilatildeo) especialmente quando estes satildeo armazenados transferidos ou

destruiacutedos --------------------------------------------------------------------------------------

q) Aplicaccedilatildeo de medidas de identificaccedilatildeo e autenticaccedilatildeo dos utilizadores com acesso a

dados pessoais --------------------------------------------------------------------------------

r) Definiccedilatildeo de perfis de utilizador que limitam o acesso e utilizaccedilatildeo de dados pessoais

s) Implementaccedilatildeo de medidas de limitaccedilatildeo e minimizaccedilatildeo do acesso a dados pessoais

nos sistemas de informaccedilatildeo do subcontratante como a pseudonimizaccedilatildeo

encriptaccedilatildeo anonimizaccedilatildeo ou eliminaccedilatildeo de dados -------------------------------------

t) Encriptaccedilatildeo de dados pessoais contidos em suporte fiacutesicos bem como na

transmissatildeo de dados com o responsaacutevel pelo tratamento ------------------------------

u) Registo e controlo de acessos a repositoacuteriossistemas de informaccedilatildeo com dados

pessoais (logs) --------------------------------------------------------------------------------

v) Capacidade de recuperaccedilatildeo de dados pessoais em caso de destruiccedilatildeo perda ou

alteraccedilatildeo ---------------------------------------------------------------------------------------

2 Ao avaliar o niacutevel de seguranccedila adequado devem ser tidos em conta

designadamente os riscos apresentados pelo tratamento em particular devido agrave

destruiccedilatildeo perda e alteraccedilatildeo acidentais ou iliacutecitas e agrave divulgaccedilatildeo ou ao acesso natildeo

autorizados de dados pessoais transmitidos conservados ou sujeitos a qualquer outro

tipo de tratamento -----------------------------------------------------------------------------

3 O responsaacutevel pelo tratamento e o subcontratante tomam medidas para assegurar que

qualquer pessoa singular que agindo sob a autoridade do responsaacutevel pelo

tratamento ou do subcontratante tenha acesso a dados pessoais soacute procede ao seu

tratamento mediante instruccedilotildees do responsaacutevel pelo tratamento exceto se tal lhe for

exigido pelo direito da Uniatildeo ou de um Estado-Membro --------------------------------

CLAacuteUSULA DEacuteCIMA PRIMEIRA

(Assistecircncia para dar resposta aos pedidos dos titulares dos dados)

O subcontratante prestaraacute assistecircncia ao responsaacutevel pelo tratamento atraveacutes de

medidas teacutecnicas e organizativas adequadas para permitir que este cumpra a sua obrigaccedilatildeo

123

de dar resposta aos pedidos dos titulares dos dados tendo em vista o exerciacutecio dos seus

direitos ---------------------------------------------------------------------------------------------------

CLAacuteUSULA DEacuteCIMA SEGUNDA

(Assistecircncia para cumprimento de obrigaccedilotildees)

O subcontratante prestaraacute assistecircncia ao responsaacutevel pelo tratamento no sentido de

assegurar o cumprimento das obrigaccedilotildees de seguranccedila no tratamento notificaccedilatildeo agrave

autoridade de controlo e aos titulares em caso de violaccedilatildeo de dados pessoais avaliaccedilatildeo de

impacto sobre a proteccedilatildeo de dados e consulta preacutevia tal como previstas nos artigos 32ordm a

36ordm do RGPD tendo em conta a natureza de tratamento e a informaccedilatildeo ao dispor do

subcontratante -------------------------------------------------------------------------------------------

CLAacuteUSULA DEacuteCIMA TERCEIRA

(Consequecircncias do teacutermino do contrato)

1 Com o teacutermino do contrato principal qualquer que seja a causa o subcontratante

deveraacute imediatamente ------------------------------------------------------------------------

a) Proceder agrave devoluccedilatildeo ao responsaacutevel pelo tratamento de toda a informaccedilatildeo pessoal

ou natildeo que tenha sido objeto de tratamento como resultado da prestaccedilatildeo de serviccedilos

independentemente do suporte em que tenha sido facultada ----------------------------

b) Proceder agrave destruiccedilatildeo fiacutesica de qualquer tiposuporteficheiromeio que contenha

informaccedilatildeo pessoal ou natildeo e que por qualquer motivo natildeo tenha sido devolvido ao

responsaacutevel pelo tratamento a menos que a conservaccedilatildeo dos dados seja exigida ao

abrigo do direito da Uniatildeo ou dos Estados-Membros ------------------------------------

CLAacuteUSULA DEacuteCIMA QUARTA

(Obrigaccedilotildees)

1 O subcontratante obriga-se ainda a ---------------------------------------------------------

a) Disponibilizar ao responsaacutevel pelo tratamento todas as informaccedilotildees necessaacuterias para

demonstrar o cumprimento das obrigaccedilotildees previstas no contrato ----------------------

b) Facilitar e a contribuir para as auditorias inclusive as inspeccedilotildees conduzidas pelo

responsaacutevel pelo tratamento ou por outro auditor por este mandatado -----------------

124

c) Informar imediatamente o responsaacutevel pelo tratamento se no seu entender alguma

instruccedilatildeo violar o RGPD ou outras disposiccedilotildees do direito da Uniatildeo ou dos Estados-

Membros em mateacuteria de proteccedilatildeo de dados ------------------------------------------------

CLAacuteUSULA DEacuteCIMA QUINTA

(Coacutedigo de conduta ou procedimento de certificaccedilatildeo)

O cumprimento de um coacutedigo de conduta ou de um procedimento de certificaccedilatildeo

poderaacute ser utilizado como elemento para demonstrar o cumprimento de todas estas

obrigaccedilotildees por parte do subcontratante --------------------------------------------------------------

CLAacuteUSULA DEacuteCIMA SEXTA

(Incumprimento)

O incumprimento dos deveres aqui enunciados e a verificaccedilatildeo de inexistecircncia de

garantias de compliance eacute fundamento de resoluccedilatildeo do contrato principal com justa causa

podendo implicar o dever de indemnizar o responsaacutevel pelo tratamento por eventuais

violaccedilotildees que sejam imputadas ao subcontratante -------------------------------------------------

CLAacuteUSULA DEacuteCIMA SETIMA

(Responsabilidade)

O subcontratante deve suportar todos os custos (incluindo honoraacuterios de advogados)

e indemnizar o responsaacutevel pelo tratamento por danos e perdas (incluindo penalidades

administrativas) decorrentes de reclamaccedilotildees judiciais ou extrajudiciais de terceiros ou de

procedimentos de sanccedilatildeo abertos pela Comissatildeo Nacional de Proteccedilatildeo de Dados ou outra

entidade reguladora que sejam consequecircncia da violaccedilatildeo por parte do subcontratante de

qualquer das obrigaccedilotildees estabelecidas neste contrato ou na atual legislaccedilatildeo relevante em

mateacuteria de Proteccedilatildeo de Dados ------------------------------------------------------------------------

125

CLAacuteUSULA DEacuteCIMA OITAVA

(Alteraccedilatildeo)

Ambas as partes declaram que podem surgir questotildees natildeo contempladas nos termos

deste contrato e que determinadas questotildees poderatildeo renegociar-se tendo assim de se

proceder a alteraccedilotildees ou a aditamentos devendo estas ocorrer sob a forma ora subscrita por

ambas as partes com expressa menccedilatildeo das claacuteusulas alteradas aditadas ou suprimidas -----

CLAacuteUSULA DEacuteCIMA NONA

(Foro convencional)

Fica estabelecido o foro do Tribunal Judicial da Comarca dos Accedilores com renuacutencia

expressa a qualquer outro para resoluccedilatildeo de todo e qualquer litiacutegio emergente da validade

interpretaccedilatildeo e aplicaccedilatildeo do presente contrato -----------------------------------------------------

CLAacuteUSULA VIGEacuteSIMA

(Legislaccedilatildeo subsidiaacuteria)

Em tudo o que o presente contrato for omisso regeraacute a legislaccedilatildeo aplicaacutevel ---------

O presente contrato lavrado no dia 25 de Maio de 2018 em dois exemplares ambos

valendo como originais destinando-se um a cada um dos Outorgantes os quais prescindem

reciprocamente e de forma irrevogaacutevel do reconhecimento notarial das assinaturas e as

demais formalidades exigidas por Lei natildeo tendo a sua falta sido causada culposamente e

por isso renunciam em consequecircncia ao direito de invocar qualquer invalidade que de tal

falta possa resultar reconhecendo plena validade ao presente contrato comprometendo-se

ainda a qualquer momento reconhecerem as suas assinaturas desde que para tal solicitado

por escrito por qualquer dos Outorgantes -----------------------------------------------------------

Assim acordam de boa feacute do que vatildeo assinar pois as vontades manifestadas

126

correspondem agraves reais vontades declaradas e por o acharem conforme assinam o presente

contrato --------------------------------------------------------------------------------------------------

Ponta Delgada 25 de Maio de 2018

Pelo Responsaacutevel pelo Tratamento

_______________________________

Pelo subcontratante

_______________________________

127

ANEXO 5 MODELO DE REGISTO PARA O RESPONSAacuteVEL PELO

TRATAMENTO

Paacutegina inicial da Comissatildeo Nacional de Proteccedilatildeo de Dados disponiacutevel em httpwww-

cnpdpt

128

129

130

131

132

133

134

135

136

137

ANEXO 6 MODELO DE REGISTO PARA O SUBCONTRATANTE

138

139

140

141

142

143

144

145

146

ANEXO 7 NOTIFICACcedilAtildeO DA VIOLACcedilAtildeO DE DADOS

CNPD disponiacutevel em httpwwwcnpdptbinnotifica_rgpddatabreachhtm

147

148

149

150

151

152

ANEXO 8 NOTIFICACcedilAtildeO DA NOMEACcedilAtildeO DO EDP

CNPD disponiacutevel em httpwwwcnpdptbinnotifica_rgpdepd_dpohtm

153

154

155

156

ANEXO 9 QUEIXA PERANTE A CNPD

CNPD disponiacutevel em httpwwwcnpdptbinqueixasqueixashtm

REGULAMENTO GERAL DE PROTECcedilAtildeO DE

DADOS

Um Novo Paradigma Regulatoacuterio


Dissertaccedilatildeo no acircmbito do Mestrado em Ciecircncias Juriacutedico-Forenses orientada pelo Professor

Doutor Pedro Antoacutenio Pimenta Costa Gonccedilalves e apresentada agrave Faculdade de Direito da

Universidade de Coimbra

Janeiro de 2019

2

Aos meus pais


3






4

AGRADECIMENTOS

















potencial






coraccedilatildeo




me sinto feliz

5






















6

RESUMO



























7


pessoais



8

ABSTRACT

















of those data









protection

9



10







ALS - Aliacuteneas

ART ndash Artigo

ARTS - Artigos







CF - Confira








11





Nordm - Nuacutemero


P - Paacutegina

P EX - Por exemplo

PROC - Processo



SS - Seguintes







V ndash Versus

VOL ndash Volume

12

IacuteNDICE

Agradecimentos 4

Resumo 6

Abstract 8


Iacutendice 12
















41 Material 25

42 Territorial 26




12 Licitude 29

13

13 Lealdade 30



4 Exatidatildeo 33





1 Consentimento 39









singular 43







11 Prazo 48

12 Resposta 48

13 Custo 49



22 Como cumprir 49

14












72 Requisitos 56













33 Suacutemula 64





15








4 Direitos 73


1 Corporate Risk 74


21 Natureza 74







252 Fatores 79





82

2 Via judicial 83


16




Conclusatildeo 87

Bibliografia 90



Anexos 104











17






















(hellip)rdquo








18


singulares






















19

sect PARTE I sect

ENQUADRAMENTO

















art 8ordm da CEDH5






20
















21






pessoais











2 Diretiva 9546CE










22





Membros






23

sect PARTE II sect

















9546CE foi revogada





Conselho da UE


24




























25




41Material







do direito da UE19















26






























27

42Territorial


















28


























29


suprarreferido















12Licitude









30

13Lealdade





empregadoresrdquo33





















31












futuro pretendido





dados pessoais


dados












32





























33











4 Exatidatildeo



















34



























44 Negrito nosso


35





























36













dados pessoais














37

7 Responsabilidade




5ordm
























38




solicitadas







dos dados




39




1 Consentimento55





















40

























de serviccedilo





41
















abaixo dos 13 anos










42















preparar a proposta

















43













pessoa singular














44






naturais

























45


























fraude


60 Negrito nosso


46


















fontesrdquo














47






48











11Prazo







12Resposta






49






13Custo













dos dados

22Como cumprir





50
























3 Direito de acesso

31Noccedilatildeo




51







dos outros63

















Carta



52


51Noccedilatildeo




























53






























54

































55




















71Noccedilatildeo








56










72Requisitos


pressupostos








de dados e








abril de 2017 p 3


57

























quanto a desejada)




58






























59





















de forma similar









60
























ciacuteveis





61




























62


art 83ordm do RGPD
















regulamentordquo





necessidades




63












em causardquo75

















64





33 Suacutemula






















CC


65



















(se aplicaacutevel)










66






menores79






















67




adotadas


(art 42ordm)












tais protocolos


ilegais de dados









consultas


68





























69





























70






























71














dados














72















interno

3 Funccedilotildees















73







seus direitos


4 Direitos






que necessaacuterio









74


1 Corporate Risk














2 Sanccedilotildees

21Natureza













75






























76



























legalidaderdquo100





77

23Ne bis in idem












Regulamento





















78


vigenterdquo





























79











252 Fatores














80

253 Como ponderar


































81











RGPD











CNPD





82






controlo






















83





2 Via judicial















respetivos






84





























85

































86




adequadordquo





87

CONCLUSAtildeO





























88




Regulamento




























89












90

BIBLIOGRAFIA

Livros




















9789724019086


91



9789723221473


Coimbra 2014 ISBN 9789724055541







2018 ISBN 978-989-768-445-6













92


9789724069937



2889-8

Outros ficheiros




















93











26012019)





02012019)




05102019)




26112018)




94





















2183-7066






95



586


1 httpswwwcnpdpt








252CR252C2008E252C252C252C252C252C252C252C252C








96

JURISPRUDEcircNCIA


























97



























98

















disponiacutevel em



22itemid22[22001-9005122]








99


























100





101



2000 OJ C 326 26102012 p 391ndash407 ELI
















12







102


1995 JO L 281 de 23111995 p 31mdash50 ELI



2016 JO L 119 de 452016 p 89mdash131 ELI





2006 JO L 105 de 1342006 p 54mdash63 ELI







2016








103






104

ANEXOS

105


Artigo 35ordm














previstos na lei








106


FORMULAacuteRIO






Direito de acesso











_________________________________________________________________________

_________________________________________________________________________

_________________________________________________________________________



Data ____________

__________________________________________


107





Dados













Accedilores



XXX





108





























109











contrato


administrativos
















110



preferecircncias















connosco










111



seguintes direitos







respeito





















112






dados







judicial















automatizados



113














geralcnpdpt



administrativos


atraveacutes


XXX LDA

Rua XXX 9500-000




114





























115







atualizados







116



DADOS PESSOAIS

ENTRE --------------------------------------------------------------------------------------------------






E -----------------------------------------------------------------------------------------------------------






CONSIDERANDO QUE



pelo tratamento --------------------------------------------------------------------------------


dados pessoais ---------------------------------------------------------------------------------




117




dados --------------------------------------------------------------------------------------------





(Objeto)










(Duraccedilatildeo)






118


(Natureza)





(Finalidade)







Financcedilas ----------------------------------------------------------------------------------------








CLAacuteUSULA SEXTA





do RGPD ---------------------------------------------------------------------------------------

119














nomeadamente ---------------------------------------------------------------------------------



Regulamento -----------------------------------------------------------------------------------





subcontratante ----------------------------------------------------------------------------------









120

CLAacuteUSULA NONA














pelo tratamento --------------------------------------------------------------------------------















for adequado -----------------------------------------------------------------------------------

121























de uma pessoa) --------------------------------------------------------------------------------









122







dados pessoais --------------------------------------------------------------------------------








pessoais (logs) --------------------------------------------------------------------------------

















123


direitos ---------------------------------------------------------------------------------------------------








subcontratante -------------------------------------------------------------------------------------------



















124










(Incumprimento)






(Responsabilidade)








125








(Foro convencional)
















126


contrato --------------------------------------------------------------------------------------------------



_______________________________

Pelo subcontratante

_______________________________

127


TRATAMENTO


cnpdpt

128

129

130

131

132

133

134

135

136

137


138

139

140

141

142

143

144

145

146



147

148

149

150

151

152



153

154

155

156



2

Aos meus pais


3






4

AGRADECIMENTOS

















potencial






coraccedilatildeo




me sinto feliz

5






















6

RESUMO



























7


pessoais



8

ABSTRACT

















of those data









protection

9



10







ALS - Aliacuteneas

ART ndash Artigo

ARTS - Artigos







CF - Confira








11





Nordm - Nuacutemero


P - Paacutegina

P EX - Por exemplo

PROC - Processo



SS - Seguintes







V ndash Versus

VOL ndash Volume

12

IacuteNDICE

Agradecimentos 4

Resumo 6

Abstract 8


Iacutendice 12
















41 Material 25

42 Territorial 26




12 Licitude 29

13

13 Lealdade 30



4 Exatidatildeo 33





1 Consentimento 39









singular 43







11 Prazo 48

12 Resposta 48

13 Custo 49



22 Como cumprir 49

14












72 Requisitos 56













33 Suacutemula 64





15








4 Direitos 73


1 Corporate Risk 74


21 Natureza 74







252 Fatores 79





82

2 Via judicial 83


16




Conclusatildeo 87

Bibliografia 90



Anexos 104











17






















(hellip)rdquo








18


singulares






















19

sect PARTE I sect

ENQUADRAMENTO

















art 8ordm da CEDH5






20
















21






pessoais











2 Diretiva 9546CE










22





Membros






23

sect PARTE II sect

















9546CE foi revogada





Conselho da UE


24




























25




41Material







do direito da UE19















26






























27

42Territorial


















28


























29


suprarreferido















12Licitude









30

13Lealdade





empregadoresrdquo33





















31












futuro pretendido





dados pessoais


dados












32





























33











4 Exatidatildeo



















34



























44 Negrito nosso


35





























36













dados pessoais














37

7 Responsabilidade




5ordm
























38




solicitadas







dos dados




39




1 Consentimento55





















40

























de serviccedilo





41
















abaixo dos 13 anos










42















preparar a proposta

















43













pessoa singular














44






naturais

























45


























fraude


60 Negrito nosso


46


















fontesrdquo














47






48











11Prazo







12Resposta






49






13Custo













dos dados

22Como cumprir





50
























3 Direito de acesso

31Noccedilatildeo




51







dos outros63

















Carta



52


51Noccedilatildeo




























53






























54

































55




















71Noccedilatildeo








56










72Requisitos


pressupostos








de dados e








abril de 2017 p 3


57

























quanto a desejada)




58






























59





















de forma similar









60
























ciacuteveis





61




























62


art 83ordm do RGPD
















regulamentordquo





necessidades




63












em causardquo75

















64





33 Suacutemula






















CC


65



















(se aplicaacutevel)










66






menores79






















67




adotadas


(art 42ordm)












tais protocolos


ilegais de dados









consultas


68





























69





























70






























71














dados














72















interno

3 Funccedilotildees















73







seus direitos


4 Direitos






que necessaacuterio









74


1 Corporate Risk














2 Sanccedilotildees

21Natureza













75






























76



























legalidaderdquo100





77

23Ne bis in idem












Regulamento





















78


vigenterdquo





























79











252 Fatores














80

253 Como ponderar


































81











RGPD











CNPD





82






controlo






















83





2 Via judicial















respetivos






84





























85

































86




adequadordquo





87

CONCLUSAtildeO





























88




Regulamento




























89












90

BIBLIOGRAFIA

Livros




















9789724019086


91



9789723221473


Coimbra 2014 ISBN 9789724055541







2018 ISBN 978-989-768-445-6













92


9789724069937



2889-8

Outros ficheiros




















93











26012019)





02012019)




05102019)




26112018)




94





















2183-7066






95



586


1 httpswwwcnpdpt








252CR252C2008E252C252C252C252C252C252C252C252C








96

JURISPRUDEcircNCIA


























97



























98

















disponiacutevel em



22itemid22[22001-9005122]








99


























100





101



2000 OJ C 326 26102012 p 391ndash407 ELI
















12







102


1995 JO L 281 de 23111995 p 31mdash50 ELI



2016 JO L 119 de 452016 p 89mdash131 ELI





2006 JO L 105 de 1342006 p 54mdash63 ELI







2016








103






104

ANEXOS

105


Artigo 35ordm














previstos na lei








106


FORMULAacuteRIO






Direito de acesso











_________________________________________________________________________

_________________________________________________________________________

_________________________________________________________________________



Data ____________

__________________________________________


107





Dados













Accedilores



XXX





108





























109











contrato


administrativos
















110



preferecircncias















connosco










111



seguintes direitos







respeito





















112






dados







judicial















automatizados



113














geralcnpdpt



administrativos


atraveacutes


XXX LDA

Rua XXX 9500-000




114





























115







atualizados







116



DADOS PESSOAIS

ENTRE --------------------------------------------------------------------------------------------------






E -----------------------------------------------------------------------------------------------------------






CONSIDERANDO QUE



pelo tratamento --------------------------------------------------------------------------------


dados pessoais ---------------------------------------------------------------------------------




117




dados --------------------------------------------------------------------------------------------





(Objeto)










(Duraccedilatildeo)






118


(Natureza)





(Finalidade)







Financcedilas ----------------------------------------------------------------------------------------








CLAacuteUSULA SEXTA





do RGPD ---------------------------------------------------------------------------------------

119














nomeadamente ---------------------------------------------------------------------------------



Regulamento -----------------------------------------------------------------------------------





subcontratante ----------------------------------------------------------------------------------









120

CLAacuteUSULA NONA














pelo tratamento --------------------------------------------------------------------------------















for adequado -----------------------------------------------------------------------------------

121























de uma pessoa) --------------------------------------------------------------------------------









122







dados pessoais --------------------------------------------------------------------------------








pessoais (logs) --------------------------------------------------------------------------------

















123


direitos ---------------------------------------------------------------------------------------------------








subcontratante -------------------------------------------------------------------------------------------



















124










(Incumprimento)






(Responsabilidade)








125








(Foro convencional)
















126


contrato --------------------------------------------------------------------------------------------------



_______________________________

Pelo subcontratante

_______________________________

127


TRATAMENTO


cnpdpt

128

129

130

131

132

133

134

135

136

137


138

139

140

141

142

143

144

145

146



147

148

149

150

151

152



153

154

155

156



3






4

AGRADECIMENTOS

















potencial






coraccedilatildeo




me sinto feliz

5






















6

RESUMO



























7


pessoais



8

ABSTRACT

















of those data









protection

9



10







ALS - Aliacuteneas

ART ndash Artigo

ARTS - Artigos







CF - Confira








11





Nordm - Nuacutemero


P - Paacutegina

P EX - Por exemplo

PROC - Processo



SS - Seguintes







V ndash Versus

VOL ndash Volume

12

IacuteNDICE

Agradecimentos 4

Resumo 6

Abstract 8


Iacutendice 12
















41 Material 25

42 Territorial 26




12 Licitude 29

13

13 Lealdade 30



4 Exatidatildeo 33





1 Consentimento 39









singular 43







11 Prazo 48

12 Resposta 48

13 Custo 49



22 Como cumprir 49

14












72 Requisitos 56













33 Suacutemula 64





15








4 Direitos 73


1 Corporate Risk 74


21 Natureza 74







252 Fatores 79





82

2 Via judicial 83


16




Conclusatildeo 87

Bibliografia 90



Anexos 104











17






















(hellip)rdquo








18


singulares






















19

sect PARTE I sect

ENQUADRAMENTO

















art 8ordm da CEDH5






20
















21






pessoais











2 Diretiva 9546CE










22





Membros






23

sect PARTE II sect

















9546CE foi revogada





Conselho da UE


24




























25




41Material







do direito da UE19















26






























27

42Territorial


















28


























29


suprarreferido















12Licitude









30

13Lealdade





empregadoresrdquo33





















31












futuro pretendido





dados pessoais


dados












32





























33











4 Exatidatildeo



















34



























44 Negrito nosso


35





























36













dados pessoais














37

7 Responsabilidade




5ordm
























38




solicitadas







dos dados




39




1 Consentimento55





















40

























de serviccedilo





41
















abaixo dos 13 anos










42















preparar a proposta

















43













pessoa singular














44






naturais

























45


























fraude


60 Negrito nosso


46


















fontesrdquo














47






48











11Prazo







12Resposta






49






13Custo













dos dados

22Como cumprir





50
























3 Direito de acesso

31Noccedilatildeo




51







dos outros63

















Carta



52


51Noccedilatildeo




























53






























54

































55




















71Noccedilatildeo








56










72Requisitos


pressupostos








de dados e








abril de 2017 p 3


57

























quanto a desejada)




58






























59





















de forma similar









60
























ciacuteveis





61




























62


art 83ordm do RGPD
















regulamentordquo





necessidades




63












em causardquo75

















64





33 Suacutemula






















CC


65



















(se aplicaacutevel)










66






menores79






















67




adotadas


(art 42ordm)












tais protocolos


ilegais de dados









consultas


68





























69





























70






























71














dados














72















interno

3 Funccedilotildees















73







seus direitos


4 Direitos






que necessaacuterio









74


1 Corporate Risk














2 Sanccedilotildees

21Natureza













75






























76



























legalidaderdquo100





77

23Ne bis in idem












Regulamento





















78


vigenterdquo





























79











252 Fatores














80

253 Como ponderar


































81











RGPD











CNPD





82






controlo






















83





2 Via judicial















respetivos






84





























85

































86




adequadordquo





87

CONCLUSAtildeO





























88




Regulamento




























89












90

BIBLIOGRAFIA

Livros




















9789724019086


91



9789723221473


Coimbra 2014 ISBN 9789724055541







2018 ISBN 978-989-768-445-6













92


9789724069937



2889-8

Outros ficheiros




















93











26012019)





02012019)




05102019)




26112018)




94





















2183-7066






95



586


1 httpswwwcnpdpt








252CR252C2008E252C252C252C252C252C252C252C252C








96

JURISPRUDEcircNCIA


























97



























98

















disponiacutevel em



22itemid22[22001-9005122]








99


























100





101



2000 OJ C 326 26102012 p 391ndash407 ELI
















12







102


1995 JO L 281 de 23111995 p 31mdash50 ELI



2016 JO L 119 de 452016 p 89mdash131 ELI





2006 JO L 105 de 1342006 p 54mdash63 ELI







2016








103






104

ANEXOS

105


Artigo 35ordm














previstos na lei








106


FORMULAacuteRIO






Direito de acesso











_________________________________________________________________________

_________________________________________________________________________

_________________________________________________________________________



Data ____________

__________________________________________


107





Dados













Accedilores



XXX





108





























109











contrato


administrativos
















110



preferecircncias















connosco










111



seguintes direitos







respeito





















112






dados







judicial















automatizados



113














geralcnpdpt



administrativos


atraveacutes


XXX LDA

Rua XXX 9500-000




114





























115







atualizados







116



DADOS PESSOAIS

ENTRE --------------------------------------------------------------------------------------------------






E -----------------------------------------------------------------------------------------------------------






CONSIDERANDO QUE



pelo tratamento --------------------------------------------------------------------------------


dados pessoais ---------------------------------------------------------------------------------




117




dados --------------------------------------------------------------------------------------------





(Objeto)










(Duraccedilatildeo)






118


(Natureza)





(Finalidade)







Financcedilas ----------------------------------------------------------------------------------------








CLAacuteUSULA SEXTA





do RGPD ---------------------------------------------------------------------------------------

119














nomeadamente ---------------------------------------------------------------------------------



Regulamento -----------------------------------------------------------------------------------





subcontratante ----------------------------------------------------------------------------------









120

CLAacuteUSULA NONA














pelo tratamento --------------------------------------------------------------------------------















for adequado -----------------------------------------------------------------------------------

121























de uma pessoa) --------------------------------------------------------------------------------









122







dados pessoais --------------------------------------------------------------------------------








pessoais (logs) --------------------------------------------------------------------------------

















123


direitos ---------------------------------------------------------------------------------------------------








subcontratante -------------------------------------------------------------------------------------------



















124










(Incumprimento)






(Responsabilidade)








125








(Foro convencional)
















126


contrato --------------------------------------------------------------------------------------------------



_______________________________

Pelo subcontratante

_______________________________

127


TRATAMENTO


cnpdpt

128

129

130

131

132

133

134

135

136

137


138

139

140

141

142

143

144

145

146



147

148

149

150

151

152



153

154

155

156



4

AGRADECIMENTOS

















potencial






coraccedilatildeo




me sinto feliz

5






















6

RESUMO



























7


pessoais



8

ABSTRACT

















of those data









protection

9



10







ALS - Aliacuteneas

ART ndash Artigo

ARTS - Artigos







CF - Confira








11





Nordm - Nuacutemero


P - Paacutegina

P EX - Por exemplo

PROC - Processo



SS - Seguintes







V ndash Versus

VOL ndash Volume

12

IacuteNDICE

Agradecimentos 4

Resumo 6

Abstract 8


Iacutendice 12
















41 Material 25

42 Territorial 26




12 Licitude 29

13

13 Lealdade 30



4 Exatidatildeo 33





1 Consentimento 39









singular 43







11 Prazo 48

12 Resposta 48

13 Custo 49



22 Como cumprir 49

14












72 Requisitos 56













33 Suacutemula 64





15








4 Direitos 73


1 Corporate Risk 74


21 Natureza 74







252 Fatores 79





82

2 Via judicial 83


16




Conclusatildeo 87

Bibliografia 90



Anexos 104











17






















(hellip)rdquo








18


singulares






















19

sect PARTE I sect

ENQUADRAMENTO

















art 8ordm da CEDH5






20
















21






pessoais











2 Diretiva 9546CE










22





Membros






23

sect PARTE II sect

















9546CE foi revogada





Conselho da UE


24




























25




41Material







do direito da UE19















26






























27

42Territorial


















28


























29


suprarreferido















12Licitude









30

13Lealdade





empregadoresrdquo33





















31












futuro pretendido





dados pessoais


dados












32





























33











4 Exatidatildeo



















34



























44 Negrito nosso


35





























36













dados pessoais














37

7 Responsabilidade




5ordm
























38




solicitadas







dos dados




39




1 Consentimento55





















40

























de serviccedilo





41
















abaixo dos 13 anos










42















preparar a proposta

















43













pessoa singular














44






naturais

























45


























fraude


60 Negrito nosso


46


















fontesrdquo














47






48











11Prazo







12Resposta






49






13Custo













dos dados

22Como cumprir





50
























3 Direito de acesso

31Noccedilatildeo




51







dos outros63

















Carta



52


51Noccedilatildeo




























53






























54

































55




















71Noccedilatildeo








56










72Requisitos


pressupostos








de dados e








abril de 2017 p 3


57

























quanto a desejada)




58






























59





















de forma similar









60
























ciacuteveis





61




























62


art 83ordm do RGPD
















regulamentordquo





necessidades




63












em causardquo75

















64





33 Suacutemula






















CC


65



















(se aplicaacutevel)










66






menores79






















67




adotadas


(art 42ordm)












tais protocolos


ilegais de dados









consultas


68





























69





























70






























71














dados














72















interno

3 Funccedilotildees















73







seus direitos


4 Direitos






que necessaacuterio









74


1 Corporate Risk














2 Sanccedilotildees

21Natureza













75






























76



























legalidaderdquo100





77

23Ne bis in idem












Regulamento





















78


vigenterdquo





























79











252 Fatores














80

253 Como ponderar


































81











RGPD











CNPD





82






controlo






















83





2 Via judicial















respetivos






84





























85

































86




adequadordquo





87

CONCLUSAtildeO





























88




Regulamento




























89












90

BIBLIOGRAFIA

Livros




















9789724019086


91



9789723221473


Coimbra 2014 ISBN 9789724055541







2018 ISBN 978-989-768-445-6













92


9789724069937



2889-8

Outros ficheiros




















93











26012019)





02012019)




05102019)




26112018)




94





















2183-7066






95



586


1 httpswwwcnpdpt








252CR252C2008E252C252C252C252C252C252C252C252C








96

JURISPRUDEcircNCIA


























97



























98

















disponiacutevel em



22itemid22[22001-9005122]








99


























100





101



2000 OJ C 326 26102012 p 391ndash407 ELI
















12







102


1995 JO L 281 de 23111995 p 31mdash50 ELI



2016 JO L 119 de 452016 p 89mdash131 ELI





2006 JO L 105 de 1342006 p 54mdash63 ELI







2016








103






104

ANEXOS

105


Artigo 35ordm














previstos na lei








106


FORMULAacuteRIO






Direito de acesso











_________________________________________________________________________

_________________________________________________________________________

_________________________________________________________________________



Data ____________

__________________________________________


107





Dados













Accedilores



XXX





108





























109











contrato


administrativos
















110



preferecircncias















connosco










111



seguintes direitos







respeito





















112






dados







judicial















automatizados



113














geralcnpdpt



administrativos


atraveacutes


XXX LDA

Rua XXX 9500-000




114





























115







atualizados







116



DADOS PESSOAIS

ENTRE --------------------------------------------------------------------------------------------------






E -----------------------------------------------------------------------------------------------------------






CONSIDERANDO QUE



pelo tratamento --------------------------------------------------------------------------------


dados pessoais ---------------------------------------------------------------------------------




117




dados --------------------------------------------------------------------------------------------





(Objeto)










(Duraccedilatildeo)






118


(Natureza)





(Finalidade)







Financcedilas ----------------------------------------------------------------------------------------








CLAacuteUSULA SEXTA





do RGPD ---------------------------------------------------------------------------------------

119














nomeadamente ---------------------------------------------------------------------------------



Regulamento -----------------------------------------------------------------------------------





subcontratante ----------------------------------------------------------------------------------









120

CLAacuteUSULA NONA














pelo tratamento --------------------------------------------------------------------------------















for adequado -----------------------------------------------------------------------------------

121























de uma pessoa) --------------------------------------------------------------------------------









122







dados pessoais --------------------------------------------------------------------------------








pessoais (logs) --------------------------------------------------------------------------------

















123


direitos ---------------------------------------------------------------------------------------------------








subcontratante -------------------------------------------------------------------------------------------



















124










(Incumprimento)






(Responsabilidade)








125








(Foro convencional)
















126


contrato --------------------------------------------------------------------------------------------------



_______________________________

Pelo subcontratante

_______________________________

127


TRATAMENTO


cnpdpt

128

129

130

131

132

133

134

135

136

137


138

139

140

141

142

143

144

145

146



147

148

149

150

151

152



153

154

155

156



5






















6

RESUMO



























7


pessoais



8

ABSTRACT

















of those data









protection

9



10







ALS - Aliacuteneas

ART ndash Artigo

ARTS - Artigos







CF - Confira








11





Nordm - Nuacutemero


P - Paacutegina

P EX - Por exemplo

PROC - Processo



SS - Seguintes







V ndash Versus

VOL ndash Volume

12

IacuteNDICE

Agradecimentos 4

Resumo 6

Abstract 8


Iacutendice 12
















41 Material 25

42 Territorial 26




12 Licitude 29

13

13 Lealdade 30



4 Exatidatildeo 33





1 Consentimento 39









singular 43







11 Prazo 48

12 Resposta 48

13 Custo 49



22 Como cumprir 49

14












72 Requisitos 56













33 Suacutemula 64





15








4 Direitos 73


1 Corporate Risk 74


21 Natureza 74







252 Fatores 79





82

2 Via judicial 83


16




Conclusatildeo 87

Bibliografia 90



Anexos 104











17






















(hellip)rdquo








18


singulares






















19

sect PARTE I sect

ENQUADRAMENTO

















art 8ordm da CEDH5






20
















21






pessoais











2 Diretiva 9546CE










22





Membros






23

sect PARTE II sect

















9546CE foi revogada





Conselho da UE


24




























25




41Material







do direito da UE19















26






























27

42Territorial


















28


























29


suprarreferido















12Licitude









30

13Lealdade





empregadoresrdquo33





















31












futuro pretendido





dados pessoais


dados












32





























33











4 Exatidatildeo



















34



























44 Negrito nosso


35





























36













dados pessoais














37

7 Responsabilidade




5ordm
























38




solicitadas







dos dados




39




1 Consentimento55





















40

























de serviccedilo





41
















abaixo dos 13 anos










42















preparar a proposta

















43













pessoa singular














44






naturais

























45


























fraude


60 Negrito nosso


46


















fontesrdquo














47






48











11Prazo







12Resposta






49






13Custo













dos dados

22Como cumprir





50
























3 Direito de acesso

31Noccedilatildeo




51







dos outros63

















Carta



52


51Noccedilatildeo




























53






























54

































55




















71Noccedilatildeo








56










72Requisitos


pressupostos








de dados e








abril de 2017 p 3


57

























quanto a desejada)




58






























59





















de forma similar









60
























ciacuteveis





61




























62


art 83ordm do RGPD
















regulamentordquo





necessidades




63












em causardquo75

















64





33 Suacutemula






















CC


65



















(se aplicaacutevel)










66






menores79






















67




adotadas


(art 42ordm)












tais protocolos


ilegais de dados









consultas


68





























69





























70






























71














dados














72















interno

3 Funccedilotildees















73







seus direitos


4 Direitos






que necessaacuterio









74


1 Corporate Risk














2 Sanccedilotildees

21Natureza













75






























76



























legalidaderdquo100





77

23Ne bis in idem












Regulamento





















78


vigenterdquo





























79











252 Fatores














80

253 Como ponderar


































81











RGPD











CNPD





82






controlo






















83





2 Via judicial















respetivos






84





























85

































86




adequadordquo





87

CONCLUSAtildeO





























88




Regulamento




























89












90

BIBLIOGRAFIA

Livros




















9789724019086


91



9789723221473


Coimbra 2014 ISBN 9789724055541







2018 ISBN 978-989-768-445-6













92


9789724069937



2889-8

Outros ficheiros




















93











26012019)





02012019)




05102019)




26112018)




94





















2183-7066






95



586


1 httpswwwcnpdpt








252CR252C2008E252C252C252C252C252C252C252C252C








96

JURISPRUDEcircNCIA


























97



























98

















disponiacutevel em



22itemid22[22001-9005122]








99


























100





101



2000 OJ C 326 26102012 p 391ndash407 ELI
















12







102


1995 JO L 281 de 23111995 p 31mdash50 ELI



2016 JO L 119 de 452016 p 89mdash131 ELI





2006 JO L 105 de 1342006 p 54mdash63 ELI







2016








103






104

ANEXOS

105


Artigo 35ordm














previstos na lei








106


FORMULAacuteRIO






Direito de acesso











_________________________________________________________________________

_________________________________________________________________________

_________________________________________________________________________



Data ____________

__________________________________________


107





Dados













Accedilores



XXX





108





























109











contrato


administrativos
















110



preferecircncias















connosco










111



seguintes direitos







respeito





















112






dados







judicial















automatizados



113














geralcnpdpt



administrativos


atraveacutes


XXX LDA

Rua XXX 9500-000




114





























115







atualizados







116



DADOS PESSOAIS

ENTRE --------------------------------------------------------------------------------------------------






E -----------------------------------------------------------------------------------------------------------






CONSIDERANDO QUE



pelo tratamento --------------------------------------------------------------------------------


dados pessoais ---------------------------------------------------------------------------------




117




dados --------------------------------------------------------------------------------------------





(Objeto)










(Duraccedilatildeo)






118


(Natureza)





(Finalidade)







Financcedilas ----------------------------------------------------------------------------------------








CLAacuteUSULA SEXTA





do RGPD ---------------------------------------------------------------------------------------

119














nomeadamente ---------------------------------------------------------------------------------



Regulamento -----------------------------------------------------------------------------------





subcontratante ----------------------------------------------------------------------------------









120

CLAacuteUSULA NONA














pelo tratamento --------------------------------------------------------------------------------















for adequado -----------------------------------------------------------------------------------

121























de uma pessoa) --------------------------------------------------------------------------------









122







dados pessoais --------------------------------------------------------------------------------








pessoais (logs) --------------------------------------------------------------------------------

















123


direitos ---------------------------------------------------------------------------------------------------








subcontratante -------------------------------------------------------------------------------------------



















124










(Incumprimento)






(Responsabilidade)








125








(Foro convencional)
















126


contrato --------------------------------------------------------------------------------------------------



_______________________________

Pelo subcontratante

_______________________________

127


TRATAMENTO


cnpdpt

128

129

130

131

132

133

134

135

136

137


138

139

140

141

142

143

144

145

146



147

148

149

150

151

152



153

154

155

156



6

RESUMO



























7


pessoais



8

ABSTRACT

















of those data









protection

9



10







ALS - Aliacuteneas

ART ndash Artigo

ARTS - Artigos







CF - Confira








11





Nordm - Nuacutemero


P - Paacutegina

P EX - Por exemplo

PROC - Processo



SS - Seguintes







V ndash Versus

VOL ndash Volume

12

IacuteNDICE

Agradecimentos 4

Resumo 6

Abstract 8


Iacutendice 12
















41 Material 25

42 Territorial 26




12 Licitude 29

13

13 Lealdade 30



4 Exatidatildeo 33





1 Consentimento 39









singular 43







11 Prazo 48

12 Resposta 48

13 Custo 49



22 Como cumprir 49

14












72 Requisitos 56













33 Suacutemula 64





15








4 Direitos 73


1 Corporate Risk 74


21 Natureza 74







252 Fatores 79





82

2 Via judicial 83


16




Conclusatildeo 87

Bibliografia 90



Anexos 104











17






















(hellip)rdquo








18


singulares






















19

sect PARTE I sect

ENQUADRAMENTO

















art 8ordm da CEDH5






20
















21






pessoais











2 Diretiva 9546CE










22





Membros






23

sect PARTE II sect

















9546CE foi revogada





Conselho da UE


24




























25




41Material







do direito da UE19















26






























27

42Territorial


















28


























29


suprarreferido















12Licitude









30

13Lealdade





empregadoresrdquo33





















31












futuro pretendido





dados pessoais


dados












32





























33











4 Exatidatildeo



















34



























44 Negrito nosso


35





























36













dados pessoais














37

7 Responsabilidade




5ordm
























38




solicitadas







dos dados




39




1 Consentimento55





















40

























de serviccedilo





41
















abaixo dos 13 anos










42















preparar a proposta

















43













pessoa singular














44






naturais

























45


























fraude


60 Negrito nosso


46


















fontesrdquo














47






48











11Prazo







12Resposta






49






13Custo













dos dados

22Como cumprir





50
























3 Direito de acesso

31Noccedilatildeo




51







dos outros63

















Carta



52


51Noccedilatildeo




























53






























54

































55




















71Noccedilatildeo








56










72Requisitos


pressupostos








de dados e








abril de 2017 p 3


57

























quanto a desejada)




58






























59





















de forma similar









60
























ciacuteveis





61




























62


art 83ordm do RGPD
















regulamentordquo





necessidades




63












em causardquo75

















64





33 Suacutemula






















CC


65



















(se aplicaacutevel)










66






menores79






















67




adotadas


(art 42ordm)












tais protocolos


ilegais de dados









consultas


68





























69





























70






























71














dados














72















interno

3 Funccedilotildees















73







seus direitos


4 Direitos






que necessaacuterio









74


1 Corporate Risk














2 Sanccedilotildees

21Natureza













75






























76



























legalidaderdquo100





77

23Ne bis in idem












Regulamento





















78


vigenterdquo





























79











252 Fatores














80

253 Como ponderar


































81











RGPD











CNPD





82






controlo






















83





2 Via judicial















respetivos






84





























85

































86




adequadordquo





87

CONCLUSAtildeO





























88




Regulamento




























89












90

BIBLIOGRAFIA

Livros




















9789724019086


91



9789723221473


Coimbra 2014 ISBN 9789724055541







2018 ISBN 978-989-768-445-6













92


9789724069937



2889-8

Outros ficheiros




















93











26012019)





02012019)




05102019)




26112018)




94





















2183-7066






95



586


1 httpswwwcnpdpt








252CR252C2008E252C252C252C252C252C252C252C252C








96

JURISPRUDEcircNCIA


























97



























98

















disponiacutevel em



22itemid22[22001-9005122]








99


























100





101



2000 OJ C 326 26102012 p 391ndash407 ELI
















12







102


1995 JO L 281 de 23111995 p 31mdash50 ELI



2016 JO L 119 de 452016 p 89mdash131 ELI





2006 JO L 105 de 1342006 p 54mdash63 ELI







2016








103






104

ANEXOS

105


Artigo 35ordm














previstos na lei








106


FORMULAacuteRIO






Direito de acesso











_________________________________________________________________________

_________________________________________________________________________

_________________________________________________________________________



Data ____________

__________________________________________


107





Dados













Accedilores



XXX





108





























109











contrato


administrativos
















110



preferecircncias















connosco










111



seguintes direitos







respeito





















112






dados







judicial















automatizados



113














geralcnpdpt



administrativos


atraveacutes


XXX LDA

Rua XXX 9500-000




114





























115







atualizados







116



DADOS PESSOAIS

ENTRE --------------------------------------------------------------------------------------------------






E -----------------------------------------------------------------------------------------------------------






CONSIDERANDO QUE



pelo tratamento --------------------------------------------------------------------------------


dados pessoais ---------------------------------------------------------------------------------




117




dados --------------------------------------------------------------------------------------------





(Objeto)










(Duraccedilatildeo)






118


(Natureza)





(Finalidade)







Financcedilas ----------------------------------------------------------------------------------------








CLAacuteUSULA SEXTA





do RGPD ---------------------------------------------------------------------------------------

119














nomeadamente ---------------------------------------------------------------------------------



Regulamento -----------------------------------------------------------------------------------





subcontratante ----------------------------------------------------------------------------------









120

CLAacuteUSULA NONA














pelo tratamento --------------------------------------------------------------------------------















for adequado -----------------------------------------------------------------------------------

121























de uma pessoa) --------------------------------------------------------------------------------









122







dados pessoais --------------------------------------------------------------------------------








pessoais (logs) --------------------------------------------------------------------------------

















123


direitos ---------------------------------------------------------------------------------------------------








subcontratante -------------------------------------------------------------------------------------------



















124










(Incumprimento)






(Responsabilidade)








125








(Foro convencional)
















126


contrato --------------------------------------------------------------------------------------------------



_______________________________

Pelo subcontratante

_______________________________

127


TRATAMENTO


cnpdpt

128

129

130

131

132

133

134

135

136

137


138

139

140

141

142

143

144

145

146



147

148

149

150

151

152



153

154

155

156



7


pessoais



8

ABSTRACT

















of those data









protection

9



10







ALS - Aliacuteneas

ART ndash Artigo

ARTS - Artigos







CF - Confira








11





Nordm - Nuacutemero


P - Paacutegina

P EX - Por exemplo

PROC - Processo



SS - Seguintes







V ndash Versus

VOL ndash Volume

12

IacuteNDICE

Agradecimentos 4

Resumo 6

Abstract 8


Iacutendice 12
















41 Material 25

42 Territorial 26




12 Licitude 29

13

13 Lealdade 30



4 Exatidatildeo 33





1 Consentimento 39









singular 43







11 Prazo 48

12 Resposta 48

13 Custo 49



22 Como cumprir 49

14












72 Requisitos 56













33 Suacutemula 64





15








4 Direitos 73


1 Corporate Risk 74


21 Natureza 74







252 Fatores 79





82

2 Via judicial 83


16




Conclusatildeo 87

Bibliografia 90



Anexos 104











17






















(hellip)rdquo








18


singulares






















19

sect PARTE I sect

ENQUADRAMENTO

















art 8ordm da CEDH5






20
















21






pessoais











2 Diretiva 9546CE










22





Membros






23

sect PARTE II sect

















9546CE foi revogada





Conselho da UE


24




























25




41Material







do direito da UE19















26






























27

42Territorial


















28


























29


suprarreferido















12Licitude









30

13Lealdade





empregadoresrdquo33





















31












futuro pretendido





dados pessoais


dados












32





























33











4 Exatidatildeo



















34



























44 Negrito nosso


35





























36













dados pessoais














37

7 Responsabilidade




5ordm
























38




solicitadas







dos dados




39




1 Consentimento55





















40

























de serviccedilo





41
















abaixo dos 13 anos










42















preparar a proposta

















43













pessoa singular














44






naturais

























45


























fraude


60 Negrito nosso


46


















fontesrdquo














47






48











11Prazo







12Resposta






49






13Custo













dos dados

22Como cumprir





50
























3 Direito de acesso

31Noccedilatildeo




51







dos outros63

















Carta



52


51Noccedilatildeo




























53






























54

































55




















71Noccedilatildeo








56










72Requisitos


pressupostos








de dados e








abril de 2017 p 3


57

























quanto a desejada)




58






























59





















de forma similar









60
























ciacuteveis





61




























62


art 83ordm do RGPD
















regulamentordquo





necessidades




63












em causardquo75

















64





33 Suacutemula






















CC


65



















(se aplicaacutevel)










66






menores79






















67




adotadas


(art 42ordm)












tais protocolos


ilegais de dados









consultas


68





























69





























70






























71














dados














72















interno

3 Funccedilotildees















73







seus direitos


4 Direitos






que necessaacuterio









74


1 Corporate Risk














2 Sanccedilotildees

21Natureza













75






























76



























legalidaderdquo100





77

23Ne bis in idem












Regulamento





















78


vigenterdquo





























79











252 Fatores














80

253 Como ponderar


































81











RGPD











CNPD





82






controlo






















83





2 Via judicial















respetivos






84





























85

































86




adequadordquo





87

CONCLUSAtildeO





























88




Regulamento




























89












90

BIBLIOGRAFIA

Livros




















9789724019086


91



9789723221473


Coimbra 2014 ISBN 9789724055541







2018 ISBN 978-989-768-445-6













92


9789724069937



2889-8

Outros ficheiros




















93











26012019)





02012019)




05102019)




26112018)




94





















2183-7066






95



586


1 httpswwwcnpdpt








252CR252C2008E252C252C252C252C252C252C252C252C








96

JURISPRUDEcircNCIA


























97



























98

















disponiacutevel em



22itemid22[22001-9005122]








99


























100





101



2000 OJ C 326 26102012 p 391ndash407 ELI
















12







102


1995 JO L 281 de 23111995 p 31mdash50 ELI



2016 JO L 119 de 452016 p 89mdash131 ELI





2006 JO L 105 de 1342006 p 54mdash63 ELI







2016








103






104

ANEXOS

105


Artigo 35ordm














previstos na lei








106


FORMULAacuteRIO






Direito de acesso











_________________________________________________________________________

_________________________________________________________________________

_________________________________________________________________________



Data ____________

__________________________________________


107





Dados













Accedilores



XXX





108





























109











contrato


administrativos
















110



preferecircncias















connosco










111



seguintes direitos







respeito





















112






dados







judicial















automatizados



113














geralcnpdpt



administrativos


atraveacutes


XXX LDA

Rua XXX 9500-000




114





























115







atualizados







116



DADOS PESSOAIS

ENTRE --------------------------------------------------------------------------------------------------






E -----------------------------------------------------------------------------------------------------------






CONSIDERANDO QUE



pelo tratamento --------------------------------------------------------------------------------


dados pessoais ---------------------------------------------------------------------------------




117




dados --------------------------------------------------------------------------------------------





(Objeto)










(Duraccedilatildeo)






118


(Natureza)





(Finalidade)







Financcedilas ----------------------------------------------------------------------------------------








CLAacuteUSULA SEXTA





do RGPD ---------------------------------------------------------------------------------------

119














nomeadamente ---------------------------------------------------------------------------------



Regulamento -----------------------------------------------------------------------------------





subcontratante ----------------------------------------------------------------------------------









120

CLAacuteUSULA NONA














pelo tratamento --------------------------------------------------------------------------------















for adequado -----------------------------------------------------------------------------------

121























de uma pessoa) --------------------------------------------------------------------------------









122







dados pessoais --------------------------------------------------------------------------------








pessoais (logs) --------------------------------------------------------------------------------

















123


direitos ---------------------------------------------------------------------------------------------------








subcontratante -------------------------------------------------------------------------------------------



















124










(Incumprimento)






(Responsabilidade)








125








(Foro convencional)
















126


contrato --------------------------------------------------------------------------------------------------



_______________________________

Pelo subcontratante

_______________________________

127


TRATAMENTO


cnpdpt

128

129

130

131

132

133

134

135

136

137


138

139

140

141

142

143

144

145

146



147

148

149

150

151

152



153

154

155

156



REGULAMENTO GERAL DE PROTEÇÃO DE DADOS: UM ......das escolhas que não me podia faltar fazer. Aos...

Documents

Transcript of REGULAMENTO GERAL DE PROTEÇÃO DE DADOS: UM ......das escolhas que não me podia faltar fazer. Aos...